中小学校园网络的入侵检测开题报告

分院		专业
学生姓名		学号
指导教师		职称
合作导师		职称
论文题目	中小学校园网络的入侵检测
一、选题背景和意义 背景： 随着网络技术在各行业的迅猛发展,计算机网络在给人们工作和生活带来方便的同时,也使信息安全面临着严峻的挑战。互联网用户的增加,网上电子商务的兴起、操作系统和软件缺陷等问题使得系统受到攻击入侵的可能性越来越大。全国网民数量正在逐年增长，并且其中教师和学生的比重远比其他群体要高，而我国校园网络的快速发展，就是促使我国网民增长如此快速的主要原因之一，与此同时保证网络的安全对学校网络来说也逐渐占到了主导地位。传统的网络安全措施一般采用防火墙作为安全屏障,随着网络攻击技术的日趋成熟,攻击工具与手段日趋复杂多样;加之防火墙自身存在不足,使得单纯的防火墙策略难以满足对安全高度敏感部门的需要。为了弥补防火墙存在的不足,引入了入侵检测(Intrusion Detection System，IDS)技术。 意义： 校园网络是一个开放性的网络,为了满足大量的用户和多媒体教学的需求，校园网络带宽普遍较高，而大学生用户群体比较活跃，这为黑客的入侵提供了有利的环境。同时，校园网络中教学子网、学生子网、行政子网等不同子网都具有不同的特征，为校园网络入侵检测子系统的建设带来了很大的困难。本课题将针对中小学校园网的特征对基于Snort技术的高校校园网入侵检测系统进行如下几个方面的研究。 首先，采用分布式方式作为校园网入侵检测系统的架构。由于不同的子网具有不同的特征，例如教学子网主要是数据量较大的多媒体数据;行政子网数据量小，但是安全要求较高;学生子网数据类型繁杂，而且数据量大。为此本研究采用分布式的结构，根据各个子网的特点，在子网中安装入侵检测代理，并且有服务器对代理进行集中管理,从而使得入侵检测系统能够满足各个子网的安全需求。 其次，针对校园网数据流量较大的特点，本研究主要通过如下的方法来提高校园网入侵检测系统的检测效率。一方面，基于分布式入侵检测架构，进行 Snort规则库的重新设计，从而缩小各个子网入侵检测代理的规则匹配搜索空间，提高搜索性能;同时，进行模式匹配算法的优化，提高规则匹配效率;除此之外，通过与防火墙进行有效通信，从而将检测到的攻击拒之门外，降低对同一攻击行为的重复检测等方法来减少网络中的攻击数据量，提高入侵检测效率。 因此基于Snort 技术的校园网入侵检测系统，不仅能够实现对校园网内攻击行为的检测，提高校园网的安全性，同时也注重对入侵检测系统性能优化的研究，具有较大的实用价值。
二、国内外研究现状、发展动态 入侵检测顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为或攻击迹象。入侵检测的研究最早可以追溯到1980年,James P.Anderson在为美国空军做的题为《计算机安全威胁监控与监视》的技术报告中,首先提出了入侵检测的概念。他将入侵划分为外部闯入,内部授权用户的越权使用和滥用三种类型,并提出用审计追踪来监视入侵威胁。对威胁进行了分类,并对审计子系统提出了改进意见,以便该系统可以用于检测误用。1984年到1986年间出现的入侵检测专家系统(Intrusion Detection Expert,IDES)实时模式的入侵检测系统,标志着入侵检测系统的诞生。经过了三十年的发展历程，入侵检测系统走过了从实验室原型研究、商业化产品开发到市场推广，最终得到了广泛认同的过程。 近年来虽然我国在入侵检测领域起步较晚，但是发展比较迅速，现在国内开发研制入侵检测系统的公司有20多家，主要的有中联绿盟信息技术有限公司开发的“冰之眼”网络入侵侦测系统，东软软件股份有限公司研制的NetEye IDS2.0，复旦光华推出的S_Audit入侵检测与安全审计系统，福建海峡公司研发的“黑盾”网络入侵检测系统等。随着入侵检测系统研究的不断发展和完善，以及各种学科在计算机技术和入侵检测系统中的应用，以及网络攻击行为的不断变化，入侵检测系统也会随之发生改变。从目前来看，今后的入侵检测技术发展方向主要有如下的三种。 (1)分布式入侵检测 基于分布式方法对网络中的攻击行为进行检测和控制，主要的技术为网络信息检测的系统提取和协同提取。 (2)智能入侵检测 使用智能化手段对网络入侵行为进行检测，主要的研究方式向是免疫原理、遗传算法、神经网络、模糊技术等学科在入侵行为辨别行为上的应用等。 (3)全面安全防御 即基于安全工程风险管理的思想来对网络中的入侵行为进行监控,即将网络安全作为一个系统工程来进行处理。从网络管理、防火墙、网络结构、入侵检测、数据加密等多个方面的协同来对网络安全进行管理，从而提出一个全面、可行的网络安全解决方案。 入侵检测的主要功能是对用户和系统行为进行监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别,也就是说入侵检测是为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。入侵检测的目的:识别入侵者;识别入侵行为;检测和监视已实施的入侵行为;为对抗入侵即时提供重要信息;使系统恢复正常工作,同时收集证据。入侵检测技术基于数据源类型可以分为五大类型：基于主机，基于网络，混合入侵检测，基于网关的入侵检测系统及文件完整性检查系统。基于检测理论入侵检测又可分为异常检测和误用检测。而基于检测时效，IDS处理数据的时候可以采用实时在线检测方式，也可采用批处理方式，定时对原始数据进行离线检测。我们此次的研究则是采用混合入侵检测的技术进行研究的，即基于网络流量监控和主机控制异常的入侵检测系统，可以通过流量监控的方式和主机控制是否异常的立体式的方式检测用户当前所使用的的物理机以及网络是否存在安全风险。这对各大高校校园网的网络安全检测、人们日常安全上网以及各个公司信息安全管控需求都有着十分重要的研究意义，也十分符合入侵检测系统的发展趋势。
研究的内容及可行性分析 研究内容： 目前,随着信息技术的不断发展,国内高校的校园网络建设也正在逐步完善，与此同时校园网络安全也日渐成为了高校信息化建设所面临的主要问题之一。本研究主要借助Snort技术，利用入侵检测系统来提高校园网络的安全性，并且对基于校园网络入侵检测系统进行了如下几个方面的研究。 (1)校园网特点分析 对于不同的网络而言，其用户行为和网络传输数据都存在一些不同，针对网络用户行为特点和网络传输数据特点进行定制化的网络入侵检测系统的设计,可以提高入侵检测系统的安全性和性能。对于校园网络而言，包含了教师子网、学生子网、行政子网等各具特点的子网，而且对于中小学网络而言，主要用户是教师，为了满足日常教学资源查询、下载的需求，校园网的带宽较宽，这些都为网络攻击者提供了非常便利的环境，也为校园网络安全防护带来了更大的困难。 (2)snort入侵检测功能实现 针对校园网络的特点,采取分布式结构来进行校园网络结构的的设计，并且将校园网络设计划分成基于snort技术的数据捕获、服务器、响应和安全通讯四大模块，并且分别对着四个功能模块的设计与实现进行研究。 (3)入侵检测系统功能优化 主要通过对 Snort规则库的重新设计，以及模式匹配算法的优化，来提高校园网子网中入侵检测系统代理的规则匹配速度,从而提高整个校园网入侵检测系统的检测效率。 在 Snort 3.0中有上万条针对不同分类制定的规则，其分类的标准主要包括操作系统、数据库管理系统等。但是，由于校园网络整体环境较为稳定，校园网服务器、数据库并不会频繁更换，为此，如果在较为单一的校园主干网上部署所有的规则，那么将会由于大量无用规则，从而导致规则匹配的效率和性能降低。为此，在确定校园网络环境后，可以更加有针对性的选取规则，从而提高Snort入侵检测系统的性能，这正是我们所要做的事情。 Snort的规则匹配流程图如图1所示： 图 1 Snort规则匹配流程图 可行性分析： 技术可行性：在入侵检测功能实现方面，对于校园网络的数据捕获、服务器、响应和安全通讯四大模块可以采用本科学习期间所用的kail系统中的wireshark工具进行抓包等操作，而snort的抓包检测技术于此类似，完全可以代替wireshark进行数据收集和检测，所以操作起来比较容易。在入侵检测功能的优化方面，也就是怎样提升snort匹配规则性能方面是相对工作量稍大的，需要对snort规则文本的大量筛选和分配以及修改，只要认真学习规则的修改方法，通过对此技术的不断学习和研究，还是可以实现的。 经济可行性：操作可在虚拟机进行，通过linux或者kali系统即可进行实验，snort工具是开源的，网上可以通过免费下载获得Snort，只需要几分钟就可以安装并开始使用，window xp等系统也都能实现兼容。但由于人力成本以及开发设备限制，本系统主要在个人Windows主机上进行运行测试，可能导致面对大吞吐量的网络环境下可能造成环境资源耗尽影响实验数据收集以及分析。
论文拟解决的关键问题及难点 问题： 此次对于校园网络的入侵检测研究首先关键问题是要做好前期数据收集以及各个模块框架的设计与实现，即数据捕获、服务器、响应和安全通讯四大模块。然后要再次基础上进行入侵检测优化，主要通过对 Snort规则库的重新设计，以及模式匹配算法的优化，来提高校园网子网中入侵检测系统代理的规则匹配速度,从而提高整个校园网入侵检测系统的检测效率。同时对目前的主流的各种入侵检测技术的策略和类型也要进行整理分析。 其次因为本系统主要在个人Windows主机上进行运行测试，导致面对大吞吐量的网络环境下可能造成环境资源耗尽影响实验数据收集以及分析。在研究的过程中可能出现数据丢失、实际数据量太少等问题，这将会影响实验分析的准确性。 在我们校园网络入侵检测研究的过程中，最重要的也是贯穿首尾的任务就是整体框架的 搭建，最关键的问题就是要怎样提升检测系统整体的安全性以及检索攻击的广泛性，如何做好这些将是此次论文成功撰写的关键问题。 难点： 如果病毒一样，大多数入侵行为都具有某种特征，Snort的规则就是用这些特征的有关信息构建的。如果入侵者试图利用这些弱点来实施攻击，也可以作为一些特征。这些特征可能出现在包的头部，也可能出现在载荷中。Snort的检测系统是基于规则的，而规则是基于特征的。Snort规则可以用来检测数据包的不同部分。Snort 1.x可以分析第3等和第4层的信息，但是不能分析应用层协议。Snort 2.x增加了对应用层头部的支持。所有的数据包根据类型的不同按顺序与规则比对。 规则可以用来产生告警信息、记录日志，或者使包通过（pass）：对Snort来说，也就是悄悄丢弃（drop），通过在这里的意义与防火墙或路由器上的意义是不同的。在防火墙和路由器中，通过和丢弃是两个相反的概念。规则文件通常放置在snort.conf文件中，可以用其他规则文件，然后用主配置文件引用它们（#include 的方式，在snort 2.x主要是用过主文件引用）。 目前网络上所存在的网络攻击方式层出不穷，要想做到对每种攻击方式都进行snort检测分类几乎是不可能的，这也是研究的难点之一，但snort工具的功能在现有技术中所能实现的入侵检测攻击的功能还是十分强大的，我们所能做的就是如何改进snort的入侵检测规则使其能够更加快速地匹配检测到攻击，这要对snort入侵检测系统的体系进行透彻分析，更要了解目前大部分的黑客攻击方式，结合起来分析最终设计出针对校园网络的一个安全的检测系统，并不断改进，这是重点也是难点工作。
研究方法与技术路线 研究方法： 1.文献研究法：参考相关文献和有关学术报告，大量阅读文献，学习有关系统的设计以及入侵检测系统设计的最新成果。 2.信息分析法：对调查取得的资料进行汇总与分析，同时请教指导老师，进一步深化理解。 3.对比分析法：学习他人相关的研究，从而以更广阔的视野解决问题。  4.数据分析法：以多方调研得出的数据为基础，进行科学的定性定量分析。 技术路线： SNORT入侵检测系统包括三个重要的组成子系统:数据包嗅探和解析子系统、检测引擎子系统、日志记录和报警子系统。首先使用数据包嗅探系统从网卡上捕获数据包发送给数据包解析系统，通过数据包解析子系统中的数据包解码器对数据包进行解码及预处理。然后检测引擎子系统接收分析结果并且对其进行规则匹配。最终根据不同的匹配结果对数据包进行相应的处理操作。入侵检测系统的另一种分类方法可以把SNORT入侵检测系统架构分解为以下几个模块:数据包解析模块、预处理模块、检测引擎模块和预警信息记录输出模块。数据包解析模块和上文中的数据包嗅探和解析子系统功能相似，同样是实现网络数据信息获取并且对其进行解析处理。不同点是数据包解析模块会将解析后的数据存入相应的数据格式，而不是直接发送给检测系统。预处理模块的功能包括报文的分片重组和数据流重组预处理等。检测引擎模块实现基于规则的模式匹配过程，它不仅包含种种的检测插件，重点是它能够检测出入侵行为。预警信息记录模块能够详细记录检测信息和预警信息并且能够实现各种报文日志功能。 图 2 snort监测管理系统 Snort系统主要功能分为上述三个层次： (1)传感器层：这层对经过的流量进行监控以发现入侵，并将数据传给第二层。Snort应用程序运行在传感器上，它负责对抓来的包进行解释并传递警报，由于传感器必须放置在要监控的特定网段上,出于性能和安全考虑只能安装必需的应用程序，其他什么都不能有。同时可以自动驱动防火墙开启相应的防御功能。 (2)snort服务台：这一层的主要功能是首先从传感器收集各种报警数据并且然后对其进行分析并把相应的数据转换成用户可读的形式。报警数据将被导入一个关系数据库便于进行复杂的查询。Snort支持多种数据库，比如 Oracle、MySQL等。 (3)分析管理员控制台：数据在这一层显示，网络管理员发现传感器的报警后可以对其分析并实施防御策略。对控制台的要求就是一台专用的支持SSL协议的网页浏览器的主机。分析控制台可以使用Windows操作系统，也可以用于UNIX的操作系统。为了访问控制和避免其他应用程序干扰 IDS，尽量使用用一台专用的机器安装控制台。 图 3 技术路线 系统功能设计利用DOS攻击来举例： (1)首先进行系统搭建：这一部分将简单地构建出一个小型Snort IDS平台，来满足校园网的入侵检测测试需求。我将采用Linux作为Snort安装运行的操作系统平台，采用集成式的安装配置。然后运行snort进行攻击检测。 (2)分析控制台实现：控制台子系统的主要任务是把各种各样的网络违规行为向网络管理员汇报，这样有利于网络管理员对这些违规行为采取相应的行动，比如说进行跟踪调查，阻断等。 控制台子系统的任务主要有以下两个:第一是作为管理数据采集分析的中心。它会以便于使用人员查询的方式来显示数据采集分析中心发过来的一些警报消息。第二个任务就是根据安全策略做出一些反应行动，以这样的方法来阻止违法的行为，从而确保网络的安全性。 控制台子系统的重点设计主要为:警报信息查询，探测器管理、规划管理以及对用户的管理。 (3)进行具体的snort抓包规则配置，这一部分可以通过具体的数据包过滤语法，可以非常有针对性、选择性地记录网络数据包。程序执行一段时间后，便可查看日志进行分析。 (4)Snort当前可分析的协议有四种：TCP,UDP,ICMP和IP。将来可能会更多，例如：ARP、IGRP、GRE、OSPF、RIP、IPX等。功能十分强大，在给校园网靶机施加DOS攻击时，snort系统便会检测出异常，表明检测规则是有效的。 (5)在后期还可以实现与学校防火墙系统的联动，如果系统检测到攻击便会立即告知防火墙使其开启对应攻击的防御系统。同时告知校园网管理员尽早做好防御措施。
论文的进度安排 2022-12-01~2023-01-05 确定论文选题，收集课题有关资料，对课题进行详细的了解分析，查看大量的文献。在老师的指导下，完成论文开题报告，填写毕业论文任务书。  2023-01-05~2023-02-01 大量收集论文资料，理清论文思路，将关于论文的想法与导师进行交流，根据导师的建议和自己的分析理解，发现论文构思的不足之处，对论文思路进行完善。  2023-02-01~2023-04-01 正式开始论文工作，撰写中文摘要，阐述论文写作背景和选题所要解决的问题，并基本构造好论文总体框架。并收集相应系统所需要的数据，开始对系统进行设计和实验。 2023-04-01~2023-05-01 在查阅大量文献，运用多种研究方案，对论文进行最后完善，并加之认真思考创作的基础上，基本完成初稿。  2021-05-01~论文工作结束  根据学院的进度安排，在导师的指导下完成论文初稿修改，经过反复修改，形成终稿，同时为毕业论文答辩做准备工作。
主要参考文献 张许. 基于IPv6的校园网网络入侵检测系统研究[D].北京工业大学,2016. 李钊. 面向SQL注入和XSS攻击的Web入侵检测系统的设计与实现[D].江西师范大学,2020.DOI:10.27178/d.cnki.gjxsu.2020.001295. 冯波. 校园网入侵检测系统设计与实现[D].西华大学,2014. 宋勇.基于Snort和Sguil的校园网入侵检测系统设计与实现[J].信息与电脑(理论版),2018(13):104-106. 周爱军. 基于协议分析IPV6人侵检测系统的设计与实现[D].电子科技大学,2015. 王运.入侵检测模型的可解释性研究与实现[D].南京邮电大学,2022. 凌质亿. 面向高速网络环境的实时入侵检测系统的研究与实现[D].东南大学,2016. 叶长青,常李艳.一种基于Snort技术的入侵检测系统的实现[J].电脑知识与技术,2020,16(35):81-82.DOI:10.14004/j.cnki.ckt.2020.3790. 董良杰.基于多模式匹配算法的网络安全入侵检测系统设计[J].内蒙古民族大学报(自然科学版),2020,35(05):377-381+452.DOI:10.14045/j.cnki.15-1220.2020.05.003. [10]张炜. 基于Snort的校园网入侵检测系统设计与实现[D].南华大学,2013.
八、指导教师意见
签名：                                             年   月   日
九、开题审查小组意见
开题审查小组组长签名：                             年   月   日