基于Snort入侵检测引擎的研究与设计-计算机应用技术专业论文.docxVIP

联网安全系统公司)的 RealSecure 。较为著名的商用入侵检测产品还有: NAI 公 司的 CyberCop Monitor 、Axent 公司的 NetProwler 、CISCO 公司的 Netranger 、CA 公司的 Sessionwall-3 等。目前，普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯 国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了 当前 的最高水平。随着计算机系统软、硬件的飞速发展，以及网络技术、分布式计算、 系统工程远人工智能等计算机新兴技术与理论的不断发展与完善，入侵检测理论 本身也处于发展变化中，但还未形成一个比较完整的成熟的理论体系。 在国内 ，随着上网的关键部门、关键业务越来越多 ，更需要具有自主版权的 入侵检测产品。我国在这方面的研究相对较晚，国内的该类产品较少，但发展较 快，已有总参北方所、中科阿戚、启明星辰等公司推出产品。 目前入侵检测技术主要包括以下几个方面: (1)基于神经网络的入侵检测技术 基于神经网络的入侵检测技术是近几年来的研究热点之一。该入侵检测技术 的关键在于检测前要用入侵样本进行训练以使其具备对某些入侵行为进行分类的 能力从而能够正确认识各种入侵行为。采用神经网络的检测模型具有高维性、 广泛互联性以及自适应 a性等优点[21.J.Bonifacio 等人通过使用 MLP 神经网络分析 数据包与入侵签名匹配的结果得到了较高的正确率。在后来的研究中很多学者还 提出了很多改进算法使基于神经网络的入侵检测系统的正确率也有很大的提高。 (2)基于专家系统的入侵检测技术 入侵检测的另外 一 个值得重视的研究方向就是基于专家系统的入侵检测技 术。即根据安全专家对可疑行为的分析经验来形成 一套推理规则，然后再在此基 础之上构成相应的专家系统。例如，在数分钟之内某个用户连续进行登录，而且 失败超过 三次就可以被认为是 一次攻击行为。同时应当说明的是基于规则的专家 系统或推理系统也有其局限性。因为作为这类系统的基础的推理规则 一般都是根 据已知的安全漏洞进行安排和策划的，而对系统最危险的威胁则主要是来自未知 的安全漏洞且其功能又要求能够随着经验的积累而利用其自学能力进行对规则的 扩充和修正。但是专家系统对历史数据的依赖性总的来说比较小。因此系统的适 应性比较强可以较灵活地适应安全策略和检测的要求。 (3)基于Agents 的分布式入侵检测技术 基于 Agents 的分布式入侵检测技术是目前大型网络安全中的 一种新的网络 通信技术同时又是 一种入侵检测技术。其主要思想是利用相对独立的自治的实体 Agnet 来完成审计数据收集或数据分析 工作以及 IDS 在分布式环境中的协同工作， 消除不同系统的差别因素等。他是 一种代表用户或其它程序的软件模块在需要的 时候能够主动地或被动地从一个网络节点迁移到另 一个节点 。相对于传统的C/S 模式可移动代理技术为分布式入侵检测提供了 一种更有效更灵活的模式，并且具 有交互式异步处理减少网络流量等优点[3]。 (4) 基于模型推理的入侵检测技术 攻击者在攻击 一个系统时往往采用 一定的行为程序。如猜测口令的程序，这 种行为程序构成了某种具有一定行为特征的模型。根据这种模型所代表的攻击意 图的行为特征，可以实时地检测出恶意的攻击企图。用基于模型推理的入侵检测 技术，人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的 某些话动。有 时为 了准确判断 ，要为不同的入侵行为和不同系统建 立特定的入侵 检测脚本，根据假设的入侵检测脚本，这种系统通常可以检测出入侵行为。 从技术上讲，入侵检测系统存在以下几个急 于解决的问题: (1)入侵检测系统本身还在迅速发展和变化，远未成熟 目前，绝大多数的商业入侵检测系统的工作原理和病毒检测相似，自身带有 一定规模和数量的人侵特征模式库，可以定期更新。这种方式有很多弱点:不灵 活，仅对已知的攻击手段有效;同时特征模式库的提取和更新依赖于手工方式， 维护不易。而具有自适应能力、能自我学习的入侵检测系统还远未成熟，入侵检 测系统技术在理论上还有待突破 [4]。 (2) 现有入侵检测系统错报或虚警概率偏高，严重干扰了结果 如果入侵检测系统对原本不是攻击的事件产生了错误的警报，则假的警报 一 般称为虚誓。通常这些错报会干扰管理员的注意力，产生两种后果:一是忽略报 警，这样做的结果和安装入侵检测系统的初衷相背;二是重新调整临界值，使系 统对虚报的事件不再敏感，但这样做之后 一旦有真的相关攻击事件发生，入侵检 测系统将不再报警，这同样损失了入侵检测系统的功效。 (3)事件响应与恢复机制不完善 这一部分对入侵检测系统非常必要，但目前几乎都被忽略，即使有，相当有 限的响应和恢复功能