网络入侵检测技术分析及应用研究
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
# e i e T T I H O C L C D ( I E D V C R F T P d f n S AR P O K T O E F L E I E D V L I ,\
— —
D V L I I C L N E 3 M T O U F R D FI E A Y A C S ) R F T P O T I D X+ , E H DB F E E , L N C E S
L A C S , E V C K R L D I E , E V C D M ND S A T C E S S R I E E NE R V R S R I E E A T R ,
_ — — _
S VI RR R NO M L, I Fl Dr . y , NU L 0 N L NU L ER C E E O R A p t v s s L , , UL , L ,
N L )启动 I uL P过滤 驱动 ;启动 I P过滤驱动后,要启动 I P过滤钩 子驱动 ,其 中驱 动程序 收到上层发过来的控制代码后即按照注册的 钩 子 函数 进 行 入 侵 检 测 。 4 攻 击 模 式 库 .
该 部 分 由用 户 自己设 置 。针 对 特 定 的攻 击 , 设置 攻 击 的源 I , P 端 口,及 子网掩码 ,目的 I ,端 口,及子网掩码,然后选择要拦截 P 或放行的协议类型 。每一次设置相 当于一条记录,可 以设置多条记 录 , 攻 击 模 式 库 即 由这 些 记 录 共 同 构 成 。
[]asnV. oA ss m fr dtc n n t ok it dr i 1Pxo , Br: yt e o e t g ew r nr es n ei u ra t  ̄. mp tr t rs 19 ,1( 3):45 26 el i ] — me Co ue wok, 9 93 2 Ne 23 - 4 3
摘
要 :论 文首先分析 了入侵检 测的概 念 ,指出 了入侵检 测的发展 情况 ,以数据分析的角度给 出了它的基本分类 。作为 实
践 活动 ,在 后 面给 出 了 一 个基 本 的 网络 入 侵 检 测 的程 序 实现 , 为相 应 的程 序 开发 起 到 借 鉴 作 用 。
关键 词:入侵检 测;网络 安全 ;计算机 应用;信 息 ;程序 设计 ;VC
Lu L . L i uYi
( h n saCt e l c o l h n sa4 0 0 ,hn C agh i H at S h o, agh 1 1 0C ia) y h C
Abs r c : is y t e i a a y e t o c p f i tu i n d tc o p i tn u e d v l p n f i r so e t n t a tF r t ss n l s l h he c n e to n r so e e t n, o n g o tt e e o me to u i n d  ̄c o ,wi a a i i h nt i t d t h a a y i i w, o n t t sc c a s f a i n. r ci e fn l i e sc n t r tu i e e to r r m n ssv e p i t l ou sba i l s i c t i i o Asap a tc , a y g v saba i e wo k i r son d t c n p og a i i l n i mplm e t t n, n e nao i i o d r o p a e e e c o e i r g a d v l p e t r e ly a r f r n er l p o r m e e o m n t n K e wo d :n r so e e to ; t r e u i Co u e p l a o sI f r a o ; r g a e i n; y r s I tu i n d t c n Ne wo k s c rt i y; mp tr a p i t n ; o m t n P o m d sg VC ci n i r
_ — —
这种方式通过采样 网络安全相关的特征数据,而且与入侵模式库中 的模式进行匹配来实现。异常检测系统首先通过对宿主计算机系统 中的 一 组 与 安 全 相 关 的特 征 属 性 的 取值 进 行统 计 和 分 析 ,为 系 统 正 常 运 行 状 态 下 的 行 为 建 立起 一个 特 征轮 廓 印 。然 后 不 断 监 测 这 些 安 全相关特征属性的实时取值 ,与正常行为特 征轮廓 出现 大的差异时 检测入侵。 二 、入 侵 检 测 的程 序 实践 ( ) 系统 总体 设 计 一 本 系统 将 实现 为 一 个 基 于 网络 的入 侵 检 测 系 统 ,本 系 统 采 用 误 用检测技术 。与普通 的采用误 用检测 技术 的入侵 检测系统相比,该 系统 内部并没有设置复杂的特征库 ,所有 的入侵模式都要用户 自己 设置 ,然后依据这些模式对入侵行为进行拦截或放行 。 ( )系 统 功 能 模 块 二 1 网络数据收集及检测引擎 . 本 部 分采 用 应用 层 截 包 方案 ,即 在 驱 动 程 序 中截 包 ,然后 送 到 应用层处理的工作模 式。在应用层工作 ,改变了工作模式 ,每当驱 动 程序 截 到数 据 ,送 到 应 用 层 处 理 后 再 次 送 回 内核 ,再 向 上传 递 到 I P协议 。综合考虑各种 因素 ,本部分决定采用应用层 的截包方 案。 2 驱动程序拦截 网络数据包 的方式 . 利用驱动程序拦截 网络数据包的方式很多,本系统采用 W n k i2 F le — o kD i e i t r H o r v r拦截数据 包。 w n 0 0设备程序开发包( D ) 在 i2 0 D K 中 ,微 软 包 含 一 个 新 的 命 名 为 F e — o k D ie 的 网 络 驱 动 程 i r H o r v r l t 序 。本程序采用 D v l l .y r F tp s s驱动程序实现 I P协议过滤 。其中 回 调 函 数 是 这 类 驱程 的 主 体 部 分 。D v l I . y P过 滤 驱 动 程 序 r F tp s s I 使用这个过滤钩 子来判 断 I P数 据包 的处理方式。所注册 的过滤钩 子 是用 P c eF l eE tn in t 据 类 型 定 义 的 。F i e — ok a k t i tr x e so P r数 i t rH o 使用该 io / 控制码建立一个 IP R ,并将其提交给 I 过滤驱动程序 。 P 该控制码 向 I P过滤驱动程序注册过滤钩子 回调 函数,当有 数据 包 发送或者接收 时, P过滤驱动程序 调用这些回调函数。 I 在本 系统 中 定义 了四种设备控制代码。分别是开始过滤、停止过 滤、添加过滤 规 则 、清 除 过 滤 规 则 :
_
C L C D FI E D V C _ R F T P T O E( L E I E D V L I ,\
_
DV L I_O T N E+ , TO UF RDF L RT C S ) RFT P ICL IDX 2M H DB FE , IEW IEA CE S E E
# e i e C E R FI T R C L C D FI E D VI E D V L I ,\ dfn LA L E T O E( L E C RFTP
_
3 S M管 理 器 .C
程序通过 S M管理器创建或打开服务 。首先通过语句 C
O e S M n g r ( U L U L,S M N G R A L A C S ) : 开 S M pnCaae N L ,N L C AAE L CES 打 C
_ —
管 理 器 ,然 后 通 过 C e t S r ie( S M p 1 D v S R I L r a e e v e m h C ,I F t r , E V CE A
一
2 — 6
中图分类 号:T 33 8 文献标识码 :A 文章鳊 号 :10— 59 ( 00 0— 06 O P 9. 0 07 99 21 ) 3 02一 1
Ne wo k I t u i n Dee t n Te h o o yAn l ssa d Ap l d Re e r h t r n r so t ci c n l g a y i n p i s a c o e
三 、 总 结
驱 动程序 会按照用户的选择对 拦截的数据包进行处理 , 在报警 及 响应过程 完毕后,点击菜 单项的 S o R p r h . e o t选项 ,会对遭受的 攻击及处 理的结果作 出响应 。该系统可以较好的完成入侵检测的功
能 ,保 证 网络 的安 全 。
参考文献 :
# f ne T P I HO K C L O ( L D V C de i S O P O T C DE FI E E I E
— — — —
D V L I ,\ RF T P
_
D V L I O T I D X I M T O U F R D F L N A C S) R F TP IC L N E +,E H DB F EE , IE AY CE S # e n D FI T R d fi e A D LE
计算 机 光盘 软件 与应 用
工 程 技 术
C m u e D S fw r n p l c t o s o p t r C o t a e a d A p a in i
2 1 第 3期 0 0年
网络入侵检测技术分析及应用研究
鲁 力.芦 毅
400 1 10) ( 沙市卫 生学校 ,长沙 长
【] 2董小玲 . 息安全的分水岭一 信 计算机安全,0 11 6 4 2 0 ,: — 2 3
20 0O年世界信息安全 问题回顾卟
作者简介 鲁力 (9 3 ) 1 7一 ,广 西人 ,长沙市卫生学校工作 ,本科 ,讲师 ,从事 计算机科 学方面 的教学与研 究工作 卢毅 ( 9 1 ) 18 一 ,男 ,湖南涟源人 ,大学本科学历 ,讲师 ,工作单位 长沙市卫 生学校 ,主要 从事 中职 计算机 教学研 究工作
一
、
入 侵 检 测 技 术综 述
OC L ND X, ET OD BU FE ED F L A F R , I E NY AC E S) D V L P I T I E M H R F TI CS
— ~ —
( ) 入 侵检 测 的技 术 分类 一 当 前入 侵 检 测 技 术 ,从 数据 分 析 角 度 不 同 ,可 以分 为 误 用 模 型 的入 侵 检 测 以及 异 常 入 侵 检 测 系 统 两 种 。前者 做 一个 基 本假 设 :一 切来 自网络 及 本 地 的安 全 入 侵 都 可 以按 某 种 方 式 被 精 确 地 编 码 ,并 通 过 对 已知 的各 种 入 侵 形 式 进 行 相 应 的 编 码 , 来 构 成 入 侵 模 式 库 。
— —
D V L I I C L N E 3 M T O U F R D FI E A Y A C S ) R F T P O T I D X+ , E H DB F E E , L N C E S
L A C S , E V C K R L D I E , E V C D M ND S A T C E S S R I E E NE R V R S R I E E A T R ,
_ — — _
S VI RR R NO M L, I Fl Dr . y , NU L 0 N L NU L ER C E E O R A p t v s s L , , UL , L ,
N L )启动 I uL P过滤 驱动 ;启动 I P过滤驱动后,要启动 I P过滤钩 子驱动 ,其 中驱 动程序 收到上层发过来的控制代码后即按照注册的 钩 子 函数 进 行 入 侵 检 测 。 4 攻 击 模 式 库 .
该 部 分 由用 户 自己设 置 。针 对 特 定 的攻 击 , 设置 攻 击 的源 I , P 端 口,及 子网掩码 ,目的 I ,端 口,及子网掩码,然后选择要拦截 P 或放行的协议类型 。每一次设置相 当于一条记录,可 以设置多条记 录 , 攻 击 模 式 库 即 由这 些 记 录 共 同 构 成 。
[]asnV. oA ss m fr dtc n n t ok it dr i 1Pxo , Br: yt e o e t g ew r nr es n ei u ra t  ̄. mp tr t rs 19 ,1( 3):45 26 el i ] — me Co ue wok, 9 93 2 Ne 23 - 4 3
摘
要 :论 文首先分析 了入侵检 测的概 念 ,指出 了入侵检 测的发展 情况 ,以数据分析的角度给 出了它的基本分类 。作为 实
践 活动 ,在 后 面给 出 了 一 个基 本 的 网络 入 侵 检 测 的程 序 实现 , 为相 应 的程 序 开发 起 到 借 鉴 作 用 。
关键 词:入侵检 测;网络 安全 ;计算机 应用;信 息 ;程序 设计 ;VC
Lu L . L i uYi
( h n saCt e l c o l h n sa4 0 0 ,hn C agh i H at S h o, agh 1 1 0C ia) y h C
Abs r c : is y t e i a a y e t o c p f i tu i n d tc o p i tn u e d v l p n f i r so e t n t a tF r t ss n l s l h he c n e to n r so e e t n, o n g o tt e e o me to u i n d  ̄c o ,wi a a i i h nt i t d t h a a y i i w, o n t t sc c a s f a i n. r ci e fn l i e sc n t r tu i e e to r r m n ssv e p i t l ou sba i l s i c t i i o Asap a tc , a y g v saba i e wo k i r son d t c n p og a i i l n i mplm e t t n, n e nao i i o d r o p a e e e c o e i r g a d v l p e t r e ly a r f r n er l p o r m e e o m n t n K e wo d :n r so e e to ; t r e u i Co u e p l a o sI f r a o ; r g a e i n; y r s I tu i n d t c n Ne wo k s c rt i y; mp tr a p i t n ; o m t n P o m d sg VC ci n i r
_ — —
这种方式通过采样 网络安全相关的特征数据,而且与入侵模式库中 的模式进行匹配来实现。异常检测系统首先通过对宿主计算机系统 中的 一 组 与 安 全 相 关 的特 征 属 性 的 取值 进 行统 计 和 分 析 ,为 系 统 正 常 运 行 状 态 下 的 行 为 建 立起 一个 特 征轮 廓 印 。然 后 不 断 监 测 这 些 安 全相关特征属性的实时取值 ,与正常行为特 征轮廓 出现 大的差异时 检测入侵。 二 、入 侵 检 测 的程 序 实践 ( ) 系统 总体 设 计 一 本 系统 将 实现 为 一 个 基 于 网络 的入 侵 检 测 系 统 ,本 系 统 采 用 误 用检测技术 。与普通 的采用误 用检测 技术 的入侵 检测系统相比,该 系统 内部并没有设置复杂的特征库 ,所有 的入侵模式都要用户 自己 设置 ,然后依据这些模式对入侵行为进行拦截或放行 。 ( )系 统 功 能 模 块 二 1 网络数据收集及检测引擎 . 本 部 分采 用 应用 层 截 包 方案 ,即 在 驱 动 程 序 中截 包 ,然后 送 到 应用层处理的工作模 式。在应用层工作 ,改变了工作模式 ,每当驱 动 程序 截 到数 据 ,送 到 应 用 层 处 理 后 再 次 送 回 内核 ,再 向 上传 递 到 I P协议 。综合考虑各种 因素 ,本部分决定采用应用层 的截包方 案。 2 驱动程序拦截 网络数据包 的方式 . 利用驱动程序拦截 网络数据包的方式很多,本系统采用 W n k i2 F le — o kD i e i t r H o r v r拦截数据 包。 w n 0 0设备程序开发包( D ) 在 i2 0 D K 中 ,微 软 包 含 一 个 新 的 命 名 为 F e — o k D ie 的 网 络 驱 动 程 i r H o r v r l t 序 。本程序采用 D v l l .y r F tp s s驱动程序实现 I P协议过滤 。其中 回 调 函 数 是 这 类 驱程 的 主 体 部 分 。D v l I . y P过 滤 驱 动 程 序 r F tp s s I 使用这个过滤钩 子来判 断 I P数 据包 的处理方式。所注册 的过滤钩 子 是用 P c eF l eE tn in t 据 类 型 定 义 的 。F i e — ok a k t i tr x e so P r数 i t rH o 使用该 io / 控制码建立一个 IP R ,并将其提交给 I 过滤驱动程序 。 P 该控制码 向 I P过滤驱动程序注册过滤钩子 回调 函数,当有 数据 包 发送或者接收 时, P过滤驱动程序 调用这些回调函数。 I 在本 系统 中 定义 了四种设备控制代码。分别是开始过滤、停止过 滤、添加过滤 规 则 、清 除 过 滤 规 则 :
_
C L C D FI E D V C _ R F T P T O E( L E I E D V L I ,\
_
DV L I_O T N E+ , TO UF RDF L RT C S ) RFT P ICL IDX 2M H DB FE , IEW IEA CE S E E
# e i e C E R FI T R C L C D FI E D VI E D V L I ,\ dfn LA L E T O E( L E C RFTP
_
3 S M管 理 器 .C
程序通过 S M管理器创建或打开服务 。首先通过语句 C
O e S M n g r ( U L U L,S M N G R A L A C S ) : 开 S M pnCaae N L ,N L C AAE L CES 打 C
_ —
管 理 器 ,然 后 通 过 C e t S r ie( S M p 1 D v S R I L r a e e v e m h C ,I F t r , E V CE A
一
2 — 6
中图分类 号:T 33 8 文献标识码 :A 文章鳊 号 :10— 59 ( 00 0— 06 O P 9. 0 07 99 21 ) 3 02一 1
Ne wo k I t u i n Dee t n Te h o o yAn l ssa d Ap l d Re e r h t r n r so t ci c n l g a y i n p i s a c o e
三 、 总 结
驱 动程序 会按照用户的选择对 拦截的数据包进行处理 , 在报警 及 响应过程 完毕后,点击菜 单项的 S o R p r h . e o t选项 ,会对遭受的 攻击及处 理的结果作 出响应 。该系统可以较好的完成入侵检测的功
能 ,保 证 网络 的安 全 。
参考文献 :
# f ne T P I HO K C L O ( L D V C de i S O P O T C DE FI E E I E
— — — —
D V L I ,\ RF T P
_
D V L I O T I D X I M T O U F R D F L N A C S) R F TP IC L N E +,E H DB F EE , IE AY CE S # e n D FI T R d fi e A D LE
计算 机 光盘 软件 与应 用
工 程 技 术
C m u e D S fw r n p l c t o s o p t r C o t a e a d A p a in i
2 1 第 3期 0 0年
网络入侵检测技术分析及应用研究
鲁 力.芦 毅
400 1 10) ( 沙市卫 生学校 ,长沙 长
【] 2董小玲 . 息安全的分水岭一 信 计算机安全,0 11 6 4 2 0 ,: — 2 3
20 0O年世界信息安全 问题回顾卟
作者简介 鲁力 (9 3 ) 1 7一 ,广 西人 ,长沙市卫生学校工作 ,本科 ,讲师 ,从事 计算机科 学方面 的教学与研 究工作 卢毅 ( 9 1 ) 18 一 ,男 ,湖南涟源人 ,大学本科学历 ,讲师 ,工作单位 长沙市卫 生学校 ,主要 从事 中职 计算机 教学研 究工作
一
、
入 侵 检 测 技 术综 述
OC L ND X, ET OD BU FE ED F L A F R , I E NY AC E S) D V L P I T I E M H R F TI CS
— ~ —
( ) 入 侵检 测 的技 术 分类 一 当 前入 侵 检 测 技 术 ,从 数据 分 析 角 度 不 同 ,可 以分 为 误 用 模 型 的入 侵 检 测 以及 异 常 入 侵 检 测 系 统 两 种 。前者 做 一个 基 本假 设 :一 切来 自网络 及 本 地 的安 全 入 侵 都 可 以按 某 种 方 式 被 精 确 地 编 码 ,并 通 过 对 已知 的各 种 入 侵 形 式 进 行 相 应 的 编 码 , 来 构 成 入 侵 模 式 库 。