包嗅探与协议解析技术在NIDS中的应用与研究

【作者】 王玉锋；

【导师】 王绪本； 范明珏；

【作者基本信息】 成都理工大学 ， 信号与信息处理， 2004， 硕士

【摘要】 随着对计算机系统弱点和入侵行为分析研究的深入，入侵检测在网络安全中起到越来越重要的作用。同时，这一领域也面临着诸多挑战，例如：如何提高入侵检测系统的检测速度，以适应网络通信的要求；如何减少入侵检测系统的漏报和误报，提高其安全性和准确度以及如何提高入侵检测系统之间的交互能力，从而提高整个系统的安全性能等。 本论文研究和分析了入侵检测系统的相关背景知识、入侵检测技术和入侵检测的相关协议框架。在网络入侵检测系统的设计中，网络嗅探组件是整个系统的最基础部件。通过网络嗅探工具能有效地截获网络上的数据，从而对网络进行监视。作为入侵检测系统的初步研究，本论文根据网络包嗅探技术，利用了WINDOWS平台下一个开放代码的、公共的网络访问系——WINPCAP提供的接口设计完成了一个网络嗅探器(基于WINDOWS实现的理由也在于在WINDOWS NT／XP系统上，可以达到更高的性能)。其中对协议解析技术在入侵检测系统中的应用进行了讨论。并对从链路层到传输层的多个网络协议完成了相关协议解析引擎的设计与实现。 在本网络嗅探器中通过设置相应的规则(例如：指定相应的协议类型、端口号、IP地址等)可以记录流经本局域网上指定IP地址的数据，为用户分析网络情况、发现入侵提供依据。更多还原

【Abstract】 With the comprehensive analysis of the vulnerability of the network and intrusion behaviors, the network based Intrusion Detection System (IDS) becomes more and more important in network security. In the mean time, this young field also meets many challenges today. These challenges include how to increase the detecting speed to meet the requirement of the band increase, how to reduce the false positive and false negative to enhance the accuracy of the detection as well as how to realize the interoperation among the IDSs and other security products.This paper introducing the corresponding background knowledge and analyzing the protocol frame releated to IDS. In the design of NIDS, sniffing component is very important .you can use sniffer log network traffic effectively. This paper take advantage of WINPCAP to design a sniffer. The application of the protocol analysis technology in IDS is also discussed in this paper. In this part, many protocols are analyzed (from datalink layer to network layer).In this sniffer, you can log your LAN traffic through rule files, which describe the rules, such as protocol type, port number and IP address. With the help of this sniffer you can find valuable information.更多还原