【正文】 網(wǎng)絡(luò)異常監(jiān)測(cè)的方案設(shè)計(jì)畢業(yè)論文目 錄摘 要 1ABSTRACT 21．緒論 31．1 研究背景 31．2 網(wǎng)絡(luò)異常的定義 31．3 網(wǎng)絡(luò)異常檢測(cè)的研究現(xiàn)狀 31．4 本課題的研究?jī)?nèi)容 42．網(wǎng)絡(luò)流量異常檢測(cè)技術(shù) 52．1 網(wǎng)絡(luò)流量異常檢測(cè)的意義 52．2 網(wǎng)絡(luò)流量監(jiān)測(cè)方法 52．2．1 主動(dòng)方法 52．2．2 被動(dòng)方法 62．3 網(wǎng)絡(luò)性能參數(shù)的采集方法 63．網(wǎng)絡(luò)入侵異常檢測(cè)技術(shù) 73．1 研究入侵檢測(cè)的意義 73．2 網(wǎng)絡(luò)信息安全和入侵檢測(cè) 83．2．1 網(wǎng)絡(luò)信息安全概述 83．2．2 主要的網(wǎng)絡(luò)安全威脅 93．2．3 網(wǎng)絡(luò)信息安全模型與技術(shù) 103．2．4 Linux系統(tǒng)安全性 113．3網(wǎng)絡(luò)入侵異常檢測(cè) 113．3．1入侵檢測(cè)基礎(chǔ) 113．3．2入侵檢測(cè)系統(tǒng) 124 典型的入侵檢測(cè)工具Snort 144．1 Snort的相關(guān)特性 144．2 Snort的功能架構(gòu) 144．3 Snort規(guī)則 154．3．1 規(guī)則的組成 164．3．2 規(guī)則頭 164．3．3 規(guī)則選項(xiàng) 174．3．4 一個(gè)簡(jiǎn)單的規(guī)則范例 185 Linux系統(tǒng)下搭建入侵檢測(cè)系統(tǒng)及分析 195．1 配置Snort選項(xiàng) 195．2 測(cè)試Snort 205．3 攻擊與檢測(cè)過(guò)程 205．3．1 攻擊過(guò)程 205．3．2 Snort運(yùn)行過(guò)程 215．4 檢測(cè)結(jié)果分析 216 總結(jié) 23參考文獻(xiàn) 24致謝 2526摘 要隨著信息數(shù)字時(shí)代的到來(lái)，互聯(lián)網(wǎng)飛速發(fā)展，各種新業(yè)務(wù)不斷涌現(xiàn)。隨著而來(lái)的是各種網(wǎng)絡(luò)問(wèn)題也相繼出現(xiàn)，給網(wǎng)絡(luò)檢測(cè)帶來(lái)更大的挑戰(zhàn)。網(wǎng)絡(luò)檢測(cè)的過(guò)程是：采集相關(guān)網(wǎng)絡(luò)數(shù)據(jù)，通過(guò)對(duì)數(shù)據(jù)的統(tǒng)計(jì)分析，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常情況，然后做相應(yīng)操作，比如向網(wǎng)絡(luò)管理員發(fā)出告警信息。其中網(wǎng)絡(luò)異常檢測(cè)是網(wǎng)絡(luò)檢測(cè)的核心部分，對(duì)保證網(wǎng)絡(luò)的正常運(yùn)行具有重要的意義。論文分析了當(dāng)前的網(wǎng)絡(luò)異常檢測(cè)方法，根據(jù)它們的特點(diǎn)分為網(wǎng)絡(luò)流量異常檢測(cè)方法和網(wǎng)絡(luò)入侵異常檢測(cè)方法。然后通過(guò)對(duì)這些方法的實(shí)現(xiàn)原理，計(jì)算復(fù)雜度，實(shí)現(xiàn)復(fù)雜度等的研究，總結(jié)它們的適合環(huán)境及優(yōu)缺點(diǎn)。在深入研究入侵檢測(cè)方法的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)Snort的特性、功能及規(guī)則進(jìn)行了全面詳細(xì)的研究，并在Linux系統(tǒng)環(huán)境下借助Snort搭建了一個(gè)典型的入侵檢測(cè)系統(tǒng)作為具體實(shí)例。關(guān)鍵詞： 異常檢測(cè)；網(wǎng)絡(luò)流量異常；網(wǎng)絡(luò)入侵異常；SnortABSTRACTAlong with the ing of the information ages．the network began to developrapidly．Various new services have been increasing so continuously that the networkdetection is facing serious challenges．The process of network detection is to collect the data which indicate the running status of the network and devices，to find out theanomaly phenomena of the network via the statistic and analysis of the data , and to give relevant alarms to network managers．Network anomaly detection，one of the most important segments of the network detection，is of great important to guarantee the natural running of the network。This thesis analyses the current techniques of network anomaly detection，divides them into network traffic anomalies and abnormal network intrusion according to their characteristics．After the investigation of the theory and the plexity of calculation and realization, the thesis sums up the suitable circumstances, the merits and the flaws of the technique. Indepth study of intrusion detection method based on the Network Intrusion Detection System Snort features, functions and rules of a detailed study of a prehensive and Linux system environment with a typical set up Snort intrusion detection system as a concrete example.Key words: anomaly detection。 network traffic anomalies。 abnormal network intrusion。 Snort1．緒論1．1 研究背景 隨著數(shù)字信息時(shí)代的到來(lái)，利用互聯(lián)網(wǎng)對(duì)外溝通已成為我們生活中不可缺少的一部分?；ヂ?lián)網(wǎng)與生俱有的開(kāi)放性、交互性和分散性特征，滿足了人們對(duì)信息共享、開(kāi)放、靈活和快速等的需求。隨之而來(lái)的是，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，新的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)業(yè)務(wù)出現(xiàn)。根據(jù)中國(guó)互聯(lián)網(wǎng)信息中心(CNNIC)于2009年1月發(fā)布的《第23次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》[1]顯示：截止到2008年底，我國(guó)上網(wǎng)用戶總?cè)藬?shù)為2。98億人，較2007年增長(zhǎng)41。9%。報(bào)告中的數(shù)據(jù)說(shuō)明，網(wǎng)絡(luò)正滲透到人們生活、工作和學(xué)習(xí)的各個(gè)方面，起著越來(lái)越重要的作用。然而在互聯(lián)網(wǎng)飛速發(fā)展的同時(shí)，各種網(wǎng)絡(luò)安全問(wèn)題也不斷涌現(xiàn)。隨著網(wǎng)絡(luò)技術(shù)的不斷更新，各種網(wǎng)絡(luò)攻擊技術(shù)也越來(lái)越隱蔽，危害性也越來(lái)越大。而且由于網(wǎng)絡(luò)上承載的業(yè)務(wù)種類越來(lái)越多，網(wǎng)絡(luò)出現(xiàn)各種故障和性能問(wèn)題的可能性大大增加，而用戶又要求更高更好的服務(wù)質(zhì)量。因此對(duì)于網(wǎng)絡(luò)管理者來(lái)說(shuō)，如何保護(hù)網(wǎng)絡(luò)不受攻擊，如何及時(shí)發(fā)現(xiàn)各種網(wǎng)絡(luò)故障，保證網(wǎng)絡(luò)能夠提供正常的服務(wù)，成為當(dāng)務(wù)之急。小區(qū)網(wǎng)作為一種大型局域網(wǎng)，擁有大量的居民用戶，擔(dān)負(fù)著為他們提供各種服務(wù)的責(zé)任和義務(wù)。因此，做好校園網(wǎng)絡(luò)的管理工作具有非常重要的意義。小區(qū)網(wǎng)管理工作的一個(gè)主要內(nèi)容就是網(wǎng)絡(luò)異常監(jiān)測(cè)。網(wǎng)絡(luò)異常監(jiān)測(cè)的目的是通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)運(yùn)行狀況的連續(xù)監(jiān)測(cè)，及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況，并發(fā)出報(bào)警通知，以提醒網(wǎng)管人員采取必要的措施。1．2 網(wǎng)絡(luò)異常的定義1990年，R。A。Maxion(Carnegie Mellon University)對(duì)網(wǎng)絡(luò)的“正?！焙汀爱惓！苯o出如下描述：“正?！币馕吨夏撤N常規(guī)或典型的模式，以一種自然的方式——常規(guī)的或所預(yù)料的狀態(tài)、形勢(shì)、數(shù)量或成都發(fā)生，“正?！睆?qiáng)調(diào)某種已經(jīng)建立的水準(zhǔn)或模式，并保持良好狀態(tài)，是建立在一定趨勢(shì)基礎(chǔ)上的；“異?！眲t意味著違反了這種期望，與期望的情形有一定程度的偏差[2,3]。但是，由于網(wǎng)絡(luò)是不斷變化的，而且網(wǎng)絡(luò)中存在一些噪音和不穩(wěn)定性，所以“正?！毙袨榈母拍畈粦?yīng)該保持不變，必須隨著網(wǎng)絡(luò)環(huán)境的改變而改變。網(wǎng)絡(luò)異常通常意味著網(wǎng)絡(luò)的性能或流量等出現(xiàn)異常。1．3 網(wǎng)絡(luò)異常檢測(cè)的研究現(xiàn)狀 目前，在網(wǎng)絡(luò)管理和網(wǎng)絡(luò)異常監(jiān)測(cè)方面，主要有兩種途徑： 1)網(wǎng)絡(luò)流量異常檢測(cè)技術(shù)，通過(guò)對(duì)網(wǎng)絡(luò)流量的規(guī)律進(jìn)行研究實(shí)現(xiàn)異常檢測(cè)。主要步驟是：首先，采集出各種流量信息，通過(guò)對(duì)各種流量信息的分析，提取出有用的信息；其次，建立正常行為的流量模型；通過(guò)這些流量模型，對(duì)下一步網(wǎng)絡(luò)流量進(jìn)行預(yù)測(cè)，進(jìn)而發(fā)現(xiàn)網(wǎng)絡(luò)異常。2)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)，通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)，違反安全策略的行為有入侵和濫用。比較以上兩種方法，發(fā)現(xiàn)：第一種方法是對(duì)流量信息做研究，而取得流量信息的途徑有很多；流量模型的建立，根據(jù)具體網(wǎng)絡(luò)環(huán)境的不同而不同，因此目前還沒(méi)有一致的看法。第二種方法是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的過(guò)程，具有智能監(jiān)控、實(shí)時(shí)探測(cè)、動(dòng)態(tài)響應(yīng)、易于配置等特點(diǎn)。傳統(tǒng)安全機(jī)制大多針對(duì)的是外部入侵者，而入侵檢測(cè)不僅可以檢測(cè)來(lái)自外部的攻擊，同時(shí)也可以監(jiān)控內(nèi)部用戶的非授權(quán)行為。由于本論文是在小區(qū)網(wǎng)這個(gè)特定的局域網(wǎng)環(huán)境中進(jìn)行的，作為整個(gè)小區(qū)網(wǎng)的管理者和維護(hù)者，除了要防范外部的入侵者，還需要監(jiān)控內(nèi)部用戶的非授權(quán)行為。通過(guò)上述分析， 本文將研究重點(diǎn)放在了第二種方法上。1．4 本課題的研究?jī)?nèi)容 本文主要討論了對(duì)網(wǎng)絡(luò)流量異常和網(wǎng)絡(luò)入侵異常的檢測(cè)方法，著重于網(wǎng)絡(luò)入侵異常的檢測(cè)方法，最后利用Snort軟件在Linux系統(tǒng)中搭建了一個(gè)入侵檢測(cè)系統(tǒng)并分析其結(jié)果。 本論文內(nèi)容安排如下： 第一章：討論了網(wǎng)絡(luò)異常檢測(cè)的相關(guān)知識(shí)，然后介紹了本論文的內(nèi)容安排和所做的主要工作。 第二章：對(duì)網(wǎng)絡(luò)異常檢測(cè)的一個(gè)方面——網(wǎng)絡(luò)流量異常檢測(cè)做了詳細(xì)的探究，討論了現(xiàn)在網(wǎng)絡(luò)流量異常檢測(cè)方法的主要方向，并分析了各方法所用的部分軟件。第三章：這是本文研究的一個(gè)重點(diǎn)，對(duì)網(wǎng)絡(luò)入侵異常檢測(cè)與網(wǎng)絡(luò)信息安全做了充分的討論， 分析了當(dāng)今主要的網(wǎng)絡(luò)安全威脅，最后簡(jiǎn)要介紹Linux系統(tǒng)的相關(guān)知識(shí)。第四章：簡(jiǎn)要分析了一個(gè)典型的入侵檢測(cè)系統(tǒng)Snort軟件，討論了Snort軟件的相關(guān)特性、功能架構(gòu)以及規(guī)則。第五章：在Linux環(huán)境中以Snort軟件搭建了一個(gè)入侵檢測(cè)系統(tǒng)，并分析了實(shí)驗(yàn)結(jié)果。2．網(wǎng)絡(luò)流量異常檢測(cè)技術(shù)2．1 網(wǎng)絡(luò)流量異常檢測(cè)的意義 伴隨著Internet技術(shù)的逐漸成熟和網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)的飛速發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜化和用戶的增多給網(wǎng)絡(luò)管理、維護(hù)和檢測(cè)技術(shù)帶來(lái)很大的難度。盡管相關(guān)的組網(wǎng)與管理技術(shù)在不斷地完善，但是互聯(lián)網(wǎng)絡(luò)體系結(jié)構(gòu)的不斷復(fù)雜化，也使得人們對(duì)它在局部和整體范圍內(nèi)所體現(xiàn)出的行為特征依然沒(méi)有一個(gè)正確和完整的認(rèn)識(shí)，并使得人們對(duì)網(wǎng)絡(luò)的運(yùn)行控制、管理維護(hù)、分析設(shè)計(jì)日趨困難，因此網(wǎng)絡(luò)行為研究應(yīng)運(yùn)而生。網(wǎng)絡(luò)流量檢測(cè)是一個(gè)從網(wǎng)絡(luò)設(shè)備上采集數(shù)據(jù)、解碼數(shù)據(jù)、分析數(shù)據(jù)的過(guò)程。它從網(wǎng)絡(luò)中采集一些具體的指標(biāo)性數(shù)據(jù)，并反饋給監(jiān)測(cè)者。這些數(shù)據(jù)對(duì)網(wǎng)絡(luò)的資源分布、容量規(guī)劃、服務(wù)質(zhì)量分析、錯(cuò)誤監(jiān)測(cè)與隔離、安全管理都十分重要。這些數(shù)據(jù)可以用來(lái)作為分析網(wǎng)絡(luò)性能、了解網(wǎng)絡(luò)運(yùn)行動(dòng)態(tài)、診斷可能存在的問(wèn)題，甚至預(yù)測(cè)可能出現(xiàn)的問(wèn)題。網(wǎng)絡(luò)流量檢測(cè)是網(wǎng)絡(luò)管理和系統(tǒng)管理的一個(gè)重要組成部分，為網(wǎng)絡(luò)的運(yùn)行和維護(hù)提供了重要信息，在網(wǎng)絡(luò)性能分析、異常檢測(cè)、鏈路狀態(tài)監(jiān)測(cè)、容量規(guī)劃等方面發(fā)揮著重要作用，同時(shí)也是網(wǎng)絡(luò)流量具體建模、分析的必要前提和手段。2．2 網(wǎng)絡(luò)流量監(jiān)測(cè)方法 網(wǎng)絡(luò)性能監(jiān)測(cè)按采集流量數(shù)據(jù)