一種入侵檢測(cè)實(shí)驗(yàn)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

摘要:針對(duì)專業(yè)教學(xué)過程中理論內(nèi)容較難理解和接受的情況，設(shè)計(jì)了一種入侵檢測(cè)的實(shí)驗(yàn)系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)嗅探和端口掃描兩種類型的入侵進(jìn)行檢測(cè)。針對(duì)網(wǎng)絡(luò)中的嗅探攻擊，利用WinPcap網(wǎng)絡(luò)開發(fā)包，實(shí)現(xiàn)基于ARP報(bào)文探測(cè)的嗅探攻擊的演示。此外，實(shí)驗(yàn)系統(tǒng)還針對(duì)網(wǎng)絡(luò)中的TCP端口掃描攻擊，利用Libnids網(wǎng)絡(luò)開發(fā)包，實(shí)現(xiàn)了基于統(tǒng)計(jì)閾值檢測(cè)法的TCP端口掃描攻擊的演示。最終通過短消息模塊實(shí)現(xiàn)相應(yīng)入侵行為的短信通知。

關(guān)鍵詞:入侵檢測(cè);實(shí)驗(yàn)系統(tǒng);網(wǎng)絡(luò)嗅探;端口掃描

1背景

在互聯(lián)網(wǎng)不斷發(fā)展壯大的同時(shí)，網(wǎng)絡(luò)安全問題也越來越突出了。美國(guó)每年平均發(fā)生數(shù)十萬起重大的網(wǎng)絡(luò)入侵和惡意攻擊事件，其中約十分之一的攻擊成功地侵入了系統(tǒng)(美聯(lián)邦調(diào)查局統(tǒng)計(jì))，因此每年造成平均上百億美元的經(jīng)濟(jì)損失。事實(shí)上，網(wǎng)絡(luò)入侵己經(jīng)成為影響網(wǎng)絡(luò)繼續(xù)發(fā)展的一個(gè)重要問題，并困擾著所有網(wǎng)絡(luò)專家、信息專家和計(jì)算機(jī)安全專家[1]。

作為信息安全專業(yè)的學(xué)生，應(yīng)該對(duì)這兩項(xiàng)當(dāng)今網(wǎng)絡(luò)安全中的熱點(diǎn)技術(shù)有更好的掌握。事實(shí)上，教科書中只有少量的圖片，文字?jǐn)⑹霰容^多，增加了學(xué)習(xí)者的負(fù)擔(dān)，同時(shí)，理論知識(shí)的學(xué)習(xí)只能得到一些抽象的概念，并不能提高實(shí)際應(yīng)用能力。因此就需要具備與之配套的實(shí)驗(yàn)系統(tǒng)[2]。

入侵檢測(cè)作為一種積極主動(dòng)安全防護(hù)技術(shù)，能夠同時(shí)對(duì)內(nèi)部入侵、外部入侵和誤操作提供及時(shí)的保護(hù)，能夠在系統(tǒng)受到危害之前及時(shí)地記錄和響應(yīng)入侵，為系統(tǒng)管理員提供可靠的入侵記錄[3-5]。

為了讓信息安全專業(yè)的學(xué)生更好地學(xué)習(xí)入侵檢測(cè)這門專業(yè)課，需要有一套入侵檢測(cè)實(shí)驗(yàn)系統(tǒng)。通過親手操作該實(shí)驗(yàn)系統(tǒng)，學(xué)生能夠更直觀，更真實(shí)的感覺入侵檢測(cè)系統(tǒng)(IDS， Intrusion Detection System)，從而更好地學(xué)習(xí)入侵檢測(cè)這門課[6]。

我們將本實(shí)驗(yàn)系統(tǒng)分成以下三個(gè)部分:

(1) 實(shí)驗(yàn)系統(tǒng)的界面實(shí)現(xiàn)。包括:

使用C#語言開發(fā)Web應(yīng)用程序;

在入侵檢測(cè)實(shí)驗(yàn)平臺(tái)主界面中列出各種入侵檢測(cè)的實(shí)驗(yàn)說明及實(shí)驗(yàn)原理;

將不同入侵檢測(cè)實(shí)驗(yàn)使用不同的選項(xiàng)觸發(fā)，每開始一項(xiàng)入侵檢測(cè)后，在網(wǎng)頁(yè)上顯現(xiàn)出入侵檢測(cè)的結(jié)果。

(2) 網(wǎng)絡(luò)入侵的實(shí)際檢測(cè)。針對(duì)部分網(wǎng)絡(luò)入侵的檢測(cè)，本實(shí)驗(yàn)系統(tǒng)暫時(shí)實(shí)現(xiàn)兩個(gè)方面的攻擊檢測(cè)。第一是對(duì)網(wǎng)絡(luò)嗅探的檢測(cè);第二是對(duì)網(wǎng)絡(luò)掃描的檢測(cè)。在對(duì)網(wǎng)絡(luò)嗅探的檢測(cè)中，使用Windows網(wǎng)絡(luò)數(shù)據(jù)包捕獲開發(fā)包Winpcap實(shí)現(xiàn)。在對(duì)網(wǎng)絡(luò)掃描的檢測(cè)中，使用網(wǎng)絡(luò)入侵檢測(cè)開發(fā)包Libnids實(shí)現(xiàn)。

(3) 入侵檢測(cè)的實(shí)時(shí)通知。一旦系統(tǒng)受到了入侵，就給短信貓(GSM MODEM)一個(gè)觸發(fā)，并通過短信貓給管理員發(fā)送一條對(duì)應(yīng)入侵信息的短信。

學(xué)生通過操作該實(shí)驗(yàn)系統(tǒng)，了解檢測(cè)嗅探和入侵的基本方法與原理，更好地學(xué)習(xí)入侵檢測(cè)這門課程。

2入侵檢測(cè)實(shí)驗(yàn)系統(tǒng)實(shí)現(xiàn)

2.1實(shí)驗(yàn)系統(tǒng)的整體設(shè)計(jì)

本實(shí)驗(yàn)系統(tǒng)界面部分主要在Visual Studio.net 2005開發(fā)環(huán)境中完成。實(shí)驗(yàn)系統(tǒng)使用的是其中Visual C#語言開發(fā)ASP.NET Web 應(yīng)用程序的方法。

將實(shí)驗(yàn)系統(tǒng)的實(shí)現(xiàn)主要分為9個(gè)子模塊，包括網(wǎng)絡(luò)安全實(shí)驗(yàn)系統(tǒng)歡迎和登陸、入侵檢測(cè)方式選擇、入侵檢測(cè)實(shí)驗(yàn)系統(tǒng)總體介紹、局域網(wǎng)的指定網(wǎng)段中正在嗅探主機(jī)程序流程圖的展現(xiàn)、檢測(cè)局域網(wǎng)的指定網(wǎng)段中正在嗅探主機(jī)的詳細(xì)信息、WinPcap驅(qū)動(dòng)介紹、局域網(wǎng)中正在進(jìn)行端口掃描主機(jī)程序流程圖展現(xiàn)、檢測(cè)局域網(wǎng)中正在進(jìn)行端口掃描主機(jī)的詳細(xì)信息、Libnids開發(fā)包介紹。圖1給出了最后生成的網(wǎng)頁(yè)總索引。

由于本實(shí)驗(yàn)系統(tǒng)中檢測(cè)嗅探與檢測(cè)掃描的主程序都是用C語言的網(wǎng)絡(luò)安全開發(fā)包實(shí)現(xiàn)的，因此在設(shè)計(jì)時(shí)采用Visual Studio中創(chuàng)建進(jìn)程調(diào)用C應(yīng)用程序的方法將兩者有機(jī)結(jié)合。

2.2網(wǎng)絡(luò)嗅探檢測(cè)

2.2.1基本原理

嗅探是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。在合理的網(wǎng)絡(luò)中，嗅探的存在對(duì)系統(tǒng)管理員是至關(guān)重要的，系統(tǒng)管理員通過嗅探可以診斷出大量的不可見模糊問題。這些問題涉及兩臺(tái)乃至多臺(tái)計(jì)算機(jī)之間的異常通訊有些甚至牽涉到各種協(xié)議，借助于嗅探，系統(tǒng)管理員可以方便的確定出多少的通訊量、屬于哪個(gè)網(wǎng)絡(luò)協(xié)議、占主要通訊協(xié)議的主機(jī)是哪一臺(tái)、大多數(shù)通訊目的地是哪臺(tái)主機(jī)、報(bào)文發(fā)送占用多少時(shí)間、或者相互主機(jī)的報(bào)文傳送間隔時(shí)間等，這些信息為管理員判斷網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。但是，如果有心之人(非系統(tǒng)管理員)使用了嗅探，那么，他同樣也可以獲得和管理員一樣多的信息，同樣也可以對(duì)整個(gè)網(wǎng)絡(luò)做出判斷。

檢測(cè)嗅探的辦法有很多，比如有些功能強(qiáng)大的嗅探器會(huì)對(duì)IP地址進(jìn)行解析獲得機(jī)器名，那么可以通過發(fā)送畸形數(shù)據(jù)包等待嗅探器進(jìn)行DNS解析等等，但是這些辦法局限太大了。根據(jù)嗅探器的基本工作原理，其核心就是設(shè)置網(wǎng)卡模式為 promiscuous(混雜模式)，如果能夠檢測(cè)到網(wǎng)絡(luò)有是混雜模式的網(wǎng)卡，那么就可以判斷可能存在一個(gè)嗅探器。ARP協(xié)議在深入嗅探中很有作用，同時(shí)也可以用于進(jìn)行嗅探器的檢測(cè)。

在混雜模式中，網(wǎng)卡進(jìn)行包過濾不同于普通模式。本來在普通模式下，只有本地地址的數(shù)據(jù)包或者廣播(多播等)才會(huì)被網(wǎng)卡提交給系統(tǒng)核心，否則的話，這些數(shù)據(jù)包就直接被網(wǎng)卡拋棄。現(xiàn)在，混合模式讓所有經(jīng)過的數(shù)據(jù)包都傳遞給系統(tǒng)核心，然后被嗅探器程序利用。因此，如果能利用中間的“系統(tǒng)核心”，就能有效地進(jìn)行是否混雜模式的檢測(cè)。下面以Windows系統(tǒng)為例說明。

FF-FF-FF-FF-FF-FF:這個(gè)是一個(gè)正規(guī)的廣播地址，不管是正常模式還是其他模式，都會(huì)被網(wǎng)卡接收并傳遞給系統(tǒng)核心。

FF-FF-FF-FF-FF-FE:這個(gè)地址對(duì)于網(wǎng)卡來說，不是一個(gè)廣播地址，在正常模式下會(huì)被網(wǎng)卡拋棄，但是系統(tǒng)核心是認(rèn)為這個(gè)地址同F(xiàn)F-FF-FF-FF-FF-FF是完全一樣的。如果處于混雜模式，將被系統(tǒng)核心接收，并認(rèn)為是一個(gè)廣播地址。所有的Windows操作系統(tǒng)都是如此。

FF-FF-00-00-00-00:Windows核心只對(duì)前面兩字節(jié)作判斷，核心認(rèn)為這是一個(gè)同F(xiàn)F-FF-FF-FF-FF-FF一樣的廣播地址。這就是為什么FF-FF-FF-FF-FF-00也是廣播地址的原因。

FF-00-00-00-00-00:對(duì)于Win9x或WinME，則是檢查前面的一個(gè)字節(jié)。因此會(huì)認(rèn)為這個(gè)是一個(gè)廣播地址。

所以，目的就要讓正常模式的網(wǎng)卡拋棄掉探測(cè)包，而讓混雜模式的系統(tǒng)核心能夠處理探測(cè)。發(fā)送一個(gè)目的地址為FF-FF-FF-FF-FF-FE(系統(tǒng)會(huì)認(rèn)為屬于廣播地址)的ARP請(qǐng)求，對(duì)于普通模式(廣播等)的網(wǎng)卡，這個(gè)地址不是廣播地址，就會(huì)直接拋棄，而如果處于混雜模式，那么ARP請(qǐng)求就會(huì)被系統(tǒng)核心當(dāng)作廣播地址處理，然后提交給嗅探器程序。系統(tǒng)核心就會(huì)應(yīng)答這個(gè)ARP請(qǐng)求。

2.2.2主要數(shù)據(jù)結(jié)構(gòu)和函數(shù)

使用到WinPcap中的主要數(shù)據(jù)結(jié)構(gòu)和自定義的數(shù)據(jù)結(jié)構(gòu)PACKET、ETHDR、ARPHDR、IPHDR。自定義的函數(shù)主要包括以下幾個(gè)。

/* 發(fā)送ARP Request數(shù)據(jù)報(bào)，請(qǐng)求獲得本地主機(jī)的mac地址 */

int getmine();

/* 分類處理接收到的數(shù)據(jù)報(bào) */

void getdata(LPPACKET lp， int op);

/* 將網(wǎng)絡(luò)適配器設(shè)置為混雜模式，接收所有流的數(shù)據(jù)報(bào) */

DWORD WINAPI sniff(LPVOID no);

/* 發(fā)送ARP Request數(shù)據(jù)報(bào)，請(qǐng)求獲得正在嗅探主機(jī)的ip地址和mac地址 */

DWORD WINAPI sendMASR(LPVOID no);

2.2.3程序流程簡(jiǎn)介

圖2給出了檢測(cè)局域網(wǎng)指定網(wǎng)段中正在嗅探主機(jī)的程序流程圖。

2.3端口掃描檢測(cè)

2.3.1基本原理

TCP提供一種面向連接的、可靠的字節(jié)流服務(wù)。面向連接意味著兩個(gè)使用TCP的應(yīng)用(通常是一個(gè)客戶和一個(gè)服務(wù)器)在彼此交換數(shù)據(jù)之前必須先建立一個(gè)TCP連接。在一個(gè)TCP連接中，僅有兩方進(jìn)行彼此通信，并且TCP收到發(fā)自TCP連接另一端的數(shù)據(jù)，它將發(fā)送一個(gè)確認(rèn)。基于TCP握手機(jī)制，產(chǎn)生許多端口掃描技術(shù)，包括SYN掃描、FIN掃描、NULL掃描等。

一個(gè)端口掃描被定義為在T秒時(shí)間內(nèi)對(duì)目標(biāo)系統(tǒng)超過P個(gè)端口的TCP連接請(qǐng)求，或者是對(duì)應(yīng)的UDP數(shù)據(jù)包。因此可以采用異常檢測(cè)技術(shù)來檢測(cè)端口掃描，即定義為在TCP連接過程中，如果檢測(cè)到相同源地址掃描TCP端口的數(shù)目大于閾值就認(rèn)為發(fā)生了端口掃描攻擊，根據(jù)TCP的標(biāo)志位判斷掃描類型。在本實(shí)驗(yàn)系統(tǒng)中該部分功能的實(shí)現(xiàn)主要由Libnids開發(fā)包中默認(rèn)函數(shù)syslog()完成。本系統(tǒng)可以根據(jù)TCP的標(biāo)志位判斷掃描類型，可以檢測(cè)SYN、NULL、FIN三種標(biāo)志位變化的掃描。

2.3.2主要數(shù)據(jù)結(jié)構(gòu)和函數(shù)

使用到的主要數(shù)據(jù)結(jié)構(gòu)有檢測(cè)掃描用的相關(guān)信息SCAN、HOST、IP_HDR、TCP_HDR。自定義的函數(shù)主要包括以下幾個(gè)。

/*對(duì)Libnids進(jìn)行初始化。它的主要任務(wù)包括打開網(wǎng)絡(luò)接口、打開文件、編譯過慮規(guī)則、設(shè)置過慮規(guī)則、判斷網(wǎng)絡(luò)鏈路層類型、進(jìn)行必要的初始化工作。

函數(shù)返回值:函數(shù)調(diào)用成功就返回1，失敗就返回0。*/

bool nids_init(void);

/*運(yùn)行Libnids，進(jìn)入循環(huán)捕獲數(shù)據(jù)包狀態(tài)。它實(shí)際上是調(diào)用Libpcap函數(shù)pcap_loop()來循環(huán)捕獲數(shù)據(jù)包。*/

void nids_run(void);

/*檢測(cè)掃描攻擊和異常數(shù)據(jù)包的函數(shù)，根據(jù)檢測(cè)出的報(bào)警類型來發(fā)送報(bào)警信息。*/

static void my_nids_syslog(int type， int errnum， struct ip_header *iph， void *data);

2.3.3程序流程簡(jiǎn)介

圖3給出了使用Libnids開發(fā)包檢測(cè)端口掃描的流程圖。

2.4短信發(fā)送通知

短信貓是一種內(nèi)嵌GSM無線通信模塊，插入移動(dòng)運(yùn)營(yíng)商的手機(jī)SIM卡后，可以通過PC連接使計(jì)算機(jī)應(yīng)用系統(tǒng)與移動(dòng)運(yùn)營(yíng)商的短信中心建立無線連接以實(shí)現(xiàn)自由的對(duì)外短信收發(fā)。

通過短信貓二次開發(fā)數(shù)據(jù)庫(kù)接口，使用者幾乎不需要了解任何有關(guān)數(shù)據(jù)通信方面的知識(shí)，就可實(shí)現(xiàn)手機(jī)短信的收發(fā)等功能。

在本實(shí)驗(yàn)系統(tǒng)的設(shè)計(jì)中，使用短信貓二次開發(fā)接口通過Access數(shù)據(jù)庫(kù)實(shí)現(xiàn)短信發(fā)送功能。

3實(shí)驗(yàn)演示

圖4給出了網(wǎng)絡(luò)嗅探檢測(cè)的具體界面和具體的嗅探結(jié)果。其中共有六個(gè)步驟，在使用者操作該實(shí)驗(yàn)系統(tǒng)時(shí)，每完成一步后，實(shí)驗(yàn)系統(tǒng)中下一步的執(zhí)行按鈕將變?yōu)榭刹僮鳡顟B(tài)，這樣就避免了使用者在使用該實(shí)驗(yàn)系統(tǒng)時(shí)出現(xiàn)操作混亂。在實(shí)驗(yàn)系統(tǒng)中每出現(xiàn)一步操作的說明時(shí)，在界面右側(cè)的說明框中將同時(shí)介紹其詳細(xì)原理或介紹等。

圖4中，在IP地址為10.10.224.224的主機(jī)上運(yùn)行嗅探工具sniffer，經(jīng)測(cè)試正確檢測(cè)出了10.10.224.240至10.10.224.250 IP段中正在進(jìn)行嗅探的主機(jī)信息:[IP:] 10.10.224.244[MAC:] 00-11-d8- c2-dd-69。

在IP地址為10.10.103.8的主機(jī)上運(yùn)行掃描工具WinNmap，經(jīng)測(cè)試正確檢測(cè)出局域網(wǎng)中正在進(jìn)行端口掃描的主機(jī)信息和被掃描主機(jī)信息。經(jīng)多次測(cè)試，本實(shí)驗(yàn)系統(tǒng)可以正確檢測(cè)出SYN、NULL、FIN三種TCP掃描。圖5給出了系統(tǒng)運(yùn)行的演示界面。

當(dāng)檢測(cè)到嗅探或掃描后，網(wǎng)絡(luò)管理員的手機(jī)都會(huì)收到正確的信息通知。

4結(jié)果分析

對(duì)系統(tǒng)進(jìn)行全面測(cè)試后，從以下兩方面分析系統(tǒng)性能。

4.1系統(tǒng)的有效性

通過測(cè)試，系統(tǒng)在以下兩方面有效:(1)該系統(tǒng)可以檢測(cè)出共享式局域網(wǎng)中將網(wǎng)卡設(shè)為混雜模式的嗅探攻擊;(2)該系統(tǒng)可以檢測(cè)出共享式局域網(wǎng)正存在的以下三種正常速度的TCP端口掃描:SYN、NULL、FIN。

4.2系統(tǒng)的局限性

通過測(cè)試，該系統(tǒng)也存在一些局限性:(1)除將網(wǎng)卡設(shè)為混雜模式的嗅探攻擊，該系統(tǒng)對(duì)其他種類的嗅探攻擊不起任何作用，該功能還有待完善;(2)由于該系統(tǒng)檢測(cè)端口掃描所使用算法(統(tǒng)計(jì)閾值檢測(cè)法)的局限性，掃描方如果采用慢速掃描，掃描時(shí)間間隔拉得夠長(zhǎng)，低于所設(shè)的門限值，就會(huì)漏報(bào)。

5結(jié)語

本系統(tǒng)是為入侵檢測(cè)教學(xué)和學(xué)習(xí)的實(shí)際需要而設(shè)計(jì)的。它對(duì)理論教學(xué)是一個(gè)很好的補(bǔ)充，其宗旨是服務(wù)于入侵檢測(cè)實(shí)驗(yàn)教學(xué)，提高入侵檢測(cè)教學(xué)水平和教學(xué)質(zhì)量。通過入侵檢測(cè)實(shí)驗(yàn)系統(tǒng)，可激發(fā)學(xué)生的學(xué)習(xí)主動(dòng)性，有利于學(xué)生創(chuàng)新能力的培養(yǎng)。總的來說，本文所實(shí)現(xiàn)的入侵檢測(cè)實(shí)驗(yàn)系統(tǒng)已經(jīng)能夠?yàn)槿肭謾z測(cè)學(xué)習(xí)者提供一個(gè)理論與實(shí)踐學(xué)習(xí)相結(jié)合的平臺(tái)。通過提供檢測(cè)部分入侵的實(shí)際操作，同時(shí)展示了內(nèi)部過程和結(jié)果，使學(xué)習(xí)者較為生動(dòng)地了解到入侵檢測(cè)的過程，加深對(duì)入侵檢測(cè)的理解。

本實(shí)驗(yàn)平臺(tái)通過學(xué)生的實(shí)際使用，形象且條理清楚的展現(xiàn)出檢測(cè)部分網(wǎng)絡(luò)入侵的過程，使學(xué)習(xí)者學(xué)習(xí)更方便，理解更迅速、更深刻，已經(jīng)逐步成為教學(xué)活動(dòng)有力的輔助工具。我們將在今后的實(shí)際工作中總結(jié)使用者提出的建議，繼續(xù)完善本系統(tǒng)。

參考文獻(xiàn):

[1] W. Yan， E. Hou， N. Ansari. Description Logics for an Autonomic IDS Event Analysis System [J]. Computer Communications， 2006，29(15):2841-2852.

[2] 張煥國(guó)，王麗娜. 信息安全綜合實(shí)驗(yàn)教程[M]. 武漢:武漢大學(xué)出版社，2006.

[3] 孫云，黃皓. 一種混合式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[J]. 計(jì)算機(jī)工程，2008，34(9):164-166.

[4] Vasilios Katos. Network Intrusion Detection: Evaluating Cluster， Discriminant， and Logit Analysis [J]. Information Sciences，2007，177(15):3060-3073.

[5] 左晶，段海新，于雪莉. 入侵檢測(cè)系統(tǒng)中報(bào)警驗(yàn)證模塊的設(shè)計(jì)與實(shí)現(xiàn)[J]. 計(jì)算機(jī)工程，2008，34(2):267-269.

[6] 王陳章. 網(wǎng)絡(luò)信息安全教學(xué)實(shí)驗(yàn)系統(tǒng)[D]. 長(zhǎng)春:吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，2008.

An Implementation of Intrusion Detection Experiment System

SUN Guo-zi1，2，YU Chao1，2，CHEN Dan-wei1，2

(1. College of Computer， Nanjing University of Posts Telecommunications， Nanjing 210003， China;

2. Institute of Computer Technology， Nanjing University of Posts Telecommunications， Nanjing 210003， China)

Abstract: In view of the situation that content of the theory is difficult to understand and accept in the process of teaching professional lesson， an intrusion detection experiment system is implemented， which is realized in two kinds of intrusion detection， such as network sniffer and port scan. Using the WinPcap network development kit， and based on the ARP packet detection， the system demonstrates how the sniffer attacks work in the network. Using the Libnids network development kit， and based on the detection method of statistical threshold， the system also demonstrates how the TCP port-scans attack in the network. As being attacked， a corresponding notification could be sent to the manager through SMS modules.

Key word: intrusion detection; experiment system; network sniffer; port scan

(編輯:彭遠(yuǎn)紅)