資源描述:
《基于snort的入侵檢測(cè)系統(tǒng)》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1、甘肅政法學(xué)院入侵檢測(cè)課程設(shè)計(jì)題目基于snort的入侵檢測(cè)系統(tǒng)計(jì)算機(jī)科學(xué)學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)10級(jí)計(jì)算科學(xué)與技術(shù)本科班學(xué)號(hào):_4姓名:柳文會(huì)指導(dǎo)教師:_____金濤____成績:_______________完成時(shí)間:_2012年_12月一、課程設(shè)計(jì)目的1、通過實(shí)驗(yàn)深入理解入侵檢測(cè)系統(tǒng)的原理和工作方式。2、熟悉入侵檢測(cè)工具snort在Windows操作系統(tǒng)中的安裝和配置方法。3、通過使用Snort,了解基于網(wǎng)絡(luò)和主機(jī)的入侵檢測(cè)系統(tǒng)的工作原理和應(yīng)用方法。二、課程設(shè)計(jì)的原理1、入侵檢測(cè)技術(shù)簡介入侵檢測(cè)就是一個(gè)監(jiān)視計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)上發(fā)生的事件,然后對(duì)其進(jìn)行安全分析的過程。它可以用來發(fā)
2、現(xiàn)外部攻擊與合法用戶濫用特權(quán),根據(jù)用戶的歷史行為,基于用戶的當(dāng)前操作,完成對(duì)入侵的檢測(cè),記錄入侵證據(jù),為數(shù)據(jù)恢復(fù)和事故處理提供依據(jù)。入侵檢測(cè)系統(tǒng)的原理如圖A所示:圖A入侵檢測(cè)的原理圖大多數(shù)的入侵檢測(cè)系統(tǒng)都可以被歸入到基于主機(jī)、基于網(wǎng)絡(luò)以及分布式三類。基于主機(jī)的入侵檢測(cè)系統(tǒng)是一種早期的IDS設(shè)計(jì)模型,它主要設(shè)計(jì)用來監(jiān)視單一的服務(wù)器,因?yàn)镈NS、Email和web服務(wù)器是多數(shù)網(wǎng)絡(luò)攻擊的目標(biāo),這些攻擊大約占據(jù)全部網(wǎng)絡(luò)攻擊事件的1/3以上,基于主機(jī)的入侵檢測(cè)系統(tǒng)就是為了解決這些問題而設(shè)計(jì)的,它能夠監(jiān)視針對(duì)主機(jī)的活動(dòng)(用戶的命令、登錄/退出過程,使用數(shù)據(jù)等等),它的特點(diǎn)就是針對(duì)性好而且,效果
3、明顯,誤報(bào)率低?;诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)是后于基于主機(jī)入侵檢測(cè)系統(tǒng)而出現(xiàn)的,它主要用于集中用于監(jiān)控通過網(wǎng)絡(luò)互連的多個(gè)服務(wù)器和客戶機(jī),能夠監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)發(fā)現(xiàn)入侵或者攻擊的蛛絲馬跡。分布式IDS通過分布于各個(gè)節(jié)點(diǎn)的傳感器或者代理對(duì)整個(gè)網(wǎng)絡(luò)和主機(jī)環(huán)境進(jìn)行監(jiān)視,中心監(jiān)視平臺(tái)收集來自各個(gè)節(jié)點(diǎn)的信息監(jiān)視這個(gè)網(wǎng)絡(luò)流動(dòng)的數(shù)據(jù)和入侵企圖。在入侵檢測(cè)系統(tǒng)中,系統(tǒng)將用戶的當(dāng)前操作所產(chǎn)生的數(shù)據(jù)同用戶的歷史操作數(shù)據(jù)根據(jù)一定的算法進(jìn)行檢測(cè),從而判斷用戶的當(dāng)前操作是否是入侵行為,然后系統(tǒng)根據(jù)檢測(cè)結(jié)果采取相應(yīng)的行動(dòng)。入侵檢測(cè)的過程是一個(gè)機(jī)器(檢測(cè)工具)與人(黑客)對(duì)抗的決策分析過程,其技術(shù)基礎(chǔ)是基于知識(shí)的智能推理,需
4、要用到人工智能的相關(guān)技術(shù)。各種入侵檢測(cè)系統(tǒng)使用的檢測(cè)方法可以分為兩類:基于特征碼的檢測(cè)方法和異常檢測(cè)。使用基于特征碼檢測(cè)方法的系統(tǒng)從網(wǎng)絡(luò)獲得數(shù)據(jù),然后從中發(fā)現(xiàn)以知的攻擊特征。例如:在某些URL中包含一些奇怪的Unicode編碼字符就是針對(duì)IISUnicode缺陷的攻擊特征。此外各種模式匹配技術(shù)的應(yīng)用,提高了這種檢測(cè)方法的精確性。使用異常檢測(cè)的系統(tǒng)能夠把獲得的數(shù)據(jù)與一個(gè)基準(zhǔn)進(jìn)行比較,檢測(cè)這些數(shù)據(jù)是否異常。例如:如果一個(gè)雇員的工作時(shí)間是上9點(diǎn)到下午5點(diǎn),但是在某個(gè)晚上他的計(jì)算機(jī)記錄了他曾經(jīng)在半夜登錄了公司的郵件服務(wù)器,這就是一個(gè)異常事件,需要深入調(diào)查。現(xiàn)在,大量的統(tǒng)計(jì)學(xué)方法用于這個(gè)領(lǐng)域
5、。(1)入侵檢測(cè)系統(tǒng)定義入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem,簡稱IDS)是一種從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集入侵者攻擊時(shí)所留下的痕跡,如異常網(wǎng)絡(luò)數(shù)據(jù)包與試圖登錄的失敗記錄等信息,通過分析發(fā)現(xiàn)是否有來自于外部或內(nèi)部的違反安全策略的行為或被攻擊的跡象。它以探測(cè)與控制作為技術(shù)本質(zhì),起著主動(dòng)式、動(dòng)態(tài)的防御作用,是網(wǎng)絡(luò)安全中極其重要的組成部分。目前入侵檢測(cè)涉及到的功能有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集與系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全策略的行為、使用誘騙服務(wù)器
6、記錄黑客行為等功能,使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)等。(2)入侵檢測(cè)系統(tǒng)的作用入侵檢測(cè)是防火墻的合理補(bǔ)充,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè),從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。(3)入侵檢測(cè)系統(tǒng)的檢測(cè)信息來源入侵檢測(cè)系統(tǒng)的檢測(cè)信息來源都是通過自身的檢測(cè)部分Sensor得
7、到的?;诰W(wǎng)絡(luò)的入侵檢測(cè),主要是通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的截取分析,來查找具有攻擊特性和不良企圖的數(shù)據(jù)包的。在網(wǎng)絡(luò)里基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的檢測(cè)部分Sensor一般被布置在一個(gè)交換機(jī)的鏡象端口(或者一個(gè)普通的HUB任意端口),聽取流經(jīng)網(wǎng)絡(luò)的所有數(shù)據(jù)包,查找匹配的包,來得到入侵的信息源?;谥鳈C(jī)的入侵檢測(cè)系統(tǒng)的Sensor不可能直接從系統(tǒng)內(nèi)部獲取信息的,它是要通過一個(gè)事先做好的代理程序,安裝在需要檢測(cè)的主機(jī)里的,這些代理程序主要收集系統(tǒng)和網(wǎng)絡(luò)日志文件,目錄和文件中的不期望的改變