《毕业设计(论文)病毒入侵检测技术》由会员分享,可在线阅读,更多相关《毕业设计(论文)病毒入侵检测技术(17页珍藏版)》请在金锄头文库上搜索。
1、摘 要随着计算机网络的发展,针对网络、主机的攻击与防御技术也不断发展,但防御相对于攻击而言总是被动和滞后的,尽管采用了防火墙等安全防护措施,并不意味着系统的安全就得到了完全的保护。总会有一个时间差,而且网络的状态是动态变化的,使得系统容易受到攻击者的破坏和入侵,这便是入侵检测系统的任务所在。入侵检测系统从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为,在发现攻击企图或攻击之后,及时采取适当的响应措施。本文主要介绍了入侵检测的描述、入侵检测基本原理、和入侵检测方法。关键词:入侵检测系统;入侵检测的描述;检测基本原理;检测方法AbstractWith th
2、e development of computer network, the network, the host of the attack and defense technology also develops, but the defense to attack is always passive and lag, despite the use of firewalls and other security measures, does not mean that the system security has been fully protected. There is always
3、 a time lag, and the state of the network is dynamic, make the system vulnerable to the attackers destruction and invasion, this is the task of the intrusion detection system. Intrusion detection system from the computer network system in a number of key point to collect information, and analysis of
4、 these information, check the network of violating security strategy behavior, found in the attempted attack or attacks, timely take appropriate response measures. This paper mainly introduced the intrusion detection are described, intrusion detection and intrusion detection method, basic principle.
5、Key words: intrusion detection system; intrusion detection; detection principle; testing method目 录第一章 入侵检测系统概述11.1 入侵检测系统的描述11.2 基本概念21.3入侵检测系统的功能组成21.3.1 信息收集21.3.2 信息分析31.3.3 结果处理3第二章 入侵检测基本原理42.1 通用入侵检测模型42.2 数据来源52.2.1 主机入侵检测系统52.2.2 网络入侵检测系统62.2.3 混合型入侵检测系统7第三章 检测技术83.1 异常检测83.1.1 检测功能83.2 误用检测
6、93.3 响应措施93.3.1 主动响应93.3.2 被动响应9第四章 入侵检测方法104.1 异常检测技术104.1.1 基于概率统计104.1.2 基于神经网络104.2 误用检测技术104.2.1 基于专家统计104.2.2 基于模型推理10第五章 总结12参考文献13图表目录图2.1 通用入侵检测模型4图2.2 基于主机的入侵检测系统结构6图2.3 基于网络的入侵检测系统结构79第一章 入侵检测系统概述1.1 入侵检测系统的描述Internet的开放性及其他方面的因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使
7、用了现有的安全工具和机制的情况下,网络的安全任然存在很大的隐患,这些安全隐患主要归结为以下几点。1、 每一种安全机制都有一定的应用范围和应用环境。例如,防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问,但是对于内部网络之间的访问,防火墙往往无能为力。因此,对于内部网络之间和内外勾结的入侵行为,防火墙很难发觉和防范的。2、 安全工具的使用受到人为因素的影响。一个安全工具能否实现预期的效果,在很大程度上取决于使用者,包括系统管理员和普通用户,不正当的设置就会产生不安全因素。3、 系统的后门是传统安全工具常常忽略的地方。防火墙很难考虑到这类安全问题,多数情况下,这类入
8、侵行为可以堂而皇之经过防火墙而很难被察觉;例如,总所周知的ASP源码问题,这个问题在IIS服务器4.0以前一直存在,它是IIS服务器的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的Web访问是相似的,唯一的区别是入侵访问在请求链接中加了一个后缀。4、 只要有程序,就可能存在Bug,甚至安全工具本身也可能存在安全漏洞。几乎每天都有新的Bug别发现和公布出来,程序设计者在修改已知Bug的同时又有可能使它产生了新的Bug系统的Bug经常被黑
9、客利用,而且这种攻击通常不会产生日志,几乎无据可查。5、 黑客的攻击手段在不断地更新,几乎每天都有不同系统的安全问题出现。然而安全工具的更新速度太慢,绝大多数情况下需要人为参与才能发现以前未知的安全问题,这就是得它们相对于新出现的安全问题有很大的延迟。因此,黑客总可使用先进的、安全工具无法防范的手段进行攻击。对于以上提到的问题,很多组织正在致力于提出更多、更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测。在入侵检测之前,大量的安全机制都是从主观的角度设计的,它们没有根据网络攻击的具体行为来决定安全策略,因此,对入侵行为的反应相对迟钝,很难发现未知的攻击行为,而且不能
10、根据网络行为的变化来及时调整系统的安全策略。而入侵检测正是根据网络攻击行为而设计的,它不仅能够发现已知的入侵行为,而且有能力发现未知的入侵行为,并且可以通过学习和分析入侵手段,及时地调整系统策略以加强系统的安全性。1.2 基本概念入侵检测最早是由James Anderson于1980年提出的。所谓入侵检测,是指通过从计算机网络或主机系统中的若干关键点收集信息并对其进行分析,从中检测网络或系统中是否有违反安全策略的行为和遭受袭击的迹象,并对此进行日志记录和采取相应措施的一种安全技术。入侵检测系统提供对内部攻击、外部攻击和误操作的实时保护,这些主要通过以下任务来实现:1、 监视、分析用户计算机和网
11、络的运行状况,查找非法用户和合法用户的越权操作。2、 监测系统配置的正确性和安全漏洞,并提示系统管理员修补漏洞。3、 识别行为模式的统计分析。4、 异常行为模式的统计分析。5、 评估重要系统和数据文件的完整性。6、 对操作系统进行审计跟踪管理,并识别用户安全策略的行为。1.3入侵检测系统的功能组成简单地说,入侵检测系统包括三个功能部件:信息收集、信息分析和结果处理。1.3.1 信息收集入侵检测的第一步是收集信息,收集内容被偶看系统、网络、数据及用户活动的状态和行为。入侵检测在很大程度上依赖于收集信息的可靠性和正确性。因此,对于信息收集有以下原则:1、 需要在计算机网络系统中的若干不同关键点,不
12、同网段和不同主机,收集信息,并且尽可能扩大监测范围。2、 要保证用于监测系统的软件的完整性,防止被篡改而收集到错误信息。3、 在一个环境中,审计信息必须与他要保护的系统分开来存储和处理,防止入侵者通过删除审计记录来使入侵检测系统失败。1.3.2 信息分析入侵检测的分析方法主要可分为异常检测和误用检测。异常检测首先总结正常操作应该具有的特征,当用户活动与正常行为有重大偏离时即被认为是入侵。误用检测收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。1.3.3 结果处理入侵检测可以达到两方面的目标,一方面是它可以提供可说明性,只从给定的
13、活动或事件中,找到相关责任方的能力。另一方面,它可以采取一些积极的反省措施,提示系统管理员修改目标系统或入侵检测系统。第二章 入侵检测基本原理2.1 通用入侵检测模型1997年初,加州大学戴维斯分校计算机安全实验室主持提出了入侵检测框架(Common Intrusion Detection Framework,CIDF),CIDF是一套规范,它定义了入侵检测系统表达监测信息的标准语言及入侵检测系统组件之间的通信协议。CIDF的体系结构文档阐述了一个标准的入侵检测系统的通用模型;规范语言定义了一个用来描述各种监测信息的标准语言;内部通信定义了入侵检测系统组件之间进行同的标准协议;程序接口提供了一
14、整套标准的应用程序接口。基于CIDF的体系机构文档,一个通用的入侵检测模型如图2.1所示。事件数据库响应单元知识库/配置信息事件产生器事件分析器目标系统图2.1 通用入侵检测模型该系统主要由以下几大部件组成:1、 事件产生器:主要负责从目标系统中收集数据,输入数据流包括任何可能包括入侵行为信息的系统数据,并向事件分析器提供信息以共处理。2、 事件分析器:分则分析数据和检测入侵信息的任务,并提供分析结果,产生新的信号和警报。3、 响应元件:对分析结果作出反应的功能单元,他可以终止进程、重置连接、改变文件属性等,也可以只是简单地报警。4、 事件数据库:存放各种中间和最终数据的地方的统称,可以是复杂
15、的数据库,也可以是简单的文本文件。5、 知识库/配置信息:提供必要的数据信息支持,如用户历史活动档案,或者是检测规则集合等。2.2 数据来源入侵检测是基于数据驱动的处理机制,其输入的数据来源主要有两类:基于主机的信息源派生的数据,基于网络的信息源派生的数据。根据入侵检测系统信息来源的不同,可以把入侵检测系统分为主机入侵检测系统(HIDS)、网络入侵检测系统(NIDS)及混合式入侵检测系统3类。2.2.1 主机入侵检测系统基于主机的入侵检测系统的检测原理是根据主机的审计数据和系统日志,监视操作系统或系统事件级别的可疑活动或潜在的入侵。主机入侵检测系统能对检测的入侵行为、时间给予积极的主动响应措施,入断开连接、封掉用户账号、杀死进程和提交警报等。现在的某些主机入侵检测系统甚至吸取了部分网管、访问控制等方面的技术,能够很好地与系统,甚至系统上的应用紧密结合。其主要优势有:监视特定的系统活动;误报率较低;适用于加密信息的处理;可用于大型交换网络;对网络流量不敏感。基于主机的入侵检测系统以来与审计数据或系统日志的准确性和完整性以及安全事件的定义,并要把安全策略转换成
