文档介绍:一种基于数据包分析的网络入侵检测探针李文嘉张大方洗笱Ъ扑慊胪ㄐ叛г海希ど。琣篿摘要:入侵检测是网络安全研究中一个较新的领域。本文首先介绍入侵检测系统的原理,并在此基础上利用约癚趌操作系统下实现了基于数据包分析的网络入侵检测探针程序。该程序完成了共享网段中的数据包的捕获和分析,入侵特征的匹配以及对入侵活动的响应等功能。关键词:入侵检测,数据包捕获,数据包分析,网络攻击..当越来越多的公司将其核心业务向互联网转移的时候,网络安全作为一个无法回避的问题呈现在人们面前。网络安全防范技术包括攻击检测,攻击防范以及攻击后的恢复这三个大方向,每一个方向上都有代表性的产品:入侵检测系统负责进行攻击检测,防火墙和强制访问控制系统负责攻击防范,攻击后的恢复就是自动恢复系统。传统上,公司一般采用防火墙作为安全的第一道防线。而随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络的防卫必须采用一种纵深的、多样的手段。与此同时,当今的网络环境也变得越来越复杂,、补漏的系统使得网络管理员的工作不断加重,不经意的疏忽便有可能造成安全的重大隐患。在这种环境下,入侵检测系统成为了安全市场上新的热点,不仅愈来愈多的受到人们的关注,而且已经开始在各种不同的环境中发挥其关键作,乜簍幻用。基金项目:国家自然科学基金资助项目钅亢牛篘作者简介:李文嘉校=ǔね∪耍妒可芯糠较蛭?尚畔低秤胪张大方校淌冢┦可际Γ芯糠较蛭?尚磐纭:张喝掌冢
缛肭旨觳馓秸肷杓聘攀网络入侵检测探针结构图入侵检澳,顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测,简称。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。为此,我们实验室开展了关缛肭旨觳馓秸敕矫娴纳杓坪褪迪止ぷ鳌O旅娼樯芑谑莅治龅耐缛肭旨觳网络入侵检测系统,简称ü嗵蚕网段,捕获该网段上的数据包并对其进行分析,从而剥离出一些与入侵特征相关的标志。然后再将这些标志同现有的入侵特征进行模式匹配,从而能够侦测出存在于该网络中的入侵活动,并且利用一些响应手段向网络管理员发出告警信息并采取相应的行动。在设计网络入侵检测探针中的几个关键因素在于数据包的捕获和正确的分析解码,对入侵特征的模式匹配以及确保入侵特征的及时更新等。根据数据包在网络上的流向和网络协议分层的特点,这个基于数据包分析的网络入侵检测探针被分为了三个大的模块:底层模块,中层模块和上层模块。如图一所示:肪矲,该探针选用了由美国劳伦斯一伯克利国家实验室开发的包捕获函数库来完成数据包的捕获工作:中层模块是本探针的关键部分,它义可以分为惆反模块,层包头处理模块,反砟?椋琔包头处理模块和包头处理模块,还有一个入侵特征库和用以记录入侵活动的入侵日志;上层模块主要包括入侵日志的读取和显示模块以及检测到入侵活动后的响应模块。探针的设计和实现。?榈敝校撞隳?橹饕J峭瓿墒莅牟痘窆ぷ鳌T诟锰秸胨Φ系统.
网络入侵检测探针底层模