入侵检测技术 教学课件 作者 曹元大 IDS6.pptVIP

第6章 基于网络的入侵检测技术 基于网络的入侵检测技术: 分层协议模型与TCP/IP协议 网络数据包的捕获 包捕获机制BPF模型 基于Libpcap库的数据捕获技术 检测引擎的设计 网络入侵特征实例分析 检测实例分析 TCP/IP协议分层结构 数据报文的分层封装 以太网帧格式 ARP/RARP报文格式 IP数据报头格式 ICMP回应请求与应答报文格式 UDP报文格式 TCP报文格式 局域网和网络设备的工作原理 HUB工作原理 网卡工作原理 局域网工作过程 Sniffer Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。 Sniffer要捕获的东西必须是物理信号能收到的报文信息。所以，只要通知网卡接收其收到的所有包（该模式叫作混杂promiscuous模式：指网络上的设备都对总线上传送的所有数据进行侦听，并不仅仅是针对它们自己的数据。），在共享HUB下就能接收到这个网段的所有数据包，但是在交换HUB下就只能接收自己的包和广播包。 Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。 Sniffer作用在网络基础结构的底层。通常情况下， 用户并不直接和该层打交道，有些甚至不知道有这一层存在。 共享和交换网络环境下的数据捕获 要想捕获流经网卡的但不属于自己主机的所有数据流，就必须绕开系统正常工作的处理机制，直接访问网络底层。 首先需要将网卡的工作模式设置为混杂模式，使之可以接收目标地址不是自己的MAC地址的数据包，然后直接访问数据链路层，获取数据并由应用程序进行过滤处理。 在UNIX系统中可以用Libpcap包捕获函数库直接与内核驱动交互操作，实现对网络数据包的捕获。 在Win32平台上可以使用Winpcap，通过VxD虚拟设备驱动程序实现网络数据捕获的功能。 常用的包捕获机制 BPF的模型及其接口 Libpcap介绍 Libpcap的英文意思是 Packet Capture library，即数据包捕获函数库。 它是劳伦斯伯克利国家实验室网络研究组开发的UNIX平台上的一个包捕获函数库，其源代码可从/libpcap.tar.z获得。 它是一个独立于系统的用户层包捕获的API接口，为底层网络监测提供了一个可移植的框架。 Windows平台下的Winpcap库 Libpcap过去只支持Unix,现在已经可以支持Win32,这是通过在Wiin32系统中安装Winpcap来实现的, 其官方网站是http://winpcap.polito.it/。 Winpcap的主要功能在于独立于主机协议而发送和接收原始数据报，主要提供了四大功能： (1)捕获原始数据报，包括在共享网络上各主机发送/接收的以及相互之间交换的数据报； (2)在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉； (3)在网络上发送原始的数据报； (4)收集网络通信过程中的统计信息。 Winpcap结构示意图 检测引擎的设计 网络检测引擎必须获取和分析网络上传输的数据包，才能得到可能入侵的信息。 检测引擎首先需要利用数据包截获机制，截获引擎所在网络中的数据包。 经过过滤后，引擎需要采用一定的技术对数据包进行处理和分析，从而发现数据流中存在的入侵事件和行为。 有效的处理和分析技术是检测引擎的重要组成部分。 检测引擎主要的分析技术有模式匹配技术和协议分析技术等。 模式匹配技术 从网络数据包的包头开始和攻击特征比较； 如果比较结果相同，则检测到一个可能的攻击； 如果比较结果不同，从网络数据包中下一个位置重新开始比较； 直到检测到攻击或网络数据包中的所有字节匹配完毕，一个攻击特征匹配结束。 对于每一个攻击特征，重复1步到4步的操作。 直到每一个攻击特征匹配完毕，对给定数据包的匹配完毕。 协议分析技术 网络通信协议是一个高度格式化的、具有明确含义和取值的数据流，如果将协议分析和模式匹配方法结合起来，可以获得更好的效率、更精确的结果。 协议分析的功能是辨别数据包的协议类型，以便使用相应的数据分析程序来检测数据包。 可以把所有的协议构成一棵协议树，一个特定的协议是该树结构中的一个结点，可以用一棵二叉树来表示。 一个网络数据包的分析就是一条从根到某个叶子的路径。在程序中动态地维护和配置此树结构即可实现非常灵活的协议分析功能。 协议分析有效利用了网络协议的层次性和相关协议的知识快速地判断攻击特征是否存在。他的高效使得匹配的计算量大幅度减小。 特征（signature）的基本概念 IDS中的特征就是指用于判别通讯信息种类的样板数据，通常分为多种，以下是一些典型情况及识别方法： 来自保留IP地址的连接企图：可通过检查IP报头的来源地址识别。 带有非法TCP