VC1004IDS系統的设计与实现2.docVIP

PAGE 8 IDS系统的设计与实现 摘 要 随着网络技术的发展，网络环境变得越来越复杂。对于网络安全来说，单纯的防火墙技术曝露出明显的不足和弱点，因此很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性，其中一个有效的解决途径就是入侵检测。 本系统是一个基于特征分析的网络入侵检测系统，采取模式匹配检测方法。将用户正常的习惯行为特征存储在特征数据库中，然后将用户当前行为特征与特征数据库中的特征进行比较，若两者偏差足够大，则说明发生了异常。系统实现了对数据包的拦截与捕获，并对其进行分析。通过对用户的非正常活动进行统计分析，发现入侵行为的规律，同时识别反映已知进攻的活动模式并向相关人士报警以达到入侵检测的要求。 本文讨论了IDS的分类，网络入侵检测系统（NIDS）的结构及各模块的功能,利用关联规则，对用户正常历史数据进行挖掘，并对产生的规则进行归并更新，生成异常检测数据模型，并利用此模型实现基于数据采集的异常检测. 实验表明NIDS可以检测伪装攻击、非法用户的攻击，通过实验给出了相应的检测信息、入侵检测结果。 关键词：入侵检测，数据采集，关联规则，模式匹配 目 录 TOC \o 1-3 \h \z HYPERLINK \l _Toc168739365 第1章 绪论 PAGEREF _Toc168739365 \h 1 HYPERLINK \l _Toc168739366 1.1 引言 PAGEREF _Toc168739366 \h 1 HYPERLINK \l _Toc168739367 1.2 课题背景 PAGEREF _Toc168739367 \h 1 HYPERLINK \l _Toc168739368 1.3 系统介绍 PAGEREF _Toc168739368 \h 1 HYPERLINK \l _Toc168739369 1.3.1 入侵检测系统分类 PAGEREF _Toc168739369 \h 1 HYPERLINK \l _Toc168739370 1.3.2 系统要达到的要求 PAGEREF _Toc168739370 \h 3 HYPERLINK \l _Toc168739371 1.4 入侵检测系统发展趋势 PAGEREF _Toc168739371 \h 3 HYPERLINK \l _Toc168739372 1.5 论文工作安排 PAGEREF _Toc168739372 \h 3 HYPERLINK \l _Toc168739373 第2章 IDS关键技术 PAGEREF _Toc168739373 \h 5 HYPERLINK \l _Toc168739374 2.1 入侵检测系统工作原理 PAGEREF _Toc168739374 \h 5 HYPERLINK \l _Toc168739375 2.1.1 入侵检测技术 PAGEREF _Toc168739375 \h 5 HYPERLINK \l _Toc168739376 2.1.2入侵检测的过程 PAGEREF _Toc168739376 \h 6 HYPERLINK \l _Toc168739377 2.2入侵检测系统模型的建立 PAGEREF _Toc168739377 \h 6 HYPERLINK \l _Toc168739378 2.3 基于网络的入侵检测系统关键技术 PAGEREF _Toc168739378 \h 7 HYPERLINK \l _Toc168739379 2.3.1 利用Winpcap的数据采集功能 PAGEREF _Toc168739379 \h 7 HYPERLINK \l _Toc168739380 2.3.2 入侵检测中的规则匹配 PAGEREF _Toc168739380 \h 8 HYPERLINK \l _Toc168739381 2.3.3 协议分析方法 PAGEREF _Toc168739381 \h 8 HYPERLINK \l _Toc168739382 2.4 IDS的评价标准 PAGEREF _Toc168739382 \h 8 HYPERLINK \l _Toc168739383 2.5 系统建立所需环境 PAGEREF _Toc168739383 \h 9 HYPERLINK \l _Toc168739384 2.5.1 软件环境 PAGEREF _Toc168739384 \h 9 HYPERLINK \l _Toc168739385 2.5.2 硬件环境 PAGEREF _Toc168739385 \h 9 HYPERLINK \l _Toc168739386 第3