【正文】 表示未選，全 1表示校驗(yàn)和為伍 ； 緊急指針 :當(dāng) 碼位的 URG置位時(shí)，指出緊急指針的序號(hào)； UDP協(xié)議是英文 User Datagram Protocol的縮寫，即用戶數(shù)據(jù)報(bào)協(xié)議，主要用來支持那些需要在計(jì)算機(jī)之間傳輸數(shù)據(jù)的網(wǎng)絡(luò)應(yīng)用。 IP各域的含義如下 ： 版本 :當(dāng)前 IP協(xié)議的版本號(hào) ， 本論文采用的版本號(hào)為 4； 首部 長 度 :以 32bit為單位的包頭長度 ； 服務(wù)類型 :規(guī)定對(duì)本數(shù)據(jù)報(bào)的處理方式，比如優(yōu)先權(quán)等 ； 總 長 :以 Byte為單位的整個(gè) IP數(shù)據(jù)報(bào)長度 ； 標(biāo)識(shí) :信源主機(jī)賦予每個(gè) IP數(shù)據(jù)報(bào)的唯一標(biāo)識(shí)符號(hào)，用于控制分片及其重組 ； 標(biāo)志和片偏移 :同樣用于控制分片及其重組 ； 生存時(shí)間 :設(shè)置本數(shù)據(jù)報(bào)的最大生存時(shí)間，以秒為單位 ； 第 12 頁 共 24 頁 協(xié)議 :表示創(chuàng)建本 IP數(shù)據(jù)報(bào)數(shù)據(jù)區(qū)數(shù)據(jù)的高層協(xié)議的類型，如 TCP,UDP等 ； 頭標(biāo)校驗(yàn)和 :用于保證頭標(biāo)數(shù)據(jù)的完整性 ； 源 IP地址和目的 IP地址 : 分別指發(fā)送本數(shù)據(jù)報(bào)的主機(jī) IP地址和接受本數(shù)據(jù)報(bào)的主機(jī)的 IP地址 ； 選項(xiàng) :用于控制和測(cè)試，是 IP數(shù)據(jù)報(bào)中可選的部分，包含 “源路徑 ”、 “路徑記錄 ”、 “時(shí)間戳 ”等幾 種類型。所有的 TCP、 UDP、 ICMP及 IGMP數(shù)據(jù)都以 IP數(shù)據(jù)報(bào)格式傳輸。這個(gè)過程稱作分用（ Demultiplexing）。 當(dāng)目的主機(jī)收到一個(gè)以太網(wǎng)數(shù)據(jù)幀時(shí) ，數(shù)據(jù)就開始 從協(xié)議棧中由底向上升，同時(shí)去掉各層協(xié)議加上的報(bào)文首部。 通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。 TCP傳給 IP的數(shù)據(jù)單元稱作 TCP報(bào)文段或簡稱為 TCP段（ TCP segment）。然后逐個(gè)通過每一層直到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。TCP/IP協(xié)議族，有很多協(xié)議。在 TCP/IP參考模型中沒有明確的數(shù)據(jù)鏈路層和物理層，而是將它們合為較為抽象的 “網(wǎng)絡(luò)設(shè)備互連 ”作為硬件基礎(chǔ)，隨主機(jī)和網(wǎng)絡(luò)的不同而不同。 數(shù)據(jù)解析模塊 在本 模塊 的設(shè)計(jì)中 ，主要涉及了 三方面的知識(shí) :windows網(wǎng)絡(luò)體系結(jié)構(gòu)、TCP/IP協(xié)議，數(shù)據(jù)的封裝 和分用 過程 。 尤其在一段時(shí)間里應(yīng)用進(jìn)程讀取數(shù)據(jù)的速度不如捕獲進(jìn)程，而且數(shù)據(jù)要被傳送到磁盤，網(wǎng)絡(luò)流量在激增。 Winpcap的核心緩沖區(qū)比 BPF的大，通常為 1M。但是一個(gè)太大的用戶緩沖區(qū)不會(huì)帶來任何好處。整個(gè)緩沖區(qū)可以用一條簡單的 Read() 指令讀取，肯定減少了系統(tǒng) 調(diào)用和在用戶、內(nèi)核模式之間上下文切換的次數(shù)。由于內(nèi)核部分較之緩沖區(qū)傳送有更高的優(yōu)先級(jí)， 能獨(dú)占 CPU時(shí)， 故復(fù)制過程 (從用戶層開始 )能釋放掉緩沖區(qū)已傳送的部分。當(dāng)數(shù)據(jù)從內(nèi)核緩沖區(qū)傳送到用戶緩沖區(qū)時(shí)，相同數(shù)量的包被復(fù)制到內(nèi)核緩沖區(qū)中。但這種機(jī)制更難于管理。這個(gè) 核心層和 BPF兼容的 過濾器 是 Winpcap獲得良好性能 的關(guān)鍵。內(nèi)核層過濾器必須能夠執(zhí)行這些指令 。 圖 4 NPF協(xié)議驅(qū)動(dòng) Winpcap中過濾進(jìn)程由用戶級(jí)部分開始。當(dāng)處理完畢時(shí)， NDIS再調(diào)用一個(gè)特定的函數(shù)通知 調(diào)函數(shù)。 第 10 頁 共 24 頁 NPF與 NDIS之間的通信也是異步的 .一些事件如當(dāng)數(shù)據(jù)包到達(dá)時(shí)是通過回調(diào)函數(shù)通知 NPF(這個(gè)例子中是 Packetes tapo)，并且， NPF與 NDIS和 NIC驅(qū)動(dòng)之間的通信是非阻塞函數(shù)來實(shí)現(xiàn)的。 NPF與操作系統(tǒng)之間的通信通常是異步的， NPF提供了一系列的回調(diào)函數(shù)供 操作系統(tǒng)在需要時(shí)調(diào)用。 圖 3 NDIS內(nèi) NPF Winpcap中 NPF的實(shí)現(xiàn)由于是以協(xié)議驅(qū)動(dòng)程序的模式來實(shí)現(xiàn)的，雖然從性能上看來并不是最始數(shù)據(jù)的完全訪問。 (在原代碼的 driverentry里面能看到 )。 NPF不需要設(shè)置用戶級(jí)訪問緩沖隊(duì)列，這使驅(qū)動(dòng)運(yùn)行得更快。另一個(gè)優(yōu)化措施是 NPF的同步操作。然而， NPF獲得了更好的執(zhí)行效果，其Tap比 BPF還要運(yùn)行得快。與 NDIS的交互使 NPF(NetGroup Packet Filter)比原始的 BPF更加復(fù)雜，BPF通過一條簡單的回調(diào)函數(shù)與系統(tǒng)交 互 。因此， Winpcap把 Network Tap作為協(xié)議驅(qū)動(dòng)放置在 NDIS結(jié)構(gòu)的上方。當(dāng)使用 Winpcap進(jìn)行捕獲時(shí)，這種方法明顯不行。 BPF被網(wǎng)卡驅(qū)動(dòng)程序直接調(diào)用，要求 NIC設(shè)備驅(qū)動(dòng)程序遵從一些所謂的 “BPF(Berkeley Packet Filter)驅(qū)動(dòng)規(guī)范 ”。 NDIS工作在Windows內(nèi)核網(wǎng)絡(luò)部分的最底層。 、功能更 加強(qiáng)大的函數(shù)調(diào)用。另一套高層函數(shù)由 ，便于用戶調(diào)用，功能更強(qiáng)大。它包括了一些比如過濾器生成、用戶級(jí)緩沖等其它的高層函數(shù)，增加了比如統(tǒng)計(jì)和包發(fā)送等更高級(jí)的特性。 NPF都是系統(tǒng)相關(guān)的，在 Win95/98和 WinNT/2021等不同系統(tǒng)架構(gòu) 。 。 事實(shí) 上，不同版本的 Windows平臺(tái)在內(nèi)核層模塊和用戶進(jìn)程之間的接口不完全相同， 。 這個(gè)過程中包括了一些操作系統(tǒng)特有的代碼。它的主要功能是過濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動(dòng)地傳給 用戶態(tài)模塊 。前一個(gè)工作在內(nèi)核層，后兩個(gè)工作在用戶層。 開發(fā) Winpcap這個(gè)項(xiàng)目的目的在于為 Win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力。對(duì)于不同的操作系統(tǒng)有許多不同的數(shù) 據(jù)包捕獲方法。 2 個(gè)人入侵檢測(cè)系統(tǒng) 的 設(shè)計(jì) 數(shù)據(jù)包 捕獲 模塊 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)要分析的對(duì)象是網(wǎng)絡(luò)中的數(shù)據(jù)包。 本系統(tǒng)采用基于網(wǎng)絡(luò)的異常檢測(cè)方法的入侵檢測(cè)技術(shù)，使用量化分析的方法來檢測(cè)用戶的行為。如果把入侵檢測(cè)技術(shù)應(yīng)用到個(gè)人機(jī)的安全防范中 ，它將與個(gè)人防火墻一起為個(gè)人用戶提供一個(gè)更安全的動(dòng)態(tài)防范體系。因此，個(gè)人用戶 的重要數(shù)據(jù)、機(jī)密文件等需要 安全 保護(hù) 。它只分析處理與個(gè)人主機(jī)有關(guān)的 IP數(shù)據(jù)包，它保護(hù)的是個(gè)人主機(jī)系統(tǒng)。 1989年，加州大學(xué)戴維斯分校的 Todd Heberlein寫了一篇論文《 A Network Security Monitor》，該監(jiān)控器用于捕獲 TCP/IP分組，第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源，因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換 成統(tǒng)一格 第 7 頁 共 24 頁 式的情況下監(jiān)控異種主機(jī)，網(wǎng)絡(luò)入侵檢測(cè)從此誕生。 入侵檢測(cè)的發(fā)展歷史 1980年 James P Anderson在給一個(gè)保密客戶寫的一份題為《計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視》的技術(shù)報(bào)告中指出，審計(jì)記錄可以用于識(shí)別計(jì)算機(jī)誤用，他把威脅進(jìn)行了分類，第一次詳細(xì)闡述了入侵檢測(cè)的概念。當(dāng)檢測(cè)到某種誤用模式時(shí)，產(chǎn)生一個(gè)告警并發(fā)送給控制臺(tái)。由放置在不同網(wǎng)段的傳感器或不同主機(jī)的代理來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。 第 6 頁 共 24 頁 圖 1 CIDF入侵檢測(cè)模 型 入侵檢測(cè)過程分析 過程分為三部分：信息收集、信息分析和結(jié)果處理。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、修改文件屬性等強(qiáng)烈反應(yīng)。事件產(chǎn)生器的目的是從整個(gè)計(jì)算機(jī)環(huán)境中獲得事件，并向系統(tǒng)其它部分提供此事件。通用入侵檢測(cè)構(gòu)架（ Common Intrusion Detection Framework簡稱 CIDF）組織，試圖將現(xiàn)有的入侵檢測(cè)系統(tǒng)標(biāo)準(zhǔn)化， CIDF闡述了一個(gè)入侵檢測(cè)系統(tǒng)的通用模型（一般稱為 CIDF模型 ，如圖 1所示 ）。隨著技術(shù)的發(fā)展，后來人們又提出了基于規(guī)則的檢測(cè)方法。 入 侵檢測(cè)模型 美國斯坦福國際研究所（ SRI）的 1986年首次提出一種入侵檢測(cè)模型，該模型的檢測(cè)方法就是建立用戶正常行為的描述模型，并以此同當(dāng)前用戶活動(dòng)的審計(jì) 記錄進(jìn)行比較，如果有較大偏差，則表示有異?；顒?dòng)發(fā)生。當(dāng)特定的入侵被檢測(cè)到時(shí)，主動(dòng) IDS會(huì)采用以下三種響應(yīng)：收集輔助信息；改變環(huán)境以堵住導(dǎo)致入侵發(fā)生的漏洞；對(duì)攻擊者采取行動(dòng)（這是一種不被推薦的做法，因?yàn)樾袨橛悬c(diǎn)過激）。所以它需要一個(gè)記錄合法活動(dòng)的數(shù)據(jù)庫，由于庫的有限性使得虛警率比較 高。任何不符合特定條件的活動(dòng)將會(huì)被認(rèn)為合法，因此這樣的系統(tǒng)虛警率很低。 第 5 頁 共 24 頁 4. 按照分析方法分類 按照分析方法 IDS劃分為濫用檢測(cè)型 IDS和異常檢測(cè)型 IDS。基于主機(jī)的 IDS是在關(guān)鍵的網(wǎng)段或交換部位通過捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包來檢測(cè)攻擊。 3. 按照信息源分類 按照信息源分類是目前最通用的劃分方法，它分為基于主機(jī)的 IDS、基于網(wǎng)絡(luò)的 IDS和分布式 IDS。在實(shí)時(shí)連續(xù)型 IDS中，事件一發(fā)生，信息源就傳給分析引擎，并且立刻得到處理和反映。在間隔批任務(wù)處理型 IDS中，信息源是以文件的形式傳給分析器，一次只處理特定時(shí) 間段內(nèi)產(chǎn)生的信息，并在入侵發(fā)生時(shí)將結(jié)果反饋給用戶。 2. 按照同步技術(shù)分類 同步技術(shù)是指被監(jiān)控的事件以及對(duì)這些事件的分析在同一時(shí)間進(jìn)行。在部分分布式 IDS中，監(jiān)控和探測(cè)是由本地的一個(gè)控制點(diǎn)控制，層次似的將報(bào)告發(fā)向一個(gè)或多個(gè)中心站。按照控制策略 IDS可以劃分為，集中式 IDS、部分分布式 IDS和全部分布式 IDS。為了體現(xiàn)對(duì) IDS從布局、采集、分析、響應(yīng)等各個(gè)層次及系統(tǒng)性研究方面的問題，在這里采用五類標(biāo)準(zhǔn)：控制策略、同步技術(shù)、信息源、分析方法、響應(yīng)方式。 入侵檢測(cè)的目的： (1)識(shí)別入侵者； (2)識(shí)別入侵行為； (3)檢測(cè)和監(jiān)視以實(shí)施的入侵行為； (4)為對(duì)抗入侵提供信息，阻止入侵的發(fā)生和事態(tài)的擴(kuò)大 。 入侵檢測(cè)系統(tǒng)執(zhí)行的主要任務(wù)包括：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)；識(shí)別、反映已知進(jìn)攻的活動(dòng)模式，向相關(guān)人士報(bào)警；統(tǒng)計(jì)分析異常行為模式；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計(jì)、跟蹤管理操作系統(tǒng)，識(shí)別用戶違反安全策略的行為。執(zhí)行入侵檢測(cè)任務(wù)的程序即是入侵檢測(cè)系統(tǒng)。 Anderson將入侵嘗試或威脅定義為：潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用的企圖。 入侵檢測(cè)技術(shù)及其歷史 入侵檢測(cè) （ IDS） 概念 1980年， 詹姆斯對(duì)于木馬來說，被控制端是一臺(tái)服務(wù)器，控制端則是一臺(tái)客戶機(jī)。網(wǎng)絡(luò)客戶 /服務(wù)模式的原理是一臺(tái)主機(jī) (服務(wù)器 )提供服務(wù)，另一臺(tái)主機(jī) (客戶機(jī) )接受服務(wù)。 代碼能夠在主程序的特權(quán)范圍內(nèi)從事任何破壞行為，使用自身或者其他程序進(jìn)行操作。當(dāng)這種程序進(jìn)入系統(tǒng)后，便有可能給系統(tǒng)帶來危害。這一故事形象地說明了木馬程序的特點(diǎn)。而在缺省超時(shí)的時(shí)間范圍內(nèi)，主機(jī)的一部分資源要花在等待這個(gè) ACK包的響應(yīng)上，假如短時(shí)間內(nèi)主機(jī)接到大量來自 虛假 IP地址的 SYN包，它就要占有大量的資源來處理這些錯(cuò)誤的等待，最后的結(jié)果就是系統(tǒng)資源耗盡以致癱瘓。但是，隨著技術(shù)的不斷進(jìn)步， SYN攻擊也不斷被更多黑客所了解并利用。服務(wù)器切斷連接后，攻 擊者又發(fā)送新一批虛假請(qǐng)求，該 第 3 頁 共 24 頁 過程周而復(fù)始，最終使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱 瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。所有這些請(qǐng)求的地址都是虛假的，以至于服務(wù)器試圖回傳時(shí)，卻無法找到用戶。 其攻擊目的是為完成其他攻擊做準(zhǔn)備。在該方式下，網(wǎng)絡(luò)接口就可 以捕獲網(wǎng)絡(luò)上所有數(shù)據(jù)幀，從而可以達(dá)到監(jiān)聽的目的。在接收到上面兩 種情況的數(shù)據(jù)幀時(shí)，主機(jī)通過 CPU產(chǎn)生硬件中斷，該中斷能引起操作系統(tǒng)注意，然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)作進(jìn)一步處理。當(dāng)發(fā)送者希望引起網(wǎng)絡(luò)中所有主機(jī)操作系統(tǒng)的注意時(shí)，他就使用 “廣播地址 ”。在一般情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以 “聽 ”到通過的流量，但對(duì)不屬于自己的數(shù)據(jù)的硬件地址不予響應(yīng)。廣播地址 并不對(duì)應(yīng)于某個(gè)具體的網(wǎng)絡(luò)接口，而是代表所有網(wǎng)絡(luò)接口。其工作原理是：在一個(gè)共享介質(zhì)的網(wǎng)絡(luò)中 (如以太網(wǎng) )，一個(gè)網(wǎng)段上的所有網(wǎng)絡(luò)接口均能訪問介質(zhì)上傳輸?shù)乃袛?shù)據(jù)。在合理的網(wǎng)絡(luò)中，嗅 探器對(duì)系統(tǒng)管理員而言至關(guān)重要， 通過嗅探器可以監(jiān)視數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)傳輸?shù)男畔?，從而為管理員判斷網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)提供寶貴的信息。 網(wǎng)絡(luò)嗅探，嗅探器是一種網(wǎng)絡(luò)監(jiān)聽工具（如： sniffer），該工具利用計(jì)算機(jī)網(wǎng)絡(luò)接口可以截獲其他計(jì)算機(jī)的數(shù)據(jù)信息。 (4)破壞數(shù)據(jù)完整性 :指通過非 法手段竊得系統(tǒng)一定使用權(quán)限，并刪除、修改、偽造某些重要信息，以干擾用戶的正常使用或便于入侵者的進(jìn)一步攻擊。這種攻擊的著眼點(diǎn)在于網(wǎng)絡(luò)中的信任關(guān)系，主要有地址偽裝 IP欺騙和用戶名假冒。不幸的是，用于在網(wǎng)絡(luò)上共享資源及信息的工具、程序存在許多安全漏洞，而利用了這些漏洞就可以對(duì)系統(tǒng)進(jìn)行訪問了。 (4)隨著社會(huì)重要基礎(chǔ)設(shè)施的高度信息化，社會(huì)的 “命脈 ”和核心控制系統(tǒng)有可能面臨更大的威脅。 (3)網(wǎng)絡(luò)運(yùn)用的趨勢(shì)是全社會(huì)廣泛參與，隨之而來的是控制權(quán)分散的管理問題。例如，資源未授權(quán)侵用、未授權(quán)信息