网络安全入侵检测系统.doc

《网络安全入侵检测系统.doc》由会员分享，可在线阅读，更多相关《网络安全入侵检测系统.doc（24页珍藏版）》请在沃文网上搜索。

1、山西综合职业技术学院轻工分院毕业论文摘 要入侵检测系统是一种主动保护网络资源的网络安全系统，近年来得到了广泛的研究与应用。介绍了入侵检测系统的起源、系统分类、相关产品分类，对它的目前存在的问题进行了分析，并对其发展趋势作了简单的概述。入侵检测系统作为一种主动的安全防护技术，提供了对内、外部攻击的实时保护，在网络系统受到危害之前拦截和响应入侵。随着网络通信技术安全性的要求越来越高，入侵检测系统能够从网络安全的立体纵深、多层次防御的角度出发提供完全服务，必将进一步受到人们的高度重视。关键词：网络，网络安全，入侵检测 22目 录第1章 绪论11.1课题背景11.2网络安全1第2章 入侵检测系统概述2

2、2.1入侵检测系统简介22.2对入侵检测系统的要求32.3入侵检测系统的基本结构3第3章 入侵检测系统的分类73.1 根据检测的数据源分类73.2根据检测使用的分析方法分类9第4章 入侵检测技术的发展144.1网络入侵检测技术的发展过程144.2 IPS研究与分析154.3网络安全的发展方向IMS174.4 技术展望19结 论20参考文献21致 谢22第一章 绪论1.1课题背景近年来，互联网技术在国际上得到了长足的发展，网络环境变得越来越负载，网络本身的安全性问题也就显得更为重要。网络安全的一个主要威胁是通过网络对信息系统的入侵。相对于传统对于系统的破坏手段，网络入侵具有以下几个特点：（1）没

3、有地域和时间限制；（2）通过网络的攻击往往混在在大量正常的网络活动中，隐蔽性强；（3）入侵手段更加隐蔽和复杂；（4）攻击手段也有原来的单一攻击向分布式方向发展。为了保证网络的机密性、完整性和可用性，防火墙技术应运而生。但作为静态的安全防御技术，单纯的防火墙技术暴露出名先的不足和弱点，如无法解决安全后门的问题、不能阻止网络的内部攻击，而调查发现，50%以上的攻击都来自内部；不能提供实时入侵检测能力；对于病毒攻击束手无策等。由于网络入侵的上述特性，如何通过计算机对其进行检测，就成为更强大的主动策略和方案来增强网络的安全性，其中有一个和有效的解决途径就是入侵检测。入侵检测系统弥补防火墙的不足，为网络

4、安全提供实时的入侵检测及采取相应的防护手段，如记录证据、跟踪入侵、恢复或断开网络连接等等。入侵检测作为一种积极主动的安全防护技术，能够同时对内部入侵，外部入侵和误操作提供及时的保护，能够在系统受到危害之前及时地记录和响应入侵为系统管理员提供可靠的入侵记录。因此研究高效的网络安全防护和检测技术，开发实用的安全监测系统具有重大的研究，时间和商业意义。1.2网络安全近年来，我国互联网发展取得了令人瞩目的成绩。根据中国互联网络信息中心最新发布的统计报告显示，截至 2008 年底，我国上网用户总数达 1.37 亿人，互联网的影响已经逐渐渗透到我国国民经济的各个领域和人民生活的各个方面。 但是，随着互联网

5、应用的不断创新与发展，信息与网络安全也面临着前所未有的严峻形势，网络安全领域所面临的挑战日益严峻。网络安全问题不仅给广大网民带来了不便，甚至影响到我国信息化建设的进一步深化，威胁到国家的信息安全和经济发展。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论

6、、信息论等多种学科的综合性学科。第二章 入侵检测系统概述入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前进行拦截和响应。从网络安全立体纵深多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。2.1入侵检测系统简介1980年4月，James Anderson为美国空军做了一份题为Computer Security Threat Monitoring and Surveillance)(计算机安全威胁监控和监视)的技术报告，第一次详细阐述了入侵和入侵检测的概念。入侵 (Intrusion)是

7、指对访问，篡改信息，使系统不可靠或不可用的有预谋、未授权尝试的潜在可能性;以及任何企图破坏计算机资源的完整性、保密性和可用性的行为。入侵不仅指非系统用户非授权地登陆系统和使用系统资源，还包括系统内的用户滥用权力对系统造成的破坏，如非法盗用他人帐户，非法获得系统管理员权限，修改或删除系统文件等。入侵检测 (Intrusion Detection)可以被定义为识别出正在发生的入侵企图或已经发生的入侵活动的过程。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测包含两层意思：一是对外部入侵(非授权使用)行为的检测:

8、二是对内部用户(合法用户)滥用自身权限的检测。入侵检测系统 (Intrusion Detection System，简称IDS)是试图实现检测入侵行为的计算机系统，包括计算机软件和硬件的组合。入侵检测系统对系统进行实时监控，对网络或操作系统上的可疑行为做出策略反应，及时切断资料入侵源、记录、并通过各种途径通知网络管理员，最大幅度地保障系统安全，是防火墙的合理补充。2.2对入侵检测系统的要求作为一种安全防护系统，入侵检测系统旨在增强网络系统的可靠性，因此，入侵检测系统就成为了网络系统的重要组成部分，因而它自身也应该具有足够的可靠性，而不论它是基于何种机制。下面是入侵检测系统应该具备的特性：1、检

9、测用户和系统的运行状况，必须在没有(或很少)的人工干预下不间断地运行。2、监测系统配置的正确性和安全漏洞，必须具有容错能力，即使系统崩溃也能继续运转，且重新启动后无须重建知识库。3、有很强的抗攻击能力，能抵御破坏，能够监测自身以确保不被攻击者修改。4、有尽可能小的系统开销，避免影响系统(IDS所处环境)内其它组件正常操作。5、易于部署，这主要体现在对不同操作系统和体系结构的可移植性、简单的安装机制， 以及操作员易于使用和理解。6、能检测出攻击，并作出反应。包括不能将合法的活动误认为是攻击、不应遗漏任何真正的攻击、应尽可能迅速及时报告入侵活动等功能。2.3入侵检测系统的基本结构虽然目前存在诸多的

10、入侵检测模型和入侵检测系统，但一个典型的入侵检测系统一般由数据采集、数据分析和事件响应三个部分组成。一个通用的入侵检测系统结构如图2.1所示。 数据事件其他系统事件影响数据分析数据源数据收集事件2.3.1数据收集数据收集是入侵检测的第一步，包括收集系统、网络数据、用户活动状态和行为数据。而且需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息，这除了尽可能扩大了检测范围的因素外，还有一个重要的因素就是从一个数据源来的信息有可能看不出疑点，但从几个数据源来的信息的不一致性却是可疑行为或入侵的的最好标志。获得数据之后，需要对数据进行简单处理，如流数据的解码、字符编码的转换等等。然后

11、将处理后的数据提交给数据分析模块。因为入侵检测很大程度上依赖于采集信息的可靠性和正确性，因此我们必须保证数据采集的正确性。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、记录文件和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样。例如，Linux 系统的PS 指令可以被替换为一个不显示侵入过程的指令，或者编辑器被替换成一个读取不同于指定文件的文件（黑客隐藏了初试文件并用另一版本代替）这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而采集到错误的信息。入侵检测利用的信息一般来自以下三个方面（这里不包括物理形

12、式的入侵信息）：1.系统和网络日志文件黑客经常在系统日志文件中留下他们的踪迹，因此可以充分利用系统和网络日志文件信息。日志中包含发生在系统和网络上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID 改变、用户对文件的访问、授权和认证信息等内容。很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。2.非正常的目录和文件改

13、变网络环境中的文件系统包含很多软件和数据文件，他们经常是黑客修改或破坏的目标。目录和文件中非正常改变（包括修改、创建和删除）特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。3.非正常的程序执行网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特定目的的应用，例如WEB 服务器。每个在系统上执行的程序由一到多个进程来实现。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文

14、件传输、设备和其它进程，以及与网络间其它进程的通讯。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方式操作。4.网络数据包通过采样网络数据包，并进行相应处理，得到入侵检测信息。当获得数据之后，需要对数据进行简单的处理，如对数据流的解码、字符编码的转换等等，然后才将经过处理的数据提交给数据分析模块。2.3.2数据分析数据分析是入侵检测系统的核心部分。这个环节主要是对数据进行深入分析，根据攻击特征集发现攻击，并根据分析的结果产生响应事件，触发事件响应。数据分析的方法较多，如模式匹配、协议分析、行为分析和统计分析

15、等。1.模式匹配模式匹配就是将采集到的信息与已知的网络入侵和系统已有模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令）也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需采集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。2.统计分析统计分析方法首先给系统对象（

16、如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外，时就认为有入侵发生。例如，本来都默认用GUEST 帐号登录的，突然用ADMINI 帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。3.完整性分析完整性分析主要关注某个文件或对象是否被更改，这经常

17、包括文件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5）， 它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，用于事后分析而不用于实时响应。尽管如此，完整性检测方法还应该是网络安全产品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。2.3.3事件响应事件响应在发现入侵后会及时作出响应，包括切断网络连接、记录事件和报警等。响应又可以分为主动响应

18、和被动响应。响应一般分为主动响应(实时阻止或干扰入侵行为)和被动响应（报告和记录所检测出的问题）两种类型。主动响应由用户驱动或系统自动执行，可对入侵者采取行动（如断开连接）、修正系统环境或采集有用信息：被动响应则包括报警和通知、日志记录等。另外，还可以按策略配置响应，分别采取立即、紧急、适时、本地的长期和全局的长期等行为。事件响应实际上就是P2DR 模型的R（响应）采用适当的响应（Response）可将系统调整到“最安全”或者“风险最低”的状态。另外，还可以按策略配置响应，分别采取立即、紧急、适时、本地的长期和全局的长期等行为。第三章 入侵检测系统的分类同任何事物的分类相似，采用不同的标准，就

19、会得到不同的分类结果，入侵检测系统也是如此。根据检测的数据源分类可以分为给予基于主机的入侵检测系统、基于网络的入侵检测系统和混合入侵检测系统；根据检测使用的分析使用方法分类可以分为异常检测和误用检测。3.1 根据检测的数据源分类3.1.1基于主机的入侵检测系统(Host-based IDS)基于主机的入侵检测系统简称为主机入侵检测系统，系统的数据来源为操作系统事件日志、管理工具审计记录和应用程序审计记录。它通过监视系统运行情况(文件的打开和访问、文件权限的改变、用户的登录和特权服务的访问等)、审计系统日志文件和应用程序(关系数据库、Web服务器)日志来检测入侵。HIDS可以检测到用户滥用权限、

20、创建后门帐户、修改重要数据和改变安全配置等行为，同时还可以定期对系统关键文件进行检查，计算其校验值来确信其完整性。HIDS检测发生在主机上的活动，处理的都是操作系统事件或应用程序事件而不是网络包，所以高速网络对它没有影响。同时它使用的是操作系统提供的信息，经过加密的数据包在到达操作系统后，都已经被解密，所以HIDS能很好地处理包加密的问题。并且，HIDS还可以综合多个数据源进行进一步的分析，利用数据挖掘等技术来发现入侵。但是，HIDS也有自身的缺陷，主要有以下几点：1, 影响系统性能。原始数据要经过集中、分析和归档，这些都需要占用系统资源，因此HIDS会在一定程度上降低系统性能。2、配置和维护

21、困难。每台被检测的主机上都需安装检测系统，每个系统都有维护和升级的任务，安装和维护将是一笔不小的费用。3、易受内部破坏。由于HIDS安装在被检测的主机上，有权限的用户或攻击者可以关闭检测程序从而使自己的行为在系统中没有记录，来逃避检测。4、存在数据欺骗问题。攻击者或有权限的用户可以插入、修改或删除审计记录，借此逃避HIDS检测。5、实时性较差。HIDS进行的多是事后检测，因此当发现入侵时，系统多数己经受到了破坏。3.1.2基于网络的入侵检系统(Network-based IDS)基于网络的入侵检测系统简称为网络入侵检测系统，数据来源为网络中的数据包。系统通过在计算机网络中的某些点被动地监听网络

22、上传输的原始流量，对获取的网络数据进行处理，从中获取有用的信息，再与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。NIDS的优势在于它的实时性，当检测到攻击时，就能很快做出反应。另外NIDS可以在一个点上监测整个网络中的数据包，不必像HIDS那样，需要在每一台主机上都安装检测系统，因此是一种经济的解决方案。并且，NIDS检测网络包时并不依靠操作系统来提供数据，因此有着对操作系统的独立性。但NIDS也有一些缺陷，因此也面临着一些挑战：1、单点错误问题。目前大多数的商业NIDS都采用了一个中央控制部件，它用于管理各个探测器的工作，以及对各个探测器产生的事件信息进行相关分析以此来检测分

23、布式协同攻击。当这个中央控制部件由于受到攻击而瘫痪时，整个NIDS也就随之失效了。2、数据包的重新装配问题。不同的网络的最大传输单元不同，一些大的网络包常常被分成小的网络包来传递。当大网络包被拆分时，其中的攻击特征有可能被分拆，NIDS在网络层无法检测到这些特征，而在上层这些拆分的包又会重新装配起来，造成破坏。3、数据加密问题。随着VPN,SSH和SSL的应用，数据加密越来越普遍，传统的NIDS工作在网络层，无法分析上层的加密数据，从而也无法检测到加密后入侵网络包。4、扩展性问题。NIDS通过将网卡设置成混杂模式来被动监听网络通讯。这就造成了系统的扩展性比较差。例如:当为10M 网络设计的NI

24、DS应用到IOO M网络中去时就会造成比较高的丢包率，通常需要改变整个系统的结构才能解决问题。5、交换式网络问题。异步传输模式网络以小的、固定长度的包一一信元传送信息。53字节定长的信元与以往的包技术相比具有一些优点:短的信元可以快速交换、硬件实现容易。但是，交换网络不能被传统网络侦听器监视，从而无法对数据包进行分析。6. NIDS自身安全性问题。所有NIDS的攻击检测都是基于被动协议分析的。这种机制在根本上有一定的缺陷，易于受到如下三种攻击：渗透攻击、欺骗攻击、拒绝服务攻击。3.1.3混合入侵检测系统网络入侵检测系统能够检测来自网络的大部分攻击，但对于来自内部的攻击如合法用户滥自身权限的检测

25、，则主机入侵检测系统更胜一筹，一个完备的入侵检测系统应该两者兼备。因此现代入侵检测系统多是这两种系统的融合一分布式入侵检测系统，它能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统，系统由多个部件组成，采用分布式结构。3.2根据检测使用的分析方法分类根据使用的分析方法不同，入侵检测可以分为两大类:异常检测(anomaly detection)和误用检测(misuse detection)。异常检测提取正常模式下审计数据的数学特征，检查事件数据中是否存在与之相违背的异常模式。误用检测搜索审计事件数据，查看其中是否存在预先定义好的误用模式。为了提高准确性，入侵检测又引入了数据挖掘、人工智能

26、、遗传算法等技术。但是，入侵检测技术还没有达到尽善尽美的程度，该领域的许多问题还有待解决。3.2.1异常检测异常检测又称为基于行为的检测，它基于这样的原理，即认为入侵是系统中的异常行为。它没有各种入侵的相关知识，但是有被检测系统、用户乃至应用程序正常行为的知识。它为统和用户建立正常的使用模式，这些模式通常使用一组系统的度量来定义。所谓度量，是指统和用户行为在特定方面的衡量标准如CPU的占用时间，文件是否被使用，终端的使用等.每一个度量都对应于一个门限值或相关的变动范围。如果系统和用户的行为超出了正常范围，就认为发生了入侵。异常检测的一个很大的优点是不需要保存各种攻击特征的数据库，随着统计数据的

27、增加，检测的准确性会越来越高，可能还会检测到一些未知的攻击。但由于用户的行为有很大的不确定性，很难对其行为确定正常范围，因此门限值的确定也比较困难，出错的概率比较大时，它只能说明系统发生了异常的情况，并不能指出系统遭受了什么样的攻击，这给系统管理员采取应对措施带来了一定困难。异常检测中常用的方法有:量化分析、统计分析和神经网络。1、量化分析量化分析是异常检测中使用最为广泛的方案，其特点是使用数字来定义检测规则和系统属性。量化分析通常涉及到一系列的计算过程，包括从简单的计数到复杂的加密运算，计算的结果可以作为异常检测统计模型的数据基础。常用的量化分析方法有门限检测、启发式门限检测和目标完整性检查

28、。门限检测的基本思想是使用计数器来描述系统和用户行为的某些属性，并设定可以接受的数值范围，一旦在检测过程中发现系统的实际属性超出了设定的门限值，就认为系统出现了异常。门限检测最经典的例子是操作系统设定的允许登录失败的最大次数。其他可以设置门限的系统属性还有:特定类型的网络连接数、试图访问文件的次数、访问文件或目录的个数及所访问网络系统的个数等。启发式门限检测是对门限检测的改进，对于包含大量用户和目标环境的系统来说，可以大幅度地提高检测的准确性。举例来说，传统的门限设检测规则是:一个小时内，如果登录失败的次数大于3次，就认为出现异常:而启发式门限检测将这个规则定义为:登录失败的次数大于一个异常数

29、，就会发出警报。目标完整性检查是对系统中的某些关键对象，检查其是否受到无意或恶意的更改。通常是使用消息摘要函数计算系统对象的密码校验值，并将计算得到的值存放在安全的区域。系统定时地计算校验值，并与预先存储值比较，如果发现偏差，就发出警报信息。2、统计分析统计分析是异常检测最早和常用的技术，它是利用统计理论提取用户或系统正常行为的特征轮廓。统计性特征轮廓通常由主体特征变量的频度、均值、方差、被监控行为的属性变量的统计概率分布以及偏差等统计量来描述。典型的系统主体特征有:系统的登录与注销时间、资源被占用的时间以及处理机、内存和外设的使用情况等。至于统计的抽样周期可以从短到几分钟到长达几个月甚至更长

30、。基于统计性特征轮廓的异常检测器，通过对系统审计中的数据进行统计处理，并与描述主体行为的统计性特征轮廓进行比较，然后根据二者的偏差是否超过指定的门限来进一步判断、处理。3、神经网络神经网络是人工智能里的一项技术，它是由大量并行的分布式处理单元组成。每个单元都能存储一定的“知识”，单元之间通过带有权值的连接进行交互。神经网络所包含的知识体现在网络结构当中，学习过程也就表现为权值的改变和连接的增加或删除。利用神经网络检测入侵包括两个阶段。首先是学习阶段，这个阶段使用代表用户行为的历史数据进行训练，完成神经网络的构建和组装;接着便进入入侵分析阶段，网络接收输入的事件数据，与参考的历史行为比较，判断出

31、两者的相似度或偏离度。神经网络使用以下方法来标识异常的事件:改变单元的状态、改变连接的权值、添加或删除连接。同时也具有对所定义的正常模式进行逐步修正的功能。神经网络有这样一些优点: 大量的并行分布式结构、有自学习能力，能从周围的环境中不断学习新的知识并且能根据输入产生合理的输出。神经网络上述优点使其能处理复杂的问题，例如对用户或系统行为的学习和分析，这些都符合入侵检测系统不断面临新的情况和新的入侵的现况。但目前神经网络技术尚不十分成熟，所以还没完善的产品。3.2.2误用检测误用检测又称为基于知识的检测或特征检测，它的基本原理是运用己知攻击方法，根据己定义好的入侵模式，通过判断这些入侵模式是否出

32、现来检测。因为有很大一部分的入侵是利用了系统的脆弱性，所以通过分析入侵过程的特征、条件、排列以及事件间的关系就能具体描述入侵行为的模式。这种方法由于依据具体特征库进行判断，所以检测准确度很高，并且因为检测结果有明确的参照，也为系统管理员做出相应措施提供了方便。主要缺陷在于对具体系统的依赖性太强，不但系统移植性不好，维护工作量大，而且将具体入侵手段抽象成知识也很困难。另外，检测范围受已知知识的局限，尤其是难以检测出内部人员的入侵行为，如合法用户的泄漏，因为这类入侵行为并没有利用系统脆弱性。误用检测主要有以下主要方法:1、模式匹配模式匹配是最为通用的误用检测技术，其特点是原理简单、扩展基于移动Ag

33、ent技术的IDS研究性好、检测效率高、能做到实时的检测，其缺点是只能适用于比较简单的攻击方式，且误报率高。但由于采用误用检测技术的IDS在系统的实现、配置和维护方面都非常方便，因此得到了广泛的应用，如著名的开放源码的Snort就采用了这种检测手段。2、专家系统专家系统是最早的误用检测方法之一，被许多经典的检测模型所采用，如IDES, NIDES, DIDS和CMDS等。它首先使用类似于if-then的规则格式输入已有的知识，然后输入检测数据，系统根据知识库中的内容对检测数据进行评估，判断是否存在入侵行为模式。专家系统的优点在于把系统的推理控制过程和问题最终解答相分离，即用户不需要理解或千预专

34、家系统内部的推理过程，而只须把专家系统看作一个自治的黑盒子。但是，这里黑盒子的生成是一件困难的事情，用户必须把决策引擎和检测规则以硬编码的方式嵌入系统。使用基于规则语言的专家系统具有局限性:处理海量数据时效率低、缺乏处理序列数据的能力、无法处理判断的不确定性、维护规则库很困难等。状态转移将入侵过程看作一个状态变迁序列，导致系统从初始的安全状态转变到被危害状态。状态变迁图或入侵活动的图形表示，用来准确地识别发生下一事件的条件，图中只包括为成功实现入侵所必须发生的关键事件。根据系统审计记录中包含的信息，可研制分析工具，对用户活动的状态变化和己知入侵的状态变迁图加以比较。由于系统的灵活性和处理速度的

35、优势，状态转移法已经成为当今最具竞争力的入侵检测模式之一。目前，实现基于状态转移的入侵检测可以使用以下两种方法:状态转移分析、着色Petri网。状态转移分析是通过检测攻击行为所引起的系统状态的变化来发现入侵的，而着色Petri网则是通过对攻击行为本身的特征进行模式匹配来检测入侵的。 状态转移分析(State Transition Analysis)基于移动Agent技术的IDS研究状态转移分析是使用状态转移图来表示和检测己知攻击模式的误用检测技术。NetSTATIt4I系统采用了这种技术。状态转移分析使用有限状态机模型来表示入侵过程。入侵过程是由一系列导致系统从初始状态转移到入侵状态的行为组成

36、。初始状态表示在入侵发生之前的系统状态，入侵状态则表示入侵完成后系统所处的状态。系统状态通常使用系统属性或用户权限来描述。用户的行为和动作会导致系统状态的改变，当系统状态由正常状态改变为入侵状态时，即认为发生了入侵。 着色Petri网另一种采用状态转移技术来优化误用检测的方法是由Purdue University的Sandeep Kumar和Gene Spafford设计的着色Petri网(C P-Net)。这种方法将入侵表示成一个着色的Petri网，特征匹配过程由标记(to ken)的动作构成。标记在审计记录的驱动下，从初始状态向最终状态(标识入侵发生的状态)逐步前进。处于各个状态时，标记的

37、颜色用来表示事件所处的系统环境。当标记出现某种特定的颜色时，预示着目前的系统环境满足了特征匹配的条件，此时就可以采取相应的响应动作。4、协议分析传统的模式匹配方法的根本问题在于它把网络数据包看作是无序的随意的字节流。它对该网络数据包的内部结构完全不了解，对于网络中传输的图像或音频流同样进行匹配。可是网络通信协议是一个高度格式化的、具有明确含义和取值的数据流，如果将协议分析和模式匹配方法结合起来，可以获得更好的效率、更精确的结果。协议分析方法的优点是计算量少、误报率低、利用资源少；缺点是开发周期长、实现复杂、如果RFCs不太明确，允许开发商判断、分析和实现，则不同开发商的不同产品可能在结构上有所

38、不同，从而会导致比较高的误报率。第四章 入侵检测技术的发展 随着计算机网络的飞速发展，网络安全风险系数不断提高，曾经作为最主要安全防范手段的防火墙，已经不能满足人们对网络安全的需求。作为对防火墙有益的补充，IDS（入侵检测系统）能够帮助网络系统快速发现网络攻击的发生，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。IDS被认为是防火墙之后的第二道安全闸门，它能在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。 IDS作为网络安全架构中的重要一环，其重要地位有目共睹。随着技术的不断完善和更新，IDS正呈现

39、出新的发展态势，IPS（入侵防御系统）和IMS（入侵管理系统）就是在IDS的基础上发展起来的新技术。4.1网络入侵检测技术的发展过程 网络入侵检测技术发展到现在大致经历了三个阶段： 第一阶段：入侵检测系统（IDS），IDS能够帮助网络系统快速发现网络攻击的发生，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它能在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。但是IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。 第二阶段：入侵防御系统（IPS），相对与IDS比较成熟的技术，IPS

40、还处于发展阶段，IPS综合了防火墙、IDS、漏洞扫描与评估等安全技术，可以主动的、积极的防范、阻止系统入侵，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断，这样攻击包将无法到达目标，从而可以从根本上避免攻击。 第三阶段：入侵管理系统（IMS），IMS技术实际上包含了IDS、IPS的功能，并通过一个统一的平台进行统一管理，从系统的层次来解决入侵行为。4.2 IPS研究与分析 IPS是针对IDS的不足而提出的，因此从概念上就优于IDS。IPS相对与IDS的进步具体体现在： （1）在IDS阻断功能的基础上增加了必要的防御功能，以减轻检测系统的压力； （2）

41、增加了更多的管理功能，如处理大量信息和可疑事件，确认攻击行为，组织防御措施等； （3）在IDS监测的功能上增加了主动响应的功能，一旦发现有攻击行为，立即响应，主动切断连接； （4）IPS以串联的方式取代IDS的并联方式接入网络中，通过直接嵌入到网络流量中提供主动防护，预先对入侵活动和攻击性网络流量进行拦截。4.2.1 IPS关键技术研究 IPS通常由探测器和管理器组成。探测器包括流量分析器、检测引擎、响应模块、流量调整器等主要部件，如图1所示：数据流输入数据流输出流量分析器响应模块流量调整器检测引擎异常检测滥用检测图 4-1 探测器组成由于IPS采用串连工作方式，流量分析器需要完成三个基本的功

42、能： （1）截获网络数据包并处理异常情况。异常数据包不一定是恶意攻击，但通过合适的方式处理掉，就可以为检测引擎省去一些不必要的处理工作。例如，流量分析器丢弃校验和出错的数据包，以后检测引擎就不必要处理这样的坏包。 （2）剔除基于数据包异常的规避攻击。例如，分析器可以根据它对目标系统的了解，进行数据包的分片重组，还可以处理协议分析或校正异常等，从而识别规避攻击。 （3）执行类似防火墙的访问控制，根据端口号IP地址阻断非法数据流。 检测引擎是IPS中最有价值的部分，一般都基于异常检测模型和滥用检测模型，识别不同属性的攻击。IPS存在的最大隐患是有可能引发误操作，这种“主动性”误操作会阻塞合法的网络

43、事件，造成数据丢失，最终影响到商务操作和客户信任度。为避免发生这种情况，IPS中采用了多种检测方法，最大限度地正确判断已知和未知攻击。有些IPS检测引擎的模块则已细化到针对缓冲区溢出、DDoS/DoS、网络蠕虫的检测。 响应模块需要根据不同的攻击类型制定不同的响应策略，如丢弃数据包、中止会话、修改防火墙规则、报警、日志等。流量调整器主要完成两个功能：数据包分类和流量管理。目前，大部分IPS根据协议进行数据包分类，未来将提供具体到根据用户或应用程序进行数据包分流的功能，通过对数据包设置不同的优先级，优化数据流的处理。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。IPS数据包处理引擎是专

44、业化定制的集成电路，可以深层检查数据包的内容。如果有攻击者利用Layer 2 （介质访问控制层）至Layer 7（应用层）的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，而包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。针对不同的攻击行为，IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时

45、，过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤准确性。4.2.2 IPS的优势与局限性 IPS是针对IDS不能提供主动拒绝的特点而提出的一种新的安全技术，主要具有以下优点： （1）主动、实时预防攻击。IPS提供对攻击的实时预防和分析，能够在任何未授权活动开始前找出攻击，并防止它进入重要的服务器资源。 （2）保护每个重要的服务器。通过配置IPS，可以设定对服务器的专门保护方案，从而为企业的重要的资源提供深层防护。（3）误报和漏报率低。虽然仍然无法做到完全不误报漏报，但是相对于IDS已经提高了一大步。 （4）深层防护。IPS可进行深层防护。 （5）可管

46、理性。IPS可使安全设置和政策被各种应用程序、用户组和代理程序利用。虽然IPS相对与IDS的优势明显，但是它与IDS一样，需要解决网络性能、安全精确度和安全效率问题。首先，IPS系统需要考虑性能，即需要考虑发现入侵和作出响应的时间。IPS设备以在线方式直接部署在网络中，无疑会给网络增加负荷，给数据传输带来延时。为避免成为瓶颈，IPS系统必须具有线速处理数据的能力，能够提供与2层或者3层交换机相同的速度，而这一点取决于IPS的软件和硬件加速装置。除了网络性能之外，IPS还需要考虑安全性，尽可能多得过滤掉恶意攻击，这就使IPS同样面临误报和漏报问题。在提高准确性方面，IPS面临的压力更大。一旦IP

47、S做出错误判断，IPS就会放过真正的攻击而阻断合法的事务处理，从而造成损失。另外IPS还存在一些其它的弊端：IPS比较适合于阻止大范围的、针对性不是很强的攻击，但对单独目标的攻击阻截有可能失效，自动预防系统也无法阻止专门的恶意攻击者的操作；IPS还不具备足够智能识别所有对数据库应用的攻击。4.3网络安全的发展方向IMS IMS技术实际上包含了IDS、IPS的功能，并通过一个统一的平台进行统一管理，从系统的层次来解决入侵行为。IMS技术是一个过程，在行为未发生前要考虑网络中有什么漏洞，判断有可能会形成什么攻击行为和面临的入侵危险；在行为发生时或即将发生时，不仅要检测出入侵行为，还要主动阻断，终止

48、入侵行为；在入侵行为发生后，还要深层次分析入侵行为，通过关联分析，来判断是否还会出现下一个攻击行为。IMS具有大规模部署、入侵预警、精确定位以及监管结合四大典型特，这些特征本身具有一个明确的层次关系。首先，大规模部署是实施入侵管理的基础条件，一个有组织的完整系统通过规模部署的作用，要远远大于单点系统简单的叠加，IMS对于网络安全监控有着同样的效用，可以实现从宏观的安全趋势分析到微观的事件控制。第二、入侵预警。检测和预警的最终目标就是一个“快”，要和攻击者比时间。只有减小这个时间差，才能使损失降低到最小。要实现这个“快”字，入侵预警必须具有全面的检测途径，并以先进的检测技术来实现高准确和高性能。入侵预警是IMS进行规模部署后的直接作用，也是升华IMS的一个非常重要的功能。第三、精确定位。入侵预警之后就需要进行精确定位，这是从发现问题