基于java的局域网网络入侵检测系统的设计与实现 大学毕业论文.docx

基于java的局域网网络入侵检测系统的设计与实现 大学毕业论文.docx

《基于java的局域网网络入侵检测系统的设计与实现 大学毕业论文.docx》由会员分享，可在线阅读，更多相关《基于java的局域网网络入侵检测系统的设计与实现 大学毕业论文.docx（25页珍藏版）》请在冰豆网上搜索。

基于java的局域网网络入侵检测系统的设计与实现大学毕业论文

基于代理的入侵检测系统的实现

摘要

入侵检测系统在如今的网络安全领域已经成为一个关键性的组件，但传统的入侵检测系统存在的一定的不足，如误报率和漏报率比较高，检测速度慢，占用资源多等。

为了适应网络安全的发展需求，针对现有的入侵检测系统，结合移动代理技术，提出了基于移动代理的分布式入侵检测模型。

本文首先分析了当今网络安全的现状和存在的问题，指出了传统的入侵检测系统的局限性，并阐述了入侵检测技术的发展历史和研究现状。

然后讲叙了分布式入侵检测模型的构成，在该模型各个分布节点上使用Snort抓取网络数据包，并记录可疑攻击数据，通过移动代理技术对可疑数据融合后进行综合分析，完成对分布式入侵的检测功能。

该模型在windows环境下实现，采用日本IBM公司的代理移动代理环境，结合Snort入侵检测系统，利用JAVA语言编程，实现从可疑数据中，分析出攻击行为，并自动添加相应规则，增强对网络的保护能力。

关键字：

分布式；移动代理；入侵检测；Snort；代理

TheRealizationofIntrusionDetectionSystemBasedonAgentAbstract

Today,intrusiondetectionsystemhasbecomeakeypartoftheareaofthenetworksecurity,buttherestillhassomedisadvantagesintraditionalintrusiondetectionsystems,suchasthehighfalsepositiverateandthehighfalsenegativerate，theslowlyspeedofdetection,takingupalotofresourcesandsoon.Inordertomeetthedemandsofthenetworksecuredevelopment,thethesisprovidesthemodeofdistributedintrusiondetectionsystembasedonmobileAgenttechnologyaccordingtonowadaysintrusiondetectionsystem.

Firstofall,thestatusandexistedproblemsaboutthesecurityofnetworkisanalyzedinthisthesis,whichpointsoutthelimitationsofthetraditionalintrusiondetectionsystems,andgivesdetaildescriptionsofthedevelopmenthistoryandtheresearchstatusoftheintrusiondetectiontechnology.Second,thethesisdescribesthemodeofthedistributedintrusiondetectionsystembasedonmobileAgenttechnology.InthismodeSnortisusedonthedistributednodestograspthenetworkdatapackets,andrecordthesuspiciousdata.ThesystemrealizesthegeneralanalysisonfusedsuspiciousdatacollectedbythemobileAgenttechnology.Thissystemisrealizedinthewindowsoperationsystem,whichadoptstheAgentmobileAgentbelongedtotheJapaneseIBMcompanyandcombinedwithsnortintrusiondetectionsystem.Thesystemdevelopedinjavalanguageanalyzestheintrusionbehavior,increasestherulesautomatically,andstrengthenstheabilityofprotectiontothenetwork.

Keywords:

distributed;mobileAgent;intrusiondetection;Snort;Agent

1引言

2绪论

随着计算机网络的飞速发展和应用，人们对网络和计算机的依赖也越来越大。

目前,Internet已经成为世界上规模最大、用户最多、影响最广泛的网络。

它遍及全球180个国家，包括60多万个网络，为用户提供各种信息服务，以及传播科研、教育、商业和社会信息最主要的渠道。

它丰富了人们的文化生话，满足了人们日益增长的信息需求。

但是网络病毒的泛滥、保密信息的泄露、计算机黑客入侵，使得网络信息安全问题日益突出。

不仅给企业和个人造成巨大的经济损失，严重的甚至威胁着国家政治、经济和军事的安全。

根据美国FBI统计，美国每年因网络安全所造成的经济损失高达75亿美元，而全球平均每20秒钟就有一起Internet计算机侵入事件。

因此，确保计算机和数据通信网络的安全成为世人关注的社会问题，成为计算机科学技术的热点领域。

目前，要解决系统得安全问题，最直接的一个想法就是重新设计并构建新的计算机系统，但这在现实的实践中，是不可行的。

Miller给出一份关于现今流行的操作系统和应用程序研究报告，指出不可能出现没有缺陷软件，即使再好的软件技术也无法消除漏洞的出现。

其次，要花很长的时间将如今带有安全缺陷的系统转换成安全系统。

第三，如今加密技术方法还不完善。

第四，安全访问控制等级和用户的使用效率成反比。

第五，访问控制和保护模型本身存在一定的问题。

第六，在软件工程中存在软件测试不充足、软件生命周期缩短、大型软件复杂性等难以解决的问题。

面对以上的问题，可行的解决办法是：

建立容易实现的系统，并根据相应得策略建立其辅助系统，以增强网络的安全性。

3研究现状

近年来，从事计算机网络安全的人员，通过对信息系统服务、传输媒介和协议的深入研究，使维护网络安全的产品不断更新换代，从单机的防病毒软件，到网络的防火墙，再到现在的入侵检测系统等等。

入侵检测技术是主动保护自己网络免受入侵攻击的一种网络安全技术，而入侵检测系统（IntrusionDetectionSystem,IDS）就是能够实施该功能的工具。

IDS能根据入侵行为的踪迹和规律发现入侵行为，从而有效地弥补传统安全防护技术的缺陷，成为防火墙之后的又一道安全防线。

1980年4月，入侵检测概念由JamesP.Anderson的提出，这是第一次正式阐述了“入侵检测”这个概念。

即提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想。

这被公认为是IDS最初的理论基础。

从1984年到1986年，斯坦福研究所的DorothyE.Denning和PeterNeumann研制出了一个实时入侵检测系统模型，取名为IDES（IntrusionDetectionExpertSystem，入侵检测专家系统）。

它具有以下的特点，独立的特定系统平台、应用环境、系统弱点以及入侵类型，为构建IDS提供了一个通用的框架，后来在1988年，TeresaLunt等人改进了该入侵检测模型，并开发出了该检测系统。

该系统包括异常检测器和专家系统，分别用于统计异常模型的建立和基于规则的特征分析检测。

1988年11月莫里斯蠕虫事件发生之后，军方、学术界和企业对网络安全高度重视，这促使了人们投入更多的资金和精力去研发IDS。

现在，入侵检测技术的研究正朝智能化和分布式两个方向前进。

对入侵检测的研究，从早期的审计跟踪数据分析，到实时入侵检测系统，到目前应用于大规模网络的分布式入侵检测系统，基本上已发展成具有一定规模和相应理论的研究领域。

4本文主要内容

入侵检测至今已发展了20余年，在这过程中出现了数百种基于不同的技术和环境的入侵检测系统，但大多数都具有误报和漏报率高，灵活性有限，可移植性差等缺陷，本文针对这些缺陷，在移动代理（Mobile代理）技术和多系统互操作性的通用入侵检测模型基础上，提出了具有伸缩性的、重用性的、适应性好的基于移动代理的分布式入侵检测模型，并加以了实现。

在一定程度上降低了误报和漏报率，并解决了移植性和灵活性差等问题，使网络检测和效率有所提高。

本文除了该章外，还有以下主要内容。

第二章概述入侵检测和移动代理技术，主要包括入侵检测的概念和分类，以及移动代理的定义和功能。

第三章在现有的移动代理和入侵检测工具基础上，分析对比各自的优缺点后，提出面向移动代理的分布式入侵检测系统模型。

第四章是系统的具体设计与实现，分析了该模型的一些问题，如移动代理和入侵检测的选材和实现等，并加以实现。

第五章对本文作了全面的总结。

5入侵检测和移动代理技术

6入侵检测技术

7入侵检测概述

入侵是指任何试图危及计算机资源的完整性、机密性或可用性的行为，而入侵检测是对入侵行为的发觉，它通过从计算机网络或系统中的若干关键点收集信息，并对这些信息进行分析，从而判断是否有违反安全策略的行为和遭到攻击的迹象。

进行入侵检测的软件与硬件的组合便是入侵检测系统（IDS）。

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，它扩展了系统管理员的安全管理能力，包括安全审计、监视、进攻识别和响应，从而提高了信息安全基础结构的完整性。

入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

网络入侵检测系统（IDS）是一项很新的网络安全技术，目前已经受到各界的广泛关注，它的出现是对原有安全系统的一个重要补充。

8入侵检测的分类

1.根据目标系统的类型的不同可以将入侵检测系统分为如下两类：

●基于主机的入侵检测系统。

通常，基于主机的入侵检测系统可监测系统、事件和操作系统下的安全记录以及系统记录。

当有文件发生变化时，入侵检测系统将新的记录条目与攻击标记相比较，看它们是否匹配。

如果匹配，系统就会向管理员报警，以便采取措施。

●基于网络的入侵检测系统。

基于网络的入侵检测系统使用原始网络包作为数据源。

该系统通常利用一个运行在混合模式下的网络适配器来实时监视并分析通过网络的所有通信业务。

2.根据入侵检测系统分析的数据来源分类。

入侵检测系统分析的数据可以是主机系统日志、网络数据包、应用程序的日志、防火墙报警日志以及其他的入侵检测系统的报警信息等。

据此可将入侵检测系统分为基于不同分析数据源的入侵检测系统。

3.根据入侵检测分析方法的不同可将入侵检测系统分为如下两类：

●异常入侵检测监测系统。

异常入侵检测系统利用被监控系统的正常行为的信息作为检测系统中入侵、异常活动的依据。

●误用入侵检测系统。

误用入侵检测系统根据已知入侵攻击的信息（知识、模式）来检测系统中的入侵和攻击。

4.根据检测系统对入侵攻击的相应方式的不同可将入侵检测系统分为如下两类：

●主动的入侵检测系统。

主动的入侵检测系统在检测出入侵后，可自动地对目标系统中的漏洞采取修补、强制可疑用户