基于校園網(wǎng)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn)

李亮超

0 引言

為了迅速、有效地發(fā)現(xiàn)各類入侵行為，保證系統(tǒng)和網(wǎng)絡(luò)資源的安全，很多組織和研究機(jī)構(gòu)正致力于提出各種安全防護(hù)策略和方案，包括VPN、防火墻、防病毒、訪問控制等[1]。這些傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)，對(duì)保護(hù)網(wǎng)絡(luò)的安全起到非常重要的作用，然而他們也存在不少缺陷。例如，防火墻技術(shù)雖然為網(wǎng)絡(luò)服務(wù)提供了較好的身份認(rèn)證和訪問控制，但是它不能防止來自防火墻內(nèi)部的攻擊、不能防備最新出現(xiàn)的威脅、不能防止繞過防火墻的攻擊；入侵者可以利用脆弱性程序或者系統(tǒng)漏洞繞過防火墻的訪問控制來進(jìn)行非法攻擊。傳統(tǒng)的身份認(rèn)證技術(shù)，很難抵抗脆弱性口令、字典攻擊、特洛伊木馬、網(wǎng)絡(luò)窺探器以及電磁輻射等攻擊手段。虛擬專用網(wǎng)技術(shù)只能保證傳輸過程中的安全，并不能防御諸如拒絕服務(wù)攻擊、緩沖區(qū)溢出等常見的攻擊。另外，這些技術(shù)都屬于靜態(tài)安全技術(shù)的范疇，靜態(tài)安全技術(shù)的缺點(diǎn)是只能靜態(tài)和消極地防御入侵，而不能主動(dòng)檢測(cè)和跟蹤入侵。

為了能更好的保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全，James P.Anderson提出了入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）的概念。入侵檢測(cè)技術(shù)是一種動(dòng)態(tài)安全技術(shù)，它主動(dòng)的收集包括系統(tǒng)審計(jì)數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)包以及用戶活動(dòng)狀態(tài)等多方面的信息；然后進(jìn)行安全性分析，從而及時(shí)發(fā)現(xiàn)各種入侵并產(chǎn)生響應(yīng)[2]。

因此，在目前的計(jì)算機(jī)安全狀態(tài)下，基于防火墻、加密技術(shù)等的安全防護(hù)固然重要；但是要根本改善系統(tǒng)的安全現(xiàn)狀，必須要發(fā)展入侵檢測(cè)技術(shù)。它已經(jīng)成為計(jì)算機(jī)安全策略中的核心技術(shù)之一[3]。IDS作為一種主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。從網(wǎng)絡(luò)安全立體縱深的多層次防御角度出發(fā)，入侵檢測(cè)理應(yīng)受到高度重視。

1 相關(guān)研究

1980年，James P.Anderson[4]第一次系統(tǒng)闡述了入侵檢測(cè)的概念，他將入侵行為分為外部滲透、內(nèi)部滲透和不法行為三種，還提出利用審計(jì)數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想，從此揭開了入侵檢測(cè)的研究序幕。1987年，Dorothy Denning[5]首次提出了實(shí)時(shí)異常檢測(cè)模型。1988年，Teresa Lunt等改進(jìn)了Denning的入侵檢測(cè)模型，開發(fā)出實(shí)時(shí)入侵檢測(cè)專家系統(tǒng)IDES[6]（Intrusion Detection Expert System），并提出了與平臺(tái)無關(guān)的檢測(cè)思路，后來，他們又在此基礎(chǔ)上開發(fā)出了下一代入侵檢測(cè)專家系統(tǒng) NIDES[7]（Next-Generation Intrusion Detection Expert System），在異常檢測(cè)特征分析方面邁出了重要一步。

1990年加州大學(xué)戴維斯分校的L.T.Heberlein等開發(fā)出了網(wǎng)絡(luò)安全監(jiān)視器NSM[8]（Network Security Monitor），該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為數(shù)據(jù)來源，以前的 IDS都將主機(jī)記錄文件作為審計(jì)來源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)，從此以后，IDS形成兩大陣營：基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS。

自90年代以來，IDS在智能化和分布式兩個(gè)方向取得了很大的進(jìn)展。1994年，普渡大學(xué)的Eugene H.Spafford等推出了適用于大規(guī)模網(wǎng)絡(luò)的分布式入侵檢測(cè)系統(tǒng)AAFIDE[9]（Autonomous Agents for Intrusion Detection）。1996年，加州大學(xué)戴維斯分校開發(fā)出 GrIDS[10]（Graph-based Intrusion Detection System），將入侵檢測(cè)擴(kuò)展到大型網(wǎng)絡(luò)中；同年，Gregory B.White等又提出了CSM，解決了分布式環(huán)境下檢測(cè)代理之間的協(xié)同合作，從而均衡各實(shí)體的工作負(fù)荷；1997年，SRI/CSL繼推出IDES和NIDES之后，又著手研發(fā)第三代入侵檢測(cè)系統(tǒng)EMERALD[11]（Event Monitoring Enabling Response to Anomalous Live Disturbances），在此期間，數(shù)據(jù)挖掘、人工免疫、信息檢索、容錯(cuò)等技術(shù)也滲透或融合到了IDS中，從而將IDS的發(fā)展推向了一個(gè)新的高度。

2 入侵檢測(cè)系統(tǒng)研究

2.1 IDS的定義及作用

入侵檢測(cè)是指在特定的網(wǎng)絡(luò)環(huán)境中發(fā)現(xiàn)和識(shí)別未經(jīng)授權(quán)的或者惡意的攻擊和入侵，并對(duì)此作出反應(yīng)的過程。而入侵檢測(cè)系統(tǒng) IDS是一套運(yùn)用入侵檢測(cè)技術(shù)對(duì)計(jì)算機(jī)或者網(wǎng)絡(luò)資源進(jìn)行實(shí)時(shí)檢測(cè)的系統(tǒng)工具。IDS一方面檢測(cè)未經(jīng)授權(quán)的對(duì)象對(duì)系統(tǒng)的入侵，另一方面還監(jiān)視授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法操作[12]。

IDS的作用有以下幾種：

（1）監(jiān)視、分析用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作；

（2）檢測(cè)系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞；

（3）對(duì)用戶非正?；顒?dòng)的統(tǒng)計(jì)分析，發(fā)現(xiàn)攻擊行為的規(guī)律；

（4）檢查系統(tǒng)程序和數(shù)據(jù)的一致性和正確性；

（5）能夠?qū)崟r(shí)地對(duì)檢測(cè)到的攻擊行為進(jìn)行響應(yīng)；

（6）對(duì)操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為；

2.2 IDS的分類及特點(diǎn)

入侵檢測(cè)系統(tǒng)根據(jù)檢測(cè)的對(duì)象可分為基于主機(jī)的入侵檢測(cè)系統(tǒng)HIDS（Host Intrusion Detection System）和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) NIDS（Network Intrusion Detection System）。

2.2.1 主機(jī)入侵檢測(cè)系統(tǒng)

基于主機(jī)的入侵檢測(cè)是根據(jù)主機(jī)系統(tǒng)的系統(tǒng)日志和審計(jì)記錄來進(jìn)行檢測(cè)分析，通常在要受保護(hù)的主機(jī)上有專門的檢測(cè)代理，通過對(duì)系統(tǒng)日志和審計(jì)記錄不間斷的監(jiān)視和分析來發(fā)現(xiàn)攻擊。

它的主要目的是在事件發(fā)生后提供足夠的分析來阻止進(jìn)一步的攻擊。

其優(yōu)點(diǎn)是：

（1）能夠監(jiān)視特定的系統(tǒng)行為，基于主機(jī)的IDS能夠監(jiān)視所有的用戶登錄和退出甚至用戶所做的所有操作，審計(jì)系統(tǒng)在日志里記錄的策略改變，監(jiān)視關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的改變等。

（2）HIDS能夠確定攻擊是否成功，由于使用含有已發(fā)生事件信息，它們可以比NIDS更加準(zhǔn)確地判斷攻擊是否成功。

（3）有些攻擊在網(wǎng)絡(luò)的數(shù)據(jù)流中很難發(fā)現(xiàn)，或者根本沒有通過網(wǎng)絡(luò)在本地進(jìn)行。這時(shí)NIDS將無能為力，只能借助于HIDS。

其缺點(diǎn)是：

（1）HIDS安裝在我們需要保護(hù)的設(shè)備上，這會(huì)降低應(yīng)用系統(tǒng)的效率。它依賴于服務(wù)器固有的日志與監(jiān)視能力，如果服務(wù)器沒有配置日志功能，則必須重新配置，這將會(huì)給運(yùn)行中的業(yè)務(wù)系統(tǒng)帶來不可預(yù)見的性能影響。

（2）全面部署HIDS代價(jià)較大。

（3）HIDS除了監(jiān)測(cè)自身的主機(jī)以外，根本不監(jiān)測(cè)網(wǎng)絡(luò)上的情況。

2.2.2 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)是使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。

其優(yōu)點(diǎn)有：

（1）有較低的成本；

（2）能夠檢測(cè)到 HIDS無法檢測(cè)的入侵，例如 NIDS能夠檢查數(shù)據(jù)包的頭部而發(fā)現(xiàn)非法的攻擊，NIDS能夠檢測(cè)那些來自網(wǎng)絡(luò)的攻擊，它能夠檢測(cè)到超過授權(quán)的非法訪問；

（3）入侵對(duì)象不容易銷毀證據(jù)，被截取的數(shù)據(jù)不僅包括入侵的方法，還包括可以定位入侵對(duì)象的信息；

（4）能夠做到實(shí)時(shí)檢測(cè)和響應(yīng)，一旦發(fā)現(xiàn)入侵行為就立即中止攻擊；

（5）NIDS不依賴于被保護(hù)主機(jī)的操作系統(tǒng)。

其缺點(diǎn)是：

（1）只檢查它直接連接網(wǎng)段的通信，不能檢測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包。在使用交換以太網(wǎng)的環(huán)境中就會(huì)出現(xiàn)監(jiān)測(cè)范圍的局限，而安裝多臺(tái)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的傳感器會(huì)使部署整個(gè)系統(tǒng)的成本大大增加；

（2）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)為了性能目標(biāo)通常采用特征檢測(cè)的方法，它可以檢測(cè)出普通的一些攻擊，而很難發(fā)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè)；

（3）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可能會(huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中。在一些系統(tǒng)中監(jiān)聽特定的數(shù) 據(jù)包會(huì)產(chǎn)生大量的分析數(shù)據(jù)流量。一些系統(tǒng)在實(shí)現(xiàn)時(shí)采用一定方法來減少回傳的數(shù)據(jù)量，對(duì)入侵判斷的決策由傳感器實(shí)現(xiàn)。而中央控制臺(tái)成為狀態(tài)顯示與通信中心，不再作為入侵行為分析器。這樣的系統(tǒng)中的傳感器協(xié)同工作能力較弱；

（4）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)處理加密的會(huì)話過程較困難，目前通過加密通道的攻擊尚不多，但隨著IPv6的普及，這個(gè)問題會(huì)越來越突出；

2.3 基于校園網(wǎng)的NIDS體系結(jié)構(gòu)

我們基于Linux環(huán)境實(shí)現(xiàn)了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，該系統(tǒng)主要有以下幾個(gè)模塊[13]，包括網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊、網(wǎng)絡(luò)協(xié)議分析模塊、存儲(chǔ)模塊、規(guī)則解析模塊、入侵事件檢測(cè)模塊、響應(yīng)模塊和界面管理模塊。

2.3.1 系統(tǒng)的體系結(jié)構(gòu)

系統(tǒng)的體系結(jié)構(gòu)如下圖所示，它從邏輯上分為數(shù)據(jù)采集、數(shù)據(jù)分析和結(jié)果顯示三個(gè)部分。此系統(tǒng)由七個(gè)模塊組成。

圖1 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)圖

1.網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊

此模塊的主要功能就是從以太網(wǎng)中捕獲數(shù)據(jù)包。在Linux操作系統(tǒng)中，我們可以使用系統(tǒng)的底層調(diào)用來實(shí)現(xiàn)，也可以使用相應(yīng)的高層調(diào)用來實(shí)現(xiàn)。由于此模塊的性能要求很高，因?yàn)榫W(wǎng)絡(luò)中的數(shù)據(jù)包很多，如果捕獲不及時(shí)，就會(huì)有漏包的情況出現(xiàn)，這是我們要避免的。為了提高數(shù)據(jù)包的捕獲性能，我們使用一個(gè)在Linux下非常流行的捕獲機(jī)制，即BPF機(jī)制。此數(shù)據(jù)包捕獲機(jī)制的性能非常優(yōu)越，我們就不需要再用底層的調(diào)用來編寫代碼，BPF封裝了底層的調(diào)用，并且作了優(yōu)化處理。

2.網(wǎng)絡(luò)協(xié)議分析模塊

在網(wǎng)絡(luò)協(xié)議分析模塊中，必須對(duì)捕獲到的數(shù)據(jù)包進(jìn)行詳細(xì)的分析。由于網(wǎng)絡(luò)協(xié)議非常多，所以就必須分析很多的協(xié)議。在本系統(tǒng)中，我們分析了以下幾種協(xié)議，包括：以太網(wǎng)協(xié)議、ARP/RARP、IP、ICMP、TCP、UDP等。網(wǎng)絡(luò)協(xié)議分析模塊對(duì)捕獲到的數(shù)據(jù)包進(jìn)行協(xié)議分析，檢測(cè)出每個(gè)數(shù)據(jù)包的類型和特征。這是此系統(tǒng)的核心部分。

3.存儲(chǔ)模塊

此模塊主要是存儲(chǔ)網(wǎng)絡(luò)信息。由于網(wǎng)絡(luò)數(shù)據(jù)包很多，而且是稍縱即逝的，所以必須及時(shí)把它們存儲(chǔ)起來。存儲(chǔ)起來有很多用處，最大的好處可以供事后分析，在此基礎(chǔ)上可以分析出網(wǎng)絡(luò)的流量情況。在此模塊中，我們使用了MySQL數(shù)據(jù)庫進(jìn)行存儲(chǔ)。

4.規(guī)則解析模塊

此模塊的功能就是把定義好的入侵規(guī)則庫從文件中讀取出來，然后進(jìn)行解析，讀入內(nèi)存，也就是讀入相應(yīng)的變量之中。入侵規(guī)則庫中有很多種入侵事件，為了描述入侵事件就需要一個(gè)入侵事件描述語言。入侵事件描述語言是入侵檢測(cè)系統(tǒng)重要的一個(gè)部分，很多大型的入侵檢測(cè)系統(tǒng)都有自己的入侵事件描述語言。在本系統(tǒng)中，我們?cè)O(shè)計(jì)了入侵事件描述語言，用此語言上可以描述一般的入侵行為。

5.入侵事件檢測(cè)模塊

此模塊的主要思路就是根據(jù)入侵規(guī)則庫進(jìn)行協(xié)議分析，看是否有入侵行為發(fā)生。在這里就可以轉(zhuǎn)化為規(guī)則庫的匹配問題。如果協(xié)議分析的結(jié)果和入侵規(guī)則庫匹配成功，就說明有入侵行為發(fā)生。它是一個(gè)入侵檢測(cè)系統(tǒng)的知識(shí)庫，它的豐富與否，就決定了入侵檢測(cè)系統(tǒng)的功能。只有入侵規(guī)則庫越豐富，那么系統(tǒng)檢測(cè)到的入侵行為就會(huì)越多。

6.響應(yīng)模塊

響應(yīng)有主動(dòng)響應(yīng)和被動(dòng)響應(yīng)之分。主動(dòng)響應(yīng)是指系統(tǒng)自動(dòng)地或者以用戶設(shè)置的方式來阻斷攻擊過程或者以其它方式影響攻擊過程。被動(dòng)響應(yīng)是指為用戶提供信息，由用戶決定接下來應(yīng)該采取什么措施。在本系統(tǒng)中，采用被動(dòng)響應(yīng)的方式，通過不同的響應(yīng)技術(shù)來實(shí)現(xiàn)響應(yīng)模塊。

7.界面管理模塊

界面是為了控制操作的方便而設(shè)計(jì)的。在界面的設(shè)計(jì)中，我們使用了多線程技術(shù)，這樣用一個(gè)線程來捕獲數(shù)據(jù)包，用一個(gè)線程來分析數(shù)據(jù)包，再用一個(gè)線程來顯示分析后的數(shù)據(jù)包信息。不僅在界面設(shè)計(jì)的時(shí)候用到多線程，在本系統(tǒng)中到處都用到了多線程技術(shù)，例如，數(shù)據(jù)包捕獲和數(shù)據(jù)包分析就分別是一個(gè)線程，另外入侵檢測(cè)的功能的實(shí)現(xiàn)也是多線程的。多線程技術(shù)的使用大大增加了系統(tǒng)的性能。

2.3.2 系統(tǒng)的數(shù)據(jù)流圖及功能流圖

系統(tǒng)的項(xiàng)層數(shù)據(jù)流圖下圖所示，網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊按一定的規(guī)則從網(wǎng)絡(luò)上獲取與安全事件相關(guān)的數(shù)據(jù)包，然后傳遞給網(wǎng)絡(luò)協(xié)議分析模塊對(duì)數(shù)據(jù)包進(jìn)行協(xié)議分析，提取網(wǎng)絡(luò)數(shù)據(jù)包重要信息。規(guī)則解析模塊將入侵規(guī)則（攻擊特征）讀入內(nèi)存。入侵事件檢測(cè)模塊將根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包重要信息和規(guī)則進(jìn)行分析，把檢測(cè)結(jié)果傳遞給響應(yīng)模塊。響應(yīng)模塊將分析結(jié)果傳遞給用戶。

圖2 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的頂層數(shù)據(jù)流圖

系統(tǒng)的功能流圖如下圖所示：

圖3 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的功能流圖

功能流圖有以下6種功能：

（1）通過網(wǎng)卡捕獲網(wǎng)絡(luò)數(shù)據(jù)包。

（2）通過網(wǎng)絡(luò)數(shù)據(jù)包分析網(wǎng)絡(luò)協(xié)議，得到網(wǎng)絡(luò)數(shù)據(jù)包重要信息。

（3）通過入侵規(guī)則庫解析規(guī)則，得到內(nèi)存中特定形式存儲(chǔ)的規(guī)則。

（4）通過規(guī)則和網(wǎng)絡(luò)數(shù)據(jù)包重要信息的匹配，檢測(cè)入侵事件，得到檢測(cè)結(jié)果。

（5）通過檢測(cè)入侵事件功能的輸出結(jié)果，產(chǎn)生響應(yīng)，發(fā)聲或者閃爍或者日志。

（6）網(wǎng)絡(luò)數(shù)據(jù)包稍縱即逝，通過數(shù)據(jù)庫存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)包。

3 系統(tǒng)實(shí)現(xiàn)與測(cè)試

3.1 實(shí)驗(yàn)環(huán)境

本實(shí)驗(yàn)在茂名學(xué)院校園網(wǎng)上對(duì)分布式入侵檢測(cè)進(jìn)行了大量的實(shí)驗(yàn)，該校園網(wǎng)共有約1.5萬用戶，實(shí)驗(yàn)所在的網(wǎng)絡(luò)環(huán)境共有4個(gè)鏈路出口，分別為中國電信400M，中國網(wǎng)通200Mbps，中國聯(lián)通100Mbps，教育網(wǎng)100Mbps，核心交換設(shè)備為AVAYA P882和Cisco Catalyst 6509。本文的測(cè)試環(huán)境由十一臺(tái)主機(jī)組成，四臺(tái)作為攻擊端主機(jī)，安裝攻擊工具軟件，另外七臺(tái)主機(jī)作為檢測(cè)主機(jī)，OS為Redhat Enterprise Linux Advanced Server 4。

3.2 測(cè)試方案

我們把網(wǎng)絡(luò)入侵事件劃分為以下 4大類：拒絕服務(wù)攻擊，預(yù)攻擊探測(cè)，可疑活動(dòng)，非授權(quán)訪問嘗試，每一大類又分為若干子類，具體如表1，然后分別進(jìn)行測(cè)試。

表1 測(cè)試入侵事件類型

測(cè)試時(shí)我們對(duì)以下指標(biāo)進(jìn)行了記錄，主要包括：

1.漏報(bào)率：系統(tǒng)在檢測(cè)時(shí)出現(xiàn)漏報(bào)的概率。漏報(bào)：系統(tǒng)未能識(shí)別出入侵行為，將其作為正常行為放過。

2.誤報(bào)率：系統(tǒng)在檢測(cè)時(shí)出現(xiàn)誤報(bào)的概率。誤報(bào)包括將正常行為判斷為攻擊而產(chǎn)生報(bào)警；將一種攻擊錯(cuò)誤的判斷為另一種攻擊而報(bào)警。

3.事件庫：也叫特征庫。系統(tǒng)能夠匹配檢測(cè)的攻擊種類數(shù)量的大小，能夠橫向體現(xiàn)系統(tǒng)檢測(cè)能力。

4.延遲時(shí)間：從攻擊發(fā)生到系統(tǒng)檢測(cè)到攻擊的時(shí)間。延遲時(shí)間的長短直接關(guān)系到攻擊破壞的程度。

5.資源占用：系統(tǒng)工作時(shí)對(duì)資源的消耗情況。

6.自身安全性：又稱健壯性。系統(tǒng)對(duì)直接以自身為攻擊目標(biāo)的攻擊的抵抗能力。

3.3 實(shí)驗(yàn)結(jié)果與分析

其他測(cè)試條件不變的情況下，負(fù)載低于 50%時(shí)，漏報(bào)率都低于4%，平均延時(shí)少于400ms；當(dāng)系統(tǒng)負(fù)載增大到70%時(shí)，漏報(bào)率增至21%，延時(shí)陡增至900ms以上；當(dāng)系統(tǒng)負(fù)載陡增至 90%時(shí)，漏報(bào)率就已經(jīng)大于 70%，延時(shí)超過1000ms。

圖4 系統(tǒng)負(fù)載與平均漏報(bào)率比較圖

圖5 系統(tǒng)負(fù)載與平均延時(shí)比較圖

實(shí)驗(yàn)結(jié)果顯示，負(fù)載加大，包長不變的情況下，嗅探網(wǎng)卡抓包數(shù)也在加大，同時(shí)系統(tǒng)需要處理的包數(shù)也在增大；從實(shí)驗(yàn)中可以看到，系統(tǒng)在負(fù)載達(dá)到 70%后性能降低厲害，可能是系統(tǒng)資源被占用過多引起；查看系統(tǒng)的CPU占用情況和內(nèi)存使用情況，發(fā)現(xiàn)負(fù)載達(dá)到 60%后，內(nèi)存占用率急劇升高，在負(fù)載超過90%時(shí)，系統(tǒng)處于緩慢響應(yīng)狀態(tài)。

4 結(jié)論及下一步工作

本文主要研究了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)及其功能流程，并基于校園網(wǎng)開發(fā)實(shí)現(xiàn)了一套網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，通過實(shí)驗(yàn)應(yīng)用證明，該系統(tǒng)有較好的性能和安全性。

下一步研究工作主要是：

更有效的集成各種入侵檢測(cè)數(shù)據(jù)源，包括從不同的系統(tǒng)和不同的檢測(cè)引擎上采集的數(shù)據(jù)，提高報(bào)警準(zhǔn)確率；采用一定的方法和策略來增強(qiáng)異種系統(tǒng)的互操作性和數(shù)據(jù)一致性；研制可靠的測(cè)試和評(píng)估標(biāo)準(zhǔn)；提供對(duì)更高級(jí)的攻擊行為如分布式攻擊、拒絕服務(wù)攻擊等的檢測(cè)手段。

[1]Suehring S. Linux 防火墻[M].何涇沙,譯.3 版.北京:機(jī)械工業(yè)出版社,2006:39- 62.

[2]董曉梅,于戈.分布式入侵檢測(cè)與響應(yīng)協(xié)作模型研究[J].計(jì)算機(jī)工程,2006,32(6):151-153.

[3]王軍,熊偉,肖德寶.基于 SNMP的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用,2003,39(17):177-180.

[4]J P Anderson.Computer Security Threat Monitoring and Surveillance[R].J.P.Anderson Co.1980.112-128.

[5]Dorothy E,Denning. An Intrusion Detection Model.IEEE Symposium on Security and Privacy.1986.118-131.

[6]Tener W,TDisvery.An Expert System In The Commercial Data Security En vironment[R].North-Holland:Proc Fourth JFIP TC11 International Conference On Computer Security.1986.321-328.

[7]Next-Generation Intrusion Detection Expert System(NIDES)[DB/OL].http://www.sdl.sri.com/projects/aides/index.html.

[8]Heberlein L T.A Network Security Monitor[C]//Proceeding of the IEEE Symposium on Research in Security and Privacy.Oakland,CA:IEEE,1990.346-351.

[9]Autonomous Agents for Intrusion Detection[DB/OL].http://www.cerias.purdue.edu/about/porjects/aafid/.

[10]Graph-based Intrusion Detection System. http://seclab.cs.ucdavis.edu/arpa/grids/welcome.html.

[11]Porrsa P A,Neumann P G.EMERALD:Event Monitoring Enabling Response to Anomalous Live Disturbances.[C]//Proc,of the 20th National Information System Security Conf.1997.353- 365.

[12]李昀,李偉華.分布式入侵檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與應(yīng)用,2003,39(4):1-3,8.

[13]連一峰,戴英俠,胡艷,等.分布式入侵檢測(cè)模型研究[J].計(jì)算機(jī)研究與發(fā)展,2003,40(8):23-24.