（通信与信息系统专业论文）局域网监听与入侵检测系统的设计与实现.pdf

硕士论文局域网监听与入侵检测系统的设计与实现 摘要 随着网络技术的飞速发展，网络安全问题也越来越突出。于是，人们提出了主动 的网络安全防御体系网络监听与入侵检测系统。入侵是任何企图破坏资源的完整 性、保密性和可用性的行为集合。如何识别那些未经授权而使用计算机系统的非法用 户和那些对系统有访问权限但滥用其特权的用户就需要进行入侵检测。入侵检测是对 入侵行为的发觉，是一种试图通过观察行为、安全日志或审计数据来检测入侵的技术。 本论文在w m d o w s 平台下，利用v c + + 编程环境，设计了局域网监听与入侵检测 系统。系统采用模块化设计。整个系统分为九个模块，分别为：网络数据包捕获模块、 网络协议分析模块、规则解析模块、入侵事件匹配模块、响应模块、存储模块、查看 日志文件、查找数据模块以及统计模块。 系统将误用检测方法和异常检测方法相结合，使得系统具备实时检测和事后检测 的特点。系统采用了基于协议分析的入侵事件描述语言，在入侵检测匹配方法上采用 基于协议分析的方法，提高了系统的检测速度以及系统的检测准确性。 此系统通过在其知识库中设置的入侵数据包或有入侵企图的数据包的特征集，使 得系统在监听局域网的同时能够检测到局域网中的异常数据包及主机异常登陆时间， 通知管理员并且将其存储在日志文件中。系统还能提供网络流量分析功能，使我们能 够检测到局域网的异常流量，通过查询异常数据包流量，准确定位网络故障。 关键词：网络监听，入侵检测，协议分析，专家系统 # 。 硕士论文局域网监听与入侵检测系统的设计与实现 a b s t r a c t a l o n gw i t l lt h en e t w o r kt e c h n o l o g yr a p i dd e v e l o p m e n t , t h en e t w o r ks e e u r i t yq u e s t i o ni s a l s om o r ea n dm o i l ：p r o m i n e n t t h e r e u p o n , t h ep e o p l ep r o p o s e dt h ei n i t i a t i v en e t w o r k s e c u r i t yd e f e n s es y s t e m - n e t w o r km o n i t o ra n dt h ei n t r u s i o nd e t e c t i o ns y s t e m t h e i n t r u s i o ni s a n ya t t e m p td e s t r u c t i o nr e s o l l r c t e $ i l l t e g r i t y , t h es e c r e c ya n dt h eu s a b i l i t y b e h a v i o rs e t h o wd i s t i n g u i s h e st h e s ew i t h o u ta u t h o r i z a t i o nt o 哪t h ec o m p u t e rs y s t e mt h e i l l e g a lu s e ra n dt h e s eh a st h ev i s i tj u r i s d i e t i o nt ot h es y s t e mb u tt oa b u s ei t sp r i v i l e g et h e 嘲t on e e dt oc a r r yo i lt h ei n t r u s i o ne x a m i n a t i o n 皿ei n t r u s i o nd e t e c t i o ni st oi n v a d e s t h eb e h a v i o rd e t e c t i n g , i s0 1 1 ek i n da t t e m p t st h r o u g ht h eo b s e r v a t i o nb e h a v i o r , t h es e c u r i t y l o g0 1 t h ea u d i td a t ae x a m i n e st h ei n t r u s i o n t h i sa r t i c l eu n d e rw i n d o w sp l a t f o r m , u s i n gv c 抖p r o 舯珊n i n ge n v i r o n m e n t , h a s d e s i g n e dt h el o c a la r e a n e t w o r km o n i t o ra n dt h ei n l l u s i o nd e t e c t i o ns y s t e m i nt h es y s t e m d e s i g n , r i s e st h em o d u l a rd e s i g n t h eo v e r a l ls y s t e md i v i d e si n t on i n em o d u l e s ， r e s p e c t i v e l yi s ：t h en e t w o r kd a t ap a c k e tc a p t u r em o d u l e t h en e t w o r kp r o t o c o la n a l y s i s m o d u l e ，t h er u l ea n a l y s i sm o d u l e ，t h ei n l a t t s i o ne v e n tm a t c hm o d u l e ，t h er e s p o n s em o d u l e ， t h em e m o r ym o d u l e ，t h ee x a m i n a t i o nj o u r n a lf i l e ，t h es e a r c hd a t am o d u l ea sw e l la st h e s t a t i s t i c a lm o d u l e t h i ss y s t e mo nt h ei n t r u s i o nd e t e c t i o nm e t h o dh a sm i s u s e dt h em e t h o dw h i c ht h e d e t e c t i o na n de x c e p t i o n a l l ye x a m i n e du n i f i e s ，c a l l s e dt h es y s t e mt ou r t i f yt h ec h a r a c t e r i s t i c w h i c ht h er e a l - t i m ed e t e c t i o na n da t t e r w a r d sd e t e c t i o n t h es y s t e mb a s e do nt h e 峨o f p r o t o c o la n a l y s i so ft h ei n v a s i o nd e s e r i p t i o nl a n g u a g e i l s e $ p r o t o c o la n a l y s i sm e t h o di n t h ei n v a s i o ne x a m i n a t i o n , e n h a n c e dt h es y s t e me x a m i n a t i o ns p e e da sw e l l 船t h es y s t e m e x a m i n a t i o na c c u r a c y t h i ss y s t e mt h r o u g ht h ei n v a s i o nd a t ap a c k e tw h i c he s t a b l i s h e si ni t sk n o w l e d g el i b r a r y o rh a st h ei n v a s i o na t t e m p tt h ed a t ap a c k e te s p e c i a l l yc o l l e c t i o n , c a u s e st h es y s t e mw h i l et o m o n i t o rt h el o c a lf l f f e a n e t w o r kt ob ea b l et oe x a m i n et h eu n u s u a ld a t ap a c k e t , i n f o r m st h e m a n a g e ra n dm e m o r yi nt h ej o u r n a lf i l e t h es y s t e ma l s oc a l l p r o v i d et h en e t w o r kc u r r e n t e a p a e i t ) ，a n a l y s i sf u n c t i o n , e n a b l e sl 培t oe x a m i n et h eu n u s u a lc u r r e n te a p a e i t yi nt h el o c a l a r e an e t w o r k , t h r o u g ht h ei n q u i r yu n u s u a ld a t ap a c k e to ft h ec u r r e n tc a p a c i t y ，a c c u r a t e l y l o c a t e st h en e t w o r kp r o b l e m s k e yw o r d ：m o n i t o r i n g ，i n t r u s i o ns y s t e m ，p r o t o c o la n a l y s i s ，e x p e r ts y s t e m 声明 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在 本学位论文中，除了加以标注和致谢的部分外，不包含其他人已经发 表或公布过的研究成果，也不包含我为获得任何教育机构的学位或学 历而使用过的材料。与我一同工作的同事对本学位论文做出的贡献均 已在论文中作了明确的说明。 研究生签名： 沁i 盎砷 年1 月6 日 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅 或上网公布本学位论文的部分或全部内容，可以向有关部门或机构送 交并授权其保存、借阅或上网公布本学位论文的部分或全部内容。对 于保密论文，按保密的有关规定和程序处理。 研究生签名：! 强蛆 上词年 月6 日 硕士论文局域网监听与入侵检测系统的设计与实现 1 绪论 1 1 网络安全问题 网络安全，是计算机信息系统安全的一个重要方面。计算机系统的互联，在大大 扩展信息资源的共享空间的同时，也将其本身暴露在更多恶意攻击之下。如何保证网 络信息存储、处理的安全和信息传输的安全的问题，就是我们所谓的计算机网络安全。 网络安全问题已经不再是一个新鲜的课题了，也己不再是一个高深的课题了，以前它 基本上是跟网络人士打交道，但现在每一个人都可能与它打交道。只要他的电脑连在 网络上。特别是随着网络应用范围的不断扩大。例如：政治、军事、文化、经济、教 育、卫生、科技、公共服务等等都在普及网络，它们的网络安全问题也越来越突出， 特别是在关键应用系统，如金融、电信、民航、电力等系统中。可以预见，随着网络 的超规模的发展，网络安全问题也越来越严重，会越来越被人重视。 信息安全是指防止信息财产被故意的或偶然的非法授权泄露、更改、破坏或使信 息被非法系统辩识、控制；确保信息的保密性、完整性、可用性、可控性。信息安全 包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密和鉴别七个 方面。通俗地说，网络信息安全与保密主要是指保护网络信息系统，使其没有危险、 不受威胁、不出事故。从技术角度来说，网络信息安全与保密的目标主要表现在系统 的保密性、完整性、真实性、可靠性、可用性、不可抵赖性、可控性等方面。 可靠性是网络信息系统能够在规定的条件下和规定时间内完成规定功能的特性。 可靠性是系统安全的最基本要求之一，是所有网络信息系统的建设和运行目标。可用 性是网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时，允 许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权 用户提供有效服务的特性。可用性是网络信息系统面向用户的安全性能。保密性是指 防止信息泄露给非授权个人或实体，信息只为授权用户使用的特性。保密性是在可靠 性和可用性的基础之上，保障网络信息安全的重要手段。完整性是网络信息未经授权 不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意的删除、 修改、伪造、乱放、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息 的安全性，它要求保持信息的原样，即信息的正确生成、正确存储和正确传输。不可 抵赖性是指在网络信息系统的信息交互过程中，确信参与者证据可以防止发信方否认 已发送信息，利用递交接收证据可以防止收信方事后否认已经接受的信息。可控性是 对网络信息的传播及内容具有控制能力的特性 2 2 1 。 传统网络安全技术主要使用以下几种安全机制： 硕士论文局域网监听与入侵检测系统的设计与实现 1 ) 防火墙 网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手 段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网 络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略 来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。防火墙本身 是安全的，虽然防火墙是目前保护网络免遭黑客袭击的有效手段，作为信息系统安全 产品，防火墙本身也应该保证安全，不给外部侵入者以可乘之机。如果像马其顿防线 一样，正面虽然牢不可破，但进攻者能够轻易地绕过防线进入系统内部，网络系统也 就没有任何安全性可言了。所以防火墙也有明显不足：无法防范通过防火墙以外的其 它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全 防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。 2 1加密机制 加密是一种最基本的安全体制，它能防止信息被非法读取。加密是一种在网络环 境中对抗被动攻击的行之有效的安全机制。数据加密时保护数据的最基本的方法。但 是这种方法只能防止第三者获取真实数据，仅解决了安全问题的一个方面。但是加密 机制并不是牢不可破的。 3 1p i g 技术 p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) 技术就是利用公钥理论和技术建立的提供安全服 务的基础设施。p k i 技术是信息安全技术的核心，也是电子商务的关键和基础技术。 由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触，因此使得 用电子方式验证信任关系变得至关重要。而p k i 技术恰好是一种适合电子商务、电子 政务、电子事务的密码技术，他能够有效地解决电子商务应用中的机密性、真实性、 完整性、不可否认性和存取控制等安全问题。一个实用的p k i 体系应该是安全的易用 的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构( c a ) 、 注册机构( r a ) 、策略管理、密钥( k e y ) 与证书( c e r t i f i c a t e ) 管理、密钥备份与恢 复、撤消系统等功能模块的有机结合。 1 2 入侵检测系统概述 1 2 1 入侵检测系统的作用 从前面介绍的传统的防护措施来看，传统的网络安全技术有它自身的缺陷和问 题。防火墙策略对于防范黑客有其明显的局限性，防火墙难于防内。防火墙的安全体 制职能作用于外对内或内对外。对外可屏蔽内部网的拓扑结构，封锁外部网上的用户 连接内部网上的重要站点或某些端口。对内可屏蔽外部危险站点，但它很难解决内部 2 硕士论文局域网监听与入侵检测系统的设计与实现 网控制内部人员的安全问题。即防外不防内。但现在有很多的网络攻击事件来自内部 攻击。 针对日益严重的网络安全问题和越来越突出的安全要求，入侵检测应用而生，并 且占有重要的地位。入侵检测( i n t r u s i o nd e t e c t i o n ) 是对入侵行为的检测。是指在特 定的网络环境中发现和识别未经授权的或恶意的攻击和入侵，并对此做出反应的过 程。它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系 统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安 全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危 害之前拦截和响应入侵。而入侵检测系统i d s 是一套运用入侵检测技术对计算机或网 络资源进行实时检测的系统工具。i d s 一方面检测未经授权的对象对系统的入侵，另 一方面还监视授权对象对系统资源的非法操作。入侵检测系统的作用有以下几种： 1 ) 识别黑客常用入侵与攻击手段 入侵检测技术通过分析各种攻击的特性，可以全面快速的识别探测攻击、拒绝服 务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段，并做出 相应的规范。一般来说，黑客在进行入侵的第一步探测、收集网络及系统信息时，就 会被i d s 捕获，向管理员发出警告。 2 1 监控网络异常通信 i d s 系统会对网络中不正常的通信连接做出反应，保证网络通信的合法性，任何 不符合网络安全策略的网络数据都会被i d s 检测到并警告。 3 1 鉴别对系统漏洞及后门的利用 i d s 系统一般带有系统漏洞及后门的详细信息，通过对网络数据包连接的方式、 连接端口以及连接中特定的内容等特性分析，可以有效地发现网络通信中针对系统漏 洞进行的非法行为。 4 ) 完善网络安全管理 i d s 通过对攻击或入侵的检测及反应，可以有效地发现和防止大部分的网络犯罪 行为，给万里安全管理提供了一个集中、方便、有效的工具，使用i d s 系统的检测、 统计分析、报表功能，可以进一步完善网络管理。 1 2 2 入侵检测分类 入侵检测系统根据原始数据的来源( 信息源) 可分为基于主机的入侵检测系统 h i d s ( h o s ti n t r u s i o nd e t e c t i o ns y s t e m ) 和基于网络的入侵检测系统n i d s ( n e t w o r k i n t r u s i o nd e t e c t i o ns y s t e m ) 【刀。基于主机的入侵检测系统主要用于保护运行关键应用 的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发 生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或以成功 硕士论文局域研监听与入侵检测系统的设计与实现 入侵了系统。通过查看日志文件，能够发现入侵企图或成功的入侵，并很快的启动相 应的应急响应程序。基于主机的i d s 除了监测自身的主机之外，根本不监测网络上的 情况。尽管基于主机的i d s 不如基于网络的i d s 快捷，但它却是具有基于网络的系 统无法比拟的优点。这些优点包括： 1 )能确定攻击是否成功。主机是攻击的目的所在，所以基于主机的i d s 使用含有已 发生的事件信息，可以比基于网络的i d s 更加准确的判断攻击是否成功。 2 ) 监控粒度更细。基于主机的i d s 监控的目标准确、视野集中，它可以检测一些基 于网络的i d s 不能检测的攻击。它可以很容易的监控系统的一些活动，如对敏感文件、 目录、程序或端e l 的存取。针对系统的一些活动，有时并不通过网络传输数据，有时 虽然通过网络传输数据，但所传输的数据不能提供足够多的信息，从而使得基于网络 的s 检测不到这些行为，或者检测到这个程度非常困难。 3 ) 配置灵活。每一个主机有其自身的基于主机的i d s ，用户可根据自己的实际情况 对其进行配置。 钔可用于加密的以及交换的环境。加密和交换设备加大了基于网络i d s 收集信息的 难度，但由于基于主机的i d s 安装在要监控的主机上，根本不会受这些因素的影响。 5 ) 对网络流量不敏感。基于主机的i d s 一般不会因为网络流量的增加而放弃对网络 行为的监视。 6 ) 不需要额外的硬件。 基于主机的i d s 的主要缺点：它会占用主机的资源，在服务器上产生额外的负载， 它缺乏平台支持，可移植性差，因而应用范围会受到严重限制。 基于网络的i d s 系统是使用原始网络数据包作为数据源。主要用于实时监控网络 关键路径的信息，侦听网络上的所有分组来采集数据，分析可疑现象。它通常利用一 个运行在混杂模式下网络的适配器来实时监视并分析通过网络的所有通信业务，当然 也可能采用其他特殊硬件获得原始网络包。基于网络的i d s 有许多靠基于主机的入侵 检测无法提供的功能。它有很多优点： 1 ) 监测速度快 基于网络的检测器通常能在微妙或秒级发现问题，而大多数基于主机的产品则要 依靠对最近几分钟内审计记录的分析。 2 ) 隐蔽性好 一个网络上的监测器不像一个主机那样明显和易被存放，因而也不那么容易遭受 攻击。基于网络的监视器不运行其他的应用程序，不提供网络服务，可以不响应其他 计算机，因而可以做的比较安全。 3 ) 视野更宽 基于网络的i d s 可以检测一些主机检测不到的攻击，如泪滴攻击、基于网络的 4 硕士论文局域网监听与入侵检测系统的设计与实现 s y n 攻击等，还可以检测不成功的攻击和恶意企图。 4 ) 较少的监测器 由于使用一个监视器就可以保护一个共享的网段，所以不需要更多的监测器。相 反的，如果基于主机，则在每个主机上都需要一个代理，这样花费昂贵，而且难于管 理。但是，如果在一个交换环境下，就需要特殊的配置。 5 1 攻击者不易转移证据 基于网络的i d s 使用正在发生的网络通信进行对实时攻击的检测，所以攻击者无 法转移证据。被捕获的数据不仅包括攻击的方法，而且还包括可识别黑客身份和对其 进行起诉的信息。许多黑客都熟知审计记录，他们知道如何操纵这些文件来掩盖他们 的作案痕迹，如何阻止需要这些信息的基于主机的系统去检测入侵。 操作系统无关性 基于网络的i d s 作为安全监测资源，与主机的操作系统无关，与之相比，基于主 机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作，生成有用的结果。 刀可以配置在专门的机器上，不会占用被保护的设备上的任何资源。 基于网络的入侵检测系统的主要缺点是：只能监视本网段的活动，精确度不高； 在交换环境下难以配置；防入侵欺骗的能力较差，难以定位入侵者。 基于主机和基于网络的入侵检测系统具有互补性，基于网络的入侵检测能够客观 地反映网络活动，特别是能够监视到系统审计的盲区；而基于主机的入侵检测能够更 加准确的监视系统的各种活动。 根据检测原理( 分析方法) 将其分为异常和误用两种，然后分别对其建立异常检 测模型和误用检测模型 2 0 i 。 异常检测也被称为基于行为的检测，入侵模型是指能够根据异常行为和使用计算 机资源的情况监测出入侵的方法。它试图用定量的方式描述可以接受的行为特征，以 区分非正常潜在的入侵行为。通常是是先定义组系统“正常”情况的数值，如c p u 利用率、内存利用率、文件校验和等( 这类数据可以人为定义，也可以通过观察系统、 并用统计的办法得出) ，然后将系统运行时的数值与所定义的“正常”情况比较，得 出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。异 常检测与系统相对无关，通用性较强。它甚至有可能检测出以前未出现过的攻击方法， 但因为不可能对整个系统内的所有用户行为进行全面的描述，况且每个用户的行为是 经常改变的，所以它的主要缺陷在于误检率很高。尤其在用户数目众多，或工作目的 经常改变的环境中。若入侵者了解到检测规律，就可以小心的避免系统指标的突变， 而使用逐渐改变系统指标的方法逃避检测。另外检测效率也不高，检测时间较长。最 重要的是，这是一种“事后”的检测，当检测到入侵行为时，破坏早已经发生了。 异常检测的关键问题：特征量的选择。异常检测首先是要建立系统或用户的 硕士论文局域网监听与入侵检测系统的设计与实现 。正常”行为特征轮廓，这就要求在建立正常模型时，选取的特征量既要能准确地体 现系统或用户的行为特征，又能使模型最优化，即以最少的特征量就能涵盖系统或用 户的行为特征。参考阈值的选定。因为在实际的网络环境下，入侵行为和异常行 为往往不是一对一的等价关系，这样的情况是经常会有的：某一行为是异常行为，而 它并不是入侵行为；同样存在某一行为是入侵行为，而它却并不是异常行为的情况。 这样就会导致检测结果的虚警( f a l s ep o s i t i v e s ) 和漏警( f a l s en e g a t i v e s ) 的产生。 由于异常检测是先建立正常的特征轮廓作为比较的参考基准，这个参考基准即参考阈 值的选定是非常关键的，阈值定的过大，则漏警率会很高；阈值定的过小，则虚警率 就会提高。合适的参考阈值的选定是影响这一检测方法准确率。 误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵的方法。 简单来说，误用检测是对不正常的行为进行建模，这些行为是以前记录下来的确认了 的误用或攻击。误用检测器分析系统的活动，发现哪些与被预先定义好的攻击特征相 匹配的事件或事件集。要定义违背安全策略的事件的特征，如网络数据包的某些头信 息。检测主要判别这类特征是否在所收集到的数据中出现。与异常入侵检测不同，误 用入侵检测能直接检测不利的或不可接受的行为，而异常入侵检测是检测出与正常行 为相违背的行为。在误用检测中，入侵过程模型及它在被观察系统中留下的踪迹是决 策的基础。所以，可事先定义某些特征的行为是非法的，然后将观察对象与之进行比 较以做出判断。误用检测基于已知的系统缺陷和入侵模式，故又称为特征检测。它能 够准确的检测到某些特征的攻击，但却过度依赖事先定义好的安全策略，所以无法检 测系统未知的攻击行为，从而产生漏报。 1 3 公共入侵检测框架 将入侵检测系统分为四个基本组件：事件产生器、事件分析器、相应单元和事件 数据库l l 州。 事件产生器的任务是从入侵检测系统之外的计算环境中收集事件。事件分析器分 析从其他组件收到的入侵检测对象，并将产生的新入侵检测对象再传送给其他组件。 分析器可以是一个轮廓描述工具，统计性地检查现在的事件是否可能与以前某个事件 来自同一个时间序列；也可以是一个特征检测工具，用于在一个事件序列中检查是否 有已知的滥用攻击特征；此外，事件分析器还可以是一个相关器，观察事件之间的关 系，将有联系的事件放到一起，以利于以后的进一步分析。事件数据库用来存储入侵 检测对象，以备系统需要的时候使用。响应单元处理收到的入侵检测对象，并据此采 取相应的措施，如杀死相关进程、将连接复位、修改文件权限等。其结构如图1 3 1 所示： 6 硕士论文局域网监听与入侵检测系统的设计与实现 1 4 本论文的工作 原始数据源 图1 3 1公共入侵检测框架 本论文的目的和意义就是要以w m d o w s 操作系统为背景，设计一个网络监听入 侵检测系统。首先系统能够捕获局域网中的数据包，并且通过分析数据包的相关信息。 系统能够根据知识库文件中添加的规则准确的检测到是否有入侵企图的数据包或可 疑数据包。则系统检测方法采用专家系统方法，检测系统的完备性依赖于知识库的完 备性，我们添加的规则越准确，越能精确描述病毒的特征，系统的漏检率就越低。使 得一旦有攻击性数据包出现，会立即报警处理。其次，系统结合异常检测方法，根据 平时正常的统计描述( 例如登陆时间) ，能够检测出非正常登陆。最后，如果我们需 要监听局域网中的某台主机，可以通过对系统的设置，使得系统捕获我们需要的数据 包并且将其存储，便于我们以后查看。强大的存储功能使得系统能够检测到网络的流 量异常，在发现异常后，通过系统的统计查询主机存储的数据包，可以初步确定网络 故障。 本论文采用在s i l a l c + + 环境下编程实现此系统，使得此系统能够实现上述功能。 而系统的实现方法力求简单，使得系统有较好的可靠性、可理解性、可移植性，方便 我们进行网络安全管理，达到网络监听与入侵检测的目的。 1 5 本论文的安捧 本论文总共分为五章阐述整个局域网监听与入侵检测系统的设计和实现。在第一 章绪论中介绍了入侵检测的基本概念，不同的分类方法。第二章主要介绍此系统的整 体结构，整个系统分成几个模块来完成，以及各个模块分别完成什么功能。第三章主 要介绍此系统的关键技术，大致阐述了基本的方法以及本系统采用的检测方法、采用 的入侵描述语言、检测所要用的匹配方法以及系统设计和实现的方法。第四章详细的 描述了系统的具体实现，分别介绍各个模块的基本原理及具体的设计步骤、程序流程 图以及核心代码。第五章介绍了此系统所能完成的功能以及所具有的现实意义。结论 部分总结了整个系统的设计和实现过程，提出了系统的不足之处。 7 硕士论文 局域网监听与入侵检测系统的设计与实现 2 网络监听及入侵检测系统的系统设计 网络数据是目前商业入侵检测系统最为通用的信息来源。本论文设计的入侵检测 系统主要针对于网络数据，其基本原理就是：当网络数据流在网段中传播时，采用特 殊的数据提取技术，收集网络中传输的数据，作为入侵检测系统的数据来源。 在计算机网络系统中，局域网普遍采用的是基于广播机制的i e e e $ 0 2 3 协议，即 以太网( e t h c m c t ) 协议。即我设计的监听及入侵检测系统是在以太网的环境下，在 因特网上有很多使用以太网协议的局域网，许多主机通过电缆、集线器连在一起。当 同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向 目的主机。但这种数据包不能在口层直接发送，必须从t c p i p 协议的口层交给网 络接口，也就是数据链路层，而网络接口是不会识别m 地址的，因此在网络接口数 据包又增加了一部分以太帧头的信息。在帧头中有两个域，分别为只有网络接口才能 识别的源主机和目的主机的物理地址，这是一个与口地址相对应的4 8 位的地址。 传输数据时，包含物理地址的帧从网络接口( 网卡) 发送到物理的线路上，如果 局域网是由一条粗缆或细缆连接而成，则数字信号在电缆上传输，能够到达线路上的 每一台主机。当使用集线器时，由集线器再发向连接在集线器上的每一条线路，数字 信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主机的网络接口 时，正常情况下，网络接口读入数据帧，进行检查，如果数据帧中携带的物理地址是 自己的或者是广播地址，则将数据帧交给上层协议软件，也就是口层软件，否则就 将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。 当主机工作在监听模式下，所有的数据帧都将被交给上层协议软件处理。而且， 当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于 监听模式下，它还能接收到发向与自己不在同一子网( 使用了不同的掩码、口地址 和网关) 的主机的数据包。也就是说，在同一条物理信道上传输的所有信息都可以被 接收到。而使用最广泛的分支集线器通常是共享式集线器，这样，当用户与主机进行 数据通信时，两台机器之间的数据包( 称为单播包u n i c a s tp a c k e t ) 还是会被同一台 集线器上的其他用户所监听。网卡分为正常模式和混杂模式两种，一般情况下，网卡 都置于正常模式，而通过将网卡设置成混杂模式，就可以捕获局域网内的所有数据包。 将这些数据包送入协议分析模块，进行协议分析，根据数据包层层剥取先分析口 协议头，然后根据m 协议头的协议类型对基本的运输层协议进行分析：t c p 协议、 u d p 协议。另外我们还对网络层特殊协议i c m p 进行了分析，通过协议分析使我们 能够了解到每个数据包的源口地址、目的口地址、源端口、目的端口或其类型代码 等等信息。数据包分析完毕后，系统将存储各个数据包的相关信息。我们将这些经过 协议分析后的数据包送入规则解析模块，同时将规则文件里的规则读入程序中，关于 8 硕士论文局域网监听与入侵检测系统的设计与实现 规则的设定有固定的格式，按照固定的格式将病毒或攻击性数据包的特征写入规则文 件，特征包含端口号、敏感字符串，要是t c p 数据包还有可能包含序列号、确认号 等等。则当有此类攻击性数据包出现时，系统就会告警或通知管理员。此外，规则文 件中的规则也可以根据需要设定，可以是你所需要监听的主机的口地址及端口或报 文类型，例如，你要监听局域网中的某台主机在某个时间段内发出的h t i t 请求，例 如：口地址为1 9 2 1 6 8 0 1 的所有目的端口号是8 0 的数据包，你就可以将这条规则根 据程序中要求的格式写入规则文件，这样经过规则解析模块的解析，你就可以在输出 数据包中看到你所需要的数据包，并且可以通过存储模块将其存储到数据包存储文件 中。 在系统的设计中还添加了查看日志文件的功能( 包括查看 t o p t x t 、 u d p t x t ) ， 查找数据模块( s e a r c ht o p 、“s e a r c hu d p ”) ，主要就是查找存储文件中的特定类型数 据包，例如：我们需要在存储文件中查找i p 地址为1 9 2 1 6 8 0 1 2 0 发出的数据包，则 只要输入查找条件，查找数据模块就可以将数据包查找出来，这样我们就可以很方便 的查看出i p 地址为1 9 2 1 6 8 0 1 2 0 的主机的一般活动时问及它发出和收到的数据包的 相关信息。合计功能( t o t a lt c p 、 t o t a lu d p ，) 主要就是统计局域网中各台计算机发 出和收到的数据包的数量，这项数据对我们分析计算机异常流量有很大的作用。我们 通过查看局域网中各台计算机的上行流量和下行流量进行对比可以发现计算机网络 异常，另外还可以借此分析局域网中一段时间内的流量情况。 综上所述，整个监听与入侵检测系统可以分为如下图所示的九个模块，分别是： 网络数据包捕获模块、网络协议分析模块、规则解析模块、入侵事件匹配模块、响应 模块、存储模块、查看日志文件模块、查找数据模块以及统计模块。 网络数据包捕获模块是本系统最开始的部分，它的主要作用就是捕获局域网内的 所有的数据包。怎样捕获数据包，不同的操作系统和不同的环境都有不同的实现方式。 在我这次设计的系统中，是以w m d o w s 操作系统为背景，又是以以太网为环境，所 以本系统通过设置网卡为混杂模式来捕获数据包。若要停止捕获数据包，则按住c r t l + c 组合键即可停止捕获。 网络协议分析模块是本系统一个很重要的部分，只有在完全对捕获到的数据包进 行详细的分析之后，才能在此基础上进一步的分析你所要得到的数据包或有入侵企图 的数据包。而此模块的设计功能是否齐全，是否优良就直接影响到入侵检测系统的性 能了。所以此模块的设计对整个系统的设计都有一定的影响作用。 规则解析模块的功能就是把定义好的入侵规则从文件中读取出来，然后进行解 析，读入内存，也就是读入相应的变量之中。在此系统中，规则文件中有关于规则的 书写是有一定的要求的，这样才能使规则解析模块有效的将规则进行解析。 入侵事件匹配模块是入侵检测系统的主要模块。入侵检测功能就是由此模块实现 9 硕士论文局域网监听与入侵检测系统的设计与实现 的，主要就是将规则解析模块的分析结果与经过协议分析后的网络中的数据包进行匹 配，要是匹配成功，就进一步的启动响应模块，然后将其存入日志文件，以备以后分 析。响应模块实现的功能十分简单，就是响应匹配成功的数据包，通知管理员。 存储模块实现的功能就是将分析所得的数据存入日志文件。这里主要采用日志文 件来存储数据包。 查看日志文件模块的主要功能就是方便我们查看日志文件。查找数据功能模块它 主要实现查找日志文件中某种类型的数据包，对于我们对某台计算机的检测有很大的 作用，我们可以通过查找某台计算机发出和收到的数据包，发现计算机的异常流量， 通过查看其相关数据包的信息，可以判断是否为网络堵塞或主机已经收到某种攻击而 中毒。 总计模块主要分析整个局域网内各台计算机的流量分布情况。它能够及时发现各 台计算机的流量是否有异常。其各个模块的相互关系如图2 1 所示： 图2 1 系统总体设计框架 1 0 硕士论文局域网监听与入侵检测系统的设计与实现 整个监听与入侵检测系统的分析界面如图2 2 所示： 图2 2 系统的总体分析界面 硕士论文局域网监听与入侵检测系统的设计与实现 3 网络监听及入侵检测系统的关键技术 3 1 系统采用的入侵检测方法 入侵检测系统的常用方法有以下几种，介绍如下【2 0 】： 1 ) 基于概率统计的检测 基于概率统的检测方法是在异常检测中最常用的技术，它是对用户历史行为建立 模型。根据该模型，当发现有可疑的用户行为发生时保持跟踪，并监视和记录该用户 的行为。这种方法的优越性在于它应用了成熟的概率统计理论；缺点是由于用户的行 为非常复杂。因而要想准确的匹配一个用户的历史行为非常困难，易造成系统误报、 错报和漏报；定义入侵f 困值比较困难，阀值高则误检率提高，阎值低则漏检率增高。 首先，检测器根据用户对象的动作为每个用户都建立一个用户特征表，通过比较当前 特征与已存储定型的以前特征，从而判断是否是异常行为。用户特征表需要根据审计 记录情况不断的加以更新。常用的入侵检测统计模型为：操作模型、方差、计算参数 的方差、多元模型、马尔柯夫过程模型和时间序列分析。统计方法的最大优点是它可 以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力 也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过 入侵检测系统。 2 ) 基于神经网络的检测 基于神经网络的检测技术的基本思想使用一系列信息单元训练神经单元，在给定 一定的输入后，就可能预测出输出。它是对基于概率统计的检测技术的改进，主要克 服了传统的统计分析技术的一些问题。神经网络的引入对入侵检测系统的研究开辟了 新的途径。由于它有自适应自学习的优点，因此，在基于神经网络的入侵检测系统中， 只要提供系统的审计数据，它就可以通过自学习从中提取正常的用户或系统活动的特 征模式，而不必对大量的数据进行存取，精简了系统的设计。入侵检测系统可以利用 神经网络的分类和识别能力，适用于用户的动态变化特征。但基于神经网络的入侵检 测系统计算量大，将影响实时性。 3 ) 模糊系统 模糊理论在知识和规则获取中具有重要作用。人类思维、语言具有模糊性，模糊 思维的形式和语言表达具有广泛、完美和高效的特征。人们的许多知识是模糊的，模 糊知识在控制和决策中有重大作用。因此，可以将模糊系统的理论方法用于入侵检测 系统中，以实现对入侵行为的判别。 4 ) 免疫系统 有学者在研究过程中注意到：计算机系统的保护机制与生物的免疫系统之间具有 1 2 硕士论文局域网监听与入侵检测系统的设计与实现 显著的相似性，即两个系统运行的关键是执行“自己”和“异己”的识别能力，也就 是说，一个组织的免疫系统能够决定哪些东西是无害的，哪些是有害的。依据免疫系 统方法，我们利用程序运行过程中产生的系统调用短序列定义正常行为模式，以此来 识别攻击行为。 系统调用短序列是系统调用序列中一定长度的、表现相当固定的片段。系统调用 序列是一个程序在计算机上执行时产生的，其中所涉及的系统调用是根据一定的次序 排列的，这个次序取决于计算机所执行的程序。 5 ) 数据挖掘 数据挖掘时数据库中的一项技术，它的作用就是从大型数据集中抽取知识。对于 入侵检测系统来说，也需要从大量的数据中提取出入侵的特征。通过数据挖掘程序处 理搜集到的审计数据，为各种入侵行为和正常操作建立精确的行为模式，这是一个自 动的过程。数据挖掘技术的关键点在于算法的选取和一个正确的体系结构的建立。 6 ) 数据融合 数据融合技术通过综合来自不同的传感器或数据源的数据，对有关事件、行为以 及状态进行分析和推论。根据这个原理，在网络中可以配置各种功能的探测器，从不 同的角度、不同的位置收集反映网络系统状态的数据信息：网络数据包、系统日志文 件、网管信息、用户行为特征轮廓数据、系统消息、已知攻击的知识和系统操作者发 出的命令等。然后，在对这些信息进行相应分析和结果融合的基础上，给出检测系统 的判断结果和响应措施，对系统威胁源、恶意行为以及威胁的类型进行识别，并给出 威胁程度的评估。 在本论文的网络监听及入侵检测系统的设计中，入侵检测方法上结合了异常检测 和误用检测方法。系统采用误用检测的常用方法一专家系统。我们选择采用基于专 家系统的入侵检测方法因为其检测准确度很高。 所谓专家系统是基于一套由专家经验事先定义的规则的推理系纠1 9 1 。例如：在数 分钟之内有某个用户连续进行登陆，且失败超过三次就可以被认为是一种攻击行为。 要注意的是基于规则的专家系统或推理系统也有其局限性，因为作为这类系统的基础 的推理规则一般都是根据已知的安全漏洞进行安排和策划的，而对系统的最危险的威 胁主要是来自未知的安全漏洞。实现基于规则的专家系统是一个知识工程问题，而且 其功能应当能够随着经验的积累而利用其自身学习能力及逆行规则的扩充和修正。当 然这样的能力需要在专家的指导和参与下才能实现，否则可能会导致较多的错报现 象。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完 备性与实时性。审计事件被表述成有语义的事实，推理引擎根据这些规则和事实进行 判赳1 9 1 。入侵的特征表述，是入侵检测系统的关键。在系统实现中，将有关入侵的知 识转化为i f t h e n 结构( 或复合结构) ，条件部分为入侵特征，t h e n 部分是系统防范措 硕士论文 局域网监听与入侵检测系统的设计与实现 施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备 性。 本系统采用一系列的检测规则表示入侵的特征行为，我们通过将所捕获的数据包 一