【正文】 應(yīng)（Response）將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險最低”的狀態(tài)。而且，無論在理論上還是在實踐中，試圖徹底填補(bǔ)一個系統(tǒng)的安全漏洞都是不可能的，也還沒有一種切實可行的辦法解決合法用戶在通過“身份鑒別”或“身份認(rèn)證”后濫用特權(quán)的問題。再次，保證信息系統(tǒng)安全的經(jīng)典手段是“存取控制”或“訪問控制”，這種手段在經(jīng)典的以及現(xiàn)代的安全理論中都是實行系統(tǒng)安全策略的最重要的手段。.防火墻只實現(xiàn)了粗粒度的訪問控制。.防火墻的安全控制主要是基于IP地址的，難于為用戶在防火墻內(nèi)外提供一致的安全策略。一般來說，由多個系統(tǒng)（路由器、過濾器、代理服務(wù)器、網(wǎng)關(guān)、堡壘主機(jī)）組成的防火墻，管理上有所疏忽是在所難免的。防火墻的管理及配置相當(dāng)復(fù)雜，要想成功的維護(hù)防火墻，要求防火墻管理員對網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解。而據(jù)權(quán)威部門統(tǒng)計結(jié)果表明，網(wǎng)絡(luò)上的安全攻擊事件有70%以上來自內(nèi)部攻擊。防火墻的安全控制只能作用于外對內(nèi)或內(nèi)對外，即：對外可屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，封鎖外部網(wǎng)上的用戶連接內(nèi)部網(wǎng)上的重要站點或某些端口，對內(nèi)可屏蔽外部危險站點，但它很難解決內(nèi)部網(wǎng)控制內(nèi)部人員的安全問題。防火墻技術(shù)是內(nèi)部網(wǎng)最重要的安全技術(shù)之一，其主要功能就是控制對受保護(hù)網(wǎng)絡(luò)的非法訪問，它通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對內(nèi)屏蔽外部危險站點，用以防范外對內(nèi)、內(nèi)對外的非法訪問。這些措施實際上就是一些緊急應(yīng)對和響應(yīng)措施。這樣的檢測機(jī)制對保證大壩的安全至關(guān)重要。然而，單純的防護(hù)技術(shù)有許多方面的問題：首先，單純的防護(hù)技術(shù)容易導(dǎo)致系統(tǒng)的盲目建設(shè)，這種盲目包括兩方面：一方面是不了解安全威脅的嚴(yán)峻和當(dāng)前的安全現(xiàn)狀；另一方面是安全投入過大而又沒有真正抓住安全的關(guān)鍵環(huán)節(jié)，導(dǎo)致不必要的浪費(fèi)。傳統(tǒng)的信息安全技術(shù)都集中在系統(tǒng)自身的加固和防護(hù)上。這個準(zhǔn)則的發(fā)布對操作系統(tǒng)、數(shù)據(jù)庫等方面的安全發(fā)展起到了很大的推動作用。實際上，安全就是防范潛在的危機(jī)?！笆裁词虑橐矝]有”實際上就是安全的最高境界。而“安全”是一個非常難于量化的指標(biāo)，真正是一個看不見摸不著的東西。系統(tǒng)性能的高低在一定程度上可以通過量化指標(biāo)來表現(xiàn)。信息安全是一種很難量化的概念，我們可以把信息系統(tǒng)的“性能”與“安全”做一個簡單的對比。入侵檢測系統(tǒng)作為一種商品也具有非常大的市場和效益。入侵檢測系統(tǒng)在未來的網(wǎng)絡(luò)安全和軍事斗爭中將起到非常重要的作用。他們都在入侵檢測技術(shù)上有多年的研究。我們的目標(biāo)是設(shè)計一個分布式的入侵檢測系統(tǒng)，它具有可擴(kuò)展性、跨平臺性、安全性和開放性，并實現(xiàn)了其中的網(wǎng)絡(luò)引擎部分?？梢姡肭謾z測技術(shù)應(yīng)該進(jìn)行進(jìn)一步的研究。在國內(nèi)，隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來越多，迫切需要具有自主版權(quán)的入侵檢測產(chǎn)品。入侵檢測作為一種積極主動地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。PDR2表示Protection、Detection、Recovery和Response，即保護(hù)、檢測、恢復(fù)和響應(yīng)。作者簽名： 日期： 年 月 日導(dǎo)師簽名： 日期： 年 月 日目 錄引言 1第一章 入侵檢測系統(tǒng)概述 2 TCSEC難以適應(yīng)新的網(wǎng)絡(luò)環(huán)境 2 P2DR：動態(tài)安全模型 4 入侵檢測系統(tǒng) 5 入侵檢測系統(tǒng)的分類 5 入侵檢測系統(tǒng)的發(fā)展趨勢 8 CIDF模型 11第二章 分布式入侵檢測系統(tǒng) 12 現(xiàn)有入侵檢測系統(tǒng)的不足 12 主要功能要求 13 系統(tǒng)概述 14 系統(tǒng)部署 15第三章 網(wǎng)絡(luò)引擎和主機(jī)代理 19 網(wǎng)絡(luò)引擎的設(shè)計 19 檢測匹配方法的改進(jìn) 19 網(wǎng)絡(luò)引擎設(shè)計 21 主機(jī)代理 25 數(shù)據(jù)來源 25 代理結(jié)構(gòu) 26第四章 存儲系統(tǒng)和分析系統(tǒng) 29 存儲系統(tǒng) 29 數(shù)據(jù)載入 29 數(shù)據(jù)縮減 30 推與拉技術(shù) 31 分析系統(tǒng) 32 基于行為的檢測 32 基于知識的檢測 34第五章 控制臺與響應(yīng)系統(tǒng) 37 控制臺 37 事件管理 37 安全管理 38 報告生成 38 部件管理 38 誤報警管理 39 響應(yīng)系統(tǒng) 39 常用響應(yīng)技術(shù) 40第六章 系統(tǒng)自身的安全 43 44 安全通信 45第七章 網(wǎng)絡(luò)引擎實現(xiàn) 52 檢測規(guī)則 52 規(guī)則格式 52 規(guī)則選項 55 匹配算法 59結(jié)束語 62致謝 63參考文獻(xiàn) 64分布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn)引言在計算機(jī)安全的發(fā)展中，系統(tǒng)安全模型在逐步的實踐中發(fā)生變化。本人授權(quán)　　 　 　大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。本人完全意識到本聲明的法律后果由本人承擔(dān)。除了文中特別加以標(biāo)注引用的內(nèi)容外，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫的成果作品。作 者 簽 名：　　 　 　　日　 期：　　 　 　　 指導(dǎo)教師簽名：　　 　 　　 日　　期：　　 　 　　 使用授權(quán)說明本人完全了解 大學(xué)關(guān)于收集、保存、使用畢業(yè)設(shè)計（論文）的規(guī)定，即：按照學(xué)校要求提交畢業(yè)設(shè)計（論文）的印刷本和電子版本；學(xué)校有權(quán)保存畢業(yè)設(shè)計（論文）的印刷本和電子版，并提供目錄檢索與閱覽服務(wù)；學(xué)?？梢圆捎糜坝?、縮印、數(shù)字化或其它復(fù)制手段保存論文；在不以贏利為目的前提下，學(xué)?？梢怨颊撐牡牟糠只蛉績?nèi)容。盡我所知，除文中特別加以標(biāo)注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過的研究成果，也不包含我為獲得 及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過的材料。關(guān)鍵字 入侵檢測；模式匹配AbstractWith more and more site intruded by hackers, security expert found than only use crypt technology to build a security system is not enough. The Intrusion Detection is a new security technology, apart from tradition security protect technology, such as firewall and data crypt. IDSs watch the puter and network traffic for intrusive and suspicious activities. they not only detect the intrusion from the Extranet hacker, but also the intranet users.We design a ponentbased Intrusion Detection System, which has good distribute and scalable ability. It bine the networkbased IDS and hostbased IDS into a system, and provide detection, report and respone together.In the implement of the network engine, the bination of network protocol analyze and pattern match technology is used, and reduce scope to search. We also improved pattern match algorithm, the network engine can search intrusion signal more quickly. We use network interface detection in host agent, which will enable the IDS work on switch network fine.Keyword IDS。同時改進(jìn)了匹配算法，使得網(wǎng)絡(luò)引擎具有更好的實時性能。他將基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)有機(jī)地結(jié)合在一起，提供集成化的檢測、報告和響應(yīng)功能。他對計算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識別和響應(yīng)，它不僅檢測來自外部的入侵行為，同時也監(jiān)督內(nèi)部用戶的未授權(quán)活動。分布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn)分布式入侵監(jiān)測系統(tǒng)設(shè)計與實現(xiàn)摘 要隨著黑客入侵事件的日益猖獗，人們發(fā)現(xiàn)只從防御的角度構(gòu)造安全系統(tǒng)是不夠的。入侵檢測技術(shù)是繼“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護(hù)措施后新一代的安全保障技術(shù)。本文提出一種基于部件的入侵檢測系統(tǒng)，具有良好的分布性能和可擴(kuò)展性。在網(wǎng)絡(luò)引擎的實現(xiàn)上，使用了協(xié)議分析和模式匹配相結(jié)合的方法，有效減小目標(biāo)的匹配范圍，提高了檢測速度。在主機(jī)代理中的網(wǎng)絡(luò)接口檢測功能，有效地解決了未來交換式網(wǎng)絡(luò)中入侵檢測系統(tǒng)無法檢測的致命弱點。 pattern match畢業(yè)設(shè)計（論文）原創(chuàng)性聲明和使用授權(quán)說明原創(chuàng)性聲明本人鄭重承諾：所呈交的畢業(yè)設(shè)計（論文），是我個人在指導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。對本研究提供過幫助和做出過貢獻(xiàn)的個人或集體，均已在文中作了明確的說明并表示了謝意。作者簽名：　　 　 　　 日　 期：　　 　 　　 學(xué)位論文原創(chuàng)性聲明本人鄭重聲明：所呈交的論文是本人在導(dǎo)師的指導(dǎo)下獨立進(jìn)行研究所取得的研究成果。對本文的研究做出重要貢獻(xiàn)的個人和集體，均已在文中以明確方式標(biāo)明。作者簽名： 日期： 年 月 日學(xué)位論文版權(quán)使用授權(quán)書本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。涉密論文按學(xué)校規(guī)定處理。由一開始的靜態(tài)的系統(tǒng)安全模型逐漸過渡到動態(tài)的安全模型，如PDR2模型。檢測已經(jīng)是系統(tǒng)安全模型中非常重要的一部分。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測理應(yīng)受到人們的高度重視，這從國外入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出。但現(xiàn)狀是入侵檢測還不夠成熟，處于發(fā)展階段，或者是防火墻中集成較為初級的入侵檢測模塊。本課題是網(wǎng)絡(luò)安全實驗室自擬課題“網(wǎng)絡(luò)數(shù)據(jù)分析”的一部分。目前入侵檢測品主要廠商有ISS公司（RealSecure）、Axent公司（ITA、ESM）， 以 及NAI（CyberCop Monitor）。 其中ISS公司的RealSecured的智能攻擊識別技術(shù)是當(dāng)前IDS系統(tǒng)中最為先進(jìn)的。在經(jīng)濟(jì)領(lǐng)域中它可以及時發(fā)現(xiàn)、阻攔入侵行為，保護(hù)保護(hù)企業(yè)來自不滿員工、黑客和競爭對手威脅，保證企業(yè)信息信息平臺的正常運(yùn)轉(zhuǎn)。第一章 入侵檢測系統(tǒng)概述信息系統(tǒng)的安全問題是一個十分復(fù)雜的問題，可以說信息系統(tǒng)有多復(fù)雜，信息系統(tǒng)安全問題就有多復(fù)雜；信息系統(tǒng)有什么樣的特性，信息系統(tǒng)安全就同樣具有類似的特性。針對網(wǎng)絡(luò)吞吐量、主機(jī)的運(yùn)算速度、數(shù)據(jù)庫的TPC指標(biāo)等這類性能問題，用戶可以根據(jù)自己的業(yè)務(wù)要求、資金條件等方面考慮取舍。換句話說，系統(tǒng)性能的提高，用戶雖然摸不到，但卻是可以看到的。因此安全問題很容易表面上受到重視，而實際上沒有真正得到重視。但是，“什么事情也沒有”也正是導(dǎo)致忽視安全問題的原因所在。 TCSEC難以適應(yīng)新的網(wǎng)絡(luò)環(huán)境在信息安全的發(fā)展史上有一個里程碑，這就是1985年美國國防部（DoD）國家計算機(jī)安全中心（NCSC）發(fā)布的可信計算機(jī)安全評估準(zhǔn)則（TCSEC）[1]。但是隨著網(wǎng)絡(luò)的深入發(fā)展，這個標(biāo)準(zhǔn)已經(jīng)不能完全適應(yīng)當(dāng)前的技術(shù)需要，因為這個主要基于HostTerminal環(huán)境的靜態(tài)安全模型和標(biāo)準(zhǔn)無法完全反應(yīng)分布式、動態(tài)變化、發(fā)展迅速的Internet安全問題。比如，采用B級操作系統(tǒng)和數(shù)據(jù)庫、在網(wǎng)絡(luò)出口配置防火墻、在信息傳輸和存儲中采用加密技術(shù)、使用集中的身份認(rèn)證產(chǎn)品等。舉例來說，一個水庫的大壩到底應(yīng)當(dāng)修多高？大壩有沒有漏洞？修好的大壩現(xiàn)在是否處在危險的狀態(tài)？實際上，我們需要相應(yīng)的檢測機(jī)制，例如，利用工程探傷技術(shù)檢查大壩的質(zhì)量是否符合要求、觀察當(dāng)前的水位是否超出了警戒水位。當(dāng)發(fā)現(xiàn)問題之后就需要迅速做出響應(yīng)，比如，立即修補(bǔ)大壩的漏洞并進(jìn)行加固；如果到達(dá)警戒水位，大壩就需要有人24小時監(jiān)守，還可能需要泄洪。其次，防火墻策略對于防范黑客有其明顯的局限性[4]。但也有其明顯的局限性，諸如：.防火墻難于防內(nèi)。即防外不防內(nèi)。.防火墻難于管理和配置，易造成安全漏洞。防火墻的安全策略無法進(jìn)行集中管理。根據(jù)美國財經(jīng)雜志統(tǒng)計資料表明，30%的入侵發(fā)生在有防火墻的情況下。許多防火墻對用戶的安全控制主要是基于用戶所用機(jī)器的IP地址而不是用戶身份，這樣就很難為同一用戶在防火墻內(nèi)外提供一致的安全控制策略，限制了企業(yè)網(wǎng)的物理范圍。防火墻只實現(xiàn)了粗粒度的訪問控制，且不能與企業(yè)內(nèi)部使用的其它安全機(jī)制（如訪問控制）集成使用，這樣，企業(yè)就必須為內(nèi)部的身份驗證和訪問控制管理維護(hù)單獨的數(shù)據(jù)庫。但迄今為止，軟件工程技術(shù)還沒有達(dá)到A2級所要求的形式生成或證明一個系統(tǒng)的安全體系的程度，所以不可能百分之百地保證任何一個系統(tǒng)（尤其是底層系統(tǒng)）中不存在安全漏洞。 P2DR：動態(tài)安全模型針對日益嚴(yán)重的網(wǎng)絡(luò)安全問題和越來越突出的安全需求，“可適應(yīng)網(wǎng)絡(luò)安全模型”和“動態(tài)安全模型”應(yīng)運(yùn)而生[5]。防護(hù)、檢測和響應(yīng)組成了一個完整的、動態(tài)的安全循環(huán)。由于入侵檢測和響應(yīng)密切相關(guān)，而且現(xiàn)在沒有獨立的響應(yīng)系統(tǒng)，所以決大多數(shù)的入侵檢測系統(tǒng)都具有響應(yīng)功能。1．基于主機(jī)的入侵檢測系統(tǒng)基于主機(jī)的入侵檢測出現(xiàn)在80年代初期，那時網(wǎng)絡(luò)還沒有今天這樣普遍、復(fù)雜，且網(wǎng)絡(luò)之間也沒有完全連通。由于入侵在當(dāng)時是相當(dāng)少見的，在對攻擊的事后分析就可以防止今后的攻擊?；谥鳈C(jī)的IDS仍使用驗證記錄，但自動化程度大大提高，并發(fā)展了精密的可迅速做出響應(yīng)的檢測技術(shù)