《精选大学生毕业论文答辩开题报告PPT(84)》由会员分享,可在线阅读,更多相关《精选大学生毕业论文答辩开题报告PPT(84)(59页珍藏版)》请在金锄头文库上搜索。
1、兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院分布式入侵检测系统分布式入侵检测系统及其在多园区校园网中的应用及其在多园区校园网中的应用工程硕士论文答辩工程硕士论文答辩姓姓 名:名:XXXXXX指导教师:指导教师:XXX XXXXXX XXX工程领域:电子与通信工程工程领域:电子与通信工程所在学院:电子与信息工程学院所在学院:电子与信息工程学院20xx年年5月月11日日绪论绪论研究的背景和意义研究的背景和意义校园网已成为各个学校进行教学科研、信校园网已成为各个学校进行教学科研、信息交流、资源共享、文献检索等必不可少的一息交流、资源共享、文献检索等必不可少的一部分。然而在享
2、受校园网极大便利的同时,网部分。然而在享受校园网极大便利的同时,网络安全问题也变得越来越突出。校园网正面临络安全问题也变得越来越突出。校园网正面临着病毒侵害、黑客攻击、内部威胁、安全漏洞、着病毒侵害、黑客攻击、内部威胁、安全漏洞、缺乏管理和滥用网络资源等一系列的安全问题。缺乏管理和滥用网络资源等一系列的安全问题。绪论绪论目前,我国大部分高校的校园网安全体系目前,我国大部分高校的校园网安全体系结构仍然采用防火墙和网络版杀毒软件的方式。结构仍然采用防火墙和网络版杀毒软件的方式。这种方式对于来自校园网外部常见的攻击和各这种方式对于来自校园网外部常见的攻击和各种已知病毒能起到较好的防护作用,但是对于种
3、已知病毒能起到较好的防护作用,但是对于来自校园网内部的攻击和网络蠕虫病毒却效果来自校园网内部的攻击和网络蠕虫病毒却效果不佳。随着攻击者技能的日趋成熟,攻击手段不佳。随着攻击者技能的日趋成熟,攻击手段和攻击工具的日趋复杂多样化,这种方式已经和攻击工具的日趋复杂多样化,这种方式已经无法满足网络安全的需要,部署分布式入侵检无法满足网络安全的需要,部署分布式入侵检测系统就成了校园网安全体系中必不可少的重测系统就成了校园网安全体系中必不可少的重要组成部分。要组成部分。 系统总体设计系统总体设计 工程设计背景工程设计背景本研究课题就是以兰州城市学院校园网为本研究课题就是以兰州城市学院校园网为背景设计了一个
4、分布式入侵检测系统。兰州城背景设计了一个分布式入侵检测系统。兰州城市学院校园网由三个校区组成:西校区、培黎市学院校园网由三个校区组成:西校区、培黎校区和东校区,校区之间通过租赁中国电信的校区和东校区,校区之间通过租赁中国电信的10M10M光纤进行连接。校园网的管理中心设在西光纤进行连接。校园网的管理中心设在西校区,其网络体系结构如下图所示。校区,其网络体系结构如下图所示。系统总体设计系统总体设计系统总体设计系统总体设计系统物理结构系统物理结构系统总体设计系统总体设计系统逻辑结构系统逻辑结构 系统详细设计与实现系统详细设计与实现 误用检测子系统误用检测子系统 误用检测子系统用来对常规的、已知的攻
5、误用检测子系统用来对常规的、已知的攻击行为进行检测。相对于异常检测技术,误用击行为进行检测。相对于异常检测技术,误用检测技术显得更加有效和成熟。检测技术显得更加有效和成熟。 系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现异常检测子系统异常检测子系统 异常检测子系统用来对未知的、新型的攻异常检测子系统用来对未知的、新型的攻击行为进行检测。异常检测系统检测出的不是击行为进行检测。异常检测系统检测出的不是已知的入侵行为,而是所研究的通信过程中的已知的入侵行为,而是所研究的通信过程中的异常现象。异常现象。系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现
6、攻击源追踪子系统攻击源追踪子系统 攻击源追踪子系统主要用来实现整个系统攻击源追踪子系统主要用来实现整个系统的攻击源追踪和定位功能,即当发现攻击行为的攻击源追踪和定位功能,即当发现攻击行为时,特别是拒绝服务攻击或假冒源地址的分布时,特别是拒绝服务攻击或假冒源地址的分布式拒绝服务攻击时进行真实源攻击者地址的追式拒绝服务攻击时进行真实源攻击者地址的追踪。踪。 系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现管理子系统管理子系统 管理子系统主要用来实现整个分布式入侵管理子系统主要用来实现整个分布式入侵检测系统的管理、维护和监视,以友好的人机检测系统的管理、维护和监视,以友好的人
7、机交互界面和管理员交互。交互界面和管理员交互。系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现误用检测与异常检测的实现误用检测与异常检测的实现 检测流程检测流程 在本系统中综合应用了误用检测和异常检在本系统中综合应用了误用检测和异常检测,这样可以提高检测的准确性,其检测流程测,这样可以提高检测的准确性,其检测流程如下图所示。如下图所示。系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现捕获网络数据包捕获网络数据包因为因为SnortSnort没有自己的数据采集工具,所以没有自己的数据采集工具,所以需要外部的数据包捕获程序需要外部的数据包捕获程序Win
8、pcapWinpcap来实现。来实现。WinpcapWinpcap是由伯克利分组捕获库派生而来的是由伯克利分组捕获库派生而来的分组捕获库程序,它可以在分组捕获库程序,它可以在WindowsWindows操作平台操作平台上实现底层包的截取和过滤。开发上实现底层包的截取和过滤。开发WinpcapWinpcap的的目的是为目的是为Win32Win32应用程序提供访问网络底层的应用程序提供访问网络底层的能力。能力。 系统详细设计与实现系统详细设计与实现 SnortSnort的安装与配置的安装与配置下载安装下载安装SnortSnort,安装完成后,进入,安装完成后,进入SnortSnort的安装目录,将
9、的安装目录,将SnortSnort的规则文件和配置文件的规则文件和配置文件复制到相应目录中,并创建一个日志目录来保复制到相应目录中,并创建一个日志目录来保存以后产生的报警和日志文件。存以后产生的报警和日志文件。为了使为了使SnortSnort能够正常运行,还需要对能够正常运行,还需要对Snort.confSnort.conf文件进行相应的配置,包括以下几文件进行相应的配置,包括以下几个方面:个方面: 系统详细设计与实现系统详细设计与实现(1) (1) 设置网络变量设置网络变量; ; (2) (2) 配置预处理程序配置预处理程序; ; (3) (3) 配置输出插件配置输出插件; ; (4) (4
10、) 配置入侵规则库。配置入侵规则库。系统详细设计与实现系统详细设计与实现搭建数据库平台搭建数据库平台 各个数据库服务器主要是从入侵检测系统各个数据库服务器主要是从入侵检测系统中收集报警数据,并且将它存入到对应的数据中收集报警数据,并且将它存入到对应的数据库中。利用关系型数据库对数据量相当大的报库中。利用关系型数据库对数据量相当大的报警数据进行组织管理是最有效的方法,并且存警数据进行组织管理是最有效的方法,并且存入关系数据库后能对其进行分类,查询和按优入关系数据库后能对其进行分类,查询和按优先级组织排序等处理。先级组织排序等处理。 系统详细设计与实现系统详细设计与实现MySQLMySQL是一个快
11、速的客户机是一个快速的客户机/ /服务器结构的服务器结构的SQLSQL数据库管理系统,开发者为瑞典数据库管理系统,开发者为瑞典MySQL ABMySQL AB公司,其功能强大、灵活性好、应用编程接口公司,其功能强大、灵活性好、应用编程接口丰富并且系统结构精巧。丰富并且系统结构精巧。 MySQLMySQL数据库采用默认方式安装后,设置数据库采用默认方式安装后,设置MySQLMySQL为服务方式运行。然后启动为服务方式运行。然后启动MySQLMySQL服务,服务,进入命令行状态,创建进入命令行状态,创建SnortSnort运行必需的存放运行必需的存放系统日志的系统日志的SnortSnort库和库和
12、Snort_archiveSnort_archive库。同时库。同时使用使用SnortSnort目录下的目录下的create_mysqlcreate_mysql脚本建立脚本建立SnortSnort运行所需的数据表,用来存放系统日志运行所需的数据表,用来存放系统日志和报警信息。和报警信息。 系统详细设计与实现系统详细设计与实现为了直观地显示数据库的存储及运行情况,为了直观地显示数据库的存储及运行情况,并且方便用户对数据库进行操作,还须安装基并且方便用户对数据库进行操作,还须安装基于于phpphp的的MySQLMySQL数据库管理程序数据库管理程序phpmyadminphpmyadmin,通,通过
13、它可以在图形界面下对数据库进行查询和管过它可以在图形界面下对数据库进行查询和管理,十分便利。理,十分便利。系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现分析与管理分析与管理 在系统中采用了拥有图形用户界面的报警在系统中采用了拥有图形用户界面的报警管理工具管理工具ACIDACID。 首先安装首先安装apacheapache并且将其作为服务方式运并且将其作为服务方式运行,在配置中添加行,在配置中添加apacheapache对对phpphp的支持,然后的支持,然后将将adodbadodb和和jpgraphjpgraph安装在安装在phpp
14、hp的目录下,最后的目录下,最后安装安装ACIDACID并修改其配置文件并修改其配置文件acid_conf.phpacid_conf.php。 系统详细设计与实现系统详细设计与实现通过上述的安装与配置就可以进行入侵检通过上述的安装与配置就可以进行入侵检测了。测了。将将SnortSnort运行在入侵检测模式下,启动运行在入侵检测模式下,启动WebWeb服务器,在主机上通过浏览器来查看报警日志服务器,在主机上通过浏览器来查看报警日志信息,运行信息,运行ACIDACID,对报警事件进行统计分析。,对报警事件进行统计分析。系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现攻击源追
15、踪的实现攻击源追踪的实现 在攻击源追踪子系统中,除了使用在攻击源追踪子系统中,除了使用MRTGMRTG进进行网络数据包的捕获与流量分析外,还引入了行网络数据包的捕获与流量分析外,还引入了认证服务器和智能终端。认证服务器和智能终端。 系统详细设计与实现系统详细设计与实现认证服务器和智能终端认证服务器和智能终端认证服务器其实质是一台安装了认证服务认证服务器其实质是一台安装了认证服务端软件的服务器,接在校园网的核心交换层的端软件的服务器,接在校园网的核心交换层的交换机上。交换机上。智能终端是安装在各个客户机上的认证软智能终端是安装在各个客户机上的认证软件。在本系统中,采用与核心交换机相配套的件。在本
16、系统中,采用与核心交换机相配套的H3C iNodeH3C iNode系统。系统。接入校园网的所有用户,都需要先到网络接入校园网的所有用户,都需要先到网络信息中心进行实名信息的注册。信息中心进行实名信息的注册。 系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现然后下载和安装客户端软件,并且进行简然后下载和安装客户端软件,并且进行简单的配置。不管是使用局域网还是使用单的配置。不管是使用局域网还是使用InternetInternet,都必须先进行登录认证。,都必须先进行登录认证。系统详细设计与实现系统详细设计与实现只有通过了登录认证后才能使用各种网络资源。只有通过了登录认证后
17、才能使用各种网络资源。系统详细设计与实现系统详细设计与实现通过上述策略,凡是在校园网中的用户,通过上述策略,凡是在校园网中的用户,都可以通过后台对其各种活动进行监控。其中都可以通过后台对其各种活动进行监控。其中包括上网时间、上网时长,流入字节数,流出包括上网时间、上网时长,流入字节数,流出字节数、字节数、IPIP地址、地址、NASNAS地址、地址、MACMAC地址等信息。地址等信息。当然,下线用户的相关信息也可以进行查询。当然,下线用户的相关信息也可以进行查询。在入侵检测过程中,如果发现问题,则可在入侵检测过程中,如果发现问题,则可以在这儿检查必要的信息,进行攻击源的追踪以在这儿检查必要的信息
18、,进行攻击源的追踪和做进一步的处理。和做进一步的处理。 系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现流量监控流量监控在攻击源追踪子系统中,流量监控非常重在攻击源追踪子系统中,流量监控非常重要。在本系统中,选用了一台高性能的服务器要。在本系统中,选用了一台高性能的服务器安装了安装了MRTGMRTG,然后在需要监控的交换机上进行,然后在需要监控的交换机上进行了相关的配置,这样就可以对整个网络的流量了相关的配置,这样就可以对整个网络的流量情况进行详细的监控。情况进行详细的监控。系统详细设计与实现系统详
19、细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现系统详细设计与实现结结 论论结结 论论本文首先系统地介绍入侵检测系统的相关本文首先系统地介绍入侵检测系统的相关知识,然后通过分析校园网的安全现状和校园知识,然后通过分析校园网
20、的安全现状和校园网的网络拓扑结构,设计了一种分布式入侵检网的网络拓扑结构,设计了一种分布式入侵检测系统。系统能够满足校园网等大规模局域网测系统。系统能够满足校园网等大规模局域网的入侵检测需要。的入侵检测需要。结结 论论 创新点说明创新点说明本系统综合应用了现有的入侵检测技术,并且在本系统综合应用了现有的入侵检测技术,并且在以下几个方面有所突破和创新:以下几个方面有所突破和创新: 全新分布式结构设计;全新分布式结构设计; 综合应用误用检测和异常检测;综合应用误用检测和异常检测; 引入了认证服务器和智能客户端,对攻击源追引入了认证服务器和智能客户端,对攻击源追踪和校园网管理起到了支撑作用;踪和校园
21、网管理起到了支撑作用; 检测代理、统计服务器、管理服务器、认证服检测代理、统计服务器、管理服务器、认证服务器相对独立的设计,不但提高了入侵检测的效率,务器相对独立的设计,不但提高了入侵检测的效率,而且加强了入侵检测系统本身的安全性。而且加强了入侵检测系统本身的安全性。 结结 论论工作展望工作展望 分布式入侵检测系统与防火墙、杀毒软分布式入侵检测系统与防火墙、杀毒软件之间的联动问题;件之间的联动问题; 监测代理之间的协同工作问题;监测代理之间的协同工作问题; 系统本身的性能和安全问题;系统本身的性能和安全问题; 系统的全部实现问题。系统的全部实现问题。致致 谢谢 本课题的研究及学位论文是在我的学
22、校指本课题的研究及学位论文是在我的学校指导老师和企业指导老师的亲切关怀和悉心指导导老师和企业指导老师的亲切关怀和悉心指导下完成的。他们严肃的科学态度,严谨的治学下完成的。他们严肃的科学态度,严谨的治学精神,以及精益求精的工作作风深深地感染和精神,以及精益求精的工作作风深深地感染和激励着我。从课题的选择到最终的完成,他们激励着我。从课题的选择到最终的完成,他们都始终给予我细心的指导和不懈的支持,在此都始终给予我细心的指导和不懈的支持,在此谨向张老师和崔老师致以诚挚的谢意和崇高的谨向张老师和崔老师致以诚挚的谢意和崇高的敬意。敬意。 兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程
23、学院感谢您的下载!T TTHANKS!致致 谢谢在此,我还要感谢兰州城市学院信息网络在此,我还要感谢兰州城市学院信息网络中心,他们不但给我提供了本课题研究的网络中心,他们不但给我提供了本课题研究的网络环境和设备,还对我的研究给予了大量的帮助环境和设备,还对我的研究给予了大量的帮助和支持。另外,还有部分我的同事、朋友和同和支持。另外,还有部分我的同事、朋友和同学也给了我许多的帮助。这是因为有大家的帮学也给了我许多的帮助。这是因为有大家的帮助,我才能克服一个一个的困难和疑惑,直至助,我才能克服一个一个的困难和疑惑,直至本论文的顺利完成。本论文的顺利完成。 致致 谢谢 感谢各位专家提出宝贵的意见和建议!感谢各位专家提出宝贵的意见和建议!兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院感谢您的下载!T TTHANKS!
