【文章內(nèi)容簡(jiǎn)介】 Peter Neumann研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型 — IDES (Intrusion Detection Expert Systems入侵檢測(cè)專家系統(tǒng) )，是第一個(gè)在一個(gè)應(yīng)用中運(yùn)用了統(tǒng)計(jì)和基于規(guī)則兩種技術(shù)的系統(tǒng)，是入侵檢測(cè)研究中最有影響的一個(gè)系統(tǒng)。 1989年，加州大學(xué)戴維斯分校的 Todd Heberlein寫了一篇論文《 A Network Security Monitor》，該監(jiān)控器用于捕獲 TCP/IP分組，第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來(lái)源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格 第 7 頁(yè) 共 24 頁(yè) 式的情況下監(jiān)控異種主機(jī)，網(wǎng)絡(luò)入侵檢測(cè)從此誕生。 個(gè)人入侵檢測(cè)系統(tǒng) 的定義 個(gè)人入侵檢測(cè)系統(tǒng)（ PIDS），以網(wǎng)絡(luò)數(shù)據(jù)包作為分析數(shù)據(jù)源，采用異常檢測(cè)分析方法。它只 分析處理與個(gè)人主機(jī)有關(guān)的 IP數(shù)據(jù)包，它保護(hù)的是個(gè)人主機(jī)系統(tǒng)。 系統(tǒng)研究 的 意 義 和方法 綜上，當(dāng)個(gè)人用戶接入 Inter時(shí)，個(gè)人機(jī)的安全就將面臨著攻擊威脅。因此，個(gè)人用戶的重要數(shù)據(jù)、機(jī)密文件等需要安全保護(hù)。靜態(tài)的防御措施，如個(gè)人防火墻等，已不能滿足個(gè)人用戶的需求，個(gè)人用戶需要一個(gè)更全面的個(gè)人安全防范體系。如果把入侵檢測(cè)技術(shù)應(yīng)用到個(gè)人機(jī)的安全防范中，它將與個(gè)人防火墻一起為個(gè)人用戶提供一個(gè)更安全的動(dòng)態(tài)防范體系。 本文闡述的就是在 Windows下實(shí)現(xiàn)個(gè)人入侵檢測(cè)系統(tǒng) (PIDS)。本系統(tǒng)采用基于網(wǎng)絡(luò)的異常檢測(cè)方法的 入侵檢測(cè)技術(shù)，使用量化分析的方法來(lái)檢測(cè)用戶的行為。在總結(jié)出的正常行為規(guī)律的基礎(chǔ)上，檢查入侵和濫用行為特征與其之間的差異，以此來(lái)判斷是否有入侵行為。 2 個(gè)人入侵檢測(cè)系統(tǒng) 的 設(shè)計(jì) 數(shù)據(jù)包 捕獲 模塊 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)要分析的對(duì)象是網(wǎng)絡(luò)中的數(shù)據(jù)包。所以我們就需要對(duì)流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包捕獲并加以分析，這樣才能得到實(shí)現(xiàn)入侵檢測(cè)的功能。對(duì)于不同的操作系統(tǒng)有許多不同的數(shù)據(jù)包捕獲方法。在本系統(tǒng)中，采用了 windows下的 Winpcap網(wǎng)絡(luò)驅(qū)動(dòng)開(kāi)發(fā)包，它是 Windows平臺(tái)下的一個(gè)免費(fèi)、公共的網(wǎng)絡(luò)驅(qū)動(dòng)開(kāi)發(fā)包。開(kāi)發(fā) Winpcap這個(gè)項(xiàng) 目的目的在于為 Win32應(yīng)用程序提供訪問(wèn)網(wǎng)絡(luò)底層的能力。它提供了以下的各項(xiàng)功能 : 捕獲原始數(shù)據(jù)報(bào)，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送 /接收的以及相互之間交換的數(shù)據(jù)報(bào) 在數(shù)據(jù)報(bào)發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過(guò)濾掉 在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào) 收集網(wǎng)絡(luò)通信過(guò)程中的統(tǒng)計(jì)信息 Winpcap由三個(gè)模塊構(gòu)成 :NPF, , 。前一個(gè)工作在內(nèi)核層，后兩個(gè)工作在用戶層。第一個(gè)模塊是內(nèi)核部分 NPF (Netgroup Packet Filter)，在Win95/98中它是一個(gè) VXD（虛擬設(shè)備驅(qū)動(dòng)程序文件）文件，在 WinNT/Win2020 第 8 頁(yè) 共 24 頁(yè) 下是一個(gè) SYS文件。它的主要功能是過(guò)濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動(dòng)地傳給 用戶態(tài)模塊 。當(dāng)然也添加了一些系統(tǒng)特定的標(biāo)志 (比如時(shí)間戳管理 )。這個(gè)過(guò)程中包括了一些操作系統(tǒng)特有的代碼。第二個(gè)模 Win32平臺(tái)下提供一個(gè)通用的公共的包驅(qū)動(dòng)接口。 事實(shí)上，不同版本的 Windows平臺(tái)在內(nèi)核層模塊和用戶進(jìn)程之間的接口不完全相同， 。提供了一套系統(tǒng)獨(dú)立的 API，調(diào)用 Windows平臺(tái)上而無(wú)需重新編譯。 。 它可執(zhí)行一些低層操作 :如：獲得 網(wǎng)卡名字 ，動(dòng)態(tài)裝載驅(qū)動(dòng)，得到比如機(jī)器的網(wǎng)絡(luò)掩碼、硬件沖突等一些系統(tǒng)特定的信息。 NPF都是系統(tǒng)相關(guān)的，在 Win95/98和 WinNT/2020等不同系統(tǒng)架構(gòu) 。第三個(gè)模塊 ，它提供了更高層、抽象的函數(shù)。它包括了一些比如過(guò)濾器生成、用戶級(jí)緩沖等其它的高層函數(shù)，增加了比如統(tǒng)計(jì)和包發(fā)送等更高級(jí)的特性。因 此程序員能處理兩種類型的 API:一套原始函數(shù)集，包含在 ，直接與內(nèi)核層調(diào)用匹配 。另一套高層函數(shù)由 ，便于用戶調(diào)用，功能更強(qiáng)大。程序員能隨意使用，但只能在受限的環(huán)境中直接使用 . 總的說(shuō)來(lái)， 。 、功能更加強(qiáng)大的函數(shù)調(diào)用。 Winpcap的具體結(jié)構(gòu)圖 2所示 : 圖 2 Winpcap的具體結(jié)構(gòu) 正如在 Windows 網(wǎng)絡(luò) 體系 結(jié) 構(gòu)中 所 闡釋 的， Win32 網(wǎng) 絡(luò) 架 構(gòu)基 于NDIS(Network Drive Interface Specification網(wǎng)絡(luò)驅(qū)動(dòng)程序接口標(biāo)準(zhǔn) )。 NDIS工作在Windows內(nèi)核網(wǎng)絡(luò)部分的最底層。捕獲進(jìn)程核心必須工作在內(nèi)核層，先于 協(xié)議棧 第 9 頁(yè) 共 24 頁(yè) 之前處理包。 BPF被網(wǎng)卡驅(qū)動(dòng)程序直接調(diào)用，要求 NIC設(shè)備驅(qū)動(dòng)程序遵從一些所謂的 “BPF(Berkeley Packet Filter)驅(qū)動(dòng)規(guī)范 ”。換句話說(shuō)，它需要設(shè)備驅(qū)動(dòng)可以直接調(diào)用 BPF Tap函數(shù)，能控制所有經(jīng)過(guò)網(wǎng)卡的包 (發(fā)送或接收 )，能對(duì)過(guò)濾后的包進(jìn)行復(fù)制。當(dāng)使用 Winpcap進(jìn)行捕獲時(shí)，這種方法明顯不行。因?yàn)?Windows與 BPF驅(qū)動(dòng)規(guī)范有些不同 :Windows不允許為了增加捕獲功能而改變操作系統(tǒng)和 NIC驅(qū)動(dòng)。因此， Winpcap把 Network Tap作為協(xié)議驅(qū)動(dòng)放置在 NDIS結(jié)構(gòu)的上方。 NDIS沒(méi)有從 NPF中完全分離出底層，不能自動(dòng)支持不同的介質(zhì)類型，故需要以這種方式構(gòu)建。與 NDIS的交互使 NPF(NetGroup Packet Filter)比原始的 BPF更加復(fù)雜，BPF通過(guò)一條簡(jiǎn)單的回調(diào)函數(shù)與系統(tǒng)交 互 。在另一方面， NPF是協(xié)議棧的一部分，就同其它網(wǎng)絡(luò)協(xié)議一樣與操作系統(tǒng)交互。然而， NPF獲得了更好的執(zhí)行效果，其Tap比 BPF還要運(yùn)行得快。同 BPF一樣，當(dāng)包靜止時(shí) NPF把過(guò)濾器放入 NIC驅(qū)動(dòng)內(nèi)存中。另一個(gè)優(yōu)化措施是 NPF的同步操作。異步調(diào)用不支持，因此用戶級(jí)存取經(jīng)常被阻塞。 NPF不需要設(shè)置用戶級(jí)訪問(wèn)緩沖隊(duì)列，這使驅(qū)動(dòng)運(yùn)行得更快。 圖 3顯示了 NPF在 NDIS結(jié)構(gòu)中的位置 ： 可以看出 Winpcap也是用的 NDIS，它將自己注冊(cè)為一個(gè)協(xié)議處理驅(qū)動(dòng)。 (在原代碼的 driverentry里面能看到 )。 NPF是 Winpcap中的核心部分，它完成了大部分的工作 :將數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)中并導(dǎo)出捕獲的數(shù)據(jù)包，交由用戶程序分析處理。 圖 3 NDIS內(nèi) NPF Winpcap中 NPF的實(shí)現(xiàn)由于是以協(xié)議驅(qū)動(dòng)程序的模式來(lái)實(shí)現(xiàn)的，雖然從性能上看來(lái)并不是最始數(shù)據(jù)的完全訪問(wèn)。不同的 Windows系統(tǒng)有不同的 NDIS版本，NPF兼容 Win2K及其后續(xù)的 WinXP版本下的 NDIS5，也兼容其他 Windows平臺(tái)下的 NDIS3版本。 NPF與操作系統(tǒng)之間的通信通常是異步的， NPF提供了一系列的回調(diào)函數(shù)供操作系統(tǒng)在需要時(shí)調(diào)用。 NPF提供了應(yīng)用程序所有 I/O操作的回調(diào)函數(shù)，如 :open,close,read,write等。 第 10 頁(yè) 共 24 頁(yè) NPF與 NDIS之間的通信也是異步的 .一些 事件如當(dāng)數(shù)據(jù)包到達(dá)時(shí)是通過(guò)回調(diào)函數(shù)通知 NPF(這個(gè)例子中是 Packetes tapo)，并且， NPF與 NDIS和 NIC驅(qū)動(dòng)之間的通信是非阻塞函數(shù)來(lái)實(shí)現(xiàn)的。當(dāng) NPF調(diào)用 NDIS函數(shù)時(shí)，調(diào)用立即返回 。當(dāng)處理完畢時(shí)， NDIS再調(diào)用一個(gè)特定的函數(shù)通知 調(diào)函數(shù)。 圖 4顯示了 NPF的基礎(chǔ)結(jié)構(gòu)及其在 Winpcap中的 工作模式。 圖 4 NPF協(xié)議驅(qū)動(dòng) Winpcap中過(guò)濾進(jìn)程由用戶級(jí)部分開(kāi)始。它能接收一組用戶定義的過(guò)濾規(guī)則(例如接收所有的 UDP數(shù)據(jù)包 )，把它編譯成一套偽指令 （例如，如 果是 IP包且協(xié)議類型等這些指令等于 “True）， 把這些指令發(fā)送到內(nèi)核層過(guò)濾器，最后激活代碼。內(nèi)核層過(guò)濾器必須能夠執(zhí)行這些指令 。此外，它需要一個(gè) “BPF虛擬機(jī) ”來(lái)執(zhí)行偽代碼從而對(duì)所有到來(lái)的包進(jìn)行操作。這個(gè) 核心層和 BPF兼容的 過(guò)濾器 是 Winpcap獲得良好性能 的關(guān)鍵。 NPF不同于 BPF的一個(gè)重要的結(jié)構(gòu)差別就是選擇了一個(gè)環(huán)形緩沖區(qū)作為核心緩沖區(qū) .這有利于數(shù)據(jù)包快的復(fù)制。但這種機(jī)制更難于管理。因?yàn)閺?fù)制的數(shù)據(jù)不再有固定的大小 (Libpcap中，用戶緩沖區(qū)和核心緩沖區(qū)都是 32K)。當(dāng)數(shù)據(jù)從內(nèi)核緩沖區(qū)傳送到 用戶緩沖區(qū)時(shí)，相同數(shù)量的包被復(fù)制到內(nèi)核緩沖區(qū)中。它們是同步更新的，而不是在之后。由于內(nèi)核部分較之緩沖區(qū)傳送有更高的優(yōu)先級(jí)， 能獨(dú)占 CPU時(shí)， 故復(fù)制過(guò)程 (從用戶層開(kāi)始 )能釋放掉緩沖區(qū)已傳送的部分。環(huán)形緩沖區(qū)允許所有的容量來(lái)存放數(shù)據(jù)包，前面談到的一對(duì)BPF交換緩沖區(qū)只能用一半的容量。整個(gè)緩沖區(qū)可以用一條簡(jiǎn)單的 Read() 指令讀取，肯定減少了系統(tǒng)調(diào)用和在用戶、內(nèi)核模式之間上下文切換的次數(shù)。因?yàn)橐淮紊舷挛那袚Q需要保護(hù)現(xiàn)場(chǎng) (僅 CPU描述符和任務(wù)狀態(tài)段的開(kāi)銷就接近數(shù)百個(gè)字 第 11 頁(yè) 共 24 頁(yè) 節(jié) )，大批的傳送會(huì)減少進(jìn)程的開(kāi)銷。但是一個(gè)太大的 用戶緩沖區(qū)不會(huì)帶來(lái)任何好處。當(dāng)可分配內(nèi)存太 大時(shí)，上下文切換的開(kāi)銷反而可忽略不計(jì)了。 Winpcap的核心緩沖區(qū)比 BPF的大，通常為 1M。 一個(gè)小緩沖區(qū)會(huì)影響捕獲進(jìn)程。尤其在一段時(shí)間里應(yīng)用進(jìn)程讀取數(shù)據(jù)的速度不如捕獲進(jìn)程，而且數(shù)據(jù)要被傳送到磁盤，網(wǎng)絡(luò)流量在激增。內(nèi)核緩沖區(qū)和用戶緩沖區(qū)都能在運(yùn)行時(shí)間里改變。 數(shù)據(jù)解析模塊 在本模塊的設(shè)計(jì)中，主要涉及了三方面的知識(shí) :windows網(wǎng)絡(luò)體系結(jié)構(gòu)、TCP/IP協(xié)議，數(shù)據(jù)的封裝和分用過(guò)程。 TCP/IP 參考模型與 ISO(International Standards Organization) 的 OSI(Open Systems Interconnection Reference Model)參考模型相比，要簡(jiǎn)單實(shí)用得多，也是目前廣泛使用的網(wǎng)絡(luò)參考模型。在 TCP/IP參考模型中沒(méi)有明確的數(shù)據(jù)鏈路層和物理層，而是將它們合為較為抽象的 “網(wǎng)絡(luò)設(shè)備互連 ”作為硬件基礎(chǔ)，隨主機(jī)和網(wǎng)絡(luò)的不同而不同。這種模型的應(yīng)用范圍較廣，既可用于廣域網(wǎng) .也可用于局域網(wǎng)。TCP/IP協(xié)議族，有很多協(xié)議。 當(dāng)應(yīng)用程序用 TCP傳送數(shù)據(jù)是，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個(gè)通過(guò)每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。然后逐個(gè)通 過(guò)每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。其中每一層對(duì)收到的數(shù)據(jù)都要增加一些首部信息（有時(shí)還要增加尾部信息）。 TCP傳給 IP的數(shù)據(jù)單元稱作 TCP報(bào)文段或簡(jiǎn)稱為 TCP段（ TCP segment）。IP傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作 IP數(shù)據(jù)報(bào)。通過(guò)以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。這就是通常說(shuō)的數(shù)據(jù)的封裝過(guò)程。 當(dāng)目的主機(jī)收到一個(gè)以太網(wǎng)數(shù)據(jù)幀時(shí)，數(shù)據(jù)就開(kāi)始 從協(xié)議棧中由底向上升，同時(shí)去掉各層協(xié)議加上的報(bào)文首部。每層協(xié)議盒都要去檢查報(bào)文首部中的協(xié)議標(biāo)識(shí)，以確定接收數(shù)據(jù)的上層協(xié)議。這個(gè)過(guò)程稱作分用（ Demultiplexing）。 IP是 TCP/IP協(xié)議族中最為核心的協(xié)議。所有的 TCP、 UDP、 ICMP及 IGMP數(shù)據(jù)都以 IP數(shù)據(jù)報(bào)格式傳輸。 IP提供不可靠、無(wú)連接的數(shù)據(jù)報(bào)傳送服務(wù)。 IP各域的含義如下： 版本 :當(dāng)前 IP協(xié)議的版本號(hào)，本論文采用的版本號(hào)為 4； 首部長(zhǎng)度 :以 32bit為單位的包頭長(zhǎng)度； 服務(wù)類型 :規(guī)定對(duì)本數(shù)據(jù)報(bào)的處理方式，比如優(yōu)先權(quán)等； 總長(zhǎng) :以 Byte為單位的整個(gè) IP數(shù)據(jù)報(bào)長(zhǎng)度； 標(biāo)識(shí) :信源主機(jī)賦予每個(gè) IP數(shù)據(jù)報(bào)的唯一標(biāo)識(shí)符號(hào)，用于控制分片及其重組； 標(biāo)志和片偏移 :同樣用于控制分片及其重組； 生存時(shí)間 :設(shè) 置本數(shù)據(jù)報(bào)的最大生存時(shí)間，以秒為單位； 第 12 頁(yè) 共 24 頁(yè) 協(xié)議 :表示創(chuàng)建本 IP數(shù)據(jù)報(bào)數(shù)據(jù)區(qū)數(shù)據(jù)的高層協(xié)議的類型，如 TCP,UDP等； 頭標(biāo)校驗(yàn)和 :用于保證頭標(biāo)數(shù)據(jù)的完整性； 源 IP地址和目的 IP地址 : 分別指發(fā)送本數(shù)據(jù)報(bào)的主機(jī) IP地址和接受本數(shù)據(jù)報(bào)的主機(jī)的 IP地址； 選項(xiàng) :用于控制和測(cè)試，是 IP數(shù)據(jù)報(bào)中可選的部分，包含 “源路徑 ”、 “路徑記錄 ”、 “時(shí)間戳 ”等幾種類型。 TCP協(xié)議是網(wǎng)絡(luò)中應(yīng)用最為廣泛的協(xié)議，許多的應(yīng)用層協(xié)議都是在建立在TCP協(xié)議之上的。 TCP協(xié)議頭部信息如下： 源端口 :發(fā)送端 TCP端口號(hào)； 目的端口 :接收端 TCP端口號(hào)； 序號(hào) :指出段中數(shù)據(jù)在發(fā)送端數(shù)據(jù)流中的位置； 確認(rèn)號(hào) :指出本機(jī)希望下一個(gè)接收的字節(jié)的序號(hào)； 頭標(biāo)長(zhǎng)度 :以 32bit為單位的段頭標(biāo)長(zhǎng)度，針對(duì)變長(zhǎng)的 “選項(xiàng) ”域設(shè)計(jì)的； 碼位 :指出段的目的與內(nèi)容，不同的各碼位置位有不同的含義； 窗口 :用于通告接收端接收緩沖區(qū)的大?。? 校驗(yàn)和 :這是可選域，置 0表示未選，全 1表示校驗(yàn)和為伍； 緊急指針 :當(dāng)碼位的 URG置位時(shí)，指出緊急指針的序號(hào)； UDP協(xié)議是英文 User Datagram Protocol的縮寫，即用戶數(shù)據(jù)報(bào)協(xié)議，主要用來(lái)支持那些需要在計(jì)算機(jī)之間傳輸數(shù)據(jù)的 網(wǎng)絡(luò)應(yīng)用。包括網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)在內(nèi)的眾多的客戶 /服務(wù)器模式的網(wǎng)絡(luò)應(yīng)用都需要使用 UDP協(xié)議。 UDP協(xié)議從問(wèn)世至今已經(jīng)被使用了很多年，雖然其最初的光彩已經(jīng)被一些類似協(xié)議所掩蓋，但是即使是在今天， UDP仍然不失為一項(xiàng)非常實(shí)用和可行的網(wǎng)絡(luò)傳輸層協(xié)議。 UDP數(shù)據(jù)報(bào)各域的意義與 TCP段中相應(yīng)的域相同。只有校驗(yàn)和有些不同，除 UDP數(shù)據(jù)報(bào)本身外，它還覆蓋一個(gè)附加的 “偽頭標(biāo) ”。這個(gè)偽頭標(biāo)來(lái)自于 IP報(bào)頭，包括 :源 IP地址、信宿 IP地址、協(xié)議類型、 UDP長(zhǎng)度及填充域。 數(shù)據(jù)分析模塊 本系統(tǒng)采用異常檢測(cè)