毕业设计（论文）病毒入侵检测技术

1、摘 要随着计算机网络的发展，针对网络、主机的攻击与防御技术也不断发展，但防御相对于攻击而言总是被动和滞后的，尽管采用了防火墙等安全防护措施，并不意味着系统的安全就得到了完全的保护。总会有一个时间差，而且网络的状态是动态变化的，使得系统容易受到攻击者的破坏和入侵，这便是入侵检测系统的任务所在。入侵检测系统从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为，在发现攻击企图或攻击之后，及时采取适当的响应措施。本文主要介绍了入侵检测的描述、入侵检测基本原理、和入侵检测方法。关键词：入侵检测系统；入侵检测的描述；检测基本原理；检测方法关键词：入侵检测系统；入侵检测

2、的描述；检测基本原理；检测方法abstractwith the development of computer network, the network, the host of the attack and defense technology also develops, but the defense to attack is always passive and lag, despite the use of firewalls and other security measures, does not mean that the system security has been fu

3、lly protected. there is always a time lag, and the state of the network is dynamic, make the system vulnerable to the attackers destruction and invasion, this is the task of the intrusion detection system. intrusion detection system from the computer network system in a number of key point to collec

4、t information, and analysis of these information, check the network of violating security strategy behavior, found in the attempted attack or attacks, timely take appropriate response measures. this paper mainly introduced the intrusion detection are described, intrusion detection and intrusion dete

5、ction method, basic principle.key words: intrusion detection system; intrusion detection; detection principle; testing method目 录第一章 入侵检测系统概述.11.1 入侵检测系统的描述.11.2 基本概念.21.3 入侵检测系统的功能组成.21.3.1 信息收集.21.3.2 信息分析.31.3.3 结果处理.3第二章 入侵检测基本原理.42.1 通用入侵检测模型.42.2 数据来源.52.2.1 主机入侵检测系统.52.2.2 网络入侵检测系统.62.2.3 混合型入

6、侵检测系统.7第三章 检测技术.83.1 异常检测.83.1.1 检测功能.83.2 误用检测.93.3 响应措施.93.3.1 主动响应.93.3.2 被动响应.9第四章 入侵检测方法.104.1 异常检测技术.104.1.1 基于概率统计.104.1.2 基于神经网络.104.2 误用检测技术.104.2.1 基于专家统计.104.2.2 基于模型推理.10第五章 总结.12参考文献.13图表目录图 2.1 通用入侵检测模型.4图 2.2 基于主机的入侵检测系统结构.6图 2.3 基于网络的入侵检测系统结构.7第一章 入侵检测系统概述1.1 入侵检测系统的描述internet 的开放性及其

7、他方面的因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题，各种安全机制、策略和工具被研究和应用。然而，即使在使用了现有的安全工具和机制的情况下，网络的安全任然存在很大的隐患，这些安全隐患主要归结为以下几点。1、 每一种安全机制都有一定的应用范围和应用环境。例如，防火墙是一种有效的安全工具，它可以隐蔽内部网络结构，限制外部网络到内部网络的访问，但是对于内部网络之间的访问，防火墙往往无能为力。因此，对于内部网络之间和内外勾结的入侵行为，防火墙很难发觉和防范的。2、 安全工具的使用受到人为因素的影响。一个安全工具能否实现预期的效果，在很大程度上取决于使用者，包括系统管理员和普通

8、用户，不正当的设置就会产生不安全因素。3、 系统的后门是传统安全工具常常忽略的地方。防火墙很难考虑到这类安全问题，多数情况下，这类入侵行为可以堂而皇之经过防火墙而很难被察觉；例如，总所周知的 asp 源码问题，这个问题在 iis 服务器 4.0 以前一直存在，它是 iis 服务器的设计者留下的一个后门，任何人都可以使用浏览器从网络上方便地调出 asp 程序的源码，从而可以收集系统信息，进而对系统进行攻击。对于这类入侵行为，防火墙是无法发觉的，因为对于防火墙来说，该入侵行为的访问过程和正常的 web 访问是相似的，唯一的区别是入侵访问在请求链接中加了一个后缀。4、 只要有程序，就可能存在 bug

9、，甚至安全工具本身也可能存在安全漏洞。几乎每天都有新的 bug 别发现和公布出来，程序设计者在修改已知bug 的同时又有可能使它产生了新的 bug 系统的 bug 经常被黑客利用，而且这种攻击通常不会产生日志，几乎无据可查。5、 黑客的攻击手段在不断地更新，几乎每天都有不同系统的安全问题出现。然而安全工具的更新速度太慢，绝大多数情况下需要人为参与才能发现以前未知的安全问题，这就是得它们相对于新出现的安全问题有很大的延迟。因此，黑客总可使用先进的、安全工具无法防范的手段进行攻击。对于以上提到的问题，很多组织正在致力于提出更多、更强大的主动策略和方案来增强网络的安全性，其中一个有效的解决途径就是入

10、侵检测。在入侵检测之前，大量的安全机制都是从主观的角度设计的，它们没有根据网络攻击的具体行为来决定安全策略，因此，对入侵行为的反应相对迟钝，很难发现未知的攻击行为，而且不能根据网络行为的变化来及时调整系统的安全策略。而入侵检测正是根据网络攻击行为而设计的，它不仅能够发现已知的入侵行为，而且有能力发现未知的入侵行为，并且可以通过学习和分析入侵手段，及时地调整系统策略以加强系统的安全性。1.2 基本概念入侵检测最早是由 james anderson 于 1980 年提出的。所谓入侵检测，是指通过从计算机网络或主机系统中的若干关键点收集信息并对其进行分析，从中检测网络或系统中是否有违反安全策略的行为

11、和遭受袭击的迹象，并对此进行日志记录和采取相应措施的一种安全技术。入侵检测系统提供对内部攻击、外部攻击和误操作的实时保护，这些主要通过以下任务来实现：1、 监视、分析用户计算机和网络的运行状况，查找非法用户和合法用户的越权操作。2、 监测系统配置的正确性和安全漏洞，并提示系统管理员修补漏洞。3、 识别行为模式的统计分析。4、 异常行为模式的统计分析。5、 评估重要系统和数据文件的完整性。6、 对操作系统进行审计跟踪管理，并识别用户安全策略的行为。1.3 入侵检测系统的功能组成简单地说，入侵检测系统包括三个功能部件：信息收集、信息分析和结果处理。1.3.1 信息收集入侵检测的第一步是收集信息，收

12、集内容被偶看系统、网络、数据及用户活动的状态和行为。入侵检测在很大程度上依赖于收集信息的可靠性和正确性。因此，对于信息收集有以下原则：1、 需要在计算机网络系统中的若干不同关键点，不同网段和不同主机，收集信息，并且尽可能扩大监测范围。2、 要保证用于监测系统的软件的完整性，防止被篡改而收集到错误信息。3、 在一个环境中，审计信息必须与他要保护的系统分开来存储和处理，防止入侵者通过删除审计记录来使入侵检测系统失败。1.3.2 信息分析入侵检测的分析方法主要可分为异常检测和误用检测。异常检测首先总结正常操作应该具有的特征，当用户活动与正常行为有重大偏离时即被认为是入侵。误用检测收集非正常操作的行为

13、特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。1.3.3 结果处理入侵检测可以达到两方面的目标，一方面是它可以提供可说明性，只从给定的活动或事件中，找到相关责任方的能力。另一方面，它可以采取一些积极的反省措施，提示系统管理员修改目标系统或入侵检测系统。第二章 入侵检测基本原理2.1 通用入侵检测模型1997 年初，加州大学戴维斯分校计算机安全实验室主持提出了入侵检测框架(common intrusion detection framework，cidf)，cidf 是一套规范，它定义了入侵检测系统表达监测信息的标准语言及入侵检测系统组件之间的通信

14、协议。cidf 的体系结构文档阐述了一个标准的入侵检测系统的通用模型；规范语言定义了一个用来描述各种监测信息的标准语言；内部通信定义了入侵检测系统组件之间进行同的标准协议；程序接口提供了一整套标准的应用程序接口。基于 cidf 的体系机构文档，一个通用的入侵检测模型如图 2.1 所示。事件数据库响应单元知识库/配置信息事件产生器事件分析器目标系统图 2.1 通用入侵检测模型该系统主要由以下几大部件组成：1、 事件产生器：主要负责从目标系统中收集数据，输入数据流包括任何可能包括入侵行为信息的系统数据，并向事件分析器提供信息以共处理。2、 事件分析器：分则分析数据和检测入侵信息的任务，并提供分析结

15、果，产生新的信号和警报。3、 响应元件：对分析结果作出反应的功能单元，他可以终止进程、重置连接、改变文件属性等，也可以只是简单地报警。4、 事件数据库：存放各种中间和最终数据的地方的统称，可以是复杂的数据库，也可以是简单的文本文件。5、 知识库/配置信息：提供必要的数据信息支持，如用户历史活动档案，或者是检测规则集合等。2.2 数据来源入侵检测是基于数据驱动的处理机制，其输入的数据来源主要有两类：基于主机的信息源派生的数据，基于网络的信息源派生的数据。根据入侵检测系统信息来源的不同，可以把入侵检测系统分为主机入侵检测系统(hids)、网络入侵检测系统（nids）及混合式入侵检测系统 3 类。2

16、.2.1 主机入侵检测系统基于主机的入侵检测系统的检测原理是根据主机的审计数据和系统日志，监视操作系统或系统事件级别的可疑活动或潜在的入侵。主机入侵检测系统能对检测的入侵行为、时间给予积极的主动响应措施，入断开连接、封掉用户账号、杀死进程和提交警报等。现在的某些主机入侵检测系统甚至吸取了部分网管、访问控制等方面的技术，能够很好地与系统，甚至系统上的应用紧密结合。其主要优势有：监视特定的系统活动；误报率较低；适用于加密信息的处理；可用于大型交换网络；对网络流量不敏感。基于主机的入侵检测系统以来与审计数据或系统日志的准确性和完整性以及安全事件的定义，并要把安全策略转换成入侵检测规则，其结构示意图如

17、图2.2 所示。目标系统审计记录收集方法审计记录预处理审计记录数据归档/查询异常检测安全管理接口滥用监测审计记录数据库图 2.2 基于主机的入侵检测系统结构2.2.2 网络入侵检测系统基于网络的入侵检测系统使用原始的网络分组数据报作为攻击的数据源，该类系统一般利用工作在混杂模式下的网卡来实时监听整个网段上的通信业务，通过实时捕获网络数据包，进行分析，能够检测该网段上发生的网络入侵。他的入侵分析引擎通常采用技术来识别攻击：模式、表达式或字节匹配；频率或穿越阈值；低级事件的相关性；统计学意义上的非常规检测。一旦检测到攻击行为，入侵检测系统的响应模块可以采取通知、报警以及中断连接等方式来对攻击作出反

18、应，如图 2.3 所示。管理/配置入侵分析引擎主机 n主机 2主机 1网络安全数据库嗅探器嗅探器分析结果图 2.3 基于网络的入侵检测系统结构基于网络的入侵检测系统主要优点有：部署成本低；不影响业务系统；实时监测和响应；能够检测未成功的攻击企图。当然，基于网络的入侵检测系统也有一些弱点：网络入侵检测系统只检查其直连网段的通信，不能同时检测其他网段的数据包；网络入侵检测系统传感器通常会将大量的数据传回分析系统中；网络入侵检测系统处理加密的会话过程较困难。2.2.3 混合型入侵检测系统随着网络技术的发展和网络应用的扩大，网络的拓扑结构和数据流量逐渐变得复杂和多样化，只使用单一的主机入侵检测系统或者

19、网络入侵检测系统会面临着很多的问题。针对这些问题，就产生了混合式入侵检测系统。混合式入侵检测系统一般有采集组件、通信传输组件、入侵检测分析组件、响应组件和管理组件等部件组成，分布在网络的各个部分、完成相应的功能，分散地进行数据采集、数据分析等工作。在这种结构下，不仅可以检测到针对单独主机的入侵，同时也可以检测到针对整个网段主机的入侵。第三章 检测技术检测技术是入侵检测系统的核心功能，检测过程对实际的现场数据进行分析，并将分析结果分为入侵、正常或不确定 3 种类型。根据对数据进行分析的技术原理不同，入侵检测通常可以分为两类：异常检测和误用检测。3.1 异常检测异常检测原理是指根据非正常行为和使用

20、计算机资源的非正常情况检测出入侵行为。异常检测假设所有的入侵活动都必须是异常活动，根据假设攻击与正常活动之间的差异来识别攻击。首先为系统建立正常活动的特征文件，然后通过统计那些不同于以建立的特征文件的所有系统状态的数量，来识别入侵企图。这样，根据各自不同的正常活动建立起的特征文件，便具有用户特征。入侵者使用正常用户的账号，其行为却不与正常用户的行为吻合，因而可以别检测出来。3.1.1 检测功能入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国

21、外入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品阶段，或者是防火墙中集成较为初级的入侵检测模块。可见，入侵检测产品仍具有较大的发展空间，从技术途径来讲，我们认为，除了完善常规的、传统的技术外，应重点加强统计分析的相关技术研究。其检测功能有：监督并分析用户和系统的活动；检查系统配置和漏洞；检查关键系统和数据文件的完整性；识别代表已知攻击的活动模式；对反常行为模式的统计分析；对操作系统的校验管理，判断是否有破坏安全的用户活动；入侵检测系统和漏洞评估工具的优点在于；提高了信息安全体系其它

22、部分的完整性；提高了系统的监察能力；跟踪用户从进入到退出的所有活动或影响；识别并报告数据文件的改动；发现系统配置的错误，必要时予以更正；识别特定类型的攻击，并向相应人员报警，以作出防御反应；可使系统管理人员最新的版本升级添加到程序中；允许非专家人员从事系统安全工作；为信息安全策略的创建提供指导；必须修正对入侵检测系统和漏洞评估工具不切实际的期望。这些产品并不是无所不能的，它们无法弥补力量薄弱的识别和确认机制；在无人干预的情况下，无法执行对攻击的检查；不能弥补网络协议的漏洞；不能弥补由于系统提供信息的质量或完整性的问题；它们不能应付现代网络的硬件及特性。3.2 误用检测误用检测原理是指根据已知的

23、入侵方式来检测入侵。入侵者通常利用系统和应用软件中的弱点或漏洞来实施攻击，而这些弱点或漏洞总能用某种方法标识成模式或特征的行为。异常检测系统可检测已知和未知的不良行为，而误用检测智能识别已知的不良行为。基于误用检测原理的入侵方法和技术主要有以下几种：1、条件概率误用检测方法；2、专家系统误用检测方法；3、状态转换分析误用检测方法；4、键盘监控误用检测方法；5、模型误用检测方法。3.3 响应措施3.3.1 主动响应对于主动响应而言，入侵检测系统将在发现异常攻击活动后，采取相应措施阻塞实施攻击的进程或改变受攻击的网络环境配置，从而达到阻止入侵危害性后果的发生或尽可能减小危害性后果的目的。主动响应可

24、采取的措施有针对入侵行为采取必要措施；重新修正配置系统；设计网络陷阱收集更为详尽的信息。3.3.2 被动响应被动响应仅仅报告和记录所检测到的异常活动信息，由用户自行决定采取什么响应措施。被动响应的措施主要有三种类型：日志记录、报警和通知和网络管理协议消息。第四章 入侵检测方法4.1 异常检测技术4.1.1 基于概率统计基于概率统计的检测方法是在异常入侵检测中最常用地方法，它是对用户历史行为建立模型。根据该模型，当发现有可疑的用户行为发生时保持跟踪，并监视和记录该用户的行为。这种方法的优越性在于它应用了成熟的概率统计理论；缺点是由于用户的行为非常复杂，因而要想准确地匹配一个用户的历史行为非常困难

25、，容易造成系统误报和漏报；定义入侵阈值比较困难，阈值高则误报率高，阈值低则漏报率增高。4.1.2 基于神经网络基于神经网络的检测方法的基本思想使用一系列信息单元训练神经单元，在给定一定的输入后，就可能预测出输出。它是对基于概率统计的检测技术的改进主要解决了传统的统计分析技术的问题。4.2 误用检测技术4.2.1 基于专家统计专家系统是基于知识的检测中最早期运用得较多的一种方法。将有关入侵的知识转化成 if-then 结构的规则，即将构成入侵所要求的条件转化为 if 部分，将发现入侵后采取的相应措施转化成 then 部分。当其中某些或某部分条件满足时，系统就判断发生了入侵行为。在具体实现过程中，专家系统主要面临全面性问题和效率问题两个问题。4.2.2 基于模型推理攻击者在攻击一个系统时往往采用一定的行为程序，如猜测口令的程序，这种行为程序构成了某种具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图。模型推理方法的优越性有：对不确定性的推理有合理的数学理论基础；减少了需要处理的数据量，因为它首先按脚本类型检测相应类型是否出现，然后再检测具体的事件。但是该方法创建入侵模型的工作量比别的方法要大。第五章 总结入侵检测作为一种积极主动的安全防护技术，提