【正文】 利用Petri網(wǎng)的有利之處在于它能一般化、圖形化地表達狀態(tài)，并且簡潔明了。另外，這種檢測方法也減少了需要處理的數(shù)據(jù)量，因為它首先按腳本類型檢測相應(yīng)類型是否出現(xiàn)，然后再檢測具體的事件。根據(jù)這些知識建立攻擊腳本庫，每一腳本都由一系列攻擊行為組成。因為這些缺陷，專家系統(tǒng)一般不用于商業(yè)產(chǎn)品中，運用較多的是特征分析。主要缺陷在于與具體系統(tǒng)依賴性太強，不但系統(tǒng)移植性不好，維護工作量大，而且將具體入侵手段抽象成知識也很困難。基于神經(jīng)網(wǎng)絡(luò)的檢測思想可用下圖表示：圖4－2 神經(jīng)網(wǎng)絡(luò)檢測思想圖中輸入層的W個箭頭代表了用戶最近的W個命令，輸出層預(yù)測用戶將要發(fā)生的下一個動作。但也有一些不足之處，如：統(tǒng)計檢測對事件發(fā)生的次序不敏感，也就是說，完全依靠統(tǒng)計理論可能漏檢那些利用彼此關(guān)聯(lián)事件的入侵行為?！　∵@些變量所記錄的具體操作包括：CPU 的使用，I/O 的使用，使用地點及時間，郵件使用，編輯器使用，編譯器使用，所創(chuàng)建、刪除、訪問或改變的目錄及文件，網(wǎng)絡(luò)上活動等。但因為不可能對整個系統(tǒng)內(nèi)的所有用戶行為進行全面的描述，況且每個用戶的行為是經(jīng)常改變的，所以它的主要缺陷在于誤檢率很高。許多黑客用來收集用戶ID和密碼的嗅探器程序就是拉結(jié)構(gòu)。如果檢測器對每一個檢測到的事件都產(chǎn)生一個數(shù)據(jù)包，并且檢測器是可以觀測到的，那么很容易判斷出檢測器是如何配置的。按時間設(shè)置以分析為依據(jù)設(shè)置原始數(shù)據(jù)應(yīng)該保存的時間，而按存儲容量是以保證檢索性能為前提來配置系統(tǒng)。 原始數(shù)據(jù)數(shù)據(jù)庫：原始數(shù)據(jù)數(shù)據(jù)庫中存儲了近一段時間的高保真數(shù)據(jù)，這些數(shù)據(jù)包括源IP地址、目標IP地址、原始數(shù)據(jù)、欺騙包的特征、新的攻擊特征、最后一次見到的時間等?？梢酝ㄟ^用戶設(shè)定一個實時性要求參數(shù)、根據(jù)需要載入數(shù)據(jù)庫的原始數(shù)據(jù)的速度來自動調(diào)節(jié)每次提交的數(shù)量。主要原因是在數(shù)據(jù)載入數(shù)據(jù)庫后，要在正把該數(shù)據(jù)寫到數(shù)據(jù)庫的物理存儲中，就必須調(diào)用提交命令(mit)?，F(xiàn)有的數(shù)據(jù)庫系統(tǒng)都支持SQL查詢，它對搜索的封裝使得分析系統(tǒng)可以使用通用的接口。因為主機網(wǎng)絡(luò)接口檢測器監(jiān)測的是一個主機上的通信，而不是網(wǎng)絡(luò)中的所有通信。2. 加密數(shù)據(jù)。他檢測本地主機的網(wǎng)絡(luò)通信情況，將基于網(wǎng)絡(luò)的入侵檢測技術(shù)應(yīng)用于主機上，由于它只檢測和分析與本地主機相關(guān)的通信，所以檢測的代價比較小。如果WEB服務(wù)的主頁文件被更改，幾乎可以肯定發(fā)生了攻擊。主機代理分為日志分析、文件檢測、主機網(wǎng)絡(luò)接口檢測、用戶行為監(jiān)測及管理模塊和安全通信。每個在系統(tǒng)上執(zhí)行的程序由一到多個進程來實現(xiàn)。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或己成功入侵了系統(tǒng)。引擎管理：代理管理部分負責網(wǎng)絡(luò)引擎中各部分的協(xié)調(diào)和配置。使用了快速的模式匹配算法，所有的攻擊方法被表示為模式信號存放在入侵特征數(shù)據(jù)庫中，當前的數(shù)據(jù)如果和數(shù)據(jù)庫中某種特征匹配，就指出這是這種入侵行為。一個數(shù)據(jù)分析函數(shù)一般可以檢查一種協(xié)議的一類型入侵，這樣可以方便的進行配置。樹的結(jié)點數(shù)據(jù)結(jié)構(gòu)中應(yīng)包含以下信息：該協(xié)議的特征、協(xié)議名稱、協(xié)議代號，下級協(xié)議代號，協(xié)議對應(yīng)的數(shù)據(jù)分析函數(shù)鏈表。數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動程序支持BPF過濾機制，可以靈活地設(shè)置過濾規(guī)則。由于效率的需要，有時要根據(jù)設(shè)置過濾網(wǎng)絡(luò)上的一些數(shù)據(jù)包，如特定IP，特定MAC地址、特定協(xié)議的數(shù)據(jù)包。因此系統(tǒng)跳過的15到24字節(jié)直接讀取第四層協(xié)議標識：06，這個數(shù)據(jù)包是TCP協(xié)議。可是網(wǎng)絡(luò)通信協(xié)議是一個高度格式化的、具有明確含義和取值的數(shù)據(jù)流，如果將協(xié)議分析和模式匹配方法結(jié)合起來，可以獲得更好的效率、更精確的結(jié)果。AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456為監(jiān)聽到的網(wǎng)絡(luò)數(shù)據(jù)包，對于攻擊模式“GET /cgibin/./phf”，首先從數(shù)據(jù)包頭部開始比較：GET /cgibin/./phfAF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456比較不成功，移動一個字節(jié)重新比較/cgibin/./phfAF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456還是不成功，再移動一次:GET /cgibin/./phfAF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456重復(fù)比較，沒有一次匹配成功。 檢測匹配方法的改進模式匹配是第一代和第二代入侵檢測系統(tǒng)所使用的基于攻擊特征的網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)。缺點：必須與其他廠商緊密合作，且會降低網(wǎng)絡(luò)性能。對于交換式以太網(wǎng)交換機，問題則會變得復(fù)雜。許多入侵檢測系統(tǒng)都可以在不同位置支持機構(gòu)，這些檢測器可能在：l 與你有直接聯(lián)系的合伙人和經(jīng)常在防火墻內(nèi)的供應(yīng)商處；l 高價值的地方，比如研究或會計網(wǎng)絡(luò)；l 有大量不穩(wěn)定雇員（例如顧問或臨時職員）的地方；l 已被外部人員當作目標的子網(wǎng)或是已有跡象顯示有入侵和其他非法活動的子網(wǎng)。3. 防火墻內(nèi)外都有檢測器 “越多越好”、“各有優(yōu)勢”你可能聽過這類口號。這種安排使檢測器可以看見所有來自Internet 的攻擊，然而如果攻擊類型是TCP攻擊，而防火墻或過濾路由器能封鎖這種攻擊，那么入侵檢測系統(tǒng)可能就檢測不到這種攻擊的發(fā)生。 系統(tǒng)部署對于一個小型的網(wǎng)絡(luò)，一般把分析系統(tǒng)、存儲系統(tǒng)和控制臺安裝在同一個計算機上，這既是從系統(tǒng)成本上考慮，也可以增加整個系統(tǒng)的反應(yīng)速度。分析系統(tǒng)是整個入侵檢測系統(tǒng)的大腦，分析方法則是該系統(tǒng)的思維能力。但他們也具有數(shù)據(jù)分析功能，對于已知的攻擊，在這些部件中所用模式匹配的方法來檢測可以大大提高系統(tǒng)的處理速度，也可以減少分析部件的工作量及系統(tǒng)網(wǎng)絡(luò)傳輸?shù)挠绊?。系統(tǒng)中的部件(Component)是具有特定功能的獨立的應(yīng)用程序、小型的系統(tǒng)或者僅僅是一個非獨立的應(yīng)用程序的功能模塊。適應(yīng)性要求：入侵檢測系統(tǒng)必須能夠適用于多種不同的環(huán)境，比如高速大容量計算機網(wǎng)絡(luò)環(huán)境，并且在系統(tǒng)環(huán)境發(fā)生改變，比如增加環(huán)境中的計算機系統(tǒng)數(shù)量，改變計算機系統(tǒng)類型時，入侵檢測系統(tǒng)應(yīng)當依然能夠不作改變正常工作。比如，一個網(wǎng)絡(luò)中每兩個小時自動運行一次漏洞掃描程序，如果他們不能夠互操作，入侵檢測系統(tǒng)將每兩個小時產(chǎn)生一次警報。但現(xiàn)在很多入侵檢測系統(tǒng)沒有提供了某種如“推技術(shù)”的方法來時刻更新攻擊特征。且常用日志來簡單的指代事件數(shù)據(jù)庫。 CIDF模型Common Intrusion Detection Framework (CIDF)闡述了一個入侵檢測系統(tǒng)（IDS）的通用模型。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測出非法的用戶行為。3．基于專家系統(tǒng)的攻擊檢測技術(shù)進行安全檢測工作自動化的另外一個值得重視的研究方向就是基于專家系統(tǒng)的攻擊檢測技術(shù)，即根據(jù)安全專家對可疑行為的分析經(jīng)驗來形成一套推理規(guī)則，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的專家系統(tǒng)。系統(tǒng)應(yīng)具備處理自適應(yīng)的用戶參數(shù)的能力。對于基于模式匹配的檢測技術(shù)來說，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。而基于主機的系統(tǒng)無法看到負載，因此也無法識別嵌入式的負載攻擊。與之相比，基于主機的系統(tǒng)必須在特定的、沒有遭到破壞的操作系統(tǒng)中才能正常工作，生成有用的結(jié)果。l 較少的監(jiān)測器 由于使用一個監(jiān)測器就可以保護一個共享的網(wǎng)段，所以你不需要很多的監(jiān)測器。 基于網(wǎng)絡(luò)的IDS有許多僅靠基于主機的入侵檢測法無法提供的功能。某些加密方式也向基于網(wǎng)絡(luò)的入侵檢測發(fā)出了挑戰(zhàn)。這些使得基于主機的系統(tǒng)效率很高?；谥鳈C的IDS還可審計能影響系統(tǒng)記錄的校驗措施的改變。配置一個入侵監(jiān)測系統(tǒng)要花費$10,000以上，而基于主機的入侵檢測系統(tǒng)對于單獨－代理標價僅幾百美元，并且客戶只需很少的費用用于最初的安裝。基于主機的IDS在發(fā)展過程中融入了其它技術(shù)。1．基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測出現(xiàn)在80年代初期，那時網(wǎng)絡(luò)還沒有今天這樣普遍、復(fù)雜，且網(wǎng)絡(luò)之間也沒有完全連通。但迄今為止，軟件工程技術(shù)還沒有達到A2級所要求的形式生成或證明一個系統(tǒng)的安全體系的程度，所以不可能百分之百地保證任何一個系統(tǒng)（尤其是底層系統(tǒng)）中不存在安全漏洞。防火墻的安全策略無法進行集中管理。其次，防火墻策略對于防范黑客有其明顯的局限性[4]。但是隨著網(wǎng)絡(luò)的深入發(fā)展，這個標準已經(jīng)不能完全適應(yīng)當前的技術(shù)需要，因為這個主要基于HostTerminal環(huán)境的靜態(tài)安全模型和標準無法完全反應(yīng)分布式、動態(tài)變化、發(fā)展迅速的Internet安全問題。換句話說，系統(tǒng)性能的提高，用戶雖然摸不到，但卻是可以看到的。 其中ISS公司的RealSecured的智能攻擊識別技術(shù)是當前IDS系統(tǒng)中最為先進的。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測理應(yīng)受到人們的高度重視，這從國外入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出。作者簽名： 日期： 年 月 日學(xué)位論文版權(quán)使用授權(quán)書本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國家有關(guān)部門或機構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。 pattern match畢業(yè)設(shè)計（論文）原創(chuàng)性聲明和使用授權(quán)說明原創(chuàng)性聲明本人鄭重承諾：所呈交的畢業(yè)設(shè)計（論文），是我個人在指導(dǎo)教師的指導(dǎo)下進行的研究工作及取得的成果。入侵檢測技術(shù)是繼“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護措施后新一代的安全保障技術(shù)。同時改進了匹配算法，使得網(wǎng)絡(luò)引擎具有更好的實時性能。除了文中特別加以標注引用的內(nèi)容外，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫的成果作品。PDR2表示Protection、Detection、Recovery和Response，即保護、檢測、恢復(fù)和響應(yīng)。我們的目標是設(shè)計一個分布式的入侵檢測系統(tǒng)，它具有可擴展性、跨平臺性、安全性和開放性，并實現(xiàn)了其中的網(wǎng)絡(luò)引擎部分。信息安全是一種很難量化的概念，我們可以把信息系統(tǒng)的“性能”與“安全”做一個簡單的對比。實際上，安全就是防范潛在的危機。這樣的檢測機制對保證大壩的安全至關(guān)重要。而據(jù)權(quán)威部門統(tǒng)計結(jié)果表明，網(wǎng)絡(luò)上的安全攻擊事件有70%以上來自內(nèi)部攻擊。.防火墻只實現(xiàn)了粗粒度的訪問控制。 入侵檢測系統(tǒng)入侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為、對異常行為進行統(tǒng)計、自動地收集和系統(tǒng)相關(guān)的補丁、進行審計跟蹤識別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。通常，基于主機的IDS可監(jiān)測系統(tǒng)、事件和Window NT下的安全記錄以及UNIX環(huán)境下的系統(tǒng)記錄。盡管基于主機的入侵檢查系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢查系統(tǒng)快捷，但它確實具有基于網(wǎng)絡(luò)的系統(tǒng)無法比擬的優(yōu)點?；谥鳈C技術(shù)還可監(jiān)視通常只有管理員才能實施的非正常行為。l 易于用戶剪裁 每一個主機有其自己的代理，當然用戶剪裁更方便了。所以從覆蓋足夠大的網(wǎng)絡(luò)范圍的角度出發(fā)，很難確定配置基于網(wǎng)絡(luò)的IDS的最佳位置。基于網(wǎng)絡(luò)的IDS通常利用一個運行在隨機模式下網(wǎng)絡(luò)的適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)?；诰W(wǎng)絡(luò)的監(jiān)視器不運行其他的應(yīng)用程序，不提供網(wǎng)絡(luò)服務(wù)，可以不響應(yīng)其他計算機。被捕獲的數(shù)據(jù)不僅包括的攻擊的方法，而且還包括可識別黑客身份和對其進行起訴的信息?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)通過檢查所有的數(shù)據(jù)包的包頭（header）來進行檢測，而基于主機的入侵檢測系統(tǒng)并不查看包首標。相信未來的集成化的入侵檢測產(chǎn)品不僅功能更加強大，而且部署和使用上也更加靈活方便。按照所使用的分析方法，可以分為以下幾種入侵檢測系統(tǒng)：1． 基于審計的攻擊檢測基于審計信息的攻擊檢測工具以及自動分析工具可以向系統(tǒng)安全管理員報告計算機系統(tǒng)活動的評估報告，通常是脫機的、滯后的。錯發(fā)的警報往往來自于對審計數(shù)據(jù)的統(tǒng)計算法所基于的不準確或不貼切的假設(shè)。實現(xiàn)一個基于規(guī)則的專家系統(tǒng)是一個知識工程問題，而且其功能應(yīng)當能夠隨著經(jīng)驗的積累而利用其自學(xué)習(xí)能力進行規(guī)則的擴充和修正。對于已知得攻擊，它可以詳細、準確的報告報告出攻擊類型，但是對未知攻擊卻效果有限，而且入侵模式庫必須不斷更新。響應(yīng)單元則是對分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應(yīng),甚至發(fā)動對攻擊者的反擊，也可以只是簡單的報警。現(xiàn)有的入侵檢測系統(tǒng)在10M網(wǎng)上檢查所有數(shù)據(jù)包中的幾十種攻擊特征時可以很好地工作。不同的入侵檢測系統(tǒng)之間不能互操作：在大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)不同的部分可能使用了不同的入侵檢測系統(tǒng)，但現(xiàn)在的入侵檢測系統(tǒng)之間不能能夠交換信息，使得發(fā)現(xiàn)了攻擊時難以找到攻擊的源頭，甚至給入侵者制造了攻擊的漏洞。所以必須建立一種機制，把入侵檢測系統(tǒng)的體系結(jié)構(gòu)與使用策略區(qū)分開。有效性要求：能夠證明根據(jù)某一設(shè)計所建立的入侵檢測系統(tǒng)是切實有效的。 網(wǎng)絡(luò)引擎和主機代理屬于CIDF中的事件產(chǎn)生器（Event generators）。 分析系統(tǒng)是對事件發(fā)生器捕獲的原始信息、其他入侵檢測系統(tǒng)提供的可疑信息進行統(tǒng)一分析和和處理的系統(tǒng)。也可以采取主動的反擊策略，對攻擊者進行如DOS攻擊等，但這種以毒攻毒的方法在法律上是不許可的。一般說來檢測器放在防火墻附近比較好。如果本應(yīng)該被防火墻封鎖的攻擊滲透近來，檢測器在防火墻內(nèi)檢測到或就能發(fā)現(xiàn)防火墻的設(shè)置失誤。l 你可以檢測到由于設(shè)置有問題而無法通過防火墻的內(nèi)部系統(tǒng)，這可以幫助系統(tǒng)管理員。TCP是雙向協(xié)議，分析員必須確保計策器能從對話雙方接收信息。缺點：采用此端口會降低交換機性能。第三章 網(wǎng)絡(luò)引擎和主機代理 網(wǎng)絡(luò)引擎的設(shè)計網(wǎng)絡(luò)引擎通過分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，得到可能入侵的信