信息對(duì)抗技術(shù)PPT演示文稿

1、1信息對(duì)抗技術(shù)信息對(duì)抗技術(shù)韓 宏2入侵檢測(cè)3入侵檢測(cè)系統(tǒng)定義n入侵檢測(cè)系統(tǒng)是通過諸如，數(shù)據(jù)審計(jì)，網(wǎng)絡(luò)報(bào)文分析等手段，檢測(cè)各種入侵行為，保證網(wǎng)絡(luò)安全。英文是intrusion detection system （ids）。4ids的存在理由 網(wǎng)絡(luò)防護(hù)中僅使用防火墻、訪問控制、加解密技術(shù)并不能徹底解決安全問題。n因?yàn)槭紫热肭终呖蓪ふ曳阑饓驮L問控制背后敞開的后門；n其次防火墻完全不能阻止內(nèi)部襲擊；n第三，由于性能限制，防火墻通常不能提供實(shí)時(shí)入侵檢測(cè)能力，而訪問控制對(duì)取得根權(quán)限的入侵者束手無策。n另外，加解密認(rèn)證技術(shù)不能完全杜絕ip欺騙、重放攻擊(replay attack)等入侵。特別對(duì)于危害十分

2、嚴(yán)重的緩沖區(qū)溢出（buffer overflow）攻擊，以上傳統(tǒng)技術(shù)均無有效防護(hù)措施。 5ids的歷史n在80年代就開展了早期基礎(chǔ)理論研究工作。隨著計(jì)算機(jī)系統(tǒng)軟、硬件飛速發(fā)展，以及網(wǎng)絡(luò)技術(shù)、分布式計(jì)算、系統(tǒng)工程、人工智能等計(jì)算機(jī)新興技術(shù)與理論的不斷完善，入侵檢測(cè)理論也在發(fā)展變化中，至今仍未形成比較成熟的理論體系 67ids的分類n根據(jù)檢測(cè)原理可分為異常入侵檢測(cè)，誤用入侵檢測(cè)。n根據(jù)數(shù)據(jù)來源和系統(tǒng)結(jié)構(gòu)可分為基于主機(jī)的入侵檢測(cè)和基于網(wǎng)絡(luò)的入侵檢測(cè)和分布式入侵檢測(cè)。8誤用入侵檢測(cè)n或稱為基于特征的入侵檢測(cè)系統(tǒng)（signature-based ids） 必須從一個(gè)或多個(gè)網(wǎng)絡(luò)數(shù)據(jù)包或?qū)徲?jì)數(shù)據(jù)中提取出特定

3、模式。如果這些模式與已知入侵模式匹配，系統(tǒng)就能檢測(cè)出攻擊，因此它只能鑒別已知模式，不能檢測(cè)新型攻擊。同時(shí)，對(duì)特征錯(cuò)誤理解將產(chǎn)生誤報(bào)。獲取特征有多種方法，包括手工提取特征和用傳感器自動(dòng)學(xué)習(xí)等。 9snort是誤用入侵檢測(cè)的代表n網(wǎng)站：n該軟件是開源軟件。其基本原理是將網(wǎng)卡設(shè)定為混雜模式，然后監(jiān)聽網(wǎng)絡(luò)上的報(bào)文，并將報(bào)文和用戶自定義的規(guī)則進(jìn)行比較，如果滿足規(guī)則，則會(huì)根據(jù)用戶要求將該次匹配命中的事件紀(jì)錄到日志。10n一個(gè)簡(jiǎn)單的規(guī)則如下： alert tcp any any - any 7026 (msg: “glacier”).這條規(guī)則的意思是：凡是從任何機(jī)器的任何端口到任何

4、機(jī)器的7026端口的tcp訪問，就紀(jì)錄下來，而紀(jì)錄的名字為glacier. 因?yàn)楹箝T冰河的缺省端口實(shí)7026所以滿足該規(guī)則的就可能是冰河11n紀(jì)錄下來的日志具有如下格式：* 1:0:0 glacier *priority: 0 02/14-09:32:25.367646 11123- 47 7026tcp ttl:255 tos:0 x0 id:46482 iplen:20 dgmlen:6012nsnort的規(guī)則中還有一個(gè)重要的選項(xiàng)，就是content，它指出如果報(bào)文中包含指定的字符串就告警。alert tcp any any - any a

5、ny (content: “hell”).比如上面的規(guī)則就表明，如果報(bào)文中包含hell字符串就告警。13n很明顯，snort的準(zhǔn)確率依賴規(guī)則的準(zhǔn)確性，更為重要的是，其判斷依據(jù)往往會(huì)造成虛假告警或遺漏。nsnort也對(duì)其加以改進(jìn)。比如，它增加了一中規(guī)則叫動(dòng)態(tài)規(guī)則，就是，當(dāng)一個(gè)規(guī)則滿足后，檢測(cè)另外一條規(guī)則。這里有一定專家系統(tǒng)的影子。14nsnort在網(wǎng)絡(luò)抓包方面，使用了一種libpcap庫(kù)，這是unix上的一個(gè)抓包庫(kù)，再linux和windows上都有相關(guān)的版本，windows上叫winpcap?？梢栽趙inpcap網(wǎng)站上下載到相關(guān)軟件。15異常入侵檢測(cè)n基于異常的入侵檢測(cè)系統(tǒng)(anomaly-b

6、ased ids)，其思路如下：正常系統(tǒng)有一“正?；鶞?zhǔn)”，如cpu利用率、磁盤活動(dòng)、用戶注冊(cè)、文件活動(dòng)等等。一旦偏離這一“正?；鶞?zhǔn)”，檢測(cè)系統(tǒng)將觸發(fā)?；诋惓z測(cè)的主要優(yōu)點(diǎn)是能識(shí)別新型攻擊。但正常操作產(chǎn)生變化時(shí)會(huì)導(dǎo)致誤報(bào)，而入侵行為表現(xiàn)為正常又將導(dǎo)致漏報(bào)，且系統(tǒng)很難確定攻擊類型。 16n檢測(cè)用戶行為模式是一種異常入侵檢測(cè)。nh. s. javitz and a. valdes. the sri ides statistical anomaly detector. in proceedings of the 1991 ieee symposium on security and privacy,

7、 pages 316c326, oakland, california, may 20c22, 1991. ieee computer society press. 17基于系統(tǒng)調(diào)用序列的免疫系統(tǒng)n該系統(tǒng)認(rèn)為，對(duì)任何系統(tǒng)而言，存在一個(gè)基因庫(kù)，該庫(kù)中的基因是如下定義的：即一組系統(tǒng)調(diào)用序列，比如長(zhǎng)度為45個(gè)系統(tǒng)調(diào)用。例如：socketbindlistenaccept.就是一個(gè)基因。n通過在正常無攻擊環(huán)境下運(yùn)行一個(gè)網(wǎng)絡(luò)服務(wù)程序，可以得到其基因庫(kù)。然后在檢測(cè)時(shí)，比較這些庫(kù)，如果基因出現(xiàn)偏差，就意味著異?；蚬舭l(fā)生。18n參見相關(guān)文章nstephanie forrest, steven hofmeyer

8、, a sense of self for unxi processes. in proceedings of the 1996 ieee symposium on security and privacy. 1996.nsteven a. hofmeyr, stephanie forrest, intrusion detection using sequences of system calls, journal of computer security 1998.19按ids結(jié)構(gòu)分類n基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)系統(tǒng) 基于主機(jī)的入侵檢測(cè)系統(tǒng)歷史最久，多用戶計(jì)算機(jī)系統(tǒng)出現(xiàn)不久已有

9、雛形。最早用于審計(jì)用戶的活動(dòng)，比如用戶的登陸、命令操作、應(yīng)用程序使用資源情況等方面。此類系統(tǒng)一般使用操作系統(tǒng)的審計(jì)日志作為輸入，某些也會(huì)主動(dòng)與主機(jī)系統(tǒng)交互獲得其它信息。收集的信息集中在系統(tǒng)調(diào)用和應(yīng)用層審計(jì)上，試圖從日志記錄中判斷出濫用和入侵事件的線索。典型的有nides和netstat 20n基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) 由于來自網(wǎng)絡(luò)的攻擊事件逐漸成為信息系統(tǒng)的最大威脅，因而基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)具有重要價(jià)值。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)監(jiān)聽網(wǎng)絡(luò)原始流量，通過線路監(jiān)聽手段對(duì)捕獲的網(wǎng)絡(luò)報(bào)文進(jìn)行處理，從中獲取有用的信息。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通過流量分析提取特征模式，與已知攻擊特征匹配或

10、與正常網(wǎng)絡(luò)行為原型比較識(shí)別出攻擊事件，如snort、bro。與基于主機(jī)的入侵檢測(cè)不同，基于網(wǎng)絡(luò)的ids更適用于檢測(cè)系統(tǒng)應(yīng)用層以下的底層攻擊事件 21n混合分布式入侵檢測(cè)系統(tǒng)混合分布式入侵檢測(cè)系統(tǒng) 合分布式入侵檢測(cè)系統(tǒng)能從不同的主機(jī)、網(wǎng)絡(luò)組件、或通過網(wǎng)絡(luò)監(jiān)聽方式收集數(shù)據(jù)，系統(tǒng)可利用網(wǎng)絡(luò)數(shù)據(jù)也可收集分析來自主機(jī)系統(tǒng)的高層事件發(fā)現(xiàn)可疑行為。 22掌握libpcapn掌握libpcap可以為我們自主開發(fā)基于網(wǎng)絡(luò)的入侵檢測(cè)提供方便。23主要內(nèi)容： 一、winpcap使用介紹 二、面象對(duì)象對(duì)winpcap的封裝。24一、winpcap介紹 winpcap是unix下的libpcap移植到windows下的

11、產(chǎn)物,他是一個(gè)free and open source的項(xiàng)目。winp-cap工作于驅(qū)動(dòng)(driver)層，所以能以很高的效率進(jìn)行網(wǎng)絡(luò)操作。一、winpcap提供了以下強(qiáng)大的功能： 1捕獲原始的數(shù)據(jù)包 見源碼：capturepacket 2設(shè)置filter,只捕獲自己感興趣的數(shù)據(jù)包253方便的把捕獲的數(shù)據(jù)包輸出到文件和從文件輸入 見源碼：dumptofile4發(fā)送原始的數(shù)據(jù)包 見源碼 sendpacket5統(tǒng)計(jì)網(wǎng)絡(luò)流量 見源碼：displaystatus26二、winpcap的安裝使用方法 1到http:/winpcap.polito.it下載winpcap的安裝包， 程序員開發(fā)包。2執(zhí)行安裝

12、包，運(yùn)行winpcap 程序3解壓開發(fā)包，在vc的option的include和lib中加 入winpcap的include和lib274. 在你的程序中加入#include ,#include .然后在工程的setting中加入預(yù)定義宏:wpcap,hav e_remote.導(dǎo)入wpcap.lib, wsock32.lib庫(kù)5編寫wpcap程序28三、winpcap的一些基本的功能的實(shí)現(xiàn) （一）捕獲數(shù)據(jù)包 1、. 枚舉所有的可用的設(shè)備pcap_findalldevs_ex （可選） 2. 通過名字打開一個(gè)設(shè)備pcap_open() 3、在這里可以打開一個(gè)文件，只是在打開這個(gè)文 件之前需要通過

13、pcap_createsrcstr創(chuàng)建相應(yīng)的name string 4、設(shè)置filterpcap_compile, pcap_setfilter (可選) 5、 捕獲數(shù)據(jù)29 有幾種捕獲數(shù)據(jù)的方法（捕獲數(shù)據(jù)的數(shù)據(jù)都是最原始的數(shù) 據(jù)包，即包含數(shù)據(jù)鏈路層的數(shù)據(jù)頭）a 是以回調(diào)的方式 pcap_loop,pcap_dispatch() . 這兩種方法基本相同，底層收集數(shù)據(jù)包，當(dāng)滿足一定的條件（timeout 或者緩沖區(qū)滿），就會(huì)調(diào)用回調(diào)函數(shù)，把收集到 的原始數(shù)據(jù)包s,交給用戶。他們返回的數(shù)據(jù)緩沖區(qū)包含多個(gè)包 例子見：capturepacketb. pcap_next_ex()的方式每當(dāng)一個(gè)包到到達(dá)以

14、后，pcap_next_ex就會(huì)返回，返回的數(shù)據(jù)緩沖區(qū)里只包含一個(gè)包。 30（二）發(fā)送數(shù)據(jù)包 winpcap中有發(fā)送單個(gè)包和發(fā)送多個(gè)包的方法。這里只說說發(fā)送單個(gè)包1 通過名字打開一個(gè)設(shè)備pcap_open2 自己構(gòu)造一個(gè)原始數(shù)據(jù)包（這個(gè)數(shù)據(jù)包會(huì)不經(jīng)過任何處理就發(fā)送出去，所以必須把包中的各個(gè)字段設(shè)置好。另外這個(gè)數(shù)據(jù)包是包含數(shù)據(jù)鏈路層報(bào)頭的）3 使用pcap_sendpacket()發(fā)送數(shù)據(jù)包見源碼sendpacket工程31（三）統(tǒng)計(jì)網(wǎng)絡(luò)流量 通過名字打開一個(gè)設(shè)備pcap_open通過 read_timeout來設(shè)置統(tǒng)計(jì)的時(shí)間間隔 設(shè)置filterpcap_compile, pcap_setfi

15、lter (可選) 設(shè)置設(shè)備的為統(tǒng)計(jì)模式 pcap_setmode(mode _stat); 4. 開始統(tǒng)計(jì)，pcap_loop/pcap_dispatch() 5在回調(diào)函數(shù)中的參數(shù)中就包含了統(tǒng)計(jì)信息 32/下面是一個(gè)應(yīng)用winpcap寫的一個(gè)網(wǎng)絡(luò)流量統(tǒng)計(jì)的例子，也可參見 源碼displaystatus工程/ nettraffic.cpp : defines the entry point for the console /application.#include stdafx.h#include #include #include #include 33using namespace std

16、;/-/-void dispatcher_handler(u_char* user_data, const struct pcap_pkthdr * pkthdr, const u_char *pktdata);/-int main(int argc, char* argv)int i;pcap_if_t* alldevs;34pcap_if_t* dev;char errorbufpcap_errbuf_size;int choice;pcap_t* stathandle;wsadata wsadata;struct timeval timestamp;if( wsastartup( mak

17、eword(2,2), &wsadata) != 0 )cerrwsastartup failed wsagetlasterror() “ endl;return (-1);35/enum all deviceif( pcap_findalldevs_ex( pcap_src_if_string, null, &alldevs, errorbuf ) = -1 )wsacleanup();cerrpcap_findalldevs_ex failed! (errorbuf)next )cout+itnameendl;if( i= 0 )wsacleanup();cerrno device fou

18、nd!endl;return (-2);37/let user choicewhile( 1)coutchoice;if( choice = 1 & choice =i )break;cerrinput error, you shall choice a device from upon list“endl;38/move to the choosen devicefor( i=0, dev = alldevs; inext );if( (stathandle = pcap_open( dev-name, 100, pcap_openflag_promiscuous, 500,null, er

19、rorbuf ) ) = null )cerropen device failed! device:name errorbufendl;39pcap_freealldevs( alldevs );wsacleanup();return (-3);coutis stat name .ts.tv_sec - tstamp.tv_sec)*1000000 tstam p.tv_usec + pkthdr-ts.tv_usec;pps.quadpart = (*(longlong*)(pktdata) * 1000000 ) / delay;bps.quadpart = (*(longlong*)(p

20、ktdata + 8) * 1000000 ) / delay;42struct tm* ltime = localtime( &(pkthdr-ts.tv_sec) );strftime( strtime, sizeof(strtime),%h:%m:%s, ltime);printf(%s:, strtime );printf(tpps=%i64utbps=%i64urn,pps.quadpart, bps.quadpart);tstamp = pkthdr-ts;43 二、面象對(duì)象對(duì)winpcap的封裝 1、封裝的原因： winpcap提供的是c函數(shù)，是面向過程的 對(duì)包進(jìn)行協(xié)議解析。 2

21、、封裝的目標(biāo)： 使對(duì)winpcap的操作類似于對(duì)文件的操作。 register,open,close,443、封裝的申明class ccapture private:pcap_t * adhandle;char buff1536;ccapcallback * pcallbackobject;pcap_t * open(int );int getpackets(pcap_t *adhandle,char * pbuf,int len,int packetcount,int &reallen);int close(pcap_t *adhandle);public:ccapture();ccaptu

22、re();int capregister(ccapcallback * pcbobject);int capopen(int nic);int capclose();45class ccapcallbackprivate:public:ccapcallback();ccapcallback();virtual handlepacket(char * buff,int len);46/ 這個(gè)文件包括兩個(gè)類的實(shí)現(xiàn) ccapture ccapcallback/*說明：ccapcallback是一個(gè)純虛類，不能直接使用，必須繼/*承后才能使用，ccapcallback 作為類ccapture 的接口類

23、，*/#include stdafx.h#include wcapdll.hpcap_t * adhandle;struct tm *ltime;char timestr16;struct pcap_pkthdr *header;const u_char *pkt_data;int res;export_packet recvpacket;int decode_iph(pexport_packet packet);int decode_eth(char *buff,const unsigned char *packetbuf,int len);47/ 以下是ccapture 類的實(shí)現(xiàn)/ccap

24、ture:ccapture() ccapture:ccapture() int ccapture:capregister(ccapcallback * pcbobject) if (pcbobject) pcallbackobject=pcbobject;return 0; elsereturn -1;48int ccapture:capopen(int nic)int result;int realbytes;adhandle=open(nic);if (adhandle=null)return -1;while (1)result=getpackets(adhandle,buff,1536

25、,1,realbytes);pcallbackobject-handlepacket(buff,realbytes);if (result!=1)break;return -1;49int ccapture:capclose()int res=0;res=close(adhandle);return res;50pcap_t * ccapture: open(int nic)/static pcap_t * adhandle; pcap_if_t *alldevs; pcap_if_t *d; int i=0;int nictotal=0; char errbufpcap_errbuf_siz

26、e; /* retrieve the device list from the local machine */ if (pcap_findalldevs( &alldevs, errbuf) = -1) fprintf(stderr,error in pcap_findalldevs_ex: %sn, errbuf); return null; 51 /* print the list */ for(d= alldevs; d != null; d= d-next) nictotal+; / check the paramer if (nicnictotal-1) | (nictotal=0

27、) )return null;for(d=alldevs, i=0; inext, i+); 52/* open the device */ if ( (adhandle= pcap_open_live(d-name, / name of /the device8000, / portion of the packet to capture / 65536 guarantees that the whole packet will be /captured on all the link layers1, / promiscuous mode1000, / read timeout errbu

28、f / error buffer) ) = null) fprintf(stderr,nunable to open the adapter. %s is not supported by winpcapn, d-name); /* free the device list */ pcap_freealldevs(alldevs); return null; 53 /* we dont need any more the device list. free it */ pcap_freealldevs(alldevs);/messagebox(null,this is a test,examp

29、le,mb_ok);#ifdef debug printf(%sn,open succeed);#endifreturn adhandle;54int ccapture:getpackets(pcap_t *adhandle,char * pbuf, int len,int packetcount,int &reallen) int count=0; reallen=0; u_int retainlen=len; zeromemory(void *)pbuf,len); while(res = pcap_next_ex( adhandle, &header, &pkt_data) = 0)55

30、 if(res = 0) continue;/36 reference to the size of the ethernet_frameif (retainlen=(header-len+36) /resolve the packetdecode_eth(pbuf,pkt_data,header-len); / decide whether to receive the next packetpbuf+=(sizeof(export_packet)+header-len);count+;56reallen+=header-len+36;retainlen-=(sizeof(export_pa

31、cket)+ header-len);if (retainlen=36)#ifdef debugprintf(%sn,memory size less than 36 and exit);#endifreturn count;57if (retainlenlen+36)#ifdef debugprintf(%sn,retainlen len+36 and exit);#endifreturn count;if (count=packetcount) #ifdef debugprintf(%sn, the count required have enough);#endifreturn coun

32、t;58 else if (retainlenlen+36) /at first /the buff is not enough to load a packet#ifdef debugprintf(%sn, retainlen less than (header-len+36) bytes and exit);#endifreturn count; if(res = -1)#ifdef debug printf(error reading the packets: %sn, pcap_geterr(adhandle);#endif return -1; return count;59int

33、decode_eth(char *buff,const unsigned char *packetbuf,int len)export_packet * temp; memcpy(buff+36),packetbuf,len);temp = (export_packet *)buff;temp-buffer=buff+36;temp-totallen=len+36;temp-pethheader=(ethernet_frame *)(buff+36);ethernet_frame * tef=(ethernet_frame *)packetbuf;if (tef-h_type=0 x08 &

34、tef-l_type=0 x00)60#ifdef debugprintf(this is a ip packetn);#endiftemp-pipheader=(ip_header *)(temp-buffer+14);#ifdef debugprintf(n%d.%d.%d.%d-%d.%d.%d.%dn, temp-pipheader-saddr.byte1, temp-pipheader-saddr.byte2, temp-pipheader-saddr.byte3,temp-pipheader-saddr.byte4,temp-pipheader-daddr.byte1, temp-

35、pipheader-daddr.byte2,temp-pipheader-daddr.byte3,temp-pipheader-daddr.byte4);#endif 61decode_iph(temp);if (tef-h_type=0 x08 & tef-l_type=0 x06)#ifdef debugprintf(%sn, this is a arp packet);/printf(target hardaddress %x =%dt source address =%xn,(ethernet_frame*)packetbuf- h_dest,(ethernet_frame*)packetbuf-h_source);#endiftemp-parpheader=(arp_header *)(temp-buffer+14);62if (tef-h_type=0 x80 & tef-l_type=0 x35)#ifdef debugprintf(%sn,this is a rarp packet);#endiftemp-parpheader=(arp_header *)(temp-buffer+14);return 1;6