入侵檢測在Windows下的設計與實現

王廣峰

摘要：計算機網絡已經滲透到了社會的各個領域，人們在享受網絡帶來的共享資源及信息交流方便快捷的同時，也不得不面對越來越多來自網絡的惡意攻擊，各種黑客攻擊技術在網上垂手可得，而且日新月異。入侵檢測作為一種積極主動的安全防護技術，從網絡安全立體縱深、多層次防御角度出發，通過檢測受保護系統的狀態和活動，提出了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵。IDS能較好的彌補防火墻存在的不足，能對非法侵入進行跟蹤并做出響應，適當的時候還可作為計算機取證的一種技術手段，擒獲非法入侵者。

【關鍵詞】入侵檢測 數據解析 概念敘述

1 入侵檢測的概念與發展

1.1 概念

對于入侵檢測的使用，人們總會問這樣一個問題：如果已經安裝了防火墻，給操作系統打了補丁，并為安全設置了密碼，為什么還要檢測入侵呢？答案非常簡單：因為入侵會不斷發生。舉個例子，就像人們有時候會忘記鎖上窗戶，人們有時也會忘記正確的升級防火墻規則設置即使在最高級別的保護措施下，計算機系統也不是百分之百的安全。

1.2 發展旅程

隨著存儲器價格的降低，審計日志轉移到網上且開發出了分析相關數據的程序。然而，分析過程慢且需頻繁而密集計算，因此，入侵檢測程序往往是在系統用戶登錄量少的夜問進行。所以，大多數的入侵行為還是在發生后才被檢測到。

90年代早期，研究人員開發出了實時入侵檢測系統，即對審計數據進行實時評估。由于實現了實時反應，且在一些情況下，可以預測攻擊，因此，這就使攻擊和試圖攻擊發生時即可被檢測到成為可能。

近年來，很多入侵檢測方而的努力都集中在一些開發的產品上，這些產品將被用戶有效配置在廣大網絡中在計算機環境不斷持續變化和無數新攻擊技術不斷產生的情況下，要使安全方而也不斷升級是個非常困難任務。

2 程序概述

按照上述入侵檢測系統模型及各個模塊的功能，我們采用C語言順序結構開發了一款windows系統下的網絡入侵檢測系統。該程序基于微軟WinPcap驅動編寫，采用誤用入侵檢測方法，能檢測出以太網下其他主機對本主機的若干入侵行為。首先從檢測的網絡適配器接口抓取數據連路層數據包，過濾出需要處理的包，然后將過濾的數據包進行剝離分析，得出要檢測的參數。最后將得出的參數與入侵行為的特征模式進行匹配，檢測其是否為入侵數據包。如果是入侵數據包，就進行告警并記錄入侵主機IP地址及入侵時問。

由于采用誤用入侵檢測模式，所以該程序目前只能檢測出如下入侵行為：

（1） Synflood攻擊；

（2） Teardrop攻擊；

（3） Land攻擊：

（4） TCP UDP端口掃描。

入侵檢測程序中的數據結構設計：

2.1 IPv4數據報頭部包含的信息

如圖1所示。

2.2 TCP數據報頭部包含的信息

如圖2所示。

2.3 UDP數據報頭部包含的信息

如圖3所示。

以上3個數據結構用于在獲取的數據鏈路層幀中定位IP數據報、TCP數據報、UDP數據報首部及獲取需要檢測的參數。

2.4 四個字節的IP結構

如圖4所示。

2.5 二維數組u_short port_atk[65536][2]；

二維數據u_short port_atk中，port_atk[m][o]用于存儲m端口接受到的Synflood攻擊數據報，port atk[m][1]用于識別m端口是否接受過數據報。存儲端口信息之所以采用二維數組，原因在于端口數是固定的且相對較少，采用數組可以根據維數直接定位端口進行進行操作，效率高。

3 結語

對于入侵檢測，還有很多熱點問題亟待解決，譬如：如何減少入侵檢測的誤報警，如何提高入侵檢測的效率等。因此，還需要加大對入侵檢測的研究力度，進一步加強計算機網絡的安全。

參考文獻

[1]蘇家洪.入侵檢測系統新技術介紹[J].中國新技術新產品，2012 （03）.

[2]王鵬，入侵檢測系統在計算機網絡安全中的設計與應用[J].無線互聯科技，2017 （12）.endprint