基于Windows操作系统的入侵检测系统设计.pdfVIP

2Q Q：L—— ChinaNewFechnologiesant]Products 信 息技 术 基于Windows操作系统的入侵检测系统设计 赵妙 军 (杭州师范大学钱江学院计算机科学与技术专业，浙江 杭州 310012) 摘 妻：入侵检测是一种用于硷测计算机 网络中违反安全策略行为的技术。进行入侵检测的软件与硬件便是入侵检测系统．．本文对入 侵检测进行了的分析，探讨了基于wind0ws操作系统的入侵检测系统设计。 关键词：入侵检测；安全策略；系统设计 l入侵检测系统主要功能及通羽模型 系统采用模块化设计方法，依据入侵子系统的 的服务，还提供一个接口。WinPcap提供了两种 合格的入侵检测系统能大大简化安全 功能需求和系统结构将系统划分成如下功能模 不同的动态连接库：packet．dll和wpcap．dll来提 管理员的工作 ，保证网络安全的运行。具体说 块，如图3： 供这种服务。packet．dll提供了一个底层的API 来，入侵检测系统的主要功能有以下几点：监测 使用这个独立于微 朵作系统的编程接口即可 并分析用户和系统的活动；核查系统配置和漏 直接访问核心驱动程序提供的功能。wpcap．dll 洞；评估系统关键资源和数据文件的完整性；识 提供了一个更加强大的用于高层捕获的函数子 别已知的攻击行为；统汁分析异常行为；操作系 集，它和libpeap，并允许以一种独立于下层的网 统日志管理，并识别违反安全策略的用户活动。 络硬件和操作系统的方式来捕获数据包。 — 个人侵检测系统(IDS)的通，}手I模型。它将 本系统就是运用了wpca~dll实现了高层 一 个入侵检测系统分为以下组件：事件产生器 的数据包捕获。通过调用一系列的wpcap．dll函 (EventGenerators)；事件分析器(EventAnalyz— 数 ，实现数据包采集工作。过程如下：首先调用函 ers)；响应单元 (ResponseUnits)；事件数据库 图3系统功能模块 数 pcapfindalldevsex0获得本机网卡名，接着 ventDatabases) 各模块功能如下： 调用函数 pcap_open0获得网长句柄 ，最后调用 CIDF将 IDS需要分析的数据称为事件 采集模块：网络数据采集与包过滤。 函数pcap_nextex0获得网络数据包句柄，接收 (event)，它可以是网络中的数据包，也町以足从 分析模块：对数据包进行包分析和模式匹 网络数据包。出丁数据分析时只需要IP包，所 系统日志等其他路径得到的消息。入侵检测的 配、判断网络人侵。 以数据采集只接收IP包，其它数据包则丢弃。 通用模型见 】： 响应模块：控制台屏幕报警、控制台警报报 4异常检测与误用检测综合运用的检测技 警、发送警报由防火墙阻断攻击。 术 系统管理模块：控制系统的启动和系统的 木系统基于误用检测的实现：事件判决引 停止。 擎依据协议解码器提交的网络协议数据进行分