毕业论文(设计)
论文题目:
IDS入侵系统的分析与设计
学生姓名: 学 号: 所在院系: 专业名称: 届 次: 指导教师:
刘荣荣 0908210124 计算机与信息工程系 计算机科学与技术
2014 届 陈茅
IDS入侵系统的分析与设计
目 录
摘要 ...................................................................... 1 前言 ...................................................................... 3 第1章 入侵检测技术的介绍 ................................................ 4
1.1 入侵检测基本模式的确立 ............................................ 4 1.2 入侵检测的相关概念 ................................................ 5 第2章 入侵与网络安全 ..................................................... 6
2.1网络安全问题的产生 ................................................ 6 2.2入侵技术的发展趋势及入侵的步骤 .................................... 8 2.4网络安全产品 ...................................................... 8 第3章 防火墙技术 ......................................................... 9
3.1防火墙的概述 ...................................................... 9 3.2防火墙的体系结构 ................................................. 10 第4章 入侵检测的方法 .................................................... 12 4.1基于主机的入侵检测技术 ........................................... 12 4.2基于网络的入侵检测技术 .......................................... 14 第5章 IDS的应用与发展 .................................................. 16
5.1 SNORT--免费的IDS ................................................ 16 5.2 对提高检测技能关键技术的分析 ..................................... 17 5.3 IDS的主要发展方向 ............................................... 18 参考文献 ................................................................. 19 致谢 .................................................................... 20
淮南师范学院2014届毕业论文
IDS入侵系统的分析与设计
学生:刘荣荣(指导老师:陈茅) (淮南师范学院计算机信息工程系)
摘要: 入侵检测技术的全称为intrusion detection system,简称“IDS”。目前,入
侵检测系统是一个全面的系统安全体系结构的组成部分,已经被企业或机构广泛采用,然而IDS技术产品化的时间相对来说并不长,多数企业或机构缺乏在这方面有经验的技术人员。若无法完全防止入侵,那么只能希望如果系统受到了攻击,则能够尽快,最好实时检测出入侵,从而可以采取相应措施来对应入侵,这就是IDS的任务所在。入侵检测是防火墙之后的第二道阀门,对安全保护措施采取的是一种积极的主动的防御策略,在不影响性能的情况下,能够对网络进行检测,从而提供内部攻击,外部攻击以及误操作的实时保护。
关键词:网络安全;入侵检测;防火墙
Analysis and design of IDS intrusion system
Student:LiuRongrong(Faculty Adviser:ChenMao)
(Huainan Normal University Department of computer and Information Engineering) Abstract: Intrusion detection technology is called intrusion detection system, referred to as \"IDS\". At present, the intrusion detection system as part of an overall system security architecture, has been widely used by enterprises or institutions, but the IDS technology products of the time is not long, the majority of enterprises or institutions lack of technical personnel with experience in this area. If you are unable to completely prevent intrusion, so can only hope that if the system is under attack, as soon as possible, the best real time detect intrusion, and take corresponding measures to the corresponding intrusion, this is IDS's mission. Intrusion detection is
IDS入侵系统的分析与设计
second valves firewall, take on the safety protection measures is a kind of active defense strategy, without affecting performance, can detect the network, which provides real-time protection internal attack, exterior attack and misoperation.
Keywords: Network security;intrusion detection;firewall
2
淮南师范学院2014届毕业论文
前言
计算机和互联网技术正改变着人类社会的面貌,伴随着电子商务,电子政务的全面铺开,信息安全行业将面临的是一场前所未有的机遇和挑战。由于信息网络的开放性和复杂性,安全保障的各种状态都在一种不稳定的快速变化的过程中。安全保障的各个环节,如风险评估,事件发现,系统恢复与生存等,都需要有足够的动态适应能力,以便适应各种变化的状况。然而,如何去达到这个要求也面临着的技术挑战。作为整体的安全保护机制的重要环节,入侵检测技术本身也在不断地进步和发展。本论文主要分为三大部分,第一部分介绍了入侵检测系统的发展史,基本概念等基础知识点;第二部分主要介绍了入侵检测系统的常用信息来源,如何利用防火墙技术进行检测;第三部分主要是讨论与入侵检测技术相关的其他问题。
IDS入侵系统的分析与设计
第1章 入侵检测技术的简介
1.1 入侵检测基本模型的建立
1987年Dorothy Denning发表了入侵检测领域中的论文《入侵检测模式》,文中对入侵检测问题做出了深入的讨论,对入侵检测系统建立了的基本模式,并且提出几种检测方法。这篇文献是入侵检测领域的正式的研究工作的起点,也被认定为入侵检测研究领域内的开创性的成果。
在该模型中,事件产生器可以根据应用环境而有所不同,一般通过自审计记录,网络数据以及其他的可视行为,这些事件是构成入侵检测系统的基础。如果有统计变量的值达到了某种异常程度,那么行为特征表就会产生异常记录,从而采取一定的措施。规则模块可以分为系统安全策略和入侵模式。它不仅可以为判断是否入侵提供参考机制,还可以根据事件记录、异常记录以及有效日期等控制进行更新其它模块的状态。在实现应用上,规则的选择和更新很类似,行为特征模块是执行基于行为的检测,但规则模块执行的是基于知识的检测。
Denning提出的入侵检测的基本模型,它的意义主要是一般化的模型定义,对具体实现技术没有过高的要求。基本模型的各个部件可以根据系统的实际需求来设计,还可以细化和进一步的扩展。 1.2 入侵检测的相关概念 1.2.1什么是入侵检测
在1997年美国通信委员会其下属的入侵检测小组给出了关于”入侵检测”的概念: 入侵检测是企图对入侵,正在进行的入侵或已经发生入侵进行识别的过程.
入侵检测是通过从计算机网络或计算机系统若干关键点进行信息搜索从而对其进行分析,从中发现是否有遭到袭击的迹象和违反安全策略的行为,并对其做出相应反应的安全技术.
4
淮南师范学院2014届毕业论文
1.2.2 为什么要引进IDS
由于现阶段入侵越来越容易,有关入侵的教程也随处可见,各种有关入侵的工具唾手可得。而防火墙却不能保证网络的绝对安全,网络边界的设备自身能够被攻破,其对一些较强的攻击很难保护的完善。当然并不是所有的威胁都是来自防火墙的外部,可以这么理解,防火墙可以看做是锁,而入侵检测系统就是监控设备。
IDS的主要任务是检测来自内部的各种攻击事件以及越权访问,有85%以上的攻击事件都源于内部攻击,而防火墙只能预防外部攻击,对内部攻击很难防范。所以IDS对于防火墙系统来说是一个非常有效的补充,能够防火墙所开放的服务入侵进行有效的防范。
1.2.3 入侵检测技术的分类
(1) 基于主机的IDS
基于主机的IDS入侵检测系统的原理是根据系统日志监视操作系统和主机的审计数据或潜在的入侵。其一般运行于重要工作站,系统服务器或用户机器上,并要求与服务或操作系统内核紧密相连,来监视各种系统事件。这种系统主要依赖于审计数据或系统日志的完整性和准确性,并且需要把安全策略转换为入侵检测的规则。
基于主机的入侵检测系统,从它的优缺点分析:
优点:①性价比高;②审计内容比较全面,细腻;③视野集中;④适用于交换环境和加密
缺点:①产生安全问题;②对主机的依赖性强;③主机数过多,代价大;④对网络上的情况难以监控
(2)基于网络的IDS
基于网络的IDS利用工作于混析的数据源,并通过捕捉网络上的数据包,可以检测到网段上所发生的入侵。通常基于网络的入侵检测系统可以有四种技巧去识别攻击:
1)穿越阀值或频率 2)表达式,模式或字节匹配 3)统计学上非常规现象的检测 4)相关的低级事件 5)分布式IDS
基于网络的入侵检测系统,从它的优缺点分析:
IDS入侵系统的分析与设计
优点:①检测的范围比较广泛;②不需要对主机性能和配置改变;③操作系统和性没有关联;④安装方便
缺点:①对不同网段的网络包不能检测;②对复杂的计算量大的攻击难以检测;③协同的工作能力差;④不容易对加密的会话进行处理 1.2.4 IDS的构件
响应单元 输出:反应或事件 输出:高级中断事件 输出:事件的存储信息 事件分析器 事件数据库 输出:原始或低级事件 事件产生器 输入:原始事件源
1.响应单元(Response units)
响应单元是对分析结果能够作出反应的单元,它能够改变文件属性、切断连接等很强的反应,而且能对攻击者发动反击,或只做简单的报警。 2.事件分析器(Event analyzers)
事件分析器是将分析后所得到的数据,在对其的产生进行结果的分析。 3.事件产生器(Event generators)
事件产生器主要是从整个计算中获取事件,并且向系统的别的部件提供这个事件。 4.事件数据库(Event databases)
事件数据库主要将存放在各种中间以及最终数据地方的总称,它既可以是复杂的数据库,也能够是简单的文本文件。
6
淮南师范学院2014届毕业论文
第2章 入侵与网络安全
2.1网络安全问题的产生
由于互联网络的分散性和开放性的特点似的人类信息资源得以开放共享,并且可以快速灵活的应用,满足人类的需求,并为人类社会的进步有巨大的推动作用。但是在互联网给人类带来各种方便的同时,也带来了一系列的安全问题;
1)容易造成信息泄露,污染,以及对信息的难以控制。比如:未经授权的资源遭到侵用,信息未授权就被泄露出去等,这些在信息技术方面都是难点之一。
2)网络的应用非常的广泛,造成管理问题的分散。
3)随着社会信息化的高度发展,社会的核心系统也可能面临着恶意的破坏和攻击,从而造成系统瘫痪。包括网站,国防通信和金融系统等。 2.1.1网络攻击的工作流程 ①目标探测和信息收集 ②自身隐藏
③利用漏洞侵入主机 ④稳固和扩大战果 ⑤清除日志
网络入侵的主要步骤可以从下图反映: 2.1.2网络攻击的分类以及防范措施 黑客对网络有各种各样的攻击,攻击通常一般是利用操作系统、同性协议等安全漏
选攻 扫描 利用漏洞、通过输入区向CGI发送特殊的命令从而发现突破口。 获得普通 用户权限 擦除入 侵痕迹 安装后门 新建帐号 攻击其它 主机 获取或 修改信息 从事其它 用户权限 非法活动 击目网络 标 获取超级 IDS入侵系统的分析与设计
洞来进行的。目前对网络攻击的方法还没有统一的方法和运行方式。从广泛的角度看,可以吧网络攻击划分为被动攻击和主动攻击。
主动攻击主要是攻击者对他所需要的行为进行访问。例如通过伪造没有用的IP地址来连接服务器,使系统接受到无效的IP地址而浪费时间来连接错误地址。攻击者主要是去做一些对目标系统不利的事情。因此,若需要去找到他们就会比较容易些。主动攻击主要攻击方法有信息篡改、服务攻击、欺骗、资源滥用等。
被动攻击主要是进行搜索信息,而不是对数据进行访问,对合法数据的用户通常不会得到察觉。被动攻击的方法主要包括信息搜索,嗅探等。
对于网络攻击,主要的防范措施主要包括以下几种: 1)嗅探
嗅探是通过偷看因特网上的数据包,从而去获得全部内容以及口令的。对网络的数据流检测主要是通过安装侦听器,用以获得口令和用户名。网络嗅探通过利用网络监听的工作模式,在该模式下主机能够接收物理通道所传输的信息,而对接收方和发送方是谁不用管。
2)扫描
扫描主要是在网上进行广泛的搜索,从而找出软件或计算机的弱点。 3)拒绝服务
拒绝服务攻击主要是通过向某个网络的站点进行反复的发送信息请求,黑客能够对该站点的系统进行有效的堵塞,从而使得网络上的服务项目无法完成相应的功能。
4)恶意程序
恶意的小程序又称为微型程序,能够对硬盘上的程序进行修改,窃取口令或是发送虚假的电子邮件。
2.2 攻击技术的发展趋势以及攻击的步骤
随着网络技术的不断发展和普及,入侵者的技术能力和相关的网络知识也在不断增强,并且出现了一些网络攻击工具化的趋向,这些都是网络安全问题所面临的巨大挑战。工具化的攻击让攻击者变得更容易,并在攻击系统后管理员所使用的套件。但是,如果这些工具程序能够用在正确的地方,同时也会成为增强网络安全的利器。
网络攻击的工作具有很强的系统性,它主要的工作流程是:首先是收集情报进行远程攻击,然后通过远程登录,得到普通用户的权限,再是取得超级用户的权限,最后是
8
淮南师范学院2014届毕业论文
留下后门,清除日志。
第1步:将自己的位置隐藏
普通攻击者通过利用他人的电脑来隐藏他们自己真正的IP地址。 第2步:分析目标主机并且去寻找
攻击者最先考虑的是要找到目标主机然后对目标主机进行分析。IP地址是在因特网上能够真正标识主机的,为了方便记住主机上的IP地址而给主机另取为域名,如果要找到目标主机就可以通过利用IP地址和域名。但是,如果想知道要攻击目标的具体位置,还需要将主机操作系统的类型和主机提供的服务的相关资料有更全面的掌握和了解。同时,攻击者也会通过利用扫描工具,很容易的去得知目标主机运行的是哪个版本的哪一种操作系统,系统的帐户主要有,WWW、Telnet、FTP、SMTP等等服务器程序是哪种资料,从而为入侵做好充足的准备工作。
第3步:获取帐号和密码,登录主机
要想入侵一台主机,首先必需要有该主机的一个帐号和密码,否则连登录都无法进行。因此,攻击者必须先设法盗窃帐户文件并进行破解,从中获取某用户的帐号和口令,然后寻找合适时机以此身份进入主机。当然,利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。
第4步:控制权的获得
攻击者通过利用Telnet、FTP等相关的工具,在使用系统漏洞进入到目标主机系统中得到控制权后,就会留下后门并且清除日志,并且会改变一些系统设置、远程操纵程序或在系统中放入特洛伊木马,方便日后在不被觉察地情况下再次地进入系统。大部分的后门程序都是预先进行编译好的,只需要对其进行修改权限和时间就能使用了,以及一些新文件和原文件的大小都一模一样。攻击者通常会利用rep传递来这些文件,为了是不会留下FTP记录。
第5步:对网络资源和的窃取
攻击者一旦攻击目标成功后,就会继续进行攻击。例如:实施窃取信用卡号、帐号密码;下载敏感信息;造成网络瘫痪等。 2.4 网络安全产品
1)物理隔离(解决方法:物理隔离网闸)
物理隔离的主要原理是根据两台不相连的计算机,利用软盘在其中的一台计算机复
IDS入侵系统的分析与设计
制数据到另一台计算机。它的哲学就是不安全就不会连网,从而保证绝对的安全性。
2)逻辑隔离(解决方法:防火墙)
由于防火墙在OSI七层模型上有着不同的工作原理,它主要通过功能,性能和安全来作为评价指标。事实上,这三个指标相互之间都是制约相互矛盾的。功能越多,安全性越好的防火墙,它的性能也会受到影响。
3)入侵检测与主动防卫(解决方法:入侵检测系统IDS)
在互联网迅速发展的今天,无疑存在着一个不可避免的缺点,就是容易被攻击。针对黑客的攻击,早期的方法是通过加强内部系统安全,网络安全以及应用安全,其中包括安全扫描。但是,扫描这种方式很容易被检测。所以引进了入侵检测和主动防卫,通过主动防卫和实施交互监测的手段。一般包括三个部分:采集信息,信息分析
4)虚拟专用网和加密通信(解决方法:虚拟专用网)
单位的移动办公,员工外出以及和伙伴之间,各单位机构之间利用互联网是必要的途径。因此在虚拟专用网和机密通信上有很大的市场需求。
10
淮南师范学院2014届毕业论文
第3章 IDS与防火墙技术
3.1 IDS与防火墙之间的比较
当一个网络连接到因特网上,它的用户可以与外界网络进行通信,同时,外界网络也可以访问到这个网络上,这就形成了信息交互。为了安全起见,用户可以在内部网络和外界网络之间竖起一道屏障作为中间系统,通过阻止外界网络对内部网络的入侵和威胁,对内部网络安全起到保护作用的这种屏障就叫做防火墙。防火墙是关于防措施一类的总称,它是一种有效的安全的网络模式,通过它将安全区域与风险区域进行隔离的链接,但并不妨碍人们访问风险区域。
入侵监测系统是位于防火墙之后能够对网络活动做出实时检测。在一些情况下,因为她能够记录或禁止一些网络活动,所以,入侵监测系统就是防火墙的延续。它们能后和防火墙以及路由器相互配合工作。
通过比较IDS和防火墙,分析他们的优点和局限性: 防火墙 优点 能够简化网络管理,产品比较成熟 局限性 无法对网络内部的攻击进行处理 IDS 能够网络安全状态进行实时监控 攻击缓慢,误警率高,新的攻击模式
IDS入侵系统的分析与设计
第4章 入侵检测的方法
4.1基于主机的入侵检测技术 4.1.1获取审计数据
获取审计数据是主机的入侵检测技术的基础,也是重要的信息来源,通过审计数据可以过去数量和质量,从而决定了主机的入侵检测工作的效果。审计数据可以从以下几个方面考虑:
①对审计数据来源和类型的确定
根据不同类型的目标主机和不同要求的检测技术,所收集审计数据的类型也不同。 首先从不同类型的目标主机分析,对不同的操作系统关于审计机制在设计上有差异,主机所获得的审计类型和活动范围也有所不同。例如,在UNIX操作系统中,它的操作系统在不同类型之间与WINDOWS的操作系统就存在很大差异。
其次是根据对入侵检测系统的不同需求和设计要求。例如,IDES在SUN UNIX系统环境下对审计数据的收集主要可以分为4个类型:文件访问,系统访问,资源消耗和进程创建命令的调用。
②对审计数据的预处理
对审计数据的预处理需要从它的格式入手,对于不同环境下审计记录格式也不尽相同,首先要对其进行格式转换,使其形成标准的记录格式后,可以方便的使用李彤在不同的平台系统间进行移植:同时也可以有利于后继对处理模块的检测工作。
标准审计记录格式关于IDES设计的实例
12
淮南师范学院2014届毕业论文
4.1.2 入侵检测所使用的统计模型
①操作模型
操作模型主要是对系统中发生事件进行计数来度量情况。一般的模型操作包含特定事件的技术值和它在某个时间的阙值得比较,若超过,则显示出发生了异常情况。此种模型也可以利用到滥用入侵检测技术和异常的入侵检测当中。
②标准偏差和均值模型
这种模型主要采用标准偏差和均值两个度量参数进行刻画的。在检测过程当中,若当前的用户行为已经超出了其所信任的范围内,那么就会表示为异常行为。
③多元模型
多元模型是对标准偏差和均值模型的进一步扩展,它主要思路是进行多个参数度量的相关分析,用以摆脱简单地依赖于单个度量从而判定当前系统状态的各种因素。
④马儿可夫的过程模型
马儿可夫过程模型是这四种模型中最复杂的模型。它根据审计数据记录当中说出现的不同类型事件来为随机变量去不同值,然后利用随机过程模型来检测入侵检测系统所输入的事件流。模型中表示不同的时间所出现的概率值是通过采用状态转移矩阵表示的,若当前所审计的事件可以以正常状态的转移矩阵计算的发生概率低于某个阙值,则表示为异常行为。
4.2基于网络的入侵检测技术
基于网络的入侵检测技术所使用的是用原始网络包当做数据源。通常在基于网络的入侵检测系统通过利用运行在随机模式下的网络适配器,来实时监测并通过分析网络的相关的全部通信业务。它攻击辨识的模块来识别攻击标志一般使用4种技术。这4种技术是表达式、模式或字节匹配,穿越阀值或频率,统计学上的非常规的现象检测和次要的事件相关性。
如果检测到攻击行为,IDS响应模块就会提供对中选项来报警、通知,并切对其攻击所采取相对应的反应。反应不尽相同,通常包括中断连接、通知管理员或为证据收集和法庭分析,用来做相关的会话记录。基于网络的IDS有许多仅靠基于主机的入侵检测法无法提供的功能。
IDS入侵系统的分析与设计
第5章 IDS应用与发展
5.1 Snort的简介
首先,Snort是一个免费的关于入侵检测系统的软件。它是一个根据Libpcap包制作出的关于网络监控的软件,并且也是一个对网络入侵非常有效的监测系统。Snort最先根据远端ip地址来建立目录,并将检测到的包用以Tpdump的二进制D的格式记录或是以他本身的解码形式来存储.因此我们可以使用snort来过滤或监测需要的包.
Snort由三个重要的子系统构成,分别是: 数据包解码器、检测引擎和日志与报警系统。
安装Snort所必须的底层库有三个:
⑴Libpcap提供的接口函数主要实现和封装了与数据包截获有关的过程 ⑵Libnet提供的接口函数主要实现和封装了数据包的构造和发送过程
⑶NDIS packet capture Driver是为了方便用户在Windows环境下抓取和处理网络数据包而提供的驱动程序 Libpcap的命令行
Snort和大多数基于Libpcap的应用程序一样,可以使用标准BPF类型的过滤器。设置过滤器关键字分为以下几类:
属性类关键字:说明后面所跟值的意义,这样的关键字有host、net、port
方向类关键字:说明报文的流向,这样的关键字有:src、dst、src or dst、src and dst 协议类关键字:用来协议,这样的关键字有:ether、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcp、udp等
Snort入侵检测系统属于一个轻量级的,它可以对网络数据进行实时分析、报警并且对网络数据报文进行截取。它对报文截取的代码是根据libpcap库,继承了libpcap库平台的兼容性。Snort可以进行内容搜索/匹配,还可以进行协议分析,并且可以检测各种探测和攻击,如:扫描隐秘端口、缓冲区溢出、SMB探测、CGI攻击、检测OS指纹特征等等。Snort可以灵活的使用规则语言对网络数据报文进行描述,所以snort对新的攻击能够快速地进行翻译。Snort还具有实时报警的能力。能够将报警的信息写到指定的文件、UNIX套接字、syslog或使用WinPopup的消息。同时它的扩展能力也很强。snort支持插件体系,能够在它定义的接口,快速方便地加入一些新的功能。另外它可以对网络数据进行记录,tcpdump格式可以作为snort的日志文件,也可以是ASCII格式.
14
淮南师范学院2014届毕业论文
5.2 Snort的三种工作模式
1.嗅探器模式
嗅探器模式主要是从网络上来读取数据包并且连续的在终端上流显示。Snort通过用Libpcap库函数对数据进行采集,该库函数能为应用程序提供接口函数,用以从链路层捕获数据包的,并且能够捕获指定的数据通过设置数据包的过滤器。对网络数据整个网络入侵系统的检测的实现基础是析机制和采集,其中最主要的是要能够保证低丢包率和高速,这不仅要取决对软件的效率,同时也是对硬件的处理能力的要求。
2.数据包记录器
数据包记录器的模式主要是把数据包记录到对应的硬盘上。 3.网络入侵检测系统。
网络入侵检测是最复杂的模式,并且它是可配置的。我们能够让snort分析网络数据流用来匹配用户所定义的一些规则,而且还可以根据检测的结果来采取相应的动作。
入侵检测系统基于数据挖掘的模型 5.3 对提高检测性能的关键技术分析
Snort系统当中最主要的模块就是检测引擎,它设计的好坏系统的性能有着直接的影响。因此可以通过以下几个方面对Snort的检测性能进行提高:
(1)对模式匹配算法的改进
攻击检测在模式匹配上有着大部分工作量。对模式匹配效率的提高是检测速度的提高的关键,它能系统的性能有着直接的影响。目前,已经有很多对模式匹配速度的提高研究,并且高效的匹配算法也提出了许多。
IDS入侵系统的分析与设计
(2)规则优化。
也就是对Snort规则集进行相应的优化,使其能够对数据包进行检测的同时,在集中进行检测时能迅速的定位到范围小的规则。
(3)检测的网络流量需要减少。
入侵检测技术在发展的同时,它的技术也在不断更新,许多黑客组织研究重点是攻击IDS系统或绕过IDS。对于高速网络,特别是交换技术的发展和数据通信,让网络数据采集方法通过共享网段侦听有很多不足之处,对通信量的数据分析也有了新的要求。对一个国家的国民经济和社会生产,信息系统有着越来越重要的影响,各个国家也越来越重视信息战,对网络的入侵技术以及信息战的防御.主要包含“检测”、“保护”和“响应”,其中入侵检测则不能缺少的部分就是它的“检测”和“响应”的环节。 5.4 IDS的主要发展方向:
1、入侵检测的应用层
对入侵检测应用层的理解,目前的IDS指能检测到的通用协议有web之类,却不能对H数据库系统、lotus Notes等其他的应用系统进行处理。许多基于服务器结构、客户以及中间件技术的大型应用,需入侵检测应用层
的保护。
2、入侵检测是智能的
随着研究领域在机器技术的学习发展下,入侵检测方法越来越综合化及多样化,入侵检测领域中应用到了许多新的方法,例如有神经网络、关联规则、贝叶斯网络、遗传算法、决策树等口制,但这些都是尝试性的研究工作,还要对智能化的IDS进行深一步的研究来解决它的自适应和自学习的能力。
3、评测入侵检测的方法
用户对IDS系统所进行的评价,它主要的评价指标有IDS的检测范围、系统的可靠性以及IDS系统资源的占用。从而设计出评估平台与方法以及通用的IDS测试,多种IDS系统检测的实现是当前IDS的重要发展领域和研究方向。
4、从集中式往分布式发展的体系结构
分布式入侵检测拥有的能力是检测分布式的攻击,它的关键技术是为检测信息的入侵攻击和协作处理提取全局信息。这样的体系结构具有抗攻击性、高适应性和可扩充性等优点,是目前IDS发展的主要方向。
16
淮南师范学院2014届毕业论文
5、入侵检测响应包括被动响应和主动响应。
许多IDS只能做被动报警。当检测有网络攻击时,入侵检测系统只会发出报警,报告管理员所发生的不正常的情况,但并没降低攻击所造成的破坏,也不会主动的对攻击者实施反击行动。,需要专人只对被动报警的入侵检测系统进行维护、管理以及事件分析,这也是IDS不能被广泛主要原因。为了解决这一问题有了主动响应。主动响应主要是在收集相关信息,并调整所被攻击的系统状态,阻止攻击或是减轻攻击所造成的影响,例如增加网络安全、网络连接的断开、阻止可疑进程等。总之,主动的安全防护技术入侵检测是一种积极的,对外部攻击、内部攻击以及误操作提供了实时保护,在网络系统遭到破坏之前响应和拦截入侵。
IDS入侵系统的分析与设计
参考文献:
[1] Anderson J P. Computer security threat monitoring and surveillance [2]Denning D E .An Intrusion-Detection Model
[3]Cliff A. Intrusion detecion system terminology,Part one:A-H. www.securityfocus.com [4] W. Lee ,S.J. Stolfo. A Framework for Buliding Intrusion Detection Systems, Proceedings
of the IEEE Symposium on Security and Privacy,1999:120 –132 [5] 唐洪英,付国瑜,入侵检测的原理与方法[J],重庆工学院学报 [6]黑客攻防技术内幕.张兴虎.清华大学出版社,2002.12. [7]黑客攻防技术与实践.李建华.机械工程出版社.2009.4
[8]Jack Koziol.Snort入侵检测实用解决方案[M]重庆。重庆大学出版社.2000. [9]王绍斌,王召顺。信息系统攻击与防御[M].北京:电子工业出版社,2007 [10]入侵检测技术.唐正军.李建华.清华大学出版社.2004.4 [11]WINDOWS网络程序设计.袁明德.北京.清华大学出版社.2003.5 [12]Marcus Concalves防火墙技术指南,机械工程出版社.宋书展.2005 [13]网络安全与管理[M].姜文红.北京.清华大学出版社出版。2007.
[14]Cathy Cronkhite Jack McCullough.人民邮电出版社.纪新元.谭保东译.拒绝恶意
访问.2002.6.
[15]基于SNORT的入侵榆测系统研究与改进.魏葆雅.吴顺祥.科技信息.2009
[16] 张杰,戴英侠,入侵检测系统技术现状及其发展趋势[J],计算机与通信,2002.6:
28-32
[17] 曾昭苏,王锋波,基于数据开采技术的入侵检测系统[J],自动化博览
18
淮南师范学院2014届毕业论文
致谢
在学士毕业论文完成之际,谨向关心帮助我的指导老师陈茅老师表示深深的谢意!从开始选题到开题报告到最后顺利完成论文,有老师和同学们都给予了我无私的帮助并传授丰富的专业知识。陈老师对待工作认真负责和他那一丝不苟的作风,不仅教授我学习,而且也教我做人的道理。陈老师的认真负责的给予了我深刻细致的指导,并帮助我开拓学习思路、热心的鼓励。在此,真诚的谢谢您陈老师。于此我还要感谢在百忙之中抽出时间审稿和参加论文答辩的老师们,感谢对我的意见与建议,这样我可以更快意识到自己的不足,并加以改正。
五年年一瞬即逝,感谢淮南师范给予我五年学习、成长创造了一个良好环境,利用学习资源,来发展、充实自我。同时感谢09计科2班的同学五年中让我感受到亲切热情的氛围。在生活娱乐中给予无私帮助。还要感谢培养我长大的父母,谢谢你们!
最后,再次对关心、帮助我的老师和同学致以衷心的感谢!
因篇幅问题不能全部显示,请点此查看更多更全内容