（应用数学专业论文）高速网络下的入侵检测系统研究.pdf

北京邮电大学硕士学位论文高速网络下的入侵检测系统研究 高速网络下的入侵检测系统研究 摘要 入侵检测系统作为一种积极主动的安全防护手段，在保护计算机 网络和信息安全方面发挥着重要的作用。随着网络高速的发展，目前 基于网络的入侵检测系统已经无法适应高速增长的网络速度，各种新 的八侵检测技术如负载均衡，分布式随之发展起来，本文提出了一种 数据流切片与协议分析结合的入侵检测方法，在数据包的底层和高层 的协议分析都应用了“切片”( s l i c i n g ) 思想。 论文在开头概述了整个入侵检测系统，包括它的产生，入侵检测 的概念和它关注的对象，入侵检测的分类，各种入侵检测方法以及体 系结构，对入侵检测的信息源也做了分析。随后介绍了高速网络下入 侵检测的解决方案，主要关注负载均衡技术和分布式技术。最后着重 阐述了本文提出的数据切片+ 协议分析( d s p = 久) 的入侵检测方法 4 3 ，它围绕入侵检测的两个核心：检测速度和准确性来设计。数据 切片就是将数据按照一定的策略，将从网络中抽取( t a p ) 出来的数据 包，分流到多个切片设备( s l i c i n gd e v i c e ) ，但分流不能是任意的， 不能破坏连接的完整性，否则很多攻击会检测不到。设计中在切片设 备和探测器( s e n s o r ) 之间加入一个基于i p ( 同时针对源d 和目标 i p ) 的关键交换模块，保证了连接的完整。协议分析利用协议数据包 的报文格式信息，参照具体的协议标准，基于协议状态来详细的检测 报文中隐含的攻击，对于认为异常的报文，再按照模式匹配的方法去 匹配攻击特征。协议分析主要包括协议解码和状态跟踪两个部分，在 分析之前，还有个识别的过程。第五章详细设计了协议分析模块，并 且以p o p 3 协议的实现作为样例，给出了协议分析实现代码。 本论文的主要结论如下： 1 ) 数据的分流是提高高速网络环境下i d s 检测速度的有效方法， 并且减少了数据包的丢失。 2 ) 协议分析技术和传统的基于误用( 特征模式匹配) 和异常统计 相比，能够更加准确地检测到入侵，定位攻击。 3 ) 基于网络节点的入侵检测是今后发展的趋势，每个节点只完成 特定的检测，汇集起来后采用智能关联的技术进行分析。 摘要 4 ) 单纯的一种安全技术很难构筑一道强有力的安全防线，入侵检 测只有和其它安全技术共同使用才能组成更完备的安全保障系统。 关键词：入侵检测高速网络协议分析数据切片 北京邮电大学硕士学位论文高速网络下的入侵桂剥系统研究 r n t r u s i o nd e t e c t i o ns y s t e mr e s e a r c h f o rh i g h s p e e d n e t w o r k i n gc i r c u m s t a n c e a b s t r a c t a sa p o s i t i v ei n s t r u m e n to fs e c u r i t yp r e v e n t i o n ，i n t r u s i o nd e t e c t i o ns y s t e mh a s a n i m p o r t a n tf u n c t i o ni np r o t e c t i n gc o m p u t e rn e t w o r k a n di n f o r m a t i o n s e c u r i t y w i t h t h e r a p i dd e v e l o p m e n to f n e t w o r k i n g ，c u r r e n t l yb a s e do n t h et r a d i t i o n a ln i d sh a s h t a c c o m m o d a t e dt h ei n c r e a s eo f n e t w o r k s p e e d ，s om a n y n e w t e c h n i q u e s o fi n t r u s i o n d e t e c t i o nh a v eg r o w n u p ，s u c ha so v e r l o a db a l a n c ea n dd i s t r i b u t e dt e c h n o l o g y t h e t h e s i sb r i n g su pa ni n t r u s i o nd e t e c t i o n t e c h n i q u eo fc o m b i n g d a t a s l i c i n ga n dp r o t o c o l a n a l y s i s ，a n db o t h t h eb o u o mo f d a t a c o l l e c t i n ga n d t h et o po f p r o t o c o la n a l y s i sf u l f i l l t h et h o u g h to f s l i c i n g ， a tl a s tt h et h e s i sc o n c r e t e l ye x p l a i n st h ei n t r u s i o nd e t e c t i o n t e c h n i q u eo f d a t a s l i c i n gp l u sp r o t o c o la n a l y s i s ，w h i c hs u r r o u n d st h et w ok e yc h a r a c t e r i s t i c so f i n t r u s i o n d e t e c t i o n ：t h es p e e da n d v e r a c i t yo f d e t e c t i o na c t i o n s d a t a s l i c i n gi sap r o c e s st h a td a t a i st a p e df r o mn e t w o r kd e v i c ea n ds e n tt om a n y s l i c i n gd e v i c e sa c c o r d i n g t os o m e w h a t s t r a t e g y , b u tt h eo p e r a t i o no fs l i c i n g i s n ta r b i t r a r y , w h i c hs h o u l d k e e p t h ei n t e g r i t yo f n e t w o r kc o n n e c t ，o t h e r w i s em a l a ya t t a c k sa r ei g n o r e d t h r o u g hi n s e r t i n gac o r es w i t c h m o d u l eb e t w e e n s l i c i n gd e v i c ea n ds e n s o r , t h ed e s i g na s s u r e st h ec o n n e c ti n t e g r i t y p r o t o c o la n a l y s i sm a k e su s eo f m e s s a g ef o r m a ti n f o r m a t i o no f d a t a p a c k e t s ，r e a r st o t h ec o n c r e t e p r o t o c o ls t a n d a r d ，a n d b a s e so n p r o t o c o ls t a t et od e e p l y d e t e c tt h ei m p l i c i t a t t a c k o f m e s s a g e s ，w h i c h t h e n d e t e c t s t h ea b n o r m a l m e s s a g e s i n t e r m so f t h e w a y o f p a t t e r nm a t c h p r o t o c o la n a l y s i sm a i n l yi n c l u d e sd e c o d i n gp r o t o c o la n dt r a c i n gs e s s i o n s t a t u s ，a n db e f o r et h e s ei tn e e d st oi d e n t i f yt h ep r o t o c 0 1 t h et h e s i sd e s i g n st h ep r o t o c o l a n a l y s i sm o d d e i nd e t a i li nc h a p t e rf i v e ，a n dd e s c r i b e st h ei m p l e m e n t o f p r o t o c o l a n a l y s i so f p o p 3 p r o t o c o la sas a m p l e m a j o rc o n c l u s i o n so f t h et h e s i sa r ea sf o l l o w s ： 1 ) s l i c i n g d a t ai sa ne f f e c t i v ew a yo f i m p r o v i n g t h ed e t e c t i o n s p e e do f i d su n d e r h i g h s p e e dn e t w o r k ，a n dr e d u c e st h el o s i n go fd a t ap a c k e t - 1 1 1 a b s t r a c t 2 ) c o m p a r e d w i t ht h et r a d i t i o n a lt e c h n i q u eo fb a s e do nm i s u s ea n d a b n o r m a l s t a t i s t i c ，p r o t o c o la n a l y s i sp r o v i d e sm o r ep r e c i s ed e t e c t i o na n dt h el o c a t i o nd e t e r m i n i n g o fa t t a c k 3 ) t h e d i r e c t i o no fi n t r u s i o nd e t e c t i o ni st h eb a s e do nn e t w o r kn o d e o fi t e a c h n o d eo n l yd o e st h ep a r t i c u l a rd e t e c t i o n ，a n di td o e s d e e p e ri n t e l l i g e n ta n a l y z i n ga f t e r c e n t r a l i z i n gt h e m i nt h ef u t u r e 4 ) i t sh a r dt oc o n s t r u c ts t r o n gs e c u r i t yp r e v e n t i o n o n l yd e p e n d i n g o na s i n g l e s e c u r i t yt e c h n i q u e ，i n t r u s i o nd e t e c t i o nn e e dt ob ee m p l o y e dw i t ho t h e rs e c u r i t y t e c h n i q u e sa st ob u i l du pt h em o r ec o m p l e t es y s t e mo f s e c u r i t yg u a r a n t e e ， k e y w o r d s ：i n t r u s i o n d e t e c t i o n h i g h - s p e e dn e t w o r k i n g p r o t o c o la n a l y s i s d a t as l i c i n g 1 v 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包 含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处 本人签名：j 犟址日期 本人承担一切相关责任。 2 矿d r 夸- ；j 学位论文使用授权说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅：学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 非保密论文注释：本学位论文不属于保密范围，适用本授权书。 本人签名：幽 日期：一2 2 1 羔：! ：! l 导师签名：善兰，：! i ：l 一日期：；棚茹j j 士一 北京邮电大学硕士学位论文高速刚络下的入馒检测系统研究 1 1背景 第1 章引言 当今世界，随着计算机和网络技术的发展，网络获得了广泛的应用。政府机 关、金融机构、商业机构和企业等都有自己的i n t r a n e t 。无数的个体为了快速的 学习、搜集信息、与他人交流和休闲娱乐，纷纷加入了互联网。网络使得世界在 变小，网络己经使包括个人、企业与政府等在内的全社会信息完全共享。随着网 络规模的扩大、带宽的增长、技术的进步、用户数量的急剧增加，高速网络环境越 来越多，许多公司的主干网都是g b ( g i g a b i t ) 级的，干兆交换机、千兆路由器等 网络设备随处可见，千兆网络已经成为现实。然而伴随着i n t e r n e t ，i n t r a n e t 和电 子商务等各种网络技术和应用的发展，网络入侵和病毒以及其他安全问题一直伴 随着网络的发展。 人们在享受互联网便利的同时，网络安全作为一个无法回避的问题呈现在人 们面前。传统上，防火墙是被采用的最多的安全防范措旌。而随着攻击者知识的 日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对 安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。与 此同时，当今的网络环境也变得越来越复杂，各式各样复杂的设备，需要不断升 级、补漏的系统使得网络管理员的工作不断加重，不经意的疏忽便有可能造成安 全的重大隐患。 入侵检测是监测计算机网络和系统以发现违反安全策略事件的过程 1 0 1 。入 侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m 或缩写为i d s ) 工作在计算机网络系统中 的关键节点上，通过实时地收集和分析计算机网络或系统中的信息，来检查是否 出现违反安全策略的行为和遭到袭击的迹象，进而达到防止攻击、预防攻击的目 的。入侵检测系统的应用，可以在系统发生危害前检测到入侵攻击，并利用报警 与防护系统响应攻击，从而减少入侵攻击所造成的损失。 在当今的高速网络环境下，入侵检测系统作为主动保护自己免受攻击的网络 安全技术，经常配置在防火墙之后，在不影响网络性能的情况下对网络和系统进 行实时监测，同时i d s 又“游离”于网络之外，避免攻击者的直接攻击，可以有 效地减轻或防止上述的网络威胁，帮助系统对付网络攻击，扩展了系统管理员的 安全管理能力( 包括安全审计、监视、攻击识别和响应) ，提高了信息安全基础 结构的完整性。同时，人们越来越多的认识到单一的安全技术是不能防范攻击 的，只有将防火墙、入侵检测、防病毒、认证和审计等各种技术结合起来，在统 一的安全管理平台下协作，才能更好地保护网络。其中，入侵检测正在发挥它不 可替代的作用，高速网络下的入侵检测技术的研究已经成为一个新的热点。 第1 章引言 1 2研究范围和主要内容 本论文提出了一种高速网络下的入侵检测技术：数据流切片+ 协议分析( d s p a ) ，结合在联想信息安全服务事业部( 现联想亚信) 实习期间所做的工作，给 出了一个系统架构设计和主要模块的实现。论文围绕着入侵检测系统的两个核心 方面展丌：检测速度和检测准确性，并且在此基础上分析了各种入侵检测方法的 优劣。 本文的主要研究内容集中在下列方面： 1 ) 入侵检测系统描述，针对i d s 的产生、概念、分类、功能以及体系结构 等做了详细的分析。 2 ) 入侵检测系统的信息源，主要讨论了主机和网络两个数据来源的采集和 分析过程。 3 ) 高速网络下的i d s ( h s - n i d s ) 实现方法，即怎样去实现一个i d s ，分 析了当前的主流技术，包括处于研究阶段和已经商用的，并阐述了本文 技术的核心思想，底层的数据流切片和高层的协议分析相结合，最后和 其他技术进行了比较。 4 ) 系统设计与实现，探讨了具体设计并实现一个i d s 系统时需要做的工 作。 1 3 组织结构 整个论文分为三大部分： 第一部分：综述 第一部分由第一、二和第三章组成，描述了论文的基本情况和技术背景。其 中，第一章介绍了研究背景以及论文的主要研究内容和组织结构，第二章描述了 入侵检测系统的方方面面，第三章又着重讲了i d s 检测的对象一输入数据，即信 息源。 第二部分：高速网络下i d s 的设计和实现 第二部分包括第四章和第五章，该部分是本论文的核心部分。第四章比较了 h s i d s 的几种实现方法，并引入了本文采用的方法：数据流切片+ 协议分析，对 切片的原理做了详细的分析，结合一些数学知识对协议分析做了深入的讨论。第 五章为整个系统的设计，给出了一个现实的、可度量的设计，并给出了一个协议 具体分析的实现。 第三部分：总结 北京邮电大学硕士学位论文高速网络下的入侵检测系统研究 第三部分即最后一章第六章，对论文作了总结，给出了本文所研究技术的实 际应用价值，并对它的一些优缺点做了评论，提出了一些还未解决的问题，以及 今后还需要作的进一步工作。 1 4 缩略语 表卜l 缩略语 ! ! 塞堂皇盔堂堡堂垡堡塞壹垫圈堡工塑堡丝型墨篓堑塞 第2 章入侵检测概述 2 1入侵检测的产生 国际上在2 0 世纪7 0 年代就开始了对计算机和网络遭受攻击进行防范的研 究，审计跟踪是当时的主要方法。1 9 8 0 年4 月，j a m e s p a n d e r s o n 为美国空军做 了一份题为( ( c o m p u t e rs e c u r i t yt h r e a tm o n i t o r i n g a n ds u r v e i l l m a c e ) ) ( 计算机安全 威胁监控与监视) 的技术报告，这份报告被公认为是入侵检测的开山之作，报告 罩第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的 分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审 计跟踪数据，监视入侵活动的思想。但由于当时所有已有的系统安全程序都着重 于拒绝未经认证主体对重要数据的访问，这一设想的重要性当时并未被理解。 从1 9 8 4 年到1 9 8 6 年，d o r o t h yd e n n i n g 和p e t e rn e u m a r m 研究并发展了一令 实时入侵检测系统模型，命名为i d e s ( 入侵检测专家系统) ，它提出了反常活 动和计算机不正当使用之间的相关性，反常被定义为统计意义上的“稀少和不寻 常”。该模型由六个部分组成：主体、对象、审计记录、轮廓特征、异常记录和 活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构 架入侵检测系统提供了一个通用的框架。1 9 8 7 年，d e n n i n g 提出了一个经典的异 常检测抽象模型，首次将入侵检测作为一种计算机系统安全的防御措旌提出。他 的这篇论文( a n i n t r u s i o n d e t e c t i o n m o d e l 2 1 ) 被认为是另一篇入侵检测的开创之 作。 1 9 8 8 年m o r r i si n t e r a c t 蠕虫事件导致了许多i d s 系统的开发研制。在这一 年，s r ii n t e r n a t i o n a l 公司的t e r e s al u n t 等人开发出了一个i d e s 原型系统。该系 统包含了一个异常检测器和一个专家系统，异常检测器采用统计技术刻画异常行 为，而专家系统采用的基于规则的方法来检测已知的攻击行为。同年，为了帮助 安全官员发现美国空军s b l c ( s t a n d a r d b a s el e v dc o m p u t e r s ) 的内部人员的不 正当使用，t r a c o r a p p l i e ds c i e n c e s 公司和h a y s t a c k 合作开发了h a y s t a c k 系统： 同时，几乎出于相同的原因，美国国家计算机安全中心开发了m i d a s 入侵检测 和报警系统( m u l t i c s i n t r u s i o n d e t e c t i o n a n d a l e r t i n gs y s t e m ) ；l o s a l a m o s 美国国家 实验室开发了网络审计执行官和入侵报告者( n a d i r ) ，它是2 0 世纪8 0 年代最 成功和最持久的入侵检测系统之一。 1 9 9 0 年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分 校的lth e b e r l e i n 等人开发出了n s m ( n e t w o r ks e c u r i t ym o n i t o r ) 。该系统第 一次监视网络流量并直接将流量作为主要数据源，因而可以在不将审计数据转换 成统一格式的情况下监控异种主机。到现在为止，n s m 的总体结构仍然可以在 第2 章入侵检l 概述 很多商业入侵检测产品中见到。n s m 是入侵检测研究史上一个非常重要的里程 碑，从此之后，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于 网络的i d s 和基于主机的i d s 。 1 9 9 1 年，美国空军等多部门进行联合，开展对分布式入侵检测系统 ( d i d s ) 的研究，将基于主机和基于网络的检测方法集成到一起。d i d s 是分布 式入侵检测系统历史上的一个里程碑式的产品，它的检测模型采用了分层结构。 1 9 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d 建议使用自治代t l ( a u t o n o m o u sa g e n t s l 以便提高i d s 的可伸缩性、可维护性、效率和容错性，该理念非常符合正在进行 的计算机科学其他领域( 如软件代理，s o f t w a r ea g e n t ) 的研究。 1 9 9 5 年开发了i d e s 完善后的版本n i d e s e x t ：g e n e r a t i o ni n t r u s i o n d e t e c t i o ns y s t e m ) 可以检测多个主机上的入侵。 1 9 9 6 年开始提出的g r i d s ( g r a p h - b a s e d i n t r u s i o nd e t e c t i o ns y s t e m ) 的设计 和实现解决了入侵检测系统伸缩性不足的问题，该系统使得对大规模自动或协同 攻击的检测更为便利。 i9 9 7 年，m a r kc r o s b i e 和g e n e s p a f f o r d 将遗传算法运用到入侵检测中。学者 们陆续将神经网络、模糊识别、免疫系统、数据挖掘、协议分析等方法应用到入 侵检测中。当前随着网络高速发展，各种安全问题日益凸现，引发了对i d s 系统 的新一轮研究热潮。 2 2 概念和定义 2 2 1信息安全 安全是一个广义的概念，到底指什么? 一个安全的计算机系统的定义是“一 个可以信赖的按照期望的方式运行的系统”。这个直观的定义指出了系统的运行 方式一可信的，但是怎么来度量这个信任昵，可以用一个安全的三元组来度量， 包括信息的机密性、完整性和可用性。 机密性( c o n f i d e n t i a l i t y ) 是指只能由授权用户访问信息的要求。政府部门和银 行系统在计算机安全领域做的大部分工作都集中于机密性。 完整。陛( i n t e g r i t y ) 是指防止信息被非授权篡改的要求。完整性对于处理如医疗 记录和金融帐户等数据的系统特别关键。 可用性( a v a i l a b i l i t y ) 是指信息和系统资源能够及时响应授权用户的访问需 求，即授权用户能在他们需要时，以系统安全策略允许的方式访问资源。 一个安全的计算机系统需要支持所有的这三个目标，才能保护它的信息和计 算资源，抵抗各种攻击。 2 2 2入侵 北京邮电大学硕士学位论文高速网络下的入侵检剥系统研究 入侵( i n t r u s i o n ) 是一种企图破坏计算机资源的行为，入侵企图或威胁可以被 定义为未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。或者 是只有关试图破坏资源的完整性、机密性及可用性的活动。一般说来，按照入侵 者的角度，我们可以将入侵分为以下六种类型： v ，尝试性闯入( a t t e m p t e db r e a k - i n ) ： 伪装攻击( m a s q u e r a d e a t t a c k ) ； 安全控制系统渗透( p e n e t r a t i o no f t h es e c n r i t yc o n t r o ls y s t e m ) ； 泄露( l e a k a g e ) ； ， 拒绝服务( d e n i a lo f s e r v i c e ) ； 恶意使用( m a l i c i o u su s e ) 。 入侵行为构成了对系统的威胁，而且很多的安全程序都是针对某种威胁而编 写的。威胁定义为潜在的危害系统的任何情况和事件，它的范围更广。威胁又可 以被分为故意的和偶然的。故意的威胁有可以进一步分为主动攻击和被动攻击。 被动攻击不会导致对系统中所含信息的任何改动，如搭线窃听、业务流分析，它 主要威胁信息的保密性，主动攻击则意在篡改系统中所含信息、或者改变系统的 状态和操作，因此主动攻击主要威胁信息的完整性和可用性。根据入侵者的不同 分类，表2 一l 列举了相应的安全威胁，有些威胁行为多种入侵者都存在。 分类说明威胁行为 外部入侵者系统的未授权用户窃听， 拒绝服务， 假冒， 计算机病毒 内部入侵者逾越了合法访问权限的系授权侵犯， 统授权用户非法使用。 信息泄露。 抵赖 违法者超过了他们权限的授权用假冒， 户旁路控制， 业务流分析 表2 一l 安金威胁 2 2 3入侵检测 入侵检测( i n t r u s i o nd e t e c t i o n ) ，是监测计算机网络和系统以发现违反安全 策略事件的过程 1 0 1 。它通过在计算机网络或计算机系统中的若干关键点收集信 息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行 为和被攻击的迹象。完成入侵检测功能的软件、硬件组合便是入侵检测系统 ( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) 。简单来说，i d s 包括3 个部分： _ 提供事件记录流的信息源，即对信息的收集和预处理； 第2 章入侵检测概述 一入侵分析引擎； 一基于分析引擎的结果产生反应的响应部件。 因此，信息源是入侵检测的首要素，它可以看作是一个事件产生器。事件来 源于审计记录、网络数据包、应用程序数据或者防火墙、认证服务器等应用子系 统。i d s 可以有多种不同类型的引擎，用于判断信息源，检查数据有没有被攻 击，有没有违反安全策略。当分析过程产生一个可反映的结果时，响应部件就做 出反应，包括将分析结果记录到日志文件，对入侵者采取行动。根据入侵的严重 程度，反应行动可以不一样，一种方法是通过预定义严重级别来激发警报，对于 级别低的，仅仅在控制台显示一条信息，而对于级别高的，可直接给管理员发送 含有警报标志的e - m a i l ，或者立即采取行动阻止入侵。一般来说，i d s 能够完成 下列活动： 监控、分析用户和系统的活动； 发现入侵企图或异常现象； v ，审计系统的配置和弱点； 评估关键系统和数据文件的完整性： 对异常活动的统计分析； 识别攻击的活动模式： 实时报警和主动响应。 i d s 相对于传统的安全技术来说，提高了一种主动的防护，而像访问控制、 认证和防火墙只是一种被动的防护，因此i d s 经常被称为安全的最后一道防线。 同时理解入侵检测从来就不是计算机和网络安全的“银弹”是很重要的，它只是 整个系统安全组件的一个部分。任何一种单一的安全技术都并非万能，而且随着 攻击者经验日趋丰富，攻击工具与手法的日趋复杂多样，传统单一的安全技术和 策略已经无法满足对安全高度敏感的部门的需要。因此，网络安全的防卫必须采 用一种纵深的、多样的手段，形成一个多层次的防护体系，不再是单一的安全技 术和安全策略，而是多种技术的融合，关键是各种安全技术能够起到相互补充的 作用，这样，即使当某一种措施失去效能时，其他的安全措施也能予以弥补。 比如军事基地、银行等都有报警和监控系统，但是它们代替不了其它的保护 措施，如身份认证。下面简要的列出了其他几种保护机制。 1 ) 加密( e n c r y p t i o n ) 加密是最古老的安全机制，它通过用一个具有密钥的数学函数( 加密算法) 对消息( 明文) 进行处理，产生加密的消息( 密文) 。 2 1 访问控制( a c c e s sc o n t r 0 1 ) 北京邮电大学硕士学位论文 高速网络下的入侵检测系统研究 访问控制机制根据主体的访问权限来限制对对象的访问，进一步分为自由访 问控制( d i s c r e t i o n a r y a c c e s sc o n t r o l ，d a c ) ，主体的拥有者负责设置访问权 限：强制访问控制( m a n d a t o r y a c c e s sc o n t r o l ，m a c ) ，使用系统本身来规定访 问权限。 3 1 身份识别和认证( i d e n t i f i c a t i o na n da u t h e n t i c a t i o n ) 身份识别和认证机制支持对系统中的主体和客体的主动的身份识别，验证典 型地基于你知道的东西、你有的东西和你自己。 4 ) 防病毒( a n t i - v i r u s ) 防病毒( 软件) 提供了病毒防护，阻止瘸毒的入侵，在系统内的传播。 5 ) 防火墙( f i r e w a l l ) 防火墙通过严格的网络访问控制策略，在不同的信任级别或安全级别的网络 之间建立了一个安全边界。 6 ) 安全管理( s e c u r i t ym a n a g e m e n t ) 安全管理通过一个统一的管理平台来管理各种设备，减少管理中的误操作， 并且方便了多种安全产品间的协作。 图2 一l 列出了一个系统的全面安全防护措施，通过多种机制共同保护，将可 能的入侵企图减至最小。 2 3分类 图2 - 1 入侵防护 根据不同的分类标准，从技术层面可以将入侵检测系统分为不同的类别。 2 3 1按数据源 1 、h i d s 第2 章入侵捡测概述 h i d s 通过分析单个的计算机系统上的审计数据( 如系统曰志、应用程序日 志、文件完整性等) 来发现可疑活动从而检测出入侵行为。h i d s 的优点是性价 比高，不需要增加专门的独立设备；检测粒度细，日志、文件、目录、进程、端 口、用户行为和进程调用序列等都可以检测；易于裁剪，每个主机都可灵活设 置；相对稳定，对网络流量不敏感；适用于加密和交换环境。缺点是占用一定的 系统资源，并且缺乏跨平台支持，可移植性差。 2 ) n i d s n i d s 使用原始网络包作为数据源，它侦听网络上的所有分组来采集数据， 检测入侵行为。n i d s 的优点是成本低；隐蔽性好；实时检测和响应；能够检测未 成功的攻击企图；独立于单个主机。缺点是精确度不高：在交换网络环境下无能 为力；对加密数据无能为力；防入侵欺骗的能力也比较差；难以定位入侵者。 3 1h y 二i d s h y - i d s 提供了基于主机和网络的入侵检测设备的管理和警告，实现了n i d s 和h i d s 的互补。现代的交换式网络为传统的n i d s 工作带来了困难( 然而有的 交换机允许在跨越端口或者连接模式终端访问点t a p 监听交换机的所有流量) ， 网络带宽的增加也使得n i d s 抓包速率大大降低，h y - i d s 是一个解决方法，把 n i d s 向上扩展一层，结合n n i d s 和h i d s ，形成混合形式的入侵检测系统。 4 1n n i d s n n i d s 是在n i d s 的基础上发展来的，它将包拦截技术的对象从电缆转移到 主机，抓包动作发生在数据包到达最终目标主机后进行，然后对包进行分析。这 个方案基于以h i d s 为中心的假设，即关键主机都采用h i d s 。网络节点只是附 加在h i d s 上面的一个代理。n n i d s 的缺点在于他只检查到达驻留主机的数据 包。传统n i d s 可以监视整个子网的数据包。网络节点入侵检测的优点在于可以 抵御复杂网络环境下针对特定主机的包攻击，传统的n i d s 是无能为力的。 2 3 2按分析方法 在入侵检测中，大多数分析方法都包括误用检测、异常检测或者两者都包 括。 1 ) 误用检测( m i s u s ed e t e c t i o n ) 误用检测是对不正常的行为进行建模，通过使用模式匹配技术，对发生事件 的模式进行匹配，以发现问题。误用检测方法的优点是误报率低，可以发现已知 的攻击行为。但是这种方法检测的效果取决于模式特征库的完备性。为此，特征 库必须及时更新。另外，误用检测无法发现未知的入侵行为。 2 ) 异常检测( a n o m a l yd e t e c t i o n ) 北京邮电大学硕士学位论文高速网络下的入侵检剥系统研究 异常检测对正常行为建模，通过分析系统事件流，使用统计技术发现异常， 所有不符合这个模型的事件就被怀疑为攻击，它反映了一种观点：入侵是异常活 动的一个子集。这种方法的优点是不依赖于攻击特征，立足于受检测的目标发现 入侵行为，缺点是异常行为定义困难，误报率较高。 2 3 3 按响应策略 按照事件响应单元采用的策略不同，可分为下面两类： 1 ) 主动入侵检测，指i d s 会自动采取响应行为，如收集辅助信息，改变自 身配黄以防止攻击自己，对入侵者采取行动等，这种i d s 常与防火墙联 动使用。 2 ) 被动入侵检测，指在检测到入侵后，i d s 不采取主动的对抗措施，通过 采用报警、通知、报告、存档等方式将信息提供给系统用户，依靠管理 员在此信息的基础上采取进一步的行动。 2 34 按时间 i d s 在分析数据时存在时间上的差别，有两种模式： 1 ) 实时模式 随着系统速度和网络带宽的增长，i d s 大都采用了这一模式，事件一发生， 信息源就传给分析引擎，并且立刻得到处理和反应，这个过程不断循环进行。现 在的i d s 基本上都是这种。 2 ) 间隔模式批处理模式 信息源以文件的形式传给分析器，一次只处理特定时间段内产生的信息，并 在入侵发生时将结果反馈给用户。这种模式下是由管理员来定期或不定期进行操 作，没有实时性，早期i d s 多使用这种方案。 2 3 5 按控制策略 控制策略描述了i d s 的各元素是如何：腔制的，以及i d s 的输入和输出是如何 管理的。当系统监测多个主机或者网络时主要有三种控制方法。 1 ) 集中式，一个中央节点控制系统中所有的监视、检测和报告。 2 ) 部分分布式，监控和探测是由本地的一个控制点控制，层次式地将报告 发向一个或多个中心站。 3 ) 分布式，监控和探测是使用代理完成的，代理进行分析并做出相应决 策。 2 4入侵检测的方法和技术 2 4 i 误用检测 笫2 章入侵检测概述 误用检测最适用于已知使用模式的可靠检测，这种方法的前提是入侵行为能 按照某种方式进行特征编码。入侵特征描述了安全事件或其它误用事件的特征、 条件、排列和关系。特征构造方式有多种，因此误用检测方法也多种多样，主要 包括以下一些方法： 1 ) 专家系统 专家系统是指根据一套有专家事先定义的规则推理的系统。入侵行为用专家 系统的一组规则描述，事件产生器采集到的可疑事件按一定的格式表示成专家系 统的事实，推理机用这些规则和事实进行推理，以判断目标系统是否受到攻击或有 受攻击的漏洞等。专家系统的建立依赖于知识库( 规则) 的完备性，规则的形式 是i f t h e n 结构。i f 部分为入侵特征，t h e n 部分为规则触发时采取的动作。 早期的误用检测都采用专家系统，如i d e s ，d i d s 等。使用专家系统的优点 在于可以把系统的控制推理从问题解决的描述中分离出去，这样就允许用户以特 定规则的形式输入攻击信息和动作，而不需要用户理解专家系统的内部功能。但 是它也存在一些不足：如不适用于处理大批量数据，特别是规则数量的增加使系 统性能下降很快；无法利用连续有序数据之间的关联性；无法处理不确定性。 2 ) 状态转移分析 状态转移分析主要使用状态转移表来表示和检测入侵，不同状态刻画了系统 某一时刻的特征。初始状态对应于入侵开始前的系统状态，危害状态对应于已成 功入侵时刻的系统状态。初始状态与危害状态之间的迁移可能有一个或多个中间 状态。每次转移都是由一个断言确定的状态经过某个事件触发转移到下一个状 态，该方法类似于有限状态机。攻击者执行一系列操作，使系统的状态发生迁 移，因此通过检查系统的状态就可以发现入侵行为。 3 ) 基于条件概率的误用检坝, 1 1 1 6 基于条件概率的误用检测，系指将入侵方式对应一个事件序列，然后观测事 件发生序列，应用贝叶斯定理进行推理，推测入侵行为。设e s 表示事件序列， 先验概率为p t r u s i o n ) ，后验概率为p ( e si n t r u s i o n ) ，事件出现概率为p ( e s ) ， 则 p ( z n t r “s i d n l e g ：p ( e s i i n t r “j f d n ) p ( i n t r u s i o n ) p(es) 通常网络管理员可以根据自己的经验给出先验概率尸( 扬t r u s i o n ) ，对入侵报告 数据统计计算后得出p ( e s i i n t r u s i o 胛) 和p ( e s | _ i n t r u s i o n ) ，于是可以计算出 p ( e s ) = ( p ( e s l i n t r u s i o 圳一p ( e si i n t r u s i o n ) ) p ( i n t r u s i o n ) 十p ( e sl i n t r u s i o n ) 因此，可以通过事件序列的观测推算出p t r u s i o n le s ) 。基于条件概率的误 用检测方法，是基于概率论的一种通用方法，它是对贝叶斯方法的改进，其缺点 ! ! 塞塑皇奎芏塑主堂垡堡塞 壹堡旦垒i 塑堡焦型墨垫堑塞 是先验概率难以给出，过多地依靠管理人员的水平，而且事件的独立性难以满 足。 4 ) 基于规则的误用检测 1 6 】 基于规则的误用检测方法，指将攻击行为或入侵模式表示成一种规则，只要 匹配相应的规则就认定它是一种入侵行为，它和专家系统有些类似。开源软件 s n o r t 就采用了这种方法 1 8 。基于规则的误用检测按规则组成方式分为以下两 类： ( 1 )向前推理规则。将已知攻击( 如木马、病毒等) 的数据特征，都对应 到规则中，检测时直接和规则进行模式匹配，如果发现有相匹配的规 则，就认为有攻击行为。这种方法的优点是能够比较准确地检测入侵 行为，误报率低：其缺点是无法检测未知的入侵行为，而且规则对攻 击描述的准确性直接影响到i d s 的检测能力。 ( 2 )向后推理规则。由结果推测可能发生的原因，然后再根据收集到的信 息判断真正发生的原因，它具有异常统计的特征，比如在很短时间 内，一台主机接收到了从多个地址( 可能是虚假地址) 发来的p i n g 包，则可以认为这台主机遭受到了拒绝服务攻击。这种方法的优点是 可以发现异常，可能就是未知的入侵行为，但缺点是误报率高。 2 4 ，2异常检测 异常检测的前提是异常行为包括入侵行为。最理想情况下，异常行为集合等 同于入侵行为集合，但事实上，入侵行为集合不可能等同于异常行为集合，如图 2 2 ，有4 种行为：( 1 ) 行为是入侵行为，但不表现异常；( 2 ) 行为是入侵行 为，且表现异常；( 3 ) 行为不是入侵行为，却表现异常；( 4 ) 行为既不是入侵 行为，也不表现异常。 图2 - 2 入侵和异常的集舍 异常检测的基本思路是构造