【正文】 關協(xié)議的知識快速地判斷攻擊特征是否存在。傳統(tǒng)的模式匹配的檢測方法的問題根本是他把網(wǎng)絡數(shù)據(jù)包看作是無序的隨意的字節(jié)流。 傳統(tǒng)模式匹配方法的問題：計算量大：對于一個特定網(wǎng)絡的每秒需要比較的最大次數(shù)為：攻擊特征字節(jié)數(shù)網(wǎng)絡數(shù)據(jù)包字節(jié)數(shù)每秒數(shù)據(jù)包數(shù)量攻擊特征數(shù)量如果所有攻擊特征長度為20字節(jié)，網(wǎng)絡數(shù)據(jù)包平均長度為30字節(jié)，每秒30,000數(shù)據(jù)包，供給特征庫中有4000條特征，那么，每秒比較次數(shù)為：20 x 300 x 30,000 x 4,000 = 720,000,000,000檢測準確性：傳統(tǒng)的模式匹配只能檢測特定類型的攻擊。5〕 直到檢測到攻擊或網(wǎng)絡數(shù)據(jù)包中的所有字節(jié)匹配完畢，一個攻擊特征匹配結束6〕 對于每一個攻擊特征，重復2〕開始的比較。他的分析速度快、誤報率小等優(yōu)點是其它分析方法不可比擬的。第三章 網(wǎng)絡引擎和主機代理 網(wǎng)絡引擎的設計網(wǎng)絡引擎通過分析網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包，得到可能入侵的信息。3．采用分接器（Tap），將其接在所有要監(jiān)測的線路上。缺點：采用此端口會降低交換機性能。由于交換機不采用共享媒質的辦法，傳統(tǒng)的采用一個sniffer來監(jiān)聽整個子網(wǎng)的辦法不再可行。TCP是雙向協(xié)議，分析員必須確保計策器能從對話雙方接收信息。關于檢測器放置的最后一個問題就是它與誰連接。l 你可以檢測到由于設置有問題而無法通過防火墻的內部系統(tǒng)，這可以幫助系統(tǒng)管理員。它們可不僅僅是個口號。如果本應該被防火墻封鎖的攻擊滲透近來，檢測器在防火墻內檢測到或就能發(fā)現(xiàn)防火墻的設置失誤。因為許多攻擊類型只能通過檢測是否與字符串特征一致才能被發(fā)現(xiàn)，而字符串的傳送只有在TCP 3次握手才能進行。一般說來檢測器放在防火墻附近比較好。在大型網(wǎng)絡中，分析系統(tǒng)工作負載大、存儲系統(tǒng)工作量也大，所以應該分布在不同的計算機上。也可以采取主動的反擊策略，對攻擊者進行如DOS攻擊等，但這種以毒攻毒的方法在法律上是不許可的。各種分析方法都有各自的優(yōu)勢和不足，因此，系統(tǒng)中分析方法應該是可以動態(tài)更換，并且多種算法可以并存的。 分析系統(tǒng)是對事件發(fā)生器捕獲的原始信息、其他入侵檢測系統(tǒng)提供的可疑信息進行統(tǒng)一分析和和處理的系統(tǒng)。 存儲系統(tǒng)的作用是用來存貯事件產生器捕獲的原始數(shù)據(jù)、分析結果等重要數(shù)據(jù)。 網(wǎng)絡引擎和主機代理屬于CIDF中的事件產生器（Event generators）。在部署時，這些部件可能在同一臺計算機上，也可以各自分布在一個大型網(wǎng)絡的不同地點。有效性要求：能夠證明根據(jù)某一設計所建立的入侵檢測系統(tǒng)是切實有效的。適應性也包括入侵檢測系統(tǒng)本身對其宿主平臺的適應性，即：跨平臺工作的能力，適應其宿主平臺軟、硬件配置的各種不同情況。所以必須建立一種機制，把入侵檢測系統(tǒng)的體系結構與使用策略區(qū)分開。結構存在問題：現(xiàn)在的很多入侵檢測系統(tǒng)是從原來的基于網(wǎng)絡或基于主機的入侵檢測系統(tǒng)不斷改進而得來的，在體系結構等方面不能滿足分布、開放等要求。不同的入侵檢測系統(tǒng)之間不能互操作：在大型網(wǎng)絡中，網(wǎng)絡不同的部分可能使用了不同的入侵檢測系統(tǒng)，但現(xiàn)在的入侵檢測系統(tǒng)之間不能能夠交換信息，使得發(fā)現(xiàn)了攻擊時難以找到攻擊的源頭，甚至給入侵者制造了攻擊的漏洞。在如今每天都有新漏洞發(fā)布、每天都有新的攻擊方法產生的情況下顯然不能滿足安全需求?，F(xiàn)有的入侵檢測系統(tǒng)在10M網(wǎng)上檢查所有數(shù)據(jù)包中的幾十種攻擊特征時可以很好地工作。CIDF標準還沒有正式確立，也沒有一個入侵檢測商業(yè)產品完全所用該標準,但因為入侵檢測系統(tǒng)的特殊性，其實各種入侵檢測系統(tǒng)的模型都有很大的相似性。響應單元則是對分析結果作出作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應,甚至發(fā)動對攻擊者的反擊，也可以只是簡單的報警。它將一個入侵檢測系統(tǒng)分為以下組件：l 事件產生器（Event generators）l 事件分析器（Event analyzersl 響應單元（Response units ）l 事件數(shù)據(jù)庫（Event databases ）CIDF將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（event）,它可以是基于網(wǎng)絡的入侵檢測系統(tǒng)中網(wǎng)絡中的數(shù)據(jù)包，也可以是基于主機的入侵檢測系統(tǒng)從系統(tǒng)日志等其他途徑得到的信息。對于已知得攻擊，它可以詳細、準確的報告報告出攻擊類型，但是對未知攻擊卻效果有限，而且入侵模式庫必須不斷更新。一般為了準確判斷，要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。實現(xiàn)一個基于規(guī)則的專家系統(tǒng)是一個知識工程問題，而且其功能應當能夠隨著經(jīng)驗的積累而利用其自學習能力進行規(guī)則的擴充和修正。由此專家系統(tǒng)自動進行對所涉及的攻擊操作的分析工作。錯發(fā)的警報往往來自于對審計數(shù)據(jù)的統(tǒng)計算法所基于的不準確或不貼切的假設。能夠判斷使用行為的合法或可疑。按照所使用的分析方法，可以分為以下幾種入侵檢測系統(tǒng)：1． 基于審計的攻擊檢測基于審計信息的攻擊檢測工具以及自動分析工具可以向系統(tǒng)安全管理員報告計算機系統(tǒng)活動的評估報告，通常是脫機的、滯后的。檢測主要判別所搜集到的數(shù)據(jù)特征是否在所收集到的入侵模式庫中出現(xiàn)。相信未來的集成化的入侵檢測產品不僅功能更加強大，而且部署和使用上也更加靈活方便。聯(lián)合使用基于主機和基于網(wǎng)絡這兩種方式能夠達到更好的檢測效果?；诰W(wǎng)絡的入侵檢測系統(tǒng)通過檢查所有的數(shù)據(jù)包的包頭（header）來進行檢測，而基于主機的入侵檢測系統(tǒng)并不查看包首標。l 占資源少 在被保護的設備上不用占用任何資源。被捕獲的數(shù)據(jù)不僅包括的攻擊的方法，而且還包括可識別黑客身份和對其進行起訴的信息。相反地，如果基于主機，則在每個主機上都需要一個代理，這樣的話，花費昂貴，而且難于管理?；诰W(wǎng)絡的監(jiān)視器不運行其他的應用程序，不提供網(wǎng)絡服務，可以不響應其他計算機。實際上，許多客戶在最初使用IDS時，都配置了基于網(wǎng)絡的入侵檢測?；诰W(wǎng)絡的IDS通常利用一個運行在隨機模式下網(wǎng)絡的適配器來實時監(jiān)視并分析通過網(wǎng)絡的所有通信業(yè)務。根據(jù)加密方式在協(xié)議堆棧中的位置的不同，基于網(wǎng)絡的系統(tǒng)可能對某些攻擊沒有反應。所以從覆蓋足夠大的網(wǎng)絡范圍的角度出發(fā)，很難確定配置基于網(wǎng)絡的IDS的最佳位置。因為它們不需要在網(wǎng)絡上另外安裝登記、維護及管理的硬件設備。l 易于用戶剪裁 每一個主機有其自己的代理，當然用戶剪裁更方便了。最后，基于主機的系統(tǒng)可以監(jiān)視關鍵系統(tǒng)文件和可執(zhí)行文件的更改?；谥鳈C技術還可監(jiān)視通常只有管理員才能實施的非正常行為。l 更加細膩 這種方法可以很容易地監(jiān)測一些活動，如對敏感文件、目錄、程序或端口的存取，而這些活動很難在基于網(wǎng)絡的系統(tǒng)中被發(fā)現(xiàn)。盡管基于主機的入侵檢查系統(tǒng)不如基于網(wǎng)絡的入侵檢查系統(tǒng)快捷，但它確實具有基于網(wǎng)絡的系統(tǒng)無法比擬的優(yōu)點。對關鍵系統(tǒng)文件和可執(zhí)行文件的入侵檢測的一個常用方法，是通過定期檢查校驗和來進行的，以便發(fā)現(xiàn)意外的變化。通常，基于主機的IDS可監(jiān)測系統(tǒng)、事件和Window NT下的安全記錄以及UNIX環(huán)境下的系統(tǒng)記錄。在這一較為簡單的環(huán)境里，檢查可疑行為的檢驗記錄是很常見的操作。 入侵檢測系統(tǒng)入侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為、對異常行為進行統(tǒng)計、自動地收集和系統(tǒng)相關的補丁、進行審計跟蹤識別違反安全法規(guī)的行為、使用誘騙服務器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。而且，無論在理論上還是在實踐中，試圖徹底填補一個系統(tǒng)的安全漏洞都是不可能的，也還沒有一種切實可行的辦法解決合法用戶在通過“身份鑒別”或“身份認證”后濫用特權的問題。.防火墻只實現(xiàn)了粗粒度的訪問控制。一般來說，由多個系統(tǒng)（路由器、過濾器、代理服務器、網(wǎng)關、堡壘主機）組成的防火墻，管理上有所疏忽是在所難免的。而據(jù)權威部門統(tǒng)計結果表明，網(wǎng)絡上的安全攻擊事件有70%以上來自內部攻擊。防火墻技術是內部網(wǎng)最重要的安全技術之一，其主要功能就是控制對受保護網(wǎng)絡的非法訪問，它通過監(jiān)視、限制、更改通過網(wǎng)絡的數(shù)據(jù)流，一方面盡可能屏蔽內部網(wǎng)的拓撲結構，另一方面對內屏蔽外部危險站點，用以防范外對內、內對外的非法訪問。這樣的檢測機制對保證大壩的安全至關重要。傳統(tǒng)的信息安全技術都集中在系統(tǒng)自身的加固和防護上。實際上，安全就是防范潛在的危機。而“安全”是一個非常難于量化的指標，真正是一個看不見摸不著的東西。信息安全是一種很難量化的概念，我們可以把信息系統(tǒng)的“性能”與“安全”做一個簡單的對比。入侵檢測系統(tǒng)在未來的網(wǎng)絡安全和軍事斗爭中將起到非常重要的作用。我們的目標是設計一個分布式的入侵檢測系統(tǒng)，它具有可擴展性、跨平臺性、安全性和開放性，并實現(xiàn)了其中的網(wǎng)絡引擎部分。在國內，隨著上網(wǎng)的關鍵部門、關鍵業(yè)務越來越多，迫切需要具有自主版權的入侵檢測產品。PDR2表示Protection、Detection、Recovery和Response，即保護、檢測、恢復和響應。本人授權　　 　 　大學可以將本學位論文的全部或部分內容編入有關數(shù)據(jù)庫進行檢索，可以采用影印、縮印或掃描等復制手段保存和匯編本學位論文。除了文中特別加以標注引用的內容外，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫的成果作品。盡我所知，除文中特別加以標注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過的研究成果，也不包含我為獲得 及其它教育機構的學位或學歷而使用過的材料。同時改進了匹配算法，使得網(wǎng)絡引擎具有更好的實時性能。他對計算機和網(wǎng)絡資源上的惡意使用行為進行識別和響應，它不僅檢測來自外部的入侵行為，同時也監(jiān)督內部用戶的未授權活動。入侵檢測技術是繼“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護措施后新一代的安全保障技術。在網(wǎng)絡引擎的實現(xiàn)上，使用了協(xié)議分析和模式匹配相結合的方法，有效減小目標的匹配范圍，提高了檢測速度。 pattern match畢業(yè)設計（論文）原創(chuàng)性聲明和使用授權說明原創(chuàng)性聲明本人鄭重承諾：所呈交的畢業(yè)設計（論文），是我個人在指導教師的指導下進行的研究工作及取得的成果。作者簽名：　　 　 　　 日　 期：　　 　 　　 學位論文原創(chuàng)性聲明本人鄭重聲明：所呈交的論文是本人在導師的指導下獨立進行研究所取得的研究成果。作者簽名： 日期： 年 月 日學位論文版權使用授權書本學位論文作者完全了解學校有關保留、使用學位論文的規(guī)定，同意學校保留并向國家有關部門或機構送交論文的復印件和電子版，允許論文被查閱和借閱。由一開始的靜態(tài)的系統(tǒng)安全模型逐漸過渡到動態(tài)的安全模型，如PDR2模型。從網(wǎng)絡安全立體縱深、多層次防御的角度出發(fā)，入侵檢測理應受到人們的高度重視，這從國外入侵檢測產品市場的蓬勃發(fā)展就可以看出。本課題是網(wǎng)絡安全實驗室自擬課題“網(wǎng)絡數(shù)據(jù)分析”的一部分。 其中ISS公司的RealSecured的智能攻擊識別技術是當前IDS系統(tǒng)中最為先進的。第一章 入侵檢測系統(tǒng)概述信息系統(tǒng)的安全問題是一個十分復雜的問題，可以說信息系統(tǒng)有多復雜，信息系統(tǒng)安全問題就有多復雜；信息系統(tǒng)有什么樣的特性，信息系統(tǒng)安全就同樣具有類似的特性。換句話說，系統(tǒng)性能的提高，用戶雖然摸不到，但卻是可以看到的。但是，“什么事情也沒有”也正是導致忽視安全問題的原因所在。但是隨著網(wǎng)絡的深入發(fā)展，這個標準已經(jīng)不能完全適應當前的技術需要，因為這個主要基于HostTerminal環(huán)境的靜態(tài)安全模型和標準無法完全反應分布式、動態(tài)變化、發(fā)展迅速的Internet安全問題。舉例來說，一個水庫的大壩到底應當修多高？大壩有沒有漏洞？修好的大壩現(xiàn)在是否處在危險的狀態(tài)？實際上，我們需要相應的檢測機制，例如，利用工程探傷技術檢查大壩的質量是否符合要求、觀察當前的水位是否超出了警戒水位。其次，防火墻策略對于防范黑客有其明顯的局限性[4]。即防外不防內。防火墻的安全策略無法進行集中管理。許多防火墻對用戶的安全控制主要是基于用戶所用機器的IP地址而不是用戶身份，這樣就很難為同一用戶在防火墻內外提供一致的安全控制策略，限制了企業(yè)網(wǎng)的物理范圍。但迄今為止，軟件工程技術還沒有達到A2級所要求的形式生成或證明一個系統(tǒng)的安全體系的程度，所以不可能百分之百地保證任何一個系統(tǒng)（尤其是底層系統(tǒng)）中不存在安全漏洞。防護、檢測和響應組成了一個完整的、動態(tài)的安全循環(huán)。1．基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測出現(xiàn)在80年代初期，那時網(wǎng)絡還沒有今天這樣普遍、復雜，且網(wǎng)絡之間也沒有完全連通?；谥鳈C的IDS仍使用驗證記錄，但自動化程度大大提高，并發(fā)展了精密的可迅速做出響應的檢測技術。基于主機的IDS在發(fā)展過程中融入了其它技術。這類檢測方法將基于網(wǎng)絡的入侵檢測的基本方法融入到基于主機的檢測環(huán)境中。配置一個入侵監(jiān)測系統(tǒng)要花費$10,000以上，而基于主機的入侵檢測系統(tǒng)對于單獨－代理標價僅幾百美元，并且客戶只需很少的費用用于最初的安裝?；诰W(wǎng)絡的系統(tǒng)要做到這個程度是非常困難的。基于主機的IDS還可審計能影響系統(tǒng)記錄的校驗措施的改變。l 視野集中 一旦入侵者得到了一個主機的用戶名和口令，基于主機的代理是最有可能區(qū)分正常的活動和非法的活動的。這些使得基于主機的系統(tǒng)效率很高。交換設備可將大型網(wǎng)絡分成許多的小型網(wǎng)絡段加以管理。某些加密方式也向基于網(wǎng)絡的入侵檢測發(fā)出了挑戰(zhàn)。在這方面，基于主機的IDS是基于網(wǎng)絡的IDS完美補充，網(wǎng)絡部分可以盡早提供警告，主機部分可以確定攻擊成功與否2．基于網(wǎng)絡的入侵檢測系統(tǒng)基于網(wǎng)絡的入侵檢測系統(tǒng)使用原始網(wǎng)絡包作為數(shù)據(jù)源。 基于網(wǎng)絡的IDS有許多僅靠基于主機的入侵檢測法無法提供的功能。l 隱蔽性好 一個網(wǎng)絡上的監(jiān)測器不像一個主機那樣顯眼和易被存取，因而也不那么容易遭受攻擊。l 較少的監(jiān)測器 由于使用一個監(jiān)測器就可以保護一個共享的網(wǎng)段，所以你不需要很多的監(jiān)測器。所以攻擊者無法轉移證據(jù)。與之相比，基于主機的系統(tǒng)必須在特定的、沒有遭到破壞的操作系統(tǒng)中才能正常工作，生成有用的結果。從某個重要服務器的鍵盤發(fā)出的倍地攻擊并不經(jīng)過網(wǎng)絡，因此就無法通過基于網(wǎng)絡的入侵檢測系統(tǒng)檢測到，只能通過使用基于主機的入侵檢測系統(tǒng)來檢測。而基于主機的系統(tǒng)無法看到負載，因此也無法識別嵌入式的負載攻擊。在下一代的入侵檢測系統(tǒng)中，將把現(xiàn)在的基于網(wǎng)絡和基于主機這兩種檢測技術很好