《入侵检测系统（IDS）分析及其在linux下的实现》-毕业论文.doc

目 录 TOC \o 1-3 第一章 入侵检测系统简介 PAGEREF _Toc483549603 \h 2 第二章 入侵检测系统模型 PAGEREF _Toc483549604 \h 3 2.1 CIDF模型 PAGEREF _Toc483549605 \h 3 2.2 IDS分类 PAGEREF _Toc483549606 \h 3 2.3 通信协议 PAGEREF _Toc483549607 \h 5 2.4入侵检测技术 PAGEREF _Toc483549608 \h 5 第三章 linux下的实现 PAGEREF _Toc483549609 \h 6 3.1系统框架 PAGEREF _Toc483549610 \h 6 3.2各部分的实现流程及重要问题说明 PAGEREF _Toc483549611 \h 7 3.2.1数据采集部分 PAGEREF _Toc483549612 \h 7 3.2.2数据分析 PAGEREF _Toc483549613 \h 8 3.2.3控制台 PAGEREF _Toc483549614 \h 10 3.3未完成部分 PAGEREF _Toc483549615 \h 12 3.4 性能参考 PAGEREF _Toc483549616 \h 12 第四章 存在的问题 PAGEREF _Toc483549617 \h 13 第五章 结论 PAGEREF _Toc483549618 \h 15 附录 PAGEREF _Toc483549619 \h 16 A.常见攻击手段及其分析 PAGEREF _Toc483549620 \h 16 B.waRcher源程序 PAGEREF _Toc483549621 \h 19 参考文献 20 第一章 入侵检测系统简介 当越来越多的公司将其核心业务向互联网转移的时候，网络安全作为一个无法回避的问题呈现在人们面前。传统上，公司一般采用防火墙作为安全的第一道防线。而随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。与此同时，当今的网络环境也变得越来越复杂，各式各样的复杂的设备，需要不断升级、补漏的系统使得网络管理员的工作不断加重，不经意的疏忽便有可能造成安全的重大隐患。在这种环境下，入侵检测系统成为了安全市场上新的热点，不仅愈来愈多的受到人们的关注，而且已经开始在各种不同的环境中发挥其关键作用。 本文中的“入侵”（Intrusion）是个广义的概念，不仅包括被发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问（Denial of Service）等对计算机系统造成危害的行为。 入侵检测（Intrusion Detection），顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System,简称IDS）。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。 具体说来，入侵检测系统的主要功能有（[2]）： a.监测并分析用户和系统的活动； b.核查系统配置和漏洞； c.评估系统关键资源和数据文件的完整性； d.识别已知的攻击行为； e.统计分析异常行为； f.操作系统日志管理，并识别违反安全策略的用户活动。 由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。ISS、axent、NFR、cisco等公司都推出了自己相应的产品（国内目前还没有成熟的产品出现）。但就目前而言，入侵检测系统还缺乏相应的标准。目前，试图对IDS进行标准化的工作有两个组织：IETF的Intrusion Detection Working Group (idwg)和Common Intrusion Detection Framework (CIDF)，但进展非常缓慢，尚没有被广泛接收的标准出台。 第二章 入侵检测系统模型 2.1 CIDF模型 Common Intrusion Detection Framework (CIDF)（ HYPERLINK / /）阐述了一个入侵检测系统（IDS）的通用模型。它将一个入侵检测系统分为以下组件： 事件产生器（Event generators） 事件分析器（Event analyzers 响应单元（Response units ） 事