006 linux网络入侵检测样本
(样本只提供该系统的基本情况介绍,若需要完整的设计和论文,建议您购买本系统,凡是购买本站系统的,本站均根据您的要求,把系统上的开发信息,题目等修改成符合您的要求)

 

本系统开发工具：单片机/汇编
本设计包含内容：源代码+毕业论文+开题报告+答辩稿
论文大概：
 
 

 

摘  要

本文主要讨论了一种基于协议分析的网络入侵检测系统的设计与实现。首先讨论了传统的网络安全技术,然后介绍了入侵检测系统的产生和定义,分析了两种入侵检测系统,然后对入侵检测技术进行介绍。接下来介绍了Linux下基于网络的入侵检测系统的设计原理和整体框架,分别对入侵检测系统的各个模块的功能和实现过程进行了介绍。设计并实现了一种入侵描述语言,并设计了相应的规则解析引擎。根据该入侵描述语言并以协议分析为基础进行了入侵事件的检测。另外,本文还对TCP连接过程进行了跟踪分析和实现,分析和实现了简单的DNS解析功能。总的来说,本文实现了一个简单的网络入侵检测系统。

关键词: 入侵检测；协议分析；数据包捕获；网络安全；Linux

 

 

 

 

 

 

ABSTRACT

In this paper, we discussed mainly about how to design and realize a kind of intrusion detection system based on analyzing network protocol. At first, we discussed the traditional network safe practice, then we introduced the production and definition of the intrusion detection system, analyzed two kinds of intrusion detection systems, made an introduction of the technique of intrusion detection. And then we discussed the design principle and whole frame of an intrusion detection system designed under Linux, introduced each module of the system and discussed process of realizing. A language has been designed and realized to describe detection events, and the analyzing engine has been designed. According to the language we realized an intrusion detection system based on analyzing protocol. In addition, this paper has also analyzed and realized how to track TCP joined course and TCP closed course, analyzed and realized a simple DNS analyzes function. Generally speaking, we realized a simple network intrusion detection system this paper.

Keywords: intrusion detection; protocol analyzing; packet capture; network security; Linux
 
目  录

第1章 前言 1
1.1 网络安全问题 1
1.2 入侵检测技术发展历程及现状 1
1.3 课题研究内容及达到的目标 3
1.4 本系统的理论基础 3
1.5 本系统的总体结构 3
第2章 入侵检测技术 5
2.1 入侵检测系统定义 5
2.2 入侵检测系统的分类 6
2.2.1 按照信息来源分类 6
2.2.2 按照检测方法分类 7
2.3 入侵检测系统的标准化 8
2.3.1 入侵检测工作组IDWG 8
2.3.2 公共入侵检测框架CIDF 9
2.4 入侵检测系统面临的主要问题 10
2.4.1 误报 10
2.4.2 精巧及有组织的攻击 11
2.5 入侵检测系统的发展方向 11
2.5.1 宽带高速网络的实时入侵检测技术 11
2.5.2 大规模分布式入侵检测 11
2.5.3 其他方面 12
第3章 网络入侵检测模块设计 13
3.1 系统总体结构 13
3.2 网络数据包捕获模块的设计与实现 15
3.2.1 Linux内核中TCP/IP协议栈分析 15
3.2.2 BPF过滤机制 17
3.2.3 Libpcap函数库主要函数介绍 18
3.2.4 数据包捕获模块的实现 19
3.3 协议分析模块的设计与实现 19
3.3.1 TCP/IP协议分析基础 19
3.3.2 协议分析模块的实现过程 20
3.4 规则解析模块的设计与实现 26
3.4.1 建立入侵事件描述语言 26
3.4.2 规则解析模块的实现 27
3.5 入侵事件检测模块与响应模块的设计与实现 28
致谢 30
参考文献 31
附录 32
 
第1章  前  言

1.1 网络安全问题
网络的飞速发展是大家有目共睹的,众多的企业、组织、政府部门与机构都在组建和发展自己的网络,并连接到Internet上,以充分共享、利用网络的信息和资源。网络已经成为社会和经济发展的强大动力,其地位越来越重要。但是,在这个过程中也产生了各种各样的问题,其中安全问题尤为突出。从各大媒体上大家都可以看到很多关于网络遭遇黑客攻击的报道,甚至把黑客的故事搬上银幕,这给现实中的人们产生了巨大的冲击。现在网络专家们对目前存在的安全隐患深感担忧。据报道,美国国防部已经花费了数十亿美元用以整治网络安全,但是网络安全问题还是不断涌现。现在全世界的公司都面临着网络被攻击的危险。在2003年,全球13台最重要的母服务器中的9台都遭到了黑客袭击。
网络安全问题已经不再是一个新鲜的课题了,也已经不再是一个高深的课题了,以前它基本上是跟网络人士打交道,但现在每一个人都可能与它打交道,只要他的电脑连到网络上。特别是随着网络应用范围的不断扩大,网络安全问题也越来越突出,特别是在关键应用系统,如军事、金融、电信、民航、电力等系统上。可以预见,随着网络的超常规发展,网络安全问题会越来越严重,越来越被人重视,当然网络安全技术也越来越成熟。在发生网络安全问题的时候,我们不能够逃避,要力求找出应对策略。
1.2 入侵检测技术发展历程及现状
入侵检测技术自20世纪80年代早期提出以来,经过20多年的不断发展,从最初的一种有价值的研究想法和单纯的理论模型,迅速发展出种类繁多的各种实际原型系统,并且在最近10年内涌现出许多商用入侵检测系统产品,成为计算机安全防护领域内不可缺少的一种重要的安全防护技术。
1980年,Anderson首先提出了入侵检测的概念。他提出审计追踪可应用于监视入侵威胁,虽然这一设想的重要性在当时并未被理解,但他的这一份报告被认为是入侵检测的开山之作。从1984年到1986年,Denning和Neumann研究并提出了一个实时入侵检测系统模型,命名为IDES（Intrusion Detection Expert System,入侵检测专家系统）,它是一种通过使用统计方法发现用户异常操作行为,并判断检测攻击的基于主机的入侵检测系统。这个假设是80年代许多入侵检测研究和系统原型的基础。1988年,Lunt等人进一步改进了Denning提出的入侵检测模型,提出了与系统平台无关的实时检测思想。1990年,Heberlein等人提出基于网络的入侵检测NSM（Network Security Monitor）,NSM可以通过在局域网上主动地监视网络信息流量来追踪可疑行为。1994年,Mark Crosbie和Gene Spaford建议使用自治代理以便提高入侵检测系统的可伸缩性、可维护性、效率和容错性。1994年,Biswanath等人对先前入侵检测系统的研究作了较为完整的回顾和分析,对各种入侵检测的系统原型进行了分析和评述。1995年以后,出现了很多不同的新的入侵检测研究方法,特别是智能入侵检测系统：包括神经网络、遗传算法、模糊识别、免疫系统、数据挖掘等,这些方法目前尚处在研究阶段[1]。
从入侵检测概念的提出到现在,入侵检测系统的研发呈现出百家争鸣的局面,并在智能化和分布式两个方向取得了比较大的进展。但就目前而言,入侵检测系统还缺乏相应的标准。因为目前的入侵检测系统大部分是基于各自的需求和设计独立开发的,不同系统之间缺乏互操作性和互用性,这对入侵检测系统的发展造成了障碍,因此DARPA在1997年3月开始着手CIDF（Common Intrusion Detection Framework,公共入侵检测框架）标准的制定,以便更高效地开发入侵检测系统。国内在这方面的研究刚开始起步,但也己经开始着手入侵检测标准IN的研究与制定。
目前,国外一些研究机构已经开发出了应用于不同操作系统的几种典型的入侵检测系统,它们通常采用静态异常模型和规则的误用模型来检测入侵,这些入侵检测系统的检测基本是基于服务器主机或网络的。基于服务器主机的入侵检测系统采用服务器操作系统的系统检测日志作为主要输入源来检测入侵行为,而大多数基于网络的入侵检测系统则以监控网络故障作为检测来源。
1.3 课题研究内容及达到的目标
本课题的目标是在Linux下设计与实现以太网综合型主机防火墙,主要包括防火墙和入侵检测模块。我主要负责入侵检测模块的设计与实现。另外我还实现了TCP连接跟踪和简单的DNS解析功能。
主要任务有：
（1）网络数据获取模块：使用Libpcap函数编写过滤规则
（2）网络协议分析模块：对获取的数据报进行协议分析（以太网的帧结构、IP、TCP、UDP）
（3）使用Libnids库分析TCP连接过程
（4）规则解析模块的设计与实现
（5）入侵事件检测模块的设计与实现
（6）简单的DNS解析功能的实现
1.4 本系统的理论基础
基于网络的入侵检测系统采用在协议分析的基础上进行模式匹配的方法实现,对通过防火墙的数据包进行进一步的分析和处理。所有的攻击方法用自定义的事件描述语言加以表达,并存放在规则描述文件里面,当前的数据包信息如果和规则描述文件里的某条规则相匹配,就判定发生了入侵行为。
1.5 本系统的总体结构
网络数据包进入系统后,首先进入防火墙。防火墙检查过滤规则表中的每一条规则,规则表中明确拒绝的数据包将被丢弃,允许通过的数据包将递交给入侵检测系统模块。入侵检测系统模块根据数据包过滤规则捕获已通过防火墙验证的数据包,并根据数据包中的信息检查是否发生入侵行为,如果发现与己定义的入侵行为特征相符,则调用响应模块通知管理员,以便管理员根据实际情况采取相应的措施,否则将包直接交给应用程序。系统总体结构如图1-1所示。