1、呼伦贝尔学院 计算机科学与技术学院无线网络论文题 目: 基于 snort的入侵检测方案设计学生姓名: # 学 号: 2008121225 专业班级: 2008 级计算机科学与技术二班 指导教师: 刘仁山 完成时间: 2012 年 I摘要由于计算机技术的飞速发展,计算机网络的应用也越来越广泛。然而随之而来的各种病毒的困扰及黑客行为的不断升级,网络安全已经成为了一个非常重要而且是必须考虑的问题之一了。通过对计算机网络安全存在的问题进行深入剖析,并提出了相应的安全防范技术措施。 近年来,随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,计算机网络的安全
2、性变得日益重要起来,由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。为确保信息的安全与网络畅通,研究计算机网络的安全与防护措施已迫在眉捷。本人结合实际经验,对计算机网络安全与防护措施进行了探讨。 关键词 计算机网络;安全;因素;入侵检测IIAbstractDue to the rapid development of computer technology, the computer network is applied more and more extensively. However
3、, the ensuing viral distress and hacking is ceaseless upgrade, network security has become a very important and must be considered one of the problems. Through the computer network security problems in-depth analysis, and put forward the corresponding security measures.In recent years, with the rapi
4、d development of computer network technology, especially Internet applications become more and more widely, in brought hitherto unknown mass of information at the same time, computer network security has become increasingly important, due to computer network connection form multiplicity, terminal di
5、stribution inhomogeneity, network openness and network the sharing of resources and other factors, resulting in the computer network vulnerable to virus, hackers, malicious software and other misconduct of the attack. In order to ensure the information safety and network unimpeded, study the compute
6、r network security and protective measures already approach is in eyebrow nimble. Combining with the practical experience, the computer network security and protective measures are discussed.Keywords computer network,Security, Factors, intrusion detection 摘要 .IAbstract.II第 1 章 网络安全概述 .11.1 网络安全基础知识
7、.11.1.1 网络安全的 定义 .11.1.2 网络安全的特征 .21.1.3 网络安全的重要性 .2第 2 章 安全威胁与防护措施 .42.1 基本概念 .42.2 安全威胁的来源 .42.2.1 基本威胁 .42.2.2 主要的可实现的威胁 .52.2.3 潜在威胁 .52.3 网络安全防护措施 .62.3.1 计算机病毒的防范技术 .62.3.2 身份认证技术 .62.3.3 入侵检测技术 .7第 3 章 入侵检测原理 .83.1 入侵检测的概述 .83.1.1 入侵检测的功能 .83.1.2 入侵检测的模型 .83.1.3 入侵检测的流程 .93.2 入侵检测的分析技术 .93.2.
8、1 异常检测 .103.3 Snort .错误!未定义书签。第 4 章 Snort 介绍 .134.1 Snort 体系结构 .134.2 Snort 规则 .144.5 实验内容与步骤 .144.5.1 Windows 平台下 Snort 的安装与配置 .144.6 Windows 平台下 Snort 的使用 .16总结 .22参考文献 .23第 1 页(共 23 页)第 1 章 网络安全概述随着计算机网络技术在各领域的普遍应用,现代社会的人们对于信息网络的依赖性正与日俱增。网络的用户涵盖了社会的方方面面,大量在网络中存储和传输的数据承载着社会的虚拟财富,这对计算机网络的安全性提出了严格的要
9、求。然而与此同时,黑客技术也在不断发展,大量黑客工具在网络上广泛流传,使用这些工具的技术门槛越来越低,从而造成全球范围内网络攻击行为的泛滥,对信息财富造成了极大的威胁。因此,掌握网络安全的知识,保护网络的安全已经成为确保现代社会稳步发展的必要条件。本章首先从网络安全的基础知识出发,介绍了网络安全的定义和特征;接着总结了威胁网络安全的主要因素。1.1 网络安全基础知识1.1.1 网络安全的定义“安全”一词在字典中被定义为“远离危险的状态或特性”和“为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施。 ”网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。从广义上来说,凡是涉及网
10、络上的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。网络安全的一个通用定义是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的原因而遭到破坏、更改或泄露,系统连续、可靠、正常地运行,服务不中断。从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改和抵赖等手段对用户的利益和隐私造成损害和侵犯,同时也希望当用户的信息保存在某个计算机系统上时,不受其他非法用户的非授权访问和破坏。从网络运行和管理者的角度来说,他们希望对本地网络信息的访问、读写等操作受到保
11、护和控制,避免出现病毒、非法存取、拒绝服务和网络资源的非法占用及非法控制等威胁,制止和防御网络“黑客”的攻击。对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免其通过网络泄露,避免由于这类信息的泄密对社会产生危害,对国家造成巨大的经济损失,甚至威胁到国家安全。从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和发展造成阻碍,必须对其进行控制。因此,网络安全在不同的环境和应用中会得到不同的解释,下面列出几种安全种类:1. 运行系统安全第 2 页(共 23 页)即保证信息处理和传输系统的安全。包括计算机系统机房环境的保护,法律、政策的保护,计算机结构
12、设计上的安全性考虑,硬件系统的可靠安全运行,计算机操作系统和应用软件的安全,数据库系统的安全,电磁信息泄露的防护等。它侧重于保证系统正常的运行,避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失,避免由于电磁泄露产生信息泄露,干扰他人(或受他人干扰) ,本质上是保护系统的合法操作和正常运行。2. 网络上系统信息的安全包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治和数据加密等。3. 网络上信息传播的安全即信息传播后的安全,包括信息过滤等。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充和诈骗
13、等有损于合法用户的行为。本质上是保护用户的利益和隐私。显而易见,网络安全与其所保护的信息对象有关。其本质是在信息的安全期内保证其在网络上流动时或者静态存放时不被非授权用户非法访问,但授权用户却可以访问。网络安全、信息安全和系统安全的研究领域是相互交叉和紧密相连的。本书中所讲的网络安全是指通过各种计算机、网络、密码技术和信息安全技术,保证在公有通信网络中传输、交换和存储信息的机密性、完整性和真实性,并对信息的传播及内容具有控制能力,不涉及网络可靠性、信息的可控性、可用性和互操作性等领域。1.1.2 网络安全的特征网络安全应具有以下 4 个方面的特征:1.保密性保密性指信息不泄露给非授权用户、实体
14、、过程或供其利用的特性。2.完整性完整性指数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。3.可用性可用性指可被授权实体访问并按需求使用的特性。即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。4.可控性可控性指对信息的传播及内容具有控制能力1.1.3 网络安全的重要性随着网络的快速普及,网络以其开放、共享的特性对社会的影响也越来越大,信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政治、军事、文教等诸多领域,其中存储、传输和处理的信息有许多是政府文件、商业第 3 页(共 23 页)经济信息
15、、银行资金转账、股票证券、能源资源数据、科研数据等重要信息,还有很多是敏感信息,甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击(例如信息泄露、信息窃取、数据篡改、计算机病毒等) 。同时,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。近年来,计算机犯罪案件也急剧上升,计算机犯罪已经成为普遍的国际性问题。据美国联邦调查局的报告,计算机犯罪是商业犯罪中所占比例最大的犯罪类型之一。计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性等特点。通常很难留下犯罪证据,这大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成
16、为严重的社会问题之一。大量事实表明,确保网络安全已经是一件刻不容缓的大事。有人估计,未来计算机网络安全问题比核威胁还要严重,因此,研究网络安全课题具有十分重要的理论意义和实际背景。据美国 AB 联合会组织的调查和专家估计,美国每年因计算机犯罪所造成的经济损失高达 150 亿美元。近几年国内外很多著名站点被黑客恶意修改,在社会上造成许多不良的影响,也给这些站点的运维者带来了巨大的经济损失。利用计算机通过 Internet 窃取军事机密的事例,在国外也是屡见不鲜。美国、德国、英国、法国和韩国等国的黑客曾利用 Internet 网分别进入五角大楼、航天局、北约总部和欧洲核研究中心的计算机数据库。我国
17、信息化进程虽然刚刚起步,但是发展迅速,同时安全问题也日益严重。在短短的几年里,发生了多起危害计算机网络的安全事件,必须采取有力的措施来保护计算机网络的安全。广义上的网络安全还应该包括如何保护内部网络的信息不从内部泄露、如何抵制文化侵略、如何防止不良信息的泛滥等。未来的战争将是信息战争,信息安全关系到国家的主权和利益,关系着国家的安全。因此网络安全技术研究的重要性和必要性是显而易见的。计算机网络的发展,使信息的共享应用日益广泛与深入。但是信息在公共通信网络上存储、共享和传输,可能面临的威胁包括被非法窃听、截取、篡改或毁坏等,这些威胁可能给网络用户带来不可估量的损失,使其丧失对网络的信心。尤其是对
18、银行系统、商业系统、管理部门、政府或军事领域而言,信息在公共通信网络中的存储与传输过程中的数据安全问题更是备受关注。第 4 页(共 23 页)第 2 章 安全威胁与防护措施2.1 基本概念所谓安全威胁,是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。攻击就是安全威胁的具体实施。所谓防护措施,是指保护资源免受威胁的一些物理的控制、机制、策略和过程。微弱性是指在实施保护措施中或缺少防护措施时,系统所具有的弱点。所谓风险,是对某个已知的、可能引发某种成功攻击的脆弱性的代价的测度。当某个脆弱的资源的价值越高,且成功攻击的概率越大时,风险就越高;反之,当某个脆弱资源的
19、价值越低,且成功攻击的概率越小时,风险就越低。风险分析能够提供定量的方法,以确定是否应保证防护措施方面的资金投入。安全威胁有事时可以分为故意的(如黑客浸透)和偶然的(如信息被发往错误的地方)两类。故意的威胁又可以进一步分为被动攻击和主动攻击。被动攻击只对信息进行监听(如搭线窃听) ,而不对其进行修改。主动攻击却对信息进行故意的修改(如改动某次金融会话过程中货币的数量) 。总之,被动攻击比主动攻击更容易以更少的花费付诸实施。目前尚没有统一的方法来对各种威胁加以区别和分类,也难以搞清各种威胁之间的相互关系。不同威胁的存在及其严重性随着环境的变化而变化。然而,为了解释网络安全服务的作用,人们对现代计
20、算机网络以及通信过程中常遇到的一些威胁汇编成一些图表。下面分三个阶段对威胁进行分析:首先对基本的威胁加以区分;其次,对主要的可实现的威胁进行分类;最后,对潜在的威胁进行分类。2.2 安全威胁的来源2.2.1 基本威胁下面 4 种基本安全威胁直接反映了本章初始划分的 4 个安全目标。1.信息泄露信息被泄露或透漏给某个非授权的人或实体。这种威胁来自诸如窃听、搭线或其他更加错综复杂的信息探测攻击。2.完整性破坏数据的一致性通过非授权的增删、修改和破坏而受到损坏。3.拒绝服务对信息或资源的访问被无条件地阻止。这可能是由以下攻击所致:攻击者通过对系统进行非法的、根本无法成功的访问尝试而使系统产生过量的负
21、荷,从而导致系统的资源在合法用户看来是不可用的。拒绝服务也可能是因为系统在物理上或逻辑上受到破坏而终端服务。4.非法攻击第 5 页(共 23 页)某个资源被某个非法授权的人,或以某种非授权的方式使用。例如,侵入某个计算机系统的攻击者会利用此系统作为盗用电信服务的基点,或者作为侵入其他系统的桥头堡。2.2.2 主要的可实现的威胁在安全威胁中,主要的可实现威胁应该引起高度关注,因为这类威胁一旦成功实施就会直接导致其他任何威胁的实施。只要的可实现威胁包括侵入威胁和植入威胁。一、主要的侵入类型的威胁如下:1.假冒某个实体(人或者系统)假装成另外一个不同的实体。这是突入某一安全防线最常用的方法。这个非授
22、权的实体提示某个防线的守卫者,使其相信他是一个合法的实体,此后便取了此合法的权利和特权。黑客大多采取这种假冒攻击方式来实施攻击。2.旁路控制为了获得非授权的权利和特权,某个攻击者会发掘系统的缺陷和安全性上的脆弱之处。例如,攻击者通过各种手段发现原本应保密,但是又暴露出来的一些系统“特征” 。攻击者可以绕过防线守卫者侵入系统内部。3.授权侵犯一个授权以既定目的使用某个系统或资源的人,却将其权限用于其他非授权的目的。这种攻击的发起者往往属于系统内的某个合法用户,因此这个攻击又称为“内部攻击” 。二、主要的植入类型的威胁如下:1.特洛伊木马(trojan horse)软件中含有一个察觉不出的或者无害
23、的程序段。当他被执行时,会破坏用户的安全性。例如一个表面上具有合法目的的应用程序软件,如文件编辑软件,它具有一个暗藏的目的,就是将用户的文件复制到一个隐藏的秘密文件中,这种应用程序就称为特洛伊木马。此后,植入特洛伊木马的那个攻击者就是可以阅读到该用户的文件。2.陷阱门(trap door)在某个系统或其部件中设置“机关” ,使在提供特定的输入数据时,允许违反安全策略。例如,一个用户登录子系统,如果设置有陷阱门,当攻击者输入一个特别的用户身份号时,就可以绕过通常的口令检测。2.2.3 潜在威胁在某个特定的环境中,如果对任何一个基本威胁或者主要的可实现威胁进行分析,就能够发现某些特定的潜在威胁,而
24、任意一种潜在威胁都可能导致一些更基本的威胁的发生。例如,在对信息泄露这种基本威胁进行分析时,有可能找以下几种潜在的威胁(不考虑主要的可实现威胁): 窃听(eavesdropping) ;第 6 页(共 23 页) 流量分析(traffic analysis) ; 操作人员的不慎所导致的信息泄露; 媒体废弃物所导致的信息泄露。图 2-1 列出了一些典型的威胁以及它们之间的相互关系。注意,图中的路径可以交错。例如,假冒攻击可以成为所有基本威胁的基础,同时假冒攻击本身也存在信息泄露的潜在威胁(因为信息泄露可能暴露某个口令,而用此口令可以实施假冒攻击) 。表 2-1 列出了各种威胁之间的差异,并分别进
25、行了描述。图 2-1 典型的威胁及其相互关系2.3 网络安全防护措施安全领域存在有多种类型的防护措施。除了采用密码技术的防护措施之外,还有其他类型的安全防护措施:2.3.1 计算机病毒的防范技术 在网络环境下,防范计算机病毒仅采用单一的方法来进行已经无任何意义,要想彻底清除网络病毒,必须选择与网络适合的全方位防病毒产品。如果对互联网而言,除了需要网关的防病毒软件,还必须对上网计算机的安全进行强化;如果在防范内部局域网病毒时需要一个具有服务器操作系统平台的防病毒软件,这是远远不够的,还需要针对各种桌面操作系统的防病毒软件;如果在网络内部使用电子邮件进行信息交换时,为了识别出隐藏在电子邮件和附件中的病毒,还需要增加一套基于邮件服务器平台的邮件防病毒软件。由此可见,要想彻底的清除病毒,是需要使用全方位的防病毒产品进行配合。另外,在管理方面,要打击盗版,因为盗版软件很容易染上病毒,访问可靠的网站,在下载电子邮件附件时要先进行病毒扫描,确保无病毒后进行下载,最重要的是要对数据库数据随时进行备份。
