入侵檢測(cè)技術(shù)應(yīng)用

1、多閭盤j:很濟(jì)#憶 畢業(yè)設(shè)計(jì) 開題報(bào)告 學(xué)生姓名 學(xué) 號(hào) 201402081117 專 業(yè) 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 班 級(jí) 網(wǎng)絡(luò)201401班 指導(dǎo)教師 開題時(shí)間 2016年10月20日 黃岡職業(yè)技術(shù)學(xué)院電子信息學(xué)院 電子信息學(xué)院畢業(yè)設(shè)計(jì)開題報(bào)告 擬設(shè)計(jì)題目 入侵檢測(cè)技術(shù)應(yīng)用 綜述 （本課題研究 意義：隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全成為一個(gè)突出的問 題。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是近年來網(wǎng)絡(luò)安全領(lǐng)域的熱門技術(shù)，它能夠?qū)W(wǎng) 絡(luò)中發(fā)生的安全事件和網(wǎng)絡(luò)中存在的安全漏洞進(jìn)行主動(dòng)實(shí)時(shí)的檢測(cè)，它 作為一種積極主動(dòng)的防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作 的實(shí)時(shí)保護(hù)。入侵檢測(cè)系統(tǒng)是保障計(jì)算機(jī)及網(wǎng)絡(luò)安全的有力措施之一

2、。 通過研究本課題，可以了解入侵檢測(cè)技術(shù)技術(shù)的發(fā)展歷程， 及國內(nèi)外研 究水平的差距，熟悉各種入侵檢測(cè)技術(shù)原理方法的異冋， 以便今后對(duì)某 種檢測(cè)技術(shù)方法作進(jìn)一步的改進(jìn)時(shí)能夠迅速切入要點(diǎn)。 的意義、研究的 現(xiàn)狀及自己的 認(rèn)識(shí)） 研究的現(xiàn)狀及自己的認(rèn)識(shí)： 根據(jù)檢測(cè)技術(shù)類型可劃分為異常行為檢 測(cè)技術(shù)類型和漏洞檢測(cè)技術(shù)類型。根據(jù)異?；蛘卟缓戏ㄐ袨楹褪褂糜?jì)算 機(jī)資源信息的情況檢測(cè)入侵的技術(shù)類型被稱為異常入侵攻擊檢測(cè)。漏洞 入侵檢測(cè)是利用已知系統(tǒng)和應(yīng)用軟件的漏洞攻擊方式檢測(cè)入侵。 研究內(nèi)容 （研究方向，研 究內(nèi)容、系統(tǒng)主 要功能分析及 說明） 研究方向：入侵檢測(cè)技術(shù)應(yīng)用 研究內(nèi)容：本文從入侵檢測(cè)技術(shù)的發(fā)展入

3、手， 研究、分析了入侵檢 測(cè)技術(shù)和入侵檢測(cè)系統(tǒng)的原理、應(yīng)用、信息收集和分析、數(shù)據(jù)的處理及 其優(yōu)缺點(diǎn)和未來的發(fā)展方向。 入侵檢測(cè)是一門綜合性技術(shù)， 既包括實(shí)時(shí) 檢測(cè)技術(shù)也有事后分析技術(shù)。 盡管用戶希望通過部署 IDS來增強(qiáng)網(wǎng)絡(luò)安 全，但不冋的用戶需求也不冋。 系統(tǒng)主要功能及分析：一個(gè)入侵檢測(cè)系統(tǒng)的功能結(jié)構(gòu)至少包含事件 提取入侵分析入侵響應(yīng)和遠(yuǎn)程管理四部分功能。事件提取功能負(fù)責(zé)提取 與被保護(hù)系統(tǒng)相關(guān)的運(yùn)行數(shù)據(jù)或記錄，并負(fù)責(zé)對(duì)數(shù)據(jù)進(jìn)行簡單的過濾。 入侵分析的任務(wù)就是在提取到的運(yùn)行數(shù)據(jù)中找出入侵的痕跡，將授權(quán)的 正常訪冋行為和非授權(quán)的不正常訪冋行為區(qū)分開分析出入侵行為并對(duì) 入侵者進(jìn)行定位。入侵響應(yīng)功能

4、在分析出入侵行為后被觸發(fā)，根據(jù)入侵 行為產(chǎn)生響應(yīng)。 實(shí)現(xiàn)方法及預(yù) 期目標(biāo) （包括實(shí)施的 初步方案、重 點(diǎn)、難點(diǎn)及預(yù)期 達(dá)到的效果） 實(shí)施的初步方案： 1.入侵檢測(cè)技術(shù)的分析； 2查找、閱讀并整理資料； 3入侵檢測(cè)技術(shù)發(fā)展趨勢(shì)； 4撰寫論文提綱； 5撰寫論文初稿并修改。 重點(diǎn)：入侵檢測(cè)技術(shù)是一種積極主動(dòng)的安全防護(hù)技術(shù)，其工作流程 包括數(shù)據(jù)收集、數(shù)據(jù)提取、數(shù)據(jù)分析、結(jié)果處理。檢測(cè)模型為異常檢測(cè) 模型和誤用檢測(cè)模型，未來的發(fā)展趨勢(shì)是智能化的全面檢測(cè)，這也是本 課題研究的重點(diǎn)。 對(duì)進(jìn)度的 具體安排 第一階段：對(duì)入侵檢測(cè)技術(shù)概況做分析10月17號(hào)到20號(hào)； 第二階段：查找、閱讀并整理資料，10月22號(hào)到

5、10月25號(hào)； 第三階段：撰寫論文提綱，10月26號(hào)到10月27號(hào)； 第四階段：撰寫論文初稿并修改，10月28號(hào)到11月5號(hào)； 第五階段：撰寫論文定稿，11月5號(hào)到11月12號(hào)； 參考文獻(xiàn) 1 蔣建春，馮登國網(wǎng)絡(luò)入侵檢測(cè)技術(shù)原理與技術(shù)北京：國防工 業(yè)出版社，2001.7 2 戴連英，連一峰，王航系統(tǒng)安全與入侵檢測(cè)技術(shù)北京：清華 大學(xué)出版社，2002.3 3 美Richard O.Duda,Peter E.HartQavid G.Stork 李宏東 姚天翔 等譯模式分類（原書第 2版）機(jī)械工業(yè)出版社，2003-09-01 4 吳焱等譯，入侵者檢測(cè)技術(shù)北京：電子工業(yè)出版社,1999 指導(dǎo)教師意見

6、（簽署意見并 簽字） 審查人簽字：年 月日 領(lǐng)導(dǎo)小組 審查意見 審查人簽字：年月日 21 學(xué)業(yè)作品 題 目 學(xué)生姓名徐盼 學(xué) 號(hào) 201402081117 專業(yè)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 班級(jí)網(wǎng)絡(luò)201401班 指導(dǎo)教師劉燁 完成日期 2016 年11月20日 目錄 摘 要 6 關(guān)鍵詞 6 第一章 緒論 7 1.2 入侵檢測(cè)技術(shù)的歷史 7 1.3 本課題研究的途徑與意義 8 第二章 入侵檢測(cè)技術(shù)原理 9 2.1 入侵檢測(cè)的工作流程 9 2.1.1 數(shù)據(jù)收集 9 2.1.2 數(shù)據(jù)提取 9 2.1.3 數(shù)據(jù)分析 10 2.1.4 結(jié)果處理 10 2.2 入侵檢測(cè)技術(shù)的檢測(cè)模型 10 2.2.1 異常檢測(cè)模型

7、10 2.2.2 誤用檢測(cè)模型 11 第三章 入侵檢測(cè)技術(shù)功能概要 11 第四章 入侵檢測(cè)系統(tǒng)實(shí)驗(yàn)案例分析 12 4.1 配置 Snort 選項(xiàng) 12 4.2 測(cè)試 Snort 14 4.3 攻擊與檢測(cè)過程 14 4.3.1 攻擊過程 14 4.3.2 Snort 運(yùn)行過程 14 4.4 檢測(cè)結(jié)果分析 14 第五章 入侵檢測(cè)技術(shù)的缺點(diǎn)和改進(jìn) 16 5.1 入侵檢測(cè)技術(shù)所面臨的問題 16 5.2 入侵檢測(cè)技術(shù)的改進(jìn)發(fā)展 16 總 結(jié) 17 致 謝 17 參考文獻(xiàn) 18 摘要 近年來隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)安全問題越來越受到人們的重視。 從網(wǎng)絡(luò)安全角度來看， 防火墻等防護(hù)技術(shù)只是被動(dòng)安全防御

8、技術(shù)， 只是盡量阻止 攻擊或延緩攻擊， 只會(huì)依照特定的規(guī)則， 允許或是限制傳輸?shù)臄?shù)據(jù)通過。 在網(wǎng)絡(luò) 環(huán)境下不但攻擊手段層出不窮， 而且操作系統(tǒng)、 安全系統(tǒng)也可能存在諸多未知的 漏洞，這就需要引入主動(dòng)防御技術(shù)對(duì)系統(tǒng)安全加以補(bǔ)充， 目前主動(dòng)防御技術(shù)主要 就是入侵檢測(cè)技術(shù)。 本文從入侵檢測(cè)技術(shù)的發(fā)展入手， 研究、分析了入侵檢測(cè)技術(shù)和入侵檢測(cè)系 統(tǒng)的原理、應(yīng)用、信息收集和分析、數(shù)據(jù)的處理及其優(yōu)缺點(diǎn)和未來的發(fā)展方向。 關(guān)鍵詞： 網(wǎng)絡(luò)安全，網(wǎng)絡(luò)入侵，入侵檢測(cè)技術(shù)，入侵檢測(cè)系統(tǒng) 第一章 緒論 1.1 入侵檢測(cè)技術(shù)的提出 隨著 Internet 高速發(fā)展，個(gè)人、企業(yè)以及政府部門越來越多地依靠網(wǎng)絡(luò)傳 遞信息 ,

9、 然而網(wǎng)絡(luò)的開放性與共享性容易使它受到外界的攻擊與破壞 ,信息的安 全保密性受到嚴(yán)重影響。 網(wǎng)絡(luò)安全問題已成為世界各國政府、 企業(yè)及廣大網(wǎng)絡(luò)用 戶最關(guān)心的問題之一。 在計(jì)算機(jī)上處理業(yè)務(wù)已由基于單機(jī)的數(shù)學(xué)運(yùn)算、 文件處理， 基于簡單連結(jié)的 內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、 辦公自動(dòng)化等發(fā)展到基于企業(yè)復(fù)雜的內(nèi)部網(wǎng)、 企業(yè)外 部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級(jí)計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處 理。在信息處理能力提高的同時(shí)， 系統(tǒng)的連結(jié)能力也在不斷的提高。 但在連結(jié)信 息能力、流通能力提高的同時(shí)， 基于網(wǎng)絡(luò)連接的安全問題也日益突出， 黑客攻擊 日益猖獗，防范問題日趨嚴(yán)峻： 具 Warroon Researc

10、h 的調(diào)查， 1997 年世界排名前一千的公司幾乎都曾被黑 客闖入； 據(jù)美國 FBI 統(tǒng)計(jì)，美國每年因網(wǎng)絡(luò)安全造成的損失高達(dá) 75 億美元； Ernst 和 Young 報(bào)告，由于信息安全被竊或?yàn)E用，幾乎 80%的大型企業(yè)遭受 損失； 看到這些令人震驚的事件， 不禁讓人們發(fā)出疑問： 網(wǎng)絡(luò)還安全嗎？ 試圖破 壞信息系統(tǒng)的完整性、 機(jī)密性、 可信性的任何網(wǎng)絡(luò)活動(dòng)都稱為網(wǎng)絡(luò)入侵。 防范網(wǎng) 絡(luò)入侵最常用的方法就是防火墻。防火墻( Firewall )是設(shè)置在不同網(wǎng)絡(luò)(如可 信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng)) 或網(wǎng)絡(luò)安全域之間的一系列部件的組合 它屬于網(wǎng)絡(luò)層安全技術(shù) , 其作用是為了保護(hù)與互聯(lián)網(wǎng)相連的

11、企業(yè)內(nèi)部網(wǎng)絡(luò)或單獨(dú) 節(jié)點(diǎn)。它具有簡單實(shí)用的特點(diǎn)， 并且透明度高， 可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng) 的情況下達(dá)到一定的安全要求。 但是，防火墻只是一種被動(dòng)防御性的網(wǎng)絡(luò)安全工具， 僅僅使用防火墻是不夠 的。首先，入侵者可以找到防火墻的漏洞，繞過防火墻進(jìn)行攻擊。其次，防火墻 對(duì)來自內(nèi)部的攻擊無能為力。它所提供的服務(wù)方式是要么都拒絕，要么都通過 , 不能檢查出經(jīng)過他的合法流量中是否包含著惡意的入侵代碼， 這是遠(yuǎn)遠(yuǎn)不能滿足 用戶復(fù)雜的應(yīng)用要求的。 對(duì)于以上提到的問題， 一個(gè)更為有效的解決途徑就是入侵檢測(cè)技術(shù)。 在入侵 檢測(cè)技術(shù)之前，大量的安全機(jī)制都是根據(jù)從主觀的角度設(shè)計(jì)的 , 他們沒有根據(jù)網(wǎng) 絡(luò)攻擊的具體

12、行為來決定安全對(duì)策， 因此，它們對(duì)入侵行為的反應(yīng)非常遲鈍， 很 難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡(luò)行為的變化來及時(shí)地調(diào)整系統(tǒng)的安全策 略。而入侵檢測(cè)技術(shù)正是根據(jù)網(wǎng)絡(luò)攻擊行為而進(jìn)行設(shè)計(jì)的， 它不僅能夠發(fā)現(xiàn)已知 入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過學(xué)習(xí)和分析入侵手段， 及時(shí)地調(diào)整系統(tǒng)策略以加強(qiáng)系統(tǒng)的安全性。 1.2 入侵檢測(cè)技術(shù)的歷史 1980 月，JnamesP.Aderson 為美國空軍做了一份題為“ Computer Security ThreatMonitoring Sureillance ”（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）的技術(shù)報(bào)告， 第一次詳細(xì)的闡述了入侵檢測(cè)的概念。 他提出

13、了一種對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的 分類方 法，并將威脅分為了外部滲透、內(nèi)部滲透和不法行為三種，還提出了利 用審計(jì)跟蹤數(shù)據(jù) 監(jiān)視入侵活動(dòng)的思想。這份報(bào)告被公認(rèn)為是入侵檢測(cè)的開山之 作。 1984 年-1986 年，喬治敦大學(xué)的 Dorothy Denning 和 SRI/CSL（SRI 公司 計(jì)算機(jī)科 學(xué)實(shí)驗(yàn)室）的 PeterNeumann 研究出了一種實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型， 取名為IDES（入侵 檢測(cè)專家系統(tǒng)）。該模型獨(dú)立于特定的系統(tǒng)平臺(tái)、應(yīng)用環(huán)境、 系統(tǒng)弱點(diǎn)以及入侵類型， 為構(gòu)建入侵系統(tǒng)提供了一個(gè)通用的框架。 1988年，SRI/CSL的Teresa Lu nt等改進(jìn)了 De nning的入侵

14、檢測(cè)模型，并 研發(fā)出了 實(shí)際的 IDES。 1989 年，加州大學(xué)戴維斯分校的 Todd Heberlein 寫了 一篇論文 A Network Security Monitor ，該監(jiān)控器用于捕獲 TCP/IP 分組， 第一次直接將網(wǎng)絡(luò)流作為審計(jì) 數(shù)據(jù)來源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一 格式的情況下監(jiān)控異種主機(jī)，網(wǎng)絡(luò)入侵 檢測(cè)從此誕生。 1990 年時(shí)入侵檢測(cè)系統(tǒng)發(fā)展史上十分重要的一年。這一年，加州大學(xué)戴維 斯分校的 L.T.Heberlein 等開發(fā)出了 NSM（Network Security Monitor） 。該系統(tǒng) 第一次直接將 網(wǎng)絡(luò)作為審計(jì)數(shù)據(jù)的來源，因而可以在不將審計(jì)數(shù)計(jì)轉(zhuǎn)

15、化成統(tǒng)一 的格式情況下監(jiān)控異種 主機(jī)。同時(shí)兩大陣營正式形成：基于網(wǎng)絡(luò)的 IDS 和基于 主機(jī)的 IDS。 入侵檢測(cè)是一門綜合性技術(shù)， 既包括實(shí)時(shí)檢測(cè)技術(shù)， 也有事后分析技術(shù)。 盡 管用戶 希望通過部署 IDS 來增強(qiáng)網(wǎng)絡(luò)安全，但不同的用戶需求也不同。由于攻 擊的不確定性， 單一的 IDS 產(chǎn)品可能無法做到面面俱到。因此， IDS 的未來發(fā) 展必然是多元化的，只有 通過不斷改進(jìn)和完善才能更好地協(xié)助網(wǎng)絡(luò)進(jìn)行安全防 御。 入侵檢測(cè)技術(shù)的發(fā)展已經(jīng)歷了四個(gè)主要階段： 第一階段是以基于協(xié)議解碼和模式匹配為主的技術(shù)， 其優(yōu)點(diǎn)是對(duì)于已知的攻 擊行為 非常有效，各種已知的攻擊行為可以對(duì)號(hào)入座，誤報(bào)率低；缺點(diǎn)是高

16、超 的黑客采用變形 手法或者新技術(shù)可以輕易躲避檢測(cè)，漏報(bào)率高。 第二階段是以基于模式匹配 +簡單協(xié)議分析 +異常統(tǒng)計(jì)為主的技術(shù)， 其優(yōu)點(diǎn)是 能夠分 析處理一部分協(xié)議，可以進(jìn)行重組；缺點(diǎn)是匹配效率較低，管理功能較 弱。這種檢測(cè)技 術(shù)實(shí)際上是在第一階段技術(shù)的基礎(chǔ)上增加了部分對(duì)異常行為分 析的功能。 第三階段是以基于完全協(xié)議分析 +模式匹配 +異常統(tǒng)計(jì)為主的技術(shù)， 其優(yōu)點(diǎn)是 誤報(bào) 率、漏報(bào)率和濫報(bào)率較低，效率高，可管理性強(qiáng)，并在此基礎(chǔ)上實(shí)現(xiàn)了多 級(jí)分布式的檢 測(cè)管理；缺點(diǎn)是可視化程度不夠，防范及管理功能較弱。 第四階段是以基于安全管理 +協(xié)議分析 +模式匹配 +異常統(tǒng)計(jì)為主的技術(shù)，其 優(yōu)點(diǎn)是 入侵管

17、理和多項(xiàng)技術(shù)協(xié)同工作，建立全局的主動(dòng)保障體系，具有良好的 可視化、可控性 和可管理性。以該技術(shù)為核心，可構(gòu)造一個(gè)積極的動(dòng)態(tài)防御體 系，即IMS入侵管理系統(tǒng)。 1.3 本課題研究的途徑與意義 聚類是模式識(shí)別研究中非常有用的一類技術(shù)。 用聚類算法的異常檢測(cè)技術(shù)就 是一種無監(jiān)督的異常檢測(cè)技術(shù)技術(shù)， 這種方法可以在未標(biāo)記的數(shù)據(jù)上進(jìn)行， 它將 相似的數(shù)據(jù)劃分到同一個(gè)聚類中， 而將不相似的數(shù)據(jù)劃分到不同的聚類， 并為這 些聚類加以標(biāo)記表明它們是正常還是異常，然后將網(wǎng)絡(luò)數(shù)據(jù)劃分到各個(gè)聚類中， 根據(jù)聚類的標(biāo)記來判斷網(wǎng)絡(luò)數(shù)據(jù)是否異常。 本課題是網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究，主要介紹模式識(shí)別技術(shù)中兩種聚類算 法，K-m

18、eans算法和迭代最優(yōu)化算法，并闡述此算法在入侵檢測(cè)技術(shù)技術(shù)中的應(yīng) 用原理，接著分析這兩種算法具體應(yīng)用時(shí)帶來的利弊， 最后針對(duì)算法的優(yōu)缺點(diǎn)提 出自己改進(jìn)的算法， 并對(duì)此算法進(jìn)行分析， 可以說這種算法是有監(jiān)督和無監(jiān)督方 法的結(jié)合，是K-means算法和迭代最優(yōu)化算法的折中，是一種較理想的算法。 通過研究本課題， 可以了解入侵檢測(cè)技術(shù)技術(shù)的發(fā)展歷程， 及國內(nèi)外研究水 平的差距， 熟悉各種入侵檢測(cè)技術(shù)原理方法的異同， 以便今后對(duì)某種檢測(cè)技術(shù)方 法作進(jìn)一步的改進(jìn)時(shí)能夠迅速切入要點(diǎn)； 在對(duì)入侵檢測(cè)技術(shù)技術(shù)研究的同時(shí)， 認(rèn) 真學(xué)習(xí)了模式識(shí)別這門課程， 這是一門交叉學(xué)科， 模式識(shí)別已經(jīng)在衛(wèi)星航空?qǐng)D片 解釋、

19、工業(yè)產(chǎn)品檢測(cè)技術(shù)、字符識(shí)別、語音識(shí)別、指紋識(shí)別、醫(yī)學(xué)圖像分析等許 多方面得到了成功的應(yīng)用， 但所有這些應(yīng)用都是和問題的性質(zhì)密不可分的， 學(xué)習(xí) 過程中接觸了許多新理論和新方法， 其中包括數(shù)據(jù)挖掘， 統(tǒng)計(jì)學(xué)理論和支持向量 機(jī)等，極大的拓展了自己的知識(shí)面， 這所帶來的收獲已經(jīng)不僅僅停留在對(duì)入侵檢 測(cè)技術(shù)技術(shù)研究這個(gè)層面上。 第二章 入侵檢測(cè)技術(shù)原理 2.1 入侵檢測(cè)的工作流程 入侵檢測(cè)系統(tǒng)由數(shù)據(jù)收集、 數(shù)據(jù)提取、數(shù)據(jù)分析、事件處理等幾個(gè)部份組成。 2.1.1 數(shù)據(jù)收集 入侵檢測(cè)的第一步是數(shù)據(jù)收集， 內(nèi)容包括系統(tǒng)、 網(wǎng)絡(luò)運(yùn)行、數(shù)據(jù)及用戶活動(dòng) 的狀態(tài) 和行為，而且，需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)

20、（不同網(wǎng)段 和不同主機(jī)）收 集數(shù)據(jù)。入侵檢測(cè)很大程度上依賴于收集數(shù)據(jù)的準(zhǔn)確性與可靠 性，因此，必須使用精確 的軟件來報(bào)告這些信息，因?yàn)楹诳徒?jīng)常替換軟件以搞 混和移走這些數(shù)據(jù)，例如替換被程 序調(diào)用的子程序、庫和其它工具。數(shù)據(jù)的收 集主要來源以下幾個(gè)方面：系統(tǒng)和網(wǎng)絡(luò)日志 文件、目錄和文件不期望的改變、 程序不期望的行為、物理形式的入侵?jǐn)?shù)據(jù)。 2.1.2 數(shù)據(jù)提取 數(shù)據(jù)提取 從收集到的數(shù)據(jù)中提取有用的數(shù)據(jù)，以供數(shù)據(jù)分析之用。 2.1.3數(shù)據(jù)分析 對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)運(yùn)行、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等數(shù)據(jù)通過 三種技術(shù)手段進(jìn)行分析：模塊匹配、統(tǒng)計(jì)分析和完整性分析。 2.1.4結(jié)果處理 記錄入侵事件

21、，同時(shí)采取報(bào)警、中斷連接等措施. 2.2入侵檢測(cè)技術(shù)的檢測(cè)模型 從技術(shù)上劃分，入侵檢測(cè)有兩種檢測(cè)模型： 2.2.1異常檢測(cè)模型 異常檢測(cè)模型：檢測(cè)與可接受行為之間的偏差。如果可以定義每項(xiàng)可接受的 行為，那么每項(xiàng)不可接受的行為就應(yīng)該是入侵。首先總結(jié)正常操作應(yīng)該具有的 特征（用戶輪廓），用戶輪廓是指各種行為參數(shù)及其閾值的集合。當(dāng)用戶活動(dòng) 與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。這種檢測(cè)模型漏報(bào)率低，誤報(bào)率高 因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，所以能有效檢測(cè)未知的入侵。異常檢測(cè) 的模型如圖2-1所示。 圖2-1異常檢測(cè)模型 222誤用檢測(cè)模型 誤用檢測(cè)模型：檢測(cè)與已知的不可接受行為之間的匹配程度。 如

22、果可以定義 所有的不可接受行為，那么每種能夠與之匹配的行為都會(huì)引起告警。收集非正 常操作的行為特 征，建立相關(guān)的特征庫，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫中的記 錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。這種檢測(cè)模型誤報(bào)率低、漏報(bào)率高。 對(duì)于已知的攻擊，它可以詳細(xì)、準(zhǔn)確地報(bào)告出攻擊類型，但是對(duì)未知攻擊的效 果有限，而且特征庫必須不斷更新。誤用檢測(cè)的模型如圖2-2所示。 圖2-2誤用檢測(cè)模型 第三章 入侵檢測(cè)技術(shù)功能概要 -監(jiān)督并分析用戶和系統(tǒng)的活動(dòng) -檢查系統(tǒng)配置和漏洞 -檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性 -識(shí)別代表已知攻擊的活動(dòng)模式 -對(duì)反常行為模式的統(tǒng)計(jì)分析 對(duì)操作系統(tǒng)的校驗(yàn)管理，判斷是否有破壞安全的用

23、戶活動(dòng)。 -提高了系統(tǒng)的監(jiān)察能力 跟蹤用戶從進(jìn)入到退出的所有活動(dòng)或影響 識(shí)別并報(bào)告數(shù)據(jù)文件的改動(dòng) 發(fā)現(xiàn)系統(tǒng)配置的錯(cuò)誤，必要時(shí)予以更正 識(shí)別特定類型的攻擊，并向相應(yīng)人員報(bào)警，以作出防御反應(yīng) 可使系統(tǒng)管理人員最新的版本升級(jí)添加到程序中 允許非專家人員從事系統(tǒng)安全工作 為信息安全策略的創(chuàng)建提供指導(dǎo) 入侵檢測(cè)技術(shù)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部 攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安 全立體縱深、多層次防御的角度出發(fā)，入侵檢測(cè)技術(shù)理應(yīng)受到人們的高度重視， 這從國外入侵檢測(cè)技術(shù)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。在國內(nèi)，隨著上網(wǎng)的關(guān) 鍵部門、關(guān)鍵業(yè)務(wù)越來越

24、多，迫切需要具有自主版權(quán)的入侵檢測(cè)技術(shù)產(chǎn)品。但現(xiàn) 狀是入侵檢測(cè)技術(shù)僅僅停留在研究和實(shí)驗(yàn)樣品（缺乏升級(jí)和服務(wù)）階段，或者是 防火墻中集成較為初級(jí)的入侵檢測(cè)技術(shù)模塊。可見，入侵檢測(cè)技術(shù)產(chǎn)品仍具有較 大的發(fā)展空間，從技術(shù)途徑來講，我們認(rèn)為，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模 式識(shí)別和完整性檢測(cè)技術(shù)）外，應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。 第四章 入侵檢測(cè)系統(tǒng)實(shí)驗(yàn)案例分析 本研究中，在Linux系統(tǒng)環(huán)境下搭建了一個(gè)入侵檢測(cè)系統(tǒng) Snort，實(shí)現(xiàn)了 基本的入侵檢測(cè)功能.在實(shí)驗(yàn)室環(huán)境下，在局域網(wǎng)中利用兩臺(tái)以上的計(jì)算機(jī)， 使 用其中一臺(tái)主機(jī)作為被攻擊方，即檢測(cè)方，另外的主機(jī)可對(duì)其進(jìn)行攻擊.被攻擊 方可看出攻擊方

25、的IP地址及數(shù)據(jù)包相關(guān)內(nèi)容，并可根據(jù)檢測(cè)結(jié)果進(jìn)行分析. 由于Ubuntu是Debian系的Linux，安裝軟件非常簡單.這里使用Ubuntu默 認(rèn)命令行軟件包管理器apt來進(jìn)行安裝.要安裝的不僅有Snort，還有Snort規(guī)則 集. $ sudo apt-get in stall snort sn ort-rules-default 4.1配置Snort選項(xiàng) 接下來利用Snort的配置文件來設(shè)置各種選項(xiàng)，以確定它的運(yùn)行方式.這個(gè) 過程相對(duì)復(fù)雜，尤其要注意的是命令的輸入，有時(shí)因?yàn)橐粋€(gè)空格的缺失就要反復(fù) 進(jìn)行配置. 先打開Snort的主配置文件：/etc/snort/snort. Conf #HO

26、ME_N0T#EXTERNAL_N是嗅探器最主要的兩個(gè)配置變量和選項(xiàng).在 配置文件中將HOME_NET關(guān)項(xiàng)注釋掉，然后將 HOME_NE設(shè)置為本機(jī)IP所在網(wǎng) 絡(luò)，將EXTERNAL_NET關(guān)項(xiàng)注釋掉，設(shè)置其為非本機(jī)網(wǎng)絡(luò).刪除HOME_N0T前 的一# II,設(shè)置HOME_N變量.一# II在Snort配置文件中作命令指示器.HOME_NET 變量定義了哪些網(wǎng)絡(luò)是受信的內(nèi)部網(wǎng)絡(luò) 它與簽名共同判斷內(nèi)部網(wǎng)絡(luò)是否受到攻 擊.Snort . conf默認(rèn)把HOME_NET為一var HOME_NETy II對(duì)任意地址信任.把 它精確設(shè)為實(shí)際的內(nèi)網(wǎng)地址空間將減少錯(cuò)誤告警的次數(shù)設(shè)置代碼如下： #var HO

27、ME_NET any var HOME_NET 172 18148152/16 設(shè)置EXTERNAL_NE變量.它指定可能發(fā)起攻擊的網(wǎng)絡(luò)，一般把它設(shè)為除 HOME_NE地址以外的所有地址.設(shè)置代碼如下： #var EXTERNAL_NET any var EXTERNAL_NET !$HOME_NET 定義哪些服務(wù)器上運(yùn)行了哪些服務(wù)程序.如果把HTTP_SERVERS為某些 服務(wù)器，則Snort只關(guān)注對(duì)那些服務(wù)器進(jìn)行的 HTTP攻擊.如果想了解到對(duì)某個(gè) 服務(wù)器上并沒有運(yùn)行著的服務(wù)程序進(jìn)行的攻擊， 就保留默認(rèn)設(shè)置， 這樣可以觀察 到任何對(duì)內(nèi)網(wǎng)的攻擊 也可以命令 Snort 只關(guān)注對(duì)某一臺(tái)或某幾臺(tái)

28、服務(wù)器的 HTTP 攻擊設(shè)置代碼如下： #var DNS_SERVERS $HOME_NET var HTTP_SERVERS32 配置服務(wù)使用的端口 同前面定義服務(wù)類似， 命令將使 Snort 只關(guān)注對(duì)這 個(gè)端口的攻擊.按照默認(rèn)配置，Snort將忽略對(duì)端口 8080的HTTP攻擊.這樣的 配置能夠使 Snort 專注于不同類型攻擊類型的發(fā)生地點(diǎn) 但在最終對(duì)被攻擊方做 全面保護(hù)時(shí)不開啟這個(gè)配置， 這樣可以檢測(cè)出局域網(wǎng)內(nèi)對(duì)該機(jī)器進(jìn)行攻擊的主機(jī) 和攻擊類型 在本地打開 Snort 規(guī)則：snort - c/etc/snort/rules 配置RULE_PAT變量，指示規(guī)則

29、的存儲(chǔ)位置，規(guī)則用于觸發(fā)事件.配置代 碼如下： var RULE_PATH /rules 接下來一段內(nèi)容被注釋掉了， 是對(duì)一些不常見的通信的監(jiān)測(cè) 除非系統(tǒng)中 出現(xiàn)了其中的問題或者入侵檢測(cè)系統(tǒng)耗費(fèi)資源很小， 否則最好不要啟用 下面一 段是允許為資源有限的系統(tǒng)配置偵測(cè)引擎， 在本實(shí)驗(yàn)中無需改動(dòng) 配置文件之后 的幾段用于配置一些功能和設(shè)置對(duì)某些類型的攻擊的偵測(cè)，包括碎片攻擊 (fragmentation attacks )、狀態(tài)檢測(cè)(stateful inspection )和流重組(stream reassembly )選項(xiàng). 標(biāo)注有 Step #4 的 段落包含 Snort 的輸出選項(xiàng)， 取消

30、output alert_syslog:LOG_AUTH LOG_ALERT|前的注釋.此處無論如何配置都會(huì)生成 auth . info 警告. 編輯 #2 部分動(dòng)態(tài)加載庫的路徑，這些路徑有些需要修改默認(rèn)項(xiàng).比如在 本 實(shí) 驗(yàn) 中 ， 運(yùn) 行 Snort 時(shí) 遇 到 錯(cuò) 誤 ， 提 示 了 Unknown rule type:dynamicpreprocessor directory | ，經(jīng)查發(fā)現(xiàn)是是由于 Snort 未配置使用 動(dòng)態(tài)加載處理機(jī)，只需用一#1注釋掉加載處理機(jī)相關(guān)兩行就可以了. (11)最后一段Step #6是規(guī)則集.這里有些 規(guī)則默 認(rèn)為不起作 用，如 chat. rules

31、 是由各種即時(shí)消息客戶端出發(fā)生效的.在行首加入或刪除注釋符 號(hào)一# I就可以指定該行的規(guī)則集是否生效.在本實(shí)驗(yàn)中一般均默認(rèn)為生效. 4.2 測(cè)試 Snort 前面對(duì) Snort 的配置做的修改，有些配置的修改可能會(huì)影響到 Snort 的正常 啟動(dòng)，在將 Snort 作為入侵檢測(cè)工具正式啟用前，首先要測(cè)試 Snort 工作是否正 常： $ sudo snort -c /etc/snort/snort conf 如果出現(xiàn)一個(gè)用ASCII字符畫出的小豬，那么Snort工作就正常了，可以使 用Ctrl+C退出；如果Snort異常退出，就需要查明安裝軟件和修改配置的正確性 了 4.3 攻擊與檢測(cè)過程 4

32、.3.1 攻擊過程 在攻擊庫面板中選擇一種攻擊，在此選擇 Backdoor Backdoor 203dll 為例，選擇該類型攻擊作為實(shí)驗(yàn)用點(diǎn)擊右側(cè)一Run attack II開始攻擊過程在 下面的界面中可以看到發(fā)出攻擊的大概情況 當(dāng)攻擊結(jié)束后左側(cè)的窗口會(huì)顯示本 次攻擊的信息，包括攻擊類型，其中發(fā)出攻擊包所屬Protocol種類，及本次發(fā)出 攻擊包的總數(shù) 4.3.2 Snort 運(yùn)行過程 在啟動(dòng)Snort后，入侵檢測(cè)的過程就開始了.啟動(dòng)操作輸入：snort - vd外 界沒有攻擊時(shí)的檢測(cè)如圖5-4(a)(b)所示截獲的數(shù)據(jù)包中，首先顯示一些基本的 數(shù)據(jù)包信息，包括時(shí)間、攻擊方IP地址及端口號(hào)、被

33、攻擊方IP地址及端口號(hào)、 數(shù)據(jù)包類型、報(bào)文中轉(zhuǎn)次數(shù)、 ID 號(hào)、 IP 數(shù)據(jù)包長度、響應(yīng)號(hào)和發(fā)送窗口大小等 信息數(shù)據(jù)包內(nèi)部信息用 ASCII顯示出，對(duì)于數(shù)據(jù)包內(nèi)容的分析可用專門的分析 軟件進(jìn)行，在本實(shí)例中使用了 wireshark對(duì)已知數(shù)據(jù)包進(jìn)行分析. 退出Snort會(huì)顯示出本次檢測(cè)的數(shù)據(jù)包相關(guān)數(shù)據(jù)，包括本次檢測(cè)總時(shí)間，及 分析的數(shù)據(jù)包個(gè)數(shù)、 分析失敗個(gè)數(shù)、 突出數(shù)據(jù)及其相應(yīng)的百分比. 接下來顯示的 是分析的數(shù)據(jù)包中，每種數(shù)據(jù)類型所占的個(gè)數(shù)和百分比. 4.4 檢測(cè)結(jié)果分析 Wireshark 是一個(gè)網(wǎng)絡(luò)封包分析軟件.網(wǎng)絡(luò)封包分析軟件的功能是截取網(wǎng)絡(luò) 封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料.

34、 本實(shí)驗(yàn)中以此軟件來對(duì)已經(jīng)記 錄的數(shù)據(jù)包進(jìn)行分析.首先將數(shù)據(jù)包文件導(dǎo)入，如圖4-1. 侗 Edt妙ew fio加竊握 Statistics 曲) 衛(wèi)琲& r旻l回曰I a Q嘆已I藝団略 Ffter: gKpresaon. teat Nd 70丄蘆ri t 245820 77 ?45821 77 245322 77 245823 77 245824 245825 245826 245327 245328 24582 245830 245831 245832 245833 Zd5B54 245315 ； 77 77 77 77 丄丄AU .112.194 ?48,153 ,112.194 .11

35、3.50 2+91.233 +113.5O ,112.194 24&.153 +112.194 ,113.50 2.91.23? Protocol I Lr* TELNET TELNET TCP TELNET TELMEI TCP TELNET TELNET TUP Info WTr A Tel net TelneT tcinev l*- Data . DiZi 7770.3822IS 197,182.91-253 7770,442352 13 7770.443001 172.16.112.IM 777.2227 1W, 7.246,13 7770,482356 197.

36、182.91.233 0 94 53 172.16,112,19Ji 0 TELNET TELNET TCP TELNET TELNET TCP TELNET 20622 telnet AC TElnEt Data . Telne*+ 6297 Telnet ACK T電Inert Dta . , Tel net 20622 teln&T AC Tel net DatJ . relnet Dta * 鋭97 xelner wjc Tel net Data . Tel net Dnta . * * 2Q

37、22 telner ac Tel net Xta . t Frame 1 (60 bytes on 輛申r它.60 byte captured Ethernet II. 5rc： dsco_38 :46:3b 00:10:7b: 38:46: 3bj, D$t: Clso_33:46：3b i confgurion tgst proocol (1 oopbck tt 0000 10010 ：002 0 003 0 00 01 00 00 38 00 00 00 3b 00 00 00 10 00 00 DO 7b 00 00 DC 3b go CO 00 oo oo ao oo oo oo 0

38、0 00 DO 00 00 DO Loadnq: LLS DCXJS 1. a-dmz rdump Packets.： 245835 Dt剜站弋廿：245835 Mar k e. Proffe: Defauft 圖4-1用Wireshark分析數(shù)據(jù)包內(nèi)容 Wireshark和其它的圖形化嗅探器使用基本類似的界面，整個(gè)窗口被分成三 個(gè)部分：最上面為數(shù)據(jù)包列表，用來顯示截獲的每個(gè)數(shù)據(jù)包的總結(jié)性信息；中間 為Protocol樹，用來顯示選定的數(shù)據(jù)包所屬的 Protocol信息；最下邊是以十六進(jìn) 制形式表示的數(shù)據(jù)包內(nèi)容，用來顯示數(shù)據(jù)包在物理層上傳輸時(shí)的最終形式.使用 Wireshark可以很方便地對(duì)截

39、獲的數(shù)據(jù)包進(jìn)行分析，包括該數(shù)據(jù)包的源地址、目 的地址、所屬Protocol等. 通過Protocol樹可以得到被截獲的數(shù)據(jù)包的更多信息，如主機(jī)的MAC地址 信息(Ethernet II)、IP 信息(Internet Protocol)、TCP信息(Transmission Control Protocol)，以及該 Protocol 的具體內(nèi)容(Hypertext Trnasfer Protocol).通過擴(kuò)展 Protocol樹中的相應(yīng)節(jié)點(diǎn)，可以得到該數(shù)據(jù)包中攜帶的更詳盡的信息.最下邊是 以十六制顯示的數(shù)據(jù)包的具體內(nèi)容，這是被截獲的數(shù)據(jù)包在物理媒體上傳輸時(shí)的 最終形式，當(dāng)在Protocol

40、樹中選中某行時(shí)，與其對(duì)應(yīng)的十六進(jìn)制代碼同樣會(huì)被選 中，這樣就可以很方便地對(duì)各種Protocol的數(shù)據(jù)包進(jìn)行分析. 第五章 入侵檢測(cè)技術(shù)的缺點(diǎn)和改進(jìn) 5.1 入侵檢測(cè)技術(shù)所面臨的問題 近年來入侵技術(shù)無論從規(guī)模與方法上都發(fā)生了變化， 入侵手段的綜合化與復(fù) 雜化，網(wǎng)絡(luò)防范技術(shù)也多重化， 攻擊的難度增加， 使得入侵者在實(shí)施入侵時(shí)往往 同時(shí)采用多種入侵手段，存在對(duì)入侵檢測(cè)系統(tǒng)的攻擊，入侵者通過分析IDS的審 計(jì)方式、特征描述、通信模式找出IDS的弱點(diǎn)，然后加以攻擊。傳統(tǒng)的分析技術(shù) 和模型，會(huì)產(chǎn)生大量的誤報(bào)和漏報(bào)， 難以確定真正的入侵行為。 以提高入侵成功 的概率，并在攻擊實(shí)施的初期掩蓋入侵的真實(shí)目的，

41、入侵檢測(cè)系統(tǒng)面臨如下的一 些問題： （1）入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)問題； （2）網(wǎng)絡(luò)規(guī)模增大， 導(dǎo)致信息的收集和處理難度加大， 入侵規(guī)模的擴(kuò)大化， 現(xiàn)有的入侵檢測(cè)系統(tǒng)檢測(cè)速度遠(yuǎn)小于網(wǎng)絡(luò)傳輸速度； （3）IDS產(chǎn)品的檢測(cè)準(zhǔn)確率比較低，漏報(bào)和誤報(bào)比較多； （4）入侵檢測(cè)產(chǎn)品和其他網(wǎng)絡(luò)安全產(chǎn)品結(jié)合問題，即期間的信息交換，共 同協(xié)作發(fā)現(xiàn)攻擊并阻止攻擊； （5）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)對(duì)加密的數(shù)據(jù)流及交換網(wǎng)絡(luò)下的數(shù)據(jù)流不能 進(jìn)行檢測(cè)，并且其本身構(gòu)建易受攻擊； （6）對(duì)分布式攻擊和拒絕服務(wù)攻擊的檢測(cè)和防范能力較弱； （ 7 ）尚不能與其他安全部件很好地互動(dòng)； （ 8）缺乏國際、國內(nèi)標(biāo)準(zhǔn)； （9）對(duì)IDS產(chǎn)品的測(cè)

42、試評(píng)估缺乏統(tǒng)一的標(biāo)準(zhǔn)和平臺(tái)。 5.2 入侵檢測(cè)技術(shù)的改進(jìn)發(fā)展 針對(duì)這些問題入侵檢測(cè)系統(tǒng)需要向以下的幾個(gè)發(fā)展方向： 入侵件技術(shù)應(yīng)該更 加智能化， 應(yīng)改進(jìn)和提出新的檢測(cè)方法， 應(yīng)有自學(xué)習(xí)和自適應(yīng)能力， 應(yīng)制定相關(guān) 標(biāo)準(zhǔn)、加強(qiáng)與其他安全部件的互動(dòng)，應(yīng)有一個(gè)完善的評(píng)估和測(cè)試體系。 總結(jié) 所有的入侵檢測(cè)方法應(yīng)用于實(shí)際都不可能捕獲到所發(fā)生的每次攻擊， 也不可 能完全阻止攻擊的發(fā)生 任何一種入侵檢測(cè)系統(tǒng)都有局限性 對(duì)于基于特征的檢 測(cè)系統(tǒng)而言， 系統(tǒng)需要時(shí)間加入新的攻擊特征來檢測(cè)新的攻擊類型 對(duì)于基于異 常的檢測(cè)系統(tǒng)而言，新的攻擊本身對(duì)于系統(tǒng)定義的正常模式常具有一定的隱蔽 性因此，任何一種入侵檢測(cè)系統(tǒng)都不可

43、能提供零時(shí)差的攻擊檢測(cè) 因特網(wǎng)殘酷 且危機(jī)四伏，入侵檢測(cè)系統(tǒng)只能提供相對(duì)健壯的網(wǎng)絡(luò)防御方式并對(duì)攻擊做好準(zhǔn) 備，但不可能從物理上徹底阻止外界對(duì)網(wǎng)絡(luò)進(jìn)行攻擊 大多數(shù)情況下， 入侵檢測(cè) 系統(tǒng)并不能阻止持續(xù)的攻擊， 其功能主要是檢測(cè)和預(yù)警 而大多數(shù)情況下入侵檢 測(cè)系統(tǒng)也不會(huì)自動(dòng)阻斷攻擊， 這也是之前提到的， 入侵檢測(cè)系統(tǒng)只能是網(wǎng)絡(luò)防御 系統(tǒng)，如防火墻、 反病毒軟件等產(chǎn)品的一個(gè)補(bǔ)充， 而不能完全取代他們的重要原 因 在實(shí)際應(yīng)用中，Snort不僅用來保障計(jì)算機(jī)系統(tǒng)的安全，同時(shí)也要保證Snort 自身系統(tǒng)的安全，這樣才能保證數(shù)據(jù)的可靠性 如果 Snort 系統(tǒng)本身受到了攻擊， 那么所發(fā)送的報(bào)警也就不在可靠了

44、，除非清除磁盤數(shù)據(jù)并重裝系統(tǒng)，否則 Snort 將沒有用處一個(gè)典型的 Snort 安裝非常容易受到攻擊，攻擊對(duì)象包括 Snort 本身或其所在的操作系統(tǒng).Snort 般需要將報(bào)警存儲(chǔ)到數(shù)據(jù)庫 MySQ中，還需 要通過專門的接口查看報(bào)警，這需要使用到 Web服務(wù)器Apache.任何一種偵聽 服務(wù)都可能成為被攻擊的對(duì)象， 一些驅(qū)動(dòng)攻擊甚至可以針對(duì)某個(gè)并沒有開啟相應(yīng) 服務(wù)的端口發(fā)起攻擊.因此， Snort 系統(tǒng)若不能隨時(shí)關(guān)注最新的安全漏洞通告及 所使用的操作系統(tǒng)安全通告，就很容易被攻擊. 在整個(gè)畢業(yè)設(shè)計(jì)的過程中， 我對(duì)入侵檢測(cè)的方法有了更深層的認(rèn)識(shí)， 熟悉了 Protocol 分析和模式匹配等檢測(cè)方

45、法以及當(dāng)前廣泛使用的入侵檢測(cè)方法 Snort 的實(shí)際使用， 加深了對(duì) Snort 的檢測(cè)方法和規(guī)則組織的認(rèn)識(shí). 總之，可以說完成 的過程也是學(xué)習(xí)的過程， 更是收獲的過程， 總結(jié)的過程， 畢業(yè)設(shè)計(jì)讓我接觸了許 多新的領(lǐng)域，并用大學(xué)中學(xué)到的學(xué)習(xí)能力和本領(lǐng)來進(jìn)行研究，受益匪淺 . 致謝 我的課題設(shè)計(jì)終于完成了。 在論文完成之際， 我要特別感謝我的指導(dǎo)老師劉 燁老師的熱情關(guān)懷和悉心指導(dǎo)。 正是在他的指導(dǎo)下使我明確了設(shè)計(jì)的方向， 在此 對(duì)劉燁老師致以最衷心的感謝。 在設(shè)計(jì)的寫作過程中， 也得到了許多同學(xué)的寶貴建議并給予了大量的支持和 幫助，在此一并致以誠摯的謝意！ 在此感謝所有關(guān)心、支持、幫助過我的良師益友們。 最后，向在百忙中抽出時(shí)間對(duì)本文進(jìn)行評(píng)審并提出寶貴意見的各位老師表示 衷心的感謝！ 參考文獻(xiàn) 1 蔣建春，馮登國 . 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)原理與技術(shù) .北京：國防工業(yè)出版 社， 2001.7 2 戴