【正文】 ..... 30 1 引 言 背景 近年來(lái)，隨著 信息和網(wǎng)絡(luò)技術(shù)的高速發(fā)展以及其它的一些利益的驅(qū)動(dòng)，計(jì)算機(jī)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施，特別是各種官方機(jī)構(gòu)網(wǎng)站成為黑客攻擊的目標(biāo)，近年來(lái)由于對(duì)電子商務(wù)的熱切需求，更加激化了各種入侵事件增長(zhǎng)的趨勢(shì)。通過(guò)該系統(tǒng)可以有效的實(shí)現(xiàn)對(duì)入侵的檢測(cè)，并且具有用戶(hù)友好性。 本文從研究入侵技術(shù)入手，分析了入侵過(guò)程的各個(gè)階段、各種入侵方法，總結(jié)了網(wǎng)絡(luò)安全事故的根源。 畢業(yè)設(shè)計(jì) ( 論文 ) 基于 windows 入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì) —— 響應(yīng)模塊設(shè)計(jì) 論文作者姓名： 申請(qǐng)學(xué)位專(zhuān)業(yè)： 申請(qǐng)學(xué)位類(lèi)別： 指導(dǎo)教師姓名（職稱(chēng)）： 論文提交日期： 基于 windows 入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì) —— 響應(yīng)模塊設(shè)計(jì) 摘 要 入侵檢測(cè)技術(shù)是對(duì)傳統(tǒng)的安全技術(shù)（如防火墻）的合理補(bǔ)充。入侵檢測(cè)系統(tǒng)的研究和實(shí)現(xiàn)已經(jīng)成為當(dāng) 前網(wǎng)絡(luò)安全的重要課題。系統(tǒng)開(kāi)發(fā)環(huán)境為 VC++ ，數(shù)據(jù)庫(kù)采用 MYSQL 數(shù)據(jù)庫(kù)。 Response module。據(jù)統(tǒng)計(jì)，全球 80%以上的入侵來(lái)自于內(nèi)部。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，添加入知識(shí)庫(kù)內(nèi)，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到入侵。雖然國(guó)內(nèi)起步晚，但是也有相當(dāng)?shù)纳虡I(yè)產(chǎn)品：天闐 IDS、綠盟冰之眼等不錯(cuò)的產(chǎn)品，不過(guò)國(guó)外有相當(dāng)完善的技術(shù)基礎(chǔ)，國(guó)內(nèi)在這方面相對(duì)較弱。系統(tǒng)的期望表達(dá)成安全規(guī)則，也就是說(shuō)主體的行為必須符合安全規(guī)劃對(duì)它 的要求。 入侵定義 Anderson 在 80 年代早期使用了“威脅”概念術(shù)語(yǔ)，其定義與入侵含義相同。 入侵的步驟 黑客通常采用以下的幾個(gè)步驟來(lái)實(shí)現(xiàn)入侵目標(biāo)主機(jī)的目的。 攻擊活動(dòng)的實(shí)施：黑客獲取了超級(jí)用戶(hù)權(quán)限后，就可以在目標(biāo)系統(tǒng)上為所欲為。監(jiān)聽(tīng)是通過(guò)將網(wǎng)絡(luò)接口設(shè)為混雜模式，從而接收經(jīng)過(guò)它的所有網(wǎng)絡(luò)數(shù)據(jù)包，達(dá)到偷看局域網(wǎng)內(nèi)其它主機(jī)的通訊的目的。其中 TCP 掃描包括： TCP connect()掃描、 TCP SYN 掃描、 TCP SYN|ACK 掃描、 TCP ACK 掃描、TCP FIN 掃描、 TCP 空掃描、 TCP Xmax 樹(shù)掃描 (往目標(biāo)端口發(fā)送一個(gè)設(shè)置了FIN|URG|PUSH 位的分組。 防范方法：一方面強(qiáng)制用戶(hù)選擇安全的口令；另一方面限制口令文件的訪問(wèn)，例如只讓管理員可讀。要利用特洛伊木馬程序，關(guān)鍵一點(diǎn)是怎樣讓特洛伊木馬程序能駐留 到目標(biāo)系統(tǒng)中去，這一般需要使用欺騙手段讓目標(biāo)系統(tǒng)上的用戶(hù)執(zhí)行一個(gè)程序或者某個(gè)動(dòng)作從而完成特洛伊木馬程序的安裝。 緩沖區(qū)溢出 緩沖區(qū)溢出就是向堆棧中分配的局部變量傳遞超長(zhǎng)的數(shù)據(jù)，導(dǎo)致數(shù)據(jù)越界而覆蓋它后面的堆棧區(qū)域。防范緩沖區(qū)溢出的方法是在程序設(shè)計(jì)時(shí)記住進(jìn)行越界檢查。 Ping 命令是利用 ICMP 的回應(yīng)請(qǐng)求報(bào)文來(lái)探測(cè)一個(gè)目的機(jī)器是否可以連 通和有響應(yīng)。ICMP 數(shù)據(jù)包有一選項(xiàng)可以包含一個(gè)數(shù)據(jù)段，盡管其中的有效信息通常是時(shí)間信息，實(shí)際上任何設(shè)備都不檢查其數(shù)據(jù)內(nèi)容，這樣它包含任何數(shù)據(jù)，成為黑客傳遞信息的載體。如果一個(gè)主機(jī)將信任擴(kuò)展到另一臺(tái)主 機(jī)，那么兩臺(tái)主機(jī)上都有的相同名字的用戶(hù)，可以從被信任的主機(jī)上登錄到這臺(tái)主機(jī)上，而不必提供口令。由于 Inter 協(xié)議缺乏源 IP地址認(rèn)證， IP 欺騙攻擊就是利用這個(gè)弱點(diǎn)。路由欺騙的分為：基于 ICMP 的路由欺騙、基于 RIP的路由欺騙、基于源路徑的欺騙。 ④ Web 欺騙 Web 欺騙通過(guò)創(chuàng)建某個(gè) WWW 網(wǎng)站的一個(gè)復(fù)制圖像 ，從而達(dá)到欺騙該網(wǎng)絡(luò)用戶(hù)的目的。 防范的方法是：禁止瀏覽器中的 Javascript、 ActibeX 功能，使黑客 不能改寫(xiě)瀏覽器的信息欄來(lái)隱藏自己；通過(guò)瀏覽器提供的 WEB 屬性或者直接查看 HTML源文件發(fā)現(xiàn)錯(cuò)誤的 URL。 TCP會(huì)話劫取需要綜合使用拒絕服務(wù)、監(jiān)聽(tīng)和 IP 欺騙的方法。各種類(lèi)型的 TCP/IP 協(xié)議的軟件實(shí)現(xiàn)中的漏洞更是 五花八門(mén)，例如著名的 OOB攻擊就是利用了 WINDOWS 操作系統(tǒng)的早期版本中 TCP/IP 協(xié)議棧實(shí)現(xiàn)上的一個(gè)漏洞。 由此可見(jiàn)，只要杜絕了計(jì)算機(jī)系統(tǒng)在設(shè)計(jì)、實(shí)現(xiàn)和使用上的錯(cuò)誤，黑客就束手無(wú)策了，這也是計(jì)算機(jī)工作者夢(mèng)寐以求的一個(gè)理想。Heady 認(rèn)為入侵是指試圖破壞資源的完整性、機(jī)密性及可用性的行為集合。一個(gè)完整的入侵檢測(cè)系統(tǒng)必須具有：經(jīng)濟(jì)性、時(shí)效性、安全性、可擴(kuò)展性的特點(diǎn)。 （ 3）事件數(shù)據(jù)庫(kù) （ Response units ） 事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方。它通過(guò)監(jiān)視和分析主機(jī)的審計(jì)記錄和日志文件來(lái)檢測(cè)入侵。它通過(guò)監(jiān)聽(tīng)網(wǎng)絡(luò)上的所有分組來(lái)采集數(shù)據(jù)，分析可疑現(xiàn)象?；谥鳈C(jī)的和基于網(wǎng)絡(luò)的IDS 具有互補(bǔ)性，基于網(wǎng)絡(luò)的入侵檢測(cè)能夠客觀地反映網(wǎng)絡(luò)活動(dòng)，特別是能夠監(jiān)視到系統(tǒng)審計(jì)的盲區(qū)；而基于主機(jī)的入侵檢測(cè)能夠更加準(zhǔn)確地監(jiān)視系統(tǒng)中的各種活動(dòng)。通過(guò)對(duì)系統(tǒng)活動(dòng)的分析，發(fā)現(xiàn)與被定義好的攻擊特征相匹配的事件或事件集合。 （ 2）異常檢測(cè)（ anomalybased） 異常檢測(cè)是指能根據(jù)異常行為和使用計(jì)算機(jī)資源的情況檢測(cè)出入侵的方法。目前，大多數(shù)的異常檢測(cè)技術(shù)還處于研究階段，基本沒(méi)有用于商 業(yè) IDS 中。 （ 2）等級(jí)式（部分分布式）入侵檢測(cè)系統(tǒng) 等級(jí)式 IDS 中定義了若干個(gè)等級(jí)的監(jiān)控區(qū)域，每個(gè) IDS 負(fù)責(zé)一個(gè)區(qū)域，每一級(jí) IDS 只負(fù)責(zé)所監(jiān)控區(qū)的分析，然后將當(dāng)?shù)氐姆治鼋Y(jié)果傳送給上一級(jí) IDS。但維護(hù)成本卻提高了很多，并且增加了所監(jiān)控主機(jī)的工作負(fù)荷，如通信機(jī)制、審計(jì)開(kāi)銷(xiāo)、蹤跡分析等。 （ 2）聯(lián)機(jī)分析：就是在數(shù)據(jù)產(chǎn)生或者發(fā)生改變的同時(shí)對(duì)其進(jìn)行檢查，以發(fā)現(xiàn)攻擊行為，這種方式一般用于對(duì)網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)分析，并且對(duì)系統(tǒng)資源要求比較高。該方法需要建立一個(gè)攻擊特征庫(kù)，檢查接收到的數(shù)據(jù)中是否包含特征庫(kù)中的 攻擊特征，從而判斷是否受到攻擊。它的提出彌補(bǔ)了模式匹配技術(shù)的一些不足，如計(jì)算量大、探測(cè)準(zhǔn)確率低等。 專(zhuān)家系統(tǒng) 專(zhuān)家系統(tǒng)使用基于規(guī)則的語(yǔ)言為已知攻擊建模，它把審計(jì)事件表述成語(yǔ)義的事實(shí)，推理引擎根據(jù)這些規(guī)則和事實(shí)進(jìn)行判定。 數(shù)據(jù)挖掘 數(shù)據(jù)挖掘是數(shù)據(jù)庫(kù)中的一項(xiàng)技術(shù)，它的作用是從大型數(shù)據(jù)庫(kù)中抽取知識(shí)。 神經(jīng)網(wǎng)絡(luò) 神經(jīng)網(wǎng)絡(luò)具有自適應(yīng)、自組織和自學(xué)習(xí)的能力，可以處理一些環(huán)境信息復(fù)雜、背景知識(shí)不清楚的問(wèn)題。這要求系統(tǒng)事先對(duì)大量實(shí)例進(jìn)行訓(xùn)練，具有每一個(gè)用戶(hù)行為模式特征的知識(shí)，從而可以找出偏離這些輪廓的用戶(hù)行為。由于計(jì)算機(jī)網(wǎng)絡(luò)中的 正常行為和異常行為難以很好界定，使用模糊邏輯推理方法，入侵檢測(cè)系統(tǒng)的誤報(bào)率則會(huì) 降低。在入侵檢測(cè)領(lǐng)域，本體是被監(jiān)控網(wǎng)絡(luò)的正常行為，異體是網(wǎng)絡(luò)的異常行為。所有染色體組成群體，并按預(yù)定的目標(biāo)函數(shù)對(duì)每個(gè)染色體進(jìn)行評(píng)價(jià)，根據(jù)結(jié)果給出一個(gè)適應(yīng)度的值。 數(shù)據(jù)融合 數(shù)據(jù)融合是針對(duì)一個(gè)系統(tǒng)中使用多個(gè)和（或）多類(lèi)傳感器這一特定問(wèn)題展開(kāi)的一種新的數(shù)據(jù)處理方法，因此數(shù)據(jù)融合又稱(chēng)多傳感器信息融合或信息融合。對(duì)這些信息進(jìn)行分析和結(jié)果融合，給出檢測(cè)系統(tǒng)的判斷結(jié)果和響應(yīng)措施。主要應(yīng)用于一些程序的字符串處理，比如：搜索，替代等。 好后綴規(guī)則 （ goodsuffix shift） 假設(shè)在模式串的字符 x[i]=a,字符串的字符 y[i+j]=b處不匹配，即 x[i+1 .. m1]=y[i+j+1 .. j+m1]=u, and x[i] ！ = y[i+j]。 圖 ， a與 b不匹配， b出現(xiàn)在 x中 如果 x中不存在任何與 y[i]相同的字符，則直接將 x的第一個(gè)字符與y[i]的下一個(gè)字符對(duì)齊，再?gòu)挠业阶筮M(jìn)行比較 。即 suff 是 P[0..i]和 T 的最長(zhǎng)一般后綴。同時(shí)對(duì)攻擊事件存入數(shù)據(jù)庫(kù)，以便事后取證。 表 系統(tǒng)開(kāi)發(fā)軟體環(huán)境 部件名稱(chēng) 軟體 系統(tǒng)平臺(tái) Microsoft Windows 開(kāi)發(fā)工具 VC++ 編譯環(huán)境 VC++ 運(yùn)行環(huán)境 Microsoft Windows 數(shù)據(jù)庫(kù) MYSQL 開(kāi)發(fā)包 winpcap、 libnids 4 響應(yīng)模塊設(shè)計(jì)實(shí)現(xiàn) 規(guī)則庫(kù)設(shè)計(jì)實(shí)現(xiàn) IDS 要有效地捕捉入侵行為，必須擁有一個(gè)強(qiáng)大的入侵特征數(shù)據(jù)庫(kù)，這就如同公安 部門(mén)必須擁有健全的罪犯信息庫(kù)一樣。 含有特殊病毒信息的 Email：可通過(guò)對(duì)比每封 Email 的主題信息和病態(tài)Email 的主題信息來(lái) 識(shí)別，或者，通過(guò)搜索特定名字的附近來(lái)識(shí)別 。 從以上分類(lèi)可以看出特征的涵蓋范圍很廣，有簡(jiǎn)單的報(bào)頭域數(shù)值、有高度復(fù)雜的連接狀態(tài)跟蹤、有擴(kuò)展的協(xié)議分析。 因?yàn)榇蠖鄶?shù)操作系統(tǒng)和應(yīng)用軟件都是在假定 RFC 被嚴(yán)格遵守的情況下編寫(xiě)的，沒(méi)有添加針對(duì) 異常數(shù)據(jù)的錯(cuò)誤處理程序，所以許多包含報(bào)頭值的漏洞利用都會(huì)故意違反 RFC 的標(biāo)準(zhǔn)定義，明目張膽地揭發(fā)被攻擊對(duì)象的偷工減料行為。由于以上幾種情況，嚴(yán)格基于 RFC 的 IDS 特征數(shù)據(jù)就有可能產(chǎn)生漏報(bào)或誤報(bào)效果。 不同的入侵檢測(cè)系統(tǒng)有不同的規(guī)則庫(kù)，本系統(tǒng)的規(guī)則庫(kù)結(jié)構(gòu)如表 所示。 表 規(guī)則鏈表分類(lèi) IP 規(guī)則動(dòng)態(tài)鏈表 以數(shù)據(jù)庫(kù)規(guī)則記錄中的字段為 IP 時(shí)，加入該鏈表 TCP 規(guī)則動(dòng)態(tài)鏈表 以數(shù)據(jù)庫(kù)規(guī)則記錄中的字段為 TCP 時(shí)，加入該鏈表 UDP 規(guī)則動(dòng)態(tài)鏈表 以數(shù)據(jù)庫(kù)規(guī)則記錄中的字段為 UDP 時(shí)，加入該鏈表 ICMP 規(guī)則動(dòng)態(tài)鏈表 以數(shù)據(jù)庫(kù)規(guī)則記錄中的字段為 ICMP 時(shí)，加入該鏈表 規(guī)則 動(dòng)態(tài)鏈表 結(jié)構(gòu)定義如下： Typedef struct _RuleTreeP { u_int8_t Ip_proto。 U_int16_t sourceport。 U_int16_t id。 U_int8_t flags。 U_int8_t itype。 u_char *content。 (3)ICMP 規(guī)則匹配 如果數(shù)據(jù)包網(wǎng)絡(luò)層采用 IP協(xié)議，且 IP上層協(xié)議為 ICMP那么進(jìn)入 ICMPMatch()規(guī)則匹配的主函數(shù)，進(jìn)行匹配，匹配函數(shù)將遍歷 UDP 規(guī)則動(dòng)態(tài)鏈表，匹配當(dāng)前規(guī)則中存在的規(guī)則選項(xiàng)。內(nèi)容可以有不同的格式：二進(jìn)制，文本或則兩則的混合。主要結(jié)構(gòu)如表 、 。 } 其中 PackToRule(p,pack)函數(shù)是調(diào)用其它事件分析程序進(jìn)行事件分析響應(yīng)。 測(cè)試系統(tǒng)是否能對(duì)攻擊檢測(cè)結(jié)果輸出。 根據(jù)結(jié)果編寫(xiě)一條最適合的規(guī)則，對(duì)比 snort 里的規(guī)則。 檢查檢測(cè)結(jié)果。flags:FPU,12。 rev:7。但是值得注意的是攻擊軟件的數(shù)據(jù)特征會(huì)隨時(shí)變化，為了應(yīng)對(duì)這種隨時(shí)變化的情況就需要：編寫(xiě)的規(guī)則要一般化，具有針對(duì)性；隨時(shí)注意攻擊特征的變化，修改規(guī)則庫(kù)。漏報(bào)和誤報(bào)不僅阻礙了 IDS 的進(jìn)一步應(yīng)用，也使得一些專(zhuān)家對(duì) IDS 的存在價(jià)值提出置疑。 發(fā)送數(shù)據(jù)包進(jìn)行測(cè)試。這就使得漏報(bào)的情況 發(fā)生。例如，分析 TTL 值為64的數(shù)據(jù)包， IDS 指紋引擎將操作系統(tǒng)范圍縮小到 Linux 或 OpenBSD，因?yàn)檫@兩種操作系統(tǒng)具有同樣的 TTL 值，進(jìn)一步檢驗(yàn) 窗口 值， IDS 則可以區(qū)分 Linux 和OpenBSD。保證用戶(hù)及時(shí)的發(fā)現(xiàn)入侵，并采取相應(yīng)的措施，有效的保證了網(wǎng)絡(luò)的安全。但是它的優(yōu)點(diǎn)又是缺點(diǎn)：由于只能檢測(cè)已知攻擊行為，使系統(tǒng)對(duì)未知的攻擊行為無(wú)能為力。 [3] 劉文濤 .網(wǎng)絡(luò)安全開(kāi)發(fā)包詳解 [M].北京：電子工業(yè)出版社 ,。 [7] Stevens[美 ].TCP/IP詳解卷一：協(xié)議 [M].范建華等譯 .北京：機(jī)械工業(yè)出版社 ,。除非另有說(shuō)明，本 文的工作是原始性工作。 （ 4）學(xué)?？稍试S學(xué)位論文被查閱或借閱。 卓姆強(qiáng)巴，藏族，四十二歲，天獅名犬馴養(yǎng)基地公司總裁，也是復(fù)旦大學(xué)生物系客座教授，主講世界名犬。 “幾千年來(lái)，全世界所公認(rèn)的，體形最龐大，性格最兇猛的，叫獒?！? 瑪瑞滿(mǎn)腹狐疑，悻悻地去了，心里喃喃念叨著：“瘋了，教授一定是瘋了。我一直想到上海來(lái)探望你，看看是不是真的?！? “哦 ?”方新疑惑道， “好像這個(gè)時(shí)段，沒(méi)有直飛拉薩的航班吧 ?” 卓木強(qiáng)道：“因?yàn)槭俏覀円ダ_，所以就有了去那里的直飛航班呢。我以為，它們都在拉薩機(jī) 場(chǎng)起降呢。到時(shí)候安排人來(lái)接我們就是了。兩人遂登上軍用專(zhuān)機(jī)，從上海往西，朝著圣潔的高原 —— 西藏飛去?！? 次仁對(duì)他旁邊的年輕軍官道：“小張，你和小黃一起去，去機(jī)場(chǎng) 看看，怎么說(shuō)也是上級(jí)領(lǐng)導(dǎo)的朋友。 這時(shí)候，秦立感覺(jué)到有一只溫暖的手覆蓋在自己的額頭，撫摸著自己的臉頰，很輕，很溫柔，透露著一股憐惜，珍愛(ài)??同時(shí)，朦朧中聽(tīng)到一陣斷 斷續(xù)續(xù)，似有還無(wú)的嗚咽聲，突然，似乎有一滴雨滴打在了臉上，涼涼的，沿著臉頰往下流，而后滑過(guò)嘴角??咸咸的。 不知過(guò)了多久，他終于融合了腦中全部的記憶，那種痛苦的感覺(jué)也漸漸消失，黑暗中，秦立心中茫然，想 不到這么離奇詭異的事情，都能讓自己遇到，原以為必死無(wú)疑，卻不想竟然以另一種方式，再一次的活過(guò)來(lái)！ 這個(gè)時(shí)候，秦立對(duì)外界的感知，也一點(diǎn)點(diǎn)的恢復(fù)了正常，耳中傳來(lái)一個(gè)有些清冷，但卻帶著幾分哀求聲音：“吳醫(yī)師，求你救救他，只要能把他治好，我，我一定重謝！” “重謝？大小姐，現(xiàn)在的你，又能拿什么來(lái)重謝我？” 黑暗中，秦立的眉頭皺起來(lái)，腦中充滿(mǎn)悲憤的記憶告訴他，他很反感這個(gè)聲音的主人。只是，秦母又怎么可能看上他這種人，若不是為了兒子，根本連看都懶得