计算机类的毕业论文

学 士 学 位 论 文 系 别： 计算机科学与技术 学科专业： 计算机科学与技术 姓 名： 段 雪 莲 运 城 学 院 2012 年 6 月 入侵检测系统的分析 研究 系 别： 计算机科学与技术 学科专业： 计算机科学与技术 姓 名： 段 雪 莲 指导教师： 运 城 学 院 2012 年 6 月 入侵检测系统 的分析 研究 摘 要 :入侵检测系统是一种能有效发现和防御网络入侵的网络安全防护手段。本文 从以下 几 方面 研究了入侵检测系统在网络安全中应用和实现的几个问题。 首先， 对网络安全体系作了全面概述，介绍了目前常见安全技术手段以及入侵 检测系统在网络安全中的重要作用。 其次， 分析了入侵 检测 和 入侵检测系统的 基本概念和研究方法，在此基础之上对最典型的入侵检测系统 Snort 进行了深入 探讨 。 关键词 ： 网络安全 ， 入侵检测 ， 防火墙 ， Snort Analysis of Intrusion Detection System Abstract:Intrusion Detection System is an effective network intrusion detection and prevention of network security tools. In this paper, we researched the network security applications of intrusion detection system and a few realized problems as follows. First,we made a comprehensive overview of network security system, described common security of current techniques and detection systems in the important role of network security. Secondly,we also analysised the basic concepts and research methods of the intrusion detection and intrusion detection system. On this basis, the most typical intrusion detection system snort was in-depth study, particular emphasis on the snort rules were further analysis. Keywords: Network security, Intrusion detection, Firewall, Snort 目 录 引 言 . 1 第 1 章 绪 论 . 2 1.1 网络安全概述和入侵检测 . 2 1.2 本课题的研究目的和意义 . 2 1.3 本课题的研究内容 . 2 第 2 章 入侵检测系统的分析 . 4 2.1 入侵检测系统概述 . 4 2.2 入侵检测系统功能分析 . 4 2.3 本章小结 . 5 第 3 章 Snort 入侵检测系统分析 . 6 3.1 Snort 入侵检测系统概述 . 6 3.2 Snort 系统结构 . 6 3.2.1 CIDF 模型 . 6 3.2.2 Snort 体系结构 . 7 3.3 Snort 工作流程 . 7 3.4 Snort 检测引擎 . 8 3.5 本章小结 . 8 结 束 语 . 10 致 谢 . 11 参考文献 . 12 入侵检测系统的分析 研究 第 1 页 共 12 页 引 言 在信息化飞速发展的今天，计算机网络得到了广泛的应用，但是随着信息流通能力极大提高的同时基于网络连接的安全问题也日益突出。很 多组织正在致力于提出更多更强大的主动策略和方案来增强网络的安全性。网络安全是信息安全中的重要研究内容之一，也是当前信息安全领域中的研究热点。 入侵检测技术是保证计算机网络安全的核心技术之一，在保护计算机系统安全及网络安全方面起着越来越重要的作用。 Snort 是目前最著名、应用最广泛的开源入侵检测系统。 虽然它是一个轻量级、适用于小型网络的入侵检测系统，但它结构清晰、可扩展性好，具有良好的发展前景。 本文就入侵检测与入侵检测系统 在网络安全中的应用提出了自己的观点，并在对入侵检测系统特别是非常典型的入侵检测系统 Snort 工具进行深入的分析之后， 对其的可行性与有效性进行了测试，得到了较好的结论，从而更好地 在理论和实践的基础上 提出了对入侵检测系统的综合评价。 运城学院毕业论文 第 2 页 共 12 页 第 1 章 绪 论 1.1 网络安全概述和入侵检测 目前网络中的安全威胁主要有：身份窃取；假冒；数据窃取；否认；非授权访问；拒绝服务，等等。 针对这些安全威胁，目前的网络安全技术主要有：身份认证、 访问控制、信息加密、防火墙、防杀病毒、入侵检测、安全审计及相关的服务等。 调查研究证明， 无论是有意的攻击还是无意的误操作，都会给系统带来不可估量的损失。所以计算机网络必须有足 够强的安全措施。而解决网络安全性的一个很为有效的途径就是入侵检测。 入侵检测技术是保证计算机网络安全的核心技术之一，在保护计算机系统安全及网络安全方面起着越来越重要的作用。作为一种主动的网络安全防御措施，入侵检测系统不仅检测来自外部的入侵行为，同时也监督内部用户的未授权活动，与防火墙等网络安全产品共同成为网络安全的核心设备，以此更好的起到“网络安全伞”的作用，保证计算机系统和网络的高速运行。 1.2 本课题的研究目的和意义 随着计算机网络的飞速发展，信息安全越来越受到人们的重视。入侵检测技术是保证计算机网络安 全的核心技术之一，在保护计算机安全方面起着越来越重要的作用。 入侵检测是一种主动的网络安全防御措施。随着网络技术的发展，网络安全日趋复杂，传统防火墙很难抵御来自网络内部和外部的多样化的攻击。入侵检测系统 (IDS， Intrusion Detection System)作为一种积极的、动态的安全防御系统 ,能对网络入侵事件和过程做出实时响应 ,与防火墙共同成为网络安全的核心设备，可以有效地弥补防火墙的不足。 Snort 是目前最著名、应用最广泛的开源入侵检测系统。经过多年发展，它的用户群已超过一百万。 Snort 规则也 是入侵检测系统的事实标准。虽然它是一个轻量级、适用于小型网络的入侵检测系统，但它结构清晰、可扩展性好，具有良好的发展前景。 1.3 本课题的 研究 内容 首先 了解入侵检测与网络安全的基本知识，对目前现有的网络安全防护手段进行了研究和比较； 其次 对著名入侵检测系统 Snort 进行详细分析，重点分析最新版本 Snort 的改进 ,其中以 Snort 的规则和规则分析为基础； 最后 分析入侵检测系统的测试和评估手段，得出综合评价方法，指出软件入入侵检测系统的分析 研究 第 3 页 共 12 页 侵检测系统的优势和不足。 运城学院毕业论文 第 4 页 共 12 页 第 2 章 入侵检测系统的分析 2.1 入侵检测系统概述 1 入侵和入侵检测的概念 入侵（ Intrusion） 是一个广义的概念，不仅包括发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问等对计算机系统造成危害的行为。 它主要指破坏主机和计算机网络的机密性，完整性和有效性的尝试以及迂回（ Bypass） 主机和网络安全性机制的企图。 入侵检测（ Intrusion Detection） ,是指通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为或遭到攻击的迹象 （亦即 捕获可疑数据包） ，并根据预定义的规则采取相应的反应措施。 图 2.1 给 出了入侵检测系统结构。 图 2.1 入侵检测系统结构图 目前市场上常用到的 IDS 产品有：理工先河有限公司的安全产品“金海豚”网络动态防护系统；汉邦软科公司的入侵检测系统 HBIDS；由瑞星公司自主开发研制的新一代网 络安全产品 RIDS-100；海信“眼镜蛇”网络入侵检测系统（ IDS）；主动防御入侵检测系统 Snort 工具，等等。 2.2 入侵检测系统 功能分析 具体说来 ,一个合格的 入侵检测系统的主要功能有： 1.监测并分析用户和系统的活动 入 侵检测系统可以用来检测来自主机 的 资源和来自网络的数据包， 从而分析用户和系统的活动情况，并根据检测到的信息实时做出响应处理。 2.核查系统配置和漏洞 入侵检测系统可以自动地检测到系统的配置参数以及漏洞，及时进行 处理和入侵检测系统的分析 研究 第 5 页 共 12 页 响应报警。 3.评估系统关键资源和数据文件的完整性 入侵检测系统通过 判断入侵行为是否出现来实现入侵检测 ，从而有效地评估系统关键资源和数据文件的完整性并及时做出调整。 4.识别已知的攻击行为 入侵检测系统 一旦发现用户或者系统状态违背了正常的行为模式，就表示有攻击或企图攻击行为的发声，系统就会 产生入侵警戒信号 来识别已知的攻击行为 。 5.统计分析异常行为 入侵检测系统 实时监护可疑的网络连接、系统日志检查、非法访问等，并且提供对 Web 服务器应用等典型应用的监视， 归纳出主机系统活动的特点和形式 ，进而统计分析异常行为， 及时做出响应处理。 2.3 本章小结 本章首先对“入侵”和“入侵检测”的概念进行了概述， 然后 对入侵检测进行进一步的分析，并对入侵检测系统的主要功能进行了深入探讨 。 运城学院毕业论文 第 6 页 共 12 页 第 3 章 Snort 入侵检测系统分析 3.1 Snort 入侵检测系统概述 Snort 是目前最著名、最活跃的开放源码网络入侵检 测系统。 Snort 定位于轻量级的入侵检测系统，已经实现了网络探测器和许多第三方的管理及日志分析 工具，是目 前世界上使用最广泛的开源入侵检测系统之一。 Snort 可以完成实时流量分析和对记录网络 IP 数据包的能力，能够进行协议分析、内容查找匹配，能够检测到缓冲区溢出，端口扫描、 CGI(comnlon gateway interface)攻击、SMB(server message block)探测、操作系统指纹探测企图等。 Snort 可以运行于Linux Unix 系列， Windows 等操作系统，具有良好的跨平台性，并 提供丰富的报警机制。 Snort 遵循 GPL(general public license)，所以任何企业、个人、组织都可以免费使用它作为自己的网络入侵检测系统。 Snort 整体设计编码简洁明了，攻击检测规则集已成一定规模，它的规则集已经被很多其他开放源码 IDS 项目所兼容。历经数年的发展， Snort 已经发展到了 2.8.4 版本。 Snort 基本架构在Snort1.6 版本时确立， 2.0 版本开始采用了新型的入侵检测引擎， 功能更加完善和强大。 Snort 已经成为学习和研究入侵检测系统的经典实例。 3.2 Snort 系统结构 3.2.1 CIDF 模型 CIDF(Common Intrusion Detection Framework)模型是 1999 年美国国防高级研究项目局 (DARPA) 提出的通用入侵检测框架模型。该模型旨在提高 IDS 产品、 组件及其他安全产品之间的互操作性。如图 3.1 所示给出了 CIDF 的体系结构。 图 3.1 CIDF 体系结构 CIDF 将一个入侵检测系统分为事件产生器、事件分析器、响应单元和事件数据库四个组件。 CIDF 将 IDS 需要分析的数据统称为事件 ( Event)， 它可以是基于网络的入侵检测系 统从网络中提取的数据包 ,也可以是基于主机的入侵检测系统从系统日志等其他途径得到的数据信息。 CIDF 组件之间是以通用入侵检测对象(GIDO)的形式 交换数据的。事件产生器的任务是从入侵检测系统之外的计算环境中收集事件 ,并将这些事件转换成 CIDF 的 GIDO 格式传送给其他组件。事件分析器负责分析从其他组件收到的 GIDO,并将产生的分析结果传送给其他组件。事件数入侵检测系统的分析 研究 第 7 页 共 12 页 据库用来存储 GIDO,以备系统需要的时候使用。响应单元负责处理接收到的 GIDO,并据此采取相应的措施。 3.2.2 Snort 体系结构 Snort 是一个典型 的遵循 CIDF 模型的入侵检测系统。如图 3.2 所示是 Snort的体系结构。 图 3.2 Snort 体系结构 Snort 系统由数据包嗅探 ， 包解码 ， 包预处理 ， 检测和输出 5 个子模块组成每个模块对入侵检测都很关键 。 第一个是捕包装置 称 为数据包嗅探 Snort 依赖一个外部捕包程序库 (libpcap)来抓包 ， 在包被以原始状态捕获后要送给包解码器 解码器 ，这 是进入 snort 自身体系的第一步 。 包解码器将特殊协议元素翻译成内部数据结构 ， 在最初的捕包和解码完成后由预处理程序处理流量 。 许多插入式预处理程序对包进行检查或操作后将 它们交给下一个模块检测引擎 ， 检测引擎对每个包的一个方面进行简单的检验以检测入侵最后一个模块是输出插件它对可疑行为产生报警 。 3.3 Snort 工作流程 Snort 工作流程如图 3.3 所示。程序启动后 ,完成初始化工作 ,对命令行进行解析 ,读入系统的规则库 ,生成用于检测的二维链表 ,然后就进入循环的检测过程。 运城学院毕业论文 第 8 页 共 12 页 初 始 化解 析 命 令 行解 析 规 则 库打 开 l i b p c a p 生 成 二 维 链 表获 取 数 据 包解 析 数 据 包与 二 维 链 表 某 结 点匹 配 ？响 应 （ A l e r t ， L o g ）NY 图 3.3 Snort 工作流程图 3.4 Snort 检测引擎 检测引擎是 Snort 中最重要的部分 ,它的作用是探测数据包中是否包含着入侵行为。检 测引擎通过 Snort 规则来达到目的 ,规则被读入到内部的数据结构或者链表中 ,并与所有的数据包比对。如果一个数据包与某一规则匹配 ,就会有相应的动作 (记录日志或告警等 )产生 ,否则数据包就会被丢弃。检测引擎是与时间相关的组件 ,根据机器的处理能力和定义的规则的多少 ,检测引擎会消耗不同的时间来对不同的数据包做出响应。当 Snort 工作在 NIDS 模式的时候 ,如果网络中数据流量过大 ,有时可能会因为来不及响应而丢弃一些包。 3.5 本章小结 本章分析了 Snort 入侵检测系统的基本 概念，在此基础上对 Snort 的 系统结构进行了深入探讨， 其中 介绍了 CIDF 模型 以及典型的 Snort 体系结构，然后 进一步入侵检测系统的分析 研究 第 9 页 共 12 页 阐述了 Snort 工作流程 。 其内容在本篇论文中起到了举足轻重的作用。 运城学院毕业论文 第 10 页 共 12 页 结 束 语 随着互联网的飞速发展，网络在人们的生产、生活中扮演着越来越重要的角色 ，同时络安全问题也日益突出。检测技术作为一种重要的网络安全技术，已经成为网络安全体系中不可缺少的一部分。入侵检测系统已成为目前安全工具的主要研究和开发方向。 本文对入侵检测系统在网络安全中的研究主要体现在以下几个方面： 1.对网络安全进行了概述，提出了入侵检 测的必要性和 可行性； 2.对“入侵”和“入侵检测”的概念进行了概述，并深入探讨了入侵检测系统的主要功能； 3.分析了 Snort 入侵检测系统的基本概念，在此基础上对 Snort 的系统结构进行了深入探讨。 这一部分 是整个 Snort 入侵检测系统得以 运行和测试以及发展的基础 。 入侵检测系统的分析 研究 第 11 页 共 12 页 致 谢 本文从选题，研究，实现，直到论文的审阅修改及最后完成，都是在我的指导老师的精心指导下完成的。在此，我谨以十分诚挚的心情向我的导师表示衷心的感谢！ 在