基于NDIS 中間層驅動的數據采集模塊研究與設計

曹 麗，陳 姝

（1.渤海大學，遼寧錦州，121000；2.遼寧省基礎測繪院，遼寧錦州，121000）

0 引言

在各種的網絡安全手段中，入侵檢測系統發揮著重要的作用。在這個過程中，入侵檢測技術也得到了迅速的發展，隨之入侵檢測算法也不斷涌現和完善。

在當今社會，隨著現代網絡技術的迅猛發展，現存的網絡入侵檢測系統正面臨著越來越嚴峻的挑戰。網絡的主機在不斷地增多，網絡的速度在飛速地提高，網絡的帶寬在不斷地增大。就需要配套的網絡入侵檢測系統。提高已有系統的入侵檢測的速度，減少已有系統的丟包率，成為現代網絡入侵檢測領域急待解決的問題。另外亟待解決的問題還有入侵檢測系統的誤報與漏報現象等。

目前網絡入侵檢測系統多數采用的是UNIX 平臺。在windows 平臺下的入侵檢測模型還不完善，本文描述了一個在windows 平臺下的網絡入侵檢測模型，使用NDIS 中間層驅動來實現數據的采集，引入協議分析技術來實現模塊的預處理，提高了檢測的速度，減少了漏報和誤報現象。優化了應用程序與驅動程序之間的通信。

1 基于NDIS 技術的中間層驅動器

NDIS 技術支持協議驅動、中間層驅動、網絡接口卡驅動程序這三種類型的網絡驅動。因為存在NDIS 庫函數，因此為NDIS 驅動程序提供了一個完整的運行環境，

在windows 平臺使用Winpcap 數據包截獲機制，在協議驅動層之下為中間層驅動程序，中間層驅動程序可以為系統提供更高的數據采集速度，具有不可繞開性和系統耦合度高等優點。因此本文采用基于NDIS 中間層驅動的技術完成了入侵檢測中數據采集模塊的設計與實現。

如圖1 所示是目前最常用的公共入侵檢測框架模型。現代網絡入侵檢測系統一般可以分為事件產生單元、事件分析單元、響應單元、事件數據庫單元這四個基本的工作單元。本文的檢測模型是在公共入侵檢測框架模型的基礎上設計和實現的。

圖1 入侵檢測模型的總體架構

協議分析模塊在入侵檢測系統中占有舉足輕重的地位，是入侵檢測分析模塊的預處理部分，協議分析模塊的好壞直接影響檢測的結果，本文主要針對數據抓包模塊和協議分析模塊進行改進和優化。本文采用的NDIS 中間層驅動實現了對數據采集模塊的優化。采用協議分析模塊提高系統的準確性和快速性。

本文引入協議分析模塊存在以下有點：其一：利用通信協議的結構特性，可以準確地找到檢測域，快速有效的處理會話信息。其二：引入協議分析技術可以大大地減少誤診斷率和誤報率，協議分析技術和命令分析技術的有效結合，可以產生一個命令字符串，以此來判斷操作系統或應用系統在通信連接時是否存在惡意攻擊。其三：通過協議分析技術重裝數據包，可以檢測到存在IDS逃避技術的攻擊，因此大大降低了系統的漏檢率。提高了系統的準確率。其四：有效性和準確性的提高大大降低了系統資源的占有率，因此基于協議分析技術的IDS 系統具有低能耗的特點。

2 基于NDIS 技術的數據采集模塊的設計

2.1 驅動注冊

在現有的Windows 運行環境當中，下層的微端口驅動和上層的協議驅動這兩部分驅動，可以直接進行通信。首先我們可以利用中間層驅動入口函數Driver Entry，注冊中間層驅動程序，我們將中間層驅動程序加入到微端口驅動和協議驅動這兩個驅動的中間。中間層驅動入口函數Driver Entry 中，首先應調用NDIS 庫函數Minport***，為上層協議提供接口函數，隨后我們需要為底層的微端口驅動提供一個接口函數，所以我們需要調用Protocol***函數，并在底層驅動程序上綁定中間層的驅動入口函數。其中的協議驅動函數包括：封包函數、綁定函數、PNP 函數和狀態函數這四個主要函數。

2.2 數據截獲實現

由于接收數據包和發送數據包的截獲方式比較類似，所以在本文中主要討論接收部分的研究方法。當我們需要在底層網絡進行傳輸數據時，下層微端口驅動需要調用被注冊的接收封包函數—Protocol Receive Packet 函數或者Protocol Receive 函數，其中在程序中Pt Receive Packet 函數應該對應函數庫中的Protocol Receive Packet 函數，Protocol Receive 函數在程序中應該對應函數庫中的Pt Receive 函數。在實際進行數據包的接收的過程中，由網卡的類型決定具體調用這兩個函數中的哪個函數，Pt Receive 函數主要用于接收較為廉價環境下的數據包，例如Realtek RTL8139。而Pt Receive Packet 函數主要用于接收虛擬機環境及intel 網卡環境下的數據包。兩者接收數據包的形式不同，其中Pt Receive 函數可以接收不完整的數據包，而Pt Receive Packet 必須接收整個數據包。本文在windows 環境下分別利用Protocol Receive Packet 和Protocol Receive函數對數據包進行了截獲，以提高系統的兼容性。

如圖2 所示，為采用本文方法實現的抓包實驗結果，說明本文的方法可以在接收數據包時有效的完成抓包。提高了系統的準確性和有效性。并且由于本文通過調用被注冊的接收封包函數—Protocol Receive Packet 或者Protocol Receive，保證了本文方法的兼容性。

圖2 Protocol Receive Packet 和Protocol Receive 函數抓包效果圖

圖3 核心態協議下的輸出分析結果

3 協議分析模塊的設計

核心態與用戶態組成了協議分析模塊，在內核態的實現過程中，本文根據TCP/IP 協議的格式來定義各種協議的結構，其中的函數包括struct _IP_PACKET 函數、struct _udphdr 函數和struct _tcphdr 函數等。

為了進行驗證，本文用debugview 調試輸出工具查看我們實驗的輸出結果，如圖3 所示。說明本文采用的方法是在核心態分析中得到了正確的輸出結果。

關于用戶態協議分析模塊，本文沒有進行深入的研究與實現，因為用戶態協議分析模塊涉及到應用層協議的具體分析，所以本文沒有進行深入討論。為了證明本文的方法具有普遍性和兼容性，除了對以上幾個模塊進行實現，本文對傳輸層以下的常用攻擊，利用本文的協議分析機制進行了檢測，取得了較好的效果。

land 攻擊是當今網絡中拒絕服務攻擊中的典型類型，它具有向目標機發送源IP 地址的特點，以及目的IP 地址為目標機地址的TCP SYN 發送報文的特點，按照上面的特點目標機就會對自身不斷地發送ACK 報文。因此，會導致接收的封包數量超過系統的極限值，引起整個系統信息壅塞，甚至會導致系統的崩潰。

其檢測程序段如下所示：

If(p_ip->proto == 6&& p_ip-> sourceIP== p_ip-> destIP)

{DbgPrint("This is a land attack packet")；}

類似的我們還可以對其它幾種攻擊進行檢測，比如WinNuke攻擊以及TCP 標志位錯誤等攻擊形式。

4 結論

本文提出了一種基于NDIS 的入侵檢測模型，對數據包截獲模塊和協議分析模塊進行了設計和實現。并在debugview 調試輸出工具中查看了輸出結果，輸出結果顯示本文采用的方法其丟包率與Ethereal 持平。但本文采用的方法優化了應用程序與驅動程序之間的通信，實現了核心態協議分析機制與現代網絡技術的有效結合，有效的提高了網絡入侵檢測的速度，并且進一步降低了系統的漏檢率，并且基于協議分析技術的IDS 系統具有低能耗的特點。在windows 平臺下，實現了基于NDIS 的中間層驅動的數據采集模塊的研究與設計。

[1] Microsoft Corporation.Microsoft Windows XP DDK [Z]，2001.

[2] Mark E.Russinovich, David A. Solomon.Microsoft Windows Internals,Fourth Edition:[M],Microsoft Press, 2005.

[3] 宋維.一種分布式入侵檢測基礎架構的設計與實現[D]，沈陽：東北大學，2006.

[4] 楊智君等.基于NDIS 網絡中間層驅動程序的網絡檢測器，吉林：吉林大學學報，2006