VC入侵检测系统的研究设计与实现

摘要当今是信息时代，互联网正在给全球带来翻天覆地的变化。随着Internet在全球的飞速发展，网络技术的日益普及，网络安全问题也显得越来越突出。计算机网络安全是一个国际化的问题，每年全球因计算机网络的安全系统被破坏而造成的经济损失高达数百亿美元。传统的防火墙技术固然重要，但是，发展网络入侵检测及预警技术也同样重要，它是防火墙的合理补充，帮助系统对付网络攻击，从而提供对内部攻击、外部攻击和误操作的实时保护。本文首先介绍入侵检测系统的原理，并在此基础上利用Winpcap开发包,在Windows操作系统下实现了基于数据包分析的网络入侵检测系统的检测模块。该模块完成了对共享网段中的数据包的捕获和分析等功能。它是整个网络入侵检测系统的重要组成部分，是响应模块设计的基础，为响应模块提供需要的数据。关键词: 入侵检测系统；数据包捕获；数据包分析1．引 言1.1课题背景及意义当今网络技术的迅速发展，网络成为人们生活的重要组成部分，与此同时，黑客频频入侵网络，网络安全问题成为人们关注的焦点。传统安全方法是采用尽可能多地禁止策略进行防御，例如各种杀毒软件、防火墙、身份认证、访问控制等，这些对防止非法入侵都起到了一定的作用，从系统安全管理的角度来说，仅有防御是不够好的，还应采取主动策略。入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息、分析信息，查看是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全防线，提供对内部攻击、外部攻击和误操作的实时保护。 本文首先介绍了网络入侵检测的基本原理和实现入侵检测的技术。随后重点介绍了基于Windows入侵检测系统中检测模块的设计与实现。即网络数据包的捕获与分析过程的设计与实现。1.1.1网络安全面临的威胁入侵的来源可能是多种多样的，比如说，它可能是企业心怀不满的员工、网络黑客、甚至是竞争对手。攻击者可能窃听网络上的信息，窃取用户口令、数据库信息，还可以篡改数据库内容，伪造用户身份，否认自己的签名。更为严重的是攻击者可以删除数据库内容，摧毁网络节点，释放计算机病毒，直到整个网络陷入瘫痪。用密码编码学和网络安全的观点，我们把计算机网络面临的威胁归纳为以下四种：截获（interception）：攻击者从网络上窃听他人的通信内容。中断（interruption）：攻击者有意中断他人在网络上的通信。篡改（modification）：攻击者故意篡改网络上传播的报文。伪造（fabrication）：攻击者伪造信息在网络上传送。这四种威胁可以划分为两大类，即被动攻击和主动攻击。在上述情况中，截获信息的攻击称为被动攻击，而更改信息和拒绝客户使用资源的攻击称为主动攻击。在被动攻击中攻击者只是观察和窃取数据而不干扰信息流，攻击不会导致对系统中所含信息的任何改动，而且系统的操作和状态也不会被改变，因此被动攻击主要威胁信息的保密性。主动攻击则意在篡改系统中所含信息或者改变系统的状态及操作。因此主动攻击主要威胁信息的完整性、可用性和真实性。2.5 入侵检测的发展趋势入侵检测从最初实验室里的研究课题到目前的商业IDS产品，已经有20多年的发展历史。随着入侵检测系统研究和应用的不断深入，近年对入侵检测技术有以下几个主要的发展方向。l 体系结构的新发展进一步研究分布式入侵检测与通用的入侵检测构架。IDS体系结构的研究主要包括具有多系统的互操作性和重用性的通用入侵检测框架，总体结构和各部件的相互关系，IDS管理，具有可伸缩性、重用性的系统框架，安全、健壮和可扩展的安全策略。l 应用层入侵检测许多入侵的语言只有在应用层才能理解，而目前的IDS仅能检测诸如Web之类的通用协议，而不能处理诸如Lotus Notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用，需要应用层的入侵检测保护。l 智能的入侵检测入侵方法的越来越多样化和复杂化，传统的入侵检测方法还存在着不少不足，尽管已经有智能代理、神经网络与遗传算法在入侵检测领域应用研究，但这只是一些尝试性的研究工作，需要对智能代理的IDS加以进一步的研究以解决其自学习与自适应能力。l 响应策略与恢复研究IDS是识别出入侵后的响应策略维护系统安全性、完整性的关键。IDS的目标是实现实时响应和恢复。实现IDS的响应包括向管理员和其他实体发出报警，进行紧急处理；对攻击的追踪、诱导和反击，对于攻击源数据的聚集以及ID部件的自学习和改进。IDS的恢复研究包括系统状态一致性检测，系统数据备分，系统恢复策略和恢复机制。l 与其他网络安全部件的协作、与其他安全技术的结合随着黑客入侵手段的提高，尤其是分布式、协同式、复杂模式攻击的出现和发展，传统的单一、缺乏协作的入侵检测技术已经不能满足需求，需要有充分的协作机制。此外，单一的入侵检测系统并非万能，因此需要结合身份认证、访问控制、数据加密、防火墙、安全扫描、PKI技术、病毒防护等众多网络安全技术，来提供完整的网络安全保障。3 基于Windows入侵检测系统的设计3.1概述本系统的全称为《基于Windows入侵检测系统的设计与实现》，系统的开发环境为Windows操作系统。本系统实际上是一个小型的基于Windows的网络入侵检测系统，虽然只需要安装在整个共享网段的某台机器上，但能够对整个网段提供入侵检测的保护。整个系统分主要分为两个模块，即检测模块和响应模块。检测模块主要是通过监听共享网段，捕获该网段上的数据包并对其进行分析，从而剥离出一些与入侵特征相关的标志。响应模块则负责将检测模块剥离出的标志与现有的入侵特征进行模式匹配，从而侦测出存在于网络中的入侵活动，并且利用一些响应手段向网络管理员发出告警信息并采取相应的行动。除了这两大模块以外，本系统还有一个中央控制台模块，该模块主要是给系统的使用者提供方便的操作界面，以及显示系统输出的各项数据。本论文将重点讨论检测模块的设计与实现。3.2系统总体结构系统总体结构如图3-1所示：4. 检测模块的设计与实现4.1设计思想检测模块是任何一个网络入侵检测系统都必须具备的模块之一，它主要实现了数据提取的功能，和对提取到的数据进行简单的分析，从而提取一些与入侵特征相关的标志。简单的说，可以将其分为两个部分，即数据包的捕获和数据包的分析。由于本系统是基于Windows操作系统的，所以数据包捕获功能是在Winpcap软件开发包的基础上实现的。

包含资料： 【www.think58.com计算机毕业论文网】

[资料来源：http://THINK58.com]

think58 [版权所有：http://think58.com]

源程序+论文（15000字以上）+可执行程序+答辩稿ppt+开题报告+外文翻译

copyright think58

[来源：http://www.think58.com]

[版权所有：http://think58.com]

获取资料请您联系本站客服 内容来自think58

[来源：http://www.think58.com]