【PHP开源代码栏目提醒】:网学会员在PHP开源代码频道为大家收集整理了“利用开放源代码组建基于Windows的网络入侵检测系统 - 会议论文“提供大家参考,希望对大家有所帮助!
厦门市科学技术协会第四届青年学术年会
论文集利用开放源
代码组建基于Windows的网络入侵检测系统 蔡贤家‘,吴锦林 (厦门大学计算机与信息工程学院)摘要:现代网络的发展正以成倍的速度发展,网络已经成为A-4tl生活中的一部分,网络的安全越来越受到人们的重视。
我们有必要建立一个健全的网络安全框架,设计一个有效的网络安全解决方案。
除了防火墙和杀毒系统的防护,入侵检测技术也成为抵御网络攻击的有效方式。
本文通过论述利用互联网上免费获得的开放源
代码软件建立一个完整的网络入侵检测系统(NIDS)的解决方案。
关键词:开放源
代码;网络入侵检测系统;Winpcap;Snort;ACID 入侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。
它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
进行人侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。
从最原始的功能定义讲,IDS是对防火墙的必要补充,可对系统或网络资源进行实时检测,及时发现入侵者,也可预防合法用户对资源的误操作,IDS与其他安全产品构筑出了立体的防御体系。
应该说,其存在非常有价值。
如果将防火墙比喻为保护数字家园的“门锁”,那么,IDS就是逡巡在数字家园中的“红外探头”,它能发现异常进入者,并及时报警;与防火墙、VPN联动的IDS,还能向它们发出指令,一旦有异常入侵,迅速“锁死”大门。
总而言之,通过建立入侵检测系统可以实时的对网络中的数据进行监控和预警,对非法用户的网络入侵做出快速的反应措施,以防御网络中的资源受到破坏或者重要的数据被窃取。
1入侵检测系统的发展史 从入侵检测概念的提出到推出商品化产品、走向市场并获得广泛认同,入侵检测系统(IDS)已经走过了20多年的风雨坎坷路。
1980年4月,James P.Anderson为美国空军做了一份题为《Computer Security Threat Monitoring andSurveillance))(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念。
从1984年到1986年乔治敦大学的Dorothy Denning和SRI/CSL(SRI公司计算机科学实验窒)的PeterNeumann研究出了一个实时入侵检测系统模型,取名为ⅢEs(入侵检测专家系统)。
1988年,SRI/CSL的Teresa Ltmt等人改进了Denning的入侵检测模型,并开发出了一个ⅢES。
1990年是入侵检测系统发展史上的一个分水岭。
这一年,加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(Network Security Monitor)。
入侵检测系统的发展史也因此翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS。
从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。
·作者简介:蔡贤家(1980一).男.本科生(科协会员号:5920凹1008) 通讯地址:厦门大学汁算机与信息工程学院。
351005 ·252· 厦门市科学技术协会第四届青年学术年会
论文集2入侵检测系统的功能及其分类 与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得 出有用的结果。
一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。
具体说来,入侵检测系统的主要功能有: a.监测并分析用户和系统的活动; b.核查系统配置和漏洞: C.评估系统关键资源和数据文件的完整性; d.识别已知的攻击行为; e.统计分析异常行为; f.操作系统日志管理,并识别违反安全策略的用户活动 目前市场上的IDS产品从技术上看,基本可分为两大类:基于网络的产品和基于主机的产品。
混合的入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。
此外,文件的完整性检查工具也可看做是一类人侵检测产品。
基于网络的入侵检测产品放置在比较重要的网段内,对每一个数据包或可疑的数据包进行特征分析。
基于主机的入侵检测产品主要对主机的网络实时连接以及系统审计日志进行智能分析和判断。
混合式入侵检测系统综合了基于网络和主机的两种结构特点,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。
文件完整性检查工具通过检查文件的数字摘要与其他一些属性,判断文件是否被修改,从而检测出可能的入侵。
3 网络入侵检测系统的体系结构以及系统的部署3.1网络入侵检测系统的体系结构 首先,本网络入侵检测系统采用三层分布式体系结构:网络入侵探测器、入侵事件数据库和基于Web的分析控制台。
系统中的每层都是由若干开放源
代码的软件组合而成,每个开放源
代码软件都可以在网络上免费获得。
我们将从图1的网络入侵检测系统的体系结构叙述系统的完整实现过程。
图1网络入侵检测系统体系结构示意图 ·253· 厦门市科学技术协会第四届青年学术年会
论文集3.2底层——网络入侵探测器 网络入侵探测器由Snort和Winpcap组成。
Winpcap为Snort提供访问原始网络的程序接口,Snort是系统的核心,负责数据包的捕捉,警报的产生等工作。
(1)Winpeap位于NIDS最低层的是一个可以在Windows下直接访问网络的公用系统。
它提供了一个强有力的程序输出接口,使Win32应用程序可以便捷访问原始网络,包括完成捕捉原始的包、根据用户特定的规则过滤包、传输原始包到网络和网络流量的统计等功能。
为了获得这些功能,Winpcap必须依靠一个网络设备驱动程序,它和几个DLL文件被安装成为Win32网络内核的一部分。
Wh职ap是Snort所依赖的网络抓包库。
(2)Snort Snort是本系统的核心,它是一个强大的轻量级的网络入侵检测系统。
它具有实时数据流量分析和日志口网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。
它能够检测各种不同的攻击方式和探测活动,例如缓冲区溢出,隐蔽端口扫描,CGI攻击,SMB探测等等。
并且对攻击进行实时报警,可以发送警报消息到系统日志文件或者指定的警报文件中。
另外,Snort使用一种简单的规则描述语言。
最基本的规则只是包含四个个域:处理动作、协议、方向、注意的端口,使其具有很好的扩展性,对于新的攻击威胁反应迅速。
Snort做为一个高性能的入侵检测系统,适用于大中小型网络,尤其适合一些无力承受大型商业入侵检测系统高昂费用中小型公司。
3.3中间层——入侵事件库 由SNORT产生的数据被存储在MySQL数据库中,ADODB提供标准的数据库访问功能。
(1)ADODB提供一组数据库的类库使用户能很便捷连接多重的数据库。
由于PHP的数据库访问功能不是标准的,这就需要建立一个数据库的类库用来隐藏两个不同数据库之间的差异,这样我们就可以在不同数据库之间进行转换。
(2)MySQL MySQL是最著名的开放源
代码的关系型数据库管理系统,它具有快速,可靠和容易使用的特点。
MySQL数据库提供了一系列丰富和有用的功能。
它的连接性,速度和安全性使其非常适合在In.emet上访问数据库。
另外,Snort提供了对多种数据库(包括rIls唧,oracle和postgresql)的支持。
3.4顶层——基于web的分析控制台 这是面向用户的顶层。
P唧,PI-IPLot,JPGraph,IIs为ACID提供脚本、图形库,快速制图,WEB服务器的支持,ACID在此基础上提取数据库中的数据实时、直观的在WEB页上显示出来。
(1)ACID ACID(Analysis Console for Incident Databases)是事件数据库分析平台的缩写,它是由CERT(Computer Emergency Response Team)计算机紧急应变小组编写和维护的应用软件。
ACID是基于P唧的分析引擎,它搜索和处理被IDSes,Firewall和网络监视工具所产生的安全事件数据库。
总之,ACID能够分析被预先处理并存放在数据库中的多种多样的警报事件。
(2)PHP PHP是ACID的实现语言。
PHP(“PHP:Hypertext Preprocessor”,超文本预处理器的字母缩写)是一种被广泛应用的开放源
代码的多用途脚本语言,它可嵌入到HTML中,尤其适合WEB开发。
PHP最强大最显著的特性之一,是它支持很大范围的数据库。
您会发现利用P耻编写数据库支持的网页简单得难以置信。
(3)PHPLot PHPLot是一个在PHP上创建图表和图像的图形库。
它是ACID所依赖的制图库。
(4)JPGraph JlPGraph是被n口用来生成图象的库。
JPGraph可以很容易的用最小的
代码快速的画出简单图表,而复杂的图表只需要做很少量的控制就可以实现。
(5)IIS Microsoft IIS(Intemet Information Server)是允许在公共Intranet或Interact上发布信息的Web服务器。
IIs通过使用超文本传输协议(Hr兀P)传输信息。
系统中使用IIS的Web服务的目的是为ACID提供基于网页的控制平台。
另外,我们也可以使用著名的Apache Web服务器作为ACID的实现平台。
·254· Ⅲf〕市科学技术协会第口月青年学术年会
论文龋 系统的安装≠台是Windows家旌(包括Windows NT4 Sen,er,2000,)=P,&32303)的操作系统,在完成以 r软件的安装和配置后.我们就可咀通过ACID控制台来对人馒事件进行分析。
3 5网络入侵检测系统的部署 州络人经榆测系统的部署足建赢个完整的NIDS的雨露环节,通过祚网络巾的不同他置部署IDS探删器,这样,各个IDS探测器根据其服务对象的不同进行监控,例如我们可以部署探测器分别对来自外阿,内网或者特殊服务器的阿络流量进行监控。
如图2所示: 图2网络^侵检自g统的部署}意目 另外,却暑网络^侵检测录统的咒键足应当慷证系统的监听网卡所连接∞设备端¨能够“看到”圣忱控lq段的±部刚络流世。
在共享政州络中过不足问题,但任交换式网络巾巾于交换机的每个端口捕f前自己的冲突域,因此无法捕获除广播和组播之外的删珞流量。
这就要求变换机提供监控端u,我们町以使用交换机的端F1映射功能米将H络流量映射到连接IDS探测器的端口。
4未来人侵检测系统的方向 近年,^任检恻技术在规模与方法j都发生了变化,相对的,^侵的手段和技术也有了“进步和发展”二因此,今后的^侵检测技术大致朝着下述二个方向发展。
分布式^{曼碱洲:第一层含义,即针对分布式网络的攻击的榆测方法,第_层含义即他用分布式的方法来交现分布式的攻击,其中的关键拙术为检洲信自.的邯lq处理々入侵攻-k的全局信白的提取。
智能化^侵检删:即使用智能化的方法与手段米进行人侵检洲。
所滑的智能化方沾,现阶段常用的有冲经嘲络、遗传算法、模糊技术、免疫原理等方法,过些方法常用f人侵特征的辨识与泛化,利坩专家系统的地思想来构建入侵榆测系统也是常用的方法之·。
特制是具有自学习能力的专家系统.实现r知∽阼的H:断升纽语自展,使设H的A侵世洲系统防范能力不断增强.血该具有电』“泛的应川前景廊川智能体的胤念米进行人侵筒删的尝试也有报j苴,较为致前解决方粜应为高教常规意义F呐^仪检测系统与具啊{々能幢测功能的检测软件或模块的结台使片j。
全面的安全防御方案:即使用安全工程风险锻理的思想与方法米处理网络安全问题,将同络安全做为 个整体工程来处理。
从管理,网络结构,加密通道,骑火墙.病毒防护.^侵检测多方位全而对所关注的 255· 厦门市科学技术协会第四届青年学术年会
论文集网络作全面的评估,然后提出可行的全面解决方案。
5小结 网络安全是一个复杂的问题,只依靠一、两种网络安全产品是不能解决问题的。
必须综合应用多种安全技术,并将其功能有机地整合到一起进而构成统一的网络安全基础设施。
而安全产品并不是非买不可,当前在互联网上以开放源
代码为代表的免费资源非常多,我们应当努力去利用。
本系统中我们整合了多个开放源
代码软件在windows操作系统上建立一个完整的网络入侵检测系统,其廉价的运行和维护费用,灵活的分布式体系结构以及基于Web的分析控制台等特点,对需要构建一个物美价廉的网络入侵检测系统的中、小型企业无疑是一个很好的选择。
参考文献:〔1〕唐正军.黑客入侵防护系统源
代码分析〔M〕.北京:机械工业出版社,2002.〔2〕史蒂文斯(美).TCP/IP详解,卷一〔M〕.北京:机械工业出版社,2002.〔3〕唐正军.网络入侵检测系统的EM〕.北京:电子工业出版社,2002. ·256·
上一篇:
爱屋及乌苏小说网站设计(php) 毕业设计论文
下一篇:
“文化力”的认识和发展1805字