【正文】 畢業(yè)設(shè)計(jì) ( 論文 ) 基于 windows 入侵檢測系統(tǒng)的研究與設(shè)計(jì) —— 響應(yīng)模塊設(shè)計(jì) 論文作者姓名： 申請學(xué)位專業(yè)： 申請學(xué)位類別： 指導(dǎo)教師姓名（職稱）： 論文提交日期： 基于 windows 入侵檢測系統(tǒng)的研究與設(shè)計(jì) —— 響應(yīng)模塊設(shè)計(jì) 摘 要 入侵檢測技術(shù)是對傳統(tǒng)的安全技術(shù)（如防火墻）的合理補(bǔ)充。它通過監(jiān)視主機(jī)系統(tǒng)或網(wǎng)絡(luò)，能夠?qū)阂饣蛭：τ?jì)算機(jī)資源的行為進(jìn)行識別和響應(yīng)。通過與其它的安全產(chǎn)品的聯(lián)動，還可以實(shí)現(xiàn)對入侵的有效阻止。入侵檢測系統(tǒng)的研究和實(shí)現(xiàn)已經(jīng)成為當(dāng) 前網(wǎng)絡(luò)安全的重要課題。 本文從研究入侵技術(shù)入手，分析了入侵過程的各個(gè)階段、各種入侵方法，總結(jié)了網(wǎng)絡(luò)安全事故的根源。然后，介紹了入侵檢測方法的分類，分析了各種入侵檢測方法和字符串匹配的算法。研究表明基于規(guī)則的入侵檢測系統(tǒng)是現(xiàn)在入侵檢測系統(tǒng)設(shè)計(jì)的最主要的技術(shù)，基于這一理論，設(shè)計(jì)開發(fā)了一個(gè)基于規(guī)則匹配的特征檢測方法的響應(yīng)模塊。系統(tǒng)開發(fā)環(huán)境為 VC++ ，數(shù)據(jù)庫采用 MYSQL 數(shù)據(jù)庫。通過該系統(tǒng)可以有效的實(shí)現(xiàn)對入侵的檢測，并且具有用戶友好性。 關(guān)鍵詞 : 入侵檢測； 響應(yīng)模塊 ； 規(guī)則匹配 The Research and Design of Intrusion Detection System Based on Windows —— Design of Response Module Abstract The intrusion detection technology is plementarities for traditional security protecting technology, such as firewalls. It can identify and response to malice activities by monitoring the host system or the Inter. It also can prevent intrusion activities with the linkage of other security technology. The research and development of IDS has bee the important subject about work security. This thesis begins with studying attacking technology, including analyzing every stage of an intrusion stage and various attacking methods, summarizing the fundamental reasons of various work security incidents and the trend of attacking technology, afterwards, introducing the classification of the intrusion detection system, analyzing various intrusion detection methods and stringmatching algorithm. Through research to make clear that the intrusion detection system based on rules is the most important intrusion detection technology, because of this theory, the design has developed a response module based on the rule match characteristic examination method. The system development environment is VC++ 。 the database adapts the MYSQL database. This system can implement the effective realization to the intrusion detection, and the interface of this software is friendly. Key words: Intrusion detection。 Response module。 Rulematching 目 錄 論文總頁數(shù)： 26頁 1 引 言 ................................................................. 5 背景 ............................................................. 5 國內(nèi)外研究現(xiàn)狀 .................................................... 5 本文的主要工作 .................................................... 5 2 理論基礎(chǔ) ............................................................... 5 入侵基本概念 ..................................................... 6 安全與入侵的概念 ............................................ 6 入侵的步驟 .................................................. 6 黑客攻擊的方法 .............................................. 7 安全威脅的根源 ............................................. 10 入侵檢測技術(shù) .................................................... 10 入侵檢測的概念 ............................................. 10 入侵檢測系統(tǒng)的基本結(jié)構(gòu)構(gòu)成 ................................. 11 入侵檢測的分類 ............................................. 12 入侵檢測方法 ............................................... 13 BM算法 .......................................................... 15 3 系統(tǒng)總體設(shè)計(jì) .......................................................... 17 系統(tǒng)概述 ........................................................ 17 系統(tǒng)總體結(jié)構(gòu)框架 ................................................. 17 開發(fā)環(huán)境 ........................................................ 18 4 響應(yīng)模塊設(shè)計(jì)實(shí)現(xiàn) ...................................................... 18 規(guī)則庫設(shè)計(jì)實(shí)現(xiàn) ................................................... 18 事件分析設(shè)計(jì)與實(shí)現(xiàn) ............................................... 21 規(guī)則解析 ................................................... 21 規(guī)則匹配流程 ............................................... 22 輸出模塊的設(shè)計(jì) ................................................... 23 響應(yīng)輸出流程 ............................................... 23 日志數(shù)據(jù)庫設(shè)計(jì) ............................................. 24 模塊集成實(shí)現(xiàn) .................................................... 24 5 系統(tǒng)測試和分析 ........................................................ 25 攻擊檢測測試 .................................................... 25 測試目的 ................................................... 25 測試過程 ................................................... 25 測試結(jié)果分析 ............................................... 26 誤報(bào)和漏報(bào)測試 ................................................... 27 測試目的 ................................................... 27 測試過程 ................................................... 27 測試結(jié)果分析 ............................................... 27 結(jié) 論 .................................................................. 28 參考文獻(xiàn) .................................................................. 28 致 謝 .................................................................. 29 聲 明 .................................................................. 30 1 引 言 背景 近年來，隨著 信息和網(wǎng)絡(luò)技術(shù)的高速發(fā)展以及其它的一些利益的驅(qū)動，計(jì)算機(jī)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施，特別是各種官方機(jī)構(gòu)網(wǎng)站成為黑客攻擊的目標(biāo)，近年來由于對電子商務(wù)的熱切需求，更加激化了各種入侵事件增長的趨勢。作為網(wǎng)絡(luò)安全防護(hù)工具“防火墻”的一種重要的補(bǔ)充措施，入侵檢測系統(tǒng) (Intrusion Detection System，簡稱 IDS)得到了迅猛的發(fā)展。 依賴防火墻建立網(wǎng)絡(luò)的組織往往是 “ 外緊內(nèi)松 ” ，無法阻止內(nèi)部人員所做的攻擊 ,對信息流的控制缺乏靈活性從外面看似非常 安全 ，但內(nèi)部缺乏必要的 安全措施。據(jù)統(tǒng)計(jì)，全球 80%以上的入侵來自于內(nèi)部。由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測能力，對于企業(yè)內(nèi)部人員所做的攻擊，防火墻形同虛設(shè)。 入侵檢測是對防火墻及其有益的補(bǔ)充，入侵檢測系統(tǒng)能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能 減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加入知識庫內(nèi)，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到入侵。入侵檢測被認(rèn)為是防火墻之后的第二道 安全 閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù) ,大大提高了網(wǎng)絡(luò)的 安全 性。 國內(nèi)外研究現(xiàn)狀 入侵檢測技術(shù)國外的起步較早，有比較完善的技術(shù)和相關(guān)產(chǎn)品。如開放源代碼的 snort， 雖然它已經(jīng)跟不上發(fā)展的腳步，但它也是各種商業(yè) IDS的參照系；NFR 公司的 NID 等，都已相當(dāng)?shù)耐晟?。雖然國內(nèi)起步晚，但是也有相當(dāng)?shù)纳虡I(yè)產(chǎn)品：天闐 IDS、綠盟冰之眼等不錯(cuò)的產(chǎn)品，不過國外有相當(dāng)完善的技術(shù)基礎(chǔ)，國內(nèi)在這方面相對較弱。 本文的主要工作 本文從分析現(xiàn)有網(wǎng)絡(luò)中存在的安全說起，指出了現(xiàn)有的網(wǎng)絡(luò)所面臨的安全威脅，主要介紹了基于特征 （ signaturebased） 的網(wǎng)絡(luò)入侵檢測技術(shù)，闡述了由入侵檢測理論所構(gòu)建的入侵檢測平臺，監(jiān)測并分析網(wǎng)絡(luò)、用戶和系統(tǒng)的活動，識別已知的攻擊行為，統(tǒng)計(jì)分析異常行為。在本文的后面針對基于 windows 平臺并基于特征（規(guī)則）的入侵檢測系統(tǒng)響應(yīng)模塊的設(shè)計(jì)與實(shí)現(xiàn)作了詳細(xì)的說明，闡述了什么是入侵檢測、如何檢測、如何響應(yīng)等一系列問題，同時(shí)也給出了一套完整的設(shè)計(jì)思想和實(shí)現(xiàn)過程。 2 理論基