摘要：基于濫用和基于異常的檢測模型是IDS系統兩大檢測模型，其對應的技術即為網絡引擎和主機代理。本文主機代理采用基于異常的模型進行入侵檢測，與數據庫中存儲的入侵特征庫進行比較，從而判斷是否是一次攻擊，從而實現一個網絡引擎可以監視具有多臺主機的整個網段，通過網絡引擎實現企業網絡中所有組件不受攻擊。
關鍵詞：檢測模型；網絡引擎；主機代理；特征庫

近年來入侵檢測系統(IDS)成為一個非常活躍的研究領域。所謂入侵檢測，就是通過從計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析，以發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象。在二十世紀八十年代，大多數入侵者都是高水平的專家，他們經常自己研究入侵系統的方法，而很少使用自動工具和現成的代碼。雖然現在的入侵者的整體技術水平越來越不如以前，但是現在的攻擊工具卻越來越高級。這使得任何人都可以使用現成的工具來攻擊Internet上的計算機系統。入侵檢測系統的目標是將攻擊的各種表象特征化，以確認所有真正的攻擊而且又不誤認非攻擊活動。

1 網絡引擎引入及設計
網絡引擎通過分析網絡上傳輸的數據包，得到可能入侵的信息。它不僅是一個數據產生和傳輸的工具，也具有一定的分析能力。它的功能基本上相當于一個完整的基于網絡的入侵檢測系統。為了提高網絡引擎的檢測的速度和準確度，首先，基于已知的攻擊手段來建立黑客攻擊的元數據庫，保存所有已知的黑客攻擊知識，按照其類別進行分類。其次，采用建立模糊模型來對網絡引擎上報事件進行分析。
網安入侵檢測系統中的網絡引擎是在windows NT平臺上，使用Visual C++6．0編程實現。網絡引擎分為以下幾個模塊：數據包截獲、協議分析、數據分析。結構如圖1所示。

1)數據包截獲 該模塊將網絡接口設置為混雜模式，將流經網絡的數據包截取下來，供協議分析模塊使用。由于效率的需要，有時要根據設置過濾網絡上的一些數據包，如特定IP、特定MAC地址、特定協議的數據包。該模塊的過濾功能的效率是該網絡監聽的關鍵，因為對于網絡上的每一數據包都會使用該模塊過濾，判斷是否符合過濾條件。低效率的過濾程序會導致數據包丟失、分析部分來不及處理。
為提高效率，本系統采用了專門為數據監聽應用程序設計的開發包Winpcap來實現這模塊，開發包中內置的內核層所實現的BPF過濾機制和許多接口函數，不但能夠提高監聽部分的效率，也降低了開發的難度。同時Winpcap是從UNIX平臺上的Libpcap移植過來的，它們具有相同的接口，減輕了不同平臺上開發網絡代理的難度。Winpcap有3部分組成：一個數據包監聽設備驅動程序，一個低級的動態連接庫和一個高級的靜態連接庫。數據包監聽設備驅動程序直接從數據鏈路層取得網絡數據包，并不加修改地傳遞給運行在用戶層的應用程序。數據包監聽設備驅動程序支持BPF過濾機制，可以靈活地設置過濾規則。低級的動態鏈接庫運行在用戶層，它把應用程序和數據包監聽設備驅動程序隔離開來，使得應用程序可以不加修改地在不同Windows系統上運行。高級靜態鏈接庫和應用程序編譯在一起，它使用低級動態鏈接庫提供的服務，向應用程序提供完善的監聽接口。
2)協議分析 協議分析的功能是辨別數據包的協議類型，以便使用相應的數據分析程序來檢測數據包。把所有的協議構成一棵協議樹，一個特定的協議是該樹結構中的一個節點，可以用一棵二又樹來表示，如圖2所示。

一個網絡數據包的分析就是一條從根到某個葉子的路徑。在程序中動態地維護和配置此樹結構即可實現非常靈活的協議分析功能。在該樹結構中可以加入自定義的協議節點，如在HTTP協議中可以把請求URL列入該樹中作為一個點，再將URL中不同的方法作為子節點，這樣可以細化分析數據，提高檢測效率。樹的結點數據結構中包含以下信息：該協議的特征、協議名稱、協議代號，下級協議代號，協議對應的數據分析函數鏈表。協議名稱是該協議的唯一標志。協議代號是為了提高分析速度用的編號。下級協議代號是在協議樹中其父結點的編號，如TCP的下級協議是IP協議。協議特征是用于判定一個數據包是否為該協議的特征數據，這是協議分析模塊判斷該數據包的協議類型的主要依據。數據分析函數鏈表是包含對該協議進行檢測的所有函數的鏈表。該鏈表的每一節點包含可配置的數據，如是否啟動該檢測函數等。