【正文】 基于代理的入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)摘 要入侵檢測(cè)系統(tǒng)在如今的網(wǎng)絡(luò)安全領(lǐng)域已經(jīng)成為一個(gè)關(guān)鍵性的組件，但傳統(tǒng)的入侵檢測(cè)系統(tǒng)存在的一定的不足，如誤報(bào)率和漏報(bào)率比較高，檢測(cè)速度慢，占用資源多等。為了適應(yīng)網(wǎng)絡(luò)安全的發(fā)展需求，針對(duì)現(xiàn)有的入侵檢測(cè)系統(tǒng)，結(jié)合移動(dòng)代理技術(shù)，提出了基于移動(dòng)代理的分布式入侵檢測(cè)模型。本文首先分析了當(dāng)今網(wǎng)絡(luò)安全的現(xiàn)狀和存在的問題，指出了傳統(tǒng)的入侵檢測(cè)系統(tǒng)的局限性，并闡述了入侵檢測(cè)技術(shù)的發(fā)展歷史和研究現(xiàn)狀。然后講敘了分布式入侵檢測(cè)模型的構(gòu)成，在該模型各個(gè)分布節(jié)點(diǎn)上使用Snort抓取網(wǎng)絡(luò)數(shù)據(jù)包，并記錄可疑攻擊數(shù)據(jù)，通過移動(dòng)代理技術(shù)對(duì)可疑數(shù)據(jù)融合后進(jìn)行綜合分析，完成對(duì)分布式入侵的檢測(cè)功能。該模型在windows環(huán)境下實(shí)現(xiàn)，采用日本IBM公司的代理移動(dòng)代理環(huán)境，結(jié)合Snort入侵檢測(cè)系統(tǒng)，利用JAVA語言編程，實(shí)現(xiàn)從可疑數(shù)據(jù)中，分析出攻擊行為，并自動(dòng)添加相應(yīng)規(guī)則，增強(qiáng)對(duì)網(wǎng)絡(luò)的保護(hù)能力。關(guān)鍵字：分布式；移動(dòng)代理；入侵檢測(cè)；Snort；代理The Realization of Intrusion Detection System Based on Agent AbstractToday, intrusion detection system has bee a key part of the area of the network security, but there still has some disadvantages in traditional intrusion detection systems, such as the high false positive rate and the high false negative rate，the slowly speed of detection, taking up a lot of resources and so on. In order to meet the demands of the network secure development, the thesis provides the mode of distributed intrusion detection system based on mobile Agent technology according to nowadays intrusion detection system.First of all, the status and existed problems about the security of network is analyzed in this thesis, which points out the limitations of the traditional intrusion detection systems, and gives detail descriptions of the development history and the research status of the intrusion detection technology. Second, the thesis describes the mode of the distributed intrusion detection system based on mobile Agent technology. In this mode Snort is used on the distributed nodes to grasp the network data packets, and record the suspicious data. The system realizes the general analysis on fused suspicious data collected by the mobile Agent technology. This system is realized in the windows operation system, which adopts the Agent mobile Agent belonged to the Japanese IBM pany and bined with snort intrusion detection system. The system developed in java language analyzes the intrusion behavior, increases the rules automatically, and strengthens the ability of protection to the network.Key words: distributed。 mobile Agent。 intrusion detection。 Snort。 Agent目 錄1 引言 1 緒論 1 研究現(xiàn)狀 1 本文主要內(nèi)容 22 入侵檢測(cè)和移動(dòng)代理技術(shù) 2 入侵檢測(cè)技術(shù) 2 入侵檢測(cè)概述 2 入侵檢測(cè)的分類 3 人侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì) 4 移動(dòng)代理技術(shù) 5 移動(dòng)代理 5 移動(dòng)代理與入侵檢測(cè)系統(tǒng)結(jié)合的優(yōu)勢(shì) 53 基于移動(dòng)代理的分布式的入侵檢測(cè)模型 5 傳統(tǒng)的入侵檢測(cè)系統(tǒng)缺陷 5 基于移動(dòng)代理的分布式入侵檢測(cè)系統(tǒng) 6 系統(tǒng)設(shè)計(jì)目標(biāo) 6 系統(tǒng)模型設(shè)計(jì) 6 系統(tǒng)主要部件介紹 7 移動(dòng)代理環(huán)境 7 數(shù)據(jù)收集 7 模型的工作機(jī)理 7 本模型的優(yōu)缺點(diǎn)分析 7 分布式攻擊檢測(cè)實(shí)例 8 DoorKnob攻擊基本原理 8 檢測(cè)過程 84 系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn) 9 移動(dòng)代理代理系統(tǒng)介紹和配置 9 代理系統(tǒng)架構(gòu) 9 代理功能模型 10 代理安裝與配置 10 Snort介紹與配置 11 Snort的簡介 11 Snort系統(tǒng)組成 12 Snort的安裝 12 Snort的配置 12 Snort數(shù)據(jù)庫的配置 13 Snort網(wǎng)絡(luò)入侵檢測(cè)的使用 13 系統(tǒng)平臺(tái)的其他重要配置 14 系統(tǒng)實(shí)現(xiàn)技術(shù) 15 入侵檢測(cè)數(shù)據(jù)收集 15 具體實(shí)現(xiàn)中采用的關(guān)鍵技術(shù) 15 代碼分析模塊 15 下一步工作 23結(jié) 論 23參考文獻(xiàn) 24致 謝 25聲 明 261 引言 緒論隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展和應(yīng)用，人們對(duì)網(wǎng)絡(luò)和計(jì)算機(jī)的依賴也越來越大。目前, Internet已經(jīng)成為世界上規(guī)模最大、用戶最多、影響最廣泛的網(wǎng)絡(luò)。它遍及全球180個(gè)國家，包括60多萬個(gè)網(wǎng)絡(luò)，為用戶提供各種信息服務(wù)，以及傳播科研、教育、商業(yè)和社會(huì)信息最主要的渠道。它豐富了人們的文化生話，滿足了人們?nèi)找嬖鲩L的信息需求。但是網(wǎng)絡(luò)病毒的泛濫、保密信息的泄露、計(jì)算機(jī)黑客入侵，使得網(wǎng)絡(luò)信息安全問題日益突出。不僅給企業(yè)和個(gè)人造成巨大的經(jīng)濟(jì)損失，嚴(yán)重的甚至威脅著國家政治、經(jīng)濟(jì)和軍事的安全。根據(jù)美國FBI統(tǒng)計(jì)，美國每年因網(wǎng)絡(luò)安全所造成的經(jīng)濟(jì)損失高達(dá)75億美元，而全球平均每20秒鐘就有一起Internet計(jì)算機(jī)侵入事件。因此，確保計(jì)算機(jī)和數(shù)據(jù)通信網(wǎng)絡(luò)的安全成為世人關(guān)注的社會(huì)問題，成為計(jì)算機(jī)科學(xué)技術(shù)的熱點(diǎn)領(lǐng)域。目前，要解決系統(tǒng)得安全問題，最直接的一個(gè)想法就是重新設(shè)計(jì)并構(gòu)建新的計(jì)算機(jī)系統(tǒng)，但這在現(xiàn)實(shí)的實(shí)踐中，是不可行的。Miller給出一份關(guān)于現(xiàn)今流行的操作系統(tǒng)和應(yīng)用程序研究報(bào)告，指出不可能出現(xiàn)沒有缺陷軟件，即使再好的軟件技術(shù)也無法消除漏洞的出現(xiàn)。其次，要花很長的時(shí)間將如今帶有安全缺陷的系統(tǒng)轉(zhuǎn)換成安全系統(tǒng)。第三，如今加密技術(shù)方法還不完善。第四，安全訪問控制等級(jí)和用戶的使用效率成反比。第五，訪問控制和保護(hù)模型本身存在一定的問題。第六，在軟件工程中存在軟件測(cè)試不充足、軟件生命周期縮短、大型軟件復(fù)雜性等難以解決的問題。面對(duì)以上的問題，可行的解決辦法是：建立容易實(shí)現(xiàn)的系統(tǒng)，并根據(jù)相應(yīng)得策略建立其輔助系統(tǒng)，以增強(qiáng)網(wǎng)絡(luò)的安全性。 研究現(xiàn)狀近年來，從事計(jì)算機(jī)網(wǎng)絡(luò)安全的人員，通過對(duì)信息系統(tǒng)服務(wù)、傳輸媒介和協(xié)議的深入研究，使維護(hù)網(wǎng)絡(luò)安全的產(chǎn)品不斷更新?lián)Q代，從單機(jī)的防病毒軟件，到網(wǎng)絡(luò)的防火墻，再到現(xiàn)在的入侵檢測(cè)系統(tǒng)等等。入侵檢測(cè)技術(shù)是主動(dòng)保護(hù)自己網(wǎng)絡(luò)免受入侵攻擊的一種網(wǎng)絡(luò)安全技術(shù)，而入侵檢測(cè)系統(tǒng)(Intrusion Detection System, IDS)就是能夠?qū)嵤┰摴δ艿墓ぞ?。IDS能根據(jù)入侵行為的蹤跡和規(guī)律發(fā)現(xiàn)入侵行為，從而有效地彌補(bǔ)傳統(tǒng)安全防護(hù)技術(shù)的缺陷，成為防火墻之后的又一道安全防線。1980年4月，入侵檢測(cè)概念由James P. Anderson的提出，這是第一次正式闡述了“入侵檢測(cè)”這個(gè)概念。即提出了一種對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想。這被公認(rèn)為是IDS最初的理論基礎(chǔ)。從1984年到1986年，斯坦福研究所的Dorothy E. Denning和Peter Neumann研制出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型，取名為IDES(