入侵檢測系統(tǒng)分析及在WINDOWS下的實現(xiàn)

學(xué)生：孫楊指教教師：金尚柱重慶科技學(xué)院2008年6月10日本文研究的意義隨著網(wǎng)絡(luò)安全風(fēng)險系數(shù)不斷提高，曾經(jīng)作為最主要的安全防范手段的防火墻，已經(jīng)不能滿足人們對網(wǎng)絡(luò)安全的需求。作為對防火墻及其有益的補充，入侵檢測系統(tǒng)能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生，它擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。本文的組織第一部分對于入侵檢測技術(shù)和入侵檢測系統(tǒng)的分類，模型以及一些功能的實現(xiàn)進行簡要介紹，并對設(shè)計進行需求和可行性分析第二部分對入侵檢測系統(tǒng)的模塊功能實現(xiàn)進行分析，內(nèi)容主要涉及了數(shù)據(jù)捕獲工具WINPCAP和一些模塊相關(guān)代碼的實現(xiàn)本文的組織第三部分主要介紹了入侵檢測系統(tǒng)的WINDOWS下的實現(xiàn)。這里，我們引用了WINDOWS下的SNORT入侵檢測系統(tǒng)進行編譯和調(diào)試，并對其功能的實現(xiàn)進行相關(guān)的介紹入侵檢測的概念入侵：是指任何試圖危及計算機資源的完整性、機密性或可用性的行為。入侵檢測：對入侵行為的發(fā)覺。它通過從計算機網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點收集信息，并對這些信息進行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測系統(tǒng)：進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)英文為IntrusionDetectionSystems（簡稱IDS）。入侵檢測系統(tǒng)進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)是按照一定的安全策略，對網(wǎng)絡(luò)，系統(tǒng)的運行狀況進行監(jiān)視，勁可能的發(fā)現(xiàn)各種攻擊企圖，攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性，完整性和可用性的系統(tǒng)。入侵檢測系統(tǒng)的建立依賴于入侵檢測技術(shù)的發(fā)展，而入侵檢測技術(shù)的價值最終要通過實用的入侵檢測系統(tǒng)來檢驗。入侵檢測原理入侵檢測作為一種積極主動的安全防護技術(shù)，提供了對內(nèi)部攻擊，外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)造到破壞前攔截和響應(yīng)入侵。IDS通過分析，審計記錄，識別系統(tǒng)中任何不應(yīng)該發(fā)生的活動，并采取相應(yīng)的措施報告或制止入侵活動。其具體功能包括檢測并分析用戶和系統(tǒng)的活動，檢查系統(tǒng)配置和漏洞，識別已知的攻擊行為，統(tǒng)計分析異常行為等。入侵檢測系統(tǒng)的分類根據(jù)目標系統(tǒng)的類型：基于主機（Host-Based）的入侵檢測系統(tǒng)。通常，基于主機的入侵檢測系統(tǒng)可監(jiān)測系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當有文件發(fā)生變化時，入侵檢測系統(tǒng)將新的記錄條目與攻擊標記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會向管理員報警，以采取措施?；诰W(wǎng)絡(luò)（Network-Based）的入侵檢測系統(tǒng)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)通常利用一個運行在混雜模式下的網(wǎng)絡(luò)適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。入侵檢測的過程信息收集信息分析告警與響應(yīng)入侵檢測系統(tǒng)的數(shù)據(jù)源基于主機的數(shù)據(jù)源：

系統(tǒng)運行狀態(tài)信息

系統(tǒng)記帳信息

系統(tǒng)日志（Syslog）

C2級安全性審計信息

入侵檢測系統(tǒng)的數(shù)據(jù)源基于網(wǎng)絡(luò)的數(shù)據(jù)源：

SNMP信息

網(wǎng)絡(luò)通信包應(yīng)用程序日志文件

其他入侵檢測系統(tǒng)的報警信息

其他網(wǎng)絡(luò)設(shè)備和安全產(chǎn)品的信息

入侵分析的概念入侵檢測系統(tǒng)是一個復(fù)雜的數(shù)據(jù)處理系統(tǒng)，所涉及到的問題域中的各種關(guān)系也比較復(fù)雜。

從入侵檢測的角度來說，分析是指針對用戶和系統(tǒng)活動數(shù)據(jù)進行有效的組織、整理并提取特征，以鑒別出感興趣的行為。這種行為的鑒別可以實時進行，也可以事后分析，在很多情況下，事后的進一步分析是為了尋找行為的責(zé)任人。入侵分析的目的重要的威懾力：目標系統(tǒng)使用IDS進行入侵分析，對于入侵者來說具有很大的威懾力，因為這意味著攻擊行為可能會被發(fā)現(xiàn)或被追蹤。安全規(guī)劃和管理：分析過程中可能會發(fā)現(xiàn)在系統(tǒng)安全規(guī)劃和管理中存在的漏洞，安全管理員可以根據(jù)分析結(jié)果對系統(tǒng)進行重新配置，避免被攻擊者用來竊取信息或破壞系統(tǒng)。獲取入侵證據(jù)：入侵分析可以提供有關(guān)入侵行為詳細的、可信的證據(jù)，這些證據(jù)可以用于事后追究入侵者的責(zé)任。構(gòu)建分析器

收集并生成事件信息

預(yù)處理信息

建立行為分析引擎

將事件數(shù)據(jù)輸入引擎中

保存已輸入數(shù)據(jù)的模型

分析數(shù)據(jù)

輸入事件記錄

事件預(yù)處理

比較事件記錄和知識庫產(chǎn)生響應(yīng)SNORT簡介Snort是一個輕量級網(wǎng)絡(luò)入侵檢測系統(tǒng),它運行在一個“傳感器（Sensor）”主機上，監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)。Snort能夠把網(wǎng)絡(luò)數(shù)據(jù)和規(guī)則集進行模式匹配，從而檢測可能的入侵企圖；或者使用SPADE插件，使用統(tǒng)計學(xué)方法對網(wǎng)絡(luò)數(shù)據(jù)進行異常檢測。Snort使用一種易于擴展的模塊化體系結(jié)構(gòu)，開發(fā)人員可以加入自己編寫的模塊來擴展Snort的功能，如HTTP解碼插件、TCP數(shù)據(jù)流重組插件、端口掃描檢測插件、FLEXRESP插件以及各種日志輸入插件等。典型SNORT運行環(huán)境SNORT的安裝Windows環(huán)境下的安裝用VisualC++6.0打開Snort.dsw文件。選擇“Win32Release”編譯選項進行編譯。在Release目錄下會生成所需的Snort.exe可執(zhí)行文件。SNORT的組成Snort由3個重要的子系統(tǒng)構(gòu)成：數(shù)據(jù)包解碼器、檢測引擎、日志與報警系統(tǒng)SNORT總體結(jié)構(gòu)分析結(jié)束語在這幾個月的畢業(yè)設(shè)計中，通過對《入侵檢測系統(tǒng)的分析及在Windows下實現(xiàn)》這一課題的完成，使我受益很大?，F(xiàn)在是信息化和經(jīng)濟化的時代，作為當代網(wǎng)絡(luò)系統(tǒng)中一個代表入侵檢測系統(tǒng)，人們的工作和生活中的地位逐日劇增。了解入侵檢測系統(tǒng)，對于維護網(wǎng)絡(luò)安全和完善網(wǎng)絡(luò)服務(wù)有著不可或缺的重要性。不足之處這次的課題涉及內(nèi)容比較廣，對于編程的能力要求很高，對于一些功能模塊的代碼分析做的不夠準確對于入侵檢測系統(tǒng)這一課題的不了解，模塊