入侵检测课程设计1..docVIP

甘肃政法学院 入侵检测课程设计 题 目：snort入侵检测系统 学 号： 姓 名： 指导教师： 成 绩：_______________ 摘要：本文使用抓包库WinPcap，入侵探测器snort，Web服务器Apache，数据库MySQL，入侵数据分析控制台ACID构建了Windows平台下基于snort的网络入侵系统。Snort对监控网络中的数据包进行规则匹配，检测入侵行为，并将日志保存至MYSQL数据库，ACID分析数据库数据，生成网络入侵事件日志图表。 关键词：入侵检测系统；网络安全；snort 基于windows平台的snort入侵检测系统研究与实现 引言 随着计算机网络的迅猛发展, 网络安全问题日益严重。防火墙作为主要的安全防范手段, 在很多方面存在弱点, 而入侵检测系统能够提供了对内部、外部攻击和误操作的实时保护, 它能够自动的监控网络的数据流, 迅速发现攻击, 对可疑的事件给予检测和响应。因此, 入侵检测系统愈来愈多的受到人们的关注, 并已经开始在各种不同的环境中发挥重要的作用。 目前市面上充斥着大量的入侵检测系统产品。但是它们大多比较杂, 比较难以掌握, 而且比较昂贵。我们可以通过网络上的开源软件来自己构建一个入侵检测系统。 第一章 入侵检测系统简介 入侵检测是对系统运行状态进行监视，发现各种攻击企图和行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。入侵检测系统( Int rusion Detect ion Sy stem, 简称IDS)根据检测数据来源分为：基于主机的入侵检测系统从单个主机上提取数据（如审计数据等）作为入侵检测分析的数据源；基于网络的入侵检测系统从网络上提取数据（如网络链路层的数据帧）作为入侵分析的数据源。入侵检测系统按检测方法分为：异常入侵检测根据异常行为和计算机资源情况检测入侵，并试图用定量方式描述可接受的行为特征，以区分正常的、潜在的入侵行为；误用入侵检测指用已知系统和应用软件的弱点攻击模式来检测入侵行为。目前入侵检测技术存在：现有IDS 误报警率偏高，很难确定真正的入侵行为；事件响应与恢复机制不完善，不适当的自动响应机制存在很大的安全风险；IDS 缺乏国际统一标准，缺乏统一的入侵检测术语和概念框架；IDS 本身正在发展和变化，远未成熟，还存在对入侵检测系统自身的攻击；缺少对检测结果作进一步说明和分析的辅助工具，日益增长的网络流量导致检测分析难度加大。 第二章 Snort 入侵检测系统的构建 2 Snort原理 2.1 入侵检测系统简介 入侵检测系统通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 2.2 入侵检测系统的分类 入侵检测系统可分为主机型和网络型 主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。 网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式（promiscmode）,监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。 2.3 入侵检测的实现技术 可分为两类：一种基于标志（signature-based），另一种基于异常情况(anomaly-based)。 对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是 否在所收集到的数据中出现。此方法非常类似杀毒软件。 而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等，然后将系统运行时的 数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。 2.4 Snort简介 Snort是一个免费的、跨平台的软件包，用作监视小型TCP/IP网的嗅探器、日志记录、侵入探测器。 Snort有三种主要模式：信息包嗅探器、信息包记录器或成熟的侵入探测系统。 实验中涉及较多mysql数据库服务器以及Snort规则的配置。其中mysql数据库的配置要在Windows命令行方式下进行。默认的用户 名为root,无密码。连接命令如下： mysql–h 主机