还剩7页未读,继续阅读
文本内容:
类口学历硕士口同等学力别口工程硕士沈阳理工大学硕士探讨生学位论文开题报告课题名称校内网入侵检测系统的探讨与实现赵丹2008级工程硕士年级:计算机技术专业:李爱华信息科学与工程学院导师:2010年11月学院:开题时间:
一、选题依据(课题探讨的目的、意义,国内外探讨现状分析)
1、课题探讨的目的、意义在网络快速发展的今日,很多中等职业学校都建设了自己的校内网,也接入了Internet,还有很多学校已经运用校内网来提高学校的信息化管理水平校内网是一个比较特别的网络环境随着校内网络规模的扩大,大多数学校基本实现了教学科研办公上网,学生宿舍、老师家庭上网由于上网地点的扩大,使得网络监管更是难上加难而负责管理校内网络的管理人员严峻不足,导致校内网事故时有发生因此,对于如何提高校内网络的平安性和稳定性,是各个中职院校须要重视的问题校内网目前存在着很多的平安隐患,比如说计算机病毒的威逼、黑客攻击、系统自身的平安隐患等,还有校内网内部用户对网络资源的不规范运用也是一个主要威逼,中职学生正是新奇心最旺盛的年纪,对簇新事物有着剧烈的新奇心,他们运用网络来获得资料•,在网络上学习、消遣,但是平安意识却明显薄弱,缺乏全面思索的责任感,不情愿或者疏于安装防火墙、杀毒软件学校的规章制度还不够完善,还不能够有效的规范和约束学生、教工的上网行为当前的校内网己经具备的网络平安技术有防火墙、代理服务器、过滤器、加密、口令验证等等,但是校内网所应用的很多平安设备都属于静态平安技术范畴静态平安技术的缺点是须要人工来实施和维护,不能主动跟踪入侵者而入侵检测则属于动态平安技术,它能够主动检测网络的易受攻击点和平安漏洞,并且通常能够先于人工探测到危急行为基于以上问题,具体探讨以入侵检测技术为代表的动态平安技术和以防火墙为代表的静态平安技术各自的区分和联系及它们的优缺点,提出了将动态技术与静态技术相结合的应用能够取长补短,弥补各自的缺点,并结合校内网建设和管理,在校内网络中应用入侵检测系统与原来的防火墙共同运用,极大地提高校内网的平安防护水平本课题的目的在于针对校内网的平安问题首先分析入侵检测系统在校内网中的作用,并着重探讨入侵检测系统的体系结构、检测流程及检测规则等,并结合分布式入侵检测系统,设计一个合适校内网的入侵检测系统模型,并通过协议分析和模式匹配的检测方法提高入侵检测系统的检测速度、精确性最终应用在校内网中有效地提高校内网的平安
2、国内外探讨现状分析入侵检测技术近些年发展快速,从技术上,入侵检测技术主要分为以下几类1误用检侧技术误用检测也称特征检测或基于学问的检测,指运用已知攻击方法,依据己定义好的入侵模式,通过推断这些入侵模式是否出现来检测但系统依靠性强,且检测受己知学问的限制此外,难检检测出内部人员的入侵行为2异样检测技术异样检测依据运用者的行为或资源运用状况来推断是否入侵,而不依靠于具体的行为是否出现来检测,所以也被称为基于行为的入侵检测基于行为的入侵检测与系统相对无关,通用性较强,它甚至可能检测出以前从未出现过的攻击方法,不像基于学问的检测那样受已知脆弱性的限制但因为不能对整个系统内的全部用户进行为全面的描述,况且每个用户的行为是常常变更的,所以它的主要缺陷在于误检率很高3特征检测特征检测关注的是系统本身的行为,定义系统行为轮廓,并将系统行为与轮廓进行比较,将未指明为正常行为的事务定义为入侵特征检测系统常采纳某种特征语言定义系统的平安策略特征检测最大的优点是可以通过提高行为特征定义的精确度和覆盖范围,大幅度降低漏报和错报率最大的不足是要求严格定义平安策略,这须要阅历和技巧由于这些检测各有优缺点,因此很多实际入侵检测系统的实现通常同时采纳两种以上方法目前入侵检测系统依据其检测数据来源分为两类1基于主机的入侵检测系统初期多以基于主机的入侵检测探讨为主,即在每个耍爱护的主机上运行一个代理程序它以计算机主机作为目标环境,只考虑系统局部范围的用户,因此大大简化了检测任务由入侵检测工具对主机的审计信息分析来进行检测,并报告平安可疑事务2基于网络的入侵检测系统基于网络的入侵检测系统,是通过连接在网络上的站点捕获网上的包,并分析其是否具有已知的攻击模式或将引起网络系统异样,以此来判别是否为入侵者由于入侵检测系统的市场在近几年中飞速发展,很多公司投入到这一领域上来除了国外的ISS、axent NFR、cisco等公司外,国内也有数家公司如中联绿盟,中科网威等推出了自己相应的产品但就目前而言,入侵检测系统还缺乏相应的标准目前,试图对入侵检测系统进行标准化的工作有两个组织IETF的Intrusion DetectionWorking Groupidwg和CommonIntrusion DetectionFramework CIDF,但进展特别缓慢,尚没有被广泛接收的标准出台尽管有众多的商业产品出现,与诸如防火墙等技术高度成熟的产品相比,入侵检测系统还存在相当多的问题比如1攻击者不断增加的学问,日趋成熟多样自动化工具,以及越来越困难细致的攻击手法2必需协调、适应多样性的环境中的不同的平安策略3不断增大的网络流量4不断变更的入侵检测市场给购买、维护入侵检测系统造成的困难5对入侵检测系统自身的攻击6大量的误报和漏报使得发觉问题的真正所在特别困难7交换式局域网造成网络数据流的可见性下降,同时更快的网络使数据的实时分析更加困难
二、探讨方案
1.探讨目标、探讨内容和拟解决的关键问题1探讨目标为了解决校内网的平安问题,分析入侵检测系统在校内网中的作用,设计一个适合校内网的入侵检测系统模型,并通过协议分析和模式匹配的检测方法提高入侵检测系统的快速性、刚好性、精确性,该模型能够维护系统的平安和完整入侵检测系统的目标是实现实时响应和复原可以向管理员和其它实体发出警报;进行紧急处理的功能探讨;对于攻击的追踪、诱导和反击;还可以对于系统状态一样性的检测方法的探讨;系统数据的备份;系统复原策略和复原时机的探讨2探讨内容论文主要探讨的是在当前困难危急的校内网中如何爱护信息的平安,主要包括以下几部分内容1介绍入侵检测的概念,入侵检测技术的分类及特点2分析入侵检测系统的类型、关键技术及发展趋势3提出适合校内网的入侵检测系统模型4设计并实现校内网入侵检测系统3拟解决的关键问题一个胜利的入侵检测系统,不仅可使系统管理员时刻了解网络系统包括程序、文件和硬件设备等的任何变更,还能给网络平安策略的制订供应依据它应当管理配置简洁,使非专业人员特别简洁地获得网络平安入侵检测的规模还应依据网络规模、系统构造和平安需求的变更而变更入侵检测系统在发觉入侵后,会刚好作出响应,包括切断网络连接、记录事务和报警等本次探讨的问题就是
①如何提高入侵检测系统的检测速度,以适应网络通信的要求;
②如何削减入侵检测系统的漏报和误报,提高其平安性和精确度;
③提高入侵检测系统的互动性能,从而提高整个系统的平安性能
2.针对探讨内容拟实行的探讨方法、技术路途、试验方案及可行性分析1探讨方法采纳调查探讨比较的方法,对现有的网络入侵检测技术进行分析,对比各种入侵检测系统的优缺点,依据校内网的具体特点提出适合的网络入侵检测方法,设计一个系统模型,进行分析验证2技术路途通过对现有校内网络平安及入侵检测技术的分析,提出一种基于协议分析的分布式入侵检测方法,采纳分布收集信息,分布处理多方协作的方式,将基于主机的入侵检测系统和基于网络的入侵检测系统结合运用,构筑面对大型网络的入侵检测系统;然后通过全局平安网络协作,收集拨号用户的信息,检查个体计算机是否存在漏洞、病毒,假如发觉有就阻挡其接入网络,强制其用到可信的网络修复系统或更新最新的病毒库后才可以正常接入校内网这样通过网络和个体来确保整个校内网络的平安运行3试验方案入侵检测系统是一个典型的“窥探设备”它不跨接多个物理网段,无须转发任何流量,而只须要在网络上被动地、无声息地收集它所关切的报文即可入侵检测系统处理过程分为数据采集阶段、数据处理及过滤阶段、入侵分析及检测阶段、报告以及响应阶段等四个阶段数据采集阶段是数据审核阶段入侵检测系统收集目标系统中引擎供应的主机通讯数据包和系统运用等状况数据处理及过滤阶段是把采集到的数据转换为可以识别是否发生入侵的阶段分析及检测入侵阶段通过分析上一阶段供应的数据来推断是否发生入侵报告及响应阶段针对上一个阶段中进行的推断做出响应假如被推断为发生入侵,系统将对其实行相应的响应措施,或者通知管理人员发生入侵,以便于实行措施4可行性分析入侵检测系统是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发觉违反平安策略的行为和遭到攻击的迹象,并做出自动的响应其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异样行为模式的统计分析、操作系统的审计跟踪管理及违反平安策略的用户行为的识别入侵检测通过快速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统快速复原正常工作,并且阻挡入侵者进一步的行动同时收集有关入侵的技术资料,用于改进和增加系统反抗入侵的实力
3.本课题的特点与创新之处在目前的计算机平安状态下,基于防火墙、加密技术的平安防护已经不够,要根本改善系统的平安现状,必须要发展入侵检测技术,它已经成为计算机平安策略中的核心技术之一入侵检测系统作为一种主动的平安防护技术,供应了对内部攻击、外部攻击和误操作的实时爱护入侵检测,这个曾被视作“抓黑客”“找蠕虫”的平安产品,在新时代校内网的新问题出现后,将获得一个全新的定义帮助网络管理者刚好、精确地发觉网络的各种入侵行为与网络异样现象,并能进行告警、跟踪、定位的实时检测系统;通过对网络面临威逼的监控与分析,展示网络总体的平安态势的平安管理工具更加关注用户体验的可视化入侵检测系统,是对入侵检测系统客户价值的一次飞跃式的提升,也必将推动入侵检测系统普及化时代的到来当前,绝大多数应用入侵检测系统的检测机制还停留在以基本的数据包捕获加以非智能模式匹配和特征搜寻技术来探测攻击基于特征模式匹配技术的入侵检测系统在实际网络环境下遇到的最大挑战,亦即当前大多数入侵检测系统在应用中的瓶颈问题是:精确性和性能模式匹配是第一代入侵检测系统和其次代入侵检测系统运用的技术,这种技术是对全部网络数据包与攻击数据库的攻击特征进行匹配,依次来判定数据包中是否有攻击存在协议分析是新一代入侵检测系统探测攻击手法的主要技术,它利用网络协议的高度规则性,并运用这种学问快速探测攻击的存在这种高度有效的技术导致计算大量削减,即使在高负载的网络上,也可以完全探测出各种攻击,并对其进行更具体的分析而不会丢掉任何数据包基于协议分析的入侵检测系统技术采纳了与模式匹配不同的搜寻算法,极大地提高了性能,可以更快、更有效地处理信息数据帧和连接,同时能够推断一个通信的实际内容及含义,它们不太简洁受到黑客入侵检测系统躲避技术的影响,具有抗躲避性,占用系统资源也较少,精确率得到了提高,因此,基于协议分析的入侵检测系统技术应是将来高速网络入侵检测系统的重要发展方向
4.探讨进度、工作内容和预期成果1探讨进度、工作内容序号阶段及内容起止日期阶段成果形式1前期调研
2010.9^
2010.12资料2相关技术探讨
2011.T
2011.5资料3系统设计与实现
2011.6^
2011.12软件4系统测试
2012.P
2012.3软件5整理资料,撰写论文
2012.4^
2012.6论文2预期成果
①分析探讨各种入侵检测系统的特点,提出一种适合校内网的入侵检测系统模型并设计实现
②至少完成发表一篇学术论文
③完成毕业论文撰写,并通过答辩
三、参考文献
[1]余扬,孔梦荣.基于FPGA器件的高速以太网入侵检测系统设计与实现[J].微计算机信息,2005,3:55-57
[2]蒋文保.宽带网络入侵检测系统的分析与实现[J].计算机工程,2003,1:30-31
[3]刘文涛.Linux网络入侵检测系统[M].北京电子工业出版社,2004
[4]高光勇等.联动防火墙的主机入侵检测系统的探讨[J].微计算机信息,2005,7-3:66-68
[5]唐正军等.网络入侵检测系统的设计和实现[M].北京电子工业出版社,2002
[6]唐正军,李建华.入侵检测技术[M].北京清华高校出版社,2004
[7]网络产品新概念.://dataworld
[8]B Caswell,J Beale,J CFoster etal.Snort
2.0Intrusion Detection.NationalDefence industrialPress,2003
[9]Erik Johnson,Aaron Kunze.IXP1200programming[M].U.S.Intel,2002
[10]宋献涛,纪勇.网络维护:从IDS到IPS.计算机平安,2003;11陈凯文,史伟奇;基于数据挖掘的入侵检测探讨[J];电脑与信息技术;2003年06期□1]宋佳丽,刘晓梅,王莉莉,李淼;基于数据挖掘技术的网络入侵检测系统[J];长春工业高校学报自然科学版;2003年04期
[12]阎慧,曹元大;一种基于入侵统计的异样检测方法[J];计算机工程与应用;2002年22期
[13]王文奇,李伟华,史兴键;高速网络下入侵检测系统设计[J];计算机工程与应用;2004年19期
[14]杨忠宝,杨宏宇;Snort报文嗅探和报文解析实现的剖析[J];计算机工程;2005年13期
[15]王玉锋,范明铉,王绪本,徐海梅;入侵检测系统的探讨[J];计算机仿真;2004年05期
[16]王国伟,贾宗璞;基于防火墙的网络入侵检测探讨与设计[J];计算机与数字工程;2005年05期。