个人入侵检测系统的实现有源程序代码Word格式.docx

个人入侵检测系统的实现有源程序代码Word格式.docx

《个人入侵检测系统的实现有源程序代码Word格式.docx》由会员分享，可在线阅读，更多相关《个人入侵检测系统的实现有源程序代码Word格式.docx（17页珍藏版）》请在冰豆网上搜索。

个人入侵检测系统的实现

论文作者姓名:

金国强

申请学位专业:

计算机科学与技术

申请学位类别:

工学学士

指导教师姓名（职称）:

熊淑华（副教授）

论文提交日期:

2007年6月9日

摘要

入侵检测系统（IDS）可以对系统或网络资源进行实时检测,及时发现闯入系统或网络的入侵者,也可预防合法用户对资源的误操作。

本论文从入侵检测的基本理论和入侵检测中的关键技术出发,主要研究了一个简单的基于网络的windows平台上的个人入侵检测系统的实现PIDS,PersonalIntrusionDetectionSystem。

论文首先分析了当前网络的安全现状,介绍了入侵检测技术的历史以及当前入侵检测系统的关键理论。

分析了Windows的网络体系结构以及开发工具Winpcap的数据包捕获和过滤的结构。

最后在Winpcap系统环境下实现本系统设计。

本系统采用异常检测技术,通过Winpcap截取实时数据包,同时从截获的IP包中提取出概述性事件信息并传送给入侵检测模块,采用量化分析的方法对信息进行分析。

系统在实际测试中表明对于具有量化特性的网络入侵具有较好的检测能力。

最后归纳出系统现阶段存在的问题和改进意见,并根据系统的功能提出了后续开发方向。

关键词:

网络安全;

入侵检测;

数据包捕获;

PIDS

ImplementationofPersonalIntrusionDetectionSystem

Abstract

TheIntrusionDetectionSystemIDScandetectthesystemorthenetworkresourcesonthereal-time,discovertheintruderwhointendstoenterintoasystemoranetworkwithoutwarrantintimeandpreventusersfromwrongoperation.Basedonthebasictheoryoftheintrusiondetectionandthecoretechnologyofintrusiondetection,awayoftherealizationofasimplePersonalIntrusionDetectionSystemPIDS,whichbasedonWindowsplatform,iswellresearched.Thecurrentsecuritystatusofthenetworkisanalyzedfirstly,andthenthehistoryofintrusiondetectiontechnologyandthecurrentcoretheoryoftheintrusiondetectionsystemareintroduced.Atlast,thenetworkarchitectureonWindowsaswellasthestructureofcapturingandfilteringdatapacketsbyWinpcap,atoolondevelopmentisintroduced.Afterthat,thesystemisrealizedundertheWinpcapsystemenvironment.Theabnormaldetectiontechnologyisusedinthesystem.AftercatchingdatapacketswithWinpcapinreal-time,extractingprobabilisticinformationabouteventsfromtheinterceptedIPpacketsandsendingthemtotheintrusiondetectionmodule,informationisanalyzedbymethodofquantitativeanalysis.Inactualsystemtesting,thesystemshowsagoodabilityondetectingthequantitativecharacteristicsofnetworkintrusion.Finally,theexistedproblemsandoursuggestionduringthisstageissummedupandaccordingtothefunctionofthesystem,thepropositionisgivenaboutthefuturedirection.

Keywords:

Networksecurity,Intrusiondetection,Packagecatching,PIDS

论文总页数:

24页

1引言1

1.1网络安全概述1

1.1.1网络安全问题的产生1

1.1.2网络信息系统面临的安全威胁1

1.1.3对网络个人主机的攻击2

1.2入侵检测技术及其历史3

1.2.1入侵检测（IDS）概念3

1.2.2入侵检测系统的分类4

1.2.3入侵检测模型5

1.2.4入侵检测过程分析6

1.2.5入侵检测的发展历史6

1.3个人入侵检测系统的定义7

1.4系统研究的意义和方法7

2个人入侵检测系统的设计7

2.1数据包捕获模块7

2.2数据解析模块11

2.3数据分析模块12

2.4分析结果记录13

2.5报警处理模块13

3个人入侵检测系统的实现13

3.1系统的总体结构13

3.2数据包捕获模块实现14

3.3解码数据包模块实现15

3.4分析数据包模块实现16

3.5分析结果记录并告警20

4个人入侵检测系统的应用实例分析21

结论22

参考文献22

致谢23

声明24

引言

网络安全概述

网络安全问题的产生

可以从不同角度对网络安全作出不同的解释。

一般意义上,网络安全是指信息安全和控制安全两部分。

国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;

控制安全则指身份认证、不可否认性、授权和访问控制。

互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。

网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。

然而,正是由于互联网的上述特性,产生了许多安全问题:

1信息泄漏、信息污染、信息不易受控。

例如,资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等,这些都是信息安全的技术难点。

2在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁。

3网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。

由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。

4随着社会重要基础设施的高度信息化,社会的“命脉”和核心控制系统有可能面临更大的威胁。

网络信息系统面临的安全威胁

目前网络信息系统面临的安全威胁主要有:

1非法使用服务:

这种攻击的目的在于非法利用网络的能力,网络上的非授权访问应该是不可能的。

不幸的是,用于在网络上共享资源及信息的工具、程序存在许多安全漏洞,而利用了这些漏洞就可以对系统进行访问了。

2身份冒充;

这种攻击的着眼点在于网络中的信任关系,主要有地址伪装IP欺骗和用户名假冒。

3数据窃取:

指所保护的重要数据被非法用户所获取,如入侵者利用电磁波辐射或搭线窃听等方式截获用户口令、帐号等重要敏感信息。

4破坏数据完整性:

指通过非法手段窃得系统一定使用权限,并删除、修改、伪造某些重要信息,以干扰用户的正常使用或便于入侵者的进一步攻击。

对网络个人主机的攻击

对方首先通过扫描来查找可以入侵的机器,即漏洞探测;

接着确定该机器的IP地址;

然后利用相应的攻击工具发起某种攻击。

网络嗅探,嗅探器是一种网络监听工具（如:

sniffer）,该工具利用计算机网络接口可以截获其他计算机的数据信息。

嗅探器工作在网络环境的底层,它会拦截所有正在网络上传送的数据,并且通过相应的软件实时分析这些数据的内容,进而明确所处的网络状态和整体布局。

在合理的网络中,嗅探器对系统管理员而言至关重要,通过嗅探器可以监视数据流动情况以及网络传输的信息,从而为管理员判断网络问题、管理网络提供宝贵的信息。

然而,如果黑客使用嗅探器,他可以获得和系统管理员同样重要而敏感的信息,（如:

在某局域网上,嗅探器可以很轻松地截获在网上传送的用户姓名、口令、信用卡号码和帐号等从而对网络安全构成威胁。

其工作原理是:

在一个共享介质的网络中如以太网,一个网段上的所有网络接口均能访问介质上传输的所有数据。

每个网络接口的硬件地址与其他网络接口的硬件地址不同,同时每个网络至少还有一个广播地址。

广播地址并不对应于某个具体的网络接口,而是代表所有网络接口。

当用户发送数据时,这些数据就会发送到局域网上所有可用的机器。

在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据的硬件地址不予响应。

换句话说,工作站A不会捕获属于工作站B的数据,而是简单地忽略这些数据。

当发送者希望引起网络中所有主机操作系统的注意时,他就使用“广播地址”。

因此,在正常情况下,一个合法的网络接口应该只响应这样两种数据帧:

一是帧的目标区域具有和本地网络接口相匹配的硬件地址,二是帧的目标区域具有“广播地址”。

在接收到上面两种情况的数据帧时,主机通过CPU产生硬件中断,该中断能引起操作系统注意,然后将帧中所包含的数据传送给系统作进一步处理。

而嗅探器就是一种能将本地计算机状态设成“混杂Promiscuous”状态的软件,当本机处于这种方式时,该机具备“广播地址”,它对所有遭遇到的每一个帧都产生硬件中断以便提醒操作系统处理流经该网段的每一报文包。

在该方式下,网络接口就可以捕获网络上所有数据帧,从而可以达到监听的目的。

拒绝服务攻击DenialofService,简称DoS,是指占据大量的共享资源（如:

处理器、磁盘空间、CPU、打印机）,使系统没有剩余的资源给其他用户,从而使服务请求被拒绝,造成系统运行迟缓或瘫痪。

其攻击目的是为完成其他攻击做准备。

其攻击原理是:

在拒绝服务攻击中,恶意用户向服务器传送众多要求确认的信息,使服务器里充斥着这种无用的信息。

所有这些请求的地址都是虚假的,以至于服务器试图回传时,却无法找到用户。

服务器于是暂时等候,有时超过一分钟,然后再切断连接。

服务器切断连接后,攻击者又发送新一批虚假请求,该过程周而复始,最终使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫