基于snort的入侵检测方案设计无线网络论文

1、 PAGE22 / NUMPAGES29无线网络论文题 目： 基于snort的入侵检测方案设计毕业设计（论文）原创性声明和使用授权说明原创性声明本人重承诺：所呈交的毕业设计（论文），是我个人在指导教师的指导下进行的研究工作与取得的成果。尽我所知，除文中特别加以标注和致的地方外，不包含其他人或组织已经发表或公布过的研究成果，也不包含我为获得与其它教育机构的学位或学历而使用过的材料。对本研究提供过帮助和做出过贡献的个人或集体，均已在文中作了明确的说明并表示了意。作 者 签 名：日 期：指导教师签名： 日期：使用授权说明本人完全了解大学关于收集、保存、使用毕业设计（论文）的规定，即：按照学校要求提交

2、毕业设计（论文）的印刷本和电子版本；学校有权保存毕业设计（论文）的印刷本和电子版，并提供目录检索与阅览服务；学校可以采用影印、缩印、数字化或其它复制手段保存论文；在不以赢利为目的前提下，学校可以公布论文的部分或全部容。作者签名： 日 期：学位论文原创性声明本人重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。除了文中特别加以标注引用的容外，本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。作者签名： 日期： 年 月 日学位论文使用授权书本学位论文作者完全了解学校有

3、关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权大学可以将本学位论文的全部或部分容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。涉密论文按学校规定处理。作者签名：日期： 年 月 日导师签名： 日期： 年 月 日注意事项1.设计（论文）的容包括：1）封面（按教务处制定的标准封面格式制作）2）原创性声明3）中文摘要（300字左右）、关键词4）外文摘要、关键词5）目次页（附件不统一编入）6）论文主体部分：引言（或绪论）、正文、结论7）参考文献8）致9）附录（对论文支持必要时）2.论文字数要求：理工

4、类设计（论文）正文字数不少于1万字（不包括图纸、程序清单等），文科类论文正文字数不少于1.2万字。3.附件包括：任务书、开题报告、外文译文、译文原文（复印件）。4.文字、图表要求：1）文字通顺，语言流畅，书写字迹工整，打印字体与大小符合要求，无错别字，不准请他人代写2）工程设计类题目的图纸，要求部分用尺规绘制，部分用计算机绘制，所有图纸应符合国家技术标准规。图表整洁，布局合理，文字注释必须使用工程字书写，不准用徒手画3）毕业论文须用A4单面打印，论文50页以上的双面打印4）图表应绘制于无格子的页面上5）软件工程类课题应有程序清单，并提供电子文档5.装订顺序1）设计（论文）2）附件：按照任务书、

5、开题报告、外文译文、译文原文（复印件）次序装订摘要由于计算机技术的飞速发展，计算机网络的应用也越来越广泛。然而随之而来的各种病毒的困扰与黑客行为的不断升级，网络安全已经成为了一个非常重要而且是必须考虑的问题之一了。通过对计算机网络安全存在的问题进行深入剖析，并提出了相应的安全防技术措施。 近年来，随着计算机网络技术的飞速发展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量信息的同时，计算机网络的安全性变得日益重要起来，由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素，致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安

6、全与网络畅通，研究计算机网络的安全与防护措施已迫在眉捷。本人结合实际经验，对计算机网络安全与防护措施进行了探讨。 关键词 计算机网络；安全；因素；入侵检测AbstractDue to the rapid development of computer technology, the computer network is applied more and more extensively. However, the ensuing viral distress and hacking is ceaseless upgrade, network security has become a ver

7、y important and must be considered one of the problems. Through the computer network security problems in-depth analysis, and put forward the corresponding security measures. In recent years, with the rapid development of computer network technology, especially Internet applications become more and

8、more widely, in brought hitherto unknown mass of information at the same time, computer network security has become increasingly important, due to computer network connection form multiplicity, terminal distribution inhomogeneity, network openness and network the sharing of resources and other facto

9、rs, resulting in the computer network vulnerable to virus, hackers, malicious software and other misconduct of the attack. In order to ensure the information safety and network unimpeded, study the computer network security and protective measures already approach is in eyebrow nimble. Combining wit

10、h the practical experience, the computer network security and protective measures are discussed.Keywordscomputer network,Security, Factors,intrusion detectionTOC o 1-3 h z uHYPERLINK l _Toc326761150摘要 PAGEREF _Toc326761150 h IHYPERLINK l _Toc326761151Abstract PAGEREF _Toc326761151 h IIHYPERLINK l _T

11、oc326761152第1章网络安全概述 PAGEREF _Toc326761152 h 1HYPERLINK l _Toc3267611531.1网络安全基础知识 PAGEREF _Toc326761153 h 1HYPERLINK l _Toc3267611541.1.1网络安全的定义 PAGEREF _Toc326761154 h 1HYPERLINK l _Toc3267611551.1.2网络安全的特征 PAGEREF _Toc326761155 h 2HYPERLINK l _Toc3267611561.1.3网络安全的重要性 PAGEREF _Toc326761156 h 2HY

12、PERLINK l _Toc326761157第2章 安全威胁与防护措施 PAGEREF _Toc326761157 h 4HYPERLINK l _Toc3267611582.1基本概念 PAGEREF _Toc326761158 h 4HYPERLINK l _Toc3267611592.2 安全威胁的来源 PAGEREF _Toc326761159 h 4HYPERLINK l _Toc3267611602.2.1基本威胁 PAGEREF _Toc326761160 h 4HYPERLINK l _Toc3267611612.2.2主要的可实现的威胁 PAGEREF _Toc326761

13、161 h 5HYPERLINK l _Toc3267611622.2.3潜在威胁 PAGEREF _Toc326761162 h 5HYPERLINK l _Toc3267611632.3网络安全防护措施 PAGEREF _Toc326761163 h 6HYPERLINK l _Toc3267611642.3.1计算机病毒的防技术 PAGEREF _Toc326761164 h 6HYPERLINK l _Toc3267611652.3.2身份认证技术 PAGEREF _Toc326761165 h 6HYPERLINK l _Toc3267611662.3.3入侵检测技术 PAGEREF

14、 _Toc326761166 h 7HYPERLINK l _Toc326761167第3章入侵检测原理 PAGEREF _Toc326761167 h 8HYPERLINK l _Toc3267611683.1入侵检测的概述 PAGEREF _Toc326761168 h 8HYPERLINK l _Toc3267611693.1.1入侵检测的功能 PAGEREF _Toc326761169 h 8HYPERLINK l _Toc3267611703.1.2入侵检测的模型 PAGEREF _Toc326761170 h 8HYPERLINK l _Toc3267611713.1.3入侵检测的

15、流程 PAGEREF _Toc326761171 h 9HYPERLINK l _Toc3267611723.2入侵检测的分析技术 PAGEREF _Toc326761172 h 9HYPERLINK l _Toc3267611733.2.1异常检测 PAGEREF _Toc326761173 h 10HYPERLINK l _Toc3267611743.3 Snort PAGEREF _Toc326761174 h 错误！未定义书签。HYPERLINK l _Toc326761175第4章 Snort 介绍 PAGEREF _Toc326761175 h 13HYPERLINK l _Toc

16、3267611764.1 Snort 体系结构 PAGEREF _Toc326761176 h 13HYPERLINK l _Toc3267611774.2 Snort 规则 PAGEREF _Toc326761177 h 14HYPERLINK l _Toc3267611784.5 实验容与步骤 PAGEREF _Toc326761178 h 14HYPERLINK l _Toc3267611794.5.1 Windows 平台下Snort 的安装与配置 PAGEREF _Toc326761179 h 14HYPERLINK l _Toc3267611804.6 Windows 平台下Sno

17、rt的使用 PAGEREF _Toc326761180 h 16HYPERLINK l _Toc326761181总结 PAGEREF _Toc326761181 h 22HYPERLINK l _Toc326761182参考文献 PAGEREF _Toc326761182 h 23第1章 网络安全概述随着计算机网络技术在各领域的普遍应用，现代社会的人们对于信息网络的依赖性正与日俱增。网络的用户涵盖了社会的方方面面，大量在网络中存储和传输的数据承载着社会的虚拟财富，这对计算机网络的安全性提出了严格的要求。然而与此同时，黑客技术也在不断发展，大量黑客工具在网络上广泛流传，使用这些工具的技术门槛越

18、来越低，从而造成全球围网络攻击行为的泛滥，对信息财富造成了极大的威胁。因此，掌握网络安全的知识，保护网络的安全已经成为确保现代社会稳步发展的必要条件。本章首先从网络安全的基础知识出发，介绍了网络安全的定义和特征；接着总结了威胁网络安全的主要因素。1.1网络安全基础知识1.1.1网络安全的定义“安全”一词在字典中被定义为“远离危险的状态或特性”和“为防间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施。”网络安全从其本质上来讲就是网络上的信息安全。它涉与的领域相当广泛。从广义上来说，凡是涉与网络上的性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。网络安全的一个通用定

19、义是指网络系统的硬件、软件与其系统中的数据受到保护，不因偶然的原因而遭到破坏、更改或泄露，系统连续、可靠、正常地运行，服务不中断。从用户（个人、企业等）的角度来说，他们希望涉与个人隐私或商业利益的信息在网络上传输时受到性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改和抵赖等手段对用户的利益和隐私造成损害和侵犯，同时也希望当用户的信息保存在某个计算机系统上时，不受其他非法用户的非授权访问和破坏。从网络运行和管理者的角度来说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现病毒、非法存取、拒绝服务和网络资源的非法占用与非法控制等威胁，制止和防御网络“黑客”的攻击。对安

20、全部门来说，他们希望对非法的、有害的或涉与国家的信息进行过滤和防堵，避免其通过网络泄露，避免由于这类信息的泄密对社会产生危害，对国家造成巨大的经济损失，甚至威胁到国家安全。从社会教育和意识形态角度来讲，网络上不健康的容，会对社会的稳定和发展造成阻碍，必须对其进行控制。因此，网络安全在不同的环境和应用中会得到不同的解释，下面列出几种安全种类：运行系统安全即保证信息处理和传输系统的安全。包括计算机系统机房环境的保护，法律、政策的保护，计算机结构设计上的安全性考虑，硬件系统的可靠安全运行，计算机操作系统和应用软件的安全，数据库系统的安全，电磁信息泄露的防护等。它侧重于保证系统正常的运行，避免因为系统

21、的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失，避免由于电磁泄露产生信息泄露，干扰他人（或受他人干扰），本质上是保护系统的合法操作和正常运行。网络上系统信息的安全包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治和数据加密等。网络上信息传播的安全即信息传播后的安全，包括信息过滤等。它侧重于保护信息的性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充和诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私。显而易见，网络安全与其所保护的信息对象有关。其本质是在信息的安全期保证其在网络上流动时或者静态存放时不被非授权用户非法访

22、问，但授权用户却可以访问。网络安全、信息安全和系统安全的研究领域是相互交叉和紧密相连的。本书中所讲的网络安全是指通过各种计算机、网络、密码技术和信息安全技术，保证在公有通信网络中传输、交换和存储信息的性、完整性和真实性，并对信息的传播与容具有控制能力，不涉与网络可靠性、信息的可控性、可用性和互操作性等领域。1.1.2网络安全的特征网络安全应具有以下4个方面的特征：1.性性指信息不泄露给非授权用户、实体、过程或供其利用的特性。2.完整性完整性指数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。3.可用性可用性指可被授权实体访问并按需求使用的特性。即当需要

23、时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。4.可控性可控性指对信息的传播与容具有控制能力1.1.3网络安全的重要性随着网络的快速普与，网络以其开放、共享的特性对社会的影响也越来越大，信息网络已经成为社会发展的重要保证。信息网络涉与到国家的政治、军事、文教等诸多领域，其中存储、传输和处理的信息有许多是政府文件、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息，还有很多是敏感信息，甚至是国家。所以难免会吸引来自世界各地的各种人为攻击（例如信息泄露、信息窃取、数据篡改、计算机病毒等）。同时，网络实体还要经受诸如水灾、火灾、地震

24、、电磁辐射等方面的考验。近年来，计算机犯罪案件也急剧上升，计算机犯罪已经成为普遍的国际性问题。据美国联邦调查局的报告，计算机犯罪是商业犯罪中所占比例最大的犯罪类型之一。计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性等特点。通常很难留下犯罪证据，这大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加，使各国的计算机系统特别是网络系统面临着很大的威胁，并成为严重的社会问题之一。大量事实表明，确保网络安全已经是一件刻不容缓的大事。有人估计，未来计算机网络安全问题比核威胁还要严重，因此，研究网络安全课题具有十分重要的理论意义和实际背景。据美国AB联合会组织的调查和专家估计，美国每年因计算

25、机犯罪所造成的经济损失高达150亿美元。近几年国外很多著名站点被黑客恶意修改，在社会上造成许多不良的影响，也给这些站点的运维者带来了巨大的经济损失。利用计算机通过Internet窃取军事的事例，在国外也是屡见不鲜。美国、德国、英国、法国和国等国的黑客曾利用Internet网分别进入五角大楼、航天局、北约总部和欧洲核研究中心的计算机数据库。我国信息化进程虽然刚刚起步，但是发展迅速，同时安全问题也日益严重。在短短的几年里，发生了多起危害计算机网络的安全事件，必须采取有力的措施来保护计算机网络的安全。广义上的网络安全还应该包括如何保护部网络的信息不从部泄露、如何抵制文化侵略、如何防止不良信息的泛滥等

26、。未来的战争将是信息战争，信息安全关系到国家的主权和利益，关系着国家的安全。因此网络安全技术研究的重要性和必要性是显而易见的。计算机网络的发展，使信息的共享应用日益广泛与深入。但是信息在公共通信网络上存储、共享和传输，可能面临的威胁包括被非法窃听、截取、篡改或毁坏等，这些威胁可能给网络用户带来不可估量的损失，使其丧失对网络的信心。尤其是对银行系统、商业系统、管理部门、政府或军事领域而言，信息在公共通信网络中的存储与传输过程中的数据安全问题更是备受关注。安全威胁与防护措施2.1基本概念所谓安全威胁，是指某个人、物、事件或概念对某一资源的性、完整性、可用性或合法使用所造成的危险。攻击就是安全威胁的

27、具体实施。所谓防护措施，是指保护资源免受威胁的一些物理的控制、机制、策略和过程。微弱性是指在实施保护措施中或缺少防护措施时，系统所具有的弱点。所谓风险，是对某个已知的、可能引发某种成功攻击的脆弱性的代价的测度。当某个脆弱的资源的价值越高，且成功攻击的概率越大时，风险就越高；反之，当某个脆弱资源的价值越低，且成功攻击的概率越小时，风险就越低。风险分析能够提供定量的方法，以确定是否应保证防护措施方面的资金投入。安全威胁有事时可以分为故意的（如黑客浸透）和偶然的（如信息被发往错误的地方）两类。故意的威胁又可以进一步分为被动攻击和主动攻击。被动攻击只对信息进行监听（如搭线窃听），而不对其进行修改。主动

28、攻击却对信息进行故意的修改（如改动某次金融会话过程中货币的数量）。总之，被动攻击比主动攻击更容易以更少的花费付诸实施。目前尚没有统一的方法来对各种威胁加以区别和分类，也难以搞清各种威胁之间的相互关系。不同威胁的存在与其严重性随着环境的变化而变化。然而，为了解释网络安全服务的作用，人们对现代计算机网络以与通信过程中常遇到的一些威胁汇编成一些图表。下面分三个阶段对威胁进行分析：首先对基本的威胁加以区分；其次，对主要的可实现的威胁进行分类；最后，对潜在的威胁进行分类。2.2 安全威胁的来源2.2.1基本威胁下面4种基本安全威胁直接反映了本章初始划分的4个安全目标。1.信息泄露信息被泄露或透漏给某个非

29、授权的人或实体。这种威胁来自诸如窃听、搭线或其他更加错综复杂的信息探测攻击。2.完整性破坏数据的一致性通过非授权的增删、修改和破坏而受到损坏。3.拒绝服务对信息或资源的访问被无条件地阻止。这可能是由以下攻击所致：攻击者通过对系统进行非法的、根本无法成功的访问尝试而使系统产生过量的负荷，从而导致系统的资源在合法用户看来是不可用的。拒绝服务也可能是因为系统在物理上或逻辑上受到破坏而终端服务。4.非法攻击某个资源被某个非法授权的人，或以某种非授权的方式使用。例如，侵入某个计算机系统的攻击者会利用此系统作为盗用电信服务的基点，或者作为侵入其他系统的桥头堡。2.2.2主要的可实现的威胁在安全威胁中，主要

30、的可实现威胁应该引起高度关注，因为这类威胁一旦成功实施就会直接导致其他任何威胁的实施。只要的可实现威胁包括侵入威胁和植入威胁。一、主要的侵入类型的威胁如下：假冒某个实体（人或者系统）假装成另外一个不同的实体。这是突入某一安全防线最常用的方法。这个非授权的实体提示某个防线的守卫者，使其相信他是一个合法的实体，此后便取了此合法的权利和特权。黑客大多采取这种假冒攻击方式来实施攻击。2.旁路控制为了获得非授权的权利和特权，某个攻击者会发掘系统的缺陷和安全性上的脆弱之处。例如，攻击者通过各种手段发现原本应，但是又暴露出来的一些系统“特征”。攻击者可以绕过防线守卫者侵入系统部。3.授权侵犯一个授权以既定目

31、的使用某个系统或资源的人，却将其权限用于其他非授权的目的。这种攻击的发起者往往属于系统的某个合法用户，因此这个攻击又称为“部攻击”。二、主要的植入类型的威胁如下：1.特洛伊木马（trojan horse）软件中含有一个察觉不出的或者无害的程序段。当他被执行时，会破坏用户的安全性。例如一个表面上具有合法目的的应用程序软件，如文件编辑软件，它具有一个暗藏的目的，就是将用户的文件复制到一个隐藏的秘密文件中，这种应用程序就称为特洛伊木马。此后，植入特洛伊木马的那个攻击者就是可以阅读到该用户的文件。2.陷阱门（trap door）在某个系统或其部件中设置“机关”，使在提供特定的输入数据时，允许违反安全策

32、略。例如，一个用户登录子系统，如果设置有陷阱门，当攻击者输入一个特别的用户身份号时，就可以绕过通常的口令检测。2.2.3潜在威胁在某个特定的环境中，如果对任何一个基本威胁或者主要的可实现威胁进行分析，就能够发现某些特定的潜在威胁，而任意一种潜在威胁都可能导致一些更基本的威胁的发生。例如，在对信息泄露这种基本威胁进行分析时，有可能找以下几种潜在的威胁（不考虑主要的可实现威胁）：窃听（eavesdropping）；流量分析（traffic analysis）；操作人员的不慎所导致的信息泄露；媒体废弃物所导致的信息泄露。图2-1列出了一些典型的威胁以与它们之间的相互关系。注意，图中的路径可以交错。例

33、如，假冒攻击可以成为所有基本威胁的基础，同时假冒攻击本身也存在信息泄露的潜在威胁（因为信息泄露可能暴露某个口令，而用此口令可以实施假冒攻击）。表2-1列出了各种威胁之间的差异，并分别进行了描述。图2-1 典型的威胁与其相互关系2.3网络安全防护措施安全领域存在有多种类型的防护措施。除了采用密码技术的防护措施之外，还有其他类型的安全防护措施：2.3.1计算机病毒的防技术在网络环境下，防计算机病毒仅采用单一的方法来进行已经无任何意义，要想彻底清除网络病毒，必须选择与网络适合的全方位防病毒产品。如果对互联网而言，除了需要网关的防病毒软件，还必须对上网计算机的安全进行强化；如果在防部局域网病毒时需要一

34、个具有服务器操作系统平台的防病毒软件，这是远远不够的，还需要针对各种桌面操作系统的防病毒软件；如果在网络部使用电子进行信息交换时，为了识别出隐藏在电子和附件中的病毒，还需要增加一套基于服务器平台的防病毒软件。由此可见，要想彻底的清除病毒，是需要使用全方位的防病毒产品进行配合。另外，在管理方面，要打击盗版，因为盗版软件很容易染上病毒，访问可靠的，在下载电子附件时要先进行病毒扫描，确保无病毒后进行下载，最重要的是要对数据库数据随时进行备份。2.3.2身份认证技术系统对用户明的核查的过程就是身份认证，就是对用户是否具有它所请求资源的存储使用权进行查明。用户向系统出示自己的明的过程就是所谓的身份识别。

35、一般情况下，将身份认证和身份识别统称为身份认证。随着黑客或木马程序从网上截获密码的事件越来越多，用户关键信息被窃情况越来越多，用户已经越来越认识到身份认证这一技术的重要性。身份认证技术可以用于解决用户的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据。对于身份认证系统而言，合法用户的身份是否易于被其他人冒充，这是最重要的技术指标。用户身份如果被其他不法分子冒充，不仅会对合法用户的利益产生损害，而且还会对其他用户的利益甚至整个系统都产生危害。由此可知，身份认证不仅是授权控制的基础，而且还是整个信息安全体系的基础。身份认证技术有以下几种：基于口令的认证技术、给予密钥的认证鉴别技术、

36、基于智能卡和智能密码钥匙(UsBKEY)的认证技术、基于生物特征识别的认证技术。对于生物识别技术而言，其核心就是如何获取这些生物特征，并将之转换为数字信息、存储于计算机中，并且完成验证与识别个人身份是需要利用可靠的匹配算法来进行的。2.3.3入侵检测技术入侵检测就是对 HYPERLINK :/ 网络入侵行为进行检测，入侵检测技术属于一种积极主动地安全保护技术，它对部攻击、外部攻击以与误操作都提供了实时保护。入侵检测一般采用误用检测技术和异常监测技术。1.误用检测技术这种检测技术是假设所有的入侵者的活动都能够表达为中特征或模式，对已知的入侵行为进行分析并且把相应的特征模型建立出来，这样就把对入侵

37、行为的检测变成对特征模型匹配的搜索，如果与已知的入侵特征匹配，就断定是攻击，否则，便不是。对已知的攻击，误用入侵检测技术检测准确度较高，但是对已知攻击的变体或者是一些新型的攻击的检测准确度则不高。因此，要想保证系统检测能力的完备性是需要不断的升级模型才行。目前，在绝大多数的商业化入侵检测系统中，基本上都是采用这种检测技术构建。异常检测技术异常检测技术假设所有入侵者活动都与正常用户的活动不同，分析正常用户的活动并且构建模型，把所有不同于正常模型的用户活动状态的数量统计出来，如果此活动与统计 HYPERLINK :/ 规律不相符，则表示可以是入侵行为。这种技术弥补了误用检测技术的不足，它能够检测到

38、未知的入侵。但是，在许多环境中，建立正常用户活动模式的特征轮廓以与对活动的异常性进行报警的阈值的确定都是比较困难的，另外，不是所有的非法入侵活动都在统计规律上表示异常。今后对入侵检测技术的研究主要放在对异常监测技术方面。另外， HYPERLINK :/ 计算机网络安全防策略还包括一些被动防策略。被动式防策略主要包括隐藏IP地址、关闭端口、更换管理员账户等，本文只对以上两种进行分析。第3章 入侵检测原理3.1入侵检测的概述入侵检测是指对入侵检测行为的发现报警和响应,他通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象.入侵

39、检测系统(intrusion detection system ,IDM ) 是完成入侵检测功能的软件和硬件的集合。1980 年4月，James P . Anderson 在美国空军起草的技术报告计算机安全威胁检测与监视中第一次详细阐述了入侵检测的概念。随着网络安全风险系数不断提高，防火墙作为曾经最主要的安全防手段已经不能满足人们对网络安全的需求。作为对防火墙极其有益的补充，位于其后的第二道安全闸门IDS能够帮助网络系统快速发现网络攻击的发生，有效扩展系统管理员的安全管理能力与提高信息安全基础结构的完整性。IDS 能在不影响网络与主机性能的情况下对网络数据流和主机审计数据进行监听和分析，对可疑

40、的网络连接和系统行为进行记录和报警，从而提供对部攻击、外部攻击和误操作的实时保护。3.1.1入侵检测的功能入侵检测的功能主要体现在一下几个方面：监视并分析用户和系统的活动。检查系统配置和漏洞。识别已知的攻击行为并报警。统计分析异常行为。评估系统关键资源和数据文件的完整性。操作系统的审计跟踪管理，并识别违反安全策略的用户行为。3.1.2入侵检测的模型为了提高IDS产品、组件与与其他安全产品之间的互操作性，美国国防高级研究计划署和Internet 工程任组的入侵检测工作组（IDWG）发起并制定了一系列建议草案，从体系结构、API、通信机制、语言格式等方面规IDS 的标准。图 3-1 是有美国国防高

41、级研究计划署所提出的通用入侵检测框架（common intrusion detection framework, CIDF ）模型，将一个IDS 分为事件产生器、分析引擎、响应单元和事件数据库4个组件。策略审计记录或网络数据包 事件数据库分析引擎 事件产生器响应单元图 3-1 入侵检测通用模型 事件产生器为入侵检测系统提供必要的输入，这些输入构成了检测的基础。分析引擎接收来自事件产生器的数据并检查数据以发现入侵迹象。响应单元对分析结果做出反应，控制网络或系统产生和分析结果相应的动作。3.1.3入侵检测的流程基于CIDF 模型，入侵检测流程主要包括3个步骤，即信息收集、信息分析和结果处理。1.信

42、息收集入侵检测的第一步是信息收集，收集容包括系统、网络、数据与用户活动的状态和行为。这些信息由分布在主机或者网络上的事件产生器提供，一般为审计记录、网络数据包以与其他可视行为。不同的入侵检测系统间需要收集的信息由于分析方法的不同而有所区别。2.信息分析信息分析阶段通过分析上一阶段提供的数据来判断是否发生入侵。分析引擎中使用检测入侵技术对所收集到的信息进行分析，以判断与该信息相对应的事件是否违反看系统的安全策略或存在入侵的先兆。信息分析是入侵检测的核心步骤，分析引擎中所采用的技术直接影响到入侵检测的性能。分析引擎使用何种技术也是区分不同入侵检测产品的重要依据。3.结果处理控制台按照报警产生预先定

43、义的响应采取相应措施，反应的形式可以是较为强雷的切断或改变文件属性等，也可以是简单的向管理员发出警报。3.2入侵检测的分析技术 对网络和主机的各种事件进行分析，从而发现是否有违反安全策略的行为是IDS的核心任务。因此，入侵检测常用的技术主要体现在IDS的分析引擎上。分析引擎以事件产生器获取的主机或网络事件为输入，通过分析事件或先验知识建立判断入侵的模型。根据建立模型的方法不同，入侵检测技术主要有一下两个思路：第一种，根据已知的攻击行为知识，推断当前行为是否是攻击行为。第二种，根据已知的正常行为只是，推断当前行为是否是正常行为。若不是正常行为，则认为该行为是攻击行为。 因此，目前主要有两种方法用

44、来解决入侵检测问题：误用检测技术和异常检测技术。误用检测技术基于第一种检测思路，异常检测技术基于第二种检测思路。在IDS中，常采用两种方法相结合的方式。3.2.1异常检测异常检测技术也称为基于行为的检测技术，是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。异常检测基于一个假设，即入侵行为在于偏离系统正常使用的事件中，而异常检测就是要找出偏离正常行为的事件并从中发现入侵。异常检测一般先建立用户正常行为的模型，再将实现观察到的行为与之相比，检测与正常行为偏差较大的行为。由于假定所有入侵行为都是与正常行为不同的，因此，如果建立系统正常行为的轨迹，则理论上可以把所有与正常轨迹不同的系统状态

45、视为可疑企图。该模型的结构如图3-2所示。 正常行为描述库日志数据入侵行为网络数据 异常检测规则匹配动态产生新描述动态更新描述图3-2 异常检测模型 异常检测方法通过异常检测器观察主体的活动，然后产生刻画这些活动行为的轮廓。每一个轮廓保存记录主体当前的行为，并定时将当前行为与存储的轮廓合并。通过比较当前轮廓与以存储的轮廓判断异常行为，检测网络入侵。异常检测方法对有统计特征攻击方法（如端口漏洞扫描和拒绝服务攻击等）的检测特别有效。 异常检测的优点是与系统相对无关，通用性较强，易于实现，模型易于自动更新，不需要为设定限制值而掌握政策活动的知识，可检测出一些未知攻击方法。当然，单纯的统计异常检测方法

46、是不能满足需要的，它对事件发生的次序不敏感，误报和虚报率较高，对没有统计特征的攻击方法难以检测。一般来说，异常检测的重点在于如何建立系统正常行为的轨迹。基于异常的入侵检测系统通过构造不同的异常模型来实现不同的检测方法，使用观测到的一组测量值偏离度来预测用户的行为变化并做出决策判断。目前，基于异常的入侵检测系统主要采用的技术有统计分析、贝叶斯推理、神经网络和数据挖掘等方法。1.统计分析异常检测统计分析异常检测方法首先要对系统或用户的行为按照一定的时间间隔进行采样，样本的容包括每个回话的登陆和退出情况、CPU和存的占用情况、硬盘等存储介质的使用情况等。对每次采集到的样本进行计算，得出一系列的参数变

47、量来对这些行为进行描述，从而产生行为轮廓。将每次采样后得到的行为轮廓与已有的行为轮廓归并，最终得到系统和用户的正常行为轮廓。IDS通过将当前采集到的行为轮廓与正常行为轮廓相比较，以检测是否存在入侵行为。统计分析异常检测方法的优势在于应用的技术方法在统计学中已经比较成熟。统计分析异常检测方法的不足主要体现在一下3个方面：（1）异常阈门值,难以确定,阈值设置得偏高会导致误报率升高,偏低会导致漏报率升高。（2）对事发生的次序不敏感,可能检测不出由先后发生的几个关联事件组成的入侵行为。（3）对行为的检测结果要么是异常的，要么是正常的，攻击者可以利用这个弱点躲避IDS的检测。2.贝叶斯推理异常检测 贝叶

48、斯推理异常检测是根据被保护系统当前各种行为特征的测量值进行推理，来判断是否有入侵行为的发生。系统的特征包括CPU利用率、磁盘I/O活动数量、系统中页面出错的数量等，用异常变量Ai表示。根据各种异常测量的值、入侵的先验概率以与入侵发生时测量到的各种异常概率计算出入侵的概率。为了检测的准确性，必须考虑Ai之间的独立性。最常用的一种方法是通过相关性分析，确定各个异常变量与入侵的关系。3.神经网络异常检测神经网络异常检测是神经网络技术用于对系统和用户行为的学习，以检测未知的攻击。来自审计日志或正常网络访问行为的信息，经数据信息预处理模块的处理后产生输入向量，然后使用神经网络对输入向量进行处理，从中提取

49、正常的用户或系统活动的特征轮廓。神经网络异常检测的有点是不需要对数据进行统计假设，能够较好地处理原始数据的随机性，并且能够较好的处理干扰数据。与统计分析异常检测相比，神经网络异常检测能够更加简洁地表达出各种状态变量之间的非线性关系，而且能够自动学习。 神经网络异常检测的缺点是网络的拓扑结构和各元素的权重难以确定，必须经过多次尝试。4.数据挖掘异常检测 数据挖掘是从大量的数据中抽取出潜在的、有价值的知识（表示为概念、规则、规律和模式等形式）的过程。数据挖掘异常检测技术从各种审计数据或网络数据流中提取相关的入侵知识，IDS利用这些知识检测入侵。 数据挖掘异常检测的优势在于处理数据的能力，缺点是系统

50、整体欲行效率较低。第4章 基于Snort的方案设计4.1 Snort 体系结构Snort 是一款免费的NIDS，具有小巧灵便、易于配置、检测效率高等特性，常被称为较量级的IDS。Snort 具有实时数据流量分析和IP数据包日志分析能力，具有跨平台特征，能够进行协议分析和对容的搜索或匹配。Snort 能够检测不同的攻击行为，如缓冲区溢出端口扫描和拒绝服务攻击等，并进行实时报警。Snort 的结构由以下4大软件模块组成。（1）数据包嗅探模块 负责监听网络数据包，对网络进行分析。（2）预处理模块该模块用相应的插件来检查原始数据包，从中发现原始数据 的“行为”，如端口扫描、IP碎片等，数据包经过预处理

51、后才传到检查引擎。（3）检测模块该模块是Snort 的核心模块。当数据包从预处理器送过来后，检测引擎依据预先设置的规则检测数据包，一旦发现数据包中的容和某条规则相匹配，就通知报警模块。（4）报警/日志模块经检测引擎检查后的Snort 数据需要以某种方式输出。如果检测引擎中的某条规则被匹配，则会触发一条报警，这条报警信息会通过网络、UNIX Socket Windows Popup( SMB)、SNMP 协议的Trap 命令传送给日志文件，甚至可以将报警传送给第三方插件（如Snort Sam）。另外，报警信息也可以记入SQL数据库。Snort 体系结构如图4-1 所示。网络数据包嗅探预处理器检测

52、引擎报警/日志规则库/攻击签名日志文件/规则库数据形成规则链图4-1 Snort 体系结构4.2 Snort 规则Snort 的成功之处在于其高效的整体设计编码、简洁明了的规则描述设计以与已将形成一定规模的攻击检测规则集。Snort 使用一种简单的、轻量级的规则描述语言来描述它的规则配置信息，灵活而强大。Snort 的每条规则逻辑上都可以分成规则头部和规则选项。规则头部包括规则行为、协议、源或目的IP地址、子网掩码、源端口和目的端口；规则选项包含报警信息和异常包的信息（特征码），基于特征码决定是否采取规定的行动。对于每条规则来说，规则选项不是必须的，只是为了更加详细地定义应该收集或者报警的数据

53、包。只有匹配所有选项的数据包，Snort 才会执行其规则行为。如果许多选项组合在一起，他们它们之间是“逻辑关系”的关系。 规则头部的第一项定义了符合规则时Snort采取的动作，出了警报（alert）之外，还有记录数据包(log)、丢弃数据包（pass）以与较为复杂的激活（activate）和动态（dynamic）动作。规则头部的下一部分指明规则关注的协议。Snort当前分析可疑包的IP协议有3种，即TCP、UDP和ICMP。接下来，规则头部需要一组遵循给定格式的IP地址和端口号信息，通常要分别指出源发方和目的放的IP地址和端口号，并且指明信息流动的方向。IP地址可以是一个网段，也可以指定为任何

54、地址（any）端口也可以指定为任何端口（any）。 规则选项组成了Snort入侵检测引擎的核心，所有的Snort规则选项用分号“；”隔开，规则选项关键字和它们的参数用冒号“：”分开。下面是一些重要的规则选项。Msg 在报警和包日志中打印一条消息dsize检查包的数据部分大小content在包的数据部分中搜索指定的样式nocase指定对Content字符串大小写不敏感Contentlist在数据包中搜索多种可能匹配Flags检查TCP Flags 的值ack检查TCP应答的值session记录指定回话的应用层信息的容sidSnort的规则标石 例如下面的一条规则： Alert tcp any a

55、ny-24 111（content：|00 01 86 a5|；msg：mountd access；)可以解释为：对于到达网段24上任一台主机111端口的TCP数据包，如果容中包含形如“|00 01 86 a5|”的字段，则将字符串“mountd access”作为报警信息输出。4.3 方案配置4.3.1 方案描述4.3.2 Windows 平台下Snort 的安装与配置由于需要对网络底层进行操作，安装Snort前需要预先安装WinpCap（WIN32平台上网络分析和捕获数据包的库）。WinPcap的下载地址为winpcap.polito.it/。

56、1.从 下载Windows平台下的Snort 安装程序，双击安装程序进行安装，选择安装目录为D：Snort。 2.进行到选择日志文件存放方式时，为简单起见，选择不需要数据库支持或者Snort默认的MySQL 和ODBC数据库支持的方式，如图4-2所示。图4-2 Snort 安装选项对话框 3.单击“开始”菜单，选择“运行”命令，输入cmd并按Enter键，在命令行方式下输入如下命令：C:cd D:SnortbinD:Snortbinsnort-W （1）如果Snort安装成功，系统将显示两个物理网卡正在工作与网卡的详细信息。输入snort-v-i2命令启用Snort。其中，-

57、v表示使用Verbose模式，把信息包打印在屏幕上；-i2表示监听第二个网卡。为了进一步查看Snort的运行状况，可以认为制造一些ICMP网络流量。在局域网段中的另一台主机（）上使用的Ping指令，探测运行Snort的主机。回到运行Snort的主机（），发现Snort已经记录了这次探测的数据包，Snort在屏幕上输出了从到的ICMP数据。 （2）打开D:Snortetcsnort.conf，设置Snort的部网络和外部网络检测围。将Snort.conf文件中的var HOME_NEW any语句中的Any改

58、为自己所在的子网地址，即将Snort检测的部网络设置为本机所在的局域网。如本地IP为，则将Any改为/24.将var HOME_NET any语句中的HOME_NET的值改为本地网络的标识，即/24。 （3）配置网段提供网络服务的IP地址，只需要把默认的$ HOME_NET改成对应主机地址即可： var DNS_SERVERS $ HOME_NETvar SMTP_SERVERS $ HOME_NETvar _SERVERS $ HOME_NETvar SQL_SERVERS $ HOME_NETvar TELNET_SERVE

59、RS $ HOME_NETvar SNMP_SERVERS $ HOME_NET如果不需要监视某种类型的服务，可以用#号将上述语句其注释掉。（4）修改设置检测包含的规则。在配置文件末尾，定义了与规则相关的配置，格式如下：Include $ RULE_PATH/local.rulesInclude $ RULE_PATH/bad-traffic.rulesInclude $ RULE_PATH/exploit.rules其中，变量 $ RULE_PATH指明了规则文件存放的路径，可以在语句var RULE_PATH./rules中将变量RULE_PATH改为存放规则集的目录，如D:snortrules.可以到 /pub-bin/downloads.cgi上下载最新的规则集，将其解压存放到规则默认路径下。(5) 在Snort.Conf文件中，修改配置文件Classification.conf 和Reference.conf的路径：Include D:Snortetcclassification.confInclude D:Snortetcreference.conf其中，Classification.conf文件保存的是和规则的警报级别相关的配置，Reference.conf文件保存了提供更对警报相关信息的。4.6 Windows 平台下Snort的使用1.Sno