【正文】 網(wǎng)絡(luò)異常監(jiān)測的方案設(shè)計畢業(yè)論文目 錄摘 要 1ABSTRACT 21．緒論 31．1 研究背景 31．2 網(wǎng)絡(luò)異常的定義 31．3 網(wǎng)絡(luò)異常檢測的研究現(xiàn)狀 31．4 本課題的研究內(nèi)容 42．網(wǎng)絡(luò)流量異常檢測技術(shù) 52．1 網(wǎng)絡(luò)流量異常檢測的意義 52．2 網(wǎng)絡(luò)流量監(jiān)測方法 52．2．1 主動方法 52．2．2 被動方法 62．3 網(wǎng)絡(luò)性能參數(shù)的采集方法 63．網(wǎng)絡(luò)入侵異常檢測技術(shù) 73．1 研究入侵檢測的意義 73．2 網(wǎng)絡(luò)信息安全和入侵檢測 83．2．1 網(wǎng)絡(luò)信息安全概述 83．2．2 主要的網(wǎng)絡(luò)安全威脅 93．2．3 網(wǎng)絡(luò)信息安全模型與技術(shù) 103．2．4 Linux系統(tǒng)安全性 113．3網(wǎng)絡(luò)入侵異常檢測 113．3．1入侵檢測基礎(chǔ) 113．3．2入侵檢測系統(tǒng) 124 典型的入侵檢測工具Snort 144．1 Snort的相關(guān)特性 144．2 Snort的功能架構(gòu) 144．3 Snort規(guī)則 154．3．1 規(guī)則的組成 164．3．2 規(guī)則頭 164．3．3 規(guī)則選項 174．3．4 一個簡單的規(guī)則范例 185 Linux系統(tǒng)下搭建入侵檢測系統(tǒng)及分析 195．1 配置Snort選項 195．2 測試Snort 205．3 攻擊與檢測過程 205．3．1 攻擊過程 205．3．2 Snort運行過程 215．4 檢測結(jié)果分析 216 總結(jié) 23參考文獻 24致謝 2526摘 要隨著信息數(shù)字時代的到來，互聯(lián)網(wǎng)飛速發(fā)展，各種新業(yè)務(wù)不斷涌現(xiàn)。隨著而來的是各種網(wǎng)絡(luò)問題也相繼出現(xiàn)，給網(wǎng)絡(luò)檢測帶來更大的挑戰(zhàn)。網(wǎng)絡(luò)檢測的過程是：采集相關(guān)網(wǎng)絡(luò)數(shù)據(jù)，通過對數(shù)據(jù)的統(tǒng)計分析，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常情況，然后做相應(yīng)操作，比如向網(wǎng)絡(luò)管理員發(fā)出告警信息。其中網(wǎng)絡(luò)異常檢測是網(wǎng)絡(luò)檢測的核心部分，對保證網(wǎng)絡(luò)的正常運行具有重要的意義。論文分析了當前的網(wǎng)絡(luò)異常檢測方法，根據(jù)它們的特點分為網(wǎng)絡(luò)流量異常檢測方法和網(wǎng)絡(luò)入侵異常檢測方法。然后通過對這些方法的實現(xiàn)原理，計算復(fù)雜度，實現(xiàn)復(fù)雜度等的研究，總結(jié)它們的適合環(huán)境及優(yōu)缺點。在深入研究入侵檢測方法的基礎(chǔ)上，對網(wǎng)絡(luò)入侵檢測系統(tǒng)Snort的特性、功能及規(guī)則進行了全面詳細的研究，并在Linux系統(tǒng)環(huán)境下借助Snort搭建了一個典型的入侵檢測系統(tǒng)作為具體實例。關(guān)鍵詞： 異常檢測；網(wǎng)絡(luò)流量異常；網(wǎng)絡(luò)入侵異常；SnortABSTRACTAlong with the ing of the information ages．the network began to developrapidly．Various new services have been increasing so continuously that the networkdetection is facing serious challenges．The process of network detection is to collect the data which indicate the running status of the network and devices，to find out theanomaly phenomena of the network via the statistic and analysis of the data , and to give relevant alarms to network managers．Network anomaly detection，one of the most important segments of the network detection，is of great important to guarantee the natural running of the network。This thesis analyses the current techniques of network anomaly detection，divides them into network traffic anomalies and abnormal network intrusion according to their characteristics．After the investigation of the theory and the plexity of calculation and realization, the thesis sums up the suitable circumstances, the merits and the flaws of the technique. Indepth study of intrusion detection method based on the Network Intrusion Detection System Snort features, functions and rules of a detailed study of a prehensive and Linux system environment with a typical set up Snort intrusion detection system as a concrete example.Key words: anomaly detection。 network traffic anomalies。 abnormal network intrusion。 Snort1．緒論1．1 研究背景 隨著數(shù)字信息時代的到來，利用互聯(lián)網(wǎng)對外溝通已成為我們生活中不可缺少的一部分。互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征，滿足了人們對信息共享、開放、靈活和快速等的需求。隨之而來的是，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，網(wǎng)絡(luò)規(guī)模不斷擴大，新的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)業(yè)務(wù)出現(xiàn)。根據(jù)中國互聯(lián)網(wǎng)信息中心(CNNIC)于2009年1月發(fā)布的《第23次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》[1]顯示：截止到2008年底，我國上網(wǎng)用戶總?cè)藬?shù)為2。98億人，較2007年增長41。9%。報告中的數(shù)據(jù)說明，網(wǎng)絡(luò)正滲透到人們生活、工作和學(xué)習的各個方面，起著越來越重要的作用。然而在互聯(lián)網(wǎng)飛速發(fā)展的同時，各種網(wǎng)絡(luò)安全問題也不斷涌現(xiàn)。隨著網(wǎng)絡(luò)技術(shù)的不斷更新，各種網(wǎng)絡(luò)攻擊技術(shù)也越來越隱蔽，危害性也越來越大。而且由于網(wǎng)絡(luò)上承載的業(yè)務(wù)種類越來越多，網(wǎng)絡(luò)出現(xiàn)各種故障和性能問題的可能性大大增加，而用戶又要求更高更好的服務(wù)質(zhì)量。因此對于網(wǎng)絡(luò)管理者來說，如何保護網(wǎng)絡(luò)不受攻擊，如何及時發(fā)現(xiàn)各種網(wǎng)絡(luò)故障，保證網(wǎng)絡(luò)能夠提供正常的服務(wù)，成為當務(wù)之急。小區(qū)網(wǎng)作為一種大型局域網(wǎng)，擁有大量的居民用戶，擔負著為他們提供各種服務(wù)的責任和義務(wù)。因此，做好校園網(wǎng)絡(luò)的管理工作具有非常重要的意義。小區(qū)網(wǎng)管理工作的一個主要內(nèi)容就是網(wǎng)絡(luò)異常監(jiān)測。網(wǎng)絡(luò)異常監(jiān)測的目的是通過對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)運行狀況的連續(xù)監(jiān)測，及時地發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況，并發(fā)出報警通知，以提醒網(wǎng)管人員采取必要的措施。1．2 網(wǎng)絡(luò)異常的定義1990年，R。A。Maxion(Carnegie Mellon University)對網(wǎng)絡(luò)的“正?！焙汀爱惓！苯o出如下描述：“正?！币馕吨夏撤N常規(guī)或典型的模式，以一種自然的方式——常規(guī)的或所預(yù)料的狀態(tài)、形勢、數(shù)量或成都發(fā)生，“正常”強調(diào)某種已經(jīng)建立的水準或模式，并保持良好狀態(tài)，是建立在一定趨勢基礎(chǔ)上的；“異常”則意味著違反了這種期望，與期望的情形有一定程度的偏差[2,3]。但是，由于網(wǎng)絡(luò)是不斷變化的，而且網(wǎng)絡(luò)中存在一些噪音和不穩(wěn)定性，所以“正?！毙袨榈母拍畈粦?yīng)該保持不變，必須隨著網(wǎng)絡(luò)環(huán)境的改變而改變。網(wǎng)絡(luò)異常通常意味著網(wǎng)絡(luò)的性能或流量等出現(xiàn)異常。1．3 網(wǎng)絡(luò)異常檢測的研究現(xiàn)狀 目前，在網(wǎng)絡(luò)管理和網(wǎng)絡(luò)異常監(jiān)測方面，主要有兩種途徑： 1)網(wǎng)絡(luò)流量異常檢測技術(shù)，通過對網(wǎng)絡(luò)流量的規(guī)律進行研究實現(xiàn)異常檢測。主要步驟是：首先，采集出各種流量信息，通過對各種流量信息的分析，提取出有用的信息；其次，建立正常行為的流量模型；通過這些流量模型，對下一步網(wǎng)絡(luò)流量進行預(yù)測，進而發(fā)現(xiàn)網(wǎng)絡(luò)異常。2)網(wǎng)絡(luò)入侵檢測技術(shù)，通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)，違反安全策略的行為有入侵和濫用。比較以上兩種方法，發(fā)現(xiàn)：第一種方法是對流量信息做研究，而取得流量信息的途徑有很多；流量模型的建立，根據(jù)具體網(wǎng)絡(luò)環(huán)境的不同而不同，因此目前還沒有一致的看法。第二種方法是對計算機和網(wǎng)絡(luò)資源上的惡意使用行為進行識別和相應(yīng)處理的過程，具有智能監(jiān)控、實時探測、動態(tài)響應(yīng)、易于配置等特點。傳統(tǒng)安全機制大多針對的是外部入侵者，而入侵檢測不僅可以檢測來自外部的攻擊，同時也可以監(jiān)控內(nèi)部用戶的非授權(quán)行為。由于本論文是在小區(qū)網(wǎng)這個特定的局域網(wǎng)環(huán)境中進行的，作為整個小區(qū)網(wǎng)的管理者和維護者，除了要防范外部的入侵者，還需要監(jiān)控內(nèi)部用戶的非授權(quán)行為。通過上述分析， 本文將研究重點放在了第二種方法上。1．4 本課題的研究內(nèi)容 本文主要討論了對網(wǎng)絡(luò)流量異常和網(wǎng)絡(luò)入侵異常的檢測方法，著重于網(wǎng)絡(luò)入侵異常的檢測方法，最后利用Snort軟件在Linux系統(tǒng)中搭建了一個入侵檢測系統(tǒng)并分析其結(jié)果。 本論文內(nèi)容安排如下： 第一章：討論了網(wǎng)絡(luò)異常檢測的相關(guān)知識，然后介紹了本論文的內(nèi)容安排和所做的主要工作。 第二章：對網(wǎng)絡(luò)異常檢測的一個方面——網(wǎng)絡(luò)流量異常檢測做了詳細的探究，討論了現(xiàn)在網(wǎng)絡(luò)流量異常檢測方法的主要方向，并分析了各方法所用的部分軟件。第三章：這是本文研究的一個重點，對網(wǎng)絡(luò)入侵異常檢測與網(wǎng)絡(luò)信息安全做了充分的討論， 分析了當今主要的網(wǎng)絡(luò)安全威脅，最后簡要介紹Linux系統(tǒng)的相關(guān)知識。第四章：簡要分析了一個典型的入侵檢測系統(tǒng)Snort軟件，討論了Snort軟件的相關(guān)特性、功能架構(gòu)以及規(guī)則。第五章：在Linux環(huán)境中以Snort軟件搭建了一個入侵檢測系統(tǒng)，并分析了實驗結(jié)果。2．網(wǎng)絡(luò)流量異常檢測技術(shù)2．1 網(wǎng)絡(luò)流量異常檢測的意義 伴隨著Internet技術(shù)的逐漸成熟和網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)的飛速發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜化和用戶的增多給網(wǎng)絡(luò)管理、維護和檢測技術(shù)帶來很大的難度。盡管相關(guān)的組網(wǎng)與管理技術(shù)在不斷地完善，但是互聯(lián)網(wǎng)絡(luò)體系結(jié)構(gòu)的不斷復(fù)雜化，也使得人們對它在局部和整體范圍內(nèi)所體現(xiàn)出的行為特征依然沒有一個正確和完整的認識，并使得人們對網(wǎng)絡(luò)的運行控制、管理維護、分析設(shè)計日趨困難，因此網(wǎng)絡(luò)行為研究應(yīng)運而生。網(wǎng)絡(luò)流量檢測是一個從網(wǎng)絡(luò)設(shè)備上采集數(shù)據(jù)、解碼數(shù)據(jù)、分析數(shù)據(jù)的過程。它從網(wǎng)絡(luò)中采集一些具體的指標性數(shù)據(jù)，并反饋給監(jiān)測者。這些數(shù)據(jù)對網(wǎng)絡(luò)的資源分布、容量規(guī)劃、服務(wù)質(zhì)量分析、錯誤監(jiān)測與隔離、安全管理都十分重要。這些數(shù)據(jù)可以用來作為分析網(wǎng)絡(luò)性能、了解網(wǎng)絡(luò)運行動態(tài)、診斷可能存在的問題，甚至預(yù)測可能出現(xiàn)的問題。網(wǎng)絡(luò)流量檢測是網(wǎng)絡(luò)管理和系統(tǒng)管理的一個重要組成部分，為網(wǎng)絡(luò)的運行和維護提供了重要信息，在網(wǎng)絡(luò)性能分析、異常檢測、鏈路狀態(tài)監(jiān)測、容量規(guī)劃等方面發(fā)揮著重要作用，同時也是網(wǎng)絡(luò)流量具體建模、分析的必要前提和手段。2．2 網(wǎng)絡(luò)流量監(jiān)測方法 網(wǎng)絡(luò)性能監(jiān)測按采集流量數(shù)據(jù)