第一篇：網(wǎng)絡(luò)安全混合型入侵檢測(cè)系統(tǒng)設(shè)計(jì)研究論文

【摘要】隨著互聯(lián)網(wǎng)技術(shù)和信息技術(shù)的不斷發(fā)展，信息系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)也將面臨著嚴(yán)峻的安全問(wèn)題。傳統(tǒng)的網(wǎng)絡(luò)技術(shù)由于自身靜態(tài)機(jī)制的局限性，難以適應(yīng)新時(shí)期網(wǎng)絡(luò)安全的需求，因此設(shè)計(jì)網(wǎng)絡(luò)安全的混合型入侵檢測(cè)系統(tǒng)極為重要，能夠有效的實(shí)現(xiàn)對(duì)系統(tǒng)內(nèi)部和外部入侵的檢測(cè)，為網(wǎng)絡(luò)安全提供保障。本文主要研究網(wǎng)絡(luò)安全中混合型入侵檢測(cè)系統(tǒng)設(shè)計(jì)中的關(guān)鍵模塊，探析網(wǎng)絡(luò)安全中混合型入侵檢測(cè)系統(tǒng)的測(cè)試。

【關(guān)鍵詞】入侵檢測(cè)系統(tǒng)設(shè)計(jì)；混合型；網(wǎng)絡(luò)安全

前言在計(jì)算機(jī)快速發(fā)展過(guò)程中，網(wǎng)絡(luò)安全問(wèn)題并沒(méi)有得到減少反而越來(lái)越復(fù)雜、問(wèn)題越來(lái)越多，傳統(tǒng)的入侵檢測(cè)技術(shù)難以實(shí)現(xiàn)對(duì)復(fù)雜入侵事件的檢測(cè)，另外傳統(tǒng)入侵檢測(cè)系統(tǒng)往往具有針對(duì)性，只適用某種特定網(wǎng)絡(luò)環(huán)境的檢測(cè)，擴(kuò)展性和靈活性不足，使檢測(cè)系統(tǒng)的可用性大大降低，因此，安全網(wǎng)絡(luò)中混合型入侵檢測(cè)系統(tǒng)的設(shè)計(jì)尤為重要，利用多種檢測(cè)方式打破傳統(tǒng)檢測(cè)的局限，適應(yīng)現(xiàn)代網(wǎng)絡(luò)安全檢測(cè)的需求，為網(wǎng)絡(luò)的安全運(yùn)行提供保障。

1網(wǎng)絡(luò)安全中混合型入侵檢測(cè)系統(tǒng)設(shè)計(jì)中的關(guān)鍵模塊

1.1異常模塊

混合型檢測(cè)系統(tǒng)的異常模塊主要是負(fù)責(zé)分析和處理輸入的網(wǎng)絡(luò)數(shù)據(jù)中的流量信息。主要的檢測(cè)方法有基于馬爾可夫模型的方法、基于自相似理論的方法、基于小波的檢測(cè)、統(tǒng)計(jì)檢測(cè)方法、閾值檢測(cè)方法等，下面通過(guò)統(tǒng)計(jì)檢測(cè)方法對(duì)其進(jìn)行深入研究。由于網(wǎng)絡(luò)流量數(shù)據(jù)具有突發(fā)性的特點(diǎn)，基于統(tǒng)計(jì)檢測(cè)方法對(duì)其進(jìn)行檢測(cè)存在不穩(wěn)定的特征。通過(guò)觀察實(shí)際網(wǎng)絡(luò)流量，可以發(fā)現(xiàn)作息時(shí)間與網(wǎng)絡(luò)流量的關(guān)系，所以在處理實(shí)際網(wǎng)絡(luò)流量時(shí)使用方差分析法。具體的流程如圖1所示。在通過(guò)具體的數(shù)據(jù)計(jì)算，找出出現(xiàn)異常的網(wǎng)絡(luò)流量，并在具體的模塊生成警報(bào)，再由警報(bào)設(shè)定異常值偏差的置信度。如果網(wǎng)絡(luò)流量正常則采取更新歷史模型的方式[1]。

1.2數(shù)據(jù)融合模塊

數(shù)據(jù)融合可以實(shí)現(xiàn)各種信息與許多傳感器之間的組合、相關(guān)、聯(lián)合，從而獲得精確的完整評(píng)價(jià)、身份估計(jì)、位置估計(jì)。混合型入侵檢測(cè)系統(tǒng)中在獲取入侵信息往往通過(guò)網(wǎng)絡(luò)數(shù)據(jù)、主機(jī)資源信息、主機(jī)審核、系統(tǒng)日志，這一過(guò)程與數(shù)據(jù)融合的過(guò)程相似，因此在混合型入侵檢測(cè)系統(tǒng)中設(shè)計(jì)數(shù)據(jù)融合模塊，充分發(fā)揮數(shù)據(jù)融合的行為估計(jì)、目標(biāo)識(shí)別、狀態(tài)估計(jì)、相關(guān)、校準(zhǔn)、檢測(cè)等功能，采取可信度方法等，以此提高入侵檢測(cè)系統(tǒng)的入侵信息獲取效率，降低誤警率。

1.3主動(dòng)掃描模塊

在網(wǎng)絡(luò)安全中混合型入侵檢測(cè)系統(tǒng)設(shè)計(jì)的主動(dòng)掃描模塊，主要是設(shè)計(jì)插件技術(shù)、開(kāi)放端口的掃描、系統(tǒng)漏洞掃描、系統(tǒng)弱密碼掃描的結(jié)合運(yùn)用，在系統(tǒng)設(shè)計(jì)中很難實(shí)現(xiàn)以此成型，因此需要不斷的分發(fā)、編譯、開(kāi)發(fā)，插件技術(shù)可以良好的滿足這一要求。使用插件技術(shù)的方法可以通過(guò)COM組件、動(dòng)態(tài)鏈接庫(kù)技術(shù)等實(shí)現(xiàn)。開(kāi)放端口掃描是在TCP/IP協(xié)議上進(jìn)行的，可以分為UDP端口掃描、TCP端口掃描，而UDP端口掃描包括socket函數(shù)掃描、UDPICMP端口不可達(dá)掃描。TCP端口掃描包括XMAX掃描、NULL掃描、TCPACK掃描、TCPFIN掃描、TCPSYN掃描。通過(guò)具體的方法可以有效的實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全問(wèn)題的檢測(cè)。系統(tǒng)漏洞掃描往往通過(guò)構(gòu)建不同的數(shù)據(jù)包通過(guò)不同系統(tǒng)的返回值不同的方法判定漏洞的類型。系統(tǒng)弱密碼掃描的操作流程為讀取用戶名字典，用戶若讀完則表示掃描結(jié)束，沒(méi)有入侵。若用戶名沒(méi)有讀完，則繼續(xù)讀取密碼詞典，密碼讀完則返回用戶名讀取程序，不能讀完則構(gòu)造登錄數(shù)據(jù)包，發(fā)送數(shù)據(jù)，登錄成功則代表入侵成功，通過(guò)這種方式能夠?qū)崿F(xiàn)對(duì)入侵用戶系統(tǒng)的病毒檢測(cè)[2]。

2網(wǎng)絡(luò)安全中混合型入侵檢測(cè)系統(tǒng)的測(cè)試

2.1測(cè)試系統(tǒng)功能

網(wǎng)絡(luò)安全的入侵檢測(cè)系統(tǒng)只有對(duì)其功能進(jìn)行測(cè)試，才能使其入侵分析能力。檢測(cè)能力的可靠性得到保障。測(cè)試出的系統(tǒng)功能數(shù)據(jù)可以有效的反映出IDS的報(bào)警能力、審計(jì)能力、報(bào)告能力、攻擊檢測(cè)能力等，在主動(dòng)掃描模塊、數(shù)據(jù)獲取模塊等在應(yīng)用環(huán)境中的測(cè)試，輸出相應(yīng)的功能測(cè)試結(jié)果，從而對(duì)系統(tǒng)設(shè)計(jì)的合理性做出分析，功能測(cè)試不合理的模塊做出相應(yīng)的改變，提高安全網(wǎng)絡(luò)中混合型檢測(cè)系統(tǒng)的檢測(cè)能力，為網(wǎng)絡(luò)安全提供保障[3]。

2.2測(cè)試系統(tǒng)的可用性

測(cè)試網(wǎng)絡(luò)安全中的混合型入侵檢測(cè)系統(tǒng)的可用性，主要是對(duì)系統(tǒng)的用戶界面的穩(wěn)定性、擴(kuò)展性、完整性、可用性進(jìn)行評(píng)估，若是在試驗(yàn)網(wǎng)絡(luò)下該檢測(cè)系統(tǒng)的性能表現(xiàn)良好，則說(shuō)明架構(gòu)上的具有可擴(kuò)展性和靈活性，若還在進(jìn)一步的進(jìn)行開(kāi)發(fā)測(cè)試，則說(shuō)明該系統(tǒng)的可用性較低，還需要進(jìn)一步完善。

3結(jié)論

綜上所述，加強(qiáng)對(duì)網(wǎng)絡(luò)安全中混合型入侵檢測(cè)系統(tǒng)的設(shè)計(jì)有利于實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效保障，促進(jìn)網(wǎng)絡(luò)的安全運(yùn)行，營(yíng)造良好的網(wǎng)絡(luò)環(huán)境為大家服務(wù)。

參考文獻(xiàn)

[1]溫珊珊.混合入侵檢測(cè)在網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估中的研究與應(yīng)用[D].華北電力大學(xué)，2011.[2]張心凱.采用HIDS和NIDS混合的入侵檢測(cè)系統(tǒng)模型設(shè)計(jì)[J].電子技術(shù)與軟件工程，2015，18：209.[3]郭武士，易欣.基于遺傳算法的煤炭企業(yè)網(wǎng)絡(luò)安全技術(shù)的研究[J].煤炭技術(shù)，2012，02：109~110+114.

第二篇：入侵檢測(cè)技術(shù)論文

目錄

第一章 緒論

1.1 入侵檢測(cè)技術(shù)的背景 1.2 程序設(shè)計(jì)的目的 第二章 入侵檢測(cè)系統(tǒng) 2.1 網(wǎng)絡(luò)入侵概述

2.2 網(wǎng)絡(luò)存在的安全隱患

2.3 網(wǎng)絡(luò)入侵與攻擊的常用手段 2.4 入侵檢測(cè)技術(shù)

2.4.1 誤用入侵檢測(cè)技術(shù) 2.4.2 異常入侵檢測(cè)技術(shù)

第三章 協(xié)議分析 3.1 協(xié)議分析簡(jiǎn)介 3.2 協(xié)議分析的優(yōu)勢(shì)

第四章 PANIDS系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn) 4.1 PANIDS系統(tǒng)總體結(jié)構(gòu)設(shè)計(jì)

4.2 系統(tǒng)基本信息讀取模塊的設(shè)計(jì)及實(shí)現(xiàn) 4.3 網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊的設(shè)計(jì)及實(shí)現(xiàn) 4.4 基于協(xié)議分析的入侵檢測(cè)模塊的設(shè)計(jì)及實(shí)現(xiàn) 4.4.1 數(shù)據(jù)包的分解 4.4.2 入侵檢測(cè)的實(shí)現(xiàn) 4.5 實(shí)驗(yàn)結(jié)果及結(jié)論

第五章 總結(jié)與參考文獻(xiàn)

摘要

網(wǎng)絡(luò)技術(shù)高速發(fā)展的今天，人們?cè)絹?lái)越依賴于網(wǎng)絡(luò)進(jìn)行信息的處理。因此，網(wǎng)絡(luò)安全就顯得相當(dāng)重要，隨之產(chǎn)生的各種網(wǎng)絡(luò)安全技術(shù)也得到了不斷地發(fā)展。防火墻、加密等技術(shù)，總的來(lái)說(shuō)均屬于靜態(tài)的防御技術(shù)。如果單純依靠這些技術(shù)，仍然難以保證網(wǎng)絡(luò)的安全性。入侵檢測(cè)技術(shù)是一種主動(dòng)的防御技術(shù)，它不僅能檢測(cè)未經(jīng)授權(quán)的對(duì)象入侵，而且也能監(jiān)視授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法使用。傳統(tǒng)的入侵檢測(cè)系統(tǒng)一般都采用模式匹配技術(shù)，但由于技術(shù)本身的特點(diǎn)，使其具有計(jì)算量大、檢測(cè)效率低等缺點(diǎn)，而基于協(xié)議分析的檢測(cè)技術(shù)較好的解決了這些問(wèn)題，其運(yùn)用協(xié)議的規(guī)則性及整個(gè)會(huì)話過(guò)程的上下文相關(guān)性，不僅提高了入侵檢測(cè)系統(tǒng)的速度，而且減少了漏報(bào)和誤報(bào)率。本文提出了一種基于協(xié)議分析的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)PANIDS的模型，在該模型中通過(guò)Winpcap捕獲數(shù)據(jù)包，并對(duì)數(shù)據(jù)包進(jìn)行協(xié)議分析，判斷其是否符合某種入侵模式，從而達(dá)到入侵檢測(cè)的目的。

關(guān)鍵詞： 入侵檢測(cè)，協(xié)議分析，PANIDS

第一章 緒論

1.1 入侵檢測(cè)技術(shù)的背景

隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)通信已經(jīng)滲透到社會(huì)經(jīng)濟(jì)、文化和科學(xué)的各個(gè)領(lǐng)域；對(duì)人類社會(huì)的進(jìn)步和發(fā)展起著舉足輕重的作用，它正影響和改變著人們工作、學(xué)習(xí)和生活的方式。另外，Internet的發(fā)展和應(yīng)用水平也已經(jīng)成為衡量一個(gè)國(guó)家政治、經(jīng)濟(jì)、軍事、技術(shù)實(shí)力的標(biāo)志；發(fā)展網(wǎng)絡(luò)技術(shù)是國(guó)民經(jīng)濟(jì)現(xiàn)代化建設(shè)不可缺少的必要條件。網(wǎng)絡(luò)使得信息的獲取、傳遞、存儲(chǔ)、處理和利用變得更加有效、迅速，網(wǎng)絡(luò)帶給人們的便利比比皆是。然而，網(wǎng)絡(luò)在給人們的學(xué)習(xí)、生活和工作帶來(lái)巨大便利的同時(shí)也帶來(lái)了各種安全問(wèn)題。網(wǎng)絡(luò)黑客可以輕松的取走你的機(jī)密文件，竊取你的銀行存款，破壞你的企業(yè)帳目，公布你的隱私信函，篡改、干擾和毀壞你的數(shù)據(jù)庫(kù)，甚至直接破壞你的磁盤或計(jì)算機(jī)，使你的網(wǎng)絡(luò)癱瘓或者崩潰。因此，研究各種切實(shí)有效的安全技術(shù)來(lái)保障計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全，已經(jīng)成為刻不容緩的課題。伴隨著網(wǎng)絡(luò)的發(fā)展，各種網(wǎng)絡(luò)安全技術(shù)也隨之發(fā)展起來(lái)。常用的網(wǎng)絡(luò)安全技術(shù)有：數(shù)據(jù)加密、虛擬專用網(wǎng)絡(luò)（VPN，Virtual Private Network）、防火墻、殺毒軟件、數(shù)字簽名和身份認(rèn)證等技術(shù)。這些傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)，對(duì)保護(hù)網(wǎng)絡(luò)的安全起到非常重要的作用，然而它們也存在不少缺陷。例如，防火墻技術(shù)雖然為網(wǎng)絡(luò)服務(wù)提供了較好的身份認(rèn)證和訪問(wèn)控制，但是它不能防止來(lái)自防火墻內(nèi)部的攻擊、不能防備最新出現(xiàn)的威脅、不能防止繞過(guò)防火墻的攻擊，入侵者可以利用脆弱性程序或系統(tǒng)漏洞繞過(guò)防火墻的訪問(wèn)控制來(lái)進(jìn)行非法攻擊。傳統(tǒng)的身份認(rèn)證技術(shù)，很難抵抗脆弱性口令、字典攻擊、特洛伊木馬、網(wǎng)絡(luò)窺探器以及電磁輻射等攻擊手段。虛擬專用網(wǎng)技術(shù)只能保證傳輸過(guò)程中的安全，并不能防御諸如拒絕服務(wù)攻擊、緩沖區(qū)溢出等常見(jiàn)的攻擊。另外，這些技術(shù)都屬于靜態(tài)安全技術(shù)的范疇；靜態(tài)安全技術(shù)的缺點(diǎn)是只能靜態(tài)和消極地防御入侵，而不能主動(dòng)檢測(cè)和跟蹤入侵。而入侵檢測(cè)技術(shù)是一種動(dòng)態(tài)安全技術(shù)，它主動(dòng)地收集包括系統(tǒng)審計(jì)數(shù)據(jù)，網(wǎng)絡(luò)數(shù)據(jù)包以及用戶活動(dòng)狀態(tài)等多方面的信息；然后進(jìn)行安全性分析，從而及時(shí)發(fā)現(xiàn)各種入侵并產(chǎn)生響應(yīng)。1.2 程序設(shè)計(jì)的目的

在目前的計(jì)算機(jī)安全狀態(tài)下，基于防火墻、加密技術(shù)等的安全防護(hù)固然重要；但是要根本改善系統(tǒng)的安全現(xiàn)狀，必須要發(fā)展入侵檢測(cè)技術(shù)。它已經(jīng)成為計(jì)算機(jī)安全策略中的核心技術(shù)之一。Intrusion Detection System（簡(jiǎn)稱IDS）作為一種主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。從網(wǎng)絡(luò)安全立體縱深的多層次防御角度出發(fā)，入侵檢測(cè)理應(yīng)受到高度重視，這從國(guó)外入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。在國(guó)內(nèi)，隨著上網(wǎng)關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來(lái)越多，迫切需要具有自主版權(quán)的入侵檢測(cè)產(chǎn)品；但目前我國(guó)的入侵檢測(cè)技術(shù)還不夠成熟，處于發(fā)展和跟蹤國(guó)外技術(shù)的階段，所以對(duì)入侵檢測(cè)系統(tǒng)的研究非常重要。傳統(tǒng)的入侵檢測(cè)系統(tǒng)中一般采用傳統(tǒng)的模式匹配技術(shù),將待分析事件與入侵規(guī)則相匹配。從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開(kāi)始與攻擊特征字符串比較。若比較結(jié)果不同,則下移一個(gè)字節(jié)再進(jìn)行；若比較結(jié)果相同,那么就檢測(cè)到一個(gè)可 能 的攻擊。這種逐字節(jié)匹配方法具有計(jì)算負(fù)載大及探測(cè)不夠靈活兩個(gè)最根本的缺陷。面對(duì)近幾年不斷出現(xiàn)的ATM、千兆以太網(wǎng)、G比特光纖網(wǎng)等高速網(wǎng)絡(luò)應(yīng)用,實(shí)現(xiàn)實(shí)時(shí)入侵檢測(cè)成為一個(gè)現(xiàn)實(shí)的問(wèn)題。適應(yīng)高速網(wǎng)絡(luò)的環(huán)境，改進(jìn)檢測(cè)算法以提高運(yùn)行速度和效率是解決該問(wèn)題的一個(gè)途徑。協(xié)議分析能夠智能地”理解”協(xié)議,利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)攻擊的存在,從而大大減少了模式匹配所需的運(yùn)算。所以說(shuō)研究基于協(xié)議分析的入侵檢測(cè)技術(shù)具有很強(qiáng)的現(xiàn)實(shí)意義。

第二章 入侵檢測(cè)系統(tǒng)

2.1 網(wǎng)絡(luò)入侵概述

網(wǎng)絡(luò)在給人們帶來(lái)便利的同時(shí)也引入了很多安全問(wèn)題。從防衛(wèi)者的角度來(lái)看，網(wǎng)絡(luò)安全的目標(biāo)可以歸結(jié)為以下幾個(gè)方面 ：（1）網(wǎng)絡(luò)服務(wù)的可用性。在需要時(shí)，網(wǎng)絡(luò)信息服務(wù)能為授權(quán)用戶提供實(shí)時(shí)有效的服務(wù)。

（2）網(wǎng)絡(luò)信息的保密性。網(wǎng)絡(luò)服務(wù)要求能防止敏感信息泄漏，只有授權(quán)用戶才能獲取服務(wù)信息。

（3）網(wǎng)絡(luò)信息的完整性。網(wǎng)絡(luò)服務(wù)必須保證服務(wù)者提供的信息內(nèi)容不能被非授權(quán)篡改。完整性是對(duì)信息的準(zhǔn)確性和可靠性的評(píng)價(jià)指標(biāo)。

（4）網(wǎng)絡(luò)信息的不可抵賴性。用戶不能否認(rèn)消息或文件的來(lái)源地，也不能否認(rèn)接受了信息或文件。

（5）網(wǎng)絡(luò)運(yùn)行的可控性。也就是網(wǎng)絡(luò)管理的可控性，包括網(wǎng)絡(luò)運(yùn)行的物理的可控性和邏輯或配置的可控性，能夠有效地控制網(wǎng)絡(luò)用戶的行為及信息的傳播范圍。

2.2 網(wǎng)絡(luò)存在的安全隱患

網(wǎng)絡(luò)入侵從根本上來(lái)說(shuō)，主要是因?yàn)榫W(wǎng)絡(luò)存在很多安全隱患，這樣才使得攻擊者有機(jī)可乘。導(dǎo)致網(wǎng)絡(luò)不安全的主要因素可以歸結(jié)為下面幾點(diǎn)：

（1）軟件的Bug。眾所周知，各種操作系統(tǒng)、協(xié)議棧、服務(wù)器守護(hù)進(jìn)程、各種應(yīng)用程序等都存在不少漏洞。可以不夸張的說(shuō)，幾乎每個(gè)互聯(lián)網(wǎng)上的軟件都或多或少的存在一些安全漏洞。這些漏洞中，最常見(jiàn)的有緩沖區(qū)溢出、競(jìng)爭(zhēng)條件（多個(gè)程序同時(shí)訪問(wèn)一段數(shù)據(jù)）等。

（2）系統(tǒng)配置不當(dāng)。操作系統(tǒng)的默認(rèn)配置往往照顧用戶的友好性，但是容易使用的同時(shí)也就意味著容易遭受攻擊。這類常見(jiàn)的漏洞有：系統(tǒng)管理員配置不恰當(dāng)、系統(tǒng)本身存在后門等。

（3）脆弱性口令。大部分人為了輸入口令的時(shí)候方便簡(jiǎn)單，多數(shù)都使用自己或家人的名字、生日、門牌號(hào)、電話號(hào)碼等作為口令。攻擊者可以通過(guò)猜測(cè)口令或拿到口令文件后，利用字典攻擊等手段來(lái)輕易破解口令。

（4）信息泄漏。入侵者常用的方法之一就是竊聽(tīng)。在廣播式的局域網(wǎng)上，將網(wǎng)卡配置成”混雜”模式，就可以竊聽(tīng)到該局域網(wǎng)的所有數(shù)據(jù)包。如果在服務(wù)器上安裝竊聽(tīng)軟件就可以拿到遠(yuǎn)程用戶的帳號(hào)和口令。

（5）設(shè)計(jì)的缺陷。最典型的就是TCP/IP協(xié)議，在協(xié)議設(shè)計(jì)時(shí)并沒(méi)有考慮到安全因素。雖然現(xiàn)在已經(jīng)充分意識(shí)到了這一點(diǎn)，但是由于TCP/IP協(xié)議已經(jīng)廣泛使用，因此暫時(shí)還無(wú)法被完全代替。另外，雖然操作系統(tǒng)設(shè)計(jì)的時(shí)候考慮了很多安全因素，但是仍然無(wú)法避免地存在一些缺陷。例如，廣泛使用的Windows操作系統(tǒng)，幾乎每隔幾個(gè)月都要出一定數(shù)量的安全補(bǔ)丁，就是因?yàn)橄到y(tǒng)存在很多安全隱患。2.3 網(wǎng)絡(luò)入侵與攻擊的常用手段

長(zhǎng)期以來(lái)，黑客攻擊技術(shù)沒(méi)有成為系統(tǒng)安全研究的一個(gè)重點(diǎn)，一方面是攻擊技術(shù)很大程度上依賴于個(gè)人的經(jīng)驗(yàn)以及攻擊者之間的交流，這種交流通常都是地下的，黑客有他們自己的交流方式和行為準(zhǔn)則，這與傳統(tǒng)的學(xué)術(shù)研究領(lǐng)域不相同；另一方面，研究者還沒(méi)有充分認(rèn)識(shí)到：只有更多地了解攻擊技術(shù)，才能更好地保護(hù)系統(tǒng)的安全。下面簡(jiǎn)單介紹幾種主要的攻擊類型。1.探測(cè)攻擊

通過(guò)掃描允許連接的服務(wù)和開(kāi)放端口，能迅速發(fā)現(xiàn)目標(biāo)主機(jī)端口的分配情況以及所提供的各項(xiàng)服務(wù)和服務(wù)程序的版本號(hào)。另外通過(guò)掃描還可以探測(cè)到系統(tǒng)的漏洞等信息。黑客找到有機(jī)可乘的服務(wù)或端口后就可以進(jìn)行攻擊了。常見(jiàn)的探測(cè)掃描程序有：SATAN、NTScan、X_Scan、Nessus等。2.網(wǎng)絡(luò)監(jiān)聽(tīng)

將網(wǎng)卡設(shè)置為混雜模式，對(duì)已流經(jīng)某個(gè)以太網(wǎng)段的所有數(shù)據(jù)包進(jìn)行監(jiān)聽(tīng)，以獲取敏感信息，如包含了”usename”或”password”等信息的數(shù)據(jù)包。常見(jiàn)的網(wǎng)絡(luò)監(jiān)聽(tīng)工具有：NetRay、Sniffer、Etherfind、Snoop、Tcpdump等。3.解碼類攻擊

通過(guò)各種方法獲取password文件，然后用口令猜測(cè)程序來(lái)破譯用戶帳號(hào)和密碼。常見(jiàn)的解碼工具有：Crack、LophtCrack等。

2.4 入侵檢測(cè)技術(shù)

入侵檢測(cè)技術(shù)可以分為兩大類：異常入侵檢測(cè)技術(shù)和誤用入侵檢測(cè)技術(shù)。下面分別介紹這兩種入侵檢測(cè)技術(shù)。2.4.1 誤用入侵檢測(cè)技術(shù)

誤用入侵檢測(cè)首先對(duì)表示特定入侵的行為模式進(jìn)行編碼，建立誤用模式庫(kù)；然后對(duì)實(shí)際檢測(cè)過(guò)程中得到的審計(jì)事件數(shù)據(jù)進(jìn)行過(guò)濾，檢查是否包含入侵特征串。誤用檢測(cè)的缺陷在于只能檢測(cè)已知的攻擊模式。常見(jiàn)的誤用入侵檢測(cè)技術(shù)有以下幾種：

1.模式匹配

模式匹配是最常用的誤用檢測(cè)技術(shù)，特點(diǎn)是原理簡(jiǎn)單、擴(kuò)展性好、檢測(cè)效率高、可以實(shí)時(shí)檢測(cè)；但是只能適用于比較簡(jiǎn)單的攻擊方式。它將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式串進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。著名的輕量級(jí)開(kāi)放源代碼入侵檢測(cè)系統(tǒng)Snort就是采用這種技術(shù)。2.專家系統(tǒng)

該技術(shù)根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)來(lái)形成一套推理規(guī)則，然后在此基礎(chǔ)上建立相應(yīng)的專家系統(tǒng)來(lái)自動(dòng)對(duì)所涉及的入侵行為進(jìn)行分析。該系統(tǒng)應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)則的擴(kuò)充和修正。專家系統(tǒng)方法存在一些實(shí)際問(wèn)題：處理海量數(shù)據(jù)時(shí)存在效率問(wèn)題，這是由于專家系統(tǒng)的推理和決策模塊通常使用解釋型語(yǔ)言來(lái)實(shí)現(xiàn)，所以執(zhí)行速度比編譯型語(yǔ)言慢；專家系統(tǒng)的性能完全取決于設(shè)計(jì)者的知識(shí)和技能；規(guī)則庫(kù)維護(hù)非常艱巨，更改規(guī)則時(shí)必須考慮到對(duì)知識(shí)庫(kù)中其他規(guī)則的影響等等。3.狀態(tài)遷移法

狀態(tài)遷移圖可用來(lái)描述系統(tǒng)所處的狀態(tài)和狀態(tài)之間可能的遷移。狀態(tài)遷移圖用于入侵檢測(cè)時(shí)，表示了入侵者從合法狀態(tài)遷移到最終的危害狀態(tài)所采取的一系列行動(dòng)。

在檢測(cè)未知的脆弱性時(shí)，因?yàn)闋顟B(tài)遷移法強(qiáng)調(diào)的是系統(tǒng)處于易受損的狀態(tài)而不是未知入侵的審計(jì)特征，因此這種方法更具有健壯性。而它潛在的一個(gè)弱點(diǎn)是太拘泥于預(yù)先定義的狀態(tài)遷移序列。這種模型運(yùn)行在原始審計(jì)數(shù)據(jù)的抽象層次上，它利用系統(tǒng)狀態(tài)的觀念和事件的轉(zhuǎn)變流；這就有可能提供了一種既能減少誤警率又能檢測(cè)到新的攻擊的途徑。另外，因?yàn)樯婕傲吮容^高層次的抽象，有希望把它的知識(shí)庫(kù)移植到不同的機(jī)器、網(wǎng)絡(luò)和應(yīng)用的入侵檢測(cè)上。2.4.2 異常入侵檢測(cè)技術(shù)

異常檢測(cè)是通過(guò)對(duì)系統(tǒng)異常行為的檢測(cè)來(lái)發(fā)現(xiàn)入侵。異常檢測(cè)的關(guān)鍵問(wèn)題在于正常使用模式的建立，以及如何利用該模式對(duì)當(dāng)前系統(tǒng)或用戶行為進(jìn)行比較，從而判斷出與正常模式的偏離程度。”模式”（profiles）通常使用一組系統(tǒng)的度量（metrics）來(lái)定義。度量，就是指系統(tǒng)或用戶行為在特定方面的衡量標(biāo)準(zhǔn)。每個(gè)度量都對(duì)應(yīng)于一個(gè)門限值。常用的異常檢測(cè)技術(shù)有： 1.統(tǒng)計(jì)分析

最早的異常檢測(cè)系統(tǒng)采用的是統(tǒng)計(jì)分析技術(shù)。首先，檢測(cè)器根據(jù)用戶對(duì)象的動(dòng)作為每個(gè)用戶建立一個(gè)用戶特征表，通過(guò)比較當(dāng)前特征與已存儲(chǔ)定型的以前特征，從而判斷是否異常行為。統(tǒng)計(jì)分析的優(yōu)點(diǎn)：有成熟的概率統(tǒng)計(jì)理論支持、維護(hù)方便，不需要象誤用檢測(cè)系統(tǒng)那樣不斷地對(duì)規(guī)則庫(kù)進(jìn)行更新和維護(hù)等。統(tǒng)計(jì)分析的缺點(diǎn)：大多數(shù)統(tǒng)計(jì)分析系統(tǒng)是以批處理的方式對(duì)審計(jì)記錄進(jìn)行分析的，不能提供對(duì)入侵行為的實(shí)時(shí)檢測(cè)、統(tǒng)計(jì)分析不能反映事件在時(shí)間順序上的前后相關(guān)性，而不少入侵行為都有明顯的前后相關(guān)性、門限值的確定非常棘手等。2.神經(jīng)網(wǎng)絡(luò)

這種方法對(duì)用戶行為具有學(xué)習(xí)和自適應(yīng)功能，能夠根據(jù)實(shí)際檢測(cè)到的信息有效地加以處理并做出入侵可能性的判斷。利用神經(jīng)網(wǎng)絡(luò)所具有的識(shí)別、分類和歸納能力，可以使入侵檢測(cè)系統(tǒng)適應(yīng)用戶行為特征的可變性。從模式識(shí)別的角度來(lái)看，入侵檢測(cè)系統(tǒng)可以使用神經(jīng)網(wǎng)絡(luò)來(lái)提取用戶行為的模式特征，并以此創(chuàng)建用戶的行為特征輪廓。總之，把神經(jīng)網(wǎng)絡(luò)引入入侵檢測(cè)系統(tǒng)，能很好地解決用戶行為的動(dòng)態(tài)特征以及搜索數(shù)據(jù)的不完整性、不確定性所造成的難以精確檢測(cè)的問(wèn)題。利用神經(jīng)網(wǎng)絡(luò)檢測(cè)入侵的基本思想是用一系列信息單元（命令）訓(xùn)練神經(jīng)單元，這樣在給定一組輸入后，就可能預(yù)測(cè)輸出。將神經(jīng)網(wǎng)絡(luò)應(yīng)用于攻擊模式的學(xué)習(xí)，理論上也是可行的。但目前主要應(yīng)用于系統(tǒng)行為的學(xué)習(xí)，包括用戶以及系統(tǒng)守護(hù)程序的行為。與統(tǒng)計(jì)理論相比，神經(jīng)網(wǎng)絡(luò)更好地表達(dá)了變量間的非線性關(guān)系，并且能自動(dòng)學(xué)習(xí)并更新。

神經(jīng)網(wǎng)絡(luò)也存在一些問(wèn)題：在不少情況下，系統(tǒng)趨向于形成某種不穩(wěn)定的網(wǎng)絡(luò)結(jié)構(gòu)，不能從訓(xùn)練數(shù)據(jù)中學(xué)習(xí)特定的知識(shí)，這種情況目前尚不能完全確定產(chǎn)生的原因；另外，神經(jīng)網(wǎng)絡(luò)對(duì)判斷為異常的事件不會(huì)提供任何解釋或說(shuō)明信息，這導(dǎo)致了用戶無(wú)法確認(rèn)入侵的責(zé)任人，也無(wú)法判斷究竟是系統(tǒng)哪方面存在的問(wèn)題導(dǎo)致了攻擊者得以成功入侵。

前面介紹了誤用檢測(cè)和異常檢測(cè)所使用的一些常用檢測(cè)手段，在近期入侵檢測(cè)系統(tǒng)的發(fā)展過(guò)程中，研究人員提出了一些新的入侵檢測(cè)技術(shù)。這些技術(shù)不能簡(jiǎn)單地歸類為誤用檢測(cè)或異常檢測(cè)，它們提供了一種有別于傳統(tǒng)入侵檢測(cè)視角的技術(shù)層次。這些新技術(shù)有：免疫系統(tǒng)、基因算法、數(shù)據(jù)挖掘、基于代理的檢測(cè)等等，他們提供了更具有普遍意義的分析檢測(cè)技術(shù)，或者提出了新的檢測(cè)系統(tǒng)構(gòu)架，因此無(wú)論是對(duì)誤用檢測(cè)還是對(duì)異常檢測(cè)來(lái)說(shuō)都可以得到很好的應(yīng)用。

第三章 協(xié)議分析

3.1 協(xié)議分析簡(jiǎn)介 1.以太幀協(xié)議分析

這是對(duì)以太網(wǎng)數(shù)據(jù)幀頭進(jìn)行協(xié)議分析，并把分析的結(jié)果記入Packet結(jié)構(gòu)中。分析完以太幀頭后把數(shù)據(jù)包傳送到下一級(jí)協(xié)議分析程序中。數(shù)據(jù)幀的第13和14兩個(gè)字節(jié)組成的字段是協(xié)議類型字段。如果用十六進(jìn)制表示，那么IP協(xié)議對(duì)應(yīng)0X0800、ARP對(duì)應(yīng)0X0806、RARP對(duì)應(yīng)0X0835。2.ARP和RARP數(shù)據(jù)包協(xié)議分析

這是對(duì)ARP或RARP數(shù)據(jù)進(jìn)行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于ICMP協(xié)議規(guī)則集的匹配檢測(cè)模塊進(jìn)行檢測(cè)，查看是否存在ARP和RARP相關(guān)的攻擊。由于基于ARP/RARP協(xié)議的攻擊較少，所以把他們歸入ICMP協(xié)議規(guī)則集中。3.IP數(shù)據(jù)包協(xié)議分析

這是對(duì)IP 數(shù)據(jù)包進(jìn)行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于IP協(xié)議規(guī)則集的匹配檢測(cè)程序中進(jìn)行檢測(cè)。IP數(shù)據(jù)包首部的第一個(gè)字節(jié)的后面4個(gè)比特組成的字段標(biāo)識(shí)了IP首部的長(zhǎng)度。該字段的值乘以4就等于IP首部的長(zhǎng)度。沒(méi)有包含IP選項(xiàng)的普通IP首部長(zhǎng)度為20，如果大于20就說(shuō)明此IP數(shù)據(jù)包包含IP首部。第5和第6個(gè)字節(jié)是IP數(shù)據(jù)包的16位標(biāo)識(shí)，每一IP數(shù)據(jù)包都有唯一的標(biāo)識(shí)。該標(biāo)識(shí)在IP數(shù)據(jù)包分片重組時(shí)中起到至關(guān)重要的作用，每個(gè)分片就是通過(guò)檢查此ID號(hào)來(lái)判別是否屬于同一個(gè)IP包。第7個(gè)字節(jié)開(kāi)始的前3個(gè)比特是重要的標(biāo)志位：第一個(gè)標(biāo)志位（最高位）為保留位（該位必須為0，否則就是一個(gè)錯(cuò)誤的IP數(shù)據(jù)包），第二個(gè)標(biāo)志位DF指示該IP數(shù)據(jù)包能否分片（該位為0則表示該IP數(shù)據(jù)包可以分片，為1則不能分片），第三個(gè)標(biāo)志位MF指示該數(shù)據(jù)包是否為最后一個(gè)分片（該位為0表示此數(shù)據(jù)包是最后一個(gè)分片，為1表示不是最后一個(gè)分片）。從MF標(biāo)志位開(kāi)始的后面13個(gè)比特位記錄了分片的偏移量。分片的IP數(shù)據(jù)包，各個(gè)分片到目的端才會(huì)重組；傳輸過(guò)程中每個(gè)分片可以獨(dú)立選路。如何才能重組一個(gè)分片了的IP數(shù)據(jù)包呢？首先，16位分片ID（Fragment ID）標(biāo)識(shí)了每個(gè)IP數(shù)據(jù)包的唯一性。數(shù)據(jù)包分片后，它的每個(gè)分片具有相同的標(biāo)識(shí)。其次，通過(guò)每個(gè)分片的片偏移量可以確定每個(gè)分片的位置，再結(jié)合MF可以判斷該分片是否為最后一個(gè)分片。綜合上述信息，就可以順利的重組一個(gè)數(shù)據(jù)包。分片重組對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)具有重要意義。首先，有一些攻擊方法利用了操作系統(tǒng)協(xié)議棧中分片合并實(shí)現(xiàn)上的漏洞，例如著名的TearDrop攻擊就是在短時(shí)間內(nèi)發(fā)送若干偏移量有重疊的分片，目標(biāo)機(jī)接收到這樣的分片的時(shí)候就會(huì)合并分片，由于其偏移量的重疊而發(fā)生內(nèi)存錯(cuò)誤，甚至?xí)?dǎo)致協(xié)議棧的崩潰。這種攻擊手段單從一個(gè)數(shù)據(jù)包上是無(wú)法辨認(rèn)的，需要在協(xié)議分析中模擬操作系統(tǒng)的分片合并，以發(fā)現(xiàn)不合法的分片。另外，Tiny Fragment（極小分片）等攻擊方法，將攻擊信息隱藏在多個(gè)微小分片內(nèi)來(lái)繞過(guò)入侵檢測(cè)系統(tǒng)或防火墻的檢測(cè)從而達(dá)到攻擊的目的。對(duì)付這種攻擊也需要在檢測(cè)的過(guò)程中合并碎片，恢復(fù)數(shù)據(jù)包的真實(shí)面目。

IP包頭的第10個(gè)字節(jié)開(kāi)始的后面八個(gè)比特位表示了協(xié)議的類型：其中1表示ICMP協(xié)議，2表示IGMP協(xié)議，6表示TCP協(xié)議，17表示UDP協(xié)議。（這些數(shù)字是十進(jìn)制的）。對(duì)IP數(shù)據(jù)包檢測(cè)完畢后，如果檢測(cè)到攻擊就記錄該數(shù)據(jù)包，然后重新開(kāi)始檢測(cè)一個(gè)新的原始數(shù)據(jù)包。如果沒(méi)有檢測(cè)到攻擊，則在判斷上層協(xié)議類型之后就把數(shù)據(jù)包分流到TCP、UDP等協(xié)議分析程序中進(jìn)行進(jìn)一步協(xié)議分析。4.TCP數(shù)據(jù)包協(xié)議分析

這是對(duì)TCP數(shù)據(jù)包進(jìn)行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于TCP協(xié)議規(guī)則集的匹配檢測(cè)程序中進(jìn)行檢測(cè)。首先讀入TCP數(shù)據(jù)包，對(duì)TCP包頭進(jìn)行協(xié)議分析；并檢查是否有TCP選項(xiàng)，如果有的話就對(duì)TCP選項(xiàng)進(jìn)行協(xié)議分析。然后，判斷該TCP數(shù)據(jù)包是否發(fā)生分段，如果發(fā)生了分段就進(jìn)行TCP重組。再把重組后的數(shù)據(jù)包送入基于TCP協(xié)議規(guī)則集的匹配檢測(cè)程序進(jìn)行檢測(cè)。如果檢測(cè)到攻擊就記錄下該攻擊數(shù)據(jù)包，以備攻擊取證等使用。記錄數(shù)據(jù)包后又返回，重新讀取一個(gè)新的數(shù)據(jù)包。如果沒(méi)有檢測(cè)到攻擊，就把該數(shù)據(jù)包送入下一級(jí)協(xié)議分析模塊中，作進(jìn)一步的協(xié)議分析。

5.ICMP數(shù)據(jù)包協(xié)議分析

這是對(duì)ICMP數(shù)據(jù)包進(jìn)行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于ICMP協(xié)議規(guī)則集的匹配檢測(cè)程序中進(jìn)行檢測(cè)。ICMP報(bào)文有很多類型，根據(jù)報(bào)文中的類型字段和代碼字段就可以區(qū)分每一種ICMP報(bào)文類型。6.UDP協(xié)議分析

這是對(duì)UDP數(shù)據(jù)包進(jìn)行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于UDP協(xié)議規(guī)則集的匹配檢測(cè)程序中進(jìn)行檢測(cè)。如果檢測(cè)到攻擊就記錄該數(shù)據(jù)包，然后返回并讀取下一個(gè)數(shù)據(jù)包。如果沒(méi)有檢測(cè)到攻擊，那么就把數(shù)據(jù)包送入基于應(yīng)用層協(xié)議規(guī)則集的檢測(cè)模塊進(jìn)行進(jìn)一步的檢測(cè)分析。應(yīng)用層協(xié)議很復(fù)雜，這里不進(jìn)行詳細(xì)討論。

3.2 協(xié)議分析的優(yōu)勢(shì)（1）提高性能：當(dāng)系統(tǒng)提升協(xié)議棧來(lái)解析每一層時(shí)，它用已獲得的知識(shí)來(lái)消除在數(shù)據(jù)包結(jié)構(gòu)中不可能出現(xiàn)的攻擊。比如4層協(xié)議是TCP，那就不用再搜索其他第四層協(xié)議如UDP上形成的攻擊。如果數(shù)據(jù)包最高層是簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP（Simple Network Management Protocol），那就不用再尋找Telnet或HTTP攻擊。這樣檢測(cè)的范圍明顯縮小，而且更具有針對(duì)性；從而使得IDS系統(tǒng)性能得到明顯改善。

（2）能夠探測(cè)碎片攻擊等基于協(xié)議漏洞的攻擊：在基于協(xié)議分析的IDS中，各種協(xié)議都被解析。如果出現(xiàn)IP分片，數(shù)據(jù)包將首先被重裝；然后再對(duì)整個(gè)數(shù)據(jù)包進(jìn)行詳細(xì)分析來(lái)檢測(cè)隱藏在碎片中的潛在攻擊行為。這是采用傳統(tǒng)模式匹配技術(shù)的NIDS所無(wú)法做到的。（3）降低誤報(bào)和漏報(bào)率：協(xié)議分析能減少傳統(tǒng)模式匹配NIDS系統(tǒng)中常見(jiàn)的誤報(bào)和漏報(bào)現(xiàn)象。在基于協(xié)議分析的NIDS系統(tǒng)中誤報(bào)率會(huì)明顯減少，因?yàn)樗鼈冎篮兔總€(gè)協(xié)議有關(guān)的潛在攻擊的確切位置以及該位置每個(gè)字節(jié)的真正含義。例如，針對(duì)基于協(xié)議分析的IDS不但能識(shí)別簡(jiǎn)單的路徑欺騙：例如把CGI攻擊”/cgi-bin/phf”變?yōu)椤?cgi-bin/./phf”或”/cgi-binphf”；而且也能識(shí)別復(fù)雜的HEX編碼欺騙：例如”/winnt/system32/cmd.exe”，編碼后變?yōu)椤?winnt/system32/%2563md.exe”，通過(guò)協(xié)議分析%25 解碼后為‘%’，%63解碼后為‘c’，這樣就解析出了攻擊串。又如針對(duì)Unicode（UTF-8）的編碼欺騙（與ASCII字符相關(guān)的HEX編碼一直到％7f，Unicode編碼值要高于它），攻擊串編碼后得到”/winnt/system32%c0%afcmd.exe”，通過(guò)解碼可知%c0%af在Unicode中對(duì)應(yīng)/,所以解碼后就能順利還原出攻擊串。第四章 PANIDS系統(tǒng)的設(shè)計(jì)及實(shí)現(xiàn)

4.1 PANIDS系統(tǒng)總體結(jié)構(gòu)設(shè)計(jì)

PANIDS系統(tǒng) 主要由系統(tǒng)基本信息讀取模塊、網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊、基于協(xié)議分析的入侵檢測(cè)模塊、響應(yīng)模塊和控制管理中心等幾部分組成。4.2 系統(tǒng)基本信息讀取模塊的設(shè)計(jì)及實(shí)現(xiàn)

為了更好的顯示出本機(jī)的特性，在此PANIDS系統(tǒng)中特別增加系統(tǒng)基本信息讀取模塊。通過(guò)此模塊能顯示出主機(jī)名和本機(jī)的IP地址和所使用的Winsock的版本

在此模塊中主要用到函數(shù)gethostname()和gethostbyname()。gethostname()函數(shù)作用是獲取本地主機(jī)的主機(jī)名，其定義如下：

int PASCAL FAR gethostname(char FAR * name, int namelen);name：用于指向所獲取的主機(jī)名的緩沖區(qū)的指針。Namelen：緩沖區(qū)的大小，以字節(jié)為單位。

gethostbyname()在此模塊中是一個(gè)主要函數(shù)，該函數(shù)可以從主機(jī)名數(shù)據(jù)庫(kù)中得到對(duì)應(yīng)的”主機(jī)”。其定義如下：

#include struct hostent FAR *PASCAL FAR gethostbyname(const char FAR * addr)name：指向主機(jī)名的指針。

gethostbyname()返回對(duì)應(yīng)于給定主機(jī)名的包含主機(jī)名字和地址信息的hostent結(jié)構(gòu)指針。結(jié)構(gòu)的聲明與gethostaddr()中一致。如果沒(méi)有錯(cuò)誤發(fā)生，gethostbyname()返回如上所述的一個(gè)指向hostent結(jié)構(gòu)的指針，否則，返回一個(gè)空指針。hostent結(jié)構(gòu)的數(shù)據(jù)結(jié)構(gòu)如下： struct hostent { char *h_name;//地址的正式名稱

char **h_aliases;//空字節(jié)-地址的預(yù)備名稱的指針 int h_addrtype;//地址類型，通常是AF_INET int h_length;//地址的比特長(zhǎng)度

char **h_addr_list;//零字節(jié)-主機(jī)網(wǎng)絡(luò)地址指針,網(wǎng)絡(luò)字節(jié)順序 };返回的指針指向一個(gè)由Windows Sockets實(shí)現(xiàn)分配的結(jié)構(gòu)。應(yīng)用程序不應(yīng)該試圖修改這個(gè)結(jié)構(gòu)或者釋放它的任何部分。此外，每一線程僅有一份這個(gè)結(jié)構(gòu)的拷貝，所以應(yīng)用程序應(yīng)該在發(fā)出其他Windows Scokets API調(diào)用前，把自己所需的信息拷貝下來(lái)。

gethostbyname()實(shí)現(xiàn)沒(méi)有必要識(shí)別傳送給它的IP地址串。對(duì)于這樣的請(qǐng)求，應(yīng)該把IP地址串當(dāng)作一個(gè)未知主機(jī)名同樣處理。如果應(yīng)用程序有IP地址串需要處理，它應(yīng)該使用inet_addr()函數(shù)把地址串轉(zhuǎn)換為IP地址，然后調(diào)用gethostbyaddr()來(lái)得到hostent結(jié)構(gòu)。4.3 網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊的設(shè)計(jì)及實(shí)現(xiàn) 網(wǎng)絡(luò)數(shù)據(jù)包捕獲的方法有很多，比如既可以利用原始套接字來(lái)實(shí)現(xiàn)，也可以通過(guò)Libpcap、Jpcap和WinPcap 提供的接口函數(shù)來(lái)實(shí)現(xiàn)。Libpcap、Jpcap和WinPcap是世界各地的網(wǎng)絡(luò)專家共同努力的結(jié)果，為開(kāi)發(fā)者提供了很多高效且與系統(tǒng)無(wú)關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包截獲接口函數(shù)；所以在性能上一般比采用普通的套接字方法要好。LibPcap是一個(gè)優(yōu)秀跨平臺(tái)的網(wǎng)絡(luò)抓包開(kāi)發(fā)工具，JPcap是它的一個(gè)Java版本。WinPcap在某種程度上可以說(shuō)它是LibPcap的一個(gè)Windows版本，因?yàn)樗鼈兊拇蟛糠纸涌诤瘮?shù)以及所采用的數(shù)據(jù)結(jié)構(gòu)都是一樣的。另外，WinPcap在某些方面進(jìn)行了優(yōu)化，還提供了發(fā)送原始數(shù)據(jù)包和統(tǒng)計(jì)網(wǎng)絡(luò)通信過(guò)程中各種信息的功能（LibPcap沒(méi)有統(tǒng)計(jì)功能），方便進(jìn)行測(cè)試；所以采用WinPcap所提供的庫(kù)函數(shù)來(lái)截獲網(wǎng)絡(luò)數(shù)據(jù)包。

Winpcap捕獲數(shù)據(jù)包的實(shí)現(xiàn)

1.網(wǎng)絡(luò)數(shù)據(jù)包捕獲的主要數(shù)據(jù)結(jié)構(gòu)(1)PACKET結(jié)構(gòu)

typedef struct _PACKET { HANDLE hEvent;OVERLAPPED OverLapped;PVOID Buffer;//這個(gè)buffer就是指向存放數(shù)據(jù)包的用戶緩沖區(qū) UINT Length;//buffer的長(zhǎng)度

DWORD ulBytesReceived;//調(diào)用PacketReceivePacket()函數(shù)所讀 //取的字節(jié)數(shù),可能包含多個(gè)數(shù)據(jù)包 BOOLEAN bIoComplete;} PACKET, *LPPACKET;其他未注釋的幾個(gè)成員,都是過(guò)時(shí)的成員,他們的存在只是為了與原來(lái)的兼容。此結(jié)構(gòu)主要用來(lái)存放從內(nèi)核中讀取的數(shù)據(jù)包。(2)pcap_file_header 結(jié)構(gòu) struct pcap_file_header{ bpf_u_int32 magic;//一個(gè)標(biāo)識(shí)號(hào)，標(biāo)識(shí)特定驅(qū)動(dòng)器產(chǎn)生的dump文件 u_short version_major;//WinPcap的主版本號(hào) u_short version_minor;//WinPcap的次版本號(hào)

bpf_int32 thiszone;//GMT時(shí)間與本地時(shí)間的校正值 bpf_u_int32 sigfigs;//精確的時(shí)間戳

bpf_u_int32 snaplen;//每個(gè)數(shù)據(jù)包需要存放到硬盤上的最大長(zhǎng)度 bpf_u_int32 linktype;//鏈路層的數(shù)據(jù)類型 };//這個(gè)頭部共24個(gè)字節(jié)

把截獲的數(shù)據(jù)包以標(biāo)準(zhǔn)的Windump格式存放到硬盤上時(shí)，就是以這個(gè)結(jié)構(gòu) 作為文件的開(kāi)頭。(3)bpf_hdr結(jié)構(gòu) struct bpf_hdr { struct timeval bh_tstamp;//數(shù)據(jù)包捕獲的時(shí)間戳信息 UINT bh_caplen;//數(shù)據(jù)包被捕獲部分的長(zhǎng)度 UINT bh_datalen;//數(shù)據(jù)的原始長(zhǎng)度 USHORT bh_hdrlen;//此結(jié)構(gòu)的長(zhǎng)度 };從內(nèi)核中讀取數(shù)據(jù)包并存放在用戶緩沖區(qū)中時(shí)，采用此結(jié)構(gòu)來(lái)封裝所截獲的 數(shù)據(jù)包。其中timeval的結(jié)構(gòu)如下 struct timeval { long tv_sec;//以秒為單位的時(shí)間 long tv_usec;//以毫秒為單位的時(shí)間 };(4)dump_bpf_hdr結(jié)構(gòu) struct dump_bpf_hdr{ struct timeval ts;//數(shù)據(jù)包捕獲的時(shí)間戳 UINT caplen;//數(shù)據(jù)包被捕獲部分的長(zhǎng)度 UINT len;//數(shù)據(jù)包的原始長(zhǎng)度 };把數(shù)據(jù)包存放到硬盤上或者向網(wǎng)絡(luò)上發(fā)送數(shù)據(jù)包時(shí)，都使用此結(jié)構(gòu)來(lái)封裝每一個(gè)數(shù)據(jù)包。

2.數(shù)據(jù)包捕獲的具體實(shí)現(xiàn)

在了解其數(shù)據(jù)結(jié)構(gòu)的基礎(chǔ)上，下面來(lái)分析其是如何具體實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包捕獲的。其前期的主要過(guò)程應(yīng)為：首先應(yīng)找到設(shè)備列表，然后顯示適配器列表和選擇適配器，最后通過(guò)pcap_open_live（）函數(shù)根據(jù)網(wǎng)卡名字將所選的網(wǎng)卡打開(kāi)，并設(shè)置為混雜模式。

用Winpacp捕獲數(shù)據(jù)包時(shí)，數(shù)據(jù)包捕獲的程序流程圖如圖4.3所示，其中pcap_loop()是截包的關(guān)鍵環(huán)節(jié)，它是一個(gè)循環(huán)截包函數(shù)，分析此函數(shù)的源碼可知，其內(nèi)部主要處理過(guò)程如圖4.4所示。在pcap_loop()的每次循環(huán)中，首先通過(guò)調(diào)用PacketReceivePacket()函數(shù)，從內(nèi)核緩沖區(qū)中把一組數(shù)據(jù)包讀取到用戶緩沖區(qū)。然后，根據(jù)bpf_hdr結(jié)構(gòu)提供的該數(shù)據(jù)包的定位信息，把用戶緩沖區(qū)的多個(gè)數(shù)據(jù)包逐個(gè)的提取出來(lái)，并依次送入回調(diào)函數(shù)進(jìn)行進(jìn)一步處理。通過(guò)這個(gè)過(guò)程就實(shí)現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)包的捕獲。

4.4 基于協(xié)議分析的入侵檢測(cè)模塊的設(shè)計(jì)及實(shí)現(xiàn)

此模塊是基于協(xié)議分析入侵檢測(cè)系統(tǒng)PANIDS的核心部分，下面我們重點(diǎn)討論此模塊的設(shè)計(jì)及實(shí)現(xiàn)。4.4.1 數(shù)據(jù)包的分解 當(dāng)需要發(fā)送數(shù)據(jù)時(shí)，就需要進(jìn)行封裝。封裝的過(guò)程就是把用戶數(shù)據(jù)用協(xié)議來(lái)進(jìn)行封裝，首先由應(yīng)用層協(xié)議進(jìn)行封裝，如HTTP協(xié)議。而HTTP協(xié)議是基于TCP協(xié)議的。它就被TCP協(xié)議進(jìn)行封裝，http包作為TCP數(shù)據(jù)段的數(shù)據(jù)部分。而TCP協(xié)議是基于IP協(xié)議的，所以TCP段就作為IP協(xié)議的數(shù)據(jù)部分，加上IP協(xié)議頭，就構(gòu)成了IP數(shù)據(jù)報(bào)，而IP數(shù)據(jù)報(bào)是基于以太網(wǎng)的，所以這個(gè)時(shí)候就被封裝成了以太網(wǎng)幀，這個(gè)時(shí)候就可以發(fā)送數(shù)據(jù)了。通過(guò)物理介質(zhì)進(jìn)行傳送。在這里我們所用到的是數(shù)據(jù)包的分解。分解的過(guò)程與封裝的過(guò)程恰恰相反，這個(gè)時(shí)候就需要從一個(gè)以太網(wǎng)幀中讀出用戶數(shù)據(jù)，就需要一層一層地進(jìn)行分解，首先是去掉以太網(wǎng)頭和以太網(wǎng)尾，在把剩下的部分傳遞給IP層軟件進(jìn)行分解，去掉IP頭，然后把剩下的傳遞給傳輸層，例如TCP協(xié)議，此時(shí)就去掉TCP頭，剩下應(yīng)用層協(xié)議部分?jǐn)?shù)據(jù)包了，例如HTTP協(xié)議，此時(shí)HTTP協(xié)議軟件模塊就會(huì)進(jìn)一步分解，把用戶數(shù)據(jù)給分解出來(lái)，例如是HTML代碼。這樣應(yīng)用軟件就可以操作用戶數(shù)據(jù)了，如用瀏覽器來(lái)瀏覽HTML頁(yè)面。其具體的數(shù)據(jù)包分解如下：

ethernet =(struct sniff_ethernet*)(pkt_data);ip =(struct sniff_ip*)(pkt_data + size_ethernet);tcp =(struct sniff_tcp*)(pkt_data + size_ethernet + size_ip);udp =(struct sniff_udp*)(pkt_data + size_ethernet + size_ip);icmp =(struct sniff_icmp*)(pkt_data + size_ethernet + size_ip);4.4.2 入侵檢測(cè)的實(shí)現(xiàn)

通過(guò)Winpcap捕獲數(shù)據(jù)包，數(shù)據(jù)包分解完以后就對(duì)其進(jìn)行協(xié)議分析，判斷分組是否符合某種入侵模式，如果符合，則進(jìn)行入侵告警。在本系統(tǒng)中實(shí)現(xiàn)了對(duì)多種常見(jiàn)入侵模式的檢測(cè)，采用的入侵模式包括ICMP分片、常用端口、IGMP分片、WinNuke攻擊、應(yīng)用層攻擊。1.ICMP分片

ICMP報(bào)文是TCP/IP協(xié)議中一種控制報(bào)文，它的長(zhǎng)度一般都比較小，如果出現(xiàn)ICMP報(bào)文分片，那么說(shuō)明一定出現(xiàn)了Ping of Death攻擊。

在本系統(tǒng)中ip->ip_p == 0×1，這是表示ip首部的協(xié)議類型字段，0×1代表ICMP。

string str1 = inet_ntoa(in_addrIP);string str2 = inet_ntoa(ip->ip_src);當(dāng)(ip->ip_off > 1)&& str1!= str2時(shí)，就表認(rèn)為是Ping of Death攻擊。如果都符合，就報(bào)警（調(diào)用函數(shù)將受到攻擊的時(shí)間、攻擊名稱以及攻擊的IP地址顯示出來(lái)）。

2.常用端口

一些攻擊特洛伊木馬、蠕蟲(chóng)病毒等都會(huì)采用一些固定端口進(jìn)行通信，那么如果在分組分析過(guò)程中發(fā)現(xiàn)出現(xiàn)了某個(gè)端口的出現(xiàn)，則可以認(rèn)為可能出現(xiàn)了某種攻擊，這里為了減少誤判，應(yīng)當(dāng)設(shè)置一個(gè)閾值，僅當(dāng)某個(gè)端口的分組出現(xiàn)超過(guò)閾值后才進(jìn)行報(bào)警。這就意味著檢測(cè)到發(fā)往某個(gè)端口的的分組超過(guò)閾值后才認(rèn)為出現(xiàn)了某種攻擊，并進(jìn)行告警。本系統(tǒng)定義了兩種端口掃描，Trojan Horse端口掃描和代理服務(wù)器端口掃描。Trojan Horse端口掃描實(shí)現(xiàn)如下：首先根據(jù)if((tcp->th_flags & TH_SYN)==TH_SYN)判斷其是否為TCP SYN報(bào)文，若是，并且端口為Trojan Horse的常用掃描端口時(shí)，最后判斷報(bào)文數(shù)是否超過(guò)閾值TrojanThreshold，如果超過(guò)的后，就被認(rèn)定為Trojan Horse端口掃描，然后報(bào)警。對(duì)代理服務(wù)器端口掃描檢測(cè)的實(shí)現(xiàn)方法和Trojan Horse端口掃描實(shí)現(xiàn)方法一樣，這里不再論述。

3.IGMP分片

IGMP（Internet Group Message Protocol）是Internet中多播組管理協(xié)議，其長(zhǎng)度也一般較小。同上ip->ip_p==0×2也是表示首部的協(xié)議類型字段，0×2代表IGMP，本系統(tǒng)實(shí)現(xiàn)了對(duì)其兩種攻擊模式的檢測(cè)。

（1）通過(guò)if(ntohs(ip->ip_len)>1499)首先判斷其是否為分片的IGMP報(bào)文，若是，并且收到的報(bào)文數(shù)超過(guò)設(shè)定的閾值IGMPThreshold，則就最終判定其為IGMP DoS攻擊，然后報(bào)警。

（2）通過(guò)if(strcmp(mbf,mbuffer)==0||strcmp(mbf,”0.0.0.0″)==0)判斷其是否為某種特定的源地址等于目的地址或者目的地址等于0的報(bào)文，若是，并且收到的報(bào)文數(shù)超過(guò)設(shè)定的閾值LandThreshold則被判定為land DoS攻擊,然后報(bào)警。

4.WinNuke攻擊 通過(guò)if((tcp->th_flags & TH_URG)==TH_URG)判斷其是否為TCP URG報(bào)文，若是，則根據(jù)WinNuke的典型特征是使用TCP中的Ugrent指針，并使用135、137、138、139端口，因此可以利用這兩個(gè)特征加以判斷，同樣為了減少誤判，應(yīng)當(dāng)設(shè)置一個(gè)閾值。當(dāng)閾值超過(guò)設(shè)定的WinNukeThreshold時(shí)，就被最終判定為WinNuke攻擊，然后報(bào)警。5.應(yīng)用層攻擊

其是分析應(yīng)用層的數(shù)據(jù)特征，判斷是否存在入侵。在本系統(tǒng)中實(shí)現(xiàn)了對(duì)一種較為簡(jiǎn)單的應(yīng)用層攻擊的檢測(cè)。它也是屬于TCP SYN報(bào)文中的一種。主要思想是監(jiān)測(cè)報(bào)文中是否存在system32關(guān)鍵字，如果存在，則報(bào)警。

4.5 實(shí)驗(yàn)結(jié)果及結(jié)論

程序編譯成功后，執(zhí)行可執(zhí)行文件，此時(shí)系統(tǒng)已被啟動(dòng)，然后在”設(shè)置”菜單中將網(wǎng)卡設(shè)為混雜模式，點(diǎn)擊”開(kāi)始”按鈕，本系統(tǒng)開(kāi)始檢測(cè)。由實(shí)驗(yàn)結(jié)果可知，本系統(tǒng)能較好的檢測(cè)出一些典型攻擊，并能在界面上顯示出攻擊日期/時(shí)間、攻擊的類型、攻擊源的IP地址，達(dá)到了預(yù)期的效果。

第五章 總結(jié)與參考文獻(xiàn)

入侵檢測(cè)是一種積極主動(dòng)的安全防護(hù)技術(shù)；它既能檢測(cè)未經(jīng)授權(quán)的對(duì)象入侵系統(tǒng)，又能監(jiān)視授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法操作。入侵檢測(cè)與防火墻、身份認(rèn)證、數(shù)據(jù)加密、數(shù)字簽名等安全技術(shù)共同構(gòu)筑了一個(gè)多層次的動(dòng)態(tài)安全體系。本文主要對(duì)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù)進(jìn)行了研究和探討。首先較全面、系統(tǒng)地分析了入侵檢測(cè)技術(shù)的歷史、現(xiàn)狀和發(fā)展趨勢(shì)、了解了黑客常用的攻擊手段及其原理。然后，系統(tǒng)地闡述了入侵檢測(cè)的原理。接著講述了協(xié)議分析和模式匹配技術(shù)，最后，針對(duì)當(dāng)前典型的網(wǎng)絡(luò)入侵，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于協(xié)議分析的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)PANIDS，實(shí)現(xiàn)了多層次的協(xié)議分析，包括基本協(xié)議的解析、協(xié)議上下文的關(guān)聯(lián)分析以及應(yīng)用層協(xié)議的分析，并取得了較為滿意的檢測(cè)效果。

[1] 戴英俠，連一峰，王航.系統(tǒng)安全與入侵檢測(cè)[M].北京：清華大學(xué)出版社 [2] 聶元銘，丘平.網(wǎng)絡(luò)信息安全技術(shù)[M].北京：科學(xué)出版社

[3] 董玉格，金海，趙振.攻擊與防護(hù)-網(wǎng)絡(luò)安全與實(shí)用防護(hù)技術(shù)[M].北京：人民 郵電出版社 [4] 戴云,范平志.入侵檢測(cè)系統(tǒng)研究綜述[J].計(jì)算機(jī)工程與應(yīng)用 [5] 劉文淘.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[M].北京：電子工業(yè)出版社，

第三篇：網(wǎng)絡(luò)安全與入侵檢測(cè)技術(shù)的應(yīng)用研究

網(wǎng)絡(luò)安全與入侵檢測(cè)技術(shù)的應(yīng)用研究

摘要：介紹了入侵檢測(cè)系統(tǒng)和預(yù)警技術(shù)的含義，并對(duì)入侵檢測(cè)系統(tǒng)模型進(jìn)行深入分析和分類，討論了入侵檢測(cè)系統(tǒng)的評(píng)價(jià)標(biāo)準(zhǔn)，最后對(duì)入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)作了有意義的預(yù)測(cè)。

關(guān)鍵詞：入侵檢測(cè) 網(wǎng)絡(luò)安全 防火墻

隨著Internet的應(yīng)用日益廣泛和電子商務(wù)的興起，網(wǎng)絡(luò)安全作為一個(gè)無(wú)法回避的問(wèn)題呈現(xiàn)在人們面前。提到網(wǎng)絡(luò)安全，很多人首先想到的是防火墻，防火墻作為一種靜態(tài)的訪問(wèn)控制類安全產(chǎn)品通常使用包過(guò)濾的技術(shù)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的隔離。適當(dāng)配置的防火墻雖然可以將非預(yù)期的訪問(wèn)請(qǐng)求屏蔽在外，但不能檢查出經(jīng)過(guò)他的合法流量中是否包含著惡意的入侵代碼。在這種需求背景下，入侵檢測(cè)系統(tǒng)（IDS）應(yīng)運(yùn)而生。入侵檢測(cè)系統(tǒng)成為了安全市場(chǎng)上新的熱點(diǎn)，不僅愈來(lái)愈多的受到人們的關(guān)注，而且已經(jīng)開(kāi)始在各種不同的環(huán)境中發(fā)揮其關(guān)鍵作用。入侵檢測(cè)技術(shù)概述

入侵檢測(cè)就是對(duì)指向計(jì)算和網(wǎng)絡(luò)資源的惡意行為的識(shí)別和響應(yīng)過(guò)程，為通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。

如果一個(gè)系統(tǒng)的計(jì)算機(jī)或者網(wǎng)絡(luò)安裝了入侵檢測(cè)系統(tǒng)，它會(huì)監(jiān)視系統(tǒng)的某些范圍，當(dāng)系統(tǒng)受到攻擊的時(shí)候，它可以檢測(cè)出來(lái)并做出響應(yīng)。入侵被檢測(cè)出來(lái)的過(guò)程包括監(jiān)控在計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)中發(fā)生的事件，再分析處理這些事件，檢測(cè)出入侵事件。入侵檢測(cè)系統(tǒng)是使這監(jiān)控和分析過(guò)程自動(dòng)化的產(chǎn)品，可以是軟件，也可以是硬件。

入侵檢測(cè)是對(duì)防火墻的合理補(bǔ)充，可以幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

入侵檢測(cè)技術(shù)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一。傳統(tǒng)的操作系統(tǒng)加固技術(shù)和防火墻隔離技術(shù)等都是靜態(tài)安全防御技術(shù)，對(duì)網(wǎng)絡(luò)環(huán)境下日新月異的攻擊手段缺乏主動(dòng)的反應(yīng)。如果與“傳統(tǒng)”的靜態(tài)防火墻技術(shù)共同使用，將可以大大提高系統(tǒng)的安全防護(hù)水平。入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)

入侵檢測(cè)系統(tǒng)不但需要使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)（包括程序、文件和硬件設(shè)備等）的任何變更，而且還應(yīng)能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點(diǎn)是，它應(yīng)該管理、配置簡(jiǎn)單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后，會(huì)及時(shí)作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等，入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)一般包括以下幾個(gè)步驟。2.1 信息收集

入侵檢測(cè)的第一步是信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。而且，需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)收集信息，這除了盡可能擴(kuò)大檢測(cè)范圍的因素外，還有一個(gè)重要的因素就是從一個(gè)源來(lái)的信息有可能看不出疑點(diǎn)，但從幾個(gè)源來(lái)的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識(shí)。入侵檢測(cè)利用的信息一般來(lái)自以下四個(gè)方面： ⑴系統(tǒng)和網(wǎng)絡(luò)日志文件

黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測(cè)入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過(guò)查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)程序。

⑵目錄和文件中的不期望的改變

網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。目錄和文件中的不期望的改變，特別是那些正常情況下限制訪問(wèn)的，很可能就是一種入侵產(chǎn)生的指示和信號(hào)。

⑶程序執(zhí)行中的不期望行為

網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶起動(dòng)的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫(kù)服務(wù)器。每個(gè)在系統(tǒng)上執(zhí)行的程序由一到多個(gè)進(jìn)程來(lái)實(shí)現(xiàn)，每個(gè)進(jìn)程執(zhí)行在具有不同權(quán)限的環(huán)境中。一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。

⑷物理形式的入侵信息 這包括兩個(gè)方面的內(nèi)容，一是未授權(quán)的對(duì)網(wǎng)絡(luò)硬件連接；二是對(duì)物理資源的未授權(quán)訪問(wèn)。黑客會(huì)想方設(shè)法去突破網(wǎng)絡(luò)的周邊防衛(wèi)，如果他們能夠在物理上訪問(wèn)內(nèi)部網(wǎng)，就能安裝他們自己的設(shè)備和軟件。2.2 信號(hào)分析

對(duì)上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過(guò)三種技術(shù)手段進(jìn)行分析：模式匹配，統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。

⑴模式匹配

模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過(guò)程可以很簡(jiǎn)單，也可以很復(fù)雜。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。但是，該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法，不能檢測(cè)到從未出現(xiàn)過(guò)的黑客攻擊手段。

⑵統(tǒng)計(jì)分析

統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。

⑶完整性分析

完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效。入侵檢測(cè)系統(tǒng)的局限性

由于網(wǎng)絡(luò)的危害行為是一系列十分復(fù)雜的活動(dòng)，特別是有預(yù)謀、有組織的網(wǎng)絡(luò)入侵，入侵檢測(cè)系統(tǒng)的研究遇到了以下三方面亟待解決的問(wèn)題。3.1 入侵技術(shù)在不斷發(fā)展

入侵檢測(cè)技術(shù)以網(wǎng)絡(luò)攻擊技術(shù)研究為依托，通過(guò)跟蹤入侵技術(shù)的發(fā)展增強(qiáng)入侵檢測(cè)能力。在因特網(wǎng)上有大量的黑客站點(diǎn)，發(fā)布大量系統(tǒng)漏洞資料和探討攻擊方法。更為令人擔(dān)憂的是有組織的活動(dòng)，國(guó)外已將信息戰(zhàn)手段同核生化武器等列在一起，作為戰(zhàn)略威懾加以討論，破壞者所具備的能力，對(duì)我們是很大的未知數(shù)。

入侵技術(shù)的發(fā)展給入侵檢測(cè)造成了很大的困難，預(yù)先了解所有可能的入侵方法是困難的，因此一個(gè)有效的入侵檢測(cè)系統(tǒng)不僅需要識(shí)別已知的入侵模式，還要有能力對(duì)付未知的入侵模式。

3.2 入侵活動(dòng)可以具有很大的時(shí)間跨度和空間跨度

有預(yù)謀的入侵活動(dòng)往往有較周密的策劃、試探性和技術(shù)性準(zhǔn)備，一個(gè)入侵活動(dòng)的各個(gè)步驟有可能在一段相對(duì)長(zhǎng)的時(shí)間跨度和相當(dāng)大的空間跨度之上分別地完成，給預(yù)警帶來(lái)困難。一個(gè)檢測(cè)模型總會(huì)有一個(gè)有限的時(shí)間窗口，從而忽略滑出時(shí)間窗口的某些事實(shí)。同時(shí)，檢測(cè)模型對(duì)于在較大空間范圍中發(fā)生的的異常現(xiàn)象的綜合、聯(lián)想能力也是有限的。3.3 非線性的特征還沒(méi)有有效的識(shí)別模型

入侵檢測(cè)技術(shù)的難度不僅僅在于入侵模式的提取，更在于入侵模式的檢測(cè)策略和算法。因?yàn)槿肭帜Ｊ绞且粋€(gè)靜態(tài)的事物，而現(xiàn)實(shí)的入侵活動(dòng)則是靈活多變的。有效的入侵檢測(cè)模型應(yīng)能夠受大的時(shí)間跨度和空間跨度。從技術(shù)上說(shuō)，入侵技術(shù)已經(jīng)發(fā)展到一定階段，而入侵檢測(cè)技術(shù)在理論上、模型上和實(shí)踐上還都沒(méi)有真正發(fā)展起來(lái)。在市場(chǎng)上能看得到的入侵檢測(cè)系統(tǒng)也都處在同一水平。

面對(duì)復(fù)雜的網(wǎng)絡(luò)入侵活動(dòng)，網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究不僅僅包括入侵技術(shù)的研究，更要重視建立入侵檢測(cè)策略和模型的理論研究。入侵檢測(cè)技術(shù)研究的主要內(nèi)容

網(wǎng)絡(luò)入侵檢測(cè)技術(shù)研究主要包括：網(wǎng)絡(luò)入侵技術(shù)研究、檢測(cè)模型研究、審計(jì)分析策略研究等。通過(guò)將這些技術(shù)組合起來(lái)，形成一個(gè)互動(dòng)發(fā)展的有機(jī)體。4.1 入侵技術(shù)研究

入侵技術(shù)研究包括三個(gè)部分：第一，密切跟蹤分析國(guó)際上入侵技術(shù)的發(fā)展，不斷獲得最新的攻擊方法。通過(guò)分析這些已知的攻擊方法來(lái)豐富預(yù)警系統(tǒng)的檢測(cè)能力。第二，加強(qiáng)并利用預(yù)警系統(tǒng)的審計(jì)、跟蹤和現(xiàn)場(chǎng)記錄功能，記錄并反饋異常事件實(shí)例。通過(guò)實(shí)例分析提取可疑的網(wǎng)絡(luò)活動(dòng)特征，擴(kuò)充系統(tǒng)的檢測(cè)范圍，使系統(tǒng)能夠應(yīng)對(duì)未知的入侵活動(dòng)。第三，利用攻網(wǎng)技術(shù)的研究成果，創(chuàng)造新的入侵方法，并應(yīng)用于檢測(cè)技術(shù)。4.2 檢測(cè)模型研究

對(duì)于預(yù)警系統(tǒng)來(lái)說(shuō)，檢測(cè)模型的確定是很重要的。由于入侵活動(dòng)的復(fù)雜性，僅僅依靠了解入侵方法還不能完全實(shí)現(xiàn)預(yù)警，還應(yīng)有適當(dāng)檢測(cè)模型與之配合。在預(yù)警技術(shù)研究中，入侵檢測(cè)模型是關(guān)鍵技術(shù)之一。4.3 審計(jì)分析策略研究

預(yù)警技術(shù)研究的另一個(gè)重點(diǎn)在于對(duì)審計(jì)數(shù)據(jù)的分析處理。其中包括：威脅來(lái)源的識(shí)別、企圖的判定、危害程度和能力的判斷等等。預(yù)警所產(chǎn)生的審計(jì)數(shù)據(jù)是檢測(cè)與預(yù)警的寶貴資源。這些審計(jì)數(shù)據(jù)可能是很大量的，如果缺乏有效的分析手段將會(huì)浪費(fèi)這一資源。結(jié)束語(yǔ)

入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測(cè)理應(yīng)受到人們的高度重視。但在國(guó)內(nèi)，隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來(lái)越多，迫切需要具有自主版權(quán)的入侵檢測(cè)產(chǎn)品。但現(xiàn)狀是入侵檢測(cè)僅僅停留在研究和實(shí)驗(yàn)樣品階段，或者是防火墻中集成較為初級(jí)的入侵檢測(cè)模塊。可見(jiàn)，入侵檢測(cè)產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來(lái)講，除了完善常規(guī)的、傳統(tǒng)的技術(shù)外，應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)應(yīng)用研究。

參考文獻(xiàn)

[1] 黃亞飛.防火墻技術(shù)與應(yīng)用.武漢：湖北教育出版社，2003 [2] 張小斌.網(wǎng)絡(luò)安全與黑客防范.北京：清華大學(xué)出版社，1999

第四篇：無(wú)線局域網(wǎng)入侵檢測(cè)協(xié)議分析論文

無(wú)線局域網(wǎng)入侵檢測(cè)系統(tǒng)的研究

【摘要】 自從20世紀(jì)90年代出現(xiàn)無(wú)線局域網(wǎng)以來(lái),由于WLAN具有多方面的優(yōu)點(diǎn),令其發(fā)展十分迅速,但在無(wú)線局域網(wǎng)蓬勃發(fā)展的同時(shí),安全問(wèn)題也越來(lái)越突出。本文先介紹了無(wú)線局域網(wǎng)的特點(diǎn)、IEEE802.11系列協(xié)議標(biāo)準(zhǔn)以及無(wú)線局域網(wǎng)中的固有漏洞,然后又介紹了常見(jiàn)的入侵方式,其次系統(tǒng)的介紹了入侵檢測(cè)的概念、基本原理、工作模式、分類及發(fā)展趨勢(shì),并闡述了各種局域網(wǎng)入侵檢測(cè)系統(tǒng)的關(guān)鍵技術(shù),并通過(guò)分析比較得出：無(wú)線局域網(wǎng)入侵檢測(cè)系統(tǒng)在設(shè)計(jì)上有別于有線入侵檢測(cè)系統(tǒng)。本文在深入分析了無(wú)線局域網(wǎng)技術(shù)以及常見(jiàn)入侵檢測(cè)技術(shù)的基礎(chǔ)上,針對(duì)無(wú)線局域網(wǎng)絡(luò)的特點(diǎn),提出了一個(gè)將協(xié)議分析和模式匹配相結(jié)合的無(wú)線入侵檢測(cè)系統(tǒng)模型。模式匹配算法具有快速簡(jiǎn)單的優(yōu)點(diǎn),在實(shí)際應(yīng)用中最為廣泛,但計(jì)算量大,檢測(cè)準(zhǔn)確性低,通過(guò)改進(jìn)模式匹配算法,取得了較好的結(jié)果。協(xié)議分析技術(shù)可以利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)攻擊的存在,通過(guò)層次化、格式化的無(wú)線網(wǎng)絡(luò)報(bào)文逐層分析,可提高檢測(cè)效率,并有效控制漏報(bào)率和誤報(bào)率。最后提出了該系統(tǒng)的框架和主要的流程步驟,對(duì)其中的關(guān)鍵模塊進(jìn)行了詳細(xì)設(shè)計(jì)。該系統(tǒng)利用Winpcap函數(shù)庫(kù)對(duì)無(wú)線傳輸數(shù)據(jù)進(jìn)行捕獲,然后利用解碼模塊對(duì)捕獲到...更多還原

【Abstract】 Wireless local area network has developed very rapidly since the 1990s for it’s many advantages, and at the same time, the security problem has become more and more remarkable.This paper firstly describes the characteristics of WLAN, protocol standards of IEEE802.11 series and the inherent vulnerability in the WLAN, then presents the common intrusion method, and at last, introduces the concept of intrusion detection, basic principles, work patterns, classification and trends, systematically.At...更多還原

【關(guān)鍵詞】 無(wú)線局域網(wǎng)； 入侵檢測(cè)； 協(xié)議分析；

【Key words】 wireless LAN； intrusion detection； protocol analysis；

【索購(gòu)全文】Q聯(lián)系Q：138113721 Q聯(lián)系Q: 139938848付費(fèi)即發(fā)

目錄 摘要 3-4 ABSTRACT 4-5 第一章 緒論 8-11

1.1 研究背景 8

1.2 無(wú)線入侵檢測(cè)技術(shù)研究現(xiàn)狀 8-10

1.3 本文主要研究?jī)?nèi)容和結(jié)構(gòu) 10-11 第二章 WLAN概述 11-18

2.1 WLAN標(biāo)準(zhǔn) 11-13

2.1.1 IEEE 802.11 11

2.1.2 IEEE 802.11b 11-12

2.1.3 IEEE 802.11a 12

2.1.4 IEEE 802.11g 12

2.1.5 IEEE 802.11i 12

2.1.6 IEEE 802.11n 12-13

2.2 WLAN的組成 13-14

2.3 WLAN組網(wǎng)方式 14-15

2.4 IEEE802.11協(xié)議分析 15-17

2.5 本章小結(jié) 17-18

第三章 無(wú)線局域網(wǎng)入侵檢測(cè)系統(tǒng) 18-28

3.1 無(wú)線局域網(wǎng)安全技術(shù) 18-19

3.1.1 MAC地址過(guò)濾和服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配 18

3.1.2 WEP協(xié)議 18

3.1.3 WPA技術(shù) 18-19

3.1.4 802.11i協(xié)議 19

3.2 WLAN常見(jiàn)的入侵方式 19-21

3.2.1 網(wǎng)絡(luò)竊聽(tīng) 19

3.2.2 假冒身份 19-20

3.2.3 拒絕服務(wù)攻擊 20

3.2.4 SSID猜解與誘騙 20

3.2.5 中間人攻擊 20-21

3.2.6 異常報(bào)文攻擊 21

3.2.7 重放攻擊 21

3.3 入侵檢測(cè)的概念 21-22

3.4 入侵檢測(cè)技術(shù) 22-27

3.4.1 入侵檢測(cè)的發(fā)展 22

3.4.2 入侵檢測(cè)的分類 22-27

3.5 本章小結(jié) 27-28

第四章 基于協(xié)議分析的入侵檢測(cè)系統(tǒng)設(shè)計(jì) 28-52

4.1 模式匹配與協(xié)議分析結(jié)合的入侵檢測(cè)方法 28-29

4.2 基于協(xié)議分析技術(shù)的檢測(cè)過(guò)程 29-31

4.2.1 協(xié)議分析樹(shù)的構(gòu)建 30-31

4.3 基于協(xié)議分析技術(shù)的入侵檢測(cè)體系結(jié)構(gòu) 31-32

4.4 檢測(cè)代理關(guān)鍵模塊設(shè)計(jì) 32-49

4.4.1 數(shù)據(jù)捕獲模塊 33-37

4.4.2 預(yù)檢測(cè)模塊 37-38

4.4.3 解碼模塊 38-42

4.4.4 規(guī)則解析模塊 42-43

4.4.5 協(xié)議分析模塊 43-44

4.4.6 模式匹配算法 44-47

4.4.7 改進(jìn)的BM算法 47-49

4.5 對(duì)常見(jiàn)攻擊的檢測(cè)效果分析 49-51

4.5.1 IP 攻擊 49-50

4.5.2 ICMP 攻擊 50

4.5.3 其他攻擊 50-51

4.6 本章小結(jié) 51-52 結(jié)論 52-53 參考文獻(xiàn)

第五篇：基于IPv6網(wǎng)絡(luò)安全的管理系統(tǒng)設(shè)計(jì)論文

0引言

當(dāng)前信息技術(shù)快速發(fā)展，網(wǎng)絡(luò)惡意攻擊行為更為頻繁，攻擊形式也日趨多樣化，如病毒、木馬、蠕蟲(chóng)等，網(wǎng)絡(luò)安全問(wèn)題更加突出，互聯(lián)網(wǎng)正面臨著新的安全形勢(shì)。實(shí)踐證明，實(shí)時(shí)分析并檢測(cè)網(wǎng)絡(luò)流是加強(qiáng)網(wǎng)絡(luò)安全的有效方法。入侵檢測(cè)系統(tǒng)（IDS）正是在這個(gè)背景下應(yīng)運(yùn)而生的。其可以對(duì)網(wǎng)絡(luò)環(huán)境狀況進(jìn)行積極主動(dòng)、實(shí)時(shí)動(dòng)態(tài)的檢測(cè)，作為一種新型網(wǎng)絡(luò)安全防范技術(shù)，在保障網(wǎng)絡(luò)安全方面發(fā)揮著重要的作用。入侵檢測(cè)系統(tǒng)主要通過(guò)判斷網(wǎng)絡(luò)系統(tǒng)中關(guān)鍵點(diǎn)是否正常運(yùn)轉(zhuǎn)以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)環(huán)境的檢測(cè)，其不但能夠有效地打擊網(wǎng)絡(luò)攻擊，還能夠保證信息安全基礎(chǔ)結(jié)構(gòu)完整，實(shí)施保護(hù)互聯(lián)網(wǎng)的安全。目前網(wǎng)絡(luò)安全機(jī)制正在從IPV4向IPV6過(guò)渡，網(wǎng)絡(luò)的安全性也在不斷增強(qiáng)，深入分析IPV6安全機(jī)制具有重要意義。

1IPv4向IPv6過(guò)渡中存在的問(wèn)題

IPv6安全機(jī)制是IPv4安全機(jī)制的強(qiáng)化，與IPv4相比，IPv6安全機(jī)制的網(wǎng)絡(luò)結(jié)構(gòu)更為復(fù)雜，應(yīng)用范圍更為廣闊，但是IPv4向IPv6的過(guò)渡不是一蹴而就的，在這個(gè)過(guò)渡過(guò)程中會(huì)出現(xiàn)一些嚴(yán)重的問(wèn)題，這就要求我們必須充分認(rèn)識(shí)IPv4向IPv6過(guò)渡中的問(wèn)題，盡量減小對(duì)網(wǎng)絡(luò)安全的不良影響。

1.1翻譯過(guò)渡技術(shù)

采用翻譯過(guò)渡技術(shù)，必須關(guān)注翻譯對(duì)數(shù)據(jù)包傳輸終端的破壞情況與網(wǎng)絡(luò)層安全技術(shù)不匹配這兩個(gè)問(wèn)題。保護(hù)網(wǎng)絡(luò)正常數(shù)據(jù)傳送是網(wǎng)絡(luò)層安全協(xié)議的主要職能，網(wǎng)絡(luò)層協(xié)議中的地址翻譯技術(shù)主要用于變更傳送數(shù)據(jù)的協(xié)議與地址，這就容易使網(wǎng)絡(luò)層協(xié)儀的地址翻譯與網(wǎng)絡(luò)安全協(xié)議出現(xiàn)沖突，使網(wǎng)絡(luò)環(huán)境的安全面臨威脅。

1.2隧道過(guò)渡技術(shù)

隧道過(guò)渡技術(shù)并不重視網(wǎng)絡(luò)安全，其自身特點(diǎn)也使網(wǎng)絡(luò)易遭受攻擊，安裝安全設(shè)備的網(wǎng)絡(luò)應(yīng)用隧道技術(shù)后，會(huì)影響原有的安全設(shè)備運(yùn)作，并且在數(shù)據(jù)經(jīng)過(guò)隧道時(shí)，隧道也不會(huì)檢查數(shù)據(jù)，這就給惡意的數(shù)據(jù)提供了進(jìn)入正常網(wǎng)絡(luò)的機(jī)會(huì)，嚴(yán)重威脅網(wǎng)絡(luò)安全。

1.3雙棧過(guò)渡技術(shù)

雙棧過(guò)渡技術(shù)是網(wǎng)絡(luò)層協(xié)議的一種，兩個(gè)網(wǎng)絡(luò)層協(xié)議在一臺(tái)主機(jī)上同時(shí)運(yùn)行是其特點(diǎn)。但是同時(shí)運(yùn)行的兩個(gè)網(wǎng)絡(luò)層協(xié)議在技術(shù)上并無(wú)聯(lián)系，而且容易出現(xiàn)運(yùn)作不協(xié)調(diào)的問(wèn)題，導(dǎo)致網(wǎng)絡(luò)安全存在漏洞，易被攻擊者利用。但是與翻譯過(guò)渡技術(shù)和隧道過(guò)渡技術(shù)比較，雙棧過(guò)渡技術(shù)的安全性能要優(yōu)于上邊的兩種技術(shù)，網(wǎng)絡(luò)安全性相對(duì)較高，有其自身優(yōu)勢(shì)。

2IPv6的特點(diǎn)

IPv6是一種新型互聯(lián)網(wǎng)協(xié)議，是IPv4互聯(lián)網(wǎng)協(xié)議的革新。IPv6可以有效解決IPv4中存在的漏洞與缺陷，其改進(jìn)方面主要體現(xiàn)在地址空間、IPSec協(xié)議、數(shù)據(jù)報(bào)頭結(jié)構(gòu)、服務(wù)質(zhì)量（QoS）方面。其中數(shù)據(jù)報(bào)頭結(jié)構(gòu)和IPSec協(xié)議是影響入侵檢測(cè)系統(tǒng)的主要方面。

2.1數(shù)據(jù)報(bào)頭結(jié)構(gòu)的更新

與IPv4數(shù)據(jù)報(bào)頭結(jié)構(gòu)相比，IPv6簡(jiǎn)化了IPv4的數(shù)據(jù)報(bào)頭結(jié)構(gòu)，IPv6的40節(jié)數(shù)據(jù)報(bào)頭結(jié)構(gòu)極大的提高了數(shù)據(jù)處理效率。此外，IPv6還增加了選項(xiàng)報(bào)頭、分段報(bào)頭、認(rèn)證報(bào)頭等多個(gè)擴(kuò)展報(bào)頭，入侵檢測(cè)系統(tǒng)必須首先解析IPv6報(bào)頭才能進(jìn)行協(xié)議分析。

2.2IPSec協(xié)議

與IPv4相比，IPv6中還應(yīng)用了IPSec協(xié)議，其可以有效實(shí)現(xiàn)網(wǎng)絡(luò)層端到端的安全服務(wù)，并且IPSec協(xié)議中的兩個(gè)安全封裝載荷和認(rèn)證頭協(xié)議可以自由組合。IPSec協(xié)議實(shí)質(zhì)上是對(duì)IPv6傳輸數(shù)據(jù)包的加密，這有利于提高數(shù)據(jù)傳輸過(guò)程的安全性，但是由于其對(duì)IPv6的報(bào)頭也進(jìn)行封裝，入侵檢測(cè)系統(tǒng)在進(jìn)行檢測(cè)時(shí)必須了解IPv6報(bào)頭的源地址和目的地址，否則難以進(jìn)行檢測(cè)行為，這嚴(yán)重影響了入侵檢測(cè)系統(tǒng)的正常運(yùn)行。

3IPv4、IPv6入侵檢測(cè)技術(shù)特點(diǎn)

以往技術(shù)多采用模式匹配技術(shù)，針對(duì)數(shù)據(jù)包和攻擊數(shù)據(jù)庫(kù)進(jìn)行匹配對(duì)應(yīng)是該模式的典型特點(diǎn)，這種模式特點(diǎn)是以數(shù)據(jù)庫(kù)對(duì)應(yīng)的情況來(lái)依次判斷是否存在網(wǎng)絡(luò)攻擊。而現(xiàn)在，檢測(cè)系統(tǒng)入侵的技術(shù)手段為BruteForce、Aho-Corasick-Boyer-Moore等典型模式匹配算法。被定義為識(shí)別并處理那些以IPv6網(wǎng)絡(luò)協(xié)議惡意使用網(wǎng)絡(luò)資源的攻擊者的技術(shù)，為IPv6入侵檢測(cè)技術(shù)。IPv6與IPv4有很大的區(qū)別，兩者在程序上不兼容，因此在這種情況下入侵技術(shù)的檢測(cè)變得問(wèn)題繁多。首先，兩種協(xié)議在數(shù)據(jù)報(bào)頭上變動(dòng)明顯，以往在IPv4上能用的檢測(cè)產(chǎn)品在IPv6上無(wú)法直接使用。在使用IPv4協(xié)議的情況下，TCP頭部緊緊連接著IP頭部，不僅如此，他們的長(zhǎng)度還是確定不變的。這樣的連接模式和設(shè)置使得檢測(cè)工作的開(kāi)展變得更加簡(jiǎn)便。然而，另一種協(xié)議方式即IPv6卻與此有很大的不同，它的這兩個(gè)頭部并不緊接，長(zhǎng)度也不固定，在其中間還往往會(huì)有別的擴(kuò)展頭部等。經(jīng)常見(jiàn)到的有路由選項(xiàng)頭部等。盡管該協(xié)議下，數(shù)據(jù)包對(duì)應(yīng)顯得很復(fù)雜，若是防火墻沒(méi)有完全讀懂?dāng)?shù)據(jù)包則會(huì)發(fā)生不能過(guò)濾的情況，這在某些時(shí)候使得入侵的檢測(cè)工作變得更加復(fù)雜。科研攻關(guān)人員目前已經(jīng)針對(duì)IPv6協(xié)議下的接口函數(shù)做出了相應(yīng)的科學(xué)的新改動(dòng)。其次，在進(jìn)行端到端的傳輸工作時(shí)，若為IPv6則IDS會(huì)由于無(wú)法解密而直接導(dǎo)致解讀不了數(shù)據(jù)，此時(shí)的IDS不能有效的繼續(xù)工作。雖然采取IDS數(shù)據(jù)包解密能夠較為有效的解決這一問(wèn)題，但這種解密情況下的安全又成了新的問(wèn)題，對(duì)其是否可靠，時(shí)間會(huì)給予準(zhǔn)確的答案。

3.1雙棧入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)

IPv6協(xié)議解碼功能是實(shí)現(xiàn)雙棧入侵檢測(cè)的關(guān)鍵性因素。協(xié)議解碼分析通常分為第二層、第三層。第二層主要是以太網(wǎng)，然而第三層的則大為不同，它不僅包含IPv4包類型，還同時(shí)兼有IPv6包類型，甚至還具有隧道方式。協(xié)議解碼在數(shù)據(jù)結(jié)構(gòu)、屬性的基礎(chǔ)上，注重?cái)?shù)據(jù)包對(duì)號(hào)入座，一一對(duì)應(yīng)。IPv6協(xié)議解碼功能如圖1所示。進(jìn)行協(xié)議解碼的首要步驟是抓包并解包，并且在解包時(shí)完善對(duì)應(yīng)信息包。分析各個(gè)模塊，以此判斷是何種包，區(qū)分?jǐn)?shù)據(jù)包是屬于IPv4還是屬于IPv6是至關(guān)重要的。在此之后，存檔以太網(wǎng)的源地址和目的地址，并在接下來(lái)的工作中進(jìn)行下一層解析，在第三層數(shù)據(jù)解析時(shí)包頭結(jié)構(gòu)是著重分析的對(duì)象。

3.2在IPv6環(huán)境中的NIDS模塊設(shè)計(jì)

數(shù)據(jù)采集、分析，然后是結(jié)果輸出，這三個(gè)方面組成了整個(gè)NIDS系統(tǒng)。對(duì)科學(xué)要求的CIDF規(guī)范完全符合。這個(gè)系統(tǒng)由數(shù)據(jù)包捕獲的各種模塊結(jié)合而成。

3.3NIDS模塊功能

（1）數(shù)據(jù)包捕獲模塊數(shù)據(jù)包捕獲模塊在整個(gè)系統(tǒng)中居于關(guān)鍵地位，它是系統(tǒng)的基礎(chǔ)，也是其重要組成部分。該模塊的具體作用在于從以太網(wǎng)上獲取數(shù)據(jù)包，根據(jù)實(shí)際情況和不同的系統(tǒng)，有相對(duì)性的捕獲，相比之下，捕獲方式會(huì)根據(jù)具體情況而有所不同。（2）協(xié)議解析模塊協(xié)議解析是該模塊的核心作用，該模塊對(duì)數(shù)據(jù)層層分析最終得到解析目的，在此基礎(chǔ)上分析是否有入侵情況以便進(jìn)行制止防御。（3）規(guī)則處理模塊提前制定的入侵規(guī)則存入庫(kù)中，它的多少直接影響著整個(gè)入侵系統(tǒng)的性能。規(guī)則設(shè)置的越多越完善，對(duì)于入侵行為的檢測(cè)就越精準(zhǔn)。（4）分析檢測(cè)模塊查證是否有入侵行為發(fā)生是該模塊兒的重要作用，該模塊和規(guī)則庫(kù)若匹配成功則證明系統(tǒng)正在遭受入侵。（5）存儲(chǔ)模塊存儲(chǔ)信息和數(shù)據(jù)包是該模塊的具體功能。有效儲(chǔ)存信息對(duì)于系統(tǒng)對(duì)入侵行為的分析具有極強(qiáng)的幫助作用，儲(chǔ)存的數(shù)據(jù)可供事后分析等。（6）響應(yīng)模塊響應(yīng)模塊是入侵行為的響應(yīng)處理，它的響應(yīng)能使防火墻及時(shí)對(duì)入侵行為進(jìn)行制止和防御，是系統(tǒng)防御不可或缺的盾牌。

引用：

[1]鄧生君，沈鑫，葉昭輝.一種基于IPv4/IPv6網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的框架設(shè)計(jì)[J].電子世界，2012.[2]肖長(zhǎng)水，謝曉堯.基于IPv6的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2007.