入侵检测

入侵检测（通用8篇）

篇1：入侵检测

当您选择入侵检测系统时，要考虑的要点有：

1.系统的价格

当然，价格是必需考虑的要点，不过，性能价格比、以及要保护系统的价值可是更重要的因素，

2.特征库升级与维护的费用

象反病毒软件一样，入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。

3.对于网络入侵检测系统，最大可处理流量(包/秒pps)是多少

首先，要分析网络入侵检测系统所布署的网络环境，如果在512k或2m专线上布署网络入侵检测系统，则不需要高速的入侵检测引擎，而在负荷较高的环境中，性能是一个非常重要的指标。

4.该产品容易被躲避吗

有些常用的躲开入侵检测的方法，如：分片、ttl欺骗、异常tcp分段、慢扫描、协同攻击等。

5.产品的可伸缩性

系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理。

6.运行与维护系统的开销

产品报表结构、处理误报的方便程度、事件与事志查询的方便程度以及使用该系统所需的技术人员数量，

7.产品支持的入侵特征数

不同厂商对检测特征库大小的计算方法都不一样，所以不能偏听一面之辞。

8.产品有哪些响应方法

要从本地、远程等多个角度考察。自动更改防火墙配置是一个听上去很“酷”的功能，但是，自动配置防火墙可是一个极为危险的举动。

9.是否通过了国家权威机构的评测

主要的权威测评机构有：国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心。

关 键 字：入侵检测

篇2：入侵检测

入侵或攻击的综合化与复杂化。入侵的手段有多种，入侵者往往采取一种攻击手段。由于网络防范技术的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证入侵的成功几率，并可在攻击实施的初期掩盖攻击或入侵的真实目的。

入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。通过一定的技术，可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对象攻击的主体是无法直接确定的。

入侵或攻击的规模扩大。对于网络的入侵与攻击，在其初期往往是针对于某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大，随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。

入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务(ddos)在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异，所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。

攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的趋势。现已有专门针对ids作攻击的报道。攻击者详细地分析了ids的审计方式、特征描述、通信模式找出ids的弱点，然后加以攻击。

今后的入侵检测技术大致可朝下述三个方向发展，

分布式入侵检测：第一层含义，即针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。

智能化入侵检测：即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，应具有更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。

全面的安全防御方案：即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。

篇3：入侵检测系统综述

（一）入侵检测系统（IDS）简介

“入侵”(Intrusion)是个广义的概念，不仅包括被发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问(Denial of Service)等对计算机系统造成危害的行为。

入侵检测(Intrusion Detection)，顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System，简称IDS)。入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。

1. IDS主要功能：

(1)监测并分析用户和系统的活动;(2)核查系统配置和漏洞;(3)评估系统关键资源和数据文件的完整性;(4)识别已知的攻击行为;(5)统计分析异常行为;(6)操作系统日志管理，并识别违反安全策略的用户活动。

2. IDS系统组成。

IETF将一个入侵检测系统分为四个组件：事件产生器(Event generators);事件分析器(Event analyzers);响应单元(Response units);事件数据库(Event databases)。事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

3. IDS系统分类。

(1)根据检测对象的不同，入侵检测系统可分为主机型和网络型。 (1) 基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上，用以监测系统上正在运行的进程是否合法。最近出现的一种ID (intrusion detection)：位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。 (2) 网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(promisc mode)，对所有本网段内的数据包并进行信息收集，并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。(2)根据其采用的分析方法可分为异常检测和误用检测。 (1) 异常检测 (Anomaly detection) ：异常入侵检测系指建立系统的正常模式轮廓，若实时获得的系统或用户的轮廓值与正常值的差异超出指定的阈值，就进行入侵报警。其优点是可以发现新型的入侵行为。缺点是容易产生误报。 (2) 误用检测 (Misuse detection) ：误用检测指根据已知的攻击特征检测入侵，可以直接检测出入侵行为。关键是如何表达入侵的模式，把真正的入侵行为与正常行为区分开来，因此入侵模式表达的好坏直接影响入侵检测的能力。其优点是误报少。缺点是只能发现攻击库中已知的攻击，且其复杂性将随着攻击数量的增加而增加。

（二）入侵检测技术

对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志(signature-based)，另一种基于异常情况(anomaly-based)。对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出)，然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知的攻击，它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法，但它可以(至少在理论上可以)判别更广范、甚至未发觉的攻击。

（三）入侵检测过程

1. 信息收集

信息收集包括收集系统、网络、数据及用户活动的状态和行为。而且，需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息，这除了尽可能扩大检测范围的因素外，还有一个就是对来自不同源的信息进行特征分析之后比较得出问题所在的因素。

入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、记录文件和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样。例如，unix系统的PS指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替换成一个读取不同于指定文件的文件(黑客隐藏了初试文件并用另一版本代替)。这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。入侵检测利用的信息一般来自以下三个方面(这里不包括物理形式的入侵信息)：

(1)系统和网络日志文件：黑客经常在系统日志文件中留下他们的踪迹，因此，可以充分利用系统和网络日志文件信息。日志中包含发生在系统和网络上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。

(2)非正常的目录和文件改变：网络环境中的文件系统包含很多软件和数据文件，他们经常是黑客修改或破坏的目标。目录和文件中非正常改变(包括修改、创建和删除)，特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。

(3)非正常的程序执行：网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特定目的的应用，例如WEB服务器。每个在系统上执行的程序由一到多个进程来实现。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程，以及与网络间其它进程的通讯。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方式操作。

2. 信号分析

对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

(1)模式匹配：模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令)，也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲，一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

(2)统计分析：统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述，统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如，本来都默认用GUEST帐号登录的，突然用ADMINI帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。

(3)完整性分析：完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数(例如MD5)，它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，用于事后分析而不用于实时响应。尽管如此，完整性检测方法还应该是网络安全产品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。

（四）IDS的评价标准

目前的入侵检测技术发展迅速，应用的技术也很广泛，如何来评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几个方面：1.准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。2.性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说，必须要求性能良好。3.完整性。完整性是指IDS能检测出所有的攻击。4.故障容错(fault tolerance)。当被保护系统遭到攻击和毁坏时，能迅速恢复系统原有的数据和功能。5.自身抵抗攻击能力。这一点很重要，尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS，再实施对系统的攻击。6.及时性(Timeliness)。一个IDS必须尽快地执行和传送它的分析结果，以便在系统造成严重危害之前能及时做出反应，阻止攻击者破坏审计数据或IDS本身。

除了上述几个主要方面，还应该考虑以下几个方面：IDS运行时，额外的计算机资源的开销;误警报率/漏警报率的程度;适应性和扩展性;灵活性;管理的开销;是否便于使用和配置。

（五）IDS的发展趋势

人们在完善原有技术的基础上，又在研究新的检测方法，如数据融合技术，主动的自主代理方法，智能技术以及免疫学原理的应用等。其主要的发展方向可概括为：1.大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架，显然不能适应大规模网络的监测，不同的入侵检测系统之间也不能协同工作。因此，必须发展大规模的分布式入侵检测技术。2.宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现，各种宽带接入手段层出不穷，如何实现高速网络下的实时入侵检测成为一个现实的问题。3.入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先，目前的技术还不能对付训练有素的黑客的复杂的攻击。其次，系统的虚警率太高。最后，系统对大量的数据处理，非但无助于解决问题，还降低了处理能力。数据融合技术是解决这一系列问题的好方法。4.与网络安全技术相结合。结合防火墙，病毒防护以及电子商务技术，提供完整的网络安全保障。

（六）结束语

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统面临的最主要挑战有两个：一个是虚警率太高，一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此，可以这样说，入侵检测产品仍具有较大的发展空间，从技术途径来讲，除了完善常规的、传统的技术(模式识别和完整性检测)外，应重点加强统计分析的相关技术研究。

参考文献

[1]赵婷婷, 陈小春, 杨娟.基于windows平台下的入侵检测系统[J].通信技术, 2007, (12) .

[2]王颖.网络安全与入侵检测技术浅析[J].辽宁师专学报, 2007, (03) .

[3]周碧英.入侵检测技术及网络安全的探讨[J].电脑知识与技术, 2007, (23) .

篇4：入侵检测遇曙光

根据采集数据源的不同，IDS 可分为主机型IDS 和网络型IDS 两种。曙光GodEye-HIDS 就是一套主机型IDS，具备防范内部安全风险、看守重要信息文件、监视核心服务进程、有效防止木马后门、主动采取防护措施等六大功能，无论威胁来自内部还是外部，都可以被阻挡住。

曙光GodEye-HIDS的功能设计和技术实现颇具特色。在功能上曙光GodEye-HIDS与众不同地实现了服务进程、系统资源及用户操作监测功能，提高了主机型IDS的检测能力。同时，它采用了从操作系统内核获取信息的技术，进行系统调用截获，根据调用情况进行操作的安全检测，这种技术拓展了主机型IDS的信息来源，增强了检测的实时性和准确性。另外，它还完全实现了公安部对增强型产品的一系列附加技术要求，比如系统的分级审计、数据加密能力、关联检测、数据挖掘设计以及对检测信息的概率统计等等。同时其“主机加密技术”也使其在自身安全方面得到有力保证。

适用范围：中大型企业

以服务器起家并领导国内服务器市场的曙光似乎并不甘心局限在硬件领域的发展，所以做起了软件，而且是炙手可热的安全软件。统计数据表明，今年中国信息安全产业规模将达到数百亿元。面对如此巨大的市场空间，曙光当然也不愿放过这一大好机会，何况其本身丰富的主机经验，也为开发主机增强型入侵检测系统提供了有力的保障。

篇5：入侵检测

根据受检制件的材质、结构、制造方法、工作介质、使用条件和失效模式，预计可能产生的缺陷种类、形状、部位、和方向，选择适宜的无损检测方法。

常规无损检测方法有：

超声检测 Ultrasonic Testing（缩写 UT）；

射线检测 Radiographic Testing（缩写 RT）；

磁粉检测 Magnetic particle Testing（缩写 MT）；

渗透检验 Penetrant Testing（缩写 PT）；

射线和超声检测主要用于内部缺陷的检测；磁粉检测主要用于铁磁体材料制件的表面和近表面缺陷的检测；渗透检测主要用于非多孔性金属材料和非金属材料制件的表面开口缺陷的检测；铁磁性材料表面检测时，宜采用磁粉检测。涡流检测主要用于导电金属材料制件表面和近表面缺陷的检测。

当采用两种或两种以上的检测方法对构件的 同一部位进行检测时，应按各自的方法评定级别；采用同种检测方法按不同检测检测工艺进行检测时，如检测结果不一致，应危险大的评定级别为准。

（1）射线检测

射线检测就是利用射线（X射线、γ射线、中子射线等）穿过材料或工件时的强度衰减，检测其内部结构不连续性的技术。穿过材料或工件时的射线由于强度不同，在感光胶片上的感光程度也不同，由此生成内部不连续的图像。

射线检测主要应用于金属、非金属及其工件的内部缺陷的检测，检测结果准确度高、可靠性好。胶片可长期保存，可追溯性好，易于判定缺陷的性质及所处的平面位置。

射线检测也有其不足之处，难于判定缺陷在材料、工件内部的埋藏深度；对于垂直于材料、工件表面的线性缺陷（如：垂直裂纹、穿透性气孔等）易漏判或误判；同时射线检测需严密保护措施，以防射线对人体造成伤害；检测设备复杂，成本高。

射线检测只适用于材料、工件的平面检测，对于异型件及T型焊缝、角焊缝等检测就无能为力了。

（2）超声波检测

超声波检测就是利用超声波在金属、非金属材料及其工件中传播时，材料（工件）的声学特性和内部组织的变化对超声波的传播产生一定的影响，通过对超声波受影响程度和状况的探测了解材料（工件）性能和结构变化的技术。

超声波检测和射线检测一样，主要用于检测材料（工件）的内部缺陷。检测灵敏度高、操作方便、检测速度快、成本低且对人体无伤害，但超声波检测无法判定缺陷的性质；检测结果无原始记录，可追溯性差。

超声波检测同样也具有着射线检测无法比拟的优势，它可对异型构件、角焊缝、T型焊缝等复杂构件的检测；同时，也可检测出缺陷在材料（工件）中的埋藏深度。

（3）磁粉检测

磁粉检测是利用漏磁和合适的检测介质发现材料（工件）表面和近表面的不连续性的。磁粉检测作为表面检测具有操作灵活、成本低的特点，但磁粉检测只能应用于铁磁性材料、工件（碳钢、普通合金钢等）的表面或近表面缺陷的检测，对于非磁性材料、工件（如：不锈钢、铜等）的缺陷就无法检测。

磁粉检测和超声波检测一样，检测结果无原始记录，可追溯性差，无法检测到材料、工件深度缺陷，但不受材料、工件形状的限制。

（4）渗透检验

渗透检验就是利用液体的毛细管作用，将渗透液渗入固体材料、工件表面开口缺陷处，再通过显像剂渗入的渗透液吸出到表面显示缺陷的存在的检测方法。

渗透检验操作简单、成本很低，检验过程耗时较长，只能检测到材料、工件的穿透性、表面开口缺陷，对仅存于内部的缺陷就无法检测。

（5）射线检测、超声波检测

射线检测、超声波检测是对材料、工件内部缺陷检测的主要手段，广泛应用于钢结构、锅炉、压力容器、铸造等行业。通过缺陷的性质、大小来判断缺陷的危害程度，同时判定缺陷的位置，以利于准确的修复。

磁粉检测、渗透检测作为表面缺陷和穿透性缺陷的检测，是对射线检测、超声波检测的有力补充。

TOFD 原理是当超声波遇到诸如裂纹等的缺陷时，将在缺陷尖端发生叠加到正常反射波上的 衍射波，探头探测到衍射波，可以判定缺陷的大小和深度。当超声波在存在缺陷的线性不连续处，如裂纹等处出现传播障碍时，在裂纹端点处除了正常反射 波以外，还要发生衍射现象。衍射能量在很大的角度范围内放射出并且假定此能量起源于裂纹末端。这与依赖于间断反射能量总和的常规超声波形成一个显著的对比。

根据TOFD的理论和特点,在检测后壁容器方面具有巨大的优势,在国内使用的初期阶段要充分发挥其有点,使用其他技术弥补其缺点,让TOFD技术更快的应用到检测中。(超声波检测的一种，目前无损检测研究部新发展的检测方向)1.不损坏试件材质和结构

无损检测的最大特点就是能在不损坏试件材质、结构的前提下进行检测，所以实施无损检测后，产品的检查率可以达到100%。但是，并不是所有需要测试的项目和指标都能进行无损检测，无损检测技术也有自身的局限性。某些试验只能采用破坏性试验，因此，在目前无损检测还不能代替破坏性检测。也就是说，对一个工件、材料、机器设备的评价，必须把无损检测的结果与破坏性试验的结果互相对比和配合，才能作出准确的评定。

2.正确选用最适当的无损检测方法

由于各种检测方法都具有一定的特点，为提高检测结果可靠性，应根据设备材质、制造方法、工作介质、使用条件和失效模式，预计可能产生的缺陷种类、形状、部位和取向，选择合适的无损检测方法。

3.综合应用各种无损检测方法

任何一种无损检测方法都不是万能的，每种方法都有自己的优点和缺点。应尽可能多用几种检测方法，互相取长补短，以保障承压设备安全运行。此外在无损检测的应用中，还应充分认识到，检测的目的不是片面追求过高要求的“高质量”，而是应在充分保证安全性和合适风险率的前提下，着重考虑其经济性。只有这样，无损检测在承压设备的应用才能达到预期目的。

4.宝冶钢结构检测实验室简介

工程技术公司的钢结构检测专业隶属宝冶建设，除“国家实验室认可（国家技术监督局认可委颁证）”、“宝钢工程质量监督站检测中心（原冶金部质量监督总站颁证）”共享资质、“上海市建设工程钢结构质量检测单位”和“上海宝钢冶金建设公司压力管道安装无损检测（GA、GB、GC）”等资质和资格，还单独具有“锅炉压力容器、压力管道、特种设备无损检测单位资格（国家质量监督检验检疫总局颁证）”、“无损检测专业承包壹级（建设部颁证）”并取得上海市环保局颁发的“辐射安全许可证证”，出具的检测报告数据科学、公正、准确，并可得到国际互认。

钢结构检测业务范围包括钢结构和特种设备的原材料、焊材、焊接件、紧固件、焊缝、螺栓球节点、涂料等材料和工程的全部规定的试验检测内容。

在提升单项检测技术的同时，注重发展和实现专业间的一体化，完善了成套的钢结构检测技术，包括钢结构力学性能检测（拉伸、弯曲、冲击、硬度）、钢结构紧固件力学性能检测（抗滑移系数、轴力）、钢结构金相检测分析（显微组织分析、显微硬度测试）、钢结构化学成分分析、钢结构无损检测、钢结构应力测试和监控、涂料检测等成套检测技术。

目前，配备的钢结构检测先进设备一应俱全，其中厚板检测用200t万能材料试验机，质量仲裁用的30t伺服式万能材料试验机，低温冲击试验机（-180℃）、数控式紧固件测试设备、美国进口的AA800原子吸收分析仪、俄罗斯引进的Se75γ射线探伤仪等设备均达到了上海市一流乃至国内领先水平。T、K、Y相贯焊缝节点超声波探伤技术、同位素Se75γ射线探伤在特种设备中的应用等特殊结构无损检测技术曾分别荣获上海市优秀发明选拨赛一、二等奖。

钢结构检测紧跟国际钢结构检测技术发展潮流，培养出一批高素质的钢结构检测专业技术人员，现拥有无损检测高级（Ⅲ）人员5名，中级（Ⅱ）人员28名，高级工程师12名，工程师16名，技师3名。

多年来，钢结构及特种承压设备检测专业队伍在冶金市场上，足迹遍布全国各大钢厂，特别是在宝钢一、二、三期，十五规划工程钢结构检测中积累了丰富的经验，除了以上还负责宝钢内全部压力容器、压力管道的在役检测，为了面向社会向更广阔的市场业务范围发展，我们足迹遍布全国，先后承接了上海磁悬浮列车、卢浦大桥、北京奥运工程——国家体育场（鸟巢）、央视大楼等重大工程钢结构检测以及天然气西气东输工程安徽芜湖三个标段的压力管道检测、宝钢化工压力容器、管道、反应塔等装置检测，另外我们还承接了上海高桥石化炼油装置的检测、上海焦化厂一氧化碳、乙烯等装置的管道检测，还承担了美国旧金山大桥辅桥钢结构工程等工程检测业务。

篇6：入侵检测

入侵检测系统功能主要有：

1:识别 常用入侵与攻击手段。

入侵检测技术通过分析各种攻击的特征，可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段，并做相应的防范。一般来说， 在进行入侵的第一步探测、收集网络及系统信息时，就会被ids捕获,向管理员发出警告。

2: 监控网络异常通信

ids系统会对网络中不正常的通信连接做出反应，保证网络通信的合法性;任何不符合网络安全策略的网络数据都会被ids侦测到并警告，

3:鉴别对系统漏洞及后门的利用

ids系统一般带有系统漏洞及后门的详细信息，通过对网络数据包连接的方式、连接端口以及连接中特定的内容等特征分析，可以有效地发现网络通信中针对系统漏洞进行的非法行为。

4:完善网络安全管理

ids通过对攻击或入侵的检测及反应，可以有效地发现和防止大部分的网络犯罪行为，给网络安全管理提供了一个集中、方便、有效的工具。使用ids系统的监测、统计分析、报表功能，可以进一步完善网络管理。

篇7：入侵检测技术论文

第一章 绪论

1.1 入侵检测技术的背景 1.2 程序设计的目的 第二章 入侵检测系统 2.1 网络入侵概述

2.2 网络存在的安全隐患

2.3 网络入侵与攻击的常用手段 2.4 入侵检测技术

2.4.1 误用入侵检测技术 2.4.2 异常入侵检测技术

第三章 协议分析 3.1 协议分析简介 3.2 协议分析的优势

第四章 PANIDS系统的设计及实现 4.1 PANIDS系统总体结构设计

4.2 系统基本信息读取模块的设计及实现 4.3 网络数据包捕获模块的设计及实现 4.4 基于协议分析的入侵检测模块的设计及实现 4.4.1 数据包的分解 4.4.2 入侵检测的实现 4.5 实验结果及结论

第五章 总结与参考文献

摘要

网络技术高速发展的今天，人们越来越依赖于网络进行信息的处理。因此，网络安全就显得相当重要，随之产生的各种网络安全技术也得到了不断地发展。防火墙、加密等技术，总的来说均属于静态的防御技术。如果单纯依靠这些技术，仍然难以保证网络的安全性。入侵检测技术是一种主动的防御技术，它不仅能检测未经授权的对象入侵，而且也能监视授权对象对系统资源的非法使用。传统的入侵检测系统一般都采用模式匹配技术，但由于技术本身的特点，使其具有计算量大、检测效率低等缺点，而基于协议分析的检测技术较好的解决了这些问题，其运用协议的规则性及整个会话过程的上下文相关性，不仅提高了入侵检测系统的速度，而且减少了漏报和误报率。本文提出了一种基于协议分析的网络入侵检测系统PANIDS的模型，在该模型中通过Winpcap捕获数据包，并对数据包进行协议分析，判断其是否符合某种入侵模式，从而达到入侵检测的目的。

关键词： 入侵检测，协议分析，PANIDS

第一章 绪论

1.1 入侵检测技术的背景

随着计算机网络的飞速发展，网络通信已经渗透到社会经济、文化和科学的各个领域；对人类社会的进步和发展起着举足轻重的作用，它正影响和改变着人们工作、学习和生活的方式。另外，Internet的发展和应用水平也已经成为衡量一个国家政治、经济、军事、技术实力的标志；发展网络技术是国民经济现代化建设不可缺少的必要条件。网络使得信息的获取、传递、存储、处理和利用变得更加有效、迅速，网络带给人们的便利比比皆是。然而，网络在给人们的学习、生活和工作带来巨大便利的同时也带来了各种安全问题。网络黑客可以轻松的取走你的机密文件，窃取你的银行存款，破坏你的企业帐目，公布你的隐私信函，篡改、干扰和毁坏你的数据库，甚至直接破坏你的磁盘或计算机，使你的网络瘫痪或者崩溃。因此，研究各种切实有效的安全技术来保障计算机系统和网络系统的安全，已经成为刻不容缓的课题。伴随着网络的发展，各种网络安全技术也随之发展起来。常用的网络安全技术有：数据加密、虚拟专用网络（VPN，Virtual Private Network）、防火墙、杀毒软件、数字签名和身份认证等技术。这些传统的网络安全技术，对保护网络的安全起到非常重要的作用，然而它们也存在不少缺陷。例如，防火墙技术虽然为网络服务提供了较好的身份认证和访问控制，但是它不能防止来自防火墙内部的攻击、不能防备最新出现的威胁、不能防止绕过防火墙的攻击，入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击。传统的身份认证技术，很难抵抗脆弱性口令、字典攻击、特洛伊木马、网络窥探器以及电磁辐射等攻击手段。虚拟专用网技术只能保证传输过程中的安全，并不能防御诸如拒绝服务攻击、缓冲区溢出等常见的攻击。另外，这些技术都属于静态安全技术的范畴；静态安全技术的缺点是只能静态和消极地防御入侵，而不能主动检测和跟踪入侵。而入侵检测技术是一种动态安全技术，它主动地收集包括系统审计数据，网络数据包以及用户活动状态等多方面的信息；然后进行安全性分析，从而及时发现各种入侵并产生响应。1.2 程序设计的目的

在目前的计算机安全状态下，基于防火墙、加密技术等的安全防护固然重要；但是要根本改善系统的安全现状，必须要发展入侵检测技术。它已经成为计算机安全策略中的核心技术之一。Intrusion Detection System（简称IDS）作为一种主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护。从网络安全立体纵深的多层次防御角度出发，入侵检测理应受到高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品；但目前我国的入侵检测技术还不够成熟，处于发展和跟踪国外技术的阶段，所以对入侵检测系统的研究非常重要。传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件与入侵规则相匹配。从网络数据包的包头开始与攻击特征字符串比较。若比较结果不同,则下移一个字节再进行；若比较结果相同,那么就检测到一个可 能 的攻击。这种逐字节匹配方法具有计算负载大及探测不够灵活两个最根本的缺陷。面对近几年不断出现的ATM、千兆以太网、G比特光纤网等高速网络应用,实现实时入侵检测成为一个现实的问题。适应高速网络的环境，改进检测算法以提高运行速度和效率是解决该问题的一个途径。协议分析能够智能地”理解”协议,利用网络协议的高度规则性快速探测攻击的存在,从而大大减少了模式匹配所需的运算。所以说研究基于协议分析的入侵检测技术具有很强的现实意义。

第二章 入侵检测系统

2.1 网络入侵概述

网络在给人们带来便利的同时也引入了很多安全问题。从防卫者的角度来看，网络安全的目标可以归结为以下几个方面 ：（1）网络服务的可用性。在需要时，网络信息服务能为授权用户提供实时有效的服务。

（2）网络信息的保密性。网络服务要求能防止敏感信息泄漏，只有授权用户才能获取服务信息。

（3）网络信息的完整性。网络服务必须保证服务者提供的信息内容不能被非授权篡改。完整性是对信息的准确性和可靠性的评价指标。

（4）网络信息的不可抵赖性。用户不能否认消息或文件的来源地，也不能否认接受了信息或文件。

（5）网络运行的可控性。也就是网络管理的可控性，包括网络运行的物理的可控性和逻辑或配置的可控性，能够有效地控制网络用户的行为及信息的传播范围。

2.2 网络存在的安全隐患

网络入侵从根本上来说，主要是因为网络存在很多安全隐患，这样才使得攻击者有机可乘。导致网络不安全的主要因素可以归结为下面几点：

（1）软件的Bug。众所周知，各种操作系统、协议栈、服务器守护进程、各种应用程序等都存在不少漏洞。可以不夸张的说，几乎每个互联网上的软件都或多或少的存在一些安全漏洞。这些漏洞中，最常见的有缓冲区溢出、竞争条件（多个程序同时访问一段数据）等。

（2）系统配置不当。操作系统的默认配置往往照顾用户的友好性，但是容易使用的同时也就意味着容易遭受攻击。这类常见的漏洞有：系统管理员配置不恰当、系统本身存在后门等。

（3）脆弱性口令。大部分人为了输入口令的时候方便简单，多数都使用自己或家人的名字、生日、门牌号、电话号码等作为口令。攻击者可以通过猜测口令或拿到口令文件后，利用字典攻击等手段来轻易破解口令。

（4）信息泄漏。入侵者常用的方法之一就是窃听。在广播式的局域网上，将网卡配置成”混杂”模式，就可以窃听到该局域网的所有数据包。如果在服务器上安装窃听软件就可以拿到远程用户的帐号和口令。

（5）设计的缺陷。最典型的就是TCP/IP协议，在协议设计时并没有考虑到安全因素。虽然现在已经充分意识到了这一点，但是由于TCP/IP协议已经广泛使用，因此暂时还无法被完全代替。另外，虽然操作系统设计的时候考虑了很多安全因素，但是仍然无法避免地存在一些缺陷。例如，广泛使用的Windows操作系统，几乎每隔几个月都要出一定数量的安全补丁，就是因为系统存在很多安全隐患。2.3 网络入侵与攻击的常用手段

长期以来，黑客攻击技术没有成为系统安全研究的一个重点，一方面是攻击技术很大程度上依赖于个人的经验以及攻击者之间的交流，这种交流通常都是地下的，黑客有他们自己的交流方式和行为准则，这与传统的学术研究领域不相同；另一方面，研究者还没有充分认识到：只有更多地了解攻击技术，才能更好地保护系统的安全。下面简单介绍几种主要的攻击类型。1.探测攻击

通过扫描允许连接的服务和开放端口，能迅速发现目标主机端口的分配情况以及所提供的各项服务和服务程序的版本号。另外通过扫描还可以探测到系统的漏洞等信息。黑客找到有机可乘的服务或端口后就可以进行攻击了。常见的探测扫描程序有：SATAN、NTScan、X_Scan、Nessus等。2.网络监听

将网卡设置为混杂模式，对已流经某个以太网段的所有数据包进行监听，以获取敏感信息，如包含了”usename”或”password”等信息的数据包。常见的网络监听工具有：NetRay、Sniffer、Etherfind、Snoop、Tcpdump等。3.解码类攻击

通过各种方法获取password文件，然后用口令猜测程序来破译用户帐号和密码。常见的解码工具有：Crack、LophtCrack等。

2.4 入侵检测技术

入侵检测技术可以分为两大类：异常入侵检测技术和误用入侵检测技术。下面分别介绍这两种入侵检测技术。2.4.1 误用入侵检测技术

误用入侵检测首先对表示特定入侵的行为模式进行编码，建立误用模式库；然后对实际检测过程中得到的审计事件数据进行过滤，检查是否包含入侵特征串。误用检测的缺陷在于只能检测已知的攻击模式。常见的误用入侵检测技术有以下几种：

1.模式匹配

模式匹配是最常用的误用检测技术，特点是原理简单、扩展性好、检测效率高、可以实时检测；但是只能适用于比较简单的攻击方式。它将收集到的信息与已知的网络入侵和系统误用模式串进行比较，从而发现违背安全策略的行为。著名的轻量级开放源代码入侵检测系统Snort就是采用这种技术。2.专家系统

该技术根据安全专家对可疑行为的分析经验来形成一套推理规则，然后在此基础上建立相应的专家系统来自动对所涉及的入侵行为进行分析。该系统应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。专家系统方法存在一些实际问题：处理海量数据时存在效率问题，这是由于专家系统的推理和决策模块通常使用解释型语言来实现，所以执行速度比编译型语言慢；专家系统的性能完全取决于设计者的知识和技能；规则库维护非常艰巨，更改规则时必须考虑到对知识库中其他规则的影响等等。3.状态迁移法

状态迁移图可用来描述系统所处的状态和状态之间可能的迁移。状态迁移图用于入侵检测时，表示了入侵者从合法状态迁移到最终的危害状态所采取的一系列行动。

在检测未知的脆弱性时，因为状态迁移法强调的是系统处于易受损的状态而不是未知入侵的审计特征，因此这种方法更具有健壮性。而它潜在的一个弱点是太拘泥于预先定义的状态迁移序列。这种模型运行在原始审计数据的抽象层次上，它利用系统状态的观念和事件的转变流；这就有可能提供了一种既能减少误警率又能检测到新的攻击的途径。另外，因为涉及了比较高层次的抽象，有希望把它的知识库移植到不同的机器、网络和应用的入侵检测上。2.4.2 异常入侵检测技术

异常检测是通过对系统异常行为的检测来发现入侵。异常检测的关键问题在于正常使用模式的建立，以及如何利用该模式对当前系统或用户行为进行比较，从而判断出与正常模式的偏离程度。”模式”（profiles）通常使用一组系统的度量（metrics）来定义。度量，就是指系统或用户行为在特定方面的衡量标准。每个度量都对应于一个门限值。常用的异常检测技术有： 1.统计分析

最早的异常检测系统采用的是统计分析技术。首先，检测器根据用户对象的动作为每个用户建立一个用户特征表，通过比较当前特征与已存储定型的以前特征，从而判断是否异常行为。统计分析的优点：有成熟的概率统计理论支持、维护方便，不需要象误用检测系统那样不断地对规则库进行更新和维护等。统计分析的缺点：大多数统计分析系统是以批处理的方式对审计记录进行分析的，不能提供对入侵行为的实时检测、统计分析不能反映事件在时间顺序上的前后相关性，而不少入侵行为都有明显的前后相关性、门限值的确定非常棘手等。2.神经网络

这种方法对用户行为具有学习和自适应功能，能够根据实际检测到的信息有效地加以处理并做出入侵可能性的判断。利用神经网络所具有的识别、分类和归纳能力，可以使入侵检测系统适应用户行为特征的可变性。从模式识别的角度来看，入侵检测系统可以使用神经网络来提取用户行为的模式特征，并以此创建用户的行为特征轮廓。总之，把神经网络引入入侵检测系统，能很好地解决用户行为的动态特征以及搜索数据的不完整性、不确定性所造成的难以精确检测的问题。利用神经网络检测入侵的基本思想是用一系列信息单元（命令）训练神经单元，这样在给定一组输入后，就可能预测输出。将神经网络应用于攻击模式的学习，理论上也是可行的。但目前主要应用于系统行为的学习，包括用户以及系统守护程序的行为。与统计理论相比，神经网络更好地表达了变量间的非线性关系，并且能自动学习并更新。

神经网络也存在一些问题：在不少情况下，系统趋向于形成某种不稳定的网络结构，不能从训练数据中学习特定的知识，这种情况目前尚不能完全确定产生的原因；另外，神经网络对判断为异常的事件不会提供任何解释或说明信息，这导致了用户无法确认入侵的责任人，也无法判断究竟是系统哪方面存在的问题导致了攻击者得以成功入侵。

前面介绍了误用检测和异常检测所使用的一些常用检测手段，在近期入侵检测系统的发展过程中，研究人员提出了一些新的入侵检测技术。这些技术不能简单地归类为误用检测或异常检测，它们提供了一种有别于传统入侵检测视角的技术层次。这些新技术有：免疫系统、基因算法、数据挖掘、基于代理的检测等等，他们提供了更具有普遍意义的分析检测技术，或者提出了新的检测系统构架，因此无论是对误用检测还是对异常检测来说都可以得到很好的应用。

第三章 协议分析

3.1 协议分析简介 1.以太帧协议分析

这是对以太网数据帧头进行协议分析，并把分析的结果记入Packet结构中。分析完以太帧头后把数据包传送到下一级协议分析程序中。数据帧的第13和14两个字节组成的字段是协议类型字段。如果用十六进制表示，那么IP协议对应0X0800、ARP对应0X0806、RARP对应0X0835。2.ARP和RARP数据包协议分析

这是对ARP或RARP数据进行协议分析，并把协议分析后的数据送入基于ICMP协议规则集的匹配检测模块进行检测，查看是否存在ARP和RARP相关的攻击。由于基于ARP/RARP协议的攻击较少，所以把他们归入ICMP协议规则集中。3.IP数据包协议分析

这是对IP 数据包进行协议分析，并把协议分析后的数据送入基于IP协议规则集的匹配检测程序中进行检测。IP数据包首部的第一个字节的后面4个比特组成的字段标识了IP首部的长度。该字段的值乘以4就等于IP首部的长度。没有包含IP选项的普通IP首部长度为20，如果大于20就说明此IP数据包包含IP首部。第5和第6个字节是IP数据包的16位标识，每一IP数据包都有唯一的标识。该标识在IP数据包分片重组时中起到至关重要的作用，每个分片就是通过检查此ID号来判别是否属于同一个IP包。第7个字节开始的前3个比特是重要的标志位：第一个标志位（最高位）为保留位（该位必须为0，否则就是一个错误的IP数据包），第二个标志位DF指示该IP数据包能否分片（该位为0则表示该IP数据包可以分片，为1则不能分片），第三个标志位MF指示该数据包是否为最后一个分片（该位为0表示此数据包是最后一个分片，为1表示不是最后一个分片）。从MF标志位开始的后面13个比特位记录了分片的偏移量。分片的IP数据包，各个分片到目的端才会重组；传输过程中每个分片可以独立选路。如何才能重组一个分片了的IP数据包呢？首先，16位分片ID（Fragment ID）标识了每个IP数据包的唯一性。数据包分片后，它的每个分片具有相同的标识。其次，通过每个分片的片偏移量可以确定每个分片的位置，再结合MF可以判断该分片是否为最后一个分片。综合上述信息，就可以顺利的重组一个数据包。分片重组对网络入侵检测系统具有重要意义。首先，有一些攻击方法利用了操作系统协议栈中分片合并实现上的漏洞，例如著名的TearDrop攻击就是在短时间内发送若干偏移量有重叠的分片，目标机接收到这样的分片的时候就会合并分片，由于其偏移量的重叠而发生内存错误，甚至会导致协议栈的崩溃。这种攻击手段单从一个数据包上是无法辨认的，需要在协议分析中模拟操作系统的分片合并，以发现不合法的分片。另外，Tiny Fragment（极小分片）等攻击方法，将攻击信息隐藏在多个微小分片内来绕过入侵检测系统或防火墙的检测从而达到攻击的目的。对付这种攻击也需要在检测的过程中合并碎片，恢复数据包的真实面目。

IP包头的第10个字节开始的后面八个比特位表示了协议的类型：其中1表示ICMP协议，2表示IGMP协议，6表示TCP协议，17表示UDP协议。（这些数字是十进制的）。对IP数据包检测完毕后，如果检测到攻击就记录该数据包，然后重新开始检测一个新的原始数据包。如果没有检测到攻击，则在判断上层协议类型之后就把数据包分流到TCP、UDP等协议分析程序中进行进一步协议分析。4.TCP数据包协议分析

这是对TCP数据包进行协议分析，并把协议分析后的数据送入基于TCP协议规则集的匹配检测程序中进行检测。首先读入TCP数据包，对TCP包头进行协议分析；并检查是否有TCP选项，如果有的话就对TCP选项进行协议分析。然后，判断该TCP数据包是否发生分段，如果发生了分段就进行TCP重组。再把重组后的数据包送入基于TCP协议规则集的匹配检测程序进行检测。如果检测到攻击就记录下该攻击数据包，以备攻击取证等使用。记录数据包后又返回，重新读取一个新的数据包。如果没有检测到攻击，就把该数据包送入下一级协议分析模块中，作进一步的协议分析。

5.ICMP数据包协议分析

这是对ICMP数据包进行协议分析，并把协议分析后的数据送入基于ICMP协议规则集的匹配检测程序中进行检测。ICMP报文有很多类型，根据报文中的类型字段和代码字段就可以区分每一种ICMP报文类型。6.UDP协议分析

这是对UDP数据包进行协议分析，并把协议分析后的数据送入基于UDP协议规则集的匹配检测程序中进行检测。如果检测到攻击就记录该数据包，然后返回并读取下一个数据包。如果没有检测到攻击，那么就把数据包送入基于应用层协议规则集的检测模块进行进一步的检测分析。应用层协议很复杂，这里不进行详细讨论。

3.2 协议分析的优势（1）提高性能：当系统提升协议栈来解析每一层时，它用已获得的知识来消除在数据包结构中不可能出现的攻击。比如4层协议是TCP，那就不用再搜索其他第四层协议如UDP上形成的攻击。如果数据包最高层是简单网络管理协议SNMP（Simple Network Management Protocol），那就不用再寻找Telnet或HTTP攻击。这样检测的范围明显缩小，而且更具有针对性；从而使得IDS系统性能得到明显改善。

（2）能够探测碎片攻击等基于协议漏洞的攻击：在基于协议分析的IDS中，各种协议都被解析。如果出现IP分片，数据包将首先被重装；然后再对整个数据包进行详细分析来检测隐藏在碎片中的潜在攻击行为。这是采用传统模式匹配技术的NIDS所无法做到的。（3）降低误报和漏报率：协议分析能减少传统模式匹配NIDS系统中常见的误报和漏报现象。在基于协议分析的NIDS系统中误报率会明显减少，因为它们知道和每个协议有关的潜在攻击的确切位置以及该位置每个字节的真正含义。例如，针对基于协议分析的IDS不但能识别简单的路径欺骗：例如把CGI攻击”/cgi-bin/phf”变为”/cgi-bin/./phf”或”/cgi-binphf”；而且也能识别复杂的HEX编码欺骗：例如”/winnt/system32/cmd.exe”，编码后变为”/winnt/system32/%2563md.exe”，通过协议分析%25 解码后为‘%’，%63解码后为‘c’，这样就解析出了攻击串。又如针对Unicode（UTF-8）的编码欺骗（与ASCII字符相关的HEX编码一直到％7f，Unicode编码值要高于它），攻击串编码后得到”/winnt/system32%c0%afcmd.exe”，通过解码可知%c0%af在Unicode中对应/,所以解码后就能顺利还原出攻击串。第四章 PANIDS系统的设计及实现

4.1 PANIDS系统总体结构设计

PANIDS系统 主要由系统基本信息读取模块、网络数据包捕获模块、基于协议分析的入侵检测模块、响应模块和控制管理中心等几部分组成。4.2 系统基本信息读取模块的设计及实现

为了更好的显示出本机的特性，在此PANIDS系统中特别增加系统基本信息读取模块。通过此模块能显示出主机名和本机的IP地址和所使用的Winsock的版本

在此模块中主要用到函数gethostname()和gethostbyname()。gethostname()函数作用是获取本地主机的主机名，其定义如下：

int PASCAL FAR gethostname(char FAR * name, int namelen);name：用于指向所获取的主机名的缓冲区的指针。Namelen：缓冲区的大小，以字节为单位。

gethostbyname()在此模块中是一个主要函数，该函数可以从主机名数据库中得到对应的”主机”。其定义如下：

#include struct hostent FAR *PASCAL FAR gethostbyname(const char FAR * addr)name：指向主机名的指针。

gethostbyname()返回对应于给定主机名的包含主机名字和地址信息的hostent结构指针。结构的声明与gethostaddr()中一致。如果没有错误发生，gethostbyname()返回如上所述的一个指向hostent结构的指针，否则，返回一个空指针。hostent结构的数据结构如下： struct hostent { char *h_name;//地址的正式名称

char **h_aliases;//空字节-地址的预备名称的指针 int h_addrtype;//地址类型，通常是AF_INET int h_length;//地址的比特长度

char **h_addr_list;//零字节-主机网络地址指针,网络字节顺序 };返回的指针指向一个由Windows Sockets实现分配的结构。应用程序不应该试图修改这个结构或者释放它的任何部分。此外，每一线程仅有一份这个结构的拷贝，所以应用程序应该在发出其他Windows Scokets API调用前，把自己所需的信息拷贝下来。

gethostbyname()实现没有必要识别传送给它的IP地址串。对于这样的请求，应该把IP地址串当作一个未知主机名同样处理。如果应用程序有IP地址串需要处理，它应该使用inet_addr()函数把地址串转换为IP地址，然后调用gethostbyaddr()来得到hostent结构。4.3 网络数据包捕获模块的设计及实现 网络数据包捕获的方法有很多，比如既可以利用原始套接字来实现，也可以通过Libpcap、Jpcap和WinPcap 提供的接口函数来实现。Libpcap、Jpcap和WinPcap是世界各地的网络专家共同努力的结果，为开发者提供了很多高效且与系统无关的网络数据包截获接口函数；所以在性能上一般比采用普通的套接字方法要好。LibPcap是一个优秀跨平台的网络抓包开发工具，JPcap是它的一个Java版本。WinPcap在某种程度上可以说它是LibPcap的一个Windows版本，因为它们的大部分接口函数以及所采用的数据结构都是一样的。另外，WinPcap在某些方面进行了优化，还提供了发送原始数据包和统计网络通信过程中各种信息的功能（LibPcap没有统计功能），方便进行测试；所以采用WinPcap所提供的库函数来截获网络数据包。

Winpcap捕获数据包的实现

1.网络数据包捕获的主要数据结构(1)PACKET结构

typedef struct _PACKET { HANDLE hEvent;OVERLAPPED OverLapped;PVOID Buffer;//这个buffer就是指向存放数据包的用户缓冲区 UINT Length;//buffer的长度

DWORD ulBytesReceived;//调用PacketReceivePacket()函数所读 //取的字节数,可能包含多个数据包 BOOLEAN bIoComplete;} PACKET, *LPPACKET;其他未注释的几个成员,都是过时的成员,他们的存在只是为了与原来的兼容。此结构主要用来存放从内核中读取的数据包。(2)pcap_file_header 结构 struct pcap_file_header{ bpf_u_int32 magic;//一个标识号，标识特定驱动器产生的dump文件 u_short version_major;//WinPcap的主版本号 u_short version_minor;//WinPcap的次版本号

bpf_int32 thiszone;//GMT时间与本地时间的校正值 bpf_u_int32 sigfigs;//精确的时间戳

bpf_u_int32 snaplen;//每个数据包需要存放到硬盘上的最大长度 bpf_u_int32 linktype;//链路层的数据类型 };//这个头部共24个字节

把截获的数据包以标准的Windump格式存放到硬盘上时，就是以这个结构 作为文件的开头。(3)bpf_hdr结构 struct bpf_hdr { struct timeval bh_tstamp;//数据包捕获的时间戳信息 UINT bh_caplen;//数据包被捕获部分的长度 UINT bh_datalen;//数据的原始长度 USHORT bh_hdrlen;//此结构的长度 };从内核中读取数据包并存放在用户缓冲区中时，采用此结构来封装所截获的 数据包。其中timeval的结构如下 struct timeval { long tv_sec;//以秒为单位的时间 long tv_usec;//以毫秒为单位的时间 };(4)dump_bpf_hdr结构 struct dump_bpf_hdr{ struct timeval ts;//数据包捕获的时间戳 UINT caplen;//数据包被捕获部分的长度 UINT len;//数据包的原始长度 };把数据包存放到硬盘上或者向网络上发送数据包时，都使用此结构来封装每一个数据包。

2.数据包捕获的具体实现

在了解其数据结构的基础上，下面来分析其是如何具体实现网络数据包捕获的。其前期的主要过程应为：首先应找到设备列表，然后显示适配器列表和选择适配器，最后通过pcap_open_live（）函数根据网卡名字将所选的网卡打开，并设置为混杂模式。

用Winpacp捕获数据包时，数据包捕获的程序流程图如图4.3所示，其中pcap_loop()是截包的关键环节，它是一个循环截包函数，分析此函数的源码可知，其内部主要处理过程如图4.4所示。在pcap_loop()的每次循环中，首先通过调用PacketReceivePacket()函数，从内核缓冲区中把一组数据包读取到用户缓冲区。然后，根据bpf_hdr结构提供的该数据包的定位信息，把用户缓冲区的多个数据包逐个的提取出来，并依次送入回调函数进行进一步处理。通过这个过程就实现了网络数据包的捕获。

4.4 基于协议分析的入侵检测模块的设计及实现

此模块是基于协议分析入侵检测系统PANIDS的核心部分，下面我们重点讨论此模块的设计及实现。4.4.1 数据包的分解 当需要发送数据时，就需要进行封装。封装的过程就是把用户数据用协议来进行封装，首先由应用层协议进行封装，如HTTP协议。而HTTP协议是基于TCP协议的。它就被TCP协议进行封装，http包作为TCP数据段的数据部分。而TCP协议是基于IP协议的，所以TCP段就作为IP协议的数据部分，加上IP协议头，就构成了IP数据报，而IP数据报是基于以太网的，所以这个时候就被封装成了以太网帧，这个时候就可以发送数据了。通过物理介质进行传送。在这里我们所用到的是数据包的分解。分解的过程与封装的过程恰恰相反，这个时候就需要从一个以太网帧中读出用户数据，就需要一层一层地进行分解，首先是去掉以太网头和以太网尾，在把剩下的部分传递给IP层软件进行分解，去掉IP头，然后把剩下的传递给传输层，例如TCP协议，此时就去掉TCP头，剩下应用层协议部分数据包了，例如HTTP协议，此时HTTP协议软件模块就会进一步分解，把用户数据给分解出来，例如是HTML代码。这样应用软件就可以操作用户数据了，如用浏览器来浏览HTML页面。其具体的数据包分解如下：

ethernet =(struct sniff_ethernet*)(pkt_data);ip =(struct sniff_ip*)(pkt_data + size_ethernet);tcp =(struct sniff_tcp*)(pkt_data + size_ethernet + size_ip);udp =(struct sniff_udp*)(pkt_data + size_ethernet + size_ip);icmp =(struct sniff_icmp*)(pkt_data + size_ethernet + size_ip);4.4.2 入侵检测的实现

通过Winpcap捕获数据包，数据包分解完以后就对其进行协议分析，判断分组是否符合某种入侵模式，如果符合，则进行入侵告警。在本系统中实现了对多种常见入侵模式的检测，采用的入侵模式包括ICMP分片、常用端口、IGMP分片、WinNuke攻击、应用层攻击。1.ICMP分片

ICMP报文是TCP/IP协议中一种控制报文，它的长度一般都比较小，如果出现ICMP报文分片，那么说明一定出现了Ping of Death攻击。

在本系统中ip->ip_p == 0×1，这是表示ip首部的协议类型字段，0×1代表ICMP。

string str1 = inet_ntoa(in_addrIP);string str2 = inet_ntoa(ip->ip_src);当(ip->ip_off > 1)&& str1!= str2时，就表认为是Ping of Death攻击。如果都符合，就报警（调用函数将受到攻击的时间、攻击名称以及攻击的IP地址显示出来）。

2.常用端口

一些攻击特洛伊木马、蠕虫病毒等都会采用一些固定端口进行通信，那么如果在分组分析过程中发现出现了某个端口的出现，则可以认为可能出现了某种攻击，这里为了减少误判，应当设置一个阈值，仅当某个端口的分组出现超过阈值后才进行报警。这就意味着检测到发往某个端口的的分组超过阈值后才认为出现了某种攻击，并进行告警。本系统定义了两种端口扫描，Trojan Horse端口扫描和代理服务器端口扫描。Trojan Horse端口扫描实现如下：首先根据if((tcp->th_flags & TH_SYN)==TH_SYN)判断其是否为TCP SYN报文，若是，并且端口为Trojan Horse的常用扫描端口时，最后判断报文数是否超过阈值TrojanThreshold，如果超过的后，就被认定为Trojan Horse端口扫描，然后报警。对代理服务器端口扫描检测的实现方法和Trojan Horse端口扫描实现方法一样，这里不再论述。

3.IGMP分片

IGMP（Internet Group Message Protocol）是Internet中多播组管理协议，其长度也一般较小。同上ip->ip_p==0×2也是表示首部的协议类型字段，0×2代表IGMP，本系统实现了对其两种攻击模式的检测。

（1）通过if(ntohs(ip->ip_len)>1499)首先判断其是否为分片的IGMP报文，若是，并且收到的报文数超过设定的阈值IGMPThreshold，则就最终判定其为IGMP DoS攻击，然后报警。

（2）通过if(strcmp(mbf,mbuffer)==0||strcmp(mbf,”0.0.0.0″)==0)判断其是否为某种特定的源地址等于目的地址或者目的地址等于0的报文，若是，并且收到的报文数超过设定的阈值LandThreshold则被判定为land DoS攻击,然后报警。

4.WinNuke攻击 通过if((tcp->th_flags & TH_URG)==TH_URG)判断其是否为TCP URG报文，若是，则根据WinNuke的典型特征是使用TCP中的Ugrent指针，并使用135、137、138、139端口，因此可以利用这两个特征加以判断，同样为了减少误判，应当设置一个阈值。当阈值超过设定的WinNukeThreshold时，就被最终判定为WinNuke攻击，然后报警。5.应用层攻击

其是分析应用层的数据特征，判断是否存在入侵。在本系统中实现了对一种较为简单的应用层攻击的检测。它也是属于TCP SYN报文中的一种。主要思想是监测报文中是否存在system32关键字，如果存在，则报警。

4.5 实验结果及结论

程序编译成功后，执行可执行文件，此时系统已被启动，然后在”设置”菜单中将网卡设为混杂模式，点击”开始”按钮，本系统开始检测。由实验结果可知，本系统能较好的检测出一些典型攻击，并能在界面上显示出攻击日期/时间、攻击的类型、攻击源的IP地址，达到了预期的效果。

第五章 总结与参考文献

入侵检测是一种积极主动的安全防护技术；它既能检测未经授权的对象入侵系统，又能监视授权对象对系统资源的非法操作。入侵检测与防火墙、身份认证、数据加密、数字签名等安全技术共同构筑了一个多层次的动态安全体系。本文主要对基于网络的入侵检测系统的关键技术进行了研究和探讨。首先较全面、系统地分析了入侵检测技术的历史、现状和发展趋势、了解了黑客常用的攻击手段及其原理。然后，系统地阐述了入侵检测的原理。接着讲述了协议分析和模式匹配技术，最后，针对当前典型的网络入侵，设计并实现了一个基于协议分析的网络入侵检测系统PANIDS，实现了多层次的协议分析，包括基本协议的解析、协议上下文的关联分析以及应用层协议的分析，并取得了较为满意的检测效果。

[1] 戴英侠，连一峰，王航.系统安全与入侵检测[M].北京：清华大学出版社 [2] 聂元铭，丘平.网络信息安全技术[M].北京：科学出版社

篇8：入侵检测系统浅析

一、入侵检测系统的定义及其发展的必然性

入侵检测技术是一种网络信息安全新技术, 它通过计算机网络或计算机系统中的若干关键点收集信息并进行分析, 从中发现网络或系统中是否有违反安全策略的行为和遭遇袭击的迹象。而这种能够分析系统安全相关数据来检测入侵活动的系统则称作入侵检测系统。

由于网络本身的复杂性, 再加上防火墙自身存在的局限性和脆弱性, 被动式防御显得力不从心, 而入侵检测系统则通过对网络进行监测, 提供对内部、外部攻击和错误操作的实时检测并采取相应的手段, 主动地保护系统免受攻击, 恰恰弥补了防火墙的不足。因此, 入侵检测系统被认为是防火墙之后的第二道安全闸门。

二、入侵检测系统的结构

入侵检测系统主要由事件产生器、事件分析器、事件数据库和响应单元四部分组成。

事件产生器负责原始数据采集, 然后将收集到的原始数据转换为事件向事件分析器提供;事件分析器接收事件信息后, 通过模式匹配、统计分析、完整性分析等方法对其进行分析, 判断是否为入侵行为或异常现象, 最后将判断结果转变为警告信息, 并由响应单元作出反应。事件数据库则负责存储整个分析过程中的所有数据。

三、入侵检测的分类

1. 从技术上讲入侵检测分为误用检测、异常检测和协议分析三类。

(1) 误用检测:是基于模式匹配原理, 它首先把各种可能入侵活动均用某种模式表示出来, 建立模式数据库, 并对主体活动进行监视, 当主体活动违反了事先定义的模式规则时, 根据模式匹配原则判断是否发生攻击。误用检测具有较低的误报率, 但漏报率较高, 攻击特征的细微变化都会使之无能为力。

(2) 异常检测:是基于统计分析的原理, 它首先把主体的各种正常活动用定量的方式加以描述, 并建立“正常活动数据库”, 当出现某种活动与分析所描述的正常活动存在差异时, 则认为是入侵行为, 进而被检测识别。其检测效率主要取决于用户定义“正常活动数据库”的完备性和监控的频率。它的最大优点是不需要对每种行为进行定义就可检测出未知的入侵, 并具有简单的学习功能。异常检测模式明显降低了漏报率, 但误报率随之增高。此外, 这种模式的系统还可根据用户行为的改变进行自我调整和优化, 随着检测模型的逐步精确, 异常检测将消耗较多的系统资源。

(3) 协议分析:它是根据针对协议分析攻击行为实现的, 首先把各种可能针对协议的攻击行为描述出来, 其次建立用于分析的规则库, 利用传感器检查协议中的有效荷载, 并详细解析, 实现入侵检测。协议分析的优点是效率高, 能检测出特殊漏洞脚本。

2. 按数据来源可分为基于主机的入侵检测、基于网络的入侵检测和分布式结构的入侵检测。

(1) 基于主机的入侵检测 (也称HIDS) :安装在被保护的主机上用于保护单台主机不受网络攻击侵害。它通过对系统文件、进程记录等对象的检测, 帮助系统管理员发现入侵行为或入侵企图, 及时采取措施加以补救。HIDS检测准确度高, 可检测到没有明显行为特征的入侵, 能够对不同操作系统进行有针对性的检测, 适用于加密和交换环境, 具有较低的成本, 并且不受网络流量影响。但HIDS的缺点也不容忽视, 它检测的实时性较差, 占用主机资源, 能检测出攻击类型有限, 检测效果取决于日志系统, 且隐蔽性较差, 这些缺陷大大限制了HIDS的广泛应用。

(2) 基于网络的入侵检测 (NIDS) :用于防止对某网络的入侵, 放置在防火墙附近, 使用原始的网络分组数据包作为进行攻击分析的数据源, 利用网络适配器来实时监视和分析所有通过网络进行传输的通信。当检测到攻击行为时, 入侵检测系统应答模块通过通知、报警、中断连接等方式做出反应。NIDS可对网络上的端口扫描、IP欺骗等常见的攻击行为进行检测, 与HIDS相区别的是它可以同时保护多台主机而不影响被保护主机的性能, 并且具有良好的隐蔽性, 可有效地保护入侵证据。虽然NIDS与HIDS相比有了许多优点, 但它自身也存在着许多不足之处, 表现在:防入侵欺骗能力较差, 根据网络系统结构特点精心策划和组织的数据包可导致NIDS和被保护主机所收到的数据包完全不同, 从而绕过NIDS的检测;检测受硬件条件限制较大, 检测端口处理速度严重影响着检测的效率;不能对加密后的数据进行处理, 而目前网络上需要保护的数据大部分都是经加密过后再传输的。NIDS的这些缺陷也限制了它的广泛应用。

(3) 分布式入侵检测:采用分布式智能代理结构, 由一个中央智能代理和多个分布在网络各地的本地代理组成。其中每个本地代理都负责监控网络信息流的一个方面, 多个本地代理相互协作、分布检测共同完成一项监测任务;中央代理负责调控各个本地代理工作, 以及从整体上完成对网络事件进行综合分析的工作。

四、总结

综上所述, 入侵检测系统还存在着许多不足, 例如:入侵检测还不够智能、检测方法不可能十全十美、仍需要太多的人力介入等, 这些都需要不断完善和发展, 随着网络技术的不断发展, 将会有更多的新技术应用到入侵检测系统中。但是如果打造理想的网络安全环境单靠入侵检测系统是远远不够的, 必须采用安全工作风险管理的理论来处理问题, 将网络安全作为一个整体工程, 从管理、网络结构、防火墙、防病毒、入侵检测、漏洞扫描等多方面综合进行防护。

参考文献

[1]袁德明.计算机网络安全[M].北京科学出版社.2007.

[2]马晓绛.计算机网络安全技术[M].北京科学出版社.2004.

[3]冯登国.网络安全原理与技术[M].北京科学出版社.2004

[4]顾巧论.计算机网络安全[M].北京科学出版社.2003.