（信号与信息处理专业论文）分布式网络入侵检测系统关键技术研究.pdf

摘要 随着对计算机系统弱点和入侵行为分析研究的深入，基于网络的入侵检测在 网络安全l ；| j 起到越来越重要的作用。同时，这匐4 域也面临着诸多挑战：如何提 高入侵检测系统的检测速度，以适应网络通信的要求；如何减少入侵检测系统的 漏报和误报，提高其安全性和准确度以及如何提高入侵检测系统之间的交互能 力，从而提高整个系统的安全性能。鉴于高速网络以及不断更新的入侵手段对于 入侵检测系统性能的要求，分布式的下一代入侵检测系统已引起人们愈来愈广泛 的关注。基于以j 二原因论文选择分布式网络入侵检测系统作为研究方向，就其中 的一些关键技术进行了研究。 论文在研究和分析相关背景知识以及入侵检测技术、相关协议框架的基础上 主要了完成了以下几个方面的工作： 1 针对当前入侵检测系统不适应高速网络环境的现状设计了数据包截 获引擎以提高该模块的性能。试验表明1 0 0 m 以太网内丢包率控制 在i 以内。进而又提出了一个分布式并行检测模型，通过通信域 内多个节点的并行处理，保证了在高速网络环境下较低的丢包率， 为系统整体性能的改善提供了有力的支持。得到的若干性能曲线及 测试数据可为今后的研究提供有益的参考。 2 对协议分析技术在i d s 中的应用进行讨论。针对从链路层到传输层 的多个网络协议完成了相关协议解析引擎的设计与实现，为后端检 测引擎提供了必要的数据接口以提高其检测效率。 3 针对不同入侵检测系统之间的信息交互这一问题，详细讨论了 i d m e f ( i n t r u s i o nd e t e c t i o nm e s s a g e e x c h a n g ef o r m a t ) 协议。按照 其中定义的消息结构采用面向对象的方法设计了相关的模块，阐述 了如何在分布式网络入侵检测系统中商效的支持该协议。 关键字：网络安全，入侵检测系统，分布式并行检测，协议分析，i d m e f u _ 科技人学坝l j 学位论史 a b s t r a c t w i t ht h ec o m p r e h e n s i v ea n a l y s i so ft h ev u l n e r a b i l i t yo ft h en e t w o r ka n di n t r u s i o n b e h a v i o r s ，t h en e t w o r kb a s e di n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) b e c o m e sm o r ea n d m o r ei m p o r t a n ti nn e t w o r ks e c u r i t y i nt h em e a nt i m e ，t h i sy o u n gf i e l da l s om e e t s m a n yc h a l l e n g e st o d a y t h e s ec h a l l e n g e si n c l u d eh o w t oi n c r e a s et h ed e t e c t i n gs p e e d t om e e tt h er e q u i r e m e n to ft h eb a n di n c r e a s e ，h o wt or e d u c et h ef a l s ep o s i t i v ea n d f a l s en e g a t i v et oe n h a n c et h ea c c u r a c yo ft h ed e t e c t i o na sw e l la sh o wt or e a l i z et h e i n t e r o p e r a t i o na m o n gt h e i d s sa n do t h e r s e c u r i t yp r o d u c t sa c c o r d i n gt o t h e s e c h a l l e n g e s ，d i s t r i b u t e dn e x t - g e n e r a t i n oi d si sb e c o m i n gah o ta r e aa n da l s oi st h e s u b j e c to f t h i sp a p e r a f t e r i n t r o d u c i n g t h e c o r r e s p o n d i n gb a c k g r o u n dk n o w l e d g e a n d a n a l y z i n g t h e p r o t o c o lf l a m er e l e a t e dt oi d s ，t h i sp a p e rf u c u s e so nt h e s ef o l l o w i n gp a r t s ： 1 t og u a r a n t e eal o wp a c k e tl o s sa n dt oi n c r e a s et h ed e t e c t i o na b i l i t yo fi d si nh i g h s p e e dn e t w o r k ，a ni m p r o v e dd a t ac o l l e c t i o ne n g i n ei sd e s i g n e d ad i s t r i b u t e da n d p a r a l l e ld e t e c t i o nm o d e li si n t r o d u c e di nt h i sp a p e rt h e n i nt h en e wd i s t r i b u t e da n d p a r a l l e lm o d e l ，w ew a n tt of u r t h e ri n c r e a s et h ep e r f o r m a n c eo ft h ew h o l es y s t e mb y t h ec o d e t e c t i o no ft h e m u l t i p l en o d e s i nt h es a m ec o m m u n i c a t i o nf i e l d t e s t i n g r e s u l t sa r ep r e s e n t e dh e r e ，a n dc a nb et a k e na sah e l p f u lr e f e r e n c ef o rt h ef u r t h e r r e s e a r c h 2 t h ea p p l i c a t i o no ft h ep r o t o c o la n a l y s i st e c h n o l o g yi ni d si sa l s od i s c u s s e di nt h i s p a p e r i nt h i sp a r t ，m a n yp r o t o c o l sa r ea n a l y z e d ( f r o md a t a l i n kl a y e rt on e t w o r kl a y e r ) a n ds o m ei m p o r t a n td a t as t r u c t u r e sa r ea l s op r e s e n t e dt od e s c r i b et h ed e t a i lo ft h i s m o d u l e 3 a c c o r d i n gt ot h ei n f o r m a t i o ne x c h a n g ea m o n g t h ei d s e s ，t h i sp a p e ri n t r o d u c e sa n d a n a l y z e s a l l i m p o r t a n tp r o t o c o l ，i d m e f ( i n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g e f o r m a t ) t h e n ，i td e s c r i b e sh o wt oe f f i c i e n t l ys u p p o r tt h i sp r o t o c o li nd i s t r i b u t e d n e t w o r ki d su s i n go b j e c to r i e n t e dm e t h o d k e y w o r d s ：n e t w o r ks e c u r i t y , i n t r u s i o nd e t e c t i o n s y s t e m ( i d s ) d i s t r i b u t e d & p a r a l l e ld e t e c t i o n ，p r o t o c o l a n a l y s i s ，i d m e f 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名： 日期：刎，年歹肜日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：导师签名： 掣 日期：年月日 也了科技人学坝1 学位论文 第一章绪论 1 1 网络入侵检测技术研究的意义 随着训算机网络技术的同益成熟，人们的同常工作和生活越来越依赖i i 算机 网络。网络安全是例络信息技术发展的保障，随着攻击工具和手法的r 趋复杂多 样，仅仅依靠传统的的安全防范措施已经无法满足对安全高度敏感的部门的需 求。入侵检测系统就是在这样的背景下产生的。 入侵检测是指能够识别针对计算机或网络资源的恶意企图和行为，并对此作 出反应的过程。入侵检测系统( i n t u s i o nd e t e c t i o ns y s t e m ，i d s ) 则是完成如上 功能的独立系统。i d s 利用优化匹配模式和统计学技术把传统的电子数据处理 ( e d p ) 和安全审计结合起来，已经成为构成完整的现代网络安全技术的一个必 要的部分。 网络入侵检测通过对计算机网络或计算机系统中若干关键点收集信息并分 析，从中发现网络入侵行为。作为防火墙等传统的网络安全技术的补充，它主要 表现出以下的优势： 1 实时的检测和应答。网络入侵检测系统能够实时的分析网络数据， 检测那些来自网络的攻击，并作出及时的反映。 2 一个网络入侵检测系统不需要改变服务器等主机的配置。由于它不 会在业务系统的主机中安装额外的软件，从而不会影响这些机器的 c p u 、i o 与磁盘等资源的使用，不会影响业务系统的性能。 3 ， 其工作模式不同于路由器、防火墙等关键设备，它不会成为系统中 的关键路径。网络入侵检测系统发生故障不会影响正常业务的运行。 柿署一个网络入侵检测系统的风险比基于主机的入侵检测系统的风 险要小。 4 对特定操作系统的依赖少，并不依赖主机的操作系统作为检测资源。 f 是由于网络入侵检测系统具有的诸多优势，因此成为了网络安全领域新的 热点，越来越受到人们的关注并已经丌始在不同的网络环境中发挥其关键作用。 1 2 国内外研究动态 入侵检测从最初实验室罩的研究课题到目前的商业产品，已经有2 0 多年的 发展历史。它的发展可大致分为三个阶段： 1 安全审计阶段 u 了科技人学坝l 。学位论义 安全审汁为入侵检测的产生打下了基础。审汁是对系统中发生事件的记录和 分析处理过程。与系统同志相比，审计更关注安全问题。根据美国国防部( d o d ) “可信计算机系统评估标准”( t c s e c ) 橘皮书规定，审计机sj j ( a u d i tm e c h a n i s m ) 应作为c 2 或c 2 以卜 安全级别的计算机系统必须具备的安全机制，其功能包括： 能够记录系统被防问的过程以及系统保护机制的运行；能够发现试图绕过保护机 制的行为；能够及时发现用户身份的跃迁；能够报告并阻碍绕过保护机制的行为 并汜录相关过程，为灾难恢复提供信息。 2 入侵检测的诞生 l9 8 0 年，a n d e r s o n 在报告“c o m p u t e rs e c u r i t yt h r e a t m o n i t o r i n g a n d s u r v e i l l a n c e ”中提出必须改变现有的系统审计机制，以便为专职系统安全人员提 供安全信息，此文被认为是有关i d s 的最早论述；1 9 8 4 1 9 8 6 年d o r o t h y d e n n i n g 和p e t e rn e u m a n n 联合丌发了一个实时入侵检测系统i d e s ( i n t r u s i o nd e t e c t i o n e x p e r ts y s t e m ) ，i d e s 采用异常检测和专家系统的混合结构，d e n n i n g1 9 8 6 年的论 文“a ni n t r u s i o nd e t e c t i o nm o d e ”，亦被公认为是i d s 领域的另一篇丌山之作。 受a n d e r s o n 、d e n n i n g 和i d e s 的影响，在2 0 世纪8 0 年代出现了大量的i d 原型 系统，如：a u d i t a n a l y s i sp r o j e c t 、d i s c o v e r y 、h a y s t a c k 、m i d a s 、n a d i r 、n s m 、 w i s d o ma n ds e n s ee t c ：商业化的i d s 直到2 0 世纪8 0 年代后期彳出现。 3 入侵检测的发展 入侵检测技术发展的初期，检测方法比较简单，大多数i d s 只是基于主机。 例如，1 9 8 6 年，在i b m 主机上用c o b o l 开发的d i s c o v e r y 系统。 随着网络应用的迅速普及和入侵检测技术的进一步发展，1 9 9 0 年，h e b e r l e i n 提出一个新概念：基于网络的安全监视一n s m ( n e t w o r k s e c u r i t ym o n i t o r ) 。与 以前的i d s 系统相比，它的不同点在于它不是检查主机系统的审计记录，而是通 过主动监视局域网上的信息流来发现可疑行为。这一概念的提出使得入侵检测系 统的应用丌始面向网络。 1 9 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d 提出使用自治代理( a u t o n o m o u s a g e n t ) 来提高i d s 的可扩展性、可维护性和容错性。 19 9 6 年，c h e u n g s 提出了g r i d s ( g r a p h b a s e di n t r u s i o nd e t e c t i o ns y s t e m l ， 该技术对大规模的自动或协同攻击的检测更为有利。随着广域网的不断发展和黑 客攻击技术的提高，早期集中式的网络入侵检测系统已不再适用于大型的网络， 于是就有了用于大型网络的分布式入侵检测系统，如：j i n a o ，e m e r a l d ，g r i d s 等。这种分布式入侵检测方法的容错能力强，扩展能力强，能检测大范围的网络 入侵活动。目前，对r 。域网范围的入侵活动的检测和必要的入侵反应机制，如自 动恢复、对入侵者进行跟踪等，是网络入侵检测系统研究的重点。 u 了科技人学坝卜学位论义 当6 u 国际上最先进的入侵检测系统是美国i s s 公司的r e a l s e c u r e ，它采用了 智能攻击识别技术。其它公司丌发的入侵检测工具，如：n a i 公司的c y b e r c o p m o n i t o r ，a x e n t 的n e t p r o w l e r 和c i s c o 的n e t r a n g e r 等，也有比较完善的功能 和较强的实刚性，能对大量攻击和系统误用特征进行识别，并采取及时的入侵反 应措施。 近年来，围内计算机安全特别是网络安全已成为研究热点。但在入侵检测技 术方面国内的研究还只是刚刚起步，处于跟踪国外技术阶段，投入实际使用的入 侵检测系统很少，而且系统功能还比较简单。主要产品包括：紫光网络推出的网 络安全入侵检测系统一u n i s i d s 、中科大国祯入侵检测系统以及中软的 d i d s y s t e m 分布式入侵检测系统等。 1 3 本课题的主要内容 本课题主要完成对传统的单点网络入侵检测系统进行改进。最终目标是要实 现一个满足下一代入侵检测系统规范的高性能入侵检测系统。作为该项目的初期 研究，本课题主要针对传统网络入侵检测系统不能够满足高速网络发展这一现 实，力图通过分布式的协同检测来降低入侵检测系统的丢包率从而提高整个系统 的性能。同时，对于分布式网络入侵检测系统中的其他关键技术也做了深入的研 究。其中之一就是协议解析技术，不论上层的采用何种分析检测技术( 如简单的 模式匹配、启发式签名和异常检测) ，协议解析分析都是基础。另一个关键的技 术就是入侵检测系统间的协同，该技术旨在克服传统i d s 的单一和缺乏协作等局 限，是下一代i d s 的研究热点。本课题主要针对分布式网络入侵检测系统问响应 消息的交换进行研究。 论文的f t t g 如下：前两章绪论和背景知识主要对本课题的背景及研究的目的 和意义进行阐述，同时讨论了入侵检测的一些基本概念，包括入侵检测系统的模 型、架构、采用的基本分析方法等。在接下来的三个章节旱详细论述了与分布式 网络入侵检测系统相关的三个方面研究。其中第三章一分布式审计数据收集引擎 的设计与实现，主要讨论现有i d s 在数据收集引擎的问题，进而提出改进方案， 并通过试验印证了性能的提升。在此基础上，提出了分布式并行模型，对数据收 集引擎进行进一步优化。第四章协议解析引擎的设计与实现，详细讨论了协议 分析在网络入侵检测系统中的应用。对链路层、网络层和传输层的部分协议进行 了解析。第五章- - i d m e f 数据模型在入侵检测系统中的应用，主要针对入侵检 测系统之间的信息交互，洋细讨论了相关的协议规范，并阐述了如何在分布式网 络入侵检测系统中实现对i d m e f 规范的全面支持。文章最后对全文做了个总结， 给出了系统的改进意见和下一步研究工作的展望。 第二章入侵检测系统概述 入侵检测系统采用什么模型和使用何种检测方法是入侵检测最基本的问题， 本章先介绍入侵检测系统的一般工作流程，然后讨论了入侵检测系统的分类和检 测入侵行为的多种方法，最后对入侵检测系统的相关标准和框架进行了阐述。 2 1 入侵检测系统的一般工作流程 2 1 1 信息收集 入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状 态和行为。而且需要在计算机网络系统中的若干不同关键点( 不同网段和不同主 机) 收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的原因就是 从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑 行为或入侵的最好标识。 2 1 2 信息分析 对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通 过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法 用于实时的入侵检测，而完整性分析则多用于事后分析。 2 1 2 1 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用特定的模板进 行比较，从而发现违背安全策略的行为。一般来讲，一种进攻模式可以用一个过 程( 如执行一条指令) 或一个输出( 如获得权限) 来表示。该方法的一大优点是 只需收集相关的数据集合，显著减少系统负担。它与病毒防火墙采用的方法一样， 检测准确率和效率都比较高。但是，该方法存在的弱点是需要不断的升级以对付 不断出现的入侵手法，不能识别未知入侵手段。 统计分析方法菖先给系统对象( 如用户、文件、目录和设备等) 创建一。个统 n 了事 拄大学碳l 学位论立 计描述，统计萨常使溺时的些测羞矮性( 鼹访目次数、操 筝失致次数帮时廷等) 。 测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在f 常值 范潮之终时，裁汲为有久授发生。其优点楚可捡溺爨未知魏入侵秘霆为复杂的入 侵，缺点是洪报、漏报率高，且不适应用户f 常行为的突然改变。 入爱硷测； 3 常用载5 耪绫跨模型为： 1 操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得 舞，霞定捂标可以寝据经验僮或一段霹阁内豹统诗平均簿到。举镶来涎， 在短时问内的多次失败的登录很有可能怒口令尝试攻击； 2 方差，计算参数静方差，设定其黉信区问，当灞蓬值超过置信区闯的范 围时表明有可能是入侵； 3 多元模型，操作模型的扩展，通过同时分析多个参数实观检测； 4 。马尔橱夫过程模型，将每秘类型蛇事件定义为系绞状态，甥状态转移矩 阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较 小则可熊是异卷攀件； j 时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新 攀 萼- 在该时闯发，羔懿援率较低，粼该事馋可畿是入侵。绞汁方法懿最大 优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。 但是它豹“学习”熊力 楚给入镘黉疆辊会遽过逐步“训练”接入缓事件 符合正常操作的统计规樟，从而穿透入侵检测系统。 2 ，1 2 3 完整性分柝 完整性分轿主要关注于某个文件或对象是否被更改，通常包括文件和露录的 内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效。完整性 分耩利餍强有力翁鸯霹密枫露l 消息摘要函数( 掰如5 ) ，能够谈羽文件的变 化。其优点是不管模式匹酉己方法和统计分析方法能否发现入侵，只要是成功的攻 毒导致了文件或其它对象盼任俺改变，它都能够笈瑗。缺点是它般以撤处理方 式实现，不适用于实时响应。尽管如此，完整性梭测方法还是网络安全产鼯的必 要手段之。 2 1 。3 信息存储 为了便于系统管理员对攻击信息进行雀看和分析，需要将入侵检测系统收集 到戆信息避行摄存。存镛豹信息列时也为凌击保黧了数字证据。 乜了科技人学坝l 学位论文 2 1 4 攻击响应 在对攻击信息进行分析并确定攻击的类型后，我们要对攻击进行相应的处 理：如利用发出警报、给系统管理员发出邮件等手动干预的方式来对付攻击；或 是利用自动装聋直接处理：如切断连接，过滤攻击者的i p 地址等。 2 2 入侵检测系统的分类 随着入侵检测技术的发展，到目前为止出现了很多入侵检测系统，不同的入 侵检测系统具有不同的特征。根据不同的分类标准，入侵检测系统可分为不同的 类别。对于入侵检测系统，要考虑的因素( 分类依据) 主要有：信息源、入侵、 事件生成、事件处理、检测方法等。 2 2 1 根据原始数据的来源分类 入侵检测系统要对其所监控的网络或主机的当前状态做出判断，并不是凭空 臆测，它需要以原始数据中包含的信息为基础，做出判断。按照原始数据的来源， 可以将入侵检测系统分为基于主机的入侵检测系统、基于网络的入侵检测系统和 基于应用的入侵检测系统。 1 基于主机的入侵检测系统 主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和 同志文件来检测入侵。同志中包含发生在系统上的不寻常和不期望活动的证据， 这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看同志文件，能够 发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。 尽管基于二e 机的入侵检查系统不如基于网络的入侵检查系统快捷，但它确实 具有基于网络的系统无法比拟的优点。这些优点包括： 能确定攻击是否成功。主机是攻击的目的所在，所以基于主机的i d s 使 用含有已发生的事件信息，可以比基于网络的i d s 更加准确地判断攻击是否成 功。 。监控粒度更细。基于主机的i d s ，监控的目标明确，视野集中，它可以 检测一些基于网络的i d s 不能检测的攻击。它可以很容易地监控系统的一些活 动，如对敏感文件、目录、程序或端口的存取。 配置灵活。每一个主机有其自己的基于主机的i d s ，用户可根据自己的 实际情况对其进行配置。 。可用于加密的以及交换的环境。加密和交换设备加大了基于网络i d s 收 集信息的难度，但由于基于主机的i d s 安装在要监控的主机上，根本不会受这些 凼素的影响。 对网络流量1 i 敏感。基于主机的i d s 一般不会因为网络流量的增加而丢 掉对l 稠络行为的监视。 - 不需要额外的硬件。 基于主机的入侵检测系统的主要缺点是：它会占用主机的资源，在服务器上 产生额外的负载：缺乏平台支持，可移植性差，因而应用范围受到严重限制。 2 基于嗍络的入侵检测系统 主要用于实时监控网络关键路径的信息，它侦听网络上的所有分组来采集数 据，分析可疑现象。基于网络的入侵检测系统使用原始网络包作为数据源。基于 网络的i d s 通常利用一个运行在混杂模式下网络的适配器来实时监视并分析通 过网络的所有通信业务，当然也可能采用其他特殊硬件获得原始网络包。 基于网络的检测有以下优点： 监测速度快。基于网络的监测器通常能在微秒或秒级发现问题。而大多 数基于主机的产品则要依靠对最近几分钟内审计记录的分析。 隐蔽性好。一个网络上的监测器不像一个主机那样显眼和易被存取，因 而也不那么容易遭受攻击。基于网络的监视器不运行其他的应用程序，不提供网 络服务，可以不响应其他计算机，因此可以做得比较安全。 视野更宽。可以检测一些主机检测不到的攻击，如泪滴( t e a rd r o p ) 攻击， 基于网络的s y n 洪水等。还可以检测不成功的攻击和恶意企图。 较少的监测器。由于使用一个监测器就可以保护一个共享的网段，所以 你不需要很多的监测器。相反地，如果基于主机，则在每个主机上都需要一个代 理，这样的话，花费昂贵，而且难于管理。但是，如果在一个交换环境下，就需 要特殊的配置。 攻击者不易转移证据。基于网络的i d s 使用正在发生的网络通信进行实 时攻击的检测。所以攻击者无法转移证据。被捕获的数据不仅包括攻击的方法， 而且还包括可识别黑客身份和对其进行起诉的信息。许多黑客都熟知审计记录， 他们知道如何操纵这些文件掩盖他们的作案痕迹，如何阻止需要这些信息的基于 主机的系统去检测入侵。 操作系统无关性。基于网络的i d s 作为安全监测资源，与主机的操作系 统无关。与之相比，基于主机的系统必须在特定的、没有遭到破坏的操作系统中 爿能f 常上作，l 成有用的结果。 可以配置在专门的机器上，不会占用被保护的设备上的任何资源。 基于网络的入侵检测系统的主要缺点是：只能监视本网段的活动，精确度 不高；在交换环境卜难以配置；防入侵欺骗的能力较差：难以定位入侵者。 u 了科披人学坝i 学位论文 3 ，基r 应用( a p p l i c a t i o n ) 的入侵检测系统 罐于应片j 的入侵检测系统可以晚是基于主机的入侵检测系统的一个特殊子 集，也可以说是基于主机入侵检测系统实现的进一步的细化，所以其特性、优缺 点与基j 二主机的i d s 基本相同。主要特征是使用监控传感器在应用层收集信息。 山f 这种技术叫。以更准确地监控用户某应用的行为，所以这种技术在同益流行 的电子商务中也越来越受到注意。它监控在某个软件应用程序中发生的活动，信 息来源主要是应用程序的f 1 志。它监控的内容更为具体，相应的监控的对象更为 狭窄。 这三种入侵检测系统具有互补性，基于网络的入侵检测能够客观地反映网络 活动，特别是能够监视到系统审计的盲区；而基于主机的和基于应用的入侵检测 能够更加精确地监视系统中的各种活动。实际系统大多是这三种系统的混合体。 2 2 2 根据检测原理分类 传统的观点根据入侵行为的属性将其分为异常和误用两种，然后分别对其建 立异常检测模型和误用检测模型。他提出了一个威胁模型，将威胁分为外部闯入、 内部渗透和不当行为三种类型，并使用这种分类方法丌发了一个安全监视系统， 可检测用户的异常行为。外部闯入是指用户虽然授权，但对授权数据和资源的使 用不合法或滥用授权。综上，可根据系统所采用的检测模型，将入侵检测分为两 类：异常检测和误用检测。 1 异常检测 异常入侵检测是指能够根据异常行为和使用计算机资源的情况检测出来的 入侵。异常入侵检测试图用定量的方式描述可以接受的行为特征，以区分非f 常 的、潜在的入侵行为。a n d e r s o n 做了如何通过识别“异常”行为来检测入侵的 早期工作。 2 误用检测 误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵。与 异常入侵检测不同，误用入侵检测能直接检测不利的或不可接受的行为，而异常 入侵检测是检查出与i f - 常行为相违背的行为。误用检测基于已知的系统缺陷和入 侵模式，故又称特征检测。它能够准确地检测到某些特征的攻击，但却过度依赖 事先定义好的安全策略，所以无法检测系统未知的攻击行为，从而i * 生漏警。 2 2 3 根据体系结构分类 按照体系结构，i d s 可分为集中式、等级式和协作式三种。 1 集中式 这种结构的i d s 可能有多个分布于不同主机上的审计程序，但只有一个中央 入侵检测骚务器。审； 程彦整当镳收集到游鼗据黥迹发送给- 争央暇务器遵学分瓠 处弹。但这利噶构的i d s 在可伸缩性、可配置性方面存在致命缺陷。随着网络规 摸的鬟热，熹：税枣诗程澎和骚务器之阏传送楚数撬量藏会骧增，导致弼终性能大 大降低。并且，一h 中央服务器出现故障，整个系统就会陷入瘫痪。根据各个主 枧浆不嗣辫求聚黉鞭务器也j 鬻笈杂。 2 等级式 在这种i d s 中，定义了若予个分等级酝监控区域，每个i d s 负责一个区域， 每一级i d s 只负责所监控区的分析，然后将当地的分析绐果传送给 一级i d s 。 这萼孛结构 ： 王存在一些阀题；首先，当网终挺扑结搀改变时，区域分析结果的汇总 机制也需要做相应的调整：第二，这种结构的i d s 最后还是要把备地收集到的结 粜传送到最高级的检测照务器进行全局分摄，所以系统舱安全性并没有实质性的 改进。 3 协作式 将中央检测服务器的任务分配给多个基于主祝的i d s ，这鉴i d s 不分等级， 各司其职，负责舱控当地主机的蔡些活动。所以，其可伸缩性、安全性都得到了 髓著的掇商，但维护成本却高了很多，并且增加了所监控主视的工作负荷，如通 信机制、审计丌销、踪迹分析等。 2 3 入侵检测技术 入侵检测系统首先是为保护关键信息基础设施的可用性、保密性和完整性而 殴计静，以转壹其遭受餐缝服务攻击、 授权获取信息、改动或酸坏数掭。当网 络和计算机受到信息攻击时，入侵检测系统能自动检测并迅速报告这些事件。概 括垴滋来，强麓入侵检潮采蠲豹技术及可糍静发涎如下： 2 3 。l 用户行为概率统计模型 这种入侵检测方法愁基于对用户历史行为建模以及在早期的征据或模型的 基础 ，霉计系统实嬲地捡测蠲声对系统豹使瘸憾况，投据系统内部保存嬲用户 行为概率统计模型进行检测，当发现有可疑的用户行为发生时，保持跟踪并监测、 爵录浚j ； l 户的行为。系统簧根据每个用户以翦的历史行为，生成用户的历史 亍为 汜录库，j 鹭用户改变他们的行为习惯时，这种异常就会被检测出来。 统计手段的长要优点是可以爨适应学习用户的行为，主要闽颞是其t q 能被入 侵者逐渐训练以至最终将入侵事件误认为正常。并且闽值设置不当会导致大比例 的“误报”1 j “漏报”。 9 u 了科拙人学f 峨i j 学位论文 2 3 2 模式匹配 模式匹配检查对照一系列l 二有的攻击比较用户活动，从而发现入侵。这种想 法的先进之处在于定义已知的问题模式，然后观察能与模式匹配的事件数掘。独 j 笾的模式可以自独市事件、事件序列、事件临界值或者允许与、或操作的通用规 则表达式组成。模式匹配的研究已经相当成熟，入侵检测需要做的是如何选择和 运用模式匹配引擎。 在入侵检测系统中应用此技术的研究包括： 1 选择和实施模式匹配引擎。 2 攻击模式集的收集：攻击模式集的收集可以通过以下途径获得，如公丌 发布的攻击模式，专有的知识和实践经验。攻击模式应是通用的，能代 表一利t 攻击类。 3 攻击模式库的更新：发现新的攻击类型时，需要扩充模式库。有必要引 入自学习部件到模式匹配中，一旦发现新攻击，自动地更新模式匹配数 据库的内容。 2 3 3 神经网络 这种方法对用户行为具有学习和自适应功能，能够根据实际检测到的信息有 效地加以处理并做出入侵可能性的判断。 利用神经网络所具有的识别、分类和归纳能力，可以使入侵检测系统适应用 户行为特征的可变性。从模式识别的角度来看，入侵检测系统可以使用神经网络 来提取用户行为的模式特征，并以此创建用户的行为特征轮廓。总之，把神经网 络引入入侵检测系统，能很好地解决用户行为的动态特征以及搜索数据的不完整 性、不确定性所造成的难以精确检测的问题。 利用神经网络检测入侵的基本思想是用一系列信息单元( 命令) 训练神经单 元，这样在给定一组输入后，就可能预测输出。将神经网络应用于攻击模式的学 习，理论上也是州行的。但目前主要应用于系统行为的学习，包括用户以及系统 ：r 护程序的行为。与统计理论相比，神经网络更好地表达了变量恻的非线性关系， 并且能自动学习并更新。 2 3 4 专家系统 该技术根据安全专家对可疑行为的分折经验来形成一套推理规则，然后在此 基础上建立相应的专家系统，由此专家系统自动进行对所涉及的入侵行为的分析 ，t ：作。该系统应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修 0 毡了辫投夫学蹦 学位论文 爱。专家系统方法存在巢些疑点。绸如：专家系绫必矮点安全专业人士遂嚣公式 化表述，在胤则庠中增加和删除规则必须考虑其中不同规n f t , 内部依赖性等等。 2 。3 5 数瓣融合技术 当翦鑫皂大多数基于燃络的入侵检测系绞主要依靠p 头信息的特征匹既。丽 基于网络和手机的入侵检测不能把= 者独立的分析进行关联。缺乏交叉检查是误 搬率高的一个重要原因。另方聪，分匆式攻击或缓慢攻击更是对当翦入侵检测 的极大考验。 为了有效地对付各神入侵威胁，系统应浚把几种入侵检测方法结合起来。入 侵检测系统要能把监视系统在不同层次( 如系统调用层，命令层和应用层) 收集 到的审计数据智熊地应用。应用程序和轮廓文件一起刻画了系统上另一个层次的 行为。更广泛地，我们需要把各主机的基于网络的分析结合起来做分柝。所以， 有必要把不同来源的数据结合进行分析。 数据融合的应用需要采耀数学和启发式技术，这些投术可以来自很多领域， 诸如：统计学、人工智能、运筹学、数字信号处理、模式识别、认识心理学、信 息论和判定论。 因为分析的复杂性，同时需要将人的推理集成到决策过程中。为了实现这种 徽法，需瑟多层次的信息拯象。在推理的最底屡，数据融合入侵检浏系统显示出 入侵的存在。在最高层，进行危机和易损性的分析。 2 3 6 数据挖掘 入霞裣溺瓣数据挖掇楚摇枣线弱籍谈发瑷过程，褥宠瓣收巢弱大量懿数据送 行过滤、转换和组织成信息集。这些信息用来发现以前未检测到的隐藏的入侵模 式。 基于数据挖掘的入侵检测系统基本构成有几个部分：数据收熊，数掘清理， 数据选择翻转按，发瑷模块，以及结果显示。 2 3 7 状态迁移法 状态迁移图可用来描述系统所处的状态和状悉之间可能的迁移。状态迁移图 用于入侵检测时，它表示入侵者从合法状态迂移到最终的危害状态所采取酌一系 列行动。 在检测本知的脆弱性时，因为状态迁移法强调麴是系统处于易受损的状态两 不是未知入役的审计特征，因此这种方法更具有健壮性。丽它的潜在的个弱点 悬太拘泥j 二预先定义的状态迁移序列。 这种模型运行在原始审计数据的抽象层次上，它利用系统状态的观念和事件 u 了科技人学坝卜学位论史 的转变流，这就订可能提供了一种既能减少误警率又能检测到新的攻击的途径。 另外，因为涉及了比较高层次的抽象，有希望使它的知识库移植到在不同的 机器、网络和应用的入侵检测上。 综卜，可以看出各种技术均有其侧重点，同时不可避免的有不足之处。因此， 研究把几种技术怎样综合起来运用也是一项重要的课题。 2 4 入侵检测的有关协议和框架 经过近二i + 年的发展，各个i d s 的研发机构和厂家都意识到了标准化对于 i d s 今后发展的重要意义。本节将从最具影响的几个标准、框架出发讨论下一代 入侵检测系统模型。 2 4 1 公共入侵检测框架 公共入侵检测框架( t h ec o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ，以下简 称为c i d f ) 早期由美国国防部高级研究计划局赞助研究，现在由c i d f 工作组负 责的一个项目。实际上c l d f 已经成为一个开放的共享的资源。 c i d f 是一套规范，它定义了i d s 表达检测信息的标准语言以及i d s 组件之 问的通信协议。符合c i d f 规范的i d s 可以共享检测信息，相互通信，协同工作， 还可以与其它系统配合实施统一的配置响应和恢复策略。c i d f 的主要作用在于 集成各种i d s 使之协同工作，实现各i d s 之问的组件重用，所以c i d f 也是构建 分布式i d s 的基础。它主要包括四个部分： 体系结构( t h ec o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r ka r c h i t e c t u r e ) ： 规范语言( ac o m m o ni n t r u s i o ns p e c i f i c a t i o nl a n g u a g e ) ； 内部通信( c o m m u n i c a t i o ni nt h ec o m m o ni n t r u s i o dd e t e c t i o nf r a m e w o r k ) ； 程序接口( c o m m o ni n t r u s i or d e t e c t i o nf r a m e w o r ka p i s ) 。 其中体系结构阐述了一个标准的入侵检测系统的通用模型；规范语言定义了 一个用来描述检测信息、分析结果和处理操作的标准语言+ ；内部通信定义了入侵 检测系统组件之问进行通信的标准协议；程序接口提供了一整套标准的应用程序 接门( a p i 函数) 。下面将分别对这四个组成部分进行结构分析。 2 4 1 1c i d f 体系结构 c i d f 的体系结构文档阐述了个i d s 的通用模型。它将个i 陷分为以f 四个组件： 事件产生器( e v e n tg e n e r a t o r s ( “e - b o x e s ”) ) u 了科技人学坝i j 学位论文 事件分析器( e v e n ta n a l y z e r s ( “a - b o x e s ”) ) 乒件数据库( e v e n td a t a b a s e s ( “d - b o x e s ”) ) 响j 虹单元( r e s p o n s eu n i t s ( “r - b o x e s ”) ) c i d f 将l l j s 需要分析的数据统称为事件( e v e n t ) ，它可以是基于网络的i d s 从网络中提取的数据包，也可以是基于主机的i d s 从系统同志等其它途径得到的 数据信息。 c i d f 组件之f h j 是以通用入侵检测对象( g e n e r a l i z e di n f u s i o nd e t e c t i o n o b j e c t s ，以f 简称为g i d o ) 的形式交换数掘的，一个g i d o 可以表示在一些特 定时刻发生的些特定事件，也可以表示从系列事件中得出的一些结论，还可 以表示执行某个行动的指令。 c i d f 中的事件产生器负责从整个计算环境中获取事件，但它并不处理这些 事件，而是将事件转化为g i d o 标准格式提交给其它组件使用，显然事件产生器 是所有i d s 所需要的，同时也是可以重用的。c i d f 中的事件分析器接收g i d o ， 分析它们，然后以一个新的g i d o 形式返回分析结果。c i d f 中的事件数据库负责 g i d o 的存贮，它可以是复杂的数据库，也可以是简单的文本文件。c i d f 中的响 应单元根据( ；l i ) o 做出反应，它可以是终止进程、切断连接、改变文件属性，也 u j 以只是简单的报警。 c i d f 将各组件之f b j 的通信划分为三个层次结构：g i d o 层( g i d ol a y e r ) 、消 息层( m e s s a g e1 a y e r ) 和传输层( n e g o t i a t e dt r a n s p o r tl a y e r ) 。其中传输层 不属于c i d e 规范，它可以采用很多种现有的传输机制来实现。消息层负责对传 输的信息进行加密认证，然后将其可靠地从源传输到目的地，消息层