论文部分内容阅读
随着互联网络的不断发展壮大,信息全球化已经成为人类发展的总体趋势,信息网络也逐渐成为社会发展的重要保证。网络为人们在信息利用和资源共享方面带来了很大便利的同时,也使人们不得不面临由于入侵而引发的一系列信息安全问题。为了防止关键信息和机密文件的泄漏,人们必须研究出解决问题的有效安全策略并形成强大的安全防护体系。近年来,在信息全球化趋势逐步加速的同时,网络安全技术以及相关的研究领域也越来越受到广泛关注,成为网络技术研究和发展的焦点。入侵检测(Intrusion Detection)技术是网络安全领域新兴的研究课题,相对于传统的操作系统加固技术和防火墙隔离技术等静态安全防御技术来说,它是一种动态的安全核心技术。入侵检测是一个监测计算机网络和系统以发现违反安全策略事件的过程,它拓宽了传统审计的概念,以几乎不间断的方式进行检测,从而形成连续的检测过程。入侵检测技术可以弥补防火墙等静态防御技术的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,如记录证据、跟踪入侵、恢复或断开网络连接等,从而有着广阔的研究与开发前景。根据检测数据来源的不同,入侵检测系统(IDS,Intrusion Detection System)可分为以下几种:基于主机的入侵检测系统(HIDS):基于主机的IDS通常检查诸如日志文件、进程记账信息、用户行为信息以及主机上运行的基于应用程序的IDS的输出数据等。基于网络的入侵检测系统(NIDS):基于网络IDS主要检查网络范围内的数据流量。它一般可以访问所监控网络环境中基于主机和应用程序的IDS所发来的输出数据,同时也可以直接检查网络数据包信息。基于多个网络/基础设施的入侵检测系统:多网络环境下的IDS通常表现为紧急事件反应小组(IRT, Incident Response Team)的形式。它的输入来自下属网络范围内的各个站点。每个站<WP=82>点是一个管理域内的一个安全监控实体。该种类型的IDS接受来自上述其他各种类型IDS的输出数据。根据其采用的分析方法又可分为异常检测和误用检测:异常检测(Anomaly detection):假定所有入侵行为都是与正常行为不同的,它的原理是,假设可以建立系统正常行为的轨迹,所有与正常轨迹不同的系统状态则视为可疑企图。异常阈值与特征的选择是其成败的关键。其局限在于,并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新。误用检测(Misuse Detection):假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,系统的目标就是检测主体活动是否符合这些模式。关键是如何表达入侵的模式,把真正的入侵行为与正常行为区分开来,因此入侵模式表达的好坏直接影响入侵检测的能力。本文主要针对基于网络的入侵检测系统(NIDS,Network-based Intrusion Detection System)和误用检测技术展开深入研究,调查和分析了国内外相关领域的研究现状,在对现有的入侵检测技术进行了细致研究与分析的基础上,提出了一种基于模式匹配的网络入侵检测系统的模型。同时,在小型实验局域网络环境下,基于Windows 2000操作系统平台,参考国外先进网络入侵检测系统Snort的设计思想,完成了对该模型(WNIDS实验系统)的具体实现,包括数据包捕获与解析模块、预处理模块、检测引擎和日志报警输出等模块的详细设计和实现。为了进一步提高该实验系统检测引擎模块的性能,本文还对模式匹配算法进行了深入分析与研究。针对原有经典的单模式算法——Boyer Moore(BM)算法在入侵检测系统的应用中所出现的在处理大规模模式时的效率降低等方面的不足和缺陷,在充分借鉴了国外先进的入侵检测系统的设计思想的基础上,提出了将一种基于集合的多模式匹配算法(Wu-Manber94算法)应用于检测引擎当中的方法,旨在提高系统处理数目庞大的规则集时的效率。Wu-Manber94算法在设计上广泛借鉴了BM算法的思想,但使用了不同的实现方法,并针对多模式匹配特点做出了一些改进。算法解决了如何在多个模式匹配出现匹配冲突时继续保持BM算法的实质与效率的问题,采用散列(Hash)技术和高效过滤等方法,减小了匹配冲突对算法执行效率的影响。<WP=83>通过实际运用可以看出这种算法在处理大规模模式时所体现出的优势,从而使检测引擎的性能得到较明显的改进。此外,为了提高WNIDS实验系统的整体性能,本文还参考国外先进入侵检测系统设计思想和成功经验,改变了以往系统单一的工作模式,进一步细化检测流程,针对不同的网络数据包采取了不同的搜索和匹配策略。在充分理解了基于集合检测思想的基础上,将规则优化、多规则搜索引擎、可配置多模式匹配引擎以及基于排除的模式匹配策略等设计思想应用于原有的实验系统之中,对现有的实验系统整体性能进行了进一步的优化与改进。从实验数据可以看出,与之前的入侵检测实验系统相比较,改进后的网络入侵检测系统由于检测引擎应用了更好的搜索策略,在性能上有了显著的提高。由于其可以根据模式的大小和数量多少动态调整搜索策略,从而能够更好的适应不同的网络环境与不同程度和规模的入侵,增强了网络数据的检测处理能力。同时,由于其具有良好的可兼容性和可扩展性,还可以根