59基于协议分析的入侵检测系统

摘要由于互联网应用的大规模的快速增长，传统的防火墙已经不能满足互联网对安全的需求，因此网络安全作为一个无法回避的问题被提出。入侵检测系统IDS，IntrusionDetectionSystem，作为一种新的安全防御措施，是传统防火墙的补充策略，对网络安全的发展以及应用具有十分重要的意义。协议分析技术凭借着其诸多优势在网络安全领域迅速发展起来。由于其具备解析数据包、探测分散的多个数据包中的网络攻击、减少误报和漏报率、真正的高性能等多项技术优势，常常被用来和模式匹配算法结合起来，在误用检测系统中使用。用Ubuntu系统作为开发平台，开发一基于协议分析的入侵检测系统,该系统主要对捕获的数据包进行协议解析,提取有效数据,通过与特定攻击的规则进行匹配,找出可疑或攻击行为,做出响应并记录结果。论文主要工作如下：1、论文首先分析了现有入侵检测产品所存在的问题。针对这些问题，提出了选用协议分析和遗传神经网络技术来构建入侵检测系统中规则检测器和行为检测器的设计思路。2、利用协议的高规则性,进行协议树、协议解码以及协议分析过程的设计，给出协议分析检测器的基本步骤；结合遗传神经网络算法的思想设计了行为检测器，并详细分析了适应度函数、交叉算子、变异算子以及其他控制参数，给出了核心参数的确定方法。3、根据本文入侵检测模型的设计方法，结合各模块的实现原理，完成了基于规则与行为的入侵检测模型的开发。其中，在数据采集模块中利用Winpcap函数定义了数据捕获机制的核心数据结构和函数。关键词：入侵检测，协议分析技术，遗传算法，神经网络，遗传神经网络论文类型：Subject:Potocolanalysis-basedintrusiondetectionsystemSpecialty:ComputerAplicationName:Supervisor:ProfessorABSTRACTSincelarge-scaleInternetapplications,therapidgrowthoftraditionalfirewallscannotmeetthedemandforInternetsecurity,sothenetworksecurityasanunavoidableproblemhavebeenproposed.IntrusionDetectionSystemIDS,IntrusionDetectionSystem,asanewsecuritydefensemeasuressupplementthetraditionalfirewallstrategy,thedevelopmentandapplicationofnetworksecurityisofgreatsignificance.Protocolanalysistechnologybyvirtueofitsmanyadvantagesinthefieldofnetworksecurityhasdevelopedrapidly.Becauseofitsanalyticaldatapacketstodetectapluralityofdatapacketsdistributednetworkattacksandreducefalsepositivesandfalsenegativerate,therealhighnumberoftechnicaladvantages,areoftenusedtogetherandpatternmatchingalgorithms,inerrorwiththedetectionsystem.Ubuntusystemasadevelopmentplatformusedtodevelopanintrusiondetectionbasedonprotocolanalysissystem,whichmainlycapturedpacketsforprotocolanalysis,extractvaliddata,withparticularattackmatchingrulestoidentifysuspiciousoraggressivebehavior,dotheresponseandtheresultsrecorded.Thesisworkisasfollows:1,Thepaperfirstlyanalyzestheexistingintrusiondetectionproductstheproblems.Tosolvetheseproblems,proposedoptionalprotocolanalysisandgeneticneuralnetworktechnologytobuildintrusiondetectionsystemrulesandbehaviordetectordetectordesignideas.2,Theuseofhighregularityprotocol,theprotocoltree,protocoldecodingandprotocolanalysisprocessdesign,protocolanalysisdetectorgivesthebasicsteps;combinestheideaofgeneticneuralnetworkalgorithmdesignedbehaviordetector,andadetailedanalysisoftheadaptationfitnessfunction,crossoveroperator,mutationoperatorandothercontrolparameters,givesthekernelparameterdeterminationmethod.3,Intrusiondetectionmodelbasedonthisdesignapproach,combinedwiththerealizationoftheprincipleofeachmoduletocompletetherule-basedintrusiondetectionmodelandbehavioraldevelopment.Amongthem,thedataacquisitionmoduleusingWinpcapfunctiondefinesthedatacapturemechanismthecoredatastructureandfunctions.KEYWORDS:IntrusionDetection,ProtocolAnalysisTechnology,GeneticAlgorithm,NeuralNetwork,GeneticNeuralNetworkDissertationType:目录第1章绪论………………………11.1本文研究背景………………………11.2国内外研究现状………………………11.2.1入侵检测系统的发展历史………………………11.2.2公共入侵检测系统………………………21.2.3入侵检测的分类………………………41.2.4入侵检测方法………………………51.2.5现有的入侵检测产品………………………71.2.6入侵检测面临的问题及其发展趋势………………………71.3本文研究内容………………………9第2章协议分析技术………………………102.1网络协议简介………………………102.2协议分析简介………………………102.2.1协议分析概念………………………102.2.2协议分析原理………………………112.2.3协议分析核心技术………………………112.3协议分析入侵检测方法介绍………………………122.3.1简单协议分析检测方法………………………122.3.2协议状态分析检测方法………………………152.4本章小结………………………16第3章神经网络和遗传算法………………………173.1神经网络………………………173.1.1神经网络的概念………………………173.1.2BP算法………………………173.1.3BP网络………………………183.1.4BP网络在入侵检测中的应用………………………203.2遗传算法………………………213.2.1遗传算法的基本概念………………………213.2.2遗传算法的实现………………………213.3利用遗传算法训练神经网络………………………223.4遗传神经网络在入侵检测中的应用………………………233.5本章小结………………………23第4章基于协议分析的入侵检测系统设计………………………244.1基于协议分析的网络入侵模型的基本框架………………………244.2数据采集模块的设计………………………254.2.1Winpcap的概念………………………264.2.2Winpcap的功能及优缺点………………………264.2.3Winpcap的组成………………………274.3基于规则检测器的设计………………………274.3.1设计原则………………………274.3.2规则检测器的工作流程设计………………………274.4基于行为检测器的设计………………………304.4.1行为检测器的设计思想………………………314.4.2行为检测器的实现步骤………………………314.4.3遗传神经网络算法设计………………………324.4.4两种检测技术的结合………………………344.5数据存储模块的设计………………………344.6控制台模块的设计………………………354.7本章小结………………………36第5章基于协议分析的入侵检测系统实现………………………375.1开发工具简介………………………375.2数据采集模块………………………385.2.1数据包格式………………………385.2.2数据包的读取………………………395.3数据分析模块的实现………………………415.3.1预处理器检测………………………415.3.2规则库检测过程………………………425.4系统运行结果与分析………………………54第6章总结与展望………………………576.1总结………………………576.2展望………………………57参考文献………………………59致谢………………………62攻读硕士学位期间的研究成果………………………63第1章绪论1.1本文研究背景计算机网络技术的广泛应用和互联网的快速发展使得计算机信息网络作为现代信息社会的基础设施，广泛深入到人们的工作和生活当中，我们畅游网络，进行信息传递，开展各种社会活动，它给我们的工作和生活带来了翻天覆地的变化，已经无法想象没有网络的世界会是什么样。当然，计算机网络在带给我们极大便利的同时，计算机安全问题也随之而来，并且日益突出，计算机病毒的感染与传播、网络黑客的攻击与破坏、计算机网络犯罪等违法事件的数量迅速增长，给我们的网络生活蒙上了一层阴影，网络安全问题成为人们普遍关注并且日益重视的问题。近些年来，协议分析技术凭借着其诸多优势迅速发展起来，广泛应用在网络安全领域，比如网络诊断和故障排除、防火墙、移动通信以及入侵检测等方向都得到大量使用。由于其具备解析数据包、探测分散的多个数据包中的网络攻击、减少误报和漏报率、真正的高性能等多项技术优势，常常被用来和模式匹配算法结合起来，在误用检测系统中使用。协议分析技术作为入侵检测技术的一个分支，是近年来网络入侵检测研究领域中的一大热点。1.2国内外研究现状1.2.1入侵检测系统的发展历史入侵检测系统IDS(IntrusionDetectionSystem)[1]是一项新的网络安全技术，它是对静态防御技术的一个有效补充，是一种主动防御黑客攻击的网络安全技术。入侵检测是检测计算机网络和系统以发现违反安全策略事件的过程。入侵检测技术自20世纪80年代提出以来经过20多年的不断发展，从最初的一种有价值的研究想法和单纯的理论模式，迅速发展出种类繁多的实际原型系统，并且在近10年内涌现出许多商用入侵检测系统产品，成为计算机安全防护领域内不可缺少的一种重要的安全防护技术。期间的发展经历了许多阶段。1980年，Ade