【正文】 給決策器； （ 4） 決策器根據(jù)這些假設(shè)的攻擊行為在審討記錄中的可能出現(xiàn)方式，將它們轉(zhuǎn)換成與特定系統(tǒng)匹配的審計記錄格式，然后在審計記錄中尋找相應(yīng)信息來判斷這些行為模式是否為攻擊行為。 基于模型推理 的誤用入侵檢測 模型推理是指結(jié)合攻擊腳本來推斷入侵行為是否出現(xiàn)。這樣大大提高了檢測效率。因此，大多運用與專家系統(tǒng)類似的特征分析法。條件部分，即 if 后的規(guī)則化描述，可根據(jù)審計事件得到，然后 根據(jù)規(guī)則和行為進行判斷，執(zhí)行 then 后的動作。當(dāng)其中某個或某部分條件滿足時，系統(tǒng)就判斷為入侵行為發(fā)生。 基于專家系統(tǒng)的誤用入侵檢測 專家系統(tǒng)是基于知識的檢測中運用最多的一種方法。首先， 對已知的攻擊方法進行攻擊簽名 (攻擊簽名是指用一種特定的方式來表示已知的攻擊模式 )表示，然后根據(jù)已經(jīng)定義好的攻擊簽名 ，通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。 誤用檢測技術(shù) 又稱為基于知識的檢測?，F(xiàn)已不宜單獨用于入侵檢測 ,或單獨形成商品軟件。例如 ,ISS 公司為了建立比較完備的專家系統(tǒng) ,一方面與地下組織建立良好關(guān)系 ,并成立由許多工作人員與專家組成的XForce 組織來進行 這一工作。將有關(guān)入侵的知識轉(zhuǎn)化為 ifthen 結(jié)構(gòu) (也可以是復(fù)合結(jié)構(gòu) ),if 部分為入侵特征 ,then 部分是系統(tǒng)防范措施。專家系統(tǒng)的建立依賴于知識庫的完備性 ,知識庫的完備性又取決于審 計記錄的完備性與實時性。 所謂的規(guī)則 ,即是知識。所謂軟計算的方法包含了神經(jīng)網(wǎng)絡(luò)、遺傳算法與模糊技術(shù)。但是它的 學(xué)習(xí) 能力也給入侵者以機會通過逐步 訓(xùn)練 使入侵事件符合正常操作的統(tǒng)計規(guī)律 ,從而透過入侵檢測系統(tǒng)。 入侵檢測的統(tǒng)計分析首先計算用戶會話過程的統(tǒng)計參數(shù) ,再進行與閾值比較處理與加權(quán)處理 ,最終通過計算其 可疑 概率分析其為入侵事件的可能性。 馬爾柯夫過程模型 :將每種類型的事件定義為系統(tǒng)狀態(tài) ,用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化 ,若對應(yīng)于發(fā)生事件的狀 態(tài)矩陣中轉(zhuǎn)移概率較小 ,則該事件可能是異常事件。 方差 :計算參數(shù)的方差 ,設(shè)定其置信區(qū)間 ,當(dāng)測量值超過置信區(qū)間的范圍時表明有可能是異常。 畢業(yè)設(shè)計（論文）專用紙 第 頁 13 異常檢測技術(shù) 統(tǒng)計學(xué)方法 統(tǒng)計模型常用于對異常行為的檢測 ,在統(tǒng)計模型中常用的測量參數(shù)包括審計 事件的數(shù)量、間隔時間、資源消耗情況等。 同時，由于防火墻處于網(wǎng)關(guān)的位置，不可能對進出攻擊作太多判斷，否則會嚴(yán)重影響網(wǎng)絡(luò)性能。它是盡量阻止攻擊或延緩攻擊。 入侵檢測的作用 防火墻是 Inter 網(wǎng)絡(luò)上最有效的安全保護屏障，防火墻在網(wǎng)絡(luò)安全中起到大門警衛(wèi)的作用，對進出的數(shù)據(jù)依照預(yù)先設(shè)定的規(guī)則進行匹配，符合規(guī)則的就予以放行，起到訪問控制的作用，是網(wǎng)絡(luò)安全的第一道閘門。 入侵響應(yīng)功能在分析出入侵行為后被觸發(fā)，根據(jù)入侵行為產(chǎn)生響應(yīng)。 事件提取功能負(fù)責(zé)提取與被保護系統(tǒng)相關(guān)的運行數(shù)據(jù)或記錄，并負(fù)責(zé)對數(shù)據(jù)進行簡單的過濾。這種系統(tǒng)的優(yōu)點是可以對大型分布式網(wǎng)絡(luò)進行檢測。代理負(fù)責(zé)對某一主機的活動進行監(jiān)視，如收集主機運行時的審計數(shù)據(jù)和操作系統(tǒng)的數(shù)據(jù)信息，然后將這些數(shù)據(jù)傳送到中央監(jiān)視器。中央監(jiān)視器負(fù)責(zé)對整個監(jiān)視系統(tǒng)的管理，它應(yīng)該處于一個相對安全的地方。隨著網(wǎng)絡(luò)系統(tǒng)的復(fù)雜化和大型化，系統(tǒng)弱點趨于分布式，而且攻擊行為也表現(xiàn)為相互協(xié)作式特點，所以不同的 IDS之間需要共享信息，協(xié)同檢測。然而它只能監(jiān)視通過本網(wǎng)段的活動，并且精確度較差，在交換網(wǎng)絡(luò)環(huán)境中難于配置，防欺騙的能力也比較差。它的攻擊識別模塊進行攻擊簽名識別系統(tǒng)審計 比較 攻擊特征庫 是否匹配 正常行為 入侵行為 N Y 畢業(yè)設(shè)計（論文）專用紙 第 頁 11 的方法有：模式、表達(dá)式或字節(jié)碼匹配；頻率或閾值比較；次要事件的相關(guān)性處理；統(tǒng)計異常檢測。 基于網(wǎng)絡(luò)的入侵檢 測系統(tǒng) 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)把原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源?；谥鳈C的入侵檢測系統(tǒng)對系統(tǒng)內(nèi)在的結(jié)構(gòu)卻沒有任何約束，同時可以利用操作系統(tǒng)本身提供的功能，并結(jié)合異常檢測分析，更能準(zhǔn)確的報告攻擊行為。如果匹配，檢測系統(tǒng)向系統(tǒng)管理員發(fā)出入侵報警并采取相應(yīng)的行動。 基于主機的入侵檢測系統(tǒng) 基于主機的入侵檢測系統(tǒng)通常以系統(tǒng)日志、應(yīng)用程序日志等審計記錄文件作為數(shù)據(jù)源。 誤用檢測的模型如圖 22 所示。這種檢測模型誤報率低、漏報率高。如果可以定義所有的不可接受行為，那么每種能夠與之匹配的行為都會引起告警。 異常檢測的模型如圖 21 所示。這種檢測模型漏報率 低，誤報率高。首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），用戶輪廓是指各種行為參數(shù)及其閾值的集合。 入侵檢測技術(shù)的檢測模型 從技術(shù)上劃分，入侵檢測有兩種檢測模型： 畢業(yè)設(shè)計（論文）專用紙 第 頁 9 異常檢測模型 異常檢測模型：檢測與可接受行為之間的偏差。 數(shù)據(jù)分析 對收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)運行、數(shù)據(jù)及用 戶活動的狀態(tài)和行為等數(shù)據(jù)通過三種技術(shù)手段進行分析：模塊匹配、統(tǒng)計分析和完整性分析。數(shù)據(jù)的收集主要來源以下幾個方面：系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件不期望的改變、程序不期望的行為、物理形式的入侵?jǐn)?shù)據(jù)。 數(shù)據(jù)收集 入侵檢測的第一步是數(shù)據(jù)收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)運行、數(shù)據(jù)及用戶活動的 狀態(tài)和行為，而且，需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集數(shù)據(jù)。入侵檢測系統(tǒng)通過收集、分析有關(guān)網(wǎng)絡(luò)安全的信息，發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的不正常模式或未授權(quán)訪問嘗試。 畢業(yè)設(shè)計（論文）專用紙 第 頁 8 第 2 章 入侵檢測技術(shù)的原理及應(yīng)用 入侵檢測是指通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖。綜上所述，入侵檢測作為一種積極主動的安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為，為網(wǎng)絡(luò)安全增 畢業(yè)設(shè)計（論文）專用紙 第 頁 7 加一道屏障。 智能化的全面檢測 全面的安全防御方案結(jié)合安全工程風(fēng)險管理的思想與方法來處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全作為一個整體工程來處理。 4． 3 智能的入侵檢測入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能 體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究，但是，這只是一些嘗試性的研究工作，需要對智能化的 IDS 加以進一步的研究，以解決其自學(xué)習(xí)與自適應(yīng)能力。 應(yīng)用層的入侵檢測保護 應(yīng)用層入侵檢測許多入侵的語義只有在應(yīng)用層才能理解，然而目前的 IDS 僅能檢測到諸如 Web 之類的通用協(xié)議，而不能處理 Lotus Notes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。近年來，入侵檢測有如下幾個主要發(fā)展方向： 分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu) 分布式入侵檢測與通用入侵檢測架構(gòu)傳統(tǒng)的 IDS 一般局限于單一的主機或 網(wǎng)絡(luò)架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足，再加上不同的 IDS 系統(tǒng)之間不能很好地協(xié)同工作。而入侵檢測正是根據(jù)網(wǎng)絡(luò)攻擊行為而進行設(shè)計的，它不僅能夠發(fā)現(xiàn)已知入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過學(xué)習(xí)和分析入侵手段，及時地調(diào)整系 統(tǒng)策略以加強系統(tǒng)的安全性。在入侵檢測之前，大量的安全機制都是根據(jù)從主觀的角度設(shè)計的，他們沒有根據(jù)網(wǎng)絡(luò)攻擊的具體行為來決定安全對策。以該技術(shù)為核心，可構(gòu)造一個積極的動態(tài)防御體系，即 IMS—— 入侵管理系統(tǒng)。 第三階段是以基于完全協(xié)議分析 +模式匹配 +異常統(tǒng)計為主的技術(shù)，其優(yōu)點是誤報率、漏報率和濫報率較低，效率高，可管理性強，并在此基礎(chǔ)上實現(xiàn)了多級分布式的檢測管理；缺點是可視化程度不夠，防范及管理功能較弱。 第二階段是以基于模式匹配 +簡單協(xié)議分析 +異常統(tǒng) 計為主的技術(shù)，其優(yōu)點是能夠分析處理一部分協(xié)議，可以進行重組；缺點是匹配效率較低，管理功能較弱。因此， IDS 的未來發(fā)展必然是多元化的，只有通過不斷改進和完善才能更好地協(xié)助網(wǎng)絡(luò)進行安全防御。盡管用戶希望通過部署 IDS 來增強網(wǎng)絡(luò)安全，但不同的用戶需求也不同。同時兩大陣營正式形成：基于網(wǎng)絡(luò)的 IDS 和基于主機的 IDS。這一年，加州大學(xué)戴維斯分校 畢業(yè)設(shè)計（論文）專用紙 第 頁 5 的 等開發(fā)出了 NSM(Network Security Monitor)。 1989年，加州大學(xué)戴維斯分校的 Todd Heberlein寫了一篇 論文 《 A Network Security Monitor》，該監(jiān)控器用于捕獲 TCP/IP 分組，第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機，網(wǎng)絡(luò)入侵檢測從此誕生。 該模型獨立于特定的系統(tǒng)平臺、應(yīng)用環(huán)境、系統(tǒng)弱點以及入侵類型，為構(gòu)建入侵系統(tǒng)提供了一個通用的框架。這份報告被公認(rèn)為是入侵檢測的開山之作。 入侵檢測的歷史 1980 年 4 月， 為美國空軍做了一份題為“ Computer Security ThreatMonitoring and Sureillance”（計算機安全威脅監(jiān)控與監(jiān)視）的技術(shù)報告，第一次詳細(xì)的闡述了入侵檢測的概念。入侵檢測是檢測和響應(yīng) 計算機誤用的學(xué)科，其作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。它能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)聽，可以識別入侵者、識別入侵行為、檢測和監(jiān)視已經(jīng)成功的入侵，并進行入侵響應(yīng)，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。網(wǎng)絡(luò)防火墻雖然 畢業(yè)設(shè)計（論文）專用紙 第 頁 4 為網(wǎng)絡(luò)服務(wù)提供了較好的身份認(rèn)證和訪問控制技術(shù)，但是防火墻并不能阻擋所有的入侵行為，對于內(nèi)部攻擊更是無能為力。但是，傳統(tǒng)的身份認(rèn)證技術(shù) j 包括 Kerberos 技術(shù)，并不能抵制脆弱性的口令，字典攻擊、特洛伊木馬、網(wǎng)絡(luò)窺探工具以及電磁輻射等攻擊手段。繼而，人們制定了一系列的安全法則和評測標(biāo)準(zhǔn)，用來構(gòu)筑一個相對穩(wěn)固的安全系統(tǒng)。對入侵攻擊的檢測與防范、保障計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容 緩的重要課題。與此同時，網(wǎng)絡(luò)入侵者的經(jīng)驗正在變得越來越豐富，攻擊工具和技術(shù)水平不斷提高，攻擊方法也在不斷地創(chuàng)新和更加豐富多樣化。甚至連專門 從事網(wǎng)絡(luò)安全的 RSA 網(wǎng)站也受到黑客的攻擊。然而一個國家的政府、組織、公司和個人在利用 Inter 提高了效率的同時，在保衛(wèi)它們的系統(tǒng)免受網(wǎng)絡(luò)入侵和網(wǎng)絡(luò)攻擊方面也正面臨著巨人的風(fēng)險和挑戰(zhàn)，越來越多的安全問題正在對網(wǎng)絡(luò)應(yīng)用造成巨大的威脅。 畢業(yè)設(shè)計（論文）專用紙 第 頁 3 第 1 章 緒論 論文研究的背景 隨著 Intemet 的發(fā)展，社會對網(wǎng)絡(luò)信息和網(wǎng)絡(luò)應(yīng)用系統(tǒng)的需求和依賴日益增強，計算機網(wǎng)絡(luò)系統(tǒng)正在成為一個國家極為關(guān)鍵的政治、經(jīng)濟、軍事和文教資源，同時，它也正在成為一個國家實力的新的象征和社會發(fā)展的重要保證。在入侵檢測之前，大量的安全機制都是根據(jù)從主觀的角度設(shè)計的 ,他們沒有根據(jù)網(wǎng)絡(luò)攻擊的具體行為來決定安全對策，因此，它們對入侵行為的反應(yīng)非常遲鈍，很難發(fā)現(xiàn)未知的攻擊行 為，不能根據(jù)網(wǎng)絡(luò)行為的變化來及時地調(diào)整系統(tǒng)的安全策略。對于游戲機始終是龍頭的索尼公司，這一泄漏機密信息事件將嚴(yán)重挫傷該公司。 在最近一次黑客大規(guī)模的攻擊行動中， SONY 公司數(shù)據(jù)服務(wù)器被入侵，各種 服務(wù)被迫長時間停止運行，損失超過了十億美金。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時，其他的安全問題又出現(xiàn)了。 黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。系統(tǒng)的 BUG 經(jīng)常被黑客利用，而且這種攻擊通常不 會產(chǎn)生日志，幾乎無據(jù)可查。 任何程序都不可避免的存在 BUG，甚至連安全工具本身也可能存在安全的漏洞。曾經(jīng)作為最主要安全防范手段的防火墻，已經(jīng)不能滿足人們對網(wǎng)絡(luò)安全的需求。個人、企業(yè)以及政府部門越來越多地依靠網(wǎng)絡(luò)傳遞信息 , 然而網(wǎng)絡(luò)的開放性與共 享性容易使它受到外界的攻擊與破壞 ,信息的安全保密性受到嚴(yán)重影響。但在連結(jié)信息能力、流通能力提高的同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出。 關(guān)鍵詞： 網(wǎng)絡(luò)安全，網(wǎng)絡(luò)入侵，入侵檢測技術(shù)，入侵檢測系統(tǒng) 畢業(yè)設(shè)計（論文）專用紙 第 頁 II Analysis and Application of Intrusion Detection Technology Abstract Recent years, with the rapid development of puter works, work security issues more and more attention. From the perspective of work security, firewall and other security protection technology is a passive defense technology, but as far as possible to prevent attacks or slow the attack, only under special, set rules that allow or restrict the transmission o