毕业设计（论文）-基于协议分析的入侵检测技术.doc

毕 业 论 文题 目 论 文 专 业 信息与计算科学 班 级 学 号 学 生 指导教师 年基于协议分析的入侵检测技术 摘 要入侵检测作为一种主动的安全防护技术，为主机和网络提供了动态的安全保障。它不仅检测来自外部的入侵行为，同时也对内部的未授权活动进行监督。利用网络协议的高度规则性，采用协议分析的方法，能较好地解决当前入侵检测系统中准确性与实时性之间的矛盾。首先，本文在介绍入侵检测系统研究现状的基础上，引入了入侵检测的定义及分类；其次，对TCP/IP协议进行了详细的阐述，将新一代的协议分析方法应用到网络入侵检测系统(NIDS)中，给出了基于模式匹配和协议分析的网络入侵检测系统模型，并对各个模块的实现进行了详细的设计；最后，利用SNORT系统中BASE（Basic Analysis System Engine）部件对系统进行了测试，测试结果表明了模型的可行性。关 键 词：入侵检测，协议分析，TCP/IP，包捕获，网络安全1Intrusion Detection Technology Based on Protocol AnalysisSpecialty: Information and Computing Science Student: Advisor:ABSTRACTAs a kind of active security defense technique, intrusion detection guarantee active security for host and Internet users. It not only detects the intrusion from the extranet hacker but also monitors intranet users. Making use of the protocol analysis and strict rules of Internet protocol, the contradiction of veracity and real-time in IDS can be well solved. Firstly, we introduced the research development of the IDS, and gave the definition and classification of IDS. Secondly, we expound the TCP/IP protocol deeply, by using the new protocol analysis method on the Network Intrusion Detection System (NIDS),we build the model of NIDS which bases on the pattern matching and protocol analysis，and designed every module detailed. Finally, making use of the BASE (Basic Analysis System Engine)， which is a component in the snort, we tested the parts of IDS, The test results indicate the feasibility of the model. KEY WORDS: intrusion detection，protocol analysis，TCP/IP，packet capture，network security目 录1. 绪论11.1研究的意义11.2 国内外发展现状22. 入侵检测系统52.1 入侵检测系统概述52.1.1 入侵检测定义52.1.2 入侵检测系统模型62.2 入侵检测的分类72.2.1 根据检测方法的分类82.2.2 根据数据源的分类102.3 小结133. TCP/IP协议分析基础143.1 TCP/IP协议层次与ISO/OSI七层对应关系143.2 TCP/IP协议中的网际层和传输层特点163.2.1 IP协议数据报格式分析173.2.2 ARP协议数据报格式分析183.2.3 ICMP协议数据报格式分析193.2.4 TCP协议数据报格式分析203.2.5 UDP协议数据报格式分析234.IDS系统的总体设计244.1 系统的目标244.2 系统设计254.2.1 一个典型的网络系统254.2.2 系统架构264.2.3 系统中IDS的组成284.2.4 检测引擎分析294.3 小结3111. 绪论1.1研究的意义随着计算机和网络技术的不断发展，系统遭受的入侵和攻击也越来越多。一方面，网络的规模越大，结构越复杂，软件的规模和数量越大，系统遭受攻击的越多；另一方面，随着计算机和网络技术的不断普及，越来越多的漏洞被人们发现，入侵者的水平越来越高，手段变得更加高明和隐蔽。因此，网络与信息安全问题越来越突出，研究信息安全的防御技术很有必要4。 据统计，信息窃贼在过去的几年里以 250%的速度增长。大多数的公司都发生过大的入侵事件，世界多数著名的商业网站都曾被黑客入侵，造成了巨大的经济损失，甚至一些专门从事网络安全的网站也曾受到过黑客的攻击。因此，检测与防范入侵攻击，保障计算机系统，网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题1。网络安全问题随着互联网的全球化，越来越受人们重视，层出不穷的攻击技术让我们不得不一再提高网络安全系统的性能，而入侵检测作为网络安全系统的一个组成部分，对其进行深入研究，具有重要意义。研究内容：TCP/IP 协议是因特网的核心协议，由于它的标准开放性和协议的不完整性，极易受到攻击，因此本课题旨在研究设计基于 TCP/IP 的网络入侵检测系统，能检测出对 TCP/IP协议的入侵，提高网络的安全性能。（1）学习入侵检测的原理和技术，研究 TCP/IP 协议的漏洞及对 TCP/IP 协议的攻击；（2）研究基于 TCP/IP 协议的网络入侵检测技术的总体方案。1.2 国内外发展现状网络安全的基本技术有很多种如：防火墙技术，加密技术，身份认证技术，数字签名技术，内容检查等。这些技术的产生，有效地提高了网络安全性能。但作为技术而言，总会存在各种不同的缺陷，攻击者们逐渐掌握了这些漏洞，就能轻易的避开这些防御措施，达到窃取破坏资源安全的目的。在这种的情况下，网络安全的研究者们提出了入侵检测这一概念，引发新一轮网络安全的研究热潮2。从1980年James P. Anderson提出入侵检测的概念至今，入侵检测系统己最近的几年，其核心技术才有了性能方面的突破，即放弃使用有较多缺点的模式匹配技术，而开始在IDS中采用协议分析技术。目前，国内外已有很多研究机构从事入侵检测系统的研究。国外的研究主要包括Stanford Research Institute的Computer Science Laboratory(SRI/CSL)，Purdue University的COAST(Computer perations Audit and Security Technology)研究小组，Columbia University的Wenke Lee研究组，University of New Mexico的Stephanie Forrest研究组，California University的GrIDS项目组等等5。在体系结构上，Purdue大学COAST小组首先将自治Agent的概念用到了入侵检测中6。在检测方法上，除专家系统、模式匹配等传统人工智能方法的研究外，还有计算机免疫系统的研究7。知识挖掘也被应用于IDS8，国外主要有Columbia大学的Wenke Lee研究小组从事这方面的研究。为了适应下一代高速网络的入侵检测，美国Iowa州立大学的Y.Guang、S.Verma等提出通过静态和动态的监测类型相结合9，建立一个准确的类型规则，构建新的规范语言，在此基础上建立IDS。美国California大学的Christopher Kruegel、Fredrik Valeur等构造了一个智能分布式IDS10；美国加州大学圣巴巴拉分校（UC Santa Barbara）提出了基于状态变迁的入侵检测1112。在采用协议分析的IDS研究中，也不乏一些有代表性的研究成果。比如文献13提出的入侵检测决策树（Decision Tree）模型；文献14提出的关于安全协议的动态分析思想；文献15提出的非法的协议域分解技术和非法的协议域编码技术；文献16提出了一种基于协议分析规则库的入侵异常检测方案。国内关于入侵检测的研究相对比较晚，但也有不少大学等研究机构也进行了相应的研究，有向智能化分布式方面发展的趋势17-22。在协议分析方面也有一些有代表性的思想，如：入侵检测协议分析状态机模型25和协议树模型21。许多国外厂商也推出了一系列相关产品。如Internet Security System公司的RealSecure，Cisco公司的NetRanger，Network Associates公司的CyberCop，Intrusion Detection公司的Kane Security Monitor for NT，Axent Technologies公司的Omni Gurad/Intruder Alert等等。这些产品各有侧重，RealSecure以简单高效著称；NetRanger针对企业设计，适用范围主要是广域网；CyberCop集成了NetRanger的引擎和攻击模式库，是NetRanger的局域网管理员版本；Kane Security Monitor for NT则在TCP/IP检测方面做得较好。国内也推出了一些入侵检测产品，如北京启明星辰信息技术有限公司的“天阗”入侵检测系统、上海金诺网络安全技术发展股份有限公司的KIDS 1000系列、3000系列入侵检测系统等等。“天阗”入侵检测系统具有良好的管理功能，能对网络入侵检测和主机入侵检测进行集中管理；金诺KIDS 入侵检测系统采用了协议状态分析、流量异常检测等智能检测技术，能对一些未知的非法入侵行为进行分析、判断，为发现新型入侵提供了帮助。2. 入侵检测系统2.1 入侵检测系统概述入侵检测系统IDS(Intrusion Detection System)是用来检测对计算机系统和网络系统，或者更广泛意义上的信息系统的非法攻击的安全措施。因为任何实际的信息系统都不可能是完全安全的，同时，他们也不可能在其整个生命周期或者每次使用中都始终保持在百分之百安全的状态之中。更进一步地说，如果我们加上过多特定的安全限制因素后，这些系统甚至是不可实现的，因此，需要采用入侵检测系统来监测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法行为。研究入侵检测系统对于网络安全的发展和应用是具有重要意义的10。2.1.1 入侵检测定义入侵是指任何企图破坏资源的完整性，保密性和有效性的行为。也指违背系统安全策略的任何事件。入侵行为不仅仅指来自外部的攻击，同时也包括内部用户的未授权行为，有时内部人员滥用他们特权的攻击也是系统安全的最大隐患2115。从入侵策略的角度来看，入侵可以分为：（1）非授权访问：如假冒身份攻击、非法用户进入网络系统进行非法操作、非法用户以未授权方式进行操作等。（2）信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失，如攻者利用窃取网络数据包从中分析出重要信息。（3）破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插重发某些重要信息。（4）拒绝服务攻击：通过对网络服务系统的干扰，从而使其无法响应正常的户请求服务。2.1.2 入侵检测系统模型1987年，Denning提出的统计分析模型在早期研发的入侵检测专家系（Intrusion Detection Expert System，IDES）中得到较好的实现，这被认为是最早的入侵检测模型。该模型主要根据主机系统审计记录数据，生成有关系统的若轮廓，并监测轮廓的变化差异发现系统的入侵行为19。如图2.1所示：更新规则规则匹配添加新规则活动规实时信息安全控制器审计数据系统轮廓攻击状态客体主体图2.1该模型主要由以下六个部分组成：（1）主体（Subjects）：指系统操作中的主动发起者，如计算机操作系统的进网络的服务连接等。（2）客体（Objects）：指系统所管理的资源，如文件、命令和设备等。基于模式匹配和协议分析的入侵检测技术研究（3）审计数据（Audit Records）：指主体对客体的实施操作时，系统产生的数据，如用户注册、命令执行和文件访问等。记录的格式由六元组构成。其中，活动（Acti指主体对目标的操作，对系统而言，这些操作包括读、写文件、登陆、退出等异常条件（Exception-Condition）指系统对主体的活动的异常报告，如违反系统件的使用权限；资源使用状况（Resource）指系统的资源消耗情况，如CPU负内存使用率等；时间戳（Time-Stamp）指活动发生的时间。（4）系统轮廓（Profiles）：用以保存主体正常活动的有关信息，具体实现依于检测方法。（5）异常记录（Anomaly Records）：由组成，来表示异常事件的发生情况。（6）活动规则（Activity Rules）：系统判断是否入侵的准则，以及当发现入行为时应采取的相应措施。2.2 入侵检测的分类入侵检测是指在特定的网络环境中发现和识别未经授权的或恶意的攻击和入侵，并对此做出反应的过程。而入侵检测系统是一套运用入侵检测技术对计算机或网络资源进行实时检测的系统工具。IDS一方面检测未经授权的对象对系统的入侵，另一方面还监视授权对象对系统资源的非法操作。2.2.1 根据检测方法的分类入侵检测技术传统上分为两大类型：异常入侵检测(anomaly detection)和误用入侵检测（misuse detection）。异常入侵检测系指建立系统的正常模式轮廓，若实时获得的系统或用户的轮廓值与正常值的差异超出指定的阈值，就进行入侵报警。异常入侵检测方法的优点是不依赖于攻击特征，立足于受检测的目标发现入侵行为。但是，如何对检测建立异常指标，如何定义正常模式轮廓，降低误报率，都是难以解决的课题；异常入侵检测技术是一种在不需操作系统及其防范安全性缺陷专门知识的情况下，就可以检测入侵的方法，同时它也是检测冒充合法用户的入侵者的有效方法。异常入侵检测方法依赖于异常模型的建立，不同模型构成不同的检测方法。它通过观测到的一组测量值偏离度来预测用户行为的变化，然后出决策判断。异常入侵检测技术一般包括以下几种：（1）统计异常检测方法。 （2）基于贝叶斯网络异常检测方法。（3）基于神经网络异常检测方法。（4）基于数据挖掘异常检测方法。（5）基于机器学习异常检测方法。（6）基于应用模式异常检测方法。误用入侵检测系指根据已知的攻击特征检测入侵，可以直接检测出入侵行为。误用检测方法的优点是误报率低，可以发现已知的攻击行为。但是，这种方法检测的效果取决于检测知识库的完备性。为此，特征库必须及时更新。误用入侵检测主要假设具有能够被精确地按某种方式编码的攻击，并可以通过捕获攻击及重新整理，确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。他通过预先定义好的入侵模式以及观察到的入侵发生情况进行模式匹配来检测。入侵模式说明了那些导致安全突破或其它误用的事件中的特征、条件、排列和关系。下面介绍几种不同的误用检测技术：（1）基于条件概率的误用入侵检测方法。基于条件概率的误用入侵检测方法将入侵方式对应于一个事件序列，然后通过观测到事件发生的情况来推测入侵出现。这种方法的依据是外部事件序列，根据贝叶斯定理进行推理检测入侵。基于条件概率的误用入侵检测方法是在概率理论基础上的一个普遍方法。它是对贝叶斯方法的改进，其缺点是先验概率难以给出，而且事件的独立性难以满足16。（2）基于专家系统的误用入侵检测方法。基于专家系统的误用入侵检测方法是通过将安全专家的知识表示成IF-THEN规则形成专家知识库，然后运用推理算法进行检测入侵23。（3）基于状态迁移分析的误用入侵检测方法。状态迁移分析方法将攻击表示成一系列被监控的系统状态迁移。攻击模式的状态对应于系统状态，并具有迁移到另外状态的条件断言。通过弧将连续的状态连接起来表示状态改变所需要的事件。允许事件类型被植入到模型，不需同审计记录一一对应。但是，攻击模式只能说明事件序列，不能说明更复杂的事件22。（4）基于规则的误用检测方法。基于规则的误用检测方法（rule-based misuse detection），是指将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为。Snort入侵检测系统就采用了基于规则的误用检测方法。这种方法的优点是能够比较准确地检测入侵行为，误报率低；其缺点是无法检测未知的入侵行为。目前大部分的入侵检测系统采用这种方法15。此外，这种方法无法发现未知的入侵行为1718。2.2.2 根据数据源的分类根据数据源的不同，目前入侵检测系统主要分为三种：基于网络的入侵检测系统、基于主机的入侵检测系统、分布式入侵检测系统。 （1）基于网络的入侵检测系统（NIDS）基于网络的入侵检测系统的数据源是网络上的数据包。通过将某台主机的网卡设为混杂模式获取和分析该网段内的所有数据包，或者直接在路由或交换设备上放置入侵检测模块。网络入侵检测设备从不同的传输介质上截获数据包，可能是多种协议的数据包，通常是TCP/IP数据包。截获后对数据包进行一系列的分析，一些NIDS只入侵分析引擎器网络安全数据库嗅探器嗅探器管理/配置网络接口分析结果是简单的将数据包和特征数据库中已有的攻击特征和恶意程序特征图2.2进行比较；也有一些比较复杂的能分析那些含有非正常活动的数据包，这些非正常活动可能会引起恶意破坏。（2）基于主机的入侵检测系统（HIDS）基于主机的入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过收集主机的其他信息（如系统调用、登陆尝试、文件访问与权限变化等）进行分析。基于主机的入侵检测系统保护的对象就是所在的主机，HIDS和NIDS的差别在于前者只关心主机本身的事件，而后者则处理主机和主机之间传输的数据。基于主机的入侵检测非常适合对抗内部入侵，因为它能对指定用户的行为和该主机文件访问进行监视和响应12。目标系统审计记录收集方法审计记录预处理误用检测异常检测安全管理接口审计记录数据归档/查询审计记录数据库审计记录图2.3（3）分布式入侵检测系统（DIDS）分布式入侵检测包含两层含义，第一层含义指针对分布式网络攻击的检测方法；第二层含义指使用分布式的方法来检测分布式的攻击。分布式入侵检测的关键在于检测信息的协同处理与入侵攻击的全局信息提取13。分布式入侵检测系统一般采用分布监视，集中管理的结构，在每个网段里放置基于网络的入侵检测引擎，同时对于重要的服务器，例如MAIL服务器、WEB服务器放置基于主机的入侵检测引擎。再通过远程管理功能在一台管理站点上实现统一的管理和监控。这种分布式的入侵检测结构，结合了HIDS和NIDS这两种检测器的优点，弥补了彼此的不足，可以进行更全面的检测。数据采集构件管理构件应急处理构件入侵检测分析构件通讯传输构件安全知识库图2.4 系统2.3 小结本章内容主要分为以下几个部分：首先详细介绍了入侵检测的系统模型，其次研究了入侵检测系统的分类、现有的入侵检测方法。3. TCP/IP协议分析基础3.1 TCP/IP协议层次与ISO/OSI七层对应关系TCP/IP的多数应用协议将OSI应用层、表示层、会话层的功能合在一起，构成其应用层，典型协议有：HTTP、FTP、TELNET等；TCP与UDP协议对应OSI的传输层，提供上层数据传输保障；IP协议对应OSI的网络层，它定义了众所周知的IP地址格式，作为网间网中查找路径的依据11；TCP/IP的最底层功能由网络接口层实现，相当于OSI的物理层和数据链路层，实际上TCP/IP对该层并未作严格定义，而是应用已有的底层网络实现传输，这就是它得以广泛应用的原因。其中几个重要的协议是：地址解析协议(ARP)、网际协议(IP)、网际消息协议(ICMP)、网际分组管理协议(IGMP)、用户数据报协议(UDP)、传输控制协议(TCP)、应用层的多个协议：FTP、Telnet、HTTP等,如图3.1所示：图3.1 OSI与TCP/IP协议的层次对应关系在数据的实际传输中，发送方将数据送到自己的应用层，加上该层的控制信息后传给表示层；表示层如法炮制，再将数据加上自己的标识传给会话层；以此类推，每一层都在收到的数据上加上本层的控制信息并传给下一层；最后到达物理层时，数据通过实际的物理媒体发送出去。如图3.2：应用层表示层会话层传输层网络层数据链路层物理层用户数据协议数据单元PDU数据段Segment数据包Packet数据帧Frame位流Bit Flow图3.2 数据发送前的封装过程接收端则执行与发送端相反的操作，由下往上，将逐层标识去掉，重新还原成最初的数据。由此可见，数据通讯双方在对等层必须采用相同的协议，定义同一种数据标识格式。如图3.3所示：应用层表示层会话层传输层网络层数据链路层物理层用户数据数据解封图3.3 数据接收中的解封装过程在各层中加入的标识成为协议安全性的主要数据，它们是协议在收发双方通信过程控制信息。3.2 TCP/IP协议中的网际层和传输层特点TCP/IP网际层有ICMP、IGMP和ARP等协议，ICMP、IGMP协议处于IP的上层，传输时被封装为IP的数据报中，ICMP用于IP传输过程进行控制消息和错误报告。ARP协议处于IP协议之下部，以广播方式发送数据报，主要用于IP地址与MAC地址进行解析10。在传输层主要有两个协议：TCP和UDP协议，TCP协议是一种面向连接的可靠的传输协议，在传输层协议中较多应用，在传输层针对TCP协议攻击也是较多。UDP是传输层另一个协议类型，是一种非面向连接的不可靠的传输协议。3.2.1 IP协议数据报格式分析在IP协议的基础上还可以运载上层协议如：TCP、UDP、ICMP、IGMP等。在RFC 760/RFC 791“网际协议(IP)”中定义17。IP报头的结构如图3.1所示18，并且IP报头的结构除选项外在所有的协议中都是固定的。表3.1 IP协议数据报头结构 Bit0 Bit15 Bit16 Bit31版本（4）头部长度（4）TOS字段（8）总长度（16）字节数标识（16）标识（3）片偏移（13）生存时间（8）协议（8）头部校验和（16）源地址（32）目标地址（32）任选项数据（上层协议数据，可变长）字节和数字的存储顺序是从右到左，依次是从低到高位，而网络存储顺序是从左到右，依次从低到高。版本：占第一个字节的高四位。头长度：占第一个字节的低四位，以四个字节为一个记数单位。服务类型：前3位为优先权字段，现在已经被忽略。接着4位用来表示最小延迟、最大吞吐量、最高可靠性和最小费用。封包总长度：整个IP数据报的长度，单位为字节。存活时间：就是封包的生存时间。通常用通过的路由器的个数来衡量比如初始值设置为32，则每通过一个路由器处理就会被减1，当值为0时就会丢掉这个包，并用ICMP消息通知源主机。协议：定义了数据的协议，分别为：TCP，UDP，ICMP或IGMP等。校验和：校验和首先将该字段设置为0，然后将IP头的每16位进行二进制取反求和，将结果保存在校验和字段。源IP地址看作是32位数值则需要将网络字的顺序转化为主机字节顺序。转化的方法是：将每4个字节首尾互换，将2，3字节互换。目的IP地址：转换方法和原IP地址一样。在网络协议中，IP是面向非连接的。所谓的非连接就是传递数据时不检测网络是否连通，所以它是不可靠的数据报协议，IP协议主要负责在主机之间寻址和选择数据报路由。3.2.2 ARP协议数据报格式分析“地址解析协议(ARP)”是所需的TCP/IP标准，在RFC 826“地址解析协议(ARP)”中定义19。ARP把基于TCP/IP的软件使用的IP地址解析成局域网硬件使用的媒体访问控制地址。为ARP报文结构如表3.2所示：表3.2 ARP报文结构硬件类型协议类型硬件长度协议长度操作（ARP请求，ARP应答）发送站硬件地址（以太网为6个字节）发送站协议地址（以太网为6个字节）目标硬件地址（IP协议地址为4个字节）目标硬件地址（IP协议地址为4个字节）ARP分组具有如下的一些字段：HTYPE（硬件类型）：以太网类型。ARP可使用在任何网络上。PTYPE（协议类型）：IPv4协议，这个字段的值是0800。HLEN（硬件长度）：以太网这个值是6。PLEN（协议长度）：IPv4协议这个值是4。OPER（操作）:已定义了两种类型：ARP请求（1），ARP回答（2）。SHA（发送站硬件地址）：这是一个可变长度字段，用来定义发送站的物理地址的长度。例如，对以太网这个字段是6字节长。SPA（发送站协议地址）：这是一个可变长度字段，用来定义发送站的逻辑（例如，IP）地址的长度。对于IP协议，这个字段是4字节长。THA（目标硬件地址）：这是一个可变长度字段，用来定义目标的物理地址的长度。例如，对以太网这个字段是6字节长。对于ARP请求报文，这个字段是全0，因为发送站不知道目标的物理地址。TPA（目标协议地址）：这是一个可变长度字段，用来定义目标的逻辑地址（例如，IP地址）的长度。对于IPv4协议，这个字段是4字节长。3.2.3 ICMP协议数据报格式分析“网际消息协议(ICMP)”是TCP/IP标准，在RFC 792“网际消息协议(ICMP)”中定义。通过ICMP，使用IP通讯的主机和路由器可以报告错误并交换受限控制和状态信息。在下列情况中，通常自动发ICMP消息：IP数据报无法访问目标；IP路由器（网关）无法按当前的传输速率转发数据报11；IP路由器将发送主机重定向为使用更好的到达目标的路由。在IP数据报中封装和发送ICMP消息。如表3.3所示：表3.3 ICMP协议数据格式IP协议报头ICMP协议单元8位类型8位代码16位校验和（不同类型和代码有不同的内容）可以使用ping命令发送ICMP回应请求消息并记录收到ICMP回应回复消息。使用这些消息，可以检测网络或主机通讯故障并解决常见的TCP/IP连接问题。3.2.4 TCP协议数据报格式分析传输控制协议(TCP)：传输控制协议(TCP)是所需的TCP/IP标准，在RFC 761/RFC 793“传输控制协议(TCP)”中定义21，提供可靠的、面向连接的数据报传递服务。传输控制协议：确保IP数据报的成功传递；对程序发送的大块数据进行分段和重组；确保正确排序以及按顺序传递分段的数据；通过计算校验和，进行传输数据的完整性检查；根据数据是否接收成功发送正确认消息；通过有选择的确认，也对没有收到的数据发送负确认。为必须使用可靠的基于会话的数据传输的程序，如客户/服务器数据库和电子邮件程序，提供首选方法。TCP工作原理：TCP基于两个网络主机之间的点对点通讯。TCP从程序接收数据并将数据处理成字节流。字节分成段，然后TCP对段编号和排序以便传递。在两个TCP主机可以交换数据之前，必须先相互建立会话。TCP会话通过三路握手的过程初始化。这个过程使序号同步，并提供在两个主机之间建立虚拟连接所需的控制信息。一旦初始的三路握手完成，在发送和接收主机之间按顺序发送和确认段。关闭连接之前TCP使用类似的握手过程验证两个主机都完成发送和接收全部数据。TCP段在IP数据报中封装和发送1213。TCP端口使用特定的程序端口来传递使用“传输控制协议(TCP)”发送的数据。TCP端口最复杂，与UDP端口操作不同。尽管UDP端口对于基于UDP的通讯作为单一消息队列和网络端点来操作，但是所有TCP通讯的终点都是唯一的连接。每个TCP连接由两个端点唯一识别。由于所有TCP连接由两对IP地址和TCP端口唯一识别（每个所连主机都有一个地址/端口对），因此每个TCP服务器端口都能提供对多个连接的共享访问。TCP程序使用保留或已知的端口号，使用TCP端口的每个程序的服务器端都对到达已知端口号的消息进行监听。所有小于1024（和一些更高的数）的TCP服务器端口号都是指定的Internet编号机构(IANA)保留和注册的。标准TCP程序使用的一些已知的TCP服务器端口。TCP端口号：20 FTP服务器（数据通道）、21 FTP服务器（控制通道）、23 Telnet服务器、53域名系统区域传送、80 Web服务器(HTTP)等。TCP协议段结构如表3.4所示：表3.4 TCP协议段报头结构源端(16)目的端口(16)序号(32)确认号(32)报头长度(4)保留(6)代位码(6)窗口(16)校验和(16)紧急指示符(16)任选项(0or32)数据（上层协议数据，可变长）TCP协议段头结构TCP协议段头结构是固定的其中的各项含意：源端口：16位的源端口包含初始化通信的端口。源端口和IP地址的作用是标识报文的返回地址。目的端口：16位的目的端口域定义传输的目的。这个端口指明报文接收计算机上的应用程序地址接口。SEQ序列号：TCP连线发送方向接收方的封包顺序号。确认序号：接收方回发的应答顺序号。头长度：表示TCP头的双字节数，如果转化为字节个数需要乘以4。URG：是否使用紧急指针，0为不使用，1为使用。ACK：请求一应答状态。0为请求，1为应答。PSH：以最快的速度传输数据。RST：连线复位,首先断开连接,然后重建。SYN：同步连线序号,用来建立连接FIN：结束连线.0为结束连线请求,1为表示结束连线。WIN窗口大小：目的机使用16位的域告诉源主机，它想收到的每个TCP数据段大小。校验和：这个校验和对头数据进行校验还对封包内容校验。URG紧急指针：当URG为1时才有效。TCP的紧急方式是发送紧急数据的一种方式。3.2.5 UDP协议数据报格式分析用户数据报协议UDP是TCP/IP标准，在RFC 768“用户数据报协议UDP”中定义22。某些程序使用UDP来代替TCP，在TCP/IP主机之间快速、轻便、不可靠地传输数据。UDP提供尽量传递的无连接数据报服务，这意味着UDP无法保证任何数据报的传递或验证数据报的顺序。验证工作交由应用层来完成，需要可靠通讯的源主机必须使用TCP或提供自身顺序和确认服务的程序。UDP协议段结构如表3.5所示：表3.5 UDP协议报头段结构源端口（16）数据端口（16）数据长度（16）校验和（16）数据4.IDS系统的总体设计4.1 系统的目标(1)系统的可扩充性：在不影响系统正常运行的情况下，新增系统的功能;(2)互动性：与其它系统的交互能力，包括其它的IDS系统、防火墙系统等;(3)时效性:系统实时响应部分尽可能达到高效;(4)友好性:用户界面友好，易使用;(5)完整性:包含事前的预防、事中的监测与响应、事后的分析与追踪;(6)安全性:系统本身安全可靠，防攻击;(7)尽可能降低误报率与漏报率。4.2 系统设计下面设计了一个典型的入侵检测系统，IDS主要由网络数据包捕获模块、网络协议解析模块、存储模块、入侵事件检测模块、规则解析模块、界面管理模块组成。4.2.1 一个典型的网络系统一般来说，一个网络都有一个或多个出口接入Internet，通过防火墙将内、外网分开，在内网中划分成若干子网，各子网通过网关或路由连接核心交机，少数子网也会直接接到核心交换机，内网中也会有对内提供服务的服务器，图4.1是一个典型的网络系统。路由器防火墙核心交换机交换机Internet防火墙路由器邮件服务器Web服务器交换机网关交换机网关共享式Hub客户机客户机数据服务器网络打印机服务器客户机客户机图4.1 一个典型的网络系统4.2.2 系统架构系统是一个基于网络环境的入侵检测模型，其体系结构如图4.2所示。从逻辑上分为数据采集、数据分析和结果显示三部分，符合CIDF的规范。界面管理模块相应模块入侵事件监测模块规则解析模块网络协议模块网络数据包捕获模块存储模块攻击特征库数据图4.2 系统架构此系统由7个模块组成:（1）网络数据包捕获模块:主要功能就是从以太网中捕获数据包。（2） 网络协议解析模块:网络协议解析模块对捕获到的数据包进行协议分析，检测出每个数据包的类型和特征。这是此系统的核心部分。（3） 存储模块:存储模块就是把协议分析后的结果存储起来，供事后分析。仔)响应模块:响应模块是对检测的结果进行实时响应。（4）入侵事件检测模块:攻击事件检测模块就是根据规则来检测入侵特征。（5） 规则解析模块:规则解析模块是把规则库中的规则进行解析并读入内存。（6）界面管理模块:界面管理模块对其他模块进行控制管理。4.2.3 系统中IDS的组成为达到事前预防、事中监测、事后分析与追踪要求，系统中的IDS应包含:扫描系统、主体IDS、IDS审计分析系统三个部分。这些IDS分布位置如图4.3所示：主控制台安全数据库分析引擎主分析控制部分管理器扫描器扫描器子网子网.扫描系统图4.3 IDS的组成1、扫描系统扫描系统对网络系统中的各种对象进行安全扫描，包括事前的扫描和事后的扫描。这些对象包括各种设备，如:主机(含服务器)、路由器、交换机、网络打印机、防火墙等;各种系统，如操作系统、文件系统、数据库系统等。总之，这里的对象是一个广泛的概念。扫描系统包括:扫描器、策略数据库，以及分布在各主机上的扫描子系统。扫描子系统分布于不同的网段，有相应的管理器集中管理，一个网络内可以分布多个扫描器来检测不同的IP地址范围，各个扫描器之间可以交换信息。2、主体IDS主体IDS是系统的核心部分，主要作用是监测入侵与响应，包括:基于主机的IDS和基于网络的IDS，以及系统控制台。显然，本系统使用的是混合型的入侵检测系统，充分发挥基于主机的IDS和基于网络的IDS两者的优点，并弥补二者的不足。3、IDS审计分析系统IDS审计分析系统主要用于对网络数据的统计分析，入