基于特征的主机入侵检测系统的设计与实现

摘要 ?? 设立防火墙和杀毒软件是保护计算机安全的主要手段，但随着操作系统的安全隐患被越来越多的发现，攻击者往往能绕开防火墙和杀毒软件来对目标进行攻击。从其他方面提高计算机安全性越来越迫切。基于该思想，设计了一个IDS（基于特征的入侵检测系统），目的是通过这个IDS监视并分析网络流量来发现攻击企图或者攻击行为，采取报警、回复假的不可达信息或断开连接等手段，来保护计算机安全。 ??? 本次设计完成了一个IDS的设计和实现，详细论述了该IDS的结构和功能，阐述了相关概念和设计原理，并给出了部分关键代码。最后总结了本次设计的IDS的优点和缺陷，从性能方面对本次设计进行了评价。 ?????? 关键词：IDS；NIDS；入侵检测系统；snort；网络安全 本课题是基于防火墙有自身的缺陷，不能为处于网络上的主机撑起完整的安全保护伞为出发点来研究的。发展IDS技术是安全形式所趋，发展有自主知识产权的、安全、可靠的IDS对全球的网络安全有着重大的意义。“评价一个IDS有这样几个方面：（1）准确性；（2）性能；（3）完整性；（4）故障容错（fault tolerance）；（5）自身抵抗攻击能力；（6）及时性（Timeliness）”。[6]由于设计参考的是snort，因此这次设计的IDS的各项性能和snort相仿，属于轻量级的IDS（轻量级是指适合小网段使用）。基于IDS技术的不成熟以及Snort在相关IDS的产品中是比较成熟的一种，所以这次设计的IDS的在现今阶段来说性能指标处于中上水平。 1.4本课题的研究方法 本课题设计一个在windows系统下运行的基于特征的入侵检测系统，设计与架构参考了较有名的snort入侵检测系统。借助相关的环境辅助软件安装了IDS。通过IDS在网络上抓获的数据包（IP、TCP、UDP）并与数据库里的特征数据进行对比。根据对比出的结果来进行相关的操作。