网络入侵检测系统中相关技术的分析与研究本科毕业论文

1、潍 坊 学 院 本 科 毕 业 设 计 摘 要1网络入侵检测系统中相关技术的分析与研究网络入侵检测系统中相关技术的分析与研究摘要:当今社会随着信息时代的到来,计算机网络已经逐步成为各行各业的必备性基础设施，丰富的网络信息资源给用户们带来了极大的方便,但同时也给用户带来了极大地安全隐患。网络安全也成为一个了全民关注的热点话题。关于这方面的研究己经成为当今信息技术领域中的一个重要的组成部分。 目前，从传统的网络安全技术可以分为动态安全技术和静态安全技术。静态安全技术通过人工设定各种访问规则，来限定对目标的访问，以此达到保护系统、抵御入侵的目的。路由器访问控制列表（ACL）和防火墙（Firewall

2、）都是这类技术的代表；动态安全技术通过对系统的主动监测、分析和响应手段来保障系统的安全性。主要动态安全技术包括，入侵检测、在线分线分析、安全漏洞扫描和入侵响应等。网络入侵检测技术:从字面意思来看,就是对网络入侵的监控和防范。它通过对计算机系统和计算机网络中的关键点收集采集信息并对其进行分析,从中发现系统或网络中是否有被攻击的迹象和违反安全策略的行为。入侵检测是一种结合硬件和软件的网络入侵检测系统。他和其他安全产品有很大的差异，数据更智能化的入侵检测系统，他能得到分析并得出有效的结果。一个成功的入侵检测系统不但能使系统管理员时刻了解网络系统的任何改变，而且能给网络扩安全策略的制定提供参考。本论文

3、首先总结了近些年来，网络入侵检测技术的在国内外的发展现状,分析概括了各种技术的优点与不足。力图在此基础上,提出综合运用这些己有成果，来取得获取更优秀的网络入侵检测的方案。关键词:网络安全 入侵检测 防火墙 人工智能 SNORT 潍 坊 学 院 本 科 毕 业 设 计 摘 要2NETWORK INTRUSION DETECTION SYSTEM IN THE ANALYSIS AND RESEARCH OF RELEVANT TECHNOLOGYAbstract：With the advent of the information age of todays society, the compu

4、ter network has gradually become an essential infrastructure industries, a rich network of information resources to the user who has brought great convenience, but also gives users a greatly security risks. Network security has become a hot topic of universal concern. Research in this regard has bec

5、ome todays information technology sector is an important component of.Currently, from the traditional network security technologies can be divided into static and dynamic security technology security technology. Static security technology through artificial setting various access rules to limit acce

6、ss to the target in order to protect the system against invading purposes. Router access control list (ACL) and firewall (Firewall) are representative of such technologies; dynamic security technology system through active monitoring, analysis and response means to protect the security of the system

7、. The main dynamic security technologies, including intrusion detection, on-line sub-line analysis, vulnerability scanning and intrusion response and so on.Network Intrusion Detection Technology: From the literal meaning, is the network intrusion monitoring and prevention. It is through the computer

8、 systems and computer networks to collect the key points and analyze the information collected, and found a system or network for signs of attack and violation of security policy behavior. Intrusion detection is a combination of hardware and software, network intrusion detection system. He and other

9、 security products are very different, the data is more intelligent intrusion detection system, he can get analyze and draw valid results. A successful intrusion detection system not only enables system administrators to keep abreast of any changes in the network system, and give the development of

10、network security policies expanded to provide a reference.This paper first summarizes the recent years, network intrusion detection technologies in the development status at home and abroad, analysis summarizes the advantages and disadvantages of various techniques. On this basis, trying to put forw

11、ard the integrated use of these has been fruitful, to get better access to the network intrusion detection program.Key words：Network Security；Intrusion Detection ；Artificial Intelligence；Firewall；Snort 潍 坊 学 院 本 科 毕 业 设 计1目录目录1 绪论 .11.1 研究的目的与意义 .11.2 入侵检测技术的发展阶段 .11.3 国内研究现状 .21.4 论文结构 .42 入侵检测.52.

12、1 入侵和入侵检测 .52.2 入侵检测系统的分类 .63 网络入侵检测系统（SNORT）研究.83.1 SNORT 特点.83.2 SNORT 的体系结构.93.3 SNORT 流程概要分析.93.4 SNORT 的规则结构.154 SNORT 的安装与测试 .164.1 安装 SNORT.164.2 配置SNORT规则 .204.3 利用 SNORT检测PING攻击 .214.4 利用 SNORT检测 SUPERSCAN扫描.214.5 用 SQL SEVER 2000 存储数据.224.6 使用 ACID 查看数据库的内容 .235 总结.25结束语.26参考文献.27致谢.28潍 坊

13、学 院 本 科 毕 业 设 计11 1 绪论绪论1.11.1 研究的目的与意义研究的目的与意义随着信息时代的到来，网络飞速发展，网络的使用已经深入到了各行各业，我们的生活已经离不开电脑，离不开网络。社会的经济，商业，军事等领域也离不开网络的覆盖。如今信息技术的发展已经越来越受到各国政府的重视。由此而演发出的网络安全问题也越来越受到大家的重视。如今网络黑客横行，更使得网络入技术的开发与发展显得尤为重要。而传统的网络防火墙等技术已经不能够完善的保障网络的安全，新的网络入侵技术研究呼之欲出。图1.1 防火墙部署1.21.2 入侵检测技术的发展阶段入侵检测技术的发展阶段第一阶段（20 世纪 80 年代

14、）：主要是主机日志分析和模式匹配技术研究，推出的 IDES（Intrusion Detection Expert System，入侵检测专家系统） 、DIDS（Distributed Intrusion Detection System，分布式入侵检测系统） 、NSM（Network Security Monitor，网络安全监控系统）等基本上都是实验室系统 。第二阶段（20 世纪 90 年代）：代表性产品有早期的 ISS RealSecure（v6.0 之前） 、Cisco（1998 年收购 Wheel Group 获得） 、Snort（2000 年开发代码并免费）等。目前 Snort 是最

15、为受欢迎的一种。第三阶段（20 世纪 90 年代后期）代表性产品有 NetworkICE（2001 年并入 ISS） 、安氏 LinkTrustNetworkDefender（v6.6） 、NFR（第二版）等。出现了二十多年的入潍 坊 学 院 本 科 毕 业 设 计2侵技术检测，已经从有线 IDS 发展到无线 IDS，并出现了 IPS（Intrusion Prevention System，入侵防御系统） 。1.31.3 国内研究现状国内研究现状网络入侵检测的研究在我国发展时间不长,但成果明显。北京启明星辰信息技术有限公司，天阗入侵检测是千兆 IDS 设备。同样绿盟公司的冰之眼 IDS 也是国

16、内很有实力的 IDS 产品1.启明星晨天阗 IDS：天阗系列是国内规模最大的 IDS 产品商启明星辰公司研发的。图 1.2 天阗网络探测引擎功能架构图潍 坊 学 院 本 科 毕 业 设 计3图 1.3 天阗控制中心功能架构图2.中联绿盟 IDS：目前有 NIDS-100 和 NIDS-1000 两种型号，分别对应百兆网络环境和千兆网络环境。图 1.4冰之眼中央控制台潍 坊 学 院 本 科 毕 业 设 计4图 1.5 冰之眼结构图如图 1.5 所示。是冰之眼的结构图，冰之眼的探测器端做了很多工作，新版本中加入了一些国内 IDS 产品所没有，或者还没有实现的新功能。例如协议识别、协议异常检测。1.

17、41.4 论文结构论文结构本论文共设四章，第一章是绪论。第二章介绍了入侵检测。第三章是论文的重点内容，网络入侵检测系统（SNORT）研究。论文的最后一章是 SNORT 的安装与测试。潍 坊 学 院 本 科 毕 业 设 计52 2 入侵检测入侵检测2.12.1 入侵和入侵检测入侵和入侵检测.1 入侵入侵目前，在网络安全领域对入侵普遍使用的定义是：入侵职位卸货危害网络资源的完整性。机密性和可用性的行为集合。入侵检测技术即使在计算机网络系统中发现并报告包括入侵等各种违反安全策略的技术入侵时只是一个分类问题，也就是针对各种主机日志、网络数据包等审计数据进行分类，以发现那些数据是正常的（

18、代表正常用户行为） ，那些数据是异常的（代表异常用户行为） 。.2 2 入侵检测入侵检测网络入侵检测技术分为基于异常和基于误用的两种。基于异常的入侵检测系统，它的基本思想是，概括了一般的普通意义上的所有合法行为。通过建造一个拥有所有网络上的的合法行为的模型,从而获得一个具有全部合法行为的特征的模型。在用户自己检测过程中,通过计算对比,凡是不符合这个模型的行为，都将被判定为入侵行为,并及时做出警报。这种类型的入侵检测系统的长处是，能够辨认出网络上新型的攻击行为,从理论上来说他是可以检测出所有攻击行为的。但是实际操作中复杂的网络拓扑，多样的网络协议,对这些正常行为很难做出准确、详尽、

19、全面的叙述,所以理想中完美的模型几乎是不存在的。正是如此，基于异常的入侵检测技术，大多都存在误报率较高的缺陷，很可能将正常行为识别成入侵而做出反应。与基于异常的入侵检测系统基本思路相反。Snort 是基于误用的入侵检测系统的代表。这类系统含有已知的攻击签名数据库中的所有数据，使用模式识别方法来进行检测。为了获得所需要的模式，在检测到第一对数据时进行分析，以便进行预处理，然后将该模式与数据库中的签名进行对比来识别攻击,一旦发现相同则判断为入侵并发出相应的警报。能够识别所有己知的攻击是这种类型的入侵检测系统的优势所在。在用户使用过程中,检测了一段时间后，基于误用的入侵检测系统中的误报率可以到达非常

20、低的水平。但是有些黑客会展开威胁性极高的攻击，比如利用零日漏洞的方式。对于一些数据库中不存在的，新颖的签名，基于无用的入侵检测系统便无法处理，这就是此种系统的缺陷所在。此外随着数据库中攻击种类的不断累加，也会对检测速度产生影响。除了上述的两类基本的入侵检测技术外,混合入侵检测技术也是网络入侵检测技术中的一种方法。此方法将基于异常的与基于误用两种入侵检测技术结合起来，力求能够获得更好的检测效果。看起来这是一种完美可行的思路,但将两种完全不同的入侵技术集合起来，特别是将它们的优点完美的结合，并不是一件简单可行的事情。潍 坊 学 院 本 科 毕 业 设 计6由于网络环境的复杂性,在实际操作中，混合方

21、法得到的效果大多不如使用一种技术的检测效果来得好。虽然这其中存在各种难题,但是这类方法的思路还是比较明确的，值得我们深入研究下去的。所以目前在研究领域，虽然该方法成果不多，但是相较其他传统的入侵检测方法来说,也有获得了不少值得关注的进展。2.22.2 入侵检测系统的分类入侵检测系统的分类目前,市场上的入侵检测从系统多种多样。根据不同的分类方式,可将其分为不同的类型。.1 根据系统模块分布方式分类根据系统模块分布方式分类(一)、分布式入侵检测系统。(二)、集中式入侵检测系统。.2 根据响应方式分类根据响应方式分类 (一)、被动入侵检测系统。 (二)、主动入侵检测系

22、统。.3 根据数据分析手段分类根据数据分析手段分类(一)、异常入侵检测系统。 (二)、误用入侵检测系统。图 2.1 为典型的误用入侵检测模型。 修正规则 Yes审计数字 添加规则 No 图 2.1 误用入侵检测系统模型.4 根据数据源分类根据数据源分类误用入侵检测系攻击状态规则匹配？ 正常数据潍 坊 学 院 本 科 毕 业 设 计7 (一)、基于网络的入侵检测系统(Network 一 BasedIDS)。结构 如图 2.2 图 2.2 基于网络入侵检测系统模型(二)基于主机的入侵检测系统(Host 一 BasedIDS)。(三)混合型的入侵检测系统。数据分析协议

23、分析引擎管理捕获数据安全通信 网络接口潍 坊 学 院 本 科 毕 业 设 计83 3 网络入侵检测系统（网络入侵检测系统（SnortSnort）研究）研究3.13.1 SNORTSNORT 特点特点入侵检测系统是网络安全监控的一个重要应用。而 Snort 正是一个基于Libpcap 的数据包嗅探器并可以作为一个轻量级的网络入侵检测系统（NIDS） ，其网络传输数据的采集利用了工具包 Libpcacp。Snort 对 Libpcap 采集来的数据进行分析，哦你个人判断是否存在乐意的网络活动。轻量级是指在检测时尽可能地的影响网络的正常操作，一个优秀的轻量级的 NIDS 应该具备跨系统品太操作，对系

24、统影响最小等特征，管理员能够在短时间内通过修改被指进行实时的安全响应，更为重要的是能够从成为整体安全结构的重要成员。Snort 作为一个轻量级的入侵检测系统，它的功能却非常强大，相较于其他系统特点如下:1）Snort 移植性非常好，而且它的代码简短。 。目前支持 Linux 系列，Solaris，BSD 系列，IRIX，HP-UNIX，Windows 系列等。2）Snort 能够提供多种多样的警报方式，Unixsocket，Syslog，WinPopup 等，他对于网络攻击的检测非常灵敏，速度非常快，从而及时地发出警报。另外他的实时流量分析的能力，和对日志 IP 网络数据包的分析能力都很强。3

25、）Snort 可以协议分析入侵问题，对内容进行很好地匹配和搜索。目前它的水平能够分析的协议有 TCP、UDP、和 ICMP。不久的将来他还可以支持更多的系统，如IPX、RIP、OSPF 等。4）Snort 的日志方式非常的灵活。他支持 XML 格式，使用数据库输出插件，支持 Tcpdump 的二进制格式，同时也支持 ASCll 字符形式，数据库日志格式也可以运行。当前支持的数据库有 Postagresql、Mysql，任何 UnixODBC、Microsoft SQL Server、Oracle 等。5）使用 TCP 流插件，TCP 包通过 Snorth 进行重组。这是 Snort 可以对抗“

26、无状态”攻击的基本前提。无状态攻击是网络黑客在进行攻击时，每次只发送一个字节的数据包，从而避开监视，然后被攻击的电脑的主机的 TCP 栈会重新组合这些数据包，从而将攻击数据会被发送给目标端口上的监听的进程，来摆脱 IDS 的检测。6）使用 Spade (Statistical Packet Anomaly Detection Engine)插件，Snort 能够报告异常的数据包，从而对端口进行有效的检测。7）Snort 还具有很强的系统防护能力。能够实现入侵检测主机和防火墙的联动，这一功能是通过使用 IPTables，IPFilter 插件实现的，还可以通过 FlexResp 功能，Snort

27、 能够命令防火墙断开恶意连接。8）能够快速的应对新的攻击，且扩展性好。Snort 中最基本的规则知识包含四潍 坊 学 院 本 科 毕 业 设 计9个域:处理动作、协议、方向、端口。他采用了规则描述语言，且简单易懂，一旦遇到新的攻击他会迅速建立规则表。9）Snort 支持插件，他使用的报告具有特定的能，检测子系统插件对其进行功能扩展。当前支持的插件有:数据库日志输出插件、破碎包检测插件、端口扫描检测插件、HttpURL 插件、XML 网页生成插件等。3.23.2 SNORTSNORT 的体系结构的体系结构 数据包图 3.1 Snort 的体系结构1）Sniffer(数据包嗅探器)2）预处理器3）

28、检测引擎4）报警日志3.33.3 SNORTSNORT 流程流程概要分析概要分析3.33.3. .1 1 流程流程概要概要现在看看 Snort 是如何实现对数据包的分析和检测入侵的。在 main 函数的最后部分有如下比较重要的语句：/*Read all packets on the device.Continue until cnt pakets read*/If(pacap_loop(pd,pv.pkt_cnt,(pcap_handler)ProcessPacker,NULL)sf.rfile != NULL) n = pcap_offline_read(p, cnt, callback,

29、user); else /* * XXX keep reading until we get something * (or an error occurs) */ do /do 循环 n = pcap_read(p, cnt, callback, user); while (n = 0); if (n 0) cnt -= n; if (cnt func(p); idx = idx-next; if(!p-frag_flag & do_detect) if(Detect(p) /调用检测函数 CallOutputPlugins(p); /如果匹配，根据规则输出 潍 坊 学 院 本 科 毕 业

30、设 计.2 规则解析流程规则解析流程parseRule()的流程如图 3.2 所示。 是图 3.2 规则解析流程获取规则类型调用对应的解析模块ParsePreProcessor（）ParseOutputPlugins（）ParseConfing（）ParseRuleTyDeclaration（）VarDefine（）处理规则头ProcessHeadNode处理规选项ProcessRuleOption（）返回属于检测规则类型潍 坊 学 院 本 科 毕 业 设 计.3 规则匹配流程规则匹配流程Snort 规则匹配总体流程如图 3.3 所示。 否 是 是 否图

31、 3.3 Snort 规则匹配总体流程如果必要则根据 tag信息进行记录获取 RuleLists 链表头遍历到链表中下一节点链表中还有记录？调用EvalPacket（）判断是否入侵 Detece 开始结束潍 坊 学 院 本 科 毕 业 设 计153.43.4 SNORTSNORT 的规则结构的规则结构Snort 规则可以划分为两个逻辑部分。如图 3.4 所示: 图 3.4Snort 规则的基本结构.1 规则头规则头规则头包含报文关键的地址信息、协议信息以及当报文符合此规则时各元素应该采取的行为。Snort 规则头部的主要结构如图 3.5 所示:图 3.5 Snort 规则头部结

32、构1）规则动作2）协议字段3）地址字段4）端口信息5）方向操作符.2 规则选项规则选项Snort 目前有四十几个选项关键字，按其功能可分为八类:1）关于报警信息的选项关键字:msg、referenee、sid、rev、classtype、priority。2）关于内容检测的选项关键字:content、nocase、rawbytes、depth、offset、distance、within、urieontent、isdataat、pcre、byte-test、byte_jump、ftpbounce、regex、content-list。3）关于正协议的选项关键字:fragoffs

33、et、ttl、tos、id、ipopts、fragbits、dsize、sameip、ip_proto。4）关于 TCP 协议的选项关键字:flags、flow、flowbits、seq、ack、window。5）关于 ICMP 协议的选项关键字:itype、icode、icmp_id、icmp_seq。6）关于规则响应后的选项关键字:logto、session、resp、react、tag。规则头部规则选项操作目标地址协议类型源端口源地址方向目标端口潍 坊 学 院 本 科 毕 业 设 计164 4 snortsnort 的安装与测试的安装与测试4.14.1 安装安装 SnortSnort自动

34、安装包是一个利用 WINRAR 制作的自解压程序。将手动安装的文件直接解压到相应位置，这种方法快捷高效，但是要求路径的一致。安装过程如下：执行 snort.exe，弹出自解压界面，必须使用默认安装路径。图 4.1 snort 解压安装提示安装 MYSQL，选取默认路径 c:mysql。如图 4.2 所示：图 4.2 安装MYSQL潍 坊 学 院 本 科 毕 业 设 计17提示安装 Winpcap3.0，如果已经安装了新版本 winpcap，安装过程中会提示有新版本文件，是否要覆盖。这里要用 3.0 版的覆盖新版文件，否则会出现问题。提示安装 Apache。首先填写服务器信息，选择“for al

35、l Users”的推荐设置。 图 4.3 安装 Apache 选择“Custom”安装方式，不采用默认安装路径，设置 Apache 安装路径为c:apache。潍 坊 学 院 本 科 毕 业 设 计18图 4.4 选择安装方式图 4.5 设置 Apache 安装路径潍 坊 学 院 本 科 毕 业 设 计19之后程序会自动解压文件，并最后开启 apache 和 mysql 服务。测试过程同手动安装测试步骤。完善配置文件1）打开 c:/snort/etc/snort.conf 文件，查看现有配置。2）设置 snort 的内、外网检测范围。将 snort.conf 文件中 var HOME_NET

36、any 语句中的 any 改为自己所在的子网地址，即将 snort 监测的内网设置为本机所在局域网。如本地 IP 为 0，则将 any 改为 /24。并将 var EXTERNAL_NET any 语句中的 any 改为!/24，即将 snort监测的外网改为本机所在局域网以外的网络。3）设置监测包含的规则。找到 snort.conf 文件中描述规则的部分，如图 4.6 所示：图 4.6 snort 中的规则前面加表示该规则没有启用，将 local.rules 之前的号去掉，其余规则保持不变。启动 Apache 和 mysql

37、服务。net start apache2; net start mysql运行 ACID：打开浏览器，地址为 /acid。如果有图 4.7 所示，则表示 ACID 安装成功。潍 坊 学 院 本 科 毕 业 设 计20图4.7 ACID安装成功提示界面运行 Snort：在运行中输入命令 c:snortbinsnort -c c:snortetcsnort.conf -l c:snortlog-de ，如果有图 4.8 所示，说明Snort 可以正常运行。潍 坊 学 院 本 科 毕 业 设 计21图 4.8 snort 正常工作的入侵检测模式4.24.2 配置配置 s

38、nortsnort 规则规则下面我们练习添加一条规则，以对符合此规则的数据包进行检测。1）打开 c:snortruleslocal.rules 文件，如图 4.9 所示：图 4.9 文件中snort 规则2）在规则中添加一条语句，实现对内网的 UDP 协议相关流量进行检测，并报警：udp ids/dns-version-query。语句如下：alert udp any any $HOME_NET any (msg:udp ids/dns-version-query;content:version;)保存文件后，退出。3）重启 Snort 和 acid 检测控制台，使规则生效。潍 坊 学 院 本

39、 科 毕 业 设 计224.34.3 利用利用 SnortSnort 检测检测 pingping 攻击攻击Snort 主要是利用模式匹配的方法检测攻击。其特征值保存在 Rules 文件夹中。其中 icmp-info.rules 文件中的规则 alert icmp $EXTERNAL_NET any - $HOME_NET any (msg:ICMP Large ICMP Packet; dsize:800; reference:arachnids,246; classtype:bad-unknown; sid:499; rev:4;)用于检测大的 ping 包，长度超过 800 的包即被认为是

40、大包。运行 Snort，并且用长度超过 800 的大包去 ping 靶机。Ping 0 -l 801 -t (IP 地址为靶机地址)同时打开 ACID，看是否有 ICMP 类报警产生。如图 4.10 所示：图 4.10 查看 ICMP 类报警是否产4.44.4 利用利用 SnortSnort 检测检测 SuperscanSuperscan 扫描扫描Superscan 是一款功能强大的扫描器，可以对搜集各网段主机信息。Snort 对Superscan 设计了专门的规则，可以实现对 Superscan 的过滤。运行 Snort，打开 Superscan 对目标网段进行扫描。如

41、图 4.11 所示：潍 坊 学 院 本 科 毕 业 设 计23图 4.11 superscan 的扫描打开 ACID，看是否有 Superscan 报警产生。如图 4.12 所示：图 4.12 查看 superscan 是否产生报警4.54.5 用用 SQLSQL SEVERSEVER 20002000 存储数据存储数据SQL Server 为 Snort 的网络入侵检测模式提供数据库支持，安装后，还要保证Snort 能够访问到该数据库。默认安装 SQL Server 2000 数据库，配置 SQL Server 随机启动。为 Snort 建立存储数据的数据库“db_snort” ，添加 Sn

42、ort 访问 db_snort 的用户 acid，密码设为“123456” 。指定 acid 在数据库 db_snort 中权限为 db_owner。以上为 Snort 访问数据库做了准备，还要为 db_snort 添加 Snort 需要用到的表。在官方网站上查看 Snort 需要的表信息，以及提供的资料，编写 sql 脚本。将该脚本导入到 SQL Server 查询分析器中，执行查询选项，将表信息导入到数据库潍 坊 学 院 本 科 毕 业 设 计24db_snort 中，在 db_snort 的表视图中，可以查看这些已经创建的表，如图 4.13，该表中省略了系统表。这些表分别存储了 Snor

43、t 检测到入侵的 TCP、UDP、ICMP 等数据信息。图图 4.13 db snort4.64.6 使用使用 ACIDACID 查看数据库的内容查看数据库的内容解压缩 acid-0.9.6b23.tar.gz 至 c:apacheapache2htdocsacid 目录下。在这之前要为此建好用户 acid ，ACID 的前提是要拥有访问数据库的用户， 。打开ACID 的配置文件 acid_conf.php，修改如下配置：$DBlib_path = c:php5adodb;$alert_dbname = db_snort;$alert_host = localhost;$alert_port

44、= 3306;$alert_user = acid;$alert_password = your password;第一行代码配置 PHP 连接数据库所用到的连接池；第二行指定 Snort 所用的数据库名；第三行指定数据库所在的位置；第四行到第六行，指定连接到数据库所用到的端口、用户和密码。潍 坊 学 院 本 科 毕 业 设 计25需要在计算机 B 的网页浏览器重输入：11/acid/acid_db_setup.php来测试 ACIDACID 连接数据库成功的界面，如图 4.14。图 4.14 ACID 连接数据库成功进入 ACID 的“home”页面，如图

45、4.15。此时系统检测出了 8 个攻击。在图4.11 中可以看出，系统检测出了 8 个攻击。这说明 ACID 从数据库中读出的数据是正确的。这样一个完整的 SIDS 已经搭建完成。图 4.15 Snort 捕获的数据在 ACID 中的显示潍 坊 学 院 本 科 毕 业 设 计26 潍 坊 学 院 本 科 毕 业 设 计275 5 总结总结论文中一开始介绍了网络在当今社会的普遍性，然后说明了研究网络入侵系统的迫切性，以及当前国内的对于网络入侵的研究发展水平，论述了网络入侵的种类与概况，然后又详细介绍了网络入侵检测系统 Snort，并对她做了比较详尽的说明。最后介绍了 Snort 的安装与调试。当

46、然文章只是简略的对这些方面做了介绍与研究，还有很多不足的地方需要在以后的研究中继续加深。潍 坊 学 院 本 科 毕 业 设 计28结束语结束语 网络信息的广泛应用给人类生活带来无限方便和美好，现代社会各行各业已经不能脱离网络，网络应用已经是生活中不可或缺的一部分，但网络信息中存在的危险因素很让人烦扰，网络安全问题也越来越突出，处理网络问题也越来越变得复杂，网络安全问题逐渐引起人们的重视，随着多种网络入侵检测技术的不断发展改进，网络安全问题一定也会逐渐得到完善的解决。本论文首先介绍研究了网络入侵检测技术的现状，然后深入的研究了 snort 技术的详细信息，及其特点，结构和其检测流程等，论文较重点的配置了 snort 在windows 下的工作环境，做了简单的实验，来展现 snort 的 dos 下的工作过程和与php，acid 等可图形显示下的数据浏览与操作。由于我的水平有限，以及完成文章的时间，请老师批评指正文章中的不足潍 坊 学 院 本 科 毕 业 设 计29参