入侵檢測(cè)技術(shù)畢業(yè)論文

1、鄉(xiāng)閭斎%衣卅卑汪 畢業(yè)設(shè)計(jì) 開(kāi)題報(bào)告 學(xué)生! 姓名 徐盼 學(xué) 號(hào) 201402081117 專 業(yè) 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 班 級(jí) 網(wǎng)絡(luò)201401班 指導(dǎo): 教師 劉燁 開(kāi)題1 時(shí)間 2016年10月20日 黃岡職業(yè)技術(shù)學(xué)院電子信息學(xué)院 電子信息學(xué)院畢業(yè)設(shè)計(jì)開(kāi)題報(bào)告 擬設(shè)計(jì)題目 入侵檢測(cè)技術(shù)應(yīng)用 綜述 （本課題研究 意義：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全成為一個(gè)突出的問(wèn) 題。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是近年來(lái)網(wǎng)絡(luò)安全領(lǐng)域的熱門技術(shù)，它能夠?qū)W(wǎng) 絡(luò)中發(fā)生的安全事件和網(wǎng)絡(luò)中存在的安全漏洞進(jìn)行主動(dòng)實(shí)時(shí)的檢測(cè)，它 作為一種積極主動(dòng)的防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作 的實(shí)時(shí)保護(hù)。入侵檢測(cè)系統(tǒng)是保障計(jì)算機(jī)及

2、網(wǎng)絡(luò)安全的有力措施之一。 通過(guò)研究本課題，可以了解入侵檢測(cè)技術(shù)技術(shù)的發(fā)展歷程， 及國(guó)內(nèi)外研 究水平的差距，熟悉各種入侵檢測(cè)技術(shù)原理方法的異冋， 以便今后對(duì)某 種檢測(cè)技術(shù)方法作進(jìn)一步的改進(jìn)時(shí)能夠迅速切入要點(diǎn)。 的意義、研究的 現(xiàn)狀及自己的 認(rèn)識(shí)） 研究的現(xiàn)狀及自己的認(rèn)識(shí)： 根據(jù)檢測(cè)技術(shù)類型可劃分為異常行為檢 測(cè)技術(shù)類型和漏洞檢測(cè)技術(shù)類型。根據(jù)異常或者不合法行為和使用計(jì)算 機(jī)資源信息的情況檢測(cè)入侵的技術(shù)類型被稱為異常入侵攻擊檢測(cè)。漏洞 入侵檢測(cè)是利用已知系統(tǒng)和應(yīng)用軟件的漏洞攻擊方式檢測(cè)入侵。 研究?jī)?nèi)容 （研究方向，研 究?jī)?nèi)容、系統(tǒng)主 要功能分析及 說(shuō)明） 研究方向：入侵檢測(cè)技術(shù)應(yīng)用 研究?jī)?nèi)容：本文

3、從入侵檢測(cè)技術(shù)的發(fā)展入手， 研究、分析了入侵檢 測(cè)技術(shù)和入侵檢測(cè)系統(tǒng)的原理、應(yīng)用、信息收集和分析、數(shù)據(jù)的處理及 其優(yōu)缺點(diǎn)和未來(lái)的發(fā)展方向。 入侵檢測(cè)是一門綜合性技術(shù)， 既包括實(shí)時(shí) 檢測(cè)技術(shù)也有事后分析技術(shù)。 盡管用戶希望通過(guò)部署 IDS來(lái)增強(qiáng)網(wǎng)絡(luò)安 全，但不冋的用戶需求也不冋。 系統(tǒng)主要功能及分析：一個(gè)入侵檢測(cè)系統(tǒng)的功能結(jié)構(gòu)至少包含事件 提取入侵分析入侵響應(yīng)和遠(yuǎn)程管理四部分功能。事件提取功能負(fù)責(zé)提取 與被保護(hù)系統(tǒng)相關(guān)的運(yùn)行數(shù)據(jù)或記錄，并負(fù)責(zé)對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單的過(guò)濾。 入侵分析的任務(wù)就是在提取到的運(yùn)行數(shù)據(jù)中找出入侵的痕跡，將授權(quán)的 正常訪冋行為和非授權(quán)的不正常訪冋行為區(qū)分開(kāi)分析出入侵行為并對(duì) 入侵者

4、進(jìn)行定位。入侵響應(yīng)功能在分析出入侵行為后被觸發(fā)，根據(jù)入侵 行為產(chǎn)生響應(yīng)。 實(shí)現(xiàn)方法及預(yù) 期目標(biāo) （包括實(shí)施的 初步方案、重 點(diǎn)、難點(diǎn)及預(yù)期 達(dá)到的效果） 實(shí)施的初步方案： 1. 入侵檢測(cè)技術(shù)的分析； 2. 查找、閱讀并整理資料； 3. 入侵檢測(cè)技術(shù)發(fā)展趨勢(shì)； 4. 撰寫(xiě)論文提綱； 5. 撰寫(xiě)論文初稿并修改。 重點(diǎn)：入侵檢測(cè)技術(shù)是一種積極主動(dòng)的安全防護(hù)技術(shù)，其工作流程 包括數(shù)據(jù)收集、數(shù)據(jù)提取、數(shù)據(jù)分析、結(jié)果處理。檢測(cè)模型為異常檢測(cè) 模型和誤用檢測(cè)模型，未來(lái)的發(fā)展趨勢(shì)是智能化的全面檢測(cè)，這也是本 課題研究的重點(diǎn)。 對(duì)進(jìn)度的 具體安排 第一階段：對(duì)入侵檢測(cè)技術(shù)概況做分析10月17號(hào)到20號(hào)； 第二階

5、段：查找、閱讀并整理資料，10月22號(hào)到10月25號(hào)； 第三階段：撰寫(xiě)論文提綱，10月26號(hào)到10月27號(hào)； 第四階段：撰寫(xiě)論文初稿并修改，10月28號(hào)到11月5號(hào)； 第五階段：撰寫(xiě)論文定稿，11月5號(hào)到11月12號(hào)； 參考文獻(xiàn) 1 蔣建春，馮登國(guó).網(wǎng)絡(luò)入侵檢測(cè)技術(shù)原理與技術(shù).北京：國(guó)防 工業(yè)出版社，2001.7 2 戴連英，連一峰，王航.系統(tǒng)安全與入侵檢測(cè)技術(shù).北京：清 華大學(xué)出版社，2002.3 3 美Richard O.Duda,Peter E.HartQavidG.Stork 李宏?yáng)| 姚天翔等譯模式分類（原書(shū)第2版）機(jī)械工業(yè)出版社，2003-09-01 4 吳焱等譯，入侵者檢測(cè)技術(shù).北

6、京：電子工業(yè)出版社，1999 指導(dǎo)教師意見(jiàn) （簽署意見(jiàn)并 簽字） 審查人簽字：年 月日 領(lǐng)導(dǎo)小組 審查意見(jiàn) 審查人簽字：年月日 學(xué)業(yè)作品 題 目 學(xué)生姓名徐盼 學(xué) 號(hào) 201402081117 專業(yè)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 班級(jí)網(wǎng)絡(luò)201401班 指導(dǎo)教師劉燁 完成日期 2016 年11月20 日 目錄 摘 要 6 關(guān)鍵詞 6 第一章 緒論 7 1.2 入侵檢測(cè)技術(shù)的歷史 7 1.3 本課題研究的途徑與意義 8 第二章 入侵檢測(cè)技術(shù)原理 9 2.1 入侵檢測(cè)的工作流程 9 2.1.1 數(shù)據(jù)收集 9 2.1.2 數(shù)據(jù)提取 9 2.1.3 數(shù)據(jù)分析 10 2.1.4 結(jié)果處理 10 2.2 入侵檢測(cè)技術(shù)的檢

7、測(cè)模型 10 2.2.1 異常檢測(cè)模型 10 2.2.2 誤用檢測(cè)模型 11 第三章 入侵檢測(cè)技術(shù)功能概要 11 第四章 入侵檢測(cè)系統(tǒng)實(shí)驗(yàn)案例分析 12 4.1 配置 Snort 選項(xiàng) 12 4.2 測(cè)試 Snort 14 4.3 攻擊與檢測(cè)過(guò)程 14 4.3.1 攻擊過(guò)程 14 4.3.2 Snort 運(yùn)行過(guò)程 14 4.4 檢測(cè)結(jié)果分析 14 第五章 入侵檢測(cè)技術(shù)的缺點(diǎn)和改進(jìn) 16 5.1 入侵檢測(cè)技術(shù)所面臨的問(wèn)題 16 5.2 入侵檢測(cè)技術(shù)的改進(jìn)發(fā)展 16 總 結(jié) 17 致 謝 17 參考文獻(xiàn) 18 近年來(lái)隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題越來(lái)越受到人們的重視。 從網(wǎng)絡(luò)安全角度來(lái)看，

8、防火墻等防護(hù)技術(shù)只是被動(dòng)安全防御技術(shù)， 只是盡量阻止 攻擊或延緩攻擊，只會(huì)依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過(guò)。 在網(wǎng)絡(luò) 環(huán)境下不但攻擊手段層出不窮，而且操作系統(tǒng)、安全系統(tǒng)也可能存在諸多未知的 漏洞，這就需要引入主動(dòng)防御技術(shù)對(duì)系統(tǒng)安全加以補(bǔ)充，目前主動(dòng)防御技術(shù)主要 就是入侵檢測(cè)技術(shù)。 本文從入侵檢測(cè)技術(shù)的發(fā)展入手，研究、分析了入侵檢測(cè)技術(shù)和入侵檢測(cè)系 統(tǒng)的原理、應(yīng)用、信息收集和分析、數(shù)據(jù)的處理及其優(yōu)缺點(diǎn)和未來(lái)的發(fā)展方向。 關(guān)鍵詞：網(wǎng)絡(luò)安全，網(wǎng)絡(luò)入侵，入侵檢測(cè)技術(shù)，入侵檢測(cè)系統(tǒng) 第一章 緒論 1.1 入侵檢測(cè)技術(shù)的提出 隨著 Internet 高速發(fā)展，個(gè)人、企業(yè)以及政府部門越來(lái)越多地依靠

9、網(wǎng)絡(luò)傳 遞信息 , 然而網(wǎng)絡(luò)的開(kāi)放性與共享性容易使它受到外界的攻擊與破壞 ,信息的安 全保密性受到嚴(yán)重影響。 網(wǎng)絡(luò)安全問(wèn)題已成為世界各國(guó)政府、 企業(yè)及廣大網(wǎng)絡(luò)用 戶最關(guān)心的問(wèn)題之一。 在計(jì)算機(jī)上處理業(yè)務(wù)已由基于單機(jī)的數(shù)學(xué)運(yùn)算、 文件處理， 基于簡(jiǎn)單連結(jié)的 內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、 辦公自動(dòng)化等發(fā)展到基于企業(yè)復(fù)雜的內(nèi)部網(wǎng)、 企業(yè)外 部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級(jí)計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處 理。在信息處理能力提高的同時(shí)， 系統(tǒng)的連結(jié)能力也在不斷的提高。 但在連結(jié)信 息能力、流通能力提高的同時(shí)， 基于網(wǎng)絡(luò)連接的安全問(wèn)題也日益突出， 黑客攻擊 日益猖獗，防范問(wèn)題日趨嚴(yán)峻： 具 Warroo

10、n Research 的調(diào)查， 1997 年世界排名前一千的公司幾乎都曾被黑 客闖入； 據(jù)美國(guó) FBI 統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全造成的損失高達(dá) 75 億美元； Ernst 和 Young 報(bào)告，由于信息安全被竊或?yàn)E用，幾乎 80%的大型企業(yè)遭受 損失； 看到這些令人震驚的事件， 不禁讓人們發(fā)出疑問(wèn)： 網(wǎng)絡(luò)還安全嗎？ 試圖破 壞信息系統(tǒng)的完整性、 機(jī)密性、 可信性的任何網(wǎng)絡(luò)活動(dòng)都稱為網(wǎng)絡(luò)入侵。 防范網(wǎng) 絡(luò)入侵最常用的方法就是防火墻。防火墻( Firewall )是設(shè)置在不同網(wǎng)絡(luò)(如可 信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng)) 或網(wǎng)絡(luò)安全域之間的一系列部件的組合 它屬于網(wǎng)絡(luò)層安全技術(shù) , 其作用是為了

11、保護(hù)與互聯(lián)網(wǎng)相連的企業(yè)內(nèi)部網(wǎng)絡(luò)或單獨(dú) 節(jié)點(diǎn)。它具有簡(jiǎn)單實(shí)用的特點(diǎn)， 并且透明度高， 可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng) 的情況下達(dá)到一定的安全要求。 但是，防火墻只是一種被動(dòng)防御性的網(wǎng)絡(luò)安全工具， 僅僅使用防火墻是不夠 的。首先，入侵者可以找到防火墻的漏洞，繞過(guò)防火墻進(jìn)行攻擊。其次，防火墻 對(duì)來(lái)自內(nèi)部的攻擊無(wú)能為力。它所提供的服務(wù)方式是要么都拒絕，要么都通過(guò) , 不能檢查出經(jīng)過(guò)他的合法流量中是否包含著惡意的入侵代碼， 這是遠(yuǎn)遠(yuǎn)不能滿足 用戶復(fù)雜的應(yīng)用要求的。 對(duì)于以上提到的問(wèn)題， 一個(gè)更為有效的解決途徑就是入侵檢測(cè)技術(shù)。 在入侵 檢測(cè)技術(shù)之前，大量的安全機(jī)制都是根據(jù)從主觀的角度設(shè)計(jì)的 , 他們沒(méi)有根

12、據(jù)網(wǎng) 絡(luò)攻擊的具體行為來(lái)決定安全對(duì)策， 因此，它們對(duì)入侵行為的反應(yīng)非常遲鈍， 很 難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡(luò)行為的變化來(lái)及時(shí)地調(diào)整系統(tǒng)的安全策 略。而入侵檢測(cè)技術(shù)正是根據(jù)網(wǎng)絡(luò)攻擊行為而進(jìn)行設(shè)計(jì)的， 它不僅能夠發(fā)現(xiàn)已知 入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過(guò)學(xué)習(xí)和分析入侵手段， 及時(shí)地調(diào)整系統(tǒng)策略以加強(qiáng)系統(tǒng)的安全性。 1.2 入侵檢測(cè)技術(shù)的歷史 1980 月，JnamesP.Aderson 為美國(guó)空軍做了一份題為“ Computer Security ThreatMonitoring Sureillance ”（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）的技術(shù)報(bào)告， 第一次詳細(xì)的闡述了入侵檢

13、測(cè)的概念。 他提出了一種對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的 分類方 法，并將威脅分為了外部滲透、內(nèi)部滲透和不法行為三種，還提出了利 用審計(jì)跟蹤數(shù)據(jù) 監(jiān)視入侵活動(dòng)的思想。這份報(bào)告被公認(rèn)為是入侵檢測(cè)的開(kāi)山之 作。 1984 年-1986 年，喬治敦大學(xué)的 Dorothy Denning 和 SRI/CSL（SRI 公司 計(jì)算機(jī)科 學(xué)實(shí)驗(yàn)室）的 PeterNeumann 研究出了一種實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型， 取名為IDES（入侵 檢測(cè)專家系統(tǒng)）。該模型獨(dú)立于特定的系統(tǒng)平臺(tái)、應(yīng)用環(huán)境、 系統(tǒng)弱點(diǎn)以及入侵類型， 為構(gòu)建入侵系統(tǒng)提供了一個(gè)通用的框架。 1988年，SRI/CSL的Teresa Lu nt等改進(jìn)了 De

14、 nning的入侵檢測(cè)模型，并 研發(fā)出了 實(shí)際的 IDES。 1989 年，加州大學(xué)戴維斯分校的 Todd Heberlein 寫(xiě)了 一篇論文 A Network Security Monitor ，該監(jiān)控器用于捕獲 TCP/IP 分組， 第一次直接將網(wǎng)絡(luò)流作為審計(jì) 數(shù)據(jù)來(lái)源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一 格式的情況下監(jiān)控異種主機(jī)，網(wǎng)絡(luò)入侵 檢測(cè)從此誕生。 1990 年時(shí)入侵檢測(cè)系統(tǒng)發(fā)展史上十分重要的一年。這一年，加州大學(xué)戴維 斯分校的 L.T.Heberlein 等開(kāi)發(fā)出了 NSM（Network Security Monitor） 。該系統(tǒng) 第一次直接將 網(wǎng)絡(luò)作為審計(jì)數(shù)據(jù)的來(lái)源，因而可

15、以在不將審計(jì)數(shù)計(jì)轉(zhuǎn)化成統(tǒng)一 的格式情況下監(jiān)控異種 主機(jī)。同時(shí)兩大陣營(yíng)正式形成：基于網(wǎng)絡(luò)的 IDS 和基于 主機(jī)的 IDS。 入侵檢測(cè)是一門綜合性技術(shù)， 既包括實(shí)時(shí)檢測(cè)技術(shù)， 也有事后分析技術(shù)。 盡 管用戶 希望通過(guò)部署 IDS 來(lái)增強(qiáng)網(wǎng)絡(luò)安全，但不同的用戶需求也不同。由于攻 擊的不確定性， 單一的 IDS 產(chǎn)品可能無(wú)法做到面面俱到。因此， IDS 的未來(lái)發(fā) 展必然是多元化的，只有 通過(guò)不斷改進(jìn)和完善才能更好地協(xié)助網(wǎng)絡(luò)進(jìn)行安全防 御。 入侵檢測(cè)技術(shù)的發(fā)展已經(jīng)歷了四個(gè)主要階段： 第一階段是以基于協(xié)議解碼和模式匹配為主的技術(shù)， 其優(yōu)點(diǎn)是對(duì)于已知的攻 擊行為 非常有效，各種已知的攻擊行為可以對(duì)號(hào)入座，

16、誤報(bào)率低；缺點(diǎn)是高超 的黑客采用變形 手法或者新技術(shù)可以輕易躲避檢測(cè)，漏報(bào)率高。 第二階段是以基于模式匹配 +簡(jiǎn)單協(xié)議分析 +異常統(tǒng)計(jì)為主的技術(shù)， 其優(yōu)點(diǎn)是 能夠分 析處理一部分協(xié)議，可以進(jìn)行重組；缺點(diǎn)是匹配效率較低，管理功能較 弱。這種檢測(cè)技 術(shù)實(shí)際上是在第一階段技術(shù)的基礎(chǔ)上增加了部分對(duì)異常行為分 析的功能。 第三階段是以基于完全協(xié)議分析 +模式匹配 +異常統(tǒng)計(jì)為主的技術(shù)， 其優(yōu)點(diǎn)是 誤報(bào) 率、漏報(bào)率和濫報(bào)率較低，效率高，可管理性強(qiáng)，并在此基礎(chǔ)上實(shí)現(xiàn)了多 級(jí)分布式的檢 測(cè)管理；缺點(diǎn)是可視化程度不夠，防范及管理功能較弱。 第四階段是以基于安全管理 +協(xié)議分析 +模式匹配 +異常統(tǒng)計(jì)為主的技術(shù)，

17、其 優(yōu)點(diǎn)是 入侵管理和多項(xiàng)技術(shù)協(xié)同工作，建立全局的主動(dòng)保障體系，具有良好的 可視化、可控性 和可管理性。以該技術(shù)為核心，可構(gòu)造一個(gè)積極的動(dòng)態(tài)防御體 系，即IMS入侵管理系統(tǒng)。 1.3 本課題研究的途徑與意義 聚類是模式識(shí)別研究中非常有用的一類技術(shù)。 用聚類算法的異常檢測(cè)技術(shù)就 是一種無(wú)監(jiān)督的異常檢測(cè)技術(shù)技術(shù)， 這種方法可以在未標(biāo)記的數(shù)據(jù)上進(jìn)行， 它將 相似的數(shù)據(jù)劃分到同一個(gè)聚類中， 而將不相似的數(shù)據(jù)劃分到不同的聚類， 并為這 些聚類加以標(biāo)記表明它們是正常還是異常，然后將網(wǎng)絡(luò)數(shù)據(jù)劃分到各個(gè)聚類中， 根據(jù)聚類的標(biāo)記來(lái)判斷網(wǎng)絡(luò)數(shù)據(jù)是否異常。 本課題是網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究，主要介紹模式識(shí)別技術(shù)中兩種

18、聚類算 法，K-means算法和迭代最優(yōu)化算法，并闡述此算法在入侵檢測(cè)技術(shù)技術(shù)中的應(yīng) 用原理，接著分析這兩種算法具體應(yīng)用時(shí)帶來(lái)的利弊， 最后針對(duì)算法的優(yōu)缺點(diǎn)提 出自己改進(jìn)的算法， 并對(duì)此算法進(jìn)行分析， 可以說(shuō)這種算法是有監(jiān)督和無(wú)監(jiān)督方 法的結(jié)合，是K-means算法和迭代最優(yōu)化算法的折中，是一種較理想的算法。 通過(guò)研究本課題， 可以了解入侵檢測(cè)技術(shù)技術(shù)的發(fā)展歷程， 及國(guó)內(nèi)外研究水 平的差距， 熟悉各種入侵檢測(cè)技術(shù)原理方法的異同， 以便今后對(duì)某種檢測(cè)技術(shù)方 法作進(jìn)一步的改進(jìn)時(shí)能夠迅速切入要點(diǎn)； 在對(duì)入侵檢測(cè)技術(shù)技術(shù)研究的同時(shí)， 認(rèn) 真學(xué)習(xí)了模式識(shí)別這門課程， 這是一門交叉學(xué)科， 模式識(shí)別已經(jīng)在衛(wèi)

19、星航空?qǐng)D片 解釋、工業(yè)產(chǎn)品檢測(cè)技術(shù)、字符識(shí)別、語(yǔ)音識(shí)別、指紋識(shí)別、醫(yī)學(xué)圖像分析等許 多方面得到了成功的應(yīng)用， 但所有這些應(yīng)用都是和問(wèn)題的性質(zhì)密不可分的， 學(xué)習(xí) 過(guò)程中接觸了許多新理論和新方法， 其中包括數(shù)據(jù)挖掘， 統(tǒng)計(jì)學(xué)理論和支持向量 機(jī)等，極大的拓展了自己的知識(shí)面， 這所帶來(lái)的收獲已經(jīng)不僅僅停留在對(duì)入侵檢 測(cè)技術(shù)技術(shù)研究這個(gè)層面上。 第二章 入侵檢測(cè)技術(shù)原理 2.1 入侵檢測(cè)的工作流程 入侵檢測(cè)系統(tǒng)由數(shù)據(jù)收集、 數(shù)據(jù)提取、數(shù)據(jù)分析、事件處理等幾個(gè)部份組成。 2.1.1 數(shù)據(jù)收集 入侵檢測(cè)的第一步是數(shù)據(jù)收集， 內(nèi)容包括系統(tǒng)、 網(wǎng)絡(luò)運(yùn)行、數(shù)據(jù)及用戶活動(dòng) 的狀態(tài) 和行為，而且，需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)

20、中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段 和不同主機(jī)）收 集數(shù)據(jù)。入侵檢測(cè)很大程度上依賴于收集數(shù)據(jù)的準(zhǔn)確性與可靠 性，因此，必須使用精確 的軟件來(lái)報(bào)告這些信息，因?yàn)楹诳徒?jīng)常替換軟件以搞 混和移走這些數(shù)據(jù)，例如替換被程 序調(diào)用的子程序、庫(kù)和其它工具。數(shù)據(jù)的收 集主要來(lái)源以下幾個(gè)方面：系統(tǒng)和網(wǎng)絡(luò)日志 文件、目錄和文件不期望的改變、 程序不期望的行為、物理形式的入侵?jǐn)?shù)據(jù)。 2.1.2 數(shù)據(jù)提取 數(shù)據(jù)提取 從收集到的數(shù)據(jù)中提取有用的數(shù)據(jù)，以供數(shù)據(jù)分析之用。 2.1.3數(shù)據(jù)分析 對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)運(yùn)行、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等數(shù)據(jù)通過(guò) 三種技術(shù)手段進(jìn)行分析：模塊匹配、統(tǒng)計(jì)分析和完整性分析。 2.1.4結(jié)果

21、處理 記錄入侵事件，同時(shí)采取報(bào)警、中斷連接等措施. 2.2入侵檢測(cè)技術(shù)的檢測(cè)模型 從技術(shù)上劃分，入侵檢測(cè)有兩種檢測(cè)模型： 2.2.1異常檢測(cè)模型 異常檢測(cè)模型：檢測(cè)與可接受行為之間的偏差。如果可以定義每項(xiàng)可接受的 行為，那么每項(xiàng)不可接受的行為就應(yīng)該是入侵。首先總結(jié)正常操作應(yīng)該具有的 特征（用戶輪廓），用戶輪廓是指各種行為參數(shù)及其閾值的集合。當(dāng)用戶活動(dòng) 與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。這種檢測(cè)模型漏報(bào)率低，誤報(bào)率高 因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，所以能有效檢測(cè)未知的入侵。異常檢測(cè) 的模型如圖2-1所示。 圖2-1異常檢測(cè)模型 222誤用檢測(cè)模型 誤用檢測(cè)模型：檢測(cè)與已知的不可接受行為之

22、間的匹配程度。 如果可以定義 所有的不可接受行為，那么每種能夠與之匹配的行為都會(huì)引起告警。收集非正 常操作的行為特 征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記 錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。這種檢測(cè)模型誤報(bào)率低、漏報(bào)率高。 對(duì)于已知的攻擊，它可以詳細(xì)、準(zhǔn)確地報(bào)告出攻擊類型，但是對(duì)未知攻擊的效 果有限，而且特征庫(kù)必須不斷更新。誤用檢測(cè)的模型如圖2-2所示。 圖2-2誤用檢測(cè)模型 第三章 入侵檢測(cè)技術(shù)功能概要 -監(jiān)督并分析用戶和系統(tǒng)的活動(dòng) -檢查系統(tǒng)配置和漏洞 -檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性 -識(shí)別代表已知攻擊的活動(dòng)模式 -對(duì)反常行為模式的統(tǒng)計(jì)分析 對(duì)操作系統(tǒng)的校驗(yàn)管理，判斷

23、是否有破壞安全的用戶活動(dòng)。 -提高了系統(tǒng)的監(jiān)察能力 跟蹤用戶從進(jìn)入到退出的所有活動(dòng)或影響 識(shí)別并報(bào)告數(shù)據(jù)文件的改動(dòng) 發(fā)現(xiàn)系統(tǒng)配置的錯(cuò)誤，必要時(shí)予以更正 識(shí)別特定類型的攻擊，并向相應(yīng)人員報(bào)警，以作出防御反應(yīng) 可使系統(tǒng)管理人員最新的版本升級(jí)添加到程序中 允許非專家人員從事系統(tǒng)安全工作 為信息安全策略的創(chuàng)建提供指導(dǎo) 入侵檢測(cè)技術(shù)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部 攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。 從網(wǎng)絡(luò)安 全立體縱深、多層次防御的角度出發(fā)，入侵檢測(cè)技術(shù)理應(yīng)受到人們的高度重視， 這從國(guó)外入侵檢測(cè)技術(shù)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。在國(guó)內(nèi)，隨著上網(wǎng)的關(guān) 鍵

24、部門、關(guān)鍵業(yè)務(wù)越來(lái)越多，迫切需要具有自主版權(quán)的入侵檢測(cè)技術(shù)產(chǎn)品。但現(xiàn) 狀是入侵檢測(cè)技術(shù)僅僅停留在研究和實(shí)驗(yàn)樣品（缺乏升級(jí)和服務(wù)）階段，或者是 防火墻中集成較為初級(jí)的入侵檢測(cè)技術(shù)模塊?？梢?jiàn)，入侵檢測(cè)技術(shù)產(chǎn)品仍具有較 大的發(fā)展空間，從技術(shù)途徑來(lái)講，我們認(rèn)為，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模 式識(shí)別和完整性檢測(cè)技術(shù)）外，應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。 第四章入侵檢測(cè)系統(tǒng)實(shí)驗(yàn)案例分析 本研究中，在Linux系統(tǒng)環(huán)境下搭建了一個(gè)入侵檢測(cè)系統(tǒng)Snort，實(shí)現(xiàn) 了基本的入侵檢測(cè)功能在實(shí)驗(yàn)室環(huán)境下，在局域網(wǎng)中利用兩臺(tái)以上的計(jì)算機(jī)， 使用其中一臺(tái)主機(jī)作為被攻擊方，即檢測(cè)方，另外的主機(jī)可對(duì)其進(jìn)行攻擊.被攻 擊方

25、可看出攻擊方的IP地址及數(shù)據(jù)包相關(guān)內(nèi)容，并可根據(jù)檢測(cè)結(jié)果進(jìn)行分析. 由于Ubuntu是Debian系的Linux，安裝軟件非常簡(jiǎn)單.這里使用 Ubuntu 默認(rèn)命令行軟件包管理器apt來(lái)進(jìn)行安裝.要安裝的不僅有 Snort，還有Snort 規(guī)則集. $ sudo apt-get in stall snort sn ort-rules-default 4.1配置Snort選項(xiàng) 接下來(lái)利用Snort的配置文件來(lái)設(shè)置各種選項(xiàng)，以確定它的運(yùn)行方式.這個(gè) 過(guò)程相對(duì)復(fù)雜，尤其要注意的是命令的輸入，有時(shí)因?yàn)橐粋€(gè)空格的缺失就要反復(fù) 進(jìn)行配置. 先打開(kāi)Snort的主配置文件：/etc/snort/snort.

26、Conf #HOME_N0T#EXTERNAL_N是嗅探器最主要的兩個(gè)配置變量和選項(xiàng).在 配置文件中將HOME_NET關(guān)項(xiàng)注釋掉，然后將 HOME_NE設(shè)置為本機(jī)IP所在網(wǎng) 絡(luò)，將EXTERNAL_NET關(guān)項(xiàng)注釋掉，設(shè)置其為非本機(jī)網(wǎng)絡(luò).刪除HOME_N0T前 的一# II,設(shè)置HOME_N變量.一# II在Snort配置文件中作命令指示器.HOME_NET 變量定義了哪些網(wǎng)絡(luò)是受信的內(nèi)部網(wǎng)絡(luò) 它與簽名共同判斷內(nèi)部網(wǎng)絡(luò)是否受到攻 擊.Snort . conf默認(rèn)把HOME_NET為一var HOME_NETy II對(duì)任意地址信任.把 它精確設(shè)為實(shí)際的內(nèi)網(wǎng)地址空間將減少錯(cuò)誤告警的次數(shù)設(shè)置代碼如下：

27、 #var HOME_NET any var HOME_NET 172 18148152/16 設(shè)置EXTERNAL_NE變量.它指定可能發(fā)起攻擊的網(wǎng)絡(luò)，一般把它設(shè)為除 HOME_NE地址以外的所有地址.設(shè)置代碼如下： #var EXTERNAL_NET any var EXTERNAL_NET !$HOME_NET 定義哪些服務(wù)器上運(yùn)行了哪些服務(wù)程序.如果把HTTP_SERVERS為某些 服務(wù)器，則Snort只關(guān)注對(duì)那些服務(wù)器進(jìn)行的 HTTP攻擊.如果想了解到對(duì)某個(gè) 服務(wù)器上并沒(méi)有運(yùn)行著的服務(wù)程序進(jìn)行的攻擊， 就保留默認(rèn)設(shè)置， 這樣可以觀察 到任何對(duì)內(nèi)網(wǎng)的攻擊 也可以命令 Snort 只關(guān)注

28、對(duì)某一臺(tái)或某幾臺(tái)服務(wù)器的 HTTP 攻擊設(shè)置代碼如下： #var DNS_SERVERS $HOME_NET var HTTP_SERVERS32 配置服務(wù)使用的端口 同前面定義服務(wù)類似， 命令將使 Snort 只關(guān)注對(duì)這 個(gè)端口的攻擊.按照默認(rèn)配置，Snort將忽略對(duì)端口 8080的HTTP攻擊.這樣的 配置能夠使 Snort 專注于不同類型攻擊類型的發(fā)生地點(diǎn) 但在最終對(duì)被攻擊方做 全面保護(hù)時(shí)不開(kāi)啟這個(gè)配置， 這樣可以檢測(cè)出局域網(wǎng)內(nèi)對(duì)該機(jī)器進(jìn)行攻擊的主機(jī) 和攻擊類型 在本地打開(kāi) Snort 規(guī)則：snort - c/etc/snort/rules 配置RULE_PA

29、T變量，指示規(guī)則的存儲(chǔ)位置，規(guī)則用于觸發(fā)事件.配置代 碼如下： var RULE_PATH /rules 接下來(lái)一段內(nèi)容被注釋掉了， 是對(duì)一些不常見(jiàn)的通信的監(jiān)測(cè) 除非系統(tǒng)中 出現(xiàn)了其中的問(wèn)題或者入侵檢測(cè)系統(tǒng)耗費(fèi)資源很小， 否則最好不要啟用 下面一 段是允許為資源有限的系統(tǒng)配置偵測(cè)引擎， 在本實(shí)驗(yàn)中無(wú)需改動(dòng) 配置文件之后 的幾段用于配置一些功能和設(shè)置對(duì)某些類型的攻擊的偵測(cè)，包括碎片攻擊 (fragmentation attacks )、狀態(tài)檢測(cè)(stateful inspection )和流重組(stream reassembly )選項(xiàng). 標(biāo)注有 Step #4 的 段落包含 Snort 的輸

30、出選項(xiàng)， 取消 output alert_syslog:LOG_AUTH LOG_ALERT|前的注釋.此處無(wú)論如何配置都會(huì)生成 auth . info 警告. 編輯 #2 部分動(dòng)態(tài)加載庫(kù)的路徑，這些路徑有些需要修改默認(rèn)項(xiàng).比如在 本 實(shí) 驗(yàn) 中 ， 運(yùn) 行 Snort 時(shí) 遇 到 錯(cuò) 誤 ， 提 示 了 Unknown rule type:dynamicpreprocessor directory | ，經(jīng)查發(fā)現(xiàn)是是由于 Snort 未配置使用 動(dòng)態(tài)加載處理機(jī)，只需用一#1注釋掉加載處理機(jī)相關(guān)兩行就可以了. (11)最后一段Step #6是規(guī)則集.這里有些 規(guī)則默 認(rèn)為不起作 用，如 cha

31、t. rules 是由各種即時(shí)消息客戶端出發(fā)生效的.在行首加入或刪除注釋符 號(hào)一# I就可以指定該行的規(guī)則集是否生效.在本實(shí)驗(yàn)中一般均默認(rèn)為生效. 4.2 測(cè)試 Snort 前面對(duì) Snort 的配置做的修改， 有些配置的修改可能會(huì)影響到 Snort 的正常 啟動(dòng)，在將 Snort 作為入侵檢測(cè)工具正式啟用前， 首先要測(cè)試 Snort 工作是否正 常： $ sudo snort -c /etc/snort/snort conf 如果出現(xiàn)一個(gè)用 ASCII 字符畫(huà)出的小豬， 那么 Snort 工作就正常了， 可以使 用 Ctrl+C 退出；如果 Snort 異常退出，就需要查明安裝軟件和修改配置

32、的正確 性了 4.3 攻擊與檢測(cè)過(guò)程 4.3.1 攻擊過(guò)程 在攻擊庫(kù)面板中選擇一種攻擊，在此選擇 Backdoor Backdoor 203 dll 為例，選擇該類型攻擊作為實(shí)驗(yàn)用點(diǎn)擊右側(cè)一 Runattack II開(kāi)始攻擊過(guò)程在 下面的界面中可以看到發(fā)出攻擊的大概情況 當(dāng)攻擊結(jié)束后左側(cè)的窗口會(huì)顯示本 次攻擊的信息，包括攻擊類型，其中發(fā)出攻擊包所屬 Protocol 種類，及本次發(fā) 出攻擊包的總數(shù) 4.3.2 Snort 運(yùn)行過(guò)程 在啟動(dòng)Snort后,入侵檢測(cè)的過(guò)程就開(kāi)始了.啟動(dòng)操作輸入：snort - vd外 界沒(méi)有攻擊時(shí)的檢測(cè)如圖 5-4(a)(b) 所示截獲的數(shù)據(jù)包中，首先顯示一些基本

33、的數(shù)據(jù)包信息, 包括時(shí)間、攻擊方 IP 地址及端口號(hào)、 被攻擊方 IP 地址及端口號(hào)、 數(shù)據(jù)包類型、報(bào)文中轉(zhuǎn)次數(shù)、 ID 號(hào)、 IP 數(shù)據(jù)包長(zhǎng)度、響應(yīng)號(hào)和發(fā)送窗口大小等 信息數(shù)據(jù)包內(nèi)部信息用 ASCII 顯示出,對(duì)于數(shù)據(jù)包內(nèi)容的分析可用專門的分析 軟件進(jìn)行,在本實(shí)例中使用了 wireshark 對(duì)已知數(shù)據(jù)包進(jìn)行分析 退出 Snort 會(huì)顯示出本次檢測(cè)的數(shù)據(jù)包相關(guān)數(shù)據(jù), 包括本次檢測(cè)總時(shí)間, 及 分析的數(shù)據(jù)包個(gè)數(shù)、 分析失敗個(gè)數(shù)、 突出數(shù)據(jù)及其相應(yīng)的百分比 接下來(lái)顯示的 是分析的數(shù)據(jù)包中,每種數(shù)據(jù)類型所占的個(gè)數(shù)和百分比 4.4 檢測(cè)結(jié)果分析 Wireshark 是一個(gè)網(wǎng)絡(luò)封包分析軟件 網(wǎng)絡(luò)封包分

34、析軟件的功能是截取網(wǎng)絡(luò) 封包,并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料 本實(shí)驗(yàn)中以此軟件來(lái)對(duì)已經(jīng)記 錄的數(shù)據(jù)包進(jìn)行分析首先將數(shù)據(jù)包文件導(dǎo)入,如圖 4-1 L=ij_s_r T 2 I liei Q Q 也同 Tm 245S20 77 245S21 77 245822 77 245B23 77 ND - m丄廿 24 5824 245825 245826 Z45827 245328 245829 245850 245831 245832 77 77； on 丄上330 .112.194 24S.153 ,112.194 ,113,50 2,91.23? .UB.50 .112.194 248,153

35、 ,112.194 *113.50 2.91.2 245833 245B34 245835 770.3S2215 19.102.91,233 7770.442352 53 7770.44?001 94 7770.J622277.246,13 7770.482356 丄朋48291.233 172.16.112. 53 17Z.16.112.19Ji 172.1,113,50 Info 1A 05* A L tl叫i禮 TELNET Telnet Data * TELNET Tel net Data TCP 20622 teln

36、et Iac telnet rd net TELNET Tel net Data TCP 6297 Telnet TELNET Tel nert Data . TELNET Tel neT Ztd TCP ?0622 telnet AC TELNET Tel net DMta TELNET TInar gz * TCP 627 telnet UK TELNET Telnex Data * TELNET Tel net Data . T匚P 2022 telner ac TELNET Telnet Data in p Frame 1 (60 bytes on wire, 60 bytes ptu

37、red)* Etherner Iit Src; cSsco_38：46i?b (00：10；7b：?8：46：ib)1 ： cA$co_3a；46i3ti COOilOi7b：3&： = configuratlcin Twwt Protocol (1 oopback) 000000107b38“3b00107b38463b90000000 00100100000000g00OO00000000CO00DO00 do”0000000000oaOOOOOOOOOOOOOO000040 003000000000000000DODC00DO00 Loadng: LLSJXOS 1.0-dmz .dum

38、p Packets: 245835 Dbplaved: 245835 Marks. Profie: Defauft 圖4-1 用Wireshark分析數(shù)據(jù)包內(nèi)容 Wireshark和其它的圖形化嗅探器使用基本類似的界面，整個(gè)窗口被分成三 個(gè)部分：最上面為數(shù)據(jù)包列表，用來(lái)顯示截獲的每個(gè)數(shù)據(jù)包的總結(jié)性信息；中間 為Protocol樹(shù)，用來(lái)顯示選定的數(shù)據(jù)包所屬的 Protocol信息；最下邊是以十六 進(jìn)制形式表示的數(shù)據(jù)包內(nèi)容，用來(lái)顯示數(shù)據(jù)包在物理層上傳輸時(shí)的最終形式.使 用Wireshark可以很方便地對(duì)截獲的數(shù)據(jù)包進(jìn)行分析，包括該數(shù)據(jù)包的源地址、 目的地址、所屬Protocol等. 通過(guò)Proto

39、col樹(shù)可以得到被截獲的數(shù)據(jù)包的更多信息，如主機(jī)的MAC地址 信息(Ethernet II) 、IP 信息(Internet Protocol) 、TCP信息(Transmission ControlProtocol)，以及該 Protocol 的具體內(nèi)容(Hypertext Trnasfer Protocol).通過(guò)擴(kuò)展Protocol樹(shù)中的相應(yīng)節(jié)點(diǎn)，可以得到該數(shù)據(jù)包中攜帶的更 詳盡的信息.最下邊是以十六制顯示的數(shù)據(jù)包的具體內(nèi)容，這是被截獲的數(shù)據(jù)包 在物理媒體上傳輸時(shí)的最終形式，當(dāng)在Protocol樹(shù)中選中某行時(shí)，與其對(duì)應(yīng)的 十六進(jìn)制代碼同樣會(huì)被選中，這樣就可以很方便地對(duì)各種Protocol

40、的數(shù)據(jù)包進(jìn) 行分析. 第五章 入侵檢測(cè)技術(shù)的缺點(diǎn)和改進(jìn) 5.1 入侵檢測(cè)技術(shù)所面臨的問(wèn)題 近年來(lái)入侵技術(shù)無(wú)論從規(guī)模與方法上都發(fā)生了變化， 入侵手段的綜合化與復(fù) 雜化，網(wǎng)絡(luò)防范技術(shù)也多重化， 攻擊的難度增加， 使得入侵者在實(shí)施入侵時(shí)往往 同時(shí)采用多種入侵手段， 存在對(duì)入侵檢測(cè)系統(tǒng)的攻擊， 入侵者通過(guò)分析 IDS 的審 計(jì)方式、特征描述、通信模式找出 IDS 的弱點(diǎn)，然后加以攻擊。傳統(tǒng)的分析技術(shù) 和模型，會(huì)產(chǎn)生大量的誤報(bào)和漏報(bào)， 難以確定真正的入侵行為。 以提高入侵成功 的概率，并在攻擊實(shí)施的初期掩蓋入侵的真實(shí)目的， 入侵檢測(cè)系統(tǒng)面臨如下的一 些問(wèn)題： (1) 入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)問(wèn)題； (2)

41、網(wǎng)絡(luò)規(guī)模增大， 導(dǎo)致信息的收集和處理難度加大， 入侵規(guī)模的擴(kuò)大化， 現(xiàn)有的入侵檢測(cè)系統(tǒng)檢測(cè)速度遠(yuǎn)小于網(wǎng)絡(luò)傳輸速度； (3) IDS產(chǎn)品的檢測(cè)準(zhǔn)確率比較低，漏報(bào)和誤報(bào)比較多； ( 4 )入侵檢測(cè)產(chǎn)品和其他網(wǎng)絡(luò)安全產(chǎn)品結(jié)合問(wèn)題，即期間的信息交換，共 同協(xié)作發(fā)現(xiàn)攻擊并阻止攻擊； (5) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)對(duì)加密的數(shù)據(jù)流及交換網(wǎng)絡(luò)下的數(shù)據(jù)流不能 進(jìn)行檢測(cè)，并且其本身構(gòu)建易受攻擊； (6) 對(duì)分布式攻擊和拒絕服務(wù)攻擊的檢測(cè)和防范能力較弱； ( 7 )尚不能與其他安全部件很好地互動(dòng)； ( 8)缺乏國(guó)際、國(guó)內(nèi)標(biāo)準(zhǔn)； (9)對(duì)IDS產(chǎn)品的測(cè)試評(píng)估缺乏統(tǒng)一的標(biāo)準(zhǔn)和平臺(tái)。 5.2 入侵檢測(cè)技術(shù)的改進(jìn)發(fā)展 針對(duì)

42、這些問(wèn)題入侵檢測(cè)系統(tǒng)需要向以下的幾個(gè)發(fā)展方向： 入侵件技術(shù)應(yīng)該更 加智能化， 應(yīng)改進(jìn)和提出新的檢測(cè)方法， 應(yīng)有自學(xué)習(xí)和自適應(yīng)能力， 應(yīng)制定相關(guān) 標(biāo)準(zhǔn)、加強(qiáng)與其他安全部件的互動(dòng)，應(yīng)有一個(gè)完善的評(píng)估和測(cè)試體系。 總結(jié) 所有的入侵檢測(cè)方法應(yīng)用于實(shí)際都不可能捕獲到所發(fā)生的每次攻擊， 也不可 能完全阻止攻擊的發(fā)生 任何一種入侵檢測(cè)系統(tǒng)都有局限性 對(duì)于基于特征的檢 測(cè)系統(tǒng)而言， 系統(tǒng)需要時(shí)間加入新的攻擊特征來(lái)檢測(cè)新的攻擊類型 對(duì)于基于異 常的檢測(cè)系統(tǒng)而言，新的攻擊本身對(duì)于系統(tǒng)定義的正常模式常具有一定的隱蔽 性因此，任何一種入侵檢測(cè)系統(tǒng)都不可能提供零時(shí)差的攻擊檢測(cè) 因特網(wǎng)殘酷 且危機(jī)四伏，入侵檢測(cè)系統(tǒng)只能提

43、供相對(duì)健壯的網(wǎng)絡(luò)防御方式并對(duì)攻擊做好準(zhǔn) 備，但不可能從物理上徹底阻止外界對(duì)網(wǎng)絡(luò)進(jìn)行攻擊 大多數(shù)情況下， 入侵檢測(cè) 系統(tǒng)并不能阻止持續(xù)的攻擊， 其功能主要是檢測(cè)和預(yù)警 而大多數(shù)情況下入侵檢 測(cè)系統(tǒng)也不會(huì)自動(dòng)阻斷攻擊， 這也是之前提到的， 入侵檢測(cè)系統(tǒng)只能是網(wǎng)絡(luò)防御 系統(tǒng)，如防火墻、 反病毒軟件等產(chǎn)品的一個(gè)補(bǔ)充， 而不能完全取代他們的重要原 因 在實(shí)際應(yīng)用中，Snort不僅用來(lái)保障計(jì)算機(jī)系統(tǒng)的安全，同時(shí)也要保證Snort 自身系統(tǒng)的安全，這樣才能保證數(shù)據(jù)的可靠性 如果 Snort 系統(tǒng)本身受到了攻擊， 那么所發(fā)送的報(bào)警也就不在可靠了，除非清除磁盤數(shù)據(jù)并重裝系統(tǒng)，否則 Snort 將沒(méi)有用處一個(gè)典型

44、的 Snort 安裝非常容易受到攻擊，攻擊對(duì)象包括 Snort 本身或其所在的操作系統(tǒng).Snort 般需要將報(bào)警存儲(chǔ)到數(shù)據(jù)庫(kù) MySQ中，還需 要通過(guò)專門的接口查看報(bào)警，這需要使用到 Web服務(wù)器Apache.任何一種偵聽(tīng) 服務(wù)都可能成為被攻擊的對(duì)象， 一些驅(qū)動(dòng)攻擊甚至可以針對(duì)某個(gè)并沒(méi)有開(kāi)啟相應(yīng) 服務(wù)的端口發(fā)起攻擊.因此， Snort 系統(tǒng)若不能隨時(shí)關(guān)注最新的安全漏洞通告及 所使用的操作系統(tǒng)安全通告，就很容易被攻擊. 在整個(gè)畢業(yè)設(shè)計(jì)的過(guò)程中， 我對(duì)入侵檢測(cè)的方法有了更深層的認(rèn)識(shí)， 熟悉了 Protocol 分析和模式匹配等檢測(cè)方法以及當(dāng)前廣泛使用的入侵檢測(cè)方法 Snort 的實(shí)際使用， 加深了

45、對(duì) Snort 的檢測(cè)方法和規(guī)則組織的認(rèn)識(shí). 總之，可以說(shuō)完成 的過(guò)程也是學(xué)習(xí)的過(guò)程， 更是收獲的過(guò)程， 總結(jié)的過(guò)程， 畢業(yè)設(shè)計(jì)讓我接觸了許 多新的領(lǐng)域，并用大學(xué)中學(xué)到的學(xué)習(xí)能力和本領(lǐng)來(lái)進(jìn)行研究，受益匪淺 . 致謝 我的課題設(shè)計(jì)終于完成了。 在論文完成之際， 我要特別感謝我的指導(dǎo)老師劉 燁老師的熱情關(guān)懷和悉心指導(dǎo)。 正是在他的指導(dǎo)下使我明確了設(shè)計(jì)的方向， 在此 對(duì)劉燁老師致以最衷心的感謝。 在設(shè)計(jì)的寫(xiě)作過(guò)程中， 也得到了許多同學(xué)的寶貴建議并給予了大量的支持和 幫助，在此一并致以誠(chéng)摯的謝意！ 在此感謝所有關(guān)心、支持、幫助過(guò)我的良師益友們。 最后，向在百忙中抽出時(shí)間對(duì)本文進(jìn)行評(píng)審并提出寶貴意見(jiàn)的各位老師表示 衷心的感謝！ 參考文獻(xiàn) 1 蔣建春，馮登國(guó) . 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)原理與技術(shù) .北京：國(guó)防工業(yè)出版 社， 2001.7 2 戴連英，連一峰，王航 .系統(tǒng)安全與入侵檢測(cè)技術(shù) . 北京：清華大學(xué)出 版社， 2002.3 3 美Richard O.Duda,Peter E.HartQavid G.Stork李宏?yáng)| 姚天翔 等譯 模式分類（原書(shū)第 2 版）機(jī)械工業(yè)出版社 ，2003-09-01 4 吳焱等譯，入侵者檢測(cè)技術(shù) . 北京：電子工業(yè)出版社 ,1999 5