作者:李明欣; 佘堃网络驱动接口规范网络驱动以太网入侵检测
摘要:为了实现基于NDIS的入侵检测,根据NDIS中间驱动的基本原理,采用微软提供的驱动程序开发包,实现了将数据链路层上的所有原始数据包截获。由于中间驱动深入Windows内核,与硬件关系紧密,具有不可绕开性与协议无关性,所以必须自定义数据包的解析。介绍了实现的关键代码,并根据入侵检测的原理,深入分析各种入侵行为特征和截获的数据包,实现中间驱动和入侵检测相结合,对可能出现攻击和端口秘密扫描进行过滤,来达到入侵检测的目的。
注:因版权方要求,不能公开全文,如需全文,请咨询杂志社
