入侵檢測(cè)系統(tǒng)模型的設(shè)計(jì)與實(shí)踐

1、入侵檢測(cè)系統(tǒng)模型的設(shè)計(jì)與理論【文章摘要】該課題闡述了網(wǎng)絡(luò)平安的必要性，設(shè)計(jì)并實(shí)現(xiàn)了入侵檢測(cè)系統(tǒng)模型。入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)可以對(duì)網(wǎng)絡(luò)平安進(jìn)展檢測(cè)，及時(shí)發(fā)現(xiàn)入侵行為并發(fā)出警報(bào)，采取有效措施進(jìn)展處理。該課題闡述了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的組成模塊及入侵信息檢測(cè)技術(shù)，設(shè)計(jì)并實(shí)現(xiàn)了入侵檢測(cè)系統(tǒng)模型?！娟P(guān)鍵詞】入侵檢測(cè)系統(tǒng)；網(wǎng)絡(luò)；網(wǎng)絡(luò)監(jiān)測(cè)1 入侵及入侵檢測(cè)的定義1.1入侵定義入侵定義：在未經(jīng)授權(quán)的情況下，通過(guò)網(wǎng)絡(luò)蓄意訪問(wèn)信息、篡改信息等不良行為使資源的完好性、可用性、機(jī)密性遭到破壞。入侵檢測(cè)：入侵檢測(cè)是針對(duì)入侵行為的一種檢測(cè)手段。入侵檢測(cè)主要是針對(duì)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)中的某些關(guān)鍵點(diǎn)而言的，通過(guò)搜集并分析所獲得的信息來(lái)判

2、斷是否存在非法入侵現(xiàn)象。入侵檢測(cè)系統(tǒng)可以有效地發(fā)現(xiàn)對(duì)信息系統(tǒng)的惡意攻擊、試圖篡改信息等非法行為，并采取措施阻止這種非法攻擊，有效地防止惡意攻擊的發(fā)生和擴(kuò)大。2 網(wǎng)絡(luò)平安開(kāi)展現(xiàn)狀隨著網(wǎng)絡(luò)技術(shù)的開(kāi)展，它早已浸透到生活、軍事、政治等多種領(lǐng)域。Internet的開(kāi)放性、跨國(guó)性給人們帶來(lái)便利的同時(shí)，也存在很大的平安隱患。網(wǎng)絡(luò)平安對(duì)銀行、軍事等重要環(huán)節(jié)尤為重要。ISO對(duì)計(jì)算機(jī)系統(tǒng)平安做了如下定義：保護(hù)計(jì)算機(jī)的軟、硬件及其數(shù)據(jù)，即使遭到偶然和蓄意攻擊時(shí)，系統(tǒng)也不會(huì)遭到破壞、泄露、更改，以此來(lái)確保網(wǎng)絡(luò)數(shù)據(jù)保密性、完好性?，F(xiàn)如今，常用的網(wǎng)絡(luò)平安技術(shù)包括：訪問(wèn)控制、防火墻、數(shù)據(jù)加密、VPN虛擬專(zhuān)用網(wǎng)等。其中防火墻

3、技術(shù)使用最為廣泛，計(jì)算機(jī)互聯(lián)網(wǎng)有三分之一受其保護(hù)，防火墻是Internet與內(nèi)部網(wǎng)絡(luò)之間的屏障，它起到過(guò)濾作用，只有合法的數(shù)據(jù)流才能通過(guò)防火墻，以此來(lái)確保系統(tǒng)的安權(quán)。網(wǎng)絡(luò)管理者通過(guò)監(jiān)管、控制網(wǎng)絡(luò)訪問(wèn)者來(lái)進(jìn)展網(wǎng)絡(luò)訪問(wèn)。針對(duì)用戶采用不同級(jí)別的系統(tǒng)訪問(wèn)權(quán)限，防治用戶訪問(wèn)非法信息、網(wǎng)站等，確保信息、資源的平安性。數(shù)據(jù)加密技術(shù)可以將需要保密的重要信息通過(guò)加密轉(zhuǎn)換成一些在外人看來(lái)沒(méi)有意義的數(shù)據(jù)，想要得到原始數(shù)據(jù)只能用密碼翻開(kāi)。VPN虛擬專(zhuān)用網(wǎng)是在兩個(gè)通信點(diǎn)之間建立通道，將加密的傳輸數(shù)據(jù)封裝在IP包中，數(shù)據(jù)不會(huì)被竊取盜用，適宜用于遠(yuǎn)程操作。3 組成入侵檢測(cè)系統(tǒng)的模塊一般的入侵檢測(cè)系統(tǒng)被分為以下幾大模塊：信息

4、采集模塊、入侵信息檢測(cè)引擎、用戶界面。有的系統(tǒng)可能還包括信息存儲(chǔ)、平安知識(shí)庫(kù)等模塊，平安知識(shí)庫(kù)可以進(jìn)步完善平安檢測(cè)，信息存儲(chǔ)可以使數(shù)據(jù)分析才能得到進(jìn)步。幾大功能模塊詳情如下：3.1信息采集模塊信息采集模塊搜集可能攜帶入侵行為的數(shù)據(jù)，確保系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)等信息的平安。數(shù)據(jù)的采集設(shè)備是不同網(wǎng)段的傳感器或者是不同主機(jī)的代理。過(guò)濾并預(yù)處理采集到的數(shù)據(jù)，并將數(shù)據(jù)送到入侵信息分析引擎，進(jìn)展下一步處理。3.2入侵信息檢測(cè)引擎將信息采集模塊采集到的數(shù)據(jù)送到入侵信息檢測(cè)引擎，計(jì)算機(jī)已經(jīng)預(yù)先設(shè)定了算法，調(diào)用這些算法對(duì)數(shù)據(jù)進(jìn)展分析，以此來(lái)判斷是否有非法入侵操作并且進(jìn)一步判斷入侵行為屬于何種類(lèi)別。當(dāng)引擎判斷有入侵操作

5、時(shí)就會(huì)產(chǎn)生一個(gè)警告信號(hào)并把信號(hào)傳送到用戶界面，網(wǎng)絡(luò)管理人員通過(guò)界面顯示的內(nèi)容做出下一步處理。3.3用戶界面模塊通過(guò)用戶界面可以清楚地看到入侵信息檢測(cè)引擎檢測(cè)到的入侵信號(hào)，方便管理員對(duì)入侵行為的排查、處理工作的開(kāi)展。4 入侵分析技術(shù)入侵信息分析引擎是入侵檢測(cè)系統(tǒng)的核心，該課題針對(duì)入侵信息分析引擎技術(shù)做了詳細(xì)的闡述。入侵信息引擎技術(shù)主要包括異常檢測(cè)、誤用檢測(cè)。4.1誤用檢測(cè)誤用檢測(cè)是將的非法攻擊的特征提取出來(lái)，并將這些特征搜集到特征數(shù)據(jù)庫(kù)進(jìn)展整合管理，當(dāng)檢測(cè)到的入侵形式與數(shù)據(jù)庫(kù)中存儲(chǔ)的非法入侵行為相匹配時(shí)，判斷系統(tǒng)出現(xiàn)非法入侵性行為。這種誤用檢測(cè)具有判斷正確率高、漏報(bào)率也高的特點(diǎn)，因?yàn)楹芏嗳肭中袨?/p>

6、難以建立入侵模型，無(wú)法收入到數(shù)據(jù)庫(kù)中，另外還有很多入侵是無(wú)法預(yù)估的，致使很多入侵行為無(wú)法囊括到數(shù)據(jù)庫(kù)中，所以誤用檢測(cè)漏報(bào)率較高。4.2異常檢測(cè)異常檢測(cè)是通過(guò)檢測(cè)用戶行為、資源的使用情況，以此來(lái)判斷是否有非法入侵行為的發(fā)生。異常檢測(cè)可以檢測(cè)到未曾出現(xiàn)過(guò)的非法入侵行為，但是這種檢測(cè)具有準(zhǔn)確率低的缺點(diǎn)，很有可能導(dǎo)致誤檢，因?yàn)檫@種不依賴詳細(xì)形式進(jìn)展判斷的檢測(cè)，針對(duì)改變頻繁的數(shù)據(jù)、資源、行為等，它沒(méi)有一個(gè)固定的界限劃分正常、非正常的范圍。入侵分析引擎通過(guò)采用誤用檢測(cè)、異能檢測(cè)相結(jié)合的方式評(píng)判是否發(fā)生入侵行為，另外針對(duì)數(shù)據(jù)不同類(lèi)型采取不同的檢測(cè)技術(shù)，用異能檢測(cè)技術(shù)來(lái)檢測(cè)系統(tǒng)日志，用誤用檢測(cè)技術(shù)檢測(cè)網(wǎng)絡(luò)的數(shù)

7、據(jù)包。5 入侵檢測(cè)系統(tǒng)的設(shè)計(jì)針對(duì)入侵檢測(cè)系統(tǒng)的的三大模塊進(jìn)展了詳細(xì)的設(shè)計(jì)：5.1信息采集根據(jù)數(shù)據(jù)的來(lái)源，信息采集模塊被分成網(wǎng)絡(luò)信息采集、調(diào)用系統(tǒng)采集、系統(tǒng)日志監(jiān)控三個(gè)模塊。網(wǎng)絡(luò)信息采集模塊可以采集網(wǎng)絡(luò)的IP通信數(shù)據(jù)。調(diào)用系統(tǒng)采集模塊用來(lái)采集系統(tǒng)調(diào)用的序列號(hào)。日志監(jiān)控系統(tǒng)可以實(shí)時(shí)監(jiān)控某些關(guān)鍵日志。5.2入侵信息分析引擎針對(duì)不同的數(shù)據(jù)源采取不同的方式分析處理，所以入侵信息分析系統(tǒng)設(shè)計(jì)了不同的數(shù)據(jù)分析引擎進(jìn)展數(shù)據(jù)的分析。入侵信息分析引擎可以被分成網(wǎng)絡(luò)信息分析引擎、系統(tǒng)調(diào)用分析引擎、用戶分析引擎。網(wǎng)絡(luò)信息分析引擎可以檢測(cè)系統(tǒng)是否發(fā)生非法攻擊，其中攻擊被分成分布式攻擊、探測(cè)攻擊、回絕效勞攻擊三種。系統(tǒng)調(diào)

8、用分析引擎分析針對(duì)的是系統(tǒng)的子程序，當(dāng)發(fā)現(xiàn)系統(tǒng)調(diào)用子程序時(shí)發(fā)生異常，判斷發(fā)生入侵行為。用戶界面分析引擎針對(duì)的是內(nèi)部，當(dāng)用戶出現(xiàn)越權(quán)行為時(shí)，用戶分析引擎對(duì)其進(jìn)展檢測(cè)。5.3入侵警告與用戶界面在入侵信息分析引擎判斷系統(tǒng)發(fā)生了入侵行為之后，就會(huì)向用戶界面發(fā)送一個(gè)預(yù)警信號(hào)，網(wǎng)絡(luò)管理員通過(guò)可視化的用戶界面即可方便快速的得到報(bào)警信號(hào)。在該課題設(shè)計(jì)的系統(tǒng)中將報(bào)警信號(hào)分為了幾個(gè)等級(jí)。一級(jí)紅色警報(bào)規(guī)定為入侵信息分析引擎肯定此時(shí)產(chǎn)生了非法入侵行為；二級(jí)黃色警報(bào)規(guī)定了入侵信息分析引擎判斷可能發(fā)生了入侵行為；另外出現(xiàn)一些輕度異?，F(xiàn)象，將檢測(cè)到的信息存入到入侵檢測(cè)系統(tǒng)的日志中，方便網(wǎng)絡(luò)管理員以后的檢查。一級(jí)、二級(jí)警報(bào)通過(guò)窗口完成，當(dāng)出現(xiàn)此種警報(bào)時(shí)會(huì)向管理員彈出對(duì)話窗，其內(nèi)容包括判斷結(jié)論和一些與入侵相關(guān)的信息，方便管理員的分析判斷