【文章內(nèi)容簡(jiǎn)介】 event generators），用 e盒表示； 事件分 析器（ event analyzers），用 a盒表示； 響應(yīng)單元（ responseunits），用 r盒表示； 事件數(shù)據(jù)庫(kù)（ event databases），用 d盒表 它將需要分析的數(shù)據(jù)通稱為事件 ， 事件可以是基于網(wǎng)絡(luò)的數(shù)據(jù)包也可以是基于主機(jī)的系統(tǒng)日志中的信息。事件產(chǎn)生器的目的是從整個(gè)計(jì)算機(jī)環(huán)境中獲得事件，并向系統(tǒng)其它部分提供此事件。事件分析器分析得到的事件并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、修改文件屬性等強(qiáng)烈反應(yīng)。事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的通稱，它可以是 復(fù)雜的數(shù)據(jù)庫(kù)也可以是簡(jiǎn)單的文本文件。 第 6 頁(yè) 共 24 頁(yè) 圖 1 CIDF入侵檢測(cè)模 型 入侵檢測(cè)過(guò)程分析 過(guò)程分為三部分：信息收集、信息分析和結(jié)果處理。 (1)信息收集：入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來(lái)收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。 (2)信息分析：收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，被送到檢測(cè)引擎，檢測(cè)引擎駐留在傳感器中，一般通過(guò)三種技術(shù)手段進(jìn)行分析：模式匹 配、統(tǒng)計(jì)分析和完整性分析。當(dāng)檢測(cè)到某種誤用模式時(shí)，產(chǎn)生一個(gè)告警并發(fā)送給控制臺(tái)。 (3)結(jié)果處理：控制臺(tái)按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡(jiǎn)單的告警。 入侵檢測(cè)的發(fā)展歷史 1980年 James P Anderson在給一個(gè)保密客戶寫的一份題為《計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視》的技術(shù)報(bào)告中指出，審計(jì)記錄可以用于識(shí)別計(jì)算機(jī)誤用，他把威脅進(jìn)行了分類，第一次詳細(xì)闡述了入侵檢測(cè)的概念。 1984年到 1986年喬治敦大學(xué)的Dorothy Denning和 SRI公司計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室的 Peter Neumann研究出了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型 — IDES (Intrusion Detection Expert Systems入侵檢測(cè)專家系統(tǒng) )，是第一個(gè)在一個(gè)應(yīng)用中運(yùn)用了統(tǒng)計(jì)和基于規(guī)則兩種技術(shù)的系統(tǒng)，是入侵檢測(cè)研究中最有影響的一個(gè)系統(tǒng)。 1989年，加州大學(xué)戴維斯分校的 Todd Heberlein寫了一篇論文《 A Network Security Monitor》，該監(jiān)控器用于捕獲 TCP/IP分組，第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來(lái)源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換 成統(tǒng)一格 第 7 頁(yè) 共 24 頁(yè) 式的情況下監(jiān)控異種主機(jī)，網(wǎng)絡(luò)入侵檢測(cè)從此誕生。 個(gè)人入侵檢測(cè)系統(tǒng) 的定義 個(gè)人入侵檢測(cè)系統(tǒng)（ PIDS），以網(wǎng)絡(luò)數(shù)據(jù)包作為分析數(shù)據(jù)源，采用異常檢測(cè)分析方法。它只分析處理與個(gè)人主機(jī)有關(guān)的 IP數(shù)據(jù)包，它保護(hù)的是個(gè)人主機(jī)系統(tǒng)。 系統(tǒng) 研究 的 意 義 和方法 綜上， 當(dāng)個(gè)人用戶接入 Inter時(shí)，個(gè)人機(jī)的安全就將面臨著攻擊威脅。因此，個(gè)人用戶 的重要數(shù)據(jù)、機(jī)密文件等需要 安全 保護(hù) 。靜態(tài)的防御措施，如個(gè)人防火墻等，已不能滿足個(gè)人用戶的需求，個(gè)人用戶需要一個(gè)更全面的個(gè)人安全防范體系。如果把入侵檢測(cè)技術(shù)應(yīng)用到個(gè)人機(jī)的安全防范中 ，它將與個(gè)人防火墻一起為個(gè)人用戶提供一個(gè)更安全的動(dòng)態(tài)防范體系。 本文闡述的就是 在 Windows下實(shí)現(xiàn) 個(gè)人入侵檢測(cè)系統(tǒng) (PIDS)。 本系統(tǒng)采用基于網(wǎng)絡(luò)的異常檢測(cè)方法的入侵檢測(cè)技術(shù)，使用量化分析的方法來(lái)檢測(cè)用戶的行為。在總結(jié)出的正常行為規(guī)律的基礎(chǔ)上，檢查入侵和濫用行為特征與其之間的差異，以此來(lái)判斷是否有入侵行為。 2 個(gè)人入侵檢測(cè)系統(tǒng) 的 設(shè)計(jì) 數(shù)據(jù)包 捕獲 模塊 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)要分析的對(duì)象是網(wǎng)絡(luò)中的數(shù)據(jù)包。所以我們就需要對(duì)流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包捕獲并加以分析，這樣才能得到實(shí)現(xiàn)入侵檢測(cè)的功能。對(duì)于不同的操作系統(tǒng)有許多不同的數(shù) 據(jù)包捕獲方法。在本系統(tǒng)中，采用了 windows下的 Winpcap網(wǎng)絡(luò)驅(qū)動(dòng)開(kāi)發(fā)包，它是 Windows平臺(tái)下的一個(gè)免費(fèi)、公共的網(wǎng)絡(luò)驅(qū)動(dòng)開(kāi)發(fā)包 。 開(kāi)發(fā) Winpcap這個(gè)項(xiàng)目的目的在于為 Win32應(yīng)用程序提供訪問(wèn)網(wǎng)絡(luò)底層的能力。它提供了以下的各項(xiàng)功能 : 捕獲原始數(shù)據(jù)報(bào)，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送 /接收的以及相互之間交換的數(shù)據(jù)報(bào) 在數(shù)據(jù)報(bào)發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過(guò)濾掉 在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào) 收集網(wǎng)絡(luò)通信過(guò)程中的統(tǒng)計(jì)信息 Winpcap由三個(gè)模塊構(gòu)成 :NPF, , 。前一個(gè)工作在內(nèi)核層，后兩個(gè)工作在用戶層。第一個(gè)模塊是內(nèi)核部分 NPF (Netgroup Packet Filter)，在Win95/98中它是一個(gè) VXD（虛擬設(shè)備驅(qū)動(dòng)程序文件）文件，在 WinNT/Win2021 第 8 頁(yè) 共 24 頁(yè) 下是一個(gè) SYS文件。它的主要功能是過(guò)濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動(dòng)地傳給 用戶態(tài)模塊 。當(dāng)然也添加了一些系統(tǒng)特定的標(biāo)志 (比如時(shí)間戳管理 )。 這個(gè)過(guò)程中包括了一些操作系統(tǒng)特有的代碼。第二個(gè)模 Win32平臺(tái)下提供一個(gè)通用的公共的包驅(qū)動(dòng)接口。 事實(shí) 上，不同版本的 Windows平臺(tái)在內(nèi)核層模塊和用戶進(jìn)程之間的接口不完全相同， 。提供了一套系統(tǒng)獨(dú)立的 API，調(diào)用 Windows平臺(tái)上而無(wú)需重新編譯。 。 它可執(zhí)行一些低層操作 :如：獲得 網(wǎng)卡名字 ，動(dòng)態(tài)裝載驅(qū)動(dòng)，得到比如機(jī)器的網(wǎng)絡(luò)掩碼、硬件沖突等一些系統(tǒng)特定的信息。 NPF都是系統(tǒng)相關(guān)的，在 Win95/98和 WinNT/2021等不同系統(tǒng)架構(gòu) 。第 三個(gè)模塊 ，它提供了更高層、抽象的函數(shù)。它包括了一些比如過(guò)濾器生成、用戶級(jí)緩沖等其它的高層函數(shù)，增加了比如統(tǒng)計(jì)和包發(fā)送等更高級(jí)的特性。因此程序員能處理兩種類型的 API:一套原始函數(shù)集，包含在 ，直接與內(nèi)核層調(diào)用匹配 。另一套高層函數(shù)由 ，便于用戶調(diào)用，功能更強(qiáng)大。程序員能隨意使用，但只能在受限的環(huán)境中直接使用 . 總的說(shuō)來(lái)， 。 、功能更 加強(qiáng)大的函數(shù)調(diào)用。 Winpcap的具體結(jié)構(gòu)圖 2所示 : 圖 2 Winpcap的具體結(jié)構(gòu) 正如在 Windows 網(wǎng)絡(luò) 體系 結(jié) 構(gòu)中 所 闡釋 的， Win32 網(wǎng) 絡(luò) 架 構(gòu)基 于NDIS(Network Drive Interface Specification網(wǎng)絡(luò)驅(qū)動(dòng)程序接口標(biāo)準(zhǔn) )。 NDIS工作在Windows內(nèi)核網(wǎng)絡(luò)部分的最底層。捕獲進(jìn)程核心必須工作在內(nèi)核層，先于 協(xié)議棧 第 9 頁(yè) 共 24 頁(yè) 之前處理包。 BPF被網(wǎng)卡驅(qū)動(dòng)程序直接調(diào)用，要求 NIC設(shè)備驅(qū)動(dòng)程序遵從一些所謂的 “BPF(Berkeley Packet Filter)驅(qū)動(dòng)規(guī)范 ”。換句話說(shuō)，它需要 設(shè)備驅(qū)動(dòng)可以直接調(diào)用 BPF Tap函數(shù)，能控制所有經(jīng)過(guò)網(wǎng)卡的包 (發(fā)送或接收 )，能對(duì)過(guò)濾后的包進(jìn)行復(fù)制。當(dāng)使用 Winpcap進(jìn)行捕獲時(shí)，這種方法明顯不行。因?yàn)?Windows與 BPF驅(qū)動(dòng)規(guī)范有些 不 同 :Windows不允許為了增加捕獲功能而改變操作系統(tǒng)和 NIC驅(qū)動(dòng)。因此， Winpcap把 Network Tap作為協(xié)議驅(qū)動(dòng)放置在 NDIS結(jié)構(gòu)的上方。 NDIS沒(méi)有從 NPF中完全分離出底層，不能自動(dòng)支持不同的介質(zhì)類型，故需要以這種方式構(gòu)建。與 NDIS的交互使 NPF(NetGroup Packet Filter)比原始的 BPF更加復(fù)雜，BPF通過(guò)一條簡(jiǎn)單的回調(diào)函數(shù)與系統(tǒng)交 互 。在另一方面， NPF是協(xié)議棧的一部分，就同其它網(wǎng)絡(luò)協(xié)議一樣與操作系統(tǒng)交互。然而， NPF獲得了更好的執(zhí)行效果，其Tap比 BPF還要運(yùn)行得快。同 BPF一樣，當(dāng)包靜止時(shí) NPF把過(guò)濾器放入 NIC驅(qū)動(dòng)內(nèi)存中。另一個(gè)優(yōu)化措施是 NPF的同步操作。異步調(diào)用不支持，因此用戶級(jí)存取經(jīng)常被阻塞。 NPF不需要設(shè)置用戶級(jí)訪問(wèn)緩沖隊(duì)列，這使驅(qū)動(dòng)運(yùn)行得更快。 圖 3顯示了 NPF在 NDIS結(jié)構(gòu)中的位置 ： 可以看出 Winpcap也是用的 NDIS，它將自己注冊(cè)為一個(gè)協(xié)議處理驅(qū)動(dòng)。 (在原代碼的 driverentry里面能看到 )。 NPF是 Winpcap中的核心部分，它完成了大部分的工作 :將數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)中并導(dǎo)出捕獲的數(shù)據(jù)包，交由用戶程序分析處理。 圖 3 NDIS內(nèi) NPF Winpcap中 NPF的實(shí)現(xiàn)由于是以協(xié)議驅(qū)動(dòng)程序的模式來(lái)實(shí)現(xiàn)的，雖然從性能上看來(lái)并不是最始數(shù)據(jù)的完全訪問(wèn)。不同的 Windows系統(tǒng)有不同的 NDIS版本，NPF兼容 Win2K及其后續(xù)的 WinXP版本下的 NDIS5，也兼容其他 Windows平臺(tái)下的 NDIS3版本。 NPF與操作系統(tǒng)之間的通信通常是異步的， NPF提供了一系列的回調(diào)函數(shù)供 操作系統(tǒng)在需要時(shí)調(diào)用。 NPF提供了應(yīng)用程序所有 I/O操作的回調(diào)函數(shù)，如 :open,close,read,write等。 第 10 頁(yè) 共 24 頁(yè) NPF與 NDIS之間的通信也是異步的 .一些事件如當(dāng)數(shù)據(jù)包到達(dá)時(shí)是通過(guò)回調(diào)函數(shù)通知 NPF(這個(gè)例子中是 Packetes tapo)，并且， NPF與 NDIS和 NIC驅(qū)動(dòng)之間的通信是非阻塞函數(shù)來(lái)實(shí)現(xiàn)的。當(dāng) NPF調(diào)用 NDIS函數(shù)時(shí)，調(diào)用立即返回 。當(dāng)處理完畢時(shí)， NDIS再調(diào)用一個(gè)特定的函數(shù)通知 調(diào)函數(shù)。 圖 4顯示了 NPF的基礎(chǔ)結(jié)構(gòu)及其在 Winpcap中的 工作模式。 圖 4 NPF協(xié)議驅(qū)動(dòng) Winpcap中過(guò)濾進(jìn)程由用戶級(jí)部分開(kāi)始。它能接收一組用戶定義的過(guò)濾規(guī)則(例如接收所有的 UDP數(shù)據(jù)包 )，把它編譯成一套偽指令 （ 例如，如果是 IP包且協(xié)議類型等這些指令等于 “True）， 把這些指令發(fā)送到內(nèi)核層過(guò)濾器 ， 最后激活代碼。內(nèi)核層過(guò)濾器必須能夠執(zhí)行這些指令 。此外，它需要一個(gè) “BPF虛擬機(jī) ”來(lái)執(zhí)行偽代碼從而對(duì)所有到來(lái)的包進(jìn)行操作。這個(gè) 核心層和 BPF兼容的 過(guò)濾器 是 Winpcap獲得良好性能 的關(guān)鍵。 NPF不同于 BPF的一個(gè)重要的結(jié)構(gòu)差別就是選擇了一個(gè)環(huán)形緩沖區(qū)作 為核心緩沖區(qū) .這有利于數(shù)據(jù)包快的復(fù)制。但這種機(jī)制更難于管理。因?yàn)閺?fù)制的數(shù)據(jù)不再有固定的大小 (Libpcap中，用戶緩沖區(qū)和核心緩沖區(qū)都是 32K)。當(dāng)數(shù)據(jù)從內(nèi)核緩沖區(qū)傳送到用戶緩沖區(qū)時(shí)，相同數(shù)量的包被復(fù)制到內(nèi)核緩沖區(qū)中。它們是同步更新的，而不是在之后。由于內(nèi)核部分較之緩沖區(qū)傳送有更高的優(yōu)先級(jí)， 能獨(dú)占 CPU時(shí)， 故復(fù)制過(guò)程 (從用戶層開(kāi)始 )能釋放掉緩沖區(qū)已傳送的部分。環(huán)形緩沖區(qū)允許所有的容量來(lái)存放數(shù)據(jù)包，前面談到的一對(duì)BPF交換緩沖區(qū)只能用一半的容量。整個(gè)緩沖區(qū)可以用一條簡(jiǎn)單的 Read() 指令讀取，肯定減少了系統(tǒng) 調(diào)用和在用戶、內(nèi)核模式之間上下文切換的次數(shù)。因?yàn)橐淮紊舷挛那袚Q需要保護(hù)現(xiàn)場(chǎng) (僅 CPU描述符和任務(wù)狀態(tài)段的開(kāi)銷就接近數(shù)百個(gè)字 第 11 頁(yè) 共 24 頁(yè) 節(jié) )，大批的傳送會(huì)減少進(jìn)程的開(kāi)銷。但是一個(gè)太大的用戶緩沖區(qū)不會(huì)帶來(lái)任何好處。當(dāng)可分配內(nèi)存太 大時(shí)，上下文切換的開(kāi)銷反而可忽略不計(jì)了。 Winpcap的核心緩沖區(qū)比 BPF的大，通常為 1M。 一個(gè)小緩沖區(qū)會(huì)影響捕獲進(jìn)程。 尤其在一段時(shí)間里應(yīng)用進(jìn)程讀取數(shù)據(jù)的速度不如捕獲進(jìn)程，而且數(shù)據(jù)要被傳送到磁盤，網(wǎng)絡(luò)流量在激增。內(nèi)核緩沖區(qū)和用戶緩沖區(qū)都能在運(yùn)行時(shí)間里改變。 數(shù)據(jù)解析模塊 在本 模塊 的設(shè)計(jì)中 ，主要涉及了 三方面的知識(shí) :windows網(wǎng)絡(luò)體系結(jié)構(gòu)、TCP/IP協(xié)議，數(shù)據(jù)的封裝 和分用 過(guò)程 。 TCP/IP 參考模型與 ISO(International Standards Organization) 的 OSI(Open Systems Interconnection Reference Model)參考模型相比，要簡(jiǎn)單實(shí)用得多，也是目前廣泛使用的網(wǎng)絡(luò)參考模型 。在 TCP/IP參考模型中沒(méi)有明確的數(shù)據(jù)鏈路層和物理層，而是將它們合為較為抽象的 “網(wǎng)絡(luò)設(shè)備互連 ”作為硬件基礎(chǔ)，隨主機(jī)和網(wǎng)絡(luò)的不同而不同。這種模型的應(yīng)用范圍較廣，既可 用于廣域網(wǎng) .也可用于局域網(wǎng)。TCP/IP協(xié)議族，有很多協(xié)議。 當(dāng)應(yīng)用程序用 TCP傳送數(shù)據(jù)是，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個(gè)通過(guò)每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。然后逐個(gè)通過(guò)每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。其中每一層對(duì)收到的數(shù)據(jù)都要增加一些首部信息（有時(shí)還要增加尾部信息）。 TCP傳給 IP的數(shù)據(jù)單元稱作 TCP報(bào)文段或簡(jiǎn)稱為 TCP段（ TCP segment）。IP傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作 IP數(shù)據(jù)報(bào)。 通過(guò)以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。 這就是通常說(shuō)的數(shù)據(jù)的封裝過(guò)程。 當(dāng)目的主機(jī)收到一個(gè)以太網(wǎng)數(shù)據(jù)幀