Windows环境下的网络攻击与检测

随着计算机网络和信息技术的快速发展，Internet已经成为我们日常生活中一个必不可少的部份。由于人们对计算机网络的依赖越来越密切，网络安全也随之成为一个重要问题。当前网络的安全防护措施有很多，如防火墙，访问控制和加密技术等。然而，随着网络安全问题的不断暴露和当前黑客攻击技术日益进步，人们逐渐认识到这些被动式、静态的防御技术越来越难于保证网络的安全。因此，主动式、动态地保护网络安全的入侵检测系统(Intrusion Detection System,IDS)已是网络安全发展的一个新方向，其可以作为传统网络安全产品的重要补充之一。 由于网络攻击日新月异、种类繁多，给入侵检测系统的全面管理带来困难。误报率和漏报率高是当前IDS存在的主要问题，另外IDS几乎不能检测到未知的攻击。这是因为没有有效的方法用于描述攻击模式。 在Windows操作系统的应用越来越广泛的今天，针对Windows的攻击方法也变得越来越多。在前人对网络攻击方法分类研究的基础上，本文提出一种面向入侵检测的网络攻击分类方法，该分类方法选用了网络攻击方法的攻击结果(Attack Result)与攻击机理(Attack Mechanism)两个属性作为分类标准，简称为R-M分类模型。在文中详述了R-M分类模型的属性、分类原则及Windows环境下的常见攻击方法的分类类别。在R-M分类模型分类结果的基础上，我们开发了一套入侵检测系统。该系统利用了网络攻击方法在R-M分类时所得到的攻击特征、攻击结果和攻击机理进行检测。最后的实验结果表明该系统在一定程度上比现有的一些入侵检测系统有较低的误报率和漏报率，特别是她可以检测未知的攻击。