計算機類的畢業(yè)論文

學(xué) 士 學(xué) 位 論 文 系 別： 計算機科學(xué)與技術(shù) 學(xué)科專業(yè)： 計算機科學(xué)與技術(shù) 姓 名： 段 雪 蓮 運 城 學(xué) 院 2012 年 6 月 入侵檢測系統(tǒng)的分析 研究 系 別： 計算機科學(xué)與技術(shù) 學(xué)科專業(yè)： 計算機科學(xué)與技術(shù) 姓 名： 段 雪 蓮 指導(dǎo)教師： 運 城 學(xué) 院 2012 年 6 月 入侵檢測系統(tǒng) 的分析 研究 摘 要 :入侵檢測系統(tǒng)是一種能有效發(fā)現(xiàn)和防御網(wǎng)絡(luò)入侵的網(wǎng)絡(luò)安全防護手段。本文 從以下 幾 方面 研究了入侵檢測系統(tǒng)在網(wǎng)絡(luò)安全中應(yīng)用和實現(xiàn)的幾個問題。 首先， 對網(wǎng)絡(luò)安全體系作了全面概述，介紹了目前常見安全技術(shù)手段以及入侵 檢測系統(tǒng)在網(wǎng)絡(luò)安全中的重要作用。 其次， 分析了入侵 檢測 和 入侵檢測系統(tǒng)的 基本概念和研究方法，在此基礎(chǔ)之上對最典型的入侵檢測系統(tǒng) Snort 進行了深入 探討 。 關(guān)鍵詞 ： 網(wǎng)絡(luò)安全 ， 入侵檢測 ， 防火墻 ， Snort Analysis of Intrusion Detection System Abstract:Intrusion Detection System is an effective network intrusion detection and prevention of network security tools. In this paper, we researched the network security applications of intrusion detection system and a few realized problems as follows. First,we made a comprehensive overview of network security system, described common security of current techniques and detection systems in the important role of network security. Secondly,we also analysised the basic concepts and research methods of the intrusion detection and intrusion detection system. On this basis, the most typical intrusion detection system snort was in-depth study, particular emphasis on the snort rules were further analysis. Keywords: Network security, Intrusion detection, Firewall, Snort 目 錄 引 言 . 1 第 1 章 緒 論 . 2 1.1 網(wǎng)絡(luò)安全概述和入侵檢測 . 2 1.2 本課題的研究目的和意義 . 2 1.3 本課題的研究內(nèi)容 . 2 第 2 章 入侵檢測系統(tǒng)的分析 . 4 2.1 入侵檢測系統(tǒng)概述 . 4 2.2 入侵檢測系統(tǒng)功能分析 . 4 2.3 本章小結(jié) . 5 第 3 章 Snort 入侵檢測系統(tǒng)分析 . 6 3.1 Snort 入侵檢測系統(tǒng)概述 . 6 3.2 Snort 系統(tǒng)結(jié)構(gòu) . 6 3.2.1 CIDF 模型 . 6 3.2.2 Snort 體系結(jié)構(gòu) . 7 3.3 Snort 工作流程 . 7 3.4 Snort 檢測引擎 . 8 3.5 本章小結(jié) . 8 結(jié) 束 語 . 10 致 謝 . 11 參考文獻(xiàn) . 12 入侵檢測系統(tǒng)的分析 研究 第 1 頁 共 12 頁 引 言 在信息化飛速發(fā)展的今天，計算機網(wǎng)絡(luò)得到了廣泛的應(yīng)用，但是隨著信息流通能力極大提高的同時基于網(wǎng)絡(luò)連接的安全問題也日益突出。很 多組織正在致力于提出更多更強大的主動策略和方案來增強網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)安全是信息安全中的重要研究內(nèi)容之一，也是當(dāng)前信息安全領(lǐng)域中的研究熱點。 入侵檢測技術(shù)是保證計算機網(wǎng)絡(luò)安全的核心技術(shù)之一，在保護計算機系統(tǒng)安全及網(wǎng)絡(luò)安全方面起著越來越重要的作用。 Snort 是目前最著名、應(yīng)用最廣泛的開源入侵檢測系統(tǒng)。 雖然它是一個輕量級、適用于小型網(wǎng)絡(luò)的入侵檢測系統(tǒng)，但它結(jié)構(gòu)清晰、可擴展性好，具有良好的發(fā)展前景。 本文就入侵檢測與入侵檢測系統(tǒng) 在網(wǎng)絡(luò)安全中的應(yīng)用提出了自己的觀點，并在對入侵檢測系統(tǒng)特別是非常典型的入侵檢測系統(tǒng) Snort 工具進行深入的分析之后， 對其的可行性與有效性進行了測試，得到了較好的結(jié)論，從而更好地 在理論和實踐的基礎(chǔ)上 提出了對入侵檢測系統(tǒng)的綜合評價。 運城學(xué)院畢業(yè)論文 第 2 頁 共 12 頁 第 1 章 緒 論 1.1 網(wǎng)絡(luò)安全概述和入侵檢測 目前網(wǎng)絡(luò)中的安全威脅主要有：身份竊??；假冒；數(shù)據(jù)竊取；否認(rèn)；非授權(quán)訪問；拒絕服務(wù)，等等。 針對這些安全威脅，目前的網(wǎng)絡(luò)安全技術(shù)主要有：身份認(rèn)證、 訪問控制、信息加密、防火墻、防殺病毒、入侵檢測、安全審計及相關(guān)的服務(wù)等。 調(diào)查研究證明， 無論是有意的攻擊還是無意的誤操作，都會給系統(tǒng)帶來不可估量的損失。所以計算機網(wǎng)絡(luò)必須有足 夠強的安全措施。而解決網(wǎng)絡(luò)安全性的一個很為有效的途徑就是入侵檢測。 入侵檢測技術(shù)是保證計算機網(wǎng)絡(luò)安全的核心技術(shù)之一，在保護計算機系統(tǒng)安全及網(wǎng)絡(luò)安全方面起著越來越重要的作用。作為一種主動的網(wǎng)絡(luò)安全防御措施，入侵檢測系統(tǒng)不僅檢測來自外部的入侵行為，同時也監(jiān)督內(nèi)部用戶的未授權(quán)活動，與防火墻等網(wǎng)絡(luò)安全產(chǎn)品共同成為網(wǎng)絡(luò)安全的核心設(shè)備，以此更好的起到“網(wǎng)絡(luò)安全傘”的作用，保證計算機系統(tǒng)和網(wǎng)絡(luò)的高速運行。 1.2 本課題的研究目的和意義 隨著計算機網(wǎng)絡(luò)的飛速發(fā)展，信息安全越來越受到人們的重視。入侵檢測技術(shù)是保證計算機網(wǎng)絡(luò)安 全的核心技術(shù)之一，在保護計算機安全方面起著越來越重要的作用。 入侵檢測是一種主動的網(wǎng)絡(luò)安全防御措施。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全日趨復(fù)雜，傳統(tǒng)防火墻很難抵御來自網(wǎng)絡(luò)內(nèi)部和外部的多樣化的攻擊。入侵檢測系統(tǒng) (IDS， Intrusion Detection System)作為一種積極的、動態(tài)的安全防御系統(tǒng) ,能對網(wǎng)絡(luò)入侵事件和過程做出實時響應(yīng) ,與防火墻共同成為網(wǎng)絡(luò)安全的核心設(shè)備，可以有效地彌補防火墻的不足。 Snort 是目前最著名、應(yīng)用最廣泛的開源入侵檢測系統(tǒng)。經(jīng)過多年發(fā)展，它的用戶群已超過一百萬。 Snort 規(guī)則也 是入侵檢測系統(tǒng)的事實標(biāo)準(zhǔn)。雖然它是一個輕量級、適用于小型網(wǎng)絡(luò)的入侵檢測系統(tǒng)，但它結(jié)構(gòu)清晰、可擴展性好，具有良好的發(fā)展前景。 1.3 本課題的 研究 內(nèi)容 首先 了解入侵檢測與網(wǎng)絡(luò)安全的基本知識，對目前現(xiàn)有的網(wǎng)絡(luò)安全防護手段進行了研究和比較； 其次 對著名入侵檢測系統(tǒng) Snort 進行詳細(xì)分析，重點分析最新版本 Snort 的改進 ,其中以 Snort 的規(guī)則和規(guī)則分析為基礎(chǔ)； 最后 分析入侵檢測系統(tǒng)的測試和評估手段，得出綜合評價方法，指出軟件入入侵檢測系統(tǒng)的分析 研究 第 3 頁 共 12 頁 侵檢測系統(tǒng)的優(yōu)勢和不足。 運城學(xué)院畢業(yè)論文 第 4 頁 共 12 頁 第 2 章 入侵檢測系統(tǒng)的分析 2.1 入侵檢測系統(tǒng)概述 1 入侵和入侵檢測的概念 入侵（ Intrusion） 是一個廣義的概念，不僅包括發(fā)起攻擊的人（如惡意的黑客）取得超出合法范圍的系統(tǒng)控制權(quán)，也包括收集漏洞信息，造成拒絕訪問等對計算機系統(tǒng)造成危害的行為。 它主要指破壞主機和計算機網(wǎng)絡(luò)的機密性，完整性和有效性的嘗試以及迂回（ Bypass） 主機和網(wǎng)絡(luò)安全性機制的企圖。 入侵檢測（ Intrusion Detection） ,是指通過計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為或遭到攻擊的跡象 （亦即 捕獲可疑數(shù)據(jù)包） ，并根據(jù)預(yù)定義的規(guī)則采取相應(yīng)的反應(yīng)措施。 圖 2.1 給 出了入侵檢測系統(tǒng)結(jié)構(gòu)。 圖 2.1 入侵檢測系統(tǒng)結(jié)構(gòu)圖 目前市場上常用到的 IDS 產(chǎn)品有：理工先河有限公司的安全產(chǎn)品“金海豚”網(wǎng)絡(luò)動態(tài)防護系統(tǒng)；漢邦軟科公司的入侵檢測系統(tǒng) HBIDS；由瑞星公司自主開發(fā)研制的新一代網(wǎng) 絡(luò)安全產(chǎn)品 RIDS-100；海信“眼鏡蛇”網(wǎng)絡(luò)入侵檢測系統(tǒng)（ IDS）；主動防御入侵檢測系統(tǒng) Snort 工具，等等。 2.2 入侵檢測系統(tǒng) 功能分析 具體說來 ,一個合格的 入侵檢測系統(tǒng)的主要功能有： 1.監(jiān)測并分析用戶和系統(tǒng)的活動 入 侵檢測系統(tǒng)可以用來檢測來自主機 的 資源和來自網(wǎng)絡(luò)的數(shù)據(jù)包， 從而分析用戶和系統(tǒng)的活動情況，并根據(jù)檢測到的信息實時做出響應(yīng)處理。 2.核查系統(tǒng)配置和漏洞 入侵檢測系統(tǒng)可以自動地檢測到系統(tǒng)的配置參數(shù)以及漏洞，及時進行 處理和入侵檢測系統(tǒng)的分析 研究 第 5 頁 共 12 頁 響應(yīng)報警。 3.評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性 入侵檢測系統(tǒng)通過 判斷入侵行為是否出現(xiàn)來實現(xiàn)入侵檢測 ，從而有效地評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性并及時做出調(diào)整。 4.識別已知的攻擊行為 入侵檢測系統(tǒng) 一旦發(fā)現(xiàn)用戶或者系統(tǒng)狀態(tài)違背了正常的行為模式，就表示有攻擊或企圖攻擊行為的發(fā)聲，系統(tǒng)就會 產(chǎn)生入侵警戒信號 來識別已知的攻擊行為 。 5.統(tǒng)計分析異常行為 入侵檢測系統(tǒng) 實時監(jiān)護可疑的網(wǎng)絡(luò)連接、系統(tǒng)日志檢查、非法訪問等，并且提供對 Web 服務(wù)器應(yīng)用等典型應(yīng)用的監(jiān)視， 歸納出主機系統(tǒng)活動的特點和形式 ，進而統(tǒng)計分析異常行為， 及時做出響應(yīng)處理。 2.3 本章小結(jié) 本章首先對“入侵”和“入侵檢測”的概念進行了概述， 然后 對入侵檢測進行進一步的分析，并對入侵檢測系統(tǒng)的主要功能進行了深入探討 。 運城學(xué)院畢業(yè)論文 第 6 頁 共 12 頁 第 3 章 Snort 入侵檢測系統(tǒng)分析 3.1 Snort 入侵檢測系統(tǒng)概述 Snort 是目前最著名、最活躍的開放源碼網(wǎng)絡(luò)入侵檢 測系統(tǒng)。 Snort 定位于輕量級的入侵檢測系統(tǒng)，已經(jīng)實現(xiàn)了網(wǎng)絡(luò)探測器和許多第三方的管理及日志分析 工具，是目 前世界上使用最廣泛的開源入侵檢測系統(tǒng)之一。 Snort 可以完成實時流量分析和對記錄網(wǎng)絡(luò) IP 數(shù)據(jù)包的能力，能夠進行協(xié)議分析、內(nèi)容查找匹配，能夠檢測到緩沖區(qū)溢出，端口掃描、 CGI(comnlon gateway interface)攻擊、SMB(server message block)探測、操作系統(tǒng)指紋探測企圖等。 Snort 可以運行于Linux Unix 系列， Windows 等操作系統(tǒng)，具有良好的跨平臺性，并 提供豐富的報警機制。 Snort 遵循 GPL(general public license)，所以任何企業(yè)、個人、組織都可以免費使用它作為自己的網(wǎng)絡(luò)入侵檢測系統(tǒng)。 Snort 整體設(shè)計編碼簡潔明了，攻擊檢測規(guī)則集已成一定規(guī)模，它的規(guī)則集已經(jīng)被很多其他開放源碼 IDS 項目所兼容。歷經(jīng)數(shù)年的發(fā)展， Snort 已經(jīng)發(fā)展到了 2.8.4 版本。 Snort 基本架構(gòu)在Snort1.6 版本時確立， 2.0 版本開始采用了新型的入侵檢測引擎， 功能更加完善和強大。 Snort 已經(jīng)成為學(xué)習(xí)和研究入侵檢測系統(tǒng)的經(jīng)典實例。 3.2 Snort 系統(tǒng)結(jié)構(gòu) 3.2.1 CIDF 模型 CIDF(Common Intrusion Detection Framework)模型是 1999 年美國國防高級研究項目局 (DARPA) 提出的通用入侵檢測框架模型。該模型旨在提高 IDS 產(chǎn)品、 組件及其他安全產(chǎn)品之間的互操作性。如圖 3.1 所示給出了 CIDF 的體系結(jié)構(gòu)。 圖 3.1 CIDF 體系結(jié)構(gòu) CIDF 將一個入侵檢測系統(tǒng)分為事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫四個組件。 CIDF 將 IDS 需要分析的數(shù)據(jù)統(tǒng)稱為事件 ( Event)， 它可以是基于網(wǎng)絡(luò)的入侵檢測系 統(tǒng)從網(wǎng)絡(luò)中提取的數(shù)據(jù)包 ,也可以是基于主機的入侵檢測系統(tǒng)從系統(tǒng)日志等其他途徑得到的數(shù)據(jù)信息。 CIDF 組件之間是以通用入侵檢測對象(GIDO)的形式 交換數(shù)據(jù)的。事件產(chǎn)生器的任務(wù)是從入侵檢測系統(tǒng)之外的計算環(huán)境中收集事件 ,并將這些事件轉(zhuǎn)換成 CIDF 的 GIDO 格式傳送給其他組件。事件分析器負(fù)責(zé)分析從其他組件收到的 GIDO,并將產(chǎn)生的分析結(jié)果傳送給其他組件。事件數(shù)入侵檢測系統(tǒng)的分析 研究 第 7 頁 共 12 頁 據(jù)庫用來存儲 GIDO,以備系統(tǒng)需要的時候使用。響應(yīng)單元負(fù)責(zé)處理接收到的 GIDO,并據(jù)此采取相應(yīng)的措施。 3.2.2 Snort 體系結(jié)構(gòu) Snort 是一個典型 的遵循 CIDF 模型的入侵檢測系統(tǒng)。如圖 3.2 所示是 Snort的體系結(jié)構(gòu)。 圖 3.2 Snort 體系結(jié)構(gòu) Snort 系統(tǒng)由數(shù)據(jù)包嗅探 ， 包解碼 ， 包預(yù)處理 ， 檢測和輸出 5 個子模塊組成每個模塊對入侵檢測都很關(guān)鍵 。 第一個是捕包裝置 稱 為數(shù)據(jù)包嗅探 Snort 依賴一個外部捕包程序庫 (libpcap)來抓包 ， 在包被以原始狀態(tài)捕獲后要送給包解碼器 解碼器 ，這 是進入 snort 自身體系的第一步 。 包解碼器將特殊協(xié)議元素翻譯成內(nèi)部數(shù)據(jù)結(jié)構(gòu) ， 在最初的捕包和解碼完成后由預(yù)處理程序處理流量 。 許多插入式預(yù)處理程序?qū)ΠM行檢查或操作后將 它們交給下一個模塊檢測引擎 ， 檢測引擎對每個包的一個方面進行簡單的檢驗以檢測入侵最后一個模塊是輸出插件它對可疑行為產(chǎn)生報警 。 3.3 Snort 工作流程 Snort 工作流程如圖 3.3 所示。程序啟動后 ,完成初始化工作 ,對命令行進行解析 ,讀入系統(tǒng)的規(guī)則庫 ,生成用于檢測的二維鏈表 ,然后就進入循環(huán)的檢測過程。 運城學(xué)院畢業(yè)論文 第 8 頁 共 12 頁 初 始 化解 析 命 令 行解 析 規(guī) 則 庫打 開 l i b p c a p 生 成 二 維 鏈 表獲 取 數(shù) 據(jù) 包解 析 數(shù) 據(jù) 包與 二 維 鏈 表 某 結(jié) 點匹 配 ？響 應(yīng) （ A l e r t ， L o g ）NY 圖 3.3 Snort 工作流程圖 3.4 Snort 檢測引擎 檢測引擎是 Snort 中最重要的部分 ,它的作用是探測數(shù)據(jù)包中是否包含著入侵行為。檢 測引擎通過 Snort 規(guī)則來達(dá)到目的 ,規(guī)則被讀入到內(nèi)部的數(shù)據(jù)結(jié)構(gòu)或者鏈表中 ,并與所有的數(shù)據(jù)包比對。如果一個數(shù)據(jù)包與某一規(guī)則匹配 ,就會有相應(yīng)的動作 (記錄日志或告警等 )產(chǎn)生 ,否則數(shù)據(jù)包就會被丟棄。檢測引擎是與時間相關(guān)的組件 ,根據(jù)機器的處理能力和定義的規(guī)則的多少 ,檢測引擎會消耗不同的時間來對不同的數(shù)據(jù)包做出響應(yīng)。當(dāng) Snort 工作在 NIDS 模式的時候 ,如果網(wǎng)絡(luò)中數(shù)據(jù)流量過大 ,有時可能會因為來不及響應(yīng)而丟棄一些包。 3.5 本章小結(jié) 本章分析了 Snort 入侵檢測系統(tǒng)的基本 概念，在此基礎(chǔ)上對 Snort 的 系統(tǒng)結(jié)構(gòu)進行了深入探討， 其中 介紹了 CIDF 模型 以及典型的 Snort 體系結(jié)構(gòu)，然后 進一步入侵檢測系統(tǒng)的分析 研究 第 9 頁 共 12 頁 闡述了 Snort 工作流程 。 其內(nèi)容在本篇論文中起到了舉足輕重的作用。 運城學(xué)院畢業(yè)論文 第 10 頁 共 12 頁 結(jié) 束 語 隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)在人們的生產(chǎn)、生活中扮演著越來越重要的角色 ，同時絡(luò)安全問題也日益突出。檢測技術(shù)作為一種重要的網(wǎng)絡(luò)安全技術(shù)，已經(jīng)成為網(wǎng)絡(luò)安全體系中不可缺少的一部分。入侵檢測系統(tǒng)已成為目前安全工具的主要研究和開發(fā)方向。 本文對入侵檢測系統(tǒng)在網(wǎng)絡(luò)安全中的研究主要體現(xiàn)在以下幾個方面： 1.對網(wǎng)絡(luò)安全進行了概述，提出了入侵檢 測的必要性和 可行性； 2.對“入侵”和“入侵檢測”的概念進行了概述，并深入探討了入侵檢測系統(tǒng)的主要功能； 3.分析了 Snort 入侵檢測系統(tǒng)的基本概念，在此基礎(chǔ)上對 Snort 的系統(tǒng)結(jié)構(gòu)進行了深入探討。 這一部分 是整個 Snort 入侵檢測系統(tǒng)得以 運行和測試以及發(fā)展的基礎(chǔ) 。 入侵檢測系統(tǒng)的分析 研究 第 11 頁 共 12 頁 致 謝 本文從選題，研究，實現(xiàn)，直到論文的審閱修改及最后完成，都是在我的指導(dǎo)老師的精心指導(dǎo)下完成的。在此，我謹(jǐn)以十分誠摯的心情向我的導(dǎo)師表示衷心的感謝！ 在