论文-基于扫描攻击的入侵检测系统.docVIP

基于扫描攻击的入侵检测系统 目 录 摘 要 前 言 第一章 网络攻击概述 1.1什么是网络攻击 1.2 网络攻击类型 1.3 端口扫描攻击 第二章 入侵检测系统 2.1 什么入侵检测系统 2.2 入侵检测技术 2.3 入侵检测的发展历史 2.4 入侵检测的发展趋势 第三章 Winpcap以及libnids简介 3.1Winpcap开发包简介 3.2 libnids开发包简介 第四章 实例 结 论 参考文献 摘要 随着Internet高速发展，个人、企业以及政府部门越来越多地依靠网络传递信息, 然而网络的开放性与共享性容易使它受到外界的攻击与破坏,信息的安全保密性受到严重影响。网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。每年全球因计算机网络的安全问题而造成的经济损失高达数百亿美元，且这个数字正在不断增加传统的加密和防火墙技术等被动防范技术已经不能完全满足现今的安全需要，想要保证网络信息和网络秩序的安全，就必须要更强有力和更完善的安全保护技术近年来，入侵检测技术以其强有力的安全保护功能进入了人们的视野，也在研究领域形成了热点、利用型攻击口令猜测：一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号，成功的口令猜测能提供对机器控制。特洛伊木马 ：特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。缓冲区溢出 ：由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。 、信息收集型攻击口令猜测：一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号，成功的口令猜测能提供对机器控制。 特洛伊木马 ：特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。 缓冲区溢出 ：由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。 、假消息攻击DNS高速缓存污染 ：由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。 伪造电子邮件 ：由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。 常见端口详解及部分攻击策略?端口可分为3大类：?1）?公认端口（Well?Known?Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服?务的协议。例如：80端口实际上总是HTTP通讯。?2）?注册端口（Registered?Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。?3）?动态和/或私有端口（Dynamic?and/or?Private?Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。?(Intrusion Detection System，简称IDS)是指监视(或者在可能的情况下阻止)入侵或者试图控制你的系统或者网络资源的行为的系统，是防火墙的合理补充。帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干个关键点收集信息，并分析这些信息，检测网络中是否有违反安全策略的行为和遭到袭击的迹象。它的作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。作为监控和识别攻击的标准解决方案，IDS系统已经成为安防体系的重要组成部分。IDS系统以后台进程的形式运行。发现可疑情况，立即通知有关人员。 作为分层安全中日益被越普遍采用的成分，入侵检测系统能有效地提升黑客进入网络系统的门槛。入侵检测系统能够通过向管理员发出入侵或者入侵