网络监测与监控

前言

网络发展到今天，已经彻底改变了人类生活、工作的方式。信息化革命对人类生产、生活的影响远远大过前几次的传统的工业革命。现在，人们发现，没有了电脑，生活就像瘫痪；没有了网络，就像生活在古代社会，完全落后于现代文明。网络以其迅猛的发展，迅速占据了人们生活的方方面面，人们已经对网络产生了依赖，截止到2012年7月底，我国的网民数量已经超过了5.38亿。但是随着网络的普及以及网络技术的迅猛发展，技术漏洞的无可避免，广大网络黑客们出于各种目的，利用遍布世界各地的网络迅速传播病毒并发起攻击，对现有的网络信息安全构成了巨大的威胁。病毒、木马、蠕虫等等泛滥成灾。网络入侵攻击事件与日俱增，无论网络信息系统有多么安全坚固不易被入侵，最后都被成功入侵了，可见网络安全现实的严峻性。网络入侵，它所带来的威胁和影响已经远远超出了预期，它的威胁直指经济安全和国家安全。

第一章.计算机网络安全及其现状 (1)

1. 网络安全及其现状 (1)

1.1.1计算机网络安全 (1)

1.1.2计算机网络安全现状 (2)

1.2入侵检测现状 (2)

第二章入侵检测系统综合研究 (2)

2.1 入侵检测系统概述 (3)

2.2 基于主机的入侵检测系统 (3)

2.3 基于网络的入侵检测系统 (4)

2.3.1 基于网络的入侵检测系统原理 (4)

2.3.2 Snort网络入侵检测系统 (5)

第三章告警融合关键技术研究 (10)

3.1 入侵检测信息规范化 (10)

3.1.1 CIDF模型 (10)

3.1.2 IDMEF模型 (11)

3.1.3 IDMEF模型中数据存储问题研究 ...................................... 错误！未定义书签。

3.2 聚类算法研究 (12)

第一章.计算机网络安全及其现状

1. 网络安全及其现状

1.1.1计算机网络安全

计算机安全特性可以归纳描述为：完整性，保密性，可用性，可控性，不可否认性等。安全问题主要包括：计算机数据破坏，非授权擅自使用计算机系统，滥用计算机系统。

计算机网络安全可以分为网络安全、计算机系统安全和数据库系统安全。

（1）网络安全问题主要表现为：网络协议的安全机制存在先天性缺陷，在设计之初，无法完全考虑到实际应用时的安全性问题。

（2）计算机系统安全问题是指：由于在设计计算机操作系统之时，系统本身存在的诸多漏洞，入侵者可以利用漏洞进入系统，取得系统控制权限，肆意对系统内的数据进行修改、伪造、拷贝、删除、损毁，并留下后门。这就为入侵攻击者提供了另外一个突破口。

（3）数据库安全问题是建立在操作系统基础上的，操作系统被攻破之后，操作系统上的数据库就得赤裸裸的直面入侵者。数据库，作为所有组织单位信息化的核心，它是大多数关键数据记录的载体，一旦被人攻击将会造成的后果是不可估计的。

1.1.2计算机网络安全现状

自从世界上第一个在电脑上大面积流行病毒C-Brain诞生以来，安全技术就在制造病毒、防御病毒，制造攻击、防御攻击的博弈中不断发展，网络安全已经成为了一个永恒的话题。2011年1月，中国互联网络信息中心（CNNIC）在京发布了《第27次中国互联网络发展状况统计报告》，对整个中国的互联网络发展和现状做了总结归纳。据该报告调查，2010年度，有过病毒或木马攻击经历的网民比例为45.8%，同比下降了10.8个百分点，总人数约为2.09亿人。许多网民都遇到过攻击，只是，许多攻击入侵是非常隐秘的，主要是一些修改用户浏览器首页、广告点击器等低影响性攻击，往往只在后台运行，恶意引导诱骗广大网民浏览该网站，用户可能毫无察觉。因此，网络安全的现状呈现出表面攻击下降，实际攻击行为更加隐秘的状况。网络安全问题正呈现此消彼长，花样繁多，新问题不断涌现的态势。

1.2入侵检测现状

入侵一般可以分为三个阶段：预攻击阶段，攻击阶段，后攻击阶段[23]。

现在流行入侵检测的检查方法主要有：特征检测，完整性检验，异常检测。

特征检测主要是建立各类攻击的特征库，用该特征来准确地描述某一特殊攻击的特点，为了避免引起其他误报，该特征的描述最好是唯一的。它主要是对那些试图越权操控系统的安全事件进行监控

完整性检验为系统的每个文件生成一个校验和，然后定期地将该校验和与源文件比较，这样就可以检查出文件是否被修改过，这类似于视频监控中的图像变化产生的报警。完整性检验适用于检测篡改网页等的活动，当出现篡改时，通过计算校验和来发现异常。

异常检测主要是通过制定一个正常行为模式来衡量网络行为的合法性。实际流量中的模式如果在正常行为模式库中找不到匹配的原型，就会被判断为异常行为而触发报警。

分析讨论。各种方法都不是十全十美的，因此，光用一种方法来进行入侵检测是不明智的。多种方法综合使用，才能减少误报和漏报率。现今各大厂商主要倾向于采用特征检验，因为该方法逻辑思路清晰，实现方法简单，而且规则添加也十分方便，易于维护和增改。特征检验确实是一种高效的检测方法。

第二章入侵检测系统综合研究

入侵检测系统（Intrusion Detection System，IDS）的作用是监控网络和计算机系统是否被入侵或滥用。通常入侵检测系统都有三个功能：数据采集功能，数据分析功能和响应功能。IDS系统已经成为安防体系的重要组成部分。IDS收集

源自计算机操作系统和计算机网络中的各种数据流，经过系统内部一系列的规则分析匹配，从而判断出是否已经有入侵行为发生。入侵检测系统可以同时检测来自内部用户未授权的非法活动和外部的攻击行为。对内部攻击的检测主要是基于主机的，主要检测内部用户的越权行为；对外部的入侵检测主要是基于网络的，主要检测网络上的攻击行为。这两步都是网络安防的重点。

2.1 入侵检测系统概述

现在市场上的IDS产品种类繁多，无论是在数据的采集，系统的布局，信息的分析方法，响应的模式上都有很大的差异。

通常，入侵检测分为异常检测和误用检测两大类。异常检测是试图建立一个正常的运行模式和规则，对在网络中捕获的数据信息进行分析，如果符合正常规则模式则系统默认其为一个合法的操作，反之，如果捕获的数据信息不在正常规则模式库之列，则触发异常报警。

两种方法各有短长，只有综合使用以上两种方法的入侵检测系统，才能真正适应现在和未来网络安防。文献还提出了一种基于扩张矩阵和GA的入侵检测方法。

入侵检测系统的检测性能评价，是评定一个IDS系统优劣的首要参数。这也就意味着，一个IDS系统的规则库越多越完善，则这个IDS系统能检测出更多的入侵攻击行为，即拥有更高的正确报警率，反之则漏报率更高。另外一个参数就是灵敏度，这是对入侵检测系统报警分类的结果，入侵检测系统按照优先级别不同分为不同的报警种类，各类报警都有自己的优先级，灵敏度越高的入侵检测系统拥有更精细的报警类别和更丰富的报警优先级。

2.2 基于主机的入侵检测系统

基于主机的入侵检测系统HIDS，主要是检查系统日志以获取被入侵的信息。它主要是监控操作系统、内核、应用程序上的威胁。它有权检测被监控主机的系统的日志、服务、错误消息、权限等等所有有用的可用的资源。HIDS分析的基础主要是系统日志，通过对日志的综合分析，HIDS能够清楚地区分正常的或异常的应用程序数据信息。