10级毕业设计论文.doc

学 士 学 位 论 文系 别： 计算机科学与技术 学科专业： 计算机科学与技术 姓 名： 段 雪 莲 运 城 学 院 2012年 6 月入侵检测系统的分析研究系 别： 计算机科学与技术 学科专业： 计算机科学与技术 姓 名： 段 雪 莲 指导教师： 运 城 学 院 2012年 6 月入侵检测系统的分析研究摘 要:入侵检测系统是一种能有效发现和防御网络入侵的网络安全防护手段。本文从以下几方面研究了入侵检测系统在网络安全中应用和实现的几个问题。首先，对网络安全体系作了全面概述，介绍了目前常见安全技术手段以及入侵检测系统在网络安全中的重要作用。其次，分析了入侵检测和入侵检测系统的基本概念和研究方法，在此基础之上对最典型的入侵检测系统Snort进行了深入探讨。关键词：网络安全，入侵检测，防火墙，SnortAnalysis of Intrusion Detection SystemAbstract:Intrusion Detection System is an effective network intrusion detection and prevention of network security tools. In this paper, we researched the network security applications of intrusion detection system and a few realized problems as follows.First,we made a comprehensive overview of network security system, described common security of current techniques and detection systems in the important role of network security.Secondly,we also analysised the basic concepts and research methods of the intrusion detection and intrusion detection system. On this basis, the most typical intrusion detection system snort was in-depth study, particular emphasis on the snort rules were further analysis.Keywords: Network security, Intrusion detection, Firewall, Snort目 录引 言1第1章 绪 论21.1网络安全概述和入侵检测21.2本课题的研究目的和意义21.3本课题的研究内容3第2章 入侵检测系统的分析42.1 入侵检测系统概述42.2入侵检测系统功能分析42.3本章小结5第3章 Snort入侵检测系统分析63.1 Snort入侵检测系统概述63.2 Snort系统结构63.2.1 CIDF模型63.2.2 Snort体系结构73.3 Snort工作流程73.4 Snort检测引擎83.5 本章小结8结 束 语10致 谢11参考文献12入侵检测系统的分析研究引 言在信息化飞速发展的今天，计算机网络得到了广泛的应用，但是随着信息流通能力极大提高的同时基于网络连接的安全问题也日益突出。很多组织正在致力于提出更多更强大的主动策略和方案来增强网络的安全性。网络安全是信息安全中的重要研究内容之一，也是当前信息安全领域中的研究热点。入侵检测技术是保证计算机网络安全的核心技术之一，在保护计算机系统安全及网络安全方面起着越来越重要的作用。Snort是目前最著名、应用最广泛的开源入侵检测系统。虽然它是一个轻量级、适用于小型网络的入侵检测系统，但它结构清晰、可扩展性好，具有良好的发展前景。本文就入侵检测与入侵检测系统在网络安全中的应用提出了自己的观点，并在对入侵检测系统特别是非常典型的入侵检测系统Snort工具进行深入的分析之后，对其的可行性与有效性进行了测试，得到了较好的结论，从而更好地在理论和实践的基础上提出了对入侵检测系统的综合评价。第1章 绪 论1.1网络安全概述和入侵检测目前网络中的安全威胁主要有：身份窃取；假冒；数据窃取；否认；非授权访问；拒绝服务，等等。针对这些安全威胁，目前的网络安全技术主要有：身份认证、访问控制、信息加密、防火墙、防杀病毒、入侵检测、安全审计及相关的服务等。调查研究证明，无论是有意的攻击还是无意的误操作，都会给系统带来不可估量的损失。所以计算机网络必须有足够强的安全措施。而解决网络安全性的一个很为有效的途径就是入侵检测。入侵检测技术是保证计算机网络安全的核心技术之一，在保护计算机系统安全及网络安全方面起着越来越重要的作用。作为一种主动的网络安全防御措施，入侵检测系统不仅检测来自外部的入侵行为，同时也监督内部用户的未授权活动，与防火墙等网络安全产品共同成为网络安全的核心设备，以此更好的起到“网络安全伞”的作用，保证计算机系统和网络的高速运行。1.2本课题的研究目的和意义随着计算机网络的飞速发展，信息安全越来越受到人们的重视。入侵检测技术是保证计算机网络安全的核心技术之一，在保护计算机安全方面起着越来越重要的作用。入侵检测是一种主动的网络安全防御措施。随着网络技术的发展，网络安全日趋复杂，传统防火墙很难抵御来自网络内部和外部的多样化的攻击。入侵检测系统(IDS，Intrusion Detection System)作为一种积极的、动态的安全防御系统,能对网络入侵事件和过程做出实时响应,与防火墙共同成为网络安全的核心设备，可以有效地弥补防火墙的不足。Snort是目前最著名、应用最广泛的开源入侵检测系统。经过多年发展，它的用户群已超过一百万。Snort规则也是入侵检测系统的事实标准。虽然它是一个轻量级、适用于小型网络的入侵检测系统，但它结构清晰、可扩展性好，具有良好的发展前景。1.3本课题的研究内容 首先了解入侵检测与网络安全的基本知识，对目前现有的网络安全防护手段进行了研究和比较；其次对著名入侵检测系统Snort进行详细分析，重点分析最新版本Snort的改进,其中以Snort的规则和规则分析为基础；最后分析入侵检测系统的测试和评估手段，得出综合评价方法，指出软件入侵检测系统的优势和不足。 第2章 入侵检测系统的分析2.1 入侵检测系统概述1入侵和入侵检测的概念 入侵（Intrusion）是一个广义的概念，不仅包括发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问等对计算机系统造成危害的行为。它主要指破坏主机和计算机网络的机密性，完整性和有效性的尝试以及迂回（Bypass）主机和网络安全性机制的企图。 入侵检测（Intrusion Detection）,是指通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为或遭到攻击的迹象（亦即捕获可疑数据包），并根据预定义的规则采取相应的反应措施。图2.1给出了入侵检测系统结构。图 2.1 入侵检测系统结构图目前市场上常用到的IDS产品有：理工先河有限公司的安全产品“金海豚”网络动态防护系统；汉邦软科公司的入侵检测系统HBIDS；由瑞星公司自主开发研制的新一代网络安全产品RIDS-100；海信“眼镜蛇”网络入侵检测系统（IDS）；主动防御入侵检测系统Snort工具，等等。2.2入侵检测系统功能分析具体说来,一个合格的入侵检测系统的主要功能有：1.监测并分析用户和系统的活动入侵检测系统可以用来检测来自主机的资源和来自网络的数据包，从而分析用户和系统的活动情况，并根据检测到的信息实时做出响应处理。2.核查系统配置和漏洞入侵检测系统可以自动地检测到系统的配置参数以及漏洞，及时进行处理和响应报警。3.评估系统关键资源和数据文件的完整性入侵检测系统通过判断入侵行为是否出现来实现入侵检测，从而有效地评估系统关键资源和数据文件的完整性并及时做出调整。4.识别已知的攻击行为 入侵检测系统一旦发现用户或者系统状态违背了正常的行为模式，就表示有攻击或企图攻击行为的发声，系统就会产生入侵警戒信号来识别已知的攻击行为。5.统计分析异常行为入侵检测系统实时监护可疑的网络连接、系统日志检查、非法访问等，并且提供对Web服务器应用等典型应用的监视，归纳出主机系统活动的特点和形式，进而统计分析异常行为，及时做出响应处理。2.3本章小结本章首先对“入侵”和“入侵检测”的概念进行了概述，然后对入侵检测进行进一步的分析，并对入侵检测系统的主要功能进行了深入探讨。第3章 Snort入侵检测系统分析3.1 Snort入侵检测系统概述Snort是目前最著名、最活跃的开放源码网络入侵检测系统。Snort定位于轻量级的入侵检测系统，已经实现了网络探测器和许多第三方的管理及日志分析工具，是目前世界上使用最广泛的开源入侵检测系统之一。Snort可以完成实时流量分析和对记录网络IP数据包的能力，能够进行协议分析、内容查找匹配，能够检测到缓冲区溢出，端口扫描、CGI(comnlon gateway interface)攻击、SMB(server message block)探测、操作系统指纹探测企图等。Snort可以运行于LinuxUnix系列，Windows等操作系统，具有良好的跨平台性，并提供丰富的报警机制。Snort遵循GPL(general public license)，所以任何企业、个人、组织都可以免费使用它作为自己的网络入侵检测系统。Snort整体设计编码简洁明了，攻击检测规则集已成一定规模，它的规则集已经被很多其他开放源码IDS项目所兼容。历经数年的发展，Snort已经发展到了2.8.4版本。Snort基本架构在Snort1.6版本时确立，2.0版本开始采用了新型的入侵检测引擎，功能更加完善和强大。Snort已经成为学习和研究入侵检测系统的经典实例。3.2 Snort系统结构3.2.1 CIDF模型CIDF(Common Intrusion Detection Framework)模型是1999年美国国防高级研究项目局 (DARPA) 提出的通用入侵检测框架模型。该模型旨在提高 IDS 产品、 组件及其他安全产品之间的互操作性。如图3.1所示给出了CIDF 的体系结构。图3.1 CIDF体系结构CIDF 将一个入侵检测系统分为事件产生器、事件分析器、响应单元和事件数据库四个组件。CIDF将IDS需要分析的数据统称为事件( Event)，它可以是基于网络的入侵检测系统从网络中提取的数据包,也可以是基于主机的入侵检测系统从系统日志等其他途径得到的数据信息。CIDF组件之间是以通用入侵检测对象(GIDO)的形式交换数据的。事件产生器的任务是从入侵检测系统之外的计算环境中收集事件,并将这些事件转换成CIDF的GIDO格式传送给其他组件。事件分析器负责分析从其他组件收到的GIDO,并将产生的分析结果传送给其他组件。事件数据库用来存储GIDO,以备系统需要的时候使用。响应单元负责处理接收到的GIDO,并据此采取相应的措施。3.2.2 Snort体系结构Snort 是一个典型的遵循CIDF 模型的入侵检测系统。如图3.2所示是Snort的体系结构。图3.2 Snort体系结构Snort系统由数据包嗅探，包解码，包预处理，检测和输出5个子模块组成每个模块对入侵检测都很关键。第一个是捕包装置称为数据包嗅探Snort依赖一个外部捕包程序库(libpcap)来抓包，在包被以原始状态捕获后要送给包解码器 解码器，这是进入snort自身体系的第一步。包解码器将特殊协议元素翻译成内部数据结构，在最初的捕包和解码完成后由预处理程序处理流量。许多插入式预处理程序对包进行检查或操作后将它们交给下一个模块检测引擎，检测引擎对每个包的一个方面进行简单的检验以检测入侵最后一个模块是输出插件它对可疑行为产生报警。3.3 Snort工作流程 Snort工作流程如图3.3所示。程序启动后,完成初始化工作,对命令行进行解析,读入系统的规则库,生成用于检测的二维链表,然后就进入循环的检测过程。图3.3 Snort工作流程图3.4 Snort检测引擎检测引擎是Snort中最重要的部分,它的作用是探测数据包中是否包含着入侵行为。检测引擎通过 Snort规则来达到目的,规则被读入到内部的数据结构或者链表中,并与所有的数据包比对。如果一个数据包与某一规则匹配,就会有相应的动作 (记录日志或告警等 )产生,否则数据包就会被丢弃。检测引擎是与时间相关的组件,根据机器的处理能力和定义的规则的多少,检测引擎会消耗不同的时间来对不同的数据包做出响应。当 Snort工作在 NIDS模式的时候,如果网络中数据流量过大,有时可能会因为来不及响应而丢弃一些包。3.5 本章小结本章分析了Snort入侵检测系统的基本概念，在此基础上对Snort的系统结构进行了深入探讨，其中介绍了CIDF模型以及典型的Snort体系结构，然后进一步阐述了Snort工作流程。其内容在本篇论文中起到了举足轻重的作用。 结 束 语 随着互联网的飞速发展，网络在人们的生产、生活中扮演着越来越重要的角色，同时络安全问题也日益突出。检测技术作为一种重要的网络安全技术，已经成为网络安全体系中不可缺少的一部分。入侵检测系统已成为目前安全工具的主要研究和开发方向。本文对入侵检测系统在网络安全中的研究主要体现在以下几个方面：1.对网络安全进行了概述，提出了入侵检测的必要性和可行性；2.对“入侵”和“入侵检测”的概念进行了概述，并深入探讨了入侵检测系统的主要功能；3.分析了Snort入侵检测系统的基本概念，在此基础上对Snort的系统结构进行了深入探讨。这一部分是整个Snort入侵检测系统得以运行和测试以及发展的基础。致 谢本文从选题，研究，实现，直到论文的审阅修改及最后完成，都是在我的指导老师的精心指导下完成的。在此，我谨以十分诚挚的心情向我的导师表示衷心的感谢！在学习和论文课题研究工作中，得到了老师和同学们的大力支持和帮助，在此表示感谢。