基于多主体技术入侵检测系统——底层数据库的分析整合---毕业论文.doc

1、 本 科 毕 业 论 文 基于多主体技术 入侵检测 系统 底层数据库的分析整合 Based on Multi-Agent Technology Intrusion Detection System Analysis and integration of the underlying database 姓 名： 学 号： 学 院：软件学院 系：软件工程 专 业：软件工程 年 级： 指导教师： 年 月 摘 要 随着 Internet 的迅速发展和信息社会的到来，网络已经影响到社会的政治、经济、文化、军事和社会生活的各个方面。以网络方式获取信息和交流信息已成为现代信息社会的一个重要特征。互联网作为当

2、代社会传播信息资源的工具已经越来越重要。网络已经成为当今社会人们生活中必不可少的一部分。 而随着计算机网络越来越复杂，网络管理己变得日益重要，要求网络管理对网络变化做出快速反应，以及为管理大型网络提供必要的手段等等。网络流量分析系统作为网络管理的一个重要的基础系统，对网络的流量进行实时的监 控，为后续的网络管理工作，网络黑客攻击防范工作起到了最重要的作用。 我们所设计的基于多主体的入侵检测系 统是通过对多个主体检测到的数据进行分析整合，提取关键数据，然后再 进行二次分析，以达到降低误报率，减少冗余报警 。 在这个系统中我们主要对 snort获得的攻击和流量监控系统产生的报警进行分析整合，考虑到

3、以后的跨平台，我们用 java实现， MySQL作为后台的数据库管理系统 并提供一个良好的界面展示分析前后的数据，直观的体现出是否达到降低误报，减少冗余。 关键词 ： 入侵检测 ； 流量分析 ； snort； MySQL； Winpcap Abstract With the rapid development of Internet and the advent of the information society, the social network has already affected the political, economic, cultural, military and a

4、ll aspects of social life. The way to obtain and exchange information through the Internet has become an important feature of the modern information society. Internet as a resource tool for the dissemination of information in contemporary society has become increasingly important. The network has be

5、come an essential part of societys life. As computer networks become more complex, network management has become increasingly important for the network to react quickly to changes in the management of the network, as well as for the management of large networks with the necessary means, and so on. N

6、etwork flow analysis system, as an important foundation system of the network management, conducts a real-time monitoring to the network flow control, plays the most important role in the follow-up management of the network and network hackerscrime prevention. Multi-agent-based intrusion detection s

7、ystem We designed is detected on a number of the main analysis of the data integration, piuck up key data, and then a second analysis, in order to reduce the false alarm rate, reducing redundant alarm. Under this system, we focused on access to snort attacks and traffic monitoring system to analyze

8、the integration of the alarm, after taking into account the cross-platform, we use java to achieve, MySQL as the database management system background and provide a good interface to display the data that before and after analysis, reflect the system whether or not reduce false positives and reduce

9、redundancy. Key words: intrusion detection; Flow analysis ; Winpcap; MySQL;Snort 目 录 第一章 绪论 . 1 1.1 选题背景和研究意义 . 1 1.2 本文研究内容 . 3 1.3 论文组织结构 . 3 第二章 基本概念介绍 . 4 2.1 以太网简介 . 4 2.1.1 以太网的简史 . 4 2.1.2 OSI 参考模型 . 5 2.1.3 以太网基本网络组成 . 5 2.2 IP/TCP 协议 . 6 2.2.1 TCP/IP 整体构架概述 . 6 2.3 UDP 协议 . 8 2.4 ICMP 协议 .

10、9 2.5 Winpcap 协议介绍 . 9 2.5.1 Winpcap 的组成 . 10 2.5.2 Winpcap 的功能 . 10 2.6 系统开发工具简介 . 11 2.6.1 Eclipse 简介 . 11 2.6.2 MySQL 简介 . 13 2.6.3 Snort 简介 . 13 2.6.4 基于 Winpcap 的流量分析系统简介 . 17 2.7 本章小结 . 18 第三章 系统详细设计 . 19 3.1 系统开发目的及设计目标 . 19 3.2 系统整体设计思想 . 19 3.3 抓获分析 snort 系统报警数据 . 20 3.3.1 snort 规则 . 21 3.3

11、.2 Windows 平台下 snort 的安装和使用 . 24 3.4 抓获分析基于流量的监控系统的警报数据 . 26 3.5 分析整合数据 . 26 3.5.1 分析来自 snort 系统的数据 . 26 3.5.2 分析来自流量监控系统的数据 . 28 3.5.3 整合数据 . 28 3.6 实时扫描 . 32 3.7 界面显示 . 33 3.8 数据库的设计 . 34 3.9 本章小结 . 35 第四章 系统实现结果 . 36 4.1 后台数据的捕获分析 . 36 4.1.1 获取 snort 系统报警数据 . 36 4.1.2 获取流量监控系统警报数据 . 41 4.1.3 分析整合

12、数据 . 44 4.2 用户界面显示 . 46 4.3 本章小结 . 47 第五章 结束语 . 48 参考文献 . 50 致谢 . 51 Contents Chapter 1 Introduction .1 1.1 Research Topics Background and Significance . 1 1.2 the contents to research . 3 1.3 The organizational structure. 3 Chapter 2 Introduced the basic concepts .4 2.1 Ethernet Introduction . 4 2.

13、1.1 A Brief History of Ethernet. 4 2.1.2 OSI Reference Model. 5 2.1.3 Basic network of Ethernet. 5 2.2 IP/TCP Protocol . 6 2.2.1 TCP/IP outlined the overall framework . 6 2.2.2 Protocols in TCP/IP . 6 2.3 UDP Protocol . 8 2.4 ICMP Protocol . 9 2.5 Winpcap protocol introduced . 9 2.5.1 The compositio

14、n of Winpcap . 10 2.5.2 Winpcap functions . 10 2.6 Introduction System development tools . 11 2.6.1 Eclipse Introduction . 11 2.6.2 MySQL Introduction. 20 2.6.3 Snort Introduction . 20 2.6.4 Based on the traffic analysis system Winpcap Introduction . 17 2.7 Summary of this chapter . 18 Chapter 3 The

15、 detailed design of the system . 19 3.1 The purpose of system development and design objectives . 19 3.2 Overall system design concept . 19 3.3 Snort alarm analysis system captured data . 20 3.3.1 snort rules . 20 3.3.2 Windows platform installation and use of snort . 24 3.4 Analysis of captured tra

16、ffic monitoring system based on the alert data. 31 3.5 Analysis and integrated data . 31 3.5.1 Analysis of data from system snort. 31 3.5.2 Analysis from the data flow monitoring system . 28 3.5.3 Integration of data . 28 3.6 Real-time scanning . 32 3.7 Interface display . 33 3.8 Database design . 3

17、4 3.9 Summary of this chapter . 35 Chapter 4 The results of system . 40 4.1 Analysis of background data capture . 40 4.1.1 Snort alert data access . 40 4.1.2 Access to the flow monitoring system alarm data . 41 4.1.3 Analysis and integration of data . 44 4.2 User interface shows . 46 4.3 Summary of

18、this chapter . 47 Chapter 5 Concluding. 48 References . 50 Acknowledgements . 51 基于多主体的入侵检测系统 1 第一章 绪论 1.1 选题背景和研究意义 随着网络技术的发展和应用范围的扩大，特别是 Internet的兴起，许多商业组织开始把 Internet作为他们最重要的商业运作手段，政府机构也把 Internet作为向公众提供访问公共记录和信息的渠道，大众传媒的重心也逐渐向网络倾斜，人们越来越依赖于网络进行信息访问和信息处理，信息作为一种无形的资源也越来越得到人们的青睐，这一方面提供了资源的共享性，改变了以往单

19、机工作模式，提高了效率，但是另一方面，在带来便利的同时也急 剧地增加了网络安全的脆弱性和计算机系统的非安全因素。 自 1988年莫里斯蠕虫事件发生以来，侵犯安全的事件报道便不绝于耳， CERT/CC处理的安全事故逐年呈爆炸性增长。世界著名的商业网站，如 Yahoo、EBay、 Amazon、 CNN都曾被黑客入侵过，造成巨大的经济损失，甚至连专门从事网络安全的 RSA网站也曾受到过黑客的攻击。据美国联邦调查局（ FBI）的估计， 2000年全美因网络安全问题而造成的损失约为 1万亿美元。我国的网络安全形势也十分严峻，频繁的黑客入侵事件和计算机病毒的泛滥，使我国的很多政府部门、国家 重要商业和教

20、育机构都受到了不同程度的侵害，有些造成了严重的社会影响和经济损失。如何有效保护重要的信息数据、提高计算机网络系统的安全性是当前必须考虑和解决的一个重要问题。 传统的网络安全技术主要包括：加密和数字签名机制、身份认证与访问控制机发展得比较成熟，特别是防火墙技术，它能有效地控制内部网络与外部网络之间的访问及数据传送，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤信息的目的，防火墙配置的多样性和防护的有效性使它成为网络安全防线的中流砥柱，但是防火墙对于从内部发出攻击却无能为力。任何一种单一的 安全技术都并非万能，而且随着攻击者经验日趋丰富，攻击工具与手法的日趋复杂多样，传统单一的安全技术和

21、策略已经无法满足对安全高度敏感的部门的需要。因此，网络安全的防卫必须采用一种纵深的、多样的手段，形成一个多层次的防护基于多主体的入侵检测系统 2 体系，不再是单一的安全技术和安全策略，而是多种技术的融合，关键是各种安全技术能够起到相互补充的作用，这样，即使当某一种措施失去效能时，其他的安全措施也能予以弥补。传统的安全技术虽然取得了很大的成效，但是它也存在一些固有的缺陷，比如访问控制可以拒绝未授权用户的访问，却并不能防止已授权访问用户获取系统 中未授权信息；防火墙可以将危险挡在外面，却无法挡住内部的入侵。从网络安全的角度看，公司的内部系统被入侵、破坏与泄密是一个严重的问题，以及由此引出的更多有关

22、网络安全的问题都应该引起重视。据统计，全球 80%以上的入侵来自于内部。因此，传统的安全技术更多的是一种基于被动的防护，而如今的攻击和入侵要求我们主动地去检测、发现和排除安全隐患，正是在这样的环境下，入侵检测系统开始崭露头角，成为了安全市场上和研究上新的热点，不仅愈来愈多的受到人们的关注，而且已经开始在各种不同的环境中发挥越来越重要的作用。 入侵检测作为一种 积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。 现有的入侵检测系统（ Intrusion Detection System， 简称 IDS)在实际应用中普遍存在误报率 /漏报率

23、高的缺陷 ,其根本原因在于 ： 传统的 IDS往往注重于低层面的入侵和异常活动并独立地产生报警 ， 其报警的产生机制是面向活动细节而不是面向事件本身 5。比如 ， 一次正常事件中可能会出现与规则相匹配的可疑活动 ，虽然这时并不存在入侵事件 ， 但仍会导致 IDS产生报警 ,从而导致误报。而对于实际存在的入 侵事件来说 ， 由于该事件可能会包含大量同类型的可疑活动 ， 如在SYN拒绝服务攻击中会出现大量 SYN数据包 ,现有的 IDS(如 Snort)在处理这类问题时会为每个可疑活动产生一条报警 ， 而实际上这些报警反映的是同一个入侵事件。大量冗余报警不仅造成不必要的资源浪费 ， 而且也不利于基

24、于报警信息的关联分析。如何克服面向活动的报警信息产生机制给 IDS所带来的负面影响已经成为入 侵检测技术应用和发展中必须解决的问题。根据对现有报警信息产生机制的分析我们认为 ， 现有 IDS在处理原始报警信息时将可疑活动等同于入侵事件的机制是不可取的 5。虽然现有报警机制产生的详尽报警信息有助于了解入侵的细节 ,提供了及时发现入侵的机会 ， 但不能简单将其理解为发现实际入侵行为的结论。基于以上认识 ， 我们提出了一种基于入侵事件的报警信息产生机制。其基本思想基于多主体的入侵检测系统 3 是以原始报警信息为分析对象 ， 在剔除那些不属于入侵事件的报警事件后 ,对属于同一入侵事件的报警进行关联融合 ， 从而在减少冗余信息的同时降低了误报率。 1.2 本文研究内容 本文根据多主体入侵检测系统的特点，将 snort系统和流量分析系统 所产生的 报警 数据 进行 整理 分析，并 将其 整合进入侵检测 系统 的数据库，以达到整个系统在 降低误报和减少冗余 等方面 的性能 。 最终 将整合前后的数据展示出来，对 所得的实验数据进行分析和验证，证明通过进一步整合 snort系统和流量分析系统所产生的报警数据 后， 多 主体入侵检测系统 系统 在报警误报和冗余方面 取得了较 大的改善，基本达到我们的预期。 1.3 论文组织结构 论文的组织结构如下 ： 第一章 绪论 主要说明了