【正文】 個人防火墻。 Winpcap的組成Winpcap主要由一個內(nèi)核層的數(shù)據(jù)包過濾模塊，兩個動態(tài)鏈接庫組成。內(nèi)核層的數(shù)據(jù)包過濾模塊NPF(Netgroup Packet Filter)，主要是對應于Linux下的Libpcap使用的BPF過濾模塊來設計的，用來實現(xiàn)高效的網(wǎng)絡數(shù)據(jù)包捕獲和過濾功能，其過濾規(guī)則與BPF的過濾規(guī)則一樣。，為開發(fā)者提供一個較底層的開發(fā)接口，使用此動態(tài)連接庫可以調用WinPcap的函數(shù)。，它為開發(fā)者提供了一個更高層的編程接口，且其調用與系統(tǒng)無關。因此。 基于規(guī)則檢測器的設計如前面入侵檢測模型設計時所介紹的，在數(shù)據(jù)分析模塊中運用了兩種檢測技術。因此，數(shù)據(jù)分析模塊將分別對兩個檢測器進行設計。本節(jié)給出了基于規(guī)則檢測器的設計過程。基于行為檢測器的設計過程將在下節(jié)進行介紹。 設計原則基于規(guī)則的入侵檢測器的設計原則如下:充分利用協(xié)議的高規(guī)則性,根據(jù)不同協(xié)議的不同位置所代表的含義的不同，進行了規(guī)則檢測器的設計，提高整個入侵檢測系統(tǒng)的檢測速度，降低入侵檢測系統(tǒng)的誤報率。 規(guī)則檢測器的工作流程設計根據(jù)網(wǎng)絡結構分層的特點和處理時間的先后，可以將基于協(xié)議分析的規(guī)則檢測器分為:底層模塊、中層模塊和高層模塊。其中底層模塊的任務是完成數(shù)據(jù)包的捕獲。中層模塊需要進行是協(xié)議解碼和協(xié)議分析。協(xié)議解碼主要是對捕獲的數(shù)據(jù)包進行解碼和預處理；協(xié)議分析將協(xié)議解碼過的數(shù)據(jù)運用模式匹配算法和特征庫中攻擊模式進行比較分析，從而判斷是否受到攻擊。高層模塊主要是實現(xiàn)數(shù)據(jù)包的統(tǒng)計和操作日志。規(guī)則檢測器的基本結構如圖43所示[49]:圖43 規(guī)則檢測器的基本結構 The basic structure of the detector rule根據(jù)規(guī)則檢測器的基本結構圖所示，主要針對其中層模塊進行設計。1. 協(xié)議樹的構建根據(jù)前面網(wǎng)絡協(xié)議分層的介紹，了解到協(xié)議是按層次劃分。按照協(xié)議的層次結構，我們將所有協(xié)議轉化成為一棵協(xié)議樹，其結構如圖44所示。樹中的一個節(jié)點代表一種協(xié)議。一個網(wǎng)絡數(shù)據(jù)包的分析過程就是一條從根到某個葉子的路徑。只要分析過程中動態(tài)地維護和配置協(xié)議樹結構就可實現(xiàn)非常靈活的協(xié)議分析功能。圖44 協(xié)議分析樹 Protocol analysis tree協(xié)議分析樹本質上是三維結構，除了平面上的協(xié)議分層結構外，樹中的每節(jié)點都有一個鏈表，存儲了本節(jié)點協(xié)議的分析算法等信息。在實現(xiàn)中，對于每個協(xié)議的分析都是利用鏈表中算法產(chǎn)生的進程隊列中的一個進程來實現(xiàn)，每層的處理十分類似。每層都是根據(jù)不同協(xié)議的多分支結構。2. 協(xié)議解碼由于數(shù)據(jù)在發(fā)送時是自上而下，逐層進行封裝；因此，數(shù)據(jù)在接收時是自下而上，逐層進行解碼。數(shù)據(jù)在發(fā)送過程中，發(fā)送方對數(shù)據(jù)包逐層添加一些首部信息 (有時還要增加尾部信息)的過程被稱為數(shù)據(jù)封裝。協(xié)議解碼就是接收方按照數(shù)據(jù)封裝的逆過程，逐層去掉每一層協(xié)議所對應的首部信息，進行解碼。協(xié)議解碼的過程如圖45所示。圖45 協(xié)議解碼過程 Protocol decoding process3. 協(xié)議分析檢測器的設計由于網(wǎng)絡通信的核心協(xié)議TCP協(xié)議和IP協(xié)議，在RFC0791和RFC0793文檔中，分別定義了TCP數(shù)據(jù)包和IP數(shù)據(jù)包的格式。且這種格式定義只與協(xié)議相關，與網(wǎng)絡的結構、類型無關，因此協(xié)議分析具有很廣泛的適用性。本文根據(jù)簡單協(xié)議分析方法的原理，進行了協(xié)議檢測具體步驟的設計?；诩褐陌Y構，通過對包中相應位置的信息進行分析，從而截取可能是攻擊行為的特征碼進行比較，大大減少了比較的計算量，避免了對內(nèi)容的比較而產(chǎn)生的誤報。根據(jù)協(xié)議規(guī)范中不同協(xié)議的協(xié)議標識值，我們將協(xié)議分析算法用一棵帶標識的協(xié)議樹來表示，如圖46所示:圖46 協(xié)議類型分類識別圖 Classification chart of protocol type根據(jù)上圖所示各個協(xié)議的協(xié)議標識值，基于協(xié)議分析技術的規(guī)則檢測器的具體實現(xiàn)步驟如下：(1) 根據(jù)協(xié)議規(guī)范中所指出的以太網(wǎng)數(shù)據(jù)包中第13字節(jié)處包含2個用作第三層協(xié)議標識的字節(jié)；可以在開始跳過前面12個字節(jié),直接讀取第13字節(jié)處的2個字節(jié)(協(xié)議標識)。如果值為0800,根據(jù)協(xié)議規(guī)范可以判斷出這個網(wǎng)絡數(shù)據(jù)包是IPv4包；若值為0806，則是ARP數(shù)據(jù)包；若值為8035，則為RARP數(shù)據(jù)包。(2) 根據(jù)IP協(xié)議規(guī)定，IP包的第24字節(jié)有一個用作第四層協(xié)議規(guī)范標識的字節(jié)。系統(tǒng)可跳到第24字節(jié)去直接讀取第四層協(xié)議標識；如果值為06,則這個數(shù)據(jù)包是TCP協(xié)議數(shù)據(jù)包。若值為11則為UDP協(xié)議數(shù)據(jù)包。(3) TCP協(xié)議規(guī)定了第338兩個字節(jié)用于應用層協(xié)議的標識(端口號)。根據(jù)這一規(guī)定,系統(tǒng)可以直接跳到第37字節(jié)直接讀取端口號,如果值為80,則說明該數(shù)據(jù)包是一個HTTP協(xié)議的數(shù)據(jù)包。(4) 在HTTP協(xié)議中規(guī)定了:第55字節(jié)是URL的開始處。因此,如果要檢測基于HTTP URL的攻擊的話,只需要檢測這個URL就可以了。 基于行為檢測器的設計在第一章入侵檢測技術的介紹中，我們了解到可以將神經(jīng)網(wǎng)絡用于基于行為的入侵檢測系統(tǒng)中。第三章，針對神經(jīng)網(wǎng)絡入侵檢測技術的不足，提出了遺傳神經(jīng)網(wǎng)絡算法來實現(xiàn)基于行為的入侵檢測。本節(jié)我們將詳細介紹如何建立基于行為的異常檢測器。 行為檢測器的設計思想在本文的數(shù)據(jù)分析模塊中，利用遺傳神經(jīng)網(wǎng)絡算法來實現(xiàn)基于行為的入侵檢測（即異常檢測）。遺傳神經(jīng)網(wǎng)絡算法是將遺傳算法和BP神經(jīng)網(wǎng)絡算法相結合。首先利用BP神經(jīng)網(wǎng)絡算法來確定網(wǎng)絡的結構和一些相關參數(shù)，如：輸入結點個數(shù)、各結點間的網(wǎng)絡權值等。然后通過遺傳算法來修正網(wǎng)絡權值，學習的結果不需要再使用BP算法進行優(yōu)化，而是直接輸入到BP神經(jīng)網(wǎng)絡中進行訓練并輸出結果。這種利用遺傳神經(jīng)網(wǎng)絡算法構建的神經(jīng)網(wǎng)絡克服了單一的神經(jīng)網(wǎng)絡初始權值的隨機性以及網(wǎng)絡優(yōu)化的局限性，從而有效的提高了神經(jīng)網(wǎng)絡的泛化能力；并且有效的克服了遺傳算法局部調節(jié)能力較弱的問題。使得改進后的遺傳神經(jīng)網(wǎng)絡神經(jīng)網(wǎng)絡既體現(xiàn)了網(wǎng)絡的非線性，具有神經(jīng)網(wǎng)絡的魯棒性和自學習能力；又繼承了遺傳算法的強全局隨機搜索能力[50]。用于入侵檢測模型中可以加強對未知入侵事件的學習能力，降低檢測系統(tǒng)的漏檢率。 行為檢測器的實現(xiàn)步驟在本文中，使用遺傳神經(jīng)網(wǎng)絡構建的行為檢測器主要有以下兩個步驟：1．針對前面介紹的神經(jīng)網(wǎng)絡特點，我們需要選擇遺傳神經(jīng)網(wǎng)絡的輸入層結點，然后運用遺傳算法進行神經(jīng)網(wǎng)絡的自學習過程。所以在本文中，我們首先需要收集完備的正常行為數(shù)據(jù)作為訓練神經(jīng)網(wǎng)絡的規(guī)則集。我們根據(jù)此規(guī)則集運用遺傳算法和BP算法來訓練神經(jīng)網(wǎng)絡，從而建立一個正常的行為模式。這樣被訓練好的神經(jīng)網(wǎng)絡就可以作為一個基于行為的入侵檢測器即異常檢測器。2．在實驗網(wǎng)絡上進行仿真攻擊，我們用收集到的入侵事件集對訓練好的神經(jīng)網(wǎng)絡進行測試，分析實驗結果，然后根據(jù)具體的性能指標進行改進。本文中基于遺傳神經(jīng)網(wǎng)絡的行為檢測器工作流程如圖47所示：圖47行為檢測器的工作流程 The work flow of behavior detection 遺傳神經(jīng)網(wǎng)絡算法設計1．遺傳神經(jīng)網(wǎng)絡的算法描述本文結合的第三章中所了解的BP網(wǎng)絡和遺傳算法的原理，設計了遺傳神經(jīng)網(wǎng)絡算法的實現(xiàn)步驟，具體描述如下：輸入部分：神經(jīng)網(wǎng)絡的初始結點、規(guī)則集、遺傳算法的控制參數(shù)；輸出部分：運用規(guī)則集訓練好的神經(jīng)網(wǎng)絡。Step1：設置控制參數(shù)：初始種群大小、網(wǎng)絡各層的結點數(shù)、網(wǎng)絡結點的編碼方式、權值的取值范圍、交叉概率、變異概率、算法的終止條件；Step2：；Step3：初始化神經(jīng)網(wǎng)絡，并將神經(jīng)網(wǎng)絡按照本文建議的編碼方式進行編碼，從而構成遺傳算法的初始種群；Step4：輸入規(guī)則集訓練神經(jīng)網(wǎng)絡，按照本文提出的適應度函數(shù)計算個體的適應度值；Step5：是否滿足算法的終止條件；若未滿足，則繼續(xù)；否則，轉向Step9；Step6：根據(jù)交叉概率從父代中選擇參加交叉操作的個體集，然后選擇兩個個體按照本文提出的交叉算子進行交叉操作；Step7：根據(jù)變異概率，從經(jīng)過交叉操作后得到的個體中選擇參加變異的個體，然后按照本文提出的變異算子進行變異操作；Step8：轉向Step5，重新評價新一代種群的適應度值；Step9：輸出訓練好的神經(jīng)網(wǎng)絡。根據(jù)遺傳神經(jīng)網(wǎng)絡算法的實現(xiàn)步驟，下面將對該算法中各參數(shù)的確定方式進行介紹。2．遺傳神經(jīng)網(wǎng)絡中的個體編碼方法在本文中，采用二進制編碼的方式，按照輸入層和隱含層節(jié)點見連接權重—隱含層和輸出層節(jié)點間的連接權重—隱含層節(jié)點偏值——輸出節(jié)點偏值的順序把各權值和偏值連成一串。通過不斷的交叉、變異，獲得全局意義上的最優(yōu)的網(wǎng)絡結構。本文中權值的取值范圍設置為（，）。3．適應度函數(shù)的設計在本文中，利用遺傳算法訓練神經(jīng)網(wǎng)絡的適應度函數(shù)采用如下方式：（41）其中： —針對給定的訓練集，神經(jīng)網(wǎng)絡的正確輸出個數(shù)；—訓練集的樣本個數(shù)；越接近于1，則網(wǎng)絡輸出的準確率就越高。4．交叉算子在本文中，我們采用多點交叉的方式來產(chǎn)生新的個體。選擇多個交叉點進行交換，但是在第一位變量在第一個交叉點之間的那段不做變換。以如下的兩個11位變量為例:父個體1 0 1 1 1 0 0 1 1 0 1 0父個體21 0 1 0 1 1 0 0 1 0 1交叉點的位置選擇：3 6 10交叉后的新個體表示為：父個體1 0 1 1 0 1 1 1 1 0 1 1父個體21 0 1 1 0 0 0 0 1 0 05．變異算子由于變異操作是交叉操作的一個輔助過程，所以本文中我們選擇基本位變異的方法進行個體的更新。以如下的兩個11位變量為例，第五位發(fā)生變異:變異前 0 1 1 1 0 0 1 1 0 1 0變異后 0 1 1 1 1 0 1 1 0 1 06．控制參數(shù)的確定根據(jù)前面講到的，我們需要在實驗之前選取遺傳神經(jīng)網(wǎng)絡的控制參數(shù)，如：初始種群、交叉概率、變異概率、算法終止條件等。（1）初始種群大小：當取值較小時，可提高遺傳算法的運算速度，但卻降低了群體的多樣性，有可能會引起遺傳算法的早熟現(xiàn)象；而當取值較大時，又會使得遺傳算法的運行效率降低。一般取50~500，初始群體隨機產(chǎn)生。（2）交叉概率：交叉概率的取值過大，會破壞群體中的優(yōu)良模式，對遺傳運算產(chǎn)生不利影響；若取值過小，產(chǎn)生新個體的速度又較慢。（3）變異概率：。較大會破壞較好的模式，影響遺傳算法的性能，使得遺傳算法類似于隨機搜索。若取值較小，則變異操作產(chǎn)生新個體的能力和抑制早熟的現(xiàn)象的能力就會較差。在本文的仿真實驗中。（4）算法的終止條件：是表示遺傳算法的運行結束條件的一個參數(shù)。在我們的實驗中，當算法滿足以下兩個條件之一時，算法就結束：① 當某代的最優(yōu)個體的適應度值預設的適應度值時，算法結束；② 已達到所預設的最大迭代次數(shù)時，算法結束。 兩種檢測技術的結合本文的入侵檢測系統(tǒng)數(shù)據(jù)分析模塊中協(xié)議分析技術與遺傳神經(jīng)網(wǎng)絡兩種技術的結合點定義如下：1. 當協(xié)議分析出是攻擊，則通知遺傳神經(jīng)網(wǎng)絡停止檢測；2. 當遺傳神經(jīng)網(wǎng)絡檢測出是正常，則通知協(xié)議分析停止檢測；3. 只有協(xié)議分析出事正常的，遺傳神經(jīng)網(wǎng)絡檢測出是攻擊包時，才將數(shù)據(jù)包輸出到規(guī)則生成器，由規(guī)則生成器根據(jù)攻擊包的特征生成出符合協(xié)議分析標準的規(guī)則，并加入到協(xié)議分析規(guī)則庫中。 數(shù)據(jù)存儲模塊的設計數(shù)據(jù)存儲模塊主要是將檢測到的事件（原始數(shù)據(jù)信息、分析檢測后的結果等都稱為事件）記錄下來，便于事后分析。本文利用Access數(shù)據(jù)庫系統(tǒng)來建立存儲系統(tǒng)。進行數(shù)據(jù)的存儲，存儲來自采集模塊和數(shù)據(jù)分析模塊的檢測結果，為網(wǎng)絡入侵檢測后面分析以及攻擊行為追蹤提供充足的信息。本文所采用的數(shù)據(jù)庫類型是Access，它是微軟公司開發(fā)的一個小型但功能強大的數(shù)據(jù)庫，此數(shù)據(jù)庫提供了C/C++語言編程接口，在C/C++語言中操作比較簡單，容易實現(xiàn)，Access數(shù)據(jù)庫插入的數(shù)據(jù)是非?？斓模軌驖M足檢測系統(tǒng)對數(shù)據(jù)的需求。隨著網(wǎng)絡的不斷擴大，網(wǎng)絡中的數(shù)據(jù)越來越多，如何保存捕獲的大量數(shù)據(jù)是需要解決的問題。本文的數(shù)據(jù)模塊設計主要是采用一種策略對不必要的數(shù)據(jù)進行刪減，設計了短期存儲和精簡長期數(shù)據(jù)庫兩種數(shù)據(jù)庫。短期數(shù)據(jù)庫用來存放在網(wǎng)絡種截取的數(shù)據(jù)包，保存一段時間后就會刪除；精簡的長期數(shù)據(jù)庫存放IP地址、攻擊特征、端口號、攻擊時間等具有攻擊特征的數(shù)據(jù)，這樣無關的數(shù)據(jù)就被刪除掉，只保留有關的數(shù)據(jù)，這樣可以進行長期保存。 控制臺模塊的設計控制模塊的主要功能是控制，當攻擊事件發(fā)生時能夠做出一定的響應，這種響應方式比如發(fā)出聲音報警或者通過其他的方式通知我們系統(tǒng)管理員，或者做出其他方式的響應，比如說直接通過后臺把網(wǎng)絡切斷?？刂婆_模塊根據(jù)響應方式可以分為主動響應（Active Responses）和被動響應（Passive Responses）。（Active Responses）在主動響應中，系統(tǒng)自動地或在用戶的控制下來阻斷攻擊過程或以其他方式影響攻擊過程。主動響應主要有三種方式：針對入侵者采取反擊等措施、修正系統(tǒng)環(huán)境、收集更詳盡的信息。（1）針對入侵者采取反擊等措施這是最具有侵略性的響應方式。它的基本思想是追蹤入侵者的攻擊來源，然后采取行動切斷入侵者的機器或者網(wǎng)絡的連接。但是，這種措施會帶來一定的負面影響。首先，根據(jù)網(wǎng)絡黑客最常用的攻擊方法，被確認為攻擊你的系統(tǒng)的源頭系統(tǒng)很可能是黑客的另一個犧牲品。其次，簡單的反擊可能會惹來更大的攻擊。攻擊的開始可能只是對你的系統(tǒng)進行常規(guī)的監(jiān)視或掃描，簡單的反擊有可能使其發(fā)展成為全范圍的敵意攻擊。最后，這種方法冒著很大的法律風險。如果因為反擊入侵而使無辜者受害，這本身就是違法行為，可能受到起訴。（2）修正系統(tǒng)環(huán)境及時修正導致入侵發(fā)生的安全漏洞。在一些入侵檢測系統(tǒng)中，這類響應可以通過改變分析引擎的一些參數(shù)設置和操作方式（如提高敏感級別）；或者通過添加規(guī)則（如提高某類攻擊的可疑級別和擴大監(jiān)控范圍）來達到目的。（3）收集更詳盡的信息當被保護的系統(tǒng)非常重要時，可以為系統(tǒng)增加一個特殊的服務器，它用來營造環(huán)境使入侵者被轉向。此服務器通常稱為“蜜罐（honey pots）”、“誘餌（decoys）”或者“玻璃魚缸（fishbowls）”。這