（管理科学与工程专业论文）关于入侵检测系统中检测能力的研究.pdf

摘要 摘要 网络技术的快速发展和网络应用环境的不断普及，加大了人们对网络的依赖性， 同时也带来了日益突出的信息安全问题。过去采用的传统的加密和防火墙技术已经 不能完全满足安全需求，入侵检测技术作为一种主动预防的安全手段，越来越显出 重要性。 入侵检测系统是一种能有效发现和防御网络入侵的网络安全防护手段，本文研 究了如何提高入侵检测系统的检测能力的问题。 首先，对网络安全体系作了全面概述，介绍了目前常见的安全技术手段，分析 了入侵检测系统在网络安全中的重要作用。 本文对著名的开源入侵检测系统s n o r t 的整体系统结构和关键模块进行了深入 分析。分析了s n o r t 的新特性，对入侵规则、系统结构进行了详细的剖析，重点阐述 了其最新版本中采用的快速包分类机制，并分析和介绍了s n o r t 的常用插件。对s n o r t 漏报和误报的原因进行了剖析，提出了最大限度减低s n o r t 误报的策略。 然后，在s n o r t 的基础上，根据其规则库自身的特点，提出了改进s n o r t 检测能 力的方法，即在原有规则库的基础上针对已有攻击的漏洞成因，在规则库中增加相 应的规则，使s n o r t 能够检测出相应的攻击，从而达到提高检测能力的要求。随后又 提出了协议分析技术。此技术利用网络协议高度有效的特点，快速地探测攻击，提 高了入侵检测系统的检测效率，降低了漏报率和误报率。 最后，根据上述方法，提出了适用于s n o r t 的相关规则，并对其进行了大量的实 验，结果表明，该方法已明显提高了入侵检测系统检测能力。 关键词网络安全；防火墙；入侵检测系统：检测能力；s n o n ；s n o r r t 规则 河北科技大学硕十学位论文 = = = = = = = = = = = = = = = = = = = = = = = = = = = = = ；= = ；= = ；= = = = = = = j i = = = = = ；= = = = = = ； a b s t r a c t w i t ht h ef a s td e v e l o p m e n to fn e t w o r k t e c h n i q u ea n daw i d eu s eo fn e t w o r k e n v i r o n m e n t ，w ed e p e n dm o r ea n dm o r eo i lt h en e t w o r k ，w h i l et h ep r o b l e mo fi n f o r m a t i o n s e c u r i t yb e c o m e sg r a d u a l l yo b v i o u s t h et r a d i t i o n a le n c r y p ta n df i r e w a l lt e c h n i q u e sc a r l ，t c o m p l e t e l ys a t i s f yt h en e e df o rs e c u r i t ya n di n t r u s i o nd e t e c t i o nt e c h n o l o g yg e t sm o r e i m p o r t a n ta sam e t h o do fa c t i v ed e f e n s e i n t r u s i o nd e t e c t i o ns y s t e mi so n ei m p o r t a n tm e t h o do fn e t w o r ks a f e t yd e f e n s et o e f f e c t i v e l yd e t e c ta n dd e f e n dn e t w o r ka t t a c k s t h i sp a p e ri n t r o d u c e sh o wt oi m p r o v et h e d e t e c t i n gc a p a b i l i t yo fi n v a s i o nd e t e c t i o ns y s t e m f i r s t ，w em a k ea no v e r a l li l l u s t r a t i o no ft h en e t w o r ks e c u r i t ys y s t e m ，i n t r o d u c es o m e s a f e t yw o r km e t h o dn o r m a l l yu s e di nt h ep r e s e n ta n da n a l y z et h ei n t r u s i o nd e t e c t i o n s y s t e m si m p o r t a n tr o l ei nt h en e t w o r ks e c u r i t y s n o r ti sak n o w ni n t r u s i o nd e t e c t i o ns y s t e mw h i c hi so p e n s o u r c e c o d e 。t h i sd a p e r a n a l y z e st h ei t ss y s t e m a t i cs t r u c t u r e ，t h ee s s e n t i a lm o d u l e s ，s n o r t sn e wc h a r a c t e r s ， i n v a s i o nr u l e sa n ds y s t e m a t i cf r a m e w o r ka n di n t r o d u c e se m p h a t i c a l l yt h ef a s t p a c k e t c l a s s i f i c a t i o nm e c h a n i s mt a k e ni nt h en e w e s tv e r s i o na n dt h e p r o c e s s o r sn o r m a l l vu s e di n s n o r t a n dt h er e a s o n sc a u s i n gn e g a t i v ea n df a l s e r e p o r t s a r ei l l u s t r a t e da n dt h e s u g g e s t i o n sf o rm i n i m u mr e d u c t i o no ff a l s er e p o r ta r ep u tf o r w a r d a n d t h e n ，b a s e do nt h e n a l y s i st h es n o r tr u l e sa n di t so r i g i n a lr u l e sa n da c c o r d i n gt o c h a r a c t e r i s t i c so fs n o r tr u l e sd a t a b a s e ，aw a yo fi m p r o v i n gs n o r t d e t e c t i n gc a p a b i l i t yi s p u tf o r w a r di nt h i sp a p e r , t h a ti s ，b a s e do no r i g i n a lr u l e sd a t a b a s ea n da sr e g a r dt ot h e c a u s e so fa t t a c k i n gv u l n e r a b i l i t y , w ea d dt h er e l e v a n tr u l e si nt h er u l e sd a t a b a s ew h i c hl e t t h es n o r tc a nd e t e c tt h er e l e v a n ta t t a c ks oa st os a t i s f yt h ed e m a n do f i m p r o v i n gt h e d e t e c t i n gc a p a b i l i t y a n dt h e n ，w ep r o p o s et h ep r o t o c o la n a l y s i st e c h n o l o g y b ya n a l y z i n g t h en e t w o r k p r o t o c o lc h a r a c t e ro fd a t ap a c k e t ，p r o t o c o la n a l y s i st e c h n o l o g yc a nd e t e c t i n t r u s i o n sr a p i d l ya n di m p r o v et h ee f f i c i e n c yo f i d s f i n a l l y , s o m er e l e v a n tr u l e sf o rt h en e wm e t h o da r ep r o p o s e dw h i c hc a nb eu s e di n t h es n d r ta n dal a r g en u m b e ro ft e s t so ni ta r em a d ew h o s er e s u l t ss h o w st h a tt h i sm e t h o d c a np r e l i m i n a r i l yr e a l i z ed e t e c t i n gc a p a b i l i t yp r o m o t i o no f i n t r u s i o nd e t e c t i o ns y s t e m k e yw o r d s i n t e m e ts e c u r i t y ；f i r e w a l l ；i n t r u s i o nd e t e c t i o n s y s t e m ( i d s ) ；d e t e c t i n g c a p a b i l i t y ；s n o r t ；s n o r tr u l e s i i 河北科技大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导9 币的指导下，独立进行研究工 作所取得的成果。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方 式标明。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发 表或撰写过的作品或成果。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：刘乍日 帅7 年j ，月讨日 指导教师签名： 功岛 1 私研年j - , e l7 , j - 同 河北科技大学学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留 并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本 人授权河北科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检 索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 口保密，在一年解密后适用本授权书。 本学位论文属于 面未保密。 ( 请在以上方框内打“”) 学位论文作者签名：良1f , a 妒罗年，, e l 才日 特撕躲多，i 3 _ - - ， 阳彰年r - n4 。b 2 第1 章绪论 第1 章绪论 1 1 网络安全问题的提出 2 0 世纪后半期最重大的发明是互联网，它对整个人类的社会产生了重大而深远 的影响。作为世界上规模最大的计算机网的因特网( i n t e m e t ) ，自从1 9 6 9 年问世以来， 一直都处于飞速发展的状态之中，特别是i n t e m e t 的普遍使用和美国政府率先推动的 建设全球信息高速公路计划，使得全世界的信息化进程急剧加快。网络已成为一个 国家最为关键的政治、经济、军事资源，成为国家实力的新象征。网络发展如此之 快，已经渗透到社会经济、文化和科学研究的各个领域，对社会的进步和发展起着 越来越重要的作用。可见，i n t e m e t 已逐渐成为整个社会基础设施中的最重要的组成 部分之二，发展网络技术是国民经济现代化建设不可或缺的一个必要条件。 网络发展如此之快，并且信息技术和网络空间为社会的经济、政治、文化等方 面的发展起到了重大的促进作用。由于网络的存在，企业实现的电子商务，大大提 高了工作效率；由于网络的存在，政府部门可以网上办公，实现电子政务：由于网 络的存在，个人用户可以及时地获取信息，进行消费、娱乐，人与人之间的信息交 流更加方便、快捷。人类已经充分享受到了网络带来的种种巨大的便利，而且这种 势头并没有停止，还一直在延续。 然而，我们在享受网络带来的种种便利，并由此产生对计算机网络越来越强的 依赖性的同时，却不得不面对网络信息安全问题日这一日益严峻的考验。网络安全 问题已经成为一个全球性的问题。据美国计算机应急响应小组协调中心( c e r t c c ) 的统计资料显示，2 0 0 0 年全球发生的重大计算机安全事件为2 17 5 6 起，2 0 0 1 年为 5 26 5 8 起。到了2 0 0 2 年，这一数字已经变为了7 33 5 9 。据统计黑客活动在过去5 年 里以2 5 0 的速度增长。病毒加上黑客，给互联网带来了巨大的危害。在科技最发达、 防御最严密的美国国防部五角大楼内，每年都有成千上万的非法入侵者侵入其内部 网络系统；y a h o o ，b u y ，e b a y ，a m a z o n ，c n n 都曾被黑客入侵，造成了巨大的经 济损失，甚至连专门从事网络安全的r s a 网站也受到了黑客的攻击。国内的网络安 全情况也不容乐观。由公安部公共信息网络安全监察局和中国计算机学会计算机安 全专业委员会在全国范围内组织开展的“2 0 0 4 年度信息网络安全状况暨计算机病毒 疫情调查 结果表明，我国大部分信息网络不同程度的存在安全问题，2 0 0 3 年5 月 至2 0 0 4 年5 月有5 8 的被调查单位发生过网络安全事件。其中7 9 的网络安全事件 是计算机病毒和木马程序，而发生的拒绝服务、端口扫描和篡改网页等网络攻击情 况占4 3 。可见，在国内安全事件也是频频发型。 河北科技大学硕士学位论文 1 2 网络安全概述 1 2 1 网络安全的基本概念 网络安全是指网络系统的部件、程序及系统中的数据的安全性，不因偶然的或 者恶意的原因受到破坏、更改、泄露，使系统可以连续可靠正常的运行，网络提供 的服务不中断。它通过网络信息的存储、传输和使用过程加以体现。所谓的网络安 全性就是保护网络程序、数据或者设备，使其免受非授权使用或访问。它的保护内 容包括【2 】： 1 ) 保护信息和资源； 2 ) 保护客户和用户； 3 ) 保证私有性； 网络安全是一门涉及管理科学、计算机科学、网络技术、通讯技术、信息安全 技术等多种学科的综合性学科。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡事涉及到网 络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络 安全的研究领域。 网络安全具有以下四个方面的特征： 1 ) 保密性：信息不泄露给非授权用户和实体。 2 ) 完整性：数据未经授权不能进行改变的特性，即信息在存储或传输过程中保 持不被修改、不被破坏和丢失的特性。 3 ) 可用性：可被授权实体访问并按需求使用的特性，即当需要时能否存取所需 的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等属于对可用 性的攻击。 4 ) 可用性：对信息的传播及内容具有控制能力。 网络安全包括物理安全和逻辑安全。对于物理安全，需要加强计算机机房管理， 如门卫、出入者身份检查、下班锁门以及各种硬件安全手段等预防措施；而对于后 者，则需要用户口令、文件许可和查帐等方法来实现。 计算机网络面临的安全威胁大体可分为两种：一是对网络中信息的威胁；二是 对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有益的，也可 能是无益的；可能是人为的，也可能是非人为的：可能是外来黑客对网络系统资源 的非法使用，归结起来。针对网络安全的威胁主要有以下三种： ( 1 ) 人为的无意失误如操作员安全配置不当造成的安全漏洞，用户安全意识 不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享的都会对 网络安全带来威胁。 2 第1 章绪论 ( 2 ) 人为的恶意攻击这是计算机网络所面临的最大威胁，敌手的攻击和计算 机犯罪就属于这一类。此类攻击又可以分为以下两种一种是主动攻击，它以各种 方式有选择的破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络 正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可 对计算机网络造成极大的危害，并导致机密数据的泄漏。 ( 3 ) 网络玩家的漏洞和“后门网络软件不可能是百分之百无缺陷和无漏洞 的。然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过的黑客攻 入网络内部的事件大部分就是因为安全设施不完善所招致的苦果。另外，软件的“后 门 都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦 “后门”打开，其造成的后果将不堪设想。 计算机网络面临以上安全威胁，主要是由以下几点造成的【3 】： ( 1 ) 系统缺陷目前各种操作系统不同程度的都存在缺陷。利用这些缺陷，黑 客可以获得对系统或者用户信息的控制权。利用系统缺陷是黑客对系统进行攻击的 首选手段。但客观的说，要制造没有缺陷的系统是不可能的；要想一台机器不受到 攻击，只有一种办法，那就是将其电源关闭。 ( 2 ) 内部用户泄密和破坏内部用户对系统的情况比较了解，因此攻击起来比 较容易。有调查显示，7 0 的攻击都是来自内部人员，来自外部的攻击只占- - , j , 部分。 ( 3 ) 管理上的不足有的单位对自己的网络管理不当，比如系统密码过于简单； 网络安全人员的素质不高，随便毫无警惕性的下载软件，使用来历不明的软件；有 的单位甚至还没有配备网络安全人员。这些都给攻击者实施攻击或者计算机病毒的 引入提供了可能性。客观的说，大部分攻击都和管理有关系。 1 2 2 网络安全的保证 对于网络安全而言；主要受到两方面的威胁，一方面是非法入侵，另一方面就 是计算机病毒【3 j 。本文主要涉及非法入侵，不涉及到计算机病毒。 构成计算机网络安全系统三位一体的是：预防( p r e v e n t i o n ) ，入侵检测( i n t r u s i o n d e t e c t i o n ) 以及入侵响应( i n t r u s i o nr e s p o n s e ) 。这三者是保证网络安全的必要组成部 分【4 】o ( 1 ) 预防预防是网络安全中最重要的环节。相对来说，预防措施实现起来要 更加容易一些，。同时，也更有效、更经济。企业应当在兼顾预防、检测、响应的同 时，突出预防措施的实施，减少安全事件发生的可能性。实施预防措施是网络安全 行动中治本的行为。 。 ( 2 ) 入侵检测预防措施实施后，检测措施也不应该轻视。检测是网络安全中 的重要一环。在预防措施失效的情况下，检测措施的重要性便体现出来了。对于一 3 河北科技大学硕士学位论文 个攻击行为，检测的越及时，造成的损失就越小；相反，造成的损失就越大。 ( 3 ) 入侵响应入侵响应是指在检测到有入侵行为之后，对该入侵行为采取一 定的措施，以减少或者避免损失的产生。网络安全离不开得当的响应措施。响应措 施已经逐渐受到了人们的重视。 1 2 3网络攻击的基本概念 法律上对网络攻击定义有两种观点：第一种是指攻击仅仅发生在入侵行为完全 完成且入侵者已在目标网络内；另一种观点是指可能使一个网络受到破坏的所有行 为，即从一个入侵者开始在目标机器上工作的那个时刻起，攻击就开始了。 攻击的一般步骤分为以下几步【5 】： ( 1 ) 隐藏位置也就是有效的保护自己，不让网络安全系统发现。 ( 2 )网络探测和搜集资料这一步的主要任务是确定攻击的对象，搜集和攻击 对象相关的信息。， ( 3 ) 对攻击对象的系统缺陷进行挖掘 ( 4 ) 获得对攻击目标的控制权 即寻找攻击目标的系统漏洞。 ( 5 ) 隐藏攻击行踪通过修改系统日志文件等手段来迷惑管理员。 ( 6 ) 实施攻击比如获取敏感信息，使网络瘫痪，修改删除重要数据等。 ( 7 ) 开辟后门，为下一次攻击做好准备比如放宽文件许可权限，开放不安全 的服务、安装监听软件等。 攻击可以分为两类，被动攻击和主动攻击【2 】。 被动攻击主要是对传输的数据进行监听或者分析，攻击者的目的只是获得传输 的信息内容。被动攻击由于不改变传输数据的内容，因此很难监测到。对付这种攻 击的最好方法是采取预防措施，对将要传输的数据进行加密处理，这样被动攻击者 几乎就无计可施了。 主动攻击通常要改动报文数据内容，或者生成假的报文继续在网上传播。这种 攻击是无法预防的，但是可以进行检测，并对其造成的后果进行修复处理。主动攻 击包括伪装、修改信息内容、拒绝服务等。 1 3国内外入侵检测技术发展概述及发展趋势 国外入侵检测技术方面的研究始于2 0 世纪7 0 年代i 当时主要的方法是审计跟 踪。1 9 8 0 年a d e r s o n 发表了“计算机安全威胁的检测和管制”( c o m p u t e rs e c u r i t yt h r e a t m o n i t o r i n ga n ds u r v e i l l a n c e ) 一文【6 】，对入侵和入侵检测做了论述。这大概是最早的关 于入侵检测方面的文章了。它将入侵尝试或威胁定义为：潜在的、有预谋的、未经 授权的访问信息、操作信息，致使系统不可靠或无法使用的企图，并提出审计追踪 可应用于监视入侵威胁。从1 9 8 4 年到1 9 8 6 年，d e n n i n g 和n u e m a n n 研究并发展了 、 4 第1 章绪论 一个实时入侵检测系统模型，命名为i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) 即入侵 检测专家系统。它是一种通过用统计方法发现用户异常操作行为并判断检测攻击的 基于主机的入侵检测系统。商业化i d s 产品直到2 0 世纪8 0 年代后期才出现。但由 于目前的入侵检测系统还存在很多问题，影响i d s 应用的关键问题是误报和漏报， 这两大难题的解决最终依靠分析技术的改进。入侵检测系统作为网络安全防护的重 要手段，有很多地方值得我们进一步深入研究，有待我们进一步完善。 近几年国内对于入侵检测系统的研究也有进一步的发展，主要是一些入侵检测 技术上的改进。检测技术多种多样，基于专家系统的方法、模式匹配法和统计方法 是最经典的几种方法，近几年来还出现了新的检测技术。利用人工智能领域的知识， 出现了基于智能体【7 8 】、神经网络结合模糊理论的检测技术【9 】= 利用医学领域的知识， 出现了基于自然免疫系统的检测技术【1 0 1 ；利用数学领域的知识。出现了基于隐马尔 可夫模型( h i d d e nm a r k o vm o d e l ) 的检测模型【l l 】；还有许多其他方法，如数据挖掘， 分类和聚类，遗传算法等。 今后的入侵检测技术大致可朝下述几个方向发展： ( 1 ) 有效的审计信息格式及内容审计信息资源的来源多( 日志、c 2 审计信息、 s n m p 信息、网络数据报信息、外部节点信息等) 【1 2 】，所提供的信息格式不同，分析 方法不同，基于行为的入侵检测方法是检测使用者和正常行为特征的偏离程度，基 于知识的入侵检测方法是检测使用者和原有攻击行为特征的匹配程度，综合分析方 法审计信息要求有统一有效的信息格式，所以把不同来源的审计信息转变成统一有 效的信息格式是一重点研究对象。转变方法必须实时、快速。 ( 2 ) 扩大审计信息资源由于现有审计信息资源都来自于被保护系统内部，使 用有效的分析方法还存在一定的误检率和漏检率，为此，一个可行的方案是扩大审 计信息资源，有一种方法就是增加被保护系统外部的某些审计信息资源，外部供给 都是通过和被保护系统紧相邻节点传来的，可把紧相邻节点的某些信息如转发到被 保护系统的数据报的频度，转发频度在被保护系统受到拒绝服务攻击时有异常表现； 若相邻节点存储这些信：息并传送给被保护系统内的入侵检测系统，这样就扩大了审 计信息资源引。 ( 3 ) 分布式入侵检测第一层含义即针对分布式网络攻击的检测方法；第二层 含义即使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同 处理与入侵攻击的全局信息的提取。 ( 4 ) 入侵检测方法的优化入侵检测技术最需要突破的关键点之一还在于如何 准确、有效地检测攻击。目前的重要研究方向是采用智能化的入侵检测。即使用智 能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络、 遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化【l 引。 5 河北科技大学硕士学位论文 ( 5 ) 全面的安全防御方案即使用安全工程风险管理的思想与方法来处理网络 安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、 防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出 可行的全面解决方案i l 5 1 。 ( 6 ) 建立有效的入侵检测的评测方法】用户在选择i d s 时，需要对众多的i d s 系统进行评价，评价指标包括检测范围、系统资源占用、i d s 系统自身的可靠性。因 此设计通用的入侵检测测试与评估的平台，实现对多种i d s 系统的统一评估，己成 为当前i d s 的另一重要研究与发展领域【1 2 , 1 3 】。 1 4 本论文主要研究内容 本论文主要目的是通过研究入侵检测系统的入侵检测能力，对入侵检测系统进 行技术上的研究，根据现有的分析方法和技术，比如基于数据挖掘的检测技术、基 于神经网络的检测技术、基于遗传算法的检测技术、基于人工免疫机制的检测技术 等，将这些先进的技术加入已有的入侵检测系统的检测技术中，优化原有入侵检测 系统的检测技术，提高入侵检测系统的检测率，降低入侵检测系统的漏报、虚报率， 从而提高入侵检测系统的检测能力。本课题以入侵检测系统s n o r t 为原型系统，对其 进行优化，提出有意义的入侵检测方法和相关措施，从而使入侵检测系统能更好的 发挥作用。本课题研究的技术路线如图1 1 所示。 图1 - 1 研究技术路线 f i g 1 - 1 r o u t eo f r e s e r c h 1 5 本论文组织结构 第1 章是绪沦部分，主要介绍网络安全问题的由来及其基础知识，简单叙述了 入侵检测技术在国内外的发展状况以及今后的发展趋势。 第2 章介绍入侵检测系统的基本理论，包括入侵检测系统的基本概念、基本原 6 第1 章绪论 理、入侵检测使用的技术的定义，详细的介绍了入侵检测系统地分类以及入侵检测 系统面临的主要问题和今后的发展趋势等。 第3 章对s n o r t 的整体结构以及主要关键模块进行了剖析。 第4 章详细的介绍和分析了s n o r t 的规则，为下一步编写规则，增加s n o r t 规则 库的规则做准备，并为提高入侵检测系统的检测能力的实现做准备。 第5 章对入侵检测系统的检测能力进行概述，提出了改进的方法，并用实验加 以证明。 7 河北科技大学硕士学位论文 第2 章入侵检测概述 2 1 入侵检测系统的定义 ( 1 ) 入侵入侵( i n t r u s i o n ) 是一种企图破坏计算机资源的行为，入侵企图或威胁 可以被定义为潜在的危害系统的任何情况和事件。这些危害可以是数据的泄漏、重 组、修改或对数据以及系统处理资源的拒绝访问【1 6 】。一般来说，从入侵者的角度， 我们可以将入侵分为以下六种类型： 1 ) 尝试性闯入( a t t e m p t e db r e a k i n ) ； 2 ) 伪装攻击( m a s q u e r a d ea t t a c k ) ； 3 ) 安全控制系统渗透( p e n e t r a t i o no f t h es e c u r i t yc o n t r o ls y s t e m ) ； 4 ) 泄漏( l e a k a g e ) ； 5 ) 拒绝服务( d e n i a lo fs e r v i c e ) ； 6 ) 恶意使用( m a l i c i o u su s e ) ； 入侵行为构成了对系统的威胁，而且很多的安全程序都是针对某种威胁而编写 的。威胁定义为潜在的危害系统的任何情况和事件，它的范围更广。威胁又可以被 分为故意的和偶然的。故意的威胁又可以进一步分为主动攻击和被动攻击。被动攻 击不会导致对系统中所含信息的任何改动，如搭线窃听、业务流分析，它主要威胁 信息的保密性；主动攻击则意在篡改系统中所含信息、或者改变系统的状态和操作， 因此主动攻击主要威胁信息的完整性和可用性。 根据入侵者的不同分类，又将威胁分为以下三类： 1 ) - 外部入侵者，即系统的未授权用户。其威胁行为主要包括窃听、拒绝服务、 假冒、计算机病毒等。 2 ) 内部入侵者，逾越了合法访问权限的系统授权用户。其威胁行为主要包括授 权侵犯、非法使用、信息泄露、抵赖等。 3 ) 违法者，超过了他们的权限的授权用户。其威胁主要包括假冒、旁路控制、 业务流分析等。 ( 2 ) 入侵检测系统的定义 入侵检测( i n t r u s i o nd e t e c t i o n ) ，是监测计算机网络 和系统已发现违反安全策略时间的过程。它通过在计算机网络或者计算机系统中的 若干个关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有 违反安全策略的行为和被攻击的迹象。凡是能够对系统的运行状况进行监视，发现 各种攻击企图、入侵行为或者攻击后果，以保证系统资源的机密性、完整性和可用 性的软件、硬件或者两者的综合体都称之为入侵检测系统( i d si n t r u s i o nd e t e c t i o n 8 第2 章入侵检测概述 s y s t e m ) t 7 , 1 s 】。一个完善的入侵检测系统应具有以下特点【7 2 1 9 ： 1 ) 经济性 入侵检测系统在保护网络安全的同时，必须保证不妨碍系统的正常运行，受保 护的系统不应该因为安装了入侵检测系统而使系统性能下降，影响了原有的服务。 2 ) 时效性 指入侵检测系统必须及时的发现各种入侵企图和入侵行为。发现了入侵企图就 可以事先采取得当的防范措施，避免造成不应有的损失；如果在攻击行为发生的过 程中检测到了入侵，则必须及时进行阻止入侵的继续进行；如果在攻击事件已经发 生过后才检测到，则必须保证时效性。因为一旦系统被攻击过，就意味着后门已经 存在了，后续的攻击行为随时都可以出现。 3 ) 安全性 入侵检测系统自身必须是安全的，如果入侵检测系统本身的安全得不到保证， 则其存在就形同虚设，就意味着受保护的系统失去了安全保护。 4 1 可扩展性 指入侵检测系统本身在不中断自身系统运行的情况下，能随着受保护系统的各 种变化而及时调整自身的系统结构，也就是实现动态的调整；同时对新型的攻击行 为能及时的检测，使检测效率保持在一个较好的水平。 入侵检测系统是对传统安全产品的有效补充，帮助系统对付网络攻击，扩展了 系统管理员的安全管理能力( 安全审计、监视、进攻识别和响应) ，提高了信息安全 基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，分析这些信息， 并判断网络中是否有违反安全策略的行为和遭到袭击的迹象。 2 2 入侵检测系统的原理 简单的说，i d s 包括三个功能部件【2 0 】： 1 ) 提供事件记录流的信息源，即对信息的收集和预处理； 2 ) 发现入侵迹象的分析引擎； 3 ) 基于分析引擎的结果产生反应的响应部件： 信息源是入侵检测的首要因素，它可以看作是一个事件产生器。事件来源于审 计记录、网络数据包、应用程序数据或者防火墙、认证服务器等应用子系统。 i d s 可以有多种不同类型的引擎，用于判断信息源，检查数据有没有被攻击，有 没有违反安全策略。 当引擎产生一个可反应的结果时，响应部件就做出反应，包括将分析结果记录 到同志文件，对入侵者采取行动。根据入侵的严重程度，反应行动可以不一样，一 种方法是通过预定义的严重级别来激发警报。对于级别低的，仅仅在控制台显示一 9 河北科技大学硕士学位论文 条信息；而对于级别高的，可直接给管理员发送含有警报标志的e m a i l ，或者立即 采取行动阻止入侵。 入侵检测的一般过程是，如图2 1 ： 1 ) 信息( 数据) 收集； 2 ) 信息( 数据) 预处理； 3 ) 数据的检测分析； 4 ) 根据安全策略做出响应； 安全策略 数 检 l l 响 信 信息 据 测 应 息预 结 。小。 源 i 处 7 w 7 处 果理 i 收集理 二 图2 - 1 入侵检测过程 f i g 2 一i t h ep r o c e s so fi n t r u s i o nd e e e t e t i o n 从上图可以看出，在整个入侵检测过程中，信息( 数据) 收集的过程是前提，是 入侵检测的必要准备；信息( 数据) 预处理和数据的检测分析统称为数据分析过程， 是整个入侵检测的关键，在很大程度上决定了入侵检测系统的性能；响应处理是最 终的日标，反映了受保护系统的安全状况。这三个环节对一个入侵检测系统来说都 是至关重要的。 数据采集模块的作用在于为入侵检测系统提供监测数据，尽可能的将和入侵行 为有关的信息采集到一起，以便i d s 分析，最终用来确定入侵行为的有无。采集的 数据也可称为审计数据。i d s 使用的审计数据可以是主机韵系统同志信息，也可以是 被检测网络的网络数据信息。数据收集工作越充分，则越有利于入侵行为的检测。 数据收集模块获得数据之后，需要对数据进行简单的处理，如简单的过滤、数据格 式的标准化等，之后再将数据提交给数据分析模块。 数据分析模块是一个入侵检测系统的入侵检测引擎( i d e ，i n t r u s i o nd e t e c t i o n e n g i n e ) ，其作用是对采集到的数据进行深入地分析综合，发现入侵行为并根据分析 结果产生事件。将事件传递给结果处理模块；数据分析模块可以采用多种多样的检 测技术，是一个入侵检测系统的关键部件。该模块的性能直接决定着入侵检测系统 的性能。 响应处理模块的功能在于对入侵时间的告警和响应。当入侵事件发生以后，以 通过告警的形式通报给系统管理员，也可以根据事先完成的配置信息直接启动响应 1 0 第2 章入侵检测概述 机制，对入侵行为进行抵御。大多数入侵检测系统都只是以告警的形式处理入侵事 件。有的研究主张在发现入侵之后采取断开网络连接的方法，以此来化解攻击行为， 但这种方式往往会被攻击者用来实现拒绝服务攻击。到目前为止，入侵响应方面的 工作做的相对较少，但渐渐的也受到了重视。 一般来说，i d s 的能够完成下列活动： 1 ) 监测并分析用户和系统的活动； 2 ) 核查系统配置和漏洞； 3 ) 评估系统关键资源和数据文件的完整性； 4 ) 识别己知的攻击行为； 5 ) 统计分析异常行为； 6 ) 操作系统曰志管理，并识别违反安全策略的用户活动： i d s 相对于传统的安全技术来说，提到了一种主动的防护，而访问控制、认证和 防火墙等只是被动的防护，因此i d s 经常被称为安全的最后一道防线。 同时，理解入侵检测从来就不是计算机和网络安全的“银弹”是很重要的，它 只是整个系统安全组件的一个部分。任何一种单一的安全技术都并非万能，而且随 着供给者经验日益丰富，攻击工具与手段的日益复杂多样，传统单一的安全技术和 策略已经无法满足对安全高度敏感的部门的需要。因此，网络安全的防伪必须采用 一种纵深的、多样的手段，形成一个多层次的防护体系，不再是单一的安全技术和 安全策略，而是多种技术的融合，关键是各种安全技术能够起到相互补充的作用， 这样，即使当某一种措施失去效能时，其他的安全措施也能予以弥补。比如军事基 地、银行等都有报警和监控系统，但是它们代替不了其它的保护措施，如身份认证。 下面简要的列出了其它几种保护机带l j 2 1 】： 1 ) 加密( e n c r y p t i o n ) 加密是最古老的安全机制，它通过用一个具有密钥的数学函数( 加密算法) 对消 息( 明文) 进行处理，产生加密的消息( 密文) 。 2 ) - 访问控制( a c c e s sc o n t r 0 1 ) 访问控制机制根据主体访问权限来限制对对象的访问，进一步分为自有访问控 制( d i s c r e t i o n a c c e s sc o n t r o l ，d a c ) ，主体的拥有者负责设置访问权限；强制访问控 制( m a n d a t o r y a c c e s sc o n t r o l ，m a c ) ，使用系统本身来规定访问权限。 3 ) 身份识别和认证( i d e n t i f i c a t i o na n da u t h e m i c a t i o n ) 身份识别和认证机制支持对系统中的主体和客体的主动的身份识别，验证基于 你知道的东西、你有的东西和你自己。 4 ) 防病毒( a n t i v i r u s ) 防病毒( 软件) 提供了病毒防护，阻止病毒的入侵及在系统内的传播。 河北利技大学硕士学位论文 5 ) 防火墙( f i r e w a u ) 防火墙通过严格的网络访问控制策略，在不同的信任级别或安全级别的网络之 间建立了一个安全边界。 6 ) 安全管理( s e c u r i t ym a n a g e m e n t ) 安全管理通过一个统一的管理平台来管理各种设备，减少管理中的误操作，并 且方便了多种安全产品间的协作。 图2 - 2 列出了一个系统的全面安全防护措施，通过多种机制共同保护，将可能的 入侵企图减至最小。 图2 - 2 入侵防护 、 f i g 2 - 2 i n t r u s i o np r o t e c t i o n 2 3 入侵检测使用的技术 2 3 1 异常检测技术 异常检测( a n o m a l yd e t e c t i o n ) 通常是指为所检测的系统建立一个正常使用情况 的数值模型，如c p u 利用率、内存利用率、文件校验等，任何违反该模型的事件的 发生都被认为是可疑的，即系统运行时的数值与所定义的正常情况的数值有偏差。 其主要根据非正常行为和计算机资源的非正常使用检测出入侵行为，这就要求入侵 活动是异常活动的子集。建立一个正常行为模型后，使用异常入侵检测技术能够准 确的检测出一些位置的攻击。异常检测有许多形式。图2 3 所示为一个典型的异常检 1 2 第2 章入侵检测概述 测系统口2 1 。 异常检测常用的方法有：基于神经网络的异常入侵检测、基于免疫系统的异常 入侵检测、基于文件检查异常入侵检测、基于协议认证的异常入侵检测等。 异常检测被用于应用程序层次来监控用户的行为。异常检测i d s 从用户的系统 行为中收集一组数据。这一基准数据集被视为“正常调用”。如果用户偏离了正常调 用模式，就会产生报警。 u p d a t ep r o f i l e g e n e r a t en e wp r o g i l e sd y n a m i c a l l y 图2 3 异常检测系统 f i g 2 3 a n o m a l yd e t e c t i o ns y s t e m 例如，如果一个用户在几个月内都是在上班时间登录一个系统，那么某天他突 然在凌晨3 点登录，异常检测i d s 就会发出报警。 异常检测可以用来监控权限升级攻击。如果一个正常用户的帐户没有权限访问 一个重要的操作系统文件，例如w i n d o w s 操作系统的s a m 文件。但是该用户却被 发现可以随意的访问该文件，i d s 就认为发生了潜在的破坏行为并且发出警报。 异常检测i d s 能更好的捕获那些富有经验的攻击者。攻击者可以在一个受到控 制的环境中复制一个特征匹配i d s 。攻击者可以尝试进行潜在的入侵来观察那些能被 特征匹配i d s 发现。然而，对于异常检测i d s ，攻击者不能预知哪些入侵行为可以 不被发现。 异常检测i d s 独特的优点在于它不依赖于对已知攻击的识别。只要i d s 能检查 出攻击者与正常调用有较大的不同，它就能检测出攻击。 异常检测也有一些局限性。这种监控恶意调用的方法在学习期存在一个问题。 那就是你必须坚定基准数据在集中收集的过程中无恶意的岗位信念。 如果在i d s 收集基准数据集时就有一个用户每天3 点都窃取公司机密，那么它 就会认为这是正常行为，不发出警报，在这种情况之下异常检测i d s 更容易产生漏 报。 异常检测误报率也相对较高。鉴定一种类型的流量非常罕见，但又是正常的、 无恶意的。如果这一流量不能在i d s 产生基准数据时被捕获，当i d s 遇到这种流量 1 3 河北科技大学硕士学位论文 时就会产生误报。这是一个重大的问题，因为网络流量随着时间的推移会包含很多 偶然出现的罕见数据。这就使得异常检测不那么精确【2 0 1 。 这种检测技术可以细分为很多种，包括：统计异常检测、基于神经网络的异常 检测、基于学习的异常检测、基于数据挖掘的异常检测、基于隐马尔可夫模型( h i d d e n m a r k o vm o d e l ) 的异常检测等。 2 3 2 误用检测技术 误用检测( m i s u s ed e t e c t i o n ) 也称为基于知识的入侵检测，这种检测先建立已知 攻击的攻击特征库，通过对系统运行情况的监测，获得审计数据，然后将系