网络安全结课论文

网络安全与管理结课论文

指导教师情况

姓名技术职称单位

指导教师评语：

成绩：

指导教师签字：

年月日

内容摘要

随着人们与计算机越来越密切的联系，以及网络的迅猛发展，生活越来越便利，同时遇到的危险也越来越多。无数的电脑黑客不管出于什么目的，千方百计利用任何可以利用的机会，用攻击、窃取等手段去危害网络。美国骇客权威书籍的编目者说过：“我们要确信，世上不可能有绝对安全的网络。”而我们的目的则是把这种不可能变为可能。

虽然在网络安全中有很多的手段去保护和维护网络的安全，但是其中最合适的技术就应该属于入侵检测了。入侵检测（IDS）作为一种主动的安全防护手段，为主机和网络提供了动态的安全保障。它不仅检测来自外部的入侵行为，同时也对内部的未授权活动进行监督。利用网络协议的高度规则性，采用协议分析的方法，结合优秀的模式匹配算法，融合比较先进的数据挖掘和数据融合方法，能较好地解决当前入侵检测系统中准确性与实时性等问题。同时简单介绍了一款入侵检测系统Snort。

索引关键词：入侵检测、基于主机的IDS（HIDS）、基于网络的IDS（NIDS）

正文 (1)

第一章绪论 (1)

第二章入侵检测的概述 (1)

2.1入侵检测的功能 (1)

2.2入侵检测的模型 (1)

第三章IDS的分类 (2)

3.1基于主机的入侵检测系统（HIDS） (2)

3.2基于网络的入侵检测系统（NIDS） (2)

第四章入侵检测的分析技术 (2)

4.1误用检测技术 (2)

4.2异常检测技术 (2)

第五章Snort软件 (3)

5.1Snort软件概述 (3)

5.2Snort软件的体系结构 (3)

后记 (5)

参考文献 (5)

第一章绪论

伴随着网络的发展，网络的安全问题尤为突出。传统的加密和防火墙技术等被动防范技术已经不能完全满足现今的安全需要，想要保证网络信息和网络秩序的安全，就必须要更强有力和更完善的安全保护技术。近年来，入侵检测技术以其强有力的安全保护功能进入了人们的视野，也在研究领域形成了热点。

入侵检测的出现弥补了很多的缺陷。它作为一种积极的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵，被认为是防火墙之后的第二道安全闸门。其中Snort作为目前应用较广的开源网络入侵检测系统，受到广泛的关注。

第二章入侵检测的概述

2.1入侵检测的功能

•监视并分析用户和系统的活动

•核查系统配置和漏洞

•识别已知的攻击行为并报警

•统计分析异常行为

•评估系统关键资源和数据文件的完整性

•操作系统的审计跟踪管理，并识别违反安全策略的用户行为

2.2入侵检测的模型

图2-1

事件产生器的目的是从整个计算机环境中获得事件，并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、修改文件属性等强烈反应。事件数

据库是存放各种中间和最终数据的地方的通称，它可以是复杂的数据库也可以是简单的文本文件。

第三章IDS的分类

目前的入侵检测系统主要分为两类：

3.1基于主机的入侵检测系统（HIDS）

主要用于保护某一台主机的资源不被破坏。

优点：

能够较为准确地监测到发生在主机系统高层的复杂攻击行为，其中许多发生在应用进程级别的攻击行为是无法依靠NIDS来完成的。

缺点：

严重依赖于特定的操作系统平台，由于运行在保护主机上，会影响主机的运行性能；通常无法对网络环境下发生的大量攻击行为作出及时的反应。

3.2基于网络的入侵检测系统（NIDS）

主要用于保护整个网络不被破坏。

优点：

提供实时的网络行为检测，同时保护多台网络主机，具有良好的隐蔽性，有效保护入侵证据，不影响被保护主机的性能。

缺点：

防入侵欺骗的能力较差，在交换式网络环境中难以配置，检测性能受硬件条件限制，不能处理加密后的数据。

第四章入侵检测的分析技术

4.1误用检测技术

误用入侵检测是指根据己知的入侵模式来检测入侵。误用入侵检测能直接检测不利的或不可接受的行为，误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击。通过捕获攻击及重新整理，可确认入侵活动是基于同一弱点进行政击的入侵方法的变种。

误用入侵检测主要的局限性是仅仅可检测已知的弱点，对检测未知的入侵可能用处不大。

4.2异常检测技术

异常检测指的是根据非正常行为(系统或用户)和使用计算机资源非正常情况检测出入侵行为，异常检测试图用定量方式描述常规的或可接受的行为，以标记非常规的、潜在的入侵行为。异常入侵检测的主要前提是入侵性活动作为异常活动的子集。

如果设置异常的门槛值不当，往往会导致IDS许多误报警或者漏检，漏检对

于重要的安全系统来说，是相当危险的，因为IDS给安全管理员造成了虚假的系统安全。

第五章Snort软件

5.1Snort软件概述

Snort是一个免费的、开放源代码的基于网络的轻量级网络入侵检测系统，具有很好的配置型和可移植性。另外，它也可以用来截获网络中的数据包并记录数据包日志。Snort多适用于小网络段使用，最初设计用于Linux/Unix操作系统，且其设计得易于插入和扩充进新的规则以对付各种新出现的威胁。

是一款免费的NIDS，小巧灵便、易于配置、检测效率高，常被称为轻量级的IDS。

5.2Snort软件的体系结构

图5-1

Snort可提供Protocol分析、内容查找和匹配，可以用来检测各种攻击和探测，如缓冲区溢出、隐蔽端口扫描、CGI攻击、SMB探测、操作系统指纹识别尝试等．其中的包嗅探、数据包记录和入侵检测是其重要功能．Snort的架构决定了它的各种功能，构架图见图5-1所示．而Snort架构由以下4个基本模块构成：

⑴数据包嗅探

⑵预处理器

⑶检测引擎

⑷输出模块

Snort的最简单形式就是包嗅探器，但当Snort获取到数据包后会将数据包传送到与处理模块，然后通过检测引擎判断这些数据包是否违反了某些预定义规则。

Snort的预处理器、检测引擎和报警模块都以插件形式存在。插件就是符合