免费个人入侵检测系统的实现(一)

摘    要
 入侵检测系统（IDS）可以对系统或网络资源进行实时检测，及时发现闯入系统或网络的入侵者，也可预防合法用户对资源的误操作。本文档从入侵检测的基本理论和入侵检测中的关键技术出发,主要研究了一个简单的基于网络的windows平台上的个人入侵检测系统的实现(PIDS，Personal Intrusion Detection System)。文档首先分析了当前网络的安全现状，介绍了入侵检测技术的历史以及当前入侵检测系统的关键理论。分析了Windows的网络体系结构以及开发工具Winpcap的数据包捕获和过滤的结构。最后在Winpcap系统环境下实现本系统设计。本系统采用异常检测技术，通过Winpcap截取实时数据包，同时从截获的IP包中提取出概述性事件信息并传送给入侵检测模块，采用量化分析的方法对信息进行分析。系统在实际测试中表明对于具有量化特性的网络入侵具有较好的检测能力。最后归纳出系统现阶段存在的问题和改进意见,并根据系统的功能提出了后续开发方向。
 
 关键词：网络安全；入侵检测；数据包捕获；PIDS
 

 
目 录
文档总页数：24页
1 引言 1
1.1 网络安全概述 1
1.1.1 网络安全问题的产生 1
1.1.2 网络信息系统面临的安全威胁 1
1.1.3 对网络个人主机的攻击 2
1.2 入侵检测技术及其历史 3
1.2.1 入侵检测（IDS）概念 3
1.2.2 入侵检测系统的分类 4
1.2.3 入侵检测模型 5
1.2.4 入侵检测过程分析 6
1.2.5 入侵检测的发展历史 6
1.3 个人入侵检测系统的定义 7
1.4 系统研究的意义和方法 7
2 个人入侵检测系统的设计 7
2.1 数据包捕获模块 7
2.2 数据解析模块 11
2.3 数据分析模块 12
2.4 分析结果记录 13
2.5 报警处理模块 13
3 个人入侵检测系统的实现 13
3.1 系统的总体结构 13
3.2 数据包捕获模块实现 14
3.3 解码数据包模块实现 15
3.4 分析数据包模块实现 16
3.5 分析结果记录并告警 20
4 个人入侵检测系统的应用实例分析 21
结    论 22
参考文献 22
致    谢 23
声    明 24

引言
 网络安全概述
 网络安全问题的产生
 可以从不同角度对网络安全作出不同的解释。一般意义上，网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”；控制安全则指身份认证、不可否认性、授权和访问控制。
 互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间，网络技术的迅速发展和广泛应用，为人类社会的进步提供了巨大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题：
 (1)信息泄漏、信息污染、信息不易受控。例如，资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等，这些都是信息安全的技术难点。
 (2)在网络环境中，一些组织或个人出于某种特殊目的，进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透，甚至通过网络进行政治颠覆等活动，使国家利益、社会公共利益和各类主体的合法权益受到威胁。
 (3)网络运用的趋势是全社会广泛参与，随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧，使信息资源的保护和管理出现脱节和真空，从而使信息安全问题变得广泛而复杂。
 (4)随着社会重要基础设施的高度信息化，社会的“命脉”和核心控制系统有可能面临更大的威胁。
 网络信息系统面临的安全威胁
 目前网络信息系统面临的安全威胁主要有:
 (1)非法使用服务:这种攻击的目的在于非法利用网络的能力，网络上的非授权访问应该是不可能的。不幸的是，用于在网络上共享资源及信息的工具、程序存在许多安全漏洞，而利用了这些漏洞就可以对系统进行访问了。
 (2)身份冒充;这种攻击的着眼点在于网络中的信任关系，主要有地址伪装IP欺骗和用户名假冒。
 (3)数据窃取:指所保护的重要数据被非法用户所获取，如入侵者利用电磁波辐射或搭线窃听等方式截获用户口令、帐号等重要敏感信息。
 (4)破坏数据完整性:指通过非法手段窃得系统一定使用权限，并删除、修改、伪造某些重要信息，以干扰用户的正常使用或便于入侵者的进一步攻击。
 对网络个人主机的攻击
 对方首先通过扫描来查找可以入侵的机器，即漏洞探测；接着确定该机器的IP地址；然后利用相应的攻击工具发起某种攻击。
 网络嗅探，嗅探器是一种网络监听工具（如：sniffer），该工具利用计算机网络接口可以截获其他计算机的数据信息。嗅探器工作在网络环境的底层，它会拦截所有正在网络上传送的数据，并且通过相应的软件实时分析这些数据的内容，进而明确所处的网络状态和整体布局。在合理的网络中，嗅探器对系统管理员而言至关重要，通过嗅探器可以监视数据流动情况以及网络传输的信息，从而为管理员判断网络问题、管理网络提供宝贵的信息。然而，如果黑客使用嗅探器，他可以获得和系统管理员同样重要而敏感的信息，（如：在某局域网上，嗅探器可以很轻松地截获在网上传送的用户姓名、口令、信用卡号码和帐号等)从而对网络安全构成威胁。其工作原理是：在一个共享介质的网络中(如以太网)，一个网段上的所有网络接口均能访问介质上传输的所有数据。每个网络接口的硬件地址与其他网络接口的硬件地址不同，同时每个网络至少还有一个广播地址。广播地址并不对应于某个具体的网络接口，而是代表所有网络接口。当用户发送数据时，这些数据就会发送到局域网上所有可用的机器。在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据的硬件地址不予响应。换句话说，工作站A不会捕获属于工作站B的数据，而是简单地忽略这些数据。当发送者希望引起网络中所有主机操作系统的注意时，他就使用“广播地址”。因此，在正常情况下，一个合法的网络接口应该只响应这样两种数据帧:一

首页 上一页 1 2 3 4 5 6 7 下一页 尾页 1/10/10