入侵檢測技術(shù)學論文

1、學年論文題 目：入侵檢測技術(shù)現(xiàn)狀分析與研究 學 院 專 業(yè) 級 班學生姓名 學 號 指導教師 職 稱 完成日期 入侵檢測技術(shù)現(xiàn)狀分析與研究【摘要】隨著網(wǎng)絡的快速發(fā)展及普及,網(wǎng)絡安全已經(jīng)成為不可忽視的信息安全.小至個人用戶的信息,大至公司企業(yè)重要的資料數(shù)據(jù),一但在不知不覺中被盜竊,會給自己乃至公司帶來利益的損失.入侵檢測技在1980年由JamesP.Anderson在給一個保密客戶寫的一份題為計算機安全威脅監(jiān)控與監(jiān)視的技術(shù)報告中指出,審計記錄可以用于識別計算機誤用,他給威脅進行了分類,第一次詳細闡述了入侵檢測的概念【關鍵詞】IDS、協(xié)議、分析、網(wǎng)絡安全11目錄第一章緒 論11.1入侵檢測技術(shù)的背

2、景11.2入侵檢測技術(shù)的應用與發(fā)展現(xiàn)狀1第二章入侵檢測技術(shù)12.1入侵檢測系統(tǒng)的分類12.1.1基于主機的入侵檢測系統(tǒng)22.1.2基于網(wǎng)絡的入侵檢測系統(tǒng)22.2入侵檢測技術(shù)32.2.1異常入侵檢測技術(shù)32.2.2誤用入侵檢測技術(shù)3第三章校園網(wǎng)中的分布式入侵檢測分析43.1 分布式入侵檢測的設計思想43.2 校園分布式入侵檢測模式的分析43.3 采用的入侵檢測技術(shù)5第四章入侵檢測系統(tǒng)的發(fā)展趨勢7第五章總結(jié)81第一章 緒 論1.1 入侵檢測技術(shù)的背景隨著計算機網(wǎng)絡技術(shù)的飛速發(fā)展,人們已經(jīng)離不開了網(wǎng)絡的通信.網(wǎng)絡滲透到了人們生活的點點滴滴,地球村的建設,讓人們走進了高速發(fā)展的時代,信息中心的高速傳輸

3、,網(wǎng)絡資源的高度共享,都離不開網(wǎng)絡.網(wǎng)絡使得信息的獲取、傳遞、處理和利用變得更加有效,網(wǎng)絡帶給人們學習、工作、娛樂的便利之余,也帶給我們一些安全隱患.網(wǎng)絡黑客可以輕松的取走你的重要的文件,盜取你的銀行存款,破壞你的企業(yè)平臺,公布你的隱私信函,篡改、干擾和毀壞你的數(shù)據(jù)庫,甚至直接破壞用戶的計算機,使你的網(wǎng)絡癱瘓或者崩潰.所以,研究各種切實有效的安全技術(shù)來保障計算機系統(tǒng)和網(wǎng)絡系統(tǒng)的安全,已經(jīng)成為一個刻不容緩的問題.伴隨著網(wǎng)絡的發(fā)展,各種網(wǎng)絡安全技術(shù)也隨之發(fā)展起來.美國韋式大辭典中對入侵檢測的定義為:“硬闖入的行為,或者是在沒受到邀請和歡迎的情況下進入一個地方”.當說到入侵檢測的時候,我們是指發(fā)現(xiàn)了

4、網(wǎng)絡上的一臺計算機有未經(jīng)過授權(quán)的闖入行為,這個未經(jīng)過許可的網(wǎng)絡入侵或訪問,是一種對其他網(wǎng)絡設備的安全威脅或傷害.我們通常使用的網(wǎng)絡安全技術(shù)有:防火墻、殺毒軟件、虛擬專用網(wǎng)、數(shù)據(jù)加密、數(shù)字簽名和身份認證技術(shù)等.這些傳統(tǒng)的網(wǎng)絡安全技術(shù),對保護網(wǎng)絡的安全起到非常重要的作用,然而它們也存在不少缺陷.例如,防火墻技術(shù)雖然為網(wǎng)絡服務提供了較好的身份認證和訪問控制,但是它不能防止來自防火墻內(nèi)部的攻擊,不能防備最新出現(xiàn)的威脅,不能防止繞過防火墻的攻擊,入侵者可以利用脆弱性程序或系統(tǒng)漏洞繞過防火墻的訪問控制來進行非法攻擊.傳統(tǒng)的身份認證技術(shù),很難抵抗脆弱性口令,字典攻擊,特洛伊木馬,網(wǎng)絡窺探器以及電磁輻射等攻擊

5、手段.虛擬專用網(wǎng)技術(shù)只能保證傳輸過程中的安全,并不能防御諸如拒絕服務攻擊,緩沖區(qū)溢出等常見的攻擊.另外,這些技術(shù)都屬于靜態(tài)安全技術(shù)的范疇；靜態(tài)安全技術(shù)的缺點是只能靜態(tài)和消極地防御入侵,而不能主動檢測和跟蹤入侵.而入侵檢測技術(shù)是一種動態(tài)安全技術(shù),它主動地收集包括系統(tǒng)審計數(shù)據(jù),網(wǎng)絡數(shù)據(jù)包以及用戶活動狀態(tài)等多方面的信息；然后進行安全性分析,從而及時發(fā)現(xiàn)各種入侵并產(chǎn)生響應.、1.2 入侵檢測技術(shù)的應用與發(fā)展現(xiàn)狀在目前的計算機安全狀態(tài)下,基于防火墻,加密技術(shù)等的安全防護固然重要；但是要根本改善系統(tǒng)的安全現(xiàn)狀,必須要發(fā)展入侵檢測技術(shù).它已經(jīng)成為計算機安全策略中的核心技術(shù)之一.Intrusion Detec

6、tion System(簡稱IDS)作為一種主動的安全防護技術(shù),提供了對內(nèi)部攻擊,外部攻擊和誤操作的實時保護.從網(wǎng)絡安全立體縱深的多層次防御角度出發(fā),入侵檢測理應受到高度重視,這從國外入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出.在國內(nèi),隨著上網(wǎng)關鍵部門,關鍵業(yè)務越來越多,迫切需要具有自主版權(quán)的入侵檢測產(chǎn)品；但目前我國的入侵檢測技術(shù)還不夠成熟,處于發(fā)展和跟蹤國外技術(shù)的階段,所以對入侵檢測系統(tǒng)的研究非常重要.傳統(tǒng)的入侵檢測系統(tǒng)中一般采用傳統(tǒng)的模式匹配技術(shù),將待分析事件與入侵規(guī)則相匹配.從網(wǎng)絡數(shù)據(jù)包的包頭開始與攻擊特征字符串比較.若比較結(jié)果不同,則下移一個字節(jié)再進行；若比較結(jié)果相同,那么就檢測到一個可能的

7、攻擊.這種逐字節(jié)匹配方法具有兩個最根本的缺陷:計算負載大以及探測不夠靈活.面對近幾年不斷出現(xiàn)的ATM,千兆以太網(wǎng),G比特光纖網(wǎng)等高速網(wǎng)絡應用,實現(xiàn)實時入侵檢測成為一個現(xiàn)實的問題.適應高速網(wǎng)絡的環(huán)境,改進檢測算法以提高運行速度和效率是解決該問題的一個途徑.協(xié)議分析能夠智能地"解釋"協(xié)議,利用網(wǎng)絡協(xié)議的高度規(guī)則性快速探測攻擊的存在,從而大大減少了模式匹配所需的運算.所以說研究基于協(xié)議分析的入侵檢測技術(shù)具有很強的現(xiàn)實意義.第二章 入侵檢測技術(shù)2.1 入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)按采用的技術(shù)分為:異常檢測系統(tǒng)和誤用檢測系統(tǒng).按系統(tǒng)所監(jiān)測的對象分為:基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡

8、入侵檢測系統(tǒng).按系統(tǒng)的工作方式分為:離線檢測系統(tǒng)和在線檢測系統(tǒng).按系統(tǒng)對入侵的反應分為:主動入侵檢測系統(tǒng)和被動入侵檢測系統(tǒng).框架圖如圖所示。入侵檢測系統(tǒng)主機型網(wǎng)絡型異常檢測誤用檢測圖2-1 入侵檢測系統(tǒng)框架圖2.1.1基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測系統(tǒng)監(jiān)視主機的文件系統(tǒng)或者操作系統(tǒng)及各種服務生成的日志文件,以便發(fā)現(xiàn)入侵蹤跡.它的優(yōu)點有:不受加密傳輸?shù)挠绊?它能夠了解被監(jiān)視主機應用層的活動細節(jié),有效檢測發(fā)生在應用層的入侵活動,可以檢測多種網(wǎng)絡環(huán)境下的網(wǎng)絡包,而不用像網(wǎng)絡IDS系統(tǒng)一樣需安裝多臺傳感器,這樣就使整個系統(tǒng)的成本大大降低；由于使用包含實際發(fā)生事件的日志文件,所以比基于網(wǎng)絡的系

9、統(tǒng)就更能了解某一入侵行為是否最終成功從而減少錯誤.它的缺點有:由于作為用戶進程運行,這種入侵檢測系統(tǒng)依賴于操作系統(tǒng)底層的支持,與系統(tǒng)的體系結(jié)構(gòu)有關,所以它無法了解發(fā)生在下層協(xié)議的入侵活動；老練的入侵者往往可以進入系統(tǒng)修改、刪除有關的日志記錄,從而隱藏入侵跡象；由于它位于所監(jiān)視的每一個主機中,故所占用的資源不能太多,從而大大限制了所采用的檢測方法及處理性能.2.1.2基于網(wǎng)絡的入侵檢測系統(tǒng)基于網(wǎng)絡的入侵檢測系統(tǒng)直接從網(wǎng)絡數(shù)據(jù)流中截獲原始的網(wǎng)絡包作為信息源,并從中搜索可疑行為.它的優(yōu)點有:由于該系統(tǒng)直接搜集網(wǎng)絡數(shù)據(jù)包,而網(wǎng)絡協(xié)議是標準的,因此,與目標系統(tǒng)的體系結(jié)構(gòu)無關,可監(jiān)視結(jié)構(gòu)不同的各類系統(tǒng)；該

10、系統(tǒng)使用原始網(wǎng)絡數(shù)據(jù)包進行檢測,因此它所收集的審計數(shù)據(jù)被篡改的可能性很小,而且它不影響被保護系統(tǒng)的性能；利用工作在混合模式下的網(wǎng)卡實時監(jiān)控和分析所有通過共享式網(wǎng)絡的傳輸,能夠?qū)崟r得到目標系統(tǒng)與外界交互的所有信息,包括一些很隱藏的端口掃描和沒有成功入侵的嘗試.它的缺點有:缺乏終端系統(tǒng)對待定數(shù)據(jù)報的處理方法等信息,使得從原始的數(shù)據(jù)包中重構(gòu)應用層信息很困難,故難以檢測發(fā)生在應用層的攻擊,而對于檢測以加密傳輸方式進行的入侵無能為力.從入侵檢測技術(shù)和入侵檢測系統(tǒng)可以看出,單獨一種方法并不能檢測所有類型的入侵,異常檢測能檢測出已知和未知的攻擊,其主要問題是如何正確定義一個正常用戶行為.在動態(tài)環(huán)境中,用建立

11、用戶統(tǒng)計來確定正常用戶行為幾乎是不可能的事情,這時關注一個過程的行為更加有效.誤用檢測具有較高的正確性,但是不能對未知攻擊進行檢測.單個主機上安裝的IDS在大規(guī)模網(wǎng)絡中檢測入侵時可能會出現(xiàn)困難,而多個主機上安裝的IDS同樣問題.誤用檢測比異常檢測能更好地適應擴展或向其他計算機系統(tǒng)的移植.目前這些方法除了基于模式的檢測方法和狀態(tài)轉(zhuǎn)換分析,都必須檢測大量的數(shù)據(jù)來判斷入侵的行為,這直接影響了檢測入侵的時間.異常檢測能夠適應改變；而誤用檢測中,知識庫需要定期地進行更新.所以要讓入侵檢測系統(tǒng)更加有效地檢測而不錯誤報警,減少人工干預,入侵檢測技術(shù)還需要進行大量的研究和開發(fā).2.2 入侵檢測技術(shù)入侵檢測技術(shù)

12、主要分為兩類:異常入侵檢測和誤用入侵檢測.2.2.1異常入侵檢測技術(shù)異常入侵檢測是指為所監(jiān)測的系統(tǒng)建立一個在正常情況下的描述文件,任何違反該描述的事件的發(fā)生都被認為是可疑的,即觀測活動偏離正常系統(tǒng)使用方式的程度.常用的異常檢測技術(shù)有: 1.統(tǒng)計分析最早的異常檢測系統(tǒng)采用的是統(tǒng)計分析技術(shù).首先,檢測器根據(jù)用戶對象的動作為每個用戶建立一個用戶特征表,通過比較當前特征與已存儲定型的以前特征,從而判斷是否異常行為.統(tǒng)計分析的優(yōu)點:有成熟的概率統(tǒng)計理論支持,維護方便,不需要象誤用檢測系統(tǒng)那樣不斷地對規(guī)則庫進行更新和維護等.統(tǒng)計分析的缺點:大多數(shù)統(tǒng)計分析系統(tǒng)是以批處理的方式對審計記錄進行分析的,不能提供對

13、入侵行為的實時檢測,統(tǒng)計分析不能反映事件在時間順序上的前后相關性,而不少入侵行為都有明顯的前后相關性,門限值的確定非常棘手等.2.神經(jīng)網(wǎng)絡這種方法對用戶行為具有學習和自適應功能,能夠根據(jù)實際檢測到的信息有效地加以處理并做出入侵可能性的判斷.利用神經(jīng)網(wǎng)絡所具有的識別,分類和歸納能力,可以使入侵檢測系統(tǒng)適應用戶行為特征的可變性.從模式識別的角度來看,入侵檢測系統(tǒng)可以使用神經(jīng)網(wǎng)絡來提取用戶行為的模式特征,并以此創(chuàng)建用戶的行為特征輪廓.總之,把神經(jīng)網(wǎng)絡引入入侵檢測系統(tǒng),能很好地解決用戶行為的動態(tài)特征以及搜索數(shù)據(jù)的不完整性,不確定性所造成的難以精確檢測的問題.利用神經(jīng)網(wǎng)絡檢測入侵的基本思想是用一系列信息

14、單元(命令)訓練神經(jīng)單元,這樣在給定一組輸入后,就可能預測輸出.將神經(jīng)網(wǎng)絡應用于攻擊模式的學習,理論上也是可行的.但目前主要應用于系統(tǒng)行為的學習,包括用戶以及系統(tǒng)守護程序的行為.與統(tǒng)計理論相比,神經(jīng)網(wǎng)絡更好地表達了變量間的非線性關系,并且能自動學習并更新.神經(jīng)網(wǎng)絡也存在一些問題:在不少情況下,系統(tǒng)趨向于形成某種不穩(wěn)定的網(wǎng)絡結(jié)構(gòu),不能從訓練數(shù)據(jù)中學習特定的知識,這種情況目前尚不能完全確定產(chǎn)生的原因；另外,神經(jīng)網(wǎng)絡對判斷為異常的事件不會提供任何解釋或說明信息,這導致了用戶無法確認入侵的責任人,也無法判斷究竟是系統(tǒng)哪方面存在的問題導致了攻擊者得以成功入侵.2.2.2誤用入侵檢測技術(shù)誤用入侵檢測是對已

15、知系統(tǒng)和應用軟件的弱點進行入侵建模,從而對觀測到的用戶行為和資源使用情況進行模式匹配而達到檢測目的.常見的誤用入侵檢測技術(shù)有以下幾種:1.模式匹配模式匹配是最常用的誤用檢測技術(shù),特點是原理簡單,擴展性好,檢測效率高,可以實時檢測；但是只能適用于比較簡單的攻擊方式.它將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式串進行比較,從而發(fā)現(xiàn)違背安全策略的行為.著名的輕量級開放源代碼入侵檢測系統(tǒng)Snort就是采用這種技術(shù).2.專家系統(tǒng)該技術(shù)根據(jù)安全專家對可疑行為的分析經(jīng)驗來形成一套推理規(guī)則,然后在此基礎上建立相應的專家系統(tǒng)來自動對所涉及的入侵行為進行分析.該系統(tǒng)應當能夠隨著經(jīng)驗的積累而利用其自學習能力進行規(guī)

16、則的擴充和修正.專家系統(tǒng)方法存在一些實際問題:處理海量數(shù)據(jù)時存在效率問題,這是由于專家系統(tǒng)的推理和決策模塊通常使用解釋型語言來實現(xiàn),所以執(zhí)行速度比編譯型語言慢；專家系統(tǒng)的性能完全取決于設計者的知識和技能；規(guī)則庫維護非常艱巨,更改規(guī)則時必須考慮到對知識庫中其他規(guī)則的影響等等.3.狀態(tài)遷移法狀態(tài)遷移圖可用來描述系統(tǒng)所處的狀態(tài)和狀態(tài)之間可能的遷移.狀態(tài)遷移圖用于入侵檢測時,表示了入侵者從合法狀態(tài)遷移到最終的危害狀態(tài)所采取的一系列行動.在檢測未知的脆弱性時,因為狀態(tài)遷移法強調(diào)的是系統(tǒng)處于易受損的狀態(tài)而不是未知入侵的審計特征,因此這種方法更具有健壯性.而它潛在的一個弱點是太拘泥于預先定義的狀態(tài)遷移序列.

17、這種模型運行在原始審計數(shù)據(jù)的抽象層次上,它利用系統(tǒng)狀態(tài)的觀念和事件的轉(zhuǎn)變流；這就有可能提供了一種既能減少誤警率又能檢測到新的攻擊的途徑.另外,因為涉及了比較高層次的抽象,有希望把它的知識庫移植到不同的機器,網(wǎng)絡和應用的入侵檢測上.第三章 校園網(wǎng)中的分布式入侵檢測系統(tǒng)分析隨著網(wǎng)絡時代的到來，校園計算機網(wǎng)絡安全不容忽視。許多高校都建立起自己的局域網(wǎng)，校園一般通過網(wǎng)關與Internet相連，網(wǎng)關成為整個局域網(wǎng)的安全集中點，校園里所有的機器都處在同一安全級別，當入侵者入侵校園網(wǎng)攻擊時，只要突破了校園網(wǎng)的網(wǎng)關，攻破學校一臺機器，整個網(wǎng)絡就將面臨的癱瘓的危險。為保障校園網(wǎng)絡的安全和順利進行，通常在校園網(wǎng)中

18、采用以Snort為核心的分布式入侵檢測系統(tǒng)。3.1 分布式入侵檢測的設計思想隨著校園網(wǎng)中功能需求的增加，學校對外交流的提高、網(wǎng)上招生的要求、學生宿舍上網(wǎng)，越來越多的部門和教室需要接入校園網(wǎng)絡中，網(wǎng)絡中心對校園網(wǎng)不斷的改造，提高校園網(wǎng)絡的安全性。分布式入侵檢測系統(tǒng)對院校實現(xiàn)管理網(wǎng)絡化合教學手段現(xiàn)代化、提高學校的管理水平和教學質(zhì)量、實現(xiàn)網(wǎng)絡信息資源共享、豐富師生業(yè)余文化生活的同時在安全方面發(fā)揮積極作用。通過分布式入侵檢測系統(tǒng)來檢測多個主機、多個網(wǎng)段上的數(shù)據(jù)和信息，對這些信息進行關聯(lián)和綜合分析，來發(fā)現(xiàn)可能存在的分布式網(wǎng)絡攻擊行為并進行響應處理的入侵檢測系統(tǒng)。分布式入侵檢測系統(tǒng)采取了分布式檢測的體系結(jié)

19、構(gòu)，主機控制響應單元，它對網(wǎng)絡探測響應單元在分級控制臺的管理下分別檢測本機、本網(wǎng)段的入侵行為，具有良好的分布性、可擴展性；并在網(wǎng)絡檢測響應單元系統(tǒng)中設計了協(xié)議分析模塊，控制臺采用分級控制臺和總控制臺。分布式通過共同協(xié)作的機制，從多層面上實施檢測。提高入侵檢測的效果。分布式入侵檢測的設計應滿足以下幾點功能：入侵檢測能夠識別可疑行為，檢測入侵。攻擊行為檢測的準確性，并進行警報，降低檢測報警中的誤報和漏報。入侵檢測能針對不同的警報級別分別作出不同的響應。入侵檢測必須允許管理員適時監(jiān)控攻擊行為，對不同的功能和報警進行手動控制。入侵檢測能夠處理大規(guī)模的攻擊。入侵檢測的各組件之間能根據(jù)檢測到的入侵和報警相

20、互通信。入侵檢測本身具有穩(wěn)健性，對攻擊手法的改變具有適應性。入侵檢測具有可擴展性，能滿足今后網(wǎng)絡擴展的需要為保障網(wǎng)絡安全，入侵檢測自身應具有高可靠性，能保障不間斷運行。3.2 校園分布式入侵檢測模式的分析當前網(wǎng)絡結(jié)構(gòu)逐步復雜化和大型化的趨勢下，分布式入侵檢測由于檢測范圍大，檢測時可以采用不同的檢測方法，通過將各個傳感器放置在不同的組件上，實現(xiàn)信息收集匯總。入侵檢測系統(tǒng)的工作過濾規(guī)則可疑網(wǎng)絡活動檢測入侵響應入侵檢測圖3-1 入侵檢測系統(tǒng)工作流程流程如圖3-1所示。Snort是一個功能強大的入侵檢測系統(tǒng)，具有靈活、可定制和可擴展的特點。因此采用以Snort為核心的分布式入侵檢測系統(tǒng)。基于Snort

21、的分布式入侵檢測系統(tǒng)按功能主要由三個部分組成：傳感器、數(shù)據(jù)管理中心、管理決策中心，是一個三層結(jié)構(gòu)。如圖3-2所示。管理決策中心數(shù)據(jù)管理中心數(shù)據(jù)管理中心傳感器傳感器傳感器傳感器傳感器圖3-2 分布式入侵檢測系統(tǒng)的總體結(jié)構(gòu)傳感器用于收集來自網(wǎng)絡上的數(shù)據(jù)，通過均勻的分布在重要網(wǎng)段上，收集各方位傳來的數(shù)據(jù)。是分布式入侵檢測系統(tǒng)重要組成部分。然后將收集來的數(shù)據(jù)進行簡單的數(shù)據(jù)處理，并采用基于協(xié)議分析和基于模式匹配結(jié)合的方法更全面的檢測入侵行為，并將入侵數(shù)據(jù)日志到數(shù)據(jù)管理中心數(shù)據(jù)庫中，進行存儲和處理。數(shù)據(jù)管理中心是負責收集傳感器傳來的一系列報警數(shù)據(jù)，并對收集的報警數(shù)據(jù)進行處理。數(shù)據(jù)中心存儲過程中進行數(shù)據(jù)整理

22、，防止需要存儲的數(shù)據(jù)信息量過多，方便對數(shù)據(jù)庫報警信息的分類和管理。管理決策中心是網(wǎng)絡管理員與機器交互信息中心，負責匯總信息整理成材料，以圖文形式顯示數(shù)據(jù)信息，方便管理員作出相應的決策機制。提高網(wǎng)絡信息的安全性。傳感器用于捕獲來自網(wǎng)絡上的數(shù)據(jù)，是進行入侵檢測的基礎，它是由Snort實現(xiàn)的。由于Snort本身沒有抓包工具，所以采用外部抓包工具Winpcap。Winpcap負責直接從網(wǎng)絡上抓包，將采集到的數(shù)據(jù)進行簡單處理傳送到數(shù)據(jù)管理中心進行封裝。Winpcap提供了一套標準的網(wǎng)絡數(shù)據(jù)包捕獲的編程接口、捕獲原始數(shù)據(jù)包、在數(shù)據(jù)包發(fā)往應用程序之前按照自定義的規(guī)則將某些特別的數(shù)據(jù)包過濾掉、在網(wǎng)絡上發(fā)送原始

23、的數(shù)據(jù)包、收集網(wǎng)絡通信過程中的統(tǒng)計信息。預處理器以插件的形式實現(xiàn)，它使得Snort入侵檢測系統(tǒng)具有模塊化的特征，使系統(tǒng)具有靈活的擴展能力和配置能力。用戶和程序員能夠?qū)⒏鞣N不同功能的模塊化的插件方便地融入Snort之中，用來針對可疑行為檢查包或者修改包，以便檢測引擎對其進行正確的解釋，從而提高檢測的準確性和速度。預處理可以分為兩類，一類是用于針對可疑行為或者對包進行修改，以便對數(shù)據(jù)進行分析檢測時可以正確的識別；另一類是負責對流量標準化，以便進行檢測時可以準確的匹配特征。通過它可以提高模式匹配的檢測效率。預處理器使入侵檢測系統(tǒng)可以處理跨多個包的數(shù)據(jù)，還可以規(guī)范化有多個數(shù)據(jù)表達形式的協(xié)議數(shù)據(jù)。通過預

24、處理系統(tǒng)具有異常檢測的能力，可以發(fā)現(xiàn)還沒有對應規(guī)則的攻擊。另外用戶還可以根據(jù)需要自己編寫新的預處理插件。3.3 采用的入侵檢測技術(shù)Snort入侵檢測系統(tǒng)是基于誤用檢測的入侵檢測軟件。一般采用模式匹配的方法檢測入侵行為。模式匹配是將獲得的數(shù)據(jù)與系統(tǒng)內(nèi)相應數(shù)據(jù)進行比較，從而發(fā)現(xiàn)違背安全策略的行為。具有原理簡單、擴展性好、分析速度快等優(yōu)點。模式匹配算法有很多，BM（Boyer-Moore）算法是一種常用的精確匹配算法，其中Snort入侵檢測系統(tǒng)急速使用BM算法來進行特征匹配。更具數(shù)據(jù)顯示：Snort在進行檢測的時候調(diào)用字符串匹配函數(shù)所需要的時間占總時間的25.2%，所以字符串匹配算法效率隊Snort

25、來說很重要。BM算法利用跳過不必要的比較來減少字符之間的匹配，以減少匹配次數(shù)來提高檢測效率。如：在主字符串（記做P）搜索的文本（記做T），將P的第一個字符記做P1，P的最后一個字符記做Pm；T的第一個字符記做T1，T的最后一個字符記做Tn；則有：主字符串P：abcacdabaababbaab 模式子串T：ababbaab定義一個函數(shù)K：x1,2，m；當字符不匹配時，實現(xiàn)下標的移動。 n 若任意字符x不出現(xiàn)在T中或x=Pi;（i=m）Kx= n-I 若x在T，這里的i=maxi: Pi=x，1=i=m-1匹配自右向左進行：在開始前，將主字符串P與文本T左部對齊，而匹配搜索從P的最右邊一個字符開始

26、，忽略不匹配的字符：圖3-3壞字符算法（1）x,y在匹配的過程中發(fā)生了匹配失敗ab，這時候判斷b.如果在x中沒有發(fā)現(xiàn).說明只要含有b就不可能匹配,所以跳到b的后面,繼續(xù)匹配.如圖3-3所示。圖3-4壞字符算法（2）x,y在匹配的過程中發(fā)生了匹配失敗ab,這時候判斷b.如果在x中發(fā)現(xiàn)有b,則從右邊數(shù)第一個b和y中的b對齊.如圖3-4所示。發(fā)現(xiàn)匹配字符：圖3-5 好后綴處理算法（1）關于"u"的部分是匹配成功的.某一次匹配失敗.描述起來就是xi+1 . m-1=yi+j+1 . j+m-1=u and xiyi+j 如果"u"的部分在x中能找到.那么找到此位

27、置與b對齊,但新位置必須滿足cb ，如圖3-5所示。圖3-6 好后綴處理算法（2）關于"u"的部分是匹配成功的.某一次匹配失敗.描述起來就是xi+1 . m-1=yi+j+1 . j+m-1=u and xiyi+j如果"u"的部分在x中不能找到.那么找到x的一個最大前綴"v" 滿足是"u"中最大后綴.然后使這2部分對齊. 如圖3-6所示。通過基于模式匹配的檢測方法，快速地探測網(wǎng)絡上不安全因素的存在。它利用網(wǎng)絡協(xié)議的高度規(guī)則性，只提取數(shù)據(jù)包的重要特征送入處理模塊進行檢測，不僅節(jié)約了檢測部分的資源，傳輸?shù)臅r候也極大提

28、高了單位時間的包特傳輸速率。且同模式匹配技術(shù)結(jié)合，使得入侵檢測系統(tǒng)具有檢測速度快、系統(tǒng)消耗低、降低誤報率等優(yōu)點。第四章 入侵檢測系統(tǒng)的發(fā)展趨勢與防火墻等高度成熟的產(chǎn)品相比，入侵檢測系統(tǒng)還存在相當多的問題，這些問題大多數(shù)是目前入侵檢測系統(tǒng)的結(jié)構(gòu)所難以克服的，而且這些矛盾可能越來越尖銳。入侵技術(shù)的發(fā)展與演化主要反映在以下幾個方面：入侵或攻擊的綜合化與復雜化。攻擊者不斷增加的知識，日趨成熟多樣自動化工具，以及越來越復雜細致的攻擊手法。入侵檢測系統(tǒng)必須不斷跟蹤最新的安全技術(shù)，才能不致被攻擊者遠遠超越。入侵主體對象的間接化，惡意信息采用加密的方法傳輸。通過一定的技術(shù)，可掩蓋攻擊主體的源地址、主機位置和攻

29、擊信息。不斷增大的入侵或攻擊的規(guī)模。對于網(wǎng)絡的入侵與攻擊，在其初期往往是針對某公司或一個網(wǎng)站，而現(xiàn)在入侵或攻擊的規(guī)模不斷增大，單一的入侵檢測系統(tǒng)已很難應付。可以想見，隨著網(wǎng)絡流量的進一步加大，對入侵檢測系統(tǒng)將提出更大的挑戰(zhàn)，在PC機上運行純軟件系統(tǒng)的方式需要突破。入侵或攻擊技術(shù)的分布化。以往常用的入侵與攻擊行為往往由單機執(zhí)行，分布式攻擊是近期最常用的攻擊手段。所謂的分布式拒絕服務在很短時間內(nèi)可造成被攻擊主機的癱瘓，且此類分布式攻擊的單片機信息模式與正常通信無差異，所以往往在攻擊發(fā)動的初期不易被確認。攻擊對象的轉(zhuǎn)移。入侵與攻擊常以網(wǎng)絡為侵犯的主體，但近期來的攻擊行為卻發(fā)生了策略性的改變，由攻擊網(wǎng)

30、絡改為攻擊網(wǎng)絡的防護系統(tǒng)，且有愈演愈烈的趨勢。入侵檢測系統(tǒng)作為一種新興的網(wǎng)絡安全手段，從一開始就受到了大家的重視。近年來，入侵檢測技術(shù)獲得了極大地發(fā)展，今后的入侵檢測技術(shù)大致可朝以下幾個方向發(fā)展。(1)云計算入侵檢測的發(fā)展隨著云計算成為全球新興產(chǎn)業(yè)的重要代表，網(wǎng)絡入侵者都將目光投到了云計算這一未來充滿巨大市場空間的領域。由于云計算環(huán)境擁有強大的計算能力、海量的存儲空間和豐富的用戶信息，對網(wǎng)絡入侵者具有很大的誘惑力，云計算環(huán)境目前已經(jīng)成為網(wǎng)絡入侵者的攻擊目標。特別是作為云計算服務供應商，在為云計算用戶提供計算、存儲和各種軟件式服務的過程中，很容易遭受各種安全威脅與攻擊的考驗。同時，云計算環(huán)境下的

31、網(wǎng)絡攻擊發(fā)動更加快速、攻擊能力更加強大、攻擊后果更加嚴重，使得云計算環(huán)境的入侵檢測變得更加重要。(2) 集成網(wǎng)絡分析和管理功能 入侵檢測不但對網(wǎng)絡攻擊是一個檢測。同時,侵檢測可以收到網(wǎng)絡中的所有數(shù)據(jù),對網(wǎng)絡的故障分析和健康管理也可起到重大作用。當管理員發(fā)現(xiàn)某臺主機有問題時,也希望能馬上對其進行管理。入侵檢測也不應只采用被動分析方法,最好能和主動分析結(jié)合。所以,入侵檢測產(chǎn)品集成網(wǎng)管功能,掃描器(Scanner),嗅探器(Sniffer)等功能是以后發(fā)展的方向。 (3) 安全性和易用性的提高 入侵檢測是個安全產(chǎn)品,自身安全極為重要。因此，目前的入侵檢測產(chǎn)品大多采用硬件結(jié)構(gòu),黑洞式接入,免除自身安全

32、問題。同時,對易用性的要求也日益增強,例如：全中文的圖形界面,自動的數(shù)據(jù)庫維護,多樣的報表輸出。這些都是優(yōu)秀入侵產(chǎn)品的特性和以后繼續(xù)發(fā)展細化的趨勢。 (4) 高速實時入侵檢測技術(shù)大量高速網(wǎng)絡技術(shù)在近年內(nèi)不斷出現(xiàn)，在此背景下的各種寬帶接入手段層出不窮，其中很多已經(jīng)得到了廣泛的應用。如何實現(xiàn)高速網(wǎng)絡下的實時入侵檢測已經(jīng)成為一個現(xiàn)實的問題。目前，雖然市場上也可以見到一些基于千兆以太網(wǎng)環(huán)境的入侵檢測產(chǎn)品，但其性能指標還遠未滿足要求。(5) IDS與其他安全部件的互動實現(xiàn)網(wǎng)絡與信息的安全是一項系統(tǒng)工程,不是哪一種單獨的安全部件就可以完成的。只有在不同的安全部件之間實現(xiàn)互聯(lián)互動,才能更好的保證網(wǎng)絡與信息的

33、安全。隨著防火墻、入侵檢測等技術(shù)的不斷發(fā)展,實現(xiàn)它們之間的互動顯得越來越重要。因此,對于安全部件之間的互動協(xié)議和接口標準的研究,也會是對IDS研究的一個重要方向。由于IDS的地位越來越重要,防護的網(wǎng)絡規(guī)模越來越大,因此應該把IDS和其他安全部件放在一個對等的位置來考慮它們之間的互動。應該考慮不同廠家的IDS之間,IDS與防火墻之間,IDS與響應部件之間的互動。在這方面還有很大一部分工作需要解決。(6) IDS標準化工作標準化的工作對于一項技術(shù)的發(fā)展至關主要。在某一個技術(shù)領域,如果沒有相應的標準,那么該領域的發(fā)展將會是無序的。IDS經(jīng)歷了20多年的發(fā)展,近幾年又成為網(wǎng)絡與信息安全領域的一個研究熱

34、點,但是到目前為止,尚沒有一個相關的國際標準出現(xiàn),國內(nèi)也沒有IDS方面的標準。因此,IDS的標準化工作應引起業(yè)內(nèi)的廣泛重視。 在IDS中,應該進行標準化的工作主要包括：大規(guī)模分布式IDS的體系結(jié)構(gòu)、入侵特征等數(shù)據(jù)的描述、IDS內(nèi)部的通信協(xié)議和數(shù)據(jù)交換協(xié)議、安全部件間的互動協(xié)議和接口標準等。第五章 總結(jié)通過查找相關資料,加深對入侵檢測技術(shù)的了解,對當下流行技術(shù)進行了簡單的介紹以及比較.入侵檢測作為一種積極主動的安全防護技術(shù),提供了對內(nèi)、外部攻擊和誤操作的實時保護,在網(wǎng)絡系統(tǒng)中受到危害之前攔截和響應入侵。雖然入侵檢測技術(shù)的算法多樣化,但兩類入侵檢測技術(shù)界限還是比較模糊的,隨著科技發(fā)展,兩類技術(shù)漸漸的朝綜合趨勢發(fā)展。而且它也不是一個完整的網(wǎng)絡解決方案,應該與其它安全部件實現(xiàn)聯(lián)動,進