文档介绍:摘要
摘要
入侵检测系统通常包括事件产生器、事件分析器、响应单元以及事件数据
库四部分。其中,事件分析器又是我们入侵检测技术的关键部分。
在网络入侵检测系统的事件分析器中,截获网络的每一个数据包,都要进
行分析、匹配,这就需要花费大量的时间和系统资源。大部分现有的网络入侵
检测只有几十兆的检测速度,随着百兆、甚至千兆网络的大量应用,入侵检测
的速度已经远远落后于网络速度。对于这一检测速度的瓶颈,对此我们改进了
.算法以解决这一问题。
除了入侵检测系统外,我们的计算机中还可能使用了防火墙、漏洞扫描等
其他类别的安全设备,这些安全组件之间如何交换信息,共同协作来发现攻击、
作出响应并阻止攻击关系到整个系统的安全性。另外,对间谍软件和广告软件
的检测也是一个令人头疼的问题。对此,
上建立了具有主动防御能力的主动防御模块以解决问题。
介绍了一般的入侵检测系统的概念、模型,入侵检测技术的分类。然后,
描述了网络入侵检测系统的模型,以及入侵检测存在的弱点和局限性,
从而引出了我们课题研究的意义、现状和背景。
阐述了数据采集的原理。因为我是在僮飨低诚拢肔叩库函
数实现的数据包的捕获,所以就介绍一下挠泄睾褪萁峁埂V
点阐述了网络数据包的捕获程序,并输出了实验结果。
简要介绍了疘乃牟隳P汀⑹荼ǖ姆庾肮蹋琁等协议的格
式和数据结构。这些是非常重要的,因为它们是进行数据报协议分析、负载分
析所必须的。当然,重点还是放在了介绍数据分析的原理、模块设计、程序实
现上,最后输出实验数据。
我们自己改进了一种算法。,介绍它的
工作原理,详细叙述了它的算法实现、测试结果、结果分析。
组建主动防御模块,用它来实现多层次的纵深防御,实现了和其它安全设
备的互动,探索了检测反扫描、反间谍软件、反广告软件的功能。
最后是结论,并介绍了今后需要进一步完善的工作。
关键字: 入侵检测误用检测协议分析瓸惴ㄖ鞫烙?
江南大学硕:貉宦畚
琁,
ⅱ鬿,
甋
.
。
,
. —
,
.
琽,
.
孕, 册瑀
皀甀, 行
.
—.
, 甌
琩瓵,
琣.
.
.
疘琫, 丌
疘.
. ,
,
. 痺.
篐—甒
琣. .
.
甒.,.
.
瑆.
篿琺琾,
狟琣
第一章概述
第一章概述
入侵检测系统的概念
入侵检测系统美词侗鹫攵约扑
机系统和网络系统或者更广泛意义上的信息系统的非法攻击。包括检测外界非
法入侵者的恶意攻击或试探以及内部合法用户的超越使用权限的非法行动【”。
它通过从计算机网络或系统中的若干关键点收集信息,并对这些信息进行
分析,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。
所有能够执行入侵检测任务和功能的系统,都可以称作入侵检测系统,其中包
括软件系统与硬件系统结合的系统。与其他安全产品不同的是,入侵检测系统
需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一
个合格的入侵检测系统能大大简化管理员的工作,保证网络安全地运行
具体说来,入侵检测系统的主要功能有:
嗖獠⒎治鲇没Ш拖低车幕疃
瞬橄低撑渲煤吐┒矗
拦老低彻丶试春褪菸募耐暾裕
侗鹨阎5墓セ餍形#
臣品治鲆斐P形#
僮飨低橙罩竟芾恚⑹侗鹞シ窗踩ú呗缘挠没Щ疃
入侵检测系统模型
为解决入侵检测系统之间的互操作性,国际上的一些研究组织开展了标
准化工作,目前对斜曜蓟ぷ鞯挠辛礁鲎橹篒腎
虲髈
。
早期由美国国防部高级研究计划局赞助研究,现在由工作组负
责,是一个开放组织。阐述了一个入侵检测系统耐ㄓ媚P腿缤
所示。它将一个入侵检测系统分为以下组件:
事件产生器肊盒表示:
事件分析器,用斜硎荆
响应单元,用斜硎荆
事件数据库,用斜硎尽
厂—————◆怕应单元
匣件分析器!!!!————锛菘鈒
觯干一一下。
!R毁杭鱹—————————R
原始数据源
图卜模型
入侵检测的分类途径得到的信息。事件产生器的目的是从整个计算环境中获得事件,并向系统和误用入侵检测。K淙凰泻芨叩奈蟊剩瞧浜艿偷穆┍屎投晕粗9セ骼嘈偷募为与库中的记录相匹配时,系统就认为这种行为是入侵。⒃吹姆掷从数据来源看,入侵检测通常可以分为两类:基于主机的入侵检测和基于用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系