分布式入侵检测系统数据分析模块及特征库组建.docVIP

分布式入侵检测系统数据分析模块及特征库组建 　　摘要：为了应对越来越复杂的网络环境，为教学网络开发的分布式入侵检测系统可以对来自网络内外的恶意入侵和不良信息进行有效的预警和响应。系统的逻辑结构划分为数据采集模块、数据分析模块、数据库模块、管理控制平台模块和通信模块，本文对数据分析模块进行了详细的阐述，并在数据分析的基础上形成系统自己的特征库。 　　关键字：网络安全 入侵检测 数据分析 模式匹配 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）22-5056-02 　　1 数据包的解析 　　数据解析就是把数据包层层剥开，确定该包属于何种协议，有什么特征，并标记到某一全局变量中，从而有利于后来的数据分析。 　　在日常的网络中，IP、TCP、UDP、ICMP数据包是应用最为多的几类数据包，IP协议，中文是网际协议，是TCP/IP协议族群中应用最多的协议，该协议工作在???络层，是一种无连接的不可靠的数据报协议；TCP（transmission control protocol）是传输控制协议，为不可靠的因特网上提供了一种可靠的、端对端的字节流通信的协议，工作在传输层。UDP（User Datagram Protocol），即用户数据报协议，主要用来支持那些需要在计算机之间传输数据的网络应用，和TCP协议一样，也是工作在传输层。ICMP（Internet Control Message Protocol）是网际控制信息协议。TCP/IP设计了ICMP一种差错和控制报文协议，不仅用于传输差错报文，还传输控制报文。当网关发现传输错误时，立即向源主机发送ICMP报文，报告出错信息，让源主机采取相应处理措施。 　　IP层的分组时数据报，是一个变长的分组，由首部和数据两部分组成，在传输的过程中，如果数据报长度过长可以分片，一个分片了的数据报还可以再分片，同一数据报的所有分片数据报的标示字段值相同，而不同的标志字段的值对分片有不同的要求，分片偏移则是指明了该片数据报在整个数据报中的位置。 　　使用TCP协议传送的数据单元被称为报文段有首部和数据两部分组成。 　　UDP用户数据报的每一个数据报的前8个字节用来包含报头信息，剩余字节则用来包含具体的传输数据。UDP协议使用端口号为不同的应用保留各自的数据传输通道。UDP协议使用报头中的校验值来保证数据的安全，与TCP协议不同，UDP要求必须具有校验值。 　　2 特征库的建立 　　因为本系统是基于Snort的，借鉴了Snort的规则模式，所以这里特征库又称为规则库，在前文中已经简单介绍了Snort规则的基本语法结构，网络上有一部分Snort规则的资源，可以下载来用，但是要想教学网络分布式入侵检测系统更好的适用于其所在的环境，还必须编写自己的规则，建立自己的特征库。 　　编写自己的规则有两种基本的方法： 　　1）对已有规则进行修改或添加，这种方法可以调整规则，使它更加有效。可以通过对误报的分析，一步一步来完善规则。 　　2）创建自己的新规则。 　　规则由规则头和规则体组成，它不但要求熟悉规则的语法结构，还要求了解入侵信息的特征，往往通过研究一个新的漏洞或攻击时，采用流量分析来创建新规则，它也被用来提炼和修改已存在的规则。有一个经典的分析工具WinDump被大家广泛采用。 　　WinDump是Windows平台下的一款免费的网络协议分析软件，它可以捕捉网络上两台计算机之间所有的数据包，供网络管理员做进一步流量分析。由于它是免费的。所以在网络上有很多的资源下载。 　　规则可以以文档的方式存放在硬盘上，也可以建成数据库的形式存放。建成数据库的形式要根据规则的格式设置表的属性。规则由规则头和规则选项两部分组成，规则头有响应动作，协议，源、目的IP和源、目的端口组成，这些字段是必需的，所以在表中可以设置相应的固定的属性。规则选项是可以不存在的，所以可以建立两个表，把规则头设置为主表，把规则选项设置成副表，通过外键使两表相连。在数据分析过程中，进行规则与数据流的匹配时可以根据各个字段的匹配。 　　入侵监测系统要求不断加强，其首要表现就在于规则的增强上，不但要不断对已有的规则进行修改和更新，还要给规则库添加新的规则。现阶段在本系统中还是手动地改写规则库中的规则，如何让它能够根据不合法行为自动地更新，增强系统的自学习能力，是入侵监测系统上还需深入研究的问题。 　　3 特征库中的部分规则介绍 　　本系统的规则特征库主要来自三部分，一方面是Snort官方网站上提供了很多成熟的规则，本系统根据自身软硬件环境以及其所在网络的特点对部分规则进行了运用，第二种就是对snort已有的部分规则的修改，最后一部分是根据规则特点自己编写的，下面对部分规则进行简单介