<dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><small id="yhprb"></small><dfn id="yhprb"></dfn><small id="yhprb"><delect id="yhprb"></delect></small><small id="yhprb"></small><small id="yhprb"></small> <delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"></dfn><dfn id="yhprb"></dfn><s id="yhprb"><noframes id="yhprb"><small id="yhprb"><dfn id="yhprb"></dfn></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><small id="yhprb"></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn> <small id="yhprb"></small><delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn>

新聞中心

EEPW首頁(yè) > 手機與無(wú)線(xiàn)通信 > 設計應用 > 基于網(wǎng)絡(luò )引擎入侵檢測系統的研究與實(shí)現

基于網(wǎng)絡(luò )引擎入侵檢測系統的研究與實(shí)現

作者: 時(shí)間:2011-08-01 來(lái)源:網(wǎng)絡(luò ) 收藏

d.jpg
2.3 檢測舉例
以下是網(wǎng)絡(luò )引擎判斷某個(gè)網(wǎng)絡(luò )數據包是否是CGI攻擊的一個(gè)示例,協(xié)議規范指出以太網(wǎng)絡(luò )數據包中第13字節處包含了2個(gè)字節的第三層協(xié)議標識。本入侵檢測系統利用該知識開(kāi)始第1步檢測:跳過(guò)前面12個(gè)字節,讀取13字節處的2字節協(xié)議標識:08。根據協(xié)議規范可以判斷這個(gè)網(wǎng)絡(luò )數據包是IP包。IP協(xié)議規定IP包的第24字節處有一個(gè)1字節的第四層協(xié)議標識。因此系統跳過(guò)的15到24字節直接讀取第四層協(xié)議標識:06,這個(gè)數據包是TCP協(xié)議。TCP協(xié)議在第35字節處有一個(gè)2字節的應用層協(xié)議標識(端口號)。于是系統跳過(guò)第25到34字節直接讀取第35字節的端口號:80。
該數據包是一個(gè)HTTP協(xié)議的數據包。HTTP協(xié)議規定第55字節是URL開(kāi)始處,檢測特征“GET/cgi—bin/./phf”,因此對這個(gè)URL進(jìn)行模式匹配??梢钥闯?,利用協(xié)議分析可以減小模式匹配的計算量,提高匹配的精確度,減少誤報率。

3 主機代理
基于主機的入侵檢測要依賴(lài)于特定的操作系統和審計跟蹤日志獲取信息,此類(lèi)系統的原始數據來(lái)源受到所依附具體操作系統平臺的限制,系統的實(shí)現主要針對某種特定的系統平臺,在環(huán)境適應性、可移植性方面問(wèn)題較多。在獲取高層信息以及實(shí)現一些特殊功能時(shí),如針對系統資源情況的審計方面具有無(wú)法替代的作用。本文設計的入侵檢測系統應用于Windows操作系統。
3.1 數據來(lái)源
主機代理的數據來(lái)源不像網(wǎng)絡(luò )引擎的數據來(lái)源那樣單一,它可以在系統所能夠訪(fǎng)問(wèn)的所有地方獲得數據來(lái)分析。網(wǎng)安入侵檢測系統主機代理的數據來(lái)源有:
1)系統和網(wǎng)絡(luò )日志文件 黑客經(jīng)常在系統日志文件中留下他們的蹤跡,因此,充分利用系統和網(wǎng)絡(luò )日志文件信息是檢測入侵的必要條件。日志中包含發(fā)生在系統和網(wǎng)絡(luò )上的不尋常和不期望活動(dòng)的證據,這些證據可以指出有人正在入侵或己成功入侵了系統。通過(guò)查看日志文件,能夠發(fā)現成功的入侵或入侵企圖,并很快地啟動(dòng)相應的應急響應程序。日志文件中記錄了各種行為類(lèi)型,每種類(lèi)型又包含不同的信息,例如記錄“用戶(hù)活動(dòng)”類(lèi)型的日志,就包含登錄、用戶(hù)ID改變、用戶(hù)對文件的訪(fǎng)問(wèn)、授權和認證信息等內容。很顯然地,對用戶(hù)活動(dòng)來(lái)講,不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪(fǎng)問(wèn)重要文件等等。
2)目錄和文件中的不期望的改變 網(wǎng)絡(luò )環(huán)境中的文件系統包含很多軟件和數據文件,包含重要信息的文件和私有數據文件經(jīng)常是黑客修改或破壞的目標。目錄和文件中的不期望的改變(包括增加、刪除、修改),特別是那些正常情況下限制訪(fǎng)問(wèn)的,很可能就是一種入侵產(chǎn)生的指示和信號。黑客經(jīng)常替換、修改和破壞他們獲得訪(fǎng)問(wèn)權的系統上的文件,同時(shí)為了隱藏系統中他們的表現及活動(dòng)痕跡,都會(huì )盡力去替換系統程序或修改系統日志文件。
3)程序執行中的不期望行為 網(wǎng)絡(luò )系統上的程序執行一般包括操作系統、網(wǎng)絡(luò )服務(wù)、用戶(hù)啟動(dòng)的程序和特定目的的應用,例如數據庫服務(wù)器。每個(gè)在系統上執行的程序由一到多個(gè)進(jìn)程來(lái)實(shí)現。每個(gè)進(jìn)程執行在具有不同權限的環(huán)境中,這種環(huán)境控制著(zhù)進(jìn)程可訪(fǎng)問(wèn)的系統資源、程序和數據文件等。一個(gè)進(jìn)程的執行行為由它運行時(shí)執行的操作來(lái)表現,操作執行的方式不同,它利用的系統資源也就不同。操作包括計算、文件傳輸、設備和其它進(jìn)程,以及與網(wǎng)絡(luò )間其他進(jìn)程的通訊。一個(gè)進(jìn)程出現了不期望的行為可能表明黑客正在入侵你的系統。黑客可能會(huì )將程序或服務(wù)的運行分解,從而導致它失敗,或者是以非用戶(hù)或管理員意圖的方式操作。
3.2 代理結構
從以上可以看出,主機代理的數據來(lái)源比網(wǎng)絡(luò )引擎復雜得多,由于數據源的不同,分析方法也各不一樣。本系統的主機代理分為日志分析、文件檢測、用戶(hù)行為監測、主機網(wǎng)絡(luò )接口檢測。

4 結束語(yǔ)
本文設計的入侵檢測系統使用了網(wǎng)絡(luò )引擎來(lái)檢測流經(jīng)網(wǎng)絡(luò )的數據包,一個(gè)網(wǎng)絡(luò )引擎可以監視具有多臺主機的整個(gè)網(wǎng)段,從路由器的基礎設施到應用程序的訪(fǎng)問(wèn),可以說(shuō)網(wǎng)絡(luò )引擎能夠檢測企業(yè)網(wǎng)絡(luò )中所有組件所受到的攻擊。不過(guò)網(wǎng)絡(luò )引擎在下列情況下也有局限性:
1)快速網(wǎng)絡(luò ) 隨著(zhù)網(wǎng)絡(luò )速度的加快,有時(shí)候網(wǎng)絡(luò )引擎的工作速度無(wú)法跟上網(wǎng)絡(luò )數據傳輸的速度。
2)加密數據 如果網(wǎng)絡(luò )數據被加密的話(huà),網(wǎng)絡(luò )引擎即不能起作用,原因是它無(wú)法正確地“看到”網(wǎng)絡(luò )數據。
3)交換網(wǎng)絡(luò ) 在交換網(wǎng)絡(luò )中,是不可能從一個(gè)中央位置處看見(jiàn)所有網(wǎng)絡(luò )數據的。因為通常網(wǎng)絡(luò )數據都是停留在交換的網(wǎng)段內部。而利用主機代理,就不受上述情況的限制。利用網(wǎng)絡(luò )引擎和主機代理,將基于網(wǎng)絡(luò )的入侵檢測系統和基于主機的入侵檢測系統結合起來(lái),就構成了實(shí)現網(wǎng)絡(luò )入侵檢測的比較可靠的解決方案。

本文引用地址:http://dyxdggzs.com/article/155975.htm

c++相關(guān)文章:c++教程
上一頁(yè) 1 2 3 下一頁(yè)

評論


相關(guān)推薦

技術(shù)專(zhuān)區

關(guān)閉
国产精品自在自线亚洲|国产精品无圣光一区二区|国产日产欧洲无码视频|久久久一本精品99久久K精品66|欧美人与动牲交片免费播放
<dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><small id="yhprb"></small><dfn id="yhprb"></dfn><small id="yhprb"><delect id="yhprb"></delect></small><small id="yhprb"></small><small id="yhprb"></small> <delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"></dfn><dfn id="yhprb"></dfn><s id="yhprb"><noframes id="yhprb"><small id="yhprb"><dfn id="yhprb"></dfn></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><small id="yhprb"></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn> <small id="yhprb"></small><delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn>