河南科学技术毕业设计(论文)项目报告
部:电子信息工程学院2008年3月27日
基于主题名称的入侵检测系统的设计和实施
学生名称主要类项目类型软件工程
教师专业标题的研究来源
1。设计的基础和意义(或研究)
随着网络的快速发展开yun体育app官网网页登录入口,网络信息安全问题变得越来越突出。现在,世界
在范围内,对计算机和网络基础架构的攻击变得越来越严重,我们应该密切关注它。
特别是对于军事,政府和银行机构的网站,它们已成为黑客袭击的流行目标。最近的
在过去的几年中,各种在线财务,例如在线电子商务,在线银行,在线移动付款,在线充值等。
业务应用已经开始流行,这些应用也引起了黑客的极大兴趣。然后面对这种情况,
对入侵的意识和保护将成为各种机构之一,无论是商业还是政府。
越来越紧迫的需求。
现有的安全机制主要是:加密机制,数据签名机制,访问控制机制和数据
完整性机制,身份验证机制,系统脆弱性机制和防火墙系统。即使使用上述网络安全
所有技术,但仍然存在网络安全问题。例如,防火墙技术的常见缺点是
其安全配置特别强大,这将影响网络系统的处理性能。情况更为严重是预防消防
墙将所有安全问题汇集在一起。防火墙损坏后,内部网络将非常方便。
容易被摧毁。此外,防火墙位于内部网络和Internet之间或其他外部网络之间。
相对隔离和限制网络访问以保护内部网络,但它认为Intranet是安全的,但是
大多数攻击来自Intranet,因此防火墙无法监视传输Intranet的数据。
有力。例如,访问控制机制仅限于是否允许访问系统中的对象。在主题中
如果可以访问系统的对象,则主题对对象的作用或对象的作用没有限制。例子
例如,普通用户通过缓冲区溢出获得超级用户权限。因此,访问控制无法阻止
授权访问用户可以在系统中获取未经授权的信息。简而言之,完全依靠上述传统网络
安全技术不足以解决网络安全问题,因此我们需要引入入侵检测系统
(IntrusionDetectionsystem,IDS)。
入侵检测是指在特定网络环境中发现和识别未经授权和恶意攻击的发现和
入侵并反思这一过程。入侵检测系统是使用入侵检测技术的一组计算
用于实时检测计算机或网络资源的系统工具。入侵检测系统未经授权检测
对象和另一方面,系统对系统的侵入也可以监视系统资源上授权对象的非法操作。做
作为网络安全性深度防御架构的重要联系,入侵检测系统是防火墙的背后。
第二安全门也是路由器和防火墙的重要补充。
除了发现攻击和异常网络行为外,ID还可以通过IDS日志分析发现安全性。
网络中的漏洞和安全弱点,加强了安全政策。 IDS日志可用作计算机犯罪
IDS作为攻击事件管理工具的重要证据来源可以跟踪攻击。
简而言之,入侵检测系统可以更好地保护我们的计算机,这些计算机可以防止网络攻击。
力工具。
2。国内外类似设计(或类似研究)的概述
与许多计算机技术相比,ID并不长。我们现在看到的ID
产品形式仍然与最早的入侵检测思想大不相同。 1980年4月,詹姆斯
P.Anderson发布了计算机策略和监视(计算机
安全威胁监视和监视)本文。本文首次详细说明了入侵检测的概念。
他将对计算机系统的威胁分为三种类型:外部攻击,内部攻击和虐待,并提出了
使用审核系统记录方法监视入侵活动的想法。让人们开始考虑如何主动
监视数据,检测系统开始存在。
外国研究机构早期开始对ID的研究,并迄今已成立了成熟的技术和产品。
例如Cisco NetRanger,ISS Realsecure,Anzen NFR,SRL IDE和
多个开源系统(例如Snort,Bro等)。
ISS(国际Internet Security Systems Corporation)的Realsecure(.ISS.NET)提供了基于网络的
网络和基于主机的入侵检测剂具有先进的智能攻击识别技术,并且可以监视
网络传输并自动检测并响应可疑行为,拦截和响应系统损害之前的攻击。
Enterasys(.enterasys)Dragon由网络传感器,主机传感器,
策略管理器和安全信息管理器由四个部分组成,包括使用专利组件的网络传感器。
分析算法具有很高的检测性能;主机传感器通过模块化架构用于大多数操作
该系统提供基于主机的入侵检测;政策经理集中了各种规模的应用程序。
水平管理;安全信息经理集中收集
安全信息,并在高速数据库中标准化网络中的各种事件以及其他安全保护
保护设备提供的数据将一起分析。
SRI(.sri)的IDE(IntufusiveDetection Expertsystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystystysty extsy extsy extsy ats iD
使用专家系统的入侵检测系统。系统处理是从网络上的一个或多个目标系统传递的
所需的审计数据用于使用统计分析算法来检测用户行为,并且与用户的历史活动一致。
比较;同时,该系统还使用专家系统来检测已知的入侵攻击模式,从而
基于滥用检测和异常检测的结合,实现了更好的检测效果。
Snort(.snort)是基于模式匹配的网络入侵检测系统,1998年制作。
Martinroesch将该系统与开发文档“ LightWeighigntrusionDetectionsystem”相结合
共同出版,使Snort成为许多网络安全研究人员和经理的免费资源; 2000年,
Mikedavis已开发了基于Windows 32平台的Snort版本,为更多的Windows用户提供了
开放网络安全研究和应用程序工具。通过应用不同的规则集,Snort可以提供网络
入侵检测,协议分析,故障检测,未经授权应用程序的控制和其他功能。作为公开
Snort具有其他商业软件无与伦比的特征。有很多人
Snort热情地提供了支持和维护,因此其更新非常快,并且经常发出新的攻击。
将在几个小时内有相应的检测规则,这将使用户能够尽快获得发送
攻击能力可以迅速填补漏洞。在使用价值还是学习价值的方面
他们都有独特而出色的一面。
国内研究机构开始迟到研究ID,目前相对成熟的产品包括Chinasoft Corporation。
分布式入侵检测和预警系统,ehongke.com Wei的“天空”主机入侵系统和“ Fire Eye”网络
入侵系统,Qiming Xingchen的“ Tiantian”黑客入侵检测系统,宗绿色联盟的“ Ice Eye”网络
网络入侵检测系统,Tsinghua Unisino的网络安全入侵检测系统Unisids,北部计算中心
“ Nisdector”和Guanqun Jinchen的“ Etrust”等。
这个毕业项目我开发了一个基于网络的入侵,可以在Windows上运行
检测系统使用原始网络数据包作为数据源。该系统分为三个模块:数据包捕获
获取解析器,检测引擎,记录/警报系统。检测原则将被滥用检测
方法,为每个入侵行为提取其特征值,并根据规格将其写入检测规则。
这形成了一个规则数据库。然后根据规则库一一匹配捕获的数据包,如果它们匹配
如果成功,则认为入侵是有效的。检测规则基础主要针对缓冲区溢出,端口扫描和
CGI攻击,等等。
参考:
[1] Song Jinsong。网络入侵检测。国防工业出版社云开·全站体育app登录,2004年
[2] Tang Zhengjunkaiyun全站网页版登录,Li Jianhua。入侵检测技术。 Tsinghua大学出版社,2004.4
[3] Chu Kuang等。网络安全和防火墙技术。人们的帖子和电信出版社,2000.4
[4] Gao Yongqiang,Guo Shize。网络安全技术和应用程序的编年史。人们的帖子和电信出版社,2003年
[5]江冈江江。网络入侵的原理和技术。国防工业出版社,2001.7
[6] Han Donghai,Wang Chao,Li Qun等。对入侵检测系统和示例的分析。 Tsinghua大学出版社,2002.5
[7] Stephen Northcut,翻译:Yu Qingni等。网络入侵检测分析师的手册。发行的人们的邮政和电信
出版社,2000.3
[8] Paul E.Proctor,翻译:Deng Qihao。入侵检测手册。中国电力出版社,2002.8
[9] Stephen Northcut,翻译:Lin Qi等。入侵特征和分析。中国电力出版社,2002.8
[10] Brian Caswell等人,翻译:Song Jinsong等。 Snort 2.0入侵检测。国防工业出版社,
2004.1
3。项目设计(或研究)的内容
入侵检测作为一种主动和主动的安全保护技术,提供了内部和外部攻击。
在网络系统受到损害之前,实时保护命中和疏忽,拦截和应对入侵。这个问题需要
基于相关的技术和入侵检测方法,设计和实施了网络入侵检测系统。
主要研究内容包括:
3.1入侵检测系统模型框架设计
图3-1基本入侵检测框架
3.2入侵检测方法的分析
滥用检测和异常检测
3.3入侵检测规则基础设计
3.4相应的入侵检测机制
4。设计(或研究)方法(程序)
4.1研究方法
严格根据软件工程的要求对该系统进行严格分析和设计。
首先,对系统必要性进行分析,然后对系统可行性进行分析和系统的整体结构
分析,系统轮廓设计,系统详细设计,规则库设计,接口设计,代码实现
现在,调试和运行,编码和测试。
4.2研究措施
该入侵系统的设计可以基于Snort框架设计,您可以选择使用熟悉的开发环境
进行软件开发。首先,您需要学习在线知识。
该开发工具使用VC6.0编程工具,开发环境可以使用C语言执行程序。
写作,它还可以方便地使用控件来设计便捷且实用的接口。
完成该软件设计的最重要的事情是分析已知的编码并掌握主要的编码
功能和特定的实现方法。在这里,我们需要学习软件操作所需的配置和功能的使用
数据库库的安装。如何优化规则库以使检测准确迅速。
我现在已经拥有的知识是:(1)过程C语言的写作和阅读技能,并且可以写基础知识
TCP和UDP的网络通信程序。 (2)Snort的数据包捕获和解析器,检测引擎,
对记录/警报系统功能和实现的基本理解。 (3)多个线程可用于完成下载
有能力的。
5。实施计划
阶段1:2007-2008学期19周 - 学期2周5
2007-2008第一学期19周,了解设计要求和设计目标。
2007 - 2008年第一学期是数据准备的20周,并且准备了开发环境。
在冬季假期期间:阅读文学,熟悉开发工具并翻译英语材料。
2007-2008在第二学期的1-5周内阅读相关材料,并撰写项目报告。
阶段2:2007-2008第二学期6-7周
在6周内完成整体设计和框架。
为期7周的时间准备该计划的开发和编码。
阶段3:2007-2008第二学期8至13周
为期8周和9周的小说嗅探器,预处理器设计。
10周和12周的规则基础,检测引擎的设计。
13每周的警报系统和整体接口设计。
阶段4:2007-2008第二学期14-17周
14周开始编写纸张或设计手册。
15周写纸或设计手册。
在16周内预防,并为演示环境做准备。
17周的防守。
讲师的意见
讲师签名:年,月,日
处理意见
部门主任的签名:年,月,日
