答辩 136 美乐辰

1、兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院分布式入侵检测系统分布式入侵检测系统及其在多园区校园网中的应用及其在多园区校园网中的应用姓姓 名：名：XXXXXX指导教师：指导教师：XXX XXXXXX XXX工程领域：电子与通信工程工程领域：电子与通信工程所在学院：电子与信息工程学院所在学院：电子与信息工程学院2016年年5月月11日日兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院研究的背景和意义研究的背景和意义校园网已成为各个学校进行教学科研、信校园网已成为各个学校进行教学科研、信息交流、资源共享、文献检索等必不可少的一息交流、资源共享、文献检

2、索等必不可少的一部分。然而在享受校园网极大便利的同时，网部分。然而在享受校园网极大便利的同时，网络安全问题也变得越来越突出。校园网正面临络安全问题也变得越来越突出。校园网正面临着病毒侵害、黑客攻击、内部威胁、安全漏洞着病毒侵害、黑客攻击、内部威胁、安全漏洞、缺乏管理和滥用网络资源等一系列的安全问、缺乏管理和滥用网络资源等一系列的安全问题。题。兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院目前，我国大部分高校的校园网安全体系目前，我国大部分高校的校园网安全体系结构仍然采用防火墙和网络版杀毒软件的方式结构仍然采用防火墙和网络版杀毒软件的方式。这种方式对于来自校园网外部常见的

3、攻击和。这种方式对于来自校园网外部常见的攻击和各种已知病毒能起到较好的防护作用，但是对各种已知病毒能起到较好的防护作用，但是对于来自校园网内部的攻击和网络蠕虫病毒却效于来自校园网内部的攻击和网络蠕虫病毒却效果不佳。随着攻击者技能的日趋成熟，攻击手果不佳。随着攻击者技能的日趋成熟，攻击手段和攻击工具的日趋复杂多样化，这种方式已段和攻击工具的日趋复杂多样化，这种方式已经无法满足网络安全的需要，部署分布式入侵经无法满足网络安全的需要，部署分布式入侵检测系统就成了校园网安全体系中必不可少的检测系统就成了校园网安全体系中必不可少的重要组成部分。重要组成部分。 兰兰 州州 交交 通通 大大 学学电子与信息

4、工程学院电子与信息工程学院工程设计背景工程设计背景本研究课题就是以兰州城市学院校园网为本研究课题就是以兰州城市学院校园网为背景设计了一个分布式入侵检测系统。兰州城背景设计了一个分布式入侵检测系统。兰州城市学院校园网由三个校区组成：西校区、培黎市学院校园网由三个校区组成：西校区、培黎校区和东校区，校区之间通过租赁中国电信的校区和东校区，校区之间通过租赁中国电信的10M10M光纤进行连接。校园网的管理中心设在西光纤进行连接。校园网的管理中心设在西校区，其网络体系结构如下图所示。校区，其网络体系结构如下图所示。兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通

5、通 大大 学学电子与信息工程学院电子与信息工程学院系统物理结构系统物理结构兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院系统逻辑结构系统逻辑结构 兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院误用检测子系统误用检测子系统 误用检测子系统用来对常规的、已知的攻误用检测子系统用来对常规的、已知的攻击行为进行检测。相对于异常检测技术，误用击行为进行检测。相对于异常检测技术，误用检测技术显得更加有效和成熟。检测技术显得更加有效和成熟。 兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学

6、院电子与信息工程学院异常检测子系统异常检测子系统 异常检测子系统用来对未知的、新型的攻异常检测子系统用来对未知的、新型的攻击行为进行检测。异常检测系统检测出的不是击行为进行检测。异常检测系统检测出的不是已知的入侵行为，而是所研究的通信过程中的已知的入侵行为，而是所研究的通信过程中的异常现象。异常现象。兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院攻击源追踪子系统攻击源追踪子系统 攻击源追踪子系统主要用来实现整个系统攻击源追踪子系统主要用来实现整个系统的攻击源追踪和定位功能，即当发现攻击行为的攻击源追踪

7、和定位功能，即当发现攻击行为时，特别是拒绝服务攻击或假冒源地址的分布时，特别是拒绝服务攻击或假冒源地址的分布式拒绝服务攻击时进行真实源攻击者地址的追式拒绝服务攻击时进行真实源攻击者地址的追踪。踪。 兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院管理子系统管理子系统 管理子系统主要用来实现整个分布式入侵管理子系统主要用来实现整个分布式入侵检测系统的管理、维护和监视，以友好的人机检测系统的管理、维护和监视，以友好的人机交互界面和管理员交互。交互界面和管理员交互。兰兰 州州 交交 通通 大大 学学电子与信息

8、工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院误用检测与异常检测的实现误用检测与异常检测的实现 检测流程检测流程 在本系统中综合应用了误用检测和异常检在本系统中综合应用了误用检测和异常检测，这样可以提高检测的准确性，其检测流程测，这样可以提高检测的准确性，其检测流程如下图所示。如下图所示。兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院捕获网络数据包捕获网络数据包因为因为SnortSnort没有自己的数据采集工具，所以没有自己的数据采集工具，所以需要外部

9、的数据包捕获程序需要外部的数据包捕获程序WinpcapWinpcap来实现。来实现。WinpcapWinpcap是由伯克利分组捕获库派生而来的是由伯克利分组捕获库派生而来的分组捕获库程序，它可以在分组捕获库程序，它可以在WindowsWindows操作平台操作平台上实现底层包的截取和过滤。开发上实现底层包的截取和过滤。开发WinpcapWinpcap的的目的是为目的是为Win32Win32应用程序提供访问网络底层的应用程序提供访问网络底层的能力。能力。 兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院 SnortSnort的安装与配置的安装与配置下载安装下载安装Snort

10、Snort，安装完成后，进入，安装完成后，进入SnortSnort的安装目录，将的安装目录，将SnortSnort的规则文件和配置文件的规则文件和配置文件复制到相应目录中，并创建一个日志目录来保复制到相应目录中，并创建一个日志目录来保存以后产生的报警和日志文件。存以后产生的报警和日志文件。为了使为了使SnortSnort能够正常运行，还需要对能够正常运行，还需要对Snort.confSnort.conf文件进行相应的配置，包括以下几文件进行相应的配置，包括以下几个方面：个方面： 兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院(1) (1) 设置网络变量设置网络变量; ;

11、 (2) (2) 配置预处理程序配置预处理程序; ; (3) (3) 配置输出插件配置输出插件; ; (4) (4) 配置入侵规则库。配置入侵规则库。兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院搭建数据库平台搭建数据库平台 各个数据库服务器主要是从入侵检测系统各个数据库服务器主要是从入侵检测系统中收集报警数据，并且将它存入到对应的数据中收集报警数据，并且将它存入到对应的数据库中。利用关系型数据库对数据量相当大的报库中。利用关系型数据库对数据量相当大的报警数据进行组织管理是最有效的方法，并且存警数据进行组织管理是最有效的方法，并且存入关系数据库后能对其进行分类，查询和按

12、优入关系数据库后能对其进行分类，查询和按优先级组织排序等处理。先级组织排序等处理。 兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院MySQLMySQL是一个快速的客户机是一个快速的客户机/ /服务器结构的服务器结构的SQLSQL数据库管理系统，开发者为瑞典数据库管理系统，开发者为瑞典MySQL ABMySQL AB公司，其功能强大、灵活性好、应用编程接口公司，其功能强大、灵活性好、应用编程接口丰富并且系统结构精巧。丰富并且系统结构精巧。 MySQLMySQL数据库采用默认方式安装后，设置数据库采用默认方式安装后，设置MySQLMySQL为服务方式运行。然后启动为服务方式

13、运行。然后启动MySQLMySQL服务，服务，进入命令行状态，创建进入命令行状态，创建SnortSnort运行必需的存放运行必需的存放系统日志的系统日志的SnortSnort库和库和Snort_archiveSnort_archive库。同时库。同时使用使用SnortSnort目录下的目录下的create_mysqlcreate_mysql脚本建立脚本建立SnortSnort运行所需的数据表，用来存放系统日志运行所需的数据表，用来存放系统日志和报警信息。和报警信息。 兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院为了直观地显示数据库的存储及运行情况为了直观地显示数据库的

14、存储及运行情况，并且方便用户对数据库进行操作，还须安装，并且方便用户对数据库进行操作，还须安装基于基于phpphp的的MySQLMySQL数据库管理程序数据库管理程序phpmyadminphpmyadmin，通过它可以在图形界面下对数据库进行查询和通过它可以在图形界面下对数据库进行查询和管理，十分便利。管理，十分便利。兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院分析与管理分析与管理 在系统中采用了拥有图形用户界面的报警在系统中采用

15、了拥有图形用户界面的报警管理工具管理工具ACIDACID。 首先安装首先安装apacheapache并且将其作为服务方式运并且将其作为服务方式运行，在配置中添加行，在配置中添加apacheapache对对phpphp的支持，然后的支持，然后将将adodbadodb和和jpgraphjpgraph安装在安装在phpphp的目录下，最后的目录下，最后安装安装ACIDACID并修改其配置文件并修改其配置文件acid_conf.phpacid_conf.php。 兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院通过上述的安装与配置就可以进行入侵检通过上述的安装与配置就可以进行入侵

16、检测了。测了。将将SnortSnort运行在入侵检测模式下，启动运行在入侵检测模式下，启动WebWeb服务器，在主机上通过浏览器来查看报警日志服务器，在主机上通过浏览器来查看报警日志信息，运行信息，运行ACIDACID，对报警事件进行统计分析。，对报警事件进行统计分析。兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院攻击源追踪的实现攻击源追踪的实现 在攻击源追踪子系统中，除了使用在攻击源追踪子系统中，除了使用MRTGMRTG进进行网络数据包的捕获与流量分析外，还引入了行网络数据包的捕获与流量分析外，还引

17、入了认证服务器和智能终端。认证服务器和智能终端。 兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院认证服务器和智能终端认证服务器和智能终端认证服务器其实质是一台安装了认证服务认证服务器其实质是一台安装了认证服务端软件的服务器，接在校园网的核心交换层的端软件的服务器，接在校园网的核心交换层的交换机上。交换机上。智能终端是安装在各个客户机上的认证软智能终端是安装在各个客户机上的认证软件。在本系统中，采用与核心交换机相配套的件。在本系统中，采用与核心交换机相配套的H3C iNodeH3C iNode系统。系统。接入校园网的所有用户，都需要先到网络接入校园网的所有用户，都需要先到

18、网络信息中心进行实名信息的注册。信息中心进行实名信息的注册。 兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院然后下载和安装客户端软件，并且进行简然后下载和安装客户端软件，并且进行简单的配置。不管是使用局域网还是使用单的配置。不管是使用局域网还是使用InternetInternet，都必须先进行登录认证。，都必须先进行登录认证。兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院只有通过了登录认证后才能使用各种网络资源只有通过了登录认证后才能使用各种网络资源。兰兰 州州 交交 通通 大

19、大 学学电子与信息工程学院电子与信息工程学院通过上述策略，凡是在校园网中的用户，通过上述策略，凡是在校园网中的用户，都可以通过后台对其各种活动进行监控。其中都可以通过后台对其各种活动进行监控。其中包括上网时间、上网时长，流入字节数，流出包括上网时间、上网时长，流入字节数，流出字节数、字节数、IPIP地址、地址、NASNAS地址、地址、MACMAC地址等信息。地址等信息。当然，下线用户的相关信息也可以进行查询。当然，下线用户的相关信息也可以进行查询。在入侵检测过程中，如果发现问题，则可在入侵检测过程中，如果发现问题，则可以在这儿检查必要的信息，进行攻击源的追踪以在这儿检查必要的信息，进行攻击源的

20、追踪和做进一步的处理。和做进一步的处理。 兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院流量监控流量监控在攻击源追踪子系统中，流量监控非常重在攻击源追踪子系统中，流量监控非常重要。在本系统中，选用了一台高性能的服务器要。在本系统中，选用了一台高性能的服务器安装了安装了MRTGMRTG，然后在需要监控的交换机上进行，然后在需要监控的交换机上进行了相关的配置，这样就可

21、以对整个网络的流量了相关的配置，这样就可以对整个网络的流量情况进行详细的监控。情况进行详细的监控。兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州

22、交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院结结 论论本文首先系统地介绍入侵检测系统的相关本文首先系统地介绍入侵检测系统的相关知识，然后通过分析校园网的安全现状和校园

23、知识，然后通过分析校园网的安全现状和校园网的网络拓扑结构，设计了一种分布式入侵检网的网络拓扑结构，设计了一种分布式入侵检测系统。系统能够满足校园网等大规模局域网测系统。系统能够满足校园网等大规模局域网的入侵检测需要。的入侵检测需要。兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院创新点说明创新点说明本系统综合应用了现有的入侵检测技术，并且在本系统综合应用了现有的入侵检测技术，并且在以下几个方面有所突破和创新：以下几个方面有所突破和创新： 全新分布式结构设计；全新分布式结构设计； 综合应用误用检测和异常检测；综合应用误用检测和异常检测； 引入了认证服务器和智能客户端，对攻击源追引入了认证服务器和智能客户端，对攻击源追踪和校园网管理起到了支撑作用；踪和校园网管理起到了支撑作用； 检测代理、统计服务器、管理服务器、认证服检测代理、统计服务器、管理服务器、认证服务器相对独立的设计，不但提高了入侵检测的效率，务器相对独立的设计，不但提高了入侵检测的效率，而且加强了入侵检测系统本身的安全性。而且加强了入侵检测系统本身的安全性。 兰兰 州州 交交 通通 大大 学学电子与信息工程学院电子与信息工程学院工作展望工作展望 分布式入侵检测系统与防火墙、杀毒软分布式入侵检测系统与防火墙、杀毒软件之间的联动问题；件之间的联动问题； 监测代理之间的协同工作问题；监测代理之间的协同工