基于SNMP的主动入侵检测系统的设计与实现-计算机应用技术专业论文.docxVIP

卜海大学硕士学位论文!生旦!塾g里!!型!!!!!坚!!墨!璺旦墨!里旦!!：!!!!堡 卜海大学硕士学位论文 !生旦!塾g里!!型!!!!!坚!!墨!璺旦墨!里旦!!：!!!!堡 摘 要 入侵检测系统已经成为当前网络安全领域中的一个新的研究热点，而如何改 善入侵检测系统中响应的被动性、滞后性又是基础的核心问题之一。笔者曾参与 过某公司关键服务器WWW日志的分析工作，深切体会到网络安全的重要性以及事 后分析攻击的不足。所以本文在对当前入侵检测技术进行研究分析的基础上，结 合了网络管理思想和包过滤防火墙技术，提出了“基于SNMP(Simple Network Management Protoc01)的主动入侵检测系统(SNMP_AIDS)的研究与实现”的研究 课题。 本文首先研究了现有的入侵检测系统的发展现状和理论基础，指出目前入侵 检测系统响应性能的不足，提出了一种分布式主动响应的入侵检测系统的结构并 给出了该系统的体系结构图。然后设计了系统中的三大部件：IDS群集、中央事 件管理器、防火墙代理模块，并对这三大部件的功能和特点进行了详细的分析。 该系统在数据采集端集中了基于主机的入侵检测技术和基于网络的入侵检测技 术，以XML的方式传递报警信息，并在中央事件管理器端进行数据融合，提高 了宏观检测能力；同时能够在不良攻击到来之时以SNMP协议联动包过滤防火墙 实时阻止，从而增强了本系统的主动性。 本文在对系统进行详细设计之后，又给出了系统中三大部件的原型实现。IDS 群集部分，给出其拓扑结构图，分析了IDMEF数据模型并改进了ALERT类：中 央事件管理器部分，给出了程序总体规划图以及一些关键部分的实现；防火墙代 理模块，本文对如何在防火墙端实现Agent进行了探索并取得一定的进展，也给 出了具体实现步骤。同时，本系统经过实验证明了其主动响应能力，并能向防火 墙发出SNMP报文；但包过滤防火墙端的真正联动，由于受条件的限制，只能在 理论上得到论证。最后，本文总结系统特点并对下一步工作做出了展望。 关键词：入侵检测系统，主动响应，简单网络管理协议，包过滤防火墙，I DIIIEF 第1页 上海人学硕L学位论文!堕旦!!!臣鲴!!堡!!塑!!!!!!!!曲型堕!!!!!!!空 上海人学硕L学位论文 !堕旦!!!臣鲴!!堡!!塑!!!!!!!!曲型堕!!!!!!!空 ABSTRACT Presently，The Intrusion Detection System has been one of new focrises in the field of Internet Security，and how tO improve the lag of detection is one of the most important problems．The author has participated in a project on analyzing A www LOG in a key server and known the importance of Intemet Security and the deficiency of post_analysis．So“Design and Implementation of an Active Intrusion Detection System(St,nW_AIDS)Based on SNMP”is introduced in the paper，which based on the analysis of existing IDS technologies、administration ofnetworks and the thinking of the Packet filtering firewall． Aimed at the short of poor reaction in the current IDS，the paper proposes a distributed framework and an architecture graph for SNMP_AIDS that earl response actively．SNMP—AIDS is divided into three parts：the IDS group、the center managers and the firewall agent．A detailed function and characteristic description of the three parts are also presented．The part of data collection combines the intr