1、毕 业 设 计(论文)题目: 入侵检测技术研究 系部:_专业:_班级:_姓名:_指导教师:_山 西 职 业 技 术 学 院山西职业技术学院毕业设计(论文)1摘 要计算机网络的发展,使信息共享日益广泛与深入,信息的共享给人们带来了极大的方便,但是信息在共享的同时也给人们带来极大的威胁,在公共的通信网络上存储、传输和共享信息,可能会被非法的入侵者窃听、截取、修改或毁坏,从而导致不可估量的损失。因此网络安全问题成为信息化建设的一个核心问题。传统的计算机网络防护一般所使用的技术有:防火墙技术、身份认证、数据加密、数字签名、安全监控等。这些技术都能够对网络的攻击有一定的防护,然而随着计算机网络的发展,以
2、及各种攻击手段的日趋复杂化、多样化,这些传统的网络防御体系仅能够静态的,被动的进行防御,无法满足当前安全状况的需要,因此迫切需要一种能够主动防御的防御体系出现。入侵检测系统就是基于这种状况下应运而生的一种主动防御检测体系。 入侵检测系统(IDS,Intrusion Detective System),是网络安全防护体系的重要组成部分。是一种主动的网络安全防护措施。它从系统内部和各种网络资源中主动采集信息,从中分析可能的网络入侵或攻击,最大限度地降低可能入侵的危害。随着高校信息化进程的推进,高校校园网上运行的应用系统越来越多,信息系统变得越来越庞大和复杂。随着网络用户的快速增长,计算机知识的普及
3、和深入,校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,作为数字化信息的最重要传输载体,如何保证其安全成为高校的一个紧迫的问题。因此本文就校园网的构架,采用先进的入侵检测技术设计相应的模型以解决校园网的安全性问题。通过对整个校园网络结构的熟悉后,经过仔细分析,结合分布式入侵检测系统,对整个校园网进行了整体结构的划分,并就此设计一个模型。该系统结构划分为:总校主控中心为一级网络结构,分校网络管理系统为二级网络结构和分支机构网络管理系统为三级网络结构。在其系统的设计中,对系统的高可靠性、可用性、性能和山西职业技术学院毕业设计(论文)2互联都做了充分的考虑。设
4、计了一个三级集中管理网络安全模型,并在此基础上构建从边界防护、传输层防护,到核心主机防护的深层防御体系,以确保其校园网络系统的安全。关键词:入侵检测;入侵检测系统(IDS);网络安全山西职业技术学院毕业设计(论文)31 绪论1.1 网络安全概述随着计算机技术与通信技术的不断发展,计算机网络已经渗透到了社会经济、文化和科学的各个领域,对社会的进步和发展起着越来越重要的作用,尤其是电子商务、电子政务的迅猛发展,为网络的应用开辟了更为广阔的前景,人们的工作和生活方式也因此发生了巨大的变化,人们愈来愈依赖于网络所提供的服务。 但是,计算机和互联网是一把双刃剑,在给人们带来利益的同时,安全问题也一直困扰
5、着大家。通常,计算机的安全主要是指如何保护计算机资源和存储在计算机系统中的重要数据。一个计算机的安全系统必须能够保护计算机使其免受入侵攻击,广义的计算机安全的定义是:主体的行为完全符合系统的期望,系统的期望表达成安全规则,也就是说主体的行为必须符合安全规则对它的要求。计算机网络安全是随着 Internet 的发展而产生的,近年来得到了普遍的关注。简单的说网络安全问题可分为两个方面:1、网络本身的安全; 2、所传输信息的安全;可以看出要想保证网络本身的安全,就需要我们从网络内部和外部两个方面来加以防预。计算机网络系统的安全威胁主要来自于黑客(Hacker)的攻击、计算机病毒(Virus)和拒绝服
6、务攻击 (Denies-Of-Service)三个方面。由于网络系统本身的缺陷以及一些人为的因素,如网络设备以及软件系统在设计上存在一些漏洞,还有一些别有用心的设计员故意开辟一些后门等,使得网络显得极其脆弱。而黑客却正好利用这些缺陷入侵全球各大网站,恶意破坏网络的正常运行、盗取机密信息、制造各种网山西职业技术学院毕业设计(论文)4络犯罪事件,严重干扰了人们的正常生活。 据统计,在全球范围内,由于信息系统的安全问题而造成的经济损失,每年达数亿美元,并且呈逐年上升的趋势。据 ITAA 的调查显示,美国 90%的 IT 企业对黑客攻击准备不足,其中 25%的企业直接损失在 25 万美元以上。据美国金
7、融时报报道,现在平均每 20 秒就发生一次计算机网络入侵事件;网络入侵( 攻击)轻则降低被攻击系统的可用性,使其不能提供正常的服务;重则造成关键信息失窃和系统瘫痪等。 1999 年 5 月至 6 月,美国参议院、白宫和美国陆军网络以及数十个政府网络站都被黑客攻陷。在每起黑客攻击事件中,黑客都在网页上留下一些信息,但是这些信息很快就被擦去。黑客在美国新闻署留下的信息最引人注目:“水晶,我爱你” ,署名为:Zyklono 1999 年 11 月,挪威黑客组织 “反编译工程大师”破解了 DVD 版权保护的解码密钥并公布在互联网上,引起震惊。而国内,由于信息化建设起步比较晚,且在建设初期几乎没有考虑到
8、安全问题,因而安全形式更为严峻。人们面临来自计算机网络系统的安全威胁日益严重。安全问题已经成为影响网络发展、特别是商业应用的主要问题,并直接威胁着国家和社会的安全。 1.2 安全策略安全措施是对抗安全威胁所采取的方法,在计算机网络安全中,存在很多类型的安全防护措施,实现网络安全不但要靠先进的技术,而且也得靠严格的管理、法律约束和安全教育,网络安全策略是一个系统的概念,它是网络安全系统的灵魂与核心,任何可靠的网络安全系统都是建立在各种安全技术的集成的基础上的,而网络安全策略的提出,正是为了实现这种技术的集成。可以说网络安全策略是我们为了保护网络安全而制定的一系列法律。当前制定的网络安全策略主要包
9、含五个方面山西职业技术学院毕业设计(论文)5的策略:1、 物理安全策略,其目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受破坏。 2、 访问控制策略,其主要任务是保证网络资源不被非法使用和访问,是网络安全防范和保护的主要策略。 3、 防火墙控制,防火墙是几年发展起来的一种保护计算机网络安全的技术性措施其按照系统管理员预先定义好的安全策略和规则控制内网和外网之间数据包的进出。当前流行的防火墙主要分为三类:包过滤防火墙、代理防火墙、双穴主机防火墙。 4、 信息加密策略,其目的主要是通过加密的方式保护网内的数据、文件、口令和控制信息,保护网上传输的数据。密码技术是网络安全最有效的技术
10、之一。5、 网络安全管理策略,除了上述管理之外,加强网络安全管理,对于确保网络安全、可靠的运行起到很大的作用。目前,虽然使用了以上安全技术来提高信息系统的安全但由于如下原因它们却不能够完全抵御入侵者的入侵:1、仅有防火墙的保护措施是不够的。首先防火墙可以阻断攻击,但不能消灭攻击源。 “各扫自家门前雪,不管他人瓦上霜” ,就是目前网络安全的现状。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们,但是无法清除攻击源。即使防火墙进行了良好的设置,使得攻击无法穿透防火墙,但各种攻击仍然会源源不断地向防火墙发出尝试。例如接主干网 10M 网络带宽的某站点,其日常流量中
11、平均有 512K 左右是攻击行为。那么,即使成功设置了防火墙后,这 512K 的攻击流量依然不会有丝毫减少。其次防火墙不能抵抗最新的未设置策略的攻击漏洞就如杀毒软件与病毒一样,总是先出现病毒,杀毒软件经过分析出特征码后加入到病毒库内才能查杀。防火墙的各种策略,也是在该攻击方山西职业技术学院毕业设计(论文)6式经过专家分析后给出其特征进而设置的。再次防火墙也是一个系统,也有着其硬件系统和软件,因此依然有着漏洞和 bug。所以其本身也可能受到攻击和出现软、硬件方面的故障。2、软件开发商为了抢占市场,过早推出了性能不很稳定的产品;同时软件系统日益庞大而软件工程学十分滞后的矛盾日益突出,致使许多大型软
12、件(如服务器守护程序,客户端应用程序、操作系统等)都存在很多致命的缺陷,他们极易被黑客利用来闯入系统窃取保密信息或造成系统拒绝服务。 3、由于用户跃跃欲试设置过于简单或管理不善,易被攻破,许多基于跃跃欲试的认证系统并不安全。 4、授权用户滥用权限,危害信息安全。因此,为保证计算机系统的安全,需要一种能及时发现入侵,成功阻止网络黑客入侵,并在事后对入侵进行分析,查明系统漏洞并及时修补的网络安全技术,即入侵检测系统。入侵检测系统是一种事后处理方案,具有智能监控、实时探测、动态响应、易于配置等特点。由于入侵检测所需要的分析数据源仅是记录系统活动轨迹的审计数据,使其几乎适用于所有的计算机系统。只有通过
13、在对网络安全防御体系和各种网络安全技术和工具的研究的基础上,制定具体的系统安全策略,通过设立多道安全防线、集成各种可靠的安全机制(如:防火墙、存取控制和认证机制、安全监控工具、漏洞扫描工具、入侵检测系统以及进行有效的安全管理、培训等)建立完善的多层安全防御体系,才能够有效地抵御来自系统内、外的入侵攻击,达到维护网络系统安全的目的。1.3 课题背景目前在网络安全方面,国内的用户对防火墙已经有了很高的认知程度,而对入侵检测系统的作用大多不是非常了解。防火墙在网络安全中起到大门警卫的作用,山西职业技术学院毕业设计(论文)7对进出的数据依照预先设定的规则进行匹配,符合规则的就予以放行,起访问控制的作用
14、,是网络安全的第一道闸门。但防火墙的功能也有局限性。防火墙只能对进出网络的数据进行分析,对网络内部发生的事件完全无能为力。同时,由于防火墙处于网关的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能如果把放火防火墙比作大门警卫的话,入侵检测就是网络中不间断的摄像机,入侵检测通过旁路监听的方式不间断的收取网络数据,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。不但可以发现从外部的攻击,也可以发现内部的恶意行为。所以说入侵检测是网络安全的第二道闸门,是防火墙的必要补充,构成完整的网络安全解决方案。本论文正是在这个背景下进行选题的。本文通过对入侵检测技
15、术和分布式网络入侵检测系统的研究和探讨,设计了一个基于分布式网络入侵检测技术的网络安全模型。2 网络安全2.1 入侵概述由于互联网络具有的共享性及开放性,使得网络上的信息存在许多的安全隐患,众所周知,互联网最初的设计主要是为了进行数据的传输,基本没有考虑到安全问题,其依赖的 TCP/IP 协议缺乏相应的安全机制,因此网络本身的缺陷,给入侵者提供了很多的便利。 2.2 网络安全防御措施任何形式的互联网服务都会导致安全方面的风险。在不同的环境和应用中,网山西职业技术学院毕业设计(论文)8络安全的含义侧重各不相同,其相应的安全措施也各不相同,我们必须要考虑安全保护措施可用来对付的安全威胁有多少,以及
16、其所付出的代价多大。我们都希望尽量用最低的代价将风险降到最低程度。3 入侵检测系统3.1 入侵检测的历史入侵检测技术从产生到现在经历了 20 多年的风风雨雨,在发展上也由最初的主动防御思想,到现在具体的各种入侵检测产品的问世,其主要的发展过程就是各种入侵检测模型的变换过程。3.2 入侵检测概念的提出IDS 是英文“Intrusion Detection Systems ”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足,从某种意义上说是入侵检测是防火墙之后的第二道安全闸门。入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等
