计算机毕业论文,毕业论文,毕业设计 毕业论文免费检测 知网论文检测
当前位置: 骆驼论文网 > 信息安全 >

基于Windows入侵检测系统-检测模块设计

时间:2011-04-11 13:24来源: 骆驼毕业论文网 作者:admin
基于windows入侵检测系统的研究与设计 ---检测模块设计 摘 要 当今是信息时代,互联网正在给全球带来翻天覆地的变化。随着Internet在全球的飞速发展,网络技术的日益普及,网络安全问题也显得越来越突出。 计算机网络安全是一个国际化的问题,每年全球因计算

QQ交谈计算机毕业设计,毕业设计,毕业论文,计算机毕业论文

基于windows入侵检测系统的研究与设计
---检测模块设计
摘  要
当今是信息时代,互联网正在给全球带来翻天覆地的变化。随着Internet在全球的飞速发展,网络技术的日益普及,网络安全问题也显得越来越突出。
计算机网络安全是一个国际化的问题,每年全球因计算机网络的安全系统被破坏而造成的经济损失高达数百亿美元。传统的防火墙技术固然重要,但是,发展网络入侵检测及预警技术也同样重要,它是防火墙的合理补充,帮助系统对付网络攻击,从而提供对内部攻击、外部攻击和误操作的实时保护。
本文首先介绍入侵检测系统的原理,并在此基础上利用Winpcap开发包,在Windows操作系统下实现了基于数据包分析的网络入侵检测系统的检测模块。该模块完成了对共享网段中的数据包的捕获和分析等功能。它是整个网络入侵检测系统的重要组成部分,是响应模块设计的基础,为响应模块提供需要的数据。

关键词:  入侵检测系统;数据包捕获;数据包分析
 
目   录
论文总页数:24页
1.引 言 1
1.1课题背景及意义 1
1.1.1 网络安全面临的威胁 1
1.1.2 网络安全隐患的来源 2
1.1.3 网络安全技术 2
1.2 本文研究内容 3
2. 入侵检测基础 4
2.1 入侵检测的定义 4
2.2 入侵检测与P2DR模型 5
2.3 入侵检测的原理 5
2.4 入侵检测的分类 7
2.5 入侵检测的发展趋势 8
3. 基于Windows入侵检测系统的设计 9
3.1概述 9
3.2系统总体结构 9
3.3开发环境 10
4. 检测模块的设计与实现 10
4.1设计思想 10
4.2 Winpcap软件开发包简介 11
4.3 BPF过滤机制简介 11
4.4网络数据包捕获模块的实现 12
4.4.1 网络数据包捕获机制 12
4.4.2 数据包捕获的具体实现 12
4.5 网络数据包分析模块的实现 16
4.6 系统集成 18
5. 系统测试与分析 19
5.1 测试目的 19
5.2 测试结果 19
结    论 21
参考文献 21
致    谢 22
声    明 24
 
 入侵检测基础
当我们无法完全防止入侵时,那么只能希望系统在受到攻击时,能尽快检测出入侵,而且最好是实时的,以便可以采取相应的措施来对付入侵,这就是入侵检测系统要做的,它从计算机网络中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测系统(IDS,Intrusion Detection System)正是一种采取主动策略的网络安全防护措施,它从系统内部和各种网络资源中主动采集信息,从中分析可能的网络入侵或攻击,同时还对入侵行为做出紧急响应。入侵检测被认为是防火墙之后的第二道安全闸门。
2.1 入侵检测的定义
可以看到入侵检测的作用就在于及时地发现各种攻击以及攻击企图并作出反应。我们可以给入侵检测做一个简单的定义,入侵检测就是对(网络)系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性与可用性。即入侵检测(Intrusion Detection)是检测和识别系统中未授权或异常现象,利用审计记录,入侵检测系统应能识别出任何不希望有的活动,这就要求对不希望的活动加以限定,一旦当它们出现就能自动地检测。
一个完整的入侵检测系统必须具备下列特点:
经济性:为了保证系统安全策略的实施而引入的入侵检测系统必须不能妨碍系统的正常运行(如系统性能)。
时效性:必须及时的发现各种入侵行为,理想情况是在事前发现攻击企图,比较现实的情况则是在攻击行为发生的过程中检测到。
安全性:入侵检测系统自身必须安全,如果入侵检测系统自身的安全性得不到保障,首先意味着信息的无效,而更严重的是入侵者控制了入侵检测系统即获得了对系统的控制权。
可扩展性:可扩展性有两方面的意义。第一是机制与数据的分离,在现有机制不变的前提下能够对新的攻击进行检测。第二是体系结构的可扩展性,在必要的时候可以在不对系统的整体结构进行修改的前提下对检测手段进行加强,以保证能检测到新的攻击。
2.2 入侵检测与P2DR模型
P2DR模型是一个动态的计算机系统安全理论模型。它的指导实现比传统静态安全方案有突破性提高。PDR是Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)的缩写,特点是动态性和基于时间的特性。
P2DR模型阐述了这样一个结论:安全的目标实际上就是尽可能地增大保护时间,尽量减少检测时间和响应时间。入侵检测技术就是实现P2DR模型中”Detection”部分的主要技术手段。在P2DR模型中,安全策略处于中心地位,但是从另一个角度来看,安全策略也是制定入侵检测中检测策略的一个重要信息来源,入侵检测系统需要根据现有的安全策略信息来更好地配置系统模块参数信息。当发现入侵行为后,入侵检测系统会通过响应模块改变系统的防护措施,改善系统的防护能力,从而实现动态的系统安全模型。因此,从技术手段上分析,入侵检测可以看作是实现P2DR模型的承前启后的关键环节。
 
图2-1 P2DR安全模型
2.3 入侵检测的原理
入侵检测系统(IDS,Intrusion Detetion System)是通过对网络系统的运行状态进行监视,从而发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。
在P2DR安全模型中、入侵检测位于检测环节,它的作用在于承接防护和响应过程,也就是通过对计算机网络或计算机系统中的若干个关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。它通过对采集到的网络数据在线或离线进行分析,当发现有入侵企图或入侵行为时,能依据响应规则做出发送入侵警报、记录入侵事件、引诱转发、中断入侵连接甚至发动入侵等响应行为,同时还能提醒管理员采取进一步防护措施。它能在不影响网络性能或轻负载的情况下,检测网络并实现对内部攻击、外部攻击和误操作的实时保护。
入侵检测和其他的检测技术有相同原理:从一组数据中,检测出符合某一特点的数据。入侵者进行攻击时会留下痕迹,这些痕迹和系统正常运行产生的数据混合在一起。入侵检测的任务之一就是从这些混合数据中找出是否有入侵的痕迹。可见,入侵检测系统有两个主要部分:数据获取和检测。
接下来看一下入侵检测系统的检测流程,如图2-2中给出了一个通用的入侵检测系统流程。下图的模块划分是非常粗略的,而且省略了诸如界面处理、配置管理等模块。
 
2.4 入侵检测的分类
通过对现有的入侵检测系统和技术的研究,可以从下面几个方面对入侵检测系统进行分类:
(1) 根据数据来源或监视的对象分类
 基于主机(Host-Based)的入侵检测系统
数据来源于主机系统。主机系统中最经典的数据源就是审计日志,也有的入侵检测系统将数据源扩展到系统日志、应用程序日志、系统状态、系统调用信息等。显然,它所监视和保护的对象是主机。
 基于网络(network-based)的入侵检测系统
数据来源于整个网络,它建立在线路侦听的基础上。实际实现时,一般是把入侵检测系统所在的主机的网卡设为混杂模式,从而捕获经过它的所有网络数据包。它监视的对象是整个共享子网,能够为整个共享子网提供保护。
基于主机的入侵检测系统与主机结合较为紧密,能发现一些基于网络的入侵检测系统发现不了的入侵。不过基于主机的入侵检测系统缺乏跨平台性,而且会在服务器上产生额外的负载。
基于网络的入侵检测系统的优势在于秘密性、平台无关性、易于实现。它将涉及多个主机的入侵信息进行关联分析、保护范围大。它对现有的系统或基础设施不会有什么影响,被检测到的用户很难发现;绝大多数基于网络IDS都是独立的:已部署的基本网络的入侵检测传感器将监视所有的攻击,而不管目标系统使用什么样的操作系统平台。
(2) 根据入侵检测方法分类
 基于异常(anomaly-based)的入侵检测
基于异常的入侵检测,简称异常检测。它的基本假设是入侵活动具有不同于正常用户活动的特征,即入侵活动表现为异常。首先根据主题的历史活动记录,为每个主体建立正常活动的“活动简档”;将当前的主体活动与“活动简档”进行比较,如果差异大于某个预定义的值,就认为这是一次入侵。
 基于特征(signature-based)的入侵检测
基于特征的入侵检测,简称特征检测。首先将已知的每种入侵方法都表示成一条入侵规则;将当前发生的活动与入侵规则集进行匹配,如果当前的活动与某条入侵规则匹配就认为是采用该种入侵方法发起的一次进攻。
基于异常的入侵检测系统的优势在于:能够发现未知的攻击;通过采用适当的自学习算法,基于异常的入侵检测系统一旦建立,可以不必修改和更新。它的缺点是建立系统主体正常活动的“活动简档”和设置合适的临界值都比较困难、误报警率高。
基于特征的入侵检测系统的优点是准确率高;它的不足在于难以发现未知攻击、攻击模式库需要不断更新。因为异常检测方法难以实现,所以很少被采用;所有的商业入侵检测系统都采用了某种形式的特征检测方法。但是,异常检测方法的优点让研究人员向往不已,大部分的研究工作都集中在异常检测方面,人们提出了各种各样的新方法企图使异常检测实用化。
除此以外,入侵检测系统还可以按数据分析发生的时间、入侵攻击的响应方式等方法分类。各种分类方法体现了对入侵检测系统理解的不同侧面。

参考文献
[1] 刘文涛.网络入侵检测系统详解[M]. 北京: 电子工业出版社, 2005.10。
[2] 宋劲松.网络入侵检测[M]. 北京: 国防工业出版社, 2004.6。
[3] 唐正军.网络入侵检测系统的设计与实现[M]. 北京: 电子工业出版社,2004.5。
[4] 唐正军.入侵检测技术导论[M]. 北京: 机械工业出版社,2004.4。
[5] 张仕斌.网络安全技术[M]. 北京: 清华大学出版社,2004.8。
[6] 谢希仁.计算机网络(第四版)[M]. 北京: 电子工业出版社,2003.6。
[7] W.Richard Stevens[美].TCP/IP详解卷1:协议[M].范建华等译.北京: 机械工业出版社,2005.10。

 

本文内容只是论文部分简介,如需了解更多详情请咨询本站客服! QQ交谈计算机毕业设计,毕业设计,工程硕士论文,计算机毕业论文
毕业论文搜集整理:毕业论文网 计算机毕业设计 计算机毕业论文 毕业设计


顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
计算机毕业设计
计算机毕业论文
论文发表