返回
入侵检测系统(IDS)分析及其在linux下的实现

入侵检测系统(IDS)分析及其在linux下的实现

ID:310318

大小:352.50 KB

页数:21页

时间:2017-07-21

入侵检测系统(IDS)分析及其在linux下的实现_第1页
入侵检测系统(IDS)分析及其在linux下的实现_第2页
入侵检测系统(IDS)分析及其在linux下的实现_第3页
入侵检测系统(IDS)分析及其在linux下的实现_第4页
入侵检测系统(IDS)分析及其在linux下的实现_第5页
资源描述:

《入侵检测系统(IDS)分析及其在linux下的实现》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、毕业设计(论文):第21页共21页目录第一章入侵检测系统简介2第二章入侵检测系统模型32.1CIDF模型32.2IDS分类32.3通信协议52.4入侵检测技术5第三章LINUX下的实现63.1系统框架63.2各部分的实现流程及重要问题说明73.2.1数据采集部分73.2.2数据分析83.2.3控制台103.3未完成部分123.4性能参考12第四章存在的问题13第五章结论15附录16A.常见攻击手段及其分析16B.waRcher源程序19参考文献20毕业设计(论文):第21页共21页第一章入侵检测系统简介当越来越多的公司

2、将其核心业务向互联网转移的时候,网络安全作为一个无法回避的问题呈现在人们面前。传统上,公司一般采用防火墙作为安全的第一道防线。而随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络的防卫必须采用一种纵深的、多样的手段。与此同时,当今的网络环境也变得越来越复杂,各式各样的复杂的设备,需要不断升级、补漏的系统使得网络管理员的工作不断加重,不经意的疏忽便有可能造成安全的重大隐患。在这种环境下,入侵检测系统成为了安全市场上新的热点,不仅愈来愈多的受到人们的关注,而

3、且已经开始在各种不同的环境中发挥其关键作用。本文中的“入侵”(Intrusion)是个广义的概念,不仅包括被发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝访问(DenialofService)等对计算机系统造成危害的行为。入侵检测(IntrusionDetection),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(In

4、trusionDetectionSystem,简称IDS)。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。具体说来,入侵检测系统的主要功能有([2]):a.监测并分析用户和系统的活动;b.核查系统配置和漏洞;c.评估系统关键资源和数据文件的完整性;d.识别已知的攻击行为;e.统计分析异常行为;f.操作系统日志管理,并识别违反安全策略的用户活动。由于入侵检测系统的市场在近几年中飞速发展,许多公司投入

5、到这一领域上来。ISS、axent、NFR、cisco等公司都推出了自己相应的产品(国内目前还没有成熟的产品出现)。但就目前而言,入侵检测系统还缺乏相应的标准。目前,试图对IDS进行标准化的工作有两个组织:IETF的IntrusionDetectionWorkingGroup(idwg)和CommonIntrusionDetectionFramework(CIDF),但进展非常缓慢,尚没有被广泛接收的标准出台。毕业设计(论文):第21页共21页第二章入侵检测系统模型2.1CIDF模型CommonIntrusionDet

6、ectionFramework(CIDF)(http://www.gidos.org/)阐述了一个入侵检测系统(IDS)的通用模型。它将一个入侵检测系统分为以下组件:l事件产生器(Eventgenerators)l事件分析器(Eventanalyzersl响应单元(Responseunits)l事件数据库(Eventdatabases)CIDF将IDS需要分析的数据统称为事件(event),它可以是网络中的数据包,也可以是从系统日志等其他途径得到的信息。事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供

7、此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果作出作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。在这个模型中,前三者以程序的形式出现,而最后一个则往往是文件或数据流的形式。在其他文章中,经常用数据采集部分、分析部分和控制台部分来分别代替事件产生器、事件分析器和响应单元这些术语。且常用日志来简单的指代事件数据库。如不特别指明,本文中两套术语意义相同。2.2IDS分

8、类一般来说,入侵检测系统可分为主机型和网络型。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式(promiscmode),监听所有

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。