个人入侵检测系统的实现—计算机毕业设计(论文

个人入侵检测系统的实现—计算机毕业设计(论文内容摘要：

Peter Neumann研究出了一个实时入侵检测系统模型 — IDES (Intrusion Detection Expert Systems入侵检测专家系统 )，是第一个在一个应用中运用了统计和基于规则两种技术的系统，是入侵检测研究中最有影响的一个系统。 1989年，加州大学戴维斯分校的 Todd Heberlein写了一篇论文《 A Network Security Monitor》，该监控器用于捕获 TCP/IP分组，第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格 第 7 页 共 24 页 式的情况下监控异种主机，网络入侵检测从此诞生。 个人入侵检测系统 的定义 个人入侵检测系统（ PIDS），以网络数据包作为分析数据源，采用异常检测分析方法。 它只 分析处理与个人主机有关的 IP数据包，它保护的是个人主机系统。 系统研究 的 意 义 和方法 综上，当个人用户接入 Inter时，个人机的安全就将面临着攻击威胁。 因此，个人用户的重要数据、机密文件等需要安全保护。 静态的防御措施，如个人防火墙等，已不能满足个人用户的需求，个人用户需要一个更全面的个人安全防范体系。 如果把入侵检测技术应用到个人机的安全防范中，它将与个人防火墙一起为个人用户提供一个更安全的动态防范体系。 本文阐述的就是在 Windows下实现个人入侵检测系统 (PIDS)。 本系统采用基于网络的异常检测方法的 入侵检测技术，使用量化分析的方法来检测用户的行为。 在总结出的正常行为规律的基础上，检查入侵和滥用行为特征与其之间的差异，以此来判断是否有入侵行为。 2 个人入侵检测系统 的 设计 数据包 捕获 模块 网络入侵检测系统要分析的对象是网络中的数据包。 所以我们就需要对流经网络的数据包捕获并加以分析，这样才能得到实现入侵检测的功能。 对于不同的操作系统有许多不同的数据包捕获方法。 在本系统中，采用了 windows下的 Winpcap网络驱动开发包，它是 Windows平台下的一个免费、公共的网络驱动开发包。 开发 Winpcap这个项 目的目的在于为 Win32应用程序提供访问网络底层的能力。 它提供了以下的各项功能 : 捕获原始数据报，包括在共享网络上各主机发送 /接收的以及相互之间交换的数据报 在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉 在网络上发送原始的数据报 收集网络通信过程中的统计信息 Winpcap由三个模块构成 :NPF, ,。 前一个工作在内核层，后两个工作在用户层。 第一个模块是内核部分 NPF (Netgroup Packet Filter)，在Win95/98中它是一个 VXD（虚拟设备驱动程序文件）文件，在 WinNT/Win2020 第 8 页 共 24 页 下是一个 SYS文件。 它的主要功能是过滤数据包，并把这些数据包原封不动地传给 用户态模块。 当然也添加了一些系统特定的标志 (比如时间戳管理 )。 这个过程中包括了一些操作系统特有的代码。 第二个模 Win32平台下提供一个通用的公共的包驱动接口。 事实上，不同版本的 Windows平台在内核层模块和用户进程之间的接口不完全相同，。 提供了一套系统独立的 API，调用 Windows平台上而无需重新编译。 它可执行一些低层操作 :如：获得 网卡名字 ，动态装载驱动，得到比如机器的网络掩码、硬件冲突等一些系统特定的信息。 NPF都是系统相关的，在 Win95/98和 WinNT/2020等不同系统架构。 第三个模块 ，它提供了更高层、抽象的函数。 它包括了一些比如过滤器生成、用户级缓冲等其它的高层函数，增加了比如统计和包发送等更高级的特性。 因 此程序员能处理两种类型的 API:一套原始函数集，包含在 ，直接与内核层调用匹配。 另一套高层函数由 ，便于用户调用，功能更强大。 程序员能随意使用，但只能在受限的环境中直接使用 . 总的说来，。 、功能更加强大的函数调用。 Winpcap的具体结构图 2所示 : 图 2 Winpcap的具体结构 正如在 Windows 网络 体系 结 构中 所 阐释 的， Win32 网 络 架 构基 于NDIS(Network Drive Interface Specification网络驱动程序接口标准 )。 NDIS工作在Windows内核网络部分的最底层。 捕获进程核心必须工作在内核层，先于 协议栈 第 9 页 共 24 页 之前处理包。 BPF被网卡驱动程序直接调用，要求 NIC设备驱动程序遵从一些所谓的 “BPF(Berkeley Packet Filter)驱动规范 ”。 换句话说，它需要设备驱动可以直接调用 BPF Tap函数，能控制所有经过网卡的包 (发送或接收 )，能对过滤后的包进行复制。 当使用 Winpcap进行捕获时，这种方法明显不行。 因为 Windows与 BPF驱动规范有些不同 :Windows不允许为了增加捕获功能而改变操作系统和 NIC驱动。 因此， Winpcap把 Network Tap作为协议驱动放置在 NDIS结构的上方。 NDIS没有从 NPF中完全分离出底层，不能自动支持不同的介质类型，故需要以这种方式构建。 与 NDIS的交互使 NPF(NetGroup Packet Filter)比原始的 BPF更加复杂，BPF通过一条简单的回调函数与系统交 互。 在另一方面， NPF是协议栈的一部分，就同其它网络协议一样与操作系统交互。 然而， NPF获得了更好的执行效果，其Tap比 BPF还要运行得快。 同 BPF一样，当包静止时 NPF把过滤器放入 NIC驱动内存中。 另一个优化措施是 NPF的同步操作。 异步调用不支持，因此用户级存取经常被阻塞。 NPF不需要设置用户级访问缓冲队列，这使驱动运行得更快。 图 3显示了 NPF在 NDIS结构中的位置 ： 可以看出 Winpcap也是用的 NDIS，它将自己注册为一个协议处理驱动。 (在原代码的 driverentry里面能看到 )。 NPF是 Winpcap中的核心部分，它完成了大部分的工作 :将数据包发送到网络中并导出捕获的数据包，交由用户程序分析处理。 图 3 NDIS内 NPF Winpcap中 NPF的实现由于是以协议驱动程序的模式来实现的，虽然从性能上看来并不是最始数据的完全访问。 不同的 Windows系统有不同的 NDIS版本，NPF兼容 Win2K及其后续的 WinXP版本下的 NDIS5，也兼容其他 Windows平台下的 NDIS3版本。 NPF与操作系统之间的通信通常是异步的， NPF提供了一系列的回调函数供操作系统在需要时调用。 NPF提供了应用程序所有 I/O操作的回调函数，如 :open,close,read,write等。 第 10 页 共 24 页 NPF与 NDIS之间的通信也是异步的 .一些 事件如当数据包到达时是通过回调函数通知 NPF(这个例子中是 Packetes tapo)，并且， NPF与 NDIS和 NIC驱动之间的通信是非阻塞函数来实现的。 当 NPF调用 NDIS函数时，调用立即返回。 当处理完毕时， NDIS再调用一个特定的函数通知 调函数。 图 4显示了 NPF的基础结构及其在 Winpcap中的 工作模式。 图 4 NPF协议驱动 Winpcap中过滤进程由用户级部分开始。 它能接收一组用户定义的过滤规则(例如接收所有的 UDP数据包 )，把它编译成一套伪指令 （例如，如 果是 IP包且协议类型等这些指令等于 “True）， 把这些指令发送到内核层过滤器，最后激活代码。 内核层过滤器必须能够执行这些指令。 此外，它需要一个 “BPF虚拟机 ”来执行伪代码从而对所有到来的包进行操作。 这个 核心层和 BPF兼容的 过滤器 是 Winpcap获得良好性能 的关键。 NPF不同于 BPF的一个重要的结构差别就是选择了一个环形缓冲区作为核心缓冲区 .这有利于数据包快的复制。 但这种机制更难于管理。 因为复制的数据不再有固定的大小 (Libpcap中，用户缓冲区和核心缓冲区都是 32K)。 当数据从内核缓冲区传送到 用户缓冲区时，相同数量的包被复制到内核缓冲区中。 它们是同步更新的，而不是在之后。 由于内核部分较之缓冲区传送有更高的优先级， 能独占 CPU时， 故复制过程 (从用户层开始 )能释放掉缓冲区已传送的部分。 环形缓冲区允许所有的容量来存放数据包，前面谈到的一对BPF交换缓冲区只能用一半的容量。 整个缓冲区可以用一条简单的 Read() 指令读取，肯定减少了系统调用和在用户、内核模式之间上下文切换的次数。 因为一次上下文切换需要保护现场 (仅 CPU描述符和任务状态段的开销就接近数百个字 第 11 页 共 24 页 节 )，大批的传送会减少进程的开销。 但是一个太大的 用户缓冲区不会带来任何好处。 当可分配内存太 大时，上下文切换的开销反而可忽略不计了。 Winpcap的核心缓冲区比 BPF的大，通常为 1M。 一个小缓冲区会影响捕获进程。 尤其在一段时间里应用进程读取数据的速度不如捕获进程，而且数据要被传送到磁盘，网络流量在激增。 内核缓冲区和用户缓冲区都能在运行时间里改变。 数据解析模块 在本模块的设计中，主要涉及了三方面的知识 :windows网络体系结构、TCP/IP协议，数据的封装和分用过程。 TCP/IP 参考模型与 ISO(International Standards Organization) 的 OSI(Open Systems Interconnection Reference Model)参考模型相比，要简单实用得多，也是目前广泛使用的网络参考模型。 在 TCP/IP参考模型中没有明确的数据链路层和物理层，而是将它们合为较为抽象的 “网络设备互连 ”作为硬件基础，随主机和网络的不同而不同。 这种模型的应用范围较广，既可用于广域网 .也可用于局域网。 TCP/IP协议族，有很多协议。 当应用程序用 TCP传送数据是，数据被送入协议栈中，然后逐个通过每一层直到被当作一串比特流送入网络。 然后逐个通 过每一层直到被当作一串比特流送入网络。 其中每一层对收到的数据都要增加一些首部信息（有时还要增加尾部信息）。 TCP传给 IP的数据单元称作 TCP报文段或简称为 TCP段（ TCP segment）。 IP传给网络接口层的数据单元称作 IP数据报。 通过以太网传输的比特流称作帧(Frame)。 这就是通常说的数据的封装过程。 当目的主机收到一个以太网数据帧时，数据就开始 从协议栈中由底向上升，同时去掉各层协议加上的报文首部。 每层协议盒都要去检查报文首部中的协议标识，以确定接收数据的上层协议。 这个过程称作分用（ Demultiplexing）。 IP是 TCP/IP协议族中最为核心的协议。 所有的 TCP、 UDP、 ICMP及 IGMP数据都以 IP数据报格式传输。 IP提供不可靠、无连接的数据报传送服务。 IP各域的含义如下： 版本 :当前 IP协议的版本号，本论文采用的版本号为 4； 首部长度 :以 32bit为单位的包头长度； 服务类型 :规定对本数据报的处理方式，比如优先权等； 总长 :以 Byte为单位的整个 IP数据报长度； 标识 :信源主机赋予每个 IP数据报的唯一标识符号，用于控制分片及其重组； 标志和片偏移 :同样用于控制分片及其重组； 生存时间 :设 置本数据报的最大生存时间，以秒为单位； 第 12 页 共 24 页 协议 :表示创建本 IP数据报数据区数据的高层协议的类型，如 TCP,UDP等； 头标校验和 :用于保证头标数据的完整性； 源 IP地址和目的 IP地址 : 分别指发送本数据报的主机 IP地址和接受本数据报的主机的 IP地址； 选项 :用于控制和测试，是 IP数据报中可选的部分，包含 “源路径 ”、 “路径记录 ”、 “时间戳 ”等几种类型。 TCP协议是网络中应用最为广泛的协议，许多的应用层协议都是在建立在TCP协议之上的。 TCP协议头部信息如下： 源端口 :发送端 TCP端口号； 目的端口 :接收端 TCP端口号； 序号 :指出段中数据在发送端数据流中的位置； 确认号 :指出本机希望下一个接收的字节的序号； 头标长度 :以 32bit为单位的段头标长度，针对变长的 “选项 ”域设计的； 码位 :指出段的目的与内容，不同的各码位置位有不同的含义； 窗口 :用于通告接收端接收缓冲区的大小； 校验和 :这是可选域，置 0表示未选，全 1表示校验和为伍； 紧急指针 :当码位的 URG置位时，指出紧急指针的序号； UDP协议是英文 User Datagram Protocol的缩写，即用户数据报协议，主要用来支持那些需要在计算机之间传输数据的 网络应用。 包括网络视频会议系统在内的众多的客户 /服务器模式的网络应用都需要使用 UDP协议。 UDP协议从问世至今已经被使用了很多年，虽然其最初的光彩已经被一些类似协议所掩盖，但是即使是在今天， UDP仍然不失为一项非常实用和可行的网络传输层协议。 UDP数据报各域的意义与 TCP段中相应的域相同。 只有校验和有些不同，除 UDP数据报本身外，它还覆盖一个附加的 “伪头标 ”。 这个伪头标来自于 IP报头，包括 :源 IP地址、信宿 IP地址、协议类型、 UDP长度及填充域。 数据分析模块 本系统采用异常检测。