基于中小企业网络入侵检测系统的研究

摘要绪论随着计算机技术、科学技术的持续发展和计算机在大众的生活中的广泛使用使得社会能够得到快速的发展和进步，也给人类创造了很多的福利。特别是，因为计算机网络如今的发展趋势非常良好，信息交换在金融、贸易、商业、企业和教育等不同领域都能广泛使用。计算机网络特征普遍开放架构、资源共享和网络共享渠道,增加了实用性。与此同时，信息被储存、共享和通过网络传输，同时非法窃听、窃听和伪造等等不法行为也增加了，使得造成的损失非常严重,那么系统就不能正常的运作了,使得其安全性能变得非常低。除此之外，数据库作为网络的主要部分，存储有价值的数据资源。主要是设备中的共享资源一定会出现必伪造、销毁和盗窃等等一些危险情况。入侵检测是对信息系统安全的重要方法进行检测，这能够对开发网络应用程序产生重要和深远影响。入侵检测系统的探索和开发自主知识产权在成为中国信息安全方面已经是非常重要的内容。浙江大学远程教育学院本科毕业论文(设计)第2章入侵检测系统概述入侵检测系统概述入侵检测系统的概念入侵检测系统(IDS)对于网络的检测比较的细致，可以对网络流量进行必要的监测和控制，在检测到可疑情况时可以传递出消息，并采取有效行动。因为IDS是先发防御技术，所以和其他的网络安全设备有很大的差别。IDS在安全防御的过程中是最后一个环节。提供一个强大的、有效的策略和解决方案，需要对于内部入侵进行相应的阻止，对于外部入侵也要进行防护，那么用户数据的主要手段和倾向需要得到保护。IDS最初于1980年4月被提出来的。同年，JamesP.Anderson将《计算机安全威胁的监视与监视》的技术报告向美国空军进行了汇报，提出了入侵检测系统的想法和理念。入侵行为可以从外部渗透、内部渗透和非法行为等等方面得到体现，将使用审计数据监测入侵行为的想法进行了说明。1986年以后，DorothyE.Denning对已经出现异常的实时检测的过程进行了必要的解释和描述，那么IntrusionDetectionExpertSystem(IDES)的实时入侵检测模型这个时候就显现出来了，主要是能够将系统NSM(网络安全监视器)的功能进行发挥。从那以后，侵入检测系统就需要得到不断地改进张蕾,崔勇,刘静,江勇,吴建平.机器学习在网络空间安全研究中的应用[J].计算机学报,2018,09:1943-1975.。张蕾,崔勇,刘静,江勇,吴建平.机器学习在网络空间安全研究中的应用[J].计算机学报,2018,09:1943-1975.入侵检测系统的分类对于公认的技术我们一定要采纳，可以从特征检测和异常检测这两个方面进行必要内容的分析。(1)特征检测：特征检测表明入侵者的活动基本上是显示在模板上的，然后观察对象可以与之比较，以确定这些模式是否得到遵守。(2)发现异常：如果是出现了异常那么入侵者的活动与正常物体的活动相比就是不正常的。并建立了正常活动的“剖面”。当unsub目前的活动违反了他的统计法律时，这可能被视为“入侵”行为。这些需要检测行为或使用系统对其进行改变。该方法不仅能检测出已知入侵，还能检测未知入侵。从上面我们可以看到，前者使用特征匹配对是否发生了侵入的情况进行相应的检测。已知入侵的检测是正确且快速的，但是未知的入侵类型是无法检测的。后者基于正常模型的建立，将实际操作与判断侵入操作的偏差进行比较。监测对象一共有两个：主机和网络，我们需要将这样的两个内容作出更加详细的研究和分析。主机入侵检测系统和网络入侵检测系统会被研究者用来大规模的探讨和深度挖掘的。(1)主机入侵检测系统:主要在应用服务器当中起到最重要的保护作用。通过对不同的网络连接到受保护主机的实时反馈进行相应的监控和分析，如果有异常将根据预先确定的计划立即处理，并对其进行相应的记录。(2)网络入侵检测系统：网络入侵检测系统能够对出现异常或者是不常见的现象进行分析，将网络总段的数据进行收集主要是通信数据。发现异常立即根据预定的方案进行处理，并记录备案。这两种入侵检测系统各有优缺点，可相互补充。前者可准确判断入侵获得，并对其立即有所反应，但会占用很大部分的主机资源，使被保护的主机在重荷运行。而后者可以监听所有经过的数据包，但准确度较差，且只能在共享信道的环境下工作，工作环境有限，但对主机资源消耗少。入侵检测系统采用的技术手段通常情况下入侵检测系统使用三种方法:比较样本、统计分析和完整性:前两种方法一般会在实时检测入侵时使用，第二种方法是在事后才会分析。与样本进行比较的方法可以对滥用的情况进行相应的检测。建立攻击信号数据库，确认发送的数据中是否包含攻击信号后，判断攻击是否是攻击。这是发现入侵的最传统最简单的方法。他的算法简单又简单。缺点是只能对已知攻击的情况进行检测，模板库必须要将其格式不断的进行更新。此外，我们在分析速度比较快的大网络时，因为要对大量数据包进行分析和处理，这种方法的处理效率比较差。统计分析基本上是在检测异常的时候才会使用的。它将发现的数据与现有的正常行为进行比较，设置极限阈值等等。如果超过极限，就被认为是入侵。例如，统计分析可能会显示异常行为，因为他发现一个账户在晚上8点到早上6点之间没有注册，试图在凌晨2点进入。优势在于，可以将意想不到的侵入和更复杂的侵入现象在发生之前进行察觉和预防。缺点是出现错误的几率也非常高，不能用于用户的通常动作的突然变化。统计分析的具体方法，现在，专家系统，模型推论，神经网络解析方法的研究已经逐渐的在开发和挖掘的过程中李菲.网络入侵检测系统的设计及实现分析[J].电脑与信息技术,2019李菲.网络入侵检测系统的设计及实现分析[J].电脑与信息技术,2019,05:58-60.整合性分析。完整的分析主要是分析文件或对象是不是在其应该出现的位置上、分析文件和目录的内容和属性，以及在发现更改的应用程序时效率还是非常高的。完整分析使用一种强大的加密机制，称为MD5(MD5)，以检测和执行小的变化。优势在于，无论模式和统计分析方法是否能检测到入侵的检测结果，如果成功的攻击使得文件或其他对象收到了很大的影响，都可以检测到。缺点是一般以批处理方式实现，不用于实时响应。这种方式主要应用于基于主机的入侵检测系统（HIDS）。入侵检测技术的检测模型从技术上划分，入侵检测有两种检测模型：异常检测模型异常检测模型：检测与可接受行为之间的偏差。如果对所有在承受范围内的操作进行定义的话，那么每一种不可接受的行为都必须是入侵。首先，需要对应该有正常操作的函数(用户配置文件)进行相应的总结。用户配置文件是各种行为参数及其阈值的一种统称。当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低，误报率高。因为每一种入侵方式不是都要被有效的确定，它可以对一些不知道的入侵做出必要的检测，提前预测其所有的信息。异常检测的模型如图2-1所示隋新,杨喜权,陈棉书,侯刚.入侵检测系统的研究[J].科学技术与工程,2019隋新,杨喜权,陈棉书,侯刚.入侵检测系统的研究[J].科学技术与工程,2019,33:8971-8979.图2-1异常检测模型误用检测模型误用检测模型：检测与已知的不可接受行为之间的匹配程度。最终决定不能容许的全部的动作的情况下，对应的各动作发生警告。收集异常操作的操作特性，建立相关功能的数据库。如果用户或系统的跟踪动作与库记录一致，系统将此视为侵入。这种检测模式的缺点就是错误率非常高。对于已知的攻击，能够能将其攻击的类型进行非常详细的描述，但它对未知攻击的影响有限，签名数据库必须不断更新。在图2-2中显示了检测错误的模型。图2-2误用检测模型浙江大学远程教育学院本科毕业论文(设计)第3章网络入侵检测系统(Snort)研究网络入侵检测系统(Snort)研究Snort特点Snort的特点就是开源发行的强有力的交叉平台，那么在轻型网络入侵检测系统中，最初的Martinroesch会按照要求进行相应的设定,世界各地的各种各样的程序员根据保守及升级。使用Libpcap将网络的数据进行收集，对可疑的网络活动进行分析和判断。关于检测模式，需要将数据的最直接、最简单的检索匹配——误用检测技术进行结合来使用。虽然Snort的入侵检测系统在功能的使用上是非常简单的，但功能十分的丰富，以下是每个功能的具体特征：1）Snort代码短小，简洁，而且移植性非常好。目前支持Linux系列，Solaris，BSD系列，IRIX，HP-UNIX，Windows系列等。2）Snort具有实时流量分析和日志IP网络数据包的能力。能够快速检测网络攻击，及时发出警报。能够提供多种警报方式，如Syslog，Unixsocket，WinPopup等。3）Snort能够进行协议分析，内容的匹配和搜索。现在它能够分析的协议有TCP、UDP、和ICMP。将来可以支持更多IPX、RIP、OSPF等。它能检测多种方式的攻击和探测。4）Snort具有灵活的日志格式。二进制Tcpdump格式、ASCll符号形式和XML格式都可以在其中使用，包容性非常强，需要对数据库输出插件进行充分的利用，要对数据库日志格式做出一定的确定。Postagresql、Mysql、unixdbc、微软SQLServer、Oracle等数据库目前都可以在这个格式中得到运用。5）使用TCP流插件，Snort可以对TCP包进行重组。这种能力使得Snort可以对抗“无状态”攻击。无状态攻击意味着攻击者一次只会对一个数据包进行发送或者接收，防止监视的情况，然后攻击主机的TCP堆栈会一般会将数据进行统一和分类的，并将攻击数据向目标端口进行发送，在跟踪的过程中，就可以不进行IDS检测。6）使用Spade(StatisticalPacketAnomalyDetectionEngine)插件，Snort可以将一些非正常的数据包报告出去，就可以有效的检测端口。7）Snort还具有很强的系统防护能力。使用IPTables,IPFilter插件允许将入侵检测主机连接到防火墙当中。我们需要将FlexResp的功能进行利用，Snort可以对防火墙关闭恶意连接发布指令。8）扩展性好，对于新的攻击威胁反应迅速。Snort最大限度地活用简单的规则记述语言。基本知识由处理动作、协议、命令、端口四个领域构成。可以对新的攻击迅速建立规则表。9)Snort支持可以使用特定功能来扩展报告功能的插件。现在这个系统的功能已经将数据库日志输出插件、破损包检测插件、端口扫描插件、HttpURL插件、XMLWeb网页生成插件等都包含在里面了。Snort的体系结构图3-1Snort的体系结构1）Sniffer(数据包嗅探器)这个子系统的功能可以将网络进行详细的分类，需要按照TCP/IP协议的不同级别对分类进行相应的分析。Snort使用libpcaP库函数将数据进行统一。库函数直接从信道层捕获分组。应用程序提供接口功能，并可以设置一个包过滤器将指定的数据进行收集。网络数据收集和分析机制在整个NIDS当中还是比较基本的，其关键是对包的高速和低速损失的机率进行控制，这不单单只是依靠软件的效率，而且与设备和硬件的处理能力有很大的关系。那么针对语法分析机制，可以处理的包类型需要能够有很多种形式进行筛选。Snort现在可以处理多个包类型，如以太网，令牌环以及SLIP。2）预处理器Snort的预处理器一般是数据包嗅探器和检测引擎之间出现的一种插头模块，其主要目的是提供警报或数据包，数据包snort检测引擎发送变更前需要对数据包的框架进行相应的修改。3）检测引擎检测引擎是Snort的核心。Snort根据规则库对预处理器送来的数据包进行匹配检测。Snort通过链表的方式来组织规则，可以确保检测的及时性与准确性，对引擎功能的快速性和准确性进行检测，还需要分类规则表和优化组织，这样可以更加的快速。必须确保提取得到的规则是准确的，所以需要编写一个较为简洁但非常精准的规则。检测引擎是Snort的核心，准确和快速是衡量其性能的重要指标。准确性主要与提取入侵函数代码的准确性以及编写规则的简单和实用性是有很大关系的。因为网络入侵检测系统基本上都是被动接受的，它只能将通过网络的数据进行接受性的检测，但是数据包不能通过它直接的发送，那么对于发现就更不可能了。因此，只有入侵行为的代码被定义为协议不同领域的标志值，入侵行为是通过定义标记值来定义的。速度主要是由发动机运行的组织和快速遵守规则的能力决定的。报警日志Snort数据在检查引擎后必须通过一定的形式将其输送出去。Snort为发现的每个包进行了分类定义，基本上有三种处理方法:通知(发送警告)、记录(记录)和传输(忽略数据供应)。这些处理方法实际上是在检测规则中确定的，具体的结束是在注册/报警子系统中。该日志的管理子系统基本上是可以准许分析器以可读格式或tcpdump格式记录数据。紧急消息子系统基本上是想系统日志、用户文件、Unix套接字或数据库发送比较进击的信息郑艳君.数据挖掘技术在网络安全中的应用[J].计算机仿真,2019郑艳君.数据挖掘技术在网络安全中的应用[J].计算机仿真,2019,12:118-121.Snort入侵检测流程基于规则的模式匹配是Snort检测机制的核心。Snort入侵检测过程一般从这几个步骤进行分析的:第一阶段是语法分析过程，其中将读取文件中的规则和内存中的规则组织规则包含在内。第二步是使用这些规则进行匹配的规则匹配流程。下面将依次介绍入侵检测的流程：规则解析流程Snort首先读取规则文件，紧接着依次读取每一条规则。然后根据规则的句法分析它，调整记忆中的规则，建立一个句法树。Snort调用ParseRulesFile文件读取功能，以检查规则文件、规则阅读和多行规则组织。ParseRulesFile是Snort引入parsing规则的接口函数。ParseRule主要是将ParseRule规则进行相应的利用。ParseRule()解析每一条规则，并将其加入到规则链表中。parseRule()的流程如图3-2所示。图3-2规则解析流程ParseRule函数可以将规则类型进行分析，对RuleType函数进行相应的利用。如果规则类型是Pass、fog、alert、activate、dynamic，则根据语法规则结构对需要对规则进行必要的阅读。首先需要对proeessHeadNode进行分析来处理规则标题，然后对proeessrupt()选择规则进行使用。如果检索类型是预处理单元的关键字，则输出模块、config配置命令、var和变量定义则没有任何的作用，则调用相应的函数需要对其进行必要的处理，然后将规则做出必要的分析，然后再分析下一条规则吴宏兵.基于高速网络环境下入侵检测系统的性能优化分析[J].网络安全技术与应用,2019吴宏兵.基于高速网络环境下入侵检测系统的性能优化分析[J].网络安全技术与应用,2019,09:58-59.规则匹配流程Snort扫描和交叉引用从网络中捕获的每棵语法树和规则，首先通过默认的激活、动态警报、传输和进入系统。然后，根据IP地址和数据包端口号码，相应的规则头被列在规则头列表中。最后，与标题相关的数据比较规则的参数被编入关联列表。首先，匹配规则的第一个参数。如果是匹配的，根据规则规定的行为对规则的运用合适度进行必要的确定。如果它不匹配，那么选择规则的下一个参数。如果数据包不符合规则列表中的所有规则，则数据包就不具备入侵行为的特征。Snort规则匹配总体流程如图3-3所示。图3-3Snort规则匹配总体流程Snort的规则结构Snort的规则保存在规则文件中。规则文件是普通的文本文件，我们可以方便地对其进行编辑。规则文件是Snort攻击的知识基础。每条规则都会将攻击标识符包含在里面。Snort使用这些标识符对不同类型的攻击行为进行相应的标记和识别。Snort规则可以划分为两个逻辑部分王鹏.入侵检测系统在计算机网络安全中的设计与应用[J].无线互联科技,2018王鹏.入侵检测系统在计算机网络安全中的设计与应用[J].无线互联科技,2018,12:39-40.规则头该规则的标题将消息密钥地址、协议信息和行为的信息等等都包含在里面，当消息符合该规则时，每个元素都必须执行这种行为。Snort规则头部的主要结构如图3-5所示:1）规则动作规则的第一个领域是规则的行动，规则的行动会将一些信息传递给Snort，如果规则成功了该怎么做。Snort将5个非强制性操作:警告、注册、传输、激活和动态等等都进行了新的定义。Alert:使用选择的报警方法生成一个警报，并记录该报文。Log:使用设定的记录方法记录这个报文。Pass:忽略这个报文。Activate:做出警告，需要将dynamic规则进行分析。Dynamic:activate使用规则，将对其进行记录处理。另外，如果你想在一些规则中将特定的输出插件进行必要的使用，而不单单只是运用以前的输出方法，你可以自己将必要的输出类型进行重新的定义。2）协议字段协议类型就是下一步的流程。目前，Snort能够将TCP、UDP、ICMP和IP等四个类型进行统一和掌握。将来会更多，例如IGRP、OSPF、IPX和RIP等。3）地址字段端口号码可以以多种方式表示，这里将“任何”、静态的范围和“否认”运算符包含在里面。键值“any”可以被用来定义任何地址。Snort没有提供根据iP地址查询域名的机制。地址就是由直接的数字型iP地址和一个cidr块组成的。Cidr块可以将影响规则地址的网络掩码和需要检查传入分组的号码进行相应的分析。/24指定类C网络，/16指定类B网络，/32指定特定车辆的地址。例如，/24代表从到55的地址块。在此范围内的任何地址都会与使用这面旗帜的规则/24进行相应的匹配。这使得更大的地址空间能够有更加好的方式进行表达孙泽宇,陈朝辉.基于网络入侵检测系统的研究与设计[J].通信技术,2018孙泽宇,陈朝辉.基于网络入侵检测系统的研究与设计[J].通信技术,2018,04:87-89+92.4）端口信息端口号码可以以多种方式对其进行必要的表达，这里包括“任意”端口、静态端口定义范围和否定运算符。“any”端口是一个通配符，表示任何端口。静态终端的定义是端口号。例如，21是tcp,21是telnet,80是http的意思。5）方向操作符方向操作符“一>”表示规则所施加的流的方向。方向运算符左侧的端口地址和号码被认为是源主机，方向运算符右侧的IP地址和端口信息一般情况下就是最主要的机器。主要是在记录/分析双向数据流的过程中能够更容易。规则选项规则的标题会对对应的网络通信协议、发送源地址、目的地地址、发送源端口和目的地端口进行相应的确定。规则参数的一部分将有向用户显示包含在里面了，在报告的决定中需要使用的警告消息。文本是关于攻击信息的其他信息吗?对规则参数的分析是Snort检测机制的核心。该规则的参数基于该规则的标题进行进一步分析，其中包含了有关警报、入侵功能和包位置的信息。有了规则选项才能识别复杂的攻击。所有选项用分号“;”分隔，选项关键字和它的值之间用冒号“:”分隔。规则选项之间是逻辑与的关系。即所有的规则选项都匹配时，才触发该规则宋焱宏.探讨计算机网络入侵检测应用免疫机制的效果[J].电脑知识与技术,2019宋焱宏.探讨计算机网络入侵检测应用免疫机制的效果[J].电脑知识与技术,2019,21:40-42.Snort目前有四十几个选项关键字，按其功能可分为八类:1）关于报警信息的选项关键字:msg、referenee、sid、rev、classtype、priority。2）关于内容检测的选项关键字:content、nocase、rawbytes、depth、offset、distance、within、urieontent、isdataat、pcre、byte--test、byte_jump、ftpbounce、regex、content-list。3）关于正协议的选项关键字:fragoffset、ttl、tos、id、ipopts、fragbits、dsize、sameip、ip_proto。4）关于TCP协议的选项关键字:flags、flow、flowbits、seq、ack、window。5）关于ICMP协议的选项关键字:itype、icode、icmp_id、icmp_seq。6）规则响应后：logto、session、resp、react、tag。浙江大学远程教育学院本科毕业论文(设计)第4章网络入侵检测系统的难点与对策分析网络入侵检测系统的难点与对策分析难点分析该技术在国内才开始发展，因此，这一技术还需要不断的升级，检测力度也需要进一步的加强，更多的应用方法和检测理论也需要进一步的完善。目前我国网络入侵检测技术的应用主要存在以下几点问题：检测系统有漏洞或故障入侵检测系统可以用来检测外部数据库发动的攻击，确保数据库的安全，因此，需要严格的设定检测系统的检测标准，如果出现了访问行为，因此检测不符系统检测的标准，就会导致一些正常的访问被系统错误的判断成这是入侵行为，但针对那些真正的入侵行为有不能及时的防范，这就在很大程度上给系统运行的质量带来了影响。检测系统效率不高对网络中的入侵行为进行检测的过程中，必须使用算法来计算安全信息，在计算期间就会出现很多的二进制数据，可以看出计算量是很大的。加上访问的用户数量一直在增加，入侵检测也需要面临很大的计算量，需要记录更多的数据，因此，加大了入侵检测的难度，不可避免的影响到入侵检测效率。检测系统自身防护薄弱当前的入侵检测技术还不是很成熟，因此，无法针对系统来设置充分的安全防护措施。所以当外界攻击入侵时，如果优先攻击入侵检测系统，那么入侵检测系统很容易遭到破坏，就不能对入侵行为进行检测，系统无法及时的做出反应，就会侵害数据库的安全。网络入侵检测技术优化方案对检测算法进行优化更新检测算法要求对更多的选集进行调查。尽管通常情况下，检测算法都可以处理好选集调查，但当碰到了一些稍微复杂的综合数据库，且需要对其进行分析的时候，就必须处理更多的选集，在计算的过程中就需要投入更多的噬魂剑，因此，必须优化和更新检测算法。可以采取具体的措施：第一，合理的控制一次性检测的选集数量，尽可能的减少其数量；第二，采取合适的方式来扫描数据库，利用扫描得到的编码在通过计算可以获取最后的结果王钧玉.免疫机制在计算机网络入侵检测中的应用研究[J].襄阳职业技术学院学报,2018,04:67-70.。王钧玉.免疫机制在计算机网络入侵检测中的应用研究[J].襄阳职业技术学院学报,2018,04:67-70.建立检测系统模型该系统的工作机制就是对访问的信息和数据做安全检测，确保访问行为是否安全，再来决定是否允许访问。搭建一个系统的检测模型能够很好的优化该系统。该模型包括访问信息采集、数据分析检测、分析结果反馈、系统管理四个模块。设置统一的入侵检测标准数据库受到侵害的具体原因和入侵行为具有的特征是入侵检测的一个重要内容，必须深入研究入侵检测的特征，才可以充分的了解防范和抵御入侵的方法，可以采用比较普通的方式，即建立相关的研究小组，对数据进行记录和研究，随后梳理和对比不同研究小组中的数据，对比不同小组之间的关联度，然后整合有效的数据，这样设置的入侵检测标准才具有一致性，可以很好的检测系统中隐藏的入侵风险。浙江大学远程教育学院本科毕业论文(设计)第5章基于数据挖掘的网络入侵检测系统的实现基于数据挖掘的网络入侵检测系统的实现数据挖掘当前，我国的科学技术正在不断的进步，不管是数据的收集能力，还是其挖掘能力，都在不断的增加，事实上，海量数据的存储及分析与我们社会生活有着非常直观的联系，已经在各个领域都能够应用到，例如政府办公，以及工程的开发，包括商业的运用，与科研领域，等等。随着数据量的不断增加，要想挖掘其中比较有价值的信息，还必须借助于更加先进、高超的技术，从面对其进行深层次的分析，以及相应的利用。当前，针对数据的录入，相应的汇总，以及查询，包括统计，与其他的各个功能，都已经能够成功实现，然而针对大规模的数据范围，对于其中潜在的规则，以及相应的关联性，并不容易去进行相应的获得。若依旧借助于当前的一些信息去实施未来发展情况的估测，其实是很难操作的，这主要是因为数据大爆炸的问题可能会出现，再加上人们知识的匮乏，使得这一现象更加严重赵旭,江晋.一种面向网络入侵检测系统的多媒体链表结构[J].西安工业大学学报,2019赵旭,江晋.一种面向网络入侵检测系统的多媒体链表结构[J].西安工业大学学报,2019,03:186-191.系统开发平台的选择因为MicrosoftVisualc++基本上要靠Windows操作平台才能真正的决定其发挥做大的作用，所以系统需要对MicrosoftVisualc++环境需要进行必要的调整，它的软件开发环境非常强，可以将Winpcap提供的API接口功能进行充分的利用使得不同网络包的处理功能都能实现。实现技术网络入侵检测系统主要是对网络数据包进行利用最后将数据进行输出的。因此网络协议在系统中也成为了其分析的一部分，包拦截技术在网络监控软件的运用中是非常基础且重要的。现在，TCP/IP协议被使用得最频繁，不单单只是TCP和IP协议，这里将因特网上使用的大部分协议的一系列协议都包含在里面了。系统的原型需要将TCP/IP网络攻击的现象结合来看。网络入侵检测系统需要对网络状态进行相应的检测，重新组织和分析被捕获的数据包，其在用户识别信息的时候可以被使用，以确定网络入侵行为。数据收集在检测系统中成为了非常重要的一项工作。网络入侵检测系统的常见数据收集方法是共享以太网多媒体的特性。探测器可以在局部的网络中自由的出入。在对网络适配器进行配置时，随机检测系统会对所有的内容进行接收，并数据包进行传递。整个包装捕获架构的基础是作为软件最低等级的NDIS(NetworkDiskInterfaceSpecification)。主要用于在不同的应用程序协议和网络地图之间提供接口功能。函数通过调用这些函数来实现数据收集函数。由UNIX的BSD捕获架构提供的Wpcap.dll模块和Libpcap可以相互运用，添加分组统计和传输。使用统计功能，可以迅速完成网络数据的统计。例如，通过总线的数据包数量和特定时间内的字节数。发送包的功能允许应用程序不仅可以监听网络，还可以将数据发送到网络。实验平台的搭建1）实验软件：（1）Microsoftvirtualpc虚拟机（2）windowsserver2003镜像文件（3）网络数据包截取驱动程序WinPcap_4_1_2.ziphttp://winpcap.polito.it/（4）Windows版本的Snort安装包Snort_2_9_0_5_Installer.exe/（5）Windows版本的ApacheWeb服务器apache_2.2.4-win32-x86-no_ssl.zip/（6）Windows版本的PHP脚本环境支持php-5.2.5-Win32.zip/（7）Windows版本的Mysql数据库服务器mysql-5.0.22-win32.zip/（8）ACID利用PHP建立入侵检测数据库，对控制台进行分析acid-0.9.6b23.tar.gz/kb/acid（9）Adodb（ActiveDataObjectsDataBase）PHP库adodb504.tgz/adodb（10）PHP图形库jpgraph-2.3.tar.gzhttp://www.aditus.nu/jpgraph（11）snort规则包rules20090505.tar.gz2）安装步骤：（1）安装虚拟机、操作系统：运行虚拟机安装程序，才用系统默认的方式来安装。进入到控制台中，新建一个虚拟机，根据系统提出来填写相关信息，选择镜像文件，启动，下面是安装成功之后的效果。图5-1虚拟机（2）组件的安装：在c:下建立duoduo的文件夹，再在其下建立duo的文件夹放入所有的安装程序，在后续的安装时，把可以选择安装路径的组件安装在duoduo的文件夹下①安装WinPcap运行WinPcap_4_1_2.zip，默认安装。②安装mysql运行mysql-5.0.22-win32.zip，选择自定义安装选择安装路径C:\duoaduo\mysql下，安装时注意：端口设置为3306（以后要用到），密码本实验设置成123，图5-2配置端口图5-3配置密码添加环境变量：图5-4配置环境变量③安装apache运行apache_2.2.4-win32-x86-no_ssl.zip安装到c:\duoaduo\apache④下面安装php：解压php-5.2.5-Win32到c:\duoaduo\php添加gd图形库支持复制c:\duoaduo\php\php5ts.dll和c:\duoaduo\php\libmysql.dll文件到%systemroot%\system32查询本机的%systemroot%图5-5查询机的%systemroot%复制c:\duoaduo\php\php.ini-dist到%systemroot%并重命名为php.ini，修改php.ini，分别去掉“extension=php_gd2.dll”和“extension=php_mysql.dll”前的分号，图5-6配置php.Ini(1)并指定extension_dir="c:\duoaduo\php\ext"，图5-7配置php.Ini(2)同时复制c:\duoaduo\php\ext下的php_gd2.dll与php_mysql.dll到%systemroot%\system32在C:\duoaduo\apache\conf\httpd.conf中添加LoadModulephp5_modulec:/duoaduo/php/php5apache2_2.dll和AddTypeapplication/x-httpd-php.php，AddTypeapplication/x-httpd-php-source.phps图5-8配置httpd.conf重启Apache服务在C:\duoaduo\apache\htdocs目录下新建webinf.php（文件内容为：<?phpinfo();?>）并使用/webinf.php用于访问测试，主要是查看能否将当前Apachehttp服务器的信息进行显示，如果它能显示，那么Apache和php就可以正常的使用。图5-9正确运行Apache和php但是如果显示图5-10错误信息addtype的两个句子会出现错误偏差。检查变化。⑤安装Snort运行Snort_2_9_0_5_Installer.exe安装在C:\duoaduo\Snort下即可，运行C:\duoaduo\Snort\bin\snort.exe或者在DOS中找到该位置，如果安装Snort成功会出现一个可爱的小猪图5-11Snort运行正常并按照以下修改C:\duoaduo\Snort\etc\snort.conf文件：varRULE_PATHc:\duoaduo\snort\rulesincludeclassification.configincludereference.config修改为绝对路径：includec:\duoaduo\snort\etc\classification.configincludec:\duoaduo\snort\etc\reference.config在该文件的最后加入下面语句：outputdatabase:alert,mysql,host=localhostuser=rootpassword=123dbname=snortencoding=hexdetail=full创建snort数据库的表将c:\doaduo\snort\schames文件夹中的create_mysql文件进行记录，在c:\doaduo\mysql\bin文件夹中展现出来打开mysql的的客户端执行如下命令Createdatabasesnort;Createdatabasesnort_archive;Usesnort;Sourcecreate_mysql;Usesnort_archive;Sourcecreate_mysql;Grantallon*.*to“root”@”localhost”加入php对mysql的支持：修改c:\windows\php.ini文件去掉extension=php_mysql.dll前的分号。复制c:\duoaduo\php\ext文件夹下的php_mysql.dll文件到c:\windows文件夹。复制c:\duoaduo\php\libmysql.dll文件到c:\windows\system32下⑥安装adodb解压缩adodb到c:\ids\php5\adodb文件夹下。⑦安装jgraph解压缩jpgraph到c:\duoaduo\php\jpgraph文件夹下⑧安装acid解压缩acid到c\duoaduo\apache\htdocs\acid文件夹下修改acid_conf.php文件主要内容如下：$DBlib_path="c:\duoaduo\php\adodb";$DBtype="mysql";$alert_dbname="snort";$alert_host="localhost";$alert_port="3306";$alert_user="root";$alert_password="123";$archive_dbname="snort_archive";$archive_host="localhost";$archive_port="3306";$archive_user="root";$archive_password="123";$ChartLib_path="c:\duoaduo\php\jpgraph\src";⑨重启apache、mysql服务⑩在浏览器中初始化acid数据库：http://localhost/acid/acid_db_setup.php以上配置正确会有下面的显示：图5-12正确配置acid安装成功，测试一下：启动Apache和mysql服务运行ACID：打开浏览器，地址为/acid。如果有下图所示，则表示ACID安装成功。图5-13正确安装acid运行c:\duoaduo\snort\bin>snort-c"c:\duoaduo\snort\etc\snort.conf"-l"c:\duoaduo\snort\log"-vdeX-X参数用于在数据链接层记录rawpacket数据-d参数记录应用层的数据-e参数显示／记录第二层报文头数据-c参数用以指定snort的配置文件的路径-v参数用于在屏幕上显示被抓到的包图5-14正确记录日志浙江大学远程教育学院本科毕业论文(设计)第6章总结与展望总结与展望总结网络信息的普及在很大程度上便利了人们的生活，可以说，目前社会中的所有行业都会使用到网络，网络应用成为了生活一个必不可少的组成部分，可是网络信息里也存在很多危险，这是令人困扰的，更多的网络安全问题出现，处理这些问题也变得日益复杂。网络安全问题得到了更多人的关注，因为不同类型的入侵检测技术正在不断的发展，