導語：個人入侵檢測系統探究論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要

入侵檢測系統（IDS）可以對系統或網絡資源進行實時檢測，及時發現闖入系統或網絡的入侵者，也可預防合法用戶對資源的誤操作。本論文從入侵檢測的基本理論和入侵檢測中的關鍵技術出發,主要研究了一個簡單的基于網絡的windows平臺上的個人入侵檢測系統的實現(PIDS，PersonalIntrusionDetectionSystem)。論文首先分析了當前網絡的安全現狀，介紹了入侵檢測技術的歷史以及當前入侵檢測系統的關鍵理論。分析了Windows的網絡體系結構以及開發工具Winpcap的數據包捕獲和過濾的結構。最后在Winpcap系統環境下實現本系統設計。本系統采用異常檢測技術，通過Winpcap截取實時數據包，同時從截獲的IP包中提取出概述性事件信息并傳送給入侵檢測模塊，采用量化分析的方法對信息進行分析。系統在實際測試中表明對于具有量化特性的網絡入侵具有較好的檢測能力。最后歸納出系統現階段存在的問題和改進意見,并根據系統的功能提出了后續開發方向。

關鍵詞：網絡安全；入侵檢測；數據包捕獲；PIDS

1.1網絡安全概述

1.1.1網絡安全問題的產生

可以從不同角度對網絡安全作出不同的解釋。一般意義上，網絡安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”；控制安全則指身份認證、不可否認性、授權和訪問控制。

互聯網與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網絡環境為信息共享、信息交流、信息服務創造了理想空間，網絡技術的迅速發展和廣泛應用，為人類社會的進步提供了巨大推動力。然而，正是由于互聯網的上述特性，產生了許多安全問題：

(1)信息泄漏、信息污染、信息不易受控。例如，資源未授權侵用、未授權信息流出現、系統拒絕信息流和系統否認等，這些都是信息安全的技術難點。

(2)在網絡環境中，一些組織或個人出于某種特殊目的，進行信息泄密、信息破壞、信息侵權和意識形態的信息滲透，甚至通過網絡進行政治顛覆等活動，使國家利益、社會公共利益和各類主體的合法權益受到威脅。

(3)網絡運用的趨勢是全社會廣泛參與，隨之而來的是控制權分散的管理問題。由于人們利益、目標、價值的分歧，使信息資源的保護和管理出現脫節和真空，從而使信息安全問題變得廣泛而復雜。

(4)隨著社會重要基礎設施的高度信息化，社會的“命脈”和核心控制系統有可能面臨更大的威脅。

1.1.2網絡信息系統面臨的安全威脅

目前網絡信息系統面臨的安全威脅主要有:

(1)非法使用服務:這種攻擊的目的在于非法利用網絡的能力，網絡上的非授權訪問應該是不可能的。不幸的是，用于在網絡上共享資源及信息的工具、程序存在許多安全漏洞，而利用了這些漏洞就可以對系統進行訪問了。

(2)身份冒充;這種攻擊的著眼點在于網絡中的信任關系，主要有地址偽裝IP欺騙和用戶名假冒。

(3)數據竊取:指所保護的重要數據被非法用戶所獲取，如入侵者利用電磁波輻射或搭線竊聽等方式截獲用戶口令、帳號等重要敏感信息。

(4)破壞數據完整性:指通過非法手段竊得系統一定使用權限，并刪除、修改、偽造某些重要信息，以干擾用戶的正常使用或便于入侵者的進一步攻擊。

1.1.3對網絡個人主機的攻擊

對方首先通過掃描來查找可以入侵的機器，即漏洞探測；接著確定該機器的IP地址；然后利用相應的攻擊工具發起某種攻擊。

網絡嗅探，嗅探器是一種網絡監聽工具（如：sniffer），該工具利用計算機網絡接口可以截獲其他計算機的數據信息。嗅探器工作在網絡環境的底層，它會攔截所有正在網絡上傳送的數據，并且通過相應的軟件實時分析這些數據的內容，進而明確所處的網絡狀態和整體布局。在合理的網絡中，嗅探器對系統管理員而言至關重要，通過嗅探器可以監視數據流動情況以及網絡傳輸的信息，從而為管理員判斷網絡問題、管理網絡提供寶貴的信息。然而，如果黑客使用嗅探器，他可以獲得和系統管理員同樣重要而敏感的信息，（如：在某局域網上，嗅探器可以很輕松地截獲在網上傳送的用戶姓名、口令、信用卡號碼和帳號等)從而對網絡安全構成威脅。其工作原理是：在一個共享介質的網絡中(如以太網)，一個網段上的所有網絡接口均能訪問介質上傳輸的所有數據。每個網絡接口的硬件地址與其他網絡接口的硬件地址不同，同時每個網絡至少還有一個廣播地址。廣播地址并不對應于某個具體的網絡接口，而是代表所有網絡接口。當用戶發送數據時，這些數據就會發送到局域網上所有可用的機器。在一般情況下，網絡上所有的機器都可以“聽”到通過的流量，但對不屬于自己的數據的硬件地址不予響應。換句話說，工作站A不會捕獲屬于工作站B的數據，而是簡單地忽略這些數據。當發送者希望引起網絡中所有主機操作系統的注意時，他就使用“廣播地址”。因此，在正常情況下，一個合法的網絡接口應該只響應這樣兩種數據幀:一是幀的目標區域具有和本地網絡接口相匹配的硬件地址，二是幀的目標區域具有“廣播地址”。在接收到上面兩種情況的數據幀時，主機通過CPU產生硬件中斷，該中斷能引起操作系統注意，然后將幀中所包含的數據傳送給系統作進一步處理。而嗅探器就是一種能將本地計算機狀態設成“混雜(Promiscuous)”狀態的軟件，當本機處于這種方式時，該機具備“廣播地址”，它對所有遭遇到的每一個幀都產生硬件中斷以便提醒操作系統處理流經該網段的每一報文包。在該方式下，網絡接口就可以捕獲網絡上所有數據幀，從而可以達到監聽的目的。拒絕服務攻擊(DenialofService，簡稱DoS)，是指占據大量的共享資源（如：處理器、磁盤空間、CPU、打印機），使系統沒有剩余的資源給其他用戶，從而使服務請求被拒絕，造成系統運行遲緩或癱瘓。其攻擊目的是為完成其他攻擊做準備。其攻擊原理是：在拒絕服務攻擊中，惡意用戶向服務器傳送眾多要求確認的信息，使服務器里充斥著這種無用的信息。所有這些請求的地址都是虛假的，以至于服務器試圖回傳時，卻無法找到用戶。服務器于是暫時等候，有時超過一分鐘，然后再切斷連接。服務器切斷連接后，攻擊者又發送新一批虛假請求，該過程周而復始，最終使網站服務器充斥大量要求回復的信息，消耗網絡帶寬或系統資源，導致網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。典型的DOS攻擊技術，如TCP/SYN攻擊，該攻擊作為一種拒絕服務攻擊存在的時間己經有20多年了。但是，隨著技術的不斷進步，SYN攻擊也不斷被更多黑客所了解并利用。其原理是基于連接時的三次握手，如果黑客機器發出的包的源地址是一個虛假的IP地址，ISP主機發出的確認請求包ACK/SYN就找不到目標地址，如果這個確認包一直沒找到目標地址，那么也就是目標主機無法獲得對方回復的ACK包。而在缺省超時的時間范圍內，主機的一部分資源要花在等待這個ACK包的響應上，假如短時間內主機接到大量來自虛假IP地址的SYN包，它就要占有大量的資源來處理這些錯誤的等待，最后的結果就是系統資源耗盡以致癱瘓。

特洛伊木馬來源于希臘神話，講述的是通過木馬血屠特洛伊城的故事。這一故事形象地說明了木馬程序的特點。在計算機安全學中，特洛伊木馬指的是一種計算機程序，它表面上具有某種有用的功能，實際上卻隱藏著可以控制用戶計算機系統，危害系統安全的破壞性指令，特洛伊木馬代表了一種程度較高的危險。當這種程序進入系統后，便有可能給系統帶來危害。在特洛伊木馬程序中插入的代碼在別的程序中依然能存在，但只在藏身的程序中進行破壞性活動。代碼能夠在主程序的特權范圍內從事任何破壞行為，使用自身或者其他程序進行操作。其工作原理實質是，特洛伊木馬只是一個網絡客戶/服務程序。網絡客戶/服務模式的原理是一臺主機(服務器)提供服務，另一臺主機(客戶機)接受服務。作為服務器的主機一般會打開一個默認的端口并進行監聽，如果有客戶機向服務器這一端口提出連接請求，服務器上的相應程序就會自動運行，來應答客戶機的請求，此程序稱為守護進程。對于木馬來說，被控制端是一臺服務器，控制端則是一臺客戶機。黑客經常用欺騙手段引誘目標對象運行服務器端程序，黑客一旦成功地侵入了用戶的計算機后，就會在計算機系統中隱藏一個會在Windows啟動時悄悄運行的程序，采用服務器/客戶機的運行方式，從而達到在用戶上網時控制用戶計算機的目的。