基于WinPcap的入侵檢測(cè)
2009-04-29 00:00:00傅龍?zhí)?/span>
電腦知識(shí)與技術(shù) 2009年26期
摘要:針對(duì)目前日益突出的網(wǎng)路入侵問題,該文提出一種網(wǎng)絡(luò)入侵檢測(cè)的方法,該方法基于WinPcap,將網(wǎng)絡(luò)適配器設(shè)置為混雜模式,可以有效地捕獲網(wǎng)絡(luò)數(shù)據(jù)包,并對(duì)數(shù)據(jù)包進(jìn)行分析,判斷是否有入侵行為。
關(guān)鍵詞:入侵檢測(cè);winPcap;數(shù)據(jù)包;攔截
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)26-7385-02
WinPcap-based Intrusion Detection
FU Long-tian
( Institute of Minjiang, Fuzhou 350011, China)
Abstract: Increasingly prominent view of the current network intrusion issues, This paper presents a method of network intrusion detection, this method is based on WinPcap, the network adapter is set to promiscuous mode is an effective way to capture network packets, and packet analysis to determine whether there is an act of trespass.
Key words: intrusion detection; winPcap; packet; intercept
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,越來越多的公司將其核心業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)移、網(wǎng)絡(luò)服務(wù)成為當(dāng)前IT業(yè)另一個(gè)生長(zhǎng)點(diǎn),但網(wǎng)絡(luò)安全作為一個(gè)無法回避的問題呈現(xiàn)在人們面前。計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)的普及,導(dǎo)致攻擊者越來越多,知識(shí)日趨成熟,攻擊工具與手法日趨復(fù)雜多樣,單純的防火墻策略已經(jīng)無法滿足對(duì)安全高度敏感的部門的需要,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣的手段。網(wǎng)絡(luò)環(huán)境也變得越來越復(fù)雜,各式各樣的復(fù)雜的設(shè)備,需要不斷升級(jí)、補(bǔ)漏的系統(tǒng)使得網(wǎng)絡(luò)管理員的工作不斷加重,不經(jīng)意的疏忽便有可能造成安全的重大隱患。于是,入侵檢測(cè)系統(tǒng)成為了安全市場(chǎng)上新的熱點(diǎn),不僅愈來愈多的受到人們的關(guān)注,而且已經(jīng)開始在各種不同的環(huán)境中發(fā)揮其關(guān)鍵作用。
1 入侵行為(Net Inbreak)與入侵檢測(cè)系統(tǒng)(Intrusion Detection System)
入侵行為主要是指對(duì)系統(tǒng)資源的非法使用,造成系統(tǒng)的丟失和破壞,甚至造成系統(tǒng)拒絕對(duì)合法用戶的服務(wù)。入侵檢測(cè)系統(tǒng)(IDS)是通過抓取網(wǎng)絡(luò)上的所有報(bào)文,監(jiān)視、分析用戶及系統(tǒng)活動(dòng);審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn);識(shí)別、反映已知進(jìn)攻的活動(dòng)模式,統(tǒng)計(jì)分析異常行為模式;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性,報(bào)告異常和行為模式,使網(wǎng)絡(luò)安全管理元清楚地了解網(wǎng)絡(luò)上發(fā)生的事件,并能夠采取行動(dòng)阻止可能的破壞。入侵檢測(cè)一般分為3個(gè)步驟,:信息收集、數(shù)據(jù)分析、響應(yīng)(被動(dòng)響應(yīng)和主動(dòng)響應(yīng))。
2 入侵檢測(cè)技術(shù)
入侵檢測(cè)技術(shù)有很多種類,目前常用的有:基于行為的概率統(tǒng)計(jì)方法、神經(jīng)網(wǎng)絡(luò)方法,基于知識(shí)的專家系統(tǒng)等等。一般來說入侵檢測(cè)系統(tǒng)在數(shù)據(jù)傳輸?shù)母鱾€(gè)環(huán)節(jié)進(jìn)行檢測(cè),IDS結(jié)構(gòu)圖如圖1。
防火墻阻止了某一類人群的進(jìn)入,但是無法阻止同一類人群中的破壞分子,因此需要通過IDS系統(tǒng)來監(jiān)測(cè),定時(shí)掃描,才能真正的起到保護(hù)系統(tǒng)的作用。在同類檢測(cè)技術(shù)中WinPcap具有很多的優(yōu)點(diǎn):從底層捕獲數(shù)據(jù)包,穩(wěn)定可靠;對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行封裝,使用簡(jiǎn)單方便;性能較高;可以進(jìn)行網(wǎng)絡(luò)掃描,流量監(jiān)控等操作。
3 基于WinPcap的入侵檢測(cè)
3.1 什么是WinPcap
WinPcap (windows packet capture)是windows平臺(tái)下一個(gè)免費(fèi)、公共的網(wǎng)絡(luò)訪問接口,是針對(duì)Win32平臺(tái)上的捕獲網(wǎng)絡(luò)數(shù)據(jù)包和進(jìn)行分析的開源庫。它包括一個(gè)核心態(tài)的包過濾器,一個(gè)底層的動(dòng)態(tài)鏈接庫(packet.dll)和一個(gè)高層的不依賴于系統(tǒng)的運(yùn)行庫(wpcap.dll),為win32應(yīng)用程序提供訪問底層網(wǎng)絡(luò)的能力。例如:捕獲原始數(shù)據(jù)報(bào),在數(shù)據(jù)報(bào)發(fā)往應(yīng)用程序之前,按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報(bào)過濾掉,收集網(wǎng)絡(luò)通信過程中的統(tǒng)計(jì)信息等。其內(nèi)部結(jié)構(gòu)如圖2所示。
WinPcap可以用來開發(fā)許多類型的網(wǎng)絡(luò)工具,比如具有分析,解決紛爭(zhēng),安全和監(jiān)視功能的工具。特別地,一些基于WinPcap的典型應(yīng)用有:
A、網(wǎng)絡(luò)與協(xié)議分析器 (network and protocol analyzers)
B、網(wǎng)絡(luò)監(jiān)視器 (network monitors)
C、網(wǎng)絡(luò)流量記錄器 (traffic loggers)
D、網(wǎng)絡(luò)流量發(fā)生器 (traffic generators)
E、用戶級(jí)網(wǎng)橋及路由 (user-level bridges and routers)
F、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) (network intrusion detection systems (NIDS))
G、網(wǎng)絡(luò)掃描器 (network scanners)
H、安全工具 (security tools)
3.2 入侵檢測(cè)系統(tǒng)的開發(fā)
3.2.1 獲得合適的網(wǎng)絡(luò)適配器
要開發(fā)入侵檢測(cè)系統(tǒng),首先要獲得網(wǎng)絡(luò)適配器,WinPcap提供了一個(gè)pcap_findalldevs() 函數(shù)完成這個(gè)功能,這個(gè)函數(shù)返回一個(gè)相連的pcap_if結(jié)構(gòu)的列表,使用pcap_freealldevs(alldevs)釋放網(wǎng)絡(luò)適配器。程序片段如下:
if (pcap_findalldevs(alldevs, errbuf) == -1)
{fprintf(stderr,\"Error in pcap_findalldevs: %s\\", errbuf);
exit(1);
}
for(d=alldevs;d;d=d->next)
{printf(\"%d. %s\", ++i, d->name);
if (d->description)
printf(\" (%s)\\", d->description);
else
printf(\" (No description available)\\");
}
pcap_freealldevs(alldevs);
3.2.2 打開適配器捕獲數(shù)據(jù)包
獲得網(wǎng)絡(luò)適配器后,使用pcap_open_live()打開,在一般情況下,適配器只接收目的地址為自己的數(shù)據(jù)包;其他主機(jī)間交換的數(shù)據(jù)包被忽略了。不過當(dāng)適配器處于混雜模式時(shí)它接收所有的數(shù)據(jù)包:這意味著在共享媒體(象non-switched Ethernet)中WinPcap也可以捕獲其他主機(jī)的數(shù)據(jù)包。混雜模式是大多數(shù)包捕獲程序的缺省模式,所以我們將適配器設(shè)置為混雜模式。程序片段如下:
/* Open the adapter */
if ( (adhandle= pcap_open_live(d->name, // name of the device
65536, // portion of the packet to capture.
1, // promiscuous mode
1000,// read timeout
errbuf // error buffer
) ) == NULL)
{fprintf(stderr,\"\Unable to open the adapter. %s is not supported by WinPcap\\");
/* Free the device list */
pcap_freealldevs(alldevs);
return -1;
}
/* Retrieve the packets */
while((res = pcap_next_ex( adhandle, header, pkt_data)) >= 0)
{if(res == 0)
/* Timeout elapsed */
continue;
/* convert the timestamp to readable format */
ltime=localtime(header->ts.tv_sec);
strftime( timestr, sizeof timestr, \"%H:%M:%S\", ltime);
/*print the data */
printf(\"%s,%.6d len:%d\\", timestr, header->ts.tv_usec, header->len);
}
if(res == -1){
printf(\"Error reading the packets: %s\\", pcap_geterr(adhandle));
return -1;
}
3.2.2 數(shù)據(jù)包的分析
網(wǎng)絡(luò)數(shù)據(jù)捕獲到以后,可以保存到數(shù)據(jù)庫或者文件,即:把上述代碼printf(\"%s,%.6d len:%d\\", timestr, header->ts.tv_usec,
header->len);改成存儲(chǔ)程序。判斷是否有入侵行為,實(shí)質(zhì)是對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析。數(shù)據(jù)包分析方法眾多文獻(xiàn)都有詳盡的論述,本文不做累述。本文使用的方法是:先把捕獲的數(shù)據(jù)進(jìn)行分類,統(tǒng)計(jì)各類數(shù)據(jù)出現(xiàn)的頻率。如果發(fā)現(xiàn)在沒有網(wǎng)絡(luò)請(qǐng)求時(shí),卻頻繁接收到類似數(shù)據(jù)包;如果出現(xiàn)數(shù)據(jù)異常外流;出現(xiàn)不明原因的數(shù)據(jù)擾動(dòng)等等現(xiàn)象都可以判定入侵行為。
4 結(jié)束語
網(wǎng)絡(luò)安全是企業(yè)威脅企業(yè)信息安全的重要方面,如何把好網(wǎng)絡(luò)安全關(guān)是企業(yè)信息安全的永久話題,基于WinPcap的入侵檢測(cè)手段,有效地捕捉網(wǎng)路數(shù)據(jù)包,進(jìn)行流量統(tǒng)計(jì),數(shù)據(jù)分析,從而確定判斷是否有入侵行為。所以本方法的使用將為企業(yè)的網(wǎng)絡(luò)安全提供一道“路障”關(guān)卡,實(shí)時(shí)監(jiān)測(cè),實(shí)時(shí)處理。
參考文獻(xiàn):
[1] 薛質(zhì).信息安全技術(shù)基礎(chǔ)和安全策略[M].北京:清華大學(xué),2007.
[2] 段云所.信息安全概論[M].北京:高等教育出版社,2004.
[3] 張曜.加密解密與網(wǎng)絡(luò)安全技術(shù)[M].北京:冶金工業(yè)出版社,2006.
[4] 王代潮,曾德超,劉巖,著.信息安全管理平臺(tái)理論與實(shí)踐[M].北京:電子工業(yè)出版社,2007.
[5] 謝儲(chǔ)暉.空間知識(shí)網(wǎng)格基礎(chǔ)與應(yīng)用[M].徐州:中國(guó)礦業(yè)大學(xué)出版社,2005.
[6] Dieter Gollmann,Computer Security[M].John Wiley Sons,2004
[7] IEEE Standard 802.11.W ireless I N M edium Access Co ntrol (MAC)and Physical Layer (PHY)Specifications[S].1999.
- 電腦知識(shí)與技術(shù)的其它文章
- GAE環(huán)境下導(dǎo)出Excel報(bào)表
- MVC設(shè)計(jì)模式在基于WEB的遠(yuǎn)程測(cè)控系統(tǒng)軟件開發(fā)中的應(yīng)用
- 淺析《計(jì)算機(jī)組裝與測(cè)試實(shí)驗(yàn)》教學(xué)改革
- 基于MultiGen Creator和Vega虛擬校園漫游系統(tǒng)實(shí)現(xiàn)的關(guān)鍵技術(shù)
- 移動(dòng)數(shù)據(jù)庫技術(shù)在移動(dòng)電子政務(wù)的應(yīng)用研究
- 校園網(wǎng)絡(luò)安全簡(jiǎn)析