于基java的局域网网络入侵检测系统的设计与实现本科毕业设计.docx

1、于基java的局域网网络入侵检测系统的设计与实现本科毕业设计基于代理的入侵检测系统的实现摘 要入侵检测系统在如今的网络安全领域已经成为一个关键性的组件，但传统的入侵检测系统存在的一定的不足，如误报率和漏报率比较高，检测速度慢，占用资源多等。为了适应网络安全的发展需求，针对现有的入侵检测系统，结合移动代理技术，提出了基于移动代理的分布式入侵检测模型。本文首先分析了当今网络安全的现状和存在的问题，指出了传统的入侵检测系统的局限性，并阐述了入侵检测技术的发展历史和研究现状。然后讲叙了分布式入侵检测模型的构成，在该模型各个分布节点上使用Snort抓取网络数据包，并记录可疑攻击数据，通过移动代理技术对可

2、疑数据融合后进行综合分析，完成对分布式入侵的检测功能。该模型在windows环境下实现，采用日本IBM公司的代理移动代理环境，结合Snort入侵检测系统，利用JAVA语言编程，实现从可疑数据中，分析出攻击行为，并自动添加相应规则，增强对网络的保护能力。关键字：分布式；移动代理；入侵检测；Snort；代理The Realization of Intrusion Detection System Based on Agent AbstractToday, intrusion detection system has become a key part of the area of the netw

3、ork security, but there still has some disadvantages in traditional intrusion detection systems, such as the high false positive rate and the high false negative rate，the slowly speed of detection, taking up a lot of resources and so on. In order to meet the demands of the network secure development

4、, the thesis provides the mode of distributed intrusion detection system based on mobile Agent technology according to nowadays intrusion detection system.First of all, the status and existed problems about the security of network is analyzed in this thesis, which points out the limitations of the t

5、raditional intrusion detection systems, and gives detail descriptions of the development history and the research status of the intrusion detection technology. Second, the thesis describes the mode of the distributed intrusion detection system based on mobile Agent technology. In this mode Snort is

6、used on the distributed nodes to grasp the network data packets, and record the suspicious data. The system realizes the general analysis on fused suspicious data collected by the mobile Agent technology. This system is realized in the windows operation system, which adopts the Agent mobile Agent be

7、longed to the Japanese IBM company and combined with snort intrusion detection system. The system developed in java language analyzes the intrusion behavior, increases the rules automatically, and strengthens the ability of protection to the network.Key words: distributed; mobile Agent; intrusion de

8、tection; Snort; Agent目 录1 引言 11.1 绪论 11.2 研究现状 11.3 本文主要内容 22 入侵检测和移动代理技术 22.1 入侵检测技术 22.1.1 入侵检测概述 22.1.2 入侵检测的分类 32.1.3 人侵检测系统的发展趋势 42.2 移动代理技术 52.2.1 移动代理 52.2.2 移动代理与入侵检测系统结合的优势 53 基于移动代理的分布式的入侵检测模型 53.1 传统的入侵检测系统缺陷 53.2 基于移动代理的分布式入侵检测系统 63.2.1 系统设计目标 63.2.2 系统模型设计 63.3 系统主要部件介绍 73.3.1 移动代理环境 73

9、.3.2 数据收集 73.4 模型的工作机理 73.5 本模型的优缺点分析 73.6 分布式攻击检测实例 83.6.1 DoorKnob攻击基本原理 83.6.2 检测过程 84 系统的设计与实现 94.1 移动代理代理系统介绍和配置 94.1.1 代理系统架构 94.1.2 代理功能模型 104.1.3 代理安装与配置 104.2 Snort介绍与配置 114.2.1 Snort的简介 114.2.2 Snort系统组成 124.2.3 Snort的安装 124.2.4 Snort的配置 124.2.5 Snort数据库的配置 134.2.6 Snort网络入侵检测的使用 134.3 系统平

10、台的其他重要配置 144.4 系统实现技术 154.4.1 入侵检测数据收集 154.4.2 具体实现中采用的关键技术 154.5 代码分析模块 154.6 下一步工作 23结 论 23参考文献 24致 谢 25声 明 261 引言2 绪论随着计算机网络的飞速发展和应用，人们对网络和计算机的依赖也越来越大。目前, Internet已经成为世界上规模最大、用户最多、影响最广泛的网络。它遍及全球180个国家，包括60多万个网络，为用户提供各种信息服务，以及传播科研、教育、商业和社会信息最主要的渠道。它丰富了人们的文化生话，满足了人们日益增长的信息需求。但是网络病毒的泛滥、保密信息的泄露、计算机黑客

11、入侵，使得网络信息安全问题日益突出。不仅给企业和个人造成巨大的经济损失，严重的甚至威胁着国家政治、经济和军事的安全。根据美国FBI统计，美国每年因网络安全所造成的经济损失高达75亿美元，而全球平均每20秒钟就有一起Internet计算机侵入事件。因此，确保计算机和数据通信网络的安全成为世人关注的社会问题，成为计算机科学技术的热点领域。目前，要解决系统得安全问题，最直接的一个想法就是重新设计并构建新的计算机系统，但这在现实的实践中，是不可行的。Miller给出一份关于现今流行的操作系统和应用程序研究报告，指出不可能出现没有缺陷软件，即使再好的软件技术也无法消除漏洞的出现。其次，要花很长的时间将如

12、今带有安全缺陷的系统转换成安全系统。第三，如今加密技术方法还不完善。第四，安全访问控制等级和用户的使用效率成反比。第五，访问控制和保护模型本身存在一定的问题。第六，在软件工程中存在软件测试不充足、软件生命周期缩短、大型软件复杂性等难以解决的问题。面对以上的问题，可行的解决办法是：建立容易实现的系统，并根据相应得策略建立其辅助系统，以增强网络的安全性。3 研究现状近年来，从事计算机网络安全的人员，通过对信息系统服务、传输媒介和协议的深入研究，使维护网络安全的产品不断更新换代，从单机的防病毒软件，到网络的防火墙，再到现在的入侵检测系统等等。入侵检测技术是主动保护自己网络免受入侵攻击的一种网络安全技

13、术，而入侵检测系统(Intrusion Detection System, IDS)就是能够实施该功能的工具。IDS能根据入侵行为的踪迹和规律发现入侵行为，从而有效地弥补传统安全防护技术的缺陷，成为防火墙之后的又一道安全防线。1980年4月，入侵检测概念由James P. Anderson的提出，这是第一次正式阐述了“入侵检测”这个概念。即提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想。这被公认为是IDS最初的理论基础。从1984年到1986年，斯坦福研究所的Dorothy E. Denning和Peter

14、Neumann研制出了一个实时入侵检测系统模型，取名为IDES(Intrusion Detection Expert System，入侵检测专家系统)。它具有以下的特点，独立的特定系统平台、应用环境、系统弱点以及入侵类型，为构建IDS提供了一个通用的框架，后来在1988年，Teresa Lunt等人改进了该入侵检测模型，并开发出了该检测系统。该系统包括异常检测器和专家系统，分别用于统计异常模型的建立和基于规则的特征分析检测。1988年11月莫里斯蠕虫事件发生之后，军方、学术界和企业对网络安全高度重视，这促使了人们投入更多的资金和精力去研发IDS。现在，入侵检测技术的研究正朝智能化和分布式两个方

15、向前进。对入侵检测的研究，从早期的审计跟踪数据分析，到实时入侵检测系统，到目前应用于大规模网络的分布式入侵检测系统，基本上已发展成具有一定规模和相应理论的研究领域。4 本文主要内容入侵检测至今已发展了20余年，在这过程中出现了数百种基于不同的技术和环境的入侵检测系统，但大多数都具有误报和漏报率高，灵活性有限，可移植性差等缺陷，本文针对这些缺陷，在移动代理(Mobile 代理)技术和多系统互操作性的通用入侵检测模型基础上，提出了具有伸缩性的、重用性的、适应性好的基于移动代理的分布式入侵检测模型，并加以了实现。在一定程度上降低了误报和漏报率，并解决了移植性和灵活性差等问题，使网络检测和效率有所提高

16、。本文除了该章外，还有以下主要内容。第二章概述入侵检测和移动代理技术，主要包括入侵检测的概念和分类，以及移动代理的定义和功能。第三章在现有的移动代理和入侵检测工具基础上，分析对比各自的优缺点后，提出面向移动代理的分布式入侵检测系统模型。第四章是系统的具体设计与实现，分析了该模型的一些问题，如移动代理和入侵检测的选材和实现等，并加以实现。第五章对本文作了全面的总结。5 入侵检测和移动代理技术6 入侵检测技术7 入侵检测概述入侵是指任何试图危及计算机资源的完整性、机密性或可用性的行为，而入侵检测是对入侵行为的发觉，它通过从计算机网络或系统中的若干关键点收集信息，并对这些信息进行分析，从而判断是否有

17、违反安全策略的行为和遭到攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，它扩展了系统管理员的安全管理能力，包括安全审计、监视、进攻识别和响应，从而提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。网络入侵检测系统(IDS)是一项很新的网络安全技术，目前已经受到各界的广泛关注，它的出现是对原有安全系统的一个重要补充。8 入侵检测的分类1. 根据目标系统的类型的不同可以将入侵检测系统分为如下两类： 基于主机的入侵

18、检测系统。通常，基于主机的入侵检测系统可监测系统、事件和操作系统下的安全记录以及系统记录。当有文件发生变化时，入侵检测系统将新的记录条目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警，以便采取措施。 基于网络的入侵检测系统。基于网络的入侵检测系统使用原始网络包作为数据源。该系统通常利用一个运行在混合模式下的网络适配器来实时监视并分析通过网络的所有通信业务。2. 根据入侵检测系统分析的数据来源分类。入侵检测系统分析的数据可以是主机系统日志、网络数据包、应用程序的日志、防火墙报警日志以及其他的入侵检测系统的报警信息等。据此可将入侵检测系统分为基于不同分析数据源的入侵检测系统。3.

19、 根据入侵检测分析方法的不同可将入侵检测系统分为如下两类： 异常入侵检测监测系统。异常入侵检测系统利用被监控系统的正常行为的信息作为检测系统中入侵、异常活动的依据。 误用入侵检测系统。误用入侵检测系统根据已知入侵攻击的信息(知识、模式)来检测系统中的入侵和攻击。4. 根据检测系统对入侵攻击的相应方式的不同可将入侵检测系统分为如下两类： 主动的入侵检测系统。主动的入侵检测系统在检测出入侵后，可自动地对目标系统中的漏洞采取修补、强制可疑用户(可能的入侵检测)退出以及关闭相关服务等对策和相应措施。 被动的入侵检测系统。被动的入侵检测系统在检测出对系统的入侵攻击后产生报警信息通知系统安全管理员，至于之

20、后的处理工作则有系统管理员完成。5. 根据系统各个模块运行的分布方式的不同，可将入侵检测系统分为如下两类： 集中式入侵检测系统。系统的各个模块包括数据的收集与分析以及响应都集中在一台主机上运行，这种方式适用于网络环境比较简单的情况。 分布式入侵检测系统。系统的各个模块分布在网络中不同的计算机、设备上，一般来说分布性主要体现在数据收集模块上，如果网络环境复杂、数据量比较大，那么数据分析模块也会分布，一般是按照层次性的原则进行组织。9 人侵检测系统的发展趋势1. 分布式入侵检测这个概念有两层含义：第一层是针对分布式网络攻击的检测方法；第二层是使用分布式的方法来检测分布式的攻击，其中的关键技术为检测

21、信息的协同处理与入侵攻击的全局信息的提取。分布式系统是现代IDS主要发展方向之一，它能够在数据收集、入侵分析和自动响应方面最大限度的发挥系统资源的优势，其设计模型具有很大的灵活性。2. 智能化入侵检测使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，应具有更广泛的应用前景。异常检测和误用检测的结合，使这两种方法能够紧密结合，互补各自的优、

22、缺点。3. 全面的安全防御方案使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测等多方面对网络作全面的评估，然后提出可行的全面解决方案。4. 基于网络和基于主机的入侵检测系统相互结合这两种方法都有各自的优势，都能发现对方无法检测到的一些入侵行为。比如基于主机的入侵检测系统使用系统日志作为检测依据，因此它们在确定攻击是否已经取得成功时与基于网络的检测系统相比具有更大的准确性。在这方面，基于主机的入侵检测系统对基于网络的入侵检测系统是一个很好的补充，人们完全可以使用基于网络的入侵检测系统提供早期报警，而使用基

23、于主机的入侵检测系统来验证攻击是否取得成功。在新一代的入侵检测系统中，将把现在的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名、检测、报告和事件关联功能。10 移动代理技术11 移动代理移动代理是一个自主程序，它能够在异构的网络中从一台主机迁移到另一台主机，在迁移前，暂停自身的执行，封装代码及状态，然后利用传输机制，从一台主机移动到另外一台主机，然后将代码实例化并恢复封存的状态，继续运行。而移动代理系统则是一个允许代理在系统中不同主机前迁移的平台，即一个代理运行环境，代理在其中进行自己的操作。通常情况下，移动代理系统由代理、代理环境和通信信道组成。代理是一个软件实体，可以

24、从一个代理环境移动到另一个代理环境，通过这样可以完成相应的任务。而在移动代理之间以及移动代理和控制台之间的通行是通过通信信道作为媒介进行的。12 移动代理与入侵检测系统结合的优势将移动代理技术和入侵检测相结合，与传统的IDS相比，主要具有以下的优势：6. 减轻网络负载。捕获的数据不用送回中心分析主机，节约网络资源。7. 独立运行。代理主机独立自动运行。8. 减少误报漏报。通过代理主机，将数据可以综合分析，对于网段攻击检测有很好的效果。13 基于移动代理的分布式的入侵检测模型14 传统的入侵检测系统缺陷入侵检测系统通常采用模式匹配方式来检测入侵，即在检测过程中，只是把网络传输的数据流依次进行匹配

25、，而不查看具体数据包的内容。这样一旦发现匹配的字串，不管是不是真正的攻击行为，就会报警。这样不可避免的会导致误报率和漏报率的出现。在模式匹配的检测过程中，网络中的每个数据包都要与特征库中的记录进行比较，据资料指出，假设网络中每秒钟流过15000个数据包，一般情况下，则每秒钟所需要的最大比较次数为：937.5亿次。这样，必然会因为计算机的运算速度跟不上而出现遗漏对很多数据包的检测而产生漏报。对于传统的网络入侵检测系统，并没有相应一个处理模块来收集各个节点的数据进行综合分析，这对一些网络入侵是无济于事。在网络入侵中，有一种名为doorknob攻击方法，入侵者试图猜测网络上几台主机的用户口令，为了避

26、免被入侵主机的怀疑，入侵者只有试图猜了几次放在网络上的几台电脑主机，这样的入侵情况在许多的主机型IDS并不会被检测到，这种入侵网络上一台以上的电脑主机的入侵行为，称之为网段入侵(network intrusion)。15 基于移动代理的分布式入侵检测系统16 系统设计目标对于该系统功能有如下的要求：9. 首先，网络性能要求。在不明显增加网络负载的情况下，能对网络进行入侵检测。10. 其次，记录怀疑不确定行为。攻击的方法在不断的更新，它们的攻击特征也不断变化。所以在不改动系统的情况下，建立某种检测机制，在该分布式系统中，不但对已知的攻击能检测，对不能确定的行为能进行记录。11. 其三，自动完善要

27、求。对怀疑的行为能进行分析和确定是否为攻击行为，若是攻击，能自动添加规则，使系统对该攻击具有免役能力。17 系统模型设计将移动代理和入侵检测结合起来，让入侵检测系统成为更灵活、更健壮、更自制的检测工具，本文提出基于移动代理的分布式入侵检测模型，是根据移动代理可以自主迁移的特性，该模型系统可以安装具体的网络系统的安全策略配置在任何需要检测的系统中，只要安装了移动代理环境和入侵检测数据收集器，就可以成基于移动代理的分布式入侵检测系统的一部分。本位提出的系统设计模型如图3-1所示：图3-1 系统设计模型18 系统主要部件介绍19 移动代理环境本系统采用的移动代理环境是由日本IBM 公司所提出的代理，

28、它是完全由Java语言开发，并提供实用的平台代理s Workbench是开发或执行mobile 代理系统。代理 这个字是由代理与applet两个字所合成的，简单的说就是具有代理行为的Java applet物件。在代理系统中，代理物件是可以在网络中从一台主机移动到另一个主机。代理物件在移动时，会携带程序代码和所有对象的状态数据，并采用了内嵌的安全机制，代理的实现是采用事件驱动方式，并采用对称算法进行域内的身份认证和对移入的代理进行一致性检测，并可通过图形界面(Tahiti管理程序)设置安全访问策略。代理有丰富的API函数,可以很方便的构造应用程序，它提供的通信协议是应用层协议ATP(基于TCP的

29、代理传输协议)，但同时也支持Java RMI。20 数据收集根据本系统的设计要求，能对分布式攻击检测，所以本文采用入侵检测系统Snort作为数据收集器，记录网络入侵和可疑数据，最终达到在Snort基础上，建立起一个更加完善的入侵检测系统。21 模型的工作机理本系统的工作过程如下：12. 在分布式的各个节点上运行Snort工具检测攻击，并记录相应的数据到数据库，包括可以数据。13. 启动移动代理环境，运行移动代理程序，该程序会通过遍历所有节点，自动的将各个数据库里可疑的数据提取出来，并通过代理带回移动主机上。14. 在代理主机上对这些各节点的可疑数据综合分析。若分析出攻击行为，则自动添加规则到规

30、则文件中，禁止该行为主机对该保护网络的再次访问。22 本模型的优缺点分析15. 优点总结 网络性能好。该模型的实现是分布在网络的一些节点上，检测时对网络不会有影响，占用网络资源少。 自我完善。该模型能对可疑数据记录并综合分析，最终确定是否含有攻击，若有攻击的存在，通过自动添加访问规则来自动完善系统。 降低漏报率。通过移动代理将各节点的数据综合分析，让检测分析数据更为准确，实现了对网段攻击检测，在一定程度上弥补了传统的网络入侵检测这方面的不足。16. 不足之处但该模型仍存在着先天的缺陷。因为是对已记录的分布式可疑数据分析，这意味着攻击发生后，才进行系统的检测和完善，即可以检测出这种攻击的再次来袭

31、，但对于第一次的攻击是检测不出来的。23 分布式攻击检测实例24 DoorKnob攻击基本原理图3-2 实例所处的网络结构假设网络结构如图3-2所示，网络由多个子网构成，每个子网拥有多台主机，攻击者发起DoorKnob攻击的步骤如下：攻击者在时刻t以空密码的root用户尝试登录主机A1，隔一段时间T，在时刻t+T以空密码的root用户尝试登录主机B1，依此类推，在时刻t+2nT以空密码的root用户尝试登录主机Bn。如果没有找到可利用的主机，在时刻t+(2n+1)T以密码123456的root用户尝试登录主机A1，然后再依次类推，直至发现可利用的主机。攻击者通过设置适当的时间间隔T，可避免各主

32、机上的入侵检测组件对其的检测。但是基于移动代理的体系结构能有效的检测这种攻击。25 检测过程首先，信息收集器收集主机上的可疑信息，把登录失败的信息看作是一种可疑信息，因为登录失败可能是由于用户输入错误，也可能是由攻击者产生的。当移动代理将各主机中的可疑信息融合后可得出图3-3所示信息:图3-3 融合后的数据移动代理在各主机之间移动时，可统计各远程主机的登录失败次数，如果超过了一个门限值（比如15），则认为是攻击发生。图3-3中远程主机222.18.113.4实际上是在发动DoorKnob攻击，由于在各主机上的登录失败次数都没有超过门限，所以驻留在主机上的IDS无法检测到这种攻击。移动代理访问主机1和主机2后，检测到主机222.18.113.4的登录失败次数为13,仍没有超过门限(15)，当移动代理迁移到主机3，检测到它的登录失败次数为23，攻击被检测。