毕业论文 网络入侵检测

编号3215567

本科生毕业设计（论文）题目：网络入侵检测

专业计算机科学与技术

学号

学生姓名

指导教师周黎

2009年10月

摘要

入侵检测作为一种主动的安全防护手段，为主机和网络提供了动态的安全保障．它不仅检测来自外部的入侵行为，同时也对内部的未授权活动进行监督．利用网络协议的高度规则性，采用协议分析的方法，结合优秀的模式匹配算法，融合比较先进的数据挖掘和数据融合方法，能较好地解决当前入侵检测系统中准确性与实时性等问题．

首先，本文在研究现有入侵检测技术国内外发展现状及理论的基础上，重点研究了模式匹配、协议分析、数据挖掘和数据融合几种有代表性的检测方法．相对于传统的模式匹配检测方法，将其他领域的新技术融入入侵检测中能更加有效的减少匹配检测的计算量、误报率和漏报率．其次，在深入研究入侵检测方法的基础上，对轻量级网络入侵检测系统Snort的特性、功能及规则进行了全面详细的研究，并在Linux系统环境下借助Snort搭建了一个典型的入侵检测系统作为具体实例，接着通过相关实验进行分析研究．最后将协议匹配方法应用到网络入侵检测过程中，通过编程在VC++环境下，借助Winpcap实现了对网络数据包的捕获到协议匹配的全过程．由此对入侵检测方法有了更深一层的认识，并对如何搭建一个相对完善的入侵检测系统的具体过程由理论深入到实际的层面．

关键词：入侵检测；Snort；模式匹配；协议分析；Linux

ABSTRACT

Intrusion detection as a means of proactive security protection for the host and provides a dynamic network security. It not only detect intrusions from the outside, but also on the internal monitoring of unauthorized activities. Network protocol to use a high degree of regularity, the use of protocol analysis method, combined with excellent pattern-matching algorithms, integration of more advanced data mining and data fusion method can better solve the current accuracy of intrusion detection system with real-time and so on.

First of all, this paper examined the current intrusion detection technology and the development of the theory at home and abroad on the basis of the focus on the pattern matching, protocol analysis, data mining and data fusion of several detection methods representative. With respect to the traditional pattern-matching detection methods, other new technologies into the field of intrusion detection can be more effective to reduce the computation to match detection, false alarm rate and missing rate.Second, in-depth study of intrusion detection method based on the Lightweight Network Intrusion Detection System Snort features, functions and rules of a detailed study of a comprehensive and Linux system environment with a typical set up Snort Intrusion Detection System As a concrete example, and then through analysis of related experiments. Finally, the protocol matching method applied to network intrusion detection process, through programming in VC + + environment, achieved through the network Winpcap packet capture to match the whole process of the agreement. This method of intrusion detection has a deeper level of understanding and how to build a relatively complete intrusion detection system by the theory of the specific process to the actual level of depth.

Keywords: Intrusion detection,Snort, protocol analysis,pattern matching, Linux

第1章绪论

近年来计算机技术水平飞速发展，网络信息安全越来越受到重视．网络技术飞速发展的同时，各种网络技术漏洞和各种意图的网络攻击者也越来越多，网络入侵和攻击的现象仍然是屡见不鲜，而网络攻击者的技术和知识也日趋专业成熟，攻击工具与手法日趋复杂多样．计算机网络安全、信息安全已经成为一个国际性的问题，每年全球因计算机网络的安全问题而造成的经济损失高达数百亿美元，且这个数字正在不断增加．传统的加密和防火墙技术等被动防范技术已经不能完全满足现今的安全需要，想要保证网络信息和网络秩序的安全，就必须要更强有力和更完善的安全保护技术．近年来，入侵检测技术以其强有力的安全保护功能进入了人们的视野，也在研究领域形成了热点．

网络安全是一个系统的概念，制定有效的安全策略或方案是网络信息安全的首要任务．现有的网络安全策略主要有物理隔离、数据加密、信息隐藏、防火墙、身份识别和认证、入侵检测等．入侵检测技术是为保证计算机系统的安全而设计并配置的一种能够及时发现并报告系统中未授权现象或异常现象的技术，是一种用于检测计算机网络和系统中违反安全策略行为的技术．入侵检测系统的应用，可以在系统发生危害前检测到入侵攻击，并利用报警与防护系统响应入侵攻击，从而减少它所造成的损失．

入侵检测技术是近年来飞速发展起来的一种动态的集监控、预防和抵御系统入侵行为为一体的新型安全机制．作为传统安全机制的补充，入侵检测技术不再是被动的对入侵行为进行识别和防护，而是能够提出预警并实行相应反应动作．入侵检测系统（IDS,Intrusion Detection System）可以识别针对计算机系统和网络系统，或更广泛意义上的信息系统的非法攻击，包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法行动．通常来说入侵检测是对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程，具有智能监控、实时探测、动态响应、易于配置等特点[1]．

与防火墙不同的是，入侵检测不仅能检测外部非法入侵者的攻击和试探，同时还能发现内部合法用户的超越权限的非法行为．作为一种积极主动的安全防护方式，入侵检测系统不仅是防火墙有效的补充，还可以使系统管理员实时的了解网络系统中的各种变化，并根据记录的各种监控数据（如日志文件等）做出分析，为网络安全策略的制定提供指南．计算机网络安全是一项系统工程，应该在整体的安全策略的控制和指导下，综合运用各种防护工具的同时，利用检测工具了解和评估系统状态，通过适当的反应将系统调整到相对最安全和风险最低的状态．

入侵检测方法是所有入侵检测领域中起到承前启后作用的关键环节，是实现系统安全策略保证网络安全的关键，也是当前网络安全研究的热点．当前的入侵检测方法中，有的是检测操作系统漏洞．有的是检测应用程序的实现上的漏洞，有的是检测针对网络Protocol漏洞而进行的攻击，有的是检测加密算法的弱点或针对其的密码破解，有的是检测目前常见的拒绝服务攻击和分布式拒绝服务攻击．本研究重点分析了基于模式匹配和Protocol分析的入侵检测方法，Snort作为目前应用较广的开源网络入侵检测系统，提供对网络实时流量的分析和数据包记录．Snort可以提供Protocol分析、内容查找和匹配，可以用它来检测各种攻击和探测，如缓冲区溢出、隐蔽端口扫描、CGI攻击、SMB探测、操作系统指纹识别常识等[2]．在一个实用的入侵检测系统中, 最重要的部分是检测方法,也就是采用什么技术进行入侵行为检测．检测技术主要分为误用检测和异常检测两大类, 模式匹配技术属于误用检测, 也是最常用、最实用的一种数据检测技术．只有加深对入侵检测方法的研究才能使入侵检测技术及相关领域有更快更好的发展，研究核心的入侵检测方法将是十分有意义和效果的．研究已有的检测方法所具有的特点，包括优点和缺点才能更好的了解现有入侵检测方法的优势和劣势，以便提出更好的检测方法，更加灵活和有效的融入入侵检测技术，提高检测效率．