基于监控工具及入侵检测实时通讯以防治蠕虫设计.doc

基于监控工具及入侵检测实时通讯以防治蠕虫设计摘要：实时通讯软件可说是现今最热门的网络商品之一，也因此成为网络攻击的主要标的。攻击者利用恶作剧的社交工程（social engineering）技俩来欺骗计算机使用者下载能自我快速复制的蠕虫，开启病毒感染的档案或网络，或是在毫无防备的情况下安装恶意程序。因此该研究运用MSN Sniffer与入侵检测系统来防护实时通讯上蠕虫的攻击。 关键词：实时通讯( IM )；入侵检测；蠕虫；MSN Sniffer 中图分类号：TP311文献标识码：A文章编号：1009-3044(2012)15-3534-04 Based on the Monitoring Tools and Intrusion Detection Newsletters to Control Worms Design FENG Xin (Hunan Chemical Vocational Technical College, Zhuzhou 412011,China) Abstract：Instant Message software is popular of network goods, making it the main subject of Internet attacks. Attack is use the mischie? vous social engineering (social engineering) tricks to deceive computer users can download copies of the worm of self -fast, open-infected files or the Internet, Perhaps in the situation which does not guard against installs the malicious programs . this study use MSN Snifferintru sion detection and protection system to instant messaging IM-WORM avoid the attack. Key words: instant message;intrusion detection;worm;MSN Sniffer 随着因特网的普及应用，网络得以蔓延至各个家庭、个人，乃至于各大、中、小型企业及政府机构，随着网络使用人口的增加，因特网服务与流量也与之剧增，其中让世界各地最为喜爱的服务就是实时通讯，为什么它令人喜爱呢？是因为它具有以下几个特色： 图1网络架构图 1)实时性:IM之所以可以那么普遍最主要的原因就是其实时性的功能所致，能够让大家可以于第一时间内沟通，而不需要像传统e-mail之沟通方式一般，一来一返，往往都要耗上不少时间。 2）便利性:IM的另一项功能就是，当需要联络相关人员时，只要开启IM窗口哪位人员是否在在线都可以一目了然。减去了电话通知的费用，也更节省了时间。 3）娱乐性:现在的IM因为越来越受时下年轻人所喜爱，因此也推出了不少附加的娱乐功能，如表情符号、动画传递、自定义图像、视频功能等。 加上由于实时通讯应用的高普遍性且广受欢迎，使得安全攻击获得了拥有了极大的发展空间和破坏能力。丰富的功能是实时通讯吸引使用者的主要手段之一，但从安全的角度来讲，功能的丰富化恰恰是与严格的安全准则背道而驰的。作为一种为了最大化沟通能力而存在的应用系统，其认证机制和保护手段是相对比较薄弱的，很容易为恶意攻击行为所利用。 1相关文献研究 1.1 OMS简介 因此便有学者针对实时通讯蠕虫做一个警示系统，其系统主要是利用重新导向的方式对使用者发出警告该连结并不安全，以可降低使用者在不知情的情况下误点恶意连结。其系统的网络架构如图1，建立了一台观测与监控主机在路由器之前，使用两张网络卡，使得所有出入口的封包都必须经过该观测与监控主机，用来分析与判断封包内容。因此本研究即针对(点对点蠕虫防治研究-以实时通讯蠕虫防治为例)做了其改善的方式。此篇为了能够防御点对点蠕虫攻击所带来的钓鱼网站，构想出1个防御的方法，并且由一台观测主机，及网址黑名单的建立与DNS的配合来防治钓鱼网站。 首先需要架设观测主机，观测主机需能够发现出封包内是否有网址，如有网址出现的话就与白名单做比对，白名单是由一些网站需要用到账号密码登录的网页，记录下他们的1.IP地址、2.领域名称、3.CSS参数等三项数据的特征库。如果有进行比对后出现类似不符合以上三个条件的可疑网页，观测系统就会将此网页加入黑名单，并且将