基于JAVA的局域网网络入侵检测系统的设计与实现_毕业论文(26页).doc
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《基于JAVA的局域网网络入侵检测系统的设计与实现_毕业论文(26页).doc》由会员分享,可在线阅读,更多相关《基于JAVA的局域网网络入侵检测系统的设计与实现_毕业论文(26页).doc(26页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、-基于JAVA的局域网网络入侵检测系统的设计与实现_毕业论文-第 21 页基于代理的入侵检测系统的实现摘 要入侵检测系统在如今的网络安全领域已经成为一个关键性的组件,但传统的入侵检测系统存在的一定的不足,如误报率和漏报率比较高,检测速度慢,占用资源多等。为了适应网络安全的发展需求,针对现有的入侵检测系统,结合移动代理技术,提出了基于移动代理的分布式入侵检测模型。本文首先分析了当今网络安全的现状和存在的问题,指出了传统的入侵检测系统的局限性,并阐述了入侵检测技术的发展历史和研究现状。然后讲叙了分布式入侵检测模型的构成,在该模型各个分布节点上使用Snort抓取网络数据包,并记录可疑攻击数据,通过移
2、动代理技术对可疑数据融合后进行综合分析,完成对分布式入侵的检测功能。该模型在windows环境下实现,采用日本IBM公司的代理移动代理环境,结合Snort入侵检测系统,利用JAVA语言编程,实现从可疑数据中,分析出攻击行为,并自动添加相应规则,增强对网络的保护能力。关键字:分布式;移动代理;入侵检测;Snort;代理The Realization of Intrusion Detection System Based on Agent AbstractToday, intrusion detection system has become a key part of the area of t
3、he network security, but there still has some disadvantages in traditional intrusion detection systems, such as the high false positive rate and the high false negative rate,the slowly speed of detection, taking up a lot of resources and so on. In order to meet the demands of the network secure deve
4、lopment, the thesis provides the mode of distributed intrusion detection system based on mobile Agent technology according to nowadays intrusion detection system.First of all, the status and existed problems about the security of network is analyzed in this thesis, which points out the limitations o
5、f the traditional intrusion detection systems, and gives detail descriptions of the development history and the research status of the intrusion detection technology. Second, the thesis describes the mode of the distributed intrusion detection system based on mobile Agent technology. In this mode Sn
6、ort is used on the distributed nodes to grasp the network data packets, and record the suspicious data. The system realizes the general analysis on fused suspicious data collected by the mobile Agent technology. This system is realized in the windows operation system, which adopts the Agent mobile A
7、gent belonged to the Japanese IBM company and combined with snort intrusion detection system. The system developed in java language analyzes the intrusion behavior, increases the rules automatically, and strengthens the ability of protection to the network.Key words: distributed; mobile Agent; intru
8、sion detection; Snort; Agent目 录1引言11.1绪论11.2研究现状11.3本文主要内容22入侵检测和移动代理技术22.1入侵检测技术22.1.1入侵检测概述22.1.2入侵检测的分类32.1.3人侵检测系统的发展趋势42.2移动代理技术52.2.1移动代理52.2.2移动代理与入侵检测系统结合的优势53基于移动代理的分布式的入侵检测模型53.1传统的入侵检测系统缺陷53.2基于移动代理的分布式入侵检测系统63.2.1系统设计目标63.2.2系统模型设计63.3系统主要部件介绍73.3.1移动代理环境73.3.2数据收集73.4模型的工作机理73.5本模型的优缺点分
9、析73.6分布式攻击检测实例83.6.1DoorKnob攻击基本原理83.6.2检测过程84系统的设计与实现94.1移动代理代理系统介绍和配置94.1.1代理系统架构94.1.2代理功能模型104.1.3代理安装与配置104.2Snort介绍与配置114.2.1Snort的简介114.2.2Snort系统组成124.2.3Snort的安装124.2.4Snort的配置124.2.5Snort数据库的配置134.2.6Snort网络入侵检测的使用134.3系统平台的其他重要配置144.4系统实现技术154.4.1入侵检测数据收集154.4.2具体实现中采用的关键技术154.5代码分析模块154.
10、6下一步工作23结 论23参考文献24致 谢25声 明261 引言1.1 绪论随着计算机网络的飞速发展和应用,人们对网络和计算机的依赖也越来越大。目前, Internet已经成为世界上规模最大、用户最多、影响最广泛的网络。它遍及全球180个国家,包括60多万个网络,为用户提供各种信息服务,以及传播科研、教育、商业和社会信息最主要的渠道。它丰富了人们的文化生话,满足了人们日益增长的信息需求。但是网络病毒的泛滥、保密信息的泄露、计算机黑客入侵,使得网络信息安全问题日益突出。不仅给企业和个人造成巨大的经济损失,严重的甚至威胁着国家政治、经济和军事的安全。根据美国FBI统计,美国每年因网络安全所造成的
11、经济损失高达75亿美元,而全球平均每20秒钟就有一起Internet计算机侵入事件。因此,确保计算机和数据通信网络的安全成为世人关注的社会问题,成为计算机科学技术的热点领域。目前,要解决系统得安全问题,最直接的一个想法就是重新设计并构建新的计算机系统,但这在现实的实践中,是不可行的。Miller给出一份关于现今流行的操作系统和应用程序研究报告,指出不可能出现没有缺陷软件,即使再好的软件技术也无法消除漏洞的出现。其次,要花很长的时间将如今带有安全缺陷的系统转换成安全系统。第三,如今加密技术方法还不完善。第四,安全访问控制等级和用户的使用效率成反比。第五,访问控制和保护模型本身存在一定的问题。第六
12、,在软件工程中存在软件测试不充足、软件生命周期缩短、大型软件复杂性等难以解决的问题。面对以上的问题,可行的解决办法是:建立容易实现的系统,并根据相应得策略建立其辅助系统,以增强网络的安全性。1.2 研究现状近年来,从事计算机网络安全的人员,通过对信息系统服务、传输媒介和协议的深入研究,使维护网络安全的产品不断更新换代,从单机的防病毒软件,到网络的防火墙,再到现在的入侵检测系统等等。入侵检测技术是主动保护自己网络免受入侵攻击的一种网络安全技术,而入侵检测系统(Intrusion Detection System, IDS)就是能够实施该功能的工具。IDS能根据入侵行为的踪迹和规律发现入侵行为,从
13、而有效地弥补传统安全防护技术的缺陷,成为防火墙之后的又一道安全防线。1980年4月,入侵检测概念由James P. Anderson的提出,这是第一次正式阐述了“入侵检测”这个概念。即提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。这被公认为是IDS最初的理论基础。从1984年到1986年,斯坦福研究所的Dorothy E. Denning和Peter Neumann研制出了一个实时入侵检测系统模型,取名为IDES(Intrusion Detection Expert System,入侵检测专家系统)。它具有
14、以下的特点,独立的特定系统平台、应用环境、系统弱点以及入侵类型,为构建IDS提供了一个通用的框架,后来在1988年,Teresa Lunt等人改进了该入侵检测模型,并开发出了该检测系统。该系统包括异常检测器和专家系统,分别用于统计异常模型的建立和基于规则的特征分析检测。1988年11月莫里斯蠕虫事件发生之后,军方、学术界和企业对网络安全高度重视,这促使了人们投入更多的资金和精力去研发IDS。现在,入侵检测技术的研究正朝智能化和分布式两个方向前进。对入侵检测的研究,从早期的审计跟踪数据分析,到实时入侵检测系统,到目前应用于大规模网络的分布式入侵检测系统,基本上已发展成具有一定规模和相应理论的研究
15、领域。1.3 本文主要内容入侵检测至今已发展了20余年,在这过程中出现了数百种基于不同的技术和环境的入侵检测系统,但大多数都具有误报和漏报率高,灵活性有限,可移植性差等缺陷,本文针对这些缺陷,在移动代理(Mobile 代理)技术和多系统互操作性的通用入侵检测模型基础上,提出了具有伸缩性的、重用性的、适应性好的基于移动代理的分布式入侵检测模型,并加以了实现。在一定程度上降低了误报和漏报率,并解决了移植性和灵活性差等问题,使网络检测和效率有所提高。本文除了该章外,还有以下主要内容。第二章概述入侵检测和移动代理技术,主要包括入侵检测的概念和分类,以及移动代理的定义和功能。第三章在现有的移动代理和入侵
16、检测工具基础上,分析对比各自的优缺点后,提出面向移动代理的分布式入侵检测系统模型。第四章是系统的具体设计与实现,分析了该模型的一些问题,如移动代理和入侵检测的选材和实现等,并加以实现。第五章对本文作了全面的总结。2 入侵检测和移动代理技术2.1 入侵检测技术2.1.1 入侵检测概述入侵是指任何试图危及计算机资源的完整性、机密性或可用性的行为,而入侵检测是对入侵行为的发觉,它通过从计算机网络或系统中的若干关键点收集信息,并对这些信息进行分析,从而判断是否有违反安全策略的行为和遭到攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。入侵检测是防火墙的合理补充,帮助系统对付网络攻击
17、,它扩展了系统管理员的安全管理能力,包括安全审计、监视、进攻识别和响应,从而提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。网络入侵检测系统(IDS)是一项很新的网络安全技术,目前已经受到各界的广泛关注,它的出现是对原有安全系统的一个重要补充。2.1.2 入侵检测的分类1. 根据目标系统的类型的不同可以将入侵检测系统分为如下两类:l 基于主机的入侵检测系统。通常,基于主机的入侵检测系统可监测系统、事件和操作系统下的安全记录以及系统记录。当有文件发生变化时,入侵检测系统将新的记录
18、条目与攻击标记相比较,看它们是否匹配。如果匹配,系统就会向管理员报警,以便采取措施。l 基于网络的入侵检测系统。基于网络的入侵检测系统使用原始网络包作为数据源。该系统通常利用一个运行在混合模式下的网络适配器来实时监视并分析通过网络的所有通信业务。2. 根据入侵检测系统分析的数据来源分类。入侵检测系统分析的数据可以是主机系统日志、网络数据包、应用程序的日志、防火墙报警日志以及其他的入侵检测系统的报警信息等。据此可将入侵检测系统分为基于不同分析数据源的入侵检测系统。3. 根据入侵检测分析方法的不同可将入侵检测系统分为如下两类:l 异常入侵检测监测系统。异常入侵检测系统利用被监控系统的正常行为的信息
19、作为检测系统中入侵、异常活动的依据。l 误用入侵检测系统。误用入侵检测系统根据已知入侵攻击的信息(知识、模式)来检测系统中的入侵和攻击。4. 根据检测系统对入侵攻击的相应方式的不同可将入侵检测系统分为如下两类:l 主动的入侵检测系统。主动的入侵检测系统在检测出入侵后,可自动地对目标系统中的漏洞采取修补、强制可疑用户(可能的入侵检测)退出以及关闭相关服务等对策和相应措施。l 被动的入侵检测系统。被动的入侵检测系统在检测出对系统的入侵攻击后产生报警信息通知系统安全管理员,至于之后的处理工作则有系统管理员完成。5. 根据系统各个模块运行的分布方式的不同,可将入侵检测系统分为如下两类:l 集中式入侵检
20、测系统。系统的各个模块包括数据的收集与分析以及响应都集中在一台主机上运行,这种方式适用于网络环境比较简单的情况。l 分布式入侵检测系统。系统的各个模块分布在网络中不同的计算机、设备上,一般来说分布性主要体现在数据收集模块上,如果网络环境复杂、数据量比较大,那么数据分析模块也会分布,一般是按照层次性的原则进行组织。2.1.3 人侵检测系统的发展趋势1. 分布式入侵检测这个概念有两层含义:第一层是针对分布式网络攻击的检测方法;第二层是使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。分布式系统是现代IDS主要发展方向之一,它能够在数据收集、入侵分析和
21、自动响应方面最大限度的发挥系统资源的优势,其设计模型具有很大的灵活性。2. 智能化入侵检测使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统,实现了知识库的不断更新与扩展,使设计的入侵检测系统的防范能力不断增强,应具有更广泛的应用前景。异常检测和误用检测的结合,使这两种方法能够紧密结合,互补各自的优、缺点。3. 全面的安全防御方案使用安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来
22、处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测等多方面对网络作全面的评估,然后提出可行的全面解决方案。4. 基于网络和基于主机的入侵检测系统相互结合这两种方法都有各自的优势,都能发现对方无法检测到的一些入侵行为。比如基于主机的入侵检测系统使用系统日志作为检测依据,因此它们在确定攻击是否已经取得成功时与基于网络的检测系统相比具有更大的准确性。在这方面,基于主机的入侵检测系统对基于网络的入侵检测系统是一个很好的补充,人们完全可以使用基于网络的入侵检测系统提供早期报警,而使用基于主机的入侵检测系统来验证攻击是否取得成功。在新一代的入侵检测系统中,将把现在的基于网络和基于主机这两种检测技
23、术很好地集成起来,提供集成化的攻击签名、检测、报告和事件关联功能。2.2 移动代理技术2.2.1 移动代理移动代理是一个自主程序,它能够在异构的网络中从一台主机迁移到另一台主机,在迁移前,暂停自身的执行,封装代码及状态,然后利用传输机制,从一台主机移动到另外一台主机,然后将代码实例化并恢复封存的状态,继续运行。而移动代理系统则是一个允许代理在系统中不同主机前迁移的平台,即一个代理运行环境,代理在其中进行自己的操作。通常情况下,移动代理系统由代理、代理环境和通信信道组成。代理是一个软件实体,可以从一个代理环境移动到另一个代理环境,通过这样可以完成相应的任务。而在移动代理之间以及移动代理和控制台之
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 JAVA 局域网 网络 入侵 检测 系统 设计 实现 毕业论文 26
![提示](https://www.taowenge.com/images/bang_tan.gif)
限制150内