資源描述:
《網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究:針對(duì)X絡(luò)入侵檢測(cè)系統(tǒng)的幾個(gè)瓶頸,對(duì)X絡(luò)入侵檢測(cè)系統(tǒng)做研究。在此基礎(chǔ)上設(shè)計(jì)一個(gè)整體策略,并給出X絡(luò)入侵檢測(cè)系統(tǒng)的基本實(shí)現(xiàn),最后給出基于CEV規(guī)則庫的應(yīng)用?! £P(guān)鍵詞:X絡(luò)入侵;檢測(cè)系統(tǒng);設(shè)計(jì) ?。篢P309:A:1671-7597(2011)0310080-01 0引言 在X絡(luò)的入侵檢測(cè)系統(tǒng)的基礎(chǔ)之上則需要改變X卡(iscuousmode)?! ≡诋?dāng)今倡導(dǎo)的“百兆桌面”的思想下,整個(gè)X絡(luò)的數(shù)據(jù)通信龐大,在高速X絡(luò)下傳統(tǒng)基于X絡(luò)的入侵檢測(cè)檢測(cè)系統(tǒng)有那些速度瓶頸?! ?)系統(tǒng)軟硬件平臺(tái)的本身處理能力構(gòu)成瓶頸。2)傳統(tǒng)獲取數(shù)據(jù)包方式耗費(fèi)資源影響性能。
2、3)基于特征匹配的檢測(cè)方式隨著規(guī)則增多性能下降。4)協(xié)議分析模塊的速度瓶頸。針對(duì)這幾個(gè)瓶頸,本文對(duì)X絡(luò)入侵檢測(cè)系統(tǒng)做了研究。在此基礎(chǔ)上設(shè)計(jì)了一個(gè)整體策略,并給出了X絡(luò)入侵檢測(cè)系統(tǒng)的基本實(shí)現(xiàn),最后給出了基于CEV規(guī)則庫的應(yīng)用?! ?系統(tǒng)整體設(shè)計(jì)策略 基于X絡(luò)的入侵檢測(cè)系統(tǒng)使用監(jiān)測(cè)X絡(luò)收集信息數(shù)據(jù)的,以此來確定X絡(luò)入侵。X絡(luò)安全工具要求具有實(shí)時(shí)性,這就要求其本身必須是一個(gè)安全的應(yīng)用程序,不能由于引入了它給X絡(luò)帶來不安全的因素,要保證X絡(luò)監(jiān)測(cè)的實(shí)時(shí)性和有效性就應(yīng)該有合理的系統(tǒng)結(jié)構(gòu)作為保障,與此同時(shí)還應(yīng)該充分考慮實(shí)際應(yīng)用環(huán)境,以便適應(yīng)高速X絡(luò)的需求,考慮到上述因素,系統(tǒng)設(shè)計(jì)原則
3、和策略如下: 1)使用組件的模塊化思想,同時(shí)參考了系統(tǒng)的分布式入侵檢測(cè)想法,以確保系統(tǒng)能成功地?cái)U(kuò)展到分布式入侵檢測(cè)。2)對(duì)系統(tǒng)和X絡(luò)性能的影響和資源占用降到最低;而不是給主機(jī)系統(tǒng)與計(jì)算機(jī)X絡(luò)環(huán)境,引入新的安全風(fēng)險(xiǎn)和安全問題。3)在高速X絡(luò)環(huán)境中,以確保數(shù)據(jù)收集的完整性。4)系統(tǒng)是在特征的基礎(chǔ)上的入侵檢測(cè)技術(shù),所以在解決檢測(cè)瓶頸時(shí)可以通過高效的模式匹配技術(shù)來完成。5)豐富的基本規(guī)則。對(duì)于基于特征的入侵檢測(cè)系統(tǒng),在檢測(cè)更過的攻擊時(shí)要有相應(yīng)的規(guī)則庫與其相匹配,這樣才能檢測(cè)出更多的攻擊,為了盡可能的將攻擊事件和遺漏可以控制在一定范圍內(nèi)。 2系統(tǒng)基本實(shí)現(xiàn)方法 針對(duì)高速X絡(luò)環(huán)境
4、下入侵檢測(cè)系統(tǒng)面臨的問題,從數(shù)據(jù)的采集到處理,和規(guī)則庫的設(shè)計(jì)都需要進(jìn)行改進(jìn)。下面先介紹系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)圖,然后分別介紹在各個(gè)部分的相應(yīng)改進(jìn)。系統(tǒng)的數(shù)據(jù)流程如圖1所示?! 〔栋头治鲎鳛橐粋€(gè)整體的X絡(luò)檢測(cè)單元,這樣在未來面臨分布式入侵檢測(cè)系統(tǒng)時(shí)可以將這部分改進(jìn)成為Agent?! ?.1數(shù)據(jù)包捕獲模塊。報(bào)文捕獲是指把某個(gè)X絡(luò)所檢測(cè)到的數(shù)據(jù)報(bào)文完整的收集到一起。并進(jìn)行分析,過濾等處理,發(fā)送到上層協(xié)議分析模塊以便能夠繼續(xù)進(jìn)行應(yīng)用?! ?.2協(xié)議分析模塊。協(xié)議分析模塊改進(jìn)了傳統(tǒng)的模式匹配技術(shù),它主要是確定數(shù)據(jù)包的協(xié)議類型,上層的數(shù)據(jù)分析模塊可以繼續(xù)檢測(cè)數(shù)據(jù)包,所有協(xié)議樹可以構(gòu)成一個(gè)協(xié)
5、議書,具體協(xié)議是樹狀結(jié)構(gòu)的一個(gè)節(jié)點(diǎn),使用二進(jìn)制樹來表示。圖2所示。分析X絡(luò)數(shù)據(jù)包也就是一個(gè)根到葉子的路徑的分析。為了實(shí)現(xiàn)非常靈活的協(xié)議分析可以在程序中動(dòng)態(tài)維護(hù)和配置此樹結(jié)構(gòu)。 2.3數(shù)據(jù)分析模塊。使用模式匹配技術(shù)對(duì)數(shù)據(jù)進(jìn)行分析。再入侵特征規(guī)則庫中儲(chǔ)存所有攻擊信號(hào)所表示的模擬信號(hào),如果在規(guī)則庫中可以尋找到當(dāng)前的數(shù)據(jù),那么就可以確定是這種入侵行為。如一個(gè)HTTP請(qǐng)求找到"/cgi-bin/phf",在服務(wù)器上,那么這可能是一攻擊者正在尋找系統(tǒng)的CGI漏洞的。 2.4規(guī)則庫及分析模塊。使用現(xiàn)有的計(jì)算機(jī)系統(tǒng)中的公共/風(fēng)險(xiǎn)和漏洞的入侵規(guī)則庫對(duì)異常行為進(jìn)行檢測(cè)。規(guī)則庫是符合我國的
6、實(shí)際權(quán)威,完整的庫的需要,與國家信息產(chǎn)業(yè)發(fā)展相適應(yīng),并有專業(yè)的人員進(jìn)行更新和維護(hù),較好的解決規(guī)則庫的方案可以更新規(guī)則庫?! ?.5響應(yīng)模塊。當(dāng)檢測(cè)系統(tǒng)檢測(cè)到異常時(shí)發(fā)出的響應(yīng)便是響應(yīng)模塊?! ?基于CVE規(guī)則庫應(yīng)用 2002年設(shè)計(jì)的在CVE基礎(chǔ)上的入侵檢測(cè)專家系統(tǒng)規(guī)則庫是《保障國家信息X絡(luò)空間安全戰(zhàn)略規(guī)劃》首批啟動(dòng)項(xiàng)目《計(jì)算機(jī)系統(tǒng)公共弱點(diǎn)/風(fēng)險(xiǎn)(CVE)數(shù)據(jù)庫》,同時(shí)還是某個(gè)市級(jí)機(jī)關(guān)的科技攻關(guān)項(xiàng)目《計(jì)算機(jī)系統(tǒng)漏洞數(shù)據(jù)庫》。此數(shù)據(jù)庫包含2000多條基于CVE的檢測(cè)規(guī)則,這些規(guī)則的設(shè)計(jì)是:每條規(guī)則分為規(guī)則頭部和規(guī)則選項(xiàng)兩個(gè)部分。規(guī)則頭部有規(guī)則的操作、協(xié)議、目標(biāo)IP地址、原IP
7、地址、X絡(luò)掩碼、端口、CVEID。規(guī)則的選項(xiàng)有需要檢測(cè)模式信息和報(bào)警信息?! ∪纾篴lerttcpanyany->182.179.1.0/24111(content:"
8、000186a5
9、";msg:"CVE-1999-1207:mountdaccess";)。描述的是在使用TCP協(xié)議鏈接X絡(luò)182.179.1.0/24111的任何主機(jī)的111端口的數(shù)據(jù)包時(shí),一旦出現(xiàn)000186a5,就發(fā)出警告信息CVE-1999-1207:mountdaccess?! ∫?guī)則頭部是指圓括號(hào)前的部分,規(guī)則選項(xiàng)則是指圓括號(hào)中的部分。選項(xiàng)關(guān)鍵字指的