网络安全与入侵检测技术的研究.

西安电子科技大学
硕士学位论文
网络安全与入侵检测技术的研究
姓名:苏万力
申请学位级别:硕士
专业:计算机应用技术
指导教师:马玉祥
20030101
摘要
入侵检测是最近10余年发展起来的一种动态的监控、预防或抵御系统入侵行为的安全机制。

和传统的预防性安全机制相比,入侵检测具有智能监控、实时探测、动态响应、易于配置和适用广泛等特点。

入侵检测技术的引入,是对传统计算机安全机制的一种补充,使得网络、系统的安全性得到进一步地提高,在网络安全技术中起着不可替代的作用,成为目前动态安全工具的主要研究和开发的方向。

本论文在此领域主要工作成果如下:对现有入侵检测领域的各种检测模型和技术进行了归类分析研究。

研究了拒绝服务及分布式拒绝服务攻击的特点与防范措施,探讨了入侵检测领域的最新发展,讨论了设计和建立分布式入侵检测系统所面临的关键技术。

给出了在Wni32环境下实现网络入侵检测的一种设计,提出了提高数据包捕获效率的方法。

提出了利用协议分析的方法,提高入侵检测的效率并给出了具体设计。

对普遍关注的域名系统的安全防范问题进行了讨论,并提出了相应对策。

【关键词】网络安全入侵检测协议分析
Abstract
Intrusion Detection is an effective security mechanism developed in the recent decade, which protects compeers and networks through the ways of
surveillance,precaution and pared with traditional precaution mechanisms,intrusion detection has the
characteristics of intellectual surveillance,real-time detection,dynamic response and easy configuration.Intrusion detection is clearly necessary with the growing number of computer
wide applicability,intrusion detection systems being connected to network.Because of its
becomes the key part ofthe security mechanism.
In this thesis,the mainly research results are list as follows:The modem technologies and
models in intrusion detection field are categorized and studied.The features of DOS and
DDOS are studied and some countermeasures are given.The overview progress in intrusion detection are discussed,and the feature of methods of distributed intrusion system are analyzed and key techniques faced ale discussed.The feature of Winpcap development kit in the Win32environment is analyzed and the specific methods of hi曲performance sniffer ale presented.A method of design of real—time network sniffer is given.A method of high performance intrusion detection using protocal analysis is presented and the design is given. The possible attacks of domain name system are discussed and some countermeasures are given.
[Keyword]Network Security Intrusion Detection Protoeal AnaIysis
独创性(或创新性声明
本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。

尽我所知,除了文中特别加以标注和致谢中所列的内容外,论文中不包含其他人已经发表或撰写过的研究成果:也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。

与我一同工作的同志对本研究所做的任何贡献均在论文中做了明确的说明并表示了谢意。

本人签名:童;互垄日期:笙竺§:兰.竺:
关于论文使用授权说明
本人完全了解西安电子科技大学有关保留和使用学位论文的规定,即:学校有权保留送交论文的复印件,允许查阅和借阅论文:学校可以公柿论文的全部或部分内容,可以允许采取影印、缩印或其他手段保存论文。

(保密的论文在解密后遵守此规定
本人躲荔万力导师签名日期:竺!:!’。

竺
蝉
塑二童缝丝——————j
第一章绪论
本章主要介绍本文研究的背景和意义,课题来源,取得的主要研究成果,最后给出了全文的内容简介。

1.1研究背景和意义
20世纪90年代以来,计算机网络技术得到了飞速发展,信息的处理和传递突破了时间和地域的限制,信息网络化与全球化成为不可抗拒的世界潮流,Internet 己进入社会生活的各个领域和环节,人们对计算机网络的依赖性越来越强。

计算机网络逐渐成为整个社会基础设施中最重要的一部分。

信息技术的使用给人们生活、工作的方方面面带来了数不尽的便捷和好处。

然而,计算机信息技术也和其他科学技术一样是一把双刃剑。

当大部分人们使用信息技术提高工作效率,为社会创造更多财富的同时,另外一些人利用信息技术却做着相反的事情。

他们非法侵入他人的计算机系统窃取机密信息、篡改和破坏数据,给社会造成难以估量的巨大损失。

据统计,全球约20秒种就有一次计算机入侵事件发生,Internet上的网络防火墙约1/4被突破,约70%以上的网络信息主管人员报告因机密信息泄露而受到了损失。

根据美国联邦调查局的调查,美国每年因网络安全造成的经济损失超过170亿美元。

计算机网络的安全问愈来愈成为人们关注的一个热点问题。

2001年,美国政府向国会提交的2001年财政计划中,将“打击网络恐怖活动经费”提高到了20.3亿美元。

并且主要用于开发监视黑客入侵政府部门电脑的高级软件系统、信息安全研究、研制打击网络恐怖活动的技术以及培训有关专业人员。

白宫在9.11事件以后新成立了美国本土安全部和国家关键基础设施保护委员会。

这些机构的一个重要使命是防范网络恐怖攻击。

另外,日本、德国等国政府都在拨巨款,以开展反“黑客?技术的研究。

中国也相应地启动了信息安全紧急应急计划,从事这方面的研究工作。

但是对网络、系统的安全保护却越来越困难,这是因为:网络的迅速发展,使得网络的结构越来越复杂。

其次,网络中众多的“黑客”站点不仅提供了大量的系统缺陷信息及其攻击方法,而且还提供了大量易于使用的系统漏洞扫描和攻击工具,攻击者不需要具备专门的系统知识就可以利用相应的入侵工具轻易攻入具有安全缺陷的系统。

第三,目前对系统的攻击也不仅仅是那些年轻的“黑客”们由于好奇侵入系统的玩笑性游戏,入侵者的背后甚至得到一些拥有足够系统资源、专业知识和入侵经验的犯罪组织、竞争的对手甚至是敌对的国家的支撑。

而且,网络安全采用的技术手段与黑客的攻击方式基于同样的环境,黑客的能力与网络安全防范能力只能是此消彼长,在斗争中交替发展。

因此网络的安全防御和
网络安全与入侵检测技术的研究
入侵行为的检测是一个长期而艰巨的任务。

入侵检测作为一种积极主动地安全防护技术,在网络安全系统中的作用日益重要,己成为网络安全体系的一个不可或缺的部分。

在国外,入侵检测技术在保护网络安全方面早已受到重视。

在国内,伴随着信息技术的发展,计算机及网络在我国国民经济各部门中的大量使用,而这些计算机及网络系统。

涉及的软硬件基本上都是从国外进口的,因此其安全性是相当脆弱的,存在可能不为我们所知的安全“后门”,防火墙及基于加密技术的防护措施的防御能力十分有限。

如果打算从根本上显著提高我国网络的安全性,必须构筑以IDS(Intrusion Detection System为核心网络安全防护体系。

必须开发自己的具有自主版权的入侵检测产品,尤其是象安全产品,具有其特殊性,不能够依赖于国外的系统和产品。

因此,发展本国的安全产品是非常重要的,这是关系到保护国家安全、维护正常经济秩序的重要问题。

目前,入侵检测还不够成熟,正处于发展阶段,其本身的快速发展和极具潜力的发展前景需要有更多的研究和工程技术人员投身其中,在基础技术原理的研究和项目应用技术开发等多个层面同时开展工作,才有可能做出高质量的入侵检测系统。

1.2课题来源
网络安全与入侵检测技术的研究,是“十五”军事通信技术预研项目“分布式网络管理系统实现技术和网络管理系统评估技术”子专题(子专题编号为: 410010205中的一个比较重要的部分。

为分布式网络管理的辅助决策支持系统提供全面决策并提出防范措施。

入侵检测技术的研究对于保护网络安全,实现有效的网络管理,保证通信网络系统的高可靠性、高抗毁性、高实时性都具有重要意义。

1.3本文的主要研究成果和论文安排
国外自八十年代开展入侵检测技术的研究,他们基本上是从如何构建系统主体特征轮廓或如何获取已知入侵行为知识的角度,给出了一些可行的知识描述方法和相应的检测算法,而且最初多侧重于主机系统的安全防御。

随着网络应用的发展,面向网络(特别是大规模网络的入侵检测技术与系统模型的研究,已成为当前入侵检测领域研究的重点。

国内在该领域起步较晚,无论在基础原理方面,还是在项目应用技术开发等方面都需要开展大量的研究工作。

为此,本论文对现有的入侵检测技术和
模型进行了系统分析研究,提出了一些新的观点。

对目前引人关注的DOS(Denial of Service及DDOS(Distributed Denial of Service
第一章绪论
攻击的特点和防范方法做了研究,并探讨了对付分布式拒绝服务攻击的新发展,研究了开发分布式入侵检测系统所面临的关键技术。

提出了用协议分析的方法实现高效的入侵检测。

主要研究内容包括:
・对现有入侵检测领域的各种检测模型和技术进行了归类分析,在相互比较的基础上详细地讨论了各种技术的优缺点,探讨了相应的解决方案。

・研究了DOS及DDOS的攻击特点与防范措施,对入侵检测系统领域的最新发展进行了探讨,分析了现有的分布式入侵检测系统方案的特点,讨论了
设计和建立一个分布式入侵检测系统所面临的关键技术。

・利用WinPcap开发包,在Wni32环境下实现网络入侵检测的设计,这是一种新的尝试。

提出了如何在现有的条件下,提高数据包捕获的效率,减少
数据包丢失的方法。

●提出了利用协议分析的方法,提高入侵检测的效率并给出了具体设计
・对普遍关注的DNS的安全防范问题进行了讨论,并提出了相应对策
全文共分为五章,其余章节具体安排如下:
第二章主要概述了网络安全的若干方面的基础知识。

包括网络安全问题产生的原因,网络安全的特点和计算机及网络系统的安全对策。

第三章介绍了入侵检测系统的发展历史,分析了入侵检测的必要性。

通过对现有的入侵检测系统及检测技术的分类、比较,分析了存在的不足,探讨了解决的方案,并介绍了该研究领域出现的一些最新技术。

第四章对DOS及DDOS的特点、攻击方式及防范措施等进行了研究,并对分布式入侵检测系统的研究动态、使用的技术、发展状况等进行追踪和探讨。

讨论了开发分布式入侵检测系统所面临的关键技术,展望了入侵检测系统领域的发展方向。

第五章分析了数据开发包WinPcap的特点,描述了利用现有开发包WinPcap 开发网络侦听程序的优势,提出了如何在现有的条件下,实现高效网络侦听程序,减少数据包丢失的方法,并给出了具体的设计。

提出利用协议分析的方法,提高入侵检测的效率,并给出了具体设计。

对普遍关注的DNS的安全防范问题进行了讨论,提出了相应对策。

最后,结束语对全文的研究工作进行了总结,指出了进一步研究的方向。

第二章网络安全介绍
第二章网络安全介绍
随着Internet爆炸性的发展,其安全问题日益受到人们的关注。

同时也引起
人们对Internet安全相关问题的思考,临哪些主要的威胁以及安全应用对策等,
诸如Internet安全问题产生的原因,面本章就这些问题进行简单介绍。

2.1网络安全问题现状
Internet的蓬勃发展,为人类交换信息,促进科学、技术、文化、教育、生产的发展提供了极大的便利,但同时也对国家、单位和个人的信息系统带来了极大的安全威胁。

1988年一个能够在Internet上自我复制和传播的莫里斯蠕虫程序导致Internet瘫痪了数日,这起网络事件促使了CERT等许多安全机构和组织的诞生。

尽管网络安全的研究得到越来越多的关注,然而,网络安全问题并没有因此而减少;相反,随着网络规模的飞速扩大、结构的复杂和应用领域的不断扩大,出于各种目的,盗用资源、窃取机密、破坏网络的肇事者也越来越多,网络安全事件呈迅速增长的趋势,造成的损失也越来越大。

下列表2.1给出的CERT/CC (1
所报告的安全事件统计数字即可证明这一点。

表2.1CERT/CC安全事件报告统计
1988-1989
I Ye。

19881989
l Incidenls6132
1990—1999
l Y色ar1990199l】992
1993199419951996199719981999
l Incidents252406773l,3342,3402,4122,5732,1343,7349,859 2000—2002
I Ye鄱2000200l2002
IncidenIs21。

75652,65882,094
目前,人们不但开始重视来自网络内部的入侵攻击,而且,对以网络为主的攻击也极为关注。

新的攻击手法包括:通过网络侦听获取网上用户的账号和密码、监听密钥分配过程、攻击密钥管理服务器,以得到密钥和认证码。

从而获得合法资格;利用UNIX操作系统提供的守护进程(Daemon的缺省账户进行攻击,如Telnet Daemon、FTP Daemon、RPC Daemon等;利用Finger等命令收集信息,提
网络安全与入侵检测技术的研究
高自己的攻击能力;利用Sendmail,采用Debug、Wizard和Pipe等进行攻击;利用FTP,采用匿名用户访问进行攻击;利用NFS进行攻击。

通过隐蔽通道进行非法活动、突破防火墙等。

尤其是,利用分布式系统进行分布式拒绝攻击(DDOS,这种攻击极具破坏性。

从攻击单个主机到攻击网络的基础设施,如:攻击路由器、域名系统等。

黑客攻击手段也不断变换,攻击工具也不断的完善,攻击者不需要专业知识就能够完成复杂的攻击过程。

总之,人们面临来自计算机网络系统的安全威胁臼益严重。

安全问题已经成为影响网络发展、特别是商业应用的主要问题,并直接威胁着国家和社会的安全。

2.2计算机网络安全问题产生的原因
计算机网络之所以产生各种安全问题,既有网络和系统方面本身的问题,又有人为的因素,还有各种安全威胁形式的存在等多种因素,但下列是其中的主要因素:
・网络的共享性和开放性。

资源共享是构建计算机网络的主要目的之一,但也为攻击者利用共享的资源进行破坏活动提供了机会。

网络的开放性,
使得网上的用户很容易浏览到一个企业、单位及个人的敏感性信息。

・系统的复杂性。

计算机网络系统的复杂性使网络的安全管理更加困难。

●TCP/IP协议本身存在的许多安全隐患和脆弱性。

・管理上的失误。

对安全问题的全部疏落,没有安全策略。

大多数网络系统缺少合格的安全管理员,特别是高素质的网络管理员。

另外,也缺少网络
安全管理的技术规范,缺少定期的安全测试与检查以及缺少安全的监控。

甚至有的网络管理员和用户的注册、口令等至今还处于缺省状态。

・存在的安全威胁。

利用计算机网络或系统暴露的要害或弱点进行入侵、滥用和攻击。

另外,协议漏洞、操作系统的安全性和应用程序的bug等因素也是造成网络安全问题的原因。

按其产生的原因大致可分为以下几类:
(1操作系统的安全漏洞
目前所使用的计算机系统在结构和代码设计时偏重于考虑系统使用的方便性,至于它的安全性则很少顾及,所以易导致系统的安全机制不健全,存在很多安全漏
洞。

如当今最为流行的windows操作系统就存在很多的漏洞,Win98基本没有安全机制,而Windows NT/2000/XP的安全性也是很不可靠的。

(2通信线路和网络本身固有的弱点
网络通信线路可能被人搭线窃听。

通过未受保护的线路。

可以从外界访问系统内部的数据。

第二章网络安全介绍
(3网络协议安全的脆弱性
当前计算机网络系统都是用TCP/IP协议,其缺陷是不能适应现代网络通信技术安全性的需求,所能够提供的是不安全的数据传输,另外在安全方面还容易导致伪造和欺骗。

(4数据库管理系统安全的脆弱性
由于数据库管理系统对数据库管理建立在分级管理的概念上,而且数据库管理系统的安全也取决于操作系统的安全性,所以随之而来就带来了一系列的问题。

(5人为因素的安全性
大多数网络系统缺少合格的安全管理员,特别是高素质的网络管理员。

另外,也缺少网络安全管理的技术规范,缺少定期的安全测试与检查以及缺少安全的监控。

甚至有的网络管理员和用户的注册、口令等至今还处于缺省状态。

网络之所以产生各种安全问题,除了网络和系统方面的原因之外,各种安威胁形式的存在也是原因之一。

网络信息系统的安全威胁是指对网络构成威胁的用户、事物、软件等。

网络威胁利用计算机网络或系统暴露的要害或弱点进行入侵、滥用和攻击,导致网络信息的保密性、完整性和可用性程度下降,造成不可估量的经济和政治上损失。

因此,安全威胁的存在也是产生网络安全问题的要素之一。

2.3网络面临的安全威胁
一般认为,计算机网络系统的安全威胁主要来自于“黑客”(Hacker的攻击、计算机病毒(Virus和拒绝服务攻击(Denies of Service三个方面。

具体来说,Internet网络面临的安全威胁可归纳为以下几种形式:
(1身份假冒。

即某个实体假装成另外一个不同的实体,从而获得非授权的
信息(获得合法用户的权限。

(2完整性破坏。

对敏感数据的一致性通过非授权的增删、修改或破坏。

(3黑客攻击。

黑客是网络中的一个复杂的群体,其对Internet的安全威
胁主要包括发现和攻击网络操作系统的漏洞和缺陷,利用网络安全的脆
弱性进行非法活动。

(4业务拒绝。

即DOS攻击,这种攻击的主要手段是对系统的信息或其他资
源发送大曩的非法的连接请求,从而导致系统因产生过量的负载而使系
统的资源在合法用户看来是不可使用的。

(5计算机病毒。

计算机病毒的侵入在严重的情况下会使网络系统瘫痪,重
要数据无法访问甚至丢失。

目前,计算机病毒已成为黑客入侵的先导。

(6内部入侵。

也称为授权侵犯,指被授权以某一目的使用某一个系统或资
源的个人,利用此权限进行其他非授权的活动。

另外,一些内部入侵者
网络安全与入侵检测技术的研究
往往利用偶然发现的系统弱点或预谋突破网络系统安全进行攻击。

由于
内部入侵者更了解网络结构,因此他们的非法行为将对计算机网络系统
造成更大的威胁。

(7信息泄露。

既敏感信息(如信用卡号码等被泄漏或透露给非授权的人
或实体。

这种威胁可来自诸如窃听、搭线或其他更加错综复杂的信息探
测攻击(如植入Trojan Horse或其他后门机关。

图2.1给出了
Intemet的安全威胁及其相互关系。

图2.1Internet安全威胁及其相互关系
2.4网络安全的特点
随着网络技术的更新与发展,网络安全问题及安全防范技术也呈现出层出不穷的态势。

纵观网络安全的历史和现状,网络安全的表现形式虽然各不相同,但大致都具有如下5个特点:
(1网络安全的涉及面广
网络安全已渗透到生活中的每一个领域,按照网络安全所保护的对象可分为4个层次:国家安全,即如何保护国家机密不受网络”黑客”的袭击而泄漏;商业安全,即如何保护商业机密、企业资料不遭窃取;个人安全,即如何保护个人隐私
第二章网络安全介绍9
(包括信用卡号码、健康状况等等;网络自身安全,即如何保证接入网际网络的电脑网络不受病毒的侵袭而瘫痪。

(2网络安全涉及的技术层面深
网络已形成一个跟现实社会紧密相关的虚拟社会,采用了众多的新技术。

而且黑客所采用的攻击手段和技术很多都是以前未曾见过的,技术含量比较高。

这一切都注定了网络安全所涉及的技术层面的日益深入化。

(3网络安全的黑盒性.
1网络安全是一种以”防患于未然”为主的安全保护,这就注定了网络安全产品的功能有些模糊,不像其它应用系统那样明确。

如,一种入侵检测系统到底能够检测出那些攻击,一般用户是没法知道了。

因此,对于网络安全产品,中间机构的介入就非常关键。

如我国公安部网络安全检测中心,国际上的各种认证机构(如国际计算机安全协会ICSA等中介机构的介入,对于安全产品的定位和评价都很有帮助。

(4网络安全的动态性
由于国内外黑客和病毒方面的技术日新月异,而新的安全漏洞也层出不穷。

因此,网络安全必须能够紧跟网络发展的步伐,适应新兴的黑客技术。

(5网络安全的相对性
任何网络安全都是相对的,任何网络安全产品的安全保证都只能说是提高网络安全的水平,而不能杜绝危害网络安全的所有事件。

只能使网络遭到攻击的可能性低一些,使因遭受攻击而引起损失能够限制在一定的范围内。

由此可见,网络安全已演变成为一个极为复杂、棘手而又迫切需要解决问题。

而如何按照一定的标准或理论对安全问题进行划分,使安全问题能够细节化和具体化,便于进行问题的分析和研究,则是解决问题的前提。

2.5网络安全的应用对策
尽管对网络安全的研究取得了很大进展,但要确保网络的安全,实现和维护起来仍然非常困难,因为我们无法确保系统的安全性达到某一确定的安全级别。

入侵者可以通过利用系统中的安全漏洞侵入系统,而这些安全性漏洞主要来源于系统软件、应用软件设计上的缺陷或系统中安全策略规范设计与实现上的缺陷和不足。

即
使我们能够设计和实现一种极其安全的系统,但由于现有系统中大量的应用程序和数据处理对现有系统的依赖性以及配置新系统所需要的附加投资等多方面的限制,用新系统替代现有系统需付出极大的系统迁移代价,所以这种采用新的安全系统替代现有系统的方案事实上很难得到实施。

另一方面,计算机系统本身并不是静态,而是总在女b于不断帕意弛意巾≯通过麴翱霸劝能模块对现有系统
10网络安全与入侵检测技术的研究
进行升级,或移去某些模块等手段,这些方案却又不断地引入新的系统安全性缺陷。

人们对网络安全问题的研究也在不断地探索和发展中,也研究出了相应的安全技术和安全机制。

诸如在安全技术方面有:防火墙技术、密码技术、访问控制技术、身份认证技术等;在安全机制方面有:加密机制、数字签名机制、访问控制机制等。

但这些单一的技术或机制,都在不同程度上暴露出一些不足。

例如,加密技术,对于来自内部的攻击或滥用权限等方面显得无所施从。

防火墙是企业网络的第一道防线,但绝不应该被视为是可以解决网络安全问题的“法宝”。

防火墙它们能提供的防护却十分有限,其最大的问题在于,防火墙无法检查通过的封包内容。

要检查封包的内容,企业必须在安全部署中加入入侵监测的机制。

另外,由于其主要是在网络数据流的关键路径上,通过访问控制来实现系统内部与外部的隔离,从而针对恶意的移动代码(病毒、木马、缓冲区溢出等攻击、来自内部的攻击等,防火墙将无能为力。

入侵检测是一种动态的监控、预防或抵御系统入侵行为的安全机制。

主要通过监控网络、系统的状态、行为以及系统的使用情况,来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。

和传统的预防性安全机制相比,入侵检测是一种事后处理方案,具有智能监控、实时探测、动态响应、易于配置等特点。

由于入侵检测所需要的分析数据源仅是记录系统活动轨迹的审计数据,使其几乎适用于所有的计算机系统。

入侵检测技术的引入,使得网络、系统的安全性得到进一步地提高(例如。

可检测出内部人员偶然或故意提高他们的用。