《硕士学位论文-基于攻击树的多层次入侵检测及其在Linux上的原型.doc》由会员分享,可在线阅读,更多相关《硕士学位论文-基于攻击树的多层次入侵检测及其在Linux上的原型.doc(51页珍藏版)》请在三一文库上搜索。
1、 学校编码:10384 分类号_密级_ 学 号:9928006 UDC _学 位 论 文基于攻击树的多层次入侵检测及其在Linux上的原型庄朝晖指导教师:申请学位类别 :硕 士专业名称:计算机应用论文提交日期 :文答辩日期 :学位授予单位 :厦门大学学位授予日期 :2002年 月 日答辩委员会主席: 评 阅 人: 目录结构前言摘要Abstract1.概述1.1计算机安全研究的内容1.1.1计算机安全技术的含义1.1.2计算机安全的主要研究内容1.1.3计算机安全标准及机构1.2网络安全的基本概念1.3 入侵检测的基本概念1.4 Denning的入侵检测模型1.5 相关术语1.6 本文的主要贡献
2、2. 入侵检测的分类及分布式入侵检测系统2.1 入侵检测的分类2.2 异常入侵检测2.2.1统计方法(Statistical Approach)2.2.2 指标选择(Feature Selection)2.2.3 单指标方法2.2.3.1 贝叶斯统计(Bayesian Statistics)2.2.3.2 协方差矩阵(Covariance Matrices)2.2.4 预测模式生成(Predictive pattern generation)2.2.5 神经网络(Neural Network)2.2.6 贝叶斯分类(Bayesian Classification)2.3 基于特征的入侵检测2.
3、3.1 使用条件概率(Conditional Probability)2.3.2 产生式/专家系统(Production/Expert Systems)2.3.3 状态转换分析(State Transition Analysis)2.3.4 键入特性(Keystroke)2.3.5 神经网络2.4CIDF(the Common Intrusion Detection Framework)及IDWG(the Intrusion Detection Working Group)工作组2.4.1组件和数据2.4.2层次和服务2.4.3CISL(Common Intrusion Specificati
4、on Language)2.4.3.1 CISL概述2.4.3.2SID分类2.4.3.3攻击范例2.4.4小结2.4.5 IDWG工作组2.5 分布式入侵检测系统3.多层次入侵检测及其攻击树描述3.1多层次入侵(Multi-stage Intrusion)检测的概念3.2攻击树的概念3.3基于攻击树的攻击语言及示例3.3.1 基于攻击树的攻击语言3.3.2 使用攻击语言来描述IP Spoofing攻击3.4 使用Z语言来代替攻击语言3.4.1Z语言简介3.4.1.2状态模式(State Schemas)3.4.1.3 操作模式3.4.1.4模式运算3.4.1.5 Object-Z语言3.4.
5、2 使用Object-Z语言来表示攻击模式3.4.2.1 相关概念3.4.2.2 结点关系表示3.4.2.3 使用Object-Z语言来表示IP-Spoofing攻击3.4.3 小结3.5 基于攻击树的安全事前分析3.5.1事前分析的形式化定义及求权重的算法3.5.2把权重值扩充为一个有序对3.5.3应用例子3.5.4 小结4基于攻击树模型的层次式入侵检测系统ACIDS(Attack-tree based Centralized Intrusion Detection System)4.1 体系结构选择4.1.1 协作式体系结构4.1.2中心式体系结构4.1.3两者的比较及选择4.2 系统结构
6、4.3 Socket编程4.3.1 TCP/IP状态转换图4.3.2基本TCP客户-服务器程序的流程及套接口函数4.3.3关键的socket编程函数4.4 编程技术难点4.4.1 如何截获网络数据包4.4.1.1SOCK_RAW方式4.4.1.2 PF_PACKET方式4.4.1.3libnet,libpcap和libnids库文件方式4.4.1.4 各种方式的比较及选用4.4.2多客户问题4.4.3heartbeat信号问题4.4.4 AGENT内进程通信4.4.4.1 消息队列方式4.4.4.2 共享内存方式4.4.4.3 管道方式4.4.4.4 选择:4.5 各主要模块功能简介4.5.1
7、 center4.5.2 agent4.5.3 sensor4.5.4 oobsvr4.5.5 oobclnt4.5.6 各组件的通信示意图4.6 系统的部署4.7 系统运行步骤4.8 系统可待改进的地方5当前入侵检测系统的发展趋势及本系统有待改善之处5.1 入侵检测系统的发展趋势5.1.2 模块化,共享化 5.1.3 人工智能方法5.1.4 入侵检测系统的评价方法5.1.5 入侵检测的正确性,完备性5.1.6 IDS用户界面设计5.1.7 IDS的形式化描述5.1.8 IDS与其它安全产品的交互与自动响应5.1.9 复杂入侵的建模5.2 本系统有待改善之处参考文献结语自觉地采取批判方法,成为
8、知识增长的主要手段。没有任何理论可以作为终极真理永远为我们所依赖,我们最多只能说:它被迄今为止的每一个观察所证明;它比已知的别的理论提出了更多、更准确的预言。它还是会被更好的理论所代替。批判这一态度在远远超出科学范围的地方也可以使用。这种态度隐含着一种认识,我们永远不得不生活在一个不完美的社会中。英波普尔前言在我的课题和论文即将结束之际,我首先要感谢我的导师杨晨晖博士。在这三年中,杨老师给予了我极大的帮助和支持,从选题,工作上的指导到论文的修改定稿,无不浸透着杨老师的心血。杨老师执着务实的科研作风和勤奋的治学精神给我留下了深刻的印象。另外,谢谢李名世老师在研一时对我的指导,并从一年级就为我提供
9、了良好的实验条件。陈毅东、林凡同学对我的工作提出了不少有益的建议,也向他们道一声感谢。谢谢研究生期间所有的任课老师对我的教导与帮助。谢谢研究生期间的同学,与他们的讨论对我产生了很大的帮助。谢谢yawl及他管理的站点,它给我提供了很多资料及思想。谢谢多媒体实验室及Linux实验室的老师和同学,给我提供了良好的实验环境。谢谢周围的同学与朋友,给我提供了一个良好的氛围。谢谢家里的亲人,他们是我前进永远的动力。谢谢我的女朋友,在我写论文期间对我的照顾及对我思想的帮助。晓晓谢谢所有在我求学生涯中关心过我,鼓励过我,帮助过我的人们。谢谢鲁迅、奥威尔、李慎之、波普尔等人的文章对我思想的帮助。摘要入侵检测是计
10、算机安全领域的一个重要技术,也是当前计算机安全理论研究的一个热点。最近IEEE上几乎每个月都有新的入侵检测方面的论文。这几年,我国政府也对入侵检测研究投入了较大的重视。2000年6月,863把入侵检测研究列入信息安全技术应急计划。入侵(Intrusion)指的就是试图破坏计算机保密性,完整性,可用性或可控性的一系列活动。当前入侵活动往往不是一次性的,孤立的活动,而往往是由一系列入侵活动组成的。多层次入侵(Multi-stage Intrusion)指的就是这一类的入侵活动。入侵检测(Intrusion Detection)就是对计算机网络和计算机系统的关键结点的信息进行收集分析,检测其中是否有
11、违反安全策略的事件发生或攻击迹象,并通知系统安全管理员。一般把用于入侵检测的软件,硬件合称为入侵检测系统(Intrusion Detection System)。第一章介绍了计算机安全、网络安全、入侵检测的一些基本概念及相关术语。第二章首先介绍了入侵检测的分类并详细介绍了各种异常入侵检测及基于特征的入侵检测方法。然后介绍了分布式入侵检测系统。第三章首先介绍协同入侵检测,然后引入攻击树来表示协同入侵,并提出了一个基于攻击树的攻击说明语言。另外,还使用攻击树来对系统安全事前分析,并提出了权重的计算算法。最后,引入形式化语言Z语言来对攻击模式进行描述,并以IP-Spoofing为例构造了一个IP_S
12、poofing攻击模式。第四章给出了一个层次式入侵检测系统的详细说明并在Linux操作系统上实现了一个层次式入侵检测框架。第五章讨论了当前入侵检测系统的发展趋势及主要难点,并提出本文的不足之处及未来的工作。本文的贡献主要是以下几个方面:1. 使用攻击树对系统安全进行事前分析,并提出了权重的计算算法。分析员先根据系统情况建立一棵攻击树,然后给所有的叶子结点赋值(经验方式),就可以计算出攻击树上所有结点的值。另外文中使用攻击树对大规模入侵进行建模,并提出了一个基于攻击树的攻击说明语言,而且使用该语言描述了IP_Spoofing攻击。2. Z(Object-Z)语言具有强大的形式化表示功能,文中引入
13、Z语言来对攻击模式进行描述,提出了攻击树的结点及三个关系操作符在Z语言中的表示方式,并给出了IP_Spoofing攻击的Z语言描述。3. 定义了层次式入侵检测各部件的功能并在Linux上实现了一个层次式入侵检测框架ACIDS,并验证了本文提出方法的可行性。在系统实现中,应用了网络数据包捕捉,socket、带外数据、管道等编程技术。关键词:多层次入侵检测,攻击树,攻击说明语言,Z语言,形式化,Linux,事前分析AbstractWith the development of computer technology and the explosion of Internet, computer s
14、ecurity becomes more and more important. Annual reports from the Computer Emergency Response Team (CERT) indicate a significant increase in the number of computer security incidents each year. According to CERT, the Number of incidents reported increase sharply from 252 in 1990 to 21,756 in 2000.A n
15、arrower definition of computer security (or information security) is based on the realization of confidentiality, integrity, availability and controllability in a computer system. There are many measures for computer security, such as access control, encryption, auditing, authentication, etc. Howeve
16、r, completely preventing breaches of security appear, at present, unrealistic. We can, however, try to detect these intrusion attempts so that action may be taken to repair the damage later. This field of research is called Intrusion Detection. An intrusion is defined as any set of actions that atte
17、mpt to compromise the integrity, confidentiality, availability, or controllability of a resource. Intrusion detection is defined as the problem of identifying individuals who attempt to use a computer system without authorization and those who have legitimate access to the system but are abusing the
18、ir privileges. An intrusion detection system (IDS) is a computer system that attempts to perform intrusion detection. Multistage intrusion detections give emphasis on the finding the relations among the intrusion events, which may are initiated by different attackers from different hosts at differen
19、t time. In Chapter 1, related term and related concepts are introduced, such as Computer Security, Network Security and Intrusion Detection.In Chapter 2, the classification of intrusion detect is introduced in detail. Then the work done by some standardized organization (CIDF and IDWG) is introduced
20、. In the end, we discuss the distributed IDS and divide it into two categories.In Chapter 3, the concept of attack trees is introduced first. Then Based on the attack tree model, an attack specification language is constructed and an example of IP-Spoofing attack is given. Moreover, Z language is ad
21、opted to define the attack model. In addition, we apply attack tree model to evaluating the likelihood of being compromised beforehand.In Chapter 4, a specification of Attack-tree based Centralized Intrusion Detection System (ACIDS) is given and a prototype is implemented based on Linux.In Chapter 5
22、, we discuss the research and technical trend of IDS. The overall intent of this dissertation is to develop a methodology for the construction of multi-stage intrusion detection systems. The following research objectives accomplish this intent:l An attack specification language based on enhanced att
23、ack tree model is constructed. Using this language, we define attack template library. We take IP_Spoofing attack for example. Attack tree also is applied to evaluating the security of host beforehand.l Z language (with Object-Z extension) , a formal language, is employed to depict the attack tree m
24、odel. The representations of nodes and relations among nodes are given. Last, a construction of IP_Spoofing attack schemas exemplifies this method.l The specification of central intrusion detection is given and a prototype called Attack-tree based Intrusion Detection System (ACIDS) is implemented in
25、 Linux environment to demonstrate the feasibility of this method. In the system, some advanced technical skills such as Raw Packet, Socket, Out of Band Data and Pipe are employed.Keyword:Multi-stage Intrusion Detection, Attack Tree, Attack Tree Specification Language, Z language, Formal, Linux, anal
26、ysis beforehand1.概述1.1计算机安全研究的内容1.1.1 计算机安全技术的含义计算机安全技术主要包含以下几个方面的含义:1)保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。信息经过加密变换后变成密文,只有那些经过授权的合法用户,掌握解密密钥,才能通过解密算法将密文还原成明文。2)完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。3)可用性:可被授权实体访问并按需求使用的特性。安全系统能够对用户授权提供其某些服务,即经过授权的用户可以得到系统资源,并且能享受系统所提供的服务。例如网络环境下拒绝服务、破坏网络和有关系
27、统的正常运行等都属于对可用性的攻击。4)可控性:对信息的传播及内容具有控制能力。5可靠性:可靠性是指对信息完整性的依赖程度,也是对信息安全系统完整性的依赖程度。1.1.2计算机安全的主要研究内容1) 物理安全计算机系统物理安全主要是指为保证计算机设备和通信线路及设施(建筑物等)的安全。一是预防地震,雷电等自然灾害,满足设备正常运行环境的要求而采用的技术和方法;二是采取必要的措施防止计算机设备被盗,设定安全管理规定;三是为防止电磁辐射泄漏而采取的低辐射产品、屏蔽或反辐射技术和各种设备的备份等。2)密码学密码学是一门研究密码系统或通信安全的科学。它主要包括两个分支,密码编码学和密码分析学。密码编码
28、学的主要目的是寻求信息保密性和可认证性的方法,密码分析学的主要目的是研究加密消息的破译和信息的伪造。这两个方向相互联系,相互促进。3)操作系统安全操作系统是计算机重要的系统软件,它控制和管理计算机所有的软、硬件资源。由于操作系统的重要地位,使攻击者常常以操作系统为主要攻击目标,因此研究保护操作系统的方法、设计安全的操作系统,对整个计算机系统的安全至关重要。操作系统采用的安全控制方法主要是隔离控制和访问控制。4)数据库安全数据库安全指的是为了保护计算机系统中数据库(或数据文件)免遭破坏、修改、显露和窃取等威胁和攻击而采用的技术方法,包括各种用户识别技术、口令验证技术、存取控制技术和数据加密技术,
29、以及备份、异地存放、妥善保管等技术和方法。5)网络安全计算机网络就是将分散在不同地理位置的计算机系统,通过某种介质连接起来,实现信息的资源的共享,Internet的迅速发展给网络系统的安全保护提出了更高的要求。网络安全是指网络系统的部件、程序、数据的安全性,它通过网络信息的存储、传输和使用过程体现。所谓的网络安全性就是保护网络程序、数据或者设备,使其免受非授权使用或访问,它的保护内容包括:保护信息和资源,保护客户和用户,保证私有性。网络安全是计算机安全的一个重要组成部分。6)病毒防治计算机病毒是一种危害极大的程序,它直接威胁着计算机系统的安全。它在一定的条件下激发,感染磁盘引导区,或数据文件与
30、程序,占用系统资源,降低系统效率,重者造成整个系统的瘫痪。因此研究计算机病毒的种类,原理,检测与清除技术是计算机安全的重要组成部分。1.1.3计算机安全标准及机构美国国家安全局NSA美国国家安全局简称NSA(NationalSecurityAgency),是美国政府的官方安全机构,该机构建立于1952年,隶属于美国国防部。它的主要任务是监听和破译所有对本国信息安全有价值的外国通信。NSA还一直从事密码学的研究,一方面研究密码算法,加强本国通信的安全;另一方面研究密码分析技术,监听他国的通信。NSA被世界公认为是拥有最多的数学家的机构,也是先进计算机设备的最大买主,因此,NSA在密码学研究领域总
31、是处于领先地位,许多实际应用的密码系统都分别被其击破。美国国家计算机安全协会NCSA美国国家计算机安全协会简称 NCSA(National Computer Security Association),它是 NSA的一个分支机构,担负着国家重要的计算机程序设计工作。该协会负责对商业性的安全产品进行评估,包括硬件产品和软件产品的评估,主持重点项目的研究工作,开展技术指导咨询,提供建议方案,并且组织培训服务。NSCA成功地制定出国防部计算机系统的评估准则 DDTCSEC(Department of Defense Trusted Computer System Evaluation Criteri
32、a),准则中将安全的可靠性分成A,B,C,D四类8个等级,具体如下:D:最低安全要求,属非安全保护类,它不能用于多用户环境下的敏感信息的处理。只有一个级别。C:自主型保护类,它分为两级 C1:具有一定的自主型存取控制机制,通过用户与数据隔离措施满足安全要求。 C2:可控制的安全保护机制,通过注册、审查、资源隔离达到安全要求。B:强制型安全保护类,它分为三级 B1:标记安全保护,具有C2级的全部功能,并增加了标记强制型访问控制等功能。 B2:具有形式化安全模型,系统设计结构化,并要求计算机系统加人一种允许用户去评价系统满足哪一级的方法。 B3:安全区域级,具有严格的系统结构化设计,并具备全面的存
33、取控制的访问监控机制,以及审计报告机制。A:验证型安全保护类,分两级 A1;验证设计,要求用形式化设计说明和验证方法对系统进行分析。 超A1:验证客观级,比A1级具有更高的安全可信度要求,其技术有待于今后进一步研究探讨。通常,不同的安全等级,应采取不同的安全技术措施实现,下表是计算机安全等级的技术策略。计算机安全等级的技术策略编号安全技术策略A1 B3 B2 B1 C2 C1 D12345678鉴别使用口令登录的各用户维护用户资格不受侵害能产生保持客体存取的审核踪迹授权存取审核踪迹具有事件审核记录用户标识符选择安全状况审核隐蔽信道事件审核 910111213141516实时威胁监控用户存取控制
34、存取未准锁定存取授权限制存取控制表的存取方式和控制资源存储区保护隔离地址空间进程隔离硬件积木化 17181920212223242526272829303132存储区清除再使用正确标识安全等级打印标志级别信道隔离级别信道路由指定多信道报文标签敏感标志外部资源标志动态终端标识安全、泄漏和完整性对外部用户控制操作、管理人员分离管理活动审核可注册途径安全级别变化可信途径安全恢复 1.2网络安全的基本概念网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的部件、程序、数据的安全性,它通过网络信息的存储、传输和使用
35、过程体现。网络安全包括物理安全和逻辑安全。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。确保网络系统的信息安全是网络安全的目标,信息安全包括两个方面:信息的存储安全和信息的传输安全。信息的存储安全是指信息在静态存放状态下的安全,如是否会被非授权调用等。信息的传输安全是指信息在动态传输过程中安全。为了确保网络信息的传输安全,有以下几个问题:()对网络上信息的监听()对用户身份的仿冒()对网络上信息的篡改()对发出的信息予以否认()对信息进行重发网络的安全威胁主要有三个来源:(1) 人为的
36、无意失误(2) 人为的恶意攻击(3) 网络软件的漏洞和“后门” 网络安全的威胁主要包括如下几种类型:(1)物理威胁:偷窃、废物搜寻、间谍行为、身份识别错误(2)线缆连接:窃听、拨号进入、冒名顶替。(3)身份鉴别:口令圈套、口令破解、算法考虑不周、编辑口令(4)编程:A病毒:Internet蠕虫B代码炸弹:一旦到了设定的时间,它就被触发并产生破坏C特洛伊木马:特洛伊木马是包括病毒、代码炸弹、蠕虫和诸如此类的恶意代码的通称。D更新或下载:有些网络允许通过MODEM进行操作系统更新,于是非法闯入者通过它对系统进行非法更新。E系统漏洞:亦称为陷阱,通常由系统开发者有意设置的,能在用户失去了对系统的所有
37、访问权后仍进入系统。1.3 入侵检测的基本概念传统上,一般采用防火墙作为安全的第一道屏障。但是随着,攻击者技术的日趋成熟,攻击手法的日趋多样,单纯的防火墙已经不能很好地完成安全防护工作。在这种情况下,入侵检测技术成为市场上新的热点。入侵(Intrusion)指的就是试图破坏计算机保密性,完整性,可用性或可控性的一系列活动。入侵活动包括非授权用户试图存取数据,处理数据,或者妨碍计算机的正常运行。入侵检测(Intrusion Detection)就是对计算机网络和计算机系统的关键结点的信息进行收集分析,检测其中是否有违反安全策略的事件发生或攻击迹象,并通知系统安全管理员(Site Security
38、 Officer)。一般把用于入侵检测的软件,硬件合称为入侵检测系统(Intrusion Detection System)。1.4 Denning的入侵检测模型Dorothy Denning(1987年)介绍了一种通用的入侵检测模型。如下图所示。活动记录设计新的活动记录事件发生器创建异常记录修改记录状态定义新规则,修改旧规则规则集/检查引擎审计应用日志网络包时钟图Denning的通用入侵检测模型该模型的三个主要的部件是事件产生器(Event Generator),活动记录器(Activity Profile)和规则集(Rule Set)。事件产生器是模型中提供活动信息的部分。活动记录器保存监
39、视中的系统和网络的状态。当事件在数据源中出现时,就改变了活动记录器中的变量。规则集是一个普通的核查事件和状态的检查器引擎,它使用模型,规则,模式和统计结果来对入侵行为进行判断。此外,反馈也是模型的一个重要组成部分。现有的事件会引发系统的规则学习以加入新的规则或者修改规则。系统的三个子系统是独立的,可以分布在不同的计算机上运行。1.5 相关术语活动(Activity):活动是传感器或分析器在数据源检测到的安全相关事件。例如网络活动中出现的异常telnet事件、主机日志文件中记录的非法登录事件或应用日志上记录的重复登录失败。活动包含严重的攻击事件(如恶意攻击),较不严重的事件(如异常的用户行为)和
40、中立事件(如用户登录)。管理员(Administrator):管理员的职责是设置系统的安全政策并配置IDS。警报(Alert):分析器向管理器传送的信息,汇报检测到的相关事件。一条警报通常包含这起事件的详细报告。分析器(Analyzer):分析器是入侵检测系统的一个模块,用于收集传感器检测到的安全相关事件。在一些IDS系统中,分析器与传感器组为一个模块。数据源(Data Source):IDS系统用来检测安全相关事件的原始数据。数据源一般有原始网络包,操作系统的审计日志,应用程序审计日志和系统生成的校验信息。安全相关事件(Event):数据源中被检测到的可能导致警报的事件。例如,在T秒内的N次
41、登录失败可能表示正在发生强力登录攻击。入侵检测系统(IDS):入侵检测系统可能含有一个或多个以下模块:传感器,分析器,管理器。管理器(Manager):入侵检测系统的模块之一,操作员可以用它来管理入侵检测系统的其它模块。管理器的功能一般包含传感器配置,分析器配置,事件警告管理,数据合并和报告生成。事件告知(Notification):事件告知是管理器向操作员汇报事件的方式。事件告知可以用屏幕上的彩色图标,向Email或传呼送消息,发送SNMP trap等方式。操作员(Operator):IDS管理器的操作者。操作员的任务一般有监测IDS系统的输出、采取(或推荐)响应行动。响应(Response
42、):响应是对某一事件的反馈活动。响应可以是自动响应,也可以由操作员来启动。事件告知就是一种响应。响应还可以包含记录事件的相关信息,中止网络连接,中止用户执行,中止应用程序,和改变网络或系统的存取权限。传感器(Sensor):传感器是IDS系统的模块之一,用于从数据源收集数据。传感器向分析器传送安全相关事件。签名(Signature):签名是用于表示某一类攻击的规则。分析器使用签名集合来检测安全相关事件。安全策略(Security Policy):安全策略是一系列定义好的形式化语句,定义在网络上和主机上哪些活动是允许的。在本文中,入侵与攻击是相同的概念。1.6 本文的主要贡献本文的贡献主要是以下
43、几个方面:1.使用攻击树对系统安全进行事前分析,并提出了权重的计算算法。分析员先根据系统情况建立一棵攻击树,然后给所有的叶子结点赋值(经验方式),就可以计算出攻击树上所有结点的值。另外文中使用攻击树对大规模入侵进行建模,并提出了一个基于攻击树的攻击说明语言,并用该语言描述了IP_Spoofing攻击。2.Z(Object-Z)语言具有强大的形式化表示功能,文中引入Z语言来对攻击模式进行描述,提出了攻击树的结点及三个关系操作符在Z语言中的表示方式,并给出了IP_Spoofing攻击的Z语言描述。3.定义了层次式入侵检测各部件的功能并在Linux上实现了一个层次式入侵检测框架ACIDS,并验证了本
44、文提出方法的可行性。在系统实现中,应用了网络数据包捕捉,socket、带外数据、管道等编程技术。2. 入侵检测的分类及分布式入侵检测系统2.1 入侵检测的分类IDS的数据源一般来自网络数据和系统数据。根据数据源可以把IDS系统分为基于主机和基于网络的入侵检测。网络型入侵检测系统的数据源则是网络上的数据包。可以将某台主机的网卡设于混杂模式(Promisc Mode),监听所有本网段内的数据包并进行判断或直接在路由设备上放置入侵检测模块。一般网络型入侵检测系统担负着保护整个网段的任务。一般来说,在防火墙之外的检测器采用基于网络的入侵检测系统,负责检测来自Internet的攻击。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。防火墙内部的Web,DNS和Email等服务器是大部分攻击的目标,这些服务器应该安装基于主机的入侵检测系统以提高整体安全性。入侵检测根据检测方法可以分为两大类:异常(anomaly)入侵检测和基于特征(signature)的入侵检测。异常入侵检测根据用户的异常行为或者对资源的异常存取来判断是否发生入侵事件。例如一个用户A一般