件发生器 事件分析器 事件数据库和响应单元4 个组件 本系 统网络代理端分为捕包分析 日志记录 报警 与服务器端通信 等几个模块 本系统网络代理端的结构如图1 所示  捕包分析模块采用 Winpcap 来捕获数据包, 将捕获的数据 包交给包分析引擎; 协议分析模块将数据包初步解析成 IP 包和 ARP 包, 进一步将 IP 包解析成 TCP 包 UDP 包 ICMP 包, 针对 TCP 包进一步实现应用层协议解析, 解析出 HTTP \ FTP \ P2P 等 应用层信息, 同时对分片包进行分片重组, 使用 GRETA 正则库 匹配入侵特征码检测网络攻击, 其中入侵特征库参考开源入侵 检测系统 SNORT 提供的特征库规则构建; 与服务器端通信模块 与服务器端建立连接, 相互之间通过消息进行通信, 发现入侵事 件, 写入远程服务器端数据库; 日志记录模块对将捕获的网络数 据包解析后写入日志数据库中; 报警模块一方面是通过 SMTP 协议发送报警邮件到指定邮箱, 另一方面将入侵事件写入远程 服务器端数据库和本地日志文件 本系统采用VC ++开发, 利用socket 编程实现, 数据库使用 SQL Server2000, 正则库使用微软的 GRETA 本系统网络代理 端采用的主要技术是: 1) 多线程技术捕获网络数据包, 进行协议分析和TCP 数据 流重组 Winpcap( windows packet capture) 是 libpcap 的 Windows 版 本, 是 Windows 平台下一个免费 公共的网络访问系统, 它为 win32 应用程序提供访问网络底层的能力 本系统客户端的捕 获数据包模块就是基于 Winpcap 来实现的 如果在一个繁忙的网络上进行截获, 而不设置任何过滤规 则, 那么捕获的数据包是非常多的, 同时如果应用程序不进行必 要的性能优化, 那么将会大量的丢失数据包, 因此本系统客户端 采用多线程技术来处理数据包; 在程序中使用三个线程进行操 作: 一个线程只进行捕获操作, 另一个线程进行过滤操作, 第三 个线程进行数据包处理操作 2) 深度包检测技术在协议分析的基础上将数据包解析到 应用层, 通过通信端口与通信内容相结合检测木马程序[5] 当网络中存在特洛伊木马程序通信时, 一方面木马程序使 用特定端口进行通信, 另外, 数据包载荷里面有特征码[6] 以 灰鸽子为例, 作者对其通信数据包进行分析, 它会主动去攻击者 的免费空间读取文本文件内容获取攻击者 IP 地址, 进而主动连 接控制端 TCP 8000 端口[7] 通过实验作者将捕获数据包解析 到应用层 HTTP 协议时 GET 请求包中存在类似 ip. txt 文件的请 求[8] 使用 TCP 端口8000 都作为灰鸽子木马的通信特征, 另外 通过实验截取到灰鸽子木马通信时的数据包负载长度是 9, 特 征码是 _M DKGEM 数据截图如图2 所示。  图2 使用 Ethereal 截取灰鸽子木马通讯数据包 本系统客户端基于以上入侵特征对捕获的数据包解析到应 用层, 解析出应用层协议和数据负载, 匹配木马端口特征库和入 侵特征码数据库, 达到检测扫描攻击和特洛伊木马程序的目的 3) SOCKET 编程技术实现各个 Agent 代理端之间多种通信 方式。 各个 Agent 代理端一旦检测到入侵攻击后马上报警, 一方 面向指定邮箱发送邮件, 另一方面把检测到的入侵信息写入日 志文件 写入远程服务器端数据库 各个 Agent 之间还可以通 过即时通信 文件传输实现相互之间的信息共享 4) 反弹连接技术, 主动连接服务器端 本系统客户端参考特洛伊木马中的 反弹连接 技术[9], 把 它应用到 DNIDS 中 本系统客户端一经上线, 马上主动到指定 邮箱读取邮件, 从邮件内容获得本系统管理端 IP 地址, 进行主 动连接, 从而方便了服务器端的管理 2. 3 瘦服务器端的设计 本系统的瘦服务器端与上述 Agent 代理端基本功能模块是 相同的, 但另外增加三个模块: 身份认证模块 与客户机通信模 块 全局策略设置模块 身份认证模块对登录管理端的管理员 用户进行一个身份认证; 与客户机通信模块与客户端建立连接 后, 可以根据全局配置策略向客户机下达命令; 全局策略模块从 |
