【正文】 畢業(yè)設計（論文）：入侵檢測系統(tǒng)（ IDS）分析及其在 linux下的實現(xiàn) 第 1 頁 共 2 1 頁 目 錄 第一章 入侵檢測系統(tǒng)簡介 ........................................ 2 第二章 入侵檢測系統(tǒng)模型 ........................................ 3 CIDF 模型 ...................................................... 3 IDS 分類 ....................................................... 3 通信協(xié)議 ...................................................... 5 入侵檢測技術 .................................................. 5 第三章 LINUX 下的實現(xiàn) ........................................... 6 系統(tǒng)框架 ...................................................... 6 各部分的實現(xiàn)流程及重要問題說明 ................................ 7 數(shù)據(jù)采集部分 .............................................. 7 .................................................. 8 控制 臺 ................................................... 10 未完成部分 ................................................... 12 性能參考 ..................................................... 12 第四章 存在的問題 ............................................. 12 第五章 結論 .................................................. 14 附錄 ......................................................... 15 ........................................... 15 ................................................... 18 參考文獻 ..................................................... 20 畢業(yè)設計（論文）：入侵檢測系統(tǒng)（ IDS）分析及其在 linux下的實現(xiàn) 第 2 頁 共 2 1 頁 第一章 入侵檢測系統(tǒng)簡介 當越來越多的公司將其核心業(yè)務向互聯(lián)網(wǎng)轉(zhuǎn)移的時候，網(wǎng)絡安全作為一個無法回避的問題呈現(xiàn)在人們面前。傳統(tǒng)上，公司一般采用防火墻作為安全的第一道防線。而隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復雜多樣，單純的防火墻策略已經(jīng)無法滿足對安全高度敏感的部門的需要，網(wǎng)絡的防衛(wèi)必須采用一種縱深的、多樣的手段。與此同時，當今的網(wǎng) 絡環(huán)境也變得越來越復雜，各式各樣的復雜的設備，需要不斷升級、補漏的系統(tǒng)使得網(wǎng)絡管理員的工作不斷加重，不經(jīng)意的疏忽便有可能造成安全的重大隱患。在這種環(huán)境下，入侵檢測系統(tǒng)成為了安全市場上新的熱點，不僅愈來愈多的受到人們的關注，而且已經(jīng)開始在各種不同的環(huán)境中發(fā)揮其關鍵作用。 本文中的“入侵”（ Intrusion）是個廣義的概念，不僅包括被發(fā)起攻擊的人（如惡意的黑客）取得超出合法范圍的系統(tǒng)控制權，也包括收集漏洞信息，造成拒絕訪問（ Denial of Service）等對計算機系統(tǒng)造成危害的行為。 入侵檢測（ Intrusion Detection），顧名思義，便是對入侵行為的發(fā)覺。它通過對計算機網(wǎng)絡或計算機系統(tǒng)中得若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（ Intrusion Detection System,簡稱 IDS）。與其他安全產(chǎn)品不同的是，入侵檢測系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進行分析，并得出有用的結果。一個合格的入侵檢測系統(tǒng)能大大的簡化管理員的工作，保證網(wǎng)絡安全的運行。 具體說來，入侵檢測系統(tǒng)的主要功 能有（ [2]）： ； ； ； ； ； ，并識別違反安全策略的用戶活動。 由于入侵檢測系統(tǒng)的市場在近幾年中飛速發(fā)展，許多公司投入到這一領域上來。 ISS、 axent、 NFR、 cisco 等公司都推出了自己相應的產(chǎn)品（國內(nèi)目前還沒有成熟的產(chǎn)品出現(xiàn)）。但就目前而言，入侵檢測系統(tǒng)還缺乏相應的標準。目前，試圖對 IDS 進行標準化的工作有兩個組織： IETF 的 Intrusion Detection Working Group (idwg)和 Common Intrusion Detection Framework (CIDF)，但進展非常緩慢，尚沒有被廣泛接收的標準出臺。 畢業(yè)設計（論文）：入侵檢測系統(tǒng)（ IDS）分析及其在 linux下的實現(xiàn) 第 3 頁 共 2 1 頁 第二章 入侵檢測系統(tǒng)模型 CIDF 模型 Common Intrusion Detection Framework (CIDF)（ 闡述了一個入侵檢測系統(tǒng)（ IDS）的通用模型。它將一個入 侵檢測系統(tǒng)分為以下組件： ? 事件產(chǎn)生器（ Event generators） ? 事件分析器（ Event analyzers ? 響應單元（ Response units ） ? 事件數(shù)據(jù)庫（ Event databases ） CIDF 將 IDS 需要分析的數(shù)據(jù)統(tǒng)稱為事件（ event） ,它可以是網(wǎng)絡中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他途徑得到的信息。 事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結果。響應單元則是對分析結果作出作出反應的功能單元，它可以作出切斷連 接、改變文件屬性等強烈反應，也可以只是簡單的報警。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復雜的數(shù)據(jù)庫，也可以是簡單的文本文件。 在這個模型中，前三者以程序的形式出現(xiàn)，而最后一個則往往是文件或數(shù)據(jù)流的形式。 在其他文章中，經(jīng)常用數(shù)據(jù)采集部分、分析部分和控制臺部分來分別代替事件產(chǎn)生器、事件分析器和響應單元這些術語。且常用日志來簡單的指代事件數(shù)據(jù)庫。如不特別指明，本文中兩套術語意義相同。 IDS 分類 一般來說，入侵檢測系統(tǒng)可分為主機型和網(wǎng)絡型。 主機型入侵檢測系統(tǒng)往往以系統(tǒng)日志、應用程序 日志等作為數(shù)據(jù)源，當然也可以通過其他手段（如監(jiān)督系統(tǒng)調(diào)用）從所在的主機收集信息進行分析。主機型入侵檢測系統(tǒng)保護的一般是所在的系統(tǒng)。 網(wǎng)絡型入侵檢測系統(tǒng)的數(shù)據(jù)源則是網(wǎng)絡上的數(shù)據(jù)包。往往將一臺機子的網(wǎng)卡設于混雜模式（ promisc mode） ,監(jiān)聽所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進行判斷。一般網(wǎng)絡型入侵檢測系統(tǒng)擔負著保護整個網(wǎng)段的任務。 不難看出，網(wǎng)絡型 IDS 的優(yōu)點主要是簡便：一個網(wǎng)段上只需安裝一個或幾個這樣的系統(tǒng)，便可以監(jiān)測整個網(wǎng)段的情況。且由于往往分出單獨的計算機做這種應用，不會給運行關鍵業(yè)務的主機帶來負載上的增加。 但由于現(xiàn)在網(wǎng)絡的日趨復雜和高速網(wǎng)絡的普及，這種結構正受到越來越大的挑戰(zhàn)。一個典型的例子便是交換式以太網(wǎng)。 而盡管主機型 IDS 的缺點顯而易見：必須為不同平臺開發(fā)不同的程序、增加畢業(yè)設計（論文）：入侵檢測系統(tǒng)（ IDS）分析及其在 linux下的實現(xiàn) 第 4 頁 共 2 1 頁 系統(tǒng)負荷、所需安裝數(shù)量眾多等，但是內(nèi)在結構卻沒有任何束縛，同時可以利用操作系統(tǒng)本身提供的功能、并結合異常分析，更準確的報告攻擊行為。參考文獻[7]對此做了描述，感興趣的讀者可參看。 入侵檢測系統(tǒng)的幾個部件往往位于不同的主機上。一般來說會有三臺機器，分別運行事件產(chǎn)生器、事件分析器和響應單元。 waRcher 將前兩者合在了一起，因此只需兩臺。 在安裝 IDS 的時候