入侵检测系统设计论文

摘要入侵检测技术是对传统的安全技术（如防火墙）的合理补充。它通过监视主机系统或网络，能够对恶意或危害计算机资源的行为进行识别和响应。通过与其它的安全产品的联动，还可以实现对入侵的有效阻止。入侵检测系统的研究和实现已经成为当前网络安全的重要课题。本文从研究入侵技术入手，分析了入侵过程的各个阶段、各种入侵方法，总结了网络安全事故的根源。然后，介绍了入侵检测方法的分类，分析了各种入侵检测方法和字符串匹配的算法。研究表明基于规则的入侵检测系统是现在入侵检测系统设计的最主要的技术，基于这一理论，设计开发了一个基于规则匹配的网络数据包分析工具。系统开发环境为VC++6.0，数据库采用MYSQL数据库。通过该系统可以有效的实现对入侵的检测，并且具有用户友好性。关键词:入侵检测；响应模块；规则匹配目录论文总页数：26页1引言...................................................................11.1背景...............................................................11.2国内外研究现状.....................................................11.3本文的主要工作.....................................................12理论基础.................................................................12.1入侵基本概念.......................................................22.1.1安全与入侵的概念.............................................22.1.2入侵的步骤...................................................22.1.3黑客攻击的方法...............................................32.1.4安全威胁的根源...............................................62.2入侵检测技术.......................................................62.2.1入侵检测的概念...............................................62.2.2入侵检测系统的基本结构构成...................................72.2.3入侵检测的分类...............................................72.2.4入侵检测方法.................................................92.3BM算法...........................................................113系统总体设计............................................................133.1系统概述..........................................................133.2系统总体结构框架..................................................133.3开发环境..........................................................144响应模块设计实现........................................................144.1规则库设计实现....................................................144.2事件分析设计与实现................................................174.2.1规则解析....................................................174.2.2规则匹配流程................................................184.3输出模块的设计....................................................194.3.1响应输出流程................................................194.3.2日志数据库设计..............................................204.4模块集成实现......................................................205系统测试和分析..........................................................215.1攻击检测测试......................................................215.1.1测试目的....................................................215.1.2测试过程....................................................215.1.3测试结果分析................................................215.2误报和漏报测试....................................................225.2.1测试目的....................................................225.2.2测试过程....................................................225.2.3测试结果分析................................................23结论....................................................................23参考文献....................................................................24致谢....................................................................25声明....................................................................26第1页共26页1引言1.1背景近年来，随着信息和网络技术的高速发展以及其它的一些利益的驱动，计算机和网络基础设施，特别是各种官方机构网站成为黑客攻击的目标，近年来由于对电子商务的热切需求，更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施，入侵检测系统(IntrusionDetectionSystem，简称IDS)得到了迅猛的发展。依赖防火墙建立网络的组织往往是“外紧内松”，无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全，但内部缺乏必要的安全措施。据统计，全球80%以上的入侵来自于内部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于企业内部人员所做的攻击，防火墙形同虚设。入侵检测是对防火墙及其有益的补充，入侵检测系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。1.2国内外研究现状入侵检测技术国外的起步较早，有比较完善的技术和相关产品。如开放源代码的snort，虽然它已经跟不上发展的脚步，但它也是各种商业IDS的参照系；NFR公司的NID等，都已相当的完善。虽然国内起步晚，但是也有相当的商业产品：天阗IDS、绿盟冰之眼等不错的产品，不过国外有相当完善的技术基础，国内在这方面相对较弱。1.3本文的主要工作本文从分析现有网络中存在的安全说起，指出了现有的网络所面临的安全威胁，主要介绍了基于特征（signature-based）的网络入侵检测技术，阐述了由入侵检测理论所构建的入侵检测平台，监测并分析网络、用户和系统的活动，识别已知的攻击行为，统计分析异常行为。在本文的后面针对基于windows平台并基于特征（规则）的入侵检测系统响应模块的设计与实现作了详细的说明，阐述了什么是入侵检测、如何检测、如何响应等一系列问题，同时也给出了一套完整的设计思想和实现过程。2理论基础第2页共26页2.1入侵基本概念2.1.1安全与入侵的概念安全定义广义的计算机安全的定义：主题的行为完全符合系统的期望。系统的期望表达成安全规则，也就是说主体的行为必须符合安全规划对它的要求。而网络安全从本质上讲就是网络上信息的安全，指网络系统的硬件、软件及其系统中数据的安全。网络信息的传输、存储、处理和使用都要求处于安全的状态。根据OSI狭义的系统与数据安全性定义：1.机密性（Confidentiality）：使信息不泄露给非授权的个人、实体和进程，不为其所用；2.完整性（Integrity）：数据没有遭受以非授权的个人、实体和进程的窜改，不为其所用；3.可确认性（Accountability）：确保一个实体的作用可以被独一无二地跟踪到该实体；4.可用性（Auailability）：根据授权实体的请求可被访问与使用。入侵定义Anderson在80年代早期使用了“威胁”概念术语，其定义与入侵含义相同。将入侵企图或威胁定义为未授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。Heady给出另外的入侵定义：入侵是指有关试图破坏资源的完整性、机密性及可用性的活动集合。Smaha从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。2.1.2入侵的步骤黑客通常采用以下的几个步骤来实现入侵目标主机的目的。1、搜集信息：寻找目标主机并分析要攻击的环境。2、实施入侵：获取帐号和密码，登录主机。3、提升权限：黑客一旦获得目标主机普通用户的帐号，便可以利用一些登录工具进入目标主机，进入以后，他们会想方设法的到超级用户的权限，然后进行任意操作。4、攻击活动的实施：黑客获取了超级用户权限后，就可以在目标系统上为所欲为。根据各自不同的目的，黑客在攻克的目标系统上进行不同的破坏活动，例如窃取敏感资料、篡改文件内容，替换目标系统页采用的手段。5、清除日志记录：黑客在退出被攻克的目标前通常要进行一些善后处理。2.1.3黑客攻击的方法1、网络监听网络监听最初是为了协助网络管理员监测网络传输的数据，排除网络故障而开发的技术，然而网络监听也给以太网安全带来了极大的隐患。监听是通过将网络接口设为混杂模式，从而接收经过它的所有网络数据包，达到偷看局域网内其它主机的通讯的目的。反监