青岛恒星职业技术学院高等职业教育专科
_____网络技术____专业毕业论文(设计)
青岛恒星职业技术学院 毕业论文(设计)
题目:__入侵检测与防御技术的研究__
姓名:_____ 王 宇__________
学号:_____ X0700574________
指导教师及职称:_ 焦恩龙______
所在学院: 信 息 学 院
所在专业: 网 络 技 术
所在班级: 网 络 技 术 7123
2009年 10 月 20日
摘要
网络信息系统的安全问题是一个十分复杂的问题,涉及到技术、管理、使
用等许多方面。入侵检测与防御技术作为新一代的网络信息安全保障技术,它主动地对网络信息系统中的恶意入侵行为进行识别和响应,不仅检测和防御来自外部网络的入侵行为,同时也监视和防止内部用户的未授权活动和误操作行为。 本文在概述传统网络信息安全技术,黑客常用入侵手段与防范对策,入侵检测系统的发展、分类、检测方法以及标准化等问题的基础上,针对目前入侵检测遇到的一些新问题,提出了一个入侵检测系统的设计方案。主要包括对整个系统的体系结构设计,分析子系统结构与检测方法的改进,蜜罐与陷阱子系统(IP陷阱、服务陷阱、文件陷阱)设计,IDS负载均衡技术研究,利用双网卡技术和备份监控代理方式提供对IDS自身的有效安全防护等。另外,本文还从入侵追踪和协同防御两方面论述了入侵防御技术,提出了入侵防御系统(IPS)的构筑设想,设计了IDS与动态防火墙、IDS与路由器相协同的框架模型以及入侵防御协议(IPP)的框架模型。最后,本文讨论了入侵检测目前所面临的问题和未来的发展趋势
Abstract
Thenetwork information system security is a very complicated problem. It involves technology, management, usage and etc. The technique of intrusion detection and intrusion prevention has become the new generation information security technique. It actively identifies the malicious usage behavior of information system and actively responses to it. The IDS(Intrusion Detection System) and IPS(Intrusion Prevention System) not only detect and prevent the exterior network s intrusion behavior, but also keep watc...
2
目录
第一章 网络信息安全概述
1.1 计算机与网络信息系统安全 1.2 网络信息系统面临的安全威胁 1.3 网络信息安全技术
1.4 研究入侵检测与防御的必要性
第二章 常用入侵手段与防范对策2.1 黑客入侵过程概述 2.2 常用入侵手段与防范对策
第三章 入侵检测系统概述
3.1 入侵检测系统的发展
第四章 入侵检测技术
4.1 异常入侵检测技术 4.2 误用入侵检测技术
第五章 入侵防御技术
5.1 入侵防御协同技术 5.2 入侵防御协议设计
总结 参考文献 致谢
3
关键词:拒绝服务攻击 入侵检测 入侵防御协议
正文:
目前网络安全领域面临着严重的向题。一方面当今社会对网络的依翰性日益增加,而另一方面网络入侵和攻击事件发生的次数也急剧增长。这两个方面相互影响,前者使得网络的结构,协议及应用日渐复杂,同时也造成社会对网络安全问题的可容忍程度逐步降低。对干某些行业来说,网络出现故障可能不再是一个小的事故,而是一场灾难;为了保障网络安全,各种网络入侵检测和防御技术应运而生。本文就目前各种网络入侵检测和防御技术进行综合性描述,指出它们各自的优点及缺点,并探讨和研究了网络入侵检测防御技术未来的发展趋势。本文的安排如下:本文的第一部分将主要讨论目前网络入侵检测Intrusion Detection Systems(IDS)及其关键技术。文中第三部分将讨论入侵防御技术的发展趋势:基于时间线的入侵防御系统。第三部分是本文的总结。
第一章 网络安全概述
随着信息化进程的深入,信息安全己经引起人们的重视,但依然存在不少问
题。一是安全技术保障体系尚不完善,许多企业、单位花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业、单位信息安全的标准、制度建设滞后。
1.1计算机与网络信息系统安全
2003年5月至2004年5月,在7072家被调查单位中有4057家单位发生过信息网络安全事件,占被调查总数的58%。其中,发生过1次的占总数的22%,2次的占13%,3次以上的占23%,此外,有7%的调查对象不清楚是否发生过网络安全事件。从发生安全事件的类型分析,遭受计算机病毒、蠕虫和木马程序破坏的情况最为突出,占安全事件总数的79%,其次是垃圾邮件,占36%,拒绝服务、端口扫描和篡改网页等网络攻击情况也比较突出,共占到总数的43%. 调查结果表明,造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中,由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的“%,登录密码过于简单或未修改密码导致发生安全事件的占19%. 对于网络安全管理情况的调查:调查表明,近年来,使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,
4
12%的单位建立了安全组织,有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明,认为单位信息网络安全防护能力“较高”和“一般”的比较多,分别占44%。但是,被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平和社会化服务的程度还比较低
1.2 网络信息系统面临的安全威胁
信息安全的任务是多方面的,根据当前信息安全的现状,制定信息安全防范的任务主要是: 从安全技术上,进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。 从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,增强安全防范意识。 信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(Confidentiality)、完整性(Integrity)、抗否认性
(non-Repudiation),可用性(Availability)。其他安全:病毒防治、预防内部犯罪。
1.3 网络信息安全技术
1.防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身
5