《基于WINDOWS入侵检测系统的研究与设计免费毕业设计论文.doc》由会员分享,可在线阅读,更多相关《基于WINDOWS入侵检测系统的研究与设计免费毕业设计论文.doc(38页珍藏版)》请在金锄头文库上搜索。
1、毕业设计(论文)基于windows入侵检测系统的研究与设计响应模块设计论文作者姓名:申请学位专业:申请学位类别:指导教师姓名(职称):论文提交日期:基于windows入侵检测系统的研究与设计响应模块设计摘 要入侵检测技术是对传统的安全技术(如防火墙)的合理补充。它通过监视主机系统或网络,能够对恶意或危害计算机资源的行为进行识别和响应。通过与其它的安全产品的联动,还可以实现对入侵的有效阻止。入侵检测系统的研究和实现已经成为当前网络安全的重要课题。本文从研究入侵技术入手,分析了入侵过程的各个阶段、各种入侵方法,总结了网络安全事故的根源。然后,介绍了入侵检测方法的分类,分析了各种入侵检测方法和字符串
2、匹配的算法。研究表明基于规则的入侵检测系统是现在入侵检测系统设计的最主要的技术,基于这一理论,设计开发了一个基于规则匹配的特征检测方法的响应模块。系统开发环境为VC+ 6.0,数据库采用MYSQL数据库。通过该系统可以有效的实现对入侵的检测,并且具有用户友好性。关键词: 入侵检测;响应模块;规则匹配 The Research and Design of Intrusion Detection SystemBased on WindowsDesign of Response ModuleAbstractThe intrusion detection technology is complemen
3、tarities for traditional security protecting technology, such as firewalls. It can identify and response to malice activities by monitoring the host system or the Internet. It also can prevent intrusion activities with the linkage of other security technology. The research and development of IDS has
4、 become the important subject about network security.This thesis begins with studying attacking technology, including analyzing every stage of an intrusion stage and various attacking methods, summarizing the fundamental reasons of various network security incidents and the trend of attacking techno
5、logy, afterwards, introducing the classification of the intrusion detection system, analyzing various intrusion detection methods and string-matching algorithm. Through research to make clear that the intrusion detection system based on rules is the most important intrusion detection technology, bec
6、ause of this theory, the design has developed a response module based on the rule match characteristic examination method. The system development environment is VC+ 6.0; the database adapts the MYSQL database. This system can implement the effective realization to the intrusion detection, and the in
7、terface of this software is friendly.Key words: Intrusion detection; Response module; Rule-matching目 录论文总页数:26页1引 言11.1背景11.2国内外研究现状11.3本文的主要工作12理论基础12.1入侵基本概念22.1.1安全与入侵的概念22.1.2入侵的步骤22.1.3黑客攻击的方法32.1.4安全威胁的根源62.2入侵检测技术62.2.1入侵检测的概念62.2.2入侵检测系统的基本结构构成72.2.3入侵检测的分类72.2.4入侵检测方法92.3BM算法113系统总体设计133.1系
8、统概述133.2系统总体结构框架133.3开发环境144响应模块设计实现144.1规则库设计实现144.2事件分析设计与实现174.2.1规则解析174.2.2规则匹配流程184.3输出模块的设计194.3.1响应输出流程194.3.2日志数据库设计204.4模块集成实现205系统测试和分析215.1攻击检测测试215.1.1测试目的215.1.2测试过程215.1.3测试结果分析215.2误报和漏报测试225.2.1测试目的225.2.2测试过程225.2.3测试结果分析23结 论23参考文献24致 谢25声 明261 引 言1.1 背景近年来,随着信息和网络技术的高速发展以及其它的一些利益
9、的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展。依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的
10、补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。1.2 国内外研究现状入侵检测技术国外的起步较早,有比较完善的技术和相关产品。如开放源代码的snort,虽然它已经跟不上发展的脚步,但它也是各种商业IDS的参照系;NFR公司的N
11、ID等,都已相当的完善。虽然国内起步晚,但是也有相当的商业产品:天阗IDS、绿盟冰之眼等不错的产品,不过国外有相当完善的技术基础,国内在这方面相对较弱。1.3 本文的主要工作本文从分析现有网络中存在的安全说起,指出了现有的网络所面临的安全威胁,主要介绍了基于特征(signature-based)的网络入侵检测技术,阐述了由入侵检测理论所构建的入侵检测平台,监测并分析网络、用户和系统的活动,识别已知的攻击行为,统计分析异常行为。在本文的后面针对基于windows平台并基于特征(规则)的入侵检测系统响应模块的设计与实现作了详细的说明,阐述了什么是入侵检测、如何检测、如何响应等一系列问题,同时也给出
12、了一套完整的设计思想和实现过程。2 理论基础2.1 入侵基本概念2.1.1 安全与入侵的概念安全定义广义的计算机安全的定义:主题的行为完全符合系统的期望。系统的期望表达成安全规则,也就是说主体的行为必须符合安全规划对它的要求。而网络安全从本质上讲就是网络上信息的安全,指网络系统的硬件、软件及其系统中数据的安全。网络信息的传输、存储、处理和使用都要求处于安全的状态。根据OSI狭义的系统与数据安全性定义:1. 机密性(Confidentiality):使信息不泄露给非授权的个人、实体和进程,不为其所用;2. 完整性(Integrity):数据没有遭受以非授权的个人、实体和进程的窜改,不为其所用;3
13、. 可确认性(Accountability):确保一个实体的作用可以被独一无二地跟踪到该实体;4. 可用性(Auailability):根据授权实体的请求可被访问与使用。入侵定义Anderson在80年代早期使用了“威胁”概念术语,其定义与入侵含义相同。将入侵企图或威胁定义为未授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。Heady给出另外的入侵定义:入侵是指有关试图破坏资源的完整性、机密性及可用性的活动集合。Smaha从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。 2.1.2 入侵的步骤黑客通常采用以下的几个步骤来实现入侵目标主机的
14、目的。1、搜集信息:寻找目标主机并分析要攻击的环境。2、实施入侵:获取帐号和密码,登录主机。3、提升权限:黑客一旦获得目标主机普通用户的帐号,便可以利用一些登录工具进入目标主机,进入以后,他们会想方设法的到超级用户的权限,然后进行任意操作。4、攻击活动的实施:黑客获取了超级用户权限后,就可以在目标系统上为所欲为。根据各自不同的目的,黑客在攻克的目标系统上进行不同的破坏活动,例如窃取敏感资料、篡改文件内容,替换目标系统WWW服务的主页是黑客示威常采用的手段。5、清除日志记录:黑客在退出被攻克的目标前通常要进行一些善后处理。2.1.3 黑客攻击的方法1、网络监听网络监听最初是为了协助网络管理员监测
15、网络传输的数据,排除网络故障而开发的技术,然而网络监听也给以太网安全带来了极大的隐患。监听是通过将网络接口设为混杂模式,从而接收经过它的所有网络数据包,达到偷看局域网内其它主机的通讯的目的。反监听的方法是:将网络分段,把不可信任的机器隔开以防止被监听;加密,大量的密文让黑客无所适从。2、端口扫描端口扫描的基本原理是扫描方通过向目标系统的不同端口发送具有特殊位的数据包,并记录目标做出的应答,通过分析得出关于目标的相关信息。根据数据包的类型可分为:TCP扫描、UDP扫描、ICMP扫描。其中TCP扫描包括:TCP connect()扫描、TCP SYN扫描、TCP SYN|ACK扫描、TCP ACK扫描、TCP FIN扫描、TCP空扫描、TCP Xmax树扫描(往目标端口发送一个设置了FIN|URG|PUSH位的分组。);ICMP扫描包括:ICMP查询报文请求及应答扫描、ICMP差错报文扫描;UDP扫描包括:UDP端口不可达扫描等。3、口令入侵口令入侵是指攻击者使用合法
