摘要: 论文介绍了入侵检测技术的历史以及当前入侵检测系统的
关键理论。分析了Windows的网络体系结构以及开发工具Winpcap的数 据包捕获和过滤的结构。最后在Winpcap系统环境下实现本系统设计。 本系统采用异常检测技术，通过Winpcap截取实时数据包，同时从截获 的IP包中提取出概述性事件信息并传送给入侵检测模块，采用量化分析 的方法对信息进行分析。系统在实际测试中表明对于具有量化特性的网 络入侵具有较好的检测能力。最后归纳出系统现阶段存在的问题和改进
第三章入侵检测的主要方法
4.1 静态配置分析
静态配置分析通过检查系统的当前系统配置，诸如系统文件的内容 或者系统表，来检查系统是否已经或者可能会遭到破坏。静态是指检查 系统的静态特征(系统配置信息)，而不是系统中的活动。
采用静态分析方法主要有以下几方面的原因：入侵者对系统攻击时 可能会留下痕迹，这可通过检查系统的状态检测出来;系统管理员以及 用户在建立系统时难免会出现一些错误或遗漏一些系统的安全性措施; 另外，系统在遭受攻击后，入侵者可能会在系统中安装一些安全性后门 以方便对系统进行进一步的攻击。
匣子用来监测其所在网段上的数据流，它根据集中安全管理中心制定的 安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心 发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向 用户的界面。它的特点是对数据保护的范围比较大，但对网络流量有一 定的影响。
2.2.3根据工作方式分为离线检测系统与在线检测 系统。
入侵检测系统在发现入侵后会及时作出响应，包括切断网络连接、 记录事件和报警等。响应一般分为主动响应(阻止攻击或影响进而改变 攻击的进程)和被动响应(报告和记录所检测出的问题)两种类型。主动 响应由用户驱动或系统本身自动执行，可对入侵者采取行动(如断开连 接)、修正系统环境或收集有用信息;被动响应则包括告警和通知、简单 网络管理协议(SNMP)陷阱和插件等。另外，还可以按策略配置响应，可 分别采取立即、紧急、适时、本地的长期和全局的长期等行动。
以采用从大型数据库中提取规则的数据挖掘技术。 ③ 神经网络方法具有自学习、自适应能力，可以通过自学习提取 正常的用户或系统活动的特征模式，避开选择统计特征这一难题。
4.3 基于行为的检测方法
通过检测用户行为中那些与已知入侵行为模式类似的行为、那些利 用系统中缺陷或间接违背系统安全规则的行为，来判断系统中的入侵活 动。 目前基于行为的入侵检测系统只是在表示入侵模式(签名)的方式以 及在系统的审计中检查入侵签名的机制上有所区别，主要可以分为基于 专家系统、基于状态迁移分析和基于模式匹配等几类。这些方法的主要 局限在于，只是根据已知的入侵序列和系统缺陷模式来检测系统中的可 疑行为，而不能检测新的入侵攻击行为以及未知的、潜在的系统缺陷。 入侵检测方法虽然能够在某些方面取得好的效果，但总体看来各有 不足，因而越来越多的入侵检测系统都同时采用几种方法，以互补不 足，共同完成检测任务。（3）协议分析：利用网络协的高度规则性快速探测攻击的存在。
2.2.2根据其监测的对象
是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检 测系统。
（1）基于主机的入侵检测系统：通过监视与分析主机的审计记录检测 入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审 计子系统作为攻击目标以避开入侵检测系统。
速，已有人宣称IDS可以完全取代防火墙。 数据分析【3】是入侵检测的核心。它首先构建分析器，把收集到的 信息经过预处理，建立一个行为分析引擎或模型，然后向模型中植入时 间数据，在知识库中保存植入数据的模型。数据分析一般通过模式匹 配、统计分析和完整性分析3种手段进行。前两种方法用于实时入侵检 测，而完整性分析则用于事后分析。可用5种统计模型进行数据分析： 操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析。统计 分析的最大优点是可以学习用户的使用习惯。
2.2.2根据其监测的对象 2.2.3根据工作方式分为离线检测系统与在线检测系统。 第三章入侵检测的主要方法 4.1 静态配置分析 4.2 异常性检测方法 4.3 基于行为的检测方法 第四章 入侵检测系统面临的主要问题及发展趋势 4.1 入侵检测系统面临的主要问题 4.1.1 误报 4.1.2 精巧及有组织的攻击 4.2 入侵检测系统的发展趋势 第五章 总结 致谢 参考文献:
目前这类入侵检测系统多采用统计或者基于规则描述的方法建立系 统主体的行为特征轮廓：
① 统计性特征轮廓由主体特征变量的频度、均值以及偏差等统计 量来描述，如SRI的下一代实时入侵检测专家系统，这种方法对特洛伊 木马以及欺骗性的应用程序的检测非常有效。
② 基于规则描述的特征轮廓由一组用于描述主体每个特征的合法 取值范围与其他特征的取值之间关系的规则组成(如TIM)。该方案还可
Key words: network security Firewall technology intrusion detection
system
引言
随着网络技术的发展，网络环境变得越来越复杂，对于网络安全来 说，单纯的防火墙技术暴露出明显的不足和弱点，如无法解决安全后门 问题;不能阻止网络内部攻击，而调查发现， 50%以上的攻击都来自内 部;不能提供实时入侵检测能力;对于病毒等束手无策等。因此很多组织 致力于提出更多更强大的主动策略和方案来增强网络的安全性，其中一 个有效的解决途径就是入侵检测。入侵检测系统(IDS——Intrusion Detection System)可以弥补防火墙的不足，为网络安全提供实时的入侵 检测及采取相应的防护手段，如记录证据、跟踪入侵、恢复或断开网络 连接等。这引发了人们对入侵检测技术研究和开发的热情。
第四章 入侵检测系统面临的主要问题
及发展趋势
4.1 入侵检测系统面临的主要问题
4.1.1 误报
误报是指被入侵检测系统测出但其实是正常及合法使用受保护网络 和计算机的警报。假警报不但令人讨厌，并且降低入侵检测系统的效 率。攻击者可以而且往往是利用包结构伪造无威胁“正常”假警报，以诱 使收受人把入侵检测系统关掉。
意见,并根据系统的功能提出了后续开发方向。
关键字： 网络安全 防火墙技术入侵检测系统
Abstract: the paper introduces the history of intrusion detection technology
and the current intrusion detection system key theory. The analysis of network system structure and Windows development tools Winpcap packet capture and filter structure. Finally in Winpcap system under the environment to achieve the system design. The system USES anomaly detection technology, through the Winpcap intercepted real-time data packets, and from the IP packet intercept extract summary sex a information and send it to the intrusion detection module, using the method of quantitative analysis of information analysis. System in the actual test shows that with the quantitative characteristics for network intrusion has good testing ability. Finally summarized the present system the existing problems and Suggestions of improvement and the function of the system is put forward according to further the development direction.
2.2.1根据其采用的技术可以分为异常检测和特征 检测。
（1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活 动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律 时，认为可能是“入侵”行为。通过检测系统的行为或使用情况的变化 来完成
（2）特征检测：特征检测假设入侵者活动可以用一种模式来表示，然 后将观察对象与之进行比较，判别是否符合这些模式。
（2）基于网络的入侵检测系统：基于网络的入侵检测系统通过在共享 网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主 机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护 而无需顾及异构主机的不同架构。
（3）分布式入侵检测系统：目前这种技术在ISS的RealSecure等产品中 已经有了应用。它检测的数据也是来源于网络中的数据包，不同的是， 它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子， 该黑匣子相当于基于网络的入侵检测系统，只是没有用户操作界面。黑
第二章、入侵检测系统组成 和分类
2.1 入侵检测系统组成
入侵检测系统由控制台(Console)与传感器(Sensor)两部分组成,控 制台起到中央管理作用,传感器则负责采集数据与分析数据并生成安全 事件的作用,入侵检测系统根据检测的对象可分为基于主机入侵检测系 统与基于网络入侵检测系统。
2.2入侵检测系统分类
论文题目：入侵检测系统
福建农林大学 软件工程学院 班级： 网络技术1班 姓名： 学号： 指导老师： 时 间： 2011-10-31
目录
目录 摘要: 关键字： 引言 第一章 入侵检测系统定义
1.1 入侵检测系统定义与核心 第二章、入侵检测系统组成 和分类