入侵检测系统设计课题论文.docVIP

 摘 要 入侵检测技术是对传统的安全技术（如防火墙）的合理补充。它通过监视主机系统或网络，能够对恶意或危害计算机资源的行为进行识别和响应。通过与其它的安全产品的联动，还可以实现对入侵的有效阻止。入侵检测系统的研究和实现已经成为当前网络安全的重要课题。 本文从研究入侵技术入手，分析了入侵过程的各个阶段、各种入侵方法，总结了网络安全事故的根源。然后，介绍了入侵检测方法的分类，分析了各种入侵检测方法和字符串匹配的算法。研究表明基于规则的入侵检测系统是现在入侵检测系统设计的最主要的技术，基于这一理论，设计开发了一个基于规则匹配的网络数据包分析工具。系统开发环境为VC++ 6.0，数据库采用MYSQL数据库。通过该系统可以有效的实现对入侵的检测，并且具有用户友好性。 关键词: 入侵检测；响应模块；规则匹配 目 录 论文总页数：26页 1 引 言 1 1.1 背景 1 1.2 国内外研究现状 1 1.3 本文的主要工作 1 2 理论基础 1 2.1 入侵基本概念 2 2.1.1 安全与入侵的概念 2 2.1.2 入侵的步骤 2 2.1.3 黑客攻击的方法 3 2.1.4 安全威胁的根源 6 2.2 入侵检测技术 6 2.2.1 入侵检测的概念 6 2.2.2 入侵检测系统的基本结构构成 7 2.2.3 入侵检测的分类 7 2.2.4 入侵检测方法 9 2.3 BM算法 11 3 系统总体设计 13 3.1 系统概述 13 3.2 系统总体结构框架 13 3.3 开发环境 14 4 响应模块设计实现 14 4.1 规则库设计实现 14 4.2 事件分析设计与实现 17 4.2.1 规则解析 17 4.2.2 规则匹配流程 18 4.3 输出模块的设计 19 4.3.1 响应输出流程 19 4.3.2 日志数据库设计 20 4.4 模块集成实现 20 5 系统测试和分析 21 5.1 攻击检测测试 21 5.1.1 测试目的 21 5.1.2 测试过程 21 5.1.3 测试结果分析 21 5.2 误报和漏报测试 22 5.2.1 测试目的 22 5.2.2 测试过程 22 5.2.3 测试结果分析 23 结 论 23 参考文献 24 致 谢 25 声 明 26 引 言 背景 近年来，随着信息和网络技术的高速发展以及其它的一些利益的驱动，计算机和网络基础设施，特别是各种官方机构网站成为黑客攻击的目标，近年来由于对电子商务的热切需求，更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施，入侵检测系统(Intrusion Detection System，简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是外紧内松，无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全，但内部缺乏必要的安全措施。据统计，全球80%以上的入侵来自于内部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于企业内部人员所做的攻击，防火墙形同虚设。 入侵检测是对防火墙及其有益的补充，入侵检测系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。snort，虽然它已经跟不上发展的脚步，但它也是各种商业IDS的参照系；NFR公司的NID等，都已相当的完善。虽然国内起步晚，但是也有相当的商业产品：天阗IDS、绿盟冰之眼等不错的产品，不过国外有相当完善的技术基础，国内在这方面相对较弱。 本文的主要工作 本文从分析现有网络中存在的安全说起，指出了现有的网络所面临的安全威胁，主要介绍了基于特征（signature-based）的网络入侵检测技术，阐述了由入侵检测理论所构建的入侵检测平台，监测并分析网络、用户和系统的活动，识别已知的攻击行为，统计分析异常行为。在本文的后面针对基于windows平台并基于特征（规则）的入侵检测系统响应模块的设计与实现作了详细的说明，阐述了什么是入侵检测、如何检测、如何响应等一系列问题，同时也给出了一套完整的设计思想和实现过程。 理论基础 入侵基本概念 安全与入侵的概念 安全定义 广义的计算机安全的定义：主题的行为完全符合系统的期望。系统的期望表达成安全规则，也就是说主体的行为必须符合安全规划对它的要求。而网络安全从本质上讲就是网络上信息的安全，指网络系统的硬件、软件及其系统中数据的安全。网络信息的传