個人入侵檢測系統(tǒng)的實現(xiàn)_第1頁
個人入侵檢測系統(tǒng)的實現(xiàn)_第2頁
個人入侵檢測系統(tǒng)的實現(xiàn)_第3頁
個人入侵檢測系統(tǒng)的實現(xiàn)_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、個人入侵檢測系統(tǒng)的實現(xiàn)摘要入侵檢測系統(tǒng)IDS可以對系統(tǒng)或網(wǎng)絡(luò)資源進展實時檢測,及時發(fā)現(xiàn)闖入系統(tǒng)或網(wǎng)絡(luò)的入侵者,也可預(yù)防合法用戶對資源的誤操作。本論文從入侵檢測的根本理論和入侵檢測中的關(guān)鍵技術(shù)出發(fā),主要研究了一個簡單的基于網(wǎng)絡(luò)的inds平臺上的個人入侵檢測系統(tǒng)的實現(xiàn)(PIDS,PersnalIntrusinDetetinSyste)。論文首先分析了當前網(wǎng)絡(luò)的平安現(xiàn)狀,介紹了入侵檢測技術(shù)的歷史以及當前入侵檢測系統(tǒng)的關(guān)鍵理論。分析了inds的網(wǎng)絡(luò)體系構(gòu)造以及開發(fā)工具inpap的數(shù)據(jù)包捕獲和過濾的構(gòu)造。最后在inpap系統(tǒng)環(huán)境下實現(xiàn)本系統(tǒng)設(shè)計。本系統(tǒng)采用異常檢測技術(shù),通過inpap截取實時數(shù)據(jù)包,同時

2、從截獲的IP包中提取出概述性事件信息并傳送給入侵檢測模塊,采用量化分析的方法對信息進展分析。系統(tǒng)在實際測試中說明對于具有量化特性的網(wǎng)絡(luò)入侵具有較好的檢測才能。最后歸納出系統(tǒng)現(xiàn)階段存在的問題和改良意見,并根據(jù)系統(tǒng)的功能提出了后續(xù)開發(fā)方向。關(guān)鍵詞:網(wǎng)絡(luò)平安;入侵檢測;數(shù)據(jù)包捕獲;PIDS1.1網(wǎng)絡(luò)平安概述1.1.1網(wǎng)絡(luò)平安問題的產(chǎn)生可以從不同角度對網(wǎng)絡(luò)平安作出不同的解釋。一般意義上,網(wǎng)絡(luò)平安是指信息平安和控制平安兩局部。國際標準化組織把信息平安定義為“信息的完好性、可用性、保密性和可靠性;控制平安那么指身份認證、不可否認性、受權(quán)和訪問控制?;ヂ?lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信

3、息共享、開放、靈敏和快速等需求得到滿足。網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息效勞創(chuàng)造了理想空間,網(wǎng)絡(luò)技術(shù)的迅速開展和廣泛應(yīng)用,為人類社會的進步提供了宏大推動力。然而,正是由于互聯(lián)網(wǎng)的上述特性,產(chǎn)生了許多平安問題:(1)信息泄漏、信息污染、信息不易受控。例如,資源未受權(quán)侵用、未受權(quán)信息流出現(xiàn)、系統(tǒng)回絕信息流和系統(tǒng)否認等,這些都是信息平安的技術(shù)難點。(2)在網(wǎng)絡(luò)環(huán)境中,一些組織或個人出于某種特殊目的,進展信息泄密、信息破壞、信息侵權(quán)和意識形態(tài)的信息浸透,甚至通過網(wǎng)絡(luò)進展政治顛覆等活動,使國家利益、社會公共利益和各類主體的合法權(quán)益受到威脅。(3)網(wǎng)絡(luò)運用的趨勢是全社會廣泛參與,隨之而來的是控制權(quán)分散的

4、管理問題。由于人們利益、目的、價值的分歧,使信息資源的保護和管理出現(xiàn)脫節(jié)和真空,從而使信息平安問題變得廣泛而復(fù)雜。(4)隨著社會重要根底設(shè)施的高度信息化,社會的“命脈和核心控制系統(tǒng)有可能面臨更大的威脅。1.1.2網(wǎng)絡(luò)信息系統(tǒng)面臨的平安威脅目前網(wǎng)絡(luò)信息系統(tǒng)面臨的平安威脅主要有:(1)非法使用效勞:這種攻擊的目的在于非法利用網(wǎng)絡(luò)的才能,網(wǎng)絡(luò)上的非受權(quán)訪問應(yīng)該是不可能的。不幸的是,用于在網(wǎng)絡(luò)上共享資源及信息的工具、程序存在許多平安破綻,而利用了這些破綻就可以對系統(tǒng)進展訪問了。(2)身份冒充;這種攻擊的著眼點在于網(wǎng)絡(luò)中的信任關(guān)系,主要有地址假裝IP欺騙和用戶名假冒。(3)數(shù)據(jù)竊取:指所保護的重要數(shù)據(jù)被

5、非法用戶所獲取,如入侵者利用電磁波輻射或搭線竊聽等方式截獲用戶口令、帳號等重要敏感信息。(4)破壞數(shù)據(jù)完好性:指通過非法手段竊得系統(tǒng)一定使用權(quán)限,并刪除、修改、偽造某些重要信息,以干擾用戶的正常使用或便于入侵者的進一步攻擊。1.1.3對網(wǎng)絡(luò)個人主機的攻擊對方首先通過掃描來查找可以入侵的機器,即破綻探測;接著確定該機器的IP地址;然后利用相應(yīng)的攻擊工具發(fā)起某種攻擊。網(wǎng)絡(luò)嗅探,嗅探器是一種網(wǎng)絡(luò)監(jiān)聽工具如:sniffer,該工具利用計算機網(wǎng)絡(luò)接口可以截獲其他計算機的數(shù)據(jù)信息。嗅探器工作在網(wǎng)絡(luò)環(huán)境的底層,它會攔截所有正在網(wǎng)絡(luò)上傳送的數(shù)據(jù),并且通過相應(yīng)的軟件實時分析這些數(shù)據(jù)的內(nèi)容,進而明確所處的網(wǎng)絡(luò)狀態(tài)

6、和整體布局。在合理的網(wǎng)絡(luò)中,嗅探器對系統(tǒng)管理員而言至關(guān)重要,通過嗅探器可以監(jiān)視數(shù)據(jù)流動情況以及網(wǎng)絡(luò)傳輸?shù)男畔?,從而為管理員判斷網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)提供珍貴的信息。然而,假如黑客使用嗅探器,他可以獲得和系統(tǒng)管理員同樣重要而敏感的信息,如:在某局域網(wǎng)上,嗅探器可以很輕松地截獲在網(wǎng)上傳送的用戶姓名、口令、信譽卡號碼和帳號等)從而對網(wǎng)絡(luò)平安構(gòu)成威脅。其工作原理是:在一個共享介質(zhì)的網(wǎng)絡(luò)中(如以太網(wǎng)),一個網(wǎng)段上的所有網(wǎng)絡(luò)接口均能訪問介質(zhì)上傳輸?shù)乃袛?shù)據(jù)。每個網(wǎng)絡(luò)接口的硬件地址與其他網(wǎng)絡(luò)接口的硬件地址不同,同時每個網(wǎng)絡(luò)至少還有一個播送地址。播送地址并不對應(yīng)于某個詳細的網(wǎng)絡(luò)接口,而是代表所有網(wǎng)絡(luò)接口。當用戶發(fā)

7、送數(shù)據(jù)時,這些數(shù)據(jù)就會發(fā)送到局域網(wǎng)上所有可用的機器。在一般情況下,網(wǎng)絡(luò)上所有的機器都可以“聽到通過的流量,但對不屬于自己的數(shù)據(jù)的硬件地址不予響應(yīng)。換句話說,工作站A不會捕獲屬于工作站B的數(shù)據(jù),而是簡單地忽略這些數(shù)據(jù)。當發(fā)送者希望引起網(wǎng)絡(luò)中所有主機操作系統(tǒng)的注意時,他就使用“播送地址。因此,在正常情況下,一個合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣兩種數(shù)據(jù)幀:一是幀的目的區(qū)域具有和本地網(wǎng)絡(luò)接口相匹配的硬件地址,二是幀的目的區(qū)域具有“播送地址。在接收到上面兩種情況的數(shù)據(jù)幀時,主機通過PU產(chǎn)僵硬件中斷,該中斷能引起操作系統(tǒng)注意,然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)作進一步處理。而嗅探器就是一種能將本地計算機狀態(tài)設(shè)成

8、“混雜(Prisuus)狀態(tài)的軟件,當本機處于這種方式時,該機具備“播送地址,它對所有遭遇到的每一個幀都產(chǎn)僵硬件中斷以便提醒操作系統(tǒng)處理流經(jīng)該網(wǎng)段的每一報文包。在該方式下,網(wǎng)絡(luò)接口就可以捕獲網(wǎng)絡(luò)上所有數(shù)據(jù)幀,從而可以到達監(jiān)聽的目的?;亟^效勞攻擊(DenialfServie,簡稱DS),是指占據(jù)大量的共享資源如:處理器、磁盤空間、PU、打印機,使系統(tǒng)沒有剩余的資源給其他用戶,從而使效勞懇求被回絕,造成系統(tǒng)運行緩慢或癱瘓。其攻擊目的是為完成其他攻擊做準備。其攻擊原理是:在回絕效勞攻擊中,惡意用戶向效勞器傳送眾多要求確認的信息,使效勞器里充滿著這種無用的信息。所有這些懇求的地址都是虛假的,以致于效勞

9、器試圖回傳時,卻無法找到用戶。效勞器于是暫時等候,有時超過一分鐘,然后再切斷連接。效勞器切斷連接后,攻擊者又發(fā)送新一批虛假懇求,該過程周而復(fù)始,最終使網(wǎng)站效勞器充滿大量要求回復(fù)的信息,消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源,導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負荷以致于癱瘓而停頓提供正常的網(wǎng)絡(luò)效勞。典型的DS攻擊技術(shù),如TP/SYN攻擊,該攻擊作為一種回絕效勞攻擊存在的時間己經(jīng)有20多年了。但是,隨著技術(shù)的不斷進步,SYN攻擊也不斷被更多黑客所理解并利用。其原理是基于連接時的三次握手,假如黑客機器發(fā)出的包的源地址是一個虛假的IP地址,ISP主機發(fā)出確實認懇求包AK/SYN就找不到目的地址,假如這個確認包一直沒找到目的地址,那么

10、也就是目的主機無法獲得對方回復(fù)的AK包。而在缺省超時的時間范圍內(nèi),主機的一局部資源要花在等待這個AK包的響應(yīng)上,假設(shè)短時間內(nèi)主機接到大量來自虛假IP地址的SYN包,它就要占有大量的資源來處理這些錯誤的等待,最后的結(jié)果就是系統(tǒng)資源耗盡以致癱瘓。特洛伊木馬來源于希臘神話,講述的是通過木馬血屠特洛伊城的故事。這一故事形象地說明了木馬程序的特點。在計算機平安學(xué)中,特洛伊木馬指的是一種計算機程序,它外表上具有某種有用的功能,實際上卻隱藏著可以控制用戶計算機系統(tǒng),危害系統(tǒng)平安的破壞性指令,特洛伊木馬代表了一種程度較高的危險。當這種程序進入系統(tǒng)后,便有可能給系統(tǒng)帶來危害。在特洛伊木馬程序中插入的代碼在別的程序中仍然能存在,但只在藏身的程序中進展破壞性活動。代碼可以在主程序的特權(quán)范圍內(nèi)從事任何破壞行為,使用自身或者其他程序進展操作。其工作原理本質(zhì)是,特洛伊木馬只是一個網(wǎng)絡(luò)客戶/效勞程序。網(wǎng)絡(luò)客戶/效勞形式的原理是一臺主機(效勞器)提供效勞,另一臺主機(客戶機)承受效勞。作為效勞器的主機一般會翻開一個默認的端口并進展監(jiān)聽,假如有客戶機向效勞器這一端口提出連接懇求,效勞器上的相應(yīng)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論