1、厦门大学软件学院毕业设计(论文)开题报告 学生姓名 班级 学号 指导教师姓 名 职称 所在单位 厦门大学软件学院 毕业设计(论文)题 目 基于多主体技术入侵检测系统 毕业设计(论文)的 目标: 随着计算机网络越来越复杂,网络管理己变得日益重要,要求网络管理对网络变化做出快速反应,以及为管理大型网络提供必要的手段等等。网络流量分析系统作为网络管理的一个重要的基础系统,对网络的流量进行实时的监控,为后续的网络管理工作,网络黑客攻击防范工作起到了最重要的作用。 本 入侵 系 统将用来 分析整合 snort 系统和流量分析系统所取得的警报数据 ,实现针对不同 系统的报警进行 分析, 把分析前后的数据通
2、过友好的界面展示 出来,并将 最终 数据保存到数据库。在 snort 系统和流量分析系统 的基础上,通过制定一定的 准则(如报警数据的源 IP 地址是否相同) , 对两个不同系统所抓获的警报数据进行分析整理 , 在一定的时间内符合准则的报警只给出一次,这样就大大的减少了系统的误报和冗余警报。 实现方法: 根据 基于多主体的入侵检测 系统的开发目的及设计目标,将系统定位于一个包含 抓获分析 snort系统报警数据、抓获分析基于流 量监控系统报警数据、整合来自两个系统的数据存取、实时扫描和界面显示等几个 模块。 其中 snort系统和基于流量监控系统需要通过安装 winpcap包协议让其能够在wi
3、ndows平台运行。 Snort需要通过配置其抓获数据包的规则,从而获得报警的数据,同时对 snort的命令也要有所了解。并且在 snort中它已经拥有自己的数据库系统,所获得的报警数据都存在于它自己的数据库中,所以我们需要把它进一步分析、整合进我们的系统数据库中。基于流量的监控系统是直接调用 winpcap的 API进行捕获数据包,然后把流量比较大的一类数 据包报警,我们主要是抓取它的报警数据跟 snort系统的报警数据进行比较、分析、整合,存入我们系统的数据库。 实时扫描是整个系统比较关键的部分,因为报警如果失去了实时性就失去了意义,所以我们默认的让系统每秒钟扫描一次 snort系统和基于
4、流量的监控系统的数据库,并进行分析整合,使得基于多主体入侵检测系统的其他部分能够很及时的取得所需要的数据。当然系统还能够设置扫描的间隔时间,这样系统就有一定的灵活性。 界面显示主要是把 snort系统、基于流量的监控系统和整合后的数据展示出来,让我们能够直观的看到数据整合前后的区 别,直观的体会到系统在报警误报与冗余方面的性能的提高。 时间进度安排: 2008 年 11 月 17 日 -2009 年 1月 12日 阅读文献资料,理解任务, 拟定方案, 完成开题报告 2009 年 1 月 13 日 -2009 年 3月 20日 编写自己的对毕设项目的需求分析,准备好各种所需素材,配置好项目所需的
5、环境,完成中期检查报告 2009 年 3 月 21 日 -2009 年 5月 10日 完成项目的编写工作,实现所需功能。 2009 年 5 月 11 日 -2009 年 5月 31日 对所实现的项目进行测试工作,编写整理项目文档 、论文撰写。 2009 年 6 月 01 日 -2009 年 6月 10日 论文 定稿 、论文答辩 指导教师审核意见: 校内指导教师签名: 2008 年 月 日 厦门大学软件学院毕业设计(论文) 中期检查 报告 学生姓名 班级 六班 学号 23020051204669 指导教师姓名 职称 副教授 毕业设计(论文)题 目 基于多主体技术入侵检测系统 毕业设计(论文)的
6、目标和主要任务: 本 入侵 系统将用来 分析整合 snort 系统和流量分析系统所取得的警报数据 ,实现针对不同 系统 的报警进行 分析, 把分析前后的数据通过友好的界面展示 出来,并将 最终 数据保存到数据库。在 snort 系统和流量分析系统 的基础上,通过制定一定的 准则(如报警数据的源 IP 地址是否相同) , 对两个不同系统所抓获的警报数据进行分析整理 , 在一定的时间内符合准则的报警只给出一次,这样就大大的减少了系统的误报和冗余警报。 系统定位于一个包含 抓获分析 snort系统报警数据、抓获分析基于流量监控系统报警数据、整合来自两个系统的数据存取、实时扫描和界面显示等几个 模块。
7、 其中 snort系统和基于流量监控系统需要通过安装 winpcap包协 议让其能够在windows平台运行。 Snort需要通过配置其抓获数据包的规则,从而获得报警的数据,同时对 snort的命令也要有所了解。并且在 snort中它已经拥有自己的数据库系统,所获得的报警数据都存在于它自己的数据库中,所以我们需要把它进一步分析、整合进我们的系统数据库中。基于流量的监控系统是直接调用 winpcap的 API进行捕获数据包,然后把流量比较大的一类数据包报警,我们主要是抓取它的报警数据跟 snort系统的报警数据进行比较、分析、整合,存入我们系统的数据库。 实时扫描是整个系统比较关键的部分,因为
8、报警如果失去了实时性就失去了意义,所以我们默认的让系统每秒钟扫描一次 snort系统和基于流量的监控系统的数据库,并进行分析整合,使得基于多主体入侵检测系统的其他部分能够很及时的取得所需要的数据。当然系统还能够设置扫描的间隔时间,这样系统就有一定的灵活性。 界面显示主要是把 snort系统、基于流量的监控系统和整合后的数据展示出来,让我们能够直观的看到数据整合前后的区别,直观的体会到系统在报警误报与冗余方面的性能的提高。 实现方法: 一、基本环境 开发工具: Eclipse 开发语言: Java 数据库: MySQL 后台系统: snort 系统、流量分析系统 已经完成毕业设计(论文)任务的情
9、况 : 抓获分析 snort 系统和 基于流量监控系统报警数据: 基本需求 一、 抓获分析 snort 系统报警数据 1)、 了解 snort 系统 2)、 安装 配置 snort系统 3)、 运行 snort系统 并获取数据 4)、分析数据 二、 抓获分析流量监控系统报警数据 1)、了解流量监控系统 2)、运行并获取流量监控系统报警数据 3)、分析数据 已完成的工作: 一、 抓获分析 snort 系统报警数据 1)、了解 snort 系统 snort 有三种工作 模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把
10、数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让 snort 分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。 在该系统中它工作在网络入侵检测系统的模式下面,这样方便系统取得报警数据。 2)、安装配置 snort 系统 在 windows下使用 snort需要安装 winpcap、 mysql等软件 安装 mysql、 snort与 winPCAP 首先到 以下地方得到我们所需要的软件的最近版本 1、 snort.exe http:/www.snort.org 2、 WinPcap_3_2_alpha1.exe( windows版本的 PCAP)
11、 http:/winpcap.polito.it 3、 mysql-5.0.16-win32.zip( windows版本的 mysql数据库服务器) http:/ 得到软件包后,都按照默认的方式安装,为安全起见,我们配置 Mysql帐号 为默认 root 帐号添加口令: c:cd mysqlbin c:mysql mysql mysqlset password for “root“localhost“ = password(your password ); 建立 snort 运行必须的 snort 库和 snort_archive 库 mysqlcreate database flow; m
12、ysqlcreate database snort_archive; 使用 c:snortcontrib 目录下的 create_mysql 脚本建立 Snort 运行必须的数据表 c:mysqlbinmysql -D snort -u root -p source create_mysql简单的 snort配置 打开 snort安装路径下(如 C:Snortetc) 的 snort.conf文件(可以使用记事本或是写字板打开) 配置: var RULE_PATH c:/snort/rules(配置 rules的绝对路径) include c:snortetcclassification.co
13、nfig( classification.config的绝对路径 ) include C:Snortetcreference.config( ) 配置 snort的输出插件: output database: alert, Mysql, host=localhost port=3306 dbname=flow user=root password=your_password sensor_name=n encoding=ascii detail=Full 由于 系统 的 Mysql和 snort在同一台服务器上,所以用的是 root帐号登陆,如果不是在本地的 Mysql服务器,使用: outp
14、ut database: alert, Mysql, host=192.168.22.139 port=3306 dbname=snort_ncool_1 user=snort password=your_password sensor_name=n encoding=ascii detail=Full 其他的设定及命令含义请参考 snort相关资料。 3)、运行 snort 系统并获取数据 现在你可以在命令提示符里输入: c:snortbinsnort c c:snortetcsnort.conf l c:snortlog d e v 测试你的 snort的配置情况 ,并检查所获得的数据是否
15、存进 mysql的 flow中。 二、 抓获分析流量监控系统报警数据 1)、了解流量监控系统 基于 Winpcap的流量监控 系统是基于 Winpcap 协议进行开发的,采用 Visual C+作为开发平台, MySQL 作为后台的数据库管理系统,提供良好的用户管理界面,可以实现对本地网络流量的实时监控、统计分析 ,并提供异常流量的查询功能,从而能对网络中可能存在的拒绝服务攻击进行检测。 整个系统使用 C 语言编写后台数据包捕获程序, VC+作为前台的界面显示, MySQL 作为流量分析系统的数据库管理系统,以 MySQL 数据库作为前后台交互的中间层,使后台数据包的捕获和前台的数据流量实时监
16、控以及对历史数据查询得以很好的实现。 2)、运行并获取流量监控系统报警数据 流量监控 系统分后台的数据包捕获程序和前台用户界面两个部分 ,要分别运行两个部分才能获得该系统的报警数据。 存在的问题和困难(包括需要学院协助解决的问题和困难): 抓获分析 snort 系统和 基于流量监控系统报警数据 : (1) 分析 snort 系统数据 这个模块还没有完成,主要是对整个 snort 数据库的结构还不够熟悉,有些表的作用不够明确,还不能完整的提取出所有需要的关键数据 ,对于进一步分析也存在问题。 (2) 分析流量监控系统数据 该模块的数据相对 snort 系统的数据比较简单,单纯的从 alarm表中
17、提取就可以,但是如何 对取得的数据进行分析还没有确定 算法。 指导教师审核意见: 校内指导教师签名: 2009 年 月 日 学院检查组意见: 学院检查组组长(签章): 2009 年 月 日 毕业论文任务书 (以下由学生填写) 题 目: 基于多主体技术入侵检测系统 目标要求: 1) 减少入侵检测系统的误报和降低冗余 2) 网络系统受到危害之前拦截和响应入侵 3) 直观 的用户界面 4) 独特的自我学习功能 支持条件: 界面开发: JDK1.6 eclipse 运行环境: windows 指导教师(签名) 职称 学生(签名) 分阶段进度安排 阶段 起讫时间 计划完成内容 1 2008 年 11 月
18、 17 日 - 2009 年 1 月 12 日 阅读文献资料,理解任务, 拟定方案,完成开题报告 2 2009年 1月 13日 -2009年 3 月 20 日 编写自己的对 该系统 的需求分析,准备好各种所需素材,配置好项目所需的环境,完成中期检查报告 3 2009年 3月 21日 -2009年 5 月 10 日 完成项目的编写工作,实现所需功能 4 2009年 5月 11日 -2009年 5 月 31 日 对所实现的项目进行测试工作,编写整理项目文档。 论文撰写 。 5 2009 年 6 月 1 日 -2009年 6 月 10 日 确认软件功能,编写用户文档,做一简单的软件主页。 论文 定稿 、论文答辩 注:一般可分为资料文献搜索、拟定方案(提纲)、试验或初稿、定稿等阶段 教师分阶段指导记录 第一阶段: 2008-112009-1 根据所提供的课题范围进行选题,并进行资料的调研整理工作 第二阶段 2008-112009-1: 根据所提供的课题范围进行选题,并进行资料的调研整理工作 第三阶段 2009-32009-5: 根据课题的具体要求,结合前期调研的资料,进 行相关技术的研究学习,完成课题的总体方案设计; 第四阶段 2009-52009-6: 完成具体的系统以及相关的算法的设计,进行系统开发与测试; 第 五 阶段 论
