深蓝学术风_毕业答辩PPT模板

兰 州 交 通 大 学 电子与信息工程学院 分布式入侵检测系统 及其在多园区校园网中的应用 工程硕士论文答辩 工程硕士论文答辩 姓 名：XXX 指导教师：XXX XXX 工程领域：电子与通信工程 所在学院：电子与信息工程学院 20xx 年5 月11 日 绪论 绪论 研究的背景和意义 校园网已成为各个学校进行教学科研、信 息交流、资源共享、文献检索等必不可少的一 部分。然而在享受校园网极大便利的同时，网 络安全问题也变得越来越突出。校园网正面临 着病毒侵害、黑客攻击、内部威胁、安全漏洞 、缺乏管理和滥用网络资源等一系列的安全问 题。 绪论 绪论 目前，我国大部分高校的校园网安全体系 结构仍然采用防火墙和网络版杀毒软件的方式 。这种方式对于来自校园网外部常见的攻击和 各种已知病毒能起到较好的防护作用，但是对 于来自校园网内部的攻击和网络蠕虫病毒却效 果不佳。随着攻击者技能的日趋成熟，攻击手 段和攻击工具的日趋复杂多样化，这种方式已 经无法满足网络安全的需要，部署分布式入侵 检测系统就成了校园网安全体系中必不可少的 重要组成部分。 系统总体设计 系统总体设计 工程设计背景 本研究课题就是以兰州城市学院校园网为 背景设计了一个分布式入侵检测系统。兰州城 市学院校园网由三个校区组成：西校区、培黎 校区和东校区，校区之间通过租赁中国电信的 10M 光纤进行连接。校园网的管理中心设在 西校区，其网络体系结构如下图所示。 系统总体设计 系统总体设计 防火墙 路由器 Internet (CERNET) 核心交换机 交换机 DMZ Internet (ChinaNET) FTP服务器 WEB服务器 Email服务器 对外对内服务器群 管理服务器 流媒体服务器数据库服务器 对内服务器群 交换机 分校区1 教学区 计算机1 计算机2 学生区 计算机1 计算机2 家属区 计算机1 计算机2 其它区 计算机1 计算机2 计算机1 计算机2 无线区 分校区2 系统总体设计 系统总体设计 系统物理结构 防火墙 路由器 Internet (CERNET) 核心交换机 认证服务器 数据库 交换机 监测代理 DMZ Internet (ChinaNET) FTP服务器 WEB服务器 Email服务器 对外对内服务器群 管理服务器 流媒体服务器数据库服务器 对内服务器群 交换机 监测代理 分校区 教学区 监测代理 计算机1 计算机2 学生区 监测代理 计算机1 计算机2 家属区 监测代理 计算机1 计算机2 其它区 监测代理 计算机1 计算机2 监测代理 计算机1 计算机2 无线区 统计服务器 控制台 管理服务器 管理员 监测代理 监测代理 系统总体设计 系统总体设计 系统逻辑结构 管理子系统 管 理 服 务 器 统 计 服 务 器 监 测 代 理 误用检测子系统 异常检测子系统 攻击源追踪子系统 认证服务器 系统详细设计与实现 系统详细设计与实现 误用检测子系统 误用检测子系统用来对常规的、已知的攻 击行为进行检测。相对于异常检测技术，误用 检测技术显得更加有效和成熟。 系统详细设计与实现 系统详细设计与实现 误用检测代理 误用检测统计 攻击特征 数据库 误用 日志库 本地管理 系统管理 控制台 管理员 检测代理 统计服务器 管理服务器 系统详细设计与实现 系统详细设计与实现 异常检测子系统 异常检测子系统用来对未知的、新型的攻 击行为进行检测。异常检测系统检测出的不是 已知的入侵行为，而是所研究的通信过程中的 异常现象。 系统详细设计与实现 系统详细设计与实现 异常检测代理 异常检测统计 异常 日志库 本地管理 系统管理 控制台 管理员 检测代理 统计服务器 管理服务器 系统详细设计与实现 系统详细设计与实现 攻击源追踪子系统 攻击源追踪子系统主要用来实现整个系统 的攻击源追踪和定位功能，即当发现攻击行为 时，特别是拒绝服务攻击或假冒源地址的分布 式拒绝服务攻击时进行真实源攻击者地址的追 踪。 系统详细设计与实现 系统详细设计与实现 攻击源追踪代理 攻击源追踪统计 攻击源 日志库 本地管理 系统管理 控制台 管理员 检测代理 统计服务器 管理服务器 系统详细设计与实现 系统详细设计与实现 管理子系统 管理子系统主要用来实现整个分布式入侵 检测系统的管理、维护和监视，以友好的人机 交互界面和管理员交互。 系统详细设计与实现 系统详细设计与实现 攻击源追踪代理 攻击源追踪统计 本地管理 系统管理 控制台 管理员 检测代理 统 计 服 务 器 管理服务器 攻击源 日志库 异常检测代理 异常检测统计 异常 日志库 误用检测代理 误用检测统计 攻击特征 数据库 误用 日志库 系统详细设计与实现 系统详细设计与实现 误用检测与异常检测的实现 检测流程 在本系统中综合应用了误用检测和异常检 测，这样可以提高检测的准确性，其检测流程 如下图所示。 系统详细设计与实现 系统详细设计与实现 使用Winpcap捕获数据包 使用Snort进行误用检测 使用Snort进行异常检测 检测 检测 存入MySQL数据库 报警 丢弃 有入侵 无 入 侵 无 入 侵 系统详细设计与实现 系统详细设计与实现 捕获网络数据包 因为Snort 没有自己的数据采集工具， 所以需要外部的数据包捕获程序Winpcap 来 实现。 Winpcap 是由伯克利分组捕获库派生而 来的分组捕获库程序，它可以在Windows 操 作平台上实现底层包的截取和过滤。开发Win pcap 的目的是为Win32 应用程序提供访问 网络底层的能力。 系统详细设计与实现 系统详细设计与实现 Snort 的安装与配置 下载安装Snort ，安装完成后，进入Sn ort 的安装目录，将Snort 的规则文件和配置 文件复制到相应目录中，并创建一个日志目录 来保存以后产生的报警和日志文件。 为了使Snort 能够正常运行，还需要对 Snort.conf 文件进行相应的配置，包括以下 几个方面： 系统详细设计与实现 系统详细设计与实现 (1) 设置网络变量; (2) 配置预处理程序; (3) 配置输出插件; (4) 配置入侵规则库。 系统详细设计与实现 系统详细设计与实现 搭建数据库平台 各个数据库服务器主要是从入侵检测系统 中收集报警数据，并且将它存入到对应的数据 库中。利用关系型数据库对数据量相当大的报 警数据进行组织管理是最有效的方法，并且存 入关系数据库后能对其进行分类，查询和按优 先级组织排序等处理。 系统详细设计与实现 系统详细设计与实现 MySQL 是一个快速的客户机/ 服务器结 构的SQL 数据库管理系统，开发者为瑞典 MySQL AB 公司，其功能强大、灵活性好、应 用编程接口丰富并且系统结构精巧。 MySQL 数据库采用默认方式安装后，设 置MySQL 为服务方式运行。然后启动MySQL 服务，进入命令行状态，创建Snort 运行必 需的存放系统日志的Snort 库和 Snort_archive 库。同时使用Snort 目录 下的create_mysql 脚本建立Snort 运行所 需的数据表，用来存放系统日志和报警信息。 系统详细设计与实现 系统详细设计与实现 为了直观地显示数据库的存储及运行情况 ，并且方便用户对数据库进行操作，还须安装 基于php 的MySQL 数据库管理程序phpmy admin ，通过它可以在图形界面下对数据库 进行查询和管理，十分便利。 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 分析与管理 在系统中采用了拥有图形用户界面的报警 管理工具ACID 。 首先安装apache 并且将其作为服务方式 运行，在配置中添加apache 对php 的支持 ，然后将adodb 和jpgraph 安装在php 的 目录下，最后安装ACID 并修改其配置文件a cid_conf.php 。 系统详细设计与实现 系统详细设计与实现 通过上述的安装与配置就可以进行入侵检 测了。 将Snort 运行在入侵检测模式下，启动 Web 服务器，在主机上通过浏览器来查看报 警日志信息，运行ACID ，对报警事件进行统 计分析。 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 攻击源追踪的实现 在攻击源追踪子系统中，除了使用MRT G 进行网络数据包的捕获与流量分析外，还引 入了认证服务器和智能终端。 系统详细设计与实现 系统详细设计与实现 认证服务器和智能终端 认证服务器其实质是一台安装了认证服务 端软件的服务器，接在校园网的核心交换层的 交换机上。 智能终端是安装在各个客户机上的认证软 件。在本系统中，采用与核心交换机相配套的 H3C iNode 系统。 接入校园网的所有用户，都需要先到网络 信息中心进行实名信息的注册。 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 然后下载和安装客户端软件，并且进行简 单的配置。不管是使用局域网还是使用Intern et ，都必须先进行登录认证。 系统详细设计与实现 系统详细设计与实现 只有通过了登录认证后才能使用各种网络资源 。 系统详细设计与实现 系统详细设计与实现 通过上述策略，凡是在校园网中的用户， 都可以通过后台对其各种活动进行监控。其中 包括上网时间、上网时长，流入字节数，流出 字节数、IP 地址、NAS 地址、MAC 地址等 信息。当然，下线用户的相关信息也可以进行 查询。 在入侵检测过程中，如果发现问题，则可 以在这儿检查必要的信息，进行攻击源的追踪 和做进一步的处理。 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 流量监控 在攻击源追踪子系统中，流量监控非常重 要。在本系统中，选用了一台高性能的服务器 安装了MRTG ，然后在需要监控的交换机上 进行了相关的配置，这样就可以对整个网络的 流量情况进行详细的监控。 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 系统详细设计与实现 结 论 结 论 结 论 本文首先系统地介绍入侵检测系统的相关 知识，然后通过分析校园网的安全现状和校园 网的网络拓扑结构，设计了一种分布式入侵检 测系统。系统能够满足校园网等大规模局域网 的入侵检测需要。 结 论 结 论 创新点说明 本系统综合应用了现有的入侵检测技术，并且 在以下几个方面有所突破和创新： ① 全新分布式结构设计； ② 综合应用误用检测和异常检测； ③ 引入了认证服务器和智能客户端，对攻击源 追踪和校园网管理起到了支撑作用； ④ 检测代理、统计服务器、管理服务器、认证 服务器相对独立的设计，不但提高了入侵检测的效率 ，而且加强了入侵检测系统本身的安全性。 结 论 结 论 工作展望 ① 分布式入侵检测系统与防火墙、杀毒 软件之间的联动问题； ② 监测代理之间的协同工作问题； ③ 系统本身的性能和安全问题； ④ 系统的全部实现问题。 致 谢 致 谢 本课题的研究及学位论文是在我的学校指 导老师和企业指导老师的亲切关怀和悉心指导 下完成的。他们严肃的科学态度，严谨的治学 精神，以及精益求精的工作作风深深地感染和 激励着我。从课题的选择到最终的完成，他们 都始终给予我细心的指导和不懈的支持，在此 谨向张老师和崔老师致以诚挚的谢意和崇高的 敬意。 致 谢 致 谢 在此，我还要感谢兰州城市学院信息网络 中心，他们不但给我提供了本课题研究的网络 环境和设备，还对我的研究给予了大量的帮助 和支持。另外，还有部分我的同事、朋友和同 学也给了我许多的帮助。这是因为有大家的帮 助，我才能克服一个一个的困难和疑惑，直至 本论文的顺利完成。 致 谢 致 谢 感谢各位专家提出宝贵的意见和建议！ 致 谢 致 谢 谢 谢！ XXX 20xx 年5 月11 日