大学毕业论文-—入侵检测与防御技术的研究

《大学毕业论文-—入侵检测与防御技术的研究》由会员分享，可在线阅读，更多相关《大学毕业论文-—入侵检测与防御技术的研究（22页珍藏版）》请在装配图网上搜索。

1、青岛恒星职业技术学院高等职业教育专科 _网络技术_专业毕业论文（设计）青岛恒星职业技术学院毕业论文（设计） 题目：入侵检测与防御技术的研究毕业设计（论文）原创性声明和使用授权说明原创性声明本人郑重承诺：所呈交的毕业设计（论文），是我个人在指导教师的指导下进行的研究工作及取得的成果。尽我所知，除文中特别加以标注和致谢的地方外，不包含其他人或组织已经发表或公布过的研究成果，也不包含我为获得 及其它教育机构的学位或学历而使用过的材料。对本研究提供过帮助和做出过贡献的个人或集体，均已在文中作了明确的说明并表示了谢意。作 者 签 名： 日 期： 指导教师签名： 日期： 使用授权说明本人完全了解 大学关于

2、收集、保存、使用毕业设计（论文）的规定，即：按照学校要求提交毕业设计（论文）的印刷本和电子版本；学校有权保存毕业设计（论文）的印刷本和电子版，并提供目录检索与阅览服务；学校可以采用影印、缩印、数字化或其它复制手段保存论文；在不以赢利为目的前提下，学校可以公布论文的部分或全部内容。作者签名： 日 期： 学位论文原创性声明本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。作者签名

3、： 日期： 年 月 日学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权 大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。涉密论文按学校规定处理。作者签名：日期： 年 月 日导师签名： 日期： 年 月 日摘要 网络信息系统的安全问题是一个十分复杂的问题，涉及到技术、管理、使用等许多方面。入侵检测与防御技术作为新一代的网络信息安全保障技术，它主动地对网络信息系统中的恶意入侵行为进行识别和响应，不仅检测和防御来自外

4、部网络的入侵行为，同时也监视和防止内部用户的未授权活动和误操作行为。 本文在概述传统网络信息安全技术，黑客常用入侵手段与防范对策，入侵检测系统的发展、分类、检测方法以及标准化等问题的基础上，针对目前入侵检测遇到的一些新问题，提出了一个入侵检测系统的设计方案。主要包括对整个系统的体系结构设计，分析子系统结构与检测方法的改进，蜜罐与陷阱子系统(IP陷阱、服务陷阱、文件陷阱)设计，IDS负载均衡技术研究，利用双网卡技术和备份监控代理方式提供对IDS自身的有效安全防护等。另外，本文还从入侵追踪和协同防御两方面论述了入侵防御技术，提出了入侵防御系统(IPS)的构筑设想，设计了IDS与动态防火墙、IDS与

5、路由器相协同的框架模型以及入侵防御协议(IPP)的框架模型。最后，本文讨论了入侵检测目前所面临的问题和未来的发展趋势AbstractThenetwork information system security is a very complicated problem. It involves technology, management, usage and etc. The technique of intrusion detection and intrusion prevention has become the new generation information security

6、technique. It actively identifies the malicious usage behavior of information system and actively responses to it. The IDS(Intrusion Detection System) and IPS(Intrusion Prevention System) not only detect and prevent the exterior network s intrusion behavior, but also keep watc.目录第一章 网络信息安全概述1.1 计算机与

7、网络信息系统安全1.2 网络信息系统面临的安全威胁1.3 网络信息安全技术1.4 研究入侵检测与防御的必要性第二章 常用入侵手段与防范对策2.1 黑客入侵过程概述2.2 常用入侵手段与防范对策第三章 入侵检测系统概述3.1 入侵检测系统的发展第四章 入侵检测技术4.1 异常入侵检测技术4.2 误用入侵检测技术第五章 入侵防御技术5.1 入侵防御协同技术5.2 入侵防御协议设计总结参考文献致谢 关键词：拒绝服务攻击 入侵检测 入侵防御协议正文： 目前网络安全领域面临着严重的向题。一方面当今社会对网络的依翰性日益增加，而另一方面网络入侵和攻击事件发生的次数也急剧增长。这两个方面相互影响，前者使得网

8、络的结构，协议及应用日渐复杂，同时也造成社会对网络安全问题的可容忍程度逐步降低。对干某些行业来说，网络出现故障可能不再是一个小的事故，而是一场灾难；为了保障网络安全，各种网络入侵检测和防御技术应运而生。本文就目前各种网络入侵检测和防御技术进行综合性描述，指出它们各自的优点及缺点，并探讨和研究了网络入侵检测防御技术未来的发展趋势。本文的安排如下:本文的第一部分将主要讨论目前网络入侵检测Intrusion Detection Systems(IDS)及其关键技术。文中第三部分将讨论入侵防御技术的发展趋势:基于时间线的入侵防御系统。第三部分是本文的总结。第一章 网络安全概述 随着信息化进程的深入，信

9、息安全己经引起人们的重视，但依然存在不少问题。一是安全技术保障体系尚不完善，许多企业、单位花了大量的金钱购买了信息安全设备，但是技术保障不成体系，达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业、单位信息安全的标准、制度建设滞后。1.1计算机与网络信息系统安全2003年5月至2004年5月，在7072家被调查单位中有4057家单位发生过信息网络安全事件，占被调查总数的58%。其中，发生过1次的占总数的22%,2次的占13%,3次以上的占23%，此外，有7%的调查对象不清楚是否发生过网络安全事件。从发生安全事件的类型分析，遭受计算机病毒、蠕虫和木马程序破坏的情况最为突出，占安全事件

10、总数的79%，其次是垃圾邮件，占36%，拒绝服务、端口扫描和篡改网页等网络攻击情况也比较突出，共占到总数的43%. 调查结果表明，造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中，由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的“%，登录密码过于简单或未修改密码导致发生安全事件的占19%. 对于网络安全管理情况的调查:调查表明，近年来，使用单位对信息网络安全管理工作的重视程度普遍提高，80%的被调查单位有专职或兼职的安全管理人员，12%的单位建立了安全组织，有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明，认为单位信息网络安全防护能力“较高”和“

11、一般”的比较多，分别占44%。但是，被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题，也说明目前安全管理水平和社会化服务的程度还比较低1.2 网络信息系统面临的安全威胁信息安全的任务是多方面的，根据当前信息安全的现状，制定信息安全防范的任务主要是: 从安全技术上，进行全面的安全漏洞检测和分析，针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。 从安全管理上，建立和完善安全管理规范和机制，切实加强和落实安全管理制度，增强安全防范意识。 信息安全防范要确保以下几方面的安全

12、。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(Confidentiality)、完整性(Integrity)、抗否认性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、预防内部犯罪。1.3 网络信息安全技术1.防火墙技术 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为甚。 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它

13、是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。 防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令

14、、加密、身份认证、审计等)配置在防火墙上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用，有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。 防火墙技术可根据防范的方式和侧重点的不同而分为很

15、多种类型，但总体来讲可分为二大类:分组过滤、应用代理。 2.入侵检测技术 IETF将一个入侵检测系统分为四个组件：事件产生器(EventGenerators)；事件分析器(EventAnalyzers)；响应单元(ResponseUnits)和事件数据库(EventDataBases)。事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本

16、文件。 根据检测对象的不同，入侵检测系统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上，用以监测系统上正在运行的进程是否合法。最近出现的一种ID(IntrusionDetection)：位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(PromiseMode)，对所有本网段内的数据包并进

17、行信息收集，并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类:一种基于标志(CSignature-Based)，另一种基于异常情况(Abnormally-Based)。 3.认证中心（CA）与数字证书 互联网的发展和信息技术的普及给人们的工作和生活带来了前所未有的便利。然而，由于互联网所具有的广泛性和开放性，决定了互联网不可避免地存在着信息安全隐患。为了防范信息安全风险，许多新的安全技术和规范不断涌现，PKI(PublicKeyInfrastructure，公开密钥基础设施)即是其中一

18、员。 PKI是在公开密钥理论和技术基础上发展起来的一种综合安全平台，能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此的身份和所交换的信息，能够安全地从事商务活动。目前，PKI技术己趋于成熟，其应用已覆盖了从安全电子邮件、虚拟专用网络(VPN),Web交互安全到电子商务、电子政务、电子事务安全的众多领域，许多企业和个人已经从PKI技术的使用中获得了巨大的收益。 在PKI体系中，CA(Certifi

19、cateAuthority，认证中心)和数字证书是密不可分的两个部分。认证中心又叫CA中心，它是负责产生、分配并管理数字证书的可信赖的第三方权威机构。认证中心是PKI安全体系的核心环节，因此又称作PKI/CA。认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。 数字证书，又叫“数字身份证”、“数字ID”，是由认证中心发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。 4.身份认证 身份认证是指计算机及网络系统确认操作者身份的过程。我们熟悉的如防火墙、入侵检测、

20、VPN、安全网关、安全目录等，与身份认证系统有什么区别和联系呢?我们从这些安全产品实现的功能来分析就明白了:防火墙保证了未经授权的用户无法访问相应的端口或使用相应的协议；入侵检测系统能够发现未经授权用户攻击系统的企图;VPN在公共网络上建立一个经过加密的虚拟的专用通道供经过授权的用户使用;安全网关保证了用户无法进入未经授权的网段，安全目录保证了授权用户能够对存储在系统中的资源迅速定位和访问。这些安全产品实际上都是针对用户数字身份的权限管理，他们解决了哪个数字身份对应能干什么的问题。而身份认证解决了用户的物理身份和数字身份相对应的问题，给他们提供了权限管理的依据。 从木桶理论来看，这些安全产品就

21、是组成木桶的一块块木板，则整个系统的安全性取决于最短的一块木板。这些模块在不同的层次上阻止了未经授权的用户访问系统，这些授权的对象都是用户的数字身份。而身份认证模块就相当于木桶的桶底，由它来保证物理身份和数字身份的统一，如果桶底是漏的，那桶壁上的木板再长也没有用。因此，身份认证是整个信息安全体系最基础的环节，身份安全是信息安全的基础。 目前常见的身份认证方式主要有三种，第一种是使用用户名加口令的方式，这时是最常见的，但这也是最原始、最不安全的身份确认方式，非常容易由于外部泄漏等原因或通过口令猜测、线路窃听、重放攻击等手段导致合法用户身份被伪造;第二种是生物特征识别技术(包括指纹、声音、手迹、虹

22、膜等)，该技术以人体唯一的生物特征为依据，具有很好的安全性和有效性，但实现的技术复杂，技术不成熟，实施成本昂贵，在应用推广中不具有现实意义;第三种也是现在电子政务和电子商务领域最流行的身份认证方式基于USBKey的身份认证1.4 研究入侵检测与防御的必要性安全产品的主要目的是使安全风险处于可视和可控的状态。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能及时发现并报告系统中未授权或异常现象的技术，可实时监控和检测网络或系统中的活动状态，一旦发现网络中的可疑行为或恶意攻击，IDS便可做出及时的报警和响应，甚至可以调整防火墙的配置策略，与其进行联动。 目前，入侵检测系统已能为来自内外部的各

23、种入侵提供全面的安全防御，给客户带来识别各种黑客入侵的方法和手段、监控内部人员的误操作等，帮用户及时发现并解决安全问题和协助管理员加强网络安全的管理。第二章 常用入侵手段与防范对策2.1 黑客入侵过程概述随着通讯和计算机技术的迅猛发展，计算机网络向世界各个角落迅速延伸。国家政府机构、各企事业单位不仅大多建立了自己的局域网系统，而且通过各种方式与互联网相连。通过上网树立形象、开展业务，已经成为政府办公、企业发展的重要手段。然而，Internet（互联网）这一开放系统在给人们带来便利的同时，也带来一些问题。例如网络安全问题愈来愈突出，关于通过网络攻击信息系统，造成经济损失的事件已有多起，并时常见诸

24、报端。在科技最发达、防御最严密的美国国防部五角大楼内，每年都有成千上万的非法入侵者侵入其内部网络系统，我国的ISP、证券公司及银行也多次被国内外黑客攻击。但是仍然有些单位对自己网络的安全问题毫无认识，以致对是否遭受黑客入侵及自身的网络安全问题毫不知晓。我国信息化事业能否顺利发展，一个很关键的因素便是网络信息的安全问题，这已成为制约网络发展的首要因素。许多单位不敢涉足网络领域、许多行业不能充分利用网络的性能优势、许多个人对网络安全没信心，这些都成为网络发展的制约因素，所以，重视和加快网络安全问题的研究和产品开发具有重要意义。黑客入侵防范是网络安全的重要组成部分。北京中科网威信息技术有限公司在多年

25、研究工作的基础上，提出了一种动态、多层次的黑客入侵防范体系。它以评估为基础，以策略为核心，以防护、侦测、响应和恢复为手段构成一个体系中科网威黑客入侵防范体系，如图所示：中科网威黑客入侵防范体系1-1完整准确的安全评估是中科网威黑客入侵防范体系的基础。她对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估，并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。一个成功的网络安全体系开始于一个全面的安全策略，它是所有安全技术和措施的基础，也是整个中科网威黑客入侵防范体系的核心。防护是用于提高安全性能，抵抗入侵的主动防御手段。它通过建立一种机制来检查系统的安全设置，

26、发现整个网络的风险和弱点，确保每层是相互配合而不是相互抵触地工作，检测与策略相违背的情况，确保与公司安全政策保持一致。在防护中通过使用漏洞扫描工具及时发现问题并进行修补，使用防护工具，通过抗毁技术、系统安全优化配置技术的实施，防火墙、VPN、加密认证等技术和措施的使用，来提高网络抵抗黑客入侵的能力。侦测是保证主动及时发现攻击行为，为快速响应提供可能的关键环节。使用基于网络的和基于主机的IDS，加上对侦测系统实施隐蔽技术，可以防止黑客发现防护手段进而破坏侦测系统，从而为及时发现攻击行为并做出响应赢得时间。采用与防火墙互联互动、互动互防的技术手段，形成一个整体策略，而不是单兵作战，强调协作技术，设

27、立安全监控中心，掌握整个网络的安全运行状态，是防止入侵的关键环节。在发现入侵行为后，为及时切断入侵、抵抗攻击者的进一步破坏活动，做出及时准确的响应是必须的。使用实时响应阻断系统、攻击源跟踪系统、取证系统和必要的反击系统来确保响应的准确、有效和及时，预防同类事件的再发生，并为捕获攻击者提供可能，为抵抗黑客入侵提供有效的保障。恢复是防范体系的又一个环节，无论防范多严密，都很难确保万无一失，所以，采用亡羊补牢、犹为未晚的策略，使用完善的备份机制确保内容的可恢复性，借助自动恢复系统、快速恢复系统来控制和修复破坏，将损失降至最低。针对以上体系，北京中科网威信息技术有限公司专门研制开发了一系列网络安全产品

28、“火眼”网络安全评估分析系统、“天眼”入侵侦测系统、“磐石”网站监控与恢复系统、“长城”防火墙。它们处于体系中的一个或多个层次，适用于各级Internet /Intranet信息系统、金融证券和其它网络，它们能成为您网络的安全守护神，忠实地维护您的形象和保护您的利益。2.2 常用入侵手段与防范对策入侵检测系统通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象，它不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动，因此成为继防病毒和防火墙之后另一被广泛注意的网络安全设备。这是一种集检测、记录、报警、响应的动态安全技术，它已经渐渐地

29、从“入侵检测”发展为“入侵防御”了。 在入侵检测系统检测到网络中的攻击或未授权行为时，传统的响应方式是显示消息、形成日志、报警或使用E-mail等方式通知安全管理员，然后由管理员手工采取相应措施来阻止入侵。这无疑给安全管理增加了很多的工作量和难度，也大大地提高了安全维护费用，因此系统需要具有更多主动响应行为的入侵检测系统，如今的入侵检测系统可以通过发复位包的方式，或者执行一段用户编写的程序，自动切断危险的连接。 而且，入侵检测系统作为整体安全技术的一个组成部分，它还应该和其他安全组件协同工作、建立互动的响应机制。例如，防火墙作为限制内外网络互相访问的关口，其配置的过滤规则阻止了非授权用户对公司

30、网络的访问，因此在入侵检测系统发现攻击行为时，由它自动地修改防火墙的安全策略，就能封堵可疑的网络通信。这也是为什么入侵检测系统和防火墙之间的联系越来越紧密的原因之一。 在入侵防御系统中，如何降低检测系统的误报率是非常关键的。在传统的入侵检测系统中，误报对安全管理员形成一种滋扰，大量的误报还可能淹没真正的攻击行为，使安全管理员无从响应。在建立联动的一体化安全防御体系中，入侵检测系统可以自动调整其他安全组件的策略，来防止进一步的攻击，这时误报带来的负面影响可能更大了因为误报触动策略调整之后，本该许可的访问就无法访问了，这形成了一种新的DoS形式。 同时，先进的入侵防御系统还必须是一个全方位的安全管

31、理。它一方面要集中管理全网以及各设备的安全事件，将数据进行标准化、集中、并进行关联和智能分析，以降低误报率和预告威胁的趋势；另一方面还要结合漏洞扫描，提前确定系统是否存在已知漏洞，做到“防范于未然”，以建立前摄性的、而不仅仅是响应式的安全防御体系。基于其它方法的入侵检测技术主要有:利用专家系统进行入侵检测，其主要是将有关的入侵知识组织成知识库，再利用推理引擎进行检测。但是这种技术主要缺点在于知识的组织困难。利用数据挖掘进行入侵检测，数据挖掘是数据库的一项技术，它的作用从大型数据库中抽取知识，这和分析日志的行为相近。通过数据挖掘程序搜集到审计数据，为各种入侵行为和正常操作建立精确的行为模式。除专

32、家系统、数据挖掘技术之外，还有神经网络，模糊系统，遗传算法等。但是这些方法都有一定的缺点。入侵检测系统的由来及发展过程在 IDS 尚未出现时，网络安全管理人员主要依靠人工阅读网络日志来分析是否有网络入侵事件的发生。随着网络的发展，FBI/CSI的统计数字表明入侵和攻击的模式发生了变化。在2003年，70%的攻击主要来自于外部网络，另30% 的攻击来自于内部。从而促使网络安全领域对网络入侵检测技术进行研究，并提出了IDS。由干硬件发展的飞速发展，使得IDS对网络通讯可以进行实时检测和实时报等，形成目前的IDS模式。入侵检测系统的关键技术1基于行为的入侵检测技术基于行为的入侵检测技术主要依靠统计的

33、方法来实现对入侵行为的检测。它通过统计网络的日常行为建立一个模型，该模型由各项表示正常行为的统计数字组成。例如:在某一段时间内登录某台主机失败次数。在很短时间内重复发生登录某台主机口令出错的次数等。符合这个模型的网络行为即视为正常，不符合的即视为入侵行为。这种入侵检测检测技术的缺点主要在于模型的建立非常困难。建立模型需要花费一定的时间，而且该入侵检测技术会造成误报等。为解决误报警问题，需要根据网络的实际使用情况对各种设定的统计值进行不断的调节。2. 基于知识的入侵检测技术基于知识的入侵检测技术主要通过应用已有的知识对入侵行为的标志进行识别，从而判断网络中是否有入侵行为的发生川。这些标志主要包括

34、:对一个敏感主机的登录失败次数；对一个数据的一些标志位的设置是否符合RFC标准:以及数据包的内容是否与某个已知攻击方法的特征代码相符合等。基于知识的入侵检侧技术具有较高的准确度，但是它的缺点就是在于对系统的性能要求高，而且只能检测到目前已知的攻击方法，对于未知的攻击方法没有检测能力。3. 基于其它方法的入侵检测技术网络安全领域人员经过研究后发现，目前任一种安全技术都不可能实现真正意义上的网络。据此他们提出了下一代入侵防御系统的发展方向:即基于时间线的入侵防御系统。时间线是在时间次序上对网络入侵行为进行分析的工具。它分为三个部分:入侵前期、入侵时间零点和入侵后处理，各个部分又分成若干子部分。基于

35、时间线的入侵防御研究是通过对各种网络安全技术分析，分析上它们在时间线上所处的位置，从而从宏观把握各项安全技术的作用范围及相互之间的关系。根据时间线的三个部分，对各项安全技术划分成三个部分:第一部分是针对入侵前期，这类技术主要分为三个类，一类是安全规章制度，安全策略的配置等，第二类是对网络进行当前已知的各项漏洞进行检测，第三类是通过专人对网络进行实际的入侵检测厂这部分的技术的主要目的是预先评估和增强网络的安全性，减少被入侵的可能性。第二部分是针对入侵时间零点，这部分的安全技术要针对的是正在进行的入侵活动，它又分成二类。第一类是诸如防火墙的访问控制技术和本文以上所介绍的IDS和IPS系统。它们是在

36、当入侵活动发生时，及时检测和阻止入侵活动。第三部分即是入侵后处理技术，这一部分有安全事件管理系统和安全信息管理技术，以及对入侵造成的破坏的恢复技术。通过对时间线分析，可以发现，当前的各项安全技术在时间线大都是离散的，也即它们在时间线上的作用范围有限。通过对IDS，IPS的系统性能的分析不难发现，入侵行为的检测的难点在于IDS/IPS系统可利用的信息太少，从而造成IDS，IPS对入侵行为的漏报和误报。针对这种情况，研究人员提出新一代的入侵防御技术:基于时间线的入侵防御技术。它主要的目的就是将目前在时间线上离散的各项安全技术综合起来，实现一种新的安全系统，该系统使用的安全技术在时间线上的作用范围是

37、连续的，也即其中每项安全技术具有对其它安全技术的反馈作用。它主要具有以下特点:入侵前期的各项技术如安全策略配置等，可以利用它们的信息对入侵零点检测技术如IDS/IPS 系统进行配置，从而提高这类技术对入侵行为检测的准确度。而且该配置过程可以实现连续和自动化。 同样这类的安全评估信息也可以用子入侵后处理技术，如SIM/邻M，可以增加它们对事件关联性的分析能力。入侵后处理技术如SIM/SEM，它们产生的信息可以自动应用到IDS.IPS系统中，增强它们对新的入侵方法的反应能力。并可以实现对入侵前期技术如安全策略配置等技术中，实现对策略的更新。 第三章 入侵检测系统概述3.1 入侵检测系统的发展入侵检

38、测（Intrusion Detection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文

39、件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。第四章 入侵检测技术入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统4.1 异常入侵检测技术异常检测 (Anomaly

40、detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。4.2 误用入侵检测技术又称为基于知识的检测。其基本前提是：假定所有可能的入侵行为都能被识别和表示。首先，代写留学生论文 对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示，然后根据已经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为的发生

41、与否。这种方法是依据是否出现攻击签名来判断入侵行为，是一种直接的方法常用的具体方法有：基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的，根据对已知的攻击方法的了解，用特定的模式语言来表示这种攻击，使得攻击签名能够准确地表示入侵行为及其所有可能的变种，同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷，因此，通过分析攻击过程的特征、条件、排列以及事件间的关系，就可具体描述入侵行为的迹象。这些迹

42、象不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入侵也有预警作用。误用检测将收集到的信息与已知的攻击签名模式库进行比较，从中发现违背安全策略的行为。由于只需要收集相关的数据，这样系统的负担明显减少。该方法类似于病毒检测系统，其检测的准确率和效率都比较高。但是它也存在一些缺点。第五章 入侵防御技术5.1 入侵防御协同技术入侵检测技术的演进。 入侵检测系统(IDS， Intrusion Detection System)是近十多年发展起来的新一代安全防范技术，它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。IDS产品被认为是在防火

43、墙之后的第二道安全防线在攻击检测、安全审计和监控等方面都发挥了重要的作用。 但在入侵检测产品的使用过程中，暴露出了诸多的问题。特别是误报、漏报和对攻击行为缺乏实时响应等问题比较突出，并且严重影响了产品发挥实际的作用。Gartner在2003年一份研究报告中称入侵检测系统已经“死”了。Gartner认为IDS不能给网络带来附加的安全，反而会增加管理员的困扰，建议用户使用入侵防御系统(IPS， Intrusion Prevention System)来代替IDS。Gartner公司认为只有在线的或基于主机的攻击阻止(实时拦截)才是最有效的入侵防御系统。 从功能上来看，IDS是一种并联在网络上的设备

44、，它只能被动地检测网络遭到了何种攻击，它的阻断攻击能力非常有限，一般只能通过发送TCP reset包或联动防火墙来阻止攻击。而IPS则是一种主动的、积极的入侵防范、阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。因此，从实用效果上来看，和IDS相比入侵防御系统IPS向前发展了一步，能够对网络起到较好的实时防护作用。 近年来，网络攻击的发展趋势是逐渐转向高层应用。根据Gartner的分析，目前对网络的攻击有70%以上是集中在应用层，并且这一数字呈上升趋势。应用层的攻击有可能会造成非常严重的后果，比如用户帐号丢失和公司机密泄漏等。因此，对具体应

45、用的有效保护就显得越发重要。从检测方法上看，IPS与IDS都是基于模式匹配、协议分析以及异常流量统计等技术。这些检测技术的特点是主要针对已知的攻击类型，进行基于攻击特征串的匹配。但对于应用层的攻击，通常是利用特定的应用程序的漏洞，无论是IDS还是IPS都无法通过现有的检测技术进行防范。 为了解决日益突出的应用层防护问题，继入侵防御系统IPS之后，应用入侵防护系统(AIP，Application Intrusion Prevention)逐渐成为一个新的热点，并且正得到日益广泛的应用。 5.2入侵防御协议设计 对应用层的防范通常比内网防范难度要更大，因为这些应用要允许外部的访问。防火墙的访问控制

46、策略中必须开放应用服务对应的端口，如web的80端口。这样，黑客通过这些端口发起攻击时防火墙无法进行识别控制。入侵检测和入侵防御系统并不是针对应用协议进行设计，所以同样无法检测对相应协议漏洞的攻击。而应用入侵防护系统则能够弥补防火墙和入侵检测系统的不足，对特定应用进行有效保护。 所谓应用入侵防护系统AIP，是用来保护特定应用服务(如web和数据库等应用)的网络设备，通常部署在应用服务器之前，通过AIP系统安全策略的控制来防止基于应用协议漏洞和设计缺陷的恶意攻击。 在对应用层的攻击中，大部分时通过HTTP协议(80端口)进行。在国外权威机构的一次网络安全评估过程中发现，97%的web站点存在一定

47、应用协议问题。虽然这些站点通过部署防火墙在网络层以下进行了很好的防范，但其应用层的漏洞仍可被利用进而受到入侵和攻击。因此对于web等应用协议，应用入侵防护系统AIP应用比较广泛。通过制订合理的安全策略，AIP能够对以下类型的web攻击进行有效防范： 恶意脚本 Cookie投毒 隐藏域修改 缓存溢出 参数篡改强制浏览Sql插入已知漏洞攻击应用入侵防护技术近两年刚刚出现，但发展迅速。Yankee Group预测在未来的五年里， AIP将和防火墙，入侵检测和反病毒等安全技术一起，成为网络安全整体解决方案的一个重要组成部分。 千兆解决方案 应用入侵防护产品在保护企业业务流程和相关数据方面发挥着日益重要

48、的作用，同时随着网络带宽的不断增加，只有在适合千兆环境应用的高性能产品才能够满足大型网络的需要。 传统的软件形式的应用入侵防护产品受性能的限制，只能应用在中小型网络中；基于x86架构的硬件产品无法达到千兆流量的要求；近年来，网络处理器(NP)在千兆环境中得到了日益广泛的应用，但NP的优势主要在于网络层以下的包处理上，若进行内容处理则会导致性能的下降。通过高性能内容处理芯片和网络处理芯片相结合形式，为千兆应用入侵防护产品提供了由于的解决方案。其设计特点是采用不同的处理器实现各自独立的功能，由网络处理芯片实现网络层和传输层以下的协议栈处理，通过高速内容处理芯片进行应用层的协议分析和内容检查。从而实

49、现了千兆流量线速转发和高速内容处理的完美结合，真正能够为用户提供千兆高性能的应用防护解决方案。在上面系统框架中，包处理引擎收到数据包后，首先由网络处理器进行传输层以下的协议栈处理，并将数据包还原成数据流。接下来由内容处理器对数据流进行应用协议处理，根据控制器设定的安全策略对各种应用攻击进行检测和过滤。只有符合安全策略要求的数据流才会被发送到服务器，攻击包则被丢弃。 在高性能的千兆解决方案中，能够实现网络层到应用层的多层次立体防护体系。对于面向大型web应用，产品通过多种功能的集成实现有效的应用防护： Web应用入侵防护。通过系统内置的网络内容处理芯片，对web请求和回应流量进行细致的分析。根据

50、内置的规则及启发式的安全策略，有效防范各种针对web应用的攻击行为。DOS攻击的防护。系统通过网络处理芯片，对Synflood、Icmpflood、Upflood、PinfOfDeath、Smurf、Ping Sweep等网络层的拒绝服务攻击进行过滤的防范，有效保护服务器。访问控制。通过硬件的ACL匹配算法，系统能够在实现线速转发的同时对数据包进行实时的访问控制。 中科网威在新一代千兆应用入侵防护产品设计中采用了上述解决方案，实现了千兆流量下的线速处理。系统以透明模式接入网络，在增强安全性的同时，网络性能不会受到任何影响，真正实现了应用层内容处理和千兆高性能的完美结合。结语 通过对以上本文对入

51、侵检测技术的综述，可以看出网络入侵防御技术目前的主流和它未来的发展趋势。目前的各项安全技术都存在一些缺点，之所以会存在这样的情况，除了网络的结构，协议和应用非常复杂之外，各项安全技术没有实现信息共享，从而造成各项技术在分析入侵行为以及预防和阻止入侵行为时缺乏充分的信息支持。正如在Sourcefire文中所说，提高IDS/IPS检测能力的唯一可行途径是提供给它们更多的信息。时间线概念的提出，从宏观角度分析了各项安全技术对于入侵时间的作用范围。Sourcefire文中提出了基于时间线对各项安全技术进行整合，使得它们可以共享彼此的信息，从而提高整个安全系统的性能。可见对各项安全技术的整合，实现它们之

52、间共享彼此信息将是下一代安全系统和安全技术的发展主流方向参考文献1贾晶，陈元，王丽娜编著，信息系统的安全与保密，第一版，1999.01，清 华大学出版社 2EricMaiwald，Wi1liEducation,SecurityPlanning&DisasterRecovery,2003, Posts&TelecommunicationsPress,PP.86-94 3程胜利，谈冉，熊文龙，程煌，计算机病毒及其防治技术，2004.09,清华大学出版社 4张小磊，计算机病毒诊断与防治，2003，中国环境科学出版社 5东软集团有限公司，NetEye防火墙使用指南3.0，1-3 6段钢，加密与解密，第

53、二版，2004.01，电子工业出版社 7张剑，网络安全防御系统的设计与实现，电子科技大学硕士学位论文，2001.01 8黑客防线2005精华奉献本上、下册，人民邮电出版社，2005 9陆浪如，信息安全评估标准的研究与信息安全系统的设计，解放军信息工程大学军事学博士学位论文，2001.06 10黄月江,信息安全与保密,北京:国防工业出版社，1999 13YUJian-ping1,XIEWei-xin1,YANQiao,securityanditsdefencetechniquesSemiconductorTechnologyVol.27No.1致谢三年的读书生活在这个季节即将划上一个句号，而于我

54、的人生却只是一个逗号，我将面对又一次征程的开始。三年的求学生涯在师长、亲友的大力支持下，走得辛苦却也收获满囊，在论文即将付梓之际，思绪万千，心情久久不能平静。 伟人、名人为我所崇拜，可是我更急切地要把我的敬意和赞美献给一位平凡的人，我的导师。我不是您最出色的学生，而您却是我最尊敬的老师。您治学严谨，学识渊博，思想深邃，视野雄阔，为我营造了一种良好的精神氛围。授人以鱼不如授人以渔，置身其间，耳濡目染，潜移默化，使我不仅接受了全新的思想观念，树立了宏伟的学术目标，领会了基本的思考方式，从论文题目的选定到论文写作的指导,经由您悉心的点拨,再经思考后的领悟,常常让我有“山重水复疑无路,柳暗花明又一村”。 感谢我的爸爸妈妈，焉得谖草，言树之背，养育之恩，无以回报，你们永远健康快乐是我最大的心愿。在论文即将完成之际，我的心情无法平静，从开始进入课题到论文的顺利完成，有多少可敬的师长、同学、朋友给了我无言的帮助，在这里请接受我诚挚谢意！同时也感谢学院为我提供良好的做毕业设计的环境。 最后再一次感谢所有在毕业设计中曾经帮助过我的良师益友和同学，以及在设计中被我引用或参考的论著的作者。22