INIDS分布式网络入侵检测系统的设计与实现硕士学位论文Word格式.docx

INIDS分布式网络入侵检测系统的设计与实现硕士学位论文Word格式.docx

《INIDS分布式网络入侵检测系统的设计与实现硕士学位论文Word格式.docx》由会员分享，可在线阅读，更多相关《INIDS分布式网络入侵检测系统的设计与实现硕士学位论文Word格式.docx（79页珍藏版）》请在冰豆网上搜索。

对本研究提供过帮助和做出过贡献的个人或集体，均已在文中作了明确的说明并表示了谢意。

作者签名：

　　　　　日　期：

指导教师签名：

　　　　　日　　期：

使用授权说明

本人完全了解大学关于收集、保存、使用毕业设计（论文）的规定，即：

按照学校要求提交毕业设计（论文）的印刷本和电子版本；

学校有权保存毕业设计（论文）的印刷本和电子版，并提供目录检索与阅览服务；

学校可以采用影印、缩印、数字化或其它复制手段保存论文；

在不以赢利为目的前提下，学校可以公布论文的部分或全部内容。

作者签名：

　　　　　日　期：

学位论文原创性声明

本人郑重声明：

所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。

除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写的成果作品。

对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。

本人完全意识到本声明的法律后果由本人承担。

日期：

年月日

学位论文版权使用授权书

本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。

本人授权　　　　大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。

涉密论文按学校规定处理。

日期：

导师签名：

日期：

摘要

传统的网络安全技术种类繁多，然而却已无法满足网络安全的新需求。

网络入侵检测技术应运而生，它已逐渐成为网络安全研究最活跃的领域，这预示着网络安全技术正在朝着智能化的方向发展。

网络入侵检测是继“防火墙”、“数据加密”等传统安全保护技术后新一代的网络安全技术。

网络入侵检测通过对计算机和网络资源上的恶意使用行为进行识别和响应，不仅检测来自外部的黑客入侵，同时也监督内部用户的未授权活动。

本文简要分析了入侵检测系统的技术与发展方向。

提出了一种基于企业内部网络的分布式入侵检测系统（INIDS），给出了系统总体结构、主要模块的设计与实现方法和关键数据结构。

该INIDS系统能以友好的图形化方式显示入侵事件,并且能实现分布式的检测与控制。

[关键词]入侵检测，分布式，数据包，规则，模式匹配，远程控制

Abstract

Althoughtherearealotoftraditionalnetworksecuritytechnologies,newsecuritydemandscannotbesatisfied.Thenetwork-basedintrusiondetectiontechnologyhasbecomeoneofthemostactiveissuesinnetworksecurityfriendly,indicateageneratetendencyofnetworksecuritytechnologyistheevolutionofintelligence.Theintrusiondetectionisanewnetworksecuritytechnology,followtraditionsecurityprotecttechnology,suchasfirewallanddataencrypt.IntrusionDetectionSystemwatchthecomputerandnetworktraffictofindintrusiveandsuspiciousactivities.Itnotonlydetecttheintrusionfromtheexternalhacker,butalsomonitortheunauthorizedactionoftheintranetusers.

Inthispaper,itanalyzethetechnologyanddevelopmentofintrusiondetectionsystemsimply.ItraiseaIntranet-basedNetworkDistributedIntrusionDetectionSystem（INIDS）,presentthestructureofthesystem,thedesignandimplementofthekeymodulesandthekeydatastructures.TheINIDScandisplayalltheinformationofnetworkintrusioninafriendlychartmode，andcanimplementdistributeddetectionandcontrol.

[Keyword]IntrusionDetection,Distributed,DataPackage,Rule,Patternmatching，Long-rangecontrol

第一章引言

1.1研究背景

随着网络的飞速发展，信息安全问题也日渐突出和复杂，新的威胁和脆弱点不断出现，对网络安全技术提出了更高的要求，从而网络信息的安全防护技术逐渐成为一个新兴的重要技术领域，在传统的加密和防火墙技术已不能完全满足安全需求的同时，入侵检测技术作为一种新的安全手段，正受到越来越大的重视，已经成为当前网络安全技术领域内的一个研究热点，它的快速发展和极具潜力的应用前景需要有更多的研究和工程技术人员投身其中。

随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品，可见，对入侵检测技术应该进行进一步的研究和应用实现。

1.2选题依据及应用价值

1.2.1选题依据

网络安全的主要威胁表现在受到网络入侵，网络入侵是指试图破坏信息系统的完整性、机密性和可信性的任何网络活动的集合。

其中，机密性要求只有授权才能访问信息；

完整性要求信息保持不被意外或者恶意地改变；

可用性指的是网络系统在不降低使用的情况下仍能根据授权用户的需要提供资源服务。

传统网络安全技术主要有：

加密机制、数据签名机制、访问控制机制、数据完整性机制、系统脆弱性检测、构筑防火墙系统、系统审计技术等，其中，加密机制和构筑防火墙系统是目前解决网络安全问题的主要方法。

随着网络技术的发展，新的网络攻击方式不断涌现，相对于传统的对信息系统的破坏手段，网络入侵具有以下特点：

入侵手段更加隐蔽和复杂，入侵结果破坏性更强。

传统网络安全技术采用的是静态安全模型，这个静态安全模型和标准无法完全反应分布式、动态变化、发展迅速的Internet问题，已经不能完全适应当前的技术需要，主要表现在：

●加密技术是静态的，弱加密相当脆弱且易于被攻破，强加密会导致网络的延迟。

[1]

●防火墙是由计算机硬件和软件来实现的，尽管设计人员对防火墙自身的安全性能下过很大功夫，安全弱点和薄弱环节仍旧可能出现，这些缺陷会被人发现而加以利用。

另外，防火墙主要是有效地阻止外部网络的非法进入，而对内部网络的攻击行为无法监测和控制，即无法分析每个数据包的内容[2]。

有资料表明，网络上的安全攻击事件有70%以上来自内部；

另一方面，防火墙的安全控制主要是基于IP地址的，很难和用户身份控制策略紧密结合起来。

●设计安全措施来防范XX访问系统的资源和数据，这是当前网络安全领域一个十分重要而迫切的问题。

就目前来说，要想完全避免安全事件的发生并不太现实。

网络安全工作还必须尽力发现和察觉入侵及入侵企图，以便采取有效的措施来堵塞漏洞和修复系统。

●现行系统安全策略的最重要的手段是“访问控制”。

但是，无论在理论上还是在实践中，试图保证任何一个系统中不存在安全漏洞是不可能的，填补所有安全漏洞是不可行的，也还没有一种切实可行的办法解决合法用户在通过“身份认证”后滥用特权的问题。

因此，从传统网络安全技术存在着不足，迫使我们研究新的网络安全技术，主要包括PKI技术和入侵检测技术等，以弥补传统技术的不足。

入侵检测是动态的跟踪和检测方法，与静态加密技术相比，它具有更强的自主性[3]，作为一种积极主动的安全防护技术，入侵检测提供了对内部攻击、外部攻击和误操作的实时检测，进而在网络系统受到危害之前进行拦截入侵或最大程度减小入侵危害。

从网络安全立体纵深、多层次防御的角度出发，入侵检测已逐渐成为网络安全领域最活跃的研究课题之一。

这从国外入侵检测产品市场的蓬勃发展就可以看出。

在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。

可见，入侵检测技术应该进行进一步的研究。

1.2.2INDIS分布式网络入侵检测系统的应用价值

本文提出的INDIS（Intranet-basedNetworkDistributedIntrusionDetectionSystem）分布式网络入侵检测系统，是将网络数据包捕获技术、模式匹配、数据库技术、分布式控制技术及统计技术等有机地融合在一起，通过分析直接从网络捕获的数据包，发现违背安全策略或危及系统安全的行为和活动，它能够检测到超过授权的非法访问，并进行实时显示和数据库存储，通过即时感知网络中的入侵攻击行为，为有效阻止入侵提供决策依据，有效地弥补了传统网络安全技术的不足。

INDIS系统采用分布检测，集中监控管理的架构，提高了检测效率，克服了检测器单点失效问题，方便了使用和管理，通过修改安全策略来感知新的攻击，这使安全风险得到有效的控制和减轻，本系统具有一定的实用价值。

在经济领域中它可以及时发现、阻拦入侵行为,保护企业来自不满员工、黑客和竞争对手威胁，保证企业信息平台的正常运转；

在军事领域，可用于网络战的防御系统；

在司法领域可用于计算机犯罪的取证等。

1.3研究的主要内容

●基于网络的入侵检测原理与技术

●分布式网络入侵检测系统的架构

●分布式网络入侵检测系统各组成部分的设计与实现

1.4相关技术领域国内外发展现状和趋势

●相关技术领域内外发展现状

网络入侵检测技术在国外研究和开发进行得较早及深入。

1980年4月，詹姆斯·

安德森（JamesP．Anderson）为美国空军做的题为《ComputerSecurityThreatMonitoringandSurveillance》（计算机安全威胁监控与监视）的技术报告中，第一次详细阐述了入侵检测的概念，并首先为入侵和入侵检测提出了一个统一的架构，这是该领域的开山之作。

1987年，D.Denning提出了第一个入侵检测模型：

入侵检测系统专家框架（IDES）,该模型可以检测出黑客入侵、越权操作以及其他种类的非正常使用计算机系统的行为。

1990年，加州大学戴维期分校开发出了NSM（NetworkSecurityMonitor），第一次直接将网络流作为入侵征兆信息源，至此，形成了基于主机的入侵检测系统HIDS（Host-basedIntrusionDetectionSystem）和基于网络的入侵检测系统