入侵检测技术毕业论文

毕业设计

开题报告

学生姓名徐盼

学号 201402081117

专业计算机网络技术

班级网络201401班

指导教师刘烨

开题时间2016年10月20日黄冈职业技术学院电子信息学院

电子信息学院毕业设计开题报告

学业作品

题目入侵检测技术应用

学生姓名徐盼

学号 201402081117

专业计算机网络技术

班级网络201401班

指导教师刘烨

完成日期 2016 年 11月 20日

目录

摘要 (6)

关键词 (6)

第一章绪论 (7)

1.2 入侵检测技术的历史 (7)

1.3 本课题研究的途径与意义 (8)

第二章入侵检测技术原理 (9)

2.1 入侵检测的工作流程 (9)

2.1.1 数据收集 (9)

2.1.2 数据提取 (9)

2.1.3数据分析 (10)

2.1.4 结果处理 (10)

2.2入侵检测技术的检测模型 (10)

2.2.1 异常检测模型 (10)

2.2.2 误用检测模型 (11)

第三章入侵检测技术功能概要 (11)

第四章入侵检测系统实验案例分析 (12)

4.1 配置Snort选项 (12)

4.2 测试Snort (13)

4.3 攻击与检测过程 (14)

4.3.1 攻击过程 (14)

4.3.2 Snort运行过程 (14)

4.4 检测结果分析 (14)

第五章入侵检测技术的缺点和改进 (15)

5.1 入侵检测技术所面临的问题 (15)

5.2 入侵检测技术的改进发展 (16)

总结 (16)

致谢 (17)

参考文献 (17)

摘要

近年来随着计算机网络的迅速发展，网络安全问题越来越受到人们的重视。从网络安全角度来看，防火墙等防护技术只是被动安全防御技术，只是尽量阻止攻击或延缓攻击，只会依照特定的规则，允许或是限制传输的数据通过。在网络环境下不但攻击手段层出不穷，而且操作系统、安全系统也可能存在诸多未知的漏洞，这就需要引入主动防御技术对系统安全加以补充，目前主动防御技术主要就是入侵检测技术。

本文从入侵检测技术的发展入手，研究、分析了入侵检测技术和入侵检测系统的原理、应用、信息收集和分析、数据的处理及其优缺点和未来的发展方向。

关键词：网络安全，网络入侵，入侵检测技术，入侵检测系统

第一章绪论

1.1 入侵检测技术的提出

随着Internet高速发展，个人、企业以及政府部门越来越多地依靠网络传递信息,然而网络的开放性与共享性容易使它受到外界的攻击与破坏,信息的安全保密性受到严重影响。网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。

在计算机上处理业务已由基于单机的数学运算、文件处理，基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时，系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时，基于网络连接的安全问题也日益突出，黑客攻击日益猖獗，防范问题日趋严峻：

具Warroon Research的调查，1997年世界排名前一千的公司几乎都曾被黑客闯入；

据美国FBI统计，美国每年因网络安全造成的损失高达75亿美元；

Ernst和Young报告，由于信息安全被窃或滥用，几乎80%的大型企业遭受损失；

看到这些令人震惊的事件，不禁让人们发出疑问："网络还安全吗？"试图破坏信息系统的完整性、机密性、可信性的任何网络活动都称为网络入侵。防范网络入侵最常用的方法就是防火墙。防火墙（Firewall）是设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合,它属于网络层安全技术,其作用是为了保护与互联网相连的企业内部网络或单独节点。它具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。

但是，防火墙只是一种被动防御性的网络安全工具，仅仅使用防火墙是不够的。首先，入侵者可以找到防火墙的漏洞，绕过防火墙进行攻击。其次，防火墙对来自内部的攻击无能为力。它所提供的服务方式是要么都拒绝，要么都通过,不能检查出经过他的合法流量中是否包含着恶意的入侵代码，这是远远不能满足用户复杂的应用要求的。

对于以上提到的问题，一个更为有效的解决途径就是入侵检测技术。在入侵检测技术之前，大量的安全机制都是根据从主观的角度设计的,他们没有根据网络攻击的具体行为来决定安全对策，因此，它们对入侵行为的反应非常迟钝，很难发现未知的攻击行为，不能根据网络行为的变化来及时地调整系统的安全策略。而入侵检测技术正是根据网络攻击行为而进行设计的，它不仅能够发现已知入侵行为，而且有能力发现未知的入侵行为，并可以通过学习和分析入侵手段，及时地调整系统策略以加强系统的安全性。

1.2 入侵检测技术的历史

1980 月，JnamesP.Aderson为美国空军做了一份题为“Computer Security

ThreatMonitoring Sureillance”（计算机安全威胁监控与监视）的技术报告，第一次详细的阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为了外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。

1984 年-1986 年，乔治敦大学的Dorothy Denning 和SRI/CSL（SRI 公司计算机科学实验室）的PeterNeumann 研究出了一种实时入侵检测系统模型，取名为IDES（入侵检测专家系统）。该模型独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵系统提供了一个通用的框架。

1988 年，SRI/CSL 的Teresa Lunt 等改进了Denning 的入侵检测模型，并研发出了实际的IDES。 1989年，加州大学戴维斯分校的Todd Heberlein写了一篇论文《A Network Security Monitor》，该监控器用于捕获TCP/IP 分组，第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机，网络入侵检测从此诞生。

1990 年时入侵检测系统发展史上十分重要的一年。这一年，加州大学戴维斯分校的L.T.Heberlein等开发出了NSM(Network Security Monitor)。该系统第一次直接将网络作为审计数据的来源，因而可以在不将审计数计转化成统一的格式情况下监控异种主机。同时两大阵营正式形成：基于网络的IDS 和基于主机的IDS。

入侵检测是一门综合性技术，既包括实时检测技术，也有事后分析技术。尽管用户希望通过部署IDS 来增强网络安全，但不同的用户需求也不同。由于攻击的不确定性，单一的IDS 产品可能无法做到面面俱到。因此，IDS 的未来发展必然是多元化的，只有通过不断改进和完善才能更好地协助网络进行安全防御。

入侵检测技术的发展已经历了四个主要阶段：

第一阶段是以基于协议解码和模式匹配为主的技术，其优点是对于已知的攻击行为非常有效，各种已知的攻击行为可以对号入座，误报率低；缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测，漏报率高。

第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术，其优点是能够分析处理一部分协议，可以进行重组；缺点是匹配效率较低，管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。

第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术，其优点是误报率、漏报率和滥报率较低，效率高，可管理性强，并在此基础上实现了多级分布式的检测管理；缺点是可视化程度不够，防范及管理功能较弱。

第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术，其优点是入侵管理和多项技术协同工作，建立全局的主动保障体系，具有良好的可视化、可控性和可管理性。以该技术为核心，可构造一个积极的动态防御体系，即IMS——入侵管理系统。

1.3 本课题研究的途径与意义

聚类是模式识别研究中非常有用的一类技术。用聚类算法的异常检测技术就