摘 要 入侵检测系统在如今的网络安全领域已经成为一个关键性的组件,但传统的入侵检测系统存在的一定的不足,如误报率和漏报率比较高,检测速度慢,占用资源多等。为了适应网络安全的发展需求,针对现有的入侵检测系统,结合移动代理技术,提出了基于移动Agent的分布式入侵检测模型。 本文首先分析了当今网络安全的现状和存在的问题,指出了传统的入侵检测系统的局限性,并阐述了入侵检测技术的发展历史和研究现状。然后讲叙了分布式入侵检测模型的构成,在该模型各个分布节点上使用Snort抓取网络数据包,并记录可疑攻击数据,通过移动代理技术对可疑数据融合后进行综合分析,完成对分布式入侵的检测功能。该模型在windows环境下实现,采用日本IBM公司的Aglet移动代理环境,结合Snort入侵检测系统,利用JAVA语言编程,实现从可疑数据中,分析出攻击行为,并自动添加相应规则,增强对网络的保护能力。
关键字:分布式;移动代理;入侵检测;Snort;Aglet
目 录 论文总页数:26页 1 引言 1 1.1 绪论 1 1.2 研究现状 1 1.3 本文主要内容 2 2 入侵检测和移动代理技术 2 2.1 入侵检测技术 2 2.1.1 入侵检测概述 2 2.1.2 入侵检测的分类 3 2.1.3 人侵检测系统的发展趋势 4 2.2 移动代理技术 5 2.2.1 移动代理 5 2.2.2 移动代理与入侵检测系统结合的优势 5 3 基于移动代理的分布式的入侵检测模型 5 3.1 传统的入侵检测系统缺陷 5 3.2 基于移动代理的分布式入侵检测系统 6 3.2.1 系统设计目标 6 3.2.2 系统模型设计 6 3.3 系统主要部件介绍 7 3.3.1 移动代理环境 7 3.3.2 数据收集 7 3.4 模型的工作机理 7 3.5 本模型的优缺点分析 7 3.6 分布式攻击检测实例 8 3.6.1 DoorKnob攻击基本原理 8 3.6.2 检测过程 8 4 系统的设计与实现 9 4.1 移动代理Aglet系统介绍和配置 9 4.1.1 Aglet系统架构 9 4.1.2 Aglet功能模型 10 4.1.3 Aglet安装与配置 10 4.2 Snort介绍与配置 11 4.2.1 Snort的简介 11 4.2.2 Snort系统组成 12 4.2.3 Snort的安装 12 4.2.4 Snort的配置 12 4.2.5 Snort数据库的配置 13 4.2.6 Snort网络入侵检测的使用 13 4.3 系统平台的其他重要配置 14 4.4 系统实现技术 15 4.4.1 入侵检测数据收集 15 4.4.2 具体实现中采用的关键技术 15 4.5 代码分析模块 15 4.6 下一步工作 23 结 论 23 参考文献 24 致 谢 25 声 明 26
引言 绪论 随着计算机网络的飞速发展和应用,人们对网络和计算机的依赖也越来越大。目前, Internet已经成为世界上规模最大、用户最多、影响最广泛的网络。它遍及全球180个国家,包括60多万个网络,为用户提供各种信息服务,以及传播科研、教育、商业和社会信息最主要的渠道。它丰富了人们的文化生话,满足了人们日益增长的信息需求。但是网络病毒的泛滥、保密信息的泄露、计算机黑客入侵,使得网络信息安全问题日益突出。不仅给企业和个人造成巨大的经济损失,严重的甚至威胁着国家政治、经济和军事的安全。根据美国FBI统计,美国每年因网络安全所造成的经济损失高达75亿美元,而全球平均每20秒钟就有一起Internet计算机侵入事件。因此,确保计算机和数据通信网络的安全成为世人关注的社会问题,成为计算机科学技术的热点领域。 目前,要解决系统得安全问题,最直接的一个想法就是重新设计并构建新的计算机系统,但这在现实的实践中,是不可行的。Miller给出一份关于现今流行的操作系统和应用程序研究报告,指出不可能出现没有缺陷软件,即使再好的软件技术也无法消除漏洞的出现。其次,要花很长的时间将如今带有安全缺陷的系统转换成安全系统。第三,如今加密技术方法还不完善。第四,安全访问控制等级和用户的使用效率成反比。第五,访问控制和保护模型本身存在一定的问题。第六,在软件工程中存在软件测试不充足、软件生命周期缩短、大型软件复杂性等难以解决的问题。 面对以上的问题,可行的解决办法是:建立容易实现的系统,并根据相应得策略建立其辅助系统,以增强网络的安全性。 研究现状 近年来,从事计算机网络安全的人员,通过对信息系统服务、传输媒介和协议的深入研究,使维护网络安全的产品不断更新换代,从单机的防病毒软件,到网络的防火墙,再到现在的入侵检测系统等等。入侵检测技术是主动保护自己网络免受入侵攻击的一种网络安全技术,而入侵检测系统(Intrusion Detection System, IDS)就是能够实施该功能的工具。IDS能根据入侵行为的踪迹和规律发现入侵行为,从而有效地弥补传统安全防护技术的缺陷,成为防火墙之后的又一道安全防线。 1980年4月,入侵检测概念由James P. Anderson的提出,这是第一次正式阐述了“入侵检测”这个概念。即提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。这被公认为是IDS最初的理论基础。 从1984年到1986年,斯坦福研究所的Dorothy E. Denning和Peter Neumann研制出了一个实时入侵检测系统模型,取名为IDES(Intrusion Detection Expert System,入侵检测专家系统)。它具有以下的特点,独立的特定系统平台、应用环境、系统弱点以及入侵类型,为构建IDS提供了一个
首页 上一页 1 2 3 4 5 6 7 下一页 尾页 1/8/8
