【正文】 利用Petri網的有利之處在于它能一般化、圖形化地表達狀態(tài)，并且簡潔明了。另外，這種檢測方法也減少了需要處理的數(shù)據量，因為它首先按腳本類型檢測相應類型是否出現(xiàn)，然后再檢測具體的事件。根據這些知識建立攻擊腳本庫，每一腳本都由一系列攻擊行為組成。因為這些缺陷，專家系統(tǒng)一般不用于商業(yè)產品中，運用較多的是特征分析。主要缺陷在于與具體系統(tǒng)依賴性太強，不但系統(tǒng)移植性不好，維護工作量大，而且將具體入侵手段抽象成知識也很困難。基于神經網絡的檢測思想可用下圖表示：圖4－2 神經網絡檢測思想圖中輸入層的W個箭頭代表了用戶最近的W個命令，輸出層預測用戶將要發(fā)生的下一個動作。但也有一些不足之處，如：統(tǒng)計檢測對事件發(fā)生的次序不敏感，也就是說，完全依靠統(tǒng)計理論可能漏檢那些利用彼此關聯(lián)事件的入侵行為?！　∵@些變量所記錄的具體操作包括：CPU 的使用，I/O 的使用，使用地點及時間，郵件使用，編輯器使用，編譯器使用，所創(chuàng)建、刪除、訪問或改變的目錄及文件，網絡上活動等。但因為不可能對整個系統(tǒng)內的所有用戶行為進行全面的描述，況且每個用戶的行為是經常改變的，所以它的主要缺陷在于誤檢率很高。許多黑客用來收集用戶ID和密碼的嗅探器程序就是拉結構。如果檢測器對每一個檢測到的事件都產生一個數(shù)據包，并且檢測器是可以觀測到的，那么很容易判斷出檢測器是如何配置的。按時間設置以分析為依據設置原始數(shù)據應該保存的時間，而按存儲容量是以保證檢索性能為前提來配置系統(tǒng)。 原始數(shù)據數(shù)據庫：原始數(shù)據數(shù)據庫中存儲了近一段時間的高保真數(shù)據，這些數(shù)據包括源IP地址、目標IP地址、原始數(shù)據、欺騙包的特征、新的攻擊特征、最后一次見到的時間等。可以通過用戶設定一個實時性要求參數(shù)、根據需要載入數(shù)據庫的原始數(shù)據的速度來自動調節(jié)每次提交的數(shù)量。主要原因是在數(shù)據載入數(shù)據庫后，要在正把該數(shù)據寫到數(shù)據庫的物理存儲中，就必須調用提交命令(mit)。現(xiàn)有的數(shù)據庫系統(tǒng)都支持SQL查詢，它對搜索的封裝使得分析系統(tǒng)可以使用通用的接口。因為主機網絡接口檢測器監(jiān)測的是一個主機上的通信，而不是網絡中的所有通信。2. 加密數(shù)據。他檢測本地主機的網絡通信情況，將基于網絡的入侵檢測技術應用于主機上，由于它只檢測和分析與本地主機相關的通信，所以檢測的代價比較小。如果WEB服務的主頁文件被更改，幾乎可以肯定發(fā)生了攻擊。主機代理分為日志分析、文件檢測、主機網絡接口檢測、用戶行為監(jiān)測及管理模塊和安全通信。每個在系統(tǒng)上執(zhí)行的程序由一到多個進程來實現(xiàn)。日志中包含發(fā)生在系統(tǒng)和網絡上的不尋常和不期望活動的證據，這些證據可以指出有人正在入侵或己成功入侵了系統(tǒng)。引擎管理：代理管理部分負責網絡引擎中各部分的協(xié)調和配置。使用了快速的模式匹配算法，所有的攻擊方法被表示為模式信號存放在入侵特征數(shù)據庫中，當前的數(shù)據如果和數(shù)據庫中某種特征匹配，就指出這是這種入侵行為。一個數(shù)據分析函數(shù)一般可以檢查一種協(xié)議的一類型入侵，這樣可以方便的進行配置。樹的結點數(shù)據結構中應包含以下信息：該協(xié)議的特征、協(xié)議名稱、協(xié)議代號，下級協(xié)議代號，協(xié)議對應的數(shù)據分析函數(shù)鏈表。數(shù)據包監(jiān)聽設備驅動程序支持BPF過濾機制，可以靈活地設置過濾規(guī)則。由于效率的需要，有時要根據設置過濾網絡上的一些數(shù)據包，如特定IP，特定MAC地址、特定協(xié)議的數(shù)據包。因此系統(tǒng)跳過的15到24字節(jié)直接讀取第四層協(xié)議標識：06，這個數(shù)據包是TCP協(xié)議?？墒蔷W絡通信協(xié)議是一個高度格式化的、具有明確含義和取值的數(shù)據流，如果將協(xié)議分析和模式匹配方法結合起來，可以獲得更好的效率、更精確的結果。AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456為監(jiān)聽到的網絡數(shù)據包，對于攻擊模式“GET /cgibin/./phf”，首先從數(shù)據包頭部開始比較：GET /cgibin/./phfAF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456比較不成功，移動一個字節(jié)重新比較/cgibin/./phfAF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456還是不成功，再移動一次:GET /cgibin/./phfAF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456重復比較，沒有一次匹配成功。 檢測匹配方法的改進模式匹配是第一代和第二代入侵檢測系統(tǒng)所使用的基于攻擊特征的網絡數(shù)據包分析技術。缺點：必須與其他廠商緊密合作，且會降低網絡性能。對于交換式以太網交換機，問題則會變得復雜。許多入侵檢測系統(tǒng)都可以在不同位置支持機構，這些檢測器可能在：l 與你有直接聯(lián)系的合伙人和經常在防火墻內的供應商處；l 高價值的地方，比如研究或會計網絡；l 有大量不穩(wěn)定雇員（例如顧問或臨時職員）的地方；l 已被外部人員當作目標的子網或是已有跡象顯示有入侵和其他非法活動的子網。3. 防火墻內外都有檢測器 “越多越好”、“各有優(yōu)勢”你可能聽過這類口號。這種安排使檢測器可以看見所有來自Internet 的攻擊，然而如果攻擊類型是TCP攻擊，而防火墻或過濾路由器能封鎖這種攻擊，那么入侵檢測系統(tǒng)可能就檢測不到這種攻擊的發(fā)生。 系統(tǒng)部署對于一個小型的網絡，一般把分析系統(tǒng)、存儲系統(tǒng)和控制臺安裝在同一個計算機上，這既是從系統(tǒng)成本上考慮，也可以增加整個系統(tǒng)的反應速度。分析系統(tǒng)是整個入侵檢測系統(tǒng)的大腦，分析方法則是該系統(tǒng)的思維能力。但他們也具有數(shù)據分析功能，對于已知的攻擊，在這些部件中所用模式匹配的方法來檢測可以大大提高系統(tǒng)的處理速度，也可以減少分析部件的工作量及系統(tǒng)網絡傳輸?shù)挠绊?。系統(tǒng)中的部件(Component)是具有特定功能的獨立的應用程序、小型的系統(tǒng)或者僅僅是一個非獨立的應用程序的功能模塊。適應性要求：入侵檢測系統(tǒng)必須能夠適用于多種不同的環(huán)境，比如高速大容量計算機網絡環(huán)境，并且在系統(tǒng)環(huán)境發(fā)生改變，比如增加環(huán)境中的計算機系統(tǒng)數(shù)量，改變計算機系統(tǒng)類型時，入侵檢測系統(tǒng)應當依然能夠不作改變正常工作。比如，一個網絡中每兩個小時自動運行一次漏洞掃描程序，如果他們不能夠互操作，入侵檢測系統(tǒng)將每兩個小時產生一次警報。但現(xiàn)在很多入侵檢測系統(tǒng)沒有提供了某種如“推技術”的方法來時刻更新攻擊特征。且常用日志來簡單的指代事件數(shù)據庫。 CIDF模型Common Intrusion Detection Framework (CIDF)闡述了一個入侵檢測系統(tǒng)（IDS）的通用模型。根據假設的攻擊腳本，這種系統(tǒng)就能檢測出非法的用戶行為。3．基于專家系統(tǒng)的攻擊檢測技術進行安全檢測工作自動化的另外一個值得重視的研究方向就是基于專家系統(tǒng)的攻擊檢測技術，即根據安全專家對可疑行為的分析經驗來形成一套推理規(guī)則，然后再在此基礎之上構成相應的專家系統(tǒng)。系統(tǒng)應具備處理自適應的用戶參數(shù)的能力。對于基于模式匹配的檢測技術來說，首先要定義違背安全策略的事件的特征，如網絡數(shù)據包的某些頭信息。而基于主機的系統(tǒng)無法看到負載，因此也無法識別嵌入式的負載攻擊。與之相比，基于主機的系統(tǒng)必須在特定的、沒有遭到破壞的操作系統(tǒng)中才能正常工作，生成有用的結果。l 較少的監(jiān)測器 由于使用一個監(jiān)測器就可以保護一個共享的網段，所以你不需要很多的監(jiān)測器。 基于網絡的IDS有許多僅靠基于主機的入侵檢測法無法提供的功能。某些加密方式也向基于網絡的入侵檢測發(fā)出了挑戰(zhàn)。這些使得基于主機的系統(tǒng)效率很高。基于主機的IDS還可審計能影響系統(tǒng)記錄的校驗措施的改變。配置一個入侵監(jiān)測系統(tǒng)要花費$10,000以上，而基于主機的入侵檢測系統(tǒng)對于單獨－代理標價僅幾百美元，并且客戶只需很少的費用用于最初的安裝?；谥鳈C的IDS在發(fā)展過程中融入了其它技術。1．基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測出現(xiàn)在80年代初期，那時網絡還沒有今天這樣普遍、復雜，且網絡之間也沒有完全連通。但迄今為止，軟件工程技術還沒有達到A2級所要求的形式生成或證明一個系統(tǒng)的安全體系的程度，所以不可能百分之百地保證任何一個系統(tǒng)（尤其是底層系統(tǒng)）中不存在安全漏洞。防火墻的安全策略無法進行集中管理。其次，防火墻策略對于防范黑客有其明顯的局限性[4]。但是隨著網絡的深入發(fā)展，這個標準已經不能完全適應當前的技術需要，因為這個主要基于HostTerminal環(huán)境的靜態(tài)安全模型和標準無法完全反應分布式、動態(tài)變化、發(fā)展迅速的Internet安全問題。換句話說，系統(tǒng)性能的提高，用戶雖然摸不到，但卻是可以看到的。 其中ISS公司的RealSecured的智能攻擊識別技術是當前IDS系統(tǒng)中最為先進的。從網絡安全立體縱深、多層次防御的角度出發(fā)，入侵檢測理應受到人們的高度重視，這從國外入侵檢測產品市場的蓬勃發(fā)展就可以看出。作者簽名： 日期： 年 月 日學位論文版權使用授權書本學位論文作者完全了解學校有關保留、使用學位論文的規(guī)定，同意學校保留并向國家有關部門或機構送交論文的復印件和電子版，允許論文被查閱和借閱。 pattern match畢業(yè)設計（論文）原創(chuàng)性聲明和使用授權說明原創(chuàng)性聲明本人鄭重承諾：所呈交的畢業(yè)設計（論文），是我個人在指導教師的指導下進行的研究工作及取得的成果。入侵檢測技術是繼“防火墻”、“數(shù)據加密”等傳統(tǒng)安全保護措施后新一代的安全保障技術。同時改進了匹配算法，使得網絡引擎具有更好的實時性能。除了文中特別加以標注引用的內容外，本論文不包含任何其他個人或集體已經發(fā)表或撰寫的成果作品。PDR2表示Protection、Detection、Recovery和Response，即保護、檢測、恢復和響應。我們的目標是設計一個分布式的入侵檢測系統(tǒng)，它具有可擴展性、跨平臺性、安全性和開放性，并實現(xiàn)了其中的網絡引擎部分。信息安全是一種很難量化的概念，我們可以把信息系統(tǒng)的“性能”與“安全”做一個簡單的對比。實際上，安全就是防范潛在的危機。這樣的檢測機制對保證大壩的安全至關重要。而據權威部門統(tǒng)計結果表明，網絡上的安全攻擊事件有70%以上來自內部攻擊。.防火墻只實現(xiàn)了粗粒度的訪問控制。 入侵檢測系統(tǒng)入侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據的完整性、識別攻擊行為、對異常行為進行統(tǒng)計、自動地收集和系統(tǒng)相關的補丁、進行審計跟蹤識別違反安全法規(guī)的行為、使用誘騙服務器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。通常，基于主機的IDS可監(jiān)測系統(tǒng)、事件和Window NT下的安全記錄以及UNIX環(huán)境下的系統(tǒng)記錄。盡管基于主機的入侵檢查系統(tǒng)不如基于網絡的入侵檢查系統(tǒng)快捷，但它確實具有基于網絡的系統(tǒng)無法比擬的優(yōu)點?；谥鳈C技術還可監(jiān)視通常只有管理員才能實施的非正常行為。l 易于用戶剪裁 每一個主機有其自己的代理，當然用戶剪裁更方便了。所以從覆蓋足夠大的網絡范圍的角度出發(fā)，很難確定配置基于網絡的IDS的最佳位置?；诰W絡的IDS通常利用一個運行在隨機模式下網絡的適配器來實時監(jiān)視并分析通過網絡的所有通信業(yè)務?；诰W絡的監(jiān)視器不運行其他的應用程序，不提供網絡服務，可以不響應其他計算機。被捕獲的數(shù)據不僅包括的攻擊的方法，而且還包括可識別黑客身份和對其進行起訴的信息?；诰W絡的入侵檢測系統(tǒng)通過檢查所有的數(shù)據包的包頭（header）來進行檢測，而基于主機的入侵檢測系統(tǒng)并不查看包首標。相信未來的集成化的入侵檢測產品不僅功能更加強大，而且部署和使用上也更加靈活方便。按照所使用的分析方法，可以分為以下幾種入侵檢測系統(tǒng)：1． 基于審計的攻擊檢測基于審計信息的攻擊檢測工具以及自動分析工具可以向系統(tǒng)安全管理員報告計算機系統(tǒng)活動的評估報告，通常是脫機的、滯后的。錯發(fā)的警報往往來自于對審計數(shù)據的統(tǒng)計算法所基于的不準確或不貼切的假設。實現(xiàn)一個基于規(guī)則的專家系統(tǒng)是一個知識工程問題，而且其功能應當能夠隨著經驗的積累而利用其自學習能力進行規(guī)則的擴充和修正。對于已知得攻擊，它可以詳細、準確的報告報告出攻擊類型，但是對未知攻擊卻效果有限，而且入侵模式庫必須不斷更新。響應單元則是對分析結果作出作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應,甚至發(fā)動對攻擊者的反擊，也可以只是簡單的報警?，F(xiàn)有的入侵檢測系統(tǒng)在10M網上檢查所有數(shù)據包中的幾十種攻擊特征時可以很好地工作。不同的入侵檢測系統(tǒng)之間不能互操作：在大型網絡中，網絡不同的部分可能使用了不同的入侵檢測系統(tǒng)，但現(xiàn)在的入侵檢測系統(tǒng)之間不能能夠交換信息，使得發(fā)現(xiàn)了攻擊時難以找到攻擊的源頭，甚至給入侵者制造了攻擊的漏洞。所以必須建立一種機制，把入侵檢測系統(tǒng)的體系結構與使用策略區(qū)分開。有效性要求：能夠證明根據某一設計所建立的入侵檢測系統(tǒng)是切實有效的。 網絡引擎和主機代理屬于CIDF中的事件產生器（Event generators）。 分析系統(tǒng)是對事件發(fā)生器捕獲的原始信息、其他入侵檢測系統(tǒng)提供的可疑信息進行統(tǒng)一分析和和處理的系統(tǒng)。也可以采取主動的反擊策略，對攻擊者進行如DOS攻擊等，但這種以毒攻毒的方法在法律上是不許可的。一般說來檢測器放在防火墻附近比較好。如果本應該被防火墻封鎖的攻擊滲透近來，檢測器在防火墻內檢測到或就能發(fā)現(xiàn)防火墻的設置失誤。l 你可以檢測到由于設置有問題而無法通過防火墻的內部系統(tǒng)，這可以幫助系統(tǒng)管理員。TCP是雙向協(xié)議，分析員必須確保計策器能從對話雙方接收信息。缺點：采用此端口會降低交換機性能。第三章 網絡引擎和主機代理 網絡引擎的設計網絡引擎通過分析網絡上傳輸?shù)臄?shù)據包，得到可能入侵的信