【導(dǎo)讀】入侵檢測技術(shù)分析與應(yīng)用。分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu).............6. 畢業(yè)設(shè)計（論文）專用紙

　　

【正文】 的入侵檢測系統(tǒng)檢測速度遠(yuǎn)小于網(wǎng)絡(luò)傳輸速度； （ 3） IDS 產(chǎn)品的檢測準(zhǔn)確率比較低，漏報和誤報比較多； （ 4） 入侵檢測產(chǎn)品和其它網(wǎng)絡(luò)安全產(chǎn)品結(jié)合問題 , 即期間的信息交 換 ,共同協(xié)作發(fā)現(xiàn)攻擊并阻擊攻擊。； （ 5） 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)對加密的數(shù)據(jù)流及交換網(wǎng)絡(luò)下的數(shù)據(jù)流不能進(jìn)行檢測 , 并且其本身構(gòu)建易受攻擊； （ 6） 對分布式攻擊和拒絕服務(wù)攻擊的檢測和防范能力較弱； （ 7） 尚不能與其他安全部件很好地互動； （ 8） 缺乏國際、國內(nèi)標(biāo)準(zhǔn)； （ 9） 對ＩＤＳ產(chǎn)品的測試評估缺乏統(tǒng)一的標(biāo)準(zhǔn)和平臺。 入侵檢測技術(shù)的改進(jìn)發(fā)展 針對這些問題入侵檢測系統(tǒng)需要向以下的幾個發(fā)展方向：入侵件技術(shù)應(yīng)該更加智能化，應(yīng)改進(jìn)和提出新的檢測方法，應(yīng)有自學(xué)習(xí)和自適應(yīng)能力，應(yīng)制定相關(guān)標(biāo)準(zhǔn)、加強(qiáng)與其他安全部件的互 動，應(yīng)有一個完善的評估和測試體系。 畢業(yè)設(shè)計（論文）專用紙 第 頁 25 改進(jìn)方法提高準(zhǔn)確率 ＩＤＳ可以主動地檢測到對系統(tǒng)或網(wǎng)絡(luò)的入侵，并對這些入侵進(jìn)行記錄和響應(yīng)，這是防火墻、身份識別和認(rèn)證、加密解密等其他許多安全策略所不能做到的。因此，引入ＩＤＳ可以彌補(bǔ)其他安全策略的不足，使得整個安全防護(hù)體系更加完善。其次，由于網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，系統(tǒng)遭受的入侵和攻擊越來越多，人們迫切需要一種可以有效防范和應(yīng)對這些入侵的安全策略和產(chǎn)品。在這種形勢下，ＩＤＳ雖然得到了比較大的發(fā)展，但總的情況并不讓人滿意。最大的問題是現(xiàn)在的入侵檢測產(chǎn)品檢測準(zhǔn)確率比較低 ，誤報和漏報的情況比較多。本來ＩＤＳ是要減輕管理員的負(fù)擔(dān)，結(jié)果出現(xiàn)的大量誤報使得管理員疲于應(yīng)付，最后不得已反而想放棄ＩＤＳ。出現(xiàn)這種情況的主要原因在于對ＩＤＳ的研究還不夠深入，技術(shù)上不夠成熟?，F(xiàn)在的ＩＤＳ產(chǎn)品，主要可以分為基于主機(jī)的ＩＤＳ和基于網(wǎng)絡(luò)的ＩＤＳ兩種，使用的檢測方法主要是誤用檢測和異常檢測。誤用檢測是對不正常的行為進(jìn)行建模，這些行為就是以前記錄下來的確認(rèn)了的誤用或攻擊。目前誤用檢測的方法主要是模式匹配，即將每一個已知的攻擊事件定義為一個獨立的特征，這樣對入侵行為的檢測就成為對特征的匹配搜索，如果和 已知的入侵特征匹配，就認(rèn)為是攻擊。異常檢測是對正常行為建模，所有不符合這個模型的事件就被懷疑為攻擊?，F(xiàn)在異常檢測的方法主要是統(tǒng)計模型，它通過設(shè)置極限閾值等方法，將檢測數(shù)據(jù)與已有的正常行為比較，如果超出極限閾值，就認(rèn)為是入侵行為。為了提高檢測準(zhǔn)確率，有人把其他領(lǐng)域的一些概念和方法引入到ＩＤＳ中來，主要有神經(jīng)網(wǎng)絡(luò)、模糊理論、免疫系統(tǒng)、數(shù)據(jù)挖掘等。這些方法主要是為了增強(qiáng)ＩＤＳ的學(xué)習(xí)能力，使得ＩＤＳ可以智能地檢測出未知攻擊。但這些方法基本上還都處于研究階段。協(xié)議分析技術(shù)是一種比較好的誤用檢測技術(shù)，它彌補(bǔ)了模式匹配技 術(shù)的一些不足，通過對協(xié)議進(jìn)行解碼，減少了ＩＤＳ需要分析的數(shù)據(jù)量，從而提高了解析的速度，由于協(xié)議比較規(guī)范，因此協(xié)議分析的準(zhǔn)確率比較高。目前一些產(chǎn)品已經(jīng)實現(xiàn)或部分實現(xiàn)了協(xié)議分析技術(shù)。此外，網(wǎng)絡(luò)速度也構(gòu)成了對檢測準(zhǔn)確率的挑戰(zhàn)?，F(xiàn)在網(wǎng)絡(luò)的規(guī)模越來越大，網(wǎng)絡(luò)的速度也在不斷提高，因此ＩＤＳ產(chǎn)品必須要能夠適應(yīng)大規(guī)模高速網(wǎng)絡(luò)的要求，否則就會出現(xiàn)大量的漏報現(xiàn)象。為了能夠適應(yīng)高速網(wǎng)的要求，不得不改進(jìn)ＩＤＳ中一些現(xiàn)有的技術(shù)。因此，改進(jìn)現(xiàn)有的入侵檢測方法，提出新的、可以應(yīng)用于大規(guī)模高速網(wǎng)絡(luò)的入侵檢測方法，對于適應(yīng)新的應(yīng)用需 畢業(yè)設(shè)計（論文）專用紙 第 頁 26 要，提高 ＩＤＳ的準(zhǔn)確率非常必要。 檢測和防范分布式攻擊與拒絕服務(wù)攻擊 網(wǎng)絡(luò)或主機(jī)受到的攻擊最初都是由單機(jī)發(fā)起的，也就是參與對目標(biāo)主機(jī)或網(wǎng)絡(luò)攻擊的只有一臺機(jī)器。入侵檢測技術(shù)的發(fā)展使得這種一對一的攻擊方法越來越難以奏效。于是攻擊者就采取使用多臺主機(jī)，同時攻擊一臺機(jī)器的辦法。這就是所謂的分布式攻擊，它可以在很短時間內(nèi)使被攻擊的主機(jī)癱瘓。分布式攻擊是多對一的攻擊，完成一次攻擊的時間比單機(jī)攻擊更短，成功率更高。此類攻擊的單機(jī)信息模式與正常通信幾乎沒有差異，通常的檢測方法無法及時檢測出來，因此分布式攻擊更加隱蔽，更 難被發(fā)現(xiàn)。由于分布式攻擊有著隱蔽性強(qiáng)，攻擊力大的特點，因此現(xiàn)在入侵者使用分布式攻擊進(jìn)行入侵的情況越來越多。而目前的ＩＤＳ產(chǎn)品對于分布式攻擊的防范能力普遍較弱。如何很好地描述一種分布式攻擊，檢測到可疑攻擊后如何將分開的攻擊特征合并，從中確定分布式攻擊，都是值得認(rèn)真研究的課題。 近年來出現(xiàn)的拒絕服務(wù)攻擊（ＤｏＳ：Ｄｅｎｉａｌ ｏｆ Ｓｅｒｖｉｃｅ）對網(wǎng)絡(luò)安全和信息的可用性造成了巨大的威脅。它通過搶占目標(biāo)主機(jī)系統(tǒng)資源，使得系統(tǒng)過載或崩潰，從而達(dá)到阻止合法用戶使用系統(tǒng)的目的。１９９５年以后，ＤｏＳ越來越多地成為黑客 研究的熱點，各種ＤｏＳ攻擊及其變種在網(wǎng)上廣為流傳，ＤｏＳ事件頻頻發(fā)生。由于ＤｏＳ多是利用系統(tǒng)的漏洞進(jìn)行攻擊，比如ＳＹＮ風(fēng)暴拒絕服務(wù)攻擊是利用了ＴＣＰ／ＩＰ的缺陷，Ｐｉｎｇ ｏｆ Ｄｅａｔｈ拒絕服務(wù)攻擊是利用了ＩＰ協(xié)議的缺陷。因此，防范ＤｏＳ并不是一件容易的事情?，F(xiàn)在對于ＤｏＳ的研究比較多，國內(nèi)一些廠家也開發(fā)出了專門應(yīng)對ＤｏＳ的產(chǎn)品，但要想很好地檢測和防范ＤｏＳ，還有很多工作要做。 １９９９年以來，一種綜合了分布式攻擊和拒絕服務(wù)攻擊特點的新型攻擊開始出現(xiàn)，這就是分布式拒絕服務(wù)攻擊（ＤＤｏＳ：Ｄｉｓｔｒｉｂｕｔ ｅｄ Ｄｅｎｉａｌ ｏｆ Ｓｅｒｖｉｃｅ）。發(fā)起攻擊的主機(jī)通過控制數(shù)臺脆弱主機(jī)，把它們武裝成一臺臺極具攻擊力的攻擊者，然后讓它們同時對目標(biāo)主機(jī)發(fā)起攻擊，帶寬在相差懸殊的力量對比下，目標(biāo)主機(jī)很快就會崩潰。對于ＤＤｏＳ的研究已成為攻擊研究的熱點。 畢業(yè)設(shè)計（論文）專用紙 第 頁 27 實現(xiàn) IDS 與其他安全部件的互動 實現(xiàn)網(wǎng)絡(luò)與信息的安全是一項系統(tǒng)工程，不是哪一種單獨的安全部件就可以完成的。只有在不同的安全部件之間實現(xiàn)互聯(lián)互動，才能夠更好地發(fā)揮它們各自的作用，才可以比較好地保證網(wǎng)絡(luò)與信息的安全。隨著防火墻、入侵檢測等技術(shù)的不斷發(fā)展，實現(xiàn)它 們之間的互動顯得越來越重要。因此，對于安全部件之間的互動協(xié)議和接口標(biāo)準(zhǔn)的研究，也會是對ＩＤＳ研究的一個重要方向。對于這方面的研究現(xiàn)在還比較少，一些ＩＤＳ廠家只針對自己的產(chǎn)品做了一些接口函數(shù)，并且大多數(shù)是以防火墻為中心的。現(xiàn)在只有少數(shù)廠家是以ＩＤＳ為中心考慮安全部件的互動和接口的，但也僅局限于自己開發(fā)的ＩＤＳ和防火墻產(chǎn)品。 由于ＩＤＳ的地位越來越重要，防護(hù)的網(wǎng)絡(luò)規(guī)模越來越大，因此應(yīng)該把ＩＤＳ和其他安全部件放在一個對等的位置來考慮它們之間的互動。應(yīng)該考慮不同廠家的ＩＤＳ之間，ＩＤＳ和防火墻之間，ＩＤＳ與響應(yīng)部件 之間的互動。在這方面，還有不少具體的工作要做。 IDS 的標(biāo)準(zhǔn)化工作 標(biāo)準(zhǔn)化的工作對于一項技術(shù)的發(fā)展至關(guān)重要。在某一個技術(shù)領(lǐng)域，如果沒有相應(yīng)的標(biāo)準(zhǔn)，那么該領(lǐng)域的發(fā)展將會是無序的。令人遺憾的是，盡管ＩＤＳ經(jīng)歷了２０多年的發(fā)展，近幾年又成為網(wǎng)絡(luò)與信息安全領(lǐng)域的一個研究熱點，但到目前為止，尚沒有一個相關(guān)的國際標(biāo)準(zhǔn)出現(xiàn)，國內(nèi)也沒有ＩＤＳ方面的標(biāo)準(zhǔn)。因此，ＩＤＳ的標(biāo)準(zhǔn)化工作應(yīng)引起業(yè)界的廣泛重視。 現(xiàn)在國際上主要有兩個組織在做這方面的工作，它們是公共入侵檢測框架工作組（ＣＩＤＦ）和入侵檢測工作小組（ＩＤＷＧ） 。ＣＩＤＦ早期由美國國防部高級研究計劃署（ＤＡＲＰＡ）贊助研究，現(xiàn)在由ＣＩＤＦ工作組負(fù)責(zé)，這是一個開放組織。ＩＤＷＧ是互聯(lián)網(wǎng)工程任務(wù)組（ＩＥＴＦ）下的一個工作小組，專門研究制定入侵檢測領(lǐng)域的草案（標(biāo)準(zhǔn)），它的工作目標(biāo)是定義ＩＤＳ中的數(shù)據(jù)格式、信息交換過程和交換協(xié)議。ＩＤＷＧ現(xiàn)在比較活躍，在不斷修改它們提出的草案，力爭使其成為國際標(biāo)準(zhǔn)。 在ＩＤＳ中，應(yīng)該進(jìn)行標(biāo)準(zhǔn)化的工作主要包括：大規(guī)模分布式ＩＤＳ的體系結(jié)構(gòu)、入侵特征等數(shù)據(jù)的描述（格式）、ＩＤＳ內(nèi)部的通信協(xié)議和數(shù)據(jù)交換協(xié)議、安全部件間 畢業(yè)設(shè)計（論文）專用紙 第 頁 28 的互動協(xié)議和接口標(biāo)準(zhǔn)等。 IDS 的測試和評估 近年來，ＩＤＳ得到了很大的發(fā)展，我國在入侵檢測方面的研究工作和產(chǎn)品開發(fā)也有了很大的進(jìn)展，但現(xiàn)在對入侵檢測測試評估方面的研究還不是很多?，F(xiàn)在的入侵檢測產(chǎn)品很需要一個大家公認(rèn)的ＩＤＳ測試評估標(biāo)準(zhǔn)，各個產(chǎn)品都使用這個統(tǒng)一的尺度來衡量、比較彼此的優(yōu)劣。現(xiàn)在一些入侵檢測產(chǎn)品的宣傳未必就十分可信，即使是完全可信的，由于不是由權(quán)威的檢測部門使用測試評估標(biāo)準(zhǔn)來進(jìn)行檢測得出的結(jié)果，所以也難免被使用者懷疑。因此，盡快建立一套ＩＤＳ的測試評估標(biāo)準(zhǔn)，對產(chǎn)品開發(fā)商和用戶都有好處。 進(jìn)行測試評估的研究， 關(guān)鍵的問題是：網(wǎng)絡(luò)流量仿真、用戶行為仿真、攻擊特征庫的構(gòu)建、評估環(huán)境的實現(xiàn)和評測結(jié)果的分析。核心問題則是建立一個測試ＩＤＳ的標(biāo)準(zhǔn)環(huán)境，這個環(huán)境可以模擬真實的網(wǎng)絡(luò)流量、用戶行為和攻擊行為。所有的入侵檢測產(chǎn)品都在這個標(biāo)準(zhǔn)環(huán)境下測試，自然就可以區(qū)分出產(chǎn)品的優(yōu)劣。 對于ＩＤＳ的測試和評估，雖然不是ＩＤＳ本身的技術(shù)，但對于促進(jìn)ＩＤＳ的發(fā)展和ＩＤＳ產(chǎn)品的推廣非常重要。國家有關(guān)部門對此應(yīng)該予以足夠的重視。 畢業(yè)設(shè)計（論文）專用紙 第 頁 29 結(jié)論 本論文從入侵檢測技術(shù)的提出入手，描述了入侵檢測技術(shù)的研究史，然后詳細(xì)描述了檢測技術(shù)原理，列舉了功能概 要，具體介紹了入侵檢測技術(shù)技術(shù)分析過程，還詳細(xì)的闡述了入侵檢測的數(shù)據(jù)處理，最后指出入侵檢測技術(shù)發(fā)展方向。 入侵檢測作為一種正在飛速發(fā)展的積極主動安全防護(hù)技術(shù)，它同時提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測理應(yīng)受到人們的高度重視，這從國外入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出。在國內(nèi)，隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來越多，迫切需要具有自主版權(quán)的入侵檢測產(chǎn)品。但現(xiàn)狀是入侵檢測僅僅停留在研究和實驗樣品（缺乏升級和服務(wù)）階段 ，或者是防火墻中集成較為初級的入侵檢測模塊。可見，入侵檢測產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來講，我們認(rèn)為，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識別和完整性檢測）外，應(yīng)重點加強(qiáng)統(tǒng)計分析的相關(guān)技術(shù)研究。隨著入侵檢測技術(shù)地不斷發(fā)展，將來人們一定能夠充分利用好入侵檢測這一強(qiáng)大的網(wǎng)絡(luò)安全技術(shù)。 畢業(yè)設(shè)計（論文）專用紙 第 頁 30 總結(jié)與體會 這是第一次做論文，一切都是從頭開始摸索，收集資料是所有工作的重點，剛開始也沒注意這方面的方法，總覺得利用搜索引擎，收集資料應(yīng)該是件易事，但后來發(fā)現(xiàn)這并非易事，想找資料容易，但想找到準(zhǔn)確的有用的資料卻很難。在寫作 論文的過程中就因為資料的收集問題上導(dǎo)致論文數(shù)次停滯。在學(xué)院給出了格式要求以后，根據(jù)老師所提出的寶貴意見，總算一步步的完成了論文。 在做畢業(yè)設(shè)計的過程中，在老師的指導(dǎo)下，同學(xué)之間共同學(xué)習(xí)，克服了一個個困難，這段時間的學(xué)習(xí)使我對入侵檢測技術(shù)和模式識別等課程產(chǎn)生了濃厚的興趣。在以后的日子里，我將對入侵檢測技術(shù)繼續(xù)進(jìn)行更深入的學(xué)習(xí)，尋求更加優(yōu)化的算法，并嘗試去設(shè)計出某種入侵檢測技術(shù)系統(tǒng)的模型，不斷地提高自己的專業(yè)水平。 在畢業(yè)設(shè)計的過程中我學(xué)到了一些以前不可能學(xué)到的知識，在老師講課的時候我們往往把知識局限于課本中。 通過本次設(shè)計我明白了在大學(xué)學(xué)習(xí)的本質(zhì)，師傅領(lǐng)進(jìn)門，修行在個人，大學(xué)里面其實都是以人為獨立個體學(xué)習(xí)的。課堂里面所學(xué)的知識并非全面，只有從各個方面去研究、卻學(xué)習(xí)，才能獲得更全面的專業(yè)知識，這樣才能成為一個真正的專業(yè)化人才。 畢業(yè)設(shè)計（論文）專用紙 第 頁 31 謝辭 在我的論文完成之際，謹(jǐn)向曾經(jīng)指導(dǎo)過我的老師，關(guān)懷過我的領(lǐng)導(dǎo) ，表示感謝。在完成論文的過程中我遇到了許多困難， 首先特別感謝咸豐茂導(dǎo)師對我仔細(xì)、耐心的指導(dǎo) ,咸 老師淵博的知識、嚴(yán)謹(jǐn)求實的治學(xué)態(tài)度將永遠(yuǎn)是我的楷模。 咸 老師不僅給我們傳授知識，還傳授了研究的方法、做人的道理和生活的態(tài)度，這將使 我終身受益。 感謝 李安耀 ， 陳林 ， 楊斌，彭丕振 在平常的學(xué)習(xí)與生活中，他們給予了我許多幫助。 感謝對我的畢業(yè)設(shè)計幫助過的所有教師和同學(xué)們，感謝你們對我的設(shè)計提出的意見和在技術(shù)上的支持。還要感謝負(fù)責(zé)督促并幫助我進(jìn)行設(shè)計的其他老師，感謝他們?yōu)槲业漠厴I(yè)設(shè)計提出的合理化建議，開闊了我的視野，提高了我的水平， 使我得以按時完成我的任務(wù)，沒有辜負(fù)大家的一片苦心。 感謝室友 裴成龍、侯進(jìn)祥 ，深深感謝他們的關(guān)心和幫助 !四 年的點點滴滴，都會成為美好的的回憶 !時間逝去，但友誼一生不變 ! 感謝我的父母和親人。父母為我付出太多太多，能 成為他們的兒子我非常幸福，希望將來他們能因我而驕傲。 最后，向在百忙之中評閱本論文的老師及答辯委員會的各位教授、老師以最誠摯的感謝！ 畢業(yè)設(shè)計（論文）專用紙 第 頁 32 參考文獻(xiàn) [1] 蔣建春，馮登國 .網(wǎng)絡(luò)入侵檢測技術(shù)原理與技術(shù) .北京：國防工業(yè)出版社， . [2] 曹元大 .入侵檢測技術(shù) .北京：人民郵電出版， . [3] 鮮永菊 .入侵檢測 .西安：西安電子科技大學(xué)出版社， . [4] 戴連英，連一峰，王航 .系統(tǒng)安全與入侵檢測技術(shù) .北京：清華大學(xué)出版社， [5] 沈清，湯霖 .模式識別導(dǎo)論 .國 防科技大學(xué)出版社， . [6] 吳焱 .入侵者檢測技術(shù) .北京 :電子工業(yè)出版社， 1999. [7] 馬春光，郭方方 . 防火