T1006 IDS系统的设计与实现2.doc

IDS系统的设计与实现 摘 要 随着网络技术的发展，网络环境变得越来越复杂。对于网络安全来说，单纯的防火墙技术曝露出明显的不足和弱点，因此很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性，其中一个有效的解决途径就是入侵检测。 本系统是一个基于特征分析的网络入侵检测系统，采取模式匹配检测方法。将用户正常的习惯行为特征存储在特征数据库中，然后将用户当前行为特征与特征数据库中的特征进行比较，若两者偏差足够大，则说明发生了异常。系统实现了对数据包的拦截与捕获，并对其进行分析。通过对用户的非正常活动进行统计分析，发现入侵行为的规律，同时识别反映已知进攻的活动模式并向相关人士报警以达到入侵检测的要求。 本文讨论了IDS的分类，网络入侵检测系统（NIDS）的结构及各模块的功能,利用关联规则，对用户正常历史数据进行挖掘，并对产生的规则进行归并更新，生成异常检测数据模型，并利用此模型实现基于数据采集的异常检测. 实验表明NIDS可以检测伪装攻击、非法用户的攻击，通过实验给出了相应的检测信息、入侵检测结果。 关键词：入侵检测，数据采集，关联规则，模式匹配 目 录 第1章 绪论 1 1.1 引言 1 1.2 课题背景 1 1.3 系统介绍 1 1.3.1 入侵检测系统分类 1 1.3.2 系统要达到的要求 3 1.4 入侵检测系统发展趋势 3 1.5 论文工作安排 3 第2章 IDS关键技术 5 2.1 入侵检测系统工作原理 5 2.1.1 入侵检测技术 5 2.1.2入侵检测的过程 6 2.2入侵检测系统模型的建立 6 2.3 基于网络的入侵检测系统关键技术 7 2.3.1 利用Winpcap的数据采集功能 7 2.3.2 入侵检测中的规则匹配 8 2.3.3 协议分析方法 8 2.4 IDS的评价标准 8 2.5 系统建立所需环境 9 2.5.1 软件环境 9 2.5.2 硬件环境 9 第3章 系统分析及总体设计 10 3.1 系统可行性分析 10 3.1.1 技术可行性 10 3.1.2 经济可行性 10 3.1.3 操作可行性 10 3.1.4 法律可行性 11 3.2 系统需求分析 11 3.3 系统流程 11 3.3.1 系统模块图 11 3.3.2 系统流程图 12 3.4 系统功能模块介绍 13 3.4.1 网络数据包的捕获模块 13 3.4.2 网络协议分析模块 13 3.4.3 存储模块 13 3.4.4 入侵事件检测模块 13 3.4.5 响应模块 14 3.5 入侵检测系统功能描述 15 第4章 系统详细设计 16 4.1系统程序的结构 16 4.1.1 系统详细设计 16 4.2 系统功能设计 17 4.2.1 捕获网络数据包功能设计 17 4.2.2 数据分析功能设计 17 4.2.3 数据存储功能设计 17 4.2.4 响应处理功能设计 17 4.3 系统数据库详细设计 18 4.3.1 数据流程设计 18 4.3.2 数据表设计 18 第5章 系统实现 20 5.1 系统主窗体 20 5.2 数据库连接 20 5.3 系统主要模块功能的实现 22 5.3.1 捕获网络数据包功能实现 22 5.3.2 入侵事件检测的实现 24 5.3.3 数据分析中规则设置的实现 27 5.3.4 入侵响应的实现 29 5.4系统联调 30 结论 31 参考文献 32 致谢 33 图2.1 网络入侵检测系统结构图 ：  图2.2 通用入侵检测模型 图3.1 系统模块图 3.3.2 系统流程图 系统流程如图3.2所示 图3.2 系统流程图 图5.1系统运行主窗口 图5.2 入侵检测 Powered by 计算机毕业论文网 响应单元 事件分析器 事件数据库 事件产生器 审计记录/网络数据包/应用程序日志 入侵检测系统 响 应 报 警 入 侵 检 测 数 据 包 捕 获 协 议 分 析 数 据 管 理 规 则 匹 配 删 除 记 录 添 加 记 录 数据管理 响应 入侵事件检测 数据存储 网络协议分析 网络数据包的捕获 以太网 网络数据