网络监测与监控.docVIP

网络的监控与检测

前言

网络发展到今天，已经彻底改变了人类生活、工作的方式。信息化革命对人类生产、生活的影响远远大过前几次的传统的工业革命。现在，人们发现，没有了电脑，生活就像瘫痪；没有了网络，就像生活在古代社会，完全落后于现代文明。网络以其迅猛的发展，迅速占据了人们生活的方方面面，人们已经对网络产生了依赖，截止到2012年7月底，我国的网民数量已经超过了5.38亿。但是随着网络的普及以及网络技术的迅猛发展，技术漏洞的无可避免，广大网络黑客们出于各种目的，利用遍布世界各地的网络迅速传播病毒并发起攻击，对现有的网络信息安全构成了巨大的威胁。病毒、木马、蠕虫等等泛滥成灾。网络入侵攻击事件与日俱增，无论网络信息系统有多么安全坚固不易被入侵，最后都被成功入侵了，可见网络安全现实的严峻性。网络入侵，它所带来的威胁和影响已经远远超出了预期，它的威胁直指经济安全和国家安全。

源自计算机操作系统和计算机网络中的各种数据流，经过系统内部一系列的规则分析匹配，从而判断出是否已经有入侵行为发生。入侵检测系统可以同时检测来自内部用户未授权的非法活动和外部的攻击行为。对内部攻击的检测主要是基于主机的，主要检测内部用户的越权行为；对外部的入侵检测主要是基于网络的，主要检测网络上的攻击行为。这两步都是网络安防的重点。

2.1入侵检测系统概述

现在市场上的IDS产品种类繁多，无论是在数据的采集，系统的布局，信息的分析方法，响应的模式上都有很大的差异。

通常，入侵检测分为异常检测和误用检测两大类。异常检测是试图建立一个正常的运行模式和规则，对在网络中捕获的数据信息进行分析，如果符合正常规则模式则系统默认其为一个合法的操作，反之，如果捕获的数据信息不在正常规则模式库之列，则触发异常报警。

两种方法各有短长，只有综合使用以上两种方法的入侵检测系统，才能真正适应现在和未来网络安防。文献还提出了一种基于扩张矩阵和GA的入侵检测方法。

入侵检测系统的检测性能评价，是评定一个IDS系统优劣的首要参数。这也就意味着，一个IDS系统的规则库越多越完善，则这个IDS系统能检测出更多的入侵攻击行为，即拥有更高的正确报警率，反之则漏报率更高。另外一个参数就是灵敏度，这是对入侵检测系统报警分类的结果，入侵检测系统按照优先级别不同分为不同的报警种类，各类报警都有自己的优先级，灵敏度越高的入侵检测系统拥有更精细的报警类别和更丰富的报警优先级。

2.2基于主机的入侵检测系统

基于主机的入侵检测系统HIDS，主要是检查系统日志以获取被入侵的信息。它主要是监控操作系统、内核、应用程序上的威胁。它有权检测被监控主机的系统的日志、服务、错误消息、权限等等所有有用的可用的资源。HIDS分析的基础主要是系统日志，通过对日志的综合分析，HIDS能够清楚地区分正常的或异常的应用程序数据信息。

HIDS能够访问并检查系统中的特殊组件，HIDS需要具备一些仅能为其所知的关于主机和其正常行为的特殊知识，才能保证HIDS与它所驻留的系统协调一致。

当然，HIDS也存在一些大的缺陷。首先，攻击者可以入侵并控制一台未安装HIDS的主机来访问受保护的主机，这样的情况HIDS是无能为力的。这也就是说，要想保护区域内的所有主机，就必须为每一台主机安装HIDS，并且，根据操作系统版本不同，所安装的HIDS版本也会不同。

2.3基于网络的入侵检测系统

基于网络的入侵检测系统NIDS，其主要功能是实时分析网络数据包，并对其中的攻击数据进行监测识别。

与基于主机的入侵检测系统HIDS相比，NIDS的好处就是成本更低，由于它被部署在某一个网络的关键区域，并且只需部署在一台主机上，就可以监控该网络中所有主机的流量、数据包信息。

NIDS的缺点也是明显的，网络流量的日益增加，NIDS要想实时地准确地处理这些数据包而不发生丢包，只有部署多个NIDS协同工作才能应付。接着，面对分段攻击，由于包过长，包就会被分割成几个，数据同样被分割成几份，NIDS主机接收到这些分段数据之后还要进行顺序重装。最后，面对日渐成熟的通信加密、隧道技术，NIDS要想捕获并分析包内信息实际上变得非常困难，即使解密出来的明文能被NIDS读取，但是，这一中间步骤产生的时延有时是无法接受的。

2.3.1基于网络的入侵检测系统原理

网络入侵检测系统的核心检测模块主要是对网络包的包头及其负载内容进行检测。其对每一个包的处理流程大致如下：

首先通过包分类，先检测数据包的包头，判断是否与规则库中的某个规则所对应的头部相符，如果不相符，则丢弃该包，系统不做任何报警动作；如果匹配成功，则进入下一步，调用模式匹配算法，检测网络包的负载。当然，为了提