導語：個人入侵檢測系統(tǒng)探究論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要

入侵檢測系統(tǒng)（IDS）可以對系統(tǒng)或網(wǎng)絡資源進行實時檢測，及時發(fā)現(xiàn)闖入系統(tǒng)或網(wǎng)絡的入侵者，也可預防合法用戶對資源的誤操作。本論文從入侵檢測的基本理論和入侵檢測中的關鍵技術出發(fā),主要研究了一個簡單的基于網(wǎng)絡的windows平臺上的個人入侵檢測系統(tǒng)的實現(xiàn)(PIDS，PersonalIntrusionDetectionSystem)。論文首先分析了當前網(wǎng)絡的安全現(xiàn)狀，介紹了入侵檢測技術的歷史以及當前入侵檢測系統(tǒng)的關鍵理論。分析了Windows的網(wǎng)絡體系結構以及開發(fā)工具Winpcap的數(shù)據(jù)包捕獲和過濾的結構。最后在Winpcap系統(tǒng)環(huán)境下實現(xiàn)本系統(tǒng)設計。本系統(tǒng)采用異常檢測技術，通過Winpcap截取實時數(shù)據(jù)包，同時從截獲的IP包中提取出概述性事件信息并傳送給入侵檢測模塊，采用量化分析的方法對信息進行分析。系統(tǒng)在實際測試中表明對于具有量化特性的網(wǎng)絡入侵具有較好的檢測能力。最后歸納出系統(tǒng)現(xiàn)階段存在的問題和改進意見,并根據(jù)系統(tǒng)的功能提出了后續(xù)開發(fā)方向。

關鍵詞：網(wǎng)絡安全；入侵檢測；數(shù)據(jù)包捕獲；PIDS

1.1網(wǎng)絡安全概述

1.1.1網(wǎng)絡安全問題的產(chǎn)生

可以從不同角度對網(wǎng)絡安全作出不同的解釋。一般意義上，網(wǎng)絡安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”；控制安全則指身份認證、不可否認性、授權和訪問控制。

互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網(wǎng)絡環(huán)境為信息共享、信息交流、信息服務創(chuàng)造了理想空間，網(wǎng)絡技術的迅速發(fā)展和廣泛應用，為人類社會的進步提供了巨大推動力。然而，正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生了許多安全問題：

(1)信息泄漏、信息污染、信息不易受控。例如，資源未授權侵用、未授權信息流出現(xiàn)、系統(tǒng)拒絕信息流和系統(tǒng)否認等，這些都是信息安全的技術難點。

(2)在網(wǎng)絡環(huán)境中，一些組織或個人出于某種特殊目的，進行信息泄密、信息破壞、信息侵權和意識形態(tài)的信息滲透，甚至通過網(wǎng)絡進行政治顛覆等活動，使國家利益、社會公共利益和各類主體的合法權益受到威脅。

(3)網(wǎng)絡運用的趨勢是全社會廣泛參與，隨之而來的是控制權分散的管理問題。由于人們利益、目標、價值的分歧，使信息資源的保護和管理出現(xiàn)脫節(jié)和真空，從而使信息安全問題變得廣泛而復雜。

(4)隨著社會重要基礎設施的高度信息化，社會的“命脈”和核心控制系統(tǒng)有可能面臨更大的威脅。

1.1.2網(wǎng)絡信息系統(tǒng)面臨的安全威脅

目前網(wǎng)絡信息系統(tǒng)面臨的安全威脅主要有:

(1)非法使用服務:這種攻擊的目的在于非法利用網(wǎng)絡的能力，網(wǎng)絡上的非授權訪問應該是不可能的。不幸的是，用于在網(wǎng)絡上共享資源及信息的工具、程序存在許多安全漏洞，而利用了這些漏洞就可以對系統(tǒng)進行訪問了。

(2)身份冒充;這種攻擊的著眼點在于網(wǎng)絡中的信任關系，主要有地址偽裝IP欺騙和用戶名假冒。

(3)數(shù)據(jù)竊取:指所保護的重要數(shù)據(jù)被非法用戶所獲取，如入侵者利用電磁波輻射或搭線竊聽等方式截獲用戶口令、帳號等重要敏感信息。

(4)破壞數(shù)據(jù)完整性:指通過非法手段竊得系統(tǒng)一定使用權限，并刪除、修改、偽造某些重要信息，以干擾用戶的正常使用或便于入侵者的進一步攻擊。

1.1.3對網(wǎng)絡個人主機的攻擊

對方首先通過掃描來查找可以入侵的機器，即漏洞探測；接著確定該機器的IP地址；然后利用相應的攻擊工具發(fā)起某種攻擊。

網(wǎng)絡嗅探，嗅探器是一種網(wǎng)絡監(jiān)聽工具（如：sniffer），該工具利用計算機網(wǎng)絡接口可以截獲其他計算機的數(shù)據(jù)信息。嗅探器工作在網(wǎng)絡環(huán)境的底層，它會攔截所有正在網(wǎng)絡上傳送的數(shù)據(jù)，并且通過相應的軟件實時分析這些數(shù)據(jù)的內容，進而明確所處的網(wǎng)絡狀態(tài)和整體布局。在合理的網(wǎng)絡中，嗅探器對系統(tǒng)管理員而言至關重要，通過嗅探器可以監(jiān)視數(shù)據(jù)流動情況以及網(wǎng)絡傳輸?shù)男畔ⅲ瑥亩鵀楣芾韱T判斷網(wǎng)絡問題、管理網(wǎng)絡提供寶貴的信息。然而，如果黑客使用嗅探器，他可以獲得和系統(tǒng)管理員同樣重要而敏感的信息，（如：在某局域網(wǎng)上，嗅探器可以很輕松地截獲在網(wǎng)上傳送的用戶姓名、口令、信用卡號碼和帳號等)從而對網(wǎng)絡安全構成威脅。其工作原理是：在一個共享介質的網(wǎng)絡中(如以太網(wǎng))，一個網(wǎng)段上的所有網(wǎng)絡接口均能訪問介質上傳輸?shù)乃袛?shù)據(jù)。每個網(wǎng)絡接口的硬件地址與其他網(wǎng)絡接口的硬件地址不同，同時每個網(wǎng)絡至少還有一個廣播地址。廣播地址并不對應于某個具體的網(wǎng)絡接口，而是代表所有網(wǎng)絡接口。當用戶發(fā)送數(shù)據(jù)時，這些數(shù)據(jù)就會發(fā)送到局域網(wǎng)上所有可用的機器。在一般情況下，網(wǎng)絡上所有的機器都可以“聽”到通過的流量，但對不屬于自己的數(shù)據(jù)的硬件地址不予響應。換句話說，工作站A不會捕獲屬于工作站B的數(shù)據(jù)，而是簡單地忽略這些數(shù)據(jù)。當發(fā)送者希望引起網(wǎng)絡中所有主機操作系統(tǒng)的注意時，他就使用“廣播地址”。因此，在正常情況下，一個合法的網(wǎng)絡接口應該只響應這樣兩種數(shù)據(jù)幀:一是幀的目標區(qū)域具有和本地網(wǎng)絡接口相匹配的硬件地址，二是幀的目標區(qū)域具有“廣播地址”。在接收到上面兩種情況的數(shù)據(jù)幀時，主機通過CPU產(chǎn)生硬件中斷，該中斷能引起操作系統(tǒng)注意，然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)作進一步處理。而嗅探器就是一種能將本地計算機狀態(tài)設成“混雜(Promiscuous)”狀態(tài)的軟件，當本機處于這種方式時，該機具備“廣播地址”，它對所有遭遇到的每一個幀都產(chǎn)生硬件中斷以便提醒操作系統(tǒng)處理流經(jīng)該網(wǎng)段的每一報文包。在該方式下，網(wǎng)絡接口就可以捕獲網(wǎng)絡上所有數(shù)據(jù)幀，從而可以達到監(jiān)聽的目的。拒絕服務攻擊(DenialofService，簡稱DoS)，是指占據(jù)大量的共享資源（如：處理器、磁盤空間、CPU、打印機），使系統(tǒng)沒有剩余的資源給其他用戶，從而使服務請求被拒絕，造成系統(tǒng)運行遲緩或癱瘓。其攻擊目的是為完成其他攻擊做準備。其攻擊原理是：在拒絕服務攻擊中，惡意用戶向服務器傳送眾多要求確認的信息，使服務器里充斥著這種無用的信息。所有這些請求的地址都是虛假的，以至于服務器試圖回傳時，卻無法找到用戶。服務器于是暫時等候，有時超過一分鐘，然后再切斷連接。服務器切斷連接后，攻擊者又發(fā)送新一批虛假請求，該過程周而復始，最終使網(wǎng)站服務器充斥大量要求回復的信息，消耗網(wǎng)絡帶寬或系統(tǒng)資源，導致網(wǎng)絡或系統(tǒng)不勝負荷以至于癱瘓而停止提供正常的網(wǎng)絡服務。典型的DOS攻擊技術，如TCP/SYN攻擊，該攻擊作為一種拒絕服務攻擊存在的時間己經(jīng)有20多年了。但是，隨著技術的不斷進步，SYN攻擊也不斷被更多黑客所了解并利用。其原理是基于連接時的三次握手，如果黑客機器發(fā)出的包的源地址是一個虛假的IP地址，ISP主機發(fā)出的確認請求包ACK/SYN就找不到目標地址，如果這個確認包一直沒找到目標地址，那么也就是目標主機無法獲得對方回復的ACK包。而在缺省超時的時間范圍內，主機的一部分資源要花在等待這個ACK包的響應上，假如短時間內主機接到大量來自虛假IP地址的SYN包，它就要占有大量的資源來處理這些錯誤的等待，最后的結果就是系統(tǒng)資源耗盡以致癱瘓。

特洛伊木馬來源于希臘神話，講述的是通過木馬血屠特洛伊城的故事。這一故事形象地說明了木馬程序的特點。在計算機安全學中，特洛伊木馬指的是一種計算機程序，它表面上具有某種有用的功能，實際上卻隱藏著可以控制用戶計算機系統(tǒng)，危害系統(tǒng)安全的破壞性指令，特洛伊木馬代表了一種程度較高的危險。當這種程序進入系統(tǒng)后，便有可能給系統(tǒng)帶來危害。在特洛伊木馬程序中插入的代碼在別的程序中依然能存在，但只在藏身的程序中進行破壞性活動。代碼能夠在主程序的特權范圍內從事任何破壞行為，使用自身或者其他程序進行操作。其工作原理實質是，特洛伊木馬只是一個網(wǎng)絡客戶/服務程序。網(wǎng)絡客戶/服務模式的原理是一臺主機(服務器)提供服務，另一臺主機(客戶機)接受服務。作為服務器的主機一般會打開一個默認的端口并進行監(jiān)聽，如果有客戶機向服務器這一端口提出連接請求，服務器上的相應程序就會自動運行，來應答客戶機的請求，此程序稱為守護進程。對于木馬來說，被控制端是一臺服務器，控制端則是一臺客戶機。黑客經(jīng)常用欺騙手段引誘目標對象運行服務器端程序，黑客一旦成功地侵入了用戶的計算機后，就會在計算機系統(tǒng)中隱藏一個會在Windows啟動時悄悄運行的程序，采用服務器/客戶機的運行方式，從而達到在用戶上網(wǎng)時控制用戶計算機的目的。