【正文】 管ＩＤＳ經(jīng)歷了２０多年的發(fā)展，近幾年又成為網(wǎng)絡(luò)與信息安全領(lǐng)域的一個(gè)研究熱點(diǎn)，但到目前為止，尚沒有一個(gè)相關(guān)的國(guó)際標(biāo)準(zhǔn)出現(xiàn)，國(guó)內(nèi)也沒有ＩＤＳ方面的標(biāo)準(zhǔn)。應(yīng)該考慮不同廠家的ＩＤＳ之間，ＩＤＳ和防火墻之間，ＩＤＳ與響應(yīng)部件之間的互動(dòng)。因此，對(duì)于安全部件之間的互動(dòng)協(xié)議和接口標(biāo)準(zhǔn)的研究，也會(huì)是對(duì)ＩＤＳ研究的一個(gè)重要方向。對(duì)于ＤＤｏＳ的研究已成為攻擊研究的熱點(diǎn)。因此，防范ＤｏＳ并不是一件容易的事情。 近年來出現(xiàn)的拒絕服務(wù)攻擊（ＤｏＳ：Ｄｅｎｉａｌ ｏｆ Ｓｅｒｖｉｃｅ）對(duì)網(wǎng)絡(luò)安全和信息的可用性造成了巨大的威脅。此類攻擊的單機(jī)信息模式與正常通信幾乎沒有差異，通常的檢測(cè)方法無法及時(shí)檢測(cè)出來，因此分布式攻擊更加隱蔽，更難被發(fā)現(xiàn)。入侵檢測(cè)技術(shù)的發(fā)展 使得這種一對(duì)一的攻擊方法越來越難以奏效?，F(xiàn)在網(wǎng)絡(luò)的規(guī)模越來越大，網(wǎng)絡(luò)的速度也在不斷提高，因此ＩＤＳ產(chǎn)品必須要能夠適應(yīng)大規(guī)模高速網(wǎng)絡(luò)的要求，否則就會(huì)出現(xiàn)大量的漏報(bào)現(xiàn)象。但這些方法基本上還都處于研究階段。異常檢測(cè)是對(duì)正常行為建模，所有不符合這個(gè)模型的事件就被懷疑為攻擊。出現(xiàn)這種情況的主要原因在于對(duì)ＩＤＳ的研究還不夠深入，技術(shù) 上不夠成熟。其次，由于網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，系統(tǒng)遭受的入侵和攻擊越來越多，人們迫切需要一種可以有效防范和應(yīng)對(duì)這些入侵的安全策略和產(chǎn)品。； （ 5） 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)對(duì)加密的數(shù)據(jù)流及交換網(wǎng)絡(luò)下的數(shù)據(jù)流不能進(jìn)行檢測(cè) , 并且其本身構(gòu)建易受攻擊； （ 6） 對(duì)分布式攻擊和拒絕服務(wù)攻擊的檢測(cè)和 防范能力較弱； （ 7） 尚不能與其他安全部件很好地互動(dòng)； （ 8） 缺乏國(guó)際、國(guó)內(nèi)標(biāo)準(zhǔn)； （ 9） 對(duì)ＩＤＳ產(chǎn)品的測(cè)試評(píng)估缺乏統(tǒng)一的標(biāo)準(zhǔn)和平臺(tái)?？傊?，下一代入侵檢測(cè)報(bào)警數(shù)據(jù)處理技術(shù)要求在實(shí)時(shí)性、擴(kuò)展性、安全性、適用性及有效性等方面有所提高，并與其他軟件，形成入侵檢測(cè)、網(wǎng)絡(luò)管理、 監(jiān)控三位一體的防護(hù)體系，這樣才能更有效地完成網(wǎng)絡(luò)安全防護(hù)的工作。態(tài)勢(shì)評(píng)估的結(jié)果 給網(wǎng)絡(luò)安全管理人員提供更客觀的信息，使管理員對(duì)當(dāng)前的網(wǎng)絡(luò)有一個(gè)真實(shí)的認(rèn)識(shí)，以便于采取相應(yīng)的措施。傳統(tǒng)的入侵檢測(cè)報(bào)警數(shù)據(jù)處理技術(shù)只是對(duì)報(bào)警進(jìn)行融合，關(guān)聯(lián)，缺乏可視化研究。為克服現(xiàn)有系統(tǒng)的缺陷，數(shù)據(jù)挖掘、智能體等各種智能化方法廣泛應(yīng)用到入侵檢測(cè)報(bào)警數(shù)據(jù)處理技術(shù)研究中。 目前，入侵檢測(cè)報(bào)警數(shù)據(jù)處理技術(shù)的研究取得了長(zhǎng)足的進(jìn)展，但在入侵檢測(cè)報(bào)警數(shù)據(jù)數(shù)量的體系結(jié)構(gòu)、方法和測(cè)評(píng)方面均存在尚未解決的問題。 3．已有的報(bào)警融合關(guān)聯(lián)算法普遍依賴領(lǐng)域知識(shí)庫(kù)融合算法需要融合規(guī)則庫(kù)，關(guān)聯(lián)算法實(shí)際應(yīng)用中一般采用強(qiáng)依賴算法。報(bào)警數(shù)據(jù)處理任務(wù)復(fù)雜，從層次上分為報(bào)警融合和報(bào)警關(guān)聯(lián)的兩個(gè)部分，并進(jìn)一步細(xì)分為若干子問題，不同的層次設(shè)定不同的任務(wù)和目標(biāo)，簡(jiǎn)化處理。依此，黑客就可以知道網(wǎng)上的由用戶加上支離的不安全（未授權(quán)）設(shè)備，然后自用這些設(shè)備訪問網(wǎng)絡(luò)。 一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。每個(gè)在系統(tǒng)上執(zhí)行的程序由一到多個(gè)進(jìn)程來實(shí)現(xiàn)。 目錄和文件中的不期望的改變 網(wǎng)絡(luò)不幸中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人下在入侵或已成功入侵了系統(tǒng)。例如，可以在每一天的某個(gè)特定時(shí)間內(nèi)開啟完 整性分析模塊，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面地掃描檢查。完整性分析利用強(qiáng)有力的加密機(jī)制，稱為消息摘要函數(shù)（例如 MD5），它能識(shí)別哪怕是微小的變化。例如，本來都默認(rèn)用 GUEST帳號(hào)登錄的，突然用 ADMINI 帳號(hào)登錄。但是，該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法，不能檢測(cè)到從未出現(xiàn)過的黑客攻擊手段。該過程可以很簡(jiǎn)單 （如通過字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化）。有的入侵行為很容易映射，如 ARP 欺騙，但有的入侵行為是很難映射的，如從網(wǎng)絡(luò)上下 載病毒。 分析策略是入侵分析的核心，系統(tǒng)檢測(cè)能力很大程度上取決于分析策略。黑客對(duì)系統(tǒng)的修改可能使系統(tǒng)功能失常并看起來跟正常的一樣，而實(shí)際上不是。 畢業(yè)設(shè)計(jì)（論文）專用紙 第 頁(yè) 17 第 4 章 入侵檢測(cè)技術(shù)的信息收集和分析 入侵檢測(cè)技術(shù)信息的收集 入侵檢測(cè)技術(shù)需要收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為的信息。另外，假如沒有擊鍵語義分析，用戶使用別名命令很容易欺騙這種檢測(cè)技術(shù)。 基于條件概率的誤用入侵檢測(cè)方法是在概率理論基礎(chǔ)上的一個(gè)普遍方法。 分析時(shí)首先針對(duì)每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件，即導(dǎo)致系統(tǒng)進(jìn)人被入侵狀態(tài)必須執(zhí)行的操作 (特征事件 )；然后用狀態(tài) 轉(zhuǎn)換 畢業(yè)設(shè)計(jì)（論文）專用紙 第 頁(yè) 16 圖來表示每一個(gè)狀態(tài)和特征事件，這些事件被集成于模型中，所以檢測(cè)時(shí)不需要一個(gè)個(gè)地查找審計(jì)記錄。另外，這種檢測(cè)方法減少了需要處理的數(shù)據(jù)量。基于模型推理的誤用檢測(cè)方法工作過程如下： （ 1） 根據(jù)攻擊知識(shí)建立攻擊腳本庫(kù)，每一腳本都由一系列攻擊行為組成； （ 2） 用這些攻擊腳本的子集來匹配當(dāng) 前行為模式，發(fā)現(xiàn)系統(tǒng)正面臨的可能攻擊； （ 3） 將當(dāng)前行為模式輸入預(yù)測(cè)器模塊，產(chǎn)生下一個(gè)需要驗(yàn)證的攻擊腳本子集，并將它傳給決策器； （ 4） 決策器根據(jù)這些假設(shè)的攻擊行為在審討記錄中的可能出現(xiàn)方式，將它們轉(zhuǎn)換成與特定系統(tǒng)匹配的審計(jì)記錄格式，然后在審計(jì)記錄中尋找相應(yīng)信息來判斷這些行為模式是否為攻擊行為。這樣大大提高了檢測(cè)效率。條件部分，即 if 后的規(guī)則化描述，可根據(jù)審計(jì)事件得到，然后根據(jù)規(guī)則和行為進(jìn)行判斷，執(zhí)行 then 后的動(dòng)作。 基于專家系統(tǒng)的誤用入侵檢測(cè) 專家系統(tǒng)是基于知識(shí)的檢測(cè)中運(yùn)用最多的一種方法。 誤用檢測(cè)技 術(shù) 又稱為基于知識(shí)的檢測(cè)。例如 ,ISS 公司為了建立比較完備的專家系統(tǒng) ,一方面與地下組織建立良好關(guān)系 ,并成立由許多工作人員與專家組成的XForce 組織來進(jìn)行這一工作。專家系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性 ,知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。所謂軟計(jì)算的方法包含了神經(jīng)網(wǎng)絡(luò)、遺傳算法與模糊技術(shù)。 入侵檢測(cè)的統(tǒng)計(jì)分析首先計(jì)算用戶會(huì)話過程的統(tǒng)計(jì)參數(shù) ,再進(jìn)行與閾值比較處理與加權(quán)處理 ,最終通過計(jì)算其 可疑 概率分析其為入侵事件的可能性。 方差 :計(jì)算參數(shù)的方差 ,設(shè)定其置信區(qū)間 ,當(dāng)測(cè)量值超 過置信區(qū)間的范圍時(shí)表明有可能是異常。 同時(shí)，由于防火墻處于網(wǎng)關(guān)的位置，不可能對(duì)進(jìn)出攻擊作太多判斷，否則會(huì)嚴(yán)重影響網(wǎng)絡(luò)性能。 入侵檢測(cè)的作用 防火墻是 Inter 網(wǎng)絡(luò)上最有效的安全保護(hù)屏障，防火墻在網(wǎng)絡(luò)安全中起到大門警衛(wèi)的作用，對(duì)進(jìn)出的數(shù)據(jù)依照預(yù)先設(shè)定的規(guī)則進(jìn)行匹配，符合規(guī)則的就予以放行，起到訪問控制的作用，是 網(wǎng)絡(luò)安全的第一道閘門。 事件提取功能負(fù)責(zé)提取與被保護(hù)系統(tǒng)相關(guān)的運(yùn)行數(shù)據(jù)或記錄，并負(fù)責(zé)對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單的過濾。代理負(fù) 責(zé)對(duì)某一主機(jī)的活動(dòng)進(jìn)行監(jiān)視，如收集主機(jī)運(yùn)行時(shí)的審計(jì)數(shù)據(jù)和操作系統(tǒng)的數(shù)據(jù)信息，然后將這些數(shù)據(jù)傳送到中央監(jiān)視器。隨著網(wǎng)絡(luò)系統(tǒng)的復(fù)雜化和大型化，系統(tǒng)弱點(diǎn)趨于分布式，而且攻擊行為也表現(xiàn)為相互協(xié)作式特點(diǎn)，所以不同的 IDS之間需要共享信息，協(xié)同檢測(cè)。它的攻擊識(shí)別模塊進(jìn)行攻擊簽名識(shí)別系統(tǒng)審計(jì) 比較 攻擊特征庫(kù) 是否匹配 正常行為 入侵行為 N Y 畢業(yè)設(shè)計(jì)（論文）專用紙 第 頁(yè) 11 的方法有：模式、表達(dá)式或字節(jié)碼匹配；頻率或閾值比較；次要事件的相關(guān)性處理；統(tǒng)計(jì)異常檢測(cè)?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)對(duì)系統(tǒng)內(nèi)在的結(jié)構(gòu)卻沒有任何約束，同時(shí)可以利用操作系統(tǒng)本身提供的功能，并結(jié)合異常檢測(cè)分析，更能準(zhǔn)確的 報(bào)告攻擊行為。 基于主機(jī)的入侵檢測(cè)系統(tǒng) 基于主機(jī)的入侵檢測(cè)系統(tǒng)通常以系統(tǒng)日志、應(yīng)用程序日志等審計(jì)記錄文件作為數(shù)據(jù)源。這種檢測(cè)模型誤報(bào)率低、漏報(bào)率高。 異常檢測(cè)的模型如圖 21 所示。首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），用戶輪廓是指各種行為參數(shù)及其閾值的集合。 數(shù)據(jù)分析 對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)運(yùn)行、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等數(shù)據(jù)通過三種技術(shù)手段進(jìn)行分析：模塊匹配、統(tǒng)計(jì)分析和完整性分析。 數(shù)據(jù)收集 入侵檢測(cè)的第一步是數(shù)據(jù)收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)運(yùn)行、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為，而且，需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集數(shù)據(jù)。 畢業(yè)設(shè)計(jì)（論文）專用紙 第 頁(yè) 8 第 2 章 入侵檢測(cè)技術(shù)的原理及應(yīng)用 入侵檢測(cè)是指通過對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖。 智能化的全面檢測(cè) 全面的安全防御方案結(jié)合安全工程風(fēng)險(xiǎn)管理的思想與方法來處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全作為一個(gè)整體工程來處理。 應(yīng)用層的入侵檢測(cè)保護(hù) 應(yīng)用層入侵檢測(cè)許多入侵的語義只有在應(yīng)用層才能理解，然而目前的 IDS 僅能檢測(cè)到諸如 Web 之類的通用協(xié)議，而不能處理 Lotus Notes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。而入侵檢測(cè)正是根據(jù)網(wǎng)絡(luò)攻擊行為而進(jìn)行設(shè)計(jì)的，它不僅能夠發(fā)現(xiàn)已知入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過學(xué)習(xí)和分析入侵手段，及時(shí)地調(diào)整系 統(tǒng)策略以加強(qiáng)系統(tǒng)的安全性。以該技術(shù)為核心，可構(gòu)造一個(gè)積極的動(dòng)態(tài)防御體系，即 IMS—— 入侵管理系統(tǒng)。 第二階段是以基于模式匹配 +簡(jiǎn)單協(xié)議分析 +異常統(tǒng)計(jì)為主的技術(shù)，其優(yōu)點(diǎn)是能夠分析處理一部分協(xié)議，可以進(jìn)行重組；缺點(diǎn)是匹配效率較低，管理功能較弱。盡管用戶希望通過部署 IDS 來增強(qiáng)網(wǎng)絡(luò)安全，但不同的用戶需求也不同。這一年，加州大學(xué)戴維斯分校 畢業(yè)設(shè)計(jì)（論文）專用紙 第 頁(yè) 5 的 等開發(fā)出了 NSM(Network Security Monitor)。 該模型獨(dú)立于特定的系統(tǒng)平臺(tái)、應(yīng)用環(huán)境、系統(tǒng)弱點(diǎn)以及入侵類型，為構(gòu)建入侵系統(tǒng)提供了一個(gè)通用的框架。 入侵檢測(cè)的歷史 1980 年 4 月， 為美 國(guó)空軍做了一份題為“ Computer Security ThreatMonitoring and Sureillance”（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）的技術(shù)報(bào)告，第一次詳細(xì)的闡述了入侵檢測(cè)的概念。它能在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽，可以識(shí)別入侵者、識(shí)別入侵行為、檢測(cè)和監(jiān)視已經(jīng)成功的入侵 ，并進(jìn)行入侵響應(yīng)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。但是，傳統(tǒng)的身份認(rèn)證技術(shù) j 包括 Kerberos 技術(shù) ，并不能抵制脆弱性的口令，字典攻擊、特洛伊木馬、網(wǎng)絡(luò)窺探工具以及電磁輻射等攻擊手段。對(duì)入侵攻擊的檢測(cè)與防范、保障計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。甚至連專門從事網(wǎng)絡(luò)安全的 RSA 網(wǎng)站也受到黑客的攻擊。 畢業(yè)設(shè)計(jì)（論文）專用紙 第 頁(yè) 3 第 1 章 緒論 論文研究的背景 隨著 Intemet 的發(fā)展，社會(huì)對(duì)網(wǎng)絡(luò)信 息和網(wǎng)絡(luò)應(yīng)用系統(tǒng)的需求和依賴日益增強(qiáng)，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正在成為一個(gè)國(guó)家極為關(guān)鍵的政治、經(jīng)濟(jì)、軍事和文教資源，同時(shí)，它也正在成為一個(gè)國(guó)家實(shí)力的新的象征和社會(huì)發(fā)展的重要保證。對(duì)于游戲機(jī)始終是龍頭的索尼公司，這一泄漏機(jī)密信息事件將嚴(yán)重挫傷該公司。 當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時(shí)，其他的安全問題又出現(xiàn)了。系統(tǒng)的 BUG 經(jīng)常被黑客利用，而且這種攻擊通常不會(huì)產(chǎn)生日志，幾乎無據(jù)可查。曾經(jīng)作為最主要安全防范手段的防火墻，已經(jīng)不能滿足人們對(duì)網(wǎng)絡(luò)安全的需求。但在連結(jié)信息能 力、流通能力提高的同時(shí)，基于網(wǎng)絡(luò)連接的安全問題也日益突出。在網(wǎng)絡(luò)環(huán)境下不但攻擊手段層出不窮，而且操作系統(tǒng)、安全系統(tǒng)也可能存在諸多未知的漏洞，這就需要引入主動(dòng)防御技術(shù)對(duì)系統(tǒng)安全加以補(bǔ)充，目前主動(dòng)防御技術(shù)主要就是入侵檢測(cè)技術(shù)。從網(wǎng)絡(luò)安全角度來看，防火墻等防護(hù)技術(shù)只是被動(dòng)安全防御技術(shù)，只是盡量阻止 攻擊或延緩攻擊，只會(huì)依照特，定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。在信息處理能力提高的同時(shí)，系統(tǒng)的連結(jié)能力也在不斷的提高。網(wǎng)絡(luò)安全問題已成為世界各國(guó)政府、企業(yè)及廣大網(wǎng)絡(luò)用戶最關(guān)心的問題之一。每天都有新的 BUG 被發(fā)現(xiàn)和公布出來，程序設(shè)計(jì)者在修改已知的 BUG 的同時(shí)又可能使它產(chǎn)生了新的 BUG。然而安全工具的更新速度太慢，絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對(duì)新出現(xiàn)的安全問題總是反應(yīng)太慢。 7700 萬在線游戲用戶的資料被盜，其中包括姓名、出生日期，信用卡號(hào)等重要信息。而入侵檢測(cè)正是根據(jù)網(wǎng)絡(luò)攻擊行為而進(jìn)行設(shè)計(jì)的，它不僅能夠發(fā)現(xiàn)已知入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過學(xué)習(xí)和分析入侵手段，及時(shí)地調(diào)整系統(tǒng)策略以加強(qiáng)系統(tǒng)的安全性。世界著名的商業(yè)網(wǎng)站，如 Yahoo、 Buy、 EBay、 Amazon、 CNN 都曾被黑客入侵，造成巨大的經(jīng)濟(jì)損失。這些攻擊輕則造成一些麻煩和經(jīng)濟(jì)上的損失，重則嚴(yán)重地威脅到國(guó)家政治經(jīng)濟(jì)環(huán)境的穩(wěn)定和國(guó)防安全。無論是安全模型，還是系統(tǒng)安全等級(jí)評(píng)估標(biāo)準(zhǔn)，人們主要是從身份認(rèn)證和訪問控制這兩個(gè)方面來保證系統(tǒng)的安全性。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，被認(rèn)為是防火墻之后的第一道安全閘門。 入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。 1984