甘肃政法学院 入侵检测课程设计 题 目 基于snort的入侵检测系统 计算机科学学院 计算机科学与技术 专业 10 级 计算科学与技术本科 班 学 号:_201081010124 姓 名: 柳 文 会 指导教师:_____金 涛____ 成 绩:_______________ 完成时间:_2012 年 _12 月 一、课程设计目的 1、通过实验深入理解入侵检测系统的原理和工作方式。 2、熟悉入侵检测工具 snort 在 Window s 操作系统中的安装和配置方法。 3、通过使用 Snort,了解基于网络和主机的入侵检测系统的工作原理和应用方法。 二、课程设计的原理 1、入侵检测技术简介 入侵检测就是一个监视计算机系统或者网络上发生的事件,然后对其进行安全分析的过程。它可以用来发现外部攻击与合法用户滥用特权,根据用户的历史行为,基于用户的当前操作,完成对入侵的检测,记录入侵证据,为数据恢复和事故处理提供依据。入侵检测系统的原理如图A 所示: 入侵检测监测作出响应攻击?用户的历史操作数据用户当前操作的数据否是 图 A 入侵检测的原理图 大多数的入侵检测系统都可以被归入到基于主机、基于网络以及分布式三类。基于主机的入侵检测系统是一种早期的 IDS 设计模型,它主要设计用来监视单一的服务器,因为 DNS、Email 和 w eb 服务器是多数网络攻击的目标,这些攻击大约占据全部网络攻击事件的 1/3 以上,基于主机的入侵检测系统就是为了解决这些问题而设计的,它能够监视针对主机的活动(用户的命令、登录/退出过程,使用数据等等),它的特点就是针对性好而且,效果明显,误报率低。基于网络的入侵检测系统是后于基于主机入侵检测系统而出现的,它主要用于集中用于监控通过网络互连的多个服务器和客户机,能够监视网络数据发现入侵或者攻击的蛛丝马迹。分布式 IDS 通过分布于各个节点的传感器或者代理对整个网络和主机环境进行监视,中心监视平台收集来自各个节点的信息监视这个网络流动的数据和入侵企图。 在入侵检测系统中,系统将用户的当前操作所产生的数据同用户的历史操作数据根据一定的算法进行检测,从而判断用户的当前操作是否是入侵行为,然后系统根据检测结果采取相应的行动。入侵检测的过程是一个机器(检测工具)与人(黑客)对抗的决策分析过程,其技术基础是基于知识的智能推理,需要用到人工智能的相关技术。 各种入侵检测系统使用的检测方法可以分为两类:基于特征码的检测方法和异常检测。使用基于特征码检测方法的系统从网络获...
