基于snort的入侵检测系统，很全的开题报告.doc-资料库

caoguyunyue-2699205-4744302542969558421.doc.pdf-第1页.png

第1页 / 共10页

caoguyunyue-2699205-4744302542969558421.doc.pdf-第2页.png

第2页 / 共10页

caoguyunyue-2699205-4744302542969558421.doc.pdf-第3页.png

第3页 / 共10页

caoguyunyue-2699205-4744302542969558421.doc.pdf-第4页.png

第4页 / 共10页

caoguyunyue-2699205-4744302542969558421.doc.pdf-第5页.png

第5页 / 共10页

caoguyunyue-2699205-4744302542969558421.doc.pdf-第6页.png

第6页 / 共10页

caoguyunyue-2699205-4744302542969558421.doc.pdf-第7页.png

第7页 / 共10页

caoguyunyue-2699205-4744302542969558421.doc.pdf-第8页.png

第8页 / 共10页

杭州电子科技大学信息工程学院毕业设计（论文）开题报告网络安全实验室入侵检测系统设计和构建题目系计算机专业网络工程姓名胡芸芸班级学号指导教师 07052411 07054102 郑秋华

一、综述本课题国内外研究动态，说明选题的依据和意义与很多的计算机技术相比，IDS的历史不算很久，现在我们所见到的 IDS产品形态和最早的入侵检测思想相比还是差别很大的。1980年4月，James P .Anderson 发表了Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视)这篇文章。开创了一个新领域。文章中第一次详细地阐述了入侵检测的概念，他把计算机系统受到的威胁分为外部攻击、内部攻击和滥用行为三种，提出了利用审计系统日志的方法监视入侵活动的思想。让人们开始思考怎样来主动地监测数据，检测系统也就应运而生。自二十世纪八十年代以来，国外就开始对入侵检测进行研究，最早资助进行着方面研究的是美国国防部高级研究计划署。早期的研究只是一种实验阶段，产品的针对性强，即为了保护专门的网络而进行研究设计的。而且系统大多以基本主机的入侵检测主机的入侵检测系统为主。进入九十年代，随着基于网络的入侵检测系统的问世，给入侵检测研究领域注入了新的活力。很多网络公司开始开发商业化的产品。对于入侵检测的研究已经进入很高涨的阶段，在其它领域的一些算法被人们引入到了该领域。像人工智能、数据挖掘、免疫学、甚至宝库信号处理领域的方法也被引进过来。仅几年来，从国外的研究态势来看，各种可能的检测算法差不多都为人们所想到，但效果仍然不理想，对于入侵检测的研究似乎处于一种无法打开新局面的境地。但是，国外对入侵检测的研究热度仍然居高临下。因为网络的日益普及，人们对网络的依赖日渐增强，使得网络安全成了世人一直关注的焦点。目前，国外对入侵检测研究已经很具体细致，包括从对进攻手段研究到入侵数据预处理的研究、从算法的理论分析到具体的工程应用、从产品开发到产品的评估，以及对入侵检测的一些标准化问题的研究，几乎面面俱到。而且从参与的机构来看，包括政府的研究机构、科研单位、大学、网络公司等等，涉及到各个层次的不同需求。国外研究机构对IDS的研究起步较早，至今已经形成了成熟的技术和产品，如 Cisco公司的NetRanger, ISS的RealSecure, Anzen的NFR,SRl公司的IDES，以及多个开放源代码系统(如Snort, Bro等)。 ISS ( 国际互联网安全系统公司)的RealSecure( www.iss.net)提供了基于网络和基于主机的入侵检测代理，具有较为先进的智能攻击识别技术，能够监控网络传输并自动检测和响应可疑的行为，在系统受到危害之前拦截和响应攻击。 Enterasys 公司(www.enterasys.com)的Dragon由网络传感器、主机传感器、策略管理器和安全信息管理器四部分组成，其中网络传感器使用了一个专利分析算法，具有较高的检测性能；主机传感器通过一个模块化架构为大多数操作系统提供基于主机的入侵检测；策略管理器对各种规模的应用进行集中的企业级管理;安

全信息管理器通过一个集成的监测、分析和报告系统，集中收集所有安全信息，并在高速数据库中对网络中的各种事件进行规格化，与其他安全防护设备提供的数据一起进行关联分析。 SRI公司 (www.sri.com)的IDES( Intrusion Detection Expert System)是最早采用专家系统的入侵检测系统。系统处理通过网络从一个或多个目标系统传送过来的审计数据，使用统计分析算法检测用户行为，并与该用户的历史活动相比较；同时系统还使用一个专家系统对已知的入侵攻击模式进行检测，从而将基于滥用检测和异常检测两种方法结合起来，达到较好的检测效果。 Snort ( www.snort.org)是一个基于模式匹配的网络入侵检测系统，1998年作者 Martin Roesch将此系统与开发文档“Lightweight Intrusion Detection System”一起公开发表，使Snort成为众多网络安全研究者、管理者的免费资源；2000年，Mike Davis开发了Snort基于Windows32平台的版本，为更多Windows用户提供了开放的网络安全研究及应用工具。通过应用不同的规则集，Snort能够提供网络入侵检测、协议分析、故障检测、控制非授权应用等多种功能。作为一种开放源代码的免费软件，Snort有着其他商用软件所无法比拟的特点。有相当多的人对 Snort热心地提供支持维护，因此它的更新非常迅速往往一有新的攻击出来在几个小时以内就会有相应的检测规则出现，这使用户在第一时间就能获得发现攻击的能力，使其很快能补上之漏洞。无论从使用价值还是学习价值Snort都具有其独特而又出色的一面。国内的研究机构对IDS的研究起步较晚，目前相对成熟的产品有中软公司的分布式入侵检测预警系统，中科网威的“天眼”主机入侵系统、“火眼”网络入侵系统，启明星辰的“天阗”黑客入侵检测系统，中联绿盟的“冰之眼”网络入侵检测系统，清华紫光的网络安全入侵检测系统 UnisIDS ，北方计算中心的 “NISDetector”以及冠群金辰的“eTrust"等。但是，近几年来，国内网络的发展是日新月异，而对网络安全的研究也日益被重视，当然对入侵检测的研究也受到各方面的关注，但是由于一些客观原因，同国外的差距还是很大。虽然一些网络安全公司也相继推出自己的入侵检测产品，但是很多都是在借鉴国外的技术手段。另外，国家对这方面研究的投入也在加大，而且启动了信息安全的863紧急应急计划。各科研究单位和大专院校都有从事这方面的研究和开发的队伍。当然，国内的水平同外国的差距会越来越小，并最终赶超国际先进水平。选择原因这次毕业设计我所开发的是基于snort设计和构建网络安全实验室的入侵系统，并通过入侵测试等方式来构建入侵记录数据库。随着网络的飞速发展，网络信息安全问题就越来越凸现出来，现在，全球范

围内，对计算机及网络基础设施的攻击已经日益严重，我们应该高度关注，特别是对军事、政府、银行机构的网站，更是成为黑客攻击的热门目标。最近几年网上的电子商务、网上银行、网上手机缴费、网上充值等各种网上的金融业务应用已经开始普及，这些也引起了黑客们的偌大兴趣。1995年-1996年度正对美国政府计算机系统的入侵事件达25000次，其中仅1%~4%的入侵被检测出来；同时显示，入侵在过去5年中以250%的速度增长；99%的大公司均发生过大入侵事件。那么面临这种情况，对入侵行为的察觉和防护就会成为各种机构，无论是商业或是政府机构的一个日益迫切的要求。现有的安全机制主要有：加密机制、数据签名机制、访问控制机制、数据完整性机制、认证机制、系统脆弱性机制和防火墙系统。即使使用上述网络安全技术，但仍存在网络安全问题。例如，防火墙技术的一个常见缺陷就是如果其安全配置特别强大，就会影响到网络系统的处理性能。更严重的情况是防火墙把所有的安全问题都集中在一起。一旦防火墙被突破，那么内部网络就很容易被破坏。再者防火墙是在内部网络与Internet之间或者与其他外部网络之间进行相对的隔离、限制网络互访来保护内部网络的，而它认为内网是安全的，但是大部分攻击是来自内网的，因此，防火墙对于内网传输数据的监控是无能为力的。再比如访问控制机制，它仅仅限制是否允许访问系统中的客体。在主体能访问系统客体的情形下，并没有限制主体对客体作什么或做成什么样子。例如，普通用户通过缓冲区溢出而获取超级用户权限。因此，访问控制不能防止已授权访问用户获取系统中未授权信息。简而言之，完全地依赖上述传统网络安全技术去解决网络安全问题是不够的，所以我们要引入入侵检测系统(Intrusion Detection System, IDS)。入侵检测是指在特定的网络环境中发现和识别未经授权的和恶意的攻击和入侵，并对此作出反映的过程。而入侵检测系统是一套运用入侵检测技术对计算机或网络资源进行实时检测的系统工具。入侵检测系统一方面检测未经授权的对象对系统的入侵，另一方面还监视授权的对象对系统资源的非法操作。作为网络安全深层次防御体系结构中的重要环节，入侵检测系统是防火墙之后的第二道安全闸门，也是路由器和防火墙的重要补充。 IDS除了发现攻击和异常的网络行为外，通过IDS日志的分析还能发现安全漏洞和网络中的安全弱点，加强安全策略。IDS的日志可以作为计算机犯罪取证的重要来源，作为攻击事件管理工具，IDS可以追踪攻击。总之，入侵检测系统可以更好地保护我们的计算机，是抵制网络攻击的有力工具。由此可知，在日益发展的网络信息时代，入侵检测也在网络安全上有了举足轻重的地位。但是鉴于我们实验室没有一种入侵检测系统供我们学生学习，所以我选择研究实验室入侵检测系统。实施一个可行的方案，为同学以后的学习做个必要的

参考。二、研究的基本内容，拟解决的主要问题：这次毕业设计我所开发的是基于snort设计和构建网络安全实验室的入侵系统，并通过入侵测试等方式来构建入侵记录数据库。主要解决一下几点：一．搭建入侵检测环境：基本入侵检测框架图 1：基本入侵检测框架基于实验室大小范围的限制，以及以后学生学习可行性和实用性的考虑，所搭建的入侵检测环境趋于小规模型。

选用 snort 入侵检测系统搭建环境，包括 snort 的安装、入侵检测方法分析（误用和异常）、snort 规则库设计、日志文件、数据库记录（包括数据库设计）…… 图 3：安装步骤二．模拟黑客入侵进行实验测试三、研究步骤、方法及措施：研究步骤: 一．了解网络安全，体会搭建入侵检测系统的必要性和可行性；二．深入研究 snort 以及相关软件，即使掌握 snort 使用方和 snort 规则设计；三．熟悉黑客入侵 snort 的技术，进行必要的实验测试；四．建立数据库，记录数据，并对数据进行必要的分析。研究方法：本系统严格按照网络安全的要求进行分析、设计。运用献调查法、概念分析法、比较研究法等对入侵检测进行全面深入的剖析。首先进行系统必要性的分析，然后进行系统可行性的分析，系统总体结构的分析，系统的概要设计，系统的详细设计，规则库设计，界面设计，数据库设计，实验测试的设计。研究措施本入侵系统的设计可基于 Snort 框架进行设计，对 snort 的安装以及其规则库的学习，编写适合实验需求的规则，运用常见的黑客攻击对所搭建的入侵环境进行测试，并把捕获的数据以各种形式分别存入数据库中，最后最数据库的数据进行分析，从而了解到网络是否安全。四、研究工作进度：序号时间内容 1 2010-9-1 到 2010-9-30 完成开题报告，并完成答辩

2 3 4 5 6 2010-10-8 2010-10-20 2010-10-21 2010-10-31 2010-11-1 2010-11-15 2010-11-16 2010-11-28 2010-12-1 五、主要参考文献：到到到掌握 snort，熟练运行 snort 级相关软件完成入侵检测系统环境搭建进行必要具体的实验测试到完成对数据库的设计，使 snort 捕获的数据记录到数据库中，进行分析完成毕业论文准备答辩 1. 吴新民．两种典型的入侵检测方法研究．计算机工程与应用，2002；38(10)： 181—183. 2. 李涣洲．网络安全与入侵检测技术．四川师范大学学报．2001；24(3)：426—428. 3. 张慧敏，何军，黄厚宽．入侵检测系统．计算机应用研究，2001；18(9)：38—4l. 4. 蒋建春，冯登国．网络入侵检测原理与技术．北京：国防工业出版社，2001 5. 唐正军等．网络入侵监测系统的设计与实现［M］．北京：电子工业出版社，1999. 6. 宋劲松.网络入侵检测.国防工业出版社,2004.9. 7. 唐正军,李建华.入侵检测技术.清华大学出版社,2004.4. 8. Paul E.Proctor 著，邓琦皓，许鸿飞，张斌译中国电力出版社.

六、指导教师审核意见：指导教师签字： 2009 年 9 月 26 日七、系、室、部（研究所）评议意见： 1. 适合本专业的毕业设计课题； 2. 不适合本专业的毕业设计课题； 3. 其他

资料库

基于snort的入侵检测系统，很全的开题报告.doc

相关推荐

安全技术

热门标签

最新资料