答辯 136 美樂辰

1、蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院分布式入侵檢測系統(tǒng)分布式入侵檢測系統(tǒng)及其在多園區(qū)校園網(wǎng)中的應用及其在多園區(qū)校園網(wǎng)中的應用姓姓 名：名：XXXXXX指導教師：指導教師：XXX XXXXXX XXX工程領(lǐng)域：電子與通信工程工程領(lǐng)域：電子與通信工程所在學院：電子與信息工程學院所在學院：電子與信息工程學院2016年年5月月11日日蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院研究的背景和意義研究的背景和意義校園網(wǎng)已成為各個學校進行教學科研、信校園網(wǎng)已成為各個學校進行教學科研、信息交流、資源共享、文獻檢索等必不可少的一息交流、資源共享、文獻檢

2、索等必不可少的一部分。然而在享受校園網(wǎng)極大便利的同時，網(wǎng)部分。然而在享受校園網(wǎng)極大便利的同時，網(wǎng)絡安全問題也變得越來越突出。校園網(wǎng)正面臨絡安全問題也變得越來越突出。校園網(wǎng)正面臨著病毒侵害、黑客攻擊、內(nèi)部威脅、安全漏洞著病毒侵害、黑客攻擊、內(nèi)部威脅、安全漏洞、缺乏管理和濫用網(wǎng)絡資源等一系列的安全問、缺乏管理和濫用網(wǎng)絡資源等一系列的安全問題。題。蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院目前，我國大部分高校的校園網(wǎng)安全體系目前，我國大部分高校的校園網(wǎng)安全體系結(jié)構(gòu)仍然采用防火墻和網(wǎng)絡版殺毒軟件的方式結(jié)構(gòu)仍然采用防火墻和網(wǎng)絡版殺毒軟件的方式。這種方式對于來自校園網(wǎng)外部常見的

3、攻擊和。這種方式對于來自校園網(wǎng)外部常見的攻擊和各種已知病毒能起到較好的防護作用，但是對各種已知病毒能起到較好的防護作用，但是對于來自校園網(wǎng)內(nèi)部的攻擊和網(wǎng)絡蠕蟲病毒卻效于來自校園網(wǎng)內(nèi)部的攻擊和網(wǎng)絡蠕蟲病毒卻效果不佳。隨著攻擊者技能的日趨成熟，攻擊手果不佳。隨著攻擊者技能的日趨成熟，攻擊手段和攻擊工具的日趨復雜多樣化，這種方式已段和攻擊工具的日趨復雜多樣化，這種方式已經(jīng)無法滿足網(wǎng)絡安全的需要，部署分布式入侵經(jīng)無法滿足網(wǎng)絡安全的需要，部署分布式入侵檢測系統(tǒng)就成了校園網(wǎng)安全體系中必不可少的檢測系統(tǒng)就成了校園網(wǎng)安全體系中必不可少的重要組成部分。重要組成部分。 蘭蘭 州州 交交 通通 大大 學學電子與信息

4、工程學院電子與信息工程學院工程設計背景工程設計背景本研究課題就是以蘭州城市學院校園網(wǎng)為本研究課題就是以蘭州城市學院校園網(wǎng)為背景設計了一個分布式入侵檢測系統(tǒng)。蘭州城背景設計了一個分布式入侵檢測系統(tǒng)。蘭州城市學院校園網(wǎng)由三個校區(qū)組成：西校區(qū)、培黎市學院校園網(wǎng)由三個校區(qū)組成：西校區(qū)、培黎校區(qū)和東校區(qū)，校區(qū)之間通過租賃中國電信的校區(qū)和東校區(qū)，校區(qū)之間通過租賃中國電信的10M10M光纖進行連接。校園網(wǎng)的管理中心設在西光纖進行連接。校園網(wǎng)的管理中心設在西校區(qū)，其網(wǎng)絡體系結(jié)構(gòu)如下圖所示。校區(qū)，其網(wǎng)絡體系結(jié)構(gòu)如下圖所示。蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通

5、通 大大 學學電子與信息工程學院電子與信息工程學院系統(tǒng)物理結(jié)構(gòu)系統(tǒng)物理結(jié)構(gòu)蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院系統(tǒng)邏輯結(jié)構(gòu)系統(tǒng)邏輯結(jié)構(gòu) 蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院誤用檢測子系統(tǒng)誤用檢測子系統(tǒng) 誤用檢測子系統(tǒng)用來對常規(guī)的、已知的攻誤用檢測子系統(tǒng)用來對常規(guī)的、已知的攻擊行為進行檢測。相對于異常檢測技術(shù)，誤用擊行為進行檢測。相對于異常檢測技術(shù)，誤用檢測技術(shù)顯得更加有效和成熟。檢測技術(shù)顯得更加有效和成熟。 蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學

6、院電子與信息工程學院異常檢測子系統(tǒng)異常檢測子系統(tǒng) 異常檢測子系統(tǒng)用來對未知的、新型的攻異常檢測子系統(tǒng)用來對未知的、新型的攻擊行為進行檢測。異常檢測系統(tǒng)檢測出的不是擊行為進行檢測。異常檢測系統(tǒng)檢測出的不是已知的入侵行為，而是所研究的通信過程中的已知的入侵行為，而是所研究的通信過程中的異?，F(xiàn)象。異?，F(xiàn)象。蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院攻擊源追蹤子系統(tǒng)攻擊源追蹤子系統(tǒng) 攻擊源追蹤子系統(tǒng)主要用來實現(xiàn)整個系統(tǒng)攻擊源追蹤子系統(tǒng)主要用來實現(xiàn)整個系統(tǒng)的攻擊源追蹤和定位功能，即當發(fā)現(xiàn)攻擊行為的攻擊源追蹤

7、和定位功能，即當發(fā)現(xiàn)攻擊行為時，特別是拒絕服務攻擊或假冒源地址的分布時，特別是拒絕服務攻擊或假冒源地址的分布式拒絕服務攻擊時進行真實源攻擊者地址的追式拒絕服務攻擊時進行真實源攻擊者地址的追蹤。蹤。 蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院管理子系統(tǒng)管理子系統(tǒng) 管理子系統(tǒng)主要用來實現(xiàn)整個分布式入侵管理子系統(tǒng)主要用來實現(xiàn)整個分布式入侵檢測系統(tǒng)的管理、維護和監(jiān)視，以友好的人機檢測系統(tǒng)的管理、維護和監(jiān)視，以友好的人機交互界面和管理員交互。交互界面和管理員交互。蘭蘭 州州 交交 通通 大大 學學電子與信息

8、工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院誤用檢測與異常檢測的實現(xiàn)誤用檢測與異常檢測的實現(xiàn) 檢測流程檢測流程 在本系統(tǒng)中綜合應用了誤用檢測和異常檢在本系統(tǒng)中綜合應用了誤用檢測和異常檢測，這樣可以提高檢測的準確性，其檢測流程測，這樣可以提高檢測的準確性，其檢測流程如下圖所示。如下圖所示。蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院捕獲網(wǎng)絡數(shù)據(jù)包捕獲網(wǎng)絡數(shù)據(jù)包因為因為SnortSnort沒有自己的數(shù)據(jù)采集工具，所以沒有自己的數(shù)據(jù)采集工具，所以需要外部

9、的數(shù)據(jù)包捕獲程序需要外部的數(shù)據(jù)包捕獲程序WinpcapWinpcap來實現(xiàn)。來實現(xiàn)。WinpcapWinpcap是由伯克利分組捕獲庫派生而來的是由伯克利分組捕獲庫派生而來的分組捕獲庫程序，它可以在分組捕獲庫程序，它可以在WindowsWindows操作平臺操作平臺上實現(xiàn)底層包的截取和過濾。開發(fā)上實現(xiàn)底層包的截取和過濾。開發(fā)WinpcapWinpcap的的目的是為目的是為Win32Win32應用程序提供訪問網(wǎng)絡底層的應用程序提供訪問網(wǎng)絡底層的能力。能力。 蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院 SnortSnort的安裝與配置的安裝與配置下載安裝下載安裝Snort

10、Snort，安裝完成后，進入，安裝完成后，進入SnortSnort的安裝目錄，將的安裝目錄，將SnortSnort的規(guī)則文件和配置文件的規(guī)則文件和配置文件復制到相應目錄中，并創(chuàng)建一個日志目錄來保復制到相應目錄中，并創(chuàng)建一個日志目錄來保存以后產(chǎn)生的報警和日志文件。存以后產(chǎn)生的報警和日志文件。為了使為了使SnortSnort能夠正常運行，還需要對能夠正常運行，還需要對Snort.confSnort.conf文件進行相應的配置，包括以下幾文件進行相應的配置，包括以下幾個方面：個方面： 蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院(1) (1) 設置網(wǎng)絡變量設置網(wǎng)絡變量; ;

11、 (2) (2) 配置預處理程序配置預處理程序; ; (3) (3) 配置輸出插件配置輸出插件; ; (4) (4) 配置入侵規(guī)則庫。配置入侵規(guī)則庫。蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院搭建數(shù)據(jù)庫平臺搭建數(shù)據(jù)庫平臺 各個數(shù)據(jù)庫服務器主要是從入侵檢測系統(tǒng)各個數(shù)據(jù)庫服務器主要是從入侵檢測系統(tǒng)中收集報警數(shù)據(jù)，并且將它存入到對應的數(shù)據(jù)中收集報警數(shù)據(jù)，并且將它存入到對應的數(shù)據(jù)庫中。利用關(guān)系型數(shù)據(jù)庫對數(shù)據(jù)量相當大的報庫中。利用關(guān)系型數(shù)據(jù)庫對數(shù)據(jù)量相當大的報警數(shù)據(jù)進行組織管理是最有效的方法，并且存警數(shù)據(jù)進行組織管理是最有效的方法，并且存入關(guān)系數(shù)據(jù)庫后能對其進行分類，查詢和按

12、優(yōu)入關(guān)系數(shù)據(jù)庫后能對其進行分類，查詢和按優(yōu)先級組織排序等處理。先級組織排序等處理。 蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院MySQLMySQL是一個快速的客戶機是一個快速的客戶機/ /服務器結(jié)構(gòu)的服務器結(jié)構(gòu)的SQLSQL數(shù)據(jù)庫管理系統(tǒng)，開發(fā)者為瑞典數(shù)據(jù)庫管理系統(tǒng)，開發(fā)者為瑞典MySQL ABMySQL AB公司，其功能強大、靈活性好、應用編程接口公司，其功能強大、靈活性好、應用編程接口豐富并且系統(tǒng)結(jié)構(gòu)精巧。豐富并且系統(tǒng)結(jié)構(gòu)精巧。 MySQLMySQL數(shù)據(jù)庫采用默認方式安裝后，設置數(shù)據(jù)庫采用默認方式安裝后，設置MySQLMySQL為服務方式運行。然后啟動為服務方式

13、運行。然后啟動MySQLMySQL服務，服務，進入命令行狀態(tài)，創(chuàng)建進入命令行狀態(tài)，創(chuàng)建SnortSnort運行必需的存放運行必需的存放系統(tǒng)日志的系統(tǒng)日志的SnortSnort庫和庫和Snort_archiveSnort_archive庫。同時庫。同時使用使用SnortSnort目錄下的目錄下的create_mysqlcreate_mysql腳本建立腳本建立SnortSnort運行所需的數(shù)據(jù)表，用來存放系統(tǒng)日志運行所需的數(shù)據(jù)表，用來存放系統(tǒng)日志和報警信息。和報警信息。 蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院為了直觀地顯示數(shù)據(jù)庫的存儲及運行情況為了直觀地顯示數(shù)據(jù)庫的

14、存儲及運行情況，并且方便用戶對數(shù)據(jù)庫進行操作，還須安裝，并且方便用戶對數(shù)據(jù)庫進行操作，還須安裝基于基于phpphp的的MySQLMySQL數(shù)據(jù)庫管理程序數(shù)據(jù)庫管理程序phpmyadminphpmyadmin，通過它可以在圖形界面下對數(shù)據(jù)庫進行查詢和通過它可以在圖形界面下對數(shù)據(jù)庫進行查詢和管理，十分便利。管理，十分便利。蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院分析與管理分析與管理 在系統(tǒng)中采用了擁有圖形用戶界面的報警在系統(tǒng)中采用

15、了擁有圖形用戶界面的報警管理工具管理工具ACIDACID。 首先安裝首先安裝apacheapache并且將其作為服務方式運并且將其作為服務方式運行，在配置中添加行，在配置中添加apacheapache對對phpphp的支持，然后的支持，然后將將adodbadodb和和jpgraphjpgraph安裝在安裝在phpphp的目錄下，最后的目錄下，最后安裝安裝ACIDACID并修改其配置文件并修改其配置文件acid_conf.phpacid_conf.php。 蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院通過上述的安裝與配置就可以進行入侵檢通過上述的安裝與配置就可以進行入侵

16、檢測了。測了。將將SnortSnort運行在入侵檢測模式下，啟動運行在入侵檢測模式下，啟動WebWeb服務器，在主機上通過瀏覽器來查看報警日志服務器，在主機上通過瀏覽器來查看報警日志信息，運行信息，運行ACIDACID，對報警事件進行統(tǒng)計分析。，對報警事件進行統(tǒng)計分析。蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院攻擊源追蹤的實現(xiàn)攻擊源追蹤的實現(xiàn) 在攻擊源追蹤子系統(tǒng)中，除了使用在攻擊源追蹤子系統(tǒng)中，除了使用MRTGMRTG進進行網(wǎng)絡數(shù)據(jù)包的捕獲與流量分析外，還引入了行網(wǎng)絡數(shù)據(jù)包的捕獲與流量分析外，還引

17、入了認證服務器和智能終端。認證服務器和智能終端。 蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院認證服務器和智能終端認證服務器和智能終端認證服務器其實質(zhì)是一臺安裝了認證服務認證服務器其實質(zhì)是一臺安裝了認證服務端軟件的服務器，接在校園網(wǎng)的核心交換層的端軟件的服務器，接在校園網(wǎng)的核心交換層的交換機上。交換機上。智能終端是安裝在各個客戶機上的認證軟智能終端是安裝在各個客戶機上的認證軟件。在本系統(tǒng)中，采用與核心交換機相配套的件。在本系統(tǒng)中，采用與核心交換機相配套的H3C iNodeH3C iNode系統(tǒng)。系統(tǒng)。接入校園網(wǎng)的所有用戶，都需要先到網(wǎng)絡接入校園網(wǎng)的所有用戶，都需要先到

18、網(wǎng)絡信息中心進行實名信息的注冊。信息中心進行實名信息的注冊。 蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院然后下載和安裝客戶端軟件，并且進行簡然后下載和安裝客戶端軟件，并且進行簡單的配置。不管是使用局域網(wǎng)還是使用單的配置。不管是使用局域網(wǎng)還是使用InternetInternet，都必須先進行登錄認證。，都必須先進行登錄認證。蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院只有通過了登錄認證后才能使用各種網(wǎng)絡資源只有通過了登錄認證后才能使用各種網(wǎng)絡資源。蘭蘭 州州 交交 通通 大

19、大 學學電子與信息工程學院電子與信息工程學院通過上述策略，凡是在校園網(wǎng)中的用戶，通過上述策略，凡是在校園網(wǎng)中的用戶，都可以通過后臺對其各種活動進行監(jiān)控。其中都可以通過后臺對其各種活動進行監(jiān)控。其中包括上網(wǎng)時間、上網(wǎng)時長，流入字節(jié)數(shù)，流出包括上網(wǎng)時間、上網(wǎng)時長，流入字節(jié)數(shù)，流出字節(jié)數(shù)、字節(jié)數(shù)、IPIP地址、地址、NASNAS地址、地址、MACMAC地址等信息。地址等信息。當然，下線用戶的相關(guān)信息也可以進行查詢。當然，下線用戶的相關(guān)信息也可以進行查詢。在入侵檢測過程中，如果發(fā)現(xiàn)問題，則可在入侵檢測過程中，如果發(fā)現(xiàn)問題，則可以在這兒檢查必要的信息，進行攻擊源的追蹤以在這兒檢查必要的信息，進行攻擊源的

20、追蹤和做進一步的處理。和做進一步的處理。 蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院流量監(jiān)控流量監(jiān)控在攻擊源追蹤子系統(tǒng)中，流量監(jiān)控非常重在攻擊源追蹤子系統(tǒng)中，流量監(jiān)控非常重要。在本系統(tǒng)中，選用了一臺高性能的服務器要。在本系統(tǒng)中，選用了一臺高性能的服務器安裝了安裝了MRTGMRTG，然后在需要監(jiān)控的交換機上進行，然后在需要監(jiān)控的交換機上進行了相關(guān)的配置，這樣就可

21、以對整個網(wǎng)絡的流量了相關(guān)的配置，這樣就可以對整個網(wǎng)絡的流量情況進行詳細的監(jiān)控。情況進行詳細的監(jiān)控。蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州

22、交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院結(jié)結(jié) 論論本文首先系統(tǒng)地介紹入侵檢測系統(tǒng)的相關(guān)本文首先系統(tǒng)地介紹入侵檢測系統(tǒng)的相關(guān)知識，然后通過分析校園網(wǎng)的安全現(xiàn)狀和校園

23、知識，然后通過分析校園網(wǎng)的安全現(xiàn)狀和校園網(wǎng)的網(wǎng)絡拓撲結(jié)構(gòu)，設計了一種分布式入侵檢網(wǎng)的網(wǎng)絡拓撲結(jié)構(gòu)，設計了一種分布式入侵檢測系統(tǒng)。系統(tǒng)能夠滿足校園網(wǎng)等大規(guī)模局域網(wǎng)測系統(tǒng)。系統(tǒng)能夠滿足校園網(wǎng)等大規(guī)模局域網(wǎng)的入侵檢測需要。的入侵檢測需要。蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院創(chuàng)新點說明創(chuàng)新點說明本系統(tǒng)綜合應用了現(xiàn)有的入侵檢測技術(shù)，并且在本系統(tǒng)綜合應用了現(xiàn)有的入侵檢測技術(shù)，并且在以下幾個方面有所突破和創(chuàng)新：以下幾個方面有所突破和創(chuàng)新： 全新分布式結(jié)構(gòu)設計；全新分布式結(jié)構(gòu)設計； 綜合應用誤用檢測和異常檢測；綜合應用誤用檢測和異常檢測； 引入了認證服務器和智能客戶端，對攻擊源追引入了認證服務器和智能客戶端，對攻擊源追蹤和校園網(wǎng)管理起到了支撐作用；蹤和校園網(wǎng)管理起到了支撐作用； 檢測代理、統(tǒng)計服務器、管理服務器、認證服檢測代理、統(tǒng)計服務器、管理服務器、認證服務器相對獨立的設計，不但提高了入侵檢測的效率，務器相對獨立的設計，不但提高了入侵檢測的效率，而且加強了入侵檢測系統(tǒng)本身的安全性。而且加強了入侵檢測系統(tǒng)本身的安全性。 蘭蘭 州州 交交 通通 大大 學學電子與信息工程學院電子與信息工程學院工作展望工作展望 分布式入侵檢測系統(tǒng)與防火墻、殺毒軟分布式入侵檢測系統(tǒng)與防火墻、殺毒軟件之間的聯(lián)動問題；件之間的聯(lián)動問題； 監(jiān)測代理之間的協(xié)同工作問題；監(jiān)測代理之間的協(xié)同工