論文題目計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)初探目錄摘要……………………I第一章緒論……………………11.1研究的目的和意義…………11.2我國計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)的現(xiàn)狀……1第二章網(wǎng)絡(luò)入侵系統(tǒng)工作步驟和原理………12.1收集信息……………22.2分析信息……………………22.3保存信息…………22.4響應(yīng)惡意攻擊.…………2第三章常見的網(wǎng)絡(luò)攻擊方式…………23.1流量攻擊……………………...33.2獲取賬號(hào)密碼和口令……………..33.3惡意小程序………..…………43.4特洛伊木馬植入…………………43.5WWW的欺騙技術(shù)………………..43.6電子郵件攻擊…………………53.7網(wǎng)絡(luò)監(jiān)聽53.8尋找系統(tǒng)漏洞5第四章NIDS的設(shè)計(jì)與實(shí)現(xiàn)…………….64.1設(shè)計(jì)目標(biāo)……….64.2系統(tǒng)的總體結(jié)構(gòu)…………………64.3各個(gè)模塊的功能及設(shè)計(jì)實(shí)現(xiàn)………74.3.1網(wǎng)絡(luò)數(shù)據(jù)收集及檢測引擎………74.3.2攻擊模式庫……………………94.3.3報(bào)警及響應(yīng)………………….94.3.4信息發(fā)布…………………….10五結(jié)語…………12參考文獻(xiàn)………13致謝……………14PAGEI摘要計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)是計(jì)算機(jī)預(yù)防外來惡意或無意入侵的一種最新監(jiān)測系統(tǒng)，它的特點(diǎn)是實(shí)時(shí)檢測并及時(shí)阻止入侵,一旦發(fā)現(xiàn)入侵者立馬做出相應(yīng)的響應(yīng),并及時(shí)的發(fā)送相關(guān)入侵信息給機(jī)主，當(dāng)然也可以對(duì)機(jī)主的不當(dāng)操作及時(shí)糾正。本論文從關(guān)鍵技術(shù)和基本理論出發(fā)，以當(dāng)前的計(jì)算機(jī)安全現(xiàn)狀為突破口，以關(guān)鍵理論為主線，詳細(xì)分析了Winpcap中數(shù)據(jù)包過濾和捕獲的結(jié)構(gòu)，Windows的網(wǎng)絡(luò)體系結(jié)構(gòu)，最后在Winpcap系統(tǒng)環(huán)境下實(shí)現(xiàn)本系統(tǒng)的設(shè)計(jì)。網(wǎng)絡(luò)入侵的直接危害是破壞計(jì)算機(jī)內(nèi)部系統(tǒng)。例如，非法操作者通過一系列違規(guī)操作，可以完全控制計(jì)算機(jī)，盜取我們的重要數(shù)據(jù)，甚至破壞其他的子電腦，達(dá)到他們的目的。本來無權(quán)訪問的文件或數(shù)據(jù)，由于強(qiáng)行破解就破壞了系統(tǒng)的機(jī)密性;操作者如果修改電腦原有設(shè)置，修改數(shù)據(jù)，就能進(jìn)一步破壞電腦的完整性；;攻擊者將大量的數(shù)據(jù)不斷的沖擊操作系統(tǒng)，引起系統(tǒng)的過度反應(yīng)，占用大量的內(nèi)部資源，極易對(duì)計(jì)算機(jī)造成不可估量的損失，系統(tǒng)的可用性就遭到破壞。入侵者的企圖不同，對(duì)系統(tǒng)安全特性的破壞也就不同，但不管是破壞了哪一個(gè)特性，都會(huì)對(duì)系統(tǒng)和網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重威脅。此次選擇的入侵檢測系統(tǒng)是異常檢測，通過設(shè)計(jì)的程序截取實(shí)時(shí)數(shù)據(jù)包，通過不斷的分析提取概述性事件信息，傳遞到預(yù)先設(shè)置的檢測模塊，采用量化分析的方式對(duì)截取的信息進(jìn)行分析。本文先從入侵檢測的現(xiàn)狀出發(fā)，分析入侵檢測技術(shù)的工作步驟和原理，通過常見的網(wǎng)絡(luò)攻擊方式實(shí)現(xiàn)NIDS的設(shè)計(jì)與實(shí)現(xiàn)。關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)安全，入侵檢測，WinpcapPAGE4第一章緒論1.1研究的目的和意義隨著我國的社會(huì)發(fā)展，網(wǎng)絡(luò)得到了極大地普及。特別是我國，更加依賴于互聯(lián)網(wǎng)，甚至有人說中國已經(jīng)進(jìn)入“無紙化”，只要一部手機(jī)就能生存。通過這句話也能體現(xiàn)出我國對(duì)于網(wǎng)絡(luò)的依賴性。與網(wǎng)絡(luò)相關(guān)的產(chǎn)業(yè)也不斷地豐富，前幾年不被看好的電子商務(wù)、網(wǎng)絡(luò)銀行以及各種網(wǎng)絡(luò)建設(shè)，已經(jīng)成為各界爭搶的新風(fēng)口。那么網(wǎng)絡(luò)如此便捷，每天傳輸龐大數(shù)量的信息，比如我們的個(gè)人信息，聊天記錄都包含在其中，那么它一定是安全的嗎？答案是否定的。在我們的生活中，有一類專門研究破壞或惡意攻擊計(jì)算機(jī)系統(tǒng)，竊取和篡改重要數(shù)據(jù)，讓我們的計(jì)算機(jī)陷入癱瘓，這些都直接影響著我們的隱私安全和社會(huì)安慰，如今如何加強(qiáng)計(jì)算機(jī)安全已成為許多國家研究的重要課題之一。在我們生活中，如果我們有失誤操作計(jì)算機(jī)都有提醒，其實(shí)這就是一個(gè)計(jì)算機(jī)的自我保護(hù)程序，防止破壞內(nèi)部重要系統(tǒng)文件。另外，每臺(tái)計(jì)算機(jī)都有防火墻，它能有效的阻擋大部分的惡意攻擊。但面對(duì)黑客的惡意攻擊往往捉襟見肘，因此計(jì)算機(jī)網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)應(yīng)運(yùn)而生。1.2我國計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)的現(xiàn)狀80年代初期，計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測技術(shù)就是在每一臺(tái)主機(jī)上運(yùn)行一個(gè)或多個(gè)程序，從而達(dá)到入侵檢測的目的。將整個(gè)監(jiān)測系統(tǒng)做簡化，著重于客戶群體為系統(tǒng)局部范圍的用戶。漸漸的發(fā)展，檢測技術(shù)已經(jīng)比較成熟，并且形成了實(shí)用產(chǎn)品。入侵檢測系統(tǒng)首先分析是否具有己知的攻擊模式或是否會(huì)引起網(wǎng)絡(luò)系統(tǒng)異常并，利用連接在網(wǎng)絡(luò)上的站點(diǎn)對(duì)信息進(jìn)行捕獲，以此來判斷是否為入侵者。如今，市面上應(yīng)用最多的網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)是基于路由器，網(wǎng)絡(luò)環(huán)境為設(shè)計(jì)環(huán)境，主機(jī)為主體進(jìn)行設(shè)計(jì)，弊端是設(shè)計(jì)費(fèi)用高，另外高寬帶網(wǎng)絡(luò)、加密傳輸、交換式網(wǎng)絡(luò)的發(fā)展都對(duì)研發(fā)造成了極大的限制。網(wǎng)絡(luò)入侵系統(tǒng)工作步驟和原理2.1收集信息檢測的第一步就是對(duì)信息按照預(yù)設(shè)的程序?qū)Ａ康男畔?，在關(guān)鍵點(diǎn)上進(jìn)行識(shí)別和處理，識(shí)別惡意的入侵病毒的代碼。雖然它的工作量較大,但是能夠比較有效的找到入侵信息，能夠保證計(jì)算機(jī)系統(tǒng)和信息的安全,從而為用戶提供更好的使用環(huán)境。

2.2分析信息對(duì)破壞信息分析是入侵檢測系統(tǒng)最基本的功能之一。當(dāng)入侵系統(tǒng)對(duì)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)以及用戶信息搜集完畢之后，會(huì)對(duì)搜集到的信息進(jìn)行分析和處理,類似于我們的大腦。無害的信息反饋給主機(jī)輸出，有害或者可疑的信息及時(shí)的阻止。但在系統(tǒng)檢測之前，需要工作人員事先對(duì)正常信息檢測進(jìn)行編碼,當(dāng)入侵系統(tǒng)檢測到與正常信息編碼不一致的信息，能夠及時(shí)發(fā)出警示和提醒，并作出相應(yīng)的防護(hù)措施。2.3保存信息入侵系統(tǒng)在檢測到入侵信息之后,立馬將這些入侵信息進(jìn)行保存，然后對(duì)入侵信息進(jìn)行及時(shí)處理,并構(gòu)建數(shù)據(jù)庫。這樣既方便將保存的入侵信息作為入侵證據(jù)，構(gòu)建數(shù)據(jù)庫，又方便管理人員進(jìn)行實(shí)時(shí)查看。當(dāng)然將這些信息進(jìn)行保存還方便以后建立新型防護(hù)措施，更新數(shù)據(jù)庫。2.4響應(yīng)惡意攻擊系統(tǒng)在發(fā)現(xiàn)入侵信息之后，利用設(shè)置的程序進(jìn)行分析和保存,及時(shí)響應(yīng)。處理的方式有自動(dòng)和手動(dòng)兩種。自動(dòng)響應(yīng)是指通過入侵檢測系統(tǒng)的后續(xù)防御系統(tǒng)對(duì)外來攻擊信息作出處理措施。手動(dòng)響應(yīng)是指計(jì)算機(jī)系統(tǒng)在檢測到入侵信息之后通過指定的方式，比如發(fā)出入侵警報(bào)向相關(guān)工作人員報(bào)告工作狀態(tài),管理人員根據(jù)反饋結(jié)果采取一定措施。第三章常見的網(wǎng)絡(luò)攻擊方式TCP/IP的開放性是引起一切安全問題的源頭。它的設(shè)計(jì)之初目的是為了使計(jì)算機(jī)能夠克服地域和各種計(jì)算機(jī)硬件、軟件能夠相互兼容，達(dá)到相互通信的目的，做到世界上所有的資源共享。但是安全漏洞也挺多，主要因素是：服務(wù)器種類多，網(wǎng)絡(luò)協(xié)議數(shù)據(jù)保密度較低；主機(jī)間的信任關(guān)系主要依賴于源地址，比較容易被篡改；網(wǎng)絡(luò)控制和路由協(xié)議認(rèn)證弱，易被篡改。3.1

流量攻擊在我們平常的工作中，網(wǎng)絡(luò)傳輸和下載的速度足夠用。但是有經(jīng)驗(yàn)的入侵者，通過簡單的程序或手段完全可以調(diào)動(dòng)大量的寬帶資源，瞬間導(dǎo)致網(wǎng)絡(luò)癱瘓，使服務(wù)器無法被訪問，甚至與其相關(guān)聯(lián)的其他服務(wù)器也會(huì)遭到牽連，最嚴(yán)重的可以使某個(gè)區(qū)域的電腦直接報(bào)廢。產(chǎn)生不可估量的損失。當(dāng)然知道了攻擊手段，我們也有相應(yīng)的應(yīng)對(duì)方式：防御方式一：一旦確定是流量攻擊，網(wǎng)絡(luò)服務(wù)商往往會(huì)采用“消失”的應(yīng)對(duì)措施。簡單說就是關(guān)閉附近的路由，將網(wǎng)絡(luò)地址抹除，這樣攻擊者就會(huì)瞬間喪失目標(biāo)，攻擊自然就解除了。缺點(diǎn)是宣告消失可不要認(rèn)為是關(guān)閉服務(wù)器等簡單操作，而是需要通過路由宣告，要從源頭給抹除痕跡，因此很多小服務(wù)商自己是做不到這一點(diǎn)的。

防御方式二：從流量攻擊的原理出發(fā)，為了應(yīng)對(duì)上百G的網(wǎng)絡(luò)攻擊，那就是增加輸出總帶寬出口，從根上解決流量攻擊的問題。但是如此大的總寬帶出口，會(huì)一直處于開放狀態(tài)，開發(fā)和維護(hù)成本花費(fèi)的金錢不是一個(gè)小數(shù)，購買如此巨大的寬帶資源成本也相當(dāng)高。因此它試用的環(huán)境主要是研發(fā)部門或者是大型的上市公司。需要注意的是，很多服務(wù)商宣稱的防御能力和實(shí)際是不符的。一旦無法承受攻擊，還會(huì)采取第一種方式。

防御方式三：近源壓制，此類方式可以說是最好的方式。比如國內(nèi)的電信，聯(lián)通或者是阿里巴巴和騰訊，他們都是擁有自主研發(fā)的中國網(wǎng)絡(luò)巨頭，設(shè)計(jì)的系統(tǒng)往往都有大數(shù)據(jù)分析能力，一旦發(fā)現(xiàn)流量異常，系統(tǒng)就會(huì)立馬做出相應(yīng)的反映，查找來源，判斷攻擊方式，就近攔截攻擊源，將危險(xiǎn)扼殺于搖籃之中。3.2獲取賬號(hào)密碼和口令這種入侵方式技術(shù)含量非常高，先利用程序抓數(shù)據(jù)包和監(jiān)視數(shù)據(jù)流，分析口令和數(shù)據(jù)內(nèi)容，進(jìn)而分析出賬號(hào)和密碼。這又有三種方法：一是通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令，這類方法有一定的局限性，但危害性極大，監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶賬號(hào)和口令，對(duì)局域網(wǎng)安全威脅巨大；二是在知道用戶的賬號(hào)后（如電子郵件@前面的部分）利用一些專門軟件強(qiáng)行破解用戶口令，這種方法不受網(wǎng)段限制，但黑客要有足夠的耐心和時(shí)間；三是在獲得一個(gè)服務(wù)器上的用戶口令文件（此文件成為Shadow文件）后，用暴力破解程序破解用戶口令，該方法的使用前提是黑客獲得口令的Shadow文件。此方法在所有方法中危害最大，因?yàn)樗恍枰竦诙N方法那樣一遍又一遍地嘗試登錄服務(wù)器，而是在本地將加密后的口令與Shadow文件中的口令相比較就能非常容易地破獲用戶密碼，尤其對(duì)那些弱智用戶(指口令安全系數(shù)極低的用戶，如某用戶賬號(hào)為zys，其口令就是zys666、666666、或干脆就是zys等)更是在短短的一兩分鐘內(nèi)，甚至幾十秒內(nèi)就可以將其干掉。3.3惡意小程序這類攻擊的方式主要存在我們使用的程序上面，它們可以通過入侵修改硬盤上的文件、竊取口令等，不間斷的發(fā)送惡意的信息侵蝕我們的主機(jī)，導(dǎo)致垃圾信息過多系統(tǒng)卡頓。甚至將木馬植入到主機(jī)中，竊取重要信息，導(dǎo)致系統(tǒng)崩潰。3.4計(jì)算機(jī)木馬程序植入這種攻擊方式主要是通過向服務(wù)器植入木馬，開啟后面，獲取服務(wù)器的控制權(quán)，惡意破壞服務(wù)器文件或盜取服務(wù)器數(shù)據(jù)，這類的危害都是比較大的。比如之前2007年出現(xiàn)的“熊貓燒香”病毒，李俊為了炫技開發(fā)出的一種電腦病毒，導(dǎo)致上百萬臺(tái)電腦直接崩潰，造成不可估量的損失。計(jì)算機(jī)木馬程序可以直接侵入用戶的電腦并進(jìn)行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后，它們就會(huì)象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中，并在自己的計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)可以在Windows啟動(dòng)時(shí)悄悄執(zhí)行的程序。當(dāng)您連接到因特網(wǎng)上時(shí)，這個(gè)程序就會(huì)通知黑客，來報(bào)告您的IP地址以及預(yù)先設(shè)定的端口。黑客在收到這些信息后，再利用這個(gè)潛伏在其中的程序，就可以任意地修改您的計(jì)算機(jī)的參數(shù)設(shè)定、復(fù)制文件、窺視你整個(gè)硬盤中的內(nèi)容等，從而達(dá)到控制你的計(jì)算機(jī)的目的。利用各種特洛伊木馬程序、后門程序和黑客自己編寫的導(dǎo)致緩沖區(qū)溢出的程序進(jìn)行攻擊，前者可使黑客非法獲得對(duì)用戶機(jī)器的完全控制權(quán)，后者可使黑客獲得超級(jí)用戶的權(quán)限，從而擁有對(duì)整個(gè)網(wǎng)絡(luò)的絕對(duì)控制權(quán)。這種攻擊手段，一旦奏效，危害性極大。3.5WWW的欺騙技術(shù)當(dāng)用戶在平常的生活中利用瀏覽器上網(wǎng)，查閱學(xué)習(xí)資料，新聞等時(shí)，其實(shí)很多的隱藏危害就隱藏在其中。因?yàn)橛械木W(wǎng)頁是虛假的，里面存在的鏈接是黑客指定的有害鏈接。例如黑客將用戶要瀏覽的網(wǎng)頁的URL改寫為指向黑客自己的服務(wù)器，當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁的時(shí)候，實(shí)際上是向黑客服務(wù)器發(fā)出請(qǐng)求，那么黑客就可以達(dá)到欺騙的目的了。而我們還在不知不覺，其實(shí)我們的主機(jī)已經(jīng)成為別人的根據(jù)地，已經(jīng)在竊取其他相連主機(jī)的重要資料了。他們可以使用網(wǎng)絡(luò)監(jiān)聽方法，嘗試攻破同一網(wǎng)絡(luò)內(nèi)的其他主機(jī)；也可以通過IP欺騙和主機(jī)信任關(guān)系，攻擊其他主機(jī)。這類攻擊很狡猾，但由于某些技術(shù)很難掌握，如IP欺騙，因此較少被黑客使用。3.6電子郵件攻擊一是電子郵件欺騙，攻假冒自己為郵件地址或者系統(tǒng)管理員，給用戶發(fā)送郵件要求用戶修改指定字符串或假冒網(wǎng)絡(luò)管理員，假借定期免費(fèi)給用戶升級(jí)防火墻的過程中安裝木馬，這類欺騙只要用戶提高警惕，一般危害性不是太大。另一種是“電子郵件轟炸”，類似于之前的電話轟炸，在指定的時(shí)間短時(shí)間內(nèi)，利用預(yù)設(shè)的程序假冒IP地址在用戶的郵箱里發(fā)送數(shù)以萬計(jì)的垃圾郵件，使用戶的郵箱直接“爆炸”，一般都是處于騷擾和威脅達(dá)到不可告人的目的，嚴(yán)重的可能會(huì)給郵箱服務(wù)器操作系統(tǒng)帶來不可磨滅的危害，甚至癱瘓。3.7網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔ⅲ还苓@些信息的發(fā)送方和接受方是誰。此時(shí)，如果兩臺(tái)主機(jī)進(jìn)行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具，例如NetXrayforwindows95/98/nt，sniffitforlinux、solaries等就可以輕而易舉地截取包括口令和帳號(hào)在內(nèi)的信息資料。雖然網(wǎng)絡(luò)監(jiān)聽獲得的用戶帳號(hào)和口令具有一定的局限性，但監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶帳號(hào)及口令。3.8尋找系統(tǒng)漏洞首先一些漏洞是由于系統(tǒng)管理員配置錯(cuò)誤引起的，如在網(wǎng)絡(luò)文件系統(tǒng)中，將目錄和文件以可寫的方式調(diào)出，將未加Shadow的用戶密碼文件以明碼方式存放在某一目錄下，這都會(huì)給黑客帶來可乘之機(jī)，應(yīng)及時(shí)加以修正。還有許多系統(tǒng)本身就有這樣那樣的Bugs，其中某些是操作系統(tǒng)或應(yīng)用軟件本身具有的，除非你將網(wǎng)線拔了，否則很難預(yù)防黑客的攻擊，如Sendmail漏洞，win98中的共享目錄密碼驗(yàn)證漏洞和IE5漏洞。第四章NIDS的設(shè)計(jì)與實(shí)現(xiàn)4.1設(shè)計(jì)目標(biāo)本論文的網(wǎng)絡(luò)入侵檢測系統(tǒng)系統(tǒng)采用誤用檢測技術(shù)。與普通檢測技術(shù)的入侵檢測系統(tǒng)相比，所有的入侵模式都要用戶自己設(shè)置，該系統(tǒng)內(nèi)部并沒有設(shè)置復(fù)雜的特征庫，依據(jù)這些模式對(duì)入侵行為進(jìn)行攔截或放行。下面是該系統(tǒng)的缺點(diǎn)和優(yōu)點(diǎn):缺點(diǎn):此技術(shù)對(duì)用戶而言比較復(fù)雜，它采用時(shí)候檢測技術(shù),所有模式都要由用戶自己設(shè)置，即用戶必須先要了解入侵行為的特征才能設(shè)置自己的特征庫。優(yōu)點(diǎn)：系統(tǒng)具有更強(qiáng)的靈活性。與普通采用誤用檢測技術(shù)的系統(tǒng)相比，由于用戶可以自已設(shè)置入侵模式，當(dāng)出現(xiàn)新的入侵模式時(shí)，用戶可以隨時(shí)將新的攻擊模式添加進(jìn)去，從而更新原來的特征庫。

4.2系統(tǒng)的總體結(jié)構(gòu)

本系統(tǒng)從功能上分為如下幾部分:報(bào)警及響應(yīng)、網(wǎng)絡(luò)數(shù)據(jù)收集及檢測引擎、攻擊模式庫、信息發(fā)布。如圖4.1所示計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)信息發(fā)布報(bào)警及響應(yīng)攻擊模式庫網(wǎng)絡(luò)數(shù)據(jù)收集及檢測引擎信息發(fā)布報(bào)警及響應(yīng)攻擊模式庫網(wǎng)絡(luò)數(shù)據(jù)收集及檢測引擎圖4.1計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)簡圖

4.3各個(gè)模塊的功能及設(shè)計(jì)實(shí)現(xiàn)

4.3.1網(wǎng)絡(luò)數(shù)據(jù)收集及檢測引擎

本部分采用應(yīng)用層截包的方式工作，先是在驅(qū)動(dòng)程序中截包，將數(shù)據(jù)放到應(yīng)用層處理。當(dāng)然，這里面涉及的專業(yè)知識(shí)復(fù)雜，這方面的人才要求也比較苛刻，開發(fā)周期長等等需要克服的難關(guān)。另外，現(xiàn)實(shí)中由于網(wǎng)絡(luò)環(huán)境的不同，臺(tái)式機(jī)的網(wǎng)絡(luò)負(fù)載小，所以在應(yīng)用層開發(fā)入侵系統(tǒng)難度就降低了不止一個(gè)檔次。

利用驅(qū)動(dòng)程序攔截網(wǎng)絡(luò)數(shù)據(jù)包的方式有NDIS中間層驅(qū)動(dòng)程序(NDIS

Intermediate

Driver

)2.Win2k

Filter-Hook

Driver

3.TDI

過濾驅(qū)動(dòng)程序(TDI

Filter

Driver

)

本系統(tǒng)采用Win2k

Filter-Hook

Driver攔截?cái)?shù)據(jù)包。

在win2000DDK中，微軟包含一個(gè)新的命名為Filter-Hook

Driver的網(wǎng)絡(luò)驅(qū)動(dòng)程序。它的特點(diǎn)就是能夠注冊自己的IP數(shù)據(jù)，當(dāng)有流量經(jīng)過時(shí)，它會(huì)通過自己設(shè)置的函數(shù)過濾里面的信息，從而起到保護(hù)的作用。所注冊的過濾鉤子是用PacketFilterExtensionPtr數(shù)據(jù)類型定義的。

下面是他的定義。

typedef

PF

FORWARD

ACTION

(*PacketFilterExtensionPtr)(

unsigned

char

*PacketHeader,

unsigned

char

*Packet,

unsigned

intPacketLength,

unsigned

intRecvInterfaceIndex,

wwo.

Prutin.

con

unsigned

int

SendInterfaceIndex,

IPAddr

RecvLinkNextHop,

...

IPAddr

SendLinkNextHop};

這就是過濾鉤子的回調(diào)函數(shù)。

在本系統(tǒng)中定義了開始過濾規(guī)則、添加過濾規(guī)則、清除過濾規(guī)則、停止過濾規(guī)則四種設(shè)備控制代碼。

SCM管理器本程序通過SCM管理器創(chuàng)建或打開服務(wù)。

1.打開OpenSCManager打開SCM管理器2.通過CreateService啟動(dòng)IP過濾驅(qū)動(dòng)。

3.啟動(dòng)IP過濾鉤子驅(qū)動(dòng)

首先通過StartService函數(shù)啟動(dòng)服務(wù),然后通過CreateFile函數(shù)打開到驅(qū)動(dòng)程序所控制設(shè)備的句柄。

最后要通過下面這個(gè)函數(shù)向驅(qū)動(dòng)程序發(fā)送控制代碼:

B0OL

Device

IoControl

(

HANDLE

hDevice,

DWORD

dwIoControlCode,

LPV0ID

IpInBuffer,

DWORD

nInBufferSize,

LPVOID

lpOutBuffer,

DWORD

n0utBufferSize,

LPDWORD

IpBytesReturned,

LPOVERLAPPED

IpOverlapped)

;

V其中第二個(gè)參數(shù)表示要發(fā)送的設(shè)備控制碼。該模塊的流程圖如下:創(chuàng)建過濾鉤子回調(diào)函數(shù)創(chuàng)建過濾鉤子回調(diào)函數(shù)通過控制碼注冊鉤子回調(diào)函數(shù)通過控制碼注冊鉤子回調(diào)函數(shù)SCM啟動(dòng)鉤子驅(qū)動(dòng)SCM啟動(dòng)鉤子驅(qū)動(dòng)向驅(qū)動(dòng)程序發(fā)送控制代碼向驅(qū)動(dòng)程序發(fā)送控制代碼驅(qū)動(dòng)程序截獲數(shù)據(jù)包并按規(guī)則對(duì)其作出裁決驅(qū)動(dòng)程序截獲數(shù)據(jù)包并按規(guī)則對(duì)其作出裁決圖2網(wǎng)絡(luò)數(shù)據(jù)收集及檢測引擎其中驅(qū)動(dòng)程序收到上層發(fā)過來的控制代碼后即按照注冊的鉤子函數(shù)進(jìn)行入侵檢測。

4.3.2攻擊模式庫該部分由用戶自己設(shè)置，界面如下：針對(duì)特定的攻擊，首先設(shè)置攻擊的目標(biāo)IP端口數(shù)據(jù)，源IP端口數(shù)據(jù)以及子網(wǎng)掩碼的數(shù)據(jù)，然后將協(xié)議類型改成要攔截或放行的。

每次設(shè)置相當(dāng)于增加一個(gè)條件，目標(biāo)復(fù)雜的話可以設(shè)置多個(gè)條件,這些條件共同構(gòu)成攻擊模式庫。設(shè)置完攻擊模式庫后，點(diǎn)擊install

rule實(shí)現(xiàn)庫的安裝。安裝方式如下：首先在CMainFrame類的0nRulesAdd

()函數(shù)接收用戶輸入，并把設(shè)置的規(guī)則添加到文檔類里面的的m_rules數(shù)組里面，點(diǎn)擊install

rule后先把設(shè)置信息通過如下語句:

CIPFilter

pf;

memcpy

(&pf，&(pDoc->m_rules[i])，sizeof(CIPFilter));;添加到pf里面，然后通過m_pFilterDrv->IoControl(ADD_FILTER,&pf，ssizeof(pf)，NULL，0);發(fā)送設(shè)備控制代碼通知驅(qū)動(dòng)程序啟動(dòng)鉤子,讓驅(qū)動(dòng)程序按照設(shè)置的規(guī)則對(duì)數(shù)據(jù)包進(jìn)行處理。

4.3.3報(bào)警及響應(yīng)

點(diǎn)擊start按鈕后，應(yīng)用程序會(huì)向驅(qū)動(dòng)程序發(fā)送名為START_IP_H0OK的程序代碼，然后驅(qū)動(dòng)程序開始過濾。

當(dāng)驅(qū)動(dòng)程序檢測到網(wǎng)絡(luò)攻擊后，會(huì)通過語句

MessageBox(Attck[ProName],NULL,MB_YESNOCANCEL)

;

實(shí)現(xiàn)報(bào)警，如果檢測到ICMP攻擊會(huì)彈出如下對(duì)話框:

單擊0K后，驅(qū)動(dòng)程序會(huì)攔截此攻擊。

4.3.4信息發(fā)布

驅(qū)動(dòng)程序會(huì)按照用戶的設(shè)置對(duì)攔截的數(shù)據(jù)包進(jìn)行處理，在報(bào)警及響應(yīng)過程完畢后，點(diǎn)擊菜單項(xiàng)的ShowReport選項(xiàng)，會(huì)對(duì)遭受的攻擊及處理的結(jié)果作出響應(yīng):

在程序中通過如下語句實(shí)現(xiàn):

for(int

i

=

0;

i<IpNum;

i++)

{

strcat

(ShowReport[i],

temp)

;

MessageBox

(Sho