分布式入侵检测系统数据库与管理控制平台建立.doc

分布式入侵检测系统数据库与管理控制平台建立 　　摘 要：分布式入侵检测系统是一个基于snort的B/S结构的针对于教学网络的入侵检测系统，系统对来自于教学网络外部和内部的非法操作忽然恶意入侵提供预警信息，并做出相应的响应。本文对于分布式入侵检测系统的服务器端的功能实现进行详细介绍。 关键词：分布式；入侵检测系统；数据库；管理控制平台 中图分类号：TP393.08 教学网络分布式入侵检测系统中的分布式是指探针、服务器或数据库处于不同的主机上，它们用网络连接，在本系统中，探针主要分布在局域网内部的不同网段上，而控制总台和数据库位于同一服务器上。服务器的软件平台是Windows Server 2003，一个经典的服务器操作系统。 1 数据库建立 在本系统中的数据库采用的是SQL Server2000，SQL Server是一个关系数据库管理系统，虽然其版本在不断的升级，但是考虑到教学网络中的服务器系统版本不高，为了不影响其兼容性，选择了经典版本SQL Server 2000。 1.1 SQL Server 2000的安装。本系统选择安装SQL Server 2000个人版。安装完成后，运行SQL Server2000服务管理器，启动SQL Server服务器，在这里就能够为DIDS系统其它模块提供数据库连接了，并记录数据库日志和执行各种操作。默认安装完成后，下次系统启动时SQL Server服务管理器就会自动启动了。 1.2 利用SQL Server 2000建立数据库。启动企业管理器，然后控制台根目录-Microsoft SQL Servers-SQL Server组-Local（Windows NT）-数据库。点选”数据库”建立一个新的数据库，命名为dids，在该数据库中就可以为DIDS系统建立所需要的表了，例如： 整个系统的后台数据库主要包含下面几个表，其中各表的含义描述如下：alert这个表比较特殊，它是由数据库Snort中的其它几个表中提取出若干重要字段组成。data数据包负载信息。detail按照不同的要求存储相应的细节信息，便于查找。endcoding存储解析类型信息。event存储警报事件信息。icmpdhr存储ICMP 包头中的所有字段。ipdhr存储IP包头中的所有字段。opt存储协议选项信息。reference存储参照信息。reference_system存储系统参照信息。schema存储计划任务信息。sensor存储嗅探器提供的数据信息。sig_class存储签名分类信息。sig_reference存储签名参照信息。signature存储签名信息。tcphdr存储TCP包头中的所有字段。udpdhr存储UDP包头中的所有字段。 2 管理控制平台的建立 管理控制台系统采用B/S模式设计，构建一个动态网站，网站后台系统实现数据库的连接和管理，前端为网络管理员提供一个简洁易于操作的界面。与一般的Web网站一样，它也有用户注册，用户登录与退出的功能。登录后即进入控制台主界面。控制台主界面主要包含用户管理、探针管理、数据库管理及响应系统等功能模块。 2.1 控制台界面。为了本系统控制平台自身的安全，阻止非法用户，需要验证登陆控制台系统用户的合法性，只有在用户输入正确的用户名和密码后，该用户才能登录到控制台主界面。合法注册的用户名和密码信息都保存在后台数据库中。用户第一次使用控制台系统时，需要注册一个新用户。点击新用户注册按钮后，会自动转向新用户注册界面，对于注册的新用户名，系统会自动给予最低级别的权限，若要想获得较高权限，需要系统管理员对该用户进行权限设置。 网站对系统的主界面布局采用框架模式，左框架是树形目录的形式显示各功能模块的链接；右框架是主框架，用于显示每个功能模块的详细信息。 2.2 用户管理。分权管理机制是系统重要的安全管理办法，系统将用户设置为不同的权限等级，又将不同的操作划分为不同的权限，不同权限等级的用户看到不同的内容，实现不同的操作。 DIDS将用户分成三个不同的级别。系统管理员：最高级别的权限，可以进行一切操作，包括用户管理（添加新用户、删除用户、修改用户口令、用户权限配置等）、探针管理和安全审计的分析等；安全管理员：安全管理和审计分析，不具有用户管理的权限；安全审计员：权限最低，数据库管理和安全审计分析，不具有用户管理和探针管理的功能。 不同权限的用户看到不同的内容是通过在左框架页面left.aspx代码里加入权限判断来实现的。当用户登录时，系统会自动从用户数据库中查出该用户的权限级别，并用Session变量将该值传递到left.aspx页面中。例如，判断用户是不是系统管理员，若是，就显示用户管理模块；若不