内容发布更新时间 : 2024/5/3 20:14:47星期一 下面是文章的全部内容请认真阅读。

龙源期刊网 http://www.qikan.com.cn

浅析网络安全中入侵检测系统的设计与实现

作者：齐宏卓

来源：《价值工程》2010年第24期

摘要:网络入侵检测及预警技术是防火墙的合理补充,帮助系统对付网络攻击,从而提供对内部攻击、外部攻击和误操作的实时保护。针对这一系统的设计与实现进行论述。

Abstract: Network intrusion detection and early warning technology are the reasonable add to firewall which help the system work against network attacks and provide the real-time guard for

internal and external attacks and misuse. Based on this system's design and implementation, the paper gives the detailed discussion.

关键词:入侵检测系统;设计;实现

Key words: intrusion detection system;designing;realization

中图分类号:TP30 文献标识码:A文章编号:1006-4311(2010)24-0166-01 0引言

入侵检测系统(Intrus Jon Detection system,IDS)为计算机系统的完整性。可用性及可信性提供积极主动的保护,并在计算机系统受到危害之前进行拦截防卫。IDS对网络的控制手段有:黑名单断开、灰名单报警、阻塞HTTP请求、通知防火墙阻断和通过SN-MPTrap报警等。 1技术的分析

1.1 异常。异常发现技术的前提是假定所有入侵行为都是与正常行为不同的。首先通过训练过程建立起系统正常行为的轨迹,然后在实际运用中把所有与正常轨迹不同的系统状态视为可疑。

但异常发现技术的缺点是并非所有的入侵都表现为异常。

1.2 误用。误用发现技术的入侵检测是指通过预先精确定义的入侵模式,对观察到的用户行为和资源使用情况进行检测。如入侵签名说明了导致误用事件弱点的特征、条件、序列和关系,还包含系统状态。

1.3 模式。假定所有入侵行为和手段都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配发现。模式发现的关键是如何表达入侵的模式,定义发现入侵的规则库,把真正的入侵与正常行为区分开来。

龙源期刊网 http://www.qikan.com.cn

2入分检测系统的设计与实现

2.1 实验系统的整体设计。本实验系统界面部分主要在Visual Studio.net 2005开发环境中完成。实验系统使用的是其中Visual C#语言开发ASP.NET Web 应用程序的方法。

将实验系统的实现主要分为9个子模块,包括网络安全实验系统欢迎和登陆、入侵检测方式选择、入侵检测实验系统总体介绍、局域网的指定网段中正在嗅探主机程序流程图的展现、检测局域网的指定网段中正在嗅探主机的详细信息、WinPcap驱动介绍、局域网中正在进行端口扫描主机程序流程图展现、检测局域网中正在进行端口扫描主机的详细信息、Libnids开发包介绍。

2.2 网络嗅探检测。

2.2.1 基本原理。下面以Windows系统为例说明。

FF-FF-FF-FF-FF-FF:这个是一个正规的广播地址,不管是正常模式还是其他模式,都会被网卡接收并传递给系统核心。

FF-FF-FF-FF-FF-FE:这个地址对于网卡来说,不是一个广播地址,在正常模式下会被网卡抛弃,但是系统核心是认为这个地址同FF-FF-FF-FF-FF-FF是完全一样的。如果处于混杂模式,将被系统核心接收,并认为是一个广播地址。所有的Windows操作系统都是如此。

FF-FF-00-00-00-00:Windows核心只对前面两字节作判断,核心认为这是一个同FF-FF-FF-FF-FF-FF一样的广播地址。这就是为什么FF-FF-FF-FF-FF-00也是广播地址的原因。 FF-00-00-00-00-00:对于Win9x或WinME,则是检查前面的一个字节。因此会认为这个是一个广播地址。

所以,目的就要让正常模式的网卡抛弃掉探测包,而让混杂模式的系统核心能够处理探测。发送一个目的地址为FF-FF-FF-FF-FF-FE(系统会认为属于广播地址)的ARP请求,对于普通模式(广播等)的网卡,这个地址不是广播地址,就会直接抛弃,而如果处于混杂模式,那么ARP请求就会被系统核心当作广播地址处理,然后提交给嗅探器程序。系统核心就会应答这个ARP请求。 2.2.2 主要数据结构和函数。使用到WinPcap中的主要数据结构和自定义的数据结构PACKET、ETHDR、ARPHDR、IPHDR。 2.3 端口扫描检测。

2.3.1 基本原理。一个端口扫描被定义为在T秒时间内对目标系统超过P个端口的TCP连接请求,或者是对应的UDP数据包。因此可以采用异常检测技术来检测端口扫描,即定义为在TCP连接过程中,如果检测到相同源地址扫描TCP端口的数目大于阈值就认为发生了端口扫描

龙源期刊网 http://www.qikan.com.cn

攻击,根据TCP的标志位判断扫描类型。在本实验系统中该部分功能的实现主要由Libnids开发包中默认函数syslog()完成。本系统可以根据TCP的标志位判断扫描类型,可以检测SYN、NULL、FIN三种标志位变化的扫描。

2.3.2 主要数据结构和函数。使用到的主要数据结构有检测扫描用的相关信息SCAN、HOST、IP_HDR、TCP_HDR。

2.4 短信发送通知。短信猫是一种内嵌GSM无线通信模块,插入移动运营商的手机SIM卡后,可以通过PC连接使计算机应用系统与移动运营商的短信中心建立无线连接以实现自由的对外短信收发。

通过短信猫二次开发数据库接口,使用者几乎不需要了解任何有关数据通信方面的知识,就可实现手机短信的收发等功能。在本实验系统的设计中,使用短信猫二次开发接口通过Access数据库实现短信发送功能。 3结果分析

对系统进行全面测试后,从以下两方面分析系统性能。

3.1 系统的有效性。通过测试,系统在以下两方面有效:①该系统可以检测出共享式局域网中将网卡设为混杂模式的嗅探攻击;②该系统可以检测出共享式局域网正存在的以下三种正常速度的TCP端口扫描:SYN、NULL、FIN。

3.2 系统的局限性。通过测试,该系统也存在一些局限性:①除将网卡设为混杂模式的嗅探攻击,该系统对其他种类的嗅探攻击不起任何作用,该功能还有待完善;②由于该系统检测端口扫描所使用算法(统计阈值检测法)的局限性,扫描方如果采用慢速扫描,扫描时间间隔拉得够长,低于所设的门限值,就会漏报。 参考文献:

[1]孙国梓,俞超,陈丹伟.一种入侵检测实验系统的设计与实现[Z].

[2] 张焕国,王丽娜.信息安全综合实验教程[M].武汉:武汉大学出版社,2006. [3] 孙云,黄皓.一种混合式网络入侵检测系统[J].计算机工程,2008,34(9):164-166.