校园网环境下的入侵检测

重庆大学硕士学位论文校园网环境下的入侵检测姓名：谭开忠申请学位级别：硕士专业：计算机技术指导教师：杨小帆;易正强20051001重庆大学硕士学位论文中文摘要I摘要校园网作为高校不可或缺的教育和科研的重要基础设施，担当着学校教学、科研、管理和对外交流等的重要角色。早期校园网的安全问题并不突出，随着校园网规模的不断扩大、信息点的不断增加，资源共享、网络教学、电子商务、学校办公等依托于校园网的不断深入，校园网上的各种数据急剧增加，不可忽视的网络安全问题摆在校园网管理者面前。传统上一般采用防火墙(Firewall)作为网络安全的第一道防线。防火墙是一种被动的防护技术，只能对出入数据进行控制，难以防范内部的非法访问。入侵检测系统(IDS)是计算机网络安全的一个重要组成部分，它实现实时入侵检测的功能，主动保护自己免受网络攻击，是防火墙的合理补充，扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高了信息安全基础结构的完整性。本研究课题的目的就是讨论校园网环境下的入侵检测及其实现，全文共分五章。第一章介绍入侵检测的研究现状，讨论了目前入侵检测研究存在的问题及主要发展方向。第二章讨论入侵检测技术基础，介绍了基于网络的入侵检测系统(NDIS)和基于主机的入侵检测系统(HDIS)的概念，对分布式入侵检测系统也进行了相关介绍；讨论了三种入侵检测办法，包括误用检测(MisuseDetection)、异常检测(AnomalyDetection)和完整性检测，介绍了人工神经网络技术、专家系统技术以及模式推理技术在IDS中的应用。第三章给出了校园网入侵检测系统的设计。作者在分析校园网组网和校园网安全需求的基础上提出了入侵检测系统的四个功能模块：数据包捕获模块、数据包分析模块、入侵检测模块以及日志保存模块，并重点介绍了前三个模块的设计方法。第四章介绍校园网入侵检测系统的实现，在充分理解TCP/IP协议的基础上，利用VisualC++程序设计语言描述了如何实现第三章的设计思想，并给出了相关实验数据。作者在第五章提出了下一步的研究工作，指出本课题的研究仅是提出一个简单入侵检测系统模型，距离实际应用的入侵检测系统还有很长一段路要走。由于网络的覆盖面涉及到整个校园，因此跨交换机以及跨网段的检测如何实现是系统必须考虑的问题。此外，系统的处理能力是设计者必须考虑的一个因素。关键词：入侵检测系统，计算机安全，网络安全，校园网重庆大学硕士学位论文英文摘要IIABSTRACTCampusNetworkinuniversityplaysanimportantroleinteaching,scientificresearch,andmanagement.Withthescaleofthecampusnetworkbeingincreasinglyexpanded,theproblemofnetworksecurityappearstobemoreandmoreserious.Traditionally,thefirewallistheprimallineofdefence,butitisapassivedefensetechnology.TheIntrusionDetectionSystem(IDS)isanimportantpartofthecomputernetworksecurity，anditrealizesreal-timeintrusiondetection,thereforeactivelyavoidingbeingattacked.Thisthesisaddresseshowtoimplementtheintrusiondetectionsystemincampusnetwork.Thepaperisdividedintofivechapters.Thefirstchaptersurveysthestate-of-the-artofintrusiondetectionandtherelatedproblems.Thesecondchapterprovidesthedetailsofintrusiondetectiontechniques,inparticularly,itintroducestwoconcepts(network-basedIDS(NIDS)andhost-basedIDS(HIDS)),andthedistributedIDS.Besides,thischapterproposesthreeintrusiondetectionmethods(misusedetection,anomalydetectionandintegralitytest),anddiscussestheapplicationsoftheartificialneuralnetworktechnology、expertsystemtechnology、andpatternreasoningtechnologyintheIDS.ThethirdchapterdealswiththedesignofIDSincampusnetwork.Basedontheanalysisontheissuesofthecampusnetworkestablishingandsecurity,itpresentsanewfunctionmodelofIDS,whichincludesthedatapacketcapturemodule,thedatapacketanalysismodule,theintrusiondetectionmodule,andthelogsmodule.Thedesignofthesemodules,withtheexceptionofthelogsmodule,isdiscussedindetail.ThefourthchapterisfocusedontheimplementationofIDSbyusingVisualC++,andgivescorrelativetestdata.Thefifthchapterdirectsthefutureresearchinthisarea.Inspiteoftheeffortsdevotedtothisresearch,thereisstillalongwaytogobeforethedesignedIDScanbepracticallyapplied,becausetheIntranetcoverstheentirecampus,andhowtorealizethedetectionofcrossingoverswitchesorsubnetsisaproblemyettobesolved.Inaddition,thesystemhandlingabilityisalsoafactorthatthedesignermustconsider.Keywords：IntrusionDetectionSystem,Computersecurity,Networksecurity,Campusnetwork重庆大学硕士学位论文1入侵检测研究现状11入侵检测研究现状随着计算机技术的发展，基于网络的计算机应用系统成为主流。计算机网络在现代生活和工作中的作用愈加重要。由于现代化网络的普及，随之而来的计算机网络安全问题也不断增加，网络安全成为人们关注的焦点。为了保障网络安全，必须建立一整套安全防护体系，进行多层次、多手段的检测和防护。目前，解决网络安全问题的主要技术手段有加解密技术、防火墙技术、安全路由器等，它们在防御网络入侵方面都起到一定的作用。网络安全作为一个综合的、立体的工程，单纯依靠一些防御工具不可能满足全部的安全要求。入侵检测系统应运而生，通过动态探查网络内的异常情况，及时发出警报，有效弥补了其他静态防御工具的不足。随着校园网的不断发展，如何保证网络信息安全已成为广大校园网网管工作者非常关心并热衷研究的一个课题。网络信息安全包括信息的存储安全和信息的传输安全，从信息系统的安全指标角度来说，就是对信息的可用性、完整性和机密性的保护。网络的安全威胁一方面来自外部，但更多的来自内部。校园网的用户绝大多数是一群富有攻击性的高素质学生，一方面他们的思想非常活跃、另一方面他们富有冒险性和探索精神(攻击性)。校园网的信息点分布于每个宿舍、每一个办公室和实验室，计算机病毒、不良信息资源和垃圾邮件总是试图侵害/威胁用户对网络资源正常的使用要求。对网络的威胁、攻击还包括：扫描、嗅探、信息流监视、会话劫持、口令破解、IP欺骗、木马、PingofDeath、SYNFlood、Smurf攻击、电子邮件炸弹、DDOS以及信息战等[2][[5][6][13][15]。对于网络安全来说，单纯的防火墙(Firewall)[1]技术暴露出明显的不足和弱点，如无法解决安全后门问题，不能阻止网络内部攻击(调查发现，50％以上的攻击都来自内部)、不能提供实时入侵检测(IntrusionDetection)能力、对于病毒等束手无策等。因此很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性，其中一个有效的解决途径就是入侵检测。入侵检测产品(IDS)是继防火墙和隔离器后又一个安全产品。在防火墙技术方面，数据包过滤的技术基本成熟，大多采用了数据包状态检测的技术，该项技术能够更好的提高防火墙的安全性，同时对性能的影响也较小。IDS与防火墙和隔离器相比，能够提供更加有效的安全保护，有的IDS产品还提供流量统计，信息过滤等其他功能，能为企业的网络管理提供帮助。主要原理是将截下的数据包与自建或默认的攻击规则库进行比对。如有符合特征的数据包出现，则进行报警，更重庆大学硕士学位论文1入侵检测研究现状2可以与防火墙等相关产品联动，按照预先规定的方法产生行动；并且记录下情况，为网络管理人员提供相应的帮助。在技术方面，一般采用探测器/服务器的方式，探测器端一般是硬件或软件组成，服务器端一般由软件和数据库组成。入侵检测系统(IntrusionDetectionSystem)可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据、跟踪入侵、恢复或断开网络连接等。这引发了人们对入侵检测技术研究和开发的热情。1980年4月，JamesP.Anderson为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》(计算机安全威胁监控与监视)的技术报告，第一次详细的阐述了入侵和入侵检测的概念。入侵检测是对(网络)系统的运行状态进行监视、发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性[3]。入侵检测系统的真正研究始于上世纪80年代，包括基于主机的入侵检测系统(HIDS)和基于网络的入侵检测系统(NIDS)研究。检测技术主要有二大类：异常检测(AnomalyDetection)和误用检测(MisuseDetection),前者广泛采用统计分析技术，如SRI的IDES和NIDES；后者研究起源于20世纪90年代中期，主要有SRI、Purdue大学和California大学的Davis分校，通常采用模型推理、模式匹配、专家系统等方法，例如开放源代码软件Snort、NFR的NID。此外还有完整性检测[4][7][14][19]。国内目前包括清华紫光(UnisIDS)、联想(联想网御)、方正科技(方通网络入侵检测系统)以及曙光(GodEye-HIDS)等都先后推出了自己的IDS系统，其中曙光的GodEye-HIDS主机入侵检测系统是国内唯一一款经过公安部权威认证的增强型主机入侵检测安全软件产品。该产品采用国际上先进的分布式入侵检测构架，其在管理、检测、防攻击、自身保护及主动防护等方面的卓越表现将卓有成效的弥补现有同类产品的不足，是网络安全领域的一款很有竞争力的产品。在计算机网络安全领域，关于网络安全检测系统的研究是其中的一个分支、也是最具有活跃的分支之一，