分布式入侵检测系统数据研究模块和特征库组建.docxVIP

分布式入侵检测系统数据研究模块和特征 库组建 摘要：为了应对越来越复杂的网络环境，为教学 网络开发的分布式入侵检测系统可以对来自网络内外的恶 意入侵和不良信息进行有效的预警和响应。系统的逻辑结构 划分为数据采集模块、数据分析模块、数据库模块、管理控 制平台模块和通信模块，本文对数据分析模块进行了详细的 阐述，并在数据分析的基础上形成系统自己的特征库。 关键字：网络安全 入侵检测 数据分析 模式匹配 中图分类号：TP393文献标识码：A文章编号： 1009-3044 (2013) 22-5056-02 1数据包的解析 数据解析就是把数据包层层剥开，确定该包属于何种协 议，有什么特征，并标记到某一全局变量中，从而有利于后 来的数据分析。 在日常的网络中，IP、TCP、UDP、ICMP数据包是应用最 为多的几类数据包，IP协议，中文是网际协议，是TCP/IP 协议族群中应用最多的协议，该协议工作在网络层，是一种 无连接的不可靠的数据报协议；TCP (transmission control protocol)是传输控制协议，为不可靠的因特网上提供了一 种可靠的、端对端的字节流通信的协议，工作在传输层。UDP (User Datagram Protocol),即用户数据报协议，主要用 来支持那些需要在计算机之间传输数据的网络应用，和TCP 协议一样，也是工作在传输层。ICMP ( Internet Control Message Protocol)是网际控制信息协议。TCP/IP设计了 ICMP—种差错和控制报文协议，不仅用于传输差错报文，还 传输控制报文。当网关发现传输错误时，立即向源主机发送 ICMP报文，报告出错信息，让源主机采取相应处理措施。 IP层的分组时数据报，是一个变长的分组，由首部和数 据两部分组成，在传输的过程中，如果数据报长度过长可以 分片，一个分片了的数据报还可以再分片，同一数据报的所 有分片数据报的标示字段值相同，而不同的标志字段的值对 分片有不同的要求，分片偏移则是指明了该片数据报在整个 数据报中的位置。 使用TCP协议传送的数据单元被称为报文段有首部和数 据两部分组成。 UDP用户数据报的每一个数据报的前8个字节用来包含 报头信息，剩余字节则用来包含具体的传输数据。UDP协议 使用端口号为不同的应用保留各自的数据传输通道。UDP协 议使用报头中的校验值来保证数据的安全，与TCP协议不同， UDP要求必须具有校验值。 2特征库的建立 因为本系统是基于Snort的，借鉴了 Snort的规则模式, 所以这里特征库又称为规则库，在前文中已经简单介绍了 Snort规则的基本语法结构，网络上有一部分Snort规则的 资源，可以下载来用，但是要想教学网络分布式入侵检测系 统更好的适用于其所在的环境，还必须编写自己的规则，建 立自己的特征库。 编写自己的规则有两种基本的方法： 1） 对已有规则进行修改或添加，这种方法可以调整规 则，使它更加有效。可以通过对误报的分析，一步一步来完 善规则。 2） 创建自己的新规则。 规则由规则头和规则体组成，它不但要求熟悉规则的语 法结构，还要求了解入侵信息的特征，往往通过研究一个新 的漏洞或攻击时，采用流量分析来创建新规则，它也被用来 提炼和修改已存在的规则。有一个经典的分析工具WinDump 被大家广泛采用。 WinDump是Windows平台下的一款免费的网络协议分析 软件，它可以捕捉网络上两台计算机之间所有的数据包，供 网络管理员做进一步流量分析。由于它是免费的。所以在网 络上有很多的资源下载。 规则可以以文档的方式存放在硬盘上，也可以建成数据 库的形式存放。建成数据库的形式要根据规则的格式设置表 的属性。规则由规则头和规则选项两部分组成，规则头有响 应动作，协议，源、目的IP和源、目的端口组成，这些字 段是必需的，所以在表中可以设置相应的固定的属性。规则 选项是可以不存在的，所以可以建立两个表，把规则头设置 为主表，把规则选项设置成副表，通过外键使两表相连。在 数据分析过程中，进行规则与数据流的匹配时可以根据各个 字段的匹配。 入侵监测系统要求不断加强，其首要表现就在于规则的 增强上，不但要不断对已有的规则进行修改和更新，还要给 规则库添加新的规则。现阶段在本系统中还是手动地改写规 则库中的规则，如何让它能够根据不合法行为自动地更新， 增强系统的自学习能力，是入侵监测系统上还需深入研究的 问题。 3特征库中的部分规则介绍 本系统的规则特征库主要来自三部分，一方面是Snort 官方网站上提供了很多成熟的规则，本系统根据自身软硬件 环境以及其所在网络的特点对部分规则进行了运用，第二种 就是对snort已有的部分规则的修改，最后一部分是根据规 则特点自己编写的，下面对部分规则进行简单