入侵检测技术分析与应用毕业论文论文.doc
《入侵检测技术分析与应用毕业论文论文.doc》由会员分享,可在线阅读,更多相关《入侵检测技术分析与应用毕业论文论文.doc(51页珍藏版)》请在三一办公上搜索。
1、入侵检测技术分析与应用学 校:昆明理工大学津桥学院 系 部:计算机科学与电子信息工程系专 业:计算机科学与技术 年 级:2007级 学生姓名:郭瑞希 学 号:200716021304 指导教师:咸丰茂 Analysis and Application of Intrusion Detection TechnologyUniversity: Oxbridge Kunming University of Science and Technology Department: Computer Science and Electronic Information EngineeringSpecialt
2、y: Computer Science and Technology Class: CS-074 Students Name: Guo Ruixi StudentsNumber:200716021304 Faculty Adviser: Xian Fengmao 目录摘要IAbstractII前言1第1章 绪论31.1 论文研究的背景31.2 入侵检测的历史41.3 入侵检测的未来及发展趋势51.3.1 分布式入侵检测技术与通用入侵检测架构61.3.2 应用层的入侵检测保护61.3.3 融合多种IDS进行检测61.3.4 智能化的全面检测6第2章 入侵检测技术的原理及应用82.1 入侵检测系统
3、的工作流程82.1.1 数据收集82.1.2 数据提取82.1.3 数据分析82.1.4 结果处理82.2 入侵检测技术的检测模型82.2.1 异常检测模型92.2.2 误用检测模型92.3 入侵检测系统的分类102.3.1 基于主机的入侵检测系统102.3.2 基于网络的入侵检测系统102.3.4 基于代理的入侵检测系统11第3章 入侵检测的功能和关键技术123.1 入侵检测的功能123.2 入侵检测的作用123.3 异常检测技术133.3.1统计学方法133.3.2入侵检测的软计算方法133.3.3基于专家系统的入侵检测方法133.4 误用检测技术143.4.1 基于专家系统的误用入侵检测
4、143.4.2 基于模型推理的误用入侵检测153.4.3 基于状态转换分析的误用入侵检测153.4.4 基于条件概率的误用入侵检测163.4.5 基于键盘监控的误用入侵检测16第4章 入侵检测技术的信息收集和分析174.1 入侵检测技术信息的收集174.2入侵检测技术信息的分析174.2.1 模式匹配184.2.2统计分析184.2.3 完整性分析18第5章 入侵检测技术的数据处理205.1 入侵检测技术处理的内容205.1.1 系统和网络日志文件205.1.2 目录和文件中的不期望的改变205.1.3 程序执行中的不期望行为205.1.4 物理形式的入侵信息215.2 入侵检查对数据的处理2
5、15.2.1入侵检测数据处理存在的问题215.2.2入侵检测数据处理的发展趋势22第6章 入侵检测技术的缺点和改进发展246.1 入侵检测技术所面临的问题246.2 入侵检测技术的改进发展246.2.1 改进方法提高准确率256.2.2 检测和防范分布式攻击与拒绝服务攻击266.2.3 实现IDS与其他安全部件的互动276.2.4 IDS的标准化工作276.2.5 IDS的测试和评估28结论29总结与体会30谢辞31参考文献32附录一33附录二38入侵检测技术的分析与应用摘要近年来随着计算机网络的迅速发展,网络安全问题越来越受到人们的重视。从网络安全角度来看,防火墙等防护技术只是被动安全防御技
6、术,只是尽量阻止攻击或延缓攻击,只会依照特,定的规则,允许或是限制传输的数据通过。在网络环境下不但攻击手段层出不穷,而且操作系统、安全系统也可能存在诸多未知的漏洞,这就需要引入主动防御技术对系统安全加以补充,目前主动防御技术主要就是入侵检测技术。本文从入侵检测技术的发展入手,研究、分析了入侵检测技术和入侵检测系统的原理、应用、信息收集和分析、数据的处理及其优缺点和未来的发展方向。关键词:网络安全,网络入侵,入侵检测技术,入侵检测系统Analysis and Application of Intrusion Detection TechnologyAbstractRecent years, wi
7、th the rapid development of computer networks, network security issues more and more attention. From the perspective of network security, firewall and other security protection technology is a passive defense technology, but as far as possible to prevent attacks or slow the attack, only under specia
8、l, set rules that allow or restrict the transmission of data through. In the network environment is not only endless means of attack, and the operating system, security system, there may be many unknown vulnerabilities, which requires the introduction of proactive technologies to be added to the sys
9、tem security, the current is mainly proactive intrusion detection technology. From the start the development of intrusion detection technology, research, analysis of intrusion detection and intrusion detection systems theory, application, information collection and analysis, data processing and its
10、advantages and disadvantages and future direction of development.Key Words: Network security , Network Intrusion ,Intrusion detection technology ,Intrusion detection system前言随着计算机技术的迅速发展,在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高
11、的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。网络上的攻击事件越来越多,入侵方式也层出不穷,网络安全风险系数不断提高。个人、企业以及政府部门越来越多地依靠网络传递信息, 然而网络的开放性与共享性容易使它受到外界的攻击与破坏,信息的安全保密性受到严重影响。网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。曾经作为最主要安全防范手段的防火墙,已经不能满足人们对网络安全的需求。仅仅是简单的规则性的被动防御技术无法适应当前的网络,需要引入主动防御技术对系统安全加以补充。任何程序都不可避免的存在BUG,甚至连安全工具本身也
12、可能存在安全的漏洞。每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在内存溢出的BUG,现有的安全工具对于利用这些BUG的攻击几乎无法防范。黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击
13、。 在最近一次黑客大规模的攻击行动中,SONY公司数据服务器被入侵,各种服务被迫长时间停止运行,损失超过了十亿美金。7700万在线游戏用户的资料被盗,其中包括姓名、出生日期,信用卡号等重要信息。对于游戏机始终是龙头的索尼公司,这一泄漏机密信息事件将严重挫伤该公司。“网络还安全吗? 这一问题摆在了我们面前,很多组织正在致力于提出更多的更强大的主动策略和方案来增强网络的安全性,然而另一个更为有效的解决途径就是入侵检测。在入侵检测之前,大量的安全机制都是根据从主观的角度设计的,他们没有根据网络攻击的具体行为来决定安全对策,因此,它们对入侵行为的反应非常迟钝,很难发现未知的攻击行为,不能根据网络行为的
14、变化来及时地调整系统的安全策略。而入侵检测正是根据网络攻击行为而进行设计的,它不仅能够发现已知入侵行为,而且有能力发现未知的入侵行为,并可以通过学习和分析入侵手段,及时地调整系统策略以加强系统的安全性。 第1章 绪论1.1 论文研究的背景随着Intemet的发展,社会对网络信息和网络应用系统的需求和依赖日益增强,计算机网络系统正在成为一个国家极为关键的政治、经济、军事和文教资源,同时,它也正在成为一个国家实力的新的象征和社会发展的重要保证。在计算机网络中存在着大量重要的、敏感的甚至是机密的信息,如国家的军事能源信息、政府的调控决策信息、科研机构的研究技术信息和商业企业的技术经济信息等等;在计算
15、机网络中还存在着大量重要的应用系统,如金融、证券、商务、税务、文教等电子系统。然而一个国家的政府、组织、公司和个人在利用Internet提高了效率的同时,在保卫它们的系统免受网络入侵和网络攻击方面也正面临着巨人的风险和挑战,越来越多的安全问题正在对网络应用造成巨大的威胁。世界著名的商业网站,如Yahoo、Buy、EBay、Amazon、CNN都曾被黑客入侵,造成巨大的经济损失。甚至连专门从事网络安全的RSA网站也受到黑客的攻击。据美国GAO、DISA、FBI、NSA以及其它一些网络安全组织的统计调查表明,世界上黑客袭击计算机网络的事件每年以30的速度增长,商业信息被窃取的事件以每月260的速率
16、在增加。与此同时,网络入侵者的经验正在变得越来越丰富,攻击工具和技术水平不断提高,攻击方法也在不断地创新和更加丰富多样化。这些攻击轻则造成一些麻烦和经济上的损失,重则严重地威胁到国家政治经济环境的稳定和国防安全。对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。从一开始,人们就企图先构筑某种安全的系统模型,然后想方设法地去实现。继而,人们制定了一系列的安全法则和评测标准,用来构筑一个相对稳固的安全系统。无论是安全模型,还是系统安全等级评估标准,人们主要是从身份认证和访问控制这两个方面来保证系统的安全性。但是,传统的身份认证技术j包括Kerber
17、os技术,并不能抵制脆弱性的口令,字典攻击、特洛伊木马、网络窥探工具以及电磁辐射等攻击手段。对于访问控制,入侵者也可以利用脆哈尔滨理工大学工学硕士学位论文弱性程序或系统漏洞绕过访问控制,或者提升用户权限,或者非法读写文件等。网络防火墙虽然为网络服务提供了较好的身份认证和访问控制技术,但是防火墙并不能阻挡所有的入侵行为,对于内部攻击更是无能为力。入侵检测作为一种积极主动的安全防护技术,被认为是防火墙之后的第一道安全闸门。它能在不影响网络性能的情况下对网络进行监听,可以识别入侵者、识别入侵行为、检测和监视已经成功的入侵,并进行入侵响应,从而提供对内部攻击、外部攻击和误操作的实时保护。入侵检测是指“
18、通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。1.2 入侵检测的历史1980年4月,JnamesP.Aderson为美国空军做了一份题为“Computer Security ThreatMonitoring and Sureillance”(计算机安全威胁监控与监视)的技术报告,第一次详细的阐
19、述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为了外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。 1984年-1986年,乔治敦大学的Dorothy Denning和SRI/CSL(SRI公司计算机科学实验室)的PeterNeumann研究出了一种实时入侵检测系统模型,取名为IDES(入侵检测专家系统)。 该模型独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵系统提供了一个通用的框架。1988年,SRI/CSL的Teresa Lunt等改进了Denning的入侵检测模型,并研发出
20、了实际的IDES。 1989年,加州大学戴维斯分校的Todd Heberlein写了一篇论文A Network Security Monitor,该监控器用于捕获TCP/IP分组,第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机,网络入侵检测从此诞生。1990年时入侵检测系统发展史上十分重要的一年。这一年,加州大学戴维斯分校的L.T.Heberlein等开发出了NSM(Network Security Monitor)。该系统第一次直接将网络作为审计数据的来源,因而可以在不将审计数计转化成统一的格式情况下监控异种主机。同时两大阵营正式形成:基于网络的
21、IDS和基于主机的IDS。入侵检测是一门综合性技术,既包括实时检测技术,也有事后分析技术。尽管用户希望通过部署IDS来增强网络安全,但不同的用户需求也不同。由于攻击的不确定性,单一的IDS产品可能无法做到面面俱到。因此,IDS的未来发展必然是多元化的,只有通过不断改进和完善才能更好地协助网络进行安全防御。入侵检测技术的发展已经历了四个主要阶段:第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优
22、点是能够分析处理一部分协议,可以进行重组;缺点是匹配效率较低,管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术,其优点是误报率、漏报率和滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够,防范及管理功能较弱。第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术,其优点是入侵管理和多项技术协同工作,建立全局的主动保障体系,具有良好的可视化、可控性和可管理性。以该技术为核心,可构造一个积极的动态防御体系,即IMS入侵管理系统。1.3 入侵检测的未来
23、及发展趋势随着计算机技术的发展在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出,很多组织正在致力于提出更多的更强大的主动策略和方案来增强网络的安全性,然而另一个更为有效的解决途径就是入侵检测。在入侵检测之前,大量的安全机制都是根据从主观的角度设计的,他们没有根据网络攻击的具体行为来决定安全对策。因此,它们对入侵行为的反应非常迟钝,很难发现未知的攻击行为,不能根据网络行为的变化来及时地调整系统的安全策略。而入侵检测正是根据网络攻击行为而进行设计的,它不仅能够发现已知入侵行为,而且有能力发现未知的入侵行为,并可以通过学习和分析入侵手段,及时地调整系 统策略以加强系统的安全性。入
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵 检测 技术 分析 应用 毕业论文 论文
链接地址:https://www.31ppt.com/p-3935460.html