針對(duì)無(wú)線網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)

作者：時(shí)間：2011-09-15 來(lái)源：網(wǎng)絡(luò)

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對(duì)面交流
  海量資料庫(kù)查詢(xún)

3 無(wú)線網(wǎng)絡(luò)入侵 檢測(cè)系統(tǒng)核心模塊實(shí)現(xiàn)

本文引用地址：http://www.biyoush.com/article/161487.htm

　　分布式入侵 檢測(cè)系統(tǒng)分為3 個(gè)部件，（1）探測(cè)器。對(duì)應(yīng)信息采集和預(yù)警層，下設(shè)探頭和數(shù)據(jù)采集模塊；（2）分析器對(duì)應(yīng)綜合分析決策層，下設(shè)協(xié)議解碼模塊、預(yù)處理模塊和檢測(cè)分析模塊；（ 3 ）控制管理器。對(duì)應(yīng)控制管理層，下設(shè)規(guī)則解析模塊、日志模塊和響應(yīng)報(bào)警模塊。本文將重點(diǎn)介紹數(shù)據(jù)預(yù)處理、數(shù)據(jù)檢測(cè)與分析和規(guī)則解析三個(gè)模塊。

　　3.1 數(shù)據(jù)預(yù)處理模塊

　　預(yù)處理模塊對(duì)得到的數(shù)據(jù)包進(jìn)行預(yù)處理，一方面可發(fā)現(xiàn)入侵信息，另一方面為檢測(cè)分析模塊做最后的準(zhǔn)備。預(yù)處理模塊采用了插件技術(shù)，可以很方便地增加功能，使系統(tǒng)具有可擴(kuò)展性。與預(yù)處理相關(guān)的函數(shù)以鏈表的形式存在于動(dòng)態(tài)鏈接庫(kù)中，如圖6 所示。

　　圖6 數(shù)據(jù)預(yù)處理模塊處理過(guò)程

　　預(yù)處理函數(shù)是由控制管理器來(lái)配置的?？刂浦行膶⑴渲靡?guī)則和預(yù)處理函數(shù)一起傳送到各檢測(cè)引擎，檢測(cè)引擎在進(jìn)行規(guī)則解析時(shí)，自行識(shí)別預(yù)處理指令，并作相應(yīng)的處理。在IP 報(bào)文的首部包含了分片和重組的信息，如圖7 所示。

　　圖7 IP 包（32 位）格式

　　（1）IdenTIficATIon ：唯一標(biāo)識(shí)發(fā)送端的一個(gè)IP 報(bào)文，如果需要分片，則所有分片具有相同的標(biāo)識(shí)，這樣目標(biāo)主機(jī)便能夠根據(jù)源主機(jī)的IP 地址以及該標(biāo)識(shí)來(lái)組合報(bào)文；（2）R：保留未用；（3）D： “ 不分片” 位，置為1，則IP 層不將數(shù)據(jù)報(bào)分片，只有為0 時(shí)才允許分片；（4）F： “ 更多分片” 位，為1 表示后面還有數(shù)據(jù)報(bào)的更多分片，為0 則表示這是數(shù)據(jù)報(bào)的最后一個(gè)分片；（5）Fragment Offset ：分片偏移，指出該分片數(shù)據(jù)在原始數(shù)據(jù)報(bào)文（未分片前）相對(duì)于起點(diǎn)的位置，實(shí)際位置為偏移值乘以8，如為0 則表示這是分片后的第一個(gè)信息包，放在組合后分組的最前面。

　　IP 重組的函數(shù)中定義了每一個(gè)分片的結(jié)構(gòu)為：

　　STruct IpFrag

　　{

　　dint offset ； //IP 分片的偏移值

　　int end ： // 分片的最后字節(jié)

　　int len ； // 分片的長(zhǎng)度

　　u char mff ； // 更多的分片標(biāo)志

　　unsigned char *ptr ； // 指向分片包中的數(shù)據(jù)

　　struct IpFrag *ipf next ；//鏈接的下一個(gè)分片

　　}；

　　些分片形成一個(gè)單向鏈表，表示一個(gè)尚未組裝完的分片隊(duì)列，它屬于一個(gè)IP 報(bào)文，而分片鏈表的頭指針?lè)旁贗pHeader 結(jié)構(gòu)中：

　　struct IpHeader

　　{

　　struct IpFrag ； // 第一個(gè)IP 分片

　　int len ； // 報(bào)文長(zhǎng)度

　　struct timer list timer ； // 定時(shí)器

　　u_char Proto ； // 協(xié)議類(lèi)型

　　u_short Ip_ttl ； // 生存時(shí)間

　　u_short id ； //IP 標(biāo)識(shí)

　　struct in addr Ip-Src ，Ip_Dst ； //IP 報(bào)文的源，目的

　　IP 地址

　　struct IpHeader *next ； // 下一個(gè)IP 報(bào)文

　　} ；

　　IpHeader 描述還未收到全部分片報(bào)文結(jié)構(gòu)，多個(gè)Ip-Header 構(gòu)成的鏈表形成一個(gè)重裝鏈表，等待其他分片到達(dá)后重裝。

　　3.2 數(shù)據(jù)檢測(cè)分析模塊

　　檢測(cè)分析模塊對(duì)預(yù)處理模塊提交的數(shù)據(jù)，運(yùn)用匹配算法和規(guī)則庫(kù)中的規(guī)則進(jìn)行比較分析，從而判斷是否有入侵行為。檢測(cè)分析模塊是檢測(cè)引擎的核心，它將從數(shù)據(jù)采集模塊傳來(lái)的數(shù)據(jù)順著規(guī)則鏈表與入侵規(guī)則進(jìn)行比較，如果匹配成功，則說(shuō)明檢測(cè)到了入侵，同時(shí)產(chǎn)生報(bào)警。其流程如圖8 所示。