| 引 言 随着计算机网络越来越成为在当今社会生活不可缺少的一 部分, 随之而来的网络安全的问题也越来越明显 近年来, 频频 发生网络攻击事件, 给受害者带来重大损失 2009 年 5 月播放 软件暴风影音导致的南方六省断网事件 2010 年 1 月搜索引擎 公司百度被自称是伊朗网军的黑客组织入侵, 导致网民无法正 常登陆百度网站达8 小时等事件已经表明网络安全问题已经成 为刻不容缓的问题 作为网络安全的 第二道闸门 的入侵检测技术, 部署在防 火墙之后, 能够实时检测网络流, 通过对捕获的数据包进行分析 处理, 匹配入侵特征库, 来检测各种入侵攻击[1] 在分布式入 侵检测系统中, 策略统一由控制台定义 管理, 控制台按照分发 协议将策略 推 到各个 Agent 客户端, 再由各个 Agent 客户端 实施策略[2] 因为分布式入侵检测系统能够解决传统集中式 的入侵检测存在的一些问题, 目前对分布式入侵检测系统的研 究已经成为一个热点领域 特洛伊木马程序作为一类主要的恶意代码, 自诞生以来因 其隐蔽的远程监控和侵犯个人隐私给互联网用户带来巨大的危 害, 因此网络敲诈勒索事件频频发生 恶意攻击者利用木马程 序构建僵尸网络, 并据此进行分布式拒绝服务攻击和发送垃圾 邮件, 严重威胁到大面积互联网的安全 据统计, 网页挂马已经 成为地下黑客产业链中的支柱产业 因此对特洛伊木马的攻击 检测刻不容缓 本文基于深度包检测技术实现了一个分布式特洛伊木马检 测系统, 各个 Agent 代理端将数据包解析到应用层, 通过正则表 达式方法检测特洛伊木马攻击, 取得良好的效果 1 基于正则表达式的深度包检测技术 1956 年, 数学家 Stephen Kleene 提出了正则表达式, 主要通 过字符的格式匹配进行词法分析 正则表达式要自动完成与字 符串的匹配工作, 需要通过正则表达式匹配引擎 正则表达式 匹配引擎通常采用自动机理论, 将正则表达式编译成有限状态 自动机 当前对正则表达式匹配引擎的研究主要集中在深度报 文检测领域 当前最著名的基于正则表达式的协议识别系统就是 L7.. Filter, 它是Linux 的Netfilter / Iptables 上一个开放源代码的软件, 实现了应用层协议的识别[3] 其他正则库还有 Boost CAtlReg Greta 等 Boost 内容复杂, 且需要一步步编译, CAtlreg 不能在 VC6 下用,GRETA 是微软研究院推出的一个正则表达式模板 类库, GRETA 包含的 C + + 对象和函数, 仅有 6 个文件, 使字符 串的模式匹配和替换变得容易 深度报文检测, 也称报文内容检测, 是防火墙 IDS / IPS 应 用层协议识别 网络监控 流量控制 内容审计等应用中的一项 重要技术 传统的数据包过滤技术只检查包中网路层的 IP 报 头和传输层的报头, 能控制站点之间 网络之间的访问, 但不能 控制传输的数据内容, 因为内容是应用层数据; DPI 技术对数据 包进行网络层上的解析的前提下, 进一步进行基于应用层协议 的解析, 清楚地知道数据包各个数据位上的含义[4] 目前深度 报文检测主要集中在研究入侵检测系统如何采用正则表达式检 测报文中是否含有恶意代码, 例如在入侵检测系统 Snort 和 Bro 中引入了正则表达式来表示规则 综合以上, 作者研究实现了一个基于 DPI 技术, 应用 GRETA 正则库进行模式匹配的分布式的特洛伊木马检测系统 2 分布式入侵检测系统设计与实现 2. 1 设计目标 据统计, 特洛伊木马程序 计算机病毒和蠕虫是当今最主要 的网络安全威胁 因此对于特洛伊木马等网络攻击的检测可以 加强网络安全 本系统采用分布式结构, 通过部署在局域网内部各个位置 网络代理相互协作运行, 可以对特洛伊木马等攻击进行有效检 测, 达到加强网络安全的目的 当各个网络代理发现木马通信 以后, 马上将入侵事件上报瘦服务器端, 同时也会发送邮件进行 报警 同时, 各个代理端 Agent 之间也可以通过即时通信 文件 传输等方式进行入侵信息的共享, 这样从服务器端就可以对整 个局域网络进行实时监控 2. 2 网络代理端的设计 本系统网络代理端的设计参考通用入侵检测框架 CIDF ( Common Intrusion Detection Framework), CIDF 系统框架分为事 |
