【正文】 x 后面的其他位置出現(xiàn)的 u與 y中的 u 對齊，并比較 x[in]與 y[i+j]。 這種算法的時間復 雜度低于線性，所以是現(xiàn)在用的最多的一種方法。 在實際的應用和研究中，通常不采用單一的檢測方法而是采用多種檢測方法相結(jié)合的方式來檢測攻擊。多傳感器信息融合的基本原理就像人腦綜合處理信息的過程一樣，它充分利用多個傳感器資源，通過對各個傳感器及其觀測信息的合理支配和使用，將各種傳感器在空間和時間上的互補與冗余信息根據(jù)某種優(yōu)化準則組合起來，產(chǎn)生對觀測環(huán)境的一致性解釋和描述。算法開始時先隨機地產(chǎn)生一些染色體，計算其適應度，根據(jù)適應度對各染色體進行選擇復制、交叉、變異等遺傳操作，剔除適應度低的染色體，留下適應度高的染色體，從而得到新的群體。 遺傳算法 遺傳算法是基于自然選擇 ,在計算機上模擬生物進化機制的尋優(yōu)搜索法 .在自然界的演化過程中 ,生物體通過遺傳、變異來適應外界環(huán)境，一代又一代地優(yōu)勝劣汰，發(fā)展進化。 免疫系統(tǒng) 免疫系統(tǒng)是一個復雜的多代理系統(tǒng)。 模糊系統(tǒng) 模糊理論在知識和規(guī)則獲取中具有重要的作用。將神經(jīng)網(wǎng)絡技術應用于入侵檢測系統(tǒng)， 以檢測未知攻擊。對于入侵檢測系統(tǒng)來說，也需要從大量的數(shù)據(jù)中提取出入侵的特征。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性取決于審計記錄的完備性和實時性。另外，協(xié)議分析還可以探測碎片攻擊。它的算法簡單、準確率高，但是只能檢測到已知攻擊，對已知攻擊稍加修改就可以躲過檢測，漏報現(xiàn)象嚴重，模式庫需要不斷更新。 不同的分類方法體現(xiàn)的是對入侵檢測系統(tǒng)不同側(cè)面的理解。分布式 IDS 是本文研究一個重點。等級式 IDS 也存在一些問題：首先，當網(wǎng)絡拓撲結(jié)構(gòu)改變時，區(qū)域分析結(jié)果的匯總機制也需要做相應的調(diào)整；其次，這種結(jié)構(gòu)的 IDS 最后還是要 將各地收集的結(jié)果傳送到最高級的檢測服務器進行全局分析，所以系統(tǒng)的安全性并沒有實質(zhì)性的改進。 根據(jù)體系結(jié)構(gòu)分類 （ 1）集中式入侵檢測系統(tǒng) 集中式 IDS 有多個分布在不同主機上的審計程序，僅 有一個中央入侵檢測服務器。它試圖用定量的方式描述可以接受的行為特征，以區(qū)分非正常的、潛在的入侵行為。該檢測方法可以有效地檢測到已知攻擊，檢測精度高，誤報少。由于近些年來，混合式病毒攻擊的活動更為猖獗，單一的基于主機或者單一的 基于網(wǎng)絡的 IDS 無法抵御混合式攻擊，因此，采用混合型的入侵檢測系統(tǒng)可以更好的保護系統(tǒng)?；诰W(wǎng)絡的入侵檢測系統(tǒng)主要用于實時監(jiān)控網(wǎng)絡上的關鍵路徑（某一共享網(wǎng)段）。基于主機的入侵檢測系統(tǒng)主要用于保護運行關鍵應用的服務器。 （ 4）響應單元 （ Response units ） 響應單元根據(jù)警告信息做出反應，如切斷連接、改變文本屬性等強烈的反 應，也可能是簡單地報警。 入侵檢測系統(tǒng)的基本 結(jié)構(gòu) 構(gòu)成 CIDF（ Common Intrusion Detection Frame,公共入侵檢測框架 ） 提出了通用模型，將入侵檢測系統(tǒng)分為四個基本組件：事件產(chǎn)生器、事件分析器、響應單元和事件數(shù)據(jù)庫，見下圖。關于入侵檢測的概念，還有許多從不同角度的定義。但是，經(jīng)驗證明程序錯誤和其它人為錯誤造成的安全隱患是不可能完全避免的。 包括作為計算機核心的操作系統(tǒng)和作為支撐軟件的編譯器和數(shù)據(jù)庫管理系統(tǒng)，也包括提供服務的應用程序等，這些軟件往往由于功能復雜、規(guī)模龐大，又沒有安全理論的指導或安全原則未能貫穿始終，甚至有的在設計之初就沒有考慮安全問題，導致了諸如緩沖區(qū)溢出、符號連接和后門等各種各樣的攻擊手段，這些漏洞一旦被發(fā)現(xiàn)，就可對系統(tǒng)的安全構(gòu)成致命的威脅。 安全威脅的根源 五花八門的攻擊方法讓人眼花繚亂，那么為什么會有這么多的漏洞讓黑客有機可乘呢？概括地說，安全威脅的根源主要是 三個方面： TCP/IP 協(xié)議族在規(guī)則之初是為了方便地實現(xiàn)信息的共享，設計時注重的是開放和靈活，未能對安全性（身份鑒別和信息保密等）給予足夠的考慮。 ⑤ TCP 會話劫取 TCP 會話劫取是入侵者強行強占已經(jīng)存在的連接。如果用戶訪問這個假冒的網(wǎng)站，從用戶角度來說感覺不到任何差別，但是用戶的一舉一動都在黑客的監(jiān)視之下，用戶提交的任何敏感信息（例如信用卡的帳號和密碼）都成了黑客的獵物。 ③ DNS 欺騙 DNS 完成 IP 地址到域名之間的相互轉(zhuǎn)換，從 DNS 服務器返回到響應一般為Inter 上所有的主機所信任。若入侵者的主機為 illegal,目標主機為 target,信任主機為 friend,入侵者將 illegal 的 IP 地址改為 friend 的 IP 地址，即入侵者將發(fā)向目標主機的數(shù)據(jù)包中源地址改為被信任主機的地址，這樣 target 就會相信 illegal，允許它訪問。信任也可被擴充到一些選中的機器上的不同用戶，而最終可到任何主機上的任何用戶。利用此通道，可以秘密向目標主機上的木馬程序傳遞命令并在目標機器上執(zhí)行，也可以將在目標主機上搜集到的信息傳送給遠端的黑客，作為一 個秘密用戶與用戶、用戶與機器間通信的方法。任何一臺機器接收到一個回應請求，都返回一個回應應答報文給原請求者。 拒絕服務 DOS（ Denial of Service） 拒絕服務是就攻擊結(jié)果而言的，指目標主機不能為用戶提供正常的服務，即破壞目標系統(tǒng)的可用性。黑客利用緩沖區(qū)溢出覆蓋程序或函數(shù)的返回地址，當程序或函數(shù)返回時指針指向黑客設計的位置，使黑客的惡意代碼得以執(zhí)行而獲得系統(tǒng)中的用戶權(quán)限甚至特權(quán)用戶權(quán)限。黑客在成功入侵后也常在目標系統(tǒng)中安裝特洛伊木馬程序以便長期控制目標系統(tǒng)。 特洛伊木馬 特洛伊木馬程序是指非法駐留在目標系統(tǒng)中，提供隱秘的、非用戶所希望的程序。 )； ICMP 掃描包括： ICMP 查詢報文請求及應答掃描、ICMP 差錯報文掃描； UDP 掃描包括： UDP 端口不可達掃描等。 反監(jiān)聽的方法是：將網(wǎng)絡分段，把不可信任的機器隔開以防止被監(jiān)聽；加密，大量的密文讓黑客無所適從。根據(jù)各自不同的目的，黑客在攻克的目標系統(tǒng)上進行不同的破壞活動，例如竊取敏感資料、篡改文件內(nèi)容，替換目標系統(tǒng) WWW服務的主頁是黑客示威常 采用的手段。 搜集信息：尋找目標主機并分析要攻擊的環(huán)境。將入侵企圖或威脅定義為未授權(quán)蓄意嘗試訪問信息、篡改信息、使系統(tǒng)不可靠或不能使用。而網(wǎng)絡安全從本質(zhì)上講就是網(wǎng)絡上信息的安全，指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中數(shù)據(jù)的安全。 本文的主要工作 本文從分析現(xiàn)有網(wǎng)絡中存在的安全說起，指出了現(xiàn)有的網(wǎng)絡所面臨的安全威脅，主要介紹了基于特征 （ signaturebased） 的網(wǎng)絡入侵檢測技術，闡述了由入侵檢測理論所構(gòu)建的入侵檢測平臺，監(jiān)測并分析網(wǎng)絡、用戶和系統(tǒng)的活動，識別已知的攻擊行為，統(tǒng)計分析異常行為。入侵檢測被認為是防火墻之后的第二道 安全 閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)聽，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護 ,大大提高了網(wǎng)絡的 安全 性。由于性能的限制，防火墻通常不能提供實時的入侵檢測能力，對于企業(yè)內(nèi)部人員所做的攻擊，防火墻形同虛設。 Rulematching 目 錄 論文總頁數(shù)： 26頁 1 引 言 ................................................................. 5 背景 ............................................................. 5 國內(nèi)外研究現(xiàn)狀 .................................................... 5 本文的主要工作 .................................................... 5 2 理論基礎 ............................................................... 5 入侵基本概念 ..................................................... 6 安全與入侵的概念 ............................................ 6 入侵的步驟 .................................................. 6 黑客攻擊的方法 .............................................. 7 安全威脅的根源 ............................................. 10 入侵檢測技術 .................................................... 10 入侵檢測的概念 ............................................. 10 入侵檢測系統(tǒng)的基本結(jié)構(gòu)構(gòu)成 ................................. 11 入侵檢測的分類 ............................................. 12 入侵檢測方法 ............................................... 13 BM算法 .......................................................... 15 3 系統(tǒng)總體設計 .......................................................... 17 系統(tǒng)概述 ........................................................ 17 系統(tǒng)總體結(jié)構(gòu)框架 ................................................. 17 開發(fā)環(huán)境 ........................................................ 18 4 響應模塊設計實現(xiàn) ...................................................... 18 規(guī)則庫設計實現(xiàn) ................................................... 18 事件分析設計與實現(xiàn) ............................................... 21 規(guī)則解析 ................................................... 21 規(guī)則匹配流程 ............................................... 22 輸出模塊的設計 ................................................... 23 響應輸出流程 ............................................... 23 日志數(shù)據(jù)庫設計 ............................................. 24 模塊集成實現(xiàn) .................................................... 24 5 系統(tǒng)測試和分析 ........................................................ 25 攻擊檢測測試 .................................................... 25 測試目的 ................................................... 25 測試過程 ................................................... 25 測試結(jié)果分析 ............................................... 26 誤報和漏報測試 ................................................... 27 測試目的 ................................................... 27 測試過程 ................................................... 27 測試結(jié)果分析 ............................................... 27 結(jié) 論 .................................................................. 28 參考文獻 .................................................................. 28 致 謝 .................................................................. 29 聲 明 .............................................................