入侵检测技术在网络安全中的应用….docVIP

第一章 绪论 1．1入侵检测和网络安全研究现状 网络技术给生产和生活带来了方便，人们之间的距离也因网络的存在而变得更近。同时，计算机系统和网络也面临着日益严重的安全问题。利用漏洞，攻击者可能简单地得到系统的控制权；利用病毒、蠕虫或木马，攻击者可以让攻击自动进行，控制数量众 多的主机；甚至发起拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击。不少攻击工具功能比过去完善，攻击者在使用时不需要编程知识，使得网络攻击的门槛变低。攻击者 的目的性比过去更为明确，经济利益驱使他们在网络中进行诈骗、盗窃、获取秘密等犯罪行为。面对网络中海量的、转瞬即逝的数据，发现攻击并对其取证的工作十分困难。 目前，网络安全设备种类繁多，功能强大，但配置仍然相对复杂。常见的安全设备有防火墙、反病毒设备、入侵检测／防御、虚拟专用网及与审计相关的认证、授权系统。只有建立完整的网络安全系统，才有可能保证网络的安全。如果网络安全体系没有在网 络建设的开始就加以考虑，而是在完成网络结构的设计后再向网络中添加安全设备，可能会造成更大的安全漏洞和隐患。 入侵检测作为网络安全技术中最重要的分支之一，入侵检测系统能够及时发现攻击并采取相应措施，它有着传统的防火墙、安全审计工具所没有的特点。通过对网络关键 节点中的数据进行收集和分析检测，发现可能的攻击行为。 1．2本课题的研究意义 网络安全关乎国家安全，建立网络安全体系结构需要可靠的入侵检测系统。对国外优秀的开源入侵检测系统进行分析和研究，并对其加以改进，对开发拥有自主知识产权的入侵检测系统有着积极的意义。 第二章 入侵检测和网络安全概述 2．1入侵检测系统概述 2．1．1入侵和入侵检测的概念 入侵是所有试图破坏网络信息的完整性、保密性、可用性、可信任性的行为。入侵是一个广义的概念，不仅包括发起攻击的人取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝服务等危害计算机和网络的行为。入侵行为主要有以下几种： ①外部渗透指既未被授权使用计算机，又未被授权使用数据或程序资源的渗透； ②内部渗透指虽被授权使用计算机，但是未被授权使用数据或程序资源的渗透； ③不法使用指利用授权使用计算机、数据和程序资源的合法用户身份的渗透。这几种入侵行为是可以相互转变，互为因果的。例如，入侵者通过外部渗透获取了某用户的账号和密码，然后利用该用户的账号进行内部渗透；最后，内部渗透也可以转变为不法使用。 入侵检测是指通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。 2．1．2入侵检测系统的分类 不同的入侵检测系统有着技术、系统结构、实现方式、检测方法和检测对象等方面的差别。从这些角度，可以将入侵检测系统大致分为以下几类： 2．1．2．1根据所检测的对象分类 (1)基于网络的IDS(NIDS) 通过将网卡置于混杂模式，IDS可以被动地监听网络中的所有原始流量，并对获取的数据进行处理，再与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。 此类IDS通常放置于网络中的关键位置，如内部网与外部网相连的边界上。使用多个传感器的分布式NIDS，它能够实时地监测网络中的所有数据，且不需要在每台服务器上安装和配置，部署成本较低，使用相当广泛。另外，除非入侵者攻陷IDS，否则即使能成功清除被攻击主机的日志也无济于事。 目前，大多数企业将交换机和路由器作为主要的网络设备，HUB已渐渐退出历史舞台。交换网络的普及给HIDS的监听带来了一定的困难。虽然某些型号的交换机支持将所有数据包发送到镜像端口，但这会牺牲一些性能。此外，这类IDS对加密后的数据流通常无能为力。 (2)基于主机的IDS(HIDS) 这类IDS试图从操作系统的审计跟踪日志判断入侵事件的线索。一方面它对抵达主机的数据进行分析并试图确认哪些是潜在的威胁，另一方面对入侵者留下的痕迹进行分析，找到入侵的证据。 此类IDS可以对系统日志进行分析，从中发现入侵企图并向管理员报告。如登录失败、非授权访问等情况。它还能查找系统文件和系统配置的改变，为入侵行为提供证据。 它能分析进程的行为，如果进程出现试图访问内核资源、访问其它进程资源、蓄意制造溢出等情况时，则可能出现了入侵行为或感染了病毒。 HIDS具有较高的准确性，记录的内容可能非常详细，但它会明显影响主机的性能，在服务器遭受毁灭性攻击时，HIDS也可能同时被破坏。 (3)混合式IDS，综合基于网络和基于主机两种结构特点的IDS，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。 (4)文件完整性检查工具，保护关键文件的完整性，检查文件是否被修改，从而检