入侵檢測(cè)系統(tǒng)分析_第1頁(yè)
入侵檢測(cè)系統(tǒng)分析_第2頁(yè)
入侵檢測(cè)系統(tǒng)分析_第3頁(yè)
入侵檢測(cè)系統(tǒng)分析_第4頁(yè)
入侵檢測(cè)系統(tǒng)分析_第5頁(yè)
已閱讀5頁(yè),還剩18頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

入侵檢測(cè)系統(tǒng)分析及在WINDOWS下的實(shí)現(xiàn)

學(xué)生:孫楊指教教師:金尚柱重慶科技學(xué)院2008年6月10日本文研究的意義隨著網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)不斷提高,曾經(jīng)作為最主要的安全防范手段的防火墻,已經(jīng)不能滿足人們對(duì)網(wǎng)絡(luò)安全的需求。作為對(duì)防火墻及其有益的補(bǔ)充,入侵檢測(cè)系統(tǒng)能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生,它擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。本文的組織第一部分對(duì)于入侵檢測(cè)技術(shù)和入侵檢測(cè)系統(tǒng)的分類(lèi),模型以及一些功能的實(shí)現(xiàn)進(jìn)行簡(jiǎn)要介紹,并對(duì)設(shè)計(jì)進(jìn)行需求和可行性分析第二部分對(duì)入侵檢測(cè)系統(tǒng)的模塊功能實(shí)現(xiàn)進(jìn)行分析,內(nèi)容主要涉及了數(shù)據(jù)捕獲工具WINPCAP和一些模塊相關(guān)代碼的實(shí)現(xiàn)本文的組織第三部分主要介紹了入侵檢測(cè)系統(tǒng)的WINDOWS下的實(shí)現(xiàn)。這里,我們引用了WINDOWS下的SNORT入侵檢測(cè)系統(tǒng)進(jìn)行編譯和調(diào)試,并對(duì)其功能的實(shí)現(xiàn)進(jìn)行相關(guān)的介紹入侵檢測(cè)的概念入侵:是指任何試圖危及計(jì)算機(jī)資源的完整性、機(jī)密性或可用性的行為。入侵檢測(cè):對(duì)入侵行為的發(fā)覺(jué)。它通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并對(duì)這些信息進(jìn)行分析,從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)系統(tǒng):進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)英文為IntrusionDetectionSystems(簡(jiǎn)稱(chēng)IDS)。入侵檢測(cè)系統(tǒng)進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)是按照一定的安全策略,對(duì)網(wǎng)絡(luò),系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視,勁可能的發(fā)現(xiàn)各種攻擊企圖,攻擊行為或者攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性,完整性和可用性的系統(tǒng)。入侵檢測(cè)系統(tǒng)的建立依賴(lài)于入侵檢測(cè)技術(shù)的發(fā)展,而入侵檢測(cè)技術(shù)的價(jià)值最終要通過(guò)實(shí)用的入侵檢測(cè)系統(tǒng)來(lái)檢驗(yàn)。入侵檢測(cè)原理入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊,外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)造到破壞前攔截和響應(yīng)入侵。IDS通過(guò)分析,審計(jì)記錄,識(shí)別系統(tǒng)中任何不應(yīng)該發(fā)生的活動(dòng),并采取相應(yīng)的措施報(bào)告或制止入侵活動(dòng)。其具體功能包括檢測(cè)并分析用戶(hù)和系統(tǒng)的活動(dòng),檢查系統(tǒng)配置和漏洞,識(shí)別已知的攻擊行為,統(tǒng)計(jì)分析異常行為等。入侵檢測(cè)系統(tǒng)的分類(lèi)根據(jù)目標(biāo)系統(tǒng)的類(lèi)型:基于主機(jī)(Host-Based)的入侵檢測(cè)系統(tǒng)。通常,基于主機(jī)的入侵檢測(cè)系統(tǒng)可監(jiān)測(cè)系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時(shí),入侵檢測(cè)系統(tǒng)將新的記錄條目與攻擊標(biāo)記相比較,看它們是否匹配。如果匹配,系統(tǒng)就會(huì)向管理員報(bào)警,以采取措施?;诰W(wǎng)絡(luò)(Network-Based)的入侵檢測(cè)系統(tǒng)。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源?;诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通常利用一個(gè)運(yùn)行在混雜模式下的網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)監(jiān)視并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)。入侵檢測(cè)的過(guò)程信息收集信息分析告警與響應(yīng)入侵檢測(cè)系統(tǒng)的數(shù)據(jù)源基于主機(jī)的數(shù)據(jù)源:

系統(tǒng)運(yùn)行狀態(tài)信息

系統(tǒng)記帳信息

系統(tǒng)日志(Syslog)

C2級(jí)安全性審計(jì)信息

入侵檢測(cè)系統(tǒng)的數(shù)據(jù)源基于網(wǎng)絡(luò)的數(shù)據(jù)源:

SNMP信息

網(wǎng)絡(luò)通信包應(yīng)用程序日志文件

其他入侵檢測(cè)系統(tǒng)的報(bào)警信息

其他網(wǎng)絡(luò)設(shè)備和安全產(chǎn)品的信息

入侵分析的概念入侵檢測(cè)系統(tǒng)是一個(gè)復(fù)雜的數(shù)據(jù)處理系統(tǒng),所涉及到的問(wèn)題域中的各種關(guān)系也比較復(fù)雜。

從入侵檢測(cè)的角度來(lái)說(shuō),分析是指針對(duì)用戶(hù)和系統(tǒng)活動(dòng)數(shù)據(jù)進(jìn)行有效的組織、整理并提取特征,以鑒別出感興趣的行為。這種行為的鑒別可以實(shí)時(shí)進(jìn)行,也可以事后分析,在很多情況下,事后的進(jìn)一步分析是為了尋找行為的責(zé)任人。入侵分析的目的重要的威懾力:目標(biāo)系統(tǒng)使用IDS進(jìn)行入侵分析,對(duì)于入侵者來(lái)說(shuō)具有很大的威懾力,因?yàn)檫@意味著攻擊行為可能會(huì)被發(fā)現(xiàn)或被追蹤。安全規(guī)劃和管理:分析過(guò)程中可能會(huì)發(fā)現(xiàn)在系統(tǒng)安全規(guī)劃和管理中存在的漏洞,安全管理員可以根據(jù)分析結(jié)果對(duì)系統(tǒng)進(jìn)行重新配置,避免被攻擊者用來(lái)竊取信息或破壞系統(tǒng)。獲取入侵證據(jù):入侵分析可以提供有關(guān)入侵行為詳細(xì)的、可信的證據(jù),這些證據(jù)可以用于事后追究入侵者的責(zé)任。構(gòu)建分析器

收集并生成事件信息

預(yù)處理信息

建立行為分析引擎

將事件數(shù)據(jù)輸入引擎中

保存已輸入數(shù)據(jù)的模型

分析數(shù)據(jù)

輸入事件記錄

事件預(yù)處理

比較事件記錄和知識(shí)庫(kù)產(chǎn)生響應(yīng)SNORT簡(jiǎn)介Snort是一個(gè)輕量級(jí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),它運(yùn)行在一個(gè)“傳感器(Sensor)”主機(jī)上,監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)。Snort能夠把網(wǎng)絡(luò)數(shù)據(jù)和規(guī)則集進(jìn)行模式匹配,從而檢測(cè)可能的入侵企圖;或者使用SPADE插件,使用統(tǒng)計(jì)學(xué)方法對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行異常檢測(cè)。Snort使用一種易于擴(kuò)展的模塊化體系結(jié)構(gòu),開(kāi)發(fā)人員可以加入自己編寫(xiě)的模塊來(lái)擴(kuò)展Snort的功能,如HTTP解碼插件、TCP數(shù)據(jù)流重組插件、端口掃描檢測(cè)插件、FLEXRESP插件以及各種日志輸入插件等。典型SNORT運(yùn)行環(huán)境SNORT的安裝Windows環(huán)境下的安裝用VisualC++6.0打開(kāi)Snort.dsw文件。選擇“Win32Release”編譯選項(xiàng)進(jìn)行編譯。在Release目錄下會(huì)生成所需的Snort.exe可執(zhí)行文件。SNORT的組成Snort由3個(gè)重要的子系統(tǒng)構(gòu)成:數(shù)據(jù)包解碼器、檢測(cè)引擎、日志與報(bào)警系統(tǒng)SNORT總體結(jié)構(gòu)分析結(jié)束語(yǔ)在這幾個(gè)月的畢業(yè)設(shè)計(jì)中,通過(guò)對(duì)《入侵檢測(cè)系統(tǒng)的分析及在Windows下實(shí)現(xiàn)》這一課題的完成,使我受益很大?,F(xiàn)在是信息化和經(jīng)濟(jì)化的時(shí)代,作為當(dāng)代網(wǎng)絡(luò)系統(tǒng)中一個(gè)代表入侵檢測(cè)系統(tǒng),人們的工作和生活中的地位逐日劇增。了解入侵檢測(cè)系統(tǒng),對(duì)于維護(hù)網(wǎng)絡(luò)安全和完善網(wǎng)絡(luò)服務(wù)有著不可或缺的重要性。不足之處這次的課題涉及內(nèi)容比較廣,對(duì)于編程的能力要求很高,對(duì)于一些功能模塊的代碼分析做的不夠準(zhǔn)確對(duì)于入侵檢測(cè)系統(tǒng)這一課題的不了解,模塊

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論