入侵檢測(cè)在Windows下的設(shè)計(jì)與實(shí)現(xiàn)

王廣峰

摘要：計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)滲透到了社會(huì)的各個(gè)領(lǐng)域，人們?cè)谙硎芫W(wǎng)絡(luò)帶來(lái)的共享資源及信息交流方便快捷的同時(shí)，也不得不面對(duì)越來(lái)越多來(lái)自網(wǎng)絡(luò)的惡意攻擊，各種黑客攻擊技術(shù)在網(wǎng)上垂手可得，而且日新月異。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，從網(wǎng)絡(luò)安全立體縱深、多層次防御角度出發(fā)，通過(guò)檢測(cè)受保護(hù)系統(tǒng)的狀態(tài)和活動(dòng)，提出了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。IDS能較好的彌補(bǔ)防火墻存在的不足，能對(duì)非法侵入進(jìn)行跟蹤并做出響應(yīng)，適當(dāng)?shù)臅r(shí)候還可作為計(jì)算機(jī)取證的一種技術(shù)手段，擒獲非法入侵者。

【關(guān)鍵詞】入侵檢測(cè) 數(shù)據(jù)解析 概念敘述

1 入侵檢測(cè)的概念與發(fā)展

1.1 概念

對(duì)于入侵檢測(cè)的使用，人們總會(huì)問(wèn)這樣一個(gè)問(wèn)題：如果已經(jīng)安裝了防火墻，給操作系統(tǒng)打了補(bǔ)丁，并為安全設(shè)置了密碼，為什么還要檢測(cè)入侵呢？答案非常簡(jiǎn)單：因?yàn)槿肭謺?huì)不斷發(fā)生。舉個(gè)例子，就像人們有時(shí)候會(huì)忘記鎖上窗戶(hù)，人們有時(shí)也會(huì)忘記正確的升級(jí)防火墻規(guī)則設(shè)置即使在最高級(jí)別的保護(hù)措施下，計(jì)算機(jī)系統(tǒng)也不是百分之百的安全。

1.2 發(fā)展旅程

隨著存儲(chǔ)器價(jià)格的降低，審計(jì)日志轉(zhuǎn)移到網(wǎng)上且開(kāi)發(fā)出了分析相關(guān)數(shù)據(jù)的程序。然而，分析過(guò)程慢且需頻繁而密集計(jì)算，因此，入侵檢測(cè)程序往往是在系統(tǒng)用戶(hù)登錄量少的夜問(wèn)進(jìn)行。所以，大多數(shù)的入侵行為還是在發(fā)生后才被檢測(cè)到。

90年代早期，研究人員開(kāi)發(fā)出了實(shí)時(shí)入侵檢測(cè)系統(tǒng)，即對(duì)審計(jì)數(shù)據(jù)進(jìn)行實(shí)時(shí)評(píng)估。由于實(shí)現(xiàn)了實(shí)時(shí)反應(yīng)，且在一些情況下，可以預(yù)測(cè)攻擊，因此，這就使攻擊和試圖攻擊發(fā)生時(shí)即可被檢測(cè)到成為可能。

近年來(lái)，很多入侵檢測(cè)方而的努力都集中在一些開(kāi)發(fā)的產(chǎn)品上，這些產(chǎn)品將被用戶(hù)有效配置在廣大網(wǎng)絡(luò)中在計(jì)算機(jī)環(huán)境不斷持續(xù)變化和無(wú)數(shù)新攻擊技術(shù)不斷產(chǎn)生的情況下，要使安全方而也不斷升級(jí)是個(gè)非常困難任務(wù)。

2 程序概述

按照上述入侵檢測(cè)系統(tǒng)模型及各個(gè)模塊的功能，我們采用C語(yǔ)言順序結(jié)構(gòu)開(kāi)發(fā)了一款windows系統(tǒng)下的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。該程序基于微軟WinPcap驅(qū)動(dòng)編寫(xiě)，采用誤用入侵檢測(cè)方法，能檢測(cè)出以太網(wǎng)下其他主機(jī)對(duì)本主機(jī)的若干入侵行為。首先從檢測(cè)的網(wǎng)絡(luò)適配器接口抓取數(shù)據(jù)連路層數(shù)據(jù)包，過(guò)濾出需要處理的包，然后將過(guò)濾的數(shù)據(jù)包進(jìn)行剝離分析，得出要檢測(cè)的參數(shù)。最后將得出的參數(shù)與入侵行為的特征模式進(jìn)行匹配，檢測(cè)其是否為入侵?jǐn)?shù)據(jù)包。如果是入侵?jǐn)?shù)據(jù)包，就進(jìn)行告警并記錄入侵主機(jī)IP地址及入侵時(shí)問(wèn)。

由于采用誤用入侵檢測(cè)模式，所以該程序目前只能檢測(cè)出如下入侵行為：

（1） Synflood攻擊；

（2） Teardrop攻擊；

（3） Land攻擊：

（4） TCP UDP端口掃描。

入侵檢測(cè)程序中的數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)：

2.1 IPv4數(shù)據(jù)報(bào)頭部包含的信息

如圖1所示。

2.2 TCP數(shù)據(jù)報(bào)頭部包含的信息

如圖2所示。

2.3 UDP數(shù)據(jù)報(bào)頭部包含的信息

如圖3所示。

以上3個(gè)數(shù)據(jù)結(jié)構(gòu)用于在獲取的數(shù)據(jù)鏈路層幀中定位IP數(shù)據(jù)報(bào)、TCP數(shù)據(jù)報(bào)、UDP數(shù)據(jù)報(bào)首部及獲取需要檢測(cè)的參數(shù)。

2.4 四個(gè)字節(jié)的IP結(jié)構(gòu)

如圖4所示。

2.5 二維數(shù)組u_short port_atk[65536][2]；

二維數(shù)據(jù)u_short port_atk中，port_atk[m][o]用于存儲(chǔ)m端口接受到的Synflood攻擊數(shù)據(jù)報(bào)，port atk[m][1]用于識(shí)別m端口是否接受過(guò)數(shù)據(jù)報(bào)。存儲(chǔ)端口信息之所以采用二維數(shù)組，原因在于端口數(shù)是固定的且相對(duì)較少，采用數(shù)組可以根據(jù)維數(shù)直接定位端口進(jìn)行進(jìn)行操作，效率高。

3 結(jié)語(yǔ)

對(duì)于入侵檢測(cè)，還有很多熱點(diǎn)問(wèn)題亟待解決，譬如：如何減少入侵檢測(cè)的誤報(bào)警，如何提高入侵檢測(cè)的效率等。因此，還需要加大對(duì)入侵檢測(cè)的研究力度，進(jìn)一步加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的安全。

參考文獻(xiàn)

[1]蘇家洪.入侵檢測(cè)系統(tǒng)新技術(shù)介紹[J].中國(guó)新技術(shù)新產(chǎn)品，2012 （03）.

[2]王鵬，入侵檢測(cè)系統(tǒng)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的設(shè)計(jì)與應(yīng)用[J].無(wú)線互聯(lián)科技，2017 （12）.endprint