《毕业论文格式参考》由会员分享,可在线阅读,更多相关《毕业论文格式参考(20页珍藏版)》请在金锄头文库上搜索。
1、摘要近年来,随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标。网络安全则成为了一个无法回避的问题呈现在人们面前。然而,随着计算机网络知识的普及和日趋成熟,攻击工具与手法日趋复杂多样,仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,网络的防卫必须采用一种纵深的、多样的手段。如无法解决安全后门问题,不能阻止网络内部攻击,而调查发现, 50以上的攻击都来自内部;不能提供实时入侵检测能力;对于病毒束手无策等。因此非常多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检
2、测;于是,入侵检测系统(IDS)能弥补防火墙的不足,在网络环境中的应用也越来越普遍,因为入侵检测系统是一种采取主动的安全防御技术以保护信息系统安全的重要手段,入侵检测系统成为了安全市场上新的热点,受到人们愈来愈多的的关注,而且已经开始在各种不同的环境中发挥其关键作用。关键词:入侵检测系统 IDS 防火墙 发展趋势目 录摘要11 入侵检测系统简介41.1入侵检测系统(IDS)概念41.1.1 概念41.1.2入侵检测定义41.2 入侵检测系统的分类51.2.1按照控制策略分类51.2.2按照技术分类51.2.3按照信息源分类61.2.4按照分析方法分类61.2.5按照响应方式分类61.3入侵检测
3、系统的主要任务71.4入侵检测系统的功能71.5入侵检测的目的82入侵检测系统常用的检测方法82.1特征检测82.2统计检测82.3专家系统92.4入侵响应113 IDS的模型及其评价标准123.1 IDS部署实例123.2入侵检测系统模型133.2 IDS评价的主要标准144目前入侵检测系统IDS存在的缺陷154.1高误警(误报)率154.2 产品适应能力低154.3 大型网络的管理问题164.4 缺少防御功能164.5 评价IDS产品没有统一标准164.6 处理速度上的瓶颈165 IDS的发展趋势176 结束语18参考文献19致 谢20 / 文档可自由编辑打印1 入侵检测系统简介1.1入侵
4、检测系统(IDS)概念 1.1.1 概念入侵检测系统(Intrusion-detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。 IDS最早出现在1980年4月。该年,James P. Anderson为美国空军做了一份题为Computer Security Threat Monitoring and Surveillance的技术报告,在其中他第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利
5、用审计数据监视入侵活动的思想1。1986年Dorothy E.Denning提出实时异常检测的概念2并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES)。1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统,NSM(Network Security Monitor)。IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。自此之后,入侵检测系统才真正发展起来。Anderson将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。1.1.2入侵检测定义入侵检测被定义为3:是对入侵行为的发觉。它通过
6、对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。1.2 入侵检测系统的分类现有的ISDS的分类,大都基于信息源和分析方法。未来体现对IDS从布局、采集、分析、相应等各个层次及系统性研究方面的问题,在这里采用五类标准:控制测略、技术、信息源、分析方法、响应方式。1.2.1按照控制策略分类控制策略描述了IDS的个元素是如何控制的,以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为,集中式
7、IDS、部分分布式IDS和全部分分布式IDS。在集中式IDS中,一个中央节点控制系统中所有的监视、检测和报告。在部分分布式IDS中,监控和探测是有本地的一个控制点控制,层次似的将报告发向一个或多个中心站。在全分布式IDS中,监控和探测是使用一种叫“代理”的方法,代理进行分析做出相应决策。1.2.2按照技术分类从技术上讲,IDS可以分为基于异常检测的 IDS和基于误用检测的IDS两大类。基于异常检测的 IDS是根据异常行为和计算机资源的使用情况来检测入侵行为,它试图采用定量的方法来描述可接受的正常行为特征,以区分非正常的、潜在的入侵行为,它的特点是可以直接检测出与正常行为相违背的行为; 基于误用
8、检测的 IDS是一种基于知识的入侵检测,它通过对事件流进行过滤,并将发生的事件状态与知识库中已有的模式进行匹配,以发现问题。1.2.3按照信息源分类按照信息源分类是目前通用的划分方法,它分为基于主机的IDS,基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。分布式,能够同时分析来自主机系统日志和网络数据流,系统由多个部件组成,采用分布式结构。1.2.4按照分析方法分类按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中,首先建立一
9、个对过去各种入侵方法和系统缺陷知识的数据库,当收集到的信息与库中的原型相符合时报警。人和不符合特定条件的活动将会被认为合法,因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的,即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库,由于库的有限性使得虚警率比较高。1.2.5按照响应方式分类按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时,主动IDS会采用以下三种响应:收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击者采取行动(这是一种不被推荐的做法,因为行为有点过激)。被动响应I
10、DS则是将信息提供给系统用户。依靠管理员在这一信息的基础上采取进一步的行动。1.3入侵检测系统的主要任务入侵检测系统执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤:信息收集、数据分析、响应。1.4入侵检测系统的功能入侵检测系统 (IDS) 能够保护网络免受攻击,是防火墙、虚拟专用网的进一步深化入侵检测系统既可以对单个主机进行检测,也可以对整个网络进行检测; 既可以是实时检测,也可以是事后检测入侵检测系
11、统作为一种新的安全机制,它采用了以攻为守的策略,通过监控系统关键信息的使用情况,来检测系统中哪些行为或活动违背了安全策略或危及系统安全,从而发现是否有合法用户滥用系统资源,系统的用户越权使用情况,系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图、非法用户穿透防火墙进行入侵攻击等。因此,入侵检测系统已经成为保障网络安全的重要手段。1.5入侵检测的目的(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大;2入侵检测系统常用的检测方法入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质
12、量监督检验中心的报告,国内送检的入侵检测产品中95是属于使用入侵模板进行模式匹配的特征检测产品,其他5是采用概率统计的统计检测产品与基于日志的专家知识库系产品。 2.1特征检测特征检测对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。2.2统计检测统计模型常用异常检测,在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5
13、种统计模型为:操作模型,该模型假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击;方差,计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常;多元模型,操作模型的扩展,通过同时分析多个参数实现检测;马尔柯夫过程模型,将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生时,或状态矩阵该转移的概率较小则可能是异常事件;时间序列分析,将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。统计方法的最大优点
14、是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。2.3专家系统用专家系统对入侵进行检测,经常是针对有特征入侵行为。所谓的规则,即是知识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达,是入侵检测专家系统的关键。在系统实现中,将有关入侵的知识转化为if-then结构(也可以是复合结构),条件部分为入侵特征,then部分是系统防范措施。运用专家系统防范有特征入侵行为的
15、有效性完全取决于专家系统知识库的完备性。文件完整性检查文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库,每次检查时,它重新计算文件的数字文摘并将它与数据库中的值相比较,如不同,则文件已被修改,若相同,文件则未发生变化。文件完整性检查系统的优点从数学上分析,攻克文件完整性检查系统,无论是时间上还是空间上都是不可能的。文件完整性检查系统是非常强劲的检测文件被修改的工具。实际上,文件完整性检查系统是一个检测系统被非法使用的最重要的工具之一。文件完整性检查系统具有相当的灵活性,可以配置成为监测系统中所有文件或某些重要文件。当一个入侵者攻击系统时,他会干两件事,首先,他要掩盖他的踪迹,即他要通过更改系统中的可执行文件、库文件或日志文件来隐藏他的活动;其它,他要作一些改动保证下次能够继续入侵。这两种活动都能够被文件完整性检查系统检测出。文件完整性检查系统的弱点文件完整性检查系统依赖于本地的文摘数据库。与日志文件一样,这些数据可能被入侵者修改。当一个入侵者取得管理员权限后,在完成破坏活动后,可以运行文件完整性检查系统更新数据库,从而瞒过系统管理员。当然,可以将文摘数据库放在只读的介质上,但这样的配置不够灵活性。
