文档介绍：江南大学
硕士学位论文
具有主动防御能力的入侵检测系统研究
姓名:周四伟
申请学位级别:硕士
专业:计算机应用技术
指导教师:蔡勇
20060301
摘要入侵检测系统通常包括事件产生器、事件分析器、响应单元以及事件数据库四部分。其中,事件分析器又是我们入侵检测技术的关键部分。在网络入侵检测系统的事件分析器中,截获网络的每一个数据包,都要进行分析、匹配,这就需要花费大量的时间和系统资源。大部分现有的网络入侵检测只有几十兆的检测速度,随着百兆、甚至千兆网络的大量应用,入侵检测的速度已经远远落后于网络速度。对于这一检测速度的瓶颈,。除了入侵检测系统外,我们的计算机中还可能使用了防火墙、漏洞扫描等其他类别的安全设备,这些安全组件之间如何交换信息,共同协作来发现攻击、作出响应并阻止攻击关系到整个系统的安全性。另外,对间谍软件和广告软件的检测也是一个令人头疼的问题。对此,。介绍了一般的入侵检测系统的概念、模型,入侵检测技术的分类。然后,描述了网络入侵检测系统的模型,以及入侵检测存在的弱点和局限性,从而引出了我们课题研究的意义、现状和背景。阐述了数据采集的原理。因为我是在僮飨低诚拢肔叩库函数实现的数据包的捕获,所以就介绍一下挠泄睾褪萁峁埂V点阐述了网络数据包的捕获程序,并输出了实验结果。简要介绍了疘乃牟隳P汀⑹荼ǖ姆庾肮蹋琁等协议的格式和数据结构。这些是非常重要的,因为它们是进行数据报协议分析、负载分析所必须的。当然,重点还是放在了介绍数据分析的原理、模块设计、程序实现上,最后输出实验数据。我们自己改进了一种算法。,介绍它的工作原理,详细叙述了它的算法实现、测试结果、结果分析。组建主动防御模块,用它来实现多层次的纵深防御,实现了和其它安全设备的互动,探索了检测反扫描、反间谍软件、反广告软件的功能。最后是结论,并介绍了今后需要进一步完善的工作。关键字:入侵检测误用检测协议分析瓸惴ㄖ鞫烙?
册..甒,.孕,,—琩疘琫,疘甒狟江南大学硕:貉宦畚琁,ⅱ鬿,甋.。—,琽,瑀皀甀行.,甌瓵,.,.痺篐琣..,.瑆篿琺琾,琣,
导师签名:鼍翌签名:籡:里日期:!!月日期:№年隆⑷独创性声明关于论文使用授权的说明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含本人为获得江南大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。本学位论文作者完全了解江南大学有关保留、使用学位论文的规定:江南大学有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许论文被查阅和借阅,可以将学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编学位论文,并且本人电子文档的内容和纸质论文的内容相一致。保密的学位论文在解密后也遵守此规定。签名
觯一一下。!R毁杭鱹—————————R干匣件分析器!!!!————锛菘鈒第一章概述厂—————◆怕应单元入侵检测系统的概念入侵检测系统模型虲髈入侵检测系统美词侗鹫攵约扑机系统和网络系统或者更广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击或试探以及内部合法用户的超越使用权限的非法行动【”。它通过从计算机网络或系统中的若干关键点收集信息,并对这些信息进行分析,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。所有能够执行入侵检测任务和功能的系统,都可以称作入侵检测系统,其中包括软件系统与硬件系统结合的系统。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作,保证网络安全地运行具体说来,入侵检测系统的主要功能有:嗖獠⒎治鲇没Ш拖低车幕疃瞬橄低撑渲煤吐┒矗拦老低彻丶试春褪菸募耐暾裕侗鹨阎5墓セ餍形#臣品治鲆斐P形#僮飨低橙罩竟芾恚⑹侗鹞シ窗踩ú呗缘挠没Щ疃为解决入侵检测系统之间的互操作性,国际上的一些研究组织开展了标准化工作,目前对斜曜蓟ぷ鞯挠辛礁鲎橹篒腎早期由美国国防部高级研究计划局赞助研究,现在由工作组负责,是一个开放组织。阐述了一个入侵检测系统耐ㄓ媚P腿缤所示。它将一个入侵检测系统分为以下组件:事件产生器肊盒表示:事件分析器,用斜硎荆响应单元,用斜硎荆事件数据库,用斜硎尽原始数据源图卜模型。
入侵检测的分类途径得到的信息。事件产生器的目的是从整个计算环境中获得事件,并向系统和误用入侵检测。K淙凰泻芨叩奈蟊剩瞧浜艿偷