【文章內(nèi)容簡介】 析 數(shù)據(jù)分析部分事實上與數(shù)據(jù)采集部分作為一個進(jìn)程 (agent)存在 ,主要是為了簡化程序設(shè)計的復(fù)雜性。在得到數(shù)據(jù)幀之后， agent 模擬操作系統(tǒng)的 TCP/IP 堆棧對數(shù)據(jù)進(jìn)行處理并與已知攻擊行為的特征進(jìn)行比較，從中發(fā)現(xiàn)異常行為，并向控制臺告警。 在分析的過程中，首先對數(shù)據(jù)包進(jìn)行協(xié)議分析、過濾，根據(jù)協(xié)議、端口等信息將數(shù)據(jù)包送到不同的檢測流程（如只有 HTTP 協(xié)議的包才進(jìn)行 CGI 檢查），這樣使檢查的過程盡量縮短，提高了程序的工作效率。當(dāng)進(jìn)入相應(yīng)的檢測流程后，則按照線性的順序工作。 數(shù)據(jù)分析部分設(shè)計為模擬 TCP/IP 堆棧的流程處理數(shù)據(jù)包，從中發(fā)現(xiàn)異常行為（如分片重合、異常標(biāo)志等）。這樣主要是為了減少誤報與漏報，從攻擊的核心特征發(fā)現(xiàn)它，而不是象許多其他系統(tǒng)那樣，只檢查攻擊包的表面特征。 waRcher 中畢業(yè)設(shè)計（論文）：入侵檢測系統(tǒng)（ IDS）分析及其在 linux下的實現(xiàn) 第 9 頁 共 2 1 頁 包括了 IP 分片處理，包括了 TCP 狀態(tài)轉(zhuǎn)換。通過這種結(jié)構(gòu)，可以準(zhǔn)確的判別諸如teardrop 等碎片攻擊的各種變種。 對一些常見攻擊手法的描述和處理方法見附錄 1。 waRcher 目前可以處理以下攻擊： of death routing CGI 攻擊 OS detection flood 及其所有變種 數(shù)據(jù)采集部分與數(shù)據(jù)分析部分（即 agent 程序）的整體流程圖為： 畢業(yè)設(shè)計（論文）：入侵檢測系統(tǒng)（ IDS）分析及其在 linux 下的實現(xiàn) 第 10 頁 共 2 1 頁 若識別出有異常行為，則向控制臺告警（采用類似 IAP的協(xié)議）。 WaRcher 此時分出一個單獨(dú)的進(jìn)程處理與控制臺的交互，而原進(jìn)程則繼續(xù)處理新的數(shù)據(jù)包。 控制臺部分分為兩個程序， listener 和 console。 listener 綁定 6543 端口（目前似乎沒有和其他程序 沖突），接收從分析程序發(fā)出的分析結(jié)果和其他信息，并根據(jù)其類型轉(zhuǎn)化到不同文件存儲。此時的文件為用戶可讀。其實 agent 和listener 兩者便已經(jīng)形成了一個完整的 IDS。 console 為一用 GTK+圖形庫編制的一個窗口程序，目的主要是給用戶一個更方便友好的界面來瀏覽警告信息（下圖）。 畢業(yè)設(shè)計（論文）：入侵檢測系統(tǒng)（ IDS）分析及其在 linux 下的實現(xiàn) 第 11 頁 共 2 1 頁 因為 listener 已經(jīng)將報警信息以明文格式存儲，因此也可以采用將其轉(zhuǎn)換成HTML 文件，用瀏覽器查看。當(dāng)然也可以采用 windows 應(yīng)用程序。因 waRcher 不是一個商業(yè)軟件，對界面的考慮并不多。 WaRcher 的日志采用了 類似 UNIX 系統(tǒng)日志的格式，包括 time（事件發(fā)生時間） ,host（被攻擊的主機(jī)名或 IP） ,agent（發(fā)現(xiàn)此攻擊的 agent的名字或 IP） ,event（攻擊的具體描述）這些項。各項之間用空格分開，每個記錄用一行，每項之中不能有空格，若有，用下劃線代替（以上語法約定均是為了方便處理）。下面是一個例子： Feb_27_20:30:31 agent01 Feb_27_20:31:07 web_server agent02 在設(shè)計日志格式時我曾經(jīng)考慮過許多方案，主要是想分出更多的項，如記錄兩端的端口信息，加入可信度和計數(shù)，這樣在以后可以很方便的排序和查找，但最終還是采用了這種簡單的格式。其原因主要是各種不同的事件需要記錄的項千差萬別，唯一又共性的便是 time,host,agent 這三項，其余之處可都放到 event項中去說明。我可以舉一個例子：攻擊的源地址似乎應(yīng)該單列出來，但是現(xiàn)在假冒源地址進(jìn)行的攻擊實在太普遍了， land 攻擊（具體描述見附錄）便將源地址設(shè)為與被攻擊者相同，此時記 錄源地址沒有任何意義； syn flood 往往隨機(jī)的生成源地址，如果因源地址不同而單列出一個記錄的話，只會使日志迅速膨脹，而其記錄的內(nèi)容與只簡單記錄發(fā)生了 syn flood 沒有多大區(qū)別。 設(shè)計日志時還有一大問題便是連續(xù)不斷的相同攻擊會產(chǎn)生大量相同的日志，waRcher 對此采取的辦法也與 UNIX 的 syslogd 相同：設(shè)立一專門的計數(shù)器 count，每當(dāng)有新的事件出現(xiàn)的時候先比較是否與上一事件重名，若不重名則馬上記錄（保證報警的迅速），否則對計數(shù)器加一，直到有不重名的事件發(fā)生才真正寫日志，此時記錄的 event 項的 內(nèi)容為： The_last_messages_repeated_$count_times 除生成日志告警外，系統(tǒng)不采取任何其他行動，是否采取相應(yīng)的措施由系統(tǒng)管理員自行決定。 畢業(yè)設(shè)計（論文）：入侵檢測系統(tǒng)（ IDS）分析及其在 linux 下的實現(xiàn) 第 12 頁 共 2 1 頁 未完成部分 此章所描述的功能與最終理想的程序有所出入（主要是由于時間關(guān)系有些部分尚未完成），具體差別有： （ 1）無法靈活的升級：所有的入侵檢測部分都以編譯后的程序的形式提供（可以高效處理 ,但同時失去了靈活性）用戶必須完全或部分更新原有程序才能實現(xiàn)升級。以后應(yīng)該采用類似腳本語言的辦法。 （ 2）所處理的攻擊數(shù)還需有很大的提高。 （ 3）控制臺程序尚沒有加入對采集分析程序的控制，也沒有加入對分析結(jié)果作進(jìn)一步處理的功能（如排序、過濾、查找等）。 （ 4）磁盤定額：對日志過大以后的情況尚沒有人為規(guī)定，不過目前可以用 linux自身的 quato 功能實現(xiàn)（寫滿一定磁盤定額后覆蓋）。 （ 5）集中控制 :控制臺應(yīng)該加入配置 agent 的功能（如暫停其某項檢測）。 （ 6）無法動態(tài)的載入和卸載檢測規(guī)則。（很快會加入） （ 7）未采用 IAP：現(xiàn)在 agent 與 listener 的通信仍采用明文傳輸，這種局面急需改變。但 IAP 設(shè)計的過于復(fù)雜，且是否會成為標(biāo)準(zhǔn)尚不明朗，所以 暫時可能先設(shè)計一個簡單點(diǎn)的協(xié)議來實現(xiàn)加密和驗證。 性能參考 IDS 系統(tǒng)面臨的一個矛盾便是性能與功能的折衷。對數(shù)據(jù)進(jìn)行全面復(fù)雜的檢驗，對實時性的要求構(gòu)成了很大的挑戰(zhàn)。 對 waRcher 而言，其可能影響性能的有三個地方：內(nèi)核到應(yīng)用層的轉(zhuǎn)換（涉及數(shù)據(jù)拷貝）；數(shù)據(jù)分析（大量的數(shù)據(jù)匹配操作）；記錄日志（ IO 操作）。 IDS 的測試還沒有客觀的標(biāo)準(zhǔn)。由于內(nèi)部流程不同，不同的測試數(shù)據(jù)會產(chǎn)生不同的效果（假設(shè)以丟包率， CPU 利用率為標(biāo)準(zhǔn)）。且由于程序一直處于開發(fā)階段，尚還沒有對 waRcher 的某一穩(wěn)定版本進(jìn)行性能測試 。但根據(jù)以前防火墻測試的經(jīng)驗，性能的瓶頸往往在日志的記錄上（大量磁盤讀寫），所以應(yīng)通過盡量減少日志數(shù)量的辦法來提高 IDS 的性能。 第四章 存在的問題 盡管有眾多的商業(yè)產(chǎn)品出現(xiàn)，與諸如防火墻等技術(shù)高度成熟的產(chǎn)品相比，入侵檢測系統(tǒng)還存在相當(dāng)多的問題。這一章我們便要討論一下對其進(jìn)行威脅的主要因素，值得注意的是，這些問題大多是目前入侵檢測系統(tǒng)的結(jié)構(gòu)所難以克服的（包括 waRcher），而且這些矛盾可能越來越尖銳。 以下便是對入侵檢測產(chǎn)品提出挑戰(zhàn)的主要因素 [3]： ，日趨成熟多樣自動化工具，以 及越來越復(fù)雜細(xì)致的攻擊手法。 下圖是 CERT 每年處理的安全事件（縱坐標(biāo)）的統(tǒng)計： 畢業(yè)設(shè)計（論文）：入侵檢測系統(tǒng)（ IDS）分析及其在 linux 下的實現(xiàn) 第 13 頁 共 2 1 頁 不難看出，安全問題正日漸突出，尤其是 2020 年初出現(xiàn)了對諸如 Yahoo， ebay等著名 ICP 的攻擊事件。 IDS 必須不斷跟蹤最新的安全技術(shù)，才能不致被攻擊者遠(yuǎn)遠(yuǎn)超越。 。 網(wǎng)絡(luò)入侵檢測系統(tǒng)通過匹配網(wǎng)絡(luò)數(shù)據(jù)包發(fā)現(xiàn)攻擊行為， IDS 往往假設(shè)攻擊信息是通過明文傳輸?shù)模虼藢π畔⒌纳约痈淖儽憧赡茯_過 IDS 的檢測。 TFN 現(xiàn)在便已經(jīng)通過加密的方法傳輸控制信息。還有許多系統(tǒng)通過 VPN（虛擬專用網(wǎng)）進(jìn)行網(wǎng)絡(luò)之間 的互聯(lián)，如果 IDS 不了解其所用的隧道機(jī)制，會出現(xiàn)大量的誤報和漏報。 、適應(yīng)多樣性的環(huán)境中的不同的安全策略。 網(wǎng)絡(luò)及其中的設(shè)備越來越多樣化，即存在關(guān)鍵資源如郵件服務(wù)器、企業(yè)數(shù)據(jù)庫，也存在眾多相對不是很重要的 PC 機(jī)。不同企業(yè)之間這種情況也往往不盡相同。 IDS要能有所定制以更適應(yīng)多樣的環(huán)境要求。 。 用戶往往要求 IDS 盡可能快的報警，因此需要對獲得的數(shù)據(jù)進(jìn)行實時的分析，這導(dǎo)致對所在系統(tǒng)的要求越來