【文章內(nèi)容簡介】 event generators），用 e盒表示； 事件分 析器（ event analyzers），用 a盒表示； 響應(yīng)單元（ responseunits），用 r盒表示； 事件數(shù)據(jù)庫（ event databases），用 d盒表 它將需要分析的數(shù)據(jù)通稱為事件 ， 事件可以是基于網(wǎng)絡(luò)的數(shù)據(jù)包也可以是基于主機(jī)的系統(tǒng)日志中的信息。事件產(chǎn)生器的目的是從整個計算機(jī)環(huán)境中獲得事件，并向系統(tǒng)其它部分提供此事件。事件分析器分析得到的事件并產(chǎn)生分析結(jié)果。響應(yīng)單元則是對分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、修改文件屬性等強烈反應(yīng)。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的通稱，它可以是 復(fù)雜的數(shù)據(jù)庫也可以是簡單的文本文件。 第 6 頁 共 24 頁 圖 1 CIDF入侵檢測模 型 入侵檢測過程分析 過程分為三部分：信息收集、信息分析和結(jié)果處理。 (1)信息收集：入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。 (2)信息分析：收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術(shù)手段進(jìn)行分析：模式匹 配、統(tǒng)計分析和完整性分析。當(dāng)檢測到某種誤用模式時，產(chǎn)生一個告警并發(fā)送給控制臺。 (3)結(jié)果處理：控制臺按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡單的告警。 入侵檢測的發(fā)展歷史 1980年 James P Anderson在給一個保密客戶寫的一份題為《計算機(jī)安全威脅監(jiān)控與監(jiān)視》的技術(shù)報告中指出，審計記錄可以用于識別計算機(jī)誤用，他把威脅進(jìn)行了分類，第一次詳細(xì)闡述了入侵檢測的概念。 1984年到 1986年喬治敦大學(xué)的Dorothy Denning和 SRI公司計算機(jī)科學(xué)實驗室的 Peter Neumann研究出了一個實時入侵檢測系統(tǒng)模型 — IDES (Intrusion Detection Expert Systems入侵檢測專家系統(tǒng) )，是第一個在一個應(yīng)用中運用了統(tǒng)計和基于規(guī)則兩種技術(shù)的系統(tǒng)，是入侵檢測研究中最有影響的一個系統(tǒng)。 1989年，加州大學(xué)戴維斯分校的 Todd Heberlein寫了一篇論文《 A Network Security Monitor》，該監(jiān)控器用于捕獲 TCP/IP分組，第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換 成統(tǒng)一格 第 7 頁 共 24 頁 式的情況下監(jiān)控異種主機(jī)，網(wǎng)絡(luò)入侵檢測從此誕生。 個人入侵檢測系統(tǒng) 的定義 個人入侵檢測系統(tǒng)（ PIDS），以網(wǎng)絡(luò)數(shù)據(jù)包作為分析數(shù)據(jù)源，采用異常檢測分析方法。它只分析處理與個人主機(jī)有關(guān)的 IP數(shù)據(jù)包，它保護(hù)的是個人主機(jī)系統(tǒng)。 系統(tǒng) 研究 的 意 義 和方法 綜上， 當(dāng)個人用戶接入 Inter時，個人機(jī)的安全就將面臨著攻擊威脅。因此，個人用戶 的重要數(shù)據(jù)、機(jī)密文件等需要 安全 保護(hù) 。靜態(tài)的防御措施，如個人防火墻等，已不能滿足個人用戶的需求，個人用戶需要一個更全面的個人安全防范體系。如果把入侵檢測技術(shù)應(yīng)用到個人機(jī)的安全防范中 ，它將與個人防火墻一起為個人用戶提供一個更安全的動態(tài)防范體系。 本文闡述的就是 在 Windows下實現(xiàn) 個人入侵檢測系統(tǒng) (PIDS)。 本系統(tǒng)采用基于網(wǎng)絡(luò)的異常檢測方法的入侵檢測技術(shù)，使用量化分析的方法來檢測用戶的行為。在總結(jié)出的正常行為規(guī)律的基礎(chǔ)上，檢查入侵和濫用行為特征與其之間的差異，以此來判斷是否有入侵行為。 2 個人入侵檢測系統(tǒng) 的 設(shè)計 數(shù)據(jù)包 捕獲 模塊 網(wǎng)絡(luò)入侵檢測系統(tǒng)要分析的對象是網(wǎng)絡(luò)中的數(shù)據(jù)包。所以我們就需要對流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包捕獲并加以分析，這樣才能得到實現(xiàn)入侵檢測的功能。對于不同的操作系統(tǒng)有許多不同的數(shù) 據(jù)包捕獲方法。在本系統(tǒng)中，采用了 windows下的 Winpcap網(wǎng)絡(luò)驅(qū)動開發(fā)包，它是 Windows平臺下的一個免費、公共的網(wǎng)絡(luò)驅(qū)動開發(fā)包 。 開發(fā) Winpcap這個項目的目的在于為 Win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力。它提供了以下的各項功能 : 捕獲原始數(shù)據(jù)報，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送 /接收的以及相互之間交換的數(shù)據(jù)報 在數(shù)據(jù)報發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報過濾掉 在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報 收集網(wǎng)絡(luò)通信過程中的統(tǒng)計信息 Winpcap由三個模塊構(gòu)成 :NPF, , 。前一個工作在內(nèi)核層，后兩個工作在用戶層。第一個模塊是內(nèi)核部分 NPF (Netgroup Packet Filter)，在Win95/98中它是一個 VXD（虛擬設(shè)備驅(qū)動程序文件）文件，在 WinNT/Win2021 第 8 頁 共 24 頁 下是一個 SYS文件。它的主要功能是過濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動地傳給 用戶態(tài)模塊 。當(dāng)然也添加了一些系統(tǒng)特定的標(biāo)志 (比如時間戳管理 )。 這個過程中包括了一些操作系統(tǒng)特有的代碼。第二個模 Win32平臺下提供一個通用的公共的包驅(qū)動接口。 事實 上，不同版本的 Windows平臺在內(nèi)核層模塊和用戶進(jìn)程之間的接口不完全相同， 。提供了一套系統(tǒng)獨立的 API，調(diào)用 Windows平臺上而無需重新編譯。 。 它可執(zhí)行一些低層操作 :如：獲得 網(wǎng)卡名字 ，動態(tài)裝載驅(qū)動，得到比如機(jī)器的網(wǎng)絡(luò)掩碼、硬件沖突等一些系統(tǒng)特定的信息。 NPF都是系統(tǒng)相關(guān)的，在 Win95/98和 WinNT/2021等不同系統(tǒng)架構(gòu) 。第 三個模塊 ，它提供了更高層、抽象的函數(shù)。它包括了一些比如過濾器生成、用戶級緩沖等其它的高層函數(shù)，增加了比如統(tǒng)計和包發(fā)送等更高級的特性。因此程序員能處理兩種類型的 API:一套原始函數(shù)集，包含在 ，直接與內(nèi)核層調(diào)用匹配 。另一套高層函數(shù)由 ，便于用戶調(diào)用，功能更強大。程序員能隨意使用，但只能在受限的環(huán)境中直接使用 . 總的說來， 。 、功能更 加強大的函數(shù)調(diào)用。 Winpcap的具體結(jié)構(gòu)圖 2所示 : 圖 2 Winpcap的具體結(jié)構(gòu) 正如在 Windows 網(wǎng)絡(luò) 體系 結(jié) 構(gòu)中 所 闡釋 的， Win32 網(wǎng) 絡(luò) 架 構(gòu)基 于NDIS(Network Drive Interface Specification網(wǎng)絡(luò)驅(qū)動程序接口標(biāo)準(zhǔn) )。 NDIS工作在Windows內(nèi)核網(wǎng)絡(luò)部分的最底層。捕獲進(jìn)程核心必須工作在內(nèi)核層，先于 協(xié)議棧 第 9 頁 共 24 頁 之前處理包。 BPF被網(wǎng)卡驅(qū)動程序直接調(diào)用，要求 NIC設(shè)備驅(qū)動程序遵從一些所謂的 “BPF(Berkeley Packet Filter)驅(qū)動規(guī)范 ”。換句話說，它需要 設(shè)備驅(qū)動可以直接調(diào)用 BPF Tap函數(shù)，能控制所有經(jīng)過網(wǎng)卡的包 (發(fā)送或接收 )，能對過濾后的包進(jìn)行復(fù)制。當(dāng)使用 Winpcap進(jìn)行捕獲時，這種方法明顯不行。因為 Windows與 BPF驅(qū)動規(guī)范有些 不 同 :Windows不允許為了增加捕獲功能而改變操作系統(tǒng)和 NIC驅(qū)動。因此， Winpcap把 Network Tap作為協(xié)議驅(qū)動放置在 NDIS結(jié)構(gòu)的上方。 NDIS沒有從 NPF中完全分離出底層，不能自動支持不同的介質(zhì)類型，故需要以這種方式構(gòu)建。與 NDIS的交互使 NPF(NetGroup Packet Filter)比原始的 BPF更加復(fù)雜，BPF通過一條簡單的回調(diào)函數(shù)與系統(tǒng)交 互 。在另一方面， NPF是協(xié)議棧的一部分，就同其它網(wǎng)絡(luò)協(xié)議一樣與操作系統(tǒng)交互。然而， NPF獲得了更好的執(zhí)行效果，其Tap比 BPF還要運行得快。同 BPF一樣，當(dāng)包靜止時 NPF把過濾器放入 NIC驅(qū)動內(nèi)存中。另一個優(yōu)化措施是 NPF的同步操作。異步調(diào)用不支持，因此用戶級存取經(jīng)常被阻塞。 NPF不需要設(shè)置用戶級訪問緩沖隊列，這使驅(qū)動運行得更快。 圖 3顯示了 NPF在 NDIS結(jié)構(gòu)中的位置 ： 可以看出 Winpcap也是用的 NDIS，它將自己注冊為一個協(xié)議處理驅(qū)動。 (在原代碼的 driverentry里面能看到 )。 NPF是 Winpcap中的核心部分，它完成了大部分的工作 :將數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)中并導(dǎo)出捕獲的數(shù)據(jù)包，交由用戶程序分析處理。 圖 3 NDIS內(nèi) NPF Winpcap中 NPF的實現(xiàn)由于是以協(xié)議驅(qū)動程序的模式來實現(xiàn)的，雖然從性能上看來并不是最始數(shù)據(jù)的完全訪問。不同的 Windows系統(tǒng)有不同的 NDIS版本，NPF兼容 Win2K及其后續(xù)的 WinXP版本下的 NDIS5，也兼容其他 Windows平臺下的 NDIS3版本。 NPF與操作系統(tǒng)之間的通信通常是異步的， NPF提供了一系列的回調(diào)函數(shù)供 操作系統(tǒng)在需要時調(diào)用。 NPF提供了應(yīng)用程序所有 I/O操作的回調(diào)函數(shù)，如 :open,close,read,write等。 第 10 頁 共 24 頁 NPF與 NDIS之間的通信也是異步的 .一些事件如當(dāng)數(shù)據(jù)包到達(dá)時是通過回調(diào)函數(shù)通知 NPF(這個例子中是 Packetes tapo)，并且， NPF與 NDIS和 NIC驅(qū)動之間的通信是非阻塞函數(shù)來實現(xiàn)的。當(dāng) NPF調(diào)用 NDIS函數(shù)時，調(diào)用立即返回 。當(dāng)處理完畢時， NDIS再調(diào)用一個特定的函數(shù)通知 調(diào)函數(shù)。 圖 4顯示了 NPF的基礎(chǔ)結(jié)構(gòu)及其在 Winpcap中的 工作模式。 圖 4 NPF協(xié)議驅(qū)動 Winpcap中過濾進(jìn)程由用戶級部分開始。它能接收一組用戶定義的過濾規(guī)則(例如接收所有的 UDP數(shù)據(jù)包 )，把它編譯成一套偽指令 （ 例如，如果是 IP包且協(xié)議類型等這些指令等于 “True）， 把這些指令發(fā)送到內(nèi)核層過濾器 ， 最后激活代碼。內(nèi)核層過濾器必須能夠執(zhí)行這些指令 。此外，它需要一個 “BPF虛擬機(jī) ”來執(zhí)行偽代碼從而對所有到來的包進(jìn)行操作。這個 核心層和 BPF兼容的 過濾器 是 Winpcap獲得良好性能 的關(guān)鍵。 NPF不同于 BPF的一個重要的結(jié)構(gòu)差別就是選擇了一個環(huán)形緩沖區(qū)作 為核心緩沖區(qū) .這有利于數(shù)據(jù)包快的復(fù)制。但這種機(jī)制更難于管理。因為復(fù)制的數(shù)據(jù)不再有固定的大小 (Libpcap中，用戶緩沖區(qū)和核心緩沖區(qū)都是 32K)。當(dāng)數(shù)據(jù)從內(nèi)核緩沖區(qū)傳送到用戶緩沖區(qū)時，相同數(shù)量的包被復(fù)制到內(nèi)核緩沖區(qū)中。它們是同步更新的，而不是在之后。由于內(nèi)核部分較之緩沖區(qū)傳送有更高的優(yōu)先級， 能獨占 CPU時， 故復(fù)制過程 (從用戶層開始 )能釋放掉緩沖區(qū)已傳送的部分。環(huán)形緩沖區(qū)允許所有的容量來存放數(shù)據(jù)包，前面談到的一對BPF交換緩沖區(qū)只能用一半的容量。整個緩沖區(qū)可以用一條簡單的 Read() 指令讀取，肯定減少了系統(tǒng) 調(diào)用和在用戶、內(nèi)核模式之間上下文切換的次數(shù)。因為一次上下文切換需要保護(hù)現(xiàn)場 (僅 CPU描述符和任務(wù)狀態(tài)段的開銷就接近數(shù)百個字 第 11 頁 共 24 頁 節(jié) )，大批的傳送會減少進(jìn)程的開銷。但是一個太大的用戶緩沖區(qū)不會帶來任何好處。當(dāng)可分配內(nèi)存太 大時，上下文切換的開銷反而可忽略不計了。 Winpcap的核心緩沖區(qū)比 BPF的大，通常為 1M。 一個小緩沖區(qū)會影響捕獲進(jìn)程。 尤其在一段時間里應(yīng)用進(jìn)程讀取數(shù)據(jù)的速度不如捕獲進(jìn)程，而且數(shù)據(jù)要被傳送到磁盤，網(wǎng)絡(luò)流量在激增。內(nèi)核緩沖區(qū)和用戶緩沖區(qū)都能在運行時間里改變。 數(shù)據(jù)解析模塊 在本 模塊 的設(shè)計中 ，主要涉及了 三方面的知識 :windows網(wǎng)絡(luò)體系結(jié)構(gòu)、TCP/IP協(xié)議，數(shù)據(jù)的封裝 和分用 過程 。 TCP/IP 參考模型與 ISO(International Standards Organization) 的 OSI(Open Systems Interconnection Reference Model)參考模型相比，要簡單實用得多，也是目前廣泛使用的網(wǎng)絡(luò)參考模型 。在 TCP/IP參考模型中沒有明確的數(shù)據(jù)鏈路層和物理層，而是將它們合為較為抽象的 “網(wǎng)絡(luò)設(shè)備互連 ”作為硬件基礎(chǔ)，隨主機(jī)和網(wǎng)絡(luò)的不同而不同。這種模型的應(yīng)用范圍較廣，既可 用于廣域網(wǎng) .也可用于局域網(wǎng)。TCP/IP協(xié)議族，有很多協(xié)議。 當(dāng)應(yīng)用程序用 TCP傳送數(shù)據(jù)是，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個通過每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。然后逐個通過每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。其中每一層對收到的數(shù)據(jù)都要增加一些首部信息（有時還要增加尾部信息）。 TCP傳給 IP的數(shù)據(jù)單元稱作 TCP報文段或簡稱為 TCP段（ TCP segment）。IP傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作 IP數(shù)據(jù)報。 通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。 這就是通常說的數(shù)據(jù)的封裝過程。 當(dāng)目的主機(jī)收到一個以太網(wǎng)數(shù)據(jù)幀