《入侵检测和snort初探》由会员分享,可在线阅读,更多相关《入侵检测和snort初探(38页珍藏版)》请在金锄头文库上搜索。
1、郑州大学毕业设计论文入侵检测和Snort初探 摘要:随着信息化进程的深入和互联网的迅速发展,人们的工作、学习和生活方式正在发生巨大变化,效率大为提高,信息资源得到最大程度的共享。但必须看到,紧随信息化发展而来的网络安全问题日渐凸出,如果不很好地解决这个问题,必将阻碍信息化发展的进程。然而,传统的网络安全技术已经很难对付这些日益严重的安全威胁,所以我们就有必要去开发专门的工具去避免这些不安全因素的攻击,而入侵检测技术便可以作为一种很重要的技术为我们所用。 本论文从入侵检测的基本理论和入侵检测中的关键技术出发,主要研究了一个简单的基于网络的Windows平台上的个人入侵检测系统的实现(PIDS,P
2、ersonal Intrusion Detection System)。论文首先分析了当前网络的安全现状,介绍了入侵检测技术的历史以及当前入侵检测系统的关键理论。分析了Windows的网络体系结构以及开发工具Winpcap的数据包捕获和过滤的结构。最后在Winpcap系统环境下实现本系统设计。本系统采用异常检测技术,通过Winpcap截取实时数据包,同时从截获的IP包中提取出概述性事件信息并传送给入侵检测模块,采用量化分析的方法对信息进行分析。系统在实际测试中表明对于具有量化特性的网络入侵具有较好的检测能力。关键词:网络安全;Snort;入侵检测; Abstract: with the rap
3、id development of informatization and Internet, peoples work, study and life style is having the huge change, the efficiency is greatly improved, the greatest degree of information resources sharing. But we must see, the problem of network security following the development of informationization and
4、 the growing bulge, if this problem is not solved, the information will hinder the development process. However, the traditional network security technology has been difficult to deal with the increasingly serious security threat, so we have the necessity to develop specialized tools to avoid the un
5、safe factors of attack, and intrusion detection technology can be as one of the most important technologies for us to use. Starting from the basic theory of key technology in the detection of intrusion detection and intrusion of the thesis, the main research a personal network intrusion detection sy
6、stem Windows platform based on simple (PIDS, Personal Intrusion Detection System). This paper first analyzes the current network security status, introduced the history of intrusion detection technology and key theory of current intrusion detection system. Analysis of Windows network architecture an
7、d development tools Winpcap packet capture and filtering. Finally, this system is designedin Winpcap environment. The system uses anomaly detection technology, through the Winpcap real time data packet interception, and extract the event information and transmit to the intrusion detection module fro
8、m the intercepted IP packet, using quantitative analysis method to analyze the information. The system shows that in the practical test for quantitative characteristics of network intrusion has better detection capabilities. keyword: snort; network security; intrusion detection; 目录第一章 研究的目的与意义11.1研究
9、目的和意义11.2入侵检测系统目前存在的问题21.2.1阻断入侵的能力低31.2.2高误报率和高漏报率31.2.3入侵检测系统的研究方向31.3入侵检测技术有几个主要发展方向:41.3.1分布式入侵检测与通用入侵检测架构41.3.2应用层入侵检测41.3.3智能的入侵检测41.3.4入侵检测的评测方法4第二章 入侵检测系统概述52.1当前网络环境52.2入侵检测系统的概述62.2.1发展历史72.2.2系统模型72.2.3网络信息安全模型与技术82.3入侵检测系统的基本结构92.3.1数据收集102.3.2系统和网络日志文件102.3.3.非正常的目录和文件改变102.3.4非正常的程序执行1
10、12.3.5网络数据包112.3.6数据分析112.4入侵检测系统的分类11第三章 初探网络入侵检测系统(Snort)133.1Snort规则133.2一个简单的规则范例16第四章 网络入侵检测系统(Snort)实验174.1实验平台的搭建174.1.1实验软件:174.1.2安装步骤:174.2运行snort:26第五章 总结33第六章 致谢34第七章 参考文献35 36 郑州大学毕业设计论文 第一章 研究的目的与意义 随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。有很多是敏感信息,甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数
11、据删添、计算机病毒等)。同时,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。1.1研究目的和意义 任何试图破坏网络活动的正常化都可以称为网络安全问题,过去保护网络安全的最常用、最传统的方法就是防火墙,但是防火墙只是一种被动防御性的网络安全工具,随着科学技术的不断发展,网络日趋复杂化,传统防火墙是不足以满足如今复杂多变的网络安全问题,在这种情况下,逐渐产生了入侵检测系统。入侵检测技术是近年来飞速发展起来的一种动态的集监控、预防和抵御系统入侵行为为一体的新型安全机制作为传统安全机制的补充,入侵检测技术不再是被动的对入侵行为进行识别和防护,而是能够提出预警并实行相应反应动作入侵检测系统
12、(IDS,IntrusionDetectionSystem)可以识别针对计算机系统和网络系统,或更广泛意义上的信息系统的非法攻击,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法行动通常来说入侵检测是对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程,具有智能监控、实时探测、动态响应、易于配置等特点与防火墙不同的是,入侵检测不仅能检测外部非法入侵者的攻击和试探,同时还能发现内部合法用户的超越权限的非法行为作为一种积极主动的安全防护方式,入侵检测系统不仅是防火墙有效的补充,还可以使系统管理员实时的了解网络系统中的各种变化,并根据记录的各种监控数据(如日志文件等
13、)做出分析,为网络安全策略的制定提供指南计算机网络安全是一项系统工程,应该在整体的安全策略的控制和指导下,综合运用各种防护工具的同时,利用检测工具了解和评估系统状态,通过适当的反应将系统调整到相对最安全和风险最低的状态 入侵检测具有以下几个特点: 1)从系统的不同环节收集各种信息;2)分析收集到的信息并试图寻找入侵信息活动的特征;3)自动对检测到的行为做出响应;4)记录并报告检测结果; 入侵检测系统的主要功能有1:1)监测并分析用户和系统的活动;2)核查系统配置及其漏洞;3)评估系统重要资源和数据文件是否完整;4)识别己知的入侵行为;5)统计分析不正常行为;6)根据操作系统的管理日志,识别违反
14、安全策略的用户活动;入侵检测技术是一种积极主动地安全防护技术,其核心在于它的检测引擎,如何实现高效快速的检测,是入侵检测技术的一个重要研究重点。目前入侵检测技术主要分为两大类,分别是基于异常的入侵检测和基于规则的入侵检测。由于目前的攻击主要是针对网络的攻击,因此检测入侵和攻击的最主要的方法是捕获和分析网络数据包,使用相应的软件来提取入侵者所发出的攻击包的特征,然后将这些特征攻击包和入侵检测系统的特征库进行对比匹配,如果在特征库中检测到相应的攻击包,就会发出入侵报警。在与特征库进行匹配的过程中,用到的最主要的技术就是模式匹配,所以说在入侵检测系统中模式匹配是一个研究重点。 在国内,随着网络应用的
15、日益增长,特别是那些关键部门对网络的应用使得网络安全问题至关重要,迫切需要高效的入侵检测产品来确保网络安全,但是,由于我国的入侵检测技术在网络安全领域的研究起步较晚,还不够成熟和完善,需要投入较多的精力来对这方面进行探索研究,特别是基于模式匹配也就是基于规则的入侵检测是一个重要的研究领域,这对抑制黑客攻击和网络病毒的传播,提高网络安全具有重要意义。1.2入侵检测系统目前存在的问题 近年来,入侵检测系统得到了快速发展。国外有很多实验室和公司在从事入侵检测系统的研究和开发工作,已经完成了原形系统和产品。如思科公司的NetRanger,ISS公司的RealSecure等。国内的研究机构和从事网络安全产品的公司
