1、桂林大學(xué)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì)題目：IDSIDS 技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用班級(jí)：1111 級(jí)計(jì)算機(jī)網(wǎng)絡(luò)學(xué)生：張翼學(xué)號(hào)：111102111111102111指導(dǎo)教師：曹龍20132013 年 1212 月 3333 日目錄1 1 入檢測(cè)技術(shù)發(fā)展歷史錯(cuò)誤！未定義書(shū)簽。1.11.1 什么是入侵檢測(cè)技術(shù) 錯(cuò)誤！未定義書(shū)簽。1.21.2 入侵檢測(cè)應(yīng)用場(chǎng)景 錯(cuò)誤！未定義書(shū)簽。2 2 入侵檢測(cè)技術(shù)在維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全中的使用 錯(cuò)誤！未定義書(shū)簽。2.12.1 基于網(wǎng)絡(luò)的入侵檢測(cè) 8 82.22.2 關(guān)于主機(jī)的入侵檢測(cè) 錯(cuò)誤！未定義書(shū)簽。3 3 入侵檢測(cè)技術(shù)存在問(wèn)題 錯(cuò)誤！未定義書(shū)簽。4 4 總結(jié)錯(cuò)誤！未定義

2、書(shū)簽。參考文獻(xiàn)錯(cuò)誤！未定義書(shū)簽。IDSIDS 技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用摘要目前，互聯(lián)網(wǎng)安全面臨嚴(yán)峻的形勢(shì)。因特網(wǎng)上頻繁發(fā)生的大規(guī)模網(wǎng)絡(luò)入侵和計(jì)算機(jī)病毒 泛濫等事多政府部門(mén)、商業(yè)和教育機(jī)構(gòu)等都受到了不同程度的侵害，甚至造成了極大的經(jīng)濟(jì) 損失。隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益突出。網(wǎng)絡(luò)入侵行為經(jīng)常發(fā)生，網(wǎng)絡(luò) 攻擊的方式也呈現(xiàn)出多樣性和隱蔽性的特征。很多組織致力于提出更多更強(qiáng)大的主動(dòng)策略和 方案來(lái)增強(qiáng)網(wǎng)絡(luò)的安全性，其中一個(gè)有效的解決途徑就是入侵檢測(cè)系統(tǒng)IDS(IntrusionDetection Systems)，本文闡述了IDS的發(fā)展歷程和它的缺陷，以及其在現(xiàn)網(wǎng)中的應(yīng)用情 況。關(guān)鍵詞：網(wǎng)絡(luò)

3、安全、網(wǎng)絡(luò)攻擊、黑客、IDSAbstractAbstractCurre ntly,l ntern etsecurity is facinga grim situati on. Large-scale networkin trusi onsand computerviruses on the Intern etfreque ntflood ingand other thi ngsa ndmoregovernment departments, businessand educational institutionsare allsubject tovaryingdegrees ofabuse,an

4、d evencaused greateconomic losses.With the continuous developmentofInternet technology,network security issuesbecome increasinglyprominent.Networkintrusionoccurs frequently,the waycyber attacksalso showingthe diversityandhiddenfeatures.Many organizationscommitted toput forwardmorerobustproactivestra

5、tegiesand programsto enhance the securityof the network,whichisaneffectivewayto solve theintrusion detection systemIDS (Intrusion Detection Systems),thispaperdescribes thedevelopment process ofIDSand itsflaws,as well as itsapplication inthecurrentnetwork. Keywords: network security,network attacks,

6、hackers, IDS第一章入檢測(cè)技術(shù)發(fā)展歷史1.1什么是入侵檢測(cè)技術(shù)說(shuō)到網(wǎng)絡(luò)安全防護(hù)，最常用的設(shè)備是防火墻。防火墻是通過(guò)預(yù)先定義規(guī)則 并依據(jù)規(guī)則對(duì)訪問(wèn)進(jìn)行過(guò)濾的一種設(shè)備；防火墻能利用封包的多樣屬性來(lái)進(jìn)行 過(guò)濾，例如：來(lái)源IP地址、來(lái)源端口號(hào)、目的IP地址或端口號(hào)、服務(wù)類型（如WWV或是FTP）。對(duì)于目前復(fù)雜的網(wǎng)絡(luò)安全來(lái)說(shuō)，單純的防火墻技術(shù)已不能完全阻止網(wǎng)絡(luò)攻 擊，如：無(wú)法解決木馬后門(mén)問(wèn)題、不能阻止網(wǎng)絡(luò)內(nèi)部人員攻擊等。據(jù)調(diào)查發(fā) 現(xiàn)，80%勺網(wǎng)絡(luò)攻擊來(lái)自于網(wǎng)絡(luò)內(nèi)部，而防火墻不能提供實(shí)時(shí)入侵檢測(cè)能力，對(duì)圖2 IDS通用模型IDS誕生于1980年，到目前為止已經(jīng)有30余年的歷史，在這30余年中，I

7、DS的發(fā)展經(jīng)過(guò)了4個(gè)階段。第一階段：概念誕生。IDS這個(gè)概念誕生于1980年4月，JamesP.Andrson為美國(guó)空軍做了一份題為Computer Security Threat Monitoring andSurveilla nee（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）的技術(shù)報(bào)告，第一次詳細(xì) 闡述了入侵檢測(cè)概念。他提出了一種對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類方法，并 將威脅分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計(jì)跟蹤數(shù)據(jù) 監(jiān)視入侵活動(dòng)的思想。這份報(bào)告被公認(rèn)為是入侵檢測(cè)的開(kāi)山之作。第二階段：模型發(fā)展。從1984年到1986年，喬治敦大學(xué)的Dorothy于病毒等束手無(wú)策。因此，很多組織致力于提出

8、更多更強(qiáng)大的主動(dòng)策略和方案來(lái)增強(qiáng)網(wǎng)絡(luò)的安 爭(zhēng)杵t城器-一-1一亠其中一個(gè)有效的解決途徑就是入侵檢測(cè)系統(tǒng).入侵檢測(cè)系統(tǒng)是全性,爭(zhēng)件分析輔事杵響應(yīng)器IDS,即入侵檢測(cè)系英文全稱為：r通過(guò)軟件和硬件對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)策略,ntrusio n Detectio nSysteo擊企圖、攻擊彳性。I可丁為或攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、 通用模型如圖2所示。充，其 依照一定的安全 發(fā)現(xiàn)各種攻完整性和可Denning和SRI/CSL的Peter Neumann研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型， 取名為IDES （入侵檢測(cè)專家系統(tǒng)）。該模型由六個(gè)部分組成：主題、對(duì)象、審 計(jì)記錄、輪廓特征、異常記錄、活動(dòng)

9、規(guī)則，如圖3所示。它獨(dú)立于特定的系統(tǒng)平臺(tái)、應(yīng)用環(huán)境、系統(tǒng)弱點(diǎn)以及入侵類型，為構(gòu)建入侵檢測(cè)系統(tǒng)提供了一個(gè)通圖3 IDES結(jié)構(gòu)框架第三階段：百家爭(zhēng)鳴。1990年是入侵檢測(cè)系統(tǒng)發(fā)展史上一個(gè)分水嶺。加州 大學(xué)戴維斯分校的L.T.Heberlein等人開(kāi)發(fā)出了NSM(Network Security Monitor)。該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來(lái)源，因而可以在不將審 計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異常主機(jī)，從此以后，入侵檢測(cè)系統(tǒng)發(fā)展 史翻開(kāi)了新的一頁(yè)，兩大陣營(yíng)正式形成：基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS。第四階段：繼續(xù)演進(jìn)。IDS在90年代形成的IDS兩大陣營(yíng)的基礎(chǔ)上，有了 長(zhǎng)足的發(fā)展，形成

10、了更多技術(shù)及分類。除了根據(jù)檢測(cè)數(shù)據(jù)的不同分為主機(jī)型和 網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)外，根據(jù)采用的檢測(cè)技術(shù)，入侵檢測(cè)系統(tǒng)可以分為基于異 常的入侵檢測(cè)(Anomaly Detection，AD和基于誤用(特征)的入侵檢測(cè)(Misuse Detection，MD。早期的IDS僅僅是一個(gè)監(jiān)聽(tīng)系統(tǒng)或者提供有限的 數(shù)據(jù)分析功能，而新一代IDS更是增加了應(yīng)用層數(shù)據(jù)分析的能力；同時(shí)，其配 合防火墻進(jìn)行聯(lián)動(dòng)，形成功能互補(bǔ)，可更有效的阻斷攻擊事件。現(xiàn)有的入侵檢 測(cè)技術(shù)的分類及相關(guān)關(guān)系如圖4所示。圖4入侵檢測(cè)系統(tǒng)分類1.2入侵檢測(cè)應(yīng)用場(chǎng)景與防火墻不同，IDS是一個(gè)監(jiān)聽(tīng)設(shè)備，無(wú)需網(wǎng)絡(luò)流量流經(jīng)它，便可正常工 作，即IDS采用旁路

11、部署方式接入網(wǎng)絡(luò)。IDS與防火墻的優(yōu)劣對(duì)比如下1.2.1IDS的優(yōu)勢(shì)：(1) IDS是旁路設(shè)備，不影響原有鏈路的速度；(2)由于具有龐大和詳盡的入侵知識(shí)庫(kù)，可以提供非常準(zhǔn)確的判斷識(shí)別，漏報(bào) 和誤報(bào)率遠(yuǎn)遠(yuǎn)低于防火墻；(3)對(duì)日志記錄非常詳細(xì)，包括：訪問(wèn)的資源、報(bào)文內(nèi)容等；(4)無(wú)論IDS工作與否，都不會(huì)影響網(wǎng)絡(luò)的連通性和穩(wěn)定性；(5)能夠檢測(cè)未成功的攻擊行為；(6)可對(duì)內(nèi)網(wǎng)進(jìn)行入侵檢測(cè)等。1.2.2IDS的劣勢(shì)：(1)檢測(cè)效率低，不能適應(yīng)高速網(wǎng)絡(luò)檢測(cè)；(2)針對(duì)IDS自身的攻擊無(wú)法防護(hù)；(3)不能實(shí)現(xiàn)加密、殺毒功能；(4)檢測(cè)到入侵，只進(jìn)行告警，而無(wú)阻斷等。IDS和防火墻均具備對(duì)方不可代替的功能

12、，因此在很多應(yīng)用場(chǎng)景中，IDS與防火墻共存，形成互補(bǔ)。根據(jù)網(wǎng)絡(luò)規(guī)模的不同，IDS有三種部署場(chǎng)景：小型網(wǎng)絡(luò)中，IDS旁路部署在Internet接入路由器之后的第一臺(tái)交換機(jī)上，如圖5所示；耳眾網(wǎng)服務(wù)器區(qū)賀金忡理區(qū)外公區(qū)圖 5 5 小型網(wǎng)絡(luò)部署中型網(wǎng)絡(luò)中，采用圖 6 6 的方式部署；0 聯(lián)網(wǎng)圖 6 6 中型網(wǎng)絡(luò)部署大型網(wǎng)絡(luò)采用圖 7 7 的方式部署IDS3IDS* -：級(jí)網(wǎng)恰:期網(wǎng)帛創(chuàng) M 緒沁一一級(jí)網(wǎng)絡(luò)皺網(wǎng)絡(luò)圖 7 7 大型網(wǎng)絡(luò)部署第二章 入侵檢測(cè)技術(shù)在維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全中的使用2.1基于網(wǎng)絡(luò)的入侵檢測(cè) 基于網(wǎng)絡(luò)的入侵檢測(cè)方式有基于硬件的，也有基于軟件的，不過(guò)二者的任 務(wù)流程是相反的。它們將網(wǎng)絡(luò)接

13、口的形式設(shè)置為混雜形式，以便于對(duì)全部流經(jīng) 該網(wǎng)段的數(shù)據(jù)停止時(shí)實(shí)監(jiān)控，將其做出剖析，再和數(shù)據(jù)庫(kù)中預(yù)定義的具有攻擊 特征做出比擬，從而將無(wú)害的攻擊數(shù)據(jù)包辨認(rèn)出來(lái)，做出呼應(yīng)，并記載日志。2.1.1入侵檢測(cè)的體系構(gòu)造 網(wǎng)絡(luò)入侵檢測(cè)的體系構(gòu)造通常由三局部組成，辨別為Agent、Console以及Man ager。其中Age nt的作用是對(duì)網(wǎng)段內(nèi)的數(shù)據(jù)包停止監(jiān)視，找出攻擊信息并把 相關(guān)的數(shù)據(jù)發(fā)送至管理器；Console的次要作用是擔(dān)任搜集代理處的信息，顯 示出所受攻擊的信息，把找出的攻擊信息及相關(guān)數(shù)據(jù)發(fā)送至管理器；Manager的次要作用則是呼應(yīng)配置攻擊正告信息，控制臺(tái)所發(fā)布的命令也由Ma nager來(lái)執(zhí)

14、行，再把代理所收回的攻擊正告發(fā)送至控制臺(tái)。2.1.2入侵檢測(cè)的任務(wù)形式 基于網(wǎng)絡(luò)的入侵檢測(cè)，要在每個(gè)網(wǎng)段中部署多個(gè)入侵檢測(cè)代理，依照網(wǎng)絡(luò)構(gòu)造的不同，其代理的銜接方式也各不相反。假如網(wǎng)段的銜接方式為總線式的 集線器，則把代理與集線器中的某個(gè)端口相銜接即可；假如為替換式以太網(wǎng)替 換機(jī)，由于替換機(jī)無(wú)法共享媒價(jià)，因而只采用一個(gè)代理對(duì)整個(gè)子網(wǎng)停止監(jiān)聽(tīng)的 方法是無(wú)法完成的。因而可以應(yīng)用替換機(jī)中心芯片中用于調(diào)試的端口中，將入 侵檢測(cè)系統(tǒng)與該端口相銜接。或許把它放在數(shù)據(jù)流的關(guān)鍵出入口，于是就可以 獲取簡(jiǎn)直全部的關(guān)鍵數(shù)據(jù)。2.1.3攻擊呼應(yīng)及晉級(jí)攻擊特征庫(kù)、自定義攻擊特征 假如入侵檢測(cè)系統(tǒng)檢測(cè)出歹意攻擊信息，其

15、呼應(yīng)方式有多種，例如發(fā)送電子郵件、記載日志、告訴管理員、查殺進(jìn)程、切斷會(huì)話、告訴管理員、啟動(dòng)觸 發(fā)器開(kāi)端執(zhí)行預(yù)設(shè)命令、取消用戶的賬號(hào)以及創(chuàng)立一個(gè)報(bào)告等等。晉級(jí)攻擊特 征庫(kù)可以把攻擊特征庫(kù)文件經(jīng)過(guò)手動(dòng)或許自動(dòng)的方式由相關(guān)的站點(diǎn)中下載上 去，再應(yīng)用控制臺(tái)將其實(shí)時(shí)添加至攻擊特征庫(kù)中。而網(wǎng)絡(luò)管理員可以依照單位 的資源情況及其使用情況，以入侵檢測(cè)系統(tǒng)特征庫(kù)為根底來(lái)自定義攻擊特征， 從而對(duì)單位的特定資源與使用停止維護(hù)。2.2關(guān)于主機(jī)的入侵檢測(cè)通常對(duì)主機(jī)的入侵檢測(cè)會(huì)設(shè)置在被重點(diǎn)檢測(cè)的主機(jī)上，從而對(duì)本主機(jī)的系 統(tǒng)審計(jì)日志、網(wǎng)絡(luò)實(shí)時(shí)銜接等信息做出智能化的剖析與判別。假如開(kāi)展可疑狀 況，則入侵檢測(cè)系統(tǒng)就會(huì)有針對(duì)性

16、的采用措施。基于主機(jī)的入侵檢測(cè)系統(tǒng)可以詳細(xì)完成以下功用：1對(duì)用戶的操作系統(tǒng)及其所做的一切行為停止全程監(jiān)控；2繼續(xù)評(píng)價(jià)系統(tǒng)、使用以及數(shù)據(jù)的完好性，并停止自動(dòng)的維護(hù)；3創(chuàng)立全新的平安監(jiān)控戰(zhàn)略，實(shí)時(shí)更新；4關(guān)于未經(jīng)受權(quán)的行為停止檢測(cè)，并收回報(bào)警，同時(shí)也可以執(zhí)行預(yù)設(shè)好的呼應(yīng) 措施；5將一切日志搜集起來(lái)并加以維護(hù)，留作后用。基于主機(jī)的入侵檢測(cè)系統(tǒng)關(guān)于主機(jī)的維護(hù)很片面細(xì)致，但要在網(wǎng)路中片面 部署本錢(qián)太高。并且基于主機(jī)的入侵檢測(cè)系統(tǒng)任務(wù)時(shí)要占用被維護(hù)主機(jī)的處置 資源，所以會(huì)降低被維護(hù)主機(jī)的功能。第三章入侵檢測(cè)技術(shù)存在問(wèn)題雖然入侵檢測(cè)技術(shù)有其優(yōu)越性，但是現(xiàn)階段它還存在著一定的缺乏，次要 表現(xiàn)在以下幾個(gè)方面：第

17、一，局限性：由于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)只對(duì)與其間接銜接的網(wǎng)段通訊做出 檢測(cè)，而不在同一網(wǎng)段的網(wǎng)絡(luò)包則無(wú)法檢測(cè)，因而假如網(wǎng)絡(luò)環(huán)境為替換以太 網(wǎng)，則其監(jiān)測(cè)范圍就會(huì)表現(xiàn)出一定的局限性，假如裝置多臺(tái)傳感器則又添加了 系統(tǒng)的本錢(qián)。第二，目前網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)普通采有的是特征檢測(cè)的辦法，關(guān)于一些普 通的攻擊來(lái)講能夠比擬無(wú)效，但是一些復(fù)雜的、計(jì)算量及剖析日子均較大的攻 擊則無(wú)法檢測(cè)。第三，監(jiān)聽(tīng)某些特定的數(shù)據(jù)包時(shí)能夠會(huì)發(fā)生少量的剖析數(shù)據(jù)，會(huì)影響系統(tǒng) 的功能。第四，在處置會(huì)話進(jìn)程的加密成績(jī)時(shí)，關(guān)于網(wǎng)絡(luò)入侵檢測(cè)技術(shù)來(lái)講絕對(duì)較 難，現(xiàn)階段經(jīng)過(guò)加密通道的攻擊絕對(duì)較少，但是此成績(jī)會(huì)越來(lái)越突出。第五，入侵檢測(cè)系統(tǒng)本身不具有阻斷和隔離網(wǎng)絡(luò)攻擊的才能，不過(guò)可以與 防火墻停止聯(lián)動(dòng)，發(fā)現(xiàn)入侵行為后經(jīng)過(guò)聯(lián)動(dòng)協(xié)議告訴防火墻，讓防火墻采取隔 離手腕。總結(jié)現(xiàn)階段的入侵檢測(cè)技術(shù)絕對(duì)來(lái)講還存在著一定的缺陷，很多單位在處理網(wǎng) 絡(luò)入侵相關(guān)的安全問(wèn)題時(shí)都采用基于主機(jī)與基于網(wǎng)絡(luò)相結(jié)合的入侵檢測(cè)系統(tǒng)。 當(dāng)然入侵檢測(cè)技術(shù)也在不時(shí)