毕业论文网络入侵检测系统snort研究Word文件下载.doc

1、网络安全；snort；入侵检测；模式匹配1 绪 论1.1 研究的目的与意义随着网络技术的飞速发展，其应用领域也在不断地扩展，网络技术的应用已经从传统的小型业务系统逐渐扩展到大型的关键业务系统中，比如说金融业务系统、电子商务系统等等，政府门户信息系统等。然而，随着网络技术的迅速发展，网络安全问题也日益突出。比如说金融系统、政府信息系统受到外界的攻击与破坏，信息容易被窃取和修改等网络安全问题越来越严重。所以说，网络安全问题已成为各国政府、企业以及广大网络用户关心的问题之一。任何试图破坏网络活动的正常化都可以称为网络安全问题，过去保护网络安全的最常用、最传统的方法就是防火墙，但是防火墙只是一种被动防

2、御性的网络安全工具，随着科学技术的不断发展，网络日趋复杂化，传统防火墙是不足以满足如今复杂多变的网络安全问题，在这种情况下，逐渐产生了入侵检测系统，入侵检测系统不仅能够为网络安全提供实时的入侵检测及采取响应的防护手段，它还可以识别针对计算机或网络资源的恶意企图和行为，并对此做出反应，它提供了对系统受到内部攻击、外部攻击和误操作的实时保护，能够帮助系统对付网络攻击。入侵检测系统能很好的弥补防火墙的不足，是防火墙的合理完善。入侵检测系统具有以下几个特点：1）从系统的不同环节收集各种信息；2）分析收集到的信息并试图寻找入侵信息活动的特征；3）自动对检测到的行为做出响应；4）记录并报告检测结果；入侵检

3、测系统的主要功能有：1）监测并分析用户和系统的活动；2）核查系统配置及其漏洞；3）评估系统重要资源和数据文件是否完整；4）识别己知的入侵行为；5）统计分析不正常行为；6）根据操作系统的管理日志，识别违反安全策略的用户活动；入侵检测技术是一种积极主动地安全防护技术，其核心在于它的检测引擎，如何实现高效快速的检测，是入侵检测技术的一个重要研究重点。目前入侵检测技术主要分为两大类，分别是基于异常的入侵检测和基于规则的入侵检测。由于目前的攻击主要是针对网络的攻击，因此检测入侵和攻击的最主要的方法是捕获和分析网络数据包，使用相应的软件来提取入侵者所发出的攻击包的特征，然后将这些特征攻击包和入侵检测系统的

4、特征库进行对比匹配，如果在特征库中检测到相应的攻击包，就会发出入侵报警。在与特征库进行匹配的过程中，用到的最主要的技术就是模式匹配，所以说在入侵检测系统中模式匹配是一个研究重点。在国内，随着网络应用的日益增长，特别是那些关键部门对网络的应用使得网络安全问题至关重要，迫切需要高效的入侵检测产品来确保网络安全，但是，由于我国的入侵检测技术在网络安全领域的研究起步较晚，还不够成熟和完善，需要投入较多的精力来对这方面进行探索研究，特别是基于模式匹配也就是基于规则的入侵检测是一个重要的研究领域，这对抑制黑客攻击和网络病毒的传播，提高网络安全具有重要意义1.2 入侵检测技术的不足与发展趋势入侵检测技术作为

5、安全技术的一个重要领域，正在成为网络安全研究的热点，对入侵检测的理论研究和实际应用中还存在着许多问题，需要我们继续深入研究和探索，具体来说，入侵检测在以下方面有待继续发展：1）如何提高入侵检测的安全性和准确性目前商用领域的入侵检测系统主要是基于模式匹配的入侵检测引擎。这种基于模式匹配的入侵检测引擎是将入侵数据与攻击模式特征库进行匹配，其缺点是：当网络中出现新的攻击时，由于攻击特征库未能及时更新，或是暂时很难对这些攻击的攻击特进行总结等，从而对这些新的攻击无法产生报警，造成漏报。另外，大多入侵检测无法识别伪装或变形的网络攻击，也造成大量漏报和误报。因此减少网络负担，实现模式特征库的不断升级与扩展

6、，这是对基于模式匹配的入侵检测系统来讲，提高入侵检测的安全性和准确性有很大帮助，从而使基于模式匹配的入侵检测系统具有更广泛的应用前景。2）如何提高入侵检测的检测速度入侵检测系统的检测速度是其一项非常重要的指标，随着网络数据快速增长，不仅要求网络传输工具技术的不断发展，而且如果入侵检测的处理速度不能相应提高，那么它将会成为影响网络正常运行的一大瓶颈，从而导致丢包，漏报等，进一步影响入侵检测系统的准确性和有效性。在入侵检测中，随着百兆、甚至千兆网络的大量应用，入侵检测技术发展的速度已经远远落后于网络发展的速度。如何提高入侵检测系统的检测速度是目前研究者们迫不及待的任务，如改进其使用的核心算法，设计

7、灵巧的检测系统等。3）如何提高入侵检测的理论研究现在，入侵检测技术研究理论在我国还不成熟，如何选择合适的检测技术以确保入侵检测的高效性还不确定，随着计算机科学不断向前发展，计算机科学中的各种领域技术也有待进一步完善，如网络技术、系统工程、分布式计算、人工智能等已形成比较良好的理论基础，借鉴上述技术，再把入侵检测和网络结构、加密技术、防火墙、病毒防护技术等结合起来，结合入侵检测理论本身的特点，必将会提高、完善入侵检测的理论研究。4）如何规范入侵检测产品的性能标准化的工作对于一项技术的发展非常关键，在某一个技术领域，如果没有相应的标准，那么该领域的发展将是混乱无章的。目前对于入侵检测产品尚无一个明

8、确的国际标准出台，国内也没有，这使得各产品之间无法共享数据信息。尽管入侵检测系统经历了二十多年的发展，但产品规范仍处于一个无序状态，实际上，入侵检测还处在一个新兴的科学领域，如何规范入侵检测产品性能，研究者们对其还是充满信心，相信随着科技的继续发展、入侵检测理论的不断成熟，入侵检测产品的标准会出现的，从而加快入侵检测技术的不断向前发展。2 入侵检测系统概述2.1入侵检测系统的概述入侵检测系统（Intrusion Detection System简称为IDS）工作在计算机网络系统中的关键节点上，通过实时地收集和分析计算机网络或系统中的信息，来检查是否出现违反安全策略的行为和是否存在入侵的迹象，进

9、而达到提示入侵、预防攻击的目的。入侵检测系统作为一种主动防护的网络安全技术，有效扩展了系统维护人员的安全管理能力，例如安全审计、监视、攻击识别和响应的能力。通过利用入侵检测系统，可以有效地防止或减轻来自网络的威胁，它已经成为防火墙之后的又一道安全屏障，并在各种不同的环境中发挥关键作用。从实验室原型研究到推出商业化产品、走向市场并获得广泛认同，入侵检测走过了20多年的历程。 l 概念提出1980年4月，JnamesP.Aderson为美国空军做了一份题为“Computer Security ThreatMonitoring and Sureillance”（计算机安全威胁监控与监视）的技术报告，

10、第一次详细的阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为了外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。l 模型的发展1984年-1986年，乔治敦大学的Dorothy Denning和SRI/CSL（SRI公司计算机科学实验室）的Peter Neumann研究出了一种实时入侵检测系统模型，取名为IDES（入侵检测专家系统）。 该模型独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵系统提供了一个通用的框架。1988年，SRI/CSL的Teresa Lunt等改进了Denni

11、ng的入侵检测模型，并研发出了实际的IDES。1990年时入侵检测系统发展史上十分重要的一年。这一年，加州大学戴维斯分校的L.T.Heberlein等开发出了NSM（Network Security Monitor）。该系统第一次直接将网络作为审计数据的来源，因而可以在不将审计数计转化成统一的格式情况下监控异种主机。同时两大阵营正式形成：基于网络的IDS和基于主机的IDS。1988年的莫里斯蠕虫事件发生后，网络安全才真正引起各方重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗摩尔国家实验室、加州大学戴维斯分校、Haystack实验室，开展对分布式入侵检测系统（DIDS）的

12、研究，将基于主机和基于网络的检测方法集成到一起。l 技术的进步从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。目前，SRI/CSL、普渡大学、加州戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面代表了当前的最高水平。我国也有多家企业通过最初的技术引进，逐渐发展成自主研发。2.2 入侵检测系统分类基于主机IDS部署在单主机上，利用操作系统产生的日志记录作为主要信息源，通过对其进行审计，检测入侵行为。基于主机IDS不对网络数据包或扫描配置进行检查，而是对系统日志提供的大量数据进行整理。早期的系统多为基于

13、主机的，主要用来检测内部网络的入侵攻击。后来用分布主机代理来实现。其主要优点:信息源（0S日志记录）完备。系统产生的日志是归类有序的。它准确记录了每个用户的行为序列，这样便可以精确监控每个用户的行为。同时也使得IDS对信息源的处理简单、一致。对某些特定的攻击十分有效。比如，审计日志能够显示出由缓冲区溢出攻击引起的优先级转移的情况，从而能够有效的检测缓冲区溢出攻击。其主要缺点:1）由于它通常作为用户进程运行，依赖于具体的操作系统底层的支持，与系统的体系结构有关，所以它无法了解发生在下层协议的入侵活动;2）熟练的入侵者往往可以进入系统修改、删除有关的日志记录，从而隐藏入侵迹象;3）HIDS位于所监

14、视的每一个主机中，故占用的资源不能太多，从而大大制了所采用的检测方法及处理性能。基于网络的IDS最早出现于1990年。它主要用于防御外部入侵攻击。它通过监控出入网络的通信数据流，依据一定规则对数据流的内容进行分析，从而发现协议攻击、运行已知黑客程序的企图和可能破坏安全策略的特征，做出入侵攻击判断。为了能够捕获入侵攻击行为，基于网络IDS必须位于能够看到所以数据包的位置，这包括:环网内部、安全网络中紧随防火墙之后以及其它子网的路由器或网关之后。最佳位置便是位于Internet到内部网络的接入点。但是，同一子网的2个节点之间交换数据报文并且交换数据报文不经过IDS，那么IDS可能就会忽略这些攻击。基于网络IDS的主要优点:1）由于NIDS直接收集网络数据包，而网络协议是标准的。因此，NIDS如目标系统的体系结构无关，可用于监视结构不同的各类系统;2）NIDS使用原始网络数据包进行检测，因此它所收集的审计数据被篡改的可能性很小，而且它不影响被保