基于windows入侵检测系统的研究与设计—响应模块设计
摘 要
入侵检测技术是对传统的安全技术(如防火墙)的合理补充。它通过监视主机系统或网络,能够对恶意或危害计算机资源的行为进行识别和响应。通过与其它的安全产品的联动,还可以实现对入侵的有效阻止。入侵检测系统的研究和实现已经成为当前网络安全的重要课题。http://www.16sheji8.cn/
本文从研究入侵技术入手,分析了入侵过程的各个阶段、各种入侵方法,总结了网络安全事故的根源。然后,介绍了入侵检测方法的分类,分析了各种入侵检测方法和字符串匹配的算法。研究表明基于规则的入侵检测系统是现在入侵检测系统设计的最主要的技术,基于这一理论,设计开发了一个基于规则匹配的特征检测方法的响应模块。系统开发环境为VC++ 6.0,数据库采用MYSQL数据库。通过该系统可以有效的实现对入侵的检测,并且具有用户友好性。
关键词: 入侵检测;响应模块;规则匹配
The Research and Design of Intrusion Detection System
Based on Windows
¬¬——Design of Response Module
Abstract
The intrusion detection technology is complementarities for traditional security protecting technology, such as firewalls. It can identify and response to malice activities by monitoring the host system or the Internet. It also can prevent intrusion activities with the linkage of other security technology. The research and development of IDS has become the important subject about network security.
This thesis begins with studying attacking technology, including analyzing every stage of an intrusion stage and various attacking methods, summarizing the fundamental reasons of various network security incidents and the trend of attacking technology, afterwards, introducing the classification of the intrusion detection system, analyzing various intrusion detection methods and string-matching algorithm. Through research to make clear that the intrusion detection system based on rules is the most important intrusion detection technology, because of this theory, the design has developed a response module based on the rule match characteristic examination method. The system development environment is VC++ 6.0; the database adapts the MYSQL database. This system can implement the effective realization to the intrusion detection, and the interface of this software is friendly.http://www.16sheji8.cn/
Key words: Intrusion detection; Response module; Rule-matching
目 录
论文总页数:26页
1 引 言 1
1.1 背景 1
1.2 国内外研究现状 1
1.3 本文的主要工作 1
2 理论基础 1
2.1 入侵基本概念 2
2.1.1 安全与入侵的概念 2http://www.16sheji8.cn/
2.1.2 入侵的步骤 2
2.1.3 黑客攻击的方法 3
2.1.4 安全威胁的根源 6
2.2 入侵检测技术 6
2.2.1 入侵检测的概念 6
2.2.2 入侵检测系统的基本结构构成 7
2.2.3 入侵检测的分类 7
2.2.4 入侵检测方法 9
2.3 BM算法 11
3 系统总体设计 13
3.1 系统概述 13
3.2 系统总体结构框架 13
3.3 开发环境 14
4 响应模块设计实现 14
4.1 规则库设计实现 14
4.2 事件分析设计与实现 17
4.2.1 规则解析 17
4.2.2 规则匹配流程 18
4.3 输出模块的设计 19
4.3.1 响应输出流程 19
4.3.2 日志数据库设计 20
4.4 模块集成实现 20
5 系统测试和分析 21
5.1 攻击检测测试 21
5.1.1 测试目的 21
5.1.2 测试过程 21
5.1.3 测试结果分析 21
5.2 误报和漏报测试 22http://www.16sheji8.cn/
5.2.1 测试目的 22
5.2.2 测试过程 22
5.2.3 测试结果分析 23
结 论 23
参考文献 24
致 谢 25
声 明 26
1 引 言
1.1 背景
近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展。http://www.16sheji8.cn/
依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。
1.2 国内外研究现状
入侵检测技术国外的起步较早,有比较完善的技术和相关产品。如开放源代码的snort,虽然它已经跟不上发展的脚步,但它也是各种商业IDS的参照系;NFR公司的NID等,都已相当的完善。虽然国内起步晚,但是也有相当的商业产品:天阗IDS、绿盟冰之眼等不错的产品,不过国外有相当完善的技术基础,国内在这方面相对较弱。http://www.16sheji8.cn/
1.3 本文的主要工作
本文从分析现有网络中存在的安全说起,指出了现有的网络所面临的安全威胁,主要介绍了基于特征(signature-based)的网络入侵检测技术,阐述了由入侵检测理论所构建的入侵检测平台,监测并分析网络、用户和系统的活动,识别已知的攻击行为,统计分析异常行为。在本文的后面针对基于windows平台并基于特征(规则)的入侵检测系统响应模块的设计与实现作了详细的说明,阐述了什么是入侵检测、如何检测、如何响应等一系列问题,同时也给出了一套完整的设计思想和实现过程。