论文部分内容阅读
本课题从这个角度出发,试图介绍一些技术和产品发展的新动向,并对当前入侵检测热门技术作一个初步的研究和分析.对入侵检测系统的研究,核心的部分就是对入侵检测技术的研究.当前入侵检测技术应用最多的是入侵特征模式匹配,但此方法已经暴露出很多的不足.随着网络规模的不断扩大和黑客攻击手法的日益复杂,人们对于网络安全的需求与日俱增,因此探讨新的检测技术已成为当前刻不容缓的重要课题.本文将探讨一种高效、可靠的检测方法,即协议分析技术.协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术.它充分利用了网络协议的高度规则性,并结合了高速数据包捕捉、命令解析和模式匹配,来快速检测某个攻击特征是否存在.协议分析技术优势在于能够详细解析各种协议,如命令字符串解析器能对不同的高层协议——如Telnet、FTP、HTTP、SMTP、SNMP、DNS等的用户命令进行详细的分析.探测碎片攻击和协议确认技术可以因为系统在每一层上都沿着协议栈向上解码,从而使用所有当前已知协议信息,来排除所有异常协议结构的攻击.同时大大降低传统模式匹配带来的误报问题、提高了效率,减少了系统资源消耗.当协议分析入侵检测系统引擎评估某个数据包时,需要考虑在这之前相关的数据包内容,以及接下来可能出现的数据包.基于状态的协议分析就是在常规协议分析技术的基础上,加入状态特性分析,即不仅仅检测单一的连接请求或响应,而是将一个会话的所有流量作为一个整体来考虑.有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的,因为攻击行为包含在多个请求中,此时状态协议分析技术就显得十分必要.本课题的研究目标是,通过分析、总结当前比较好IDS体系结构,提出一种适合基于协议分析技术的IDS模块化系统结构.从系统构成上看,入侵检测系统至少包括数据提取、入侵分析、响应处理三个部分,本文重点研究了基于TCP/IP协议模型中的协议解析引擎的设计方法,并分析了基于Libpcap库的WinPcap机制架构,实现Windows环境中的基于协议分析技术入侵检测系统的数据提取功能.