论文部分内容阅读
随着计算机技术和网络的发展,网络已日益成为生活中不可或缺的工具,在给用户带来方便的同时也使得维护网络中主机的安全变得更加困难,从近期网络安全事件对网络造成的巨大破坏中可以感受到,目前单一的防火墙加入侵检测系统策略,已无法满足对网络安全要求较高的部门之需。为了更好的保护网络用户主机上信息的安全,布置于主机上的入侵防御系统就显得越来越重要了。也正是在此背景下,入侵防御系统成为安全领域研究的热点。
入侵防御系统是近两年新兴起的一种网络安全技术。它比防火墙和入侵检测系统具有更高的主动性,具备一定程度的智能性,能够保护计算机网络系统免受未知类型的攻击。目前,以Winpcap为代表的网络数据包的捕获和分析系统的研究由于其技术的开放性还在不断地进行着。而且随着网络技术的不断革新,对这个应用最广泛的系统进行跟进性的研究,不但有利于对其本身的完善还为持续发展和变化的网络安全问题提供了最新的解决方案。
本文首先对入侵防御系统的概念进行了简单介绍,对基于主机和网络的两种入侵防御系统以及它们目前的国际国内研究现状进行了介绍并加以分析。然后对本文系统进行了总体设计,并确定了三个主要模块——数据包截获模块、数据包分析模块和数据包处理模块。通过对Winpcap的原理和结构的研究以及Winpcap与NDIS结合的方法实现了数据包截获技术;又通过逐层的协议分析方法对截获的数据包根据不同层次的协议不同进行分析,主要分析了IP、TCP、UDP和ICMP协议;再通过特征匹配实现对符合特征的数据包做丢弃处理。最后通过实验证实系统截获数据包并对其加以分析的能力,对于一些特征行为阻止的有效性。并分析了系统目前存在的几个问题。