网络安全与管理结课论文
指导教师情况
姓名技术职称单位
指导教师评语：
成绩：
指导教师签字：
年月日
内容摘要
随着人们与计算机越来越密切的联系，以及网络的迅猛发展，生活越来越便利，同时遇到的危险也越来越多。

无数的电脑黑客不管出于什么目的，千方百计利用任何可以利用的机会，用攻击、窃取等手段去危害网络。

美国骇客权威书籍的编目者说过：“我们要确信，世上不可能有绝对安全的网络。

”而我们的目的则是把这种不可能变为可能。

虽然在网络安全中有很多的手段去保护和维护网络的安全，但是其中最合适的技术就应该属于入侵检测了。

入侵检测（IDS）作为一种主动的安全防护手段，为主机和网络提供了动态的安全保障。

它不仅检测来自外部的入侵行为，同时也对内部的未授权活动进行监督。

利用网络协议的高度规则性，采用协议分析的方法，结合优秀的模式匹配算法，融合比较先进的数据挖掘和数据融合方法，能较好地解决当前入侵检测系统中准确性与实时性等问题。

同时简单介绍了一款入侵检测系统Snort。

索引关键词：入侵检测、基于主机的IDS（HIDS）、基于网络的IDS（NIDS）
正文 (1)
第一章绪论 (1)
第二章入侵检测的概述 (1)
2.1入侵检测的功能 (1)
2.2入侵检测的模型 (1)
第三章IDS的分类 (2)
3.1基于主机的入侵检测系统（HIDS） (2)
3.2基于网络的入侵检测系统（NIDS） (2)
第四章入侵检测的分析技术 (2)
4.1误用检测技术 (2)
4.2异常检测技术 (2)
第五章Snort软件 (3)
5.1Snort软件概述 (3)
5.2Snort软件的体系结构 (3)
后记 (5)
参考文献 (5)
第一章绪论
伴随着网络的发展，网络的安全问题尤为突出。

传统的加密和防火墙技术等被动防范技术已经不能完全满足现今的安全需要，想要保证网络信息和网络秩序的安全，就必须要更强有力和更完善的安全保护技术。

近年来，入侵检测技术以其强有力的安全保护功能进入了人们的视野，也在研究领域形成了热点。

入侵检测的出现弥补了很多的缺陷。

它作为一种积极的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵，被认为是防火墙之后的第二道安全闸门。

其中Snort作为目前应用较广的开源网络入侵检测系统，受到广泛的关注。

第二章入侵检测的概述
2.1入侵检测的功能
•监视并分析用户和系统的活动
•核查系统配置和漏洞
•识别已知的攻击行为并报警
•统计分析异常行为
•评估系统关键资源和数据文件的完整性
•操作系统的审计跟踪管理，并识别违反安全策略的用户行为
2.2入侵检测的模型
图2-1
事件产生器的目的是从整个计算机环境中获得事件，并向系统其它部分提供此事件。

事件分析器分析得到的事件并产生分析结果。

响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、修改文件属性等强烈反应。

事件数
据库是存放各种中间和最终数据的地方的通称，它可以是复杂的数据库也可以是简单的文本文件。

第三章IDS的分类
目前的入侵检测系统主要分为两类：
3.1基于主机的入侵检测系统（HIDS）
主要用于保护某一台主机的资源不被破坏。

优点：
能够较为准确地监测到发生在主机系统高层的复杂攻击行为，其中许多发生在应用进程级别的攻击行为是无法依靠NIDS来完成的。

缺点：
严重依赖于特定的操作系统平台，由于运行在保护主机上，会影响主机的运行性能；通常无法对网络环境下发生的大量攻击行为作出及时的反应。

3.2基于网络的入侵检测系统（NIDS）
主要用于保护整个网络不被破坏。

优点：
提供实时的网络行为检测，同时保护多台网络主机，具有良好的隐蔽性，有效保护入侵证据，不影响被保护主机的性能。

缺点：
防入侵欺骗的能力较差，在交换式网络环境中难以配置，检测性能受硬件条件限制，不能处理加密后的数据。

第四章入侵检测的分析技术
4.1误用检测技术
误用入侵检测是指根据己知的入侵模式来检测入侵。

误用入侵检测能直接检测不利的或不可接受的行为，误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击。

通过捕获攻击及重新整理，可确认入侵活动是基于同一弱点进行政击的入侵方法的变种。

误用入侵检测主要的局限性是仅仅可检测已知的弱点，对检测未知的入侵可能用处不大。

4.2异常检测技术
异常检测指的是根据非正常行为(系统或用户)和使用计算机资源非正常情况检测出入侵行为，异常检测试图用定量方式描述常规的或可接受的行为，以标记非常规的、潜在的入侵行为。

异常入侵检测的主要前提是入侵性活动作为异常活动的子集。

如果设置异常的门槛值不当，往往会导致IDS许多误报警或者漏检，漏检对
于重要的安全系统来说，是相当危险的，因为IDS给安全管理员造成了虚假的系统安全。

第五章Snort软件
5.1Snort软件概述
Snort是一个免费的、开放源代码的基于网络的轻量级网络入侵检测系统，具有很好的配置型和可移植性。

另外，它也可以用来截获网络中的数据包并记录数据包日志。

Snort多适用于小网络段使用，最初设计用于Linux/Unix操作系统，且其设计得易于插入和扩充进新的规则以对付各种新出现的威胁。

是一款免费的NIDS，小巧灵便、易于配置、检测效率高，常被称为轻量级的IDS。

5.2Snort软件的体系结构
图5-1
Snort可提供Protocol分析、内容查找和匹配，可以用来检测各种攻击和探测，如缓冲区溢出、隐蔽端口扫描、CGI攻击、SMB探测、操作系统指纹识别尝试等．其中的包嗅探、数据包记录和入侵检测是其重要功能．Snort的架构决定了它的各种功能，构架图见图5-1所示．而Snort架构由以下4个基本模块构成：
⑴数据包嗅探
⑵预处理器
⑶检测引擎
⑷输出模块
Snort的最简单形式就是包嗅探器，但当Snort获取到数据包后会将数据包传送到与处理模块，然后通过检测引擎判断这些数据包是否违反了某些预定义规则。

Snort的预处理器、检测引擎和报警模块都以插件形式存在。

插件就是符合
Snort接口定义的程序，这些程序曾经是Snort内核代码的一部分，现在独立出来使内核部分的修改变得简单可靠。

包嗅探器用来监听数据网络，可以是硬件也可以是软件。

一个网络嗅探器使应用程序或者硬件设备能够监听网络上的数据流。

互联网多是IP数据流，在本地局域网或传统网络中多是IPX或AppleTalk数据流。

具体来说，包嗅探器不仅可以进行网络分析及错误处理、性能分析及基准测量、监听明文密码及其他感兴趣的数据。

预处理器得到原始数据包，使用不同的插件检测数据包，这些插件检测数据包的某些特定行为。

一旦数据包被确认具有某些特定行为，就会被送到检测模块．插件可以根据需要在与处理层被启用或停用，从而更具网络优化级被分配计算资源并生成报警，插件是入侵检测系统的一个非常有用的功能。

检测引擎接收预处理器及其插件穿送来的数据，然后根据一系列的规则对数据进行检测。

如果这些规则和数据包中的数据相匹配，就将数据包传送给报警处理器。

当数据通过检测引擎后，Snort会对其数据进行不同的处理。

如果数据和检测引擎的规则相匹配，Snort就会触发报警。

报警可以通过网络连接、UNIX的套接字或Windows Popup(SMB)，甚至SNMP陷阱机制发送到日志文件。

也可以使用Snort的一些附加工具来通过Web接口显示日志内容，包括一些perl、PHP和Web 服务器的插件等。

日志可以存储在文本文件中。

报警和日志都可以记录到数据库中，如MySQL或Postgree等．另外，Snort报警可以通过系统日志工具如SWATCH 发送电子邮件及时通知系统管理员，是系统不需要由专人24小时监控。

后记
在目前的计算机安全状态下，基于防火墙、加密技术的安全防护固然重要，但是，要根本改善系统的安全现状，必须要发展入侵检测技术，它已经成为计算机安全策略中的核心技术之一。

IDS作为一种主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护。

随着网络通信技术安全性的要求越来越高，入侵检测技术必将受到人们的高度重视。

这篇论文是我在潘军老师的悉心指导下完成的。

潘老师严谨的治学精神，实事求是的治学思想，平易近人的待人态度，给我留下了深刻的印象。

非常感谢学校为我们提供了良好的学习条件，使我们的视野得到了扩展，知识得到了充实。

再一次衷心感谢所有在我写作论文时曾经帮助过我的人，谢谢你们！
参考文献
[1]潘军网络安全与管理讲义2010.3
[2]周黎网络入侵检测本科生毕业论文江南大学2009.10
[3]胡康兴基于网络入侵检测的研究硕士学位论文湘潭大学2006.6。