亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于Windows操作系統(tǒng)的入侵檢測系統(tǒng)設(shè)計(jì)

        2010-07-27 06:40:18趙妙軍
        中國新技術(shù)新產(chǎn)品 2010年1期
        關(guān)鍵詞:驅(qū)動(dòng)程序日志數(shù)據(jù)包

        趙妙軍

        (杭州師范大學(xué)錢江學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)專業(yè),浙江 杭州 310012)

        1 入侵檢測系統(tǒng)主要功能及通用模型

        一個(gè)合格的入侵檢測系統(tǒng)能大大簡化安全管理員的工作,保證網(wǎng)絡(luò)安全的運(yùn)行。具體說來,入侵檢測系統(tǒng)的主要功能有以下幾點(diǎn):監(jiān)測并分析用戶和系統(tǒng)的活動(dòng);核查系統(tǒng)配置和漏洞;評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性;識(shí)別已知的攻擊行為;統(tǒng)計(jì)分析異常行為;操作系統(tǒng)日志管理,并識(shí)別違反安全策略的用戶活動(dòng)。

        一個(gè)入侵檢測系統(tǒng)(IDS)的通用模型。它將一個(gè)入侵檢測系統(tǒng)分為以下組件:事件產(chǎn)生器(Event Generators);事件分析器(Event Analyzers);響應(yīng)單元 (Response Units);事件數(shù)據(jù)庫(Event Databases)

        CIDF將IDS需要分析的數(shù)據(jù)稱為事件(event),它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包,也可以是從系統(tǒng)日志等其他路徑得到的消息。入侵檢測的通用模型見圖1:

        圖1 入侵檢測的通用模型

        2 入侵檢測的系統(tǒng)數(shù)據(jù)流程及模塊劃分

        入侵檢測系統(tǒng)的主要功能就是通過采集網(wǎng)絡(luò)數(shù)據(jù)對數(shù)據(jù)進(jìn)行分析,發(fā)現(xiàn)入侵則進(jìn)行實(shí)時(shí)報(bào)警且進(jìn)行日志記錄,并且能夠動(dòng)態(tài)配置檢測規(guī)則,將配置信息記錄在數(shù)據(jù)庫中。數(shù)據(jù)流圖如圖2所示。

        圖2 入侵檢測系統(tǒng)數(shù)據(jù)流程圖

        預(yù)處理實(shí)現(xiàn)數(shù)據(jù)分析中的一個(gè)預(yù)處理功能,即根據(jù)目標(biāo)主機(jī)的IP地址將檢測的規(guī)則分組,并將采集到的網(wǎng)絡(luò)數(shù)據(jù)包分發(fā)為所屬分組。系統(tǒng)的數(shù)據(jù)、預(yù)處理、檢測規(guī)則等的初始化都是在捕獲數(shù)據(jù)包前進(jìn)行的。一旦初始化完畢,那么就開始捕獲數(shù)據(jù)包,每收到一個(gè)數(shù)據(jù)包都會(huì)首先調(diào)用預(yù)處理程序中的函數(shù)進(jìn)行處理后,再調(diào)用規(guī)則函數(shù)。即首先根據(jù)數(shù)據(jù)包的協(xié)議類型定位規(guī)則函數(shù),其次調(diào)用規(guī)則函數(shù)進(jìn)行規(guī)則的逐一匹配,即首先匹配規(guī)則頭,若匹配則繼續(xù)匹配規(guī)則選項(xiàng),若不匹配,直接匹配下一條規(guī)則。本系統(tǒng)采用模塊化設(shè)計(jì)方法,依據(jù)入侵子系統(tǒng)的功能需求和系統(tǒng)結(jié)構(gòu)將系統(tǒng)劃分成如下功能模塊,如圖3:

        圖3 系統(tǒng)功能模塊

        各模塊功能如下:

        采集模塊:網(wǎng)絡(luò)數(shù)據(jù)采集與包過濾。

        分析模塊:對數(shù)據(jù)包進(jìn)行包分析和模式匹配、判斷網(wǎng)絡(luò)入侵。

        響應(yīng)模塊:控制臺(tái)屏幕報(bào)警、控制臺(tái)警報(bào)報(bào)警、發(fā)送警報(bào)由防火墻阻斷攻擊。

        系統(tǒng)管理模塊:控制系統(tǒng)的啟動(dòng)和系統(tǒng)的停止。

        系統(tǒng)設(shè)置模塊:配置入侵檢測策略。

        日志管理模塊:記錄系統(tǒng)日志和記錄網(wǎng)絡(luò)攻擊日志:讀取日志、分析日志和歸類綜合日志內(nèi)容。

        幫助模塊:提供入侵檢測系統(tǒng)的一些幫助文檔。

        3 基于WinPcap伯克利開發(fā)包的網(wǎng)絡(luò)數(shù)據(jù)包截獲

        WinPcap是面向Win32平臺(tái)的進(jìn)行數(shù)據(jù)包捕獲和網(wǎng)絡(luò)分析的一個(gè)架構(gòu)。它包括一個(gè)核心層的數(shù)據(jù)包過濾器,一個(gè)底層的動(dòng)態(tài)連接庫(packet.d 11)和一個(gè)高層并且系統(tǒng)獨(dú)立的動(dòng)態(tài)連接庫(wpcap.dll)。數(shù)據(jù)包捕獲是一個(gè)面向底層的機(jī)制,它需要與網(wǎng)絡(luò)適配器、操作系統(tǒng)、特別是網(wǎng)絡(luò)應(yīng)用程序進(jìn)行嚴(yán)格的交互。

        NPF(Netgroup Packet Filter)是WinPcap的核心部分。它的主要功能就是捕獲數(shù)據(jù)包,還可以發(fā)送數(shù)據(jù)包、存儲(chǔ)數(shù)據(jù)包以及對網(wǎng)絡(luò)進(jìn)行統(tǒng)計(jì)分析。NPF工作在內(nèi)核層,有一個(gè)網(wǎng)絡(luò)轉(zhuǎn)發(fā)部件,從網(wǎng)卡驅(qū)動(dòng)程序收集網(wǎng)絡(luò)數(shù)據(jù)包,即可以發(fā)送給過濾部件,對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行過濾,也可以發(fā)給統(tǒng)計(jì)部件,對網(wǎng)絡(luò)進(jìn)行統(tǒng)計(jì)分析,還可以發(fā)送給存儲(chǔ)部件,把網(wǎng)絡(luò)數(shù)據(jù)包直接存儲(chǔ)到磁盤。數(shù)據(jù)包在NPF中使用了緩存機(jī)制,主要是為了提高效率和速度。

        NPF和NDIS(Network Driver Interface Specification)有密切的關(guān)系。NDIS是一個(gè)標(biāo)準(zhǔn),它定義了網(wǎng)絡(luò)適配器(確切地說,是管理網(wǎng)絡(luò)適配器的驅(qū)動(dòng)程序)和協(xié)議驅(qū)動(dòng)程序之間的通信規(guī)范。NDIS的主要目的是使協(xié)議驅(qū)動(dòng)程序獨(dú)立于網(wǎng)絡(luò)適配器的特殊性和Win32操作系統(tǒng)的特殊性來接收網(wǎng)絡(luò)上的數(shù)據(jù)包或發(fā)送數(shù)據(jù)包到網(wǎng)絡(luò)上。

        Winpcap使用NPF部件捕獲數(shù)據(jù)包。為了用戶層的應(yīng)用程序能利用核心驅(qū)動(dòng)程序所提供的服務(wù),還提供一個(gè)接口。WinPcap提供了兩種不同的動(dòng)態(tài)連接庫:packet.dll和wpcap.dll來提供這種服務(wù)。packet.dll提供了一個(gè)底層的API使用這個(gè)獨(dú)立于微軟操作系統(tǒng)的編程接口即可直接訪問核心驅(qū)動(dòng)程序提供的功能。wpcap.dll提供了一個(gè)更加強(qiáng)大的用于高層捕獲的函數(shù)子集,它和libpcap,并允許以一種獨(dú)立于下層的網(wǎng)絡(luò)硬件和操作系統(tǒng)的方式來捕獲數(shù)據(jù)包。

        本系統(tǒng)就是運(yùn)用了wpcap.dll實(shí)現(xiàn)了高層的數(shù)據(jù)包捕獲。通過調(diào)用一系列的wpcap.dll函數(shù),實(shí)現(xiàn)數(shù)據(jù)包采集工作。過程如下:首先調(diào)用函數(shù)pcap_findalldevs ex()獲得本機(jī)網(wǎng)卡名,接著調(diào)用函數(shù)pcap_open()獲得網(wǎng)長句柄,最后調(diào)用函數(shù)pcap_next_ex()獲得網(wǎng)絡(luò)數(shù)據(jù)包句柄,接收網(wǎng)絡(luò)數(shù)據(jù)包。出于數(shù)據(jù)分析時(shí)只需要IP包,所以數(shù)據(jù)采集只接收IP包,其它數(shù)據(jù)包則丟棄。

        4 異常檢測與誤用檢測綜合運(yùn)用的檢測技術(shù)

        木系統(tǒng)基于誤用檢測的實(shí)現(xiàn):事件判決引擎依據(jù)協(xié)議解碼器提交的網(wǎng)絡(luò)協(xié)議數(shù)據(jù)進(jìn)行分析,并從這些網(wǎng)絡(luò)活動(dòng)中找出預(yù)先定義的攻擊模式,一旦發(fā)現(xiàn)其中含有攻擊事件的特征碼,即將此事件提交“響應(yīng)系統(tǒng)”。

        本系統(tǒng)基于異常檢測的實(shí)現(xiàn):對攻擊規(guī)則進(jìn)行初始化存儲(chǔ)的同時(shí)也根據(jù)配置初始化相應(yīng)的計(jì)數(shù)器、定時(shí)器,用來記錄特征包的到達(dá)。特征包到達(dá)速度判決器對每一種要檢測的初始化一個(gè)“先進(jìn)先出”隊(duì)列,記錄一定數(shù)量的包到達(dá)的時(shí)間戳,對符合條件的包的到達(dá)時(shí)問進(jìn)行登記,并對一段時(shí)間內(nèi)到達(dá)包進(jìn)行計(jì)數(shù),一旦超出預(yù)先設(shè)置的門限值,即將此事件提交“響應(yīng)系統(tǒng)”。

        誤用檢測以網(wǎng)絡(luò)協(xié)議數(shù)據(jù)為檢測數(shù)據(jù)源,異常檢測以特征包的到達(dá)速度為檢測數(shù)據(jù)樣本。通過這種方式綜合運(yùn)用了兩種檢測技術(shù),實(shí)現(xiàn)誤用、異常技術(shù)的互補(bǔ),最大限度地阻斷網(wǎng)絡(luò)入侵行為,解決工DS檢測效率低的問題,提高工DS的綜合檢測能力,很好的控制了檢測系統(tǒng)產(chǎn)生的誤報(bào)、漏報(bào)現(xiàn)象。

        檢測引擎通過循環(huán)捕獲數(shù)據(jù)包,對網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控的過程從程序設(shè)計(jì)的角度看是一個(gè)無限循環(huán)的過程,這個(gè)過程必將耗盡系統(tǒng)資源,使系統(tǒng)無法響應(yīng)其它事件。為了能夠主動(dòng)控制過程的開始和中止,WNIDS系統(tǒng)采用了vc++提供的線程技術(shù),采用主線程響應(yīng)用戶輸入,兩個(gè)檢測線程分別控制誤用、異常檢測的技術(shù)。

        [1]薛靜鋒,入侵檢測技術(shù),機(jī)械土業(yè)出版社,2004

        [2]韓東海等著,《入侵檢測系統(tǒng)實(shí)例剖析》[M],清華大學(xué)出版社,2002

        [3]李曉鶯,協(xié)議分析在入侵檢測系統(tǒng)中的應(yīng)用,網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2002

        猜你喜歡
        驅(qū)動(dòng)程序日志數(shù)據(jù)包
        一名老黨員的工作日志
        扶貧日志
        心聲歌刊(2020年4期)2020-09-07 06:37:14
        SmartSniff
        游學(xué)日志
        基于Libpcap的網(wǎng)絡(luò)數(shù)據(jù)包捕獲器的設(shè)計(jì)與實(shí)現(xiàn)
        一種基于粗集和SVM的Web日志挖掘模型
        視覺注意的數(shù)據(jù)包優(yōu)先級排序策略研究
        移動(dòng)IPV6在改進(jìn)數(shù)據(jù)包發(fā)送路徑模型下性能分析
        驅(qū)動(dòng)程序更新與推薦
        驅(qū)動(dòng)程序更新與推薦
        精品人无码一区二区三区| 脱了老师内裤猛烈进入| 99久久精品费精品国产一区二| 国产真实乱人偷精品人妻| 偷拍区亚洲区一区二区| 国产亚洲3p一区二区| 亚洲综合激情另类小说区| 国产性一交一乱一伦一色一情| 中文字幕有码一区二区三区| 久久久精品少妇—二区| 国产做无码视频在线观看| 久久久久亚洲av无码专区网站| 久久99中文字幕久久| 国产一区二区黑丝美胸| 比较有韵味的熟妇无码| 亚洲成在人线av| 国产大陆av一区二区三区| 亚洲av成人av三上悠亚| 亚洲av日韩av无码污污网站 | 巨臀中文字幕一区二区| 我想看久久久一级黄片| 国产成人精品亚洲日本在线观看 | 国产内射合集颜射| 免费美女黄网站久久久| 日本精品视频二区三区| 野外少妇愉情中文字幕| 亚洲av不卡电影在线网址最新| 国产一区二区三区中出| 国产欧美性成人精品午夜| 欧美情侣性视频| 青青草一级视频在线观看| 中文字幕一区二区中出后入| 在线精品国产一区二区三区| 日韩久久久黄色一级av| 亚洲国产av一区二区不卡| 亚洲熟妇自偷自拍另欧美| 亚洲综合色一区二区三区另类| 国产熟妇一区二区三区网站| 精品精品国产高清a毛片| 无遮挡边吃摸边吃奶边做| 精品一区二区三区人妻久久|