一种基于Agent技术的入侵检测系统模型

技术创新

《微计算机信息》(管控一体化)2010年第26卷第1-3期

360元/年邮局订阅号：82-946

《现场总线技术应用200例》

信息安全

一种基于Agent 技术的入侵检测系统模型

A Framework of Intrusion Detection System Based on Agent Technology

(中原工学院)

杜献峰强赞霞

DU Xian-feng QIANG Zan-xia

摘要:本文首先指出了将Agent 技术应用于入侵检测系统的优势,依据入侵检测系统的特点给出了主机的状态转换图,并提

出了一个入侵检测模型,该模型的主机中有数据异常检测Agent 、特征提取Agent 、数据一致性检测Agent 、完整性检测Agent 以及日志处理,Agent 通过学习机制建立行为库,对行为库里的信息进行推理获得入侵规则信息并将其加入到入侵规则库.最后用Aglet 技术对该模型进行了仿真和实现,得出基于Agent 的入侵检测技术具有较高的检测率及较低的误报率。关键词:移动Agent;入侵检测系统;Aglets 中图分类号:TP393.08文献标识码:A

Abstract:In this paper,we point out the advantages of using agent technology intrusion detection system at first.State transformation graph of host is shown then.An intrusion detection framework is designed.There are data anomalous agent,character extraction a -gent,data consistency agent,integrated agent and log process in host.Agents found action base through learning.Through reasoning to action base agent gets intrusion information and appends the information to intrusion rules base.Finally,simulation and implemen -tation of the framework are done using aglets technology.The conclusion is gotten that intrusion detection based on agent has higher detection efficient and lower wrong report.

Key words:Mobil Agent;Intrusion Detection System;Aglets

文章编号:1008-0570(2010)01-3-0096-03

1引言

计算机网络的快速发展及普及,使得基于计算机网络的应用已经成为主流,然而计算机网络安全变得越来越严重,主要表现为计算机病毒和黑客攻击呈现出多样性及危害大等特点,使得计算机网络的入侵检测从基于主机或多主机的形式向基于网络的分布式方向发展,为了有效的保护计算机及网络,必须及时有效的发现入侵,因此,使用分布式入侵检测系统技术成为必然趋势,入侵检测技术IDS(Intrusion Detection System)也呈现出由多种安全策略和安全技术相结合的特点,其突出表现就是A －gent 技术在IDS 中的应用.目前国内外有很多机构都在进行将移动Agent 技术应用于入侵检测方面的研究。

Agent 是分布式人工智能领域的概念,Agent 技术是模拟人的行为的计算机程序,其具有自主性、自适应性、智能性、移动性、持久性、合作和自我学习能力,能对环境做出自主的反应,并能够作用于周围环境.通过Agent 之间的通信和分布式计算技术对系统进行协调监控,这种分布式计算技术能够识别早期的攻击信号并对入侵者的位置进行判别,同时发出警报。

本文首先指出将Agent 技术应用于IDS 的优势,给出了IDS 系统的状态转换图和入侵检测模型,最后用Aglets 技术对基于Agent 的IDS 进行仿真和实现,并对实验结果进行了分析。

2入侵检测系统模型

2.1入侵检测系统的性能指标

检测率:指被检测系统在受到入侵攻击时,检测系统能够正

确报警的概率。

误报率:指检测系统在检测时出现误报(或称虚警)的概率.检测可信度:是检测系统检测结果的可信程度,这是测试评估入侵检测系统的最重要的指标。

入侵检测系统本身的抗攻击能力:也就是入侵检测系统的可靠性,用于度量一个入侵检测系统对于那些直接以入侵检测系统作为攻击目标的抵抗能力.其健壮性主要体现在两个方面:一是IDS 本身在各种网络环境下能够正常工作,其次是IDS 各模块之间的通信是否会被破坏。

2.2多Agent 技术应用于IDS 具有的优势

(1)Agent 是自治独立的实体,如果部分Agent 由于某些原因停止工作时,其它的Agent 还可继续工作,即使IDS 在中央主机失效和通信连接中断的情况下仍然能够继续工作。

(2)可有效的减少网络流量:能将中央节点的处理功能分散到网络中的各个节点上,让Agent 在网络节点上自主地的计算,仅将处理的结果发往中央主机,绝大部分流经主机的待检测的数据包是没有恶意的,一旦有恶意的数据包,Agent 就能立即发现。(3)可维护性强:Agent 能动态的响应网络变化,系统可以独立地启动和停止Agent 的运行,能够动态地配置IDS 。

(4)平台无关性:基于Agent 的IDS 能够在异构环境下运行,Agent 会独立于计算机和传输层,通过虚拟机和主机平台上的解释器,可以在任何有Agent 平台的节点上运行,从而实现了在应用层上的互操作性。

2.3系统状态转换图

入侵检测系统(IDS)中的主机在检测攻击以及在受到攻击时,系统会做出相应的反应,根据IDS 系统的特点,将系统做出的不同反应而引起的状态变化可用状态图描述,就得出IDS 系统

杜献峰:副教授

基金项目:基金申请人:杜献峰;项目名称:多Agent 在网络安全中的应用技术研究;颁发部门:河南省教育厅(2006520020)

96--

邮局订阅号：82-946360元/年技术创新

信息安全

《PLC 技术应用200例》

您的论文得到两院院士关注

的状态转换图如图1所示,该图将主机工作状态划分为九个状态,这九个状态分别是:

NS:正常状态(Normal State)FS:脆弱状态(Fragile State)AS:被攻击状态(Attacked State)TS:触发状态(Trigger State)

OS:失控状态(Out of Control State)

SES:屏蔽错误状态(Shielded Error State)SCS:安全关闭状态(Safety Close State)UES:未知错误状态(Unknown Error State)DGS:降级状态(Downgrade State)

主机在接收到攻击数据时,就进入到脆弱状态FS,在脆弱状态下受到攻击就进入到被攻击状态AS,主机处于被攻击状态时,如果系统未检测到攻击并进行了屏蔽,系统就进入到屏蔽错误状态SES;主机处于被攻击状态时,如果系统未检测到攻击也未屏蔽,系统就进入到未知错误状态UES;如果检测到攻击,系统就进入到触发状态TS;在触发状态不能做出有效的触发,系统就进入到失控状态OS,系统一旦进入失控状态系统就被强制关闭,如果能够做出使系统可靠性级别降低的触发,系统就转到降低状态DGS,如果使系统可靠性级别降低的触发不成功,系统就转到安全关闭状态SCS.图中虚线表示当前状态需要经过恢复/重构/演进才能回到正常状态。

图1入侵检测系统状态转换图图2IDS 系统结构

2.4入侵检测系统模型

根据入侵检测系统的要求及Agent 技术的特点,本文提出了如图2所示的基于主机的入侵检测系统模型。

该结构由防火墙、入侵检测主机、控制台、规则库、学习模块、行为库、推理机系统组成.在系统工作时来自网络的数据先经过防火墙的过滤,可阻止大部分初始入侵,从而降低了系统的负载,并减少了由于信息过多可能对入侵分析模块的干扰;根据系统的重要性,系统中的主机可以配置一台或者一台以上的冗余,根据图1中IDS 系统状态转换图的需要,每一台主机都包含以下几种类型的Agent:数据异常检测Agent 、特征提取Agent 、数据一致性检测Agent 、完整性检测Agent.下面对图2中的组件分别进行论述。

(1)数据异常检测Agent:该Agent 是IDS 系统感知能力的基本体现,该Agent 主要任务是收集信息,数据检测Agent 实现对数据包分析,及对包头信息、数据进行解析,并将解析后的数据传递给特征提取Agent 。

(2)特征提取Agent:该Agent 的功能是提取数据的特征,通过对数据包进行分析、抽取及协议分析,把高维的原始数据变换成低维的表达形式,从而得到最有代表性、最有效的异常数据。(3)数据一致性检测Agent:该Agent 负责主机中的数据一致性检查,如果这种Agent 发现数据出现不一致现象就拒绝将该数据向控制台提交。

(4)完整性检测Agent:该Agent 实现对控制台中的数据的完

整性的检查,包括对数据异常检测Agent 、

特征提取Agent 、数据一致性检测Agent 的检查.如果发现控制台中的数据出现完整性缺失就将该数据清除。

将Agent 技术应用于IDS,一个比较突出的问题是如何保证Agent 自身的安全,因为Agent 程序的代码和数据对于主机都是暴露的,如果一个主机是恶意的或者是入侵者蓄意伪装过的,这样对Agent 就有一定的危险,因此,一定要做到“打铁必须自身硬”,这样基于Agent 的IDS 才可靠和有效,完整性检测Agent 如果发现其它Agent 的数据出现完整性缺失,就根据该Agent 的标签号及所在的域复制一个Agent.本文采用Homl 提出的限时黑盒方法保证Agent 自身安全。

(5)日志处理:IDS 系统的每台主机上都设置有日志处理系统,主机的各种IDS 操作都记录在日志文件里,该日志文件记录

的内容包括主机接收数据的源IP 地址、

目的IP 地址、接收数据的时间、检测Agent 以及特征提取Agent 分析的结果。

(6)中央控制台:IDS 的中央控制台负责对信息综合,将没有威胁的数据传递给用户,将可能有威胁的信息与入侵规则库里的数据进行比较和推理,决定该信息是否具有威胁,如果该信息属于入侵信息,则拒绝提交该数据,对于最新的信息或者可能存在威胁的信息由系统的学习模块进行处理,对于学习得到的知识再进行推理,依据学习的效果好坏,进行深知识推理和浅知识推理,如果学习的效果好就进行深知识推理,如果学习的效果不好就进行浅知识推理。

(7)Agent 学习模块:学习模块实现Agent 的学习功能,该模块功能的好坏直接影响着系统的性能,尤其对于无法识别的未知入侵或者已知入侵的变种,系统通过学习建立相应的应对机制,将其行为写入行为库里,由推理Agent 进行推理,根据实际需要本文采用基于Bayesian 网络的多Agent 强化学习方法,关于多Agent 的这种学习方法的内容将另文做单独阐述。

(8)知识推理:经过浅知识推理得到的是可疑行为的信息,经过深知识推理得到的是危险行为信息,可疑行为信息存放在可疑行为库里,危险行为信息存放在危险行为库里,危险行为库与可疑行为库相比更重要、更具有行为规则的抽取性.系统对可疑行为库里的信息进行提取,提取得到的是具有攻击行为的危险信息,并将该信息加入到危险库里,对于危险行为库里的信息进行规则抽取,将这些规则加入到入侵规则库里.不论是浅知识推理或深知识推理都是由推理Agent 完成。

在对危险行为库进行入侵规则抽取时,借鉴Snot 入侵行为描述方法,每条规则包括规则头和规则选项两部分,规则头包含规则动作、协议、源IP 地址和目的IP 地址、子网掩码、源端口和目的端口等信息,规则选项包含报警信息以及用于确定是否触发规则响应动作而需检测的数据包区域位置的相关信息。

3系统仿真与实现

为了验证基于多Agent 的IDS 的性能,本文采用Aglet 技术

进行仿真与实现.Aglets 是IBM 开发的基于Java 的移动Agent 系统,是具有代表性的Agent 系统之一,每一个Aglet 就是一个具有Agent 行为的Applet 对象。

97--

技术创新

《微计算机信息》(管控一体化)2010年第26卷第1-3期

360元/年邮局订阅号：82-946

《现场总线技术应用200例》

信息安全

Aglets 本身必须具有较强的安全性,在与其它Aglet 进行交互的过程中不会受到来自主机的攻击,首先在Aglets 引入了域的概念,即同一个域中的Aglet 是相互信任的,其次Aglet 有认证机制和完整性检查。

IBM 给出的系统模型如图3所示,在图3中系统将字节数组传递至ATCI (Agent Transport and Communication Interface)层处理,ATCI 层提供应用层协议接口ATP(Agent Transfer Protocol).在系统中每一个Aglet 就是一个移动Agent,一个Aglet 能够从一个主机迁移(被派遣)到另一台主机,这些主机都安装有Aglets 的应用环境-Tahiti 服务器,Tahiti 服务器是创建、运行和控制A －glet 的平台,Aglet 以线程的形式产生后被派往其它计算机后,再启动执行相应的任务,Aglets 系统通过上下文语境(Context)管理每一个Aglet,在Aglet 生命周期中,对Aglet 的管理包括创建A －glet 、克隆Aglet(标示与原来的不同)、派遣Aglet 、招回Aglet 、激活Aglet 、去活Aglet 、销毁Aglet 、Aglet 之间发送消息.Aglet 之间通过消息传递进行通信,但是Aglet 之间不能直接相互访问,必须通过一级Proxy 对象实现,如图4所示.开发工具使用基于Ja －va 语言的eclipse 开发平台,数据库采用SQL Server 2005,数据库访问使用JDBC 。

图3Aglets 模型图4Aglet 之间的通信模型本文的数据采用1998DARPA 入侵检测评估数据,该数据是美国MIT 林肯实验室建立的入侵检测标准数据集(https://www.wendangku.net/doc/b019094940.html,).这个数据集中有大量的正常数据和各种攻击数据,攻击数据分为四种类型,Probe:端口和漏洞扫描;U2R:本地用户的未授权访问;R2L:远程主机的未授权访问;DOS:拒绝服务攻击。

该系统中Agent 学习模块的好坏是提高系统性能的重要组件,图5显示Aglet 的学习是收敛的,Aglet 经过学习后检出入侵所需要的步数会明显下降.图6显示了在不同攻击下的检测率,与传统方法相比误报率明显下降。

图5Aglet 的学习过程图6不同攻击的检出率

4结论

本文采用Agent 技术进行入侵检测,使用Aglet 作为Agent

的具体实现技术,通过对Aglet 的实现与仿真得出基于Agent 的IDS 具有较好的检测率和较小的误报率。参考文献

[1]李昕,王占锋,魏兴,移动Agent 在IDS 中的应用及其安全性分析[J],科技论坛,2006,1,37-38

[2]Balasubra maniyan.An Architecture for Intrusion Detection us －ing Autonomous Agents [M].Coast TR 98-05,Department of Com －puter Sciences,Purdue University,1998.

[3]F.Hohl,Time Limited Black box Security:Protecting mobile a －gents from malicious hosts in G.vigna ,editor Mobile Agent and Security[A].Lecture Note in Computer Science[C]

[4]朱浩,金丽,周莲英,基于Agent 的分布式入侵检测系统的研究与实现[J],微计算机信息,2006,8-3:90-92

作者简介:杜献峰(1967-),男(汉),河南扶沟人,副教授,研究方向:软件工程,移动Agent 技术;强赞霞(1975-),女,河南三门峡人,博士,副教授,研究方向:数字图像处理。

Biography:DU Xian -feng (birth 1967-),male (Han),HeNan province,90#School Of Computer Science,Zhongyuan Institute of Technology,Associate professor.Research area:Software En -gineering,Mobile Agent Technology.

(450007郑州市中原工学院计算机学院计算机科学与技术系)

杜献峰强赞霞

(School Of Computer Science,Zhongyuan Institute of Tech -nology,Zhengzhou,Henan,450007,China)DU Xian-feng QIANG Zan-xia

通讯地址:(450007河南省郑州市中原中路41号中原工学院90#信箱)杜献峰

(收稿日期:2009.02.04)(修稿日期:2009.05.04)

(上接第153页)

5总结

本文的创新之处在于提出了一种基于移动Agent 的P2P 资源搜索方法,设计了确定Agent 数量和路线的算法,并采用该算法派遣Agent 进行资源搜索。通过性能分析和实验证明,该方法具有提高搜索效率,节约网络带宽和自主调节响应时间等优点。

参考文献

[1]张云勇.移动Agent 及其应用[M].清华大学出版社,2002.

[2]戴月,陈波,吴坚.一种新型P2P 配置模型基础上的数据检索算法[J].微计算机信息,2006.12-3:270-272

[3]李春葆,苏光奎.数据结构与算法教程[M].北京:清华大学出版社,2005.

[4]IBM Japan Aglets.https://www.wendangku.net/doc/b019094940.html,/aglets/index.html.

作者简介:王龙(1973-),男,广西工学院讲师,主要研究方向计算

机网络、智能系统。

Biography:WANG Long (1973-),male,lecturer,main research field:computer network and intelligent systems.

(545006广西柳州市广西工学院应用技术学院)王龙

(Department of Applied Technology,Guangxi University of Technology,Liuzhou,545006,China)WANG Long

通讯地址:(545006广西柳州市东环路268号广西工学院应用技术学院)王龙

(收稿日期:2009.01.20)(修稿日期:2009.04.20)

98--

入侵检测系统的研究

入侵检测系统的研究 【摘要】近几年来，随着网络技术以及网络规模的 不断扩大，此时对计算机系统的攻击已经是随处可见。现阶段，安全问题成为越来越多的人关注的重点。本文主要分析了入侵检测系统的功能、技术等情况。 【关键词】入侵检测系统研究情况 、刖言 目前的安全防护主要有防火墙等手段，但是由于防火墙 本身容易受到攻击，并且内部网络中存在着一系列的问题，从而不能够发挥其应有的作用。面对这一情况，一些组织开 始提出了通过采用更强大的主动策略以及方案来增强网络 的安全性。其中个最有效的解决方法那就是入侵检测。入 侵检测采用的是一种主动技术，从而弥补防火墙技术的不足，并且也可以防止入侵行为。 二、入侵检测系统的概述 （一）入侵检测系统的具体功能 入侵检测就是要借助计算机和网络资源来识别以及响 应一些恶意使用行为。检测的内容主要分为两个部分：外部的入侵行为、内部用户的未授权活动。然而入侵检测系统是由入侵检测的软件以及硬件这两个部分组成的。到现在为

止，入侵检测成为继防火墙之后的第二道安全闸门。在网络 安全体系中，入侵检测是成为一个非常重要的组成部分。总 之，入侵检测的功能主要包括了以下几个功能：第一，对用户活动进行监测以及分析；第二，审计系统构造变化以及弱点；第三，对已知进攻的活动模式进行识别反映，并且要向相关人士报警；第四，统计分析异常行为模式，保证评估重要系统以及数据文件的完整性以及准确性；第五，审计以及跟踪管理操作系统。 二）入侵检测系统的模型 在1987 年正式提出了入侵检测的模型，并且也是第 次将入侵检测作为一种计算机安全防御措施提出来。入侵检测模型主要分为六个部分：第一部分，主体。主体就是指在目标系统上进行活动的实体，也就是一般情况下所说的用户。第二部分，对象。对象就是指资源，主要是由系统文件、设备、命令等组成的。第三部分，审计记录。在主体对象中，活动起着操作性的作用，然而对操作系统来说，这些操作包括了登陆、退出、读、写以及执行等。异常条件主要是指系统可以识别异常的活动，比如：违反系统读写权限。资源使用情况主要指的是在系统内部，资源的实际消耗情况。时间戳主要是指活动所发生的时间。第四部分，活动档案。活动档案就是指系统正常行为的模型，并且可以将系统正常活动的相关信息保存下来。第五部分，异常记录。异常记录主要是可以将异常事件的发生情况表现出来。第六部分，活动规则。活动规则主要是指通过一组异常记录来判断入侵是否发生在规划集合中。一般情况下，通过将系统的正常活动模型作为准则，并且要按照专家所提出的系统或者统计方法来分析以及处理审计记录，如果已经发生了入侵，那么此时就应该采用相应的处理措施。 三）入侵检测系统的具体分类 通过研究现有的入侵检测系统，可以按照信息源的不同 将入侵检测系统分为以下几类： 第一，以主机为基础的入侵检测系统。通过对主机的审 计记录来进行监视以及分析，从而可以达到了入侵检测。这 监视主要发生在分布式、加密以及交换的环境中，从而可以判断出攻击是否发生。然而这一入侵检测系统存在着缺点，那就是该系统与具体操作系统平台有联系，从而很难将来自网络的入侵检测出来，并且会占有一定的系

入侵检测技术 课后答案

习题答案 第1章入侵检测概述 思考题： （1）分布式入侵检测系统（DIDS）是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的？ 答：分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试，以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术，向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响，DIDS用一个6层入侵检测模型提取数据相关性，每层代表了对数据的一次变换结果。 （2）入侵检测作用体现在哪些方面？ 答：一般来说，入侵检测系统的作用体现在以下几个方面： ●监控、分析用户和系统的活动； ●审计系统的配置和弱点； ●评估关键系统和数据文件的完整性； ●识别攻击的活动模式； ●对异常活动进行统计分析； ●对操作系统进行审计跟踪管理，识别违反政策的用户活动。 （3）为什么说研究入侵检测非常必要？ 答：计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力，但是由于连网用户的增加，网上电子商务开辟的广阔前景，越来越多的系统受到入侵者的攻击。为了对付这些攻击企图，可以要求所有的用户确认并验证自己的身份，并使用严格的访问控制机制，还可以用各种密码学方法对数据提供保护，但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话，就要求所有的用户能识别和认证自己，还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看，这根本是不可能的。 因此，一个实用的方法是建立比较容易实现的安全系统，同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统，现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言，系统存在被攻击的可能性。如果系统遭到攻击，只要尽可能地检测到，甚至是实时地检测到，然后采取适当的处理 –– 1

入侵检测系统

入侵检测系统 1. 引言 1.1 背景 近年来，随着信息和网络技术的高速发展以及其它的一些利益的驱动，计算机和网络基础设施，特别是各种官方机构网站成为黑客攻击的目标，近年来由于对电子商务的热切需求，更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施，入侵检测系统(Intrusion Detection System，简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是“外紧内松”，无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全，但内部缺乏必要的安全措施。据统计，全球80%以上的入侵来自于内部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于企业内部人员所做的攻击，防火墙形同虚设。 入侵检测是对防火墙及其有益的补充，入侵检测系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 1.2 背国内外研究现状 入侵检测技术国外的起步较早，有比较完善的技术和相关产品。如开放源代码的snort，虽然它已经跟不上发展的脚步，但它也是各种商业IDS的参照系；NFR公司的NID等，都已相当的完善。虽然国内起步晚，但是也有相当的商业产品：天阗IDS、绿盟冰之眼等不错的产品，不过国外有相当完善的技术基础，国内在这方面相对较弱。

入侵检测系统研究的论文

入侵检测系统研究的论文 摘要介绍了入侵检测系统的概念，分析了入侵检测系统的模型；并对现有的入侵检测系统进行了分类，讨论了入侵检测系统的评价标准，最后对入侵检测系统的发展趋势作了有意义的预测。 关键词入侵检测系统；cidf ；网络安全；防火墙 0 引言 近年来，随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动，计算机和网络基础设施，特别是各种官方机构的网站，成为黑客攻击的热门目标。近年来对电子商务的热切需求，更加激化了这种入侵事件的增长趋势。由于防火墙只防外不防内，并且很容易被绕过，所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为，对付入侵行为的第二道防线——入侵检测系统就被启用了。 1 入侵检测系统（ids）概念 1980年，james 第一次系统阐述了入侵检测的概念，并将入侵行为分为外部滲透、内部滲透和不法行为三种，还提出了利用审计数据监视入侵活动的思想[1]。即其之后,1986年dorothy 提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型，命名为入侵检测专家系统（ides），1990年，等设计出监视网络数据流的入侵检测系统，nsm(network security monitor)。自此之后，入侵检测系统才真正发展起来。 anderson将入侵尝试或威胁定义为：潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4]：发现非授权使用计算机的个体（如“黑客”）或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为：检测企图破坏计算机资源的完整性，真实性和可用性的行为的软件。 入侵检测系统执行的主要任务包括[3]：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。入侵检测一般分为三个步骤：信息收集、数据分析、响应。 入侵检测的目的：（1）识别入侵者；（2）识别入侵行为；（3）检测和监视以实施的入侵行为；（4）为对抗入侵提供信息，阻止入侵的发生和事态的扩大； 2 入侵检测系统模型 美国斯坦福国际研究所（sri）的于1986年首次提出一种入侵检测模型[2]，该模型的检测方法就是建立用户正常行为的描述模型，并以此同当前用户活动的审计记录进行比较，如果有较大偏差，则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展，后来人们又提出了基于规则的检测方法。结合这两种方法的优点，人们设计出很多入侵检测的模型。通用入侵检测构架（common intrusion detection framework简称cidf）组织，试图将现有的入侵检测系统标准化，cidf阐述了一个入侵检测系统的通用模型（一般称为cidf模型）。它将一个入侵检测系统分为以下四个组件： 事件产生器(event generators) 事件分析器(event analyzers) 响应单元(response units) 事件数据库(event databases) 它将需要分析的数据通称为事件，事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件，并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应

入侵检测技术

入侵检测技术 一、入侵检测技术 入侵检测的研究最早可追溯到James Aderson在1980年的工作,他首先提出了入侵检测的概念,在该文中Aderson提出审计追踪可应用于监视入侵威胁，但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问,这一设想的重要性当时并未被理解。1987年Dorothy.E.Denning[2]提出入侵检测系统(Intrusion Detection System，IDS)的抽象模型,首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出，与传统加密和访问控制的常用方法相比,IDS是全新的计算机安全措施。1988年的Morris Internet蠕虫事件使得Internet近5天无法使用。该事件使得对计算机安全的需要迫在眉睫,从而导致了许多IDS系统的开发研制。 入侵检测（Intrusion Detection）的定义为：识别针对计算机或网络资源的恶意企图和行为，并对此作出反应的过程。IDS则是完成如上功能的独立系统。IDS能够检测未授权对象（人或程序）针对系统的入侵企图或行为(Intrusion)，同时监控授权对象对系统资源的非法操作(Misuse)。 ●从系统的不同环节收集信息； ●分析该信息，试图寻找入侵活动的特征； ●自动对检测到的行为做出响应； ●纪录并报告检测过程结果。 入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足，从某种意义上说是防火墙的补充[1]。 二、入侵检测的分类 现有的分类，大都基于信息源和分析方法进行分类。 2.1 根据信息源的不同，分为基于主机型和基于网络型两大类 2.1.1 基于主机的入侵检测系统 基于主机的IDS可监测系统、事件和Windows NT下的安全记录以及Unix环境下的系统记录。当有文件被修改时，IDS将新的记录条目与已知的攻击特征相比较，看它们是否匹配。如果匹配，就会向系统管理员报警或者作出适当的响应。 基于主机的IDS在发展过程中融入了其他技术。检测对关键系统文件和可执行文件入侵

入侵检测试题

1、绘出Denning入侵检测系统模型图，并对这一模型图进行简要的文字说明。 答： 在如图所示的通用入侵检测模型中，事件生成器从给定的数据来源中，生成入侵检测事件，并分别送入到活动档案计算模块和规则库检测模块中。活动档案模块根据新生成的事件，自动更新系统行为的活动档案；规则库根据当前系统活动档案和当前事件的情况，发现异常活动情况，并可以按照一定的时间规则自动地删减规则库中的规则集合。 2、P2DR模型的内容有哪些？ 答：具体而言，P2DR模型的内容包括如下。 ⑴策略：P2DR模型的核心内容。具体实施过程中，策略规定了系统所要达到的安全目标和为达到目标所采取的各种具体安全措施及其实施强度等。 ⑵防护：具体包括制定安全管理规则、进行系统安全配置工作以及安装各种安全防护设备。 ⑶检测：在采取各种安全措施后，根据系统运行情况的变化，对系统安全状态进行实时的动态监控。 ⑷响应：当发现了入侵活动或入侵结果后，需要系统作出及时的反应并采取措施，其中包括记录入侵行为、通知管理员、阻断进一步的入侵活动以及恢复系统正常运行等。 3、可用于入侵检测的的统计模型有哪些？ 答：4种可以用于入侵检测的统计模型是： （1）操作模型 （2）均值与标准偏差模型 （3）多元模型 （4）马尔可夫过程模型 4、PBEST系统包括哪些部份？各部份具体的内容是什么？ 答：PBEST系统包括一个规则翻译器pbcc、一个运行时例程库和一组垃圾收集例程。规则翻译器接收一组规则（rule）和事实（fact）的定义后，生成一组C语言的例程，用来“断言”（assert）事实和处理规则。运行时例程库中包含了所有专家系统中的共享代码，并且包括支持交互式专家系统引擎的例程。这些交互式的环境将能够帮助用户查看程序的运行情况、设置和清除断点、删除和“断言”事实以及观察规则点火的影响轨迹等。 5、

第8章 入侵检测系统(IDS)及应用习题答案

习题答案 一、填空题 1. 入侵者进入我们的系统主要有三种方式：物理入侵、系统入侵、远程入侵。 2. 入侵检测系统是进行入侵检测的软件与硬件的组合。 3. 入侵检测系统由三个功能部分组成，它们分别是感应器（Sensor）、分析器(Analyzer)和管理器(Manager)。 4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和 基于网络的入侵检测系统。 5.入侵检测系统根据工作方式分为在线检测系统和离线检测系统。 6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。 二、选择题 1.IDS产品相关的等级主要有(BCD)等三个等级： A: EAL0 B: EAL1 C: EAL2 D: EAL3 2. IDS处理过程分为(ABCD )等四个阶段。 A: 数据采集阶段B: 数据处理及过滤阶段C: 入侵分析及检测阶段D: 报告以及响应阶段 3. 入侵检测系统的主要功能有(ABCD )： A: 监测并分析系统和用户的活动 B: 核查系统配置和漏洞 C: 评估系统关键资源和数据文件的完整性。 D: 识别已知和未知的攻击行为 4. IDS产品性能指标有(ABCD )： A:每秒数据流量 B: 每秒抓包数 C: 每秒能监控的网络连接数 D:每秒能够处理的事件数 5. 入侵检测产品所面临的挑战主要有(ABCD )： A:黑客的入侵手段多样化 B:大量的误报和漏报 C:恶意信息采用加密的方法传输 D:客观的评估与测试信息的缺乏

三、判断题 1. 有了入侵检测系统以后，我们可以彻底获得网络的安全。(F ) 2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。 ( T ) 3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。( F ) 4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。( T ) 四、简答题 1. 什么是入侵检测系统？简述入侵检测系统的作用？ 答：入侵检测系统（Intrusion Detection System,简称IDS）是进行入侵检测的软件与硬件的组合，事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。入侵检测系统的作用主要是通过监控网络、系统的状态，来检测系统用户的越权行为和系统外部的入侵者对系统的攻击企图。 2. 比较一下入侵检测系统与防火墙的作用。 答：防火墙在网络安全中起到大门警卫的作用，对进出的数据依照预先设定的规则进行匹配，符合规则的就予以放行，起访问控制的作用，是网络安全的第一道关卡。IDS 是并联在网络中，通过旁路监听的方式实时地监视网络中的流量，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警，不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说，IDS是网络安全的第二道关卡，是防火墙的必要补充。 3. 简述基于主机的入侵检测系统的优缺点？ 答：优点：①准确定位入侵②可以监视特定的系统活动③适用于被加密和交换的环境 ④成本低 缺点：①它在一定程度上依靠系统的可靠性，要求系统本身具有基本的安全功能，才能提取入侵信息。②主机入侵检测系统除了检测自身的主机之外，根本不检测网络上的情况 4. 简述基于网络的入侵检测系统的优缺点？ 答：优点：①拥有成本较低②实时检测和响应③收集更多的信息以检测未成功的攻击和不良企图④不依靠操作系统⑤可以检测基于主机的系统漏掉的攻击 缺点：①网络入侵检测系统只能检查它直接连接的网段的通信，不能检测在不同网段的网络包。②网络入侵检测系统通常采用特征检测的方法，只可以检测出普通的一些攻击，而对一些复杂的需要计算和分析的攻击检测难度会大一些。③网络入侵检测系统只能监控明文格式数据流，处理加密的会话过程比较困难。 5. 为什么要对入侵检测系统进行测试和评估？ 答：①有助于更好地描述IDS的特征。②通过测试评估，可更好地认识理解IDS的处理方法、所需资源及环境;建立比较IDS的基准。对IDS的各项性能进行评估，确定IDS 的性能级别及其对运行环境的影响。③利用测试和评估结果，可做出一些预测，推断IDS 发展的趋势，估计风险，制定可实现的IDS质量目标(比如，可靠性、可用性、速度、精确度)、花费以及开发进度。④根据测试和评估结果，对IDS进行改善。

入侵检测

第一章入侵检测概述 1、网络安全的实质？ 2、为了提高网络安全性，需要从哪些层次和环境入手？ 3、为什么说无法确保系统的安全性达到某一确定的级别？ 4、为什么说入侵检测是一种动态的监控、预防或抵制系统入侵行为的安全机制？ 5、入侵检测主要通过监控哪些方面来检测内部或外部的入侵企图？ 6、与传统的预防型安全机制相比，入侵检测具有哪些优点？ 7、为什么说入侵检测是对传统计算机安全机制的一种补充？ 8、入侵检测机制能弥补防火墙的哪些不足？ 9、入侵检测机制能弥补访问控制的哪些不足？ 10、入侵检测机制能弥补漏洞扫描工具的哪些不足？ 11、P2TR安全模型体现了什么样的思想？ 12、在P2TR模型中检测所起的作用是什么？ 13、攻击时间Pt 的含义？ 14、检测时间Dt的含义？ 15、响应时间Rt的含义？ 16、系统暴露时间Et的含义？ 17、用基于时间的特性描述什么情况下系统是安全的？ 18、依据P2DR模型，安全目标是什么？ 19、目前，实施检测功能最有效的技术是哪种技术？

20、入侵检测的早期研究主要包括哪些方面的内容？ 21、1986年的哪篇文章被认为是入侵检测的开山之作？ 22、1990年出现的网络安全监视器（NSM）的重要贡献是什么？ 23、入侵检测的商业产品最早出现在哪一年？ 24、DIDS最早期的目标是什么？ 25、DIDS能够有效解决什么问题？ 26、入侵的含义是什么？ 27、入侵检测的含义是什么？ 28、入侵检测系统的含义是什么？ 29、IDS的作用和功能主要有哪些？ 30、IDS的主要缺点是什么？ 31、IDS作为一项安全技术，其主要目的有哪几个？ 第二章入侵方法与手段 1、网络入侵的一般流程是什么？ 2、常见的信息收集方式有哪些？ 3、通过whois服务器可以查到哪些信息？ 4、用nslookup可以获得攻击目标的哪些信息？ 5、目前最常见的网络攻击有哪几类？ 6、网络入侵发生的内因是什么？ 7、网络入侵发生的主要外因是什么？ 8、常见的安全威胁包括哪些类型？

入侵检测系统

入侵检测系统.txt你不能让所有人满意，因为不是所有的人都是人成功人士是—在牛B的路上，一路勃起你以为我会眼睁睁看着你去送死吗？我会闭上眼睛的侵检测系统在linux下的完美运用方案 入侵检测系统简介 当越来越多的公司将其核心业务向互联网转移的时候，网络安全作为一个无法回避的问题呈现在人们面前。传统上，公司一般采用防火墙作为安全的第一道防线。而随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。与此同时，当今的网络环境也变得越来越复杂，各式各样的复杂的设备，需要不断升级、补漏的系统使得网络管理员的工作不断加重，不经意的疏忽便有可能造成安全的重大隐患。在这种环境下，入侵检测系统成为了安全市场上新的热点，不仅愈来愈多的受到人们的关注，而且已经开始在各种不同的环境中发挥其关键作用。 本文中的“入侵”（Intrusion）是个广义的概念，不仅包括被发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问（Denial of Service）等对计算机系统造成危害的行为。 入侵检测（Intrusion Detection），顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection sys tem,简称IDS）。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。 具体说来，入侵检测系统的主要功能有： a.监测并分析用户和系统的活动； b.核查系统配置和漏洞； c.评估系统关键资源和数据文件的完整性； d.识别已知的攻击行为； e.统计分析异常行为； f.操作系统日志管理，并识别违反安全策略的用户活动。 由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。ISS、axent、NFR、cisco等公司都推出了自己相应的产品（国内目前还没有成熟的产品出现）。但就目前而言，入侵检测系统还缺乏相应的标准。目前，试图对IDS进行标准化的工作有两个组织：IETF的Intrusion Detection Working Group (idwg)和Common Intrusion Detection Framework (CIDF)，但进展非常缓慢，尚没有被广泛接收的标准出台。 入侵检测系统模型 CIDF模型 Common Intrusion Detection Framework (CIDF)（https://www.wendangku.net/doc/b019094940.html,/）阐述了一个入侵检测系统（IDS）的通用模型。它将一个入侵检测系统分为以下组件：l事件产生器（Event generators）

网络入侵检测原理与技术

网络入侵检测原理与技术 摘要：计算机网络技术的发展和应用对人类生活方式的影响越来越大，通过Internet人们的交流越来越方便快捷，以此同时安全问题也一直存在着，而人们却一直未给予足够的重视，结果连接到Internet上的计算机暴露在愈来愈频繁的攻击中，基于计算机、网络的信息安全问题已经成为非常严重的问题。 关键词：入侵检测；入侵检测系统；入侵检测系统的原理、方法、技术 一、网络入侵及其原因 简单来说，网络安全问题可以分为两个方面： 1)网络本身的安全； 2)所传输的信息的安全。 那么，我们之所以要进行网络入侵检测，原因主要有以下几个：1）黑客攻击日益猖獗 2）传统安全产品存在相当多的问题 二、入侵检测原理、方法及技术 1、入侵检测概念 入侵检测是指对潜在的有预谋的未经授权的访问信息、操作信息以及致使系统不可靠、不稳定或者无法使用的企图的检测和监视。它是对安全保护的一种积极主动地防御策略，它从计算机网络系统中的若干关键点收集信息，并进行相应的分析，以检查网路中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后第二道安全闸门，在不影响网路性能的前提下对网络进行监测，从而提供对内外部攻击和误操作的实时保护。 2、入侵检测模型

3、入侵检测原理 根据入侵检测模型，入侵检测系统的原理可以分为以下两种： 1）异常检测原理 该原理根据系统或者用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。 异常检测原理根据假设攻击和正常的活动的很大的差异来识别攻击。首先收集一段正常操作的活动记录，然后建立代表用户、主机或网络连接的正常行为轮廓，再收集事件数据同时使用一些不同的方法来决定所检测到的事件活动是否正常。 基于异常检测原理的入侵检测方法和技术主要有以下几种方法： a)统计异常检测方法； b)特征选择异常检测方法； c)基于贝叶斯推理异常的检测方法； d)基于贝叶斯网络异常检测方法； e)基于模式预测异常检测方法。 其中比较成熟的方法是统计异常检测方法和特征选择异常检测方法，对这两种方法目前已有由此而开发成的软件产品面市，而其他方法都还停留在理论研究阶段。 异常检测原理的优点：无需获取攻击特征，能检测未知攻击或已知攻击的变种，且能适应用户或系统等行为的变化。 异常检测原理的缺点：一般根据经验知识选取或不断调整阈值以满足系统要求，阈值难以设定；异常不一定由攻击引起，系统易将用户或系统的特殊行为(如出错处理等)判定为入侵，同时系统的检测准确性受阈值的影响，在阈值选取不当时，会产生较多的检测错误，造成检测错误率高；攻击者可逐渐修改用户或系统行为的轮廓模型，因而检测系统易被攻击者训练；无法识别攻击的类型，因而难以采取适当的措施阻止攻击的继续。 2）误用检测原理 误用检测，也称为基于知识或基于签名的入侵检测。误用检测IDS根据已知攻击的知识建立攻击特征库，通过用户或系统行为与特征库中各种攻击模式的比较确定是否发生入侵。常用的误用检测方法和技术主要有： a)基于专家系统的检测方法； b)基于状态转移分析的检测方法； c)基于条件的概率误用检测方法； d)基于键盘监控误用检测方法； e)基于模型误用检测方法。 误用检测技术的关键问题是：攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的，如何用特定的模式语言来表示这种攻击行为，是该方法的关键所在。尤其攻击签名必须能够准确地表示入侵行为及其所有可能的变种，同时又不会把非入侵行为包含进来。由于大部分的入侵行为是利用系统的漏洞和应用程序的缺陷进行攻击的，那么通过分析攻击过程的特征、条件、排列以及事件间的关系，就可具体描述入侵行为的迹象。 4、入侵检测方法 1）基于概率统计的检测 该方法是在异常入侵检测中最常用的技术，对用户行为建立模型并根据该模型，当发现出现可疑行为时进行跟踪，监视和记录该用户的行为。优越性在于理论成熟，缺点是匹配用

入侵检测技术

重要章节：3、4、5、6、7、9 第一章 入侵检测概述 1.入侵检测的概念：通过从计算机网络或计算机系统中的若干关键点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 2.传统安全技术的局限性：（1）防火墙无法阻止内部人员所做的攻击（2）防火墙对信息流的控制缺乏灵活性（3）在攻击发生后，利用防火墙保存的信息难以调查和取证。 3.入侵检测系统的基本原理主要分为4个阶段：数据收集、数据处理、数据分析和响应处理。 4.入侵检测的分类：（1）按照入侵检测系统所采用的技术：误用入侵检测、异常入侵检测和协议分析（2）按照数据来源可以分为：基于主机的IDS 、基于网络的IDS 、混合式IDS 、文件完整性检查式IDS 第二章 常见的入侵方法与手段 1.漏洞的具体表现：（1）存储介质的不安全（2）数据的可访问性（3）信息的聚生性（4）保密的困难性（5）介质的剩磁效应（6）电磁的泄露性（7）通信网络的脆弱性（8）软件的漏洞 2.攻击的概念和分类：根据攻击者是否直接改变网络的服务，攻击可以分为被动攻击和主动攻击。主动攻击会造成网络系统状态和服务的改变。被动攻击不直接改变网络的状态和服务。 3.攻击的一般流程：（1）隐藏自己（2）踩点或预攻击探测（3）采取攻击行为（4）清除痕迹 第三章 入侵检测系统模型 1.入侵检测系统模型的3个模块：信息收集模块、信息分析魔力和报警与响应模块 入侵检测系统的通用模型 2.入侵检测发展至今，先后出现了基于主机的和基于网络的入侵检测系统，基于模式匹配、异常行为、协议分析等检测技术的入侵检测系统。第四代入侵检测系统是基于主机+网络+安全管理+协议分析+模式匹配+异常统计的系统，它的优点在于入侵检测和多项技术协同工作，建立全局的主动保障体系，误报率、漏报率较低，效率高，可管理性强，并实现了多级的分布式监测管理，基于网络的和基于主机的入侵检测与协议分析和模式匹配以及异常统计相结合，取长补短，可以进行更有效的入侵检测。 3.入侵检测信息的来源一般来自以下的4个方面：（1）系统和网路日志文件（2）目录和文件中不期望的改变（3）程序执行中的不期望行为（4）物理形式的入侵 4.在入侵检测系统中，传感器和事件分析器之间的通信分为两层：OWL 层和SSL 层。OWL 层负责使用OWL 语言将传感器收集到的信息转换成统一的OWL 语言字符串。SSL 层使用SSL 协议进行通信。 5.信息分析的技术手段：模式匹配、统计分析和完整性分析。 6.根据入侵检测系统处理数据的方式，可以将入侵检测系统分为分布式入侵检测系统和集中式入侵检测系统。 分布式：在一些与受监视组件相应的位置对数据进行分析的入侵检测系统。 集中式：在一些固定且不受监视组件数量限制的位置对数据进行分析的入侵检测系统。 7.分布式入侵检测系统和集中式入侵检测系统的特点比较如下： 1.可靠性 集中式：仅需运行较少的组件 分布式：需要运行较多的组件 2.容错性 集中式：容易使系统从崩溃中恢复，但也容易被故障中断 分布式：由于分布特性，数据存储时很难保持一致性和可恢复性 信息收集 信息分析 报警与响应

入侵检测技术毕业论文

毕业设计 开题报告 学生姓名徐盼 学号 201402081117 专业计算机网络技术 班级网络201401班 指导教师刘烨 开题时间2016年10月20日黄冈职业技术学院电子信息学院

电子信息学院毕业设计开题报告

学业作品 题目入侵检测技术应用 学生姓名徐盼 学号 201402081117 专业计算机网络技术 班级网络201401班 指导教师刘烨 完成日期 2016 年 11月 20日

目录 摘要 (6) 关键词 (6) 第一章绪论 (7) 1.2 入侵检测技术的历史 (7) 1.3 本课题研究的途径与意义 (8) 第二章入侵检测技术原理 (9) 2.1 入侵检测的工作流程 (9) 2.1.1 数据收集 (9) 2.1.2 数据提取 (9) 2.1.3数据分析 (10) 2.1.4 结果处理 (10) 2.2入侵检测技术的检测模型 (10) 2.2.1 异常检测模型 (10) 2.2.2 误用检测模型 (11) 第三章入侵检测技术功能概要 (11) 第四章入侵检测系统实验案例分析 (12) 4.1 配置Snort选项 (12) 4.2 测试Snort (13) 4.3 攻击与检测过程 (14) 4.3.1 攻击过程 (14) 4.3.2 Snort运行过程 (14) 4.4 检测结果分析 (14) 第五章入侵检测技术的缺点和改进 (15) 5.1 入侵检测技术所面临的问题 (15) 5.2 入侵检测技术的改进发展 (16) 总结 (16) 致谢 (17) 参考文献 (17)

摘要 近年来随着计算机网络的迅速发展，网络安全问题越来越受到人们的重视。从网络安全角度来看，防火墙等防护技术只是被动安全防御技术，只是尽量阻止攻击或延缓攻击，只会依照特定的规则，允许或是限制传输的数据通过。在网络环境下不但攻击手段层出不穷，而且操作系统、安全系统也可能存在诸多未知的漏洞，这就需要引入主动防御技术对系统安全加以补充，目前主动防御技术主要就是入侵检测技术。 本文从入侵检测技术的发展入手，研究、分析了入侵检测技术和入侵检测系统的原理、应用、信息收集和分析、数据的处理及其优缺点和未来的发展方向。 关键词：网络安全，网络入侵，入侵检测技术，入侵检测系统

入侵检测复习总结

1.IP欺骗的实质：IP地址隐藏、TCP序列号重置、IP地址验证。 利用IP地址的攻击方法：解密、窃取口令、发送病毒。 2.信息系统面临的三种威胁：非人为因素和自然力造成的数据丢失，设备失效， 线路阻断、人为但属于操作人员五一的失误造成的数据丢失、来自外部或内部人员的恶意攻击和入侵。 信息分析的方法/技术手段：模式匹配、统计分析、完整性分析、数据流分析。 信息分析的技术手段：模式匹配、统计分析、完整性分析（用于事后分析）。 3.入侵检测：对入侵行为的发觉，他通过从计算机网络或计算机系统的若干关 键点收集信息，并对其进行分析。从中发现是否有违反安全策略的行为和被攻击的迹象。 入侵检测模型的活动档案中未定义的随机变量：事件计数器、间隔计数器、资源计数器。 入侵检测系统的主体的分类：中心主体、分析主体、主机主体和网络主体。 入侵检测模型的第一阶段任务：信息收集、信息分析、信息融合。 入侵检测系统的组成：事件产生器、事件分析器、响应单元。 入侵检测性能的会受什么参数影响：检测率、虚警率。 入侵检测的不足：有效性差、适应性差、扩展性差、伸展性差。 入侵检测基础和核心是：信息收集，信号分析。 入侵攻击6步骤：确认目标、信息收集、漏洞挖掘、实施攻击、留下后门、清除日志。 按照检测数据的来源可将入侵检测系统分为：基于主机的IDS和基于网络的的IDS。 从技术分类入侵检测可分为：基于标识和基于异常情况。 从数据来源入侵检测可分为：基于主机的入侵检测和基于网络的入侵检测。 从数据分析手段来看：滥用入侵检测、异常入侵检测。 入侵检测原理的四阶段：数据收集、数据处理、数据分析、相应处理。 入侵检测的模型：操作模型、方差模型、多元模型、马尔可夫过程模型、时间序列分析模型。 入侵检测系统模型的3模块：信息收集模块、信息分析模块、报警与响应模块。 入侵检测利用的信息来源：系统和网络日志文件、目录和文件中不期望的改变、程序执行中不期望的行为、物理形式的入侵。 入侵检测系统的6个作用：通过检测和记录网络中的安全违规行为，惩罚罪犯、检测其他安全措施未能阻止的攻击或安全违规行为、检测黑客在攻击前的探测行为，预先发出警告、报告计算机系统或网络中的存在的安威胁、提供有关攻击的信息，帮助管理员诊断网络中的安全弱点进而修补、可以提高网络安全管理的质量。 入侵检测技术的局限性：误报和漏报的矛盾、安全和隐私的矛盾、被动和主动分析的矛盾、海量信息和分析代价的矛盾、功能性和可管理性的矛盾、单一产品和复杂的网络应用的矛盾。 入侵检测的发展阶段：入侵检测系统（IDS）、入侵防御系统（IPS）、入侵管理系统（IMS）。 4.误用入侵检测的思想是：若所有的入侵行为和手段都能够表达为一种模式或 特征，那所有已知的入侵方法都可以用模式匹配来发现。难点在于如何设计

第六章 信息资源安全管理

1.【识记】应对银行突发灾难的最有效办法是什么？（P154）[201104单选] 应对银行突发灾难的最有效办法是迅速建立并不断完善金融机构灾难备份和恢复系统。 2.【识记】信息资源安全管理主要关注信息在开发利用过程中面临的哪些方面 问题？（P154） （1）可用性 保证合法用户对信息的使用不会被不正当地拒绝。 （2）保密性也称机密性 保证机密信息不被窃取，或窃取者不能了解信息的真实含义。 （3）认证性也称真实性 对信息的来源进行判断（身份认证），能对伪造来源的信息予以鉴别。 （4）一致性也称完整性 保证信息是一致或完整的，即信息在生成利用全过程中，内容不被非法用户篡改（信息内容认证）。 3.【识记】信息资源安全管理的主要任务是什么？（P155）[201104简答、201107 案例] （1）采取技术和管理措施，保证信息资源可用，即使信息和信息系统在任何时候可被合法用户使用。 （2）采用数据加密技术，使信息在其处理过程（存储或传递）中，内容不被非法者获得。 （3）建立有效的责任机制，防止用户否认其行为。 （4）建立可审查的机制，实现责任追究性：能追踪资源什么时候被用、谁用、怎么用（如系统日志）。 4.【识记】信息系统安全层次可以分为哪几层？（P156）[201107单选] （1）法律道德纪律（2）管理制度措施（3）物理实体安全（4）硬件系统安全（5）通信网络安全（6）软件系统安全（7）数据信息安全 5.【识记】信息系统安全的行为规范管理主要包括哪些内容？（P157）[201107 单选] （1）国家根据社会发展特别是国家信息化发展的需要，逐步建立和完善安全的政策、法律和法规体系，对信息过程中的各种行为（如信息获取、信息传输、信息加工、信息发布、信息利用等）加以规范，即从法律和行政管理（政策、规程）的角度，约束和指导信息资源开发利用行为，以保证国家、组织和公民的信息权益，进而保护国家主权和利益不受侵犯。 （2）社会组织（如政府机构、企事业单位等）在国家政策和法规指导下，制定信息资源安全管理策略，从整体上，把握信息资源开发利用和安全管理的平衡点，设置保护对象的安全优先级，提出信息系统的安全目标，以及实现这些安全目标所运用的手段和采取的途径。 6.【识记】简述制定安全策略的步骤？（P157）[201104单选] （1）理解组织的业务特征；（2）建立安全管理组织机制；（3）确定信息资源安全的整体目标；（4）确定安全策略的范围（5）安全策略评估（6）安全策略实施 7.【识记】实体安全管理的主要内容有哪些？（P157）[201107简答] （1）场地环境安全 a、场地 b、空气调节系统 c、防火管理