《入侵检测技术应用毕业论文》由会员分享,可在线阅读,更多相关《入侵检测技术应用毕业论文(18页珍藏版)》请在金锄头文库上搜索。
1、毕业设计开题报告学生姓名 学 号 201402081117 专 业 计算机网络技术 班 级 网络201401班 指导教师 开题时间 2016年10月20日 黄冈职业技术学院电子信息学院电子信息学院毕业设计开题报告拟设计题目入侵检测技术应用综述(本课题研究的意义、研究的现状及自己的认识) 意义: 随着计算机网络技术的发展,网络安全成为一个突出的问题。网络入侵检测系统是近年来网络安全领域的热门技术,它能够对网络中发生的安全事件和网络中存在的安全漏洞进行主动实时的检测,它作为一种积极主动的防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。入侵检测系统是保障计算机及网络安全的有力措施之一。通过研
2、究本课题,可以了解入侵检测技术技术的发展历程,及国内外研究水平的差距,熟悉各种入侵检测技术原理方法的异同,以便今后对某种检测技术方法作进一步的改进时能够迅速切入要点。研究的现状及自己的认识:根据检测技术类型可划分为异常行为检测技术类型和漏洞检测技术类型。根据异常或者不合法行为和使用计算机资源信息的情况检测入侵的技术类型被称为异常入侵攻击检测。漏洞入侵检测是利用已知系统和应用软件的漏洞攻击方式检测入侵。研究内容(研究方向,研究内容、系统主要功能分析及说明)研究方向:入侵检测技术应用研究内容:本文从入侵检测技术的发展入手,研究、分析了入侵检测技术和入侵检测系统的原理、应用、信息收集和分析、数据的处
3、理及其优缺点和未来的发展方向。入侵检测是一门综合性技术,既包括实时检测技术也有事后分析技术。尽管用户希望通过部署IDS来增强网络安全,但不同的用户需求也不同。系统主要功能及分析:一个入侵检测系统的功能结构至少包含事件提取入侵分析入侵响应和远程管理四部分功能。事件提取功能负责提取与被保护系统相关的运行数据或记录,并负责对数据进行简单的过滤。入侵分析的任务就是在提取到的运行数据中找出入侵的痕迹,将授权的正常访问行为和非授权的不正常访问行为区分开分析出入侵行为并对入侵者进行定位。入侵响应功能在分析出入侵行为后被触发,根据入侵行为产生响应。实现方法及预期目标(包括实施的初步方案、重点、难点及预期达到的
4、效果)实施的初步方案:1.入侵检测技术的分析;2.查找、阅读并整理资料;3.入侵检测技术发展趋势;4.撰写论文提纲;5.撰写论文初稿并修改。重点:入侵检测技术是一种积极主动的安全防护技术,其工作流程包括数据收集、数据提取、数据分析、结果处理。检测模型为异常检测模型和误用检测模型,未来的发展趋势是智能化的全面检测,这也是本课题研究的重点。对进度的具体安排第一阶段:对入侵检测技术概况做分析10月17号到20号;第二阶段:查找、阅读并整理资料,10月22号到10月25号;第三阶段:撰写论文提纲,10月26号到10月27号;第四阶段:撰写论文初稿并修改,10月28号到11月5号;第五阶段:撰写论文定稿
5、,11月5号到11月12号;参考文献1 蒋建春,冯登国.网络入侵检测技术原理与技术.北京:国防工业出版社,2001.7 2 戴连英,连一峰,王航.系统安全与入侵检测技术.北京:清华大学出版社,2002.33 美Richard O.Duda,Peter E.Hart,David G.Stork 李宏东 姚天翔等译 模式分类(原书第2版)机械工业出版社 ,2003-09-014 吴焱等译,入侵者检测技术.北京:电子工业出版社,1999指导教师意见(签署意见并签字)审查人签字: 年 月 日领导小组审查意见审查人签字: 年 月 日学业作品 题 目 入侵检测技术应用 学生姓名 徐 盼 学 号 20140
6、2081117 专 业 计算机网络技术 班 级 网络201401班 指导教师 刘 烨 完成日期 2016 年 11月 20日目录摘 要6关键词6第一章 绪论71.2 入侵检测技术的历史71.3 本课题研究的途径与意义8第二章 入侵检测技术原理92.1 入侵检测的工作流程92.1.1 数据收集92.1.2 数据提取92.1.3数据分析102.1.4 结果处理102.2入侵检测技术的检测模型102.2.1 异常检测模型102.2.2 误用检测模型11第三章 入侵检测技术功能概要11第四章 入侵检测系统实验案例分析124.1 配置Snort选项124.2 测试Snort144.3 攻击与检测过程14
7、4.3.1 攻击过程144.3.2 Snort运行过程144.4 检测结果分析14第五章 入侵检测技术的缺点和改进165.1 入侵检测技术所面临的问题165.2 入侵检测技术的改进发展16总 结17致 谢17参考文献18摘 要近年来随着计算机网络的迅速发展,网络安全问题越来越受到人们的重视。从网络安全角度来看,防火墙等防护技术只是被动安全防御技术,只是尽量阻止攻击或延缓攻击,只会依照特定的规则,允许或是限制传输的数据通过。在网络环境下不但攻击手段层出不穷,而且操作系统、安全系统也可能存在诸多未知的漏洞,这就需要引入主动防御技术对系统安全加以补充,目前主动防御技术主要就是入侵检测技术。 本文从入
8、侵检测技术的发展入手,研究、分析了入侵检测技术和入侵检测系统的原理、应用、信息收集和分析、数据的处理及其优缺点和未来的发展方向。关键词: 网络安全,网络入侵,入侵检测技术,入侵检测系统第一章 绪论1.1 入侵检测技术的提出随着Internet高速发展,个人、企业以及政府部门越来越多地依靠网络传递信息,然而网络的开放性与共享性容易使它受到外界的攻击与破坏,信息的安全保密性受到严重影响。网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球
9、互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出,黑客攻击日益猖獗,防范问题日趋严峻:具Warroon Research的调查,1997年世界排名前一千的公司几乎都曾被黑客闯入;据美国FBI统计,美国每年因网络安全造成的损失高达75亿美元;Ernst和Young报告,由于信息安全被窃或滥用,几乎80%的大型企业遭受损失;看到这些令人震惊的事件,不禁让人们发出疑问:网络还安全吗?试图破坏信息系统的完整性、机密性、可信性的任何网络活动都称为网络入侵。防范网络入
10、侵最常用的方法就是防火墙。防火墙(Firewall)是设置在不同网络(如可信任的企业内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合,它属于网络层安全技术,其作用是为了保护与互联网相连的企业内部网络或单独节点。它具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。但是,防火墙只是一种被动防御性的网络安全工具,仅仅使用防火墙是不够的。首先,入侵者可以找到防火墙的漏洞,绕过防火墙进行攻击。其次,防火墙对来自内部的攻击无能为力。它所提供的服务方式是要么都拒绝,要么都通过,不能检查出经过他的合法流量中是否包含着恶意的入侵代码,这是远远不能满足用户复杂的
11、应用要求的。对于以上提到的问题,一个更为有效的解决途径就是入侵检测技术。在入侵检测技术之前,大量的安全机制都是根据从主观的角度设计的,他们没有根据网络攻击的具体行为来决定安全对策,因此,它们对入侵行为的反应非常迟钝,很难发现未知的攻击行为,不能根据网络行为的变化来及时地调整系统的安全策略。而入侵检测技术正是根据网络攻击行为而进行设计的,它不仅能够发现已知入侵行为,而且有能力发现未知的入侵行为,并可以通过学习和分析入侵手段,及时地调整系统策略以加强系统的安全性。1.2 入侵检测技术的历史1980 月,JnamesP.Aderson为美国空军做了一份题为“Computer Security Thr
12、eatMonitoring Sureillance”(计算机安全威胁监控与监视)的技术报告,第一次详细的阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方 法,并将威胁分为了外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据 监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。1984 年-1986 年,乔治敦大学的Dorothy Denning 和SRI/CSL(SRI 公司计算机科 学实验室)的PeterNeumann 研究出了一种实时入侵检测系统模型,取名为IDES(入侵 检测专家系统)。 该模型独立于特定的系统平台、应用环境、系统弱点以及入侵类型, 为构建入
13、侵系统提供了一个通用的框架。1988 年,SRI/CSL 的Teresa Lunt 等改进了Denning 的入侵检测模型,并研发出了 实际的IDES。 1989年,加州大学戴维斯分校的Todd Heberlein写了一篇论文A Network Security Monitor,该监控器用于捕获TCP/IP 分组,第一次直接将网络流作为审计 数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机,网络入侵 检测从此诞生。1990 年时入侵检测系统发展史上十分重要的一年。这一年,加州大学戴维斯分校的L.T.Heberlein等开发出了NSM(Network Security Moni
14、tor)。该系统第一次直接将 网络作为审计数据的来源,因而可以在不将审计数计转化成统一的格式情况下监控异种 主机。同时两大阵营正式形成:基于网络的IDS 和基于主机的IDS。入侵检测是一门综合性技术,既包括实时检测技术,也有事后分析技术。尽管用户 希望通过部署IDS 来增强网络安全,但不同的用户需求也不同。由于攻击的不确定性, 单一的IDS 产品可能无法做到面面俱到。因此,IDS 的未来发展必然是多元化的,只有 通过不断改进和完善才能更好地协助网络进行安全防御。入侵检测技术的发展已经历了四个主要阶段:第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为 非常有效,各种已知的攻击行为可以对号入座,误报率低;缺点是高超的黑客采用变形 手法或者新技术可以轻易躲避检测,漏报率高。第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分 析处理一部分协议
