【正文】 段的所有數(shù)據(jù)包進行監(jiān)聽，以獲取敏感信息，如包含了”usename”或”password”等信息的數(shù)據(jù)包。常見的網(wǎng)絡(luò)監(jiān)聽工具有：NetRay、Sniffer、Etherfind、Snoop、Tcpdump等。通過各種方法獲取password文件，然后用口令猜測程序來破譯用戶帳號和密碼。常見的解碼工具有：Crack、LophtCrack等。 入侵檢測技術(shù)入侵檢測技術(shù)可以分為兩大類：異常入侵檢測技術(shù)和誤用入侵檢測技術(shù)。下面分別介紹這兩種入侵檢測技術(shù)。 誤用入侵檢測技術(shù)誤用入侵檢測首先對表示特定入侵的行為模式進行編碼，建立誤用模式庫；然后對實際檢測過程中得到的審計事件數(shù)據(jù)進行過濾，檢查是否包含入侵特征串。誤用檢測的缺陷在于只能檢測已知的攻擊模式。常見的誤用入侵檢測技術(shù)有以下幾種：模式匹配是最常用的誤用檢測技術(shù)，特點是原理簡單、擴展性好、檢測效率高、可以實時檢測；但是只能適用于比較簡單的攻擊方式。它將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式串進行比較，從而發(fā)現(xiàn)違背安全策略的行為。著名的輕量級開放源代碼入侵檢測系統(tǒng)Snort就是采用這種技術(shù)。該技術(shù)根據(jù)安全專家對可疑行為的分析經(jīng)驗來形成一套推理規(guī)則，然后在此基礎(chǔ)上建立相應(yīng)的專家系統(tǒng)來自動對所涉及的入侵行為進行分析。該系統(tǒng)應(yīng)當能夠隨著經(jīng)驗的積累而利用其自學(xué)習(xí)能力進行規(guī)則的擴充和修正。專家系統(tǒng)方法存在一些實際問題：處理海量數(shù)據(jù)時存在效率問題，這是由于專家系統(tǒng)的推理和決策模塊通常使用解釋型語言來實現(xiàn)，所以執(zhí)行速度比編譯型語言慢；專家系統(tǒng)的性能完全取決于設(shè)計者的知識和技能；規(guī)則庫維護非常艱巨，更改規(guī)則時必須考慮到對知識庫中其他規(guī)則的影響等等。狀態(tài)遷移圖可用來描述系統(tǒng)所處的狀態(tài)和狀態(tài)之間可能的遷移。狀態(tài)遷移圖用于入侵檢測時，表示了入侵者從合法狀態(tài)遷移到最終的危害狀態(tài)所采取的一系列行動。在檢測未知的脆弱性時，因為狀態(tài)遷移法強調(diào)的是系統(tǒng)處于易受損的狀態(tài)而不是未知入侵的審計特征，因此這種方法更具有健壯性。而它潛在的一個弱點是太拘泥于預(yù)先定義的狀態(tài)遷移序列。這種模型運行在原始審計數(shù)據(jù)的抽象層次上，它利用系統(tǒng)狀態(tài)的觀念和事件的轉(zhuǎn)變流；這就有可能提供了一種既能減少誤警率又能檢測到新的攻擊的途徑。另外，因為涉及了比較高層次的抽象，有希望把它的知識庫移植到不同的機器、網(wǎng)絡(luò)和應(yīng)用的入侵檢測上。 異常入侵檢測技術(shù)異常檢測是通過對系統(tǒng)異常行為的檢測來發(fā)現(xiàn)入侵。異常檢測的關(guān)鍵問題在于正常使用模式的建立，以及如何利用該模式對當前系統(tǒng)或用戶行為進行比較，從而判斷出與正常模式的偏離程度?！蹦Ｊ健保╬rofiles）通常使用一組系統(tǒng)的度量（metrics）來定義。度量，就是指系統(tǒng)或用戶行為在特定方面的衡量標準。每個度量都對應(yīng)于一個門限值。常用的異常檢測技術(shù)有： 最早的異常檢測系統(tǒng)采用的是統(tǒng)計分析技術(shù)。首先，檢測器根據(jù)用戶對象的動作為每個用戶建立一個用戶特征表，通過比較當前特征與已存儲定型的以前特征，從而判斷是否異常行為。統(tǒng)計分析的優(yōu)點：有成熟的概率統(tǒng)計理論支持、維護方便，不需要象誤用檢測系統(tǒng)那樣不斷地對規(guī)則庫進行更新和維護等。統(tǒng)計分析的缺點：大多數(shù)統(tǒng)計分析系統(tǒng)是以批處理的方式對審計記錄進行分析的，不能提供對入侵行為的實時檢測、統(tǒng)計分析不能反映事件在時間順序上的前后相關(guān)性，而不少入侵行為都有明顯的前后相關(guān)性、門限值的確定非常棘手等。這種方法對用戶行為具有學(xué)習(xí)和自適應(yīng)功能，能夠根據(jù)實際檢測到的信息有效地加以處理并做出入侵可能性的判斷。利用神經(jīng)網(wǎng)絡(luò)所具有的識別、分類和歸納能力，可以使入侵檢測系統(tǒng)適應(yīng)用戶行為特征的可變性。從模式識別的角度來看，入侵檢測系統(tǒng)可以使用神經(jīng)網(wǎng)絡(luò)來提取用戶行為的模式特征，并以此創(chuàng)建用戶的行為特征輪廓?？傊焉窠?jīng)網(wǎng)絡(luò)引入入侵檢測系統(tǒng)，能很好地解決用戶行為的動態(tài)特征以及搜索數(shù)據(jù)的不完整性、不確定性所造成的難以精確檢測的問題。利用神經(jīng)網(wǎng)絡(luò)檢測入侵的基本思想是用一系列信息單元（命令）訓(xùn)練神經(jīng)單元，這樣在給定一組輸入后，就可能預(yù)測輸出。將神經(jīng)網(wǎng)絡(luò)應(yīng)用于攻擊模式的學(xué)習(xí)，理論上也是可行的。但目前主要應(yīng)用于系統(tǒng)行為的學(xué)習(xí)，包括用戶以及系統(tǒng)守護程序的行為。與統(tǒng)計理論相比，神經(jīng)網(wǎng)絡(luò)更好地表達了變量間的非線性關(guān)系，并且能自動學(xué)習(xí)并更新。神經(jīng)網(wǎng)絡(luò)也存在一些問題：在不少情況下，系統(tǒng)趨向于形成某種不穩(wěn)定的網(wǎng)絡(luò)結(jié)構(gòu)，不能從訓(xùn)練數(shù)據(jù)中學(xué)習(xí)特定的知識，這種情況目前尚不能完全確定產(chǎn)生的原因；另外，神經(jīng)網(wǎng)絡(luò)對判斷為異常的事件不會提供任何解釋或說明信息，這導(dǎo)致了用戶無法確認入侵的責(zé)任人，也無法判斷究竟是系統(tǒng)哪方面存在的問題導(dǎo)致了攻擊者得以成功入侵。前面介紹了誤用檢測和異常檢測所使用的一些常用檢測手段，在近期入侵檢測系統(tǒng)的發(fā)展過程中，研究人員提出了一些新的入侵檢測技術(shù)。這些技術(shù)不能簡單地歸類為誤用檢測或異常檢測，它們提供了一種有別于傳統(tǒng)入侵檢測視角的技術(shù)層次。這些新技術(shù)有：免疫系統(tǒng)、基因算法、數(shù)據(jù)挖掘、基于代理的檢測等等，他們提供了更具有普遍意義的分析檢測技術(shù)，或者提出了新的檢測系統(tǒng)構(gòu)架，因此無論是對誤用檢測還是對異常檢測來說都可以得到很好的應(yīng)用。第三章 協(xié)議分析 協(xié)議分析簡介 這是對以太網(wǎng)數(shù)據(jù)幀頭進行協(xié)議分析，并把分析的結(jié)果記入Packet結(jié)構(gòu)中。分析完以太幀頭后把數(shù)據(jù)包傳送到下一級協(xié)議分析程序中。數(shù)據(jù)幀的第13和14兩個字節(jié)組成的字段是協(xié)議類型字段。如果用十六進制表示，那么IP協(xié)議對應(yīng)0X0800、ARP對應(yīng)0X080RARP對應(yīng)0X0835。這是對ARP或RARP數(shù)據(jù)進行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于ICMP協(xié)議規(guī)則集的匹配檢測模塊進行檢測，查看是否存在ARP和RARP相關(guān)的攻擊。由于基于ARP/RARP協(xié)議的攻擊較少，所以把他們歸入ICMP協(xié)議規(guī)則集中。這是對IP 數(shù)據(jù)包進行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于IP協(xié)議規(guī)則集的匹配檢測程序中進行檢測。IP數(shù)據(jù)包首部的第一個字節(jié)的后面4個比特組成的字段標識了IP首部的長度。該字段的值乘以4就等于IP首部的長度。沒有包含IP選項的普通IP首部長度為20，如果大于20就說明此IP數(shù)據(jù)包包含IP首部。第5和第6個字節(jié)是IP數(shù)據(jù)包的16位標識，每一IP數(shù)據(jù)包都有唯一的標識。該標識在IP數(shù)據(jù)包分片重組時中起到至關(guān)重要的作用，每個分片就是通過檢查此ID號來判別是否屬于同一個IP包。第7個字節(jié)開始的前3個比特是重要的標志位：第一個標志位（最高位）為保留位（該位必須為0，否則就是一個錯誤的IP數(shù)據(jù)包），第二個標志位DF指示該IP數(shù)據(jù)包能否分片（該位為0則表示該IP數(shù)據(jù)包可以分片，為1則不能分片），第三個標志位MF指示該數(shù)據(jù)包是否為最后一個分片（該位為0表示此數(shù)據(jù)包是最后一個分片，為1表示不是最后一個分片）。從MF標志位開始的后面13個比特位記錄了分片的偏移量。分片的IP數(shù)據(jù)包，各個分片到目的端才會重組；傳輸過程中每個分片可以獨立選路。如何才能重組一個分片了的IP數(shù)據(jù)包呢？首先，16位分片ID（Fragment ID）標識了每個IP數(shù)據(jù)包的唯一性。數(shù)據(jù)包分片后，它的每個分片具有相同的標識。其次，通過每個分片的片偏移量可以確定每個分片的位置，再結(jié)合MF可以判斷該分片是否為最后一個分片。綜合上述信息，就可以順利的重組一個數(shù)據(jù)包。分片重組對網(wǎng)絡(luò)入侵檢測系統(tǒng)具有重要意義。首先，有一些攻擊方法利用了操作系統(tǒng)協(xié)議棧中分片合并實現(xiàn)上的漏洞，例如著名的TearDrop攻擊就是在短時間內(nèi)發(fā)送若干偏移量有重疊的分片，目標機接收到這樣的分片的時候就會合并分片，由于其偏移量的重疊而發(fā)生內(nèi)存錯誤，甚至?xí)?dǎo)致協(xié)議棧的崩潰。這種攻擊手段單從一個數(shù)據(jù)包上是無法辨認的，需要在協(xié)議分析中模擬操作系統(tǒng)的分片合并，以發(fā)現(xiàn)不合法的分片。另外，Tiny Fragment（極小分片）等攻擊方法，將攻擊信息隱藏在多個微小分片內(nèi)來繞過入侵檢測系統(tǒng)或防火墻的檢測從而達到攻擊的目的。對付這種攻擊也需要在檢測的過程中合并碎片，恢復(fù)數(shù)據(jù)包的真實面目。IP包頭的第10個字節(jié)開始的后面八個比特位表示了協(xié)議的類型：其中1表示ICMP協(xié)議，2表示IGMP協(xié)議，6表示TCP協(xié)議，17表示UDP協(xié)議。（這些數(shù)字是十進制的）。對IP數(shù)據(jù)包檢測完畢后，如果檢測到攻擊就記錄該數(shù)據(jù)包，然后重新開始檢測一個新的原始數(shù)據(jù)包。如果沒有檢測到攻擊，則在判斷上層協(xié)議類型之后就把數(shù)據(jù)包分流到TCP、UDP等協(xié)議分析程序中進行進一步協(xié)議分析。這是對TCP數(shù)據(jù)包進行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于TCP協(xié)議規(guī)則集的匹配檢測程序中進行檢測。首先讀入TCP數(shù)據(jù)包，對TCP包頭進行協(xié)議分析；并檢查是否有TCP選項，如果有的話就對TCP選項進行協(xié)議分析。然后，判斷該TCP數(shù)據(jù)包是否發(fā)生分段，如果發(fā)生了分段就進行TCP重組。再把重組后的數(shù)據(jù)包送入基于TCP協(xié)議規(guī)則集的匹配檢測程序進行檢測。如果檢測到攻擊就記錄下該攻擊數(shù)據(jù)包，以備攻擊取證等使用。記錄數(shù)據(jù)包后又返回，重新讀取一個新的數(shù)據(jù)包。如果沒有檢測到攻擊，就把該數(shù)據(jù)包送入下一級協(xié)議分析模塊中，作進一步的協(xié)議分析。這是對ICMP數(shù)據(jù)包進行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于ICMP協(xié)議規(guī)則集的匹配檢測程序中進行檢測。ICMP報文有很多類型，根據(jù)報文中的類型字段和代碼字段就可以區(qū)分每一種ICMP報文類型。這是對UDP數(shù)據(jù)包進行協(xié)議分析，并把協(xié)議分析后的數(shù)據(jù)送入基于UDP協(xié)議規(guī)則集的匹配檢測程序中進行檢測。如果檢測到攻擊就記錄該數(shù)據(jù)包，然后返回并讀取下一個數(shù)據(jù)包。如果沒有檢測到攻擊，那么就把數(shù)據(jù)包送入基于應(yīng)用層協(xié)議規(guī)則集的檢測模塊進行進一步的檢測分析。應(yīng)用層協(xié)議很復(fù)雜，這里不進行詳細討論。 協(xié)議分析的優(yōu)勢（1）提高性能：當系統(tǒng)提升協(xié)議棧來解析每一層時，它用已獲得的知識來消除在數(shù)據(jù)包結(jié)構(gòu)中不可能出現(xiàn)的攻擊。比如4層協(xié)議是TCP，那就不用再搜索其他第四層協(xié)議如UDP上形成的攻擊。如果數(shù)據(jù)包最高層是簡單網(wǎng)絡(luò)管理協(xié)議SNMP（Simple Network Management Protocol），那就不用再尋找Telnet或HTTP攻擊。這樣檢測的范圍明顯縮小，而且更具有針對性；從而使得IDS系統(tǒng)性能得到明顯改善。（2）能夠探測碎片攻擊等基于協(xié)議漏洞的攻擊：在基于協(xié)議分析的IDS中，各種協(xié)議都被解析。如果出現(xiàn)IP分片，數(shù)據(jù)包將首先被重裝；然后再對整個數(shù)據(jù)包進行詳細分析來檢測隱藏在碎片中的潛在攻擊行為。這是采用傳統(tǒng)模式匹配技術(shù)的NIDS所無法做到的。（3）降低誤報和漏報率：協(xié)議分析能減少傳統(tǒng)模式匹配NIDS系統(tǒng)中常見的誤報和漏報現(xiàn)象。在基于協(xié)議分析的NIDS系統(tǒng)中誤報率會明顯減少，因為它們知道和每個協(xié)議有關(guān)的潛在攻擊的確切位置以及該位置每個字節(jié)的真正含義。例如，針對基于協(xié)議分析的IDS不但能識別簡單的路徑欺騙：例如把CGI攻擊”/cgibin/phf”變?yōu)椤?cgibin/./phf”或”/cgibinphf”；而且也能識別復(fù)雜的HEX編碼欺騙：例如”/winnt/system32/”，編碼后變?yōu)椤?winnt/system32/%”，通過協(xié)議分析%25 解碼后為‘%’，%63解碼后為‘c’，這樣就解析出了攻擊串。又如針對Unicode（UTF8）的編碼欺騙（與ASCII字符相關(guān)的HEX編碼一直到％7f，Unicode編碼值要高于它），攻擊串編碼后得到”/winnt/system32%c0%”，通過解碼可知%c0%af在Unicode中對應(yīng)/,所以解碼后就能順利還原出攻擊串。第四章 PANIDS系統(tǒng)的設(shè)計及實現(xiàn) PANIDS系統(tǒng)總體結(jié)構(gòu)設(shè)計PANIDS系統(tǒng) 主要由系統(tǒng)基本信息讀取模塊、網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊、基于協(xié)議分析的入侵檢測模塊、響應(yīng)模塊和控制管理中心等幾部分組成。 系統(tǒng)基本信息讀取模塊的設(shè)計及實現(xiàn)為了更好的顯示出本機的特性，在此PANIDS系統(tǒng)中特別增加系統(tǒng)基本信息讀取模塊。通過此模塊能顯示出主機名和本機的IP地址和所使用的Winsock的版本在此模塊中主要用到函數(shù)gethostname()和gethostbyname()。gethostname()函數(shù)作用是獲取本地主機的主機名，其定義如下：int PASCAL FAR gethostname(char FAR * name, int namelen)。name：用于指向所獲取的主機名的緩沖區(qū)的指針。Namelen：緩沖區(qū)的大小，以字節(jié)為單位。gethostbyname()在此模塊中是一個主要函數(shù)，該函數(shù)可以從主機名數(shù)據(jù)庫中得到對應(yīng)的”主機”。其定義如下：include struct hostent FAR *PASCAL FAR gethostbyname(const char FAR * addr)name：指向主機名的指針。gethostbyname()返回對應(yīng)于給定主機名的包含主機名字和地址信息的hostent結(jié)構(gòu)指針。結(jié)構(gòu)的聲明與gethostaddr()中一致。如果沒有錯誤發(fā)生，gethostbyname()返回如上所述的一個指向hostent結(jié)構(gòu)的指針，否則，返回一個空指針。hostent結(jié)構(gòu)的數(shù)據(jù)結(jié)構(gòu)如下： struct hostent { char *h_name。//地址的正式名稱char **h_aliases。//空字節(jié)地址的預(yù)備名稱的指針 int h_addrtype。//地址類型，通常是AF_INET int h_length。//地址的比特長度char **h_addr_list。//零字節(jié)主機網(wǎng)絡(luò)地址指針,網(wǎng)絡(luò)字節(jié)順序 }。返回的指針指向一個由Windows Sockets實現(xiàn)分配的結(jié)構(gòu)。應(yīng)用程序不應(yīng)該試圖修改這個結(jié)構(gòu)或者釋放它的任何部分。此外，每一線程僅有一份這個結(jié)構(gòu)的拷貝，所以應(yīng)用程序應(yīng)該在發(fā)出其他Windows Scokets API調(diào)用前，把自己所需的信息拷貝下來。gethostbyname()實現(xiàn)沒有必要識別傳送給它的IP地址串。對于這樣的請求，應(yīng)該把IP地址串當作一個未知主機名同樣處理。如果應(yīng)用程序有IP地址串需要處理，它應(yīng)該使用inet_addr()函數(shù)把地址串轉(zhuǎn)換為IP地址，然后調(diào)用gethostbyaddr()來得到hostent結(jié)構(gòu)。 網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊的設(shè)計及實現(xiàn) 網(wǎng)絡(luò)數(shù)據(jù)包捕獲的方法有很多，比如既可以利用原始套接字來實現(xiàn)，也可以通過Libpcap、Jpcap和WinPcap 提供的接口函數(shù)來實現(xiàn)。Libpcap、Jpcap和WinPc