基于Windows的主机入侵检测系统联动防火墙的设计与实现
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
过 滤 规 则 进 行 各 项 操 作 ( 括 修 改 、增 加 、删 包
接从链路层获取数据帧。数据包 经过解码后 的信 息被及时传到主控台进行显示 ,以方便 系统管理 员对网络的监视。这些信息包括数据到达的时间、
采用 的协 议 、源/目的 MA C地 址 和 I 址 、 源/ P地
除) ,同时还能够设定系统配置参数 ( 公用参数和 报警参数) 。此外 ,用户可以通过主控 台按时间段
Pa cp技术来 捕 获 网 络数 据包 。在数 据 包 处 理 方 面 采用 了统 计 与 特 征 相 结合 的检 测 方 法 ,从 整 体结 构 而言是 一 个 基 于 主 机 的入 侵 检 测 系统 。文 章重 点介 绍 系统总 体结构 和联 动 防火墙模块 的实 现 。
1 系统 总体 结构 1 1设计 目标 .
周 小雄 高光 勇
( 九江学院信 息科 学与技 术 学院 江西九 江 3 20 ) 30 5
摘 要 :设 计 与开发 了一 个运行在 wn o s0 i w 2 0下 的轻 量 级入 侵 检 测 系统 , 系统 采 用 V d C
+ + . 为 开发工 具 ,利 用 WiPa 术来捕 获 网络 数 据 包。在 数 据 包处理 方 面 采 用 了 6 0作 n cp技 统计与 特征相 结合 的检 测方 法 ,从 整体 结构 而言是 一个基 于 主机 的入 侵检 测 系统 。文章 重
收稿 日期 :20 0 0 0 7— 9— 6
目的端 E、数据大小及数据 内容。解码后 的数据 l
作者简 介 :周 小雄 ,男,助教 ,九 江学院信 息科 学与技 术学院教师 ,主要研 究领域 为计算机 网络、数据 库。
20 0 8年第 6期
九江学 院学 报
・2 ・ 5
同时被送往检测 函数进行检测。检测 函数采用模 式匹配算法将数据 内容与检测规则进行匹配 ,如 发生 匹配 ,则说 明有攻 击发 生 。 , 12 5人侵 日志 及 日志 查 询 模 块 封 包 监 视 、检 .. 测模块检测到攻击发生后 ,将攻击数据包信息传 送到入侵 日志及 日志查询模块 ,该模块对传送 的 信息进行适 当处理 ,提 出一些关键数据信息并送 往主控 台进行显示 ,同时将入侵信息 以二进制形 式写人 日志 文件 Xo. a【 。 当 主控 台 需 要 查 询 lgdt 3 J 以往 的入侵 记 录 时 ,该 模 块 根 据 主 控 台 提 交 的查
表进 行修 改威 胁系统 安全 。 1,4封 包 监 视 、检 测 模 块 .. 2 利 用 WiPa n cp所 提
供 的 A I 口 函数 实 现 网络 截 包 功 能 ,它 可 以直 P接
12 1 .. 主控台 它是入侵检测系统与用户交互 的 界面,用户可 以通过主控台了解各模块 的运行状 况 ,通过主控 台对木马检测模块所需的进程控 管
20 0 8年第 6期
No ,6,2 0 08
九 江 学 院 学 报 Junl fij n nvr t ora o j i gU i sy u a e i
( 总第 1 9期) 4 ( u O19 Sm N 4 )
基 io 的 机 侵 测 统 动 火 的 计 实 于W d s 主 入 检 系 联 防 墙 设 与 现 nw
滤规则对主机 的所有启用端 口对外 通信 的进程进 行 扫 描 ,如发 现 有 进 程 不符 合 规 则 中定 义 的合 法 进程 ,则 弹 出对 话 框 提 示 用 户 是 否 停 止 该 进 程 , 用户 可根 据 实 际 情 况放 行 或 停 止 该 进 程 ,并 事后 删除该 进程 所启 用 的程序 。 12 3注册 表 监 控 模 块 通 过 驱 动 程 序 ,设 置 钩 .. 子 ,截取 注册 表 访 问事 件 以 便 发 现对 注册 表 敏感 键值 的访 问 和 防止 黑 客 程 序 或 者 病 毒 程 序 对 注册
根据对 大 多 数 常 见 攻 击 方法 的机 理 分 析 和分 门别 类 ,设 计 与 开 发 了一 个 运 行 在 wno s20 idw 00 下 的轻量 级 人 侵 检 测 系统 ,该 系统 的设 计 与 实 现
是 通过对 各种 网络 攻 击 方 法 进行 分 类 时 得 到 的 一
图 1 系 统 总ຫໍສະໝຸດ 体 结 构 不 意 图 12 2木 马检 测 系 统 启 动 线 程 每 隔 一 段 时 间进 .. 行木 马检 测 。主 要 利 用 主 控 台设 定 的进 程 控 管过
主机 入侵 检测 系 统 L IS能检 测 常 见 的黑 客 YD 攻击 ( D s 击 、Fod攻击 、Tp U pSa 攻 如 o攻 l o c/ d cn 击等 ) ,并 能及 时 通 知 主机 防火 墙 I w 进 行 阻 F 断 ;检测 各种 已知 、未 知 的后 门程 序 ,即所 谓木 马攻 击 ,并 停 止 其 运 行 ,事 后 根 据 系 统 人 侵 日志 进行 木 马 的删 除 ;实 时监 测 注 册表 ,如 发 现 对 注 册表 的恶 意修 改立 即加 以阻止 … 。 12结构 示意 图及模 块说 明 .
点介绍 系统 总体 结构和联 动 防火墙模 块 的设计和 实现 ,最后 以攻 击检 测 实验加 以验证 。 关 键词 :入侵 检测 ;防火墙 ;总体 结构 ;联 动 系统
中图分 类号 :T 9.8 文献标 识码 :A 文章编号:1 3 48 20 )0 - 04 (3 P 30 3 6 - 50(08 6 02 一 0 ) 7
查 询 人侵 日志记 录 和进行 数据封 包监 视 。
些 攻击特 征 与 攻 击 机理 进 行 检 测 的 。系 统 检 测 到 入侵 攻击 后 ,将 入 侵 信 息 通 过某 种 适 当 的方 式传 给 防火 墙 ,防 火 墙 然 后 根 据 入 侵 信 息 予 以阻 止 。
系统 采 用 V + +6 0作 为 开 发 工 具 ,利 用 Wi— C . n
接从链路层获取数据帧。数据包 经过解码后 的信 息被及时传到主控台进行显示 ,以方便 系统管理 员对网络的监视。这些信息包括数据到达的时间、
采用 的协 议 、源/目的 MA C地 址 和 I 址 、 源/ P地
除) ,同时还能够设定系统配置参数 ( 公用参数和 报警参数) 。此外 ,用户可以通过主控 台按时间段
Pa cp技术来 捕 获 网 络数 据包 。在数 据 包 处 理 方 面 采用 了统 计 与 特 征 相 结合 的检 测 方 法 ,从 整 体结 构 而言是 一 个 基 于 主 机 的入 侵 检 测 系统 。文 章重 点介 绍 系统总 体结构 和联 动 防火墙模块 的实 现 。
1 系统 总体 结构 1 1设计 目标 .
周 小雄 高光 勇
( 九江学院信 息科 学与技 术 学院 江西九 江 3 20 ) 30 5
摘 要 :设 计 与开发 了一 个运行在 wn o s0 i w 2 0下 的轻 量 级入 侵 检 测 系统 , 系统 采 用 V d C
+ + . 为 开发工 具 ,利 用 WiPa 术来捕 获 网络 数 据 包。在 数 据 包处理 方 面 采 用 了 6 0作 n cp技 统计与 特征相 结合 的检 测方 法 ,从 整体 结构 而言是 一个基 于 主机 的入 侵检 测 系统 。文章 重
收稿 日期 :20 0 0 0 7— 9— 6
目的端 E、数据大小及数据 内容。解码后 的数据 l
作者简 介 :周 小雄 ,男,助教 ,九 江学院信 息科 学与技 术学院教师 ,主要研 究领域 为计算机 网络、数据 库。
20 0 8年第 6期
九江学 院学 报
・2 ・ 5
同时被送往检测 函数进行检测。检测 函数采用模 式匹配算法将数据 内容与检测规则进行匹配 ,如 发生 匹配 ,则说 明有攻 击发 生 。 , 12 5人侵 日志 及 日志 查 询 模 块 封 包 监 视 、检 .. 测模块检测到攻击发生后 ,将攻击数据包信息传 送到入侵 日志及 日志查询模块 ,该模块对传送 的 信息进行适 当处理 ,提 出一些关键数据信息并送 往主控 台进行显示 ,同时将入侵信息 以二进制形 式写人 日志 文件 Xo. a【 。 当 主控 台 需 要 查 询 lgdt 3 J 以往 的入侵 记 录 时 ,该 模 块 根 据 主 控 台 提 交 的查
表进 行修 改威 胁系统 安全 。 1,4封 包 监 视 、检 测 模 块 .. 2 利 用 WiPa n cp所 提
供 的 A I 口 函数 实 现 网络 截 包 功 能 ,它 可 以直 P接
12 1 .. 主控台 它是入侵检测系统与用户交互 的 界面,用户可 以通过主控台了解各模块 的运行状 况 ,通过主控 台对木马检测模块所需的进程控 管
20 0 8年第 6期
No ,6,2 0 08
九 江 学 院 学 报 Junl fij n nvr t ora o j i gU i sy u a e i
( 总第 1 9期) 4 ( u O19 Sm N 4 )
基 io 的 机 侵 测 统 动 火 的 计 实 于W d s 主 入 检 系 联 防 墙 设 与 现 nw
滤规则对主机 的所有启用端 口对外 通信 的进程进 行 扫 描 ,如发 现 有 进 程 不符 合 规 则 中定 义 的合 法 进程 ,则 弹 出对 话 框 提 示 用 户 是 否 停 止 该 进 程 , 用户 可根 据 实 际 情 况放 行 或 停 止 该 进 程 ,并 事后 删除该 进程 所启 用 的程序 。 12 3注册 表 监 控 模 块 通 过 驱 动 程 序 ,设 置 钩 .. 子 ,截取 注册 表 访 问事 件 以 便 发 现对 注册 表 敏感 键值 的访 问 和 防止 黑 客 程 序 或 者 病 毒 程 序 对 注册
根据对 大 多 数 常 见 攻 击 方法 的机 理 分 析 和分 门别 类 ,设 计 与 开 发 了一 个 运 行 在 wno s20 idw 00 下 的轻量 级 人 侵 检 测 系统 ,该 系统 的设 计 与 实 现
是 通过对 各种 网络 攻 击 方 法 进行 分 类 时 得 到 的 一
图 1 系 统 总ຫໍສະໝຸດ 体 结 构 不 意 图 12 2木 马检 测 系 统 启 动 线 程 每 隔 一 段 时 间进 .. 行木 马检 测 。主 要 利 用 主 控 台设 定 的进 程 控 管过
主机 入侵 检测 系 统 L IS能检 测 常 见 的黑 客 YD 攻击 ( D s 击 、Fod攻击 、Tp U pSa 攻 如 o攻 l o c/ d cn 击等 ) ,并 能及 时 通 知 主机 防火 墙 I w 进 行 阻 F 断 ;检测 各种 已知 、未 知 的后 门程 序 ,即所 谓木 马攻 击 ,并 停 止 其 运 行 ,事 后 根 据 系 统 人 侵 日志 进行 木 马 的删 除 ;实 时监 测 注 册表 ,如 发 现 对 注 册表 的恶 意修 改立 即加 以阻止 … 。 12结构 示意 图及模 块说 明 .
点介绍 系统 总体 结构和联 动 防火墙模 块 的设计和 实现 ,最后 以攻 击检 测 实验加 以验证 。 关 键词 :入侵 检测 ;防火墙 ;总体 结构 ;联 动 系统
中图分 类号 :T 9.8 文献标 识码 :A 文章编号:1 3 48 20 )0 - 04 (3 P 30 3 6 - 50(08 6 02 一 0 ) 7
查 询 人侵 日志记 录 和进行 数据封 包监 视 。
些 攻击特 征 与 攻 击 机理 进 行 检 测 的 。系 统 检 测 到 入侵 攻击 后 ,将 入 侵 信 息 通 过某 种 适 当 的方 式传 给 防火 墙 ,防 火 墙 然 后 根 据 入 侵 信 息 予 以阻 止 。
系统 采 用 V + +6 0作 为 开 发 工 具 ,利 用 Wi— C . n