基于多主体技术入侵检测系统——底层数据库的分析整合---开题报告

厦门大学软件学院毕业设计（论文）开题报告学生姓名班级 学号指导教师姓 名职称 所在单位厦门大学软件学院毕业设计（论文）题 目基于多主体技术入侵检测系统毕业设计（论文）的目标：随着计算机网络越来越复杂，网络管理己变得日益重要，要求网络管理对网络变化做出快速反应，以及为管理大型网络提供必要的手段等等。网络流量分析系统作为网络管理的一个重要的基础系统，对网络的流量进行实时的监控，为后续的网络管理工作，网络黑客攻击防范工作起到了最重要的作用。本入侵系统将用来分析整合snort系统和流量分析系统所取得的警报数据，实现针对不同系统的报警进行分析，把分析前后的数据通过友好的界面展示出来，并将最终数据保存到数据库。在snort系统和流量分析系统的基础上，通过制定一定的准则（如报警数据的源IP地址是否相同），对两个不同系统所抓获的警报数据进行分析整理，在一定的时间内符合准则的报警只给出一次，这样就大大的减少了系统的误报和冗余警报。实现方法：根据基于多主体的入侵检测系统的开发目的及设计目标，将系统定位于一个包含抓获分析snort系统报警数据、抓获分析基于流量监控系统报警数据、整合来自两个系统的数据存取、实时扫描和界面显示等几个模块。其中snort系统和基于流量监控系统需要通过安装winpcap包协议让其能够在windows平台运行。Snort需要通过配置其抓获数据包的规则，从而获得报警的数据，同时对snort的命令也要有所了解。并且在snort中它已经拥有自己的数据库系统，所获得的报警数据都存在于它自己的数据库中，所以我们需要把它进一步分析、整合进我们的系统数据库中。基于流量的监控系统是直接调用winpcap的API进行捕获数据包，然后把流量比较大的一类数据包报警，我们主要是抓取它的报警数据跟snort系统的报警数据进行比较、分析、整合，存入我们系统的数据库。实时扫描是整个系统比较关键的部分，因为报警如果失去了实时性就失去了意义，所以我们默认的让系统每秒钟扫描一次snort系统和基于流量的监控系统的数据库，并进行分析整合，使得基于多主体入侵检测系统的其他部分能够很及时的取得所需要的数据。当然系统还能够设置扫描的间隔时间，这样系统就有一定的灵活性。界面显示主要是把snort系统、基于流量的监控系统和整合后的数据展示出来，让我们能够直观的看到数据整合前后的区别，直观的体会到系统在报警误报与冗余方面的性能的提高。时间进度安排：2008年11月17日-2009年1月12日阅读文献资料，理解任务，拟定方案，完成开题报告2009年1月13日-2009年3月20日编写自己的对毕设项目的需求分析，准备好各种所需素材，配置好项目所需的环境，完成中期检查报告2009年3月21日-2009年5月10日完成项目的编写工作，实现所需功能。2009年5月11日-2009年5月31日对所实现的项目进行测试工作，编写整理项目文档、论文撰写。2009年6月01日-2009年6月10日论文定稿、论文答辩指导教师审核意见： 校内指导教师签名： 2008年 月 日厦门大学软件学院毕业设计（论文）中期检查报告学生姓名班级六班学号23020051204669指导教师姓名职称副教授毕业设计（论文）题 目基于多主体技术入侵检测系统毕业设计（论文）的目标和主要任务：本入侵系统将用来分析整合snort系统和流量分析系统所取得的警报数据，实现针对不同系统的报警进行分析，把分析前后的数据通过友好的界面展示出来，并将最终数据保存到数据库。在snort系统和流量分析系统的基础上，通过制定一定的准则（如报警数据的源IP地址是否相同），对两个不同系统所抓获的警报数据进行分析整理，在一定的时间内符合准则的报警只给出一次，这样就大大的减少了系统的误报和冗余警报。系统定位于一个包含抓获分析snort系统报警数据、抓获分析基于流量监控系统报警数据、整合来自两个系统的数据存取、实时扫描和界面显示等几个模块。其中snort系统和基于流量监控系统需要通过安装winpcap包协议让其能够在windows平台运行。Snort需要通过配置其抓获数据包的规则，从而获得报警的数据，同时对snort的命令也要有所了解。并且在snort中它已经拥有自己的数据库系统，所获得的报警数据都存在于它自己的数据库中，所以我们需要把它进一步分析、整合进我们的系统数据库中。基于流量的监控系统是直接调用winpcap的API进行捕获数据包，然后把流量比较大的一类数据包报警，我们主要是抓取它的报警数据跟snort系统的报警数据进行比较、分析、整合，存入我们系统的数据库。实时扫描是整个系统比较关键的部分，因为报警如果失去了实时性就失去了意义，所以我们默认的让系统每秒钟扫描一次snort系统和基于流量的监控系统的数据库，并进行分析整合，使得基于多主体入侵检测系统的其他部分能够很及时的取得所需要的数据。当然系统还能够设置扫描的间隔时间，这样系统就有一定的灵活性。界面显示主要是把snort系统、基于流量的监控系统和整合后的数据展示出来，让我们能够直观的看到数据整合前后的区别，直观的体会到系统在报警误报与冗余方面的性能的提高。实现方法：一、基本环境开发工具：Eclipse开发语言：Java数据库：MySQL后台系统：snort系统、流量分析系统已经完成毕业设计（论文）任务的情况：抓获分析snort系统和基于流量监控系统报警数据：基本需求一、 抓获分析snort系统报警数据1）、了解snort系统2）、安装配置snort系统3）、运行snort系统并获取数据4）、分析数据二、 抓获分析流量监控系统报警数据1）、了解流量监控系统2）、运行并获取流量监控系统报警数据3）、分析数据已完成的工作：一、抓获分析snort系统报警数据 1）、了解snort系统snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。在该系统中它工作在网络入侵检测系统的模式下面，这样方便系统取得报警数据。2）、安装配置snort系统在windows下使用snort需要安装winpcap、mysql等软件安装mysql、snort与winPCAP首先到以下地方得到我们所需要的软件的最近版本1、snort.exe 2、WinPcap_3_2_alpha1.exe（windows版本的PCAP） http:/winpcap.polito.it3、mysql-5.0.16-win32.zip（windows版本的mysql数据库服务器） 得到软件包后，都按照默认的方式安装，为安全起见，我们配置Mysql帐号 为默认root 帐号添加口令： c:cd mysqlbin c:mysql mysql mysqlset password for rootlocalhost = password(your password ); 建立snort 运行必须的snort 库和snort_archive 库 mysqlcreate database flow; mysqlcreate database snort_archive; 使用c:snortcontrib 目录下的create_mysql 脚本建立Snort 运行必须的数据表 c:mysqlbinmysql -D snort -u root -p c:snortcontribcreate_mysql enter password : * c:mysqlbinmysql -D snort_archive -u root -p source create_mysql简单的snort配置 打开snort安装路径下（如C:Snortetc）的snort.conf文件（可以使用记事本或是写字板打开） 配置： var RULE_PATH c:/snort/rules（配置rules的绝对路径） include c:snortetcclassification.config（classification.config的绝对路径） include C:Snortetcreference.config（） 配置snort的输出插件： output database: alert, Mysql, host=localhost port=3306 dbname=flow user=root password=your_password sensor_name=n encoding=ascii detail=Full 由于系统的Mysql和snort在同一台服务器上，所以用的是root帐号登陆，如果不是在本地的Mysql服务器，使用： output database: alert, Mysql, host=39 port=3306 dbname=snort_ncool_1 user=snort password=your_password sensor_name=n encoding=ascii detail=Full 其他的设定及命令含义请参考snort相关资料。3）、运行snort系统并获取数据现在你可以在命令提示符里输入： c:snortbinsnort c c:snortetcsnort.conf l c:snortlog d e v 测试你的snort的配置情况，并检查所获得的数据是否存进mysql的flow中。二、 抓获分析流量监控系统报警数据1）、了解流量监控系统基于Winpcap的流量监控系统是基于Winpcap 协议进行开发的，采用Visual C+作为开发平台，MySQL 作为后台的数据库管理系统，提供良好的用户管理界面，可以实现对本地网络流量的实时监控、统计分析,并提供异常流量的查询功能，从而能对网络中可能存在的拒绝服务攻击进行检测。整个系统使用C 语言编写后台数据包捕获程序，VC+作为前台的界面显示， MySQL 作为流量分析系统的数据库管理系统，以MySQL 数据库作为前后台交互的中间层，使后台数据包的捕获和前台的数据流量实时监控以及对历史数据查询得以很好的实现。2）、运行并获取流量监控系统报警数据流量监控系统分后台的数据包捕获程序和前台用户界面两个部分，要分别运行两个部分才能获得该系统的报警数据。存在的问题和困难（包括需要学院协助解决的问题和困难）：抓获分析snort系统和基于流量监控系统报警数据:(1) 分析snort系统数据 这个模块还没有完成，主要是对整个snort数据库的结构还不够熟悉，有些表的作用不够明确，还不能完整的提取出所有需要的关键数据，对于进一步分析也存在问题。(2) 分析流量监控系统数据 该模块的数据相对snort系统的数据比较简单，单纯的从alarm表中提取就可以，但是如何对取得的数据进行分析还没有确定算法。 指导教师审核意见： 校内指导教师签名： 2009年 月 日学院检查组意见： 学院检查组组长（签章）： 2009年 月 日毕业论文任务书（以下由学生填写）题 目：基于多主体技术入侵检测系统目标要求：1) 减少入侵检测系统的误报和降低冗余2) 网络系统受到危害之前拦截和响应入侵3) 直观的用户界面4) 独特的自我学习功能支持条件：界面开发：JDK1.6 eclipse运行环境：windows指导教师（签名） 职称 学生（签名） 分阶段进度安排阶段起讫时间计划完成内容12008年11月17日- 2009年1月 12日 阅读文献资料，理解任务，拟定方案，完成开题报告22009年1月13日-2009年3月20日 编写自己的对该系统的需求分析，准备好各种所需素材，配置好项目所需的环境，完成中期检查报告32009年3月21日-2009年5月10日完成项目的编写工作，实现所需功能42009年5月11日-2009年5月31日对所实现的项目进行测试工作，编写整理项目文档。论文撰写。52009年6月1日-2009年6月10日确认软件功能，编写用户文档，做一简单的软件主页。论文定稿、论文答辩注：一般可分为资料文献搜索、拟定方案（提纲）、试验或初稿、定稿等阶段教师分阶段指导记录第一阶段：2008-112009-1根据所提供的课题范围进行选题，并进行资料的调研整理工作第二阶段2008-112009-1：根据所提供的课题范围进行选题，并进行资料的调研整理工作第三阶段2009-32009-5：根据课题的具体要求，结合前期调研的资料，进行相关技术的研究学习，完成课题的总体方案设计；第四阶段2009-52009-6：完成具体的系统以及