【正文】 ? 含有特殊病毒信息的 Email： 可通過(guò)對(duì)比每封 Email的主題信息和病態(tài)Email的主題信息來(lái)識(shí)別 ， 或者通過(guò)搜索特定名字的附近來(lái)識(shí)別 。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 144 特征（ signature） 的基本概念 IDS中的特征就是指用于判別通訊信息種類的樣板數(shù)據(jù) ， 通常分為多種 ， 以下是一些典型情況及識(shí)別方法： ? 來(lái)自保留 IP地址的連接企圖：可通過(guò)檢查 IP報(bào)頭的來(lái)源地址識(shí)別 。 ? 協(xié)議分析有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié)議的知識(shí)快速地判斷攻擊特征是否存在 。 ? 一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個(gè)葉子的路徑 。 ? 協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型 ， 以便使用相應(yīng)的數(shù)據(jù)分析程序來(lái)檢測(cè)數(shù)據(jù)包 。 ? 直到每一個(gè)攻擊特征匹配完畢 ， 對(duì)給定數(shù)據(jù)包的匹配完畢 。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 142 模式匹配技術(shù) ? 從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開(kāi)始和攻擊特征比較； ? 如果比較結(jié)果相同 ， 則檢測(cè)到一個(gè)可能的攻擊； ? 如果比較結(jié)果不同 ， 從網(wǎng)絡(luò)數(shù)據(jù)包中下一個(gè)位置重新開(kāi)始比較； ? 直到檢測(cè)到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢 ， 一個(gè)攻擊特征匹配結(jié)束 。 ? 有效的處理和分析技術(shù)是檢測(cè)引擎的重要組成部分 。 ? 檢測(cè)引擎首先需要利用數(shù)據(jù)包截獲機(jī)制 ， 截獲引擎所在網(wǎng)絡(luò)中的數(shù)據(jù)包 。所有這些子系統(tǒng)都是建立在數(shù)據(jù)包截獲庫(kù)函數(shù)接口 Libpcap的基礎(chǔ)之上， Libpcap為它們提供了一個(gè)可移植的數(shù)據(jù)包截獲和過(guò)濾機(jī)制。另一方面，檢測(cè)引擎的架構(gòu)設(shè)計(jì)對(duì)系統(tǒng)檢測(cè)性能也具有很大的影響。 ?msg： 在警報(bào)信號(hào)和數(shù)據(jù)包日志中顯示一條消息； ? log： 將數(shù)據(jù)包記錄到用戶指定名稱的文件，而不是標(biāo)準(zhǔn)輸出文件； ? ttl： 測(cè)試 IP數(shù)據(jù)包的 TTL字段值是否為特定值； 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 137 ?id： 測(cè)試 IP數(shù)據(jù)包的分組 ID字段是否等于指定值； ? dsize： 測(cè)試數(shù)據(jù)包的負(fù)載段大小是否等于指定值； ? flow ： 指定網(wǎng)絡(luò) TCP數(shù)據(jù)流的方向，例如從服務(wù)器發(fā)出或是客戶端發(fā)出； ?content： 在數(shù)據(jù)包負(fù)載中搜索指定模式； ?contentlist： 用于同時(shí)指定多個(gè) content選項(xiàng)； ? uricontent： 在特定的 URL字段域內(nèi)搜索特定模式； ?offset： 選項(xiàng) content的修飾符，設(shè)定模式搜索的起始偏移量； 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 138 ? depth： 選項(xiàng) content的修飾符 ,設(shè)定某一指定模式匹配嘗試的最大搜索深度； ? nocase： 在進(jìn)行字符串模式匹配時(shí)，不區(qū)分大小寫； ?flags： 測(cè)試各種 TCP標(biāo)識(shí)值； ?seq： 測(cè)試 TCP序列號(hào)字段是否等于指定值； ? ack： 測(cè)試 TCP確認(rèn)字段是否等于指定值； ? itype： 測(cè)試 ICMP類型字段是否等于指定值； ?icode： 測(cè)試 ICMP代碼字段是否等于指定值； 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 139 ?session： 轉(zhuǎn)儲(chǔ)某一指定會(huì)話的應(yīng)用層信息； ?icmp_id： 測(cè)試 ICMP Echo ID字段是否等于指定值； ?icmp_seq： 測(cè)試 ICMP Echo序列號(hào)是否等于指定值； ?poption： 監(jiān)控 IP選項(xiàng)字段中特定選項(xiàng)代碼的出現(xiàn)情況； ?rpc： 監(jiān)控 RPC服務(wù)中特定應(yīng)用程序 /過(guò)程的調(diào)用情況； ?resp： 激活的響應(yīng)選項(xiàng)（例如，關(guān)閉連接等）。 Snort不斷引入新的規(guī)則選項(xiàng)類型。 圖 使用雙向操作符的規(guī)則 log ! 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 135 規(guī)則頭的主要作用就是定義網(wǎng)絡(luò)數(shù)據(jù)包分組中的報(bào)頭路由特征，這些特征在檢測(cè)若干明顯違反安全特征的行為時(shí)，是十分有效的。這對(duì)于需要同時(shí)記錄并分析對(duì)話雙方流量的場(chǎng)合是十分適合的。還有一種稱為“雙向操作符”的符號(hào)定義，表示為“ ”。 圖端口求反示例 log tcp any any !6000:6010 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 134 （ 5） 方向操作符 方向操作符“ ”指示規(guī)則所適用的流量方向。求反操作符能夠應(yīng)用于其他幾種端口的指定形式（除了Any端口）。 msg: ″mountd access″。范圍操作符的使用可以有多種形式，對(duì)應(yīng)的含義也不同。靜態(tài)端口由某一單獨(dú)端口號(hào)來(lái)指定，如 111為端口映射， 23為 Tel端口以及 80為HTTP服務(wù)端口等。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 131 圖 IP地址規(guī)則實(shí)例 （ 4） 端口號(hào) 端口號(hào)可以使用多種方法進(jìn)行指定，包括 Any關(guān)鍵字指定、靜態(tài)端口定義、范圍定義和求反操作符指定等。該操作符告訴 Snort系統(tǒng)匹配除了所指定地址之外的任意 IP地址。上例中源 IP地址指定為任何對(duì)話主機(jī)的地址，而目的地址則設(shè)定為在C類網(wǎng)絡(luò)地址 ?？梢允褂藐P(guān)鍵字 Any來(lái)指定任何地址。目前， Snort主要支持對(duì) 3種 IP協(xié)議進(jìn)行分析，以發(fā)現(xiàn)可疑行為，它們是 TCP、 UDP和 ICMP協(xié)議。 ? Dynamic: 在特定 Activate類型規(guī)則觸發(fā)后，得到激活 由此可知， Activate和 Dynamic類型的規(guī)則必須成對(duì)出現(xiàn)，以完成特定的任務(wù)。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 128 在 Snort的后繼版本中，不斷引入以下新的動(dòng)作類型。 ② Log: 記錄當(dāng)前數(shù)據(jù)包。它位于規(guī)則的首位，在 Snort中定義了 3種基本的動(dòng)作類型。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 127 Snort規(guī)則頭主要由下列字段的信息組成。 規(guī)則頭包含了規(guī)則動(dòng)作、協(xié)議、 IP源地址和目的地址、子網(wǎng)掩碼以及源端口和目標(biāo)端口值等信息。 msg: ″mountd access″。Snort的檢測(cè)規(guī)則示例，如圖所示。 首先，對(duì)于 Snort系統(tǒng)而言，它采用的是自己定義的檢測(cè)規(guī)則格式。 檢測(cè)引擎的設(shè)計(jì) 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 126 在嵌入式規(guī)則檢測(cè)引擎的設(shè)計(jì)中，存在兩點(diǎn)關(guān)鍵問(wèn)題： 檢測(cè)規(guī)則和引擎架構(gòu)設(shè)計(jì)。 從具體的實(shí)現(xiàn)機(jī)制看，檢測(cè)引擎可分為嵌入式規(guī)則檢測(cè)引擎和可編程的檢測(cè)。很多的 IDS系統(tǒng)會(huì)選擇掛接在流量通常最大的上下行端口上，用來(lái)截獲進(jìn)出內(nèi)外網(wǎng)的數(shù)據(jù)流量。 交換網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)截獲 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 124 實(shí)際工作中，采用鏡像端口的方法常碰到兩個(gè)問(wèn)題： ① 隨著交換帶寬的不斷增長(zhǎng)，并非所有的網(wǎng)絡(luò)流量都會(huì)反映在鏡像端口上。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 123 在實(shí)際的網(wǎng)絡(luò)環(huán)境中，許多網(wǎng)絡(luò)采取了交換運(yùn)行環(huán)境（例如交換機(jī)、路由器等），此時(shí)傳輸媒體不再具備廣播特性，所以不能夠單憑設(shè)置網(wǎng)絡(luò)接口的混雜模式來(lái)截獲所有的數(shù)據(jù)包。其中發(fā)送單個(gè)包的大致過(guò)程如下： ① 通過(guò)名字打開(kāi)一個(gè)設(shè)備； ② 構(gòu)造一個(gè)原始數(shù)據(jù)包； ③ 使用 pcap_sendpacket()發(fā)送數(shù)據(jù)包。 1 int pcap_fileno(pcap_t *p) 返回被打開(kāi)文件的文件描述符。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 119 1 int pcap_sendpacket(pcap_t *p,char *buf,int size) 用來(lái)發(fā)送數(shù)據(jù)包。 1 int pcap_setmode(pcap_t *p,int mode) 用來(lái)設(shè)置網(wǎng)卡的工作模式：混雜 /非混雜。 1 void pcap_close (pcap_t *p) 關(guān)閉庫(kù)。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 117 pcap_read() 這個(gè)函數(shù)從包捕獲驅(qū)動(dòng)器中讀取一組數(shù)據(jù)包并針對(duì)每一個(gè)包運(yùn)行包過(guò)濾程序，然后把過(guò)濾后的數(shù)據(jù)送應(yīng)用程序緩沖器。 返回：失敗返回 1。每捕獲到 t個(gè)報(bào)文就調(diào)用 callback用戶函數(shù)。成功則返回讀取到的字節(jié)數(shù)。參數(shù) user為用戶傳遞給回調(diào)函數(shù)的指針。 輸入?yún)?shù)： t參數(shù)指定函數(shù)返回前所處理數(shù)據(jù)包的最大值。 返回：失敗返回 1。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 114 int pcap_setfilter (pcap_t *p, struct bpf_program *fp) 功能：設(shè)置過(guò)濾器規(guī)則。 返回：失敗返回 1。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 113 int pcap_pile (pcap_t *p, struct bpf_program *fp, char *str, int optimize, bpf_u_int32 mask) 功能：編譯過(guò)濾規(guī)則。 返回：失敗返回非正數(shù)， errbuf中包含錯(cuò)誤信息。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 112 Pcap_t * pcap_open_live(char * DeviceName,int snaplen,int promisc,int to_ms,char *errbuf) 功能：打開(kāi)一個(gè)捕獲接口設(shè)備。 如果函數(shù)出錯(cuò)，則返回 1，同時(shí) errbuf中存放相關(guān)的錯(cuò)誤消息。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 110 int pcap_lookup(char *device, bpf_u_int32 *p,bpf_u_int32 *maskp, char *errbuf) 獲得指定網(wǎng)絡(luò)設(shè)備的 IP地址和掩碼。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 109 char *pcat_lookupdev(char *errbuf) 該函數(shù)用于返回可被 pcap_open_live()或pcap_lookup()函數(shù)調(diào)用的網(wǎng)絡(luò)設(shè)備名（一個(gè)字符串指針）。 輸入?yún)?shù)：兩個(gè)參數(shù)全為空值 返回：失敗返回 1， errbuf中包含錯(cuò)誤信息。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 108 相關(guān)函數(shù) int pcap_findalldevs(pcap_if_t **alldevsp, char *errbuf) 功能：返回本機(jī)所有的網(wǎng)絡(luò)接口設(shè)備。 pcap_setmode：該函數(shù)用于設(shè)置網(wǎng)絡(luò)適配器接口的工作模式 。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 107 另外，在 Libpcap提供的功能基礎(chǔ)上還增加了數(shù)據(jù)包發(fā)送和統(tǒng)計(jì)等功能，為此增加了一些函數(shù)。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 105 PacketGetAdapterName() 選擇網(wǎng)卡 PacketOpenAdapter() 打開(kāi)網(wǎng)絡(luò)適配器 PacketSetHwFilter() 設(shè)置接收模式（一般設(shè)置為混雜模式） PacketSetBpf() 編輯設(shè)置過(guò)濾規(guī)則 PacketSetBuff() 設(shè)置核心緩沖區(qū)大小 PacketSetReadTimeout() 設(shè)置讀操作等待時(shí)間 PacketAllocatePacket() 設(shè)置（分配）用戶緩沖區(qū) PacketInitPacket() 初始化用戶緩沖區(qū) PacketReceivePacket() 捕獲網(wǎng)絡(luò)數(shù)據(jù)包 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 106 口，它是從 Libpcap發(fā)展而來(lái)并且相互兼容，所以 Libpcap具有的函數(shù)。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 104 1 BOOLEAN PacketSendPacket(LPADAPTER AdapterObject,LPPACKET lpPacket, BOOLEAN Sync) 發(fā)送一個(gè)或多個(gè)數(shù)據(jù)報(bào)的副本。 1 BOOLEAN PacketGetStats(LPADAPTER AdapterObject,struct bpf_stat *s) 返回關(guān)于當(dāng)前捕獲的統(tǒng)計(jì)信息。 1 BOOLEAN PacketGetNetInfoEx(LPTSTR AdapterNames,npf_ip_addr *buff, PLONG NEntries) 返回某個(gè)網(wǎng)絡(luò)適配器的地址信息。 BOOLEAN PacketSetHwFilter(LPADAPTER AdapterObject,ULONG Filter) 為接收到的數(shù)據(jù)報(bào)設(shè)置硬件過(guò)濾規(guī)則。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 100 BOOLEAN PacketReceivePacket(LPADAPTER AdapterObject,LPPACKET lpPacket,BOOLEAN Sync) 從 NPF驅(qū)動(dòng)程序讀取網(wǎng)絡(luò)數(shù)據(jù)報(bào)及統(tǒng)計(jì)信息。 基于網(wǎng)絡(luò)的 入侵檢測(cè)技術(shù) 99 BOOLEAN PacketGetAdapterNames(LPSTR pStr,PULONG BufferSize) 返回可以得到的網(wǎng)絡(luò)適配器列表及描述。 基于網(wǎng)絡(luò)