導(dǎo)語(yǔ)：個(gè)人入侵檢測(cè)系統(tǒng)探究論文一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要

入侵檢測(cè)系統(tǒng)（IDS）可以對(duì)系統(tǒng)或網(wǎng)絡(luò)資源進(jìn)行實(shí)時(shí)檢測(cè)，及時(shí)發(fā)現(xiàn)闖入系統(tǒng)或網(wǎng)絡(luò)的入侵者，也可預(yù)防合法用戶對(duì)資源的誤操作。本論文從入侵檢測(cè)的基本理論和入侵檢測(cè)中的關(guān)鍵技術(shù)出發(fā),主要研究了一個(gè)簡(jiǎn)單的基于網(wǎng)絡(luò)的windows平臺(tái)上的個(gè)人入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)(PIDS，PersonalIntrusionDetectionSystem)。論文首先分析了當(dāng)前網(wǎng)絡(luò)的安全現(xiàn)狀，介紹了入侵檢測(cè)技術(shù)的歷史以及當(dāng)前入侵檢測(cè)系統(tǒng)的關(guān)鍵理論。分析了Windows的網(wǎng)絡(luò)體系結(jié)構(gòu)以及開發(fā)工具Winpcap的數(shù)據(jù)包捕獲和過濾的結(jié)構(gòu)。最后在Winpcap系統(tǒng)環(huán)境下實(shí)現(xiàn)本系統(tǒng)設(shè)計(jì)。本系統(tǒng)采用異常檢測(cè)技術(shù)，通過Winpcap截取實(shí)時(shí)數(shù)據(jù)包，同時(shí)從截獲的IP包中提取出概述性事件信息并傳送給入侵檢測(cè)模塊，采用量化分析的方法對(duì)信息進(jìn)行分析。系統(tǒng)在實(shí)際測(cè)試中表明對(duì)于具有量化特性的網(wǎng)絡(luò)入侵具有較好的檢測(cè)能力。最后歸納出系統(tǒng)現(xiàn)階段存在的問題和改進(jìn)意見,并根據(jù)系統(tǒng)的功能提出了后續(xù)開發(fā)方向。

關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵檢測(cè)；數(shù)據(jù)包捕獲；PIDS

1.1網(wǎng)絡(luò)安全概述

1.1.1網(wǎng)絡(luò)安全問題的產(chǎn)生

可以從不同角度對(duì)網(wǎng)絡(luò)安全作出不同的解釋。一般意義上，網(wǎng)絡(luò)安全是指信息安全和控制安全兩部分。國(guó)際標(biāo)準(zhǔn)化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”；控制安全則指身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問控制。

互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務(wù)創(chuàng)造了理想空間，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，為人類社會(huì)的進(jìn)步提供了巨大推動(dòng)力。然而，正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生了許多安全問題：

(1)信息泄漏、信息污染、信息不易受控。例如，資源未授權(quán)侵用、未授權(quán)信息流出現(xiàn)、系統(tǒng)拒絕信息流和系統(tǒng)否認(rèn)等，這些都是信息安全的技術(shù)難點(diǎn)。

(2)在網(wǎng)絡(luò)環(huán)境中，一些組織或個(gè)人出于某種特殊目的，進(jìn)行信息泄密、信息破壞、信息侵權(quán)和意識(shí)形態(tài)的信息滲透，甚至通過網(wǎng)絡(luò)進(jìn)行政治顛覆等活動(dòng)，使國(guó)家利益、社會(huì)公共利益和各類主體的合法權(quán)益受到威脅。

(3)網(wǎng)絡(luò)運(yùn)用的趨勢(shì)是全社會(huì)廣泛參與，隨之而來的是控制權(quán)分散的管理問題。由于人們利益、目標(biāo)、價(jià)值的分歧，使信息資源的保護(hù)和管理出現(xiàn)脫節(jié)和真空，從而使信息安全問題變得廣泛而復(fù)雜。

(4)隨著社會(huì)重要基礎(chǔ)設(shè)施的高度信息化，社會(huì)的“命脈”和核心控制系統(tǒng)有可能面臨更大的威脅。

1.1.2網(wǎng)絡(luò)信息系統(tǒng)面臨的安全威脅

目前網(wǎng)絡(luò)信息系統(tǒng)面臨的安全威脅主要有:

(1)非法使用服務(wù):這種攻擊的目的在于非法利用網(wǎng)絡(luò)的能力，網(wǎng)絡(luò)上的非授權(quán)訪問應(yīng)該是不可能的。不幸的是，用于在網(wǎng)絡(luò)上共享資源及信息的工具、程序存在許多安全漏洞，而利用了這些漏洞就可以對(duì)系統(tǒng)進(jìn)行訪問了。

(2)身份冒充;這種攻擊的著眼點(diǎn)在于網(wǎng)絡(luò)中的信任關(guān)系，主要有地址偽裝IP欺騙和用戶名假冒。

(3)數(shù)據(jù)竊取:指所保護(hù)的重要數(shù)據(jù)被非法用戶所獲取，如入侵者利用電磁波輻射或搭線竊聽等方式截獲用戶口令、帳號(hào)等重要敏感信息。

(4)破壞數(shù)據(jù)完整性:指通過非法手段竊得系統(tǒng)一定使用權(quán)限，并刪除、修改、偽造某些重要信息，以干擾用戶的正常使用或便于入侵者的進(jìn)一步攻擊。

1.1.3對(duì)網(wǎng)絡(luò)個(gè)人主機(jī)的攻擊

對(duì)方首先通過掃描來查找可以入侵的機(jī)器，即漏洞探測(cè)；接著確定該機(jī)器的IP地址；然后利用相應(yīng)的攻擊工具發(fā)起某種攻擊。

網(wǎng)絡(luò)嗅探，嗅探器是一種網(wǎng)絡(luò)監(jiān)聽工具（如：sniffer），該工具利用計(jì)算機(jī)網(wǎng)絡(luò)接口可以截獲其他計(jì)算機(jī)的數(shù)據(jù)信息。嗅探器工作在網(wǎng)絡(luò)環(huán)境的底層，它會(huì)攔截所有正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過相應(yīng)的軟件實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而明確所處的網(wǎng)絡(luò)狀態(tài)和整體布局。在合理的網(wǎng)絡(luò)中，嗅探器對(duì)系統(tǒng)管理員而言至關(guān)重要，通過嗅探器可以監(jiān)視數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)傳輸?shù)男畔ⅲ瑥亩鵀楣芾韱T判斷網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)提供寶貴的信息。然而，如果黑客使用嗅探器，他可以獲得和系統(tǒng)管理員同樣重要而敏感的信息，（如：在某局域網(wǎng)上，嗅探器可以很輕松地截獲在網(wǎng)上傳送的用戶姓名、口令、信用卡號(hào)碼和帳號(hào)等)從而對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅。其工作原理是：在一個(gè)共享介質(zhì)的網(wǎng)絡(luò)中(如以太網(wǎng))，一個(gè)網(wǎng)段上的所有網(wǎng)絡(luò)接口均能訪問介質(zhì)上傳輸?shù)乃袛?shù)據(jù)。每個(gè)網(wǎng)絡(luò)接口的硬件地址與其他網(wǎng)絡(luò)接口的硬件地址不同，同時(shí)每個(gè)網(wǎng)絡(luò)至少還有一個(gè)廣播地址。廣播地址并不對(duì)應(yīng)于某個(gè)具體的網(wǎng)絡(luò)接口，而是代表所有網(wǎng)絡(luò)接口。當(dāng)用戶發(fā)送數(shù)據(jù)時(shí)，這些數(shù)據(jù)就會(huì)發(fā)送到局域網(wǎng)上所有可用的機(jī)器。在一般情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以“聽”到通過的流量，但對(duì)不屬于自己的數(shù)據(jù)的硬件地址不予響應(yīng)。換句話說，工作站A不會(huì)捕獲屬于工作站B的數(shù)據(jù)，而是簡(jiǎn)單地忽略這些數(shù)據(jù)。當(dāng)發(fā)送者希望引起網(wǎng)絡(luò)中所有主機(jī)操作系統(tǒng)的注意時(shí)，他就使用“廣播地址”。因此，在正常情況下，一個(gè)合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣兩種數(shù)據(jù)幀:一是幀的目標(biāo)區(qū)域具有和本地網(wǎng)絡(luò)接口相匹配的硬件地址，二是幀的目標(biāo)區(qū)域具有“廣播地址”。在接收到上面兩種情況的數(shù)據(jù)幀時(shí)，主機(jī)通過CPU產(chǎn)生硬件中斷，該中斷能引起操作系統(tǒng)注意，然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)作進(jìn)一步處理。而嗅探器就是一種能將本地計(jì)算機(jī)狀態(tài)設(shè)成“混雜(Promiscuous)”狀態(tài)的軟件，當(dāng)本機(jī)處于這種方式時(shí)，該機(jī)具備“廣播地址”，它對(duì)所有遭遇到的每一個(gè)幀都產(chǎn)生硬件中斷以便提醒操作系統(tǒng)處理流經(jīng)該網(wǎng)段的每一報(bào)文包。在該方式下，網(wǎng)絡(luò)接口就可以捕獲網(wǎng)絡(luò)上所有數(shù)據(jù)幀，從而可以達(dá)到監(jiān)聽的目的。拒絕服務(wù)攻擊(DenialofService，簡(jiǎn)稱DoS)，是指占據(jù)大量的共享資源（如：處理器、磁盤空間、CPU、打印機(jī)），使系統(tǒng)沒有剩余的資源給其他用戶，從而使服務(wù)請(qǐng)求被拒絕，造成系統(tǒng)運(yùn)行遲緩或癱瘓。其攻擊目的是為完成其他攻擊做準(zhǔn)備。其攻擊原理是：在拒絕服務(wù)攻擊中，惡意用戶向服務(wù)器傳送眾多要求確認(rèn)的信息，使服務(wù)器里充斥著這種無(wú)用的信息。所有這些請(qǐng)求的地址都是虛假的，以至于服務(wù)器試圖回傳時(shí)，卻無(wú)法找到用戶。服務(wù)器于是暫時(shí)等候，有時(shí)超過一分鐘，然后再切斷連接。服務(wù)器切斷連接后，攻擊者又發(fā)送新一批虛假請(qǐng)求，該過程周而復(fù)始，最終使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。典型的DOS攻擊技術(shù)，如TCP/SYN攻擊，該攻擊作為一種拒絕服務(wù)攻擊存在的時(shí)間己經(jīng)有20多年了。但是，隨著技術(shù)的不斷進(jìn)步，SYN攻擊也不斷被更多黑客所了解并利用。其原理是基于連接時(shí)的三次握手，如果黑客機(jī)器發(fā)出的包的源地址是一個(gè)虛假的IP地址，ISP主機(jī)發(fā)出的確認(rèn)請(qǐng)求包ACK/SYN就找不到目標(biāo)地址，如果這個(gè)確認(rèn)包一直沒找到目標(biāo)地址，那么也就是目標(biāo)主機(jī)無(wú)法獲得對(duì)方回復(fù)的ACK包。而在缺省超時(shí)的時(shí)間范圍內(nèi)，主機(jī)的一部分資源要花在等待這個(gè)ACK包的響應(yīng)上，假如短時(shí)間內(nèi)主機(jī)接到大量來自虛假IP地址的SYN包，它就要占有大量的資源來處理這些錯(cuò)誤的等待，最后的結(jié)果就是系統(tǒng)資源耗盡以致癱瘓。

特洛伊木馬來源于希臘神話，講述的是通過木馬血屠特洛伊城的故事。這一故事形象地說明了木馬程序的特點(diǎn)。在計(jì)算機(jī)安全學(xué)中，特洛伊木馬指的是一種計(jì)算機(jī)程序，它表面上具有某種有用的功能，實(shí)際上卻隱藏著可以控制用戶計(jì)算機(jī)系統(tǒng)，危害系統(tǒng)安全的破壞性指令，特洛伊木馬代表了一種程度較高的危險(xiǎn)。當(dāng)這種程序進(jìn)入系統(tǒng)后，便有可能給系統(tǒng)帶來危害。在特洛伊木馬程序中插入的代碼在別的程序中依然能存在，但只在藏身的程序中進(jìn)行破壞性活動(dòng)。代碼能夠在主程序的特權(quán)范圍內(nèi)從事任何破壞行為，使用自身或者其他程序進(jìn)行操作。其工作原理實(shí)質(zhì)是，特洛伊木馬只是一個(gè)網(wǎng)絡(luò)客戶/服務(wù)程序。網(wǎng)絡(luò)客戶/服務(wù)模式的原理是一臺(tái)主機(jī)(服務(wù)器)提供服務(wù)，另一臺(tái)主機(jī)(客戶機(jī))接受服務(wù)。作為服務(wù)器的主機(jī)一般會(huì)打開一個(gè)默認(rèn)的端口并進(jìn)行監(jiān)聽，如果有客戶機(jī)向服務(wù)器這一端口提出連接請(qǐng)求，服務(wù)器上的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行，來應(yīng)答客戶機(jī)的請(qǐng)求，此程序稱為守護(hù)進(jìn)程。對(duì)于木馬來說，被控制端是一臺(tái)服務(wù)器，控制端則是一臺(tái)客戶機(jī)。黑客經(jīng)常用欺騙手段引誘目標(biāo)對(duì)象運(yùn)行服務(wù)器端程序，黑客一旦成功地侵入了用戶的計(jì)算機(jī)后，就會(huì)在計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)會(huì)在Windows啟動(dòng)時(shí)悄悄運(yùn)行的程序，采用服務(wù)器/客戶機(jī)的運(yùn)行方式，從而達(dá)到在用戶上網(wǎng)時(shí)控制用戶計(jì)算機(jī)的目的。