【正文】 ............. 11 BPF過濾機制簡介 .................................................. 12 .......................................... 12 網(wǎng)絡數(shù)據(jù)包捕獲機制 ............................................ 12 數(shù)據(jù)包捕獲的具體實現(xiàn) .......................................... 12 網(wǎng)絡數(shù)據(jù)包分析模塊的實現(xiàn) .......................................... 16 系統(tǒng)集成 ......................................................... 18 5. 系統(tǒng)測試與分析 .......................................................... 19 測試目的 ......................................................... 19 測試結果 ......................................................... 19 結 論 .................................................................. 21 參考文獻 .................................................................. 21 致 謝 .................................................................. 22 聲 明 .................................................................. 24 1．引 言 課題背景及意義 當今網(wǎng)絡技術的迅速發(fā)展，網(wǎng)絡成為人們生活的重要組成部分，與此同時，黑客頻頻入侵網(wǎng)絡，網(wǎng)絡安全問題成為人們關注的焦點。 入侵檢測技術是動態(tài)安全技術的最核心技術之一。 入侵檢測是防火墻的合理補 充，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結構的完整性。入侵檢測被認為是防火墻之后的第二道安全防線，提供對內部攻擊、外部攻擊和誤操作的實時保護。隨后重點介紹了基于 Windows 入侵檢測系統(tǒng)中檢測模塊的設計與實現(xiàn)。 網(wǎng)絡安全面臨 的威脅 入侵的來源可能是多種多樣的，比如說，它可能是企業(yè)心懷不滿的員工、網(wǎng)絡黑客、甚至是競爭對手。更為嚴重的是攻擊者可以刪除數(shù)據(jù)庫內容，摧毀網(wǎng)絡節(jié)點，釋放計算機病毒，直到整個網(wǎng)絡陷入癱瘓。 中斷（ interruption）：攻擊者有意中斷他人在網(wǎng)絡上的通信。 偽造（ fabrication）：攻擊者偽造信息在網(wǎng)絡上傳送。在上述情況中，截獲信息的攻擊稱為被動攻擊，而更改信息和拒絕客戶使用資源的攻擊稱為主動攻擊。主動攻擊則意在篡改系統(tǒng)中所含信息或者改變系統(tǒng)的狀態(tài)及操作。 網(wǎng)絡安全隱患的來源 網(wǎng)絡安全隱患主要來自于四個方面： （ 1）網(wǎng)絡的復雜性。由于市場利潤、技術投入、產品成本、技術規(guī)范等等問題，不同供應商提供的環(huán)節(jié)在安全性上不盡相同，使得整個網(wǎng)絡系統(tǒng)的安全成度被限制在安全等級最低的那個環(huán)節(jié)上。由于網(wǎng)絡的發(fā)展，提供新的網(wǎng)絡服務，增加網(wǎng)絡的開放性和互聯(lián)性，必然將更多環(huán)節(jié)納入系統(tǒng)中，新加入的環(huán)節(jié)又增加了系統(tǒng)的復雜性，引發(fā)了網(wǎng)絡的不安定性。軟件質量難以評估是軟件的 一個特性?，F(xiàn)代網(wǎng)絡已經(jīng)是軟件驅動的發(fā)展模式，對軟件的更多依賴性加大了軟件質量對網(wǎng)絡安全的負面影響。 （ 4）其他非技術因素。 由于存在更多的安全威脅和安全隱患，能否成功的阻止網(wǎng)絡黑客的入侵、保證計算機和網(wǎng)絡系統(tǒng)的安全和正常的運行便成為網(wǎng)絡 管理員所面臨的一個重要問題。網(wǎng)絡安全技術主要包括基于密碼學的安全措施和非密碼體制的安全措施，前者包括：數(shù)據(jù)加密技術、身份鑒別技術等。 （ 1）數(shù)據(jù)加密技術 數(shù)據(jù)加密是網(wǎng)絡安全中采用的最基本的安全技術，目的是保護數(shù)據(jù)、文件、口令以及其他信息在網(wǎng)絡上的安全傳輸，防止竊聽。按照收發(fā)雙方密鑰是否相同，可分為對稱密碼算法和非對稱密碼算法即公鑰密碼算法兩種。比較著名的對稱密碼算法有：美國的 DES和歐洲的 IDEA 等。比較著名的公鑰密碼算法有： ECC、 RSA 等，其中 RSA 算法應用最為廣泛。按照鑒別對象的不同，鑒別 技術可分為消息源鑒別和通信雙方互相鑒別，按照鑒別內容的不同，鑒別技術可分為用戶身份鑒別和消息內容鑒別，鑒別的方法有很多種，主要有通過用戶標識和口令、報文鑒別、數(shù)字簽名等方式。當一個主體試圖非法使用一個未經(jīng)授權的資源時，訪問機制將拒絕這一企圖，并將這一時間記錄到系統(tǒng)日志中。 （ 4）防火墻技術 防火 墻是一個或一組網(wǎng)絡設備，其工作方式是將內聯(lián)網(wǎng)絡與因特網(wǎng)之間或者與其他外聯(lián)網(wǎng)絡間互相隔離，通過加強訪問控制，阻止區(qū)域外的用戶對區(qū)域內的資源的非法訪問，使用防火墻可以進行安全檢查、記錄網(wǎng)上安全事件等，在維護網(wǎng)絡安全作用中起著重要的作用。從廣義上講，它還包括邏輯炸彈、特洛伊木馬和系統(tǒng)陷阱等。網(wǎng)絡反病毒技術主 要包括檢查病毒和殺出病毒。 本文研究內容 本文共分為五個部分，各部分內容如下： 第一部分，主要介紹了課題提出的背景、意義、安全隱患、現(xiàn)有的安全技術等，強調了入侵檢測的重要性。 第三部分，對整個系統(tǒng)的設計做了概述，介紹了系統(tǒng)的整體框架、開發(fā)及運行環(huán)境等。其中包括檢測模塊的 設計思想、工作原理以及核心代碼的分析等。主要測試了檢測模塊實現(xiàn)的各種功能。入侵檢測系統(tǒng)（ IDS，Intrusion Detection System）正是一種采取主動策略的網(wǎng)絡安全防護措施 ，它從系統(tǒng)內部和各種網(wǎng)絡資源中主動采集信息，從中分析可能的網(wǎng)絡入侵或攻擊，同時還對入侵行為做出緊急響應。 入侵檢測的定義 可以看到入侵檢測的作用就在于及時地發(fā)現(xiàn)各種攻擊以及攻擊企圖并作出反應。即入侵檢測（ Intrusion Detection）是檢測和識別系統(tǒng)中未授權或異常現(xiàn)象，利用審計記錄，入侵 檢測系統(tǒng)應能識別出任何不希望有的活動，這就要求對不希望的活動加以限定，一旦當它們出現(xiàn)就能自動地檢測。 時效性：必須及時的發(fā)現(xiàn)各種入侵行為，理想情況是在事前發(fā)現(xiàn)攻擊企圖，比較現(xiàn)實的情況則是在攻擊行為發(fā)生的過程中檢測到。 可擴展性：可擴展性有兩方面的意義。第二是體系結構的可擴展性，在必要 的時候可以在不對系統(tǒng)的整體結構進行修改的前提下對檢測手段進行加強，以保證能檢測到新的攻擊。它的指導實現(xiàn)比傳統(tǒng)靜態(tài)安全方案有突破性提高。 P2DR 模型闡述了這樣一個結論：安全的目標實際上就是盡可能地增大保護時間，盡量減少檢測時間和響應時間。在 P2DR 模型中，安全策略處于中心地位，但是從另一個角度來看，安全策略也是制定入侵檢測中檢測策略的一個重要信息來源，入侵檢測系統(tǒng)需要根據(jù)現(xiàn)有的安全策略信息來更好地配置系統(tǒng)模塊參數(shù)信息。因此，從技術手段上分析，入侵檢測可以看作是 實現(xiàn) P2DR 模型的承前啟后的關鍵環(huán)節(jié)。 在 P2DR 安全模型中、入侵檢測位于檢測環(huán)節(jié)，它的作用在于承接防護和響應過程，也就是通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干個關鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中 是否有違反安全策略的行為和被攻擊的跡象。它能在不影響網(wǎng)絡性能或輕負載的情況下，檢測網(wǎng)絡并實現(xiàn)對內部攻擊、外部攻擊和誤操作的實時保護。入侵者進行攻擊時會留下痕跡，這些痕跡和系統(tǒng)正常運行產生的數(shù)據(jù)混合在一起。可見，入侵檢測系統(tǒng)有兩個主要部分：數(shù)據(jù)獲取和檢測。下圖的模塊劃分是非常粗略的，而且省略了諸如界面處理、配置管理等模塊。數(shù)據(jù)提取模塊在獲得數(shù)據(jù)后，需要對數(shù)據(jù)進行簡 單的處理，如簡單的過濾、數(shù)據(jù)格式標準化等，然后將經(jīng)過處理后的數(shù)據(jù)提交給數(shù)據(jù)分析模塊。數(shù)據(jù)分析的方法多種多樣，可以簡單到對某種行為的計數(shù)，也可以是一個復雜的專家系統(tǒng)。 入侵檢測的分類 通過對現(xiàn)有的入侵檢測系統(tǒng)和技術的研究，可以從下面幾個方面對入侵檢測系統(tǒng)進行分類： (1) 根據(jù)數(shù)據(jù)來 源或監(jiān)視的對象分類 數(shù)據(jù) 數(shù)據(jù)提取 數(shù)據(jù) 事件 事件 數(shù)據(jù)分析 結果處理 ? 基于主機（ HostBased）的入侵檢測系統(tǒng) 數(shù)據(jù)來源于主機系統(tǒng)。顯然，它所監(jiān)視和保護的對象是主機。實際實現(xiàn)時，一般是把入侵檢測系統(tǒng)所在的主機的網(wǎng)卡設為混雜模式，從而捕獲經(jīng)過它的所有網(wǎng)絡數(shù)據(jù)包。 基于主機的入侵檢 測系統(tǒng)與主機結合較為緊密，能發(fā)現(xiàn)一些基于網(wǎng)絡的入侵檢測系統(tǒng)發(fā)現(xiàn)不了的入侵。 基于網(wǎng)絡的入侵檢測系統(tǒng)的優(yōu)勢在于秘密性、平臺無關性、易于實現(xiàn)。它對現(xiàn)有的系統(tǒng)或基礎設施不會有什么影響，被檢測到的用戶很難發(fā)現(xiàn)；絕大多數(shù)基于網(wǎng)絡 IDS 都是獨立的：已部署的基本網(wǎng)絡的入侵檢測傳感器將監(jiān)視所有的攻擊，而不管目標系統(tǒng)使用什么樣的操作系統(tǒng)平臺。它的基本假設是入侵活動具有不同于正常用戶活動的特征，即入侵活動表現(xiàn)為異常。 ? 基于特征（ signaturebased）的入侵檢測 基于特征的入侵檢測，簡稱特征檢測。 基于異常的入侵檢測系統(tǒng)的優(yōu)勢在于：能夠發(fā)現(xiàn)未知的攻擊；通過采用適當?shù)淖詫W習算法，基于異常的入侵檢測系統(tǒng)一旦建立，可以不必修改和更新。 基于特征的入侵檢測系統(tǒng)的優(yōu)點是準確率高；它的不足在于難以發(fā)現(xiàn)未知攻擊、攻擊模式庫需要不斷更新。但是，異常檢測方法的優(yōu)點讓研究人員向往不已，大部分的研究工作都集中在異常檢測方面，人 們 提出了各種各樣的新方法企圖使異常檢測實用化。各種分類方法體現(xiàn)了對入侵檢測系統(tǒng)理解的不同側面。隨著入侵檢測系統(tǒng)研究和應用的不斷深入，近年對入侵檢測技術有以下幾個主要的發(fā)展方向。 IDS 體系結構的研究主要包括具有多系統(tǒng)的互操作性和重用性的通用入侵檢測框架， 總體結構和各部件的相互關系， IDS 管理，具有可伸縮性、重用性的系統(tǒng)框架，安全、健壯和可擴展的安全策略。許多基于客戶、服務器結構與中間件技術及對象技術的大型應用，需要應用層的入侵檢測保護。 ? 響應策略與恢復研究 IDS 是識別出入侵后的響應策略維護系統(tǒng)安全性、完整性的關鍵。實現(xiàn) IDS 的響應包括向管理員和其他實體發(fā)出報警，進行緊急處理；對攻擊的追蹤、誘導和反擊，對于攻擊源數(shù)據(jù)的聚集以及 ID 部件的自學習和改進。 ? 與其他網(wǎng)絡安全部件的協(xié)作、與其他安全技術的結合 隨著黑客入侵手段的提高，尤其是分布式、協(xié)同式、 復雜模式攻擊的出現(xiàn)和發(fā)展，傳統(tǒng)的單一、缺乏協(xié)作的入侵檢測技術已經(jīng)不能滿足需求，需要有充分的協(xié)作機制。 3 基于 Windows 入侵檢測系統(tǒng)的設計 本系統(tǒng)的全稱為《基于 Windows 入侵檢測系統(tǒng)的設計與實現(xiàn)》，系統(tǒng)的開發(fā)環(huán)境為 Windows 操作系統(tǒng)。 整個系統(tǒng)分主要分為兩個模塊，即檢測模塊和響應模塊。響應模塊則負責將檢測模塊剝離出的標志與現(xiàn)有的入侵特征進行模式匹配，從而偵測出存在于網(wǎng)絡中的入侵活動，并且利用一些響應手段向網(wǎng)絡管理員發(fā)出告警信息并采取相應的行動。 本論文將重點討論檢測 模塊的設計與實現(xiàn)。簡單的說，可以將其分為兩個部分，即數(shù)據(jù)包的捕獲和數(shù)據(jù)包的分析。 Winpcap 軟件開發(fā)包簡介 Winpcap(windows packet capture)是 windows 平臺下一個 網(wǎng)絡數(shù)據(jù)包捕獲開 發(fā)包，是為 Libpcap 在 Windows 平臺下實現(xiàn)數(shù)據(jù)包的捕獲而設計的。它的使用非常廣泛，幾乎所有在 Windows平臺下要使用數(shù)據(jù)包捕獲功能的軟件都可以使用 Winpcap開發(fā)包。 使用 Winpcap 有很多好處，主要體現(xiàn)在以下幾個方面。 2．使用 Winpcap 可以提供很高的應用效率。 3． Winpcap 還提供了發(fā)送數(shù)據(jù)包的能力。而網(wǎng)絡監(jiān)控程序都運行在用戶態(tài)空間，數(shù)據(jù)包必須從內核中復制到用戶空間后再進行處理，這種重復的復制工作對實質的功能實現(xiàn)毫無意義。 當一個數(shù)據(jù)包到達網(wǎng)絡接口設備時，鏈路層設備驅動器通常把它傳送給系統(tǒng)協(xié)議棧進行處理。 BPF 負責將數(shù)據(jù)包傳遞給每個監(jiān)控進程的過濾器。對于每一個用于接受數(shù)據(jù)包的過濾器， BPF 將所需的數(shù)據(jù)復制到與之相連的緩存中，然后設備驅動程序重新獲得控制權。一般指通過截獲整個網(wǎng)絡的所有信息流量，根據(jù)信息源主機、目標主機、服務協(xié)議端口等信息簡單過濾掉不關心的數(shù)據(jù)，再將用戶感興趣的數(shù)據(jù)發(fā)送給更上層的應用程序進行分析。兩種方式分別適用于不同的情況。 數(shù)據(jù)包捕獲的具體實現(xiàn) 網(wǎng)卡有以下幾個工作模式；廣播模式 (broadcast module)、多播模式(multicast module)、直接模式 (direct module)和混雜模式 (promisc module)。由于基于網(wǎng)絡的入侵檢測系統(tǒng)的數(shù)據(jù)源是整個共享網(wǎng)段上的數(shù)據(jù)包，因此只要將該網(wǎng)段內某一臺主機的網(wǎng)卡設置為混雜模式，就可以監(jiān)聽本網(wǎng)段內所有的數(shù)據(jù)包進行分析和判斷。 pcap_t * pcap_handle。 /*存儲錯誤內容 */ 查找有效的網(wǎng)絡設備（ eth） pcap_lookupdev() 獲得網(wǎng)絡地址及網(wǎng)絡掩碼（ IPamp。 /*