【正文】 侵檢測系統(tǒng)的實(shí)現(xiàn) 摘 要 入侵檢測系統(tǒng)（ IDS）可以對系統(tǒng)或網(wǎng)絡(luò)資源進(jìn)行實(shí)時(shí)檢測，及時(shí)發(fā)現(xiàn)闖入系統(tǒng)或網(wǎng)絡(luò)的入侵者，也可預(yù)防合法用戶對資源的誤操作。 本論文從入侵檢測的基本理論和入侵檢測中的關(guān)鍵技術(shù)出發(fā) ,主要研究了一個(gè)簡單的基于網(wǎng)絡(luò)的windows平臺上的個(gè)人入侵檢測系統(tǒng)的實(shí)現(xiàn) (PIDS， Personal Intrusion Detection System)。分析了 Windows的網(wǎng)絡(luò)體系結(jié)構(gòu) 以及開發(fā)工具Winpcap的數(shù)據(jù)包捕獲和過濾的結(jié)構(gòu)。本系統(tǒng)采用異常檢測技術(shù)，通過 Winpcap截取實(shí)時(shí)數(shù)據(jù)包，同時(shí)從截獲的 IP包中提取出概述性事件信息并傳送給入侵檢測模塊，采用量化分析的方法對信息進(jìn)行分析。最后歸納出系統(tǒng)現(xiàn)階段存在的問題和改進(jìn)意見 ,并根據(jù)系統(tǒng)的功能提出了后續(xù)開發(fā)方向 。一般意義上，網(wǎng)絡(luò)安全是指信 息安全和控制安全兩部分。 互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。然而，正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生了許多安全問題： (1)信息泄漏、信息污染、信息不易受控。 (2)在網(wǎng)絡(luò)環(huán)境中，一些組織或個(gè)人出于某種特殊目的，進(jìn)行信息泄密、信息破壞、信息侵權(quán)和意識形態(tài)的信息滲透，甚至通過網(wǎng)絡(luò)進(jìn)行政治顛覆等活動，使國家利益、社會公共利益和各類主體的合法權(quán)益受到威脅。由于人們利益、目標(biāo)、價(jià)值的分歧，使信息資源的保護(hù)和管理出現(xiàn)脫節(jié)和真空，從而使信息安全問題變得廣泛而復(fù)雜。 網(wǎng)絡(luò) 信息系統(tǒng)面臨的安全威脅 目前網(wǎng)絡(luò)信息系統(tǒng)面臨的安全威脅主要有 : (1)非法使用服務(wù) :這種攻擊的目的在于非法利用網(wǎng)絡(luò)的能力，網(wǎng)絡(luò)上的非授權(quán)訪問應(yīng)該是不可能的。 (2)身份冒充 。 (3)數(shù)據(jù)竊取 :指所保護(hù)的重要數(shù)據(jù)被非法用戶所獲取，如入侵者利用電磁波輻射或搭線竊聽等方式截獲用戶口令、帳號等重要敏感信息。 第 2 頁 共 24 頁 對網(wǎng)絡(luò) 個(gè)人主機(jī) 的攻擊 對方 首先通過掃描來查找可以入侵的機(jī)器，即漏洞探測 ； 接著確定該機(jī)器的IP地址 ；然后利用相應(yīng)的攻擊工具發(fā)起某種攻擊。嗅探器工作在網(wǎng)絡(luò)環(huán)境的底層，它會攔截所有正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過相應(yīng)的軟件實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而明確所處的網(wǎng)絡(luò) 狀態(tài)和整體布局。然而，如果黑客使用嗅探器，他可以獲得和系統(tǒng)管理員同樣重要而敏感的信息，（如：在某局域網(wǎng)上，嗅探器可以很輕松地截獲在網(wǎng)上傳送的用戶姓名、口令、信用卡號碼和帳號等 )從而對網(wǎng)絡(luò)安全構(gòu)成威脅。每個(gè)網(wǎng)絡(luò)接口的硬件地址與其他網(wǎng)絡(luò)接口的硬件地址不同，同時(shí)每個(gè)網(wǎng)絡(luò)至少還有一個(gè)廣播地址。當(dāng)用戶發(fā)送數(shù)據(jù)時(shí)，這些數(shù)據(jù)就會發(fā)送到局域網(wǎng)上所有可用的機(jī)器。換句話說，工作站 A不會捕獲屬于工作站 B的數(shù)據(jù)，而是簡單地忽略這些數(shù)據(jù)。因此，在正常情況下，一個(gè)合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣兩種數(shù)據(jù)幀 :一是幀的目標(biāo)區(qū)域具有和本地網(wǎng)絡(luò)接口相匹配的硬件地址，二是幀的目標(biāo)區(qū)域具有 “廣播地址 ”。而嗅探器就是一種能將本地計(jì)算機(jī)狀態(tài)設(shè)成 “混雜 (Promiscuous)”狀態(tài)的軟件，當(dāng)本機(jī)處于這種方式時(shí)，該機(jī)具備 “廣播地址 ”，它對所有遭遇到的每一個(gè)幀都產(chǎn)生硬件中斷以便提醒操作系統(tǒng)處理流經(jīng)該網(wǎng)段的每一報(bào)文包。 拒絕服務(wù)攻擊 (Denial of Service，簡稱 DoS)，是指占據(jù)大量的共享資源（如：處理器、磁盤空間、 CPU、打印機(jī)），使系統(tǒng)沒有剩余的資源給其他用戶，從而使服務(wù)請求被拒絕，造成系統(tǒng)運(yùn)行遲緩或癱瘓。 其攻擊原理是：在拒絕服務(wù)攻擊中，惡意用戶向服務(wù)器傳送眾多要求確認(rèn)的信息，使服務(wù)器里充斥著這種無用的信息。服務(wù)器于是暫時(shí)等候，有時(shí)超過一分鐘，然后再切斷連接。典型的 DOS攻擊技術(shù)，如 TCP/SYN攻擊，該攻擊作為一種拒絕服務(wù)攻擊存在的時(shí)間己經(jīng)有 20多年了。其原理是基于連接時(shí)的三次握手，如果黑客機(jī)器發(fā)出的包的源地址是一個(gè)虛假的 IP地址， ISP主機(jī)發(fā)出的確認(rèn)請求包 ACK/SYN就找不到目標(biāo)地址，如果這個(gè)確認(rèn)包一直沒找到目標(biāo)地址，那么也就是目標(biāo)主機(jī)無法獲得對方回復(fù)的 ACK包。 特洛伊木馬來源于希臘神話，講述的是通過木馬血屠特洛伊城的故事。在計(jì)算機(jī)安全學(xué)中，特洛伊木馬指的是一種計(jì)算機(jī)程序，它表面上具有某種有用的功能，實(shí)際上卻隱藏著可以控制用戶計(jì)算機(jī)系統(tǒng)，危害系統(tǒng)安全的破壞性指令，特洛伊木馬代表了一種程度較高的危險(xiǎn)。在特洛伊木馬程序中插入的代碼在別的程序中依然能存在，但只在藏身的程序中進(jìn)行破壞性活動。其工作原理實(shí)質(zhì)是，特洛伊木馬只是一個(gè)網(wǎng)絡(luò)客戶 /服務(wù)程序。作為服務(wù)器的主機(jī)一般會打開一個(gè)默認(rèn)的端口并進(jìn)行監(jiān)聽，如果有客戶機(jī)向服務(wù)器這一端口提出連接請求，服務(wù)器上的相應(yīng)程序就會自動運(yùn)行，來應(yīng)答客戶機(jī)的請求，此程序稱為守護(hù)進(jìn)程。黑客經(jīng)常用欺騙手段引誘目標(biāo)對象運(yùn)行服務(wù)器端程序，黑客一旦成功地侵入了用戶 的計(jì)算機(jī)后，就會在計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)會在 Windows啟動時(shí)悄悄運(yùn)行的程序，采用服務(wù)器 /客戶機(jī)的運(yùn)行方式，從而達(dá)到在用戶上網(wǎng)時(shí)控制用戶計(jì)算機(jī)的目的。安 德森（ James P． Anderson） 第一次系統(tǒng)闡述了入侵檢測的概念，并將入侵行為分為外部滲透、內(nèi)部滲透和不法行為 三種，還提出了利用審計(jì)數(shù)據(jù)監(jiān)視入侵活動的思想。而入侵檢 測的定義為：發(fā)現(xiàn)非授權(quán)使用計(jì)算機(jī)的個(gè)體（如 “黑客 ”）或計(jì)算機(jī)系統(tǒng)的合法用戶濫用其訪問系統(tǒng) 第 4 頁 共 24 頁 的權(quán)利以及企圖實(shí)施上述行為的個(gè)體。入侵檢測系統(tǒng)也可以定義為：檢測企圖破壞計(jì)算機(jī)資源的完整性，真實(shí)性和可用性的行為的軟件。入侵檢測一般分為三個(gè)步驟：信息收 集、數(shù)據(jù)分析、響應(yīng)。 入侵檢測系統(tǒng)的分類 現(xiàn)有的 IDS的分類，大都基于信息源和分析方法。 1. 按照控制策略分類 控制策略描述了 IDS的各元素是如何控制的，以及 IDS的輸入和輸出是如何管理的。在集中式 IDS中，一個(gè)中央節(jié)點(diǎn)控制系統(tǒng)中所有的監(jiān)視、檢測和報(bào)告。在全分布式 IDS中，監(jiān)控和探測是使用一種叫 “代理 ”的方法，代理進(jìn)行分析并做出響應(yīng)決策。按照同步技術(shù)劃分， IDS劃分為間隔批任務(wù)處理型 IDS和實(shí)時(shí)連續(xù)性 IDS。很多早期的基于主機(jī)的 IDS都采用這種方案。實(shí)時(shí) IDS是基于網(wǎng)絡(luò) IDS首選的方案。基于主機(jī)的 IDS通過分析來自單個(gè)的計(jì)算機(jī)系統(tǒng)的系統(tǒng)審計(jì)蹤跡和系統(tǒng)日志來檢測攻擊。分布式 IDS，能夠同時(shí)分析來自主機(jī) 系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)流，系統(tǒng)由多個(gè)部件組成，采用分布式結(jié)構(gòu)。濫用檢測型的IDS中，首先建立一個(gè)對過去各種入侵方法和系統(tǒng)缺陷知識的數(shù)據(jù)庫，當(dāng)收集到的信息與庫中的原型相符合時(shí)則報(bào)警。異常檢測型 IDS是建立在如下假設(shè)的基礎(chǔ)之上的，即任何一種入侵行為都能由于其偏離正常或者所期望的系統(tǒng)和用戶活動規(guī)律而被檢測出來。 5. 按照響應(yīng)方式分類 按照響應(yīng)方式 IDS劃分為主動響應(yīng) IDS和被動響應(yīng) IDS。被動響應(yīng) IDS則是將信息提供給系統(tǒng)用戶，依靠管理員在這一信息的基礎(chǔ)上采取進(jìn)一步的行動。這是一種基于統(tǒng)計(jì)的檢測方法。結(jié)合這兩種方法的優(yōu)點(diǎn)，人們設(shè)計(jì)出很多入侵檢測的模型。它將一個(gè)入侵檢測系統(tǒng)分為以下四個(gè)組件： 事件產(chǎn)生器（ event generators），用 e盒表示； 事件分 析器（ event analyzers），用 a盒表示； 響應(yīng)單元（ responseunits），用 r盒表示； 事件數(shù)據(jù)庫（ event databases），用 d盒表 它將需要分析的數(shù)據(jù)通稱為事件 ， 事件可以是基于網(wǎng)絡(luò)的數(shù)據(jù)包也可以是基于主機(jī)的系統(tǒng)日志中的信息。事件分析器分析得到的事件并產(chǎn)生分析結(jié)果。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的通稱，它可以是 復(fù)雜的數(shù)據(jù)庫也可以是簡單的文本文件。 (1)信息收集：入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。 (2)信息分析：收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術(shù)手段進(jìn)行分析：模式匹 配、統(tǒng)計(jì)分析和完整性分析。 (3)結(jié)果處理：控制臺按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進(jìn)程、切斷連接、改變文件屬性，也可以只是簡單的告警。 1984年到 1986年喬治敦大學(xué)的Dorothy Denning和 SRI公司計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室的 Peter Neumann研究出了一個(gè)實(shí)時(shí)入侵檢測系統(tǒng)模型 — IDES (Intrusion Detection Expert Systems入侵檢測專家系統(tǒng) )，是第一個(gè)在一個(gè)應(yīng)用中運(yùn)用了統(tǒng)計(jì)和基于規(guī)則兩種技術(shù)的系統(tǒng)，是入侵檢測研究中最有影響的一個(gè)系統(tǒng)。 個(gè)人入侵檢測系統(tǒng) 的定義 個(gè)人入侵檢測系統(tǒng)（ PIDS），以網(wǎng)絡(luò)數(shù)據(jù)包作為分析數(shù)據(jù)源，采用異常檢測分析方法。 系統(tǒng) 研究 的 意 義 和方法 綜上， 當(dāng)個(gè)人用戶接入 Inter時(shí)，個(gè)人機(jī)的安全就將面臨著攻擊威脅。靜態(tài)的防御措施，如個(gè)人防火墻等，已不能滿足個(gè)人用戶的需求，個(gè)人用戶需要一個(gè)更全面的個(gè)人安全防范體系。 本文闡述的就是 在 Windows下實(shí)現(xiàn) 個(gè)人入侵檢測系統(tǒng) (PIDS)。在總結(jié)出的正常行為規(guī)律的基礎(chǔ)上，檢查入侵和濫用行為特征與其之間的差異，以此來判斷是否有入侵行為。所以我們就需要對流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包捕獲并加以分析，這樣才能得到實(shí)現(xiàn)入侵檢測的功能。在本系統(tǒng)中，采用了 windows下的 Winpcap網(wǎng)絡(luò)驅(qū)動開發(fā)包，它是 Windows平臺下的一個(gè)免費(fèi)、公共的網(wǎng)絡(luò)驅(qū)動開發(fā)包 。它提供了以下的各項(xiàng)功能 : 捕獲原始數(shù)據(jù)報(bào)，包括在共享網(wǎng)絡(luò)上各主機(jī)發(fā)送 /接收的以及相互之間交換的數(shù)據(jù)報(bào) 在數(shù)據(jù)報(bào)發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過濾掉 在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報(bào) 收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息 Winpcap由三個(gè)模塊構(gòu)成 :NPF, , 。第一個(gè)模塊是內(nèi)核部分 NPF (Netgroup Packet Filter)，在Win95/98中它是一個(gè) VXD（虛擬設(shè)備驅(qū)動程序文件）文件，在 WinNT/Win2021 第 8 頁 共 24 頁 下是一個(gè) SYS文件。當(dāng)然也添加了一些系統(tǒng)特定的標(biāo)志 (比如時(shí)間戳管理 )。第二個(gè)模 Win32平臺下提供一個(gè)通用的公共的包驅(qū)動接口。提供了一套系統(tǒng)獨(dú)立的 API，調(diào)用 Windows平臺上而無需重新編譯。 它可執(zhí)行一些低層操作 :如：獲得 網(wǎng)卡名字 ，動態(tài)裝載驅(qū)動，得到比如機(jī)器的網(wǎng)絡(luò)掩碼、硬件沖突等一些系統(tǒng)特定的信息。第 三個(gè)模塊 ，它提供了更高層、抽象的函數(shù)。因此程序員能處理兩種類型的 API:一套原始函數(shù)集，包含在 ，直接與內(nèi)核層調(diào)用匹配 。程序員能隨意使用，但只能在受限的環(huán)境中直接使用 . 總的說來， 。 Winpcap的具體結(jié)構(gòu)圖 2所示 : 圖 2 Winpcap的具體結(jié)構(gòu) 正如在 Windows 網(wǎng)絡(luò) 體系 結(jié) 構(gòu)中 所 闡釋 的， Win32 網(wǎng) 絡(luò) 架 構(gòu)基 于NDIS(Network Drive Interface Specification網(wǎng)絡(luò)驅(qū)動程序接口標(biāo)準(zhǔn) )。捕獲進(jìn)程核心必須工作在內(nèi)核層，先于 協(xié)議棧 第 9 頁 共 24 頁 之前處理包。換句話說，它需要 設(shè)備驅(qū)動可以直接調(diào)用 BPF Tap函數(shù)，能控制所有經(jīng)過網(wǎng)卡的包 (發(fā)送或接收 )，能對過濾后的包進(jìn)行復(fù)制。因?yàn)?Windows與 BPF驅(qū)動規(guī)范有些 不 同 :Windows不允許為了增加捕獲功能而改變操作系統(tǒng)和 NIC驅(qū)動。 NDIS沒有從 NPF中完全分離出底層，不能自動支持不同的介質(zhì)類型，故需要以這種方式構(gòu)建。在另一方面， NPF是協(xié)議棧的一部分，就同其它網(wǎng)絡(luò)協(xié)議一樣與操作系統(tǒng)交互。同 BPF一樣，當(dāng)包靜止時(shí) NPF把過濾器放入 NIC驅(qū)動內(nèi)存中。異步調(diào)用不支持，因此用戶級存取經(jīng)常被阻塞。 圖 3顯示了 NPF在 NDIS結(jié)構(gòu)中的位置 ： 可以看出 Winpcap也是用的 NDIS，它將自己注冊為一個(gè)協(xié)議處理驅(qū)動。 NPF是 Winpcap中的核心部分，它完成了大部分的工作 :將數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)中并導(dǎo)出捕獲的數(shù)據(jù)包，交由用戶程序分析處理。不同的 Windows系統(tǒng)有不同的 NDIS版本，NPF兼容 Win2K及其后續(xù)的 WinXP版本下的 NDIS5，也兼容其他 Windows平臺下的 NDIS3版本。 NPF提供了應(yīng)用程序所有 I/O操作的回調(diào)函數(shù)，如 :open,close,read,write等。當(dāng) NPF調(diào)用 NDIS函數(shù)時(shí)，調(diào)用立即返回 。 圖 4顯示了 NPF的基礎(chǔ)結(jié)構(gòu)及其在 Winpcap中的 工作模式。它能接收一組用戶定義的過濾規(guī)則(例如接收所有的 UDP數(shù)據(jù)包 )，把它編譯成一套偽指令 （ 例如，如果是 IP包且協(xié)議類型等這些指令等于 “True）， 把這些指