摘要:Libnids(Library Network Intrusion Detection System)是一个用于网络入侵检测开发的专业编程接口。它实现了基于网络的入侵检测系统的基本框架,基于Libnids的网络数据包捕获及分析系统是通过对应用层协议内容的分析,来保证网络安全的检测系统。本文描述的系统采用Microsoft Visual C++ 6.0开发平台和MySQL数据库。系统让用户通过可视化界面实现对网络安全的实时检测,记录入侵者的有关信息,用于追踪调查。
关键词:网络数据包 Libnids 网络协议
目前,网络安全问题变得越来越严重,对网络安全的研究也越来越重要。为了对网上的攻击进行有效的预防,需要捕获网络中的数据包,并分析其特征,以应用于网络测试、网络安全的监视、监测网络负载及有效预防网络攻击等。网络数据包捕获及分析系统是为了给企业提供一个更安全的网络环境而设计的。在局域网的服务器上装上系统后,可以简单、快捷的实现网络安全检测,实时报警。
一、系统研究过程
1、总体规划
根据系统需求确定系统的总体规划,因为此系统为网络数据包捕获及分析系统,系统主要是对网络上传输的数据包进行操作,主要包括数据包捕获,协议分析,数据存储,内容检索,实时响应等。根据系统需要完成的任务和角色划分系统用例图如图1所示。其中数据包捕获包括数据包的获取,存储,分类管理;协议分析包括对链路层协议、网络层协议、传输层协议和应用层协议分析;数据存储主要指的是文本内容存储;内容检索包括获取用户输入得敏感信息,数据库查询,返回查询结果;实时响应:包括报警,查找出敏感信息具体位置。
2、设计流程
功能需求分析方面包括文本检索和及时响应,前者包括SMTP协议内容检索、FTP协议内容检索、HTTP协议内容检索,后者主要指的是由于硬件的限制,系统用弹出警告框来代替报警。在进行功能需求分析之后进行系统设计,本研究的总体设计流程如图2所示:
五个模块功能解析如下:
(1)网络数据包捕获模块:主要功能就是从以太网中捕获数据包。
(2)网络协议解析模块:网络协议解析模块对捕获到的数据包进行协议分析,检测出每个数据包的类型和特征。这是此系统的核心部分。
(3)存储模块:存储模块就是把协议分析后的结果存储起来,供事后分析。
(4)检测模块:检测模块就是根据规则来检测入侵特征。
(5)响应模块:响应模块是对检测的结果进行实时响应。
3、系统总体结构图
根据系统的总体流程图,设计了系统的整体框架图,如图3所示。
4、处理流程设计
系统最终目的是为了让用户,输入自己认为敏感的信息来对应用层协议内容进行检索,如果发现敏感信息进行及时报警。此因下面给出了检索响应这两个模块的详细流程图,如图4所示:
二、系统各功能模块的分析与设计
1、数据包捕获模块
Libnids使用了Libpcap(数据包捕获开发包),所以它具有捕获数据包的功能,利用Libnids可以轻松的实现对数据包的捕获,并对其进行分析。因此该模块主要是利用Libpcap捕获数据包。在初始化完毕后,应用程序利用Libpcap的pcap_dispatch()或pcap_loop捕获数据链路层的数据包。
2、协议分析模块
捕获数据包后,对所有数据包进行分析,从链路层开始分析,然后分析网络层,再分析传输层,最后分析应用层。系统主要是分析应用层协议中的HTTP协议、FTP协议和SMTP协议的内容,并且根据应用层协议的不同,把数据包保存到不同的文本文件中。该模块中利用Libnids提供的TCP数据流重组功能,非常方便的对基于TCP协议的应用层协议进行分析,对他们的操作过程以及传输的数据内容进行分析,获取敏感信息,如账号和密码等。
3、存储模块
实现数据的存储,在协议分析模块中,已经根据应用层协议的类型把相关数据包保存到文本文件中,此模块就是实现把文本文件的内容保存到数据库中,以备响应模块查询用。
4、检索模块
根据用户输入的敏感信息,对数据库的文本内容进行检索。该检索模块使用BMGJ算法进行文本内容的匹配。
5、响应模块
根据用户输入的敏感信息,检索数据库,做出相应的响应。
6、帮助模块
该模块主要以文档形式提供系统使用说明,应注意事项等。
三、结束语
入侵检测作为一种积极主动地安全防护技术,受到人们的高度重视,迫切需要具有自主版权的入侵检测产品。网络数据包捕获及分析系统采用自顶向下的分析方法实现了网络安全检测,实时报警的目的,满足了在设计时网络安全管理者提出的内容检索,及时响应的要求。
参考文献:
[1] 刘文涛,网络安全开发包详解[M].北京:电子工业出版社,2005年1月.
[2] 曹学武,易国良,六利军.基于协议分析的邮件安全监控系统实现[J].计算机工程,2005年1月.
[3] 赵新辉,李祥.捕获网络数据包的方法[J].计算机应用技术,2004年8月.