1、本 科 毕 业 论 文基于XML分布式入侵检测系统中通讯协作机制的研究The Research of Communication Cooperation Mechanism In XML Based Distribute Intrusion Detection System姓 名:学 号:学 院:软件学院系:软件工程专 业:软件工程年 级:指导教师: 年 月摘 要网络信息的日益膨胀,入侵检测系统对计算机和网络资源上的恶意使用行为进行识别和响应的要求越来越高。目前基于多主体技术的分布式入侵检测系统已经成为当前入侵检测领域的研究热点,良好的通讯协作机制对分布式入侵检测系统的正常运行提供了保证。本文
2、在入侵检测通讯语言IDACL以及X-IDACM现有文档的基础上,实现了一个基于XML的具有通用性的分布式入侵检测系统的通信机制,以满足基于多主体技术的分布式入侵检测系统中各个主体间的通讯需求。该通信机制系统主要包括实时监控模块和数据交换模块,并使各模块总体上满足了该分布式入侵检测系统警报信息量大、实时通信、安全性高的特点。论文主要研究了以下3方面的问题:第一、论文针对目前提出的一种基于XML通讯机制语言不能应对各功能模块变化的固有缺点,进一步的优化了这种通讯机制语言,通过两个功能模块的要求,定制了两种不同的通讯语言格式。第二、对通讯机制中的入侵通报进行的研究,使得分布式主机之间可以实时的通讯。
3、第三、研究了分布式主机之间的相互协作中的数据交换,主要讨论了各主机之间的入侵询问,并根据试验的结果提出了一种良好的解决方案。关键字:分布式入侵检测系统;通信机制;RMI;Xbeans;XMLAbstractNetwork information is expanding gradually, Intrusion Detection System on the computer and network resources to identify malicious behavior and response have become increasingly demanding. At prese
4、nt, multi-agent-based Distributed Intrusion Detection System Intrusion Detection has become the current hot areas of research, and good communications coordination mechanism for distributed intrusion detection system to ensure the normal operation.In this paper, Intrusion Detection IDACL as well as
5、the communication language X-IDACM the basis of existing documents, an XML-based general-purpose in nature have a distributed intrusion detection system communication mechanisms to meet the needs of multi-agent-based Distributed Intrusion Detection System between all the main communications needs. T
6、he communication mechanism, including real-time monitoring of system modules and data exchange module, and various modules to meet the whole of the Distributed Intrusion Detection System Alert informative, real-time communications, safety features. Paper the following three major research issues:Fir
7、st, the paper put forward a view of the current communication mechanism based on the XML language can not cope with changes in the function of the inherent shortcomings of modules that further optimize the communication mechanism of this language, through the request of two functional modules, custo
8、m two different communication language format.Second, the communication mechanism for notification of the invasion of the study, the host of distributed real-time communication between.Third, the study of distributed collaboration between the host data exchange focused on the invasion between the ho
9、st asked, and in accordance with the results of tests of a good solution.Keywords:Distributed Intrusion Detection System;Communication Mechanism;RMI;Xbeans;XML目录第一章 引言 .11.1 研究背景和意义 .11.2 研究内容 .41.3 论文的组织结构 .5第二章 基本概念和相关技术 .62.1 入侵检测系统 IDS .62.1.1 入侵检测系统的发展历史 62.1.2 入侵检测系统的分类 82.2 Snort 简介 .92.2.1 S
10、nort 的工作模式 .102.2.2 Snort 在 Windows XP 下的安装与配置 .102.3 MySQL 简介 .102.4 XML 技术 112.4.1 XML 的发展历史 .112.4.2 XML 的特点 .122.4.3 XML 的应用 .132.5 RMI 技术 .142.5.1 RMI 的组成 .152.5.2 RMI 的优点 .152.6 Xbeans 框架 172.7 非阻塞 Socket 172.7.1 非阻塞 Socket 的特点 182.7.2 非阻塞 Socket 常用的方法 192.8 本章小结 .19第三章 系统设计方案 .213.1 架构设计 .213
11、.1.1 开发环境 213.1.2 处理流程 223.1.3 系统架构图 243.1.4 模式驱动设计 253.1.5 接口设计 303.2 通讯语言设计方案 .323.2.1 语言设计目标和要求 323.2.2 标准词汇集设计 333.2.3 通讯语言格式 353.3 通讯机制方案 .373.3.1 层次化的通讯模式 373.3.2 代理联盟和“黑板”相结合的框架 383.4 系统的详细设计 .393.4.1 实时监控模块 403.4.2 数据交换模块 403.5 本章小结 .41第四章 实现及试验分析 .424.1 通讯机制的实现 .424.1.1 系统实现 424.1.2 封装成 XML
12、 及解析 XML 的实现 434.1.3 实时监控模块的 XML 数据 504.1.4 数据交换模块的 XML 数据 524.2 系统界面实现 .544.3 实验分析 .564.3.1 入侵通报 564.3.2 入侵询问 584.3.3 入侵查询 604.4 本章小结 .62第五章 全文总结 .63参考文献 .65致谢 .66ContentsChapter 1 Foreword 11.1 Study Background And Significance 11.2 Study Content41.3 The Main Work and Structure of This Thesis.5Cha
13、pter 2 The Basic Concepts And Related Technologies.62.1 Intrusion Detection System62.1.1 IDS Development History 62.1.2 Classification of Intrusion Detection System .82.2 Snort Introduction 92.2.1 Mode of Snort .102.2.2 Snort under Windows XP in Installation and Configuration102.3 MySQL Introduction
14、102.4 XML Technologies.112.4.1 History of The Development of XML 112.4.2 The Characteristics of XML .122.4.3 XML Application132.5 RMI Technologies.142.5.1 The Composition of RMI152.5.2 The Advantages of RMI .152.6 Xbeans Framwork 172.7 Nonblocking Socket.172.7.1 The Characteristics of Non-blocking S
15、ocket .182.7.2 Commonly Used Method of Non-blocking Socket .192.8 Summary of this chapter19Chapter 3 System Design 213.1 Architecture Design 213.1.1 Development Environment.213.1.2 Process223.1.3 System Architecture Diagram.243.1.4 Model-driven Design 253.1.5 Interface Design 303.2 Communication Lan
16、guage Design 323.2.1 Language Design Objectives and Requirements 323.2.2 Standard Vocabulary of Design333.2.3 Communication Language Format .353.3 Communication Mechanism for The Program373.3.1 Hierarchical Code of Communication 373.3.2 Acting Union and “blackboard“ Framework That Combines.383.4 Det
17、ailed Design.393.4.1 Real-time Monitoring Module403.4.2 Data Exchange Module.403.5 Summary of this chapter41Chapter 4 Implementation and Experimental Analysis424.1 The Realization of Communication Mechanism424.1.1 System.424.1.2 XML and Analysis Package for The Realization of XML .434.1.3 Real-time
18、Monitoring of XML Data Module .504.1.4 XML Data Exchange Module Data 524.2 System Interface544.3 Experimental Analysis564.3.1 Invasion Informed.564.3.2 Invasion Query584.3.3 Invasion Inquiry604.4 Summary of this chapter62Chapter 5 Summary .63References.65Acknowledgement 66基于 XML 分布式入侵检测系统中通讯协作机制的研究1
19、第一章 引言1.1 研究背景和意义随着以网络通讯为基础的信息技术的发展,同时网络技术应用范围的不断扩大,已经逐步渗透到社会经济、生活以及学习的各个领域。影响着传统的工作、管理、交流模式。特别是Internet的兴起,许多商业组织开始把Internet作为他们最重要的商业运作手段,政府机构也把Internet作为向公众提供访问公共记录和信息的渠道,大众传媒的重心也逐渐向网络倾斜,人们越来越依赖于网络进行信息访问和信息处理,信息作为一种无形的资源也越来越得到人们的青睐,计算机网络如今已经提供给我们信息共享和通讯的功能。可以预见,在不久的将来,人们生活、工作和学习的各个方面将通过网络构成一个高效、开
20、放的信息系统。网络入侵行为的频繁,使得对入侵检测系统提出了新的挑战。在现代社会里任何远程复杂控制都是由计算机来实现的,因为人们发现联网的计算机能发挥更大的作用和更易于管理。应该认识到的是绝大多数的入侵者都并不具有什么特别高深的技术。那些十几岁的少年都能成功的实现对如Yahoo、CNN等的大在线公司的攻击。它们都是天才么?而实际情况是因为目前网络计算机的安全性非常差的缘故。用来实现网络计算机通信的下层协议是很久以前设计的,而那时并没有那么多敌意攻击的情况。因此大多数联网的计算机是不安全的,因为完全实现一个安全的现代OS需要重要的大量的努力。在大多数情况下作为管理员往往需要关闭某些无用服务,去除某
21、些不需要的服务,升级和补丁操作系统,确信OS被加固以增强安全性,还要防止用户接收包含诸如“我爱你”病毒之类的信息内容。而大多数系统管理并没有大量的时间和精力来完全的实现系统的安全性,因为太多的项目(特别是电子商务)面临竞争。我国的网络安全形势也十分严峻,频繁的黑客入侵事件和计算机病毒的泛滥,使我国的很多政府部门、国家重要商业和教育机构都受到了不同程度的侵害,有些造成了严重的社会影响和经济损失。如何有效保护重要的信息数据、提高计算机网络系统的安全性是当前必须考虑和解决的一个重要问题 1。网 络 安 全 技 术 致 力 于 解 决 诸 如 如 何 有 效 进 行 介 入 控 制 , 以 及 何 如
22、 保 证 数 据传 输 的 安 全 性 的 技 术 手 段 , 主 要 包 括 物 理 安 全 分 析 技 术 , 网 络 结 构 安 全 分 析 技 术 ,基于 XML 分布式入侵检测系统中通讯协作机制的研究2系 统 安 全 分 析 技 术 , 管 理 安 全 分 析 技 术 , 及 其 它 的 安 全 服 务 和 安 全 机 制 策 略 。传统的网络安全技术主要包括:加密和数字签名机制、身份认证与访问控制机制、认证授权、安全审计、系统脆弱性检测、构筑防火墙系统等等。传统网络安全技术发展已经趋近成熟,特别是防火墙技术,它能有效地控制内部网络与外部网络之间的访问及数据传送,从而达到保护内部网络
23、的信息不受外部非授权用户的访问和过滤信息的目的,防火墙配置的多样性和防护的有效性使它成为网络安全防线的中流砥柱,但是防火墙对于从内部发出攻击却无能为力。2 1世 纪全 世 界 的 计 算 机 都 将 通 过 Internet连 到 一 起 , 信 息 安 全 的 内 涵 也 就 发 生 了 根 本的 变 化 , 攻击工具与手法的日趋复杂多样,传统单一的安全技术和策略已经无法满足对安全高度敏感的部门的需要。它 不 仅 从 一 般 性 的 防 卫 变 成 了 一 种 非 常 普 通 的 防范 , 而 且 还 从 一 种 专 门 的 领 域 变 成 了 无 处 不 在 。 因 此 , 网络安全的防卫
24、必须采用一种纵深的、多样的手段,形成一个多层次的防护体系,不再是单一的安全技术和安全策略,而是多种技术的融合,关键是各种安全技术能够起到相互补充的作用,这样,即使当某一种措施失去效能时,其他的安全措施也能予以弥补。网络安全技术的要求:一、网 络 安 全 来 源 于 安 全 策 略 与 技 术 的 多 样 化 ; 二 、 网 络 的 安 全 机 制与 技 术 要 不 断 地 变 化 。 但是,网络安全技术更多的是一种基于被动的防护,而如今的攻击和入侵要求我们主动地去检测、发现和排除安全隐患,所以,正是在这样的环境下,入侵检测系统开始崭露头角,成为了安全市场上和研究上新的热点,不仅愈来愈多的受到人
25、们的关注,而且已经开始在各种不同的环境中发挥越来越重要的作用。入 侵 检 测 系 统 ( Intrusion-detection system, 简 称 “IDS”) 是 一 种 对 网络 传 输 进 行 即 时 监 视 , 在 发 现 可 疑 传 输 时 发 出 警 报 或 者 采 取 主 动 反 应 措 施 的 网 络安 全 设 备 。 它 与 其 他 网 络 安 全 设 备 的 不 同 之 处 便 在 于 , IDS是 一 种 积 极 主 动 的 安全 防 护 技 术 , 提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。如何更高效地检测入侵是每个入侵检
26、测系统(IDS)最关注的问题。基于主机的入侵检测(HIDS,Host based detection System)和网络节点入侵检测(NIDS, Network based detection System)各有其应用环境和优劣,但缺乏信息共享却是目前IDS的一个天生缺陷。分布式入侵系统的实现,使得信息共享成为现实。分布式入侵检测系统的设计目标是应用于大规模网络中,在这种环境中,由于操作系统的没和网络结构的差异,基于 XML 分布式入侵检测系统中通讯协作机制的研究3加工网络规划庞大,使得集中式结构难以胜任。在功能模块的分布上,主机安全的监视基本上由安装在主机上的模块来完成。分布式入侵检测系统
27、的主要功能包括:(1)检测大规模网络攻击,实时发出报警信息;(2)记录和识别异常的网络行为;(3)网络流量分析;(4)通过对受监视主机的口令询问进行IP真实性验证;(5)追踪发现入侵行为的源头;(6)信息的共享。但多数DIDS只是简单地丰富了数据来源,并未有效地对信息共享进行细化,也没有对数据共享进行严格的访问控制。基于多主体技术的入侵检测系统是针对常见分布式入侵检测系统存在的不足所设计的一种基于多主体技术的分布式入侵检测系统。目前已成为人们研究的热点。主体通讯是其与环境或其它主体进行协调、交流、合作和竞争的基础,多主体系统中需要解决的一个关键问题就是如何建立有效的通讯机制 2。目前主体通讯领
28、域具有代表性的语言是KQML 3语言和FIPA ACL 语言,虽然这两种语言可以较好地满足了主体通信的基本要求,较为灵活、通用,支持知识共享和主体合作,然而其本身不具有描述与入侵检测有关知识的能力,而且缺乏有关的标准化规范和实现平台。而反观入侵检测领域,目前具有代表性的,一个是CIDF( Common Intrusion Detection Framework)小组提出的通用入侵描述语言CISL 4( Common Intrusion Specification Language ), 另一个是IDWG 小组提出的入侵检测消息交换格式IDMEF5( Intrusion Detection Me
29、ssage Exchange Format ) 。虽然CISL提供了一个合理的、丰富的词汇表来表述与网络计算机有关的一组具体事件,但表述能力有限,如对事件之间的关系、对特定属性的量化描述以及对不确定、不存在或否定概念等信息进行表述时能力不足或较为复杂。IDMEF 虽然制定了一套较为完善的入侵报警消息格式,但同CISL 一样,缺乏完善的事件查询和回复机制,而这一点恰恰是多主体协作的基础。根据入侵检测中主体间通讯的特点并结合所设计的基于多主体技术的分布式入侵检测系统(ADIDS:Agent based distributed intrusion detection system)的具体要求,设计了
30、一种入侵检测主体之间进行入侵信息交换的通讯语言IDACL( Intrusion Detection Agent Communication Language),并在此基础上提出了一种基于XML、适用于入侵检测主体间协作和数据交换的通讯机制X-IDACM 6(XML-based Intrusion Detection Agent Communication Mechanism),已基本上满足不同主体之间的通讯。由上述的分析可知,构建基于XML的多机主体分布式入侵检测的通讯机制已经取基于 XML 分布式入侵检测系统中通讯协作机制的研究4得了一定的成功。但是通讯之间的效率还不是很高,本文根据通讯语言
31、IDACL的基础上构建一个高效的基于XML多机主体的分布式入侵检测通讯机制的通讯框架。同时结合RMI(一种可以构建分布式系统)的优点,以及Xbeans在主机之间直接传递XML文档的优点,满足具有实时通信、安全性高的多主体技术的分布式入侵检测系统中不同主体间的通讯需求。1.2 研究内容根据分布式入侵检测主体之间通讯的特点和目前的通用语言的特点,并结合入侵检测主体之间进行入侵信息交换的通讯语言IDACL,实现了一种基于XML的、适用于入侵检测主体间协作和信息交换的通讯机制,以满足未来基于多主体技术的分布式入侵检测系统中不同主体间的通讯需求。因而,本文的研究重点是这些分布式主机之间的相互通讯的协作机
32、制,这个通讯机制系统使用层次化的通讯模式设计,加上XML所具有的简单性、灵活性和可扩展性等优点,使得这个系统更加的稳定可靠。首先,对通讯机制的语言的定制,该通讯语言是建立在通讯语言IDACL的基础上的,并针对这个通讯机制的特点做出了相应的修改,设计出了适合于这个分布式入侵检测系统的主体之间进行入侵信息交换的通讯语言。然后,对该通讯机制的实现,把该通讯机制由两部分组成,一部分的建立在RMI基础上的通讯,这部分是实时监控模块;另一部分是建立在Socket基础上的通讯,这部分是数据交换模块。实时通讯模块主要是注重实时性,它对系统在时效性方面有特别高的要求,根据这个特点,把Xbeans和RMI相互结合
33、,使得系统发现入侵后,就可以马上Report给这个分布式入侵检测系统的其他主机,这个过程简称为“入侵通报”。数据交换模块主要是注重交互性,根据这个模块的特点,把Xbeans和非阻塞的Socket相互结合,构建出了一个低耦合、可扩展的数据交换模块,比以往阻塞Socket拥有更高的性能。当系统想询问某个主机的入侵记录时,就直接发送一个Query给这个分布式入侵检测系统的其他主机,等待回应,这个过程简称为“入侵询问”。在本地交换数据时,发送一个Inquiry给本地主机,等待本地主机回应,这个基于 XML 分布式入侵检测系统中通讯协作机制的研究5过程简称为“入侵查询”。最后,对该通讯机制的可行性分析和
34、测试,已经满足了提出的对于基于多主体技术的分布式入侵检测系统之间的通讯需求,并对于以后的研究重点也提出了一些要求。1.3 论文的组织结构本文后续章节的安排:第二章介绍基本的概念和相关的技术知识,是构建这个系统的基础;第三章介绍系统的设计方案,包括通讯格式和通讯机制;第四章介绍了系统的具体实现和试验分析,评估整个系统第五章结语以及参考文献和致谢。基于 XML 分布式入侵检测系统中通讯协作机制的研究6第二章 基本概念和相关技术由于本通讯机制是把信息封装成XML数据,然后利用这个XML数据进行通讯,通讯双方定义了一个统一的语言规则来解读这个XML数据,然后作进一步的处理。在基于多主体技术的分布式入侵
35、检测系统上,利用Snort 7 作为入侵检测工具和流量分析系统进行入侵检测,利用MySQL 8 数据库进行数据存储,这种通讯机制的研究,使用到了很多关键的技术,最主要的是使用RMI进行远程调用和Xbeans进行XML信息的传递,以及使用非阻塞Socket进行数据的交换。所以本章将从分布式入侵检测系统、SNORT、MYSQL、XML、RMI、Xbeans等几个方面来介绍。2.1 入侵检测系统 IDS入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全、审计、监视、进攻、识别和响应),提高了信息安全基础结构的完整性。2.1.1 入侵检测系统的发展历史IDS最
36、早 出 现 在 1980年 4月 。 该 年 , James P. Anderson为 美 国 空 军 做 了 一 份题 为 Computer Security Threat Monitoring and Surveillance 的 技 术 报告 , 在 其 中 他 提 出 了 IDS的 概 念 。 1980年 代 中 期 , IDS逐 渐 发 展 成 为 入 侵 检 测 专家 系 统 ( IDES) 。 1990年 , IDS分 化 为 基 于 网 络 的 IDS和 基 于 主 机 的 IDS。 后 又 出现 分 布 式 IDS。1980年,James Aderson 首先提出了入侵检测的
37、概念,他将入侵尝试(Intrusion Attempt)或威胁(Threat)定义为:潜在的、有预谋的、未经授权的访问基于 XML 分布式入侵检测系统中通讯协作机制的研究7信息、操作信息致使系统不可靠或无法使用的企图。他提出审计追踪可应用于监视入侵威胁,但这一设想的重要性当时并未被理解。1986年,为检测用户对数据库异常访问,在IBM主机上用Cobol 开发的Discovery 系统成为最早的基于主机的入侵检测系统雏形之一。1987 年,Dorothy E.Dennying 提出了入侵检测系统的抽象模型,首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出。1988 年,Morris
38、Internet 蠕虫事件使得Internet 约5 天无法正常使用,该事件导致了许多入侵检测系统系统的开发研制。1988年,Teresa Lunt 等人进一步改进了Dennying 提出的入侵检测模型,并创建了IDES(Intrusion Detection Expert System), 它提出了与系统平台无关的实时检测思想。1988年,为协助美国空军安全官员检测误用空军基地,使用Unisys 大型主机开发了Haystack 系统。1990年,Heberlein 等人提出基于网络的入侵检测NSM(Network Security Monitor) ,NSM 可以通过在局域网上主动地监视网络
39、信息流量来追踪可疑的行为。1991年,NADIR(Network Anomaly Detection and Intrusion Reporter) 与DIDS(Distribute Intrusion Detection System)提出了收集和合并处理来自多个主机的审计信息,从而用以检测针对一系列主机的协同攻击。1994年,Mark Crosbie 和Gene Spafford 建议使用自治代理(Autonomous Agents)以便提高入侵检测系统的可伸缩性、可维护性效率和容错性。1995年,IDES 后续版本NIDES(Next-Generation Intrusion Detec
40、tion System)实现了可以检测多个主机上的入侵。1996年,GRIDS(Graph-based Intrusion Detection System)的设计和实现使得对大规模自动或协同攻击的检测更为便利,Forrest 等人将免疫原理运用到分布式入侵检测领域。1998年,Ross Anderson 和Abida Khattak 将信息检索技术引进到了入侵检测系统。从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。目前,SRI/CSL、普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在基
41、于 XML 分布式入侵检测系统中通讯协作机制的研究8这些方面的研究代表了当前的最高水平。对于现有分布式入侵检测系统存在的不足所出现的一种基于多主体技术的分布式入侵检测系统。这种系统主要包括:驻留在各台主机上入侵检测主体HIDA(Host based Intrusion Detection Agent)、基于网络的入侵检测主体NIDA(Network based Intrusion Detection Agent)和网络安全管理主体NSMA(Network Security Management Agent)。在这种系统中,对于主机之间的相互协作已经成为研究的重点,特别是它们之间的通讯协作机制。
42、2.1.2 入侵检测系统的分类由于入侵的方式的多样性,因而入侵检测系统的分类也具有多样性。2.1.2.1 根据数据源分类IDS 的数据源一般来自网络数据和系统数据。根据数据源可以把IDS 系统分为基于主机和基于网络的入侵检测。2.1.2.1.1 网络型入侵检测网络型入侵检测系统的数据源则是网络上的数据包。可以将某台主机的网卡设于混杂模式(Promisc Mode),监听所有本网段内的数据包并进行判断或直接在路由设备上放置入侵检测模块。一般网络型入侵检测系统担负着保护整个网段的任务。一般来说,在防火墙之外的检测器采用基于网络的入侵检测系统,负责检测来自Internet 的攻击。2.1.2.1.2
43、 主机型入侵检测主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。防火墙内部的Web,DNS 和Email 等服务器是大部分攻击的目标,这些服务器应该安装基于主机的入侵检测系统以提高整体安全性。基于 XML 分布式入侵检测系统中通讯协作机制的研究92.1.2.2 根据检测方法分类入侵检测根据检测方法可以分为两大类:异常(anomaly)入侵检测和误用(misuse)的入侵检测。2.1.2.2.1 异常入侵检测异常入侵检测根据用户的异常行为或者对资源的异常存取来判断是否发生入
44、侵事件。例如一个用户一般在早上九点到晚上五点之间登录到服务器,那么如果有一天,服务器发现该用户账号在午夜12 点登录到服务器来,就认为是一次入侵事件。异常入侵检测要建立一个阀值来区分正常事件与入侵事件。Anderson在此基础上把入侵分为外部渗透(external enetrations),内部渗透(internal penetrations),滥用(misfeasance)。外部渗透指的是非授权用户试图使用系统;内部渗透是合法用户试图访问非授权的数据,如经过窃权伪装或绕过访问控制;滥用指合法用户对数据和资源的滥用。2.1.2.2.2 误用入侵检测误用检测是根据已定义好的入侵模式,运用已知的攻
45、击方法来判断入侵是否出现。由于大部分入侵是利用了系统的脆弱性,所以通过分析入侵过程的特征、条件、排列以及事件间的关系,能具体描述入侵行为的迹象。这种检测方法的优点是只关心必须用于匹配模式的数据项,也可减少需要监控事件的数量和类型;另外,由于统计量中没有浮点计算,所以检测效率高。但是,它也存在一定的缺点:可测量性和性能与模式数据库或规则库的大小和体系结构有关;同时,因为没有通用模式规格说明语言,可扩展性很差。基于这种技术方法的模型包括专家系统、模型推理、状态转移分析等。2.2 Snort 简介Snort 是一个免费的 IDS(入侵监测系统)软件。它的一些源代码是从著名的tcpdump 软件发展而
46、来的。它是一个基于 libpcap 包的网络监控软件,可以作为一个十分有效的网络入侵监测系统。它能够监测多种网络攻击和探测,例如:缓冲器溢基于 XML 分布式入侵检测系统中通讯协作机制的研究10出攻击,端口扫描,CGI 攻击,SMB 探测等等。Snort 具有实时的告警能力,将告警记入一个特别的告警文件-系统日志,或者将告警信息通过 samba 转发给另一台Windows PC 机。Snort 是一个轻量级的入侵检测系统,它具有截取网络数据报文,进行网络数据实时分析、报警,以及日志的能力。snort 的报文截取代码是基于 libpcap 库的,继承了 libpcap 库的平台兼容性。它能够进行
47、协议分析,内容搜索/匹配,能够用来检测各种攻击和探测,例如:缓冲区溢出、隐秘端口扫描、CGI 攻击、SMB 探测、OS指纹特征检测等等。Snort 使用一种灵活的规则语言来描述网络数据报文,因此可以对新的攻击作出快速地翻译。Snort 具有实时报警能力。可以将报警信息写到syslog、指定的文件、UNIX 套接字或者使用 WinPopup 消息。Snort 具有良好的扩展能力。它支持插件体系,可以通过其定义的接口,很方便地加入新的功能。Snort 还能够记录网络数据,其日志文件可以是 tcpdump 格式,也可以是解码的 ASCII 格式 9。2.2.1 Snort 的工作模式Snort有三种
48、工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。可以让Snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。2.2.2 Snort 在 Windows XP 下的安装与配置首先下载windows下snort的安装文件,同时也要下载Winpcap的安装文件,先安装Winpcap然后在安装snort。Snort的配置需要两个MySql数据库snort 库和snort_archive 库。Comment 木木木木1: http
49、:/ XML分布式入侵检测系统中通讯协作机制的研究112.3 MySQL简介MySQL是 一 个 小 型 关 系 型 数 据 库 管 理 系 统 , 开 发 者 为 瑞 典 MySQL AB公 司 。在 2008年 1月 16号 被 Sun公 司 收 购 。 目 前 MySQL被 广 泛 地 应 用 在 Internet上 的 中 小型 网 站 中 。 由 于 其 体 积 小 、 速 度 快 、 总 体 拥 有 成 本 低 , 尤 其 是 开 放 源 码 这 一 特 点 ,许 多 中 小 型 网 站 为 了 降 低 网 站 总 体 拥 有 成 本 而 选 择 了 MySQL作 为 网 站 数 据 库 10。与 其 他 的 大 型 数 据 库 例 如 Oracle、 DB2、 SQL Server等 相 比 , MySQL自 有 它的 不 足 之 处 , 如 规 模 小 、 功 能 有 限 ( MySQL Cluster的 功 能 和 效 率 都 相 对 比 较 差 )等 , 但 是 这 丝 毫 也 没 有 减 少 它 受 欢 迎 的 程 度 。 对 于 一 般 的 个 人 使 用 者 和 中 小 型
