入侵检测技术

入侵检测技术
入侵检测技术

入侵检测技术

一、入侵检测技术

入侵检测的研究最早可追溯到James Aderson在1980年的工作,他首先提出了入侵检测的概念,在该文中Aderson提出审计追踪可应用于监视入侵威胁,但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问,这一设想的重要性当时并未被理解。1987年Dorothy.E.Denning[2]提出入侵检测系统(Intrusion Detection System,IDS)的抽象模型,首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出,与传统加密和访问控制的常用方法相比,IDS是全新的计算机安全措施。1988年的Morris Internet蠕虫事件使得Internet近5天无法使用。该事件使得对计算机安全的需要迫在眉睫,从而导致了许多IDS系统的开发研制。

入侵检测(Intrusion Detection)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此作出反应的过程。IDS则是完成如上功能的独立系统。IDS能够检测未授权对象(人或程序)针对系统的入侵企图或行为(Intrusion),同时监控授权对象对系统资源的非法操作(Misuse)。

●从系统的不同环节收集信息;

●分析该信息,试图寻找入侵活动的特征;

●自动对检测到的行为做出响应;

●纪录并报告检测过程结果。

入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足,从某种意义上说是防火墙的补充[1]。

二、入侵检测的分类

现有的分类,大都基于信息源和分析方法进行分类。

2.1 根据信息源的不同,分为基于主机型和基于网络型两大类

2.1.1 基于主机的入侵检测系统

基于主机的IDS可监测系统、事件和Windows NT下的安全记录以及Unix环境下的系统记录。当有文件被修改时,IDS将新的记录条目与已知的攻击特征相比较,看它们是否匹配。如果匹配,就会向系统管理员报警或者作出适当的响应。

基于主机的IDS在发展过程中融入了其他技术。检测对关键系统文件和可执行文件入侵

的一个常用方法是通过定期检查文件的校验和来进行的,以便发现异常的变化。反应的快慢取决于轮讯间隔时间的长短。许多产品都是监听端口的活动,并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。

2.1.2 基于网络的入侵检测系统

基于网络的入侵检测系统以网络包作为分析数据源。它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为,IDS的响应模块就做出适当的响应,比如报警、切断相关用户的网络连接等。不同入侵检测系统在实现时采用的响应方式也可能不同,但通常都包括通知管理员、切断连接、记录相关的信息以提供必要的法律依据等[5]。

2.1.3 基于主机和基于网络的入侵检测系统的集成

许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统。因为这两种系统在很大程度上是互补的。实际上,许多客户在使用IDS时都配置了基于网络的入侵检测。在防火墙之外的检测器检测来自外部Internet的攻击。DNS、Email和Web服务器经常是攻击的目标,但是它们又必须与外部网络交互,不可能对其进行全部屏蔽,所以应当在各个服务器上安装基于主机的入侵检测系统,其检测结果也要向分析员控制台报告。因此,即便是小规模的网络结构也常常需要基于主机和基于网络的两种入侵检测能力。

2.2 根据检测所用分析方法的不同,可分为误用检测和异常检测

2.2.1 误用检测

设定一些入侵活动的特征(Signature),通过现在的活动是否与这些特征匹配来检测。常用的检测技术为:

(l)专家系统:采用一系列的检测规则分析入侵的特征行为。规则,即知识,是专家系统赖以判定入侵存在与否的依据。除了知识库的完备性外,专家系统还依靠条件库的完备性,这一点又取决于审计记录的完备性、实时性和易用性。此外,匹配算法的快慢,也对专家系统的工作效率有很大的影响。

(2)基于模型的入侵检测方法:入侵者在攻击一个系统时往往采用一定的行为序列,如猜测口令的行为序列。这种行为序列构成了具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图。与专家系统通常放弃处理那些不确定的中间结论的缺点相比,这一方法的优点在于它基于完善的不确定性推理数学理论。基于模型的入侵检测方法可以仅监测一些主要的审计事件。当这些事件发生后,再开始记录详细的审计,从而减少审计事件处理负荷。这种检测方法的另外一个特点是可以检测组合攻击(coordinate attack)和多层攻击(multi-stage attack)。为分布式IDS系统所采用。

(3)简单模式匹配(Pattern Matching):基于模式匹配的入侵检测方法将已知的入侵特征编码成为与审计记录相符合的模式。当新的审计事件产生时,这一方法将寻找与它相匹配的已知入侵模式。

(4)软计算方法:软计算方法包含了神经网络、遗传算法与模糊技术。近年来己有关于运用神经网络进行入侵检测实验的报道,但还没有正式的产品问世。

2.2.2 异常检测(Anomaly detection)

异常检测假设入侵者活动异常于正常的活动。为实现该类检测,IDS建立正常活动的“规范集(Normal profile)”,当主体的活动违反其统计规律时,认为可能是“入侵”行为。异常检测的优点之一为具有抽象系统正常行为从而检测系统异常行为的能力。这种能力不受系统以前是否知道这种入侵与否的限制,所以能够检测新的入侵行为。大多数的正常行为的模型使用一种矩阵的数学模型,矩阵的数量来自于系统的各种指标。比如CPU使用率、内存使用率、登录的时间和次数、网络活动、文件的改动等。异常检测的缺点是:若入侵者了解到检测规律,就可以小心的避免系统指标的突变,而使用逐渐改变系统指标的方法逃避检测。另外检测效率也不高,检测时间较长。最重要的是,这是一种“事后”的检测,当检测到入侵行为时,破坏早已经发生了。

统计方法是当前产品化的入侵检测系统中常用的方法,它是一种成熟的入侵检测方法,它使入侵检测系统能够学习主体的日常行为,将那些与正常活动之间存在较大统计偏差的活动标识成为异常活动。常用的入侵检测统计模型为:操作模型、方差、计算参数的方差、多元模型、马尔柯夫过程模型和时间序列分析。统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。

三、入侵检测技术分析

3.1技术分类

入侵检测系统所采用的技术可分为特征检测与异常检测两种。

●特征检测

特征检测(Signature-based detection)又称Misuse detection,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

●异常检测

异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。

3.2常用检测方法

入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品,其他5%是采用概率统计的统计检测产品与基于日志的专

家知识库系产品。

●特征检测

特征检测对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。

该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。

●统计检测

统计模型常用异常检测,在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为:

●操作模型

该模型假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击;

●方差

计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常;

●多元模型

操作模型的扩展,通过同时分析多个参数实现检测;

●马尔柯夫过程模型

将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生时,或状态矩阵该转移的概率较小则可能是异常事件;

●时间序列分析

将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。

统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。

●专家系统

用专家系统对入侵进行检测,经常是针对有特征入侵行为。所谓的规则,即是知识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达,是入侵检测专家系统的关键。在系统实现中,将有关入侵的知识转化为if-then结构(也可以是复合结构),条件部分为入侵特征,then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。

●入侵检测产品选择要点

当您选择入侵检测系统时,要考虑的要点有:

1. 系统的价格

2. 特征库升级与维护的费用

3. 对于网络入侵检测系统,最大可处理流量(包/秒 PPS)是多少

4. 该产品容易被躲避吗

5. 产品的可伸缩性

6. 运行与维护系统的开销

7. 产品支持的入侵特征数

8. 产品有哪些响应方法

9. 是否通过了国家权威机构的评测

主要的权威测评机构有:国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。

计算机网络安全的入侵检测技术研究

计算机网络安全的入侵检测技术研究 计算机网络在给人类工作、生活、娱乐等带来极大便 利的同时,其中存在的安全问题也越来越突出。入侵检测技术作为一种重要的网络安全防护技术,受到了网络安全人员的青睐。本文对入侵检测技术的相关理论进行了介绍,对当前入侵检测技术存在的问题进行了详细的分析和讨论,并对入侵检测技术未来的发展趋势进行了展望。 关键词】计算机网络网络安全入侵检测 1 引言当前,计算机网络已经得到了广泛应用,人们工 作、学 习、生活、社交、娱乐等等各个方面几乎都离不开网络,然而,计算机网络中存在的安全问题也给人们造成了极大困扰,已经成为无法回避且亟待解决的重要问题,如果不能及时采取相应的防御或解决措施,将严重制约社会的发展和信息化进程。入侵检测技术作为一种解决网络安全问题的十分有效的技术之一,得到了网络安全人员的青睐。入侵检测技术能够有效检测来自网络内部和外部网络入侵,对网络提供实时保护。 2 入侵检测技术相关理?概述入侵检测技术能够及时检测 出当前系统中出现的异常 现象,该技术在系统中的关键节点收集信息,并通过对这些信息的分析,从中检测出系统当前是否遭到恶意侵袭或是否存在违反安全策略的行为出现。 入侵检测技术通常包括信息收集、信息分析和问题处理 等 3 个主要步骤。在信息分析部分,将收集到的信息传送给驻留在传感器中的检测引擎,利用统计分析、模式匹配等技术进行实时检测,利用完整性分析等技术进行事后检测分析,当出现误用模式时,将告警信息发送给控制台;在问题处理部分,

当控制台收到来自系统的告警信息时,根据事先定义的响应策略,采取终止进程、切断连接等措施。 在计算机网络安全应用中使用到的入侵检测技术主要 包括基于主机和基于网络的两种入侵检测系统。其中,基于主机的入侵检测系统的重点检测对象是计算机,通过预先对主机进行相应的设置,根据计算机的运行状态和相关参数来判断该主机是否收到非法入侵,基于主机的入侵检测系统能够对当前的攻击是否成功进行判断,为主机采取相应的措施提供可靠依据,基于入侵网络的入侵检测系统通常通过设置多个安全点。 3 存在问题和发展趋势 3.1 存在问题 3.1.1 入侵检测技术 相对落后随着计算机技术的不断发张,尽管入侵检测技术 在不断

浅谈网络安全中入侵检测技术的应用

浅谈网络安全中入侵检测技术的应用 摘要:信息社会的不断进步与发展,网络给人们带来了前所未有的便利,同时 也带来了全新的挑战。在网络安全问题备受关注的影响下,极大地促进了入侵检 测技术的应用与实施。通过入侵检测技术的应用,可以切实维护好计算机网络的 安全性与可靠性,避免个人信息出现泄漏、盗窃现象。本文主要阐述了入侵检测 技术,然后针对入侵检测技术在网络安全中的应用进行了研究,以供相关人士的 借鉴。 关键词:网络;安全;入侵检测技术;应用 目前,入侵检测技术在网络安全中得到了广泛的应用,发挥着不可比拟的作 用和优势,已经成为了维护网络安全的重要保障。在实际运行中,威胁网络安全 的因素比较多,带给了网络用户极大的不便。因此,必须要加强入侵检测技术的 应用,对计算机中的数据信息进行加密与处理,确保网络用户个人信息的完整性,创建良好的网络安全环境,更好地提升网络用户对网络的满意度。 1入侵检测技术的简述 1.1入侵检测的概述 入侵检测技术,是一种对计算机网络的程序进行入侵式的检测的先进技术, 它作为网络安全中第二道防线,起到保护计算机网络安全的作用。入侵检测是通 过收集与分析安全日志、行为、审计和其他可获得的信息以及系统的关键信息, 以此检测出计算机网络中违反安全策略的行为和受攻击的对象的一个工作过程。 它开展保护工作的过程具体可分为:监视、分析网络用户和网络系统活动;网络 安全系统构造和弱点的审查评估;认定反映已知进攻活动并作出警示警告;网络 系统异常行为的统计和分析4个步骤。入侵检测技术能够同时完成实时监控内部 攻击、外部攻击和错误操作的任务,把对网络系统的危害阻截在发生之前,并对 网络入侵作出响应,是一种相对传统的被动静态网络安全防护技术提出的一种积 极动态网络安全防护技术。 1.2入侵检测技术的特性 入侵检测技术基本上不具有访问控制的能力,这一技术就像拥有多年经验的 网络侦查员,通过对数据的分析,从数据中过滤可疑的数据包,将正常使用方式 与已知的入侵方式进行比较,来确定入侵检测是否成功。网络安全管理员根据这 些判断,就可以确切地知道所受到的攻击,并采取相应的措施来解决这一问题。 入侵检测系统是网络安全管理员经验积累的一种体现,减轻了网络安全管理员的 负担,降低了网络安全管理员的技术要求,并且提高了电力信息网络安全管理的 有效性和准确性。其功能有:①监视用户和系统的功能,查找非法用户合合法用户的越权操作。②审计系统配置的正确性和安全漏洞,并提示管理员修补后动。③对用户的非正常活动进行统计分析,发现入侵行为的规律。④操作系统的审 计跟踪管理,能够实时地对检测到的入侵行为进行反应,检查系统程序和数据的 一致性与正确性。 1.3入侵检测技术的流程 具体如下图1所示。现如今网络安全问题已经引起了社会各界人士的广泛关注,如何在发挥计算机数据库功能的同时避免其遭受病毒的侵袭,需要技术人员 给予足够的重视,不断提高自身的技术水平,了解入侵检测技术原理并实现技术 的合理使用,最为关键的是要严格按照应用流程进行操作,具体操作要点包括如 下几个步骤:①攻击者可以先通过某种方式在网络上注入网络攻击行为;②如果攻

入侵检测课程设计1

甘肃政法学院 入侵检测课程设计题目:snort入侵检测系统 学号: 姓名: 指导教师: 成绩:_______________

摘要:本文使用抓包库WinPcap,入侵探测器snort,Web服务器Apache,数据库MySQL,入侵数据分析控制台ACID构建了Windows平台下基于snort的网络入侵系统。Snort对监控网络中的数据包进行规则匹配,检测入侵行为,并将日志保存至MYSQL数据库,ACID分析数据库数据,生成网络入侵事件日志图表。 关键词:入侵检测系统;网络安全;snort

基于windows平台的snort入侵检测系统研究与实现 引言 随着计算机网络的迅猛发展, 网络安全问题日益严重。防火墙作为主要的安全防范手段, 在很多方面存在弱点, 而入侵检测系统能够提供了对内部、外部攻击和误操作的实时保护, 它能够自动的监控网络的数据流, 迅速发现攻击, 对可疑的事件给予检测和响应。因此, 入侵检测系统愈来愈多的受到人们的关注, 并已经开始在各种不同的环境中发挥重要的作用。 目前市面上充斥着大量的入侵检测系统产品。但是它们大多比较杂, 比较难以掌握, 而且比较昂贵。我们可以通过网络上的开源软件来自己构建一个入侵检测系统。 第一章入侵检测系统简介 入侵检测是对系统运行状态进行监视,发现各种攻击企图和行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。入侵检测系统( Int rusion Detect ion Sy stem, 简称IDS)根据检测数据来源分为:基于主机的入侵检测系统从单个主机上提取数据(如审计数据等)作为入侵检测分析的数据源;基于网络的入侵检测系统从网络上提取数据(如网络链路层的数据帧)作为入侵分析的数据源。入侵检测系统按检测方法分为:异常入侵检测根据异常行为和计算机资源情况检测入侵,并试图用定量方式描述可接受的行为特征,以区分正常的、潜在的入侵行为;误用入侵检测指用已知系统和应用软件的弱点攻击模式来检测入侵行为。目前入侵检测技术存在:现有IDS 误报警率偏高,很难确定真正的入侵行为;事件响应与恢复机制不完善,不适当的自动响应机制存在很大的安全风险;IDS 缺乏国际统一标准,缺乏统一的入侵检测术语和概念框架;IDS 本身正在发展和变化,远未成熟,还存在对入侵检测系统自身的攻击;缺少对检测结果作进一步说明和分析的辅助工具,日益增长的网络流量导致检测分析难度加大。 第二章Snort 入侵检测系统的构建 2 Snort原理 2.1 入侵检测系统简介 入侵检测系统通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。 2.2 入侵检测系统的分类 入侵检测系统可分为主机型和网络型 主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。

入侵检测技术的现状及未来

入侵检测技术的现状及未来 【摘要】入侵检测能有效弥补传统防御技术的缺陷,近年来入侵检测系统已经成为网络安全的系统中的重要组成部分。本文在对当前主流入侵检测技术及系统进行详细研究分析的基础上,指出了入侵检测系统面临的问题和挑战。最后对入侵检测系统的未来发展方向进行了讨论,展望了应用人工智能技术的入侵检测系统、基于Android平台的入侵检测系统、基于云模型和支持向量机的特征选择方法等新方向。 【关键词】网络安全;入侵检测;异常检测;智能技术 0.引言 目前,在网络安全日趋严峻的情况下,解决网络安全问题所采用的防火墙、身份认证、数据加密、虚拟子网等一般被动防御方法已经不能完全抵御入侵。此时,研究开发能够及时准确对入侵进行检测并能做出响应的网络安全防范技术,即入侵检测技术(ID,Intrusion Detection),成为一个有效的解决途径。入侵检测作为一种积极主动地安全防护技术,已经成为网络安全领域中最主要的研究方向。 1.入侵检测概述 1.1入侵检测的基本概念 入侵检测(Intrusion Detection),即是对入侵行为的检测。入侵是指潜在的、有预谋的、未被授权的用户试图“接入信息、操纵信息、致使系统不可靠或不可用”的企图或可能性。它通过从计算机网络或计算机系统的关键点收集信息,并对收集到的信息进行分析,从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。而入侵检测系统则是入侵检测的软件与硬件的组合。 1.2入侵检测系统的通用模型 1987年Dorothy E Denning[1]提出了入侵检测的模型,首次将入侵检测作为一种计算机安全防御措施提出。该模型包括6个主要的部分:主体(Subjects)、对象(Objects)、审计记录(Audit Record)、活动档案(Active Profile)、异常记录(Anomaly Record )、活动规则(Activity Rules)。 2.入侵检测系统采用的检测技术 从技术上看,入侵可以分为两类:一种是有特征的攻击,它是对已知系统的系统弱点进行常规性的攻击;另一种是异常攻击。与此对应,入侵检测也分为两类:基于特征的(Signature-based即基于滥用的)和基于异常的(Anomaly-based,也称基于行为的)。

浅谈网络安全中入侵检测技术的应用

浅谈网络安全中入侵检测技术的应用 发表时间:2019-02-28T15:08:00.887Z 来源:《基层建设》2018年第36期作者:牛晓娟 [导读] 摘要:信息社会的不断进步与发展,网络给人们带来了前所未有的便利,同时也带来了全新的挑战。 三河发电有限责任公司河北三河 065201 摘要:信息社会的不断进步与发展,网络给人们带来了前所未有的便利,同时也带来了全新的挑战。在网络安全问题备受关注的影响下,极大地促进了入侵检测技术的应用与实施。通过入侵检测技术的应用,可以切实维护好计算机网络的安全性与可靠性,避免个人信息出现泄漏、盗窃现象。本文主要阐述了入侵检测技术,然后针对入侵检测技术在网络安全中的应用进行了研究,以供相关人士的借鉴。 关键词:网络;安全;入侵检测技术;应用 目前,入侵检测技术在网络安全中得到了广泛的应用,发挥着不可比拟的作用和优势,已经成为了维护网络安全的重要保障。在实际运行中,威胁网络安全的因素比较多,带给了网络用户极大的不便。因此,必须要加强入侵检测技术的应用,对计算机中的数据信息进行加密与处理,确保网络用户个人信息的完整性,创建良好的网络安全环境,更好地提升网络用户对网络的满意度。 1入侵检测技术的简述 1.1入侵检测的概述 入侵检测技术,是一种对计算机网络的程序进行入侵式的检测的先进技术,它作为网络安全中第二道防线,起到保护计算机网络安全的作用。入侵检测是通过收集与分析安全日志、行为、审计和其他可获得的信息以及系统的关键信息,以此检测出计算机网络中违反安全策略的行为和受攻击的对象的一个工作过程。它开展保护工作的过程具体可分为:监视、分析网络用户和网络系统活动;网络安全系统构造和弱点的审查评估;认定反映已知进攻活动并作出警示警告;网络系统异常行为的统计和分析4个步骤。入侵检测技术能够同时完成实时监控内部攻击、外部攻击和错误操作的任务,把对网络系统的危害阻截在发生之前,并对网络入侵作出响应,是一种相对传统的被动静态网络安全防护技术提出的一种积极动态网络安全防护技术。 1.2入侵检测技术的特性 入侵检测技术基本上不具有访问控制的能力,这一技术就像拥有多年经验的网络侦查员,通过对数据的分析,从数据中过滤可疑的数据包,将正常使用方式与已知的入侵方式进行比较,来确定入侵检测是否成功。网络安全管理员根据这些判断,就可以确切地知道所受到的攻击,并采取相应的措施来解决这一问题。入侵检测系统是网络安全管理员经验积累的一种体现,减轻了网络安全管理员的负担,降低了网络安全管理员的技术要求,并且提高了电力信息网络安全管理的有效性和准确性。其功能有:①监视用户和系统的功能,查找非法用户合合法用户的越权操作。②审计系统配置的正确性和安全漏洞,并提示管理员修补后动。③对用户的非正常活动进行统计分析,发现入侵行为的规律。④操作系统的审计跟踪管理,能够实时地对检测到的入侵行为进行反应,检查系统程序和数据的一致性与正确性。 1.3入侵检测技术的流程 具体如下图1所示。现如今网络安全问题已经引起了社会各界人士的广泛关注,如何在发挥计算机数据库功能的同时避免其遭受病毒的侵袭,需要技术人员给予足够的重视,不断提高自身的技术水平,了解入侵检测技术原理并实现技术的合理使用,最为关键的是要严格按照应用流程进行操作,具体操作要点包括如下几个步骤:①攻击者可以先通过某种方式在网络上注入网络攻击行为;②如果攻击者的攻击行为已经突破了防火墙,可以应用服务器,评估用户的安全证书;③未发现用户的欺骗验证行为,可以查看SQL语句;④使用传感器向控制台发出警报。 1.4入侵检测技术的工作原理 通过收集计算机系统中的关键信息点,并通过相应软件对计算机系统和网络中是否存攻击进行分析,如果检测到计算机某个系统正在受到网络病毒入侵、身份攻击、拒绝服务攻击,并做出正确的应对。其实入侵检测技术上也就是一种动态安全防护技术,在国际上称之为IDS,主要技术手段是发现计算机网络中存在异常和匹配模式。 1)异常入侵检测 异常入侵检测,是指将用户在使用数据库时所常用的行为特征信息储存到数据库当中,当产生新的数据库使用行为时,系统会自动将当前的使用行为特征与储存好的用户常用数据库使用行为特征相比较,如果两者相差比较大,就说明此次访问行为与平时有明显的不同,即访问出现异常现象。遇到这种现象时系统会自动开启安全防御系统,对异常现象进行处理。异常入侵检测可以适用于大部分的网络安全检测,具有较强的实用性,而且可以在大量数据中慢慢地掌握检测的方法和规则。 2)入侵检测的匹配模式 匹配模式就是把已经收集到的信息和已知网络入侵、系统错误模式数据库等进行对比,及时发现会对计算机网络系统造成侵害的入侵行为,以便制定有效的应对策略。此过程的重点是把所有入侵手段用计算机系统可以识别的模式进行表述,并建立入侵模式数据库。在具体检测过程中,要对收集到的数据特征模式是否在入侵模式库中进行判断,而批评模式的占有系统比较少,仅仅包含集中收集到的数据库,因此匹配成功的概率比较高,基本上不会出现在错报的情况,发展至今匹配模式在入侵检测技术中的应用已经趋于成熟,可以大范围推广使用。其主要缺点升级比较频繁,负责也就难以应对各种新型入侵攻击技术。 2入侵检测技术应用的必要性分析 互联网具备高度的开放性与自由性,而接入网络的计算机体系或软件没有绝对的安全,为确保计算机用户数据与体系的完整性、可用性和保密性,就一定要使用重要的安全防护方法。现阶段常用的安全防护方法有对系统实施完善、对数据实施加密、控制执行访问等。然而就现阶段技术发展来看,第一种方法在技术层面非常难完成;第二种方法短期内能对数据实施保护,然而加密技术自身完成过程中存在一些问题,被破解的可能性比较高;第三种措施会在一定程度上使网络用户的应用效率降低。综合来看,能够运用相对容易完成的安全系

入侵检测技术现状分析与研究

学年论文 题目:入侵检测技术现状分析与研究 学院专业级班 学生姓名学号 指导教师职称 完成日期

入侵检测技术现状分析与研究 【摘要】随着网络的快速发展及普及,网络安全已经成为不可忽视的信息安全.小至个人用户的信息,大至公司企业重要的资料数据,一但在不知不觉中被盗窃,会给自己乃至公司带来利益的损失.入侵检测技在1980年由JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念 【关键词】IDS、协议、分析、网络安全

目录 第一章绪论 (1) 1.1入侵检测技术的背景 (1) 1.2入侵检测技术的应用与发展现状 (1) 第二章入侵检测技术 (1) 2.1入侵检测系统的分类 (1) 2.1.1基于主机的入侵检测系统 (2) 2.1.2基于网络的入侵检测系统 (2) 2.2入侵检测技术 (3) 2.2.1异常入侵检测技术 (3) 2.2.2误用入侵检测技术 (3) 第三章校园网中的分布式入侵检测分析 (4) 3.1 分布式入侵检测的设计思想 (4) 3.2 校园分布式入侵检测模式的分析 (4) 3.3 采用的入侵检测技术 (5) 第四章入侵检测系统的发展趋势 (7) 第五章总结 (8)

第一章绪论 1.1入侵检测技术的背景 随着计算机网络技术的飞速发展,人们已经离不开了网络的通信.网络渗透到了人们生活的点点滴滴,地球村的建设,让人们走进了高速发展的时代,信息中心的高速传输,网络资源的高度共享,都离不开网络.网络使得信息的获取、传递、处理和利用变得更加有效,网络带给人们学习、工作、娱乐的便利之余,也带给我们一些安全隐患.网络黑客可以轻松的取走你的重要的文件,盗取你的银行存款,破坏你的企业平台,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏用户的计算机,使你的网络瘫痪或者崩溃.所以,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为一个刻不容缓的问题.伴随着网络的发展,各种网络安全技术也随之发展起来. 美国韦式大辞典中对入侵检测的定义为:“硬闯入的行为,或者是在没受到邀请和欢迎的情况下进入一个地方”.当说到入侵检测的时候,我们是指发现了网络上的一台计算机有未经过授权的闯入行为,这个未经过许可的网络入侵或访问,是一种对其他网络设备的安全威胁或伤害.我们通常使用的网络安全技术有:防火墙、杀毒软件、虚拟专用网、数据加密、数字签名和身份认证技术等.这些传统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷.例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击,不能防备最新出现的威胁,不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击.传统的身份认证技术,很难抵抗脆弱性口令,字典攻击,特洛伊木马,网络窥探器以及电磁辐射等攻击手段.虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击,缓冲区溢出等常见的攻击.另外,这些技术都属于静态安全技术的范畴;静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵.而入侵检测技术是一种动态安全技术,它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息;然后进行安全性分析,从而及时发现各种入侵并产生响应.、 1.2入侵检测技术的应用与发展现状 在目前的计算机安全状态下,基于防火墙,加密技术等的安全防护固然重要;但是要根本改善系统的安全现状,必须要发展入侵检测技术.它已经成为计算机安全策略中的核心技术之一.Intrusion Detection System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击,外部攻击和误操作的实时保护.从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出.在国内,随着上网关键部门,关键业务越来越多,迫切需要具有自主版权的入侵检测产品;但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究非常重要.传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件与入侵规则相匹配.从网络数据包的包头开始与攻击特征字符串比较.若比较结果不同,则下移一个字节再进行;若比较结果相同,那么就检测到一个可能的攻击.这种逐字节匹配方法具有两个最根本的缺陷:计算负载大以及探测不够灵活.面对近几年不断出现的A TM,千兆以太网,G比特光纤网等高速网络应用,实现实时入侵检测成为一个现实的问题.适应高速网络的环境,改进检测算法以提高运行速度和效率是解决该问题的一个途径.协议分析能够智能地"解释"协议,利用网络协议的高度规则性快速探测攻击的存在,从而大大减少了模式匹配所需的运算.所以说研究基于协议分析的入侵检测技术具有很强的现实意义. 第二章入侵检测技术 2.1入侵检测系统的分类 入侵检测系统按采用的技术分为:异常检测系统和误用检测系统.按系统所监测的对象分为:基于主

入侵检测技术

重要章节:3、4、5、6、7、9 第一章 入侵检测概述 1.入侵检测的概念:通过从计算机网络或计算机系统中的若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 2.传统安全技术的局限性:(1)防火墙无法阻止内部人员所做的攻击(2)防火墙对信息流的控制缺乏灵活性(3)在攻击发生后,利用防火墙保存的信息难以调查和取证。 3.入侵检测系统的基本原理主要分为4个阶段:数据收集、数据处理、数据分析和响应处理。 4.入侵检测的分类:(1)按照入侵检测系统所采用的技术:误用入侵检测、异常入侵检测和协议分析(2)按照数据来源可以分为:基于主机的IDS 、基于网络的IDS 、混合式IDS 、文件完整性检查式IDS 第二章 常见的入侵方法与手段 1.漏洞的具体表现:(1)存储介质的不安全(2)数据的可访问性(3)信息的聚生性(4)保密的困难性(5)介质的剩磁效应(6)电磁的泄露性(7)通信网络的脆弱性(8)软件的漏洞 2.攻击的概念和分类:根据攻击者是否直接改变网络的服务,攻击可以分为被动攻击和主动攻击。主动攻击会造成网络系统状态和服务的改变。被动攻击不直接改变网络的状态和服务。 3.攻击的一般流程:(1)隐藏自己(2)踩点或预攻击探测(3)采取攻击行为(4)清除痕迹 第三章 入侵检测系统模型 1.入侵检测系统模型的3个模块:信息收集模块、信息分析魔力和报警与响应模块 入侵检测系统的通用模型 2.入侵检测发展至今,先后出现了基于主机的和基于网络的入侵检测系统,基于模式匹配、异常行为、协议分析等检测技术的入侵检测系统。第四代入侵检测系统是基于主机+网络+安全管理+协议分析+模式匹配+异常统计的系统,它的优点在于入侵检测和多项技术协同工作,建立全局的主动保障体系,误报率、漏报率较低,效率高,可管理性强,并实现了多级的分布式监测管理,基于网络的和基于主机的入侵检测与协议分析和模式匹配以及异常统计相结合,取长补短,可以进行更有效的入侵检测。 3.入侵检测信息的来源一般来自以下的4个方面:(1)系统和网路日志文件(2)目录和文件中不期望的改变(3)程序执行中的不期望行为(4)物理形式的入侵 4.在入侵检测系统中,传感器和事件分析器之间的通信分为两层:OWL 层和SSL 层。OWL 层负责使用OWL 语言将传感器收集到的信息转换成统一的OWL 语言字符串。SSL 层使用SSL 协议进行通信。 5.信息分析的技术手段:模式匹配、统计分析和完整性分析。 6.根据入侵检测系统处理数据的方式,可以将入侵检测系统分为分布式入侵检测系统和集中式入侵检测系统。 分布式:在一些与受监视组件相应的位置对数据进行分析的入侵检测系统。 集中式:在一些固定且不受监视组件数量限制的位置对数据进行分析的入侵检测系统。 7.分布式入侵检测系统和集中式入侵检测系统的特点比较如下: 1.可靠性 集中式:仅需运行较少的组件 分布式:需要运行较多的组件 2.容错性 集中式:容易使系统从崩溃中恢复,但也容易被故障中断 分布式:由于分布特性,数据存储时很难保持一致性和可恢复性 信息收集 信息分析 报警与响应

IDS入侵系统的分析与设计

毕业论文(设计)论文题目:IDS入侵系统的分析与设计 学生姓名:刘荣荣 学号:0908210124 所在院系:计算机与信息工程系 专业名称:计算机科学与技术 届次:2014 届 指导教师:陈茅

目录 摘要 (1) 前言 (3) 第1章入侵检测技术的介绍 (4) 1.1 入侵检测基本模式的确立 (4) 1.2 入侵检测的相关概念 (5) 第2章入侵与网络安全 (6) 2.1网络安全问题的产生 (6) 2.2入侵技术的发展趋势及入侵的步骤 (8) 2.4网络安全产品 (8) 第3章防火墙技术 (9) 3.1防火墙的概述 (9) 3.2防火墙的体系结构 (10) 第4章入侵检测的方法 (12) 4.1基于主机的入侵检测技术 (12) 4.2基于网络的入侵检测技术 (14) 第5章 IDS的应用与发展 (16) 5.1 SNORT--免费的IDS (16) 5.2 对提高检测技能关键技术的分析 (17) 5.3 IDS的主要发展方向 (18) 参考文献 (19) 致谢 (20)

IDS入侵系统的分析与设计 学生:刘荣荣(指导老师:陈茅) (淮南师范学院计算机信息工程系) 摘要:入侵检测技术的全称为intrusion detection system,简称“IDS”。目前,入侵检测系统是一个全面的系统安全体系结构的组成部分,已经被企业或机构广 泛采用,然而IDS技术产品化的时间相对来说并不长,多数企业或机构缺乏在 这方面有经验的技术人员。若无法完全防止入侵,那么只能希望如果系统受到 了攻击,则能够尽快,最好实时检测出入侵,从而可以采取相应措施来对应入 侵,这就是IDS的任务所在。入侵检测是防火墙之后的第二道阀门,对安全保 护措施采取的是一种积极的主动的防御策略,在不影响性能的情况下,能够对 网络进行检测,从而提供内部攻击,外部攻击以及误操作的实时保护。 关键词:网络安全;入侵检测;防火墙 Analysis and design of IDS intrusion system Student:LiuRongrong(Faculty Adviser:ChenMao) (Huainan Normal University Department of computer and Information Engineering) Abstract: Intrusion detection technology is called intrusion detection system, referred to as "IDS". At present, the intrusion detection system as part of an overall system security architecture, has been widely used by enterprises or institutions, but the IDS technology products of the time is not long, the majority of enterprises or institutions lack of technical personnel with experience in this area. If you are unable to completely prevent intrusion, so can only hope that if the system is under attack, as soon as possible, the best real time detect intrusion, and take corresponding measures to the corresponding intrusion, this is IDS's mission. Intrusion detection is

入侵检测概念、过程分析和布署

入侵检测概念、过程分析和布署 入侵检测概念、过程分析和布署 1、入侵检测的基本概念入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”(参见国标GB/T18336)。入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行?募际酢=?腥肭旨觳獾娜砑?胗布?淖楹媳闶侨肭旨觳庀低常↖ntrusion Detection System,简称IDS)。 2、入侵检测系统的发展历史 1980年JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念。1984年到1986年乔治敦大学的DorothyDenning和SRI公司计算机科学实验室的PeterNeumann研究出了一个实时入侵检测系统模型- IDES(Intrusion Detection Expert Systems入侵检测专家系统),是第一个在一个应用中运用了统计和基于规则两种技术的系统,是入侵检测研究中最有影响的一个系统。1989年,加州大学戴维斯分校的Todd Heberlein写了一篇论文《A Network SecurityMonitor》,该监控器用于捕获TCP/IP分组,第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机,网络入侵检测从此诞生。 3、系统模型为解决入侵检测系统之间的互操作性,国际上的一些研究组织开展了标准化工作,目前对IDS进行标准化工作的有两个组织:IETF的Intrusion Detection Working Group(IDWG)和Common Intrusion Detection Framework(CIDF)。CIDF早期由美国国防部高级研究计划局赞助研究,现在由CIDF工作组负责,是一个开放组织。 CIDF阐述了一个入侵检测系统(IDS)的通用模型。它将一个入侵检测系统分为以下组件:事件产生器(Event generators),用E盒表示;事件分析器(Event analyzers),用A盒表示;响应单元(Responseunits),用R盒表示;事件数据库(Event databases),用D盒表示。

“入侵检测技术”课程实验教学的设计与研究

“入侵检测技术”课程实验教学的设计与研究 目前,关于信息安全实验教学方面的书籍和论文已有相当的数量。特别是近一、二年,国内出版了近10本有关信息安全实验教程。但是,入侵检测实验内容所占篇幅很小,而且均是关于一些常见入侵检测工具的使用。这些内容对于“网络安全”或“信息安全”等综合课程中一个章节来说,应该说基本能够满足要求,但是对于“入侵检测技术”这门独立课程来说,远不能满足其要求。从国内外的有关论文来看,大多是关于信息安全实验教学研究的,比如,信息安全专门实验室的建立并在其中分组进行攻防实验;通过入侵、入侵分析和入侵检测实验项目将信息安全的研究和教育相结合的,更好地提高学生参与热情和学习效率;在不同操作系统下设计不同级别、不同类型的信息安全课程实验,并通过不同途径评价实验教学的效果;建立远程在线实验系统,允许学生在任何地点任何时候通过互联网完成信息安全的相关实验。这些内容对入侵检测的实验教学有很好的参考价值,但不能完全照搬过来。其原因如下: (1) 教学对象不同。“入侵检测技术”课程一般面向信息安全专业的大四学生。 (2) 实验条件不同。不同的学校在实验环境和实验条件方面差异很大。 (3) 教学目标不同。在设置信息安全专业时,不同学校根据自身的条件和特点,对信息安全专业的培养目标有各自的侧重点。 (4) 课程特点不同。“入侵检测技术”课程在技术性、综合性、专业性方面特点显著。 我校第一批信息安全专业学生的入校时间是2004年。“入侵检测技术”这门课程在2007年作为大四学生必修课,共56学时,其中16学时是实验课。2008年作为大四的选修课,共40学时,其中8学时的实验课。“入侵检测技术”这门课不仅对我校,对国内其它各相关院校来说,都是一门全新的课程。在实验教学的形式、内容、资料等方面不像其它经典课程那样有较多的选择和较成熟的模式。2008年本人申请的校级入侵检测技术实验教学的教改立项获得批准,对“入侵检测技术”课程的实验教学方法和内容进行了一系列的探索和研究。本文重点讨论“入侵检测技术”这门课程的特点、从课程本身对实验教学的需求以及学生对实验教学的需求、入侵检测实验教学的设计、实验教学效果的评价和完善机制、最后提出入侵检测实验教学应当进一步研究和完善的内容。 2对实验教学的需求 “入侵检测技术”这门课程主要涉及到的重要的知识点包括:入侵检测的基本概念、入侵方法与手段、入侵检测系统数据源、基于主机的入侵检测系统、基于网络的入侵检测系统、检测引擎、告警与响应、入侵检测系统的评估、入侵检测系统的应用等。其中原理性、理论性的内容主要体现在入侵检测的原理、检测算

入侵检测课程设计

计算机科学学院 入侵检测技术期末课程设计题目snort入侵检测系统 学号xxx 班级xxx 姓名xxx 指导教师xxx 成绩 完成时间2012 年 6 月

snort 入侵检测系统 一、课程设计目的 (1)通过实验深入理解入侵检测系统的原理和工作方式。 (2)熟悉入侵检测工具snort 在Windows 操作系统中的安装和配置方法 二、课程设计的原理 1 引言 snort 是一个免费的基于libpcap 的轻量级网络入侵检测系统。它能够跨系统平台操作,自带轻量级的入侵检测工具可以用于监视小型的TCP/IP 网络,在进行网络监视时snort 能够把网络数据和规则进行模式匹配,从而检测出可能的入侵企图,同时它也可以使用SPADE 插件,使用统计学方法对网络数据进行异常检测,这些强大的检测功能为网络管理员对于入侵行为做出适当的反击提供了足够的信息。 snort 使用一种易于扩展的模块化体系结构,开发人员可以加入自己编写的模块来扩展snort 的功能。这些模块包括:HTTP 解码插件、TCP 数据流重组插件、端口扫描检测插件、FLEXRESP 插件以及各种日志输入插件等。 同时snort 还是一个自由、简洁、快速、易于扩展的入侵检测系统,已经被移植到了各种UNIX 平台和Win98,Win2000上。它也是目前安全领域中,最活跃的开放源码工程之一。在https://www.360docs.net/doc/424648396.html, 上几乎每天都提供了最新的规则库以供下载,由于snort 本身是自由的源码开放工程所以在使用snort 时除了必要的硬件外软件上基本上不需要有任何额外的开销。这相对于少则上千多则上万的商业入侵检测系统来说,无疑是最好的替代产品之一。 本文主要论述了snort 的背景知识以及它的基于规则的入侵检测机制,同时对于如何使用也作了概括说明。 2 入侵检测技术简介 入侵检测就是一个监视计算机系统或者网络上发生的事件,然后对其进行安全分析的过程。它可以用来发现外部攻击与合法用户滥用特权,根据用户的历史行为,基于用户的当前操作,完成对入侵的检测,记录入侵证据,为数据恢复和事故处理提供依据。入侵检测系统的原理如图A 所示: 入侵检测监测 作出响应攻击? 用户的历史操 作数据用户当前操 作的数据 否是 图A 入侵检测的原理图 大多数的入侵检测系统都可以被归入到基于主机、基于网络以及分布式三类。基于主机的入侵检测系统是一种早期的IDS 设计模型,它主要设计用来监视

互联网安全--浅谈入侵检测技术

浅谈入侵检测技术 姓名: 学号: 学院: 课程: 教师:

浅谈入侵检测技术 1 课题意义 互联网技术的飞速发展,迎来了一个信息化的时代,21世纪,互联网技术已经深深融入到人们的工作、生活、娱乐、思维等各个方面。如今,互联网为人们提供的服务越来越多,和人们日常生活联系得越来越紧密,人们也享受着由此带来的便捷生活。与此同时,由于互联网本身的开放性以及互联网产品一些未知的漏洞,网络安全问题日益突出,威胁网络安全的手段也层出不穷。因此,如何有效保证互联网安全已成为了一项关键而重要的任务。加强入侵检测技术在计算机网络安全维护中的应用探究,发现其中的问题,制定相关的对策,能够有效提升计算机网络安全维护效率和质量,确保在计算机网络安全维护中入侵检测技术的有效应用,推动计算机网络安全维护可持续发展。 1.1 概述 入侵检测技术主要是根据计算机网络或计算机系统中的关键数据、重要文件进行收集,并且基于这些数据的基础上,进行分析,对一些可能危害到系统的能用性、整体性和安全性的方式进行隔绝和报警。面对计算机的不正常运行状态,入侵检测技术能够对计算机内部和外部的意外攻击进行及时防御,并且降低甚至避免其对计算机造成的扰乱。入侵检测技术还能在计算机受到意外攻击后,弥补防火墙不足的缺陷,对计算机做到更深层次的保护。因此,计算机网络安全的入侵检测技术也可以看做是防火墙的补充。 1.2 起源 20世纪70年代开始,计算机及网络的安全问题得研究便已开始,早期主要采用审计跟踪技术来检测入侵行为。直到1980年4月,James P.Anderson在为美国空军做的一份题为Computer Security Threat Monitoring and Surveillance 的技术报告中才首次提出入侵检测的概念。在这份报告中,James P.Anderson提出了一种对计算机系统风险和威胁的分类方法,将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟中数据见识入侵行为的思想,从此人们开始了入侵检测技术的研究。 1.3 国内外发展现状 近几年来,随着人们对信息安全的认识不断提升,信息安全问题越来越引起人们的重视,入侵检测系统的市场更是飞速发展,许多公司投入到这一领域,推出自己的产品。国外的企业及其产品有:Sourcefire公司(现被Barracuda Networks INC公司收购)的Snort、ISS(Internet Security System)的RealSecure、Cisco公司的Secure IDS(前身为NetRanger)、Axent Technologies 公司(现被Symantec收购)的Netprowler/Intruder Alert、CA公司的CyberCop Monitor等。国内在入侵检测研究方面虽然起步较晚,但发展很快,目前在公安部取得销售许可证的安全厂商已有30余家,主要的企业及其产品有:启明星辰(VenusTech)的天阗、北方计算中心的NIDS detector、远东科技的黑客煞星、金诺网安的KIDS、绿盟的冰之眼IDS等。 2 入侵检测技术在网络安全维护中的应用 入侵检侧技术在计算机网络安全维护中,主要是起到监控、检测、分析、跟踪和预警的作用,通过监控用户的网络活动,检侧网络中的数据,分析用户是否遭到攻击,或是否存在违反网络安全策略的行为。如果用户属于攻击对象,那么向用户提供安全预警,关闭重要性的文件档案;如果用户是非法入侵,那么解除用户的权限,对用户的操作进行跟踪,寻找攻击数据的特征。 2.1 收集信息 数据在入侵检侧技术中必不可少,数据源主要有4个:其一,系统和网络的日志;其二,

入侵检测技术论文

目录 第一章绪论 1.1 入侵检测技术的背景 1.2 程序设计的目的 第二章入侵检测系统 2.1 网络入侵概述 2.2 网络存在的安全隐患 2.3 网络入侵与攻击的常用手段 2.4 入侵检测技术 2.4.1 误用入侵检测技术 2.4.2 异常入侵检测技术 第三章协议分析 3.1 协议分析简介 3.2 协议分析的优势 第四章 PANIDS系统的设计及实现 4.1 PANIDS系统总体结构设计 4.2 系统基本信息读取模块的设计及实现 4.3 网络数据包捕获模块的设计及实现 4.4 基于协议分析的入侵检测模块的设计及实现 4.4.1 数据包的分解 4.4.2 入侵检测的实现 4.5 实验结果及结论 第五章总结与参考文献 摘要 网络技术高速发展的今天,人们越来越依赖于网络进行信息的处理。因此,网络安全就显得相当重要,随之产生的各种网络安全技术也得到了不断地发展。防火墙、加密等技术,总的来说均属于静态的防御技术。如果单纯依靠这些技术,仍然难以保证网络的安全性。入侵检测技术是一种主动的防御技术,它不仅能检测未经授权的对象入侵,而且也能监视授权对象对系统资源的非法使用。传统的入侵检测系统一般都采用模式匹配技术,但由于技术本身的特点,使其具有计算量大、检测效率低等缺点,而基于协议分析的检测技术较好的解决了这些问题,

其运用协议的规则性及整个会话过程的上下文相关性,不仅提高了入侵检测系统的速度,而且减少了漏报和误报率。本文提出了一种基于协议分析的网络入侵检测系统PANIDS的模型,在该模型中通过Winpcap捕获数据包,并对数据包进行协议分析,判断其是否符合某种入侵模式,从而达到入侵检测的目的。 关键词:入侵检测,协议分析, PANIDS 第一章绪论 1.1 入侵检测技术的背景 随着计算机网络的飞速发展,网络通信已经渗透到社会经济、文化和科学的各个领域;对人类社会的进步和发展起着举足轻重的作用,它正影响和改变着人们工作、学习和生活的方式。另外,Internet的发展和应用水平也已经成为衡量一个国家政治、经济、军事、技术实力的标志;发展网络技术是国民经济现代化建设不可缺少的必要条件。网络使得信息的获取、传递、存储、处理和利用变得更加有效、迅速,网络带给人们的便利比比皆是。然而,网络在给人们的学习、生活和工作带来巨大便利的同时也带来了各种安全问题。网络黑客可以轻松的取走你的机密文件,窃取你的银行存款,破坏你的企业帐目,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏你的磁盘或计算机,使你的网络瘫痪或者崩溃。因此,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为刻不容缓的课题。伴随着网络的发展,各种网络安全技术也随之发展起来。常用的网络安全技术有:数据加密、虚拟专用网络(VPN,Virtual Private Network)、防火墙、杀毒软件、数字签名和身份认证等技术。这些传统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷。例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击、不能防备最新出现的威胁、不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击。传统的身份认证技术,很难抵抗脆弱性口令、字典攻击、特洛伊木马、网络窥探器以及电磁辐射等攻击手段。虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击、缓冲区溢出等常见的攻击。另外,这些技术都属于静态安全技术的范畴;静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵。而入侵检测技术是一种动态安全技术,它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息;然后进行安全性分析,从而及时发现各种入侵并产生响应。 1.2 程序设计的目的 在目前的计算机安全状态下,基于防火墙、加密技术等的安全防护固然重要;但是要根本改善系统的安全现状,必须要发展入侵检测技术。它已经成为计算机安全策略中的核心技术之一。Intrusion Detection System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内,随着上网关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品;但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究非常重要。传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件

相关文档
最新文档