返回
入侵检测课程设计:基于snort的入侵检测系统

入侵检测课程设计:基于snort的入侵检测系统

ID:18428470

大小:3.38 MB

页数:31页

时间:2018-09-17

入侵检测课程设计:基于snort的入侵检测系统_第1页
入侵检测课程设计:基于snort的入侵检测系统_第2页
入侵检测课程设计:基于snort的入侵检测系统_第3页
入侵检测课程设计:基于snort的入侵检测系统_第4页
入侵检测课程设计:基于snort的入侵检测系统_第5页
资源描述:

《入侵检测课程设计:基于snort的入侵检测系统》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、甘肃政法学院入侵检测课程设计题目基于snort的入侵检测系统计算机科学学院计算机科学与技术专业10级计算科学与技术本科班学号:_201081010124姓名:柳文会指导教师:_____金涛____成绩:_______________完成时间:_2012年_12月一、课程设计目的1、通过实验深入理解入侵检测系统的原理和工作方式。2、熟悉入侵检测工具snort在Windows操作系统中的安装和配置方法。3、通过使用Snort,了解基于网络和主机的入侵检测系统的工作原理和应用方法。二、课程设计的原理1、入侵检测技术简介入侵检测就

2、是一个监视计算机系统或者网络上发生的事件,然后对其进行安全分析的过程。它可以用来发现外部攻击与合法用户滥用特权,根据用户的历史行为,基于用户的当前操作,完成对入侵的检测,记录入侵证据,为数据恢复和事故处理提供依据。入侵检测系统的原理如图A所示:图A入侵检测的原理图大多数的入侵检测系统都可以被归入到基于主机、基于网络以及分布式三类。基于主机的入侵检测系统是一种早期的IDS设计模型,它主要设计用来监视单一的服务器,因为DNS、Email和web服务器是多数网络攻击的目标,这些攻击大约占据全部网络攻击事件的1/3以上,基于主机的

3、入侵检测系统就是为了解决这些问题而设计的,它能够监视针对主机的活动(用户的命令、登录/退出过程,使用数据等等),它的特点就是针对性好而且,效果明显,误报率低。基于网络的入侵检测系统是后于基于主机入侵检测系统而出现的,它主要用于集中用于监控通过网络互连的多个服务器和客户机,能够监视网络数据发现入侵或者攻击的蛛丝马迹。分布式IDS通过分布于各个节点的传感器或者代理对整个网络和主机环境进行监视,中心监视平台收集来自各个节点的信息监视这个网络流动的数据和入侵企图。在入侵检测系统中,系统将用户的当前操作所产生的数据同用户的历史操作数

4、据根据一定的算法进行检测,从而判断用户的当前操作是否是入侵行为,然后系统根据检测结果采取相应的行动。入侵检测的过程是一个机器(检测工具)与人(黑客)对抗的决策分析过程,其技术基础是基于知识的智能推理,需要用到人工智能的相关技术。各种入侵检测系统使用的检测方法可以分为两类:基于特征码的检测方法和异常检测。使用基于特征码检测方法的系统从网络获得数据,然后从中发现以知的攻击特征。例如:在某些URL中包含一些奇怪的Unicode编码字符就是针对IISUnicode缺陷的攻击特征。此外各种模式匹配技术的应用,提高了这种检测方法的精确

5、性。使用异常检测的系统能够把获得的数据与一个基准进行比较,检测这些数据是否异常。例如:如果一个雇员的工作时间是上9点到下午5点,但是在某个晚上他的计算机记录了他曾经在半夜登录了公司的邮件服务器,这就是一个异常事件,需要深入调查。现在,大量的统计学方法用于这个领域。(1)入侵检测系统定义入侵检测系统(IntrusionDetectionSystem,简称IDS)是一种从计算机网络或计算机系统中的若干关键点收集入侵者攻击时所留下的痕迹,如异常网络数据包与试图登录的失败记录等信息,通过分析发现是否有来自于外部或内部的违反安全策略

6、的行为或被攻击的迹象。它以探测与控制作为技术本质,起着主动式、动态的防御作用,是网络安全中极其重要的组成部分。目前入侵检测涉及到的功能有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集与系统相关的补丁、进行审计跟踪识别违反安全策略的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员可以较有效地监视、审计、评估自己的系统等。(2)入侵检测系统的作用入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识

7、别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。(3)入侵检测系统的检测信息来源入侵检测系统的检测信息来源都是通过自身的检测部分Sensor得到的。基于网络的入侵检测,主要是通过对网络数据包的截取分析,来查找具有攻击特性和不良企图的数据包的。在网络里基于网络的入侵检测系统的检测部分Sen

8、sor一般被布置在一个交换机的镜象端口(或者一个普通的HUB任意端口),听取流经网络的所有数据包,查找匹配的包,来得到入侵的信息源。基于主机的入侵检测系统的Sensor不可能直接从系统内部获取信息的,它是要通过一个事先做好的代理程序,安装在需要检测的主机里的,这些代理程序主要收集系统和网络日志文件,目录

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。