分布式入侵检测系统设计与实现毕业论文.doc
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《分布式入侵检测系统设计与实现毕业论文.doc》由会员分享,可在线阅读,更多相关《分布式入侵检测系统设计与实现毕业论文.doc(70页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、1/70分布式入侵监测系统设计与实现分布式入侵监测系统设计与实现摘摘要要随着黑客入侵事件的日益猖獗,人们发现只从防御的角度构造安全系统是不够的。入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术。他对计算机和网络资源上的恶意使用行为进行识别和响应,它不仅检测来自外部的入侵行为,同时也监督部用户的未授权活动。本文提出一种基于部件的入侵检测系统,具有良好的分布性能和可扩展性。他将基于网络和基于主机的入侵检测系统有机地结合在一起,提供集成化的检测、报告和响应功能。在网络引擎的实现上,使用了协议分析和模式匹配相结合的方法,有效减小目标的匹配围,提高了检测速度。同时改进了匹
2、配算法,使得网络引擎具有更好的实时性能。在主机代理中的网络接口检测功能,有效地解决了未来交换式网络中入侵检测系统无法检测的致命弱点。关键字关键字 入侵检测;模式匹配AbstractAbstractWith more and more site intruded by hackers,security expert foundthan only use crypt technology to build a security system is notenough.The Intrusion Detection is a new security technology,apart from tr
3、adition security protect technology,such as firewalland data crypt.IDSs watch the computer and network traffic forintrusive and suspicious activities.they not only detect theintrusion from the Extranet hacker,but also the intranet users.We design a component-based Intrusion Detection System,which ha
4、sgood distribute and scalable ability.It combine the network-basedIDS and host-based IDS into a system,and provide detection,reportand respone together.In the implement of the network engine,the combination of network2/70protocol analyze and pattern match technology is used,and reducescope to search
5、.We also improved pattern match algorithm,thenetwork engine can search intrusion signal more quickly.We usenetwork interface detection in host agent,which will enable theIDS work on switch network fine.KeyworKeyword dIDS;pattern match毕业设计(论文)原创性声明和使用授权说明毕业设计(论文)原创性声明和使用授权说明原创性声明原创性声明本人重承诺:所呈交的毕业设计(论
6、文),是我个人在指导教师的指导下进行的研究工作与取得的成果。尽我所知,除文中特别加以标注和致的地方外,不包含其他人或组织已经发表或公布过的研究成果,也不包含我为获得与其它教育机构的学位或学历而使用过的材料。对本研究提供过帮助和做出过贡献的个人或集体,均已在文中作了明确的说明并表示了意。作 者签 名:日期:指导教师签名:日期:使用授权说明使用授权说明本人完全了解大学关于收集、保存、使用毕业设计(论文)3/70的规定,即:按照学校要求提交毕业设计(论文)的印刷本和电子版本;学校有权保存毕业设计(论文)的印刷本和电子版,并提供目录检索与阅览服务;学校可以采用影印、缩印、数字化或其它复制手段保存论文;
7、在不以赢利为目的前提下,学校可以公布论文的部分或全部容。作者签名:日期:学位论文原创性声明学位论文原创性声明本人重声明:所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。除了文中特别加以标注引用的容外,本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。作者签名:日期:年月日4/70学位论文使用授权书学位论文使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学校保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授权大学可以将本
8、学位论文的全部或部分容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。涉密论文按学校规定处理。作者签名:日期:年月日导师签名:日期:年月日目目录录引言 1第一章入侵检测系统概述 11.1 TCSEC 难以适应新的网络环境 21.2 P2DR:动态安全模型 41.3 入侵检测系统 51.3.1 入侵检测系统的分类 51.3.2 入侵检测系统的发展趋势 81.4 CIDF 模型 11第二章分布式入侵检测系统 112.1 现有入侵检测系统的不足 112.2 主要功能要求 125/702.3 系统概述 132.4 系统部署 15第三章网络引擎和主机代理 193.1 网络
9、引擎的设计 193.1.1 检测匹配方法的改进 193.1.2 网络引擎设计 213.2 主机代理 243.2.1 数据来源 253.2.2 代理结构 26第四章存储系统和分析系统 284.1 存储系统 284.1.1 数据载入 284.1.2 数据缩减 294.1.3 推与拉技术 304.2 分析系统 314.2.1 基于行为的检测 314.2.2 基于知识的检测 33第五章控制台与响应系统 365.1 控制台 365.1.1 事件管理 365.1.2 安全管理 375.1.3 报告生成 375.1.4 部件管理 375.1.5 误报警管理 385.2 响应系统 385.2.1 常用响应技术
10、 39第六章系统自身的安全 416.1 对付攻击 426.2 安全通信 44第七章网络引擎实现 507.1 检测规则 517.1.1 规则格式 517.1.2 规则选项 537.2 匹配算法 58结束语 60致错误!未定义书签。错误!未定义书签。6/70参考文献 611/70引言引言在计算机安全的发展中,系统安全模型在逐步的实践中发生变化。由一开始的静态的系统安全模型逐渐过渡到动态的安全模型,如 PDR2 模型。PDR2 表示 Protection、Detection、Recovery 和 Response,即保护、检测、恢复和响应。检测已经是系统安全模型中非常重要的一部分。入侵检测作为一种积
11、极主动地安全防护技术,提供了对部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出。在国,随着上网的关键部门、关键业务越来越多,迫切需要具有自主的入侵检测产品。但现状是入侵检测还不够成熟,处于发展阶段,或者是防火墙中集成较为初级的入侵检测模块。可见,入侵检测技术应该进行进一步的研究。本课题是网络安全实验室自拟课题“网络数据分析”的一部分。我们的目标是设计一个分布式的入侵检测系统,它具有可扩展性、跨平台性、安全性和开放性,并实现了其中的网络引擎部分。目前入侵
12、检测品主要厂商有ISS公司(RealSecure)、Axent公司(ITA、ESM),以与 NAI(CyberCop Monitor)。他们都在入侵检测技术上有多年的研究。其中 ISS 公司的 RealSecured 的智能攻击识别技术是当前 IDS系统中最为先进的。入侵检测系统在未来的网络安全和军事斗争中将起到非常重要的作用。在经济领域中它可以与时发现、阻拦入侵行为,保护保护企业来自不满员工、黑客和竞争对手威胁,保证企业信息信息平台的正常运转。入侵检测系统作为一种商品也具有非常大的市场和效益。第一章第一章 入侵检测系统概述入侵检测系统概述信息系统的安全问题是一个十分复杂的问题,可以说信息系统
13、有多复杂,信息系统安全问题就有多复杂;信息系统有什么样的特性,信息2/70系统安全就同样具有类似的特性。信息安全是一种很难量化的概念,我们可以把信息系统的“性能”与“安全”做一个简单的对比。针对网络吞吐量、主机的运算速度、数据库的 TPC 指标等这类性能问题,用户可以根据自己的业务要求、资金条件等方面考虑取舍。系统性能的高低在一定程度上可以通过量化指标来表现。换句话说,系统性能的提高,用户虽然摸不到,但却是可以看到的。而“安全”是一个非常难于量化的指标,真正是一个看不见摸不着的东西。因此安全问题很容易表面上受到重视,而实际上没有真正得到重视。“什么事情也没有”实际上就是安全的最高境界。但是,“
14、什么事情也没有”也正是导致忽视安全问题的原因所在。实际上,安全就是防潜在的危机。1.11.1 TCSECTCSEC 难以适应新的网络环境难以适应新的网络环境在信息安全的发展史上有一个里程碑,这就是 1985 年美国国防部(DoD)国家计算机安全中心(NCSC)发布的可信计算机安全评估准则(TCSEC)1。这个准则的发布对操作系统、数据库等方面的安全发展起到了很大的推动作用。但是随着网络的深入发展,这个标准已经不能完全适应当前的技术需要,因为这个主要基于 HostTerminal 环境的静态安全模型和标准无法完全反应分布式、动态变化、发展迅速的 Internet 安全问题。传统的信息安全技术都集
15、中在系统自身的加固和防护上。比如,采用 B 级操作系统和数据库、在网络出口配置防火墙、在信息传输和存储中采用加密技术、使用集中的身份认证产品等。然而,单纯的防护技术有许多方面的问题:首先,单纯的防护技术容易导致系统的盲目建设,这种盲目包括两方面:一方面是不了解安全威胁的严峻和当前的安全现状;另一方面是安全投入过大而又没有真正抓住安全的关键环节,导致不必要的浪费。举例来说,一个水库的大坝到底应当修多高?大坝有没有漏洞?修好的大坝现在是否处在危险的状态?实际上,我们需要相应的检测机制,例如,利用工程探伤技术检查大坝的质量是否符合要求、观察当前的水位是否超出了警戒水位。这样的检测机制对保证大坝的安全
16、至关重要。当发现问题之后就需要迅速做出响应,比如,立即修补大坝的漏洞并进行加固;如果到达警戒水位,大坝就需要有人 24 小时监守,还可能3/70需要泄洪。这些措施实际上就是一些紧急应对和响应措施。其次,防火墙策略对于防黑客有其明显的局限性4。防火墙技术是部网最重要的安全技术之一,其主要功能就是控制对受保护网络的非法访问,它通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽部网的拓扑结构,另一方面对屏蔽外部危险站点,用以防外对、对外的非法访问。但也有其明显的局限性,诸如:.防火墙难于防。防火墙的安全控制只能作用于外对或对外,即:对外可屏蔽部网的拓扑结构,封锁外部网上的用户连接部网上的重要站点
17、或某些端口,对可屏蔽外部危险站点,但它很难解决部网控制部人员的安全问题。即防外不防。而据权威部门统计结果表明,网络上的安全攻击事件有 70%以上来自部攻击。.防火墙难于管理和配置,易造成安全漏洞。防火墙的管理与配置相当复杂,要想成功的维护防火墙,要求防火墙管理员对网络安全攻击的手段与其与系统配置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管理。一般来说,由多个系统(路由器、过滤器、代理服务器、网关、堡垒主机)组成的防火墙,管理上有所疏忽是在所难免的。根据美国财经杂志统计资料表明,30%的入侵发生在有防火墙的情况下。.防火墙的安全控制主要是基于 IP 地址的,难于为用户在防火墙外提供一致
18、的安全策略。许多防火墙对用户的安全控制主要是基于用户所用机器的 IP 地址而不是用户身份,这样就很难为同一用户在防火墙外提供一致的安全控制策略,限制了企业网的物理围。.防火墙只实现了粗粒度的访问控制。防火墙只实现了粗粒度的访问控制,且不能与企业部使用的其它安全机制(如访问控制)集成使用,这样,企业就必须为部的身份验证和访问控制管理维护单独的数据库。再次,保证信息系统安全的经典手段是“存取控制”或“访问控制”,这种手段在经典的以与现代的安全理论中都是实行系统安全策略的最重要的手段。但迄今为止,软件工程技术还没有达到 A2 级所要求的形式生成或证明一个系统的安全体系的程度,所以不可能百分之百地保证
19、任何一个系统(尤其是底层系统)中不存在安全漏洞。而且,无论在理论上还是在实践中,试图彻底填补一个系统的安全漏洞都是不可能的,也还没有一种切实可行的办法解决合法用户在通过“身份鉴别”或“身份认证”后滥用特权的问题。4/701.21.2 P2DRP2DR:动态安全模型动态安全模型针对日益严重的网络安全问题和越来越突出的安全需求,“可适应网络安全模型”和“动态安全模型”应运而生5。图 11 P2DR 模型P2DR 模型包含 4 个主要部分:Policy(安全策略)Protection(防护)Detection(检测)Response(响应)P2DR 模型是在整体的安全策略(Policy)的控制和指导
20、下,在综合运用防护工具(Protection,如防火墙、操作系统身份认证、加密等手段)的同时,利用检测工具(Detection,如漏洞评估、入侵检测等系统)了解和评估系统的安全状态,通过适当的响应(Response)将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环。5/701.31.3 入侵检测系统入侵检测系统入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员可以较有效地监
21、视、审计、评估自己的系统。由于入侵检测和响应密切相关,而且现在没有独立的响应系统,所以决大多数的入侵检测系统都具有响应功能。1.3.11.3.1 入侵检测系统的分类入侵检测系统的分类按获得原始数据的方法可以将入侵检测系统分为基于网络的入侵检测和基于主机的入侵检测系统。1基于主机的入侵检测系统基于主机的入侵检测出现在 80 年代初期,那时网络还没有今天这样普遍、复杂,且网络之间也没有完全连通。在这一较为简单的环境里,检查可疑行为的检验记录是很常见的操作。由于入侵在当时是相当少见的,在对攻击的事后分析就可以防止今后的攻击。现在的基于主机的入侵检测系统保留了一种有力的工具,以理解以前的攻击形式,并选
22、择合适的方法去抵御未来的攻击。基于主机的 IDS仍使用验证记录,但自动化程度大大提高,并发展了精密的可迅速做出响应的检测技术。通常,基于主机的 IDS 可监测系统、事件和 Window NT下的安全记录以与 UNIX 环境下的系统记录。当有文件发生变化时,IDS将新的记录条目与攻击标记相比较,看它们是否匹配。如果匹配,系统就会向管理员报警并向别的目标报告,以采取措施。基于主机的 IDS 在发展过程中融入了其它技术。对关键系统文件和可执行文件的入侵检测的一个常用方法,是通过定期检查校验和来进行的,以便发现意外的变化。反应的快慢与轮询间隔的频率有直接的关系。最后,许多产品都是监听端口的活动,并在特
23、定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。尽管基于主机的入侵检查系统不如基于网络的入侵检查系统快捷,6/70但它确实具有基于网络的系统无法比拟的优点。这些优点包括:性能价格比高在主机数量较少的情况下,这种方法的性能价格比可能更高。尽管基于网络的入侵检测系统能很容易地提供广泛覆盖,但其价格通常是昂贵的。配置一个入侵监测系统要花费$10,000 以上,而基于主机的入侵检测系统对于单独代理标价仅几百美元,并且客户只需很少的费用用于最初的安装。更加细腻这种方法可以很容易地监测一些活动,如对敏感文件、目录、程序或端口的存取,而这些活动很难在基于网络
24、的系统中被发现。基于主机的 IDS 监视用户和文件访问活动,包括文件访问、改变文件权限、试图建立新的可执行文件并且或者试图访问特许服务。例如,基于主机的 IDS 可以监督所有用户登录与退出登录的情况,以与每位用户在联接.到网络以后的行为。基于网络的系统要做到这个程度是非常困难的。基于主机技术还可监视通常只有管理员才能实施的非正常行为。操作系统记录了任何有关用户的添加、删除、更改的情况。一旦发生了更改,基于主机的 IDS 就能检测到这种不适当的更改。基于主机的 IDS 还可审计能影响系统记录的校验措施的改变。最后,基于主机的系统可以监视关键系统文件和可执行文件的更改。系统能够检测到那些欲重写关键
25、系统文件或者安装特洛伊木马或后门的尝试并将它们中断。而基于网络的系统有时会检测不到这些行为。视野集中一旦入侵者得到了一个主机的用户名和口令,基于主机的代理是最有可能区分正常的活动和非法的活动的。易于用户剪裁 每一个主机有其自己的代理,当然用户剪裁更方便了。较少的主机基于主机的方法有时不需要增加专门的硬件平台。基于主机的入侵检测系统存在于现有的网络结构之中,包括文件服务器、Web 服务器与其它共享资源。这些使得基于主机的系统效率很高。因为它们不需要在网络上另外安装登记、维护与管理的硬件设备。对网络流量不敏感 用代理的方式一般不会因为网络流量的增加而丢掉对网络行为的监视。适用于被加密的以与切换的环
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 分布式 入侵 检测 系统 设计 实现 毕业论文
![提示](https://www.taowenge.com/images/bang_tan.gif)
限制150内