1、I网 络 入 侵 安 全 检 测 技 术 研 讨专 业:计算机科学与技术(信息处理)姓 名:吴坤指 导 教 师:申请学位级别: 学 士论文提交日期:学位授予单位: 天津科技大学II摘 要INTERNET的高速发展给带给人们工作生活上的许多便利,可是,伴着现代化网络应用的广泛使用,随之而来的网络危险因素也给网络信息安全带来了更加严苛的挑战,传统的安全技术已经难以对付这些变化多端的安全威胁,所以我们有必要去研究专门的盾牌去抵御这些不安全因素的入侵,而入侵检测技术就可以当做一种很实用的技术来保护网络安全。本论文首先概括了这次学术研究的内容和意义,并在大体上介绍了一下这方面研究的国内外主要研究成果。然
2、后在总体上说明了了网络入侵检测系统的发展历史和现况。本文主要内容就是具体的研究几种现今主流的入侵检测技术,向人们阐述它们的详细信息,包括其特点,结构和其检测流程等,还有深入的分析了各自的优势并指出了不足之处,最后大胆的分析了网络入侵检测技术未来的发展趋势和主要的几种发展方向,简言之本文展示了网络入侵检测技术的种种。关键词:网络安全;snort;入侵检测;IIIABSTRACTThe rapid development of the Internet brings great convenience to peoples work and live but as the popularity o
3、f modern network ,the network attendant insecurity also brings to the information security challenges ,the traditional network security technology has difficulty to deal with these increasingly serious security threat ,so it is necessary to develop special tools to avoid the insecurity of the attack
4、 ,and intrusion detection technologies can be a very important technology work for usThis paper first introduces the study the general network intrusion detection,Then a snort of thorough research information, including its characteristics, structure and the detection process, and so on,The paper is
5、 the focus of the configuration snort under Windows work environment, to a simple experiment,To show the work under the DOS snort with PHP, process and acid, under the graphic display data browsing with operation.KEY WORDS: Network security; Snort; Intrusion detection ; IV目 录1 绪论 .11.1 研究内容 .11.2 研究
6、意义.11.3 国内外入侵检测技术的研究现状.21.3.1 基于信息来源分类的IDS 技术.21.3.2 基于响应方式的 IDS 技术.31.3.3 基于分析方法的不同IDS 技术.32 入侵检测技术概述 .42.1 入侵检测技术的概述 .42.1.1 入侵检测的概念 .42.1.2 入侵检测的发展历史 .42.2 入侵检测技术分类 .52.2.1 基于主机的入侵检测技术 .52.2.2 基于网络的入侵检测技术 .62.3 入侵检测技术 .62.3.1 异常检测 .62.3.2 特征检测 .72.4 入侵检测技术主流产品 .7V2.5 入侵检测技术发展趋势 .83 Snort 入侵检测技术研究
7、 .93.1 Snort 特点 .93.2 Snort 的体系结构 .113.3 Snort 入侵检测流程 .123.3.1 规则解析流程 .123.3.2 规则匹配流程 .123.4 Snort 的规则结构 .133.4.1 规则头 .133.4.2 规则选项 .144 ISS RealSecure 入侵检测技术研究 .154.1 RealSecure 特点.154.2 RealSecure 组成.154.3 RealSecure 可识别的攻击特征.164.4 RealSecure 攻击防御过程.164.5 RealSecure 软硬件要求.174.6 RealSecure 部署.185 绿
8、盟科技网络入侵检测技术“冰之眼” .215.1 体系架构.215.2 主要功能.215.3 产品特点.225.3.1 全面精细的入侵检测技术.22VI5.3.2 基于对象的虚拟系统.235.3.3 细粒度的流量统计分析.235.3.4 全面的用户上网行为监测.245.3.5 强大丰富的管理能力.245.3.6 完善的报表系统.265.3.7 可扩展的入侵保护.265.3.8 高可靠的自身安全性.275.4 解决方案.275.4.1 小型网络之精细管理方案.275.4.2 中型网络之集中管理方案.285.4.3 大型网络之分级管理方案.296 入 侵检测技术的不足与发展趋势.306.1 入侵检测
9、技术目前还存在的问题.306.2 入侵检测技术的发展趋势和发展方向.317 结论.348 参考文献.359 致谢.36天津科技大学 2014 届本科生毕业论文11 绪 论1.1 研究内容本文在主要研究内容就是网络入侵检测技术研究的国内外主要研究成果并且对其具体分析。先在总体上说明了网络入侵检测系统的发展历史和现况。正文主要就是具体的研究几种现今主流的入侵检测技术,向人们阐述它们的详细信息,包括其特点,结构和其检测流程等,还有深入的分析了各自的优势并指出了不足之处,最后大胆的分析了网络入侵检测技术未来的发展趋势和主要的几种发展方向。1.2 研究意义对于 21 世纪的网络发展速度和发展态势,人们的
10、隐私在网络上已经不能得到真正意义上安全的保护,各种病毒的泛滥让黑客在网络上想看什么就能看到什么,不止个人,金融系统,政府部门的各种机密信息也在不断的外泄,给个人和国家带来了极大的损失,所以网络安全问题已经迫在眉睫了。所有想要破坏网络正常秩序的行为都被视为网络安全问题,20 世纪开始兴盛的防火墙是保护网络安全最传统最常用的工具,可是防火墙作为一种只能先挨打才能做出反应的防御机制已经不能应对现在多变的网络问题,网络日趋复杂化,传统防火墙是不足以满足如今复杂多变的网络安全问题,在这种情况下,入侵检测系统应运而生,入侵检测系统不但能够为网络提供及时的入侵检测并且采取相对应的防护手段,它还能识别针对计算
11、机的恶意企图和行为,并对这些情况进行处理,它能够对系统受到的内部攻击、外部攻击和失误操作做出实时保护,能够辅助系统抵挡网络攻击。入侵检测系统能很好的弥补防火墙的不足,是防火墙的合理完善。入侵检测技术具有这么几个特点:1)从程序运行的不同节点收集信息;2)分析收集来的信息并搜索是否有入侵活动的特点;3)自行对入侵行为行为做出处理;4)记录并报告检测结果;入侵检测系统的主要功能有:1)监测并分析用户和系统的活动;2)核查系统配置及其漏洞;3)检查系统核心资源及数据信息是否完整;天津科技大学 2014 届本科生毕业论文24)识别己知的入侵行为;5)统计分析不正常行为;6)根据操作系统的运行日志,找出
12、违反安全策略的恶意活动;入侵检测系统是一种积极的安全防护手段,其关键在于它使用的检测引擎,怎样达到高效率的检测,是入侵检测技术的一个研究重点。目前的入侵检测技术主要分为两大类,一个是基于异常的入侵检测技术和基于规则的入侵检测技术。现阶段的攻击主要是针对网络的攻击,因此检测恶意攻击的最主要的手段是捕获和分析网络数据包,并且使用相对应的软件来分析是否是入侵者所发出的攻击包,然后将这些符合攻击包特征的数据和入侵检测系统的特征库进行对比匹配,如果在特征库中检测到相应的攻击包,就会发出入侵报警。在与特征库进行匹配的过程中,最常用的技术就是模式匹配,所以说模式匹配技术是入侵检测系统中的一个重点。在国内,随
13、着网络应用的日益增长,特别是那些关键部门对网络的应用使得网络安全问题至关重要,迫切需要高效的入侵检测产品来确保网络安全,但是,因为我国的入侵检测研究在国际水平上海比较滞后,需要投入更多的精力和资金来进行研究,特别是怎么更快速的判断出该行为是否为入侵行为也就是模式匹配的效率,这对防止黑客攻击和网络病毒的扩散,提高网络环境的安全有着重大的作用。1.3 国内外入侵检测技术的研究现状对IDS 的研究成为当前安全领域研究的一个热点, 各种新型技术和其他分支学科均被引入和借鉴到IDS 的研究中来。如: 神经网络、模糊识别、行为模式、遗传算法、免疫系统、数据挖掘、状态迁移和反演技术等等。按照入侵检测系统工作
14、机制的不同, 各种入侵检测技术不外乎可以分为以下几类: 基于信息来源、基于分析方法和基于响应方式, 这些技术有的已趋于完善,有的尚处于理论研究阶段, 有的已得到了广泛的应用。下面简单叙述他们各自的工作原理及其优缺点。1.3.1 基于信息来源分类的IDS 技术信息来源分类是目前最通用的划分IDS 技术的方法, 由于被检测信息来源的不同, 当前基于此的IDS 技术主要有: 基于主机的IDS、基于网络的IDS 和基于路由器的IDS。基于主机的HIDS 分析来自单个计算机的操作系统审计踪迹和系统日志来检测攻击, 它支持集中式IDS 的管理和报告, 允许一个控制台跟踪多个主机, 能可靠精确地分析入侵活动
15、, 能检测到特洛伊木马和其他破坏软件完整性地攻击; 弱点是要占用主机资源, 影响主机性能, 本身易遭受拒绝服务攻击( DOS) , 不能检测对网络的多点攻击。基于网络的入侵检测系统( NIDS) 其输入数据来源于网络的信息流, 可以检测针对网络协议漏洞的入侵, 能够做天津科技大学 2014 届本科生毕业论文3到细粒度的实时监视, 本身抗攻击性好, 独立于操作系统; 弱点是处理的信息量大, 高速、宽带网限制了其检测性能, 不能分析加密的信息。基于路由器的IDS 主要保护网络的基础设施, 确保大型网络计算机之间的安全和可靠的连接, 但负载的变化对网络性能影响较大。由于信息来源不同, 其检测信息的重
16、点也不同, 当然在网络中的分布也就不同。在分布式IDS 中, 就要综合运用和合理布局各种基于主机、基于网络、基于路由器的IDS。1.3.2 基于响应方式的IDS按照响应单元处理入侵的方式和主控制台对响应单元发出的处理指令,当前主要有主动响应IDS 和被动响应IDS, 前者当入侵被检测到时, 会采取如下三种自动响应行为: 收集辅助信息; 改变环境堵住导致入侵的漏洞;对攻击者采取行动。后者会首先将信息提供给系统用户,然后采取进一步行动: 报警和通知;SNMP 捕获和插入; 报告和存档。1.3. 3 基于分析方法的不同IDS 技术这是IDS 技术的核心, 事件分析器对事件信息流的处理能力对IDS 的
17、性能至关重要。目前基于分析方法的IDS 技术主要有误用检测型IDS 和异常检测型IDS。前者利用已知系统和应用软件的弱点攻击模式来检测入侵, 因此又称为模式入侵检测和特征识别入侵检测。它用于发现那些与被预先定义好了的攻击特征相匹配的事件和事件集。因此其技术上的关键在于特征信息库的升级和特征的匹配搜索。其优点是误报少, 缺点是只能发现已知的攻击, 需要不断更新特征库。主要技术有: 专家系统方法; 入侵模型分析; 模式匹配; 基于误用模型推理;状态变迁等。异常检测型IDS 从历史数据中提取目标系统对象的正常模型,然后将审计数据和专家系统或其它分析部件对比分析, 偏离正常模型行为的视为入侵。其难点在
18、于构造异常活动集并从中发入侵性活动子集, 缺点在于可能产生大量的误报。主要方法有: 阀值检测; 统计方法; 基于规则的方法; 神经网络方法; 遗传算法; 免疫系统方法; 数据挖掘方法; 模糊识别等等。在实际运用中, 往往综合两种分析方式, 在特征信息库中不仅有已入侵模式的特征, 还有系统检测对象的正常模型的模式特征。有时入侵行为模式特征不明显, 误用检测型IDS 可能会检测不到, 但其行为可能会稍显异常, 偏离正常模型的模式, 因而异常检测型IDS 可能会检测到。反过来也可能会如此。天津科技大学 2014 届本科生毕业论文42 入侵检测系统概述2.1 入侵检测的概述本节具体介绍了网络入侵检测技
19、术的概念还有其发展历史。2.1.1 入侵检测的概念入侵检测系统(IDS)在计算机网络系统中的关键节点上工作,通过实时地收集和分析计算机网络或系统中的信息,来判断计算机中是否存在违反安全策略的行为和被入侵的迹象,达到抵御入侵、抵挡攻击的作用。入侵检测系统作为一种主动防护的网络安全技术,有效的扩大了系统维护人员在抵御入侵种能发挥的作用,例如监视、攻击识别和响应的能力。通过入侵检测系统,可以有效的防止和抵御来自网络的威胁,它已经成为继防火墙之后的又一个安全卫士,已经在各种网络环境环境中发挥它的作用。2.1.2 入侵检测的发展历史从实验室原型研究到推出商业化产品、走向市场并获得广泛认同,入侵检测走过了
20、 20 多年的历程。 概念提出一九八零年四月,JnamesP.Aderson 在美国空军做了一个题为 “Computer Security ThreatMonitoring and Sureillance”(计算机网络安全威胁监视)的技术报告,第一次详尽的为人们阐述了什么是入侵检测。他提出了一种将计算机系统风险和威胁分类的方法,并且将威胁分成了外部渗透、内部渗透和不法行为,还首次提出了利用审计跟踪数据来监视入侵活动的思想。世人公认的入侵检测的开山之作就是这份报告。 模型的发展1984 年-1986 年,乔治、敦大学的 Dorothy Denning 和 SRI/CSL(SRI 公司计算机科学实验室)的 Peter Neumann 研究出了一种实时检测系统入侵的模型,命名为 IDES(入侵检测专家系统) 。 该模型独立于具体的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵系统提供了一个通用的框架。 1988 年,SRI/CSL 的 Teresa Lunt 等人改进了 Denning 的入侵检测模型,并研究出了实际的 IDES。 1990 年是入侵检测系统历史上具有十分重大意义的一年。这一年,加州大
