（应用数学专业论文）基于snort的分布式入侵检测系统.pdf

原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进 行研究所取得的成果。除文中已经注明引用的内容外，本论文不包含任何 其他个人或集体已经发表或撰写过的科研成果。对本文的研究作出重要贡 献的个人和集体，均已在文中以明确方式标明。本声明的法律责任由本人 承担。 论文作者签名：遮选蛆日期：型! ：2 关于学位论文使用授权的声明 ( 保密论文在解密后应遵守此规定) 做作者格糊导师签名磅皓日期：型 山东人学顺卜学他论文 摘要 网络与信息安全问题己经同益突出，黑客入侵、信息泄密以及病毒泛滥所带 来的危害引起了世界各地的高度重视。世界各困7 r 始将网络与信息安全提高到国 家安全的高度加以重视和研究。我们国家安全部门更应该根据当前信息安全工作 需要加强信息安全技术研究。入侵检测技术是继“防火墙”、“数据加密”等传统 安全保护措施后新一代的安全保障技术，正是我们研究的重点。 s n o r t 是一种高性能的跨平台、轻量级入侵检测系统，其强大的功能和灵活 性可以满足多种应用环境的需求。 本文首先对网络应用环境中存在的安全威胁进行了分析，并提出网络安全所 要考虑的基本问题，概要性的对网络安全体系的p p d r 模型以及入侵检测系统的 基本结构进行分析，并对s n o r t 的结构特点进行了研究。基于上述分析，提出了 基于s n o r t 的分布式入侵检测系统的部署策略与部署方案，并且对于s n o r t 系统 的规则匹配算法进行改进，在不影响检测结果的基础上加快检测的速度。最后， 为了增强系统的蠕虫检测能力，本文还提出了在v i r t u a lh o n e y n e t 上实现 c o n n e c t h i s t o r y 算法以增强s n o r t 检测蠕虫能力的方案。 本文的重点是用s n o r t 构建分布式入侵检测系统，并且对s n o r t 系统的规则匹 配算法进行改进：增加宽度搜索，提高搜索过程并行性；动态调整规则顺序，提 高深度搜索速度。实验表明采用两种改进方式分别使系统的效率增加了1 9 9 9 和2 0 5 ，证明了对于s n o r t 规则匹配算法的改进有效的提高了入侵检测的速度。 关键词：入侵检测，规则匹配，分稚式，网络安全，i d s ，s n o r t 山矗；人学坝 学位沦史 s n o r tb a s e dd j s t r i b u t e di n t r u s i o nd e t e c ts y s t e m a b s t r a c t n e t w o r ka n di n l b r m a t i o ns e c u r i t yb e c o m e 沁b ei n o r ea o dm o r es e r i o u s a l lo f t h ew o r l da r e r e g a r d i n gt h eh u r t a r o u s e db yh a c k e ri n t r u s i o n ，i n f o r m a t i o nl e a k i n e s sa n dv i r u sf l o o da s i m p o r t a n c e e v e r yc o u n t r yt r e a t si n f o r m a t i o ns e c u r i t ya sn a t i o n a ls e c u r i t y s ow h a to u rn a t i o n a l s e c u r i t yo f f i c et od oi s t or e s e a r c hi n f o r m a t i o ns e c u r i t yt e c h n o l o g ym o r ed e e p l y t h ei n t r u s i o n d e t e c t i o ni san e ws e c u r i t yt e c h n o l o g y ；a p a r tf r o mt r a d i t i o ns e c u r i t yp r o t e c tt e c h n o l o g y , s u c ha s f i r e w a l la n dd a t ac r y p t w ea l es t u d y i n gi n t r u s i o nd e t e c t i o nt o d a y s n o r ti sal i g h t w e i g h ta n dp o w e r f u li d s ，w h i c hh a v ep o w e r f u lf u c t i o n sa n df l e x i b i l i t y s n o r t c a nb eu s e di nv a r i o u ss i t u a t i o n s i nt h ef i r s tp l a c e ，t h i sa r t i c l ea n a l i s y s e ss e c u r i t yt h r e a t e n sl i ei nn e t w o r ka p p l i c a t i o n s ，b a s i c c o n s i d e r a t i o n so f n e t w o r ks e c u r i t y , p p d rm o d u l eo f n e t w o r ks e c u r i t ya r c h i t e c t u r ea n dt h es t a t u s o f i d s s i n t h i s m o d u l e t h e ns e t s 如曲t h e b a s i cs t n i c n i r ea n ds y s t e m a t i co f i d s s ，a n d t h e c h a r a c t e r i s t i c sa n ds 自n l c 呲o f s n o r t b a s e do nf o r m e ru n a l i s y s e s ，p l a c i n gp o l i c ya n ds o l u t i o n sa r e i n t r o d u c e d i nt h ee n d ，s o l u t i o n st oe s t a b l i s hc o m l e t en e t w o r ks e c u r i t ys t r u c t u r e sa n dt os e c u r e1 d s s a r ei n t r o d u c e d w h a ti sm o r e ，w ea l s or e s e a r c ht h ec o n n e c t - h i s t o r ya l g o r i t h ma n df o u n dt h a t r e a l i z et h ec o n n e c t 坷s t o r ya l g o r i t h mo nav i r t u a lh o n e y n e tc a l lg r e a ti m p r o v et h ew o h nd e t e c t i o n a b i l i t yo f s n o r t t h ek e y s t o n eo ft h i sa r t i c l ei st ob u i l di d su s i n gs n o r t ，a n dt oi m p r o v eo nr u l em a t c h i n g a l o g n t h m so fs n o r ts y s t e m ：a d d i n gw i d t hs e a r c ha n da d j u s t i n gt h er u l e so r d e rd y i l a m i ct oi m p r o v e s e a r c h i n gs p e e d t h ee x p e r i m e n ti n d i c a t e st h a tu s i n gt h et w ot y p e s ，i t i s1 9 9 9 a n d2 0 5 0 q u i c k e rt h a nb e f o r e ，w h i c hp r o v e st h a tt h ei m p r o x eo nr u l em a t c h i n ga l o g r i t h m so fs n o r ts y s t e m i n c r e a s e st h ec h e c k i n gs p e e d 【k e y w o r d s ：i d s ，p p d r ，s n o r t 一、绪论 1 1 引言 计算机网络的安全是一个国际化的问题，每年全球因计算机网络的安全系统 被破坏而造成的济损失高达数百亿美元。进入新世纪之后，上述损失已经达到 2 0 0 0 亿美元以上恤1 。 政府、银行、大企业等机构都有自己的内网资源。从这些组织的网络办公环 境可以看出，行政结构是金字塔型，但是局域网的网络管理却是平面型的，从网 络安全的角度看，当公司的内部系统被入侵、破坏与泄密是一个严重的问题，以 及由此引出的更多有关网络安全的问题都应该引起我们的重视。据统计，全球 8 0 以上的入侵来自于内部。此外，不太自律的员工对网络资源无节制的滥用对 企业可能造成巨大的损失。 当商户、银行与其他商业与金融机构在电子商务热潮中纷纷进入i n t e r n e t 以政府上网为标志的数字政府使国家机关与i n t e r n e t 互联。通过i n t e r n e t 实现 包括个人、企业与政府的全社会信息共享已逐步成为现实。随着网络应用范围的 不断扩大，对网络的各类攻击与破坏也与日俱增。无论政府、商务，还是金融、 媒体的网站都在不同程度上受到入侵与破坏。网络安全已成为国家与国防安全的 重要组成部分，同时也是国家网络经济发展的关键。根据数据统计，信息窃贼在 过去5 年中以2 5 0 速度增长，9 9 的大公司都发生过大的入侵事件”“。世界著名 的商业网站，如y a h o o ，b u y ，e b a y ，a m a z o n ，c n n 都曾被黑客入侵，造成巨大的 经济损失。甚至连专门从事网络安全的r s a 网站也受到黑客的攻击。对入侵攻击 的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全已经成为 刻不容缓的重要课题。网络安全是一个系统的概念，有效的安全策略或方案的制 定，是网络信息安全的首要目标。 网络安全技术主要有，认证授权、数掘_ l j | | 密、访问控制、安全1 ： _ 计等。水文 着重讨论的入侵睑测技术是安全t f 汁0 核心技术之一，是网络安全防杪的重要 组成部分。 入侵检测技术是为保证计算机系统的安全而设计与配嗣的一种能够及时发 现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安 全策略行为的技术。违反安全策略的行为概括起来有以下两种： - 入侵一非法用户的违规行为 滥用一用户的违规行为 利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到 限制这些活动，以保护系统的安全。入侵检测系统的应用，能使在入侵攻击对系 统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵 攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的 相关信息，作为防范系统的知识，添加入知识库内，以增强系统的防范能力。 一般来说，网络安全的主要目标是确保经网络传送的信息数据能够安全地到 达目的地，在到达目的地时没有任何改变、没有丢失、没有被非法读取。因此网 络安全包括机密性、完整性、可用性、可控性和不可否认性这五大基本要素“”。 - 机密性( c o n f i d e n t i a l i t y ) ：数据不被泄漏给非法用户，只被允许授权的用户 使用。 一完整性( i n t e g r i t y ) ：指只有合法用户才能修改数据，确保数据不被非法修 改，并且能够判断数据是否已被非法篡改。 - 可用性( a v a i l a b i l i t y ) ：指合法用户对数据的正常请求能够及时、正确、安 全地得到服务或回应，即使拒绝服务攻击( d o s ) 也能够保证网络服务可以使 用。 一可控性( c o n t r 0 1 l a b i l i t y ) ：指合法用户可以在授权范围内，能够控制数据的 流向和行为方式等。 一不可否认性( 即抗抵赖性，n o r e p u d i a t i o n ) ：是指合法用，。4 ：能否认自己在 网上的行为。在系统巾的每项操作都应留有痕迹，汜录f 该项操作的各种 属性，保留必要的时限以符巾查。如果刚户否认，公i l j 机制：i 暂根据抗否认机 东人学1 0 i ：1 ：学位论义 制予以裁决，这样就可以防t l 出现问题时，操作者因否认该项操作而推卸责 任。 1 2选题的背景及意义 1 2 1 传统网络安全防护手段及缺陷 在信息安全的发展史上有一个里程碑，这就是1 9 8 5 年美国国防部( d o d ) 国家 计算机安全中心( n c s c ) 发布的可信计算机安全评估准则( t c s e c ) 。这个准则的发 布对操作系统、数据库等方面的安全发展起到了很大的推动作用。但是随着网络 的深入发展，这个标准己经不能完全适应当前的技术需要，因为这个主要基于 h o s tt e r m i n a l 环境的静态安全模型和标准无法完全反应分布式、动态变化、发 展迅速的i n t e r n e t 安全问题。传统的信息安全技术都集中在系统自身的加固和防 护上。比如，采用b 级操作系统和数据库、在网络出口配置防火墙、在信息传输 和存储中采用加密技术、使用集中的身份认证产品等。然而，单纯的防护技术有 许多方面的问题： 首先，单纯的防护技术容易导致系统的盲目建设，这种盲目包括两方面：一 方面是不了解安全威胁的严峻和当前的安全现状：另一方面是安全投入过大而又 没有真正抓住安全的关键环节，导致不必要的浪费。举例来说，一个水库的大坝 到底应当修多牢固? 大坝有没有漏洞? 修好的大坝现在是否处在危险的状态? 实际 上，我们需要相应的检测机制，例如，利用工程探伤技术检查大坝的质量是否符 合要求、观察当前的水位是否超出了警戒水位。这样的检测机制对保证大坝的安 全至关重要。当发现问题之后就需要迅速做出响应，比如，立即修补大坝的漏洞 并进行加固，如果到达警戒水位，就需要有人2 4 d 时监守，还可能需要泄洪。这 些措施实际上就是一些紧急应对和响应措施。 其次，防火墙策略对于防范黑客有其明显的局限性。防火墙技术是内部网最 主要的安全技术之，其主要作用就是控制对受保护i 硐络的非法访问，它通过限 ， 制、监视、更改通过网络的数据流，一方而尽可能屏蔽内部网的拓扑结构，另一 l j i 求人学硕i ：学位论二：【= 方面对内屏蔽外部危险站点，用以防范外对内。内对外的非法访问。但也有其明 显的局限性： 防火墙难于防内。防火墙的安全控制只能用于外对内或者内对外，即：对外 可屏蔽内部网的拓扑结构，封锁外部网的用户连接内部网的主要站点或者端 口，对内可屏蔽外部危险站点，但它很难解决内部网控制内部人员的安全问 题。即防外不防内。而据权威部门统计信息表明，网络上的安全攻击事件8 0 来自内部网络的攻击。 防火墙难于管理和配置，易造成安全漏洞。防火墙的管理和配置相当复杂， 要想成功的维护防火墙，要求防火墙管理员对网络攻击的手段及其与系统配 置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管理。一般来 说，由多个系统( 路由器，过滤器，代理服务器，网关，主机) 组成的防火 墙，管理上有所疏忽是在所难免的。根据美国财经杂志统计资料表明，3 0 的入侵发生在有防火墙的情况下。 防火墙的安全控制主要是基于i p 地址的，难于为用户在防火墙内外提供一致 的安全策略。许多防火墙对用户的安全控制主要是基于用户所用机器的i p 地 址而不是用户的身份，这样就很难为同一用户在防火墙内外提供一致的安全 策略，限制了企业网的物理范围。 防火墙只实现了粗粒度的访问控制，且不能与企业内部使用的其它安全机制 ( 如访问控制) 集成使用。这样，企业就必须为内部的身份验证和访问控制 管理维护单独的数据库。 再次，保证信息系统安全的经典手段是“存取控制”或“访问控制”，这种 手段在经典的以及现代的安全理论中都是实行系统安全策略的最主要的手段。但 迄今为止，软件工程技术还没有达到a 2 级所要求的形式生成或证明一个系统的安 全体系的程度，所以不可能百分之百地保证任何一个系统( 尤其是底层系统) 中 不存在安全漏洞。而且，无论在理论上还是在实践中，试图彻底的添补一个系统、 的安全漏洞都是不可能的，也还没有一种切实可行的方法解决合法用户在通过 “身份鉴别”或“身份认证”后滥用特权的问题”1 1 2 2 意义 如上所述，入侵检测技术面临着诸多挑战，入侵检测系统远没有达到成熟和 实用的阶段。因此，本文选择了这一研究领域。进一步地，论文对网络入侵检测 算法进行研究和实验，构建并且优化了一个基于s n o r t 的分布式入侵检测系统， 主要意义如下： 1 ) 入侵检测系统发展的现状。尽管现在已经有了许多的入侵检测系统，但入 侵检测算法相对稳定，各种入侵检测系统的检测算法很相似。研究入侵检测算法 对于了解入侵检测系统的本质和改进入侵检测系统具有更大意义。 2 ) 高速网络发展的需求。入侵检测起步于8 0 年代，当年设计的入侵检测体系 结构和检测算法都未完全考虑到高速网络的发展需要，因此在己有算法和体系结 构的基础上研究改进措施，具有现实意义。 3 ) 入侵检测系统可以有效的检测非法入侵，但是也有可能成为网络速度的瓶 颈，因此其匹配、处理数据包的速度问题亟待解决。本文对s n o r t 规则匹配的算 法进行了改进，有效的提高t s n o r t 系统处理数据包的速度，可以适应高速率网 络的需求。 4 ) 网络攻防此消彼涨，新的攻击手法( 如蠕虫攻击等) 客观需要对已有的大规 模应用的入侵检测系统进行功能改进。 1 3 论文结构 本文主要研究利用s n o r t 构建分布式入侵检测系统。论文主要分为三个部分 第一部分( 1 2 章) ：主要描述当前网络危机，以及网络安全的基本要素和目的， 介绍传统网络安全防护手段以及其缺陷。然后研究入侵检测系统基本的结构以及 分类 第二部分( 3 4 章) ：主要研究s n o r t 系统各个部件的结1 = ；j 、作用，以及s n o r t 山东凡! # 顺l ：学位论文 的规则。然后构建基于s n o r t 的入侵检测系统。 第三部分( 5 8 章) ：对于s n o r t 系统的规则匹配算法进行改进：增加宽度搜索， 提高搜索过程并行性；动态调整规则顺序，提高深度搜索速度。并且通过具体实 验来比较改进前后规则匹配的准确率以及效率。为了增强系统的蠕虫检测能力， 本文还提出了在v i r t u a l h o n e y n e t a z 实现c o n n e c t - h i s t o r y 算法以增强s n o r t 检测蠕 虫能力的方案。最后介绍目前存在的问题以及今后的工作 【lj 东人学坝j 学位沧义 二、入侵检测系统概要 信息系统的安全问题是一个十分复杂的问题，可以晚信息系统有多复杂信 息系统安全问题就有多复杂：信息系统有什么样的特性，信息系统安全就同样具 有类似的特性。 信息安全是一种很难量化的概念，我们可以把信息系统的“性能”与“安全” 做一个简单的对比。 针对网络吞吐量、主机的运算速度、数据库的t p c 指标等这类性能问题，用 户可以根据自己的业务要求、资金条件等方面考虑耿舍。系统性能的高低在一定 程度上可以通过量化指标来表现。换句话说，系统性能的提高，用户虽然摸不到， 但却是可以看到的。 而“安全”是一个非常难于量化的指标，真正是一个看不见摸不着的东西。 因此安全问题很容易表面上受到重视，而实际上没有真正得到重视。“什么事情 也没有”实际上就是安全的最高境界。但是，“什么事情也没有”也正是导致忽 视安全问题的原因所在。实际上，安全就是防范潜在的危机。 2 1 网络安全的基本观点 网络安全基本上是一个实践性的技术领域，在这里大多数的理论基本上是经 验的汇集，因此要给出一个形式化的定义是非常困难的，甚至很难给出一个安全 与否的准则。可以说，安全可以从实践中证明有问题，却无法从理论上证明是币 确的。 在网络安全的范畴内，网络并不足物理的网络，它包含以下三个基本要素” 数据：包括在网络上传输的数捌与终端系统一0 数强l ；从本质上来酏这些 电子意义上的数掘都足0 l 比特f i j 纰合，f | _ l 越经过特定的程f i - ：j “，i - $ 1 1 处耶 之后，它仃j 就具有了多种多样n ! j 沿义学一，j 意义。 关系：网络作为交流的重要手段，涉及到通信各方信赖关系的建立与维 护，这也是攻击者比较感兴趣的一个方面，因为信赖关系的窃取就意味 着能力和数据访问权力的获取，进而可以转化为物理意义上的财富。 一能力：包括网络系统的传输能力与终端系统的处理能力，前者意味着网络 连接能力的充分运用，而后者则意味着数据处理能力和服务提供能力等。 网络安全的意义，就在于为以上三个要素提供保护，保证这三者能够为所应 为，为合适的人服务，而且只为合适的人服务。相应地，网络安全也就包含以下 三个基本方面： 数据保护：包括数据的机密性保护和完整性保护，主要针对数据窃取、数 据篡改等攻击，其基本的手段包括加密和访问控制。这方面的理论比较 完备( 主要是加密体制的建立和加密算法的运用) ，实现手段也比较完善 - 信赖关系保护：包括身份鉴别与安全地建立、维护信赖关系，主要针对网 络身份冒充、连接窃取等攻击，基本的手段包括加密与协议的安全设计。 相对来说这方面的理论也比较完备，但在实现手段上仍然存在一些漏洞。 一 能力保护：包括对网络系统的传输功能与终端系统的处理功能的保护，主 要针对拒绝服务、远程权力获取等攻击。这方面的理论基本上是实践经 验的总结，运用的手段也基本上是实验性的。能力保护相关的工作也是 入侵检测系统发挥作用之处。 为了达到以上三个目的，在实践经验和一些理论研究的基础上，提出了一些 安全模型，其中最具有代表性的就是p d r 模型。 2 2p p d r 模型及入侵检测系统 针对f 1 益严重的网络安全问题和越来越突出的安全需求，人们提出了各种网 络安全模型，以适应网络安全建设的需求，其- | 1 具有代表性的是p 【) r 模型”1 。p d r 模型宵很多变种。人们酱遍接受的个模型是p p d r 模烈，包括策略( p o l i c y ) 、 防护( p r o t e c t i o n ) 、检测( d e t e c t i o n ) 、i 帆应f r e s p o n s e ) 四个部分，它们的关 尔人学顾卜学位论文 系如下图所示 幽1 1p p d r 模刑 策略是这个模型的核心，也就是说，网络安全的其他几个方面要围绕着策略 进行，才能够建立完善的安全体系。一般说来，防护是保证系统安全的第一步， 它的基础是检测与响应的结果：防护相对于攻击来说总是滞后的，防护手段的采 用相对于漏洞被发现或者新的攻击手段的产生，总会落后一些，检测就是弥补这 种滞后的必要手段；在发现了攻击企图或者攻击之后，需要系统及时地进行反应。 图1 1 中虽然表示的是一个平面的循环，但实际上应该是一个螺旋上升的过程， 经过一个p d r 循环之后，安全防护的水平就应当上升到一个新的层次。在系统 的安全策略( p o l i c y ) 的控制和指导下，在综合运用防护工具( p r o t e c t i o n ，如防 火墙、操作系统身份认证、加密等手段) 的同时，利用检测工具( d e t e c t i o n ，如 漏洞评估、入侵检测等系统) 了解和评估系统的安全状态，通过适当的响应 ( r e s p o n s e ) 将系统调整到“最安全”和“风险最低”的状态，这样系统就在动态的 安全循环中维持系统的安全状态。 2 3 入侵检测系统的基本概念和特点 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) 的定义是：监视并分 析计算机系统和网络中传递的信息，从中发现来自网络外部的攻击行为和网络内 部的违规行为。l d s 就是p p d r 模型中的检测。 入侵检测系统解决安全问题的方法是基于如下假设的：系统是不安全n 勺，但 违反安全策略的行为( | ! i 入侵) 是能够通过监控和分析系统及用户行为而被检测 l “i 尔大学顺i 学位论文 到的，因此i d s 最主要的功能是检测并报告异常行为，实时发现入侵，主要包括 一监视、分析用户及系统活动： _ 检查系统配置及存在的漏洞： 评估系统关键资源和数据文件的完整性： 识别己知的攻击行为： 统计分析异常行为： _ 管理操作系统的日志，并识别违反用户安全策略的行为。 一个完善的入侵检测系统必须具有下列特点 一个成功的入侵检测系统至少要满足以下五个主要功能要求订 1 、实时性要求：如果攻击或者攻击的企图能够尽快的被发现，这就使得有 可能查找出攻击者的位置，阻止进一步的攻击活动，有可能把破坏控制在最小限 度，并能够记录下攻击者攻击过程的全部网络活动，并可作为证据回放。实时入 侵检测可以避免常规情况下，管理员通过的对系统日志进行审计以查找入侵者或 入侵行为线索时的种种不便与技术上的限制。 2 、可扩展性要求：因为存在成千上万种不同的已知和未知的攻击手段，它 们的攻击行为特征也各不相同。所以必须建立一种机制，把入侵检测系统的体系 结构与使用策略区分开。一个已经建立的入侵检测系统必须能够保证在新的攻击 类型出现时，可以通过某种机制在无需对入侵检测系统本身进行改动的情况下， 使系统能够检测到新的攻击行为。并且在入侵检测系统的整体功能设计上，也必 须建立一种可以扩展的结构，以便系统结构本身能够适应未来可能出现的扩展要 求。 3 、适应性要求：入侵俭测系统必须能够适用于多种不同的环境，比如高速 大容量计算机网络环境，并且在系统环境发生改变，比如增加环境中的计算机系 统数量，改变计算机系统类型时，入侵检测系统应：j 依然能够不作改变证常：c 作。 适应性也包括入侵检测系统本身对其宿主j r 台的适应性，| ；! f i ：跨j 台工作的能力， 适应其宿主平台软、硬件配罱的各种不同情况。 4 、安全性与可片】性要求：入侵检测系统必须尽可能的完善与健壮，不能向 其宿主计算机系统以及其所属的计算机环境中引入新的安全问题及安全隐患。并 且入侵检测系统应该在设计和实现中，应陔能够有针对性的考虑几种可以预见 的，对应于该入侵检测系统的类型与工作原理的攻击威胁，及其相应的抵御方法。 确保该入侵检测系统的安全性与可用性。 5 、有效性要求：能够证明根据某一设计所建立的入侵检测系统是切实有效 的。即：对于攻击事件的错报与漏报能够控制在一定范围内。 2 4 入侵检测系统的基本结构 数 数据 数 枣件分 处 据据 理 提分 结 取析 果 图2 1 通用入侵检测系统的基本结构图 图2 1 给出了一个通用的入侵检测系统结构。很多入侵检测系统还包括界面处 理，配置管理等模块。 数据提取模块的作用在于为系统提供数据，数据的来源可以是主机上的同志 信息、变动信息，也可以是网络上的数据信息，甚至是流量变化等，这些都可以 作为数据源。数据提取模块在获得数据之后，需要对数据进行简单的处理，如简 单的过滤、数据格式的标准化等，然后将经过处理的数据提交给数据分析模块。 数据分析模块的作用在于对数据进行深入地分析，发现攻击并根据分析的结 果产生事件，传递给结果处理模块。数据分析的方法多种多样，可以简啦到对某 种行为的计数( ( 1 1 1 - 定时洲内某个特定j m 二登录失败的次数，或者某利一特定类型 报文的h j 现次数) ，也可以是个复杂的号家系统。该模块足一个入侵检测系统 的核，l 、。 尔人学坝l ? 学位论文 结构处理模块的作用在于警告与反应，这实际上与p d r 模型的r 有所重叠。 从非技术的角度来说，结果处理模块的告警是通知管理员，而r 的作用在于产 生一个正式的告警，作为安全事件进行处理：从技术角度来晚，两者的功能很难 划分，也可以将结果处理的反应功能归结为r 的一部分“3 。 2 5 入侵检测系统的分类 根据着眼点的不同，对入侵检测技术的分类方法很多。根据数据来源的不同 可以将入侵检测系统的分为基于主机、基于网络和混和型三类；根据系统各个模 块运行的分布方式不同，可以分为集中式和分布式；根据数据分析方法( 也就是 检测方法的不同) 可以分为异常检测模型和误用检测模型。 2 5 1 基与数据来源的i d s 分类及特点 根据审计数据的来源，可以将i d s 分为两类，即基于网络的i d s ( n e t w o r k b a s e di d s ，简称n i d s ) 和基于主机的i d s ( h o s t - b a s e di d s ，简称h i d s ) 。 基于网络的入侵检测系统安装在被保护的网段中，分析网段中所有的数据包，根 据己知的攻击模式判断是否存在攻击：基于主机的入侵检测系统则通常安装在被 重点监测的主机中，对该主机的网络实时连接以及系统审计日志进行分析和判断 6 】 2 5 1 1 基于主机的入侵检测系统( h i d s ) 基于主机的入侵检测系统作为一个代理安装在一台主机上，这种入侵检测系 统可以分析系统及应用程序同志来检测入侵行为。其中一些h i d s 是被动状态的， 只有当某些事情发生了彳+ 会发出通知，另外一些是主动状态的，可以嗅探网络中 针对某主机的通信状况并实时i 。：! l 告警。 l i 东大：学颂i + 学位沦义 服务器 客户机 应用层h i d s成用层 表示层表示层 会话层 会话层 传输层传输层 嘲络层 删络层 链路层链路层 物理层物理层 图2 2h i d s 在服务器上运行环境示意图 图2 2 客户机服务器通信模式中，客户机对服务器上的访问活动将被服务器日 志所记载。h i d s 检测这些日志记载文件，将他们与事先知道的用户正常行为模 式进行匹配。 尽管基于主机的入侵检查系统不如基于网络的入侵检查系统快捷，但它确实 具有基于网络的系统无法比拟的优点。这些优点包括： - 性能价格比高：在主机数量较少的情况下，这种方法的性能价格比可能 更高。尽管基于网络的入侵检测系统能很容易地提供广泛覆盖，但其价 格通常是昂贵的。基于主机的入侵检测系统只需很少的费用。 一更加细腻：这种方法可以很容易地监测一些活动，如对敏感文件、目录、 程序或端口的存取，而这些活动很难在基于网络的系统中被发现。h i d s 监视用户和文件访问活动，包括文件访问、改变文件权限、试图建立新 的可执行文件并且或者试图访问特许服务。基于主机技术还可监视通 常只有管理员爿能实施的非币常行为。操作系统记录了任何有关用户f 张 号的添加、删除、更改的情况。摭于主机的i d s 还可审汁能影l 响系统记 录的校验措施的改变。最后，高于主机的系统可以临视关键系统文件和 可执行文件的更改。系统能够检测剑那螳欲重写关键系统文件或者安装 l i j 东人学顾i 学位论文 特洛伊木马或后门的尝试并将它们中断。而基于网络的系统有时会检测 不到这些行为。 视野集中：一旦入侵者得到了一个主机的用户名和口令，基于主机的代 理是最有可能区分正常的活动和非法的活动的。 - 易于用户配置：每一个主机有其自己的代理，便于用户进行配置。 _ 较少的主机：基于主机的方法有时不需要增加专门的硬件平台。基于主 机的入侵检测系统存在于现有的网络结构之中，包括文件服务器、w e b 服务器及其它共享资源。这些使得基于主机的系统效率很高。因为它们 不需要在网络上另外安装登记、维护及管理的硬件设备。 对网络流量不敏感用代理的方式一般不会因为网络流量的增加而丢掉 对网络行为的监视。 一适用于被加密的以及切换的环境：由于基于主机的系统安装在遍布企业的 各种主机上，它们比基于网络的入侵检测系统更加适于交换的以及加密 - 的环境。交换设备可将大型网络分成许多的小型网络段加以管理。所以 从覆盖足够大的网络范围的角度出发，很难确定配置基于网络的i d s 的 最佳位置。业务镜像和交换机上的管理端口对此有帮助，但这些技术有 时并不适用。基于主机的入侵检测系统可安装在所需的重要主机上，在 交换的环境中具有更高的能见度。某些加密方式也向基于网络的入侵检 测发出了挑战。根据加密方式在协议堆栈中的位置的不同，基于网络的 系统可能对某些攻击没有反应。基于主机的i d s 没有这方面的限制。当 操作系统及基于主机的系统发现即将到来的业务时，数据流已经被解密 了。 确定攻击是否成功由于基于主机的i d s 使用含有已发生事件信息，它们 可以比基于网络的i d s 更加准确地判断攻击是否成功。在这方面，基于 主机的i d s 是基于网络的l d s 完美补充，网络部分可以尽早提供警告， 主机部分可以确定攻击成功与否。 山东人学f i ! j l j 学位论文 2 5 1 2 基于网络的入侵检测系统( n i d s ) n i d s 是用来捕获在网络介质上传播的数据并与特征数据库比对的入侵检测 系统。跟掘数据包与特征数据库的匹配情况，i d s 产生告警或者将日志记录到文 件或数据库中。 图2 3n i d s 在服务器上运行环境示意幽 如图2 - 3 所示，基于网络的入侵检测系统位于客户机与服务器的通信链路中 央，可以访问到通信链路的所有层次。 n i d s 使用原始网络包作为数掘源。基于网络的i d s 通常利用一个运行在混杂 模式下网络的适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识 模块通常使用四种常用技术来识别攻击标志： 模式、表达式或字节匹配 频率或穿越阀值 _ 次要事件的相关性 一统计学意义上的非常规现象检测 旦检测到了攻击行为，n i d s 的f 】1 日应模块就提供多种选项以通知、报警并对 l i i 求人学颤l j 学位论文 攻击采取相应的反应。 n i d s 有许多h i d s 无法提供的功能。实际上，许多客户在最初使用i d s 时，都 配置了基于网络的入侵检测。基于网络的检测有以下优点： 侦测速度快基于网络的监测器通常能在微秒或秒级发现问题。而大多数 基于主机的产品则要依靠对最近几分钟内审计记录的分析。 _ 隐蔽性好一个网络上的监测器不像一个主机那样显眼和易被存取，因而 也不那么容易遭受攻击。基于网络的监视器不运行其他的应用程序，不 提供网络服务，可以不响应其他计算机。因此可以做得比较安全。 - 视野更宽基于网络的入侵检测甚至可以在网络的边缘上，即攻击者还没 能接入网络时就被发现并制止。 较少的监测器由于使用一个监测器就可以保护一个共享的网段，所以你 不需要很多的监测器。相反地，如果基于主机，则在每个主机上都需要 一个代理，这样的话，花费昂贵，而且难于管理。但是，如果在一个交 换环境下，就需要特殊的配置。 攻击者不易转移证据基于网络的i d s 使用正在发生的网络通讯进行实 时攻击的检测。所以攻击者无法转移证据。被捕获的数据不仅包括攻击 的方法，而且还包括可识别黑客身份和对其进行起诉的信息。许多黑客 都熟知审记记录，他们知道如何操纵这些文件掩盖他们的作案痕迹，如 何阻止需要这些信息的基于主机的系统去检测入侵。 操作系统无关性基于网络的i d s 作为安全监测资源，与主机的操作系 统无关。与之相比，基于主机的系统必须在特定的、没有遭到破坏的操 作系统中才能正常工作，生成有用的结粟。 _ 占资源少在被保护的设备上不用占用任何资源。 在目前实际投入运行的n i d s 产品中，既有商用产品，同时也有多个开放源代 码软件( 女 i s n o r j r a e l ，b r 0 1 p x 4 8 3 ，s h a d o w 等) ，这些自由软件为入侵检测系统的 研究和应用提供了非常宝贵的资源。i = id d ，s n o r t 系统( h t t p ：w w w s n o r t o r g ) 是最为活跃的，- ) t - 有多个其他机构跟踪最新网络安全信息为其提供用于榆测的舰 则库，如州w e v e m it r e o r g f l , j c v e ( c o m m o nv u l n e r a b i1 tje sa n di , xr ) o s u r e s ) w w w w h i t e h a t s c o m 的a r a c h n i d s ( a d v a n c e dr e f e r e n c ea r c h i v eo fc u r r e n t h e u r i s t i c s f o rn e t w o r ki n t r u s i o nd e t e c ti o ns y s t e m s ) 等，其入侵特征更新 速度和研发的进展已超过了大部分同类产品。 以上分析了基于主机和基于网络的入侵检测系统，它们各有优缺点。在条件 允许的情况下，n n 种系n n 合起来，形成一个“混合入侵检测系统”，使之既 能够发现网络中的攻击信息，也能够从系统同志中发现异常情况，便能形成一套 完整立体的主动防御系统。 下图显示的是在实际网络环境中，应用两种检测系统的示意图 图2 _ 4 两种入侵检测系统典型应用示意凹 2 5 2 基与分析方法的i d s 分类及特点 2 5 2 1 基于异常的入侵检测 基于异常的入侵检测方法主要来源于这样的思想：任何人的证常行为都是有 一定的规律的，并且可以通过分析这些行为产生的f 志信息( 假定f 1 志信息足够 完全) 总结出这些规律，而入侵和滥用行为则通常和正常的行为存在j - r 重的差异， 通过检查出这些差异就可以检测 ： _ ；入侵。这样，我们就能够检测出非法的入侵行 甸一 霈 山东大学坝卜学位论殳 如前所述，一个通常的入侵检测系统由数据提取模块、数据分析模块和结果 处理模块组成，下面就针对这三部分进行进一步的讨论： 通常基于异常的入侵检测系统是针对某个特定的对象，这个对象可以是某个 程序或者某个数据报等。首先检测对象的行为，学习这个对象的行为特征，以便 产生这个对象的行为概貌，并通过其后的监视对比学习到的行为概貌检测出这个 对象的异常行为，产生警告并做出响应的反应。其中的监视行为就是数据提取模 块需要做的工作。此外，根据其后的检测过程，本模块还把原始数据格式转化为 特定格式的数据，以便分析模块处理。数据提取模块根据需要读取对象行为所产 生的日志信息，如系统日志、应用程序所产生的日志、各种程序的输入输出，甚 至可以截获系统行为产生自己需要的日志数据。有效的数据提取模块是整个入侵 检测系统的基础，因此数据的选取应遵循以下的原则： _ 数据应该能够重复反映用户行为特征的全貌，这样才能满足分析模块的分析 和检测的需求。 一为了减少处理量，应该做到使所需的数据量最小。 一 所选数据的提取难度不应该太大，对系统运行效率的影响也不应该太大。通 常基于异常检测的入侵检测系统运行在检测对象使用或运行的系统上，如果 过分影响了系统的运行效率，就会被管理员卸载。 数据的分析模块的分析行为可以分为两个部分：对象行为的学习和异常行为 的检测。通常分析功能的过程是，首先从输入的数据中提取出当前对象行为的特 征概貌，把这个概貌和以前学习的对象行为概貌进行比较，如果超出某个既定阀 值，就认定为异常行为，产生经过信息并提交给结果处理模块；如果没有超出， 则要学习这个行为，把他和以前的行为概貌综合生产新的对象行为概貌，以反映 用，行为的变化。这个过程进行循环，不断地进行学习和检测。需要注意的是， 这个循环的学习过程必须有一定的基本准则雨i 修订过程，否则一个足够细心的入 侵者就可能会通过系列的“教育”过稚来误导系统。 结果处理模块的功能相对琐碎，但也非常重要，是整个系统必不可少的一部 分。基本上这个模块的功能与检测手段无关，i _ ! | j 不论是基于异常的系统中还是基 于误用的系统中，它的基本功能都是一样的。 基于异常的入侵检测系统根据所采用的方法可以分为如下几种 基于统计学的异常检测系统：这种系统使用统计学的来学习和检测用户的行 为。 一基于神经网络的异常检测系统：神经网络的特点在于它具有学习的能力，这 种学习算法允许神经网络紧密地模仿以用户行为并且根据最新的变化进行 调整。如果输入中存在某种关系，网络就会汇合到一种更稳定的状态。但是 人工智能领域发展的缓慢影响了这类系统的研究。此类入侵检测系统典型如 n n i d ( n e u r a ln e t w o r ki n t r u s i o nd e c t o r ) 基于数据挖掘技术的异常检测系统：数据挖掘，也称为知识发现技术。对象 行为日志信息的数据量通常都非常大，如何从大量的数据中“浓缩”出一个 值或一组值来表示对象行为的概貌，并以此进行对象行为的异常分析和检 测，就可以借用数据挖掘的方法。其中有一种方式就是记录一定量的格式化 数据来进行分析和入侵检测。此类入侵检测系统典型如m a d a mi d ( m i n i n g a u d i td a t af o ra u t o m a t e dm o d e l sf o ri n t r u s i o nd e t e c t i o n ) 。 使用状态机的异常检测系统：状态机可以用来模拟对象的行为过程，异常行 为可以很容易地反应在状态机中。s t a t 和u s t a t 就是把攻击表示为状态的 转移。 理论上这种入侵检测方法具有一定入侵检测的能力，并且相对于基于误用的