【正文】 1 Foshan University 本科生畢業(yè)設(shè)計(jì)（論文） 基于校園網(wǎng)的分布式入侵防御系統(tǒng)研究與設(shè)計(jì) 學(xué) 院： 機(jī)電與信息工程學(xué)院 專 業(yè)： 網(wǎng)絡(luò)工程 學(xué) 號(hào)： 2020394109 學(xué)生姓名： 何應(yīng)鴻 指導(dǎo)教師： 馬莉 （職稱） 二〇〇九 年 五 月 2 摘 要 隨著 Inter 的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全成為越來越受人們關(guān)注的問題。目前最流行的網(wǎng)絡(luò)安全解決方案是入侵檢測系統(tǒng)和防火墻技術(shù)，但是由于入侵檢測系統(tǒng)存在產(chǎn)生大量的警報(bào)（ Alert）和誤報(bào)（ False Positive）、只能被動(dòng)檢測不能主動(dòng)防御 的缺點(diǎn)，導(dǎo)致不能對(duì)網(wǎng)絡(luò)進(jìn)行全面得保護(hù)，因此急需出現(xiàn)一種嶄新的網(wǎng)絡(luò)安全體系結(jié)構(gòu)來解決這些問題。通過分析多種安全防御機(jī)制的優(yōu)缺點(diǎn)和網(wǎng)絡(luò)安全的發(fā)展趨勢，在此基礎(chǔ)上設(shè)計(jì)并實(shí)現(xiàn)了基于分層部件的分布式入侵檢測系統(tǒng)，具有良好的性能和可擴(kuò)展性。它將入侵檢測系統(tǒng)和防火墻技術(shù)有機(jī)地結(jié)合在一起，用于實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的全面保護(hù)和深度防御。 本文在深入細(xì)致地分析了現(xiàn)有入侵檢測系統(tǒng)進(jìn)行了研究與設(shè)計(jì)，取得了以下工作成果： 參與設(shè)計(jì)了一種分布式入侵檢測系統(tǒng)，并對(duì)該系統(tǒng)的體系結(jié)構(gòu)和功能進(jìn)行了全面、完整的描述。 研究了 snort 的實(shí)現(xiàn)機(jī)制， 學(xué)會(huì)如何編寫 snort 規(guī)則。 研究了黑客攻擊的步驟，并掌握了一般攻擊的手段。 研究并實(shí)現(xiàn)了報(bào)警采集與格式統(tǒng)一模塊。 實(shí)現(xiàn)了網(wǎng)絡(luò)通信模塊，并使用 Strategy 模式保證了加密解密模塊的動(dòng)態(tài)擴(kuò)展，有效的解決了入侵檢測系統(tǒng)自身的安全問題。 重點(diǎn)研究了報(bào)警融合模塊的實(shí)現(xiàn)原理，并實(shí)現(xiàn)了基于相似度的報(bào)警融合算法。 重點(diǎn)研究和實(shí)現(xiàn)了基于插件的報(bào)警響應(yīng)模塊，實(shí)現(xiàn)了與防火墻的聯(lián)動(dòng)。 針對(duì)局域網(wǎng)實(shí)際應(yīng)用需求，使用該分布式入侵檢測系統(tǒng)對(duì)其進(jìn)行保護(hù)，取得了不錯(cuò)的實(shí)驗(yàn)效果。 關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵檢測；分布式；報(bào)警融合；自動(dòng)響應(yīng) 3 Research and Design of Based on Campus Network Distributed Intrusion Detection System HE Yinghong ABSTRACT With the development of the Inter, the puter work security has received more and more concern. At present the most popular work security solution is the Intrusion Detection System and the Firewall System, but the Intrusion Detection System produces a lot of Alert and False Positive, an they only can detect passively, cannot defense actively, so they cannot carry on the prehensive protection to the work. Therefore a kind of brandnew work security architecture is urgent needed to solve these problems. The author analyses the good and bad points of many kinds of security defense mechanism and the development tendency of the work security, designs and implements ponentbased hierarchical Distributed Intrusion Detection System. It has good performance and can be expanded easily. It bine the Intrusion Detection System and the Firewall together, so it can carry on the prehensive protection to the work. This article analyses the existing Intrusion Detection System and the Firewall System, designs and implements the Distributed Intrusion Detection System, obtaines the achievement as below: Take part in designing the Distributed Intrusion Detection System, and explains the architecture and function of the system explicitly. Does a research in the implementation mechanism of the snort, and masteres how to write snort rules. Does a research in the steps of hackers’attack, masteres the general means of attack. Does a research and implements the alerts gather and format unification module. Implements work munication module, uses strategy design pattern to guarantee the dynamic expansion of the encryption and decryption module, solves security problems of the Intrusion Detection System effectively. Dose a deep research in the principle of the alert fusion module, and implements based on the similarity alert fusion arithmetic. Does a deep research and implements the automatic response module, which is based on plugin mode, and implements the linkage with the firewall. Aim at the demand of the local area work security, uses this Distributed Intrusion Detection System to carry on the protection for it, and the experiment receives some good effects. KEYWORD: work security, intrusion detection, distribute, alert fusion, automatic response. 4 目 錄 1．緒論 ??????????????????????????????????? 1 1． 1 研究背景 ??????????????????????????????? 1 校園網(wǎng)現(xiàn)狀 ?????????????? ?????????????? 1 入侵檢測技術(shù)現(xiàn)狀 ????????????????????????? 1 防火墻技術(shù)現(xiàn)狀 ????????????????????????? 1 2．方案論證 ????????????????????????????????? 2 2． 1 Snort 檢測器介紹 ??????????????????????????? 2 2． 2 檢測引擎介紹 ????????????????????????????? 2 3．研究過程論述 ?????????????? ????????????????? 3 3． 1 第一階段：調(diào)研論文內(nèi)容 ??????????????????????? 3 防火墻功能 ??????????????????????????? 3 防火墻分類 ??????????????????????????? 4 防火墻不足 ??????????????????????????? 4 入侵檢測功能 ??????????????????????????? 4 入侵檢測分類 ???????? ??????????????????? 4 入侵檢測不足 ??????????????????????????? 4 分布式入侵檢測系統(tǒng)的優(yōu)勢 ?????????????????????? 4 3． 2 第二階段：模擬校園網(wǎng)的基礎(chǔ)上設(shè)計(jì)了入侵防御系統(tǒng) ??????????? 5 3． 3 第三階段：編寫檢測引擎 ??????????????????????? 5 3. 4 第四階段：測試、運(yùn)行本系統(tǒng)并改進(jìn) ?????????????????? 12 4．結(jié)果分析????????????????? ??????????????? 13 5. 結(jié)論及存在的問題 ??????????????????????????? 13 參考文獻(xiàn) ?????????????????????????????????? 14 致謝 ???????????????????????????????????? 15 5 基于校園網(wǎng)的分布式入侵防御系統(tǒng)研究與設(shè)計(jì) 姓名：何應(yīng)鴻 學(xué)號(hào)： 2020394109 班級(jí)：網(wǎng)絡(luò)工程 051 緒論 網(wǎng)絡(luò)安全隱患 Inter 是一個(gè)全球各種計(jì)算機(jī)網(wǎng)絡(luò)的互連系統(tǒng)，它把政府 組織、金融證券、商業(yè)企業(yè)、國防軍事等各種計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)互相連接在了一起。在計(jì)算機(jī)網(wǎng)絡(luò)中存在著一些重要的信息系統(tǒng)，其中存儲(chǔ)了大量敏感的甚至是機(jī)密的信息，如國家的軍事能源信息、政府的調(diào)控決策信息、政府的調(diào)控決策信息、科研機(jī)構(gòu)的研究技術(shù)信息和商業(yè)企業(yè)的技術(shù)經(jīng)濟(jì)信息等等；在計(jì)算機(jī)網(wǎng)絡(luò)中還存在著大量重要的應(yīng)用系統(tǒng)，如金融、證券、稅務(wù)、商務(wù)、文教等電子系統(tǒng)。但由于最初設(shè)計(jì)TCP/IP 協(xié)議的目的是為了網(wǎng)絡(luò)設(shè)備的互聯(lián)通信。協(xié)議建立在完全信任的環(huán)境下，彼此之間有很多假定的信任關(guān)系，沒有對(duì)安全問題引起足夠重視。 網(wǎng)絡(luò)安全隱患主 要來自于如下四個(gè)方面： （ 1） 網(wǎng)絡(luò)的復(fù)雜性。網(wǎng)絡(luò)是一個(gè)有眾多環(huán)節(jié)構(gòu)成的復(fù)雜系統(tǒng)。由于市場利潤，技術(shù)投入，產(chǎn)品成本，技術(shù)規(guī)范等等問題，不同供應(yīng)商提供的環(huán)節(jié)在安全性上不盡相同，使得整個(gè)系統(tǒng)的安全程度被限制在了安全等級(jí)最低的那個(gè)環(huán)節(jié)。 （ 2） 網(wǎng)絡(luò)的飛速發(fā)展。由于網(wǎng)絡(luò)的發(fā)展，提供新網(wǎng)絡(luò)服務(wù)，增加網(wǎng)絡(luò)的開放性和互聯(lián)性等，必然將更多環(huán)節(jié)納入系統(tǒng)中，新采用的環(huán)節(jié)又增加了系統(tǒng)的復(fù)雜性，引發(fā)了網(wǎng)絡(luò)的不安定性。 （ 3） 軟件質(zhì)量問題。軟件質(zhì)量難以評(píng)估是軟件的一個(gè)特征?，F(xiàn)實(shí)中。即使是正常運(yùn)行了很久時(shí)間的軟件，也會(huì) 在特定的情況下出現(xiàn)漏洞，例如不斷涌現(xiàn)的操作系統(tǒng)漏洞?，F(xiàn)代網(wǎng)絡(luò)已經(jīng)是軟件驅(qū)動(dòng)的發(fā)展模式，對(duì)軟件的更大依賴性加大了軟件質(zhì)量對(duì)網(wǎng)絡(luò)安全的負(fù)面影響。同時(shí)，市場的激烈競爭，促使商家需要更快地推出產(chǎn)品，軟件的快速開發(fā)也增大了遺留更多隱患的可能性。 （ 4)其它非技術(shù)因素。這包括技術(shù)員在網(wǎng)絡(luò)配置管理上的疏忽或錯(cuò)誤，網(wǎng)絡(luò)實(shí)際運(yùn)行效益和安全投入成本的平衡決擇，網(wǎng)絡(luò)用戶的安全管理缺陷等等。 黑客常用攻擊手段 針對(duì)眾多的安全威脅和安全隱患，黑客常用的攻擊手段包括以下 7 種： （ 1） 口令入侵：利用應(yīng)用層許多協(xié) 議如 TELNET、 FTP、 HTTP、 SMTP 等，它們中多數(shù)沒有采用加密或身份認(rèn)證技術(shù)，用戶賬號(hào)與密碼信息都是以明文格式傳輸?shù)奶攸c(diǎn)實(shí)施網(wǎng)絡(luò)監(jiān)聽，也可以利用用戶的賬號(hào)（如 Email賬號(hào)）進(jìn)行暴力破解（字典破解），當(dāng)然利用系統(tǒng)管理員的失誤，復(fù)制存放 Password 的文件，進(jìn)一步利用解密算法也可以達(dá)到破解的目的。 (2)網(wǎng)絡(luò)監(jiān)聽：利用網(wǎng)絡(luò)中信息的傳輸是在用戶端與服務(wù)器端之間進(jìn)行，攻擊者就可以在這兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽，特別是局域網(wǎng)中信息的傳送采用廣播的形