1、 计算机科学学院计算机科学学院 入侵检测技术期末课程设计 题 目 snortsnort 入侵检测系统入侵检测系统 学 号 xxx 班 级 xxx 姓 名 xxx 指导教师 xxx 成 绩 完成时间 2012 年 6 月 1 snort 入侵检测系统入侵检测系统 一、课程设计目的一、课程设计目的 (1)通过实验深入理解入侵检测系统的原理和工作方式。 (2)熟悉入侵检测工具 snort 在 Windows 操作系统中的安装和配置方法 二、课程设计的原理二、课程设计的原理 1 1 引言引言 snort 是一个免费的基于 libpcap 的轻量级网络入侵检测系统。它能够跨系 统平台操作,自带轻量级的入
2、侵检测工具可以用于监视小型的 TCP/IP 网络,在 进行网络监视时 snort 能够把网络数据和规则进行模式匹配, 从而检测出可能的 入侵企图,同时它也可以使用 SPADE 插件,使用统计学方法对网络数据进行异常 检测, 这些强大的检测功能为网络管理员对于入侵行为做出适当的反击提供了足 够的信息。 snort 使用一种易于扩展的模块化体系结构,开发人员可以加入自己编写的 模块来扩展 snort 的功能。 这些模块包括: HTTP 解码插件、 TCP 数据流重组插件、 端口扫描检测插件、FLEXRESP 插件以及各种日志输入插件等。 同时 snort 还是一个自由、简洁、快速、易于扩展的入侵检
3、测系统,已经被 移植到了各种 UNIX 平台和 Win98,Win2000 上。它也是目前安全领域中,最活跃 的开放源码工程之一。在 Snort.org 上几乎每天都提供了最新的规则库以供下 载, 由于 snort 本身是自由的源码开放工程所以在使用 snort 时除了必要的硬件 外软件上基本上不需要有任何额外的开销。 这相对于少则上千多则上万的商业入 侵检测系统来说,无疑是最好的替代产品之一。 本文主要论述了 snort 的背景知识以及它的基于规则的入侵检测机制,同时 对于如何使用也作了概括说明。 2 2 入侵检测技术简介入侵检测技术简介 入侵检测就是一个监视计算机系统或者网络上发生的事件,
4、然后对其进行安 全分析的过程。它可以用来发现外部攻击与合法用户滥用特权,根据用户的历史 行为,基于用户的当前操作,完成对入侵的检测,记录入侵证据,为数据恢复和事 故处理提供依据。入侵检测系统的原理如图 A 所示: 入侵检测监测 作出响应 攻击? 用户的历史操 作数据 用户当前操 作的数据 否 是 图 A 入侵检测的原理图 大多数的入侵检测系统都可以被归入到基于主机、基于网络以及分布式三 类。基于主机的入侵检测系统是一种早期的 IDS 设计模型,它主要设计用来监视 2 单一的服务器,因为 DNS、Email 和 web 服务器是多数网络攻击的目标,这些攻 击大约占据全部网络攻击事件的 1/3 以上, 基于主机的入侵检测系统就是为了解 决这些问题而设计的,它能够监视针对主机的活动(用户的命令、登录/退出过 程,使用数据等等) ,它的特点就是针对性好而且,效果明显,误报率低。基于 网络的入侵检测系统是后于基于主机入侵检测系统而出现的, 它主要用于集中用 于监控通过网络互连的多个服务器和