基于Windows操作系统入侵检测系统设计.docVIP

基于Windows操作系统入侵检测系统设计 　　摘要:入侵检测是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件便是入侵检测系统。本文对入侵检测进行了的分析,探讨了基于Windows操作系统的入侵检测系统设计。 　　关键词:入侵检测;安全策略;系统设计 　　 　　1入侵检测系统主要功能及通用模型 　　 　　一个合格的入侵检测系统能大大简化安全管理员的工作,保证网络安全的运行。具体说来,入侵检测系统的主要功能有以下几点:监测并分析用户和系统的活动;核查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并识别违反安全策略的用户活动。 　　一个入侵检测系统(IDS)的通用模型。它将一个入侵检测系统分为以下组件:事件产生器(Event Generators);事件分析器(Event Analyzers);响应单元(Response Units);事件数据库(Event Databases) 　　CIDF将IDS需要分析的数据称为事件(event),它可以是网络中的数据包,也可以是从系统日志等其他路径得到的消息。入侵检测的通用模型见图1: 　　 　　2 入侵检测的系统数据流程及模块划分 　　 　　入侵检测系统的主要功能就是通过采集网络数据对数据进行分析,发现入侵则进行实时报警且进行日志记录,并且能够动态配置检测规则,将配置信息记录在数据库中。数据流图如图2所示。 　　预处理实现数据分析中的一个预处理功能,即根据目标主机的IP地址将检测的规则分组,并将采集到的网络数据包分发为所属分组。系统的数据、预处理、检测规则等的初始化都是在捕获数据包前进行的。一旦初始化完毕,那么就开始捕获数据包,每收到一个数据包都会首先调用预处理程序中的函数进行处理后,再调用规则函数。即首先根据数据包的协议类型定位规则函数,其次调用规则函数进行规则的逐一匹配,即首先匹配规则头,若匹配则继续匹配规则选项,若不匹配,直接匹配下一条规则。本系统采用模块化设计方法,依据入侵子系统的功能需求和系统结构将系统划分成如下功能模块,如图3: 　　各模块功能如下: 　　采集模块:网络数据采集与包过滤。 　　分析模块:对数据包进行包分析和模式匹配、判断网络入侵。 　　响应模块:控制台屏幕报警、控制台警报报警、发送警报由防火墙阻断攻击。 　　系统管理模块:控制系统的启动和系统的停止。 　　系统设置模块:配置入侵检测策略。 　　日志管理模块:记录系统日志和记录网络攻击日志:读取日志、分析日志和归类综合日志内容。 　　帮助模块:提供入侵检测系统的一些帮助文档。 　　 　　3 基于WinPcap伯克利开发包的网络数据包截获 　　 　　WinPcap是面向Win32平台的进行数据包捕获和网络分析的一个架构。它包括一个核心层的数据包过滤器,一个底层的动态连接库(packet.d 11)和一个高层并且系统独立的动态连接库(wpcap.dll)。数据包捕获是一个面向底层的机制,它需要与网络适配器、操作系统、特别是网络应用程序进行严格的交互。 　　NPF (Netgroup Packet Filter)是WinPcap的核心部分。它的主要功能就是捕获数据包,还可以发送数据包、存储数据包以及对网络进行统计分析。NPF工作在内核层,有一个网络转发部件,从网卡驱动程序收集网络数据包,即可以发送给过滤部件,对网络数据包进行过滤,也可以发给统计部件,对网络进行统计分析,还可以发送给存储部件,把网络数据包直接存储到磁盘。数据包在NPF中使用了缓存机制,主要是为了提高效率和速度。 　　NPF和NDIS(Network Driver Interface Specification)有密切的关系。NDIS是一个标准,它定义了网络适配器(确切地说,是管理网络适配器的驱动程序)和协议驱动程序之间的通信规范。NDIS的主要目的是使协议驱动程序独立于网络适配器的特殊性和Win32操作系统的特殊性来接收网络上的数据包或发送数据包到网络上。 　　Winpcap使用NPF部件捕获数据包。为了用户层的应用程序能利用核心驱动程序所提供的服务,还提供一个接口。WinPcap提供了两种不同的动态连接库:packet.dll和wpcap.dll来提供这种服务。packet.dll提供了一个底层的API使用这个独立于微软操作系统的编程接口即可直接访问核心驱动程序提供的功能。wpcap.dll提供了一个更加强大的用于高层捕获的函数子集,它和libpcap,并允许以一种独立于下层的网络硬件和操作系统的方式来捕获数据包。 　　本系统就是运用了wpcap.dll实现了高层的数据包捕获。通过调用一系列的wpcap.d