一种基于协议分析技术的混合型入侵检测系统的研究

作     者：袁卫华 

作者单位：贵州大学 

学位级别：硕士

导师姓名：傅光轩

授予年度：2006年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：网络安全 入侵检测 协议分析 入侵事件 分布式入侵检测系统 

摘      要：网络安全问题已经对计算机网络的应用、管理和发展构成了严重的威胁，网络入侵事件频繁发生，给用户带来了无法估量的损失。为了保障系统的安全性，仅仅做好安全防御工作是不够的，入侵检测系统应运而生，它是继防火墙、数据加密、访问控制等传统安全防护措施之后的新一代安全保障技术;它不仅可以检测到来自外部的入侵行为，同时也监督内部用户的未授权活动，是一种主动的网络安全防护技术。 随着大量高速网络技术的出现，网络入侵检测系统正面临着巨大的挑战：如何保证系统及时、高效地处理、分析大量的数据包，减少甚至避免丢包现象的发生，提高IDS自身抗攻击的能力，尽量降低误报率和漏报率，以及如何提高IDS系统的效率等等。虽然有众多研究人员潜心研究多年，但这些问题仍然没有得到彻底解决。 本文针对入侵检测技术领域中存在的以上诸多问题，研究和分析了入侵检测的相关背景知识、技术发展以及相关的协议框架，主要论述了基于协议分析技术的混合型入侵检测系统。 本文的主要工作如下： 1)综合主机检测器和网络检测器的分布式入侵检测系统体系结构的设计，同时分析来自主机的审计记录，系统日志以及网络原始数据流，更加全面地检测系统的各种入侵攻击现象。在这种体系结构中，底层可以独立地完成相应的入侵检测，可以避免集中式检测时数据包处理效率低下的问题，减轻了主控系统的负担;各个检测子系统独立运行，互不影响，避免了单点失效问题;可灵活部署，可扩展性很好;主控系统从全局对整个系统的运行进行监控，检测针对整个系统的更加复杂的攻击入侵，主控系统失效不会影响其下层各个子系统的入侵检测，某一个子系统失效也不会影响其他子系统和主控系统的运行。 2)可移植的高效的分布式网络数据包采集器的设计与实现，用分布式数据包捕获取代传统的集中式数据收集，提高了数据收集的效率。 3)分布式NIDS子系统的设计与实现，利用基于应用的负载均衡分发技术来进行协议分流，将协议解析后的数据包以应用为单位分配到不同的入侵检测分析引擎进行入侵检测。 ①协议分析引擎的设计与实现，完成了IP分片重组以及TCP流重组，利用协议分析技术来提高数据包解析效率，提高了检测效率。 ②分布式入侵检测分析引擎的设计与实现。在协议解析基础上对网络数据流进行分布式入侵检测。首先改进了基于应用的负载均衡分发算法，对其处理流程进行了改进，增加了算法所能处理的数据范围，提出了基于应用根据UDP数据包所属协议类型为其分配检测引擎进行入侵检测的思想;以TCP连接事件的建立过程为参考，提出了建立UDP“连接事件的思想;并且根据数据包所属协议类型及其实现特点，分别设计了TCP连接事件和UDP“连接事件的建立流程和入侵检测流程。 ③系统检测流程的改进：数据包在由负载均衡分发器分发到各入侵检测分析引擎进行入侵检测的同时，系统利用方差分析算法进行异常数据流的检测。分配到各个入侵检测分析引擎的数据包，首先进行数据包合法性检查，然后根据其所属协议类型分别建立TCP连接事件和UDP“连接事件，然后根据我们设计的TCP和UDP“连接事件的建立和入侵检测流程，运用各种异常和误用检测技术，进一步检测是否存在包含网络连接中的各种入侵攻击现象。 4)HIDS子系统的设计。本系统中我们提出了在HIDS中分析到达本机的原始数据流的检测思想，提高了HIDS检测子系统的应用范围，实时性和效率。 5)主控系统的设计与实现。底层各个入侵检测分析引擎将检测到的入侵数据格式化后送到主控模块，主控模块运用相关算法进一步检测针对整个系统的各种入侵现象。 最后在局域网环境下作了相应的实验，并对实现结果进行了分析对比，证明了系统的高