入侵检测系统设计与实现正文部分.doc

目 录 第一章 绪论 1 1.1 研究背景概述 1 1.2 入侵检测技术 2 1.2.1 入侵检测发展历程 3 1.2.2 入侵检测模型 5 1.2.3 主要检测方式 6 1.2.4 目前主要商用系统 6 1.3 本文的主要研究成果和内容安排 7 第二章 生物免疫机制在入侵检测系统中的应用 9 2.1 生物免疫机制简介 9 2.1.1 免疫概念与系统组成 9 2.1.2 免疫系统基本机理 9 2.2 可借鉴的生物免疫机制 11 2.3 入侵检测系统与生物免疫系统的比较 12 2.4 基于免疫学的入侵检测系统研究现状 13 2.5 本章小结 14 第三章 基于免疫原理的入侵检测系统设计实现 15 3.1 设计目标 15 3.2 涉及概念定义 15 3.2.1 自体和非自体 15 3.2.2 检测器 16 3.2.3 匹配规则 16 3.2.4 自体耐受 16 3.3 系统体系结构设计 17 3.4 主要实现步骤 19 3.4.1 数据库设计 19 3.4.2 数据预处理 21 3.4.3 匹配规则选取 21 3.4.4 检测器 22 3.4.5 入侵响应 25 3.5 本章小结 27 第四章 系统初步测试 29 4.1 测试环境描述 29 4.2 相应参数初始化 30 4.3 测试结果 32 4.4 结果分析 34 4.5 本章小结 35 第五章 总结与展望 37 5.1 本文总结 37 5.2 进一步工作 37 致谢 39 参考文献 41  第一章 绪 论 1.1 研究背景概述 现代互联网的飞速发展给人们带来方便的同时，也导致了很严峻的网络安全问题。据美国商业杂志《信息周刊》公布的一项调查报告显示，黑客攻击和病毒等安全问题仅在2000年就造成了上万亿美元的经济损失。目前人们普遍采取的应对措施有安装杀毒软件、配置防火墙等，但是它们都等存在很大的缺陷：杀毒软件杀毒的前提是通过对病毒爆发后的分析，进而找到解决病毒的方法，总存在“慢一拍”的尴尬；防火墙对于内网传输数据的监控是无能为力的。在这种情况下，一种新的网络安全技术产生了，即入侵检测系统（Intrusion Detection System ，IDS）。入侵检测技术[1]是对传统计算机安全机制的一种补充，被认为是继防火墙之后的第二道安全闸门。在不影响网络性能的情况下它能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。相对于其它安全产品它具有更多的智能化，已成为近年来网络安全研究的热点。 尽管入侵检测的思路是很好的，但研究和实践发现，现有IDS存在着一些局限性： 适应性差：目前绝大多数系统都将具体的入侵形式抽象成模式特征（也称为知识），利用这些进行模式匹配，导致对变形或变异的已知攻击检测能力下降。 健壮性差：现有IDS各部分是协同工作的，每一部分都必不可少。当存在一种攻击是针对某个特定组件并导致其失效时，整个系统的功能就会大大削弱甚至无法正常工作。 时效性差：所有的入侵都得经过安全专家或网络管理员进行分析，然后更新知识库，然后才能发现这个攻击，未知入侵模式往往不能在事前就发现。 一般认为，计算机网络系统的安全威胁主要来自于黑客（Hacker）攻击、计算机病毒（Virus）和拒绝服务攻击（Denies Of Service，DOS）3个方面。鉴于计算机病毒对网络安全带来的巨大威胁，本文根据生物免疫的工作机制，将它运用于计算机安全，提出了基于免疫原理的检测病毒入侵的IDS，力争将生物免疫系统的多样性、大规模并行分布处理、自组织、耐受性、自适应、免疫记忆和鲁棒性引入到入侵检测系统，使IDS能在更大范围内、更好地保证系统信息的安全。 1.2 入侵检测技术 首先看看什么是入侵。所谓入侵，是指任何试图危及计算机资源的可用性、机密性或完整性的行为。而入侵检测，顾名思义便是对入侵行径的发现。针对日益严峻的安全形势，20世纪90年代末，美国国际互联网安全系统公司（Internet Security Systems，ISS）提出了自适应网络安全模型（Adaptive Network Security Model，ANSM），后来发展成为一个很有价值的模型——P2DR模型。这里的P2DR分别代表Policy（安全策略）、Protection（防护）、Detection（检测）和Response（响应）的缩写。其体系框架如图1.1所示。 图1.1 P2DR模型的体系框架 在P2DR模型中，检测是一个非常重要的环节，它是动态响应和加强防护的依据，同时也是强制落实安全策略的有力工具。通过检测，能够不断发现新的威胁和弱点，据此可以做出有效的响应。防火墙属于P2DR模型中的静态部分，而入侵检测系统属于其