入侵检测系统分析

1、入侵检测系统分析及在WINDOWS下的实现 学生 ：孙杨 指教教师：金尚柱重庆科技学院2008年6月10日本文研究的意义 随着网络安全风险系数不断提高，曾经作为最主要的安全防范手段的防火墙，已经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充，入侵检测系统能够帮助网络系统快速发现攻击的发生，它扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。本文的组织 第一部分对于入侵检测技术和入侵检测系统的分类，模型以及一些功能的实现进行简要介绍，并对设计进行需求和可行性分析 第二部分对入侵检测系统的模块功能实现进行分析，内容主要涉及了数据捕获工具

2、WINPCAP和一些模块相关代码的实现本文的组织 第三部分主要介绍了入侵检测系统的WINDOWS下的实现。这里，我们引用了WINDOWS下的SNORT入侵检测系统进行编译和调试，并对其功能的实现进行相关的介绍入侵检测的概念 入侵：是指任何试图危及计算机资源的完整性、机密性或可用性的行为。 入侵检测：对入侵行为的发觉。它通过从计算机网络或系统中的若干关键点收集信息，并对这些信息进行分析，从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测系统：进行入侵检测的软件与硬件的组合便是入侵检测系统英文为Intrusion Detection Systems（简称IDS）。入侵检测系统

3、 进行入侵检测的软件与硬件的组合便是入侵检测系统。 入侵检测系统是按照一定的安全策略，对网络，系统的运行状况进行监视，劲可能的发现各种攻击企图，攻击行为或者攻击结果，以保证网络系统资源的机密性，完整性和可用性的系统。 入侵检测系统的建立依赖于入侵检测技术的发展，而入侵检测技术的价值最终要通过实用的入侵检测系统来检验。入侵检测原理 入侵检测作为一种积极主动的安全防 护技术，提供了对内部攻击，外部攻击和误操作的实时保护，在网络系统造到破坏前拦截和响应入侵。IDS通过分析，审计 记录，识别系统中任何不应该发生的活动，并采取相应的措施报告或制止入侵活动。其具体功能包括检测并分析用户和系统的活动，检查系

4、统配置和漏洞，识别已知的攻击行为，统计分析异常行为等。入侵检测系统的分类根据目标系统的类型： 基于主机（Host-Based）的入侵检测系统。通常，基于主机的入侵检测系统可监测系统、事件和操作系统下的安全记录以及系统记录。当有文件发生变化时，入侵检测系统将新的记录条目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警，以采取措施。 基于网络（Network-Based）的入侵检测系统。基于网络的入侵检测系统使用原始网络数据包作为数据源。基于网络的入侵检测系统通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。入侵检测的过程信息收集信息分析告警与响应入侵

5、检测系统的数据源基于主机的数据源：基于主机的数据源： 系统运行状态信息 系统记帐信息 系统日志（Syslog） C2级安全性审计信息 入侵检测系统的数据源基于网络的数据源：基于网络的数据源： SNMP信息 网络通信包 应用程序日志文件 其他入侵检测系统的报警信息 其他网络设备和安全产品的信息 入侵分析的概念 入侵检测系统是一个复杂的数据处理系统，所涉及到的问题域中的各种关系也比较复杂。 从入侵检测的角度来说，分析是指针对用户和系统活动数据进行有效的组织、整理并提取特征，以鉴别出感兴趣的行为。这种行为的鉴别可以实时进行，也可以事后分析，在很多情况下，事后的进一步分析是为了寻找行为的责任人。 入侵

6、分析的目的 重要的威慑力：目标系统使用IDS进行入侵分析，对于入侵者来说具有很大的威慑力，因为这意味着攻击行为可能会被发现或被追踪。 安全规划和管理：分析过程中可能会发现在系统安全规划和管理中存在的漏洞，安全管理员可以根据分析结果对系统进行重新配置，避免被攻击者用来窃取信息或破坏系统。 获取入侵证据：入侵分析可以提供有关入侵行为详细的、可信的证据，这些证据可以用于事后追究入侵者的责任。构建分析器 收集并生成事件信息 预处理信息 建立行为分析引擎 将事件数据输入引擎中 保存已输入数据的模型 分析数据 输入事件记录 事件预处理 比较事件记录和知识库 产生响应 SNORT简介 Snort是一个轻量级

7、网络入侵检测系统 ,它运行在一个“传感器（Sensor）”主机上，监听网络数据。 Snort能够把网络数据和规则集进行模式匹配，从而检测可能的入侵企图；或者使用SPADE插件，使用统计学方法对网络数据进行异常检测。 Snort使用一种易于扩展的模块化体系结构，开发人员可以加入自己编写的模块来扩展Snort的功能，如HTTP解码插件、TCP数据流重组插件、端口扫描检测插件、FLEXRESP插件以及各种日志输入插件等。典型SNORT运行环境 网络 Snort 主机 主机 1 主机 2 主机 3 主机 4 SNORT的安装Windows环境下的安装 用Visual C+6.0打开Snort.dsw文

8、件。 选择“Win32 Release”编译选项进行编译。 在Release目录下会生成所需的Snort.exe可执行文件。 SNORT的组成 Snort由3个重要的子系统构成：数据包解码器、检测引擎、日志与报警系统 数据包 检测引擎 数据包 解码器 日志 报警 SNORT总体结构分析 解 释 命 令 行 开 始 初 始 化 设 置 解 码 函 数 预 处 理 器 、 处 理 插 件 、 输 出 插 件 的 初 始 化 解 释 规 则 文 件 生 成 所 需 的 规 则 链 设 置 警 告 循 环 抓 包 检 测 终 止 检 测 流 程 开 始 对 数 据 报 文 解 码 如 果 需 要 ，

9、打 印 报 文 调 用 所 有 的 预 处 理 器 对报 文 进 行 处 理 对 报 文 匹 配 所 有 的 规 则 ， 检 测 入 侵 调 用 所 有 的 输 出 插 件 结 束 循 环 调 用 检 测 流 程 检 测 到 入 侵 不 是 入 侵 行 为 结束语 在这几个月的毕业设计中，通过对入侵检测系统的分析及在Windows下实现这一课题的完成，使我受益很大。现在是信息化和经济化的时代，作为当代网络系统中一个代表入侵检测系统，人们的工作和生活中的地位逐日剧增。了解入侵检测系统，对于维护网络安全和完善网络服务有着不可或缺的重要性。不足之处 这次的课题涉及内容比较广，对于编程的能力要求很高，对于一些功能模块的代码分析做的不够准确