孫海冰

提要本文介紹了一種局域網(wǎng)環(huán)境入侵檢測系統(tǒng)的實現(xiàn)，對各技術(shù)模塊進行了應(yīng)用分析。

關(guān)鍵詞：入侵檢測；數(shù)據(jù)；數(shù)據(jù)管理

中圖分類號：F49文獻標(biāo)識碼：A

入侵檢測數(shù)據(jù)管理系統(tǒng)是入侵檢測系統(tǒng)實現(xiàn)的關(guān)鍵，是入侵檢測數(shù)據(jù)分析的基礎(chǔ)。本文所研究的入侵檢測數(shù)據(jù)管理系統(tǒng)實現(xiàn)分三個部分：數(shù)據(jù)包捕獲模塊、數(shù)據(jù)提取模塊和事件分析數(shù)據(jù)庫的實現(xiàn)。

一、數(shù)據(jù)包捕獲模塊實現(xiàn)

數(shù)據(jù)包捕獲模塊是進行檢測和決策的基礎(chǔ)，它的準(zhǔn)確性、可靠性和效率直接影響到整個系統(tǒng)的性能。數(shù)據(jù)包捕獲模塊的任務(wù)是利用數(shù)據(jù)包捕獲工具從網(wǎng)卡上捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包，再將捕獲的數(shù)據(jù)包經(jīng)過解碼引擎填入到鏈路層協(xié)議的包結(jié)構(gòu)體中，以便對高層次的協(xié)議進行解碼。

對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲機制。網(wǎng)絡(luò)數(shù)據(jù)包捕獲機制指通過捕獲整個網(wǎng)絡(luò)的所有信息流量，根據(jù)信息源主機、目標(biāo)主機、服務(wù)協(xié)議端口等信息簡單過濾掉不關(guān)心的數(shù)據(jù)，再將系統(tǒng)感興趣的數(shù)據(jù)發(fā)送給更上層的應(yīng)用程序進行分析。網(wǎng)絡(luò)數(shù)據(jù)捕獲可以通過兩種方法實現(xiàn)：一種是利用以太網(wǎng)絡(luò)的廣播特性；另一種方式是通過設(shè)置路由器的監(jiān)聽端口實現(xiàn)。

1、利用以太網(wǎng)絡(luò)的廣播特性進行捕獲。以太網(wǎng)數(shù)據(jù)傳輸通過廣播實現(xiàn)，但是在系統(tǒng)正常工作時，應(yīng)用程序只能接收到以本主機為目標(biāo)主機的數(shù)據(jù)包，其他數(shù)據(jù)包將被丟棄不作處理，其數(shù)據(jù)包過濾機制分為鏈路層、網(wǎng)絡(luò)層和傳輸層幾個層次。鏈路層主要指網(wǎng)卡驅(qū)動程序判斷所收到包的目標(biāo)MAC地址，如果不是自己網(wǎng)卡的MAC地址，又不是廣播地址和組播地址，將直接丟棄，不向上層提交。網(wǎng)絡(luò)層判斷目標(biāo)IP地址是否為本機所綁定IP地址，否則將不向上層提交。傳輸層如TCP層或者UDP層判斷目標(biāo)端口是否在本機已經(jīng)打開，如果沒有打開不作處理，并不向應(yīng)用層提交。

2、在交換環(huán)境中的網(wǎng)絡(luò)數(shù)據(jù)捕荻。在實際應(yīng)用中，存在很多非以太網(wǎng)接入的情況，如通過光纖接入等。

二、數(shù)據(jù)提取模塊實現(xiàn)

數(shù)據(jù)提取模塊是實現(xiàn)入侵檢測系統(tǒng)VIDS的基礎(chǔ)，它為檢測模塊提供分析的數(shù)據(jù)。根據(jù)數(shù)據(jù)包和系統(tǒng)日志提取出相應(yīng)的特征數(shù)據(jù)，并對其進行規(guī)范化，以方便后面的數(shù)據(jù)分析。數(shù)據(jù)提取的三個過程是：協(xié)議解析、規(guī)則解析和數(shù)據(jù)預(yù)處理。

1、協(xié)議解析。數(shù)據(jù)包捕獲模塊把捕獲的數(shù)據(jù)提交給協(xié)議解析模塊后，協(xié)議解析模塊必須對這些數(shù)據(jù)進行分析，根據(jù)相應(yīng)的協(xié)議把這些分析后的數(shù)據(jù)放到指定的數(shù)據(jù)結(jié)構(gòu)中，供上層模塊調(diào)用。協(xié)議解析模塊設(shè)計了一些對數(shù)據(jù)包進行表述的數(shù)據(jù)結(jié)構(gòu)，在這些數(shù)據(jù)結(jié)構(gòu)中，存放數(shù)據(jù)的Packet結(jié)構(gòu)是其中最為關(guān)鍵的一個，數(shù)據(jù)包的數(shù)據(jù)結(jié)構(gòu)如下：在數(shù)據(jù)包解碼時，首先判斷以太網(wǎng)封裝的協(xié)議是否為IP協(xié)議，如果不是，則直接返回；否則，首先解析出IP頭部，再根據(jù)所封裝的協(xié)議，并分別對TCP、UDP、ICMP解析，將各項值寫入Packet結(jié)構(gòu)中對應(yīng)的字段。

2、規(guī)則解析。在本系統(tǒng)中，采用了Snort的入侵行為描述方法。這種描述方法簡單、易于實現(xiàn)，能夠描述絕大多數(shù)的入侵行為。Snort的規(guī)則在邏輯上分為兩部分：規(guī)則頭和規(guī)則選項。規(guī)則頭部分包括：規(guī)則行為、協(xié)議、源/目的IP地址、子網(wǎng)掩碼以及源，目的端口。規(guī)則選項包含了所要顯示給用戶查看的警告信息，以及用來判定此報文是否為攻擊報文的其他信息(比如，TCP的Flag字段以及數(shù)據(jù)字段的內(nèi)容等)。

3、數(shù)據(jù)預(yù)處理。數(shù)據(jù)預(yù)處理模塊的作用就是對網(wǎng)絡(luò)數(shù)據(jù)進行預(yù)先處理，從而方便隨后的檢測分析。另外，我們可以發(fā)現(xiàn)，基于規(guī)則的檢測引擎并不能檢測所有的入侵，尤其是針對有效載荷的檢測，而像端口掃描、SYN Flooding等攻擊，按照前面所述的方法很難對它們的特征進行提取。因此，需要特殊情況特殊處理，而數(shù)據(jù)預(yù)處理就是一個很好的選擇。常用的預(yù)處理內(nèi)容如下：

(1)minfrag的格式。minfrag預(yù)處理檢查分組數(shù)據(jù)包的大小是否低于某一設(shè)定的閩值。數(shù)據(jù)包分組通常是由源和目的地址之間的路由器來進行的。一般來講，商業(yè)網(wǎng)絡(luò)設(shè)備不會將數(shù)據(jù)包的分組大小設(shè)置于512字節(jié)。因此，能使用這個事實監(jiān)控小的數(shù)據(jù)包分組，這種小的分組數(shù)據(jù)一般說明某些試圖在分組里隱藏它們的數(shù)據(jù)。

(2)HTTP Decode的格式。HTTP De-code用于處理HTTP URL地址字符串，并將串中的數(shù)據(jù)轉(zhuǎn)化為可讀的ASCII字串。這樣做的目的是為了檢測到躲避Web URL掃描的行為和攻擊，這些入侵行為常常會通過地址字符串中某些異常字符的設(shè)置，來躲避對HTrP通信可疑行為的內(nèi)容分析檢查。格式為：http_deeode：L—unicode][-cginull]。

(3)Portscan Detecto的格式。Portsean向標(biāo)準(zhǔn)日志設(shè)備中記錄從一個源IP地址所發(fā)出的端口掃描活動的開始和結(jié)束。如果指定了一個日志文件，在記錄掃描類型的同時也記錄目的IP地址和端口號。端口掃描定義為在時間T(秒)之內(nèi)對超過P個端口的TCP連接嘗試，或者在時間T(秒)之內(nèi)對超過P個端口發(fā)送UDP數(shù)據(jù)包。端口掃描可以是對任一IP地址的多個端口，也可以是對多個IP地址的同一端口。Snortl，6版本可以處理單對單和單對多方式的端口掃描，而現(xiàn)在的版本可以處理分布式的端口掃描(多對一或多對多)。端口掃描也包括單一的“隱蔽掃描”數(shù)據(jù)包，比如NULL、FIN、SYN-FIN、XMAS等。如包括秘密掃描的話，端口掃描模塊會對每一個掃描數(shù)據(jù)包告警。

(4)stream4格式。Stream4模塊使snort具有TCP流重新組裝和狀態(tài)分析能力。強壯的流重組能力使得snort能夠忽視無“狀態(tài)”攻擊，例如，sfick粘滯位攻擊。Stream4也能夠給大量用戶提供超過256個TCP同步連接。Stream4缺省配置時能夠處理32，768個TCP同步連接。Stream4有兩個可配置的模塊，stream4 preprocessor和相關(guān)的stream4_reassemble插件。

從而，構(gòu)建一種入侵檢測系統(tǒng)為主，以防病毒軟件、防火墻為輔這樣一個多方位的安全保障體系，以確保整個局域網(wǎng)系統(tǒng)的安全。