基于超级节点的对等网络结构入侵检测系统设计分析-design and analysis of peer-to-peer network structure intrusion detection system based on super node.docxVIP

优秀毕业论文 精品参考文献资料 第一章 绪论 入侵检测技术作为一种能够自动、实时地保障网络信息安全的动态安全技术，越来越受 到国内外学者的重视；而分布式入侵检测系统更是随着高速网络和分布式入侵攻击的出现成 为目前入侵检测的研究热点。 1.1 课题背景 计算机网络技术的发展使得信息的传送和处理突破了时间和地域的限制，互联网的爆炸 性发展更进一步为人类的信息交互、科学、技术、文化、教育、生产的发展提供了极大的便 利。Internet在为人类发展创造一个更广阔天地的同时，也为入侵者提供了一个可利的平台。 在互联网上，信息的泄漏、被盗取、被篡改和被破坏的危险时时刻刻都存在[1] 。 通常，网络安全威胁主要来自以下几个方面：病毒、黑客攻击、网络产品物理方面的安 全性、网络内部用户滥用权限、防火墙和主机的配置不合理、应用程序存在安全漏洞、网络 协议方面的安全性[2] ，例如网络核心协议TCP本身缺乏安全方面的考虑、操作系统的安全性， 例如最流行的操作系统Windows存在不少的安全漏洞[3] 、缺乏有效的手段监视和评估网络的安 全性。 图1-1 入侵手段发展图 1988 年的莫里斯蠕虫事件揭开了大规模网络攻击的序幕，虽然该程序的攻击方法比较简 单，但时由此造成的损失至今也难以估计。到 2000 年初，Yahoo、亚马逊等国际知名网站， 以及新浪、8848、IT168 等国内网站纷纷遭到的“分布式拒绝服务攻击”，各网站为他们对 信息安全的忽视付出了惨痛的代价，至此大规模网络攻击达到了高潮。由于 Windows 安全漏 洞造成的针对网络主机的大范围 RPC 攻击，再次为人们敲响了警钟。 根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过170亿美元。75%的公司 报告财政损失是由于计算机系统的安全问题造成的，只有17%的公司愿意报告是由于黑客入侵 造成的。大部分公司由于担心负面影响而不愿声张。在所有的损失中虽然只有59%可以定量估 算，但每个组织的平均损失已经达到40万美元之多。 就我国而言，据国家计算机网络应急技术处理协调中心(CNCERT/CC)统计报告显示[4] ， 2005年，CNCERT/CC共收到国内外通过应急热线、网站、电子邮件等报告的网络安全事件12 万多件，平均每月1万多件。需要说明的是，2005年收到的事件报告中约93%为扫描类网络安 全事件。除扫描外的国内外网络安全事件报告共9112件。 1.2 入侵检测系统研究现状与发展方向 一、国内外研究现状 面对网络信息安全严峻的现实，人们清醒的认识到计算机和网络的发展离不开信息安全 技术的保障，随着人们安全意识的提高，安全领域的探索和研究正日益深入。信息安全问题 已经成为信息技术研究领域的热点之一，世界各国都投入了大量的人力、物力和财力，不遗 余力的提高计算机信息系统的安全性。 从1998年开始，位于美国卡内基梅隆大学的CERTCC(计算机紧急响应小组协调中心)就开 始调查入侵者的活动。并给出了黑客入侵攻击方式的四种趋势[5] ： 1、攻击过程的自动化与攻击工具的快速更新，主要反应在： (1)攻击工具的自动化程度继续不断增强。自动化攻击涉及到的四个阶段都发生了变化。 (2)扫描潜在的受害者。从1997年起开始出现大量的扫描活动。目前，新的扫描工具利用 更先进的扫描技术，变得更加有威力，并且提高了速度。 (3)入侵具有漏洞的系统。以前，对具有漏洞的系统的攻击是发生在大范围的扫描之后的。 现在，攻击工具已经将对漏洞的入侵设计成为扫描活动的一部分，由此大大加快了入侵的速 度。 (4)攻击扩散。2000年之前，攻击工具需要一个人来发起其余的攻击过程。现在，攻击工 具能够自动发起新的攻击过程。例如红色代码和Nimda病毒这些工具就在18个小时之内传遍了 全球。 (5)攻击工具的协同管理。自从1997年起，随着分布式攻击工具的产生，攻击者能够更加 有效地发起一个分布式拒绝服务攻击。协同功能利用了大量大众化的协议如IRC (Internet Relay Chat)等的功能。 2、攻击工具的不断复杂化，当今攻击工具的三个重要特点是反检测功能、动态行为特点  PAGE 7 以及攻击工具的模块化，主要反映在： (1)反检测。攻击者采用了能够隐藏攻击工具的技术。这使得安全专家想要通过各种分析 方法来判断新的攻击的过程变得更加困难和耗时。 (2)动态行为。以前的攻击工具按照预定的单一步骤发起进攻，而现在的自动攻击工具能 够按照不同的方法更改它们的特征，如随机选择、预定的决策路径或者通过入侵者直接的控 制。 (3)攻击工具的模块化。和以前攻击工具仅仅实现一种攻击相比，新的攻击工具能够通过 升级或者对部分模块的替换完成快速更改。而且，攻击工具能够