防火墻與入侵檢測課程設(shè)計報告

1、Harbin Institute of Technology at Weihai防火墻與入侵檢測課程設(shè)計報告課程名稱： 防火墻與入侵檢測 設(shè)計題目： 輕量級入侵檢測系統(tǒng)的設(shè)計與實現(xiàn) 院 系： 計算機科學(xué)與技術(shù)學(xué)院 班 級： 0904201 設(shè) 計 者： 張洋、韓曉琰 學(xué) 號： 090420115、090420102 指導(dǎo)教師： 張兆心 設(shè)計時間： 2012-11-12至2012-11-23 哈爾濱工業(yè)大學(xué)（威海）二零一二年十一月V哈爾濱工業(yè)大學(xué)（威海）計算機學(xué)院防火墻與入侵檢測課程設(shè)計驗收及成績評定表（項目組）項目名稱局域網(wǎng)入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)職責(zé)學(xué) 號姓 名主 要 分 工組長090420

2、115張洋數(shù)據(jù)源模塊，響應(yīng)模塊，部分界面功能組員090420102韓曉琰數(shù)據(jù)分析模塊，規(guī)則設(shè)置模塊，部分界面功能設(shè)計開始日期2012-11-12項目完成日期2012-11-22文 檔 評 審 成 績 （共50分）評審項目評審內(nèi)容成績標準評審成績項目名稱課題是否從實際出發(fā)，是否具有創(chuàng)意等10文檔格式文檔格式是否規(guī)范；文字是否規(guī)范；圖表是否規(guī)范；術(shù)語是否準確等20分文檔質(zhì)量程序設(shè)計思想與整體框架是否清晰等20分文檔總體評價總成績程 序 功 能 完 備 性 評 審 成 績 （共 50 分）評審項目評 審 內(nèi) 容成績標準評審成績程序運行狀況程序是否能正常運行；是否出現(xiàn)死鎖；是否遇到錯誤而中止運行10分

3、程序正確性對于給定的輸入數(shù)據(jù)，是否能得到正確的輸出結(jié)果15分程序與文檔的一致性程序與各種文檔的內(nèi)容是否一致5 分程序的代碼量程序代碼量的大小10分實現(xiàn)方法圖形界面或命令行界面，美觀程度5分實現(xiàn)語言面向過程或面向?qū)ο?分程序總體評價總成績哈爾濱工業(yè)大學(xué)（威海）課程設(shè)計任務(wù)書姓 名：張洋、韓曉琰 學(xué) 號：090420115、090420102 院（系）： 計算機科學(xué)與技術(shù)學(xué)院 專 業(yè)：信息安全 任務(wù)起止日期：2012-11-12至2012-11-22 課程設(shè)計題目：輕量級入侵檢測系統(tǒng)的設(shè)計與實現(xiàn) 問題闡述與分析： 背景及意義：局域網(wǎng)安全防護系統(tǒng)，需要使用主動地安全防護技術(shù)，以達到對內(nèi)部攻擊、外部攻

4、擊、誤操作的實時性保護。而其中后以防火墻和入侵檢測技術(shù)使用最多。即在網(wǎng)絡(luò)系統(tǒng)受到危害前進行分析并積極的響應(yīng)?，F(xiàn)在，局域網(wǎng)被攻擊、癱瘓事件屢見不鮮。防火墻和入侵檢測應(yīng)該受到人們的高度重視。但是，現(xiàn)在的防火墻和入侵檢測僅僅停留在研究、實驗階段?？梢姡阑饓腿肭謾z測產(chǎn)品仍具有較大的發(fā)展空間。本文使用入侵檢測技術(shù)設(shè)計了一個能夠進行局域網(wǎng)安全防護的輕量級入侵檢測系統(tǒng)。主要問題：輸入數(shù)據(jù)的選擇是首先需要解決的問題，目前有基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。兩種基本的入侵檢測方法由于其采用的數(shù)據(jù)來源不同，而呈現(xiàn)不同的特點?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)有很多優(yōu)勢，它能檢測只能通過分析網(wǎng)絡(luò)業(yè)務(wù)才能檢測出

5、來的網(wǎng)絡(luò)攻擊，可以檢測出絕大多數(shù)的外部攻擊行為，如拒絕服務(wù)攻擊等。不存在基于主機的入侵檢測系統(tǒng)在網(wǎng)絡(luò)環(huán)境下遇到的審計蹤跡格式異構(gòu)性的問題。所以，本系統(tǒng)基于網(wǎng)絡(luò)進行入侵檢測。使用Libnids進行數(shù)據(jù)包捕獲、重組、分析。另外，快速高效的進行規(guī)則匹配也尤為重要。系統(tǒng)使用SQLite3輕量級關(guān)系型數(shù)據(jù)庫存儲規(guī)制數(shù)據(jù)。而當(dāng)分析出可疑的數(shù)據(jù)包時應(yīng)積極做出響應(yīng)。系統(tǒng)使用Libnids庫對基于TCP的各種協(xié)議進行阻斷。主要研究內(nèi)容：此次課程設(shè)計主要研究基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的各個功能模塊及其特點，并設(shè)計實現(xiàn)了網(wǎng)絡(luò)監(jiān)聽程序。即實現(xiàn)掃描器、分析器、響應(yīng)器。 工作量：（本項主要說明課程設(shè)計的工作量體現(xiàn)之所在，具體

6、的設(shè)計模塊）系統(tǒng)主要分為信息源獲取模塊（掃描器）、分析引擎模塊（分析器）、響應(yīng)模塊（響應(yīng)器）。附加功能有規(guī)則設(shè)置模塊?？赡苡玫降募夹g(shù)：QT制作界面，與C程序通信，Libnids庫使用、SQLite3數(shù)據(jù)庫。 工作計劃安排：（張洋）2012-11-12至2012-11-13：查閱相關(guān)論文資料，相關(guān)開源代碼進行學(xué)習(xí)。2012-11-14至2012-11-16：實現(xiàn)信息源獲取模塊。2012-11-17至2012-11-19：實現(xiàn)響應(yīng)模塊模塊（警告及阻斷）。2012-11-20至2012-11-21：測試所有模塊，修復(fù)檢測到的各種問題。2012-11-22至驗收前：美化UI，不斷測試系統(tǒng)。 同組設(shè)計者

7、及分工：（韓曉琰）2012-11-12至2012-11-13：查閱相關(guān)論文資料，相關(guān)開源代碼進行學(xué)習(xí)。2012-11-14至2012-11-16：實現(xiàn)分析引擎模塊（規(guī)則匹配）。2012-11-17至2012-11-19：不斷優(yōu)化匹配算法，完成規(guī)則設(shè)置模塊。2012-11-20至2012-11-21：合并及測試所有模塊，修復(fù)檢測到的各種問題。2012-11-22至驗收前：美化UI，不斷測試系統(tǒng)。哈爾濱工業(yè)大學(xué)（威海）課程設(shè)計報告防火墻與入侵檢測課程設(shè)計報告一、 軟硬件運行環(huán)境l 硬件推薦配置CPU：Pentium(R) Dual-Core內(nèi)存：2GB硬盤：320GBl 軟件運行環(huán)境操作系統(tǒng)：Ub

8、untu 12.04(推薦使用64位系統(tǒng))相關(guān)函數(shù)庫：Libpcap、Libnet、Libnids、SQLite3、QTl 軟件編譯環(huán)境操作系統(tǒng)：Ubuntu 12.04(推薦使用64位系統(tǒng))編譯器：GCC 4.6.3相關(guān)函數(shù)庫：Libpcap、Libnet、Libnids、SQLite3、QT、QTCreator二、 項目研究背景與意義(1) 背景意義局域網(wǎng)安全防護系統(tǒng)，需要使用主動地安全防護技術(shù)，以達到對內(nèi)部攻擊、外部攻擊、誤操作的實時性保護。而其中后以防火墻和入侵檢測技術(shù)使用最多。即在網(wǎng)絡(luò)系統(tǒng)受到危害前進行分析并積極的響應(yīng)?，F(xiàn)在，局域網(wǎng)被攻擊、癱瘓事件屢見不鮮。防火墻和入侵檢測應(yīng)該受到人

9、們的高度重視。但是，現(xiàn)在的防火墻和入侵檢測僅僅停留在研究、實驗階段。可見，防火墻和入侵檢測產(chǎn)品仍具有較大的發(fā)展空間。本文使用入侵檢測技術(shù)設(shè)計了一個能夠進行局域網(wǎng)安全防護的輕量級入侵檢測系統(tǒng)。(2) 需求分析輸入數(shù)據(jù)的選擇是首先需要解決的問題，目前有基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。兩種基本的入侵檢測方法由于其采用的數(shù)據(jù)來源不同，而呈現(xiàn)不同的特點。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)有很多優(yōu)勢，它能檢測只能通過分析網(wǎng)絡(luò)業(yè)務(wù)才能檢測出來的網(wǎng)絡(luò)攻擊，可以檢測出絕大多數(shù)的外部攻擊行為，如拒絕服務(wù)攻擊等。不存在基于主機的入侵檢測系統(tǒng)在網(wǎng)絡(luò)環(huán)境下遇到的審計蹤跡格式異構(gòu)性的問題。所以，本系統(tǒng)基于網(wǎng)絡(luò)進行入侵

10、檢測。使用Libnids進行數(shù)據(jù)包捕獲、重組、分析。另外，快速高效的進行規(guī)則匹配也尤為重要。系統(tǒng)使用SQLite3輕量級關(guān)系型數(shù)據(jù)庫存儲規(guī)制數(shù)據(jù)。而當(dāng)分析出可疑的數(shù)據(jù)包時應(yīng)積極做出響應(yīng)。系統(tǒng)使用Libnids庫對基于TCP的各種協(xié)議進行阻斷。三、 關(guān)鍵技術(shù)及解決方案(1) 界面、可執(zhí)行程序通信由于系統(tǒng)提供命令行和界面兩種接口。而命令行為原生接口，故需要將命令行輸出映射到界面，或者將界面事件傳遞給應(yīng)用程序。界面方面，使用QT繪制，并使用QProcess、system與應(yīng)用程序進行交互。應(yīng)用程序方面，使用printf、system與應(yīng)用程序或界面程序進行交互。具體架構(gòu)圖，如下。(2) 數(shù)據(jù)源捕獲技

11、術(shù)使用Libnids提供的庫函數(shù)，注冊分析IP、TCP、UDP、HTTP的回調(diào)函數(shù)。 nids_register_ip_frag(ip_protocol_callback); /* 注冊分析IP協(xié)議回調(diào)函數(shù)，只處理非TCP、UDP協(xié)議*/ nids_register_tcp(tcp_protocol_callback); /* 注冊分析TCP協(xié)議回調(diào)函數(shù)，只處理非HTTP協(xié)議*/ nids_register_udp(udp_protocol_callback); /* 注冊分析UDP協(xié)議回調(diào)函數(shù)，只處理非HTTP協(xié)議*/ nids_register_tcp(http_protocol_call

12、back); /* 注冊分析HTTP協(xié)議回調(diào)函數(shù)*/回調(diào)函數(shù)主要獲得源地址和目的地址等相關(guān)信息，以TCP協(xié)議分析為例。 char sip255, dip255; int sport, dport; struct tuple4 ip_and_port = tcp_connection->addr; my_inet_ntoa(*(struct in_addr*)&(ip_and_port.saddr), sip); my_inet_ntoa(*(struct in_addr*)&(ip_and_port.daddr), dip); sport = ip_and_port.so

13、urce; dport = ip_and_port.dest; tcp_analyser(sip, sport, dip, dport, tcp_connection);其中，tcp_analyser函數(shù)將獲取的信息傳遞給分析器。sprintf(cmd,"./annalyser/pattern match# tcp %s %d %s %d %s", sip, sport, dip, dport, filename); system(cmd);而分析器則進一步調(diào)用響應(yīng)器，對可疑的TCP連接進行阻斷。 nids_killtcp(tcp_connection);所有的動作則寫入日

14、志。 _writeLog_("TCP", 0); _writeLog_(asctime(timenow), 0); _writeLog_(ret, 0); _writeLog_(sip, 0); _writeLog_(NULL, sport); _writeLog_(dip, 0); _writeLog_(NULL, dport); _writeLog_(cmd, 0);(3) 規(guī)則匹配技術(shù)規(guī)則存儲于輕量級關(guān)系型數(shù)據(jù)庫Sqlite3中，如下圖。idpermitsportsipdportdiparg100f015806tcp主

15、要通過查詢語句進行匹配，例如增加一條規(guī)則。if(SQLITE_OK != sqlite3_exec(db, sqlstring, NULL, &msg) return ERROR;else return SUCCESS;(4) TCP阻斷技術(shù)目前，系統(tǒng)實現(xiàn)了對基于TCP協(xié)議的阻斷，主要使用Libnids提供的APIs。if(!strcmp(protocol, "ip") | !strcmp(protocol, "udp") return ERROR;else if(!strcmp(protocol, "tcp") | !str

16、cmp(protocol, "http") nids_killtcp(stream); return SUCCESS;(5) 異常檢測技術(shù)通過注冊攻擊函數(shù)，可以實現(xiàn)對各種異常數(shù)據(jù)包或者掃描攻擊進行檢測。主要通過查詢語句進行匹配，例如增加一條規(guī)則。switch (type) /* 檢測類型 */ case NIDS_WARN_IP:/IP異常數(shù)據(jù)包 break; case NIDS_WARN_TCP:/TCP異常數(shù)據(jù)包 break; case NIDS_WARN_UDP:/UDP異常數(shù)據(jù)包 break; case NIDS_WARN_SCAN/TCP掃描攻擊 break; d

17、efault:/未知異常 break;四、 測試1、 在程序調(diào)試階段遇到的問題：問題一：Libnids捕不到包解決方案：添加以下代碼 struct nids_chksum_ctl temp; addr = 0;temp.mask = 0;temp.action = 1; nids_register_chksum_ctl(&temp,1);問題二：程序間通信解決方案：通過使用標準輸入輸出流、system、QProcess解決問題三：混雜模式失效解決方案：使用集線器代替交換機2、 問題及難點所在：Libnids庫函數(shù)的使用、QT相關(guān)界面函數(shù)的使用、協(xié)議的基本原理和理解、入侵檢測系統(tǒng)的設(shè)計原

18、理和思想。3、 運行結(jié)果與分析（測試）系統(tǒng)主界面，主要提供用戶交互接口。開始檢測，列表顯示當(dāng)前的分析結(jié)果。Kill表示成功阻斷的個數(shù)，Pass表示放行的次數(shù)，Warn表示阻斷失敗或者無法進行阻斷的次數(shù)。雙擊每一行會顯示詳情。日志查看，顯示所有的記錄日志。規(guī)則設(shè)置，主要進行規(guī)則的增刪改查。異常檢測查看，主要顯示異常的數(shù)據(jù)包或者掃描攻擊檢測情況。五、 總結(jié)（收獲與體會）通過接近兩周的防火墻與入侵檢測課程設(shè)計，使我受益匪淺，主要表現(xiàn)在以下幾方面。一、加深了我對防火墻與入侵檢測課程內(nèi)容的理解，并應(yīng)用于實踐。二、掌握了局域網(wǎng)安全系統(tǒng)的架構(gòu)設(shè)計方法，及相關(guān)的技術(shù)實現(xiàn)方法。例如，學(xué)會了Libpcap、Libnet、Libnids庫函數(shù)的使用，能夠進行數(shù)據(jù)包的抓取、分析、阻斷，即可以開發(fā)小型的局域網(wǎng)安全系統(tǒng)。掌握了Sqlite3輕量級數(shù)據(jù)庫的基本使用方法。同時，學(xué)習(xí)了Linux下使用QT進行界面開發(fā)的方法。三、進一步提高了團隊協(xié)作能力。此次課程設(shè)計要感謝我的隊友對我的種種幫助。我們從一開始不知所措，到最終