1。2 国内外发展现状
1。3 当前存在的问题
目前的入侵检测并不完善,还存在以下问题:
(1)由于不同的主机有不同的安全问题,入侵检测系统也各自行使不同的职能,互相之间缺乏沟通,不能有效的进行追踪分析等知识入侵检测系统误报率高。
(2)事件响应与恢复机制还不完善。
(3)只对已知的攻击有效,并且特征库的维护很麻烦,自我学习能力和自适应能力差。
(4)入侵检测系统在国际范围内并没有统一标准,系统内缺乏统一的语言和规范。1。4 论文的研究内容及结构安排
本文主要是对snort入侵检测的研究,在Windows系统上搭建配置并进行调试,观察所捕获的数据包及产生的报警,介绍了入侵检测的基本概念和相关知识和snort的结构与规则的编写,设计了自定义入侵规则并进行了测试,该实验的主要目的如下:
(1)了解国内外研究情况并对存在的问题做大致认识。
(2)深入了解入侵检测的基础知识,认识入侵检测的组成及分类,对之后对snort的研究打下基础。
(3)了解snort的组成,对snort的功过流程及工作原理有一个清晰的认识,并学习如何编写规则。
(4)能够成功在Windows系统上配置搭建snort,并将自己写的程序进行测试,观察检测结果,对snort有更进一步的认识。
根据我们的学习目标,将文章分成五部分:
第一章绪论:介绍了研究的目的与意义、国内外发展现状及当前存在的问题
第二章入侵检测的基础知识:包括入侵检测的系统组成及分类,并详细介绍了入侵检测技术。
第三章Snort入侵检测:包括协议分析、snort的基本组成模块及工作流程
第四章Snort入侵检测在Windows系统上的搭建与调试,详细介绍了snort的配置过程,并且编写了自己的规则在snort上进行调试,展示调试结果。
第五章对此次试验进行总结梳理学到的知识。文献综述
第二章 入侵检测系统基础知识
“入侵”是指未经授权便对系统资源进行违规操作,这会致使系统数据丢失或破坏,甚至还会造成合法用户都不能再接受系统服务的严重后果。入侵者大致可分为两类:一类为外部入侵(如黑客),另一类为内部入侵(如:合法用户越权使用系统资源)。入侵检测不同于传统的预防性安全机制,作为一种事后处理方案,具有实时监控、配置简单、动态响应的优点。
2。1 入侵检测系统的组成
入侵检测主要包括信息收集和信息分析、处理两个部分。入侵检测步骤:信息采集->信息分析->结果处理[[[] 李文强。 计算机网络安全中入侵检测技术应用与分析。 电脑编程技巧与维护, 2016,43:99-100]]。如图2-1:
图2-1 入侵检测过程
(1)信息收集
入侵检测十分依赖收集信息的可靠性。收集的信息包括网络、系统、数据、用户活动的行为和状态。要保证最大范围的信息收集,然后对收集到的信息进行特征分析。
(2)信息分析
对收集到的信息,一般通过完整性分析进行事后分析或利用模式匹配和统计分析等手段进行实时入侵检测。入侵检测过程就是数据处理过程。通过分析网络数据,判断被监控者是否受到攻击。系统检测,就是区分正常动作与异常、恶意攻击行为,解决问题的关键就是如何定义、描述系统正常的行为。
(3)结果处理来自~优尔、论文|网www.youerw.com +QQ752018766-
结果处理是控制台根据报警,采取相应的措施,例如:终止进程、改变文件属性、切断链接等。结果处理过程可以分为两步:第一步为信息保存,一边管理员对网络传输信息或系统日志进行查看和分析,然后将需要的信息和得到的结果进行保存,第二部为攻击响应,对攻击行为进行相应处理(如发出报警或利用人为干预形式解除攻击)或是利用相应的硬件设施进行处理(如过滤攻击者的IP或利用防火墙切断链接)。