Windows下入侵检测系统的研究与设计

591论文网下入侵检测系统的研究与设计摘要入侵检测技术是对传统的安全技术（如防火墙）的合理补充。它通过监视主机系统或网络，能够对恶意或危害计算机资源的行为进行识别和响应。通过与其它的安全产品的联动，还可以实现对入侵的有效阻止。入侵检测系统的研究和实现已经成为当前网络安全的重要课题。本文从研究入侵技术入手，分析了入侵过程的各个阶段、各种入侵方法，总结了网络安全事故的根源。然后，介绍了入侵检测方法的分类，分析了各种入侵检测方法和字符串匹配的算法。研究表明基于规则的入侵检测系统是现在入侵检测系统设计的最主要的技术，基于这一理论，设计开发了一个基于规则匹配的特征检测方法的响应模块。系统开发环境为VC++6.0，数据库采用MYSQL数据库。通过该系统可以有效的实现对入侵的检测，并且具有用户友好性。关键词:入侵检测；响应模块；规则匹配591论文网——DesignofResponseModuleAbstractTheintrusiondetectiontechnologyiscomplementaritiesfortraditionalsecurityprotectingtechnology,suchasfirewalls.ItcanidentifyandresponsetomaliceactivitiesbymonitoringthehostsystemortheInternet.Italsocanpreventintrusionactivitieswiththelinkageofothersecuritytechnology.TheresearchanddevelopmentofIDShasbecometheimportantsubjectaboutnetworksecurity.Thisthesisbeginswithstudyingattackingtechnology,includinganalyzingeverystageofanintrusionstageandvariousattackingmethods,summarizingthefundamentalreasonsofvariousnetworksecurityincidentsandthetrendofattackingtechnology,afterwards,introducingtheclassificationoftheintrusiondetectionsystem,analyzingvariousintrusiondetectionmethodsandstring-matchingalgorithm.Throughresearchtomakeclearthattheintrusiondetectionsystembasedonrulesisthemostimportantintrusiondetectiontechnology,becauseofthistheory,thedesignhasdevelopedaresponsemodulebasedontherulematchcharacteristicexaminationmethod.ThesystemdevelopmentenvironmentisVC++6.0;thedatabaseadaptstheMYSQLdatabase.Thissystemcanimplementtheeffectiverealizationtotheintrusiondetection,andtheinterfaceofthissoftwareisfriendly.Keywords:Intrusiondetection;Responsemodule;Rule-matching591论文网目录论文总页数：26页1引言...................................................................11.1背景...............................................................11.2国内外研究现状.....................................................11.3本文的主要工作.....................................................12理论基础.................................................................12.1入侵基本概念.......................................................22.1.1安全与入侵的概念.............................................22.1.2入侵的步骤...................................................22.1.3黑客攻击的方法...............................................32.1.4安全威胁的根源...............................................62.2入侵检测技术.......................................................62.2.1入侵检测的概念...............................................62.2.2入侵检测系统的基本结构构成...................................72.2.3入侵检测的分类...............................................72.2.4入侵检测方法.................................................92.3BM算法...........................................................113系统总体设计............................................................133.1系统概述..........................................................133.2系统总体结构框架..................................................133.3开发环境..........................................................144响应模块设计实现........................................................144.1规则库设计实现....................................................144.2事件分析设计与实现................................................174.2.1规则解析....................................................174.2.2规则匹配流程................................................184.3输出模块的设计....................................................194.3.1响应输出流程................................................194.3.2日志数据库设计..............................................204.4模块集成实现......................................................205系统测试和分析..........................................................215.1攻击检测测试......................................................215.1.1测试目的....................................................21591论文网致谢.....................................................错误!未定义书签。声明.....................................................错误!未定义书签。591论文网背景近年来，随着信息和网络技术的高速发展以及其它的一些利益的驱动，计算机和网络基础设施，特别是各种官方机构网站成为黑客攻击的目标，近年来由于对电子商务的热切需求，更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施，入侵检测系统(IntrusionDetectionSystem，简称IDS)得到了迅猛的发展。依赖防火墙建立网络的组织往往是“外紧内松”，无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全，但内部缺乏必要的安全措施。据统计，全球80%以上的入侵来自于内部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于企业内部人员所做的攻击，防火墙形同虚设。入侵检测是对防火墙及其有益的补充，入侵检测系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。1.2国内外研究现状入侵检测技术国外的起步较早，有比较完善的技