浅析网络安全中入侵检测系统的设计与实现.docVIP

浅析网络安全中入侵检测系统的设计与实现 　　摘要:网络入侵检测及预警技术是防火墙的合理补充,帮助系统对付网络攻击,从而提供对内部攻击、外部攻击和误操作的实时保护。针对这一系统的设计与实现进行论述。 　　Abstract: Network intrusion detection and early warning technology are the reasonable add to firewall which help the system work against network attacks and provide the real-time guard for internal and external attacks and misuse. Based on this systems design and implementation, the paper gives the detailed discussion. 　　关键词:入侵检测系统;设计;实现 　　Key words: intrusion detection system;designing;realization 　　中图分类号:TP30 文献标识码:A文章编号:1006-4311(2010)24-0166-01 　　 　　0引言 　　入侵检测系统(Intrus Jon Detection system,IDS)为计算机系统的完整性。可用性及可信性提供积极主动的保护,并在计算机系统受到危害之前进行拦截防卫。IDS对网络的控制手段有:黑名单断开、灰名单报警、阻塞HTTP请求、通知防火墙阻断和通过SN-MPTrap报警等。 　　1技术的分析 　　1.1 异常。异常发现技术的前提是假定所有入侵行为都是与正常行为不同的。首先通过训练过程建立起系统正常行为的轨迹,然后在实际运用中把所有与正常轨迹不同的系统状态视为可疑。 　　但异常发现技术的缺点是并非所有的入侵都表现为异常。 　　1.2 误用。误用发现技术的入侵检测是指通过预先精确定义的入侵模式,对观察到的用户行为和资源使用情况进行检测。如入侵签名说明了导致误用事件弱点的特征、条件、序列和关系,还包含系统状态。 　　1.3 模式。假定所有入侵行为和手段都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配发现。模式发现的关键是如何表达入侵的模式,定义发现入侵的规则库,把真正的入侵与正常行为区分开来。 　　2入分检测系统的设计与实现 　　2.1 实验系统的整体设计。本实验系统界面部分主要在Visual S 2005开发环境中完成。实验系统使用的是其中Visual C#语言开发ASP.NET Web 应用程序的方法。 　　将实验系统的实现主要分为9个子模块,包括网络安全实验系统欢迎和登陆、入侵检测方式选择、入侵检测实验系统总体介绍、局域网的指定网段中正在嗅探主机程序流程图的展现、检测局域网的指定网段中正在嗅探主机的详细信息、WinPcap驱动介绍、局域网中正在进行端口扫描主机程序流程图展现、检测局域网中正在进行端口扫描主机的详细信息、Libnids开发包介绍。 　　2.2 网络嗅探检测。 　　2.2.1 基本原理。下面以Windows系统为例说明。 　　FF-FF-FF-FF-FF-FF:这个是一个正规的广播地址,不管是正常模式还是其他模式,都会被网卡接收并传递给系统核心。 　　FF-FF-FF-FF-FF-FE:这个地址对于网卡来说,不是一个广播地址,在正常模式下会被网卡抛弃,但是系统核心是认为这个地址同FF-FF-FF-FF-FF-FF是完全一样的。如果处于混杂模式,将被系统核心接收,并认为是一个广播地址。所有的Windows操作系统都是如此。 　　FF-FF-00-00-00-00:Windows核心只对前面两字节作判断,核心认为这是一个同FF-FF-FF-FF-FF-FF一样的广播地址。这就是为什么FF-FF-FF-FF-FF-00也是广播地址的原因。 　　FF-00-00-00-00-00:对于Win9x或WinME,则是检查前面的一个字节。因此会认为这个是一个广播地址。 　　所以,目的就要让正常模式的网卡抛弃掉探测包,而让混杂模式的系统核心能够处理探测。发送一个目的地址为FF-FF-FF-FF-FF-FE(系统会认为属于广播地址)的ARP请求,对于普通模式(广播等)的网卡,这个地址不是广播地址,就会直接抛弃,而如果处于混杂模式,那么ARP请求就会被系统核心当作广播地址处理,然后提交给嗅探器程序。系统核心就会应答这个ARP请求。 　　2.2.2 主要数据结构和函数。使用到WinPcap中的主要数据结构和自定义的数据结构PACKET、ETHDR、ARP