基于模式匹配的入侵检测系统研究(开题报告)

长江大学 毕业 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 ( 论文 政研论文下载论文大学下载论文大学下载关于长拳的论文浙大论文封面下载 )开题报告 题目名称基于模式匹配的入侵检测系统研究 题目类别毕业设计 学院(系) 专业班级 学生姓名 指导教师 辅导教师 开题报告日期 一、题目来源 来源:社会实际 二、研究的目的和意义 随着互联网技术的迅猛发展, 网络自身的安全也越来越受到关注. 网络安全的一个主要威胁就是通过网络对信息系统的入侵. 据统计, 目前中国国内有80%的网站有安全隐患,而20%的网站有严重的安全问题 . 此外,利用计算机网络进行的各类违法行为以每年30%的速度递增,而已发现的黑客攻击案只占总数的30%. 入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截入侵. 从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面, 并在智能化和分布式两个方向取得了长足的进展 . 但现有的入侵检测技术存在着严重的问题, 无法在应用中提供有效的安全防御. 其中绝大多数的科研成果虽然采用如人工智能、数据挖掘、神经网络等高深算法,但由于算法过于复杂、对设备 要求 对教师党员的评价套管和固井爆破片与爆破装置仓库管理基本要求三甲医院都需要复审吗 过高、没有有效的报警,而不能得到广泛的应用. 基于模式匹配的入侵检测系统,将网络数据包与入侵规则库进行特征匹配 , 利用协议分析技术,可极大地提高入侵分析的效率. 使用协议分析过滤冗余数据,同时在规则树上分叉,加速深度遍历;在检测到与已知攻击特征匹配事件等异常网络行为时,会自动对比内建的攻击行为模型资料库,并追踪、纪录、攻击封包,进行实时拦截. 侦测到攻击事件时,系统同时会透过电子邮件、S MP(简单网络管理协议) 以警告声响的方式通知管理者,同时会显示连接IP、相关封包及攻击方式等信息. 系统发出警报并进行响应. 基于模式匹配的入侵检测系统的研究将有效的提高入侵检测效率,提高网络安全保证. 三、阅读的主要参考文献及资料名称 [1]陈明奇,吴秋新等.入侵检测.第3版.人民邮电出版社,2006.1. [2]宋劲松等.Snort2.0 入侵检测系统.第2版.国防工业出版社,2004.1. [3]唐正军等.入侵检测技术导论.第2版.机械工业出版社,2004. [4]唐谦,张大方.基于Snort的入侵检测引擎比较分析.计算机工程与设计, 2007(11):84-86. [5]蒋建春,冯登国编.网络入侵检测原理与技术.第2版.国防工业出版社, 2001.7. [6]胡大灰.高效的Snort规则匹配机制.微计算机信息,2006(2):10-12. [7] 刘文涛等.Linux网络入侵检测系统.第2版.电子工业出版社,2004.1. [8]巫喜红.字符串模式匹配算法性能测试.嘉应学院报,2006.12(24):87-91. [9]严蔚敏,吴伟民.数据结构(C语言版).清华大学出版社,2004.9. [10]吕强.模式匹配算法在网路入侵检测系统中的研究[J].华东理工大学学报(自然科学版),2005,31(2):219-222. 四、国内外现状和发展趋势与研究的主攻方向 入侵检测的研究开始于20世纪80年代,在Internet兴起之后受到较高重视得到快速发展。早在1980年,J Anderson等人为美国空军做了一份题为“计算机安全威胁监控与监视”的技术报告,这份报告被公认为是入侵检测的开山之作。在报告中,他首次提出了入侵检测的概念,提出使用审计消息来跟踪用户的可疑行为,并简单的划分了入侵行为。1985年,Denning在Oakland提出了基于统计量分析的、实时和用户行为轮廓的入侵检测技术,做出了第一个实时入侵检测系统模型,该模型是入侵检测研究领域的里程碑,此后大量的入侵检测系统模型开始出现,但是大多是基于Denning的统计量分析理论。1986年,乔治敦大学的Dorothy和SRL/CSL的Peter Neumann提出了一个名为IDES (intrusion detection exert system)模型。它的基本思路为:入侵者的行为和合法用户的异常行为是可以从系统合法用户的正常行为中区分出来的。为了定义一个用户的正常行为就必须为这个用户建立和维护一系列的行为轮廓配置,这些配置描述了用户正常使用系统的行为特征。IDES可以利用这些配置来监控当前用户活动,当一个用户的当前活动与以往活动的差别超出某些预定的边界条件,既轮廓配置的各项阈值时,这些活动就被认为是异常的,而且它很可能是一种入侵行为。进入90年代以后,随着Porras和Kemmerer基于状态转换分析的入侵检测技术的提出和完善,根据已知的攻击模型进行入侵检测的方法成为该领域研究的另一热点。第三代检测技术主要是基于协议分析,协议分析的出现极大的减小了系统的统计量、虚警率和识别未知攻击的能力。协议分 析方法主要是重温利用网络协议特征的有序性特征来实现。通过协议分析可以减少计算量,发现任何不符合标准的网络行为,可以检测已知和未知的入侵行为。 从入侵检测系统使用的技术策略上来看,目前热门的技术主要是基于异常的入侵检测、误用的入侵检测和混合检测技术等。误用检测技术通过建立检测模型,对用户的操作行为与模型进行匹配,匹配成功,就视该行为是网络攻击。误用检测技术的优点是检测已知攻击的有效性高、误报率低,缺点是难识别未知攻击行为,检测依赖于系统的特征库,因此漏报率一般较高,系统需要经常升级。异常的入侵检测技术是通过用户行为与正常新我给之前的偏离来怕波段是否存在入侵,它的优点是能够检测到一些未知入侵,缺点是误报率较高,实现起来相当困难,是现在研究的一关热点。混合检测方法是综合误用和异常检测两者的优势,在做出判断之前,同时使用误用模型和异常模型,因此判断的结果可能会更加准确和全面。从理论上讲,混合检测技术更好,但在两种技术的融合上比误用检测技术更加困难,需要进一步的深入研究。 从系统结构看,入侵检测系统有层次入侵检测、通用入侵检测和智能化的入侵检测等。使用的技术是一些基于神经网络、统计和数据挖掘等分析技术。目前比较成熟的技术是层次化的入侵检测系统,它的优势在于针对不同类别的攻击可以采取不同的处理方式,不限于主机过着网络数据,另外,层次化模型对攻击特征库的安全策略库较为容易设计,检测效率较高。 网络入侵检测防御的基础是IDS,要确定使用什么样的防御手段,只有先检测到攻击知道攻击的种类和方法。目前国内外对IDS的研究比较多,由于各种技术水平的限制,存在误警率和重复故报警率较高的问题,IDS目前还是不成熟的产品。目前的入侵检测的光剑技术都有各自的优势,但是发展单一,由于技术实现上的问题,异常检测技术是目前应用最多,主流技术的入侵检测技术。Snort是一个典型的基于异常检测技术的系统,一个较为标准化的入侵检测系统,它先规则化处理网络数据包,简单的解析数据包,然后将解析后的数据与特征库进行模式匹配,这种方法的优点是同一的标准化处理协议的字段特征,缺点是检测效率比较低。协议分析技术是目前比较先进的入侵检测技术, 其基础也是通过对异常协议进行分析,协议异常分析检测技术通过监控网络状态,分析网路协议,检测网络通信数据来判断是否存在入侵。协议分析技术的优点是能准确定位特征攻击,能弥补异常监测中无法准确判定的缺点,因此,结合协议分析技术,有针对性的匹配攻击特征行为。基于协议分析技术的入侵检测系统不能实现对所有攻击类型的检测,所存在的问题有:多样化的协议规则,不同的网络协议有不同的格式,需要分别对待;单一的协议分析之是解析协议本身,当面对“正常”的协议时,既协议本身没有问题,比如ARP欺骗攻击,从流量统计、数据发送者等角度来看,存在明显的攻击;协议分析技术只能按照协议格式来解读数据,缺乏适应性。传统的模式匹配技术虽然存在匹配速率较慢的问题,但是它可以检测具有特征性的攻击行为。因此,结合传统的模式匹配技术和协议分析技术两者的优点所以个较好的入侵检测方案。 五、研究 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 、需重点研究的关键问题及解决思路 1.本课题研究的内容有如下几点: (1)研究网络中存在的主要安全问题和解决这些安全问题主要用到的一些技术,分析这些技术的优缺点。 (2)了解基于模式匹配的入侵检测系统的概念,研究基于模式匹配的入侵检测系统的工作过程,并探讨目前使用的入侵检测系统技术存在的一些问题。 (3)参考目前一些入侵检测系统的设计思想,研究并设计一个简单的入侵检测系统,对各个模块进行详细设计。 (4)对入侵检测系统所用的BM模式匹配算法进行分析与研究并测试,尝试通过改进原有的算法以提高算法效率。 2.本课题重点研究的关键问题: (1)重点研究模式匹配算法,模式匹配算法是基于模式匹配算法的入侵检测系统研究的重点,目前已经存在很多种模式匹配算法,研究各种算法的优缺点,并重点研究BM算法,尝试将其改进。 (2)入侵检测系统的设计与实现,做好需求分析,构思入侵检测体系结构,并对每个模块进行详细研究与设计。其中包括数据捕获模块、协议分析模块、入侵检测模块以及响应模块等。 (3)进行针对性的系统测试。 本课题的研究需要阅读大量的文献,因此在展开课题研究之前需要对自己的知识体系进行扩充架构,不懂的地方会多跟导师沟通。 六、毕业设计所必须具备的工作条件 1.硬件:一台P4以上的电脑。 2.操作系统: windows xp或windows 7。 七、工作的主要阶段和时间安排 第一阶段:课题准备阶段。阅读相关文献,了解课题所需要掌握的各种知识,做好开题准备,完成开题报告。并与指导老师沟通,确定课题研究方向与内容,详细了解课题研究所应具备的知识储备。 (第1-2周)。 第二阶段:逻辑构思准备阶段。对课题研究展开逻辑构思,确定课题研究结构,搜集准备研究材料。研究模式匹配算法,以便于入侵检测系统的设计。(第3-6周)。 第三阶段:系统设计阶段。通过对模式匹配算法的研究,设计出简单的入侵检测系统,并详细设计各个模块,使各个模块能联合良好的运作。(第7-10周)。 第四阶段:测试完善阶段。对所研究的算法进行总结,尝试改进所用模式匹配算法,并进行效果测试。完善与检测整个设计系统,纠正设计阶段可能出现的错误。最后完成毕业论文。 (第11-15周)。 八、指导老师审查 意见 文理分科指导河道管理范围浙江建筑工程概算定额教材专家评审意见党员教师互相批评意见