1、 PAGE22 / NUMPAGES29無線網絡論文題 目： 基于snort的入侵檢測方案設計畢業設計（論文）原創性聲明和使用授權說明原創性聲明本人重承諾：所呈交的畢業設計（論文），是我個人在指導教師的指導下進行的研究工作與取得的成果。盡我所知，除文中特別加以標注和致的地方外，不包含其他人或組織已經發表或公布過的研究成果，也不包含我為獲得與其它教育機構的學位或學歷而使用過的材料。對本研究提供過幫助和做出過貢獻的個人或集體，均已在文中作了明確的說明并表示了意。作 者 簽 名：日 期：指導教師簽名： 日期：使用授權說明本人完全了解大學關于收集、保存、使用畢業設計（論文）的規定，即：按照學校要求提交

2、畢業設計（論文）的印刷本和電子版本；學校有權保存畢業設計（論文）的印刷本和電子版，并提供目錄檢索與閱覽服務；學校可以采用影印、縮印、數字化或其它復制手段保存論文；在不以贏利為目的前提下，學校可以公布論文的部分或全部容。作者簽名： 日 期：學位論文原創性聲明本人重聲明：所呈交的論文是本人在導師的指導下獨立進行研究所取得的研究成果。除了文中特別加以標注引用的容外，本論文不包含任何其他個人或集體已經發表或撰寫的成果作品。對本文的研究做出重要貢獻的個人和集體，均已在文中以明確方式標明。本人完全意識到本聲明的法律后果由本人承擔。作者簽名： 日期： 年 月 日學位論文使用授權書本學位論文作者完全了解學校有

3、關保留、使用學位論文的規定，同意學校保留并向國家有關部門或機構送交論文的復印件和電子版，允許論文被查閱和借閱。本人授權大學可以將本學位論文的全部或部分容編入有關數據庫進行檢索，可以采用影印、縮印或掃描等復制手段保存和匯編本學位論文。涉密論文按學校規定處理。作者簽名：日期： 年 月 日導師簽名： 日期： 年 月 日注意事項1.設計（論文）的容包括：1）封面（按教務處制定的標準封面格式制作）2）原創性聲明3）中文摘要（300字左右）、關鍵詞4）外文摘要、關鍵詞5）目次頁（附件不統一編入）6）論文主體部分：引言（或緒論）、正文、結論7）參考文獻8）致9）附錄（對論文支持必要時）2.論文字數要求：理工

4、類設計（論文）正文字數不少于1萬字（不包括圖紙、程序清單等），文科類論文正文字數不少于1.2萬字。3.附件包括：任務書、開題報告、外文譯文、譯文原文（復印件）。4.文字、圖表要求：1）文字通順，語言流暢，書寫字跡工整，打印字體與大小符合要求，無錯別字，不準請他人代寫2）工程設計類題目的圖紙，要求部分用尺規繪制，部分用計算機繪制，所有圖紙應符合國家技術標準規。圖表整潔，布局合理，文字注釋必須使用工程字書寫，不準用徒手畫3）畢業論文須用A4單面打印，論文50頁以上的雙面打印4）圖表應繪制于無格子的頁面上5）軟件工程類課題應有程序清單，并提供電子文檔5.裝訂順序1）設計（論文）2）附件：按照任務書、

5、開題報告、外文譯文、譯文原文（復印件）次序裝訂摘要由于計算機技術的飛速發展，計算機網絡的應用也越來越廣泛。然而隨之而來的各種病毒的困擾與黑客行為的不斷升級，網絡安全已經成為了一個非常重要而且是必須考慮的問題之一了。通過對計算機網絡安全存在的問題進行深入剖析，并提出了相應的安全防技術措施。 近年來，隨著計算機網絡技術的飛速發展，尤其是互聯網的應用變得越來越廣泛，在帶來了前所未有的海量信息的同時，計算機網絡的安全性變得日益重要起來，由于計算機網絡聯接形式的多樣性、終端分布的不均勻性、網絡的開放性和網絡資源的共享性等因素，致使計算機網絡容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊。為確保信息的安

6、全與網絡暢通，研究計算機網絡的安全與防護措施已迫在眉捷。本人結合實際經驗，對計算機網絡安全與防護措施進行了探討。 關鍵詞 計算機網絡；安全；因素；入侵檢測AbstractDue to the rapid development of computer technology, the computer network is applied more and more extensively. However, the ensuing viral distress and hacking is ceaseless upgrade, network security has become a ver

7、y important and must be considered one of the problems. Through the computer network security problems in-depth analysis, and put forward the corresponding security measures. In recent years, with the rapid development of computer network technology, especially Internet applications become more and

8、more widely, in brought hitherto unknown mass of information at the same time, computer network security has become increasingly important, due to computer network connection form multiplicity, terminal distribution inhomogeneity, network openness and network the sharing of resources and other facto

9、rs, resulting in the computer network vulnerable to virus, hackers, malicious software and other misconduct of the attack. In order to ensure the information safety and network unimpeded, study the computer network security and protective measures already approach is in eyebrow nimble. Combining wit

10、h the practical experience, the computer network security and protective measures are discussed.Keywordscomputer network,Security, Factors,intrusion detectionTOC o 1-3 h z uHYPERLINK l _Toc326761150摘要 PAGEREF _Toc326761150 h IHYPERLINK l _Toc326761151Abstract PAGEREF _Toc326761151 h IIHYPERLINK l _T

11、oc326761152第1章網絡安全概述 PAGEREF _Toc326761152 h 1HYPERLINK l _Toc3267611531.1網絡安全基礎知識 PAGEREF _Toc326761153 h 1HYPERLINK l _Toc3267611541.1.1網絡安全的定義 PAGEREF _Toc326761154 h 1HYPERLINK l _Toc3267611551.1.2網絡安全的特征 PAGEREF _Toc326761155 h 2HYPERLINK l _Toc3267611561.1.3網絡安全的重要性 PAGEREF _Toc326761156 h 2HY

12、PERLINK l _Toc326761157第2章 安全威脅與防護措施 PAGEREF _Toc326761157 h 4HYPERLINK l _Toc3267611582.1基本概念 PAGEREF _Toc326761158 h 4HYPERLINK l _Toc3267611592.2 安全威脅的來源 PAGEREF _Toc326761159 h 4HYPERLINK l _Toc3267611602.2.1基本威脅 PAGEREF _Toc326761160 h 4HYPERLINK l _Toc3267611612.2.2主要的可實現的威脅 PAGEREF _Toc326761

13、161 h 5HYPERLINK l _Toc3267611622.2.3潛在威脅 PAGEREF _Toc326761162 h 5HYPERLINK l _Toc3267611632.3網絡安全防護措施 PAGEREF _Toc326761163 h 6HYPERLINK l _Toc3267611642.3.1計算機病毒的防技術 PAGEREF _Toc326761164 h 6HYPERLINK l _Toc3267611652.3.2身份認證技術 PAGEREF _Toc326761165 h 6HYPERLINK l _Toc3267611662.3.3入侵檢測技術 PAGEREF

14、 _Toc326761166 h 7HYPERLINK l _Toc326761167第3章入侵檢測原理 PAGEREF _Toc326761167 h 8HYPERLINK l _Toc3267611683.1入侵檢測的概述 PAGEREF _Toc326761168 h 8HYPERLINK l _Toc3267611693.1.1入侵檢測的功能 PAGEREF _Toc326761169 h 8HYPERLINK l _Toc3267611703.1.2入侵檢測的模型 PAGEREF _Toc326761170 h 8HYPERLINK l _Toc3267611713.1.3入侵檢測的

15、流程 PAGEREF _Toc326761171 h 9HYPERLINK l _Toc3267611723.2入侵檢測的分析技術 PAGEREF _Toc326761172 h 9HYPERLINK l _Toc3267611733.2.1異常檢測 PAGEREF _Toc326761173 h 10HYPERLINK l _Toc3267611743.3 Snort PAGEREF _Toc326761174 h 錯誤！未定義書簽。HYPERLINK l _Toc326761175第4章 Snort 介紹 PAGEREF _Toc326761175 h 13HYPERLINK l _Toc

16、3267611764.1 Snort 體系結構 PAGEREF _Toc326761176 h 13HYPERLINK l _Toc3267611774.2 Snort 規則 PAGEREF _Toc326761177 h 14HYPERLINK l _Toc3267611784.5 實驗容與步驟 PAGEREF _Toc326761178 h 14HYPERLINK l _Toc3267611794.5.1 Windows 平臺下Snort 的安裝與配置 PAGEREF _Toc326761179 h 14HYPERLINK l _Toc3267611804.6 Windows 平臺下Sno

17、rt的使用 PAGEREF _Toc326761180 h 16HYPERLINK l _Toc326761181總結 PAGEREF _Toc326761181 h 22HYPERLINK l _Toc326761182參考文獻 PAGEREF _Toc326761182 h 23第1章 網絡安全概述隨著計算機網絡技術在各領域的普遍應用，現代社會的人們對于信息網絡的依賴性正與日俱增。網絡的用戶涵蓋了社會的方方面面，大量在網絡中存儲和傳輸的數據承載著社會的虛擬財富，這對計算機網絡的安全性提出了嚴格的要求。然而與此同時，黑客技術也在不斷發展，大量黑客工具在網絡上廣泛流傳，使用這些工具的技術門檻越

18、來越低，從而造成全球圍網絡攻擊行為的泛濫，對信息財富造成了極大的威脅。因此，掌握網絡安全的知識，保護網絡的安全已經成為確保現代社會穩步發展的必要條件。本章首先從網絡安全的基礎知識出發，介紹了網絡安全的定義和特征；接著總結了威脅網絡安全的主要因素。1.1網絡安全基礎知識1.1.1網絡安全的定義“安全”一詞在字典中被定義為“遠離危險的狀態或特性”和“為防間諜活動或蓄意破壞、犯罪、攻擊或逃跑而采取的措施。”網絡安全從其本質上來講就是網絡上的信息安全。它涉與的領域相當廣泛。從廣義上來說，凡是涉與網絡上的性、完整性、可用性、真實性和可控性的相關技術和理論，都是網絡安全所要研究的領域。網絡安全的一個通用定

19、義是指網絡系統的硬件、軟件與其系統中的數據受到保護，不因偶然的原因而遭到破壞、更改或泄露，系統連續、可靠、正常地運行，服務不中斷。從用戶（個人、企業等）的角度來說，他們希望涉與個人隱私或商業利益的信息在網絡上傳輸時受到性、完整性和真實性的保護，避免其他人或對手利用竊聽、冒充、篡改和抵賴等手段對用戶的利益和隱私造成損害和侵犯，同時也希望當用戶的信息保存在某個計算機系統上時，不受其他非法用戶的非授權訪問和破壞。從網絡運行和管理者的角度來說，他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制，避免出現病毒、非法存取、拒絕服務和網絡資源的非法占用與非法控制等威脅，制止和防御網絡“黑客”的攻擊。對安

20、全部門來說，他們希望對非法的、有害的或涉與國家的信息進行過濾和防堵，避免其通過網絡泄露，避免由于這類信息的泄密對社會產生危害，對國家造成巨大的經濟損失，甚至威脅到國家安全。從社會教育和意識形態角度來講，網絡上不健康的容，會對社會的穩定和發展造成阻礙，必須對其進行控制。因此，網絡安全在不同的環境和應用中會得到不同的解釋，下面列出幾種安全種類：運行系統安全即保證信息處理和傳輸系統的安全。包括計算機系統機房環境的保護，法律、政策的保護，計算機結構設計上的安全性考慮，硬件系統的可靠安全運行，計算機操作系統和應用軟件的安全，數據庫系統的安全，電磁信息泄露的防護等。它側重于保證系統正常的運行，避免因為系統

21、的崩潰和損壞而對系統存儲、處理和傳輸的信息造成破壞和損失，避免由于電磁泄露產生信息泄露，干擾他人（或受他人干擾），本質上是保護系統的合法操作和正常運行。網絡上系統信息的安全包括用戶口令鑒別、用戶存取權限控制、數據存取權限、方式控制、安全審計、安全問題跟蹤、計算機病毒防治和數據加密等。網絡上信息傳播的安全即信息傳播后的安全，包括信息過濾等。它側重于保護信息的性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充和詐騙等有損于合法用戶的行為。本質上是保護用戶的利益和隱私。顯而易見，網絡安全與其所保護的信息對象有關。其本質是在信息的安全期保證其在網絡上流動時或者靜態存放時不被非授權用戶非法訪

22、問，但授權用戶卻可以訪問。網絡安全、信息安全和系統安全的研究領域是相互交叉和緊密相連的。本書中所講的網絡安全是指通過各種計算機、網絡、密碼技術和信息安全技術，保證在公有通信網絡中傳輸、交換和存儲信息的性、完整性和真實性，并對信息的傳播與容具有控制能力，不涉與網絡可靠性、信息的可控性、可用性和互操作性等領域。1.1.2網絡安全的特征網絡安全應具有以下4個方面的特征：1.性性指信息不泄露給非授權用戶、實體、過程或供其利用的特性。2.完整性完整性指數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。3.可用性可用性指可被授權實體訪問并按需求使用的特性。即當需要

23、時應能存取所需的信息。網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊。4.可控性可控性指對信息的傳播與容具有控制能力1.1.3網絡安全的重要性隨著網絡的快速普與，網絡以其開放、共享的特性對社會的影響也越來越大，信息網絡已經成為社會發展的重要保證。信息網絡涉與到國家的政治、軍事、文教等諸多領域，其中存儲、傳輸和處理的信息有許多是政府文件、商業經濟信息、銀行資金轉賬、股票證券、能源資源數據、科研數據等重要信息，還有很多是敏感信息，甚至是國家。所以難免會吸引來自世界各地的各種人為攻擊（例如信息泄露、信息竊取、數據篡改、計算機病毒等）。同時，網絡實體還要經受諸如水災、火災、地震

24、、電磁輻射等方面的考驗。近年來，計算機犯罪案件也急劇上升，計算機犯罪已經成為普遍的國際性問題。據美國聯邦調查局的報告，計算機犯罪是商業犯罪中所占比例最大的犯罪類型之一。計算機犯罪大都具有瞬時性、廣域性、專業性、時空分離性等特點。通常很難留下犯罪證據，這大大刺激了計算機高技術犯罪案件的發生。計算機犯罪率的迅速增加，使各國的計算機系統特別是網絡系統面臨著很大的威脅，并成為嚴重的社會問題之一。大量事實表明，確保網絡安全已經是一件刻不容緩的大事。有人估計，未來計算機網絡安全問題比核威脅還要嚴重，因此，研究網絡安全課題具有十分重要的理論意義和實際背景。據美國AB聯合會組織的調查和專家估計，美國每年因計算

25、機犯罪所造成的經濟損失高達150億美元。近幾年國外很多著名站點被黑客惡意修改，在社會上造成許多不良的影響，也給這些站點的運維者帶來了巨大的經濟損失。利用計算機通過Internet竊取軍事的事例，在國外也是屢見不鮮。美國、德國、英國、法國和國等國的黑客曾利用Internet網分別進入五角大樓、航天局、北約總部和歐洲核研究中心的計算機數據庫。我國信息化進程雖然剛剛起步，但是發展迅速，同時安全問題也日益嚴重。在短短的幾年里，發生了多起危害計算機網絡的安全事件，必須采取有力的措施來保護計算機網絡的安全。廣義上的網絡安全還應該包括如何保護部網絡的信息不從部泄露、如何抵制文化侵略、如何防止不良信息的泛濫等

26、。未來的戰爭將是信息戰爭，信息安全關系到國家的主權和利益，關系著國家的安全。因此網絡安全技術研究的重要性和必要性是顯而易見的。計算機網絡的發展，使信息的共享應用日益廣泛與深入。但是信息在公共通信網絡上存儲、共享和傳輸，可能面臨的威脅包括被非法竊聽、截取、篡改或毀壞等，這些威脅可能給網絡用戶帶來不可估量的損失，使其喪失對網絡的信心。尤其是對銀行系統、商業系統、管理部門、政府或軍事領域而言，信息在公共通信網絡中的存儲與傳輸過程中的數據安全問題更是備受關注。安全威脅與防護措施2.1基本概念所謂安全威脅，是指某個人、物、事件或概念對某一資源的性、完整性、可用性或合法使用所造成的危險。攻擊就是安全威脅的

27、具體實施。所謂防護措施，是指保護資源免受威脅的一些物理的控制、機制、策略和過程。微弱性是指在實施保護措施中或缺少防護措施時，系統所具有的弱點。所謂風險，是對某個已知的、可能引發某種成功攻擊的脆弱性的代價的測度。當某個脆弱的資源的價值越高，且成功攻擊的概率越大時，風險就越高；反之，當某個脆弱資源的價值越低，且成功攻擊的概率越小時，風險就越低。風險分析能夠提供定量的方法，以確定是否應保證防護措施方面的資金投入。安全威脅有事時可以分為故意的（如黑客浸透）和偶然的（如信息被發往錯誤的地方）兩類。故意的威脅又可以進一步分為被動攻擊和主動攻擊。被動攻擊只對信息進行監聽（如搭線竊聽），而不對其進行修改。主動

28、攻擊卻對信息進行故意的修改（如改動某次金融會話過程中貨幣的數量）。總之，被動攻擊比主動攻擊更容易以更少的花費付諸實施。目前尚沒有統一的方法來對各種威脅加以區別和分類，也難以搞清各種威脅之間的相互關系。不同威脅的存在與其嚴重性隨著環境的變化而變化。然而，為了解釋網絡安全服務的作用，人們對現代計算機網絡以與通信過程中常遇到的一些威脅匯編成一些圖表。下面分三個階段對威脅進行分析：首先對基本的威脅加以區分；其次，對主要的可實現的威脅進行分類；最后，對潛在的威脅進行分類。2.2 安全威脅的來源2.2.1基本威脅下面4種基本安全威脅直接反映了本章初始劃分的4個安全目標。1.信息泄露信息被泄露或透漏給某個非

29、授權的人或實體。這種威脅來自諸如竊聽、搭線或其他更加錯綜復雜的信息探測攻擊。2.完整性破壞數據的一致性通過非授權的增刪、修改和破壞而受到損壞。3.拒絕服務對信息或資源的訪問被無條件地阻止。這可能是由以下攻擊所致：攻擊者通過對系統進行非法的、根本無法成功的訪問嘗試而使系統產生過量的負荷，從而導致系統的資源在合法用戶看來是不可用的。拒絕服務也可能是因為系統在物理上或邏輯上受到破壞而終端服務。4.非法攻擊某個資源被某個非法授權的人，或以某種非授權的方式使用。例如，侵入某個計算機系統的攻擊者會利用此系統作為盜用電信服務的基點，或者作為侵入其他系統的橋頭堡。2.2.2主要的可實現的威脅在安全威脅中，主要

30、的可實現威脅應該引起高度關注，因為這類威脅一旦成功實施就會直接導致其他任何威脅的實施。只要的可實現威脅包括侵入威脅和植入威脅。一、主要的侵入類型的威脅如下：假冒某個實體（人或者系統）假裝成另外一個不同的實體。這是突入某一安全防線最常用的方法。這個非授權的實體提示某個防線的守衛者，使其相信他是一個合法的實體，此后便取了此合法的權利和特權。黑客大多采取這種假冒攻擊方式來實施攻擊。2.旁路控制為了獲得非授權的權利和特權，某個攻擊者會發掘系統的缺陷和安全性上的脆弱之處。例如，攻擊者通過各種手段發現原本應，但是又暴露出來的一些系統“特征”。攻擊者可以繞過防線守衛者侵入系統部。3.授權侵犯一個授權以既定目

31、的使用某個系統或資源的人，卻將其權限用于其他非授權的目的。這種攻擊的發起者往往屬于系統的某個合法用戶，因此這個攻擊又稱為“部攻擊”。二、主要的植入類型的威脅如下：1.特洛伊木馬（trojan horse）軟件中含有一個察覺不出的或者無害的程序段。當他被執行時，會破壞用戶的安全性。例如一個表面上具有合法目的的應用程序軟件，如文件編輯軟件，它具有一個暗藏的目的，就是將用戶的文件復制到一個隱藏的秘密文件中，這種應用程序就稱為特洛伊木馬。此后，植入特洛伊木馬的那個攻擊者就是可以閱讀到該用戶的文件。2.陷阱門（trap door）在某個系統或其部件中設置“機關”，使在提供特定的輸入數據時，允許違反安全策

32、略。例如，一個用戶登錄子系統，如果設置有陷阱門，當攻擊者輸入一個特別的用戶身份號時，就可以繞過通常的口令檢測。2.2.3潛在威脅在某個特定的環境中，如果對任何一個基本威脅或者主要的可實現威脅進行分析，就能夠發現某些特定的潛在威脅，而任意一種潛在威脅都可能導致一些更基本的威脅的發生。例如，在對信息泄露這種基本威脅進行分析時，有可能找以下幾種潛在的威脅（不考慮主要的可實現威脅）：竊聽（eavesdropping）；流量分析（traffic analysis）；操作人員的不慎所導致的信息泄露；媒體廢棄物所導致的信息泄露。圖2-1列出了一些典型的威脅以與它們之間的相互關系。注意，圖中的路徑可以交錯。例

33、如，假冒攻擊可以成為所有基本威脅的基礎，同時假冒攻擊本身也存在信息泄露的潛在威脅（因為信息泄露可能暴露某個口令，而用此口令可以實施假冒攻擊）。表2-1列出了各種威脅之間的差異，并分別進行了描述。圖2-1 典型的威脅與其相互關系2.3網絡安全防護措施安全領域存在有多種類型的防護措施。除了采用密碼技術的防護措施之外，還有其他類型的安全防護措施：2.3.1計算機病毒的防技術在網絡環境下，防計算機病毒僅采用單一的方法來進行已經無任何意義，要想徹底清除網絡病毒，必須選擇與網絡適合的全方位防病毒產品。如果對互聯網而言，除了需要網關的防病毒軟件，還必須對上網計算機的安全進行強化；如果在防部局域網病毒時需要一

34、個具有服務器操作系統平臺的防病毒軟件，這是遠遠不夠的，還需要針對各種桌面操作系統的防病毒軟件；如果在網絡部使用電子進行信息交換時，為了識別出隱藏在電子和附件中的病毒，還需要增加一套基于服務器平臺的防病毒軟件。由此可見，要想徹底的清除病毒，是需要使用全方位的防病毒產品進行配合。另外，在管理方面，要打擊盜版，因為盜版軟件很容易染上病毒，訪問可靠的，在下載電子附件時要先進行病毒掃描，確保無病毒后進行下載，最重要的是要對數據庫數據隨時進行備份。2.3.2身份認證技術系統對用戶明的核查的過程就是身份認證，就是對用戶是否具有它所請求資源的存儲使用權進行查明。用戶向系統出示自己的明的過程就是所謂的身份識別。

35、一般情況下，將身份認證和身份識別統稱為身份認證。隨著黑客或木馬程序從網上截獲密碼的事件越來越多，用戶關鍵信息被竊情況越來越多，用戶已經越來越認識到身份認證這一技術的重要性。身份認證技術可以用于解決用戶的物理身份和數字身份的一致性問題，給其他安全技術提供權限管理的依據。對于身份認證系統而言，合法用戶的身份是否易于被其他人冒充，這是最重要的技術指標。用戶身份如果被其他不法分子冒充，不僅會對合法用戶的利益產生損害，而且還會對其他用戶的利益甚至整個系統都產生危害。由此可知，身份認證不僅是授權控制的基礎，而且還是整個信息安全體系的基礎。身份認證技術有以下幾種：基于口令的認證技術、給予密鑰的認證鑒別技術、

36、基于智能卡和智能密碼鑰匙(UsBKEY)的認證技術、基于生物特征識別的認證技術。對于生物識別技術而言，其核心就是如何獲取這些生物特征，并將之轉換為數字信息、存儲于計算機中，并且完成驗證與識別個人身份是需要利用可靠的匹配算法來進行的。2.3.3入侵檢測技術入侵檢測就是對 HYPERLINK :/ 網絡入侵行為進行檢測，入侵檢測技術屬于一種積極主動地安全保護技術，它對部攻擊、外部攻擊以與誤操作都提供了實時保護。入侵檢測一般采用誤用檢測技術和異常監測技術。1.誤用檢測技術這種檢測技術是假設所有的入侵者的活動都能夠表達為中特征或模式，對已知的入侵行為進行分析并且把相應的特征模型建立出來，這樣就把對入侵

37、行為的檢測變成對特征模型匹配的搜索，如果與已知的入侵特征匹配，就斷定是攻擊，否則，便不是。對已知的攻擊，誤用入侵檢測技術檢測準確度較高，但是對已知攻擊的變體或者是一些新型的攻擊的檢測準確度則不高。因此，要想保證系統檢測能力的完備性是需要不斷的升級模型才行。目前，在絕大多數的商業化入侵檢測系統中，基本上都是采用這種檢測技術構建。異常檢測技術異常檢測技術假設所有入侵者活動都與正常用戶的活動不同，分析正常用戶的活動并且構建模型，把所有不同于正常模型的用戶活動狀態的數量統計出來，如果此活動與統計 HYPERLINK :/ 規律不相符，則表示可以是入侵行為。這種技術彌補了誤用檢測技術的不足，它能夠檢測到

38、未知的入侵。但是，在許多環境中，建立正常用戶活動模式的特征輪廓以與對活動的異常性進行報警的閾值的確定都是比較困難的，另外，不是所有的非法入侵活動都在統計規律上表示異常。今后對入侵檢測技術的研究主要放在對異常監測技術方面。另外， HYPERLINK :/ 計算機網絡安全防策略還包括一些被動防策略。被動式防策略主要包括隱藏IP地址、關閉端口、更換管理員賬戶等，本文只對以上兩種進行分析。第3章 入侵檢測原理3.1入侵檢測的概述入侵檢測是指對入侵檢測行為的發現報警和響應,他通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象.入侵

39、檢測系統(intrusion detection system ,IDM ) 是完成入侵檢測功能的軟件和硬件的集合。1980 年4月，James P . Anderson 在美國空軍起草的技術報告計算機安全威脅檢測與監視中第一次詳細闡述了入侵檢測的概念。隨著網絡安全風險系數不斷提高，防火墻作為曾經最主要的安全防手段已經不能滿足人們對網絡安全的需求。作為對防火墻極其有益的補充，位于其后的第二道安全閘門IDS能夠幫助網絡系統快速發現網絡攻擊的發生，有效擴展系統管理員的安全管理能力與提高信息安全基礎結構的完整性。IDS 能在不影響網絡與主機性能的情況下對網絡數據流和主機審計數據進行監聽和分析，對可疑

40、的網絡連接和系統行為進行記錄和報警，從而提供對部攻擊、外部攻擊和誤操作的實時保護。3.1.1入侵檢測的功能入侵檢測的功能主要體現在一下幾個方面：監視并分析用戶和系統的活動。檢查系統配置和漏洞。識別已知的攻擊行為并報警。統計分析異常行為。評估系統關鍵資源和數據文件的完整性。操作系統的審計跟蹤管理，并識別違反安全策略的用戶行為。3.1.2入侵檢測的模型為了提高IDS產品、組件與與其他安全產品之間的互操作性，美國國防高級研究計劃署和Internet 工程任組的入侵檢測工作組（IDWG）發起并制定了一系列建議草案，從體系結構、API、通信機制、語言格式等方面規IDS 的標準。圖 3-1 是有美國國防高

41、級研究計劃署所提出的通用入侵檢測框架（common intrusion detection framework, CIDF ）模型，將一個IDS 分為事件產生器、分析引擎、響應單元和事件數據庫4個組件。策略審計記錄或網絡數據包 事件數據庫分析引擎 事件產生器響應單元圖 3-1 入侵檢測通用模型 事件產生器為入侵檢測系統提供必要的輸入，這些輸入構成了檢測的基礎。分析引擎接收來自事件產生器的數據并檢查數據以發現入侵跡象。響應單元對分析結果做出反應，控制網絡或系統產生和分析結果相應的動作。3.1.3入侵檢測的流程基于CIDF 模型，入侵檢測流程主要包括3個步驟，即信息收集、信息分析和結果處理。1.信

42、息收集入侵檢測的第一步是信息收集，收集容包括系統、網絡、數據與用戶活動的狀態和行為。這些信息由分布在主機或者網絡上的事件產生器提供，一般為審計記錄、網絡數據包以與其他可視行為。不同的入侵檢測系統間需要收集的信息由于分析方法的不同而有所區別。2.信息分析信息分析階段通過分析上一階段提供的數據來判斷是否發生入侵。分析引擎中使用檢測入侵技術對所收集到的信息進行分析，以判斷與該信息相對應的事件是否違反看系統的安全策略或存在入侵的先兆。信息分析是入侵檢測的核心步驟，分析引擎中所采用的技術直接影響到入侵檢測的性能。分析引擎使用何種技術也是區分不同入侵檢測產品的重要依據。3.結果處理控制臺按照報警產生預先定

43、義的響應采取相應措施，反應的形式可以是較為強雷的切斷或改變文件屬性等，也可以是簡單的向管理員發出警報。3.2入侵檢測的分析技術 對網絡和主機的各種事件進行分析，從而發現是否有違反安全策略的行為是IDS的核心任務。因此，入侵檢測常用的技術主要體現在IDS的分析引擎上。分析引擎以事件產生器獲取的主機或網絡事件為輸入，通過分析事件或先驗知識建立判斷入侵的模型。根據建立模型的方法不同，入侵檢測技術主要有一下兩個思路：第一種，根據已知的攻擊行為知識，推斷當前行為是否是攻擊行為。第二種，根據已知的正常行為只是，推斷當前行為是否是正常行為。若不是正常行為，則認為該行為是攻擊行為。 因此，目前主要有兩種方法用

44、來解決入侵檢測問題：誤用檢測技術和異常檢測技術。誤用檢測技術基于第一種檢測思路，異常檢測技術基于第二種檢測思路。在IDS中，常采用兩種方法相結合的方式。3.2.1異常檢測異常檢測技術也稱為基于行為的檢測技術，是指根據用戶的行為和系統資源的使用狀況判斷是否存在網絡入侵。異常檢測基于一個假設，即入侵行為在于偏離系統正常使用的事件中，而異常檢測就是要找出偏離正常行為的事件并從中發現入侵。異常檢測一般先建立用戶正常行為的模型，再將實現觀察到的行為與之相比，檢測與正常行為偏差較大的行為。由于假定所有入侵行為都是與正常行為不同的，因此，如果建立系統正常行為的軌跡，則理論上可以把所有與正常軌跡不同的系統狀態

45、視為可疑企圖。該模型的結構如圖3-2所示。 正常行為描述庫日志數據入侵行為網絡數據 異常檢測規則匹配動態產生新描述動態更新描述圖3-2 異常檢測模型 異常檢測方法通過異常檢測器觀察主體的活動，然后產生刻畫這些活動行為的輪廓。每一個輪廓保存記錄主體當前的行為，并定時將當前行為與存儲的輪廓合并。通過比較當前輪廓與以存儲的輪廓判斷異常行為，檢測網絡入侵。異常檢測方法對有統計特征攻擊方法（如端口漏洞掃描和拒絕服務攻擊等）的檢測特別有效。 異常檢測的優點是與系統相對無關，通用性較強，易于實現，模型易于自動更新，不需要為設定限制值而掌握政策活動的知識，可檢測出一些未知攻擊方法。當然，單純的統計異常檢測方法

46、是不能滿足需要的，它對事件發生的次序不敏感，誤報和虛報率較高，對沒有統計特征的攻擊方法難以檢測。一般來說，異常檢測的重點在于如何建立系統正常行為的軌跡。基于異常的入侵檢測系統通過構造不同的異常模型來實現不同的檢測方法，使用觀測到的一組測量值偏離度來預測用戶的行為變化并做出決策判斷。目前，基于異常的入侵檢測系統主要采用的技術有統計分析、貝葉斯推理、神經網絡和數據挖掘等方法。1.統計分析異常檢測統計分析異常檢測方法首先要對系統或用戶的行為按照一定的時間間隔進行采樣，樣本的容包括每個回話的登陸和退出情況、CPU和存的占用情況、硬盤等存儲介質的使用情況等。對每次采集到的樣本進行計算，得出一系列的參數變

47、量來對這些行為進行描述，從而產生行為輪廓。將每次采樣后得到的行為輪廓與已有的行為輪廓歸并，最終得到系統和用戶的正常行為輪廓。IDS通過將當前采集到的行為輪廓與正常行為輪廓相比較，以檢測是否存在入侵行為。統計分析異常檢測方法的優勢在于應用的技術方法在統計學中已經比較成熟。統計分析異常檢測方法的不足主要體現在一下3個方面：（1）異常閾門值,難以確定,閾值設置得偏高會導致誤報率升高,偏低會導致漏報率升高。（2）對事發生的次序不敏感,可能檢測不出由先后發生的幾個關聯事件組成的入侵行為。（3）對行為的檢測結果要么是異常的，要么是正常的，攻擊者可以利用這個弱點躲避IDS的檢測。2.貝葉斯推理異常檢測 貝葉

48、斯推理異常檢測是根據被保護系統當前各種行為特征的測量值進行推理，來判斷是否有入侵行為的發生。系統的特征包括CPU利用率、磁盤I/O活動數量、系統中頁面出錯的數量等，用異常變量Ai表示。根據各種異常測量的值、入侵的先驗概率以與入侵發生時測量到的各種異常概率計算出入侵的概率。為了檢測的準確性，必須考慮Ai之間的獨立性。最常用的一種方法是通過相關性分析，確定各個異常變量與入侵的關系。3.神經網絡異常檢測神經網絡異常檢測是神經網絡技術用于對系統和用戶行為的學習，以檢測未知的攻擊。來自審計日志或正常網絡訪問行為的信息，經數據信息預處理模塊的處理后產生輸入向量，然后使用神經網絡對輸入向量進行處理，從中提取

49、正常的用戶或系統活動的特征輪廓。神經網絡異常檢測的有點是不需要對數據進行統計假設，能夠較好地處理原始數據的隨機性，并且能夠較好的處理干擾數據。與統計分析異常檢測相比，神經網絡異常檢測能夠更加簡潔地表達出各種狀態變量之間的非線性關系，而且能夠自動學習。 神經網絡異常檢測的缺點是網絡的拓撲結構和各元素的權重難以確定，必須經過多次嘗試。4.數據挖掘異常檢測 數據挖掘是從大量的數據中抽取出潛在的、有價值的知識（表示為概念、規則、規律和模式等形式）的過程。數據挖掘異常檢測技術從各種審計數據或網絡數據流中提取相關的入侵知識，IDS利用這些知識檢測入侵。 數據挖掘異常檢測的優勢在于處理數據的能力，缺點是系統

50、整體欲行效率較低。第4章 基于Snort的方案設計4.1 Snort 體系結構Snort 是一款免費的NIDS，具有小巧靈便、易于配置、檢測效率高等特性，常被稱為較量級的IDS。Snort 具有實時數據流量分析和IP數據包日志分析能力，具有跨平臺特征，能夠進行協議分析和對容的搜索或匹配。Snort 能夠檢測不同的攻擊行為，如緩沖區溢出端口掃描和拒絕服務攻擊等，并進行實時報警。Snort 的結構由以下4大軟件模塊組成。（1）數據包嗅探模塊 負責監聽網絡數據包，對網絡進行分析。（2）預處理模塊該模塊用相應的插件來檢查原始數據包，從中發現原始數據 的“行為”，如端口掃描、IP碎片等，數據包經過預處理

51、后才傳到檢查引擎。（3）檢測模塊該模塊是Snort 的核心模塊。當數據包從預處理器送過來后，檢測引擎依據預先設置的規則檢測數據包，一旦發現數據包中的容和某條規則相匹配，就通知報警模塊。（4）報警/日志模塊經檢測引擎檢查后的Snort 數據需要以某種方式輸出。如果檢測引擎中的某條規則被匹配，則會觸發一條報警，這條報警信息會通過網絡、UNIX Socket Windows Popup( SMB)、SNMP 協議的Trap 命令傳送給日志文件，甚至可以將報警傳送給第三方插件（如Snort Sam）。另外，報警信息也可以記入SQL數據庫。Snort 體系結構如圖4-1 所示。網絡數據包嗅探預處理器檢測

52、引擎報警/日志規則庫/攻擊簽名日志文件/規則庫數據形成規則鏈圖4-1 Snort 體系結構4.2 Snort 規則Snort 的成功之處在于其高效的整體設計編碼、簡潔明了的規則描述設計以與已將形成一定規模的攻擊檢測規則集。Snort 使用一種簡單的、輕量級的規則描述語言來描述它的規則配置信息，靈活而強大。Snort 的每條規則邏輯上都可以分成規則頭部和規則選項。規則頭部包括規則行為、協議、源或目的IP地址、子網掩碼、源端口和目的端口；規則選項包含報警信息和異常包的信息（特征碼），基于特征碼決定是否采取規定的行動。對于每條規則來說，規則選項不是必須的，只是為了更加詳細地定義應該收集或者報警的數據

53、包。只有匹配所有選項的數據包，Snort 才會執行其規則行為。如果許多選項組合在一起，他們它們之間是“邏輯關系”的關系。 規則頭部的第一項定義了符合規則時Snort采取的動作，出了警報（alert）之外，還有記錄數據包(log)、丟棄數據包（pass）以與較為復雜的激活（activate）和動態（dynamic）動作。規則頭部的下一部分指明規則關注的協議。Snort當前分析可疑包的IP協議有3種，即TCP、UDP和ICMP。接下來，規則頭部需要一組遵循給定格式的IP地址和端口號信息，通常要分別指出源發方和目的放的IP地址和端口號，并且指明信息流動的方向。IP地址可以是一個網段，也可以指定為任何

54、地址（any）端口也可以指定為任何端口（any）。 規則選項組成了Snort入侵檢測引擎的核心，所有的Snort規則選項用分號“；”隔開，規則選項關鍵字和它們的參數用冒號“：”分開。下面是一些重要的規則選項。Msg 在報警和包日志中打印一條消息dsize檢查包的數據部分大小content在包的數據部分中搜索指定的樣式nocase指定對Content字符串大小寫不敏感Contentlist在數據包中搜索多種可能匹配Flags檢查TCP Flags 的值ack檢查TCP應答的值session記錄指定回話的應用層信息的容sidSnort的規則標石 例如下面的一條規則： Alert tcp any a

55、ny-24 111（content：|00 01 86 a5|；msg：mountd access；)可以解釋為：對于到達網段24上任一臺主機111端口的TCP數據包，如果容中包含形如“|00 01 86 a5|”的字段，則將字符串“mountd access”作為報警信息輸出。4.3 方案配置4.3.1 方案描述4.3.2 Windows 平臺下Snort 的安裝與配置由于需要對網絡底層進行操作，安裝Snort前需要預先安裝WinpCap（WIN32平臺上網絡分析和捕獲數據包的庫）。WinPcap的下載地址為winpcap.polito.it/。

56、1.從 下載Windows平臺下的Snort 安裝程序，雙擊安裝程序進行安裝，選擇安裝目錄為D：Snort。 2.進行到選擇日志文件存放方式時，為簡單起見，選擇不需要數據庫支持或者Snort默認的MySQL 和ODBC數據庫支持的方式，如圖4-2所示。圖4-2 Snort 安裝選項對話框 3.單擊“開始”菜單，選擇“運行”命令，輸入cmd并按Enter鍵，在命令行方式下輸入如下命令：C:cd D:SnortbinD:Snortbinsnort-W （1）如果Snort安裝成功，系統將顯示兩個物理網卡正在工作與網卡的詳細信息。輸入snort-v-i2命令啟用Snort。其中，-

57、v表示使用Verbose模式，把信息包打印在屏幕上；-i2表示監聽第二個網卡。為了進一步查看Snort的運行狀況，可以認為制造一些ICMP網絡流量。在局域網段中的另一臺主機（）上使用的Ping指令，探測運行Snort的主機。回到運行Snort的主機（），發現Snort已經記錄了這次探測的數據包，Snort在屏幕上輸出了從到的ICMP數據。 （2）打開D:Snortetcsnort.conf，設置Snort的部網絡和外部網絡檢測圍。將Snort.conf文件中的var HOME_NEW any語句中的Any改

58、為自己所在的子網地址，即將Snort檢測的部網絡設置為本機所在的局域網。如本地IP為，則將Any改為/24.將var HOME_NET any語句中的HOME_NET的值改為本地網絡的標識，即/24。 （3）配置網段提供網絡服務的IP地址，只需要把默認的$ HOME_NET改成對應主機地址即可： var DNS_SERVERS $ HOME_NETvar SMTP_SERVERS $ HOME_NETvar _SERVERS $ HOME_NETvar SQL_SERVERS $ HOME_NETvar TELNET_SERVE

59、RS $ HOME_NETvar SNMP_SERVERS $ HOME_NET如果不需要監視某種類型的服務，可以用#號將上述語句其注釋掉。（4）修改設置檢測包含的規則。在配置文件末尾，定義了與規則相關的配置，格式如下：Include $ RULE_PATH/local.rulesInclude $ RULE_PATH/bad-traffic.rulesInclude $ RULE_PATH/exploit.rules其中，變量 $ RULE_PATH指明了規則文件存放的路徑，可以在語句var RULE_PATH./rules中將變量RULE_PATH改為存放規則集的目錄，如D:snortrules.可以到 /pub-bin/downloads.cgi上下載最新的規則集，將其解壓存放到規則默認路徑下。(5) 在Snort.Conf文件中，修改配置文件Classification.conf 和Reference.conf的路徑：Include D:Snortetcclassification.confInclude D:Snortetcreference.conf其中，Classification.conf文件保存的是和規則的警報級別相關的配置，Reference.conf文件保存了提供更對警報相關信息的。4.6 Windows 平臺下Snort的使用1.Sno