【正文】 Axent公司（ITA、ESM）， 以 及NAI（CyberCop Monitor）。但現(xiàn)狀是入侵檢測還不夠成熟，處于發(fā)展階段，或者是防火墻中集成較為初級的入侵檢測模塊。檢測已經(jīng)是系統(tǒng)安全模型中非常重要的一部分。涉密論文按學校規(guī)定處理。對本文的研究做出重要貢獻的個人和集體，均已在文中以明確方式標明。對本研究提供過幫助和做出過貢獻的個人或集體，均已在文中作了明確的說明并表示了謝意。在主機代理中的網(wǎng)絡(luò)接口檢測功能，有效地解決了未來交換式網(wǎng)絡(luò)中入侵檢測系統(tǒng)無法檢測的致命弱點。本文提出一種基于部件的入侵檢測系統(tǒng)，具有良好的分布性能和可擴展性。分布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn)分布式入侵監(jiān)測系統(tǒng)設(shè)計與實現(xiàn)摘 要隨著黑客入侵事件的日益猖獗，人們發(fā)現(xiàn)只從防御的角度構(gòu)造安全系統(tǒng)是不夠的。他將基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)有機地結(jié)合在一起，提供集成化的檢測、報告和響應(yīng)功能。關(guān)鍵字 入侵檢測；模式匹配AbstractWith more and more site intruded by hackers, security expert found than only use crypt technology to build a security system is not enough. The Intrusion Detection is a new security technology, apart from tradition security protect technology, such as firewall and data crypt. IDSs watch the puter and network traffic for intrusive and suspicious activities. they not only detect the intrusion from the Extranet hacker, but also the intranet users.We design a ponentbased Intrusion Detection System, which has good distribute and scalable ability. It bine the networkbased IDS and hostbased IDS into a system, and provide detection, report and respone together.In the implement of the network engine, the bination of network protocol analyze and pattern match technology is used, and reduce scope to search. We also improved pattern match algorithm, the network engine can search intrusion signal more quickly. We use network interface detection in host agent, which will enable the IDS work on switch network fine.Keyword IDS。作 者 簽 名：　　 　 　　日　 期：　　 　 　　 指導教師簽名：　　 　 　　 日　　期：　　 　 　　 使用授權(quán)說明本人完全了解 大學關(guān)于收集、保存、使用畢業(yè)設(shè)計（論文）的規(guī)定，即：按照學校要求提交畢業(yè)設(shè)計（論文）的印刷本和電子版本；學校有權(quán)保存畢業(yè)設(shè)計（論文）的印刷本和電子版，并提供目錄檢索與閱覽服務(wù)；學?？梢圆捎糜坝　⒖s印、數(shù)字化或其它復(fù)制手段保存論文；在不以贏利為目的前提下，學?？梢怨颊撐牡牟糠只蛉績?nèi)容。本人完全意識到本聲明的法律后果由本人承擔。作者簽名： 日期： 年 月 日導師簽名： 日期： 年 月 日目 錄引言 1第一章 入侵檢測系統(tǒng)概述 2 TCSEC難以適應(yīng)新的網(wǎng)絡(luò)環(huán)境 2 P2DR：動態(tài)安全模型 4 入侵檢測系統(tǒng) 5 入侵檢測系統(tǒng)的分類 5 入侵檢測系統(tǒng)的發(fā)展趨勢 8 CIDF模型 11第二章 分布式入侵檢測系統(tǒng) 12 現(xiàn)有入侵檢測系統(tǒng)的不足 12 主要功能要求 13 系統(tǒng)概述 14 系統(tǒng)部署 15第三章 網(wǎng)絡(luò)引擎和主機代理 19 網(wǎng)絡(luò)引擎的設(shè)計 19 檢測匹配方法的改進 19 網(wǎng)絡(luò)引擎設(shè)計 21 主機代理 25 數(shù)據(jù)來源 25 代理結(jié)構(gòu) 26第四章 存儲系統(tǒng)和分析系統(tǒng) 29 存儲系統(tǒng) 29 數(shù)據(jù)載入 29 數(shù)據(jù)縮減 30 推與拉技術(shù) 31 分析系統(tǒng) 32 基于行為的檢測 32 基于知識的檢測 34第五章 控制臺與響應(yīng)系統(tǒng) 37 控制臺 37 事件管理 37 安全管理 38 報告生成 38 部件管理 38 誤報警管理 39 響應(yīng)系統(tǒng) 39 常用響應(yīng)技術(shù) 40第六章 系統(tǒng)自身的安全 43 44 安全通信 45第七章 網(wǎng)絡(luò)引擎實現(xiàn) 52 檢測規(guī)則 52 規(guī)則格式 52 規(guī)則選項 55 匹配算法 59結(jié)束語 62致謝 63參考文獻 64分布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn)引言在計算機安全的發(fā)展中，系統(tǒng)安全模型在逐步的實踐中發(fā)生變化。入侵檢測作為一種積極主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵?？梢?，入侵檢測技術(shù)應(yīng)該進行進一步的研究。他們都在入侵檢測技術(shù)上有多年的研究。入侵檢測系統(tǒng)作為一種商品也具有非常大的市場和效益。系統(tǒng)性能的高低在一定程度上可以通過量化指標來表現(xiàn)?！笆裁词虑橐矝]有”實際上就是安全的最高境界。這個準則的發(fā)布對操作系統(tǒng)、數(shù)據(jù)庫等方面的安全發(fā)展起到了很大的推動作用。然而，單純的防護技術(shù)有許多方面的問題：首先，單純的防護技術(shù)容易導致系統(tǒng)的盲目建設(shè)，這種盲目包括兩方面：一方面是不了解安全威脅的嚴峻和當前的安全現(xiàn)狀；另一方面是安全投入過大而又沒有真正抓住安全的關(guān)鍵環(huán)節(jié)，導致不必要的浪費。這些措施實際上就是一些緊急應(yīng)對和響應(yīng)措施。防火墻的安全控制只能作用于外對內(nèi)或內(nèi)對外，即：對外可屏蔽內(nèi)部網(wǎng)的拓撲結(jié)構(gòu)，封鎖外部網(wǎng)上的用戶連接內(nèi)部網(wǎng)上的重要站點或某些端口，對內(nèi)可屏蔽外部危險站點，但它很難解決內(nèi)部網(wǎng)控制內(nèi)部人員的安全問題。防火墻的管理及配置相當復(fù)雜，要想成功的維護防火墻，要求防火墻管理員對網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當深刻的了解。.防火墻的安全控制主要是基于IP地址的，難于為用戶在防火墻內(nèi)外提供一致的安全策略。再次，保證信息系統(tǒng)安全的經(jīng)典手段是“存取控制”或“訪問控制”，這種手段在經(jīng)典的以及現(xiàn)代的安全理論中都是實行系統(tǒng)安全策略的最重要的手段。圖1－1 P2DR模型P2DR模型包含4個主要部分：Policy（安全策略）Protection（防護）Detection（檢測）Response（響應(yīng)）P2DR模型是在整體的安全策略（Policy）的控制和指導下，在綜合運用防護工具（Protection，如防火墻、操作系統(tǒng)身份認證、加密等手段）的同時，利用檢測工具（Detection，如漏洞評估、入侵檢測等系統(tǒng)）了解和評估系統(tǒng)的安全狀態(tài)，通過適當?shù)捻憫?yīng)（Response）將系統(tǒng)調(diào)整到“最安全”和“風險最低”的狀態(tài)。 入侵檢測系統(tǒng)的分類按獲得原始數(shù)據(jù)的方法可以將入侵檢測系統(tǒng)分為基于網(wǎng)絡(luò)的入侵檢測和基于主機的入侵檢測系統(tǒng)?，F(xiàn)在的基于主機的入侵檢測系統(tǒng)保留了一種有力的工具，以理解以前的攻擊形式，并選擇合適的方法去抵御未來的攻擊。如果匹配，系統(tǒng)就會向管理員報警并向別的目標報告，以采取措施。最后，許多產(chǎn)品都是監(jiān)聽端口的活動，并在特定端口被訪問時向管理員報警。盡管基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)能很容易地提供廣泛覆蓋，但其價格通常是昂貴的。例如，基于主機的IDS可以監(jiān)督所有用戶登錄及退出登錄的情況。一旦發(fā)生了更改，基于主機的IDS就能檢測到這種不適當?shù)母?。而基于網(wǎng)絡(luò)的系統(tǒng)有時會檢測不到這些行為?；谥鳈C的入侵檢測系統(tǒng)存在于現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)之中，包括文件服務(wù)器、Web服務(wù)器及其它共享資源。 l 適用于被加密的以及切換的環(huán)境 由于基于主機的系統(tǒng)安裝在遍布企業(yè)的各種主機上，它們比基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)更加適于交換的以及加密的環(huán)境?；谥鳈C的入侵檢測系統(tǒng)可安裝在所需的重要主機上，在交換的環(huán)境中具有更高的能見度。當操作系統(tǒng)及基于主機的系統(tǒng)發(fā)現(xiàn)即將到來的業(yè)務(wù)時，數(shù)據(jù)流已經(jīng)被解密了l 確定攻擊是否成功 由于基于主機的IDS使用含有已發(fā)生事件信息，它們可以比基于網(wǎng)絡(luò)的IDS更加準確地判斷攻擊是否成功。反應(yīng)因產(chǎn)品而異，但通常都包括通知管理員、中斷連接并且/或為法庭分析和證據(jù)收集而做的會話記錄。而大多數(shù)基于主機的產(chǎn)品則要依靠對最近幾分鐘內(nèi)審計記錄的分析。l 視野更寬 基于網(wǎng)絡(luò)的入侵檢測甚至可以在網(wǎng)絡(luò)的邊緣上，即攻擊者還沒能接入網(wǎng)絡(luò)時就被發(fā)現(xiàn)并制止。l 攻擊者不易轉(zhuǎn)移證據(jù) 基于網(wǎng)絡(luò)的IDS使用正在發(fā)生的網(wǎng)絡(luò)通訊進行實時攻擊的檢測。l 操作系統(tǒng)無關(guān)性 基于網(wǎng)絡(luò)的IDS作為安全監(jiān)測資源，與主機的操作系統(tǒng)無關(guān)。這兩種方式都能發(fā)現(xiàn)對方無法檢測到的一些入侵行為?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)可以研究負載的內(nèi)容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實時檢查包序列的入侵檢測系統(tǒng)迅速識別。在這方面，基于主機的入侵檢測系統(tǒng)對基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)是一個很好的補充，人們完全可以使用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)提供早期報警，而使用基于主機的入侵檢測系統(tǒng)來驗證攻擊是否取得成功。從技術(shù)上，入侵檢測分為兩類：一種基于模式匹配（signaturebased）的入侵檢測系統(tǒng)，另一種基于異常發(fā)現(xiàn)(anomalybased)的入侵檢測系統(tǒng)。而基于異常發(fā)現(xiàn)的檢測技術(shù)則是先定義一組系統(tǒng)“正?！鼻闆r的閥值，如CPU利用率、內(nèi)存利用率、文件校驗和等（這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計的辦法得出），然后將系統(tǒng)運行時的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。審計系統(tǒng)實時地檢測用戶對系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保持的用戶行為的概率統(tǒng)計模型進行監(jiān)測，當發(fā)現(xiàn)有可疑的用戶行為發(fā)生時，保持跟蹤并監(jiān)測該用戶的行為。這種辦法同樣適用于檢測程序的行為以及對數(shù)據(jù)資源（如文件或數(shù)據(jù)庫）的存取行為。神經(jīng)網(wǎng)絡(luò)可能用于解決傳統(tǒng)的統(tǒng)計分析技術(shù)所面臨的以下幾個問題：　●難于建立確切的統(tǒng)計分布　●難于實現(xiàn)方法的普適性　●算法實現(xiàn)比較昂貴　●系統(tǒng)臃腫難于剪裁目前，神經(jīng)網(wǎng)絡(luò)技術(shù)提出了對基于傳統(tǒng)統(tǒng)計技術(shù)的攻擊檢測方法的改進方向，但尚不十分成熟，所以傳統(tǒng)的統(tǒng)計方法仍將繼續(xù)發(fā)揮作用，也仍然能為發(fā)現(xiàn)用戶的異常行為提供相當有參考價值的信息。例如，在數(shù)分鐘之內(nèi)某個用戶連續(xù)進行登錄，且失敗超過三次就可以被認為是一種攻擊行為。用基于模型的推理方法人們能夠為某些行為建立特定的模型，從而能夠監(jiān)視具有特定行為特征的某些活動?；谀Ｊ狡ヅ涞臋z測技術(shù)和基于異常發(fā)現(xiàn)的檢測技術(shù)，所得出的結(jié)論有非常大的差異。如果條件允許，兩者結(jié)合的檢測會達到更好的效果。事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。在現(xiàn)有的入侵檢測系統(tǒng)中，經(jīng)常用數(shù)據(jù)采集部分、分析部分和響應(yīng)部分來分別代替事件產(chǎn)生器、事件分析器和響應(yīng)單元這些術(shù)語。第二章 分布式入侵檢測系統(tǒng) 現(xiàn)有入侵檢測系統(tǒng)的不足入侵檢測系統(tǒng)不能很好的檢測所有的數(shù)據(jù)包：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)難以跟上網(wǎng)絡(luò)速度的發(fā)展。攻擊特征庫的更新不及時：絕大多數(shù)的入侵檢測系統(tǒng)都是適用模式匹配的分析方法，這要求攻擊特征庫的特征值應(yīng)該是最新的。另外，基于模式匹配和基于統(tǒng)計的分析方法各有所長，入侵檢測系統(tǒng)的發(fā)展趨勢是在同一個系統(tǒng)中同時使用不同的分析方法。但入侵檢測系統(tǒng)不能很好的和其他安全產(chǎn)品協(xié)作。實時入侵檢測可以避免常規(guī)情況下，管理員通過的對系統(tǒng)日志進行審計以查找入侵者或入侵行為線索時的種種不便與技術(shù)上的限制。并且在入侵檢測系統(tǒng)的整體功能設(shè)計上，也必須建立一種可以擴展的結(jié)構(gòu)，以便系統(tǒng)結(jié)構(gòu)本身能夠適應(yīng)未來可能出現(xiàn)的擴展要求。并且入侵檢測系統(tǒng)應(yīng)該在設(shè)計和實現(xiàn)中，因該能夠有針對性的考慮幾種可以預(yù)見的，對應(yīng)于該入侵檢測系統(tǒng)的類型與工作原理的攻擊威脅，及其相應(yīng)的抵御方法。 系統(tǒng)概述 ODIDS系統(tǒng)是基于部件的分布式入侵檢測系統(tǒng)。部件之間通過統(tǒng)一的網(wǎng)絡(luò)接口進行信息交換，這樣既簡化了部件之間的數(shù)據(jù)交換的復(fù)雜性，使得部件非常容易地分布在不同主機上，也給系統(tǒng)提供了一個擴展的接口。主機代理在所在主機以各種方法收集信息，包括分析日志、監(jiān)視用戶行為、分析系統(tǒng)調(diào)用、分析該主機的網(wǎng)絡(luò)通信等。存儲系統(tǒng)也是不同部件之間數(shù)據(jù)處理的共享數(shù)據(jù)庫，為系統(tǒng)不同部件提供各自感興趣的數(shù)據(jù)。同時負責分布式攻擊進行檢測。響應(yīng)包括消極的措施，如給管理員發(fā)電子郵件、消息、傳呼等。用戶可以提供控制臺配置系統(tǒng)中的各個部件，也通過控制臺了解各部件的運行情況?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)需要有檢測器才能工作。DMZ 是介于ISP和最外端防火墻界面之間的區(qū)域。這樣做對站點的好處就是：可以看到自己的站點和防火墻暴露在多少種攻擊之下。設(shè)置良好的防火墻確實阻止了大部分低層次的攻擊，人們也確實把太多的注意力放在檢測和分析這些低層次的攻擊上了。如果你的機構(gòu)有足夠的經(jīng)費這么做，會有如下優(yōu)點：l 你無須猜測是否有攻擊滲透過防火墻。4. 檢測器的其他位置檢測器最通常的位置在防火墻外，但這當然不是唯一一個對機構(gòu)有利的擺放位置。檢測器可以工作在這種環(huán)境中，但如果交換機的跨接端口沒有正確設(shè)置，入侵檢測將無法進行工作。有必要被檢測器配置兩塊接口卡，一塊連接到網(wǎng)絡(luò)跨接端口用于監(jiān)聽混雜模式（監(jiān)聽所有數(shù)據(jù)包，不管它們是否是發(fā)給檢測器）的，另一塊連接到單獨V