基于網絡引擎入侵檢測系統的研究與實現
加入技術交流群
2.3 檢測舉例
以下是網絡引擎判斷某個網絡數據包是否是CGI攻擊的一個示例,協議規范指出以太網絡數據包中第13字節處包含了2個字節的第三層協議標識。本入侵檢測系統利用該知識開始第1步檢測:跳過前面12個字節,讀取13字節處的2字節協議標識:08。根據協議規范可以判斷這個網絡數據包是IP包。IP協議規定IP包的第24字節處有一個1字節的第四層協議標識。因此系統跳過的15到24字節直接讀取第四層協議標識:06,這個數據包是TCP協議。TCP協議在第35字節處有一個2字節的應用層協議標識(端口號)。于是系統跳過第25到34字節直接讀取第35字節的端口號:80。
該數據包是一個HTTP協議的數據包。HTTP協議規定第55字節是URL開始處,檢測特征“GET/cgi—bin/./phf”,因此對這個URL進行模式匹配。可以看出,利用協議分析可以減小模式匹配的計算量,提高匹配的精確度,減少誤報率。
3 主機代理
基于主機的入侵檢測要依賴于特定的操作系統和審計跟蹤日志獲取信息,此類系統的原始數據來源受到所依附具體操作系統平臺的限制,系統的實現主要針對某種特定的系統平臺,在環境適應性、可移植性方面問題較多。在獲取高層信息以及實現一些特殊功能時,如針對系統資源情況的審計方面具有無法替代的作用。本文設計的入侵檢測系統應用于Windows操作系統。
3.1 數據來源
主機代理的數據來源不像網絡引擎的數據來源那樣單一,它可以在系統所能夠訪問的所有地方獲得數據來分析。網安入侵檢測系統主機代理的數據來源有:
1)系統和網絡日志文件 黑客經常在系統日志文件中留下他們的蹤跡,因此,充分利用系統和網絡日志文件信息是檢測入侵的必要條件。日志中包含發生在系統和網絡上的不尋常和不期望活動的證據,這些證據可以指出有人正在入侵或己成功入侵了系統。通過查看日志文件,能夠發現成功的入侵或入侵企圖,并很快地啟動相應的應急響應程序。日志文件中記錄了各種行為類型,每種類型又包含不同的信息,例如記錄“用戶活動”類型的日志,就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等內容。很顯然地,對用戶活動來講,不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。
2)目錄和文件中的不期望的改變 網絡環境中的文件系統包含很多軟件和數據文件,包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標。目錄和文件中的不期望的改變(包括增加、刪除、修改),特別是那些正常情況下限制訪問的,很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的系統上的文件,同時為了隱藏系統中他們的表現及活動痕跡,都會盡力去替換系統程序或修改系統日志文件。
3)程序執行中的不期望行為 網絡系統上的程序執行一般包括操作系統、網絡服務、用戶啟動的程序和特定目的的應用,例如數據庫服務器。每個在系統上執行的程序由一到多個進程來實現。每個進程執行在具有不同權限的環境中,這種環境控制著進程可訪問的系統資源、程序和數據文件等。一個進程的執行行為由它運行時執行的操作來表現,操作執行的方式不同,它利用的系統資源也就不同。操作包括計算、文件傳輸、設備和其它進程,以及與網絡間其他進程的通訊。一個進程出現了不期望的行為可能表明黑客正在入侵你的系統。黑客可能會將程序或服務的運行分解,從而導致它失敗,或者是以非用戶或管理員意圖的方式操作。
3.2 代理結構
從以上可以看出,主機代理的數據來源比網絡引擎復雜得多,由于數據源的不同,分析方法也各不一樣。本系統的主機代理分為日志分析、文件檢測、用戶行為監測、主機網絡接口檢測。
4 結束語
本文設計的入侵檢測系統使用了網絡引擎來檢測流經網絡的數據包,一個網絡引擎可以監視具有多臺主機的整個網段,從路由器的基礎設施到應用程序的訪問,可以說網絡引擎能夠檢測企業網絡中所有組件所受到的攻擊。不過網絡引擎在下列情況下也有局限性:
1)快速網絡 隨著網絡速度的加快,有時候網絡引擎的工作速度無法跟上網絡數據傳輸的速度。
2)加密數據 如果網絡數據被加密的話,網絡引擎即不能起作用,原因是它無法正確地“看到”網絡數據。
3)交換網絡 在交換網絡中,是不可能從一個中央位置處看見所有網絡數據的。因為通常網絡數據都是停留在交換的網段內部。而利用主機代理,就不受上述情況的限制。利用網絡引擎和主機代理,將基于網絡的入侵檢測系統和基于主機的入侵檢測系統結合起來,就構成了實現網絡入侵檢測的比較可靠的解決方案。本文引用地址:http://cqxgywz.com/article/155975.htm
c++相關文章:c++教程
評論