入侵检测系统论文关于分布式入侵检测系统的数据库和管理制约平台的建立论文范文参考资料

入侵检测系统论文关于分布式入侵检测系统的数据库和管理制约平台的建立论文范文参考资料 关键词：分布式；入侵检测系统；数据库；管理制约平台 ：TP393.08 教学网络分布式入侵检测系统中的分布式是指探针、服务器或数据库处于不同的主机上，它们用网络连接，在本系统中，探针主要分布在局域网内部的不同网段上，而制约总台和数据库位于同一服务器上。服务器的软件平台是Windows Server xx，一个经典的服务器操作系统。 1 数据库建立 在本系统中的数据库采用的是SQL Server2000，SQL Server是一个关系数据库管理系统，虽然其版本在不断的升级，但是考虑到教学网络中的服务器系统版本不高，为了不影响其兼容性，选择了经典版本SQL Server 2000。 1.1 SQL Server 2000的安装。本系统选择安装SQL Server 2000个人版。安装完成后，运转SQL Server2000服务管理器，启动SQL Server服务器，在这里就能够为DIDS系统其它模块提供数据库连接了，并记录数据库日志和执行各种操作。默认安装完成后，下次系统启动时SQL Server服务管理器就会自动启动了。 1.2 利用SQL Server 2000建立数据库。启动企业管理器，然后制约台根目录-Microsoft SQL Servers-SQL Server组-Local（Windows NT）-数据库。点选“数据库”建立一个新的数据库，命名为dids，在该数据库中就可以为DIDS系统建立所需要的表了，例如： 整个系统的后台数据库主要包含下面几个表，其中各表的含义描述如下：alert这个表比较特殊，它是由数据库Snort中的其它几个表中提取出若干重要字段组成。data数据包负载信息。detail按照不同的要求存储相应的细节信息，便于查找。endcoding存储剖析类型信息。event存储警报事件信息。icmpdhr存储ICMP 包头中的所有字段。ipdhr存储IP包头中的所有字段。opt存储协议选项信息。reference存储参照信息。reference_system存储系统参照信息。schema存储计划任务信息。sensor存储嗅探器提供的数据信息。sig_class存储签名分类信息。sig_reference存储签名参照信息。signature存储签名信息。tcphdr存储TCP包头中的所有字段。udpdhr存储UDP包头中的所有字段。 2 管理制约平台的建立 管理制约台系统采用B/S模式设计，构建一个动态网站，网站后台系统实现数据库的连接和管理，前端为网络管理员提供一个简洁易于操作的界面。与一般的Web网站一样，它也有用户注册，用户登录与退出的功能。登录后即进入制约台主界面。制约台主界面主要包含用户管理、探针管理、数据库管理及响应系统等功能模块。 2.1 制约台界面。为了本系统制约平台自身的安全，阻止非法用户，需要验证登陆制约台系统用户的合法性，只有在用户输入正确的用户名和*后，该用户才能登录到制约台主界面。合法注册的用户名和*信息都保存在后台数据库中。用户第一次使用制约台系统时，需要注册一个新用户。点击新用户注册按钮后，会自动转向新用户注册界面，对于注册的新用户名，系统会自动给予最低级别的权限，若要想获得较高权限，需要系统管理员对该用户进行权限设置。 网站对系统的主界面布局采用框架模式，左框架是树形目录的形式显示各功能模块的链接；右框架是主框架，用于显示每个功能模块的详细信息。 2.2 用户管理。分权管理机制是系统重要的安全管理办法，系统将用户设置为不同的权限等级，又将不同的操作划分为不同的权限，不同权限等级的用户看到不同的内容，实现不同的操作。 DIDS将用户分成三个不同的级别。系统管理员：最高级别的权限，可以进行一切操作，包括用户管理（添加新用户、删除用户、修改用户口令、用户权限配置等）、探针管理和安全审计的分析等；安全管理员：安全管理和审计分析，不具有用户管理的权限；安全审计员：权限最低，数据库管理和安全审计分析，不具有用户管理和探针管理的功能。 不同权限的用户看到不同的内容是通过在左框架页面left.aspx代码里加入权限判断来实现的。当用户登录时，系统会自动从用户数据库中查出该用户的权限级别，并用Session变量将该值传递到left.aspx页面中。例如，判断用户是不是系统管理员，若是，就显示用户管理模块；若不是，则不显示。 2.3 管理制约平台对探针的管理。在探针管理功能模块中，用户可以对所有的探针进行管理，包括添加探针，删除探针，启动探针等。探针在DIDS中起到一个后台检测功能，而制约系统则起到前台的管理功能，“探针管理”模块是探针和制约台系统交互的主要部分。 制约台实施对探针的各项操作，通过对web页面上转变相关的值来转变数据库sensor表的值。探针管理模块对探针的操作是通过对数据库中的数据表的读写来实现的，当对探针进行某种操作时，就相应地执行一个数据库写入动作，转变数据库中sensor表的某一字段的值，然后探针读取该字段的值，再根据事先定义好的响应方式，探针做出相应的动作。探针的运转作为一项服务运转在后台。转变探针的状态就是通过转变state的值来转变的，state为1时，表示正在运转，state为2时，表示已经停止。 2.4 数据库管理。数据库管理模块包括查看数据库表、备份数据库表、还原数据库表、清空数据库表等。本系统中最主要的表是告警事件表（event），用户日志表（userOperate），探针日志表（sensorLogin），通过选择可以查看相应的数据表的信息，如数据库类型、数据库表名称、当前数据库表的记录总数等。备份还原功能是对整个数据库进行备份和还原。在后台代码里分别设计了数据库备份和数据库还原的策略，其中数据库备份命令为一个存储过程。对数据库的备份和还原操作也应记录下来，形成日志，建立数据库备份表（bkrecord）用来存储数据库备份日志。其中bk_id代表备份ID号，bk_name是备份名称，bk_devicename是备份设备名，bk_time是备份的时间。 为了及时清除掉一些无用的数据，消除数据冗余，节省空间，本系统提供了清空数据库表的功能。 2.5 响应系统。入侵检测系统的功能在于不但能够发现入侵行为和入侵企图，还必须能够对他们做出响应。最容易实现的响应策略是自动通知，例如入侵发生时，入侵检测系统给网络管理员发送Email。比较主动的响应策略是可以阻止正在发生的入侵，例如通过注入复位数据报来截断攻击者和目标主机间的连接、通过防火墙配置更新来限制入侵者的访问等。主动的响应策略是探测到攻击时不但能够阻止还会对攻击者发出反击，但这个策略