針對無(wú)線(xiàn)網(wǎng)絡(luò )的入侵檢測系統的設計

　　分布式入侵檢測系統分為3 個(gè)部件，（1） 探測器。對應信息采集和預警層， 下設探頭和數據采集模塊；（2） 分析器對應綜合分析決策層， 下設協(xié)議解碼模塊、預處理模塊和檢測分析模塊； （ 3 ） 控制管理器。對應控制管理層， 下設規則解析模塊、日志模塊和響應報警模塊。本文將重點(diǎn)介紹數據預處理、數據檢測與分析和規則解析三個(gè)模塊。

　　3.1 數據預處理模塊

　　預處理模塊對得到的數據包進(jìn)行預處理， 一方面可發(fā)現入侵信息， 另一方面為檢測分析模塊做最后的準備。預處理模塊采用了插件技術(shù)， 可以很方便地增加功能， 使系統具有可擴展性。與預處理相關(guān)的函數以鏈表的形式存在于動(dòng)態(tài)鏈接庫中， 如圖6 所示。

　　圖6 數據預處理模塊處理過(guò)程

　　預處理函數是由控制管理器來(lái)配置的?？刂浦行膶⑴渲靡巹t和預處理函數一起傳送到各檢測引擎， 檢測引擎在進(jìn)行規則解析時(shí)， 自行識別預處理指令， 并作相應的處理。在IP 報文的首部包含了分片和重組的信息， 如圖7 所示。

　　圖7 IP 包（32 位） 格式

　?。?）IdenTIficATIon ： 唯一標識發(fā)送端的一個(gè)IP 報文， 如果需要分片， 則所有分片具有相同的標識， 這樣目標主機便能夠根據源主機的IP 地址以及該標識來(lái)組合報文；（2）R： 保留未用；（3）D： “ 不分片” 位， 置為1， 則IP 層不將數據報分片， 只有為0 時(shí)才允許分片；（4）F： “ 更多分片” 位， 為1 表示后面還有數據報的更多分片， 為0 則表示這是數據報的最后一個(gè)分片；（5）Fragment Offset ： 分片偏移， 指出該分片數據在原始數據報文（ 未分片前） 相對于起點(diǎn)的位置， 實(shí)際位置為偏移值乘以8， 如為0 則表示這是分片后的第一個(gè)信息包， 放在組合后分組的最前面。

　　IP 重組的函數中定義了每一個(gè)分片的結構為：

　　STruct IpFrag

　　{

　　dint offset ； //IP 分片的偏移值

　　int end ： // 分片的最后字節

　　int len ； // 分片的長(cháng)度

　　u char mff ； // 更多的分片標志

　　unsigned char *ptr ； // 指向分片包中的數據

　　struct IpFrag *ipf next ；//鏈接的下一個(gè)分片

　　}；

　　些分片形成一個(gè)單向鏈表， 表示一個(gè)尚未組裝完的分片隊列， 它屬于一個(gè)IP 報文， 而分片鏈表的頭指針?lè )旁贗pHeader 結構中：

　　struct IpHeader

　　{

　　struct IpFrag ； // 第一個(gè)IP 分片

　　int len ； // 報文長(cháng)度

　　struct timer list timer ； // 定時(shí)器

　　u_char Proto ； // 協(xié)議類(lèi)型

　　u_short Ip_ttl ； // 生存時(shí)間

　　u_short id ； //IP 標識

　　struct in addr Ip-Src ，Ip_Dst ； //IP 報文的源， 目的

　　IP 地址

　　struct IpHeader *next ； // 下一個(gè)IP 報文

　　} ；

　　IpHeader 描述還未收到全部分片報文結構， 多個(gè)Ip-Header 構成的鏈表形成一個(gè)重裝鏈表， 等待其他分片到達后重裝。

　　3.2 數據檢測分析模塊

　　檢測分析模塊對預處理模塊提交的數據， 運用匹配算法和規則庫中的規則進(jìn)行比較分析， 從而判斷是否有入侵行為。檢測分析模塊是檢測引擎的核心， 它將從數據采集模塊傳來(lái)的數據順著(zhù)規則鏈表與入侵規則進(jìn)行比較， 如果匹配成功， 則說(shuō)明檢測到了入侵， 同時(shí)產(chǎn)生報警。其流程如圖8 所示。

　　圖8 數據檢測分析模塊流程圖