分布式入侵检测系统 及其在多园区校园网中的应用 工程硕士论文答辩 姓名：XXX 指导教师：XXX XXX 工程领域：电子与通信工程所在学院：电子与信息工程学院 2009年12月11日 绪论 研究的背景和意义 校园网已成为各个学校进行教学科研、信息交流、资源共享、文献检索等必不可少的一部分。然而在享受校园网极大便利的同时，网络安全问题也变得越来越突出。校园网正面临着病毒侵害、黑客攻击、内部威胁、安全漏洞、缺乏管理和滥用网络资源等一系列的安全问题 绪论 目前，我国大部分高校的校园网安全体系结构仍然采用防火墙和网络版杀毒软件的方式。这种方式对于来自校园网外部常见的攻击和各种已知病毒能起到较好的防护作用，但是对于来自校园网内部的攻击和网络蠕虫病毒却效果不佳。随着攻击者技能的日趋成熟，攻击手段和攻击工具的日趋复杂多样化，这种方式已经无法满足网络安全的需要，部署分布式入侵检测系统就成了校园网安全体系中必不可少的重要组成部分 系统总体设计 工程设计背景 本研究课题就是以兰州城市学院校园网为背景设计了一个分布式入侵检测系统。兰州城市学院校园网由三个校区组成：西校区、培黎校区和东校区，校区之间通过租赁中国电信的10M光纤进行连接。校园网的管理中心设在西校区，其网络体系结构如下图所示 系统总体设计 系统总体设计 系统物理结构 系统总体设计 系统逻辑结构 系统详细设计与实现 误用检测子系统 误用检测子系统用来对常规的、已知的攻击行为进行检测。相对于异常检测技术，误用检测技术显得更加有效和成熟。 系统详细设计与实现 系统详细设计与实现 异常检测子系统 异常检测子系统用来对未知的、新型的攻击行为进行检测。异常检测系统检测出的不是已知的入侵行为，而是所研究的通信过程中的异常现象 系统详细设计与实现 系统详细设计与实现 攻击源追踪子系统 攻击源追踪子系统主要用来实现整个系统的攻击源追踪和定位功能，即当发现攻击行为时，特别是拒绝服务攻击或假冒源地址的分布式拒绝服务攻击时进行真实源攻击者地址的追踪 系统详细设计与实现 系统详细设计与实现 管理子系统 管理子系统主要用来实现整个分布式入侵检测系统的管理、维护和监视，以友好的人机交互界面和管理员交互 系统详细设计与实现 系统详细设计与实现 误用检测与异常检测的实现检测流程 在本系统中综合应用了误用检测和异常检测，这样可以提高检测的准确性，其检测流程如下图所示 系统详细设计与实现 系统详细设计与实现 捕获网络数据包 因为Snort没有自己的数据采集工具，所以需要外部的数据包捕获程序Winpcap来实现。 Winpcap是由伯克利分组捕获库派生而来的分组捕获库程序，它可以在Windows操作平台上实现底层包的截取和过滤。开发Winpcap的目的是为Win32应用程序提供访问网络底层的能力 系统详细设计与实现 Snort的安装与配置 下载安装Snort，安装完成后，进入Snort的安装目录，将Snort的规则文件和配置文件复制到相应目录中，并创建一个日志目录来保存以后产生的报警和日志文件。 为了使Snort能够正常运行，还需要对Snort.conf文件进行相应的配置，包括以下几个方面： 系统详细设计与实现 (1)设置网络变量; (2)配置预处理程序; (3)配置输出插件; (4)配置入侵规则库 系统详细设计与实现 搭建数据库平台 各个数据库服务器主要是从入侵检测系统中收集报警数据，并且将它存入到对应的数据库中。利用关系型数据库对数据量相当大的报警数据进行组织管理是最有效的方法，并且存入关系数据库后能对其进行分类，查询和按优先级组织排序等处理 系统详细设计与实现 MySQL是一个快速的客户机/服务器结构的SQL数据库管理系统，开发者为瑞典MySQL AB公司，其功能强大、灵活性好、应用编程接口丰富并且系统结构精巧。 MySQL数据库采用默认方式安装后，设置MySQL为服务方式运行。然后启动MySQL服务，进入命令行状态，创建Snort运行必需的存放系统日志的Snort库和Snort_archive库。同时使用Snort目录下的create_mysql脚本建立Snort运行所需的数据表，用来存放系统日志和报警信息 系统详细设计与实现 为了直观地显示数据库的存储及运行情况，并且方便用户对数据库进行操作，还须安装基于php的MySQL数据库管理程序phpmyadmin，通过它可以在图形界面下对数据库进行查询和管理，十分便利 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 分析与管理 在系统中采用了拥有图形用户界面的报警管理工具ACID。 首先安装apache并且将其作为服务方式运行，在配置中添加apache对php的支持，然后将adodb和jpgraph安装在php的目录下，最后安装ACID并修改其配置文件acid_conf.php。 。。。以上简介无排版格式，详细内容请下载查看