基于NDIS与SPI的入侵检测系统研究

摘要

入侵检测系统(Intrusion Detection System，简称IDS)，作为一种积极主动的安全防护工具，提供了对内部攻击和外部攻击的实时防护，在计算机网络遭受破坏之前进行报警、拦截和响应。它很好的弥补了访问控制，身份认证，防火墙等传统机制所不能解决的问题，近几年也得到了迅速的发展。 基于网络的入侵检测系统以网络数据作为原始数据源，实时地分析网络上的通信。与基于主机的入侵检测相比，基于网络的入侵检测系统己经成为入侵检测系统的主流。而数据捕获技术是网络入侵检测系统中最基本也是最关键的技术，捕获的效率直接影响到系统的性能。但是随着网络带宽飞速增长，基于网络的入侵检测系统面临这一困难。 本文在分析了入侵检测系统结构，及各种数据包捕获技术的基础上，提出了一种基于NDIS(Network Driver Interface Specification)与SPI(Service Provider Interface)技术相结合的数据包捕获方案，并设计实现了基于这一方案的入侵检测系统，主要工作如下： 1) 首先对入侵检测进行了简单的介绍——讨论入侵检测定义、分类、发展及其模型，并分析了传统入侵检测系统存在的局限性。 2) 分析了传统入侵检测系统存在局限性，并得出了其性能低下的两个主要原因：其一是，包捕获引擎不能高效全面地捕获包。其二是，分析引擎所采用的分析算法速度不高，不能适应高速环境的要求。 3) 针对入侵检测系统捕获模块效率不高，进行了改进，提出了一个基于NDIS与SPI的包捕获引擎的设计方案，利用NDIS与SPI相结合，充分地利用两者的长处。在应用层利用SPI进行封包来捕获各种应用程序数据；而在核心层利用NDIS来捕获各种非Socket通信的数据包。同时也对公共核心模块，日志文件及控管规则文件进行了设计与实现。 4) 将误用检测中的协议分析技术和模式匹配技术应用到系统的分析模块。以双层的检测技术增强系统的灵活性和安全性。 5) 通过系统整体测试，证明了NIDS与SPI相结合的捕获模块明显提高了网络入侵检测系统的性能。