基于网络引擎入侵检测系统的研究与实现

作者：时间：2011-08-01 来源：网络收藏

2．3 检测举例
以下是网络引擎判断某个网络数据包是否是CGI攻击的一个示例，协议规范指出以太网络数据包中第13字节处包含了2个字节的第三层协议标识。本入侵 检测系统利用该知识开始第1步检测：跳过前面12个字节，读取13字节处的2字节协议标识：08。根据协议规范可以判断这个网络数据包是IP包。IP协议规定IP包的第24字节处有一个1字节的第四层协议标识。因此系统跳过的15到24字节直接读取第四层协议标识：06，这个数据包是TCP协议。TCP协议在第35字节处有一个2字节的应用层协议标识(端口号)。于是系统跳过第25到34字节直接读取第35字节的端口号：80。
该数据包是一个HTTP协议的数据包。HTTP协议规定第55字节是URL开始处，检测特征“GET／cgi—bin／．／phf”，因此对这个URL进行模式匹配。可以看出，利用协议分析可以减小模式匹配的计算量，提高匹配的精确度，减少误报率。

3 主机代理
基于主机的入侵检测要依赖于特定的操作系统和审计跟踪日志获取信息，此类系统的原始数据来源受到所依附具体操作系统平台的限制，系统的实现主要针对某种特定的系统平台，在环境适应性、可移植性方面问题较多。在获取高层信息以及实现一些特殊功能时，如针对系统资源情况的审计方面具有无法替代的作用。本文设计的入侵 检测系统应用于Windows操作系统。
3．1 数据来源
主机代理的数据来源不像网络引擎的数据来源那样单一，它可以在系统所能够访问的所有地方获得数据来分析。网安入侵检测系统主机代理的数据来源有：
1)系统和网络日志文件黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或己成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。
2)目录和文件中的不期望的改变网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括增加、删除、修改)，特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。
3)程序执行中的不期望行为网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程，以及与网络间其他进程的通讯。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方式操作。
3．2 代理结构
从以上可以看出，主机代理的数据来源比网络引擎复杂得多，由于数据源的不同，分析方法也各不一样。本系统的主机代理分为日志分析、文件检测、用户行为监测、主机网络接口检测。

4 结束语
本文设计的入侵检测系统使用了网络引擎来检测流经网络的数据包，一个网络引擎可以监视具有多台主机的整个网段，从路由器的基础设施到应用程序的访问，可以说网络引擎能够检测企业网络中所有组件所受到的攻击。不过网络引擎在下列情况下也有局限性：
1)快速网络随着网络速度的加快，有时候网络引擎的工作速度无法跟上网络数据传输的速度。
2)加密数据如果网络数据被加密的话，网络引擎即不能起作用，原因是它无法正确地“看到”网络数据。
3)交换网络在交换网络中，是不可能从一个中央位置处看见所有网络数据的。因为通常网络数据都是停留在交换的网段内部。而利用主机代理，就不受上述情况的限制。利用网络引擎和主机代理，将基于网络的入侵检测系统和基于主机的入侵检测系统结合起来，就构成了实现网络入侵检测的比较可靠的解决方案。