（计算机应用技术专业论文）基于移动代理的分布式入侵检测系统的研究(1).pdf

武汉理工火学硕士学位论文 摘要 随着计算机网络的快速发展，网络安全变得越来越重要。网络安全的发展 也是日新月异，已经从单机的防病毒软件、被动的防火墙发展到主动的入侵检 测系统。入侵检测作为一种主动的信息安全保障措施，能根据入侵行为的踪迹 和规律发现入侵行为，从而有效地弥补了传统安全防护技术的缺陷，成为防火 墙之后的又一道安全防线。但传统的入侵检测系统仍存在着一些缺陷，例如在 分布性、灵活性、效率等方面还不尽如人意，因此人们开始探索新的技术，以 求提高入侵检测系统的整体性能。为了解决这些问题，我们提出了在入侵检测 系统中引入移动代理技术，它对于高速网络和不同的操作系统，具有良好的实 时陛、可伸缩性、灵活性等优点。在本文中，我们提出了基于移动a g e n t 的分 布式入侵检测系统m a d i d s 。该系统采用入侵检测系统s n o r t 与i b m 的a g l e t 移动代理平台相结合，使系统具有较好的性能和灵活性；同时力求将基于主机 与基于网络的入侵检测技术结合在一起，增强系统的检测能力。 本论文首先对入侵检测系统和移动a g e n t 技术分别进行了分析和总结。在 对入侵检测系统进行分析时，引入了比较成功的入侵检测系统s n o r t ，并对其 源代码进行了详细的分析。在移动代理技术中引入了i b m 的a g l e t 平台，对a g l e t 平台的系统框架和对象模型进行分析的同时，讲述了a g l e t 平台的搭建过程。 其次，借鉴已有的一些研究成果，提出了基于移动a g e n t 的分布式入侵检 测系统的体系结构，然后对m a d i d s 系统的设计与实现进行详细的阐述。本文 研究的基于移动代理的分布式入侵检测系统，主要由控制服务器、入侵检测模 块、入侵响应模块三个部分组成。其中，控制服务器中的g u i 实现，可以利用 a g l e t 中的图形用户界面t a h i t i ，也可以自己创建g u i ；入侵检测模块的实现 是采用了s n o r t 系统；入侵响应模块部分的实现是在a g l e t 平台的基础上，用 j a v a 语言编写的移动代理程序，将s n o r t 生成的报警记录反馈到控制服务器。 最后通过对m a d i d s 系统进行总结，在分析其特性及存在的问题的基础上， 提出了未来的研究方向。 关键字：移动代理，入侵检测，i v 蛐i d s 武汉理工大学硕士学位论文 a b s t r a c t w i t ht h ef a s ta d v a n c eo fc o m p u t e rn e t w o r kt e c h n e l o g y , n e t w o r ks e c u r i t yi s i n c r e a s i n 【g i ym o r ei m p o r t a n t t h er a p i dd e v e l o p m e n to fn e t w o r ks e c u r i t yi sb r i n g i n g a b o u tc h a n g e sd a ya f t e rd a y f o re x a m p l e ：p r e v e n t i n gv i r u ss o f t w a r e 、p a s s i v e f i r e w a l la n di n t m s i o nd e t e c t i o ns y s t e mo fi n i t i a t i v e ，a n ds oo n a sak i n do fa c t i v e m e a s u r eo fi n f o r m a t i o na s s u r a n c e ，i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) c a l lf i n dt h e i n t r u s i o nf r o mt h et r a c ea n dp a t t e r no ft h e i ra c t i o n s i th a sb e e na n o t h e rl i n eo f d e f e n c eb e h i n df l r e w a l l i ta c t sa st h ee f f e c t i v et o m l p l e m e n tt ot r a d i t i o n a lp r o t e c t i o n t e c h n i q u e s h o w e v e r , t h et r a d i t i o n a li n t r n s i o nd e t e c t i o ns y s t e m s h a v es o m e s h o r t c o m i n g si nc e r t a i na s p e c t s ，s u c ha sf l e x i b i l i t y , i n t e r o p e r a b i l i t ye t c t h e r e f o r e ， p e o p l eb e g i nt os e e kf o rn e wt e c h n o l o g i e s t os o l v et h e s ep r o b l e m s ，w ei n t r o d u c e m o b i l ea g e n tt e c h n o l o g yi ni n t r u s i o nd e t e c t i o ns y s t e m i th a sm a n ya d v a n t a g e sf o r t h eh i g h s p e e dn e t w o r ka n dd i f f e r e n to p e r a t i o ns y s t e m ，s u c ha sr e a l t i m ec h a r a c t e r a n df l e x i b i l i t y i nt h i sp a d e r , w eb r i n go u tad i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m b a s e do nm o b i l ea g e n 卜- i a d i d s w h i c hc o m b i n e st h ei d ss n o r ta n dm o b i l e a g e n tp l a t f o r ma g i e t i n a d i d s t h ed e t e c t i o nt a s k sa r ei m p l e m e n t e db yt w ot y p e o fd e t e c t i o nm o b i l ea g e n t s ，w h i c hm a k et h es y s t e mh a v ec e r t a i nf l e x i b i l i t y , i n t e r o p e r a b i l i t ya n di n t e l l i g e n c ea sw e l la sg o o dp e r f o r m a n c e f i r s t l y , w ea n a l y z ea n ds u m m a r i z et h et e c h n o l o g i e so fi d sa n dm o b i l ea g e n t w e i n t r o d u c et h es n o r ti ni d sa n da n a l y z ei t ss o u r c ec o d ec a r e f u l l y ，a l s oi n t r o d u c et h e a g l e ti nm o b i l ea g e n ta n da n a l y z ei t ss y s t e mf r a m ea n do b j e c tm o d e l ，o fc o u r s e ，w e n a r r a t et h ep r o c e s so fs e t t i n gu pap l a t f o r mo fa g l e t a f t e rp r o v i d i n gt h eb a c k g r o u n dk n o w l e d g eo fi n t m s i o nd e t e c t i o ns y s t e ma n d m o b i l ea g e n t ，w ei n t r o d u c et h ed e s i g no ft h es y s t e ma r c h i t e c t u r ea n de x p o u n dt h e d e s i g na n di m p l e m e n t a t i o no fm a d i d si nd e l a j l - t h i ss y s t e mi sc o m p o s e do ft h r e e m o d u l e s ：c o n t r o ls e r v e r 、i n t r n s i o nd e t e c t i o nm o d u l ea n di n t r u s i o nr e s p o n s em o d u l e t h eg u io fc o n t r o ls e r v e re i t h e rc a nb ec r e a t e do rc a l lb er e p l a c e db vt a h i t i t h e g r a p h i c su s e ri n t e r f a c eo fa g i e t t h ei n t r n s i o nd e t e c t i o nm o d u l ea l s oc a nb er e p l a c e d b ys n o r t t h em o d u l eo fi n t r u s i o nr e s d o n s ei si m p l e m e n t e db yam o b i l ea g e n tp r o c e s s w h i c hw 0 r ko nt h ep l a t f u r mo fa g l e ta n df e e d b a c kt h ea l e r ti n f o r m a t i o nl o g g e db y s n o r tt oc o n t r o ls e r v e r a tt h ee n do ft h i sp a d e r , w es u m m a r i z et h ea d v a n t a g ea n dd i s a d v a n t a g e so ft h i s s y s t e m a n dd i s c u s st i l ef u t u r er e s e a r c hd i r e c t i o n so fm a d m s k e y w o r d s ：m o b i l ea g e n t ，i n t r u s i o nd e t e c t i o n ，m a d i d s 武汉理上大学硕士学位论文 第一章绪论 1 1 课题的来源、目的及意义 2 1 世纪是信息时代，信息已成为社会发展的重要战略资源，社会的信息化 己成为当今世界发展的潮流和核心，而信息安全在信息社会中扮演着极其重要的 角色，直接关系到国家安全、企业经营和人们的日常生活。在现代社会互联网飞 速发展的同时，入侵攻击、拒绝服务攻击、网络资源滥用等威胁也如影随形，使 得计算机网络安全问题日益突出，成为信息化建设的一个核心问题。面对网络大 规模化和入侵复杂化的发展趋势，传统的网络安全技术暴露出诸多缺陷。 防火墙一般采用双层的结构，第一层防火墙基于效率考虑，通常都以 f i l t e r b a s e d 为主，直接对数据包、t c p 连接进行过滤：内部的i n t r a n e t 则 靠着第二层p r o x y b a s e d 防火墙做更高阶的内容过滤及代理，以避免内部网络 暴露在开放网络上，直接遭受攻击。传统上的信息安全措旌，多针对外来入侵者， 双层防火墙结构就是针对此设置而构成。良好的防火墙设定策略( p o l i c y ) 可以阻 止大半的攻击，但对于刻意绕过防火墙的连接，如程序员留下的后门( b a c kd o o r ) 遭到滥用等，就无法发挥防护功能。 以防火墙技术为主的被动防御技术越来越力不从心。由此产生了以入侵检测 技术为主的主动保护技术。入侵检测是继“防火墙”、“数据加密”等传统安全保 护措施后新一代的安全保障技术，它通过从计算机网络或计算机系统中的若干关 键点收集信息并对其进行分析，从而发现网络或系统中是否有违反安全策略的行 为和遭到攻击的迹象。利用入侵检测技术，不但能够检测到外部攻击，而且能够 检测到内部攻击或误操作。然而，大规模高速网络的出现、日益猖獗的黑客活动、 日新月异的入侵手段、越来越大的破坏性，向作为网络安全的重要组成部分的入 侵检测系统提出了前所未有的挑战。入侵检测作为安全防护的一个重要手段可以 及时发现系统漏洞及入侵动机和行为，及时提醒管理人员采取相应的措施、显著 的减少被入侵的可能性和可能造成的损失。因此研究高效的安全检测技术和开发 实用的安全检测系统具有重大的理论和实践意义”1 。 武汉理工大学硕士学位论文 1 2 国内外研究概况 入侵检测技术自2 0 世纪8 0 年代早期提出以来，经过2 0 多年的不断发展， 从最初的一种有价值的研究想法和单纯的理论模型，迅速发展出种类繁多的各种 实际原型系统，并在近1 0 年的时间里涌现出许多商用入侵检测系统产品，成为 计算机安全防护领域内不过缺少的一种重要的安全防护技术。1 。 1 9 8 0 年，a n d e r s o n 在其完成的一份技术报告中提出了改进安全审计系统的 建议，以便于用于检测计算机用户的非法授权活动，同时，提出了基本的检测思 路。 1 9 8 4 一1 9 8 6 年，d e n n i n g 和n e u m a n n 在s r i 公司内设计和实现了著名的 i d e s ，该系统是早期入侵检测系统中最有影响力的一个。i d e s 系统包括了统计 分析组件和专家系统组件，同时实现了基于统计分析的异常检测技术和基于规则 的滥用检测技术。 1 9 8 9 - - 1 9 9 1 年，s t e p h e ns m a b a 设计开发了h a y s t a c k 入侵检测系统，该系统 用于美国空军内部网络的安全检测，采用了两种不同的统计分析检测技术来发现 异常的用户活动。 1 9 9 0 年，加州大学d a v i s 分校的t o d dh e b e r l i e n 发表在i e e e 上的论文“a n e t w o r ks e c u r i t ym o n i t o r ”，标志着入侵检测第一次将网络数据包作为实际输 入的信息源。n s m 系统截获t c p i p 分组数据，可用于监控异构网络环境下的异 常活动。入侵检测系统的两大阵营正式形成：基于网络的i d s 和基于主机的i d s 。 1 9 9 1 年，在多个部门的赞助支持下，在n s m 系统和h a y s t a c k 系统的基础上， s t e p h e ns m a b a 主持设计开发了d i d s ( 分布式入侵检测系统) 。d i d s 是首次将主 机入侵检测和网络入侵检测技术进行集成的一次努力，它具备在目标网络环境下 跟踪特定用户异常活动的能力。 1 9 9 2 年，加州大学圣巴巴拉分校的p o r r a s 和i i g u n 提出了状态转移分析的 入侵检测技术，并实现了原型系统u s t a t ，之后发展出n s t a t 、n e t s t a t 等系统。 1 9 9 4 年，p o r r a s 在s r i 开发出i d e s 系统的后继版本n i d e s 系统，后者在系 统整体结构设计和统计分析算法上有了较大的改进。 2 武汉理工大学硕士学位论文 1 9 9 6 年，新墨西哥大学的f o r r e s t 提出了基于免疫学的入侵检测技术。 1 9 9 7 年，c i s c o 公司开始将入侵检测技术嵌入到路由器，同时，i s s 公司发 布了基于w i n d o w s 平台的r e a l s e c u r e 入侵检测系统，自此拉开了商用网络入侵 检测系统的发展序幕。 1 9 9 9 年，l o sa l a m o s 的v p a x s o n 开发了b r o 系统，用于高速网络环境下的 入侵检测。同年，加州大学的d a v i s 分校发布了g r i d s 系统，该系统试图为入侵 检测技术扩展到大型网络环境提供一个实际的解决方案。 2 0 0 0 年，普渡大学的d i e g oz a m b o n i 和e s p a f f o r d 提出了入侵检测的自治 代理结构，并实现了原型系统a a f i d 系统。 在国内，随着网络的飞速发展，相关的网络入侵问题也摆在了人们的面前， 国内也相应开发出了入侵检测产品，比较典型的有深圳安络科技有限公司的网络 入侵检测系统( n e t s e n t r y ) 、北京绿盟科技的“冰之眼”网络入侵侦测系统、东 软集团有限公司的网眼入侵检测系统( n e t e y ei d s ) 、启明星辰公司的天闻网络入 侵检测系统和北方计算中心的n i d sd e t e c t o r 等入侵检测产品。国内的产品多 数集中在低端、采用模式匹配的方法，与国外相比还有一段差距。 早期的入侵检测系统几乎都是基于主机的，但是过去1 0 年里，最流行的商 业入侵检测系统却是基于网络的。现在和未来几年内的发展趋势似乎是混合型以 及分布式系统的发展“1 。 1 3 主要研究工作 本文针对当前入侵检测技术中的不足，探索将移动代理技术和入侵检测技术 结合起来，设计并实现一个基于移动代理的分布式入侵检测系统原型。 论文的研究、设计和实现工作主要包括以下几个方面： 1 阐述入侵检测技术的概念及c i d f 框架。 2 分析入侵检测的关键技术，对基于网络入侵检测系统s n o r t 源代码进行 详尽的分析，从而可以深刻的理解入侵检测的原理、过程及相关技术。 3 阐述移动代理技术及相应标准，并对移动代理平台a g l e t 进行分析。 4 提出将移动代理技术应用于入侵检测系统中，分析基于移动代理的分布 式入侵检测系统的优点，再对该系统进行设计并实现。 3 武汉理工大学硕士学位论文 第二章入侵检测技术 2 1 入侵检测系统概述 2 1 1 入侵检测系统的基本概念 入侵：是对信息系统的非授权访问以及未经许可在信息系统中进行的操作。 它可以造成系统数据的丢失和破坏，甚至会造成系统拒绝对合法用户服务等后 果。 入侵检测：是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的 过程。具体就是通过检查操作系统的审计数据或网络数据包信息来检测系统中违 背安全策略或危及系统安全的行为或活动，从而保护信息系统的资源不受拒绝服 务攻击、防止系统数据的泄漏、篡改和破坏【5 j 。 入侵检测系统：所有能够执行入侵检测任务和功能的系统，都可以称为入侵 检测系统，其中包括软件系统和软硬件结合系统。 2 1 2 入侵检测系统的分类 1 、根据数据源的不同，可以将入侵检测系统分为三类“1 ： 基于主机：获取数据的依据是系统运行所在的主机，保护的目标也是系 统运行的主机。 基于网络：获取数据的来源是网络传输的数据包，保护的目标是网络的 运行。 混合型：既基于主机又基于网络，这种入侵检测技术一般是分布式的。 2 、根据数据检测方法不同，可以将入侵检测技术分为两类： 异常检钡9 型：统计正常操作应该具有的特征，在得出正常操作的模型之 后，对后续的操作进行监视，一旦发现偏离正常统计学上的操作模式， 即进行警报。这种系统需要具备一定的人工智能，由于人工智能发展缓 慢，基于异常检测模型建立的入侵检测系统受到了影响。 d 武汉理上大学硕士学位论文 误用检测型：这种技术是收集入侵行为的特征，建立相关的特征库：在 后续的检测过程中，将收集到的数据与特征库中的数据进行比较，得出 是否入侵的结论。这种技术与主流的病毒检测方法大致一致。当前流行 的系统大都采用这种技术。但是它具有滞后性。 2 1 3 入侵检测系统的c i d f 模型 为了提高i d s 产品、组件及其他安全产品之间的互操作性，美国国防高级研 究计划署( d a r p a ) 和互联网工程任务组( m t f ) 的入侵检测工作组( i d w g ) 发起制定了一系列建议草案，从体系结构、a p i 、通信机制、语言格式等方面规 范i d s 的标准“”。d a r p a 提出建立公共入侵检测框架c d f ( c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k ) 。c i d f 在i d e s 和n i d e s 系统的基础上提出了一 个通用模型，将入侵检测系统分为四个基本组件：事件产生器、事件分析器、响 应单元和事件数据库。 褰释产麓糕攀捧分新器 察髓撰簿霸麟藤媛 图2 - 1c i d f 基本模型 c i d f 模型的结构如下：e 盒通过传感器收集事件数据，并将信息传送给a 盒， a 盒检测误用模式；d 盒存储来自址、e 盒的数据，并为额外的分析提供信息：r 盒从a 、e 盒中提取数据，d 盒启动适当的响应。c i d f 将i d s 需要分析的数据 统称为事件( e v e n t ) ，它可以是基于网络的入侵检测系统从网络中提取的数据包， 也可以是基于主机的入侵检测系统从系统日志或其他途径得到的信息。c i d f 组 件之间是以通用入侵检测对象g i d o ( g e n e r a li n t r u s i o nd e t e c t i o no b j e c t ) 的形式 5 武汉理工大学硕士学位论文 交换数据的，一个g i d o 可以表示在一些特定时刻发生的一些特定事件，也可 以表示从一系列事件中得出的一些结论，还可以表示执行某个行动的指令。c i d f 中的事件产生器负责从整个计算网络环境中获取事件，但它并不处理这些事件， 而是将事件转化为g i d o 标准格式提交给其他组件使用，显然事件产生器是所 有入侵检测系统所需要的，同时也是可以重用的。c i d f 中的事件分析器接收 g i d o ，分析它们，然后以一个新的g i d o 形式返回分析结果。c i d f 中的事件 数据库负责g i d o 的存储，它可以是复杂的数据库，也可以是简单的文本文件。 c i d f 中的响应单元根据g i d o 做出反应，它可以终止进程、切断连接、改变 文件属性，也可以只是简单的报警。 由于c i d f 模型采用了标准格式g d 0 来交换数据，所以这些组件也适用于其 他的环境，只需要将典型的应用环境中信息交流格式统一转换成g i d 0 格式即可， 这样就提高了组件之间的消息共享和互通的能力。 2 1 4 入侵检测系统的发展趋势 1 、分布式入侵检测。 这个概念有两层含义：第一层是针对分布式网络攻击的检测方法；第二层是 使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理 与入侵攻击的全局信息的提取。分布式系统是现代i d s 主要发展方向之一，它 能够在数据收集、入侵分析和自动响应方面最大限度的发挥系统资源的优势，其 设计模型具有很大的灵活性。 2 、智能化入侵检测。 使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用 的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特 征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之 。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设 计的入侵检测系统的防范能力不断增强，应具有更广泛的应用前景。异常检测和 误用检测的结合，使这两种方法能够紧密结合，互补各自的优、缺点。 3 、全面的安全防御方案。 武汉理工大学硕士学位论文 使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为 一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵 检测等多方面对网络作全面的评估，然后提出可行的全面解决方案。3 。 4 、基于网络和基于主机的入侵检测系统相互结合。 这两种方法都有各自的优势，都能发现对方无法检测到的一些入侵行为。比 如基于主机的入侵检测系统使用系统日志作为检测依据，因此它们在确定攻击是 否已经取得成功时与基于网络的检测系统相比具有更大的准确性。在这方面，基 于主机的入侵检测系统对基于网络的入侵检测系统是一个很好的补充，人们完全 可以使用基于网络的入侵检测系统提供早期报警，而使用基于主机的入侵检测系 统来验证攻击是否取得成功。在新一代的入侵检测系统中，将把现在的基于网络 和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名、检测、报 告和事件关联功能。 随着这些技术的逐渐成熟，相信未来的入侵检测产品不仅功能更加强大，而 且部署和使用上也更加灵活方便。本文的基于移动代理的分布式入侵检测技术正 是参考了这些最新技术发展动向而提出的“。 2 2 入侵检测的过程 入侵检测的过程可以分为三个阶段：信息收集、信息分析以及告警于响应。 2 2 1 信息收集 入侵检测的第一步是信息收集“，收集内容包括系统、网络、数据及用户 活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息。 入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有必要只利用 所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软件以摘混和 移走这些信息，例如替换被程序调用的子程序、记录文件和其它工具。黑客对系 统的修改可能使系统功能失常并看起来跟正常的一样。这需要保证用来检测网络 系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防 7 武汉理工大学硕士学位论文 止被篡改而收集到错误的信息。入侵检测利用的信息一般来自以下四个方面： 1 、系统和网络日志文件 黑客经常在系统日志文件中留下他们的踪迹，因此，可以充分利用系统和网 络日志文件信息。曰志中包含发生在系统和网络上的不寻常和不期望活动的证 据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看曰志文件， 能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。日志文件 中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类 型的目志，就包含登录、用户i d 改变、用户对文件的访问、授权和认证信息等 内容。很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、 登录到不期望的位置以及非授权的企图访问重要文件等等。 2 、非正常的目录和文件改变 网络环境中的文件系统包含很多软件和数据文件，他们经常是黑客修改或破 坏的目标。目录和文件中非正常改变( 包括修改、创建和删除) ，特别是那些正 常情况下限制访问的，很可能就是一种入侵产生的指示和信号。黑客经常替换、 修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及 活动痕迹，都会尽力去替换系统程序或修改系统日志文件。 3 、非正常的程序执行 网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特 定目的的应用，例如w e b 服务器。每个在系统上执行的程序由一到多个进程来实 现。个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同， 它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程，以及 与网络间其它进程的通讯。一个进程出现了不期望的行为可能表明黑客正在入侵 你的系统。黑客可能会将程序或服务的运行分解，从而导致它失败，或者是以非 用户或管理员意图的方式操作。 4 、网络中截获的数据包“” 网络数据包的截获是基于网络的入侵检测技术的工作基石。根据网络类型的 不同，网络数据截获可以通过两种方法实现： 1 ) 以太网环境下的数据截获 武汉理工大学硕士学位论文 以太网数据传输通过广播传输媒体实现，即从理论上讲，以太局域网上的任 何一台主机都可能接触到网络上传输的数据包。但是在系统正常工作时，应用程 序只能接收到以本主机为目标主机的数据包，其他数据包将被丢弃不做处理。网 卡驱动程序判断所收到包的目标m a c 地址，如果不为本机网卡的m a c 地址，又不 为广播地址和组播地址，将直接丢弃，不向上层提交。要截获到流经网卡的不属 于自己主机的数据，必须绕过系统正常工作的处理机制，直接访问网络底层，首 先将网卡工作模式置于混杂( p r o m i s c u o u s ) 模式，使之可以接收目标m a c 地址 不是本机m a c 地址的数据包，然后直接访问数据链路层，截获相关数据，由应用 程序而非上层协议如i p 和t c p 协议对数据进行过滤处理，这样就可以截获到流 经网卡的所有数据。 2 ) 交换网络环境下的数据截获 在实际的网络环境中，许多网络采取了交换运行环境( 例如交换机、路由器) ， 此时传输媒体不再具备广播特性，所以不能够单凭设置网络接口的混杂模式来截 获所有的数据包。常用的方法是利用交换机或者路由器上设置的监昕端口或者镜 像端口，此时所有的网络信息数据包除按照正常情况转发外，将同时转发到镜像 端口，从而达到截获所有网络流量的目的。 2 2 2 信息分析 对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通 过三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中前两种方法 用于实时的入侵捡测，而完整性分析则用于事后分析。 1 、模式匹配“” 模式匹配就是将收集到的信息与己知的网络入侵和系统已有模式数据库进 行比较，从而发现违背安全策略的行为。该过程可以很简单( 如通过字符串匹配 以寻找一个简单的条目或指令) ，也可以很复杂( 如利用正规的数学表达式来表 示安全状态的变化) 。一般来讲，一种进攻模式可以用一个过程( 如执行一条指 令) 或一个输出( 如获得权限) 来表示。该方法的一大优点是只需收集相关的数 据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一 9 武汉理工大学硕士学位论文 样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以 对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。 2 、统计分析 统计分析方法首先给系统对象( 如用户、文件、目录和设备等) 创建一个统 计描述，统计正常使用时的一些测量属性( 如访问次数、操作失败次数和延时等) 。 在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、 系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例 如，本来都默认用g u e s t 帐号登录的，突然用a d m i n i 帐号登录。这样做的优点 是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用 户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理 的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。 3 、完整性分析 完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的 内容及属性，它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性 分析利用强有力的加密机制，称为消息摘要函数( 例如m d s ) ，它能识别哪怕是 微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是 成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批 处理方式实现，用于事后分析而不用于实时响应。尽管如此，完整性检测方法还 应该是网络安全产品的必要手段之一。例如，可以在每一天的某个特定时间内开 启完整性分析模块，对网络系统进行全面地扫描检查。 2 2 3 告警与响应 在完成系统安全状况分析并确定系统问题之后，就要让人们知道这些问题的 存在，在某些情况下，还要另外采取行动。在入侵检测处理过程模型中，这个阶 段称之为响应期，控制台按照告警产生预先定义的响应并采取相应措施，可以是 重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简 单的告警。理想情况下，系统的这一部分应该具有丰富的响应功能特性，并且这 些响应特性在针对安全管理小组中的每一位成员进行裁剪后，能够为他们提供服 1 0 武汉理上大学硕士学位论文 务。 2 3s n o r t 源代码分析 2 3 1s n o r t 简介 s n o r t 系统是一个以开放源代码形式发行的基于网络的入侵检测系统，由 m a r t yr o e s c h 编写，并由遍布世界各地的众多程序员共同维护和升级。s n o r t 运 行在l i b p c a p 库函数基础之上，并支持多种系统软硬件平台。它具有实时数据 流量分析和记录i p 网络数据包的能力，能够进行协议分析，对内容搜索、匹配， 还能够检测各种不同的攻击方式，对攻击进行实时警报 s n o r t 是基于特征检测的i d s ，使用规则的定义来检查网络中的有问题的数 据包。一个规则被触发后会产生一条告警信息。例如，可以定义一条检查是否有 端到端( p e e r - t o - p e e r ) 文件共享服务的规则，规则内容为检查连接到t p 8 0 端口服 务的数据中是否有“g e t ”字符串。如果有数据包匹配这条规则，就会产生一条 报警信息。 2 3 2s n o r t 的体系结构 s n o r t 的体系结构如图2 2 “” 图2 - 2s n o r t 的体系结构 数据包嗅探是s n o r t 工作的开始，s n o r t 取得数据包后先用预处理插件处 理，然后经过检测引擎中的所有规则链，如果没有符合规则链的数据包，就会被 检测出来。 武汉理工大学硕士学位论文 s n o r t 主要由以下四个基本模块组成：数据包嗅探器，预处理器，检测引擎 和报警输出模块。这些模块使用插件模式和s n o r t 结合，扩展起来非常方便， 既保障了插件程序和s n o r t 的核心代码的紧密相关性，又保障了核心代码的良 好扩展性。例如有预处理和检测插件，报警输出插件等。预处理和检测插件使 s n o r t 的检测引擎能够更有效地检测数据包的内容，报警输出插件可以用多种方 法输出报警信息。 2 3 3s n o r t2 0 工作流程 源文件介绍“5 文件夹s r c主要源代码 文件夹r u l e s规则库 s n o r t c s n o r t 主代码 d e c o d e c 包解码器 r u l e s e 规则引擎 d e t e c t c检测引擎 l o g c记录引擎 s p p 一 c 预处理插件 s p c 处理插件 s p o $ c 输出插件 l i b p c a p ：不同的u n i x 平台上从数据链路层接收数据包的库，不用考虑 网卡以及驱动程序的不同。更重要的是它直接从网卡取得数据包，允许开发人员 自己写程序解码、显示和记录数据报文。s n o r t 与1 i b p c a p 连接是s n o r t 启动 的时候进行一系列的设置和配置后，在检查接口和设置网卡进入混杂模式之间， s n o r t 调用l i b p c a p 库，当s n o r t 调用l i b p c a p 函数和初始化接口时，即进 入了主执行循环，或者叫p c a p 循环。 w i n p c a p ：w i n d o w s 版本的l i b p c a p s n o r t 主函数m a i n0 主要提供一个程序入口和简单的命令行的参数校 武汉理t 人学硕士学位论文 验，如参数间要有空格。其主工作流程函数是s n o r t m a i n0 ，主要处理流程如图 2 3 所示； 图2 3s n o r t2 0 主工作流程 1 、初始化过程。包括w i n s o c k 的初始化i n i t _ w i n s o c k0 ，网络掩码数据 i n i t n e t m a s k s ( ) 和协议名称数组i n i t p r o t o n a m e s ( ) 的初始化， f p i n i t d e t e c t i o n e n g i n e ( ) 检测引擎初始化( 用于指定快速规则匹配模块的缺省 配置参数，包括缺省模式搜索算法等) ，协议解析器初始化 i n i t d e c o d e r f l a g s ( ) ( 负责指定在协议解析过程中产生警报信息的错误类型) 以 及各个p v 结构参数初始化。 2 命令行参数解析p a r s e c m d l i n e ( a r g c ，a r g v ) 。解析指定的各种命令行参 数，并将解析结果存放在全局p v 类型的变量p v 中。 3 打开数据包捕获接口o p e n p c a p ( ) 。o p e n p c a p 0 调用l i b p c a p 中的 p c a pl o o k u p d e v ( e r r b u f ) 查找网络适配器，在l i n u x 下通过s o c k e t 查找，在 武汉理工大学硕士学位论文 w i n d o w s 下用p a c k e t g e t a d a p t e r n a m e s ( 在p a c k e t 3 2 c 中定义) 来查找。找到网 卡设备后，调用l i b p c a p 中的p c a p o p e n l i v e ( c h a r * d e v i c e ，i n ts n a p l e n ， i n tp r o m i s c ，i n tt om s ，c h a r * e b u f ) 来打卡网卡并捕获数据流，其中的 d e v i c e 就是上面找到的网卡设备，s n a p l e n 用于指定所捕获包的特定部分， p r o m i s c 用于指明网卡处于混杂模式，t o _ m s 参数指定读数据的超时时间，超时 以毫秒计算。当在超时时间内网卡上没有数据到来时对网卡的读操作将返回。然 后调用l i b p c a p 中的p c a p d a t a l i n k ( p c a p t 丰p ) ，返回数据链路层协议类型存 储在全局变量d a t a l i n k 中。利用s e t p k t p r o c e s s o r 0 会根据不同的d a t a l i n k 值指定不同的包处理函数，并且将包处理函数赋给全局变量g r i n d e r ，譬如 e t h e r n e t 类型设置包处理函数为g r i n d e r = d e c o d e e t h p k t 。一旦网卡被打开，就 可以调用p c a p l o o p ( a d h a n d l e ，0 ，p a c k e t h a n d l e r ，n u l l ) 来进行数据的捕获， a d h a n d l e 是p e a p _ o p e n l i v e 的返回值，p a c k e t _ h a n d l e r 是回调函数。在 s n o r t 代码中g r i n d e r 就是我们的p a c k e t h a n d i e r 函数，譬如数据链路层协 议类型为e t h e r n e t 类型就调用d e c o d e e t h p k t ( p a c k e t 木p ，s t r u c t p c a p _ p k t h d r + p k t h d r ，u i n t 8 一t 4p k t ) 对捕获的数据p k t 进行处理。对数据 解码的实现在d e c o d e h 以及d e c o d e c 中，定义了一个非常重要的结构 p a c k e t ，解码的任务就是将捕获的数据按照协议类型填充到p a c k e t 中。这部分 主要是对数据包的表头进行分析，数据包类型实在是太多，这里不一一列举，拿 t c p 包做个例子。 t c p 数据包格式如下“： | e t h ：筹头 i p 报头t c p 报头 应用数据 2 0 字节 2 0 字节o - 1 4 6 0 字节 1 ) 进行e t h e r n e t 报头解析，判断报头内的e t h e r t y p e 是否等于 e t h e r n e t _ t y p e _ i p ，假如不等于，那肯定不是t c p 包，如果等于，移动p k t 指 针进入i p 报头的分析，在s n o r t 中调用函数d e c o d e i p 。 2 ) 进行i p 报头解析，判断报头内的i p _ p r o t o 是否等于i p p r o t o _ t c p ，如 1 4 武汉理工大学硕士学位论文 不等于，那么不是t c p 包，采用别的方式，如等于的，移动p k t 指针进入t c p 报头的分析，在s n o r t 中调用函数d e c o d e t c p 。 3 ) 进行t c p 报头的解析，将t c p 的报头相应的数据赋给p a c k e t 结构。 d e c o d e t c p 中还有畸形包处理以及d e c o d e t c p o p t i o n s 函数就不分析了。到这里 一个t c p 数据包就分析完毕，捕获到的数据包中的参数已经被解码并且存储到相 应的p a c k e t 结构里，下面就可以把这个p a c k e t 结构送入预处理插件。数据包 有很多类