基于Libpcap和Libnids的网络入侵检测系统（NIDS）设计与实现.pdfVIP

维普资讯 56 福 建 电 脑 2005年第 5期 基于Libpcap和Libnids的网络入侵检测系统(NIDS) 设计与实现 陈志坚 常 佶 (内蒙古工业大学信息工程学院 内蒙古呼和浩特 010062) 摘【 要】 本中设计并实现了一种在 RedhatLinux操怍系统下基于LibpcaP、Libn1ds和Boyer-Moore算 法的网络入侵检测系统，重点阐述 了该系统的体系结构，入侵规则库的建立，基于BPF过滤机制的LibpcaP数据包捕获 技术．利用 L1bn1ds实现 IP分片重组和TCP流重组技术，以及网络入侵检测系统中字符匹配Boyer-Moore算法等 关键技术。 【关键宇】 网络入缦检测 11bpcaP 11bn1ds Boyer—Moore算法 1 引言 rulename pmlocol source_ port destination_ port dala_ pallem 随着网络技术的飞速发展．网络给我们的生活和工作带来 (规则名 (协议) (潦端 口) (日标端 口 (数据匹配内窖 便利的同时．计算机病毒的扩散、网络入侵事件的频繁发生 ．这 CGI-phfC(VE-1999-O067) tep 80 ／cgi-bin／phf 些使得网络安全的重要性越发显现出来。单纯依靠一些静态的 安全技术如防火墙、数据加密、口令身份认证、基于IPSee的 D0S—TnOO-kilhne Icp 27665 “killme“ VPN技术等难以保证网络的安全。于是 ．入侵检测作为继防火 IrFrP-ApaeheDOS tep 80 “I2I2I2I2I2I2I2n” 墙 、数据加密等传统安全技术之后的新一代安全保证技术出现． B1BackOrifi udp 31337 它是一种动态安全保障技术 。它实时监视计算机系统或网络系 统中发生的事件，并对这些事件进行分析，看看是否有危及机密 表 1 入侵规则库 入侵规则库说明。其中． 性、完整性、可用性或违反安全策略的行为和遭受到黑客攻击的 (1)rule—name(规则名1：定义入侵规则的名称 ，名称从字面上 迹象。 可以反映攻击行为。规则以一行为单位．一行表示一条入侵检 2 网络人侵检测系统的设计与实现 测规则，规则项之问用空格或跳格键分开。 2．1系统设计及系统结构 (2)protocol(协议)：这里的协议主要包括 tcp、udp、icmp。 本文采用了CommonIntrusionDetectionFramefCIDn一一 (3)SOUl~e—port(源端 口)：主要定义的是通过top、udp传输 通用入侵检测框架对 IDS的模块化处理思想，CIDF把一个入侵 的应用层的端 口。 检测系统划分为四个相对独立的模块：事件