基于协议分析和免疫原理的入侵检测技术分析-analysis of intrusion detection technology based on protocol analysis and immune principle.docxVIP

下载本文档

1
0
约3.77万字
约 54页
2018-05-20 发布于上海
举报
版权申诉

基于协议分析和免疫原理的入侵检测技术分析-analysis of intrusion detection technology based on protocol analysis and immune principle.docx

1、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

基于协议分析和免疫原理的入侵检测技术分析-analysis of intrusion detection technology based on protocol analysis and immune principle

江苏科技大学学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权江苏科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。本学位论文属于：(1)保密□，在年解密后适用本授权书。(2)不保密□。学位论文作者签名：指导教师签名：年月日年月日第1章绪论1.1 入侵检测的研究意义1.1.1 网络安全现状随着计算机网络技术的飞速发展及大规模应用，互联网逐渐成为整个社会基础设施中最重要的部分之一。当前的社会生产和日常生活从开放的互联网上受益无穷，只需要一部联网的设备就可以和世界零距离的接触。互联网为社会的政治、经济、文化等方面的发展做出了巨大的促进作用。但就在我们愈来愈深地感受到互联网所带来的巨大便利，并由此产生对计算机网络越来越强的依赖性时，却不得不面对网络安全问题日趋严峻的考验。根据中国互联网络信息中心(CNNIC)发布的《第25次中国互联网络发展状况统计报告》[1]显示，截止2009年底，中国网民规模达到3.84亿人，较2008年增长28.9%，在总人口中的比重从22.6%提升到28.9%，互联网普及率在稳步上升。随着网络的普及，网络安全的问题也越来越突出。调查显示：56. 6%的网民遭遇过木马病毒的攻击，31. 5%的网民遭遇过帐号密码被盗的问题。CNNIC 发布的报告表明，我国至少有40%的网站存在比较严重的安全隐患，国内一些比较著名的网站都曾受到黑客的攻击，面临严重的网络安全威胁。因此，如何保证网络安全成为一个急待解决的重大课题，研究网络安全具有重大的现实意义。1.1.2 入侵检测的必要性防火墙作为防范网络攻击最常用的方法，在保护网络安全中起着重要作用。其主要功能是控制对网络的非法访问，通过监视、限制、更改通过流经网络的数据流，一方面尽可能屏蔽内网的拓扑结构，另一方面屏蔽外部危险站点，以防范外对内的非法访问。然而，防火墙也存在一些明显的缺陷和不足[2-3]：（1）大量潜在的后门：防火墙不能防范那些不经过防火墙的攻击，实际上内部网络中存在着很多这样的后门。（2）限制有用的网络服务：为了提高被保护网络的安全性，限制或关闭了很多有用但存在安全缺陷的网络服务。（3）不能提供实时的入侵检测能力：因为性能的限制，防火墙一般不能提供实时的入侵检测能力。由于传统防火墙存在的缺陷和不足，引发了入侵检测系统(Intrusion DetectionSystem，IDS)的研究。入侵检测系统能够在不影响网络性能的前提下，通过收集和分析计算机系统若干关键点的信息，从中发现攻击行为并根据相应的安全策略进行相应。它可以有效弥补防火墙的不足，提供更加深入的安全保护。防火墙不能阻止内部的入侵行为，不能够检测正常的网络数据中隐藏的入侵行为，利用入侵检测可以很好的解决这类问题，它为整个网络安全提供了立体的防护体系。现在，入侵检测正成为网络安全领域研究的一个热点，在保护网络安全方面发挥着越来越重要的作用。1.2 入侵检测的研究现状1.2.1 基于协议分析的入侵检测技术研究现状1998 年,NetworkIce 提出了一种全新的入侵检测方法———协议分析，基于协议分析的检测方法被称为第三代入侵检测技术[4]。该方法是NetworkIce 网络安全解决方案的基础和核心，在理论上是检测方法的革命，引起了入侵检测领域的不同反响和关注。协议分析技术与模式匹配方法的结合，大大改善了系统效率。协议分析大大缩减了计算量，命令解析器具有读取攻击字符串及其所有可能的变形，并挖掘其本质含义的能力。协议分析方法可有效检测到碎片攻击，最大限度的地减少了误报，提高了检测准确率，降低了系统开销。李信满等在基于应用的高速网络入侵检测系统研究[5]一文中提出，将应用层协议分析方法应用到网络入侵检测中。传统的网络入侵检测方法，要么不做协议分析，要么只对TCP/IP协议进行分析。这种基于应用的入侵检测方法在进行TCP/IP协议分析后，还要对应用层协议进行分析。与传统的入侵检测方法相比，基于应用的入侵检测方法主要改进了以下两方面的性能：（1）降低了误报率。比如基于CGI的PHF攻击，其攻击特征是“/cgi-bin/phf”，传统的入侵检测系统无论是在什么位置找到该字符串，都认为是攻击，而实际上该字符串只有出现在HTTP协议包头的URL域中时才代表攻击。基于应用的入侵检测方法由于可对HTTP协议进行分析，快速定位到URL域进行匹配，因此不会产生类似的误报。（2）便于识别伪装的攻击。比如Web攻击中对攻击字符串采用UNICODE 编码，或将一个攻击字符串分散在多个网络数据包中，都可躲过传统的网络入侵检测系统。而对于基于应用