其运用协议的规则性及整个会话过程的上下文相关性,不仅提高了入侵检测系统
的速度,而且减少了漏报和误报率。本文提出了一种基于协议分析的网络入侵检
测系统 PANIDS 的模型,在该模型中通过 Winpcap 捕获数据包,并对数据包进行
协议分析,判断其是否符合某种入侵模式,从而达到入侵检测的目的。
关键词: 入侵检测,协议分析, PANIDS
第一章 绪论
1.1 入侵检测技术的背景
随着计算机网络的飞速发展,网络通信已经渗透到社会经济、文化和科学的
各个领域;对人类社会的进步和发展起着举足轻重的作用,它正影响和改变着人
们工作、学习和生活的方式。另外,Internet 的发展和应用水平也已经成为衡
量一个国家政治、经济、军事、技术实力的标志;发展网络技术是国民经济现代
化建设不可缺少的必要条件。网络使得信息的获取、传递、存储、处理和利用变
得更加有效、迅速,网络带给人们的便利比比皆是。然而,网络在给人们的学习、
生活和工作带来巨大便利的同时也带来了各种安全问题。网络黑客可以轻松的取
走你的机密文件,窃取你的银行存款,破坏你的企业帐目,公布你的隐私信函,
篡改、干扰和毁坏你的数据库,甚至直接破坏你的磁盘或计算机,使你的网络瘫
痪或者崩溃。因此,研究各种切实有效的安全技术来保障计算机系统和网络系统
的安全,已经成为刻不容缓的课题。伴随着网络的发展,各种网络安全技术也随
之发展起来。常用的网络安全技术有:数据加密、虚拟专用网络(VPN,Virtual
Private Network)、防火墙、杀毒软件、数字签名和身份认证等技术。这些传
统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不
少缺陷。例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,
但是它不能防止来自防火墙内部的攻击、不能防备最新出现的威胁、不能防止绕
过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制
来进行非法攻击。传统的身份认证技术,很难抵抗脆弱性口令、字典攻击、特洛
伊木马、网络窥探器以及电磁辐射等攻击手段。虚拟专用网技术只能保证传输过
程中的安全,并不能防御诸如拒绝服务攻击、缓冲区溢出等常见的攻击。另外,
这些技术都属于静态安全技术的范畴;静态安全技术的缺点是只能静态和消极地
防御入侵,而不能主动检测和跟踪入侵。而入侵检测技术是一种动态安全技术,
它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息;
然后进行安全性分析,从而及时发现各种入侵并产生响应。
1.2 程序设计的目的
在目前的计算机安全状态下,基于防火墙、加密技术等的安全防护固然重要;
但是要根本改善系统的安全现状,必须要发展入侵检测技术。它已经成为计算机
安全策略中的核心技术之一。Intrusion Detection System(简称 IDS)作为一
种主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。从
网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国
外入侵检测产品市场的蓬勃发展就可以看出。在国内,随着上网关键部门、关键
业务越来越多,迫切需要具有自主版权的入侵检测产品;但目前我国的入侵检测
技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究
非常重要。传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件