1、 入侵检测课程设计入侵检测课程设计 题 目 基于 snort 的入侵检测系统 计算机科学学院 计算机科学与技术 专业 10 级 计算科学与技术本科 班 一、课程设计目的一、课程设计目的 1、通过实验深入理解入侵检测系统的原理和工作方式。 2、熟悉入侵检测工具 snort 在 Windows 操作系统中的安装和配置方法。 3、通过使用 Snort,了解基于网络和主机的入侵检测系统的工作原理和应用方法。 二、课程设计的原理二、课程设计的原理 1、入侵检测技术简介 入侵检测就是一个监视计算机系统或者网络上发生的事件, 然后对其进行安 全分析的过程。它可以用来发现外部攻击与合法用户滥用特权,根据用户的
2、历史 行为,基于用户的当前操作,完成对入侵的检测,记录入侵证据,为数据恢复和事故 处理提供依据。入侵检测系统的原理如图 A 所示: 入侵检测监测 作出响应 攻击? 用户的历史操 作数据 用户当前操 作的数据 否 是 图 A 入侵检测的原理图 大多数的入侵检测系统都可以被归入到基于主机、基于网络以及分布式三 类。基于主机的入侵检测系统是一种早期的 IDS 设计模型,它主要设计用来监 视单一的服务器,因为 DNS、Email 和 web 服务器是多数网络攻击的目标,这些 攻击大约占据全部网络攻击事件的 1/3 以上,基于主机的入侵检测系统就是为了 解决这些问题而设计的,它能够监视针对主机的活动(用
3、户的命令、登录/退出 过程,使用数据等等) ,它的特点就是针对性好而且,效果明显,误报率低。基 于网络的入侵检测系统是后于基于主机入侵检测系统而出现的, 它主要用于集中 用于监控通过网络互连的多个服务器和客户机, 能够监视网络数据发现入侵或者 攻击的蛛丝马迹。分布式 IDS 通过分布于各个节点的传感器或者代理对整个网 络和主机环境进行监视, 中心监视平台收集来自各个节点的信息监视这个网络流 动的数据和入侵企图。 在入侵检测系统中,系统将用户的当前操作所产生的数据同用户的历史操作 数据根据一定的算法进行检测,从而判断用户的当前操作是否是入侵行为,然后系 统根据检测结果采取相应的行动。 入侵检测的
4、过程是一个机器(检测工具)与人(黑 客)对抗的决策分析过程,其技术基础是基于知识的智能推理,需要用到人工智能 的相关技术。 各种入侵检测系统使用的检测方法可以分为两类: 基于特征码的检测方法和 异常检测。使用基于特征码检测方法的系统从网络获得数据,然后从中发现以知 的攻击特征。例如:在某些 URL 中包含一些奇怪的 Unicode 编码字符就是针对 IIS Unicode 缺陷的攻击特征。此外各种模式匹配技术的应用,提高了这种检测 方法的精确性。使用异常检测的系统能够把获得的数据与一个基准进行比较,检 测这些数据是否异常。例如:如果一个雇员的工作时间是上 9 点到下午 5 点,但 是在某个晚上
5、他的计算机记录了他曾经在半夜登录了公司的邮件服务器, 这就是 一个异常事件,需要深入调查。现在,大量的统计学方法用于这个领域。 (1)入侵检测系统定义 入侵检测系统(Intrusion Detection System,简称 IDS)是一种从计算机网络或 计算机系统中的若干关键点收集入侵者攻击时所留下的痕迹, 如异常网络数据包 与试图登录的失败记录等信息, 通过分析发现是否有来自于外部或内部的违反安 全策略的行为或被攻击的迹象。它以探测与控制作为技术本质,起着主动式、动 态的防御作用,是网络安全中极其重要的组成部分。目前入侵检测涉及到的功能 有监视分析用户和系统的行为、审计系统配置和漏洞、评估
6、敏感系统和数据的完 整性、识别攻击行为、对异常行为进行统计、自动地收集与系统相关的补丁、进 行审计跟踪识别违反安全策略的行为、使用诱骗服务器记录黑客行为等功能,使 系统管理员可以较有效地监视、审计、评估自己的系统等。 (2)入侵检测系统的作用 入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员 的安全管理能力(包括安全审计、监视、进攻识别和响应) ,提高了信息安全基 础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信 息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为 是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监 测,从而提供对内部攻击、外部攻击和误操作的实时保护。 (3)入侵检测系统的检测信息来源 入侵检测系统的检测信息来源都是通过自身的检测部分 Sensor 得到的。基 于网络的入侵检测,主要是通过对网络数据包的截取分析,来查找具有攻击特性 和不良企图的数据包的。在网络里基于网络的入侵检测系统的检测部分 Sensor 一般被布置在一个交换机的镜象端口(或者一个普通的 HUB 任意端口) ,听取
