白壮开题报告.docVIP

辽宁工业大学 毕业设计（论文） 开题报告 题目 网络安全技术研究 软件学院 院（系） 汽车与电子技术 专业 063 班 学生姓名 学 号 指导教师 尹 伦 海 开题日期：2009 年 3 月 10 日 开 题 报 告 一、题目来源，理论及实际应用意义 网络安全来源于安全策略与技术的多样化，如果采用一种统一的技术和策略也就不安全了，网络的安全机制与技术要不断地变化，随着网络在社会个方面的延伸，进入网络的手段也越来越多，因此，网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。网络安全为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和显露。计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。 二、题目主要内容及预期达到的目标 1．功能模块 入侵检测系统依照信息来源收集方式的不同，可以分为基于主机（Host-Based IDS）的和基于网络（Network-Based IDS）的信息；另外按其分析方法可分为异常检测（Anomaly Detection,AD）和误用检测（Misuse Detection,MD）。如图1所示： 图1 （注）开题报告要点：1、毕业设计（论文）题目的来源，理论或实际应用意义。2、题目主要内容及预期达到的目标。3、拟采用哪些方法及手段。4、完成题目所需要的实验或实习条件。5、完成题目的工作计划等。 （开题报告不够用时可另附同格式A4纸） 开 题 报 告 基于主机的入侵检测系统是早期的入侵检测系统结构 , 其检测的目标主要是主机系统和系统本地用户 , 检测原理是根据主机的审计数据和系统日志发现可疑事件。检测系统可以运行在被检测的主机或单独的主机上, 如图2所示： 图2 网络入侵检测是通过分析主机之间网线上传输的信息来工作的。它通常利用一个工作在混杂模式（Promiscuous Mode）下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。其结构如图 3 所示。 图3 2．主要内容 1)操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击； (2)方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常； (3)多元模型，操作模型的扩展，通过同时分析多个参数实现检测； (4)马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件； (5) 时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。 3．实现目标 基于主机检测的目标主要是主机系统和系统本地用户 , 检测原理是根据主机的审计数据和系统日志发现可疑事件。探测器一旦检测到了攻击行为，NIDS的响应模块就做出适当的响应，比如报警、切断相关用户的网络连接等。检测系统可以运行在被检测的主机或单独的主机上内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。 三．所用工具，方法及手段 watcher检测所有通过的信息包，并且将它认为是恶意的攻击行为记录在syslog中，当前的watcher能够检测下列的攻击行为：- 所有的TCP扫描 - 所有的UDP扫描 Synflood攻击 - Teardrop攻击 - Land攻击 - Smurf攻击 - Ping of death攻击。方法： 1、检查系统密码文件。2、查看一下进程，看看有没有奇怪的进程?3、检查系统守护进程 4、检查网络连接和监听端口。5、检查系统日志。6、检查系统中的core文件。7、检查系统文件完整性。8、检查内核级后门。 四．实验环境和实习条件 1．软件环境：Windows XP/2000/98，Microsoft