基于NDIS與SPI的入侵檢測系統(tǒng)研究.pdf

1、入侵檢測系統(tǒng)(Intrusion Detection System，簡稱IDS)，作為一種積極主動的安全防護工具，提供了對內(nèi)部攻擊和外部攻擊的實時防護，在計算機網(wǎng)絡(luò)遭受破壞之前進行報警、攔截和響應。它很好的彌補了訪問控制，身份認證，防火墻等傳統(tǒng)機制所不能解決的問題，近幾年也得到了迅速的發(fā)展。 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)以網(wǎng)絡(luò)數(shù)據(jù)作為原始數(shù)據(jù)源，實時地分析網(wǎng)絡(luò)上的通信。與基于主機的入侵檢測相比，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)己經(jīng)成為入侵檢測系

2、統(tǒng)的主流。而數(shù)據(jù)捕獲技術(shù)是網(wǎng)絡(luò)入侵檢測系統(tǒng)中最基本也是最關(guān)鍵的技術(shù)，捕獲的效率直接影響到系統(tǒng)的性能。但是隨著網(wǎng)絡(luò)帶寬飛速增長，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)面臨這一困難。 本文在分析了入侵檢測系統(tǒng)結(jié)構(gòu)，及各種數(shù)據(jù)包捕獲技術(shù)的基礎(chǔ)上，提出了一種基于NDIS(Network Driver Interface Specification)與SPI(Service Provider Interface)技術(shù)相結(jié)合的數(shù)據(jù)包捕獲方案，并設(shè)計實現(xiàn)了基

3、于這一方案的入侵檢測系統(tǒng)，主要工作如下： 1) 首先對入侵檢測進行了簡單的介紹——討論入侵檢測定義、分類、發(fā)展及其模型，并分析了傳統(tǒng)入侵檢測系統(tǒng)存在的局限性。 2) 分析了傳統(tǒng)入侵檢測系統(tǒng)存在局限性，并得出了其性能低下的兩個主要原因：其一是，包捕獲引擎不能高效全面地捕獲包。其二是，分析引擎所采用的分析算法速度不高，不能適應高速環(huán)境的要求。 3) 針對入侵檢測系統(tǒng)捕獲模塊效率不高，進行了改進，提出了一個基于NDIS

4、與SPI的包捕獲引擎的設(shè)計方案，利用NDIS與SPI相結(jié)合，充分地利用兩者的長處。在應用層利用SPI進行封包來捕獲各種應用程序數(shù)據(jù)；而在核心層利用NDIS來捕獲各種非Socket通信的數(shù)據(jù)包。同時也對公共核心模塊，日志文件及控管規(guī)則文件進行了設(shè)計與實現(xiàn)。 4) 將誤用檢測中的協(xié)議分析技術(shù)和模式匹配技術(shù)應用到系統(tǒng)的分析模塊。以雙層的檢測技術(shù)增強系統(tǒng)的靈活性和安全性。 5) 通過系統(tǒng)整體測試，證明了NIDS與SPI相結(jié)合的捕