




已阅读5页,还剩67页未读, 继续免费阅读
(信号与信息处理专业论文)网络入侵检测系统snort的安全性分析.pdf.pdf 免费下载
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
网络入侵检测系统s n o n 的安全性分析 网络入侵检测系统s n o r t 的安全性分析 摘要 随着科学技术的飞速发展,人们已经生活存信息时代。然而人们 在得益于信息时代所带来的巨大机遇的同时,也不得不面对信息安全 问题的严峻考验。 传统的安全防御技术是静态的安全策略,相对于网络环境下日新 月异的攻击于段,它缺乏主动的反应能力。入侵检测作为一种动态的 防御技术,是保护资源完整性、可靠性和可用性的重要组成部分。 入侵检测系统按照信息源可分为:基于主机的入侵检测系统和基 于网络的入侵检测系统。前者的信息米源于系统日志,后者的信息来 源是网络原始数据流。s n o r t 是公开源代码的网络入侵检测系统,得 到了j 泛的研究和使用。 入侵检测研究的一个基本前提足入侵检测系统本身能够安全可 靠,并能正确和及时地执行。而在系统中不町避免地存在漏洞和薄弱 环节,入侵者叮能会首先攻击入侵检测系统,使其关闭或失效。然而, 很少有研究来证明该假设。因此必须保证入侵检测系统自身的安全, 才能有效保护目标系统。 本文主要研究网络入侵检测系统的自身安全性问题,作者跟踪国 内外网络入侵检测系统的研究动向,以s n o r t 为具体研究和测试对 网络入侵检测系统s n o r t 的安全性分析 象,分析了网络入侵柃测系统的薄弱环节和可能受到的攻击,并提出 些改进措施。在对s n o r t 源代码进行分析的基础上,对s n o r t 的安 全性问题进行了深入的研究。最后,引入厂协议流分析、规则优化等 技术来提高s n o r t 检测效率,并提出一个新的异常误用混合系统方 案,该方案大大提高了s n o r t 的安全性能。 关键字:网络入侵检测、s n o r t 、薄弱环节、协 义流分析、规则优化 网络入侵榆测系统s n o r t 的安全性分析 a n a l y s i so ft h es e c u r i t yo fs n o r tn e t w o r ki n t r u s i o n d e t e c t i o ns y s t e m a b s t r a c t a st h es c i e n c ea n dt e c h n o l o g yd e v e l o p s ,w ea r el i v i n gi nt h ee r ao f i n f o r m a t i o n h o w e v e lt a k i n ga d v a n t a g eo ft h ei n f o r m a t i o nt e c h n o l o g y , w eh a v et of a c et h ep r o b l e mo fi n f o r m a t i o ns e c u r i t yw h i c hb e c o m e sm o r e s e r i o u s t r a d i t i o n a ld e p l o y e ds e c u r i t ym e c h a n i s mi sas t a t i cs t r a t e g y a sn e t w o r k a t t a c k sh a v ei n c r e a s e di nn u m b e ra n ds e v e r i t y , i th a sn oa c t i v er e s p o n s e i n t r u s i o nd e t e c t i o nw h i c hi sad y n a m i cs e c u r i t ym e c h a n i s mi sa n i m p o r t a n tc o m p o n e n to fp r o t e c t i n g t h ec o n f i d e n t i a l i t yi n t e g r i t ya n d a v a i l a b i l i t yo fi n f o r m a t i o nr e s o u r c e s b yi n f o r m a t i o ns o u r c e s ,i n t r u s i o nd e t e c t i o ns y s t e m sc a nb ec l a s s i f i e da s n e t w o r k - b a s e di d s sa n dh o s t b a s e di d s s n i d s sa n a l y z ep a c k e t s c a p t u r e df r o mn e t w o r kb a c k b o n e s o rl a ns e g m e n t s h i d s sa n a l y z e i n f o r m a t i o ns o u r c e sg e n e r a t e db yt h eo p e r a t i n gs y s t e m a sa no p e n s o u r c en i d s ,s n o r ti sw i d e l yu s e da n ds t u d i e d o n eb a s i ca s s u m p t i o nf o r i d sr e s e a r c hi st h a tt h ei d si t s e l fc a nb e t r u s t e da n da l ls e c u r i t ym e c h a n i s m sc a nb ee x e c u t e dc o r r e c t l y , c o m p l e t e l y 刚络入侵检洲系统s n o r t 的安全性分析 a n dt i m e l y h o w e v e rf e wr e s e a r c h e sh a v et r i e dt om a k et h ea s s u m p t i o n s o u n d a tt h es a m e ,t h ev u l n e r a b i l i t i e sa n db u g so fi d si sn o te v i t a b l e i n t r u d e r sm a ya t t a c ki d sf i r s t l ya n dt r yt om a k ei tc o r r u p to ro u to f s e r v i c e s ot h e s e c u r i t yo fi d sr s e l fm u s tb ep r o t e c t e d ,t h e ni tc a n e f f e c t i v e l yp r o t e c t st h et a r g e ts y s t e m s t h ef o c u so ft h i st h e s i si st h es e c u r i t yo fn 1 d sk s e l f b a s e do nt h e c u r r e n tr e s e a r c ho nn i d s ,w ea n a l y z et h ev u l n e r a b i l i t i e so fn i d sa n d p o s s i b l ea t t a c k sa g a i n s ti t s o m em e c h a n i s m sa r ei n t r o d u c e dt oe n f o r c e t h es e c u r i t yo fn i d si t s e l f iw es t u d ya n dt e s ts n o r ta sa ne x a m p l e t h e s e c u r i t yo fs n o r ti se x p l o r e d a tl a s tw eg i v ep r o t o c o la n a l y s i sa n dr u l e s o p t i m i z a t i o nt o9 r o m o t et h ee f f i c i e n c yo fs n o r td e t e c t i o n a l s oan e w f r a m e w o r ko fh y b r i do f m i s u s ea n da n o m a l yd e t e c t i o n ,i th i g h l ye n f o r c e d t h es e c u r i t yo fs n o r t k e y w o r d s :n e t w o r k b a s e di n t r u s i o nd e t e c t i o ns y s t e m s ,s n o r t , v u l n e r a b i l i t i e s ,p r o t o c o la n a l y s i s ,r u l e so p t i m i z a t i o n 网络入侵检测系统s n o n 的安全性分析 1 1 研究的背景 第一章绪论 1 1 1 网络安全问题的产生 i n t e r n e t 的e 速发展和普及,促进了网络信息系统的应用和发展。许多关 系到同汁民生的重要应用,如交通控制和同防信息系统等,越来越依赖于计算机 网络。社会信息化和信息网络化,突破了应用信息在时间和空间上的障碍,使信 息的价值不断提高。各种基于网络的信息系统已成为h 民经济关键领域中的重要 组成部分,如电力信息系统、金融服务信息系统、电了商务信息系统等。然而, 对网络的依赖性越大,所产q i 的风险也越来越人。网络面临入侵、事故、失效等 威胁,这不但影响网络系统本身,还将形成一种链式反应,产生重大后果。 受社会因素的影响,网络信息会受到破坏、窃_ 【坟、篡改等各种威胁,造成信 息无法使用。计算机网络作为信息的重耍载体备受关注,1 9 8 8 年著名的 “i n t e r n e t 蠕虫事件”平训算机系统y 2 k 的问题足以让人们高度重视信息系统 的安全。2 0 0 0 年春季,黑客通过分布式拒绝服务攻击,导致网络服务瘫痪;2 0 0 1 年8 月,“红色代码”蠕虫利用微软w e b 服务器i i s 4 0 或i i s 5 0 中i n d e x 服务 的安全缺陷,攻破目的机器系统,并通过自动扫描感染方式传播蠕虫,在 i n t e r n e t ,h 大规模泛滥。许多人拿今仍对2 0 0 3 年发生的“冲,奸波”病毒时间心 有余悸。 随着刚络规模的飞速扩大,结构f i l 趋复杂和应用领域的不断扩大,m 于各种 目的,盗j = | 资源、窃取机密、破坏嗍络的肇事者也越来越多,嘲络安全事件呈迅 速增长的趋势,造成的损失也越来越大。攻击者为1 r 实现目的,使用各种各样的 上具,甚至由软件程序自动完成口标攻击。现代攻击的特点有l 】j :网络攻击自动 化;网络攻击人群由以前的技术人员转向非技术人员转变;网络攻击智能化;网 络攻击的主动性;网络攻击的协司性提高、拒绝服务攻击等。 网络入侵检测系统s n o r t 的安全性分析 1 1 2 入侵检测的引入 计算机安全的三人中心日标是:保密巾牛( c o n f i d e n t i a l i t y ) 、完整性 ( i n t e g r i t y ) 、丌j 用性( a v a i l a b i l i t y ) 。人们在实现这些目标的过程中不断进行 着探索和研究。其中比较突出的安仝技术有防火墙( f j r e w a l l ) 、加密 ( e n c r y p t i o n ) 、身份认证( a u t h e n t i c a t i o n ) 、数字签名( d i g i t a ls i g n a t u r e ) 、 内容检查( c o n t e n ti n s p e c t i o n ) 。但这些技术的一个共同特征就是集中在系统的 自身加固和防护上,属于静态的安仝防御技术,它对于网络环境r 日新月异的攻 击手段缺乏主动的反应。针对日益严重的网络安全问题和越来越突出的安全需 求,自适应网络安全技术( 动态安全技术) 和动态安全模型应运而生。典型的就 是p 2 d r 模型。 p :d r 模型i i j p 0 1 i c y ( 安全策略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检测) 、 r e s p o n s e ( 响应) 这几个功能部件组成。首先,在整体安全策略的控制和指导下, 在综合运用防护( 直防火墙等) 的同时,利用检测工具( 如漏洞评估、如入侵检 测系统) r 解和评估系统的安伞状态,通过适当的响应将系统调整到“最安全” 和“风险最低”的状态。防护、检测和响应构成,个完整的、动态的安全循环。 入侵检测作为动态安伞技术的核心技术之【,是防火墙的合理补充,帮助 系统对付网络攻1 i ,扩展了系统管理员的安全管理能力,提高了信息安全基础结 构的完整性,足安全防御体系的一个重要组成部分。 入侵榆测的诞生是刚络安全需求发展的必然,它的小现给计算机安全领域注 入了新的活力。 1 1 3 入侵检测系统的安全 入侵检测是一门新兴科学,起源于八f 年代。在1 9 8 0j a m e sp a n d e r s o n 发 表了c o m p u t e z ,s e c z s ? ,j 抄t h r e a tj l o n i t o t i n ga n ds u r v e i l l a n c d ”,开创了入 侵检测的先河。九年代丌始成为一门热fj 科学,并且商业入侵检测系统产品开 始出现。入侵检测的一个研究基本前提是系统本身的安全能够得到保障,而且系 统的安全机制能正确、完全和及时地执行。然而很少研究能证明该基本前提【4 。 网络入侵检测系统s n o r t 的安全性分析 入侵检测系统与被保护的系统样,具有系统复杂性和存在系统缺陷等特点,从 而带来入侵检测系统白身的安伞问题。女当今被广泛研究和应用的公开源代码网 络入侵检测系统s n o r t ,最近发现有两个缓冲区溢出缺陷【5 ,分别在两个预处理 模块m t 。在s t t ,e a m 4 预处理器t t ,有整数溢出缺陷,可能会导致堆栈溢出。入侵者 可以利用此缺陷进行d o s 攻。f i 和远程命令执行。另外一个缓冲区溢出在r e m o t e p r o c e d u r ec a l l ( r p c ) 预处 哩代码中。 入侵检测系统存在的薄弱环节有系统缺陷、“y a i 卜o p e n ”、位置崮定、同步 问题及易受到拒绝服务攻击等。入侵者可以利用系统薄弱环节的存在,对入侵检 测系统本身进行攻击 “。网络入侵榆测系统可能受到的攻击有i n s e r t i o n 、 e v a s i o n j h d e n a lo fs e r v i c e 等。 口前国内外入侵检测的研究主要集中在数据采集和检测方面,而对入侵检测 系统本身的安全研究甚少o 。入侵者意识到入侵检测系统的存在后,会首先攻击 侵检测系统,使其关闭或失效,这样被保护的系统的失去了安全保障。入侵检测 系统自身的安全必须得到保证,区i 此研究入侵检测系统自身的安全具有重要的意 义和实用价值。 1 2 研究的内容 本文主要研究网络入侵检测系统的自身安令性问题,通过结合国内外嘲络入 侵检测系统的研究动向和s n o r t 的研究热点,深入分析了网络入侵检测系统的薄 弱环节和可能受到的攻击。并以公”源代码网络入侵检测系统s n o r t 为具体研究 和测试对象,研究其安全性能:最后针对s n o r t 的安全薄弱环节提出了些改进 措施。 本文的研究内容如下: ( 1 ) 研究网络入侵枪测系统的薄弱环节以及可能受到的攻击。 ( 2 ) 研究s n o r t 的源代码,分析s n o r t 的主要数据结构、核心算法和s n o r t 的各个模块。 网络入侵检测系统s n o r t 的安全性分析 ( 3 ) 探讨s n o r t 系统白身的安伞性问题,并对其安伞性能进行测试。 ( 4 ) 针对s n o r t 的薄弱环节,提出了协议流分析及规则集优化改进措施,提 高s n o r t 的检测性能及安全性能。 1 3 论文组织 论文全文的组织如r : 第章介绍了论文的背景、课题意义、研究内容、以及论文的组织形式,讨 论了入侵检测的引入以及入侵检测系统的安全。 第二章介绍了入侵检测的检测方法、体系结构及其相关知识,并讨论了目前 入侵检测的动向。 第三章研究网络入侵检测系统的安全性问题,分析了网络入侵检测系统的薄 弱环节以及日j 能受到的攻击。 第四章介绍了基于s n o r t 的网络入侵检测系统的模块结构、工作原理和 s n o r t 规则,并分析了国内外对s n o r t 系统的研究和应用热点。 第五章分析并测试s n o r t 的安全性能,探讨其薄弱叫:节及其缺陷。 第六章并钊对s n o r t 一些薄弱环节,提出协议流分析及规则集优化改进措 施。 第七章是对全文进行了总结和对网络入侵检测系统安全性进行了展望。 网络入侵检测系统s n o r t 的安个拌分析 第二章入侵检测系统的检测方法和体系结构 2 1 入侵检测系统概述 2 1 1 入侵检测概念 计算机安全的目标米看,入侵的定义是:企图破坏资源的完整性、保密性、 可用性的任何行为,也指违背系统安全策略的任何事件。入侵行为不仅是来自外 部的攻击,i 司时内部用户的末授权行为也是重要的方面,有时内部人员滥用他们 特权的攻击是系统最大的安全隐患。从入侵策略的角度米看,入侵可分为企图进 入、冒充其他合法刖户、成功闯入、合法川户的泄漏、拒绝服务攻击以及恶意使 用等几个方向。 入侵检测2 8 】( i n t r u s i o nd e t e c t i o n ) 是监视计算机网络和系统以及发现违 反安全策略事什的过稗。简单地说,入侵榆测系统包括二个功能部件: ( 1 )提供事件记录流的信息源; ( 2 )发现入侵迹象的分析引擎: ( 3 )基于分析引擎的结果产牛反心的响应部什。 从e 述定义可以石出,入侵检测的般过程是:信息收集、信息( 数据) 预 处理、数据的检测分析、根据安全策略做出响应。如图2 一l 所示。 数检检 安全策略 e 响 据测测 书 应 信 一息4 预模结 处 启、 :收 源处型果 理 :集 殚 图2 一t 入侵柃测的般过程 其中,信息源是指包含有最原始的入侵行为信息的数据,主要是网络、系统 的审计数据或原始的j 刊络数据包。数据预处理是指对收集到的数据进行预处理, , 将其转化为检测模型所接受的数据格式,也包括剥冗余信息的去除。这是入侵检 网络入侵检测系统s n o g 的安仝性分析 测研究领域的关键,也是难点之。检测模型是指根据各种检测算法建立起来的 检测分析模型,它的输入般足经过数据预处州后的数据,输出对数据属性的判 断结果。检测结果即检测模型输出的结果,由于单一的检测模型的检测率不理想, 往往需要利用多个检测模型进行并行分析处理。安全策略是指根据安全需求设置 的策略。响应处理主要足指综合安全策略和检测结果所作出的响应过程,包括产 生检测报告、通知管理员、断开嘲络连接或史改防火墙的配置等秘极的防御措施。 2 1 2 入侵检测系统的历史 入侵检测从最初实验室里的研究课题到 ; 前的商业产品,已经具有2 0 多年的 发展历史。入侵检测的概念是诞生在1 9 8 0 年,j a m e sa n d e r s o n 发表了文章 c o m p u t e rs e e u r i t yt h r e a tm o n i t o r i n ga n d8 u r v e i l l a n c e d ,这篇文章介绍 了对网络上用户的行为及信息进行审计的j 种方法。随着文章的发表,“检测” 这个概念逐渐被用j 、t 接受。 从1 9 8 4 年剑1 9 8 6 年,d o r o t h yd e n n i n g 和p e t e rn e u m a n n 研究并发展了一个 实时入侵检测系统模型,命名为i d e s ( 入侵检测专家系统) 。这项研究由美国 海军空间和海军战争系统司令部资助,它提出了反常活动和计算机不正当使用之 间的相关性。 8 0 年代的入侵检测系统项目有a u d i ta n a l y s i s 、d i s c o v e r y 、h a y s t a c k , m i d a s 、n a d i r 、n s m 、w i s d o ma n ds e n s e 等项目。 入侵检测技术的商、k 化最早足在1 9 9 0 年初,”f 草堆”实验室第一个推出一 个商业化的入侵检测t 具s t a l k e r 。由于入侵检测系统的市场在近几年飞速发 展,许多公司投入到这一领域来。除了国外的i s s 、a x e n t 、n f r 、c i s c o 等公司 外,国内也有数家公司( 如中联绿盟、中科网威等) 推 了自己相应的产品。但 是就口前而言,入侵榆测系统还缺乏相应的标准。试图对i d s 进行标准化工作的 有两个组织:i e t f 的i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ( i d w g ) 和c o m m o n i n t r u s i o n d e t e c t i o nf r a m e w o r k ( c i d f ) ,但进展缓慢,尚没有被,。泛接受的标 准出台。 网络入侵榆测系统s n o r t 的安仝性分析 2 2 入侵检测技术 从入侵检测的典型实现过程n j 以看出,数据分析是入侵检测系统的核心,它 是关系到能否检测出入侵行为的关键,删。检测率是人们关注的焦点,不同的 分析技术所体现的分析机制也是不一样的,从而对数据分析得到的结果也就大不 相同,而且不一j 的分析技术对不列的数据环境适用性也小一样。根据入侵检测系 统所采用的分析技术来看,它口j 分为采用异常检测的入侵检洲系统和采用误用的 入侵检测系统。 2 2 1 异常检测 片常检测也被称为基于行为的( b e h a v i o rb a s e d ) 检测 3 7 。其基本前提是: 假定所有的入侵行为都是异常的,即入侵行为是异常行为的子集。原理是:首先 建立系统或用j 、一的“j f 常”行为特征轮廓,通过比较当前的系统或用户的行为是 否偏离正常的行为特征轮廓来判断是行发牛了入侵行为,而不是依赖于具体行为 是雨出现来进行检测的。蚓2 - 2 是典型的异常检测系统示意图。 更新 系统正常的行为 统计分析 审计数卦,: 特征轮廓 动态产生新的行 为特征 剖22 典型的异常柃测系统1 i 意剀 从异常榆测的实现机理米看,异常榆测所面临的关键问题有 1 特征量的选择 异常检测首先要建立系统或用户的“正常”行为特征轮廓,这就要求建立正 网络入侵检测系统s n o f f 的安仝性分析 常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型 最优化,即以最少的特征量涵盖系统或用户的行为特征。 2 阀值的选定 在实际的网络环境下,入侵行为和异常行为往往不足一对一的等价关系,会 导致检测结果的虚警( f a l s ep o s i t i v e s ) 和漏警( f a l s en e g a t i v e s ) 的产生。 阀值选的过大,漏警报率就会很高,这对被保护的系统危害很大;相反,阀值选 的过小,则虚警报率会提高,这会对入侵检测系统的正常工作带来很多的不便。 3 比较频率的选取 异常榆测是通过比较当前的行为和已建立的正常行为特征轮廓来判断入侵 的发生与否的,因而比较的频率,即经过多长时问进行比较的问题也是一个重要 因素。经过的时间过长,榆测结果的漏警报率会很高;如果经过的时间过短,那 就存在虚警报率提高的问题。另外,正常的行为特征轮廓存在更新的问题,这也 是在选取比较的频率时必须考虑的凶素。 从异常榆测的原理我们_ 口j 以看出,该方法的技术难点在于:“正常”行为特 征轮廓的确定;特征量的选取;特征轮廓的更新。由于这几个因素的制约,异常 检测的虚警率会很高,但对j 一未知的入侵行为检测j f 常有效,同时也是检测冒充 合法用户的入侵行为有效方法。此外,由于需要实时地建立和更新系统或用户的 特征轮廓,因而所需的计算量很大,对系统的处理性能要求也很高。 2 2 2 误用检测 误用榆测也彼称为基于知以的( k n o w l e d g e b a s e d ) 检测l 弛】。其基本前提是: 假定所有可能的入侵行为都能被识别和表示。原弹是:首先对已知的攻击方法进 行攻击签名( 攻击签名是指用种特定的方式来表示已知的攻击模式) 表示,然 后根据已定义好的攻击髂名,通过判断这些攻击签名是否出现来判断入侵的行为 发生与否。这种方法是通过直接判断攻。“签名的出现与否来判断入侵行为的。图 2 - 3 是典型的误f e j 检测示意图。 同样,误用检测也存在影响检测性能的关键问题:攻击签名的正确表示。 删络入侵检测系统s n o n 的安全性分析 误用检测是根据攻击掺名来判断入侵的,那么如何有效地根据对已知的攻击 方法的了解,川特定的模式语言来表示这种攻击,即攻击签名的表示将是该方法 的关键所在,尤其足攻t i 签名必须能够准确地表小入侵行为及其所有可能的变 种,同时又不会把_ 入侵行为包含进来。 修政已肯蛳叫 时问信息 图23 典犁f 时误用检测示意图 误片j 检测的土要局限性表现在: ( 1 ) 它只能根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行 为,而面刈新的入侵检测行为以及那些利用系统中未知或者潜在缺陷的越 杈行为则_ 尤能为力。 ( 2 ) 与系统的相关性很强,即检测系统知识库中的入侵攻击知识与系统晌运 行环境有关。列丁小同的操作系统,由于其实现机制不同,对其攻击的方 法也不尽相同,凶而很难定义出统的模式库。 ( 3 ) 对于系统内部攻击者的越权行为,因为他们没仃利用系统的缺陷,因而 很难检测出来。 2 3 入侵检测系统的分类 由于入侵检测是个典型哆数据处理过程,因而数据采集是首当其冲的第一 步。同时针对不同的数据类型,所采用的分析机理也是不一样的。根据入侵检测 网络入侵检测系统s n o g 的安仝性分析 系统输入数据的来源来看,它可分为:皋于主机的入侵检测系统和基于网络的入 侵检测系统。 2 3 1 基于主机的入侵检测系统 基于主机的入侵检测系统( h o s tb a s e d i n t r u s i o nd e t e c t i o ns y s t e m s , h i d s ) 通常以系统口志、应用程序口志等审计记录文件作为数据源。它是通过比 较这些审计记录文件的记录与攻击签名以发现它们是否匹配。如果匹配,检测系 统就向系统管理员发出入侵警报并采取相麻的行动。基于主机的i d s 可以精确地 判断入侵事件,并叫对入侵事件作出赢即反应。它还叫针对不同操作系统的特点 判断出应用层的入侵事件。 由于审计数据是收集系统用户行为信息的主要方法,凶而必须保证系统的审 计数据不被修改 3 1 。但是,当系统遭到攻击时,这些数据很呵能被修改。这就 要求基丁:主机的入侵检测系统必须满足一个重要的实时性条件:检测系统必须在 攻击者完全控制系统并更改审计数据之前完成对审计数据的分析、产生警报并采 取相应的措旌。 早期的入侵检测系统大多都是基于生机的i d s ,作为入侵检测系统的一大重 要类型,它具有明显的优点: ( 1 ) 能够确定攻击是古成功 ( 2 ) 非常适川于加密和交换网络环境 ( 3 ) 近实时的检测和响应 ( 4 ) 不需要额外的硬件 ( 5 ) 可监视特定的系统行为 除了上述的优点外,皋于牛机的i d s 也存存r 些不足:会占丰机的系统资源, 增加系统负荷,i u 且针对不同的操作系统必须开发出不l 司的应用程序,另外,所 需配置的i d s 数量众多。但是对系统内在的结构没有任何的约束,同时可以利用 , 操作系统本身提供的功能,并结合异常检测分析,更能准确地报告攻击行为。 网络入侵检测系统s n o r t 的安全性分析 2 3 2 基于网络的入侵检测系统 基j 二网络的入侵检测系统,【2 5 ( n el w o r k b a s e di n t r u s i o nd e t e c t i o n s y s t e m s ) 以原始的i 叫络数据包作为数据源。它是利用网络适配器来实时监视并 分析通过网络进行传输的所有通信、【k 务的。其攻击识别模块在进行攻击签名识别 时常用的技术有: _ 模式、表达式或宁节码的匹配; 频率或阀值的比较: 一事件相关性处理; _ 异常统计检测。 一旦检测剑攻击,i d s 的响应模块通过通知、报警以及中断连接等方式来对 攻击行为做山反应。 作为入侵检测发展史上的一个世稃碑,基十网络的i d s 是网络迅速发展,攻 击手段日趋复杂的新的历史条件下的产物,它以独特的技术手段在入侵检测的舞 台上扮演着不町或缺的角色跚。较之基于丰机的i d s ,它有着自身明显的优势: ( 1 ) 攻击者转移i f 据更困难 基于网络的1 d s 使用正在发生的网络通信进行实时攻击的检测,因此攻t h 者 无法转移证据,被检测系统捕获到的数据不仪包括攻t j i 山法,而且包括对识别和 指控入侵者十分有用的信息。 ( 2 ) 实时检测和应答 一旦发生恶意的防问或攻击,基于删络的i d su ,以随时发现它们,以便能够 更快地做m 反应。 ( 3 ) 能够检测到未成功的攻击企图 有些攻击行为是旨在针对防火墙后面的资源的攻击,利用放置防火墙外的基 于网络的i d s 就可以检测到这种食图,面基于主机的i d s 并不能发现未能到达受 防火墙保护的主机的攻击企罔。 ( 4 ) 操作系统无关性 基t - n 络的i d s 并小依赖丁主机的操作系统作为检测资源,这样就与主机的 操作系统无关,而基于土机的i d s 需要依赖特定的操作系统才能发挥作用。 ( 5 ) 较低的成本 网络入侵检测系统s n o r t 的安仝性分析 基于网络的i d s 允许部署在个或多个关键访问点来检查所有经过的网络 通信,大大减少了安全和管理的复杂性。 基于网络的i d s 也同样存在一定的不足恻:它只能监视通过本网段的活动, 而且精确度较差;在交换网络环境下难丁二配置;在高速网络中,难以捕捉到所有 的数据包:防欺骗的能力较差;不能适用丁加密的刚络环境。 2 4 分布式入侵检测系统 由于网络环境的分布性和开放性,使得我们要保护的目标主机和网络在数量 与层次上1 i 再局限在很有限的范围内,而且小断发展的网络技术使得攻击手段也 在升i 断推陈出新,这样,列入侵行为的检测将面临更人的挑战。同时,单机制 的入侵检测系统存在着自身难以克服的缺陷,无法满足日益苛刻的安全需求。这 使得人们在深入研究的吲时1 i 得一i 另辟蹊径。分布式入侵检测系统就是这时期 的产物,它的出现为人们提供新的安全解决方案。 分布式入侵检测系统【10 】是采剧基于主机的和基于网络的入侵检测系统相结 合的综合方案,这样既可以克服基于主机的入侵检测系统和基于网络的入侵检测 系统的各自不足,又可以充分发挥它们各自的优势,从而实现对被保护系统的最 罔24 分布式入侵检测系统设计框剧 网络入侵检测系统s n o n 的安全性分析 佳防护。图2 4 是分布式入侵检测系统的组成框图。 由图可以看出,该系统的辛要功能部件宵网络引擎、主机代理、分析系统、 管理控制系统、存储系统、响应系统等。网络引擎卡要足从网络流量中获取原始 数据包,并对其进行预处理,并将预处理后的数据发给分析系统;主机代理则足 从受保护的主机系统获取审计数据,并对其进行预处理,将处理过的数据送往分 析系统;分析系统对预处理后的数据进行分析,更具小同的数据特点建立相应的 检测模型,即采用不同的检测算法对数据进行分析处理,并将分析结果送到管理 控制系统;管理控制系统是整个系统同用户交互的窗口,它提供各种管理控制信 息,并协调其他部件的工作:存储系统是用来对各种结果进行存储的地方,并提 供灵活的数据维护、处理和鱼询服务,同时也是一个安全的口志系统;响应系统 则是对确认的入侵行为采取相廊措施的子系统。 从所采用的技术角度来着,分布式入侵检测系统的检测机制是误用检测和异 常检测并举的方案。具体工作模式如图2 - 5 所小。 图25 分巾式入侵检测系统怕榆测机制4 i 意图 2 5 入侵检测系统的体系结构 当今的入侵检测系统一般采用两个独立的功能部件来执行i d s 的主要功能 一 误用检测 一 异常榆测 一 网络入侵检测系统s n o r t 的安全性分析 数据收集器和检测器。首先是底层的数据收集器,它负责收集数据,并把信息发 送到其他功能部什。典型的数据类型有网络数据包、日志文件及系统调用记录。 检测器是处在i d s 的高层,它接收并分析数据收集器发送来的信息并判断是否 有入侵活动的发牛。当有需要的时候,就产生报警,尽可能地能详细给出有关入 侵的信息。功能强大的检测器甚至能给出抵抗入侵活动的应对措施。 根据系统的总体体系结构】,町以将入侵检测系统分为三种:单一体系结构、 i 层次体系结构和分布式体系结构。 在单一体系结构中,只有一个中心探测器,而数据侦听或者数据包收集等则 可以运行在多台丰机上。这种体系结构在健壮性、可升级性及可配置性方面存在 不足。s n o r t 、b r o 等其他早期的入侵枪测系统就是此种体系结构。第二种体系 结构基于层次的口标,把i d s 的实体按照树结构的形式进行组织。其中孩子实体 负责数据收集并分析,然后将结果送至父实体,而父实体仅需要从孩子实体那里 得到数据,若存在父节点的话,并把结果报告给自己的父节点。g r i d s 、e m e r a l d 等就采用层次型体系结构。尽管层次型体系结构仍然处在发展之中,但能提供更 好的可升级性。除此之外,相互通信成本的降低,也能提高入侵检测系统的性能。 系统中仍然i 有一个中心节点,即根节点,】司样面临单个节点的失效,导致整个 入侵检测系统失效。 分布式体系结构已经得到发展,似乎此种体系结构是一种最好的解决方案。 体系结构中,所有的控制节点和入侵检测都分布在网络节点中,相互协作,而且 没有中心节点的存在。a a f i d 就是采刖分布式体系结构的入侵检测系统。在分布 式体系结构中,健壮性有了很大提高,且此种结构中单个节点不会使整个系统失 效。然而分布式体系结构技术仍然不成熟h 没有被证明。 当今大多数商、i k 入侵检测系统采用层次体系结构,同时也在逐步朝着分布 式体系结构方向发展。 i 叫络入侵检测系统s n o r t 的安全性分析 第三章网络入侵检测系统的安全。陛分析 基于网络的入侵检测系统,通过捕获与分析网络数据进行检测。通过侦听网 络,给予划络的i d s 叫以监控大量信息。n i d s 通常由一组目的单一的主机组成, 它们在嗍络中的小同部分“窃听”或捕获网络流量,同时向一个唯一的管理控制 台报告攻击行为。 网络入侵榆测系统的缺点 8 15 1 如下: 1 ) 在一个大型或拥挤的刚络中,基于网络的入侵检测系统很难处理所有 的分纽,因此有可能无法识别网络流量较大时发起的攻击。快速分析 分组的需求,也迫使检测系统用堪口j 能少的计算资源监测攻击。凼此 会降低检测的有效性。 2 ) 基丁网络的入侵检测系统的许多优势并1 i 适用丁现代基于交换的网 络。交换网络町以将网络分为许多小单元,l 刊时町以在由i 司一交换机 支持的主机之问提供专用链路。多数交换机不提供统的监测端口, 这就减少了基丁网络的入侵检洲系统的检测范围。在提供监测端口的 交换机中,往往通过一个断u 也不能监测所有通过该交换机的流量m 3 ) 基于网络的入侵检测系统不能川于加密的网络环境中。 4 ) 多数基了一网络的入侵检测系统不报告攻击是考成功,它们只报告是否 有攻击发起。检测到一个攻击后,管理员通常需要手工查看每台受攻 击的主机,以确定丰机是否被入侵。 5 ) 一些基于网络的入侵检测系统不, i j 匕t , b 上【- 确处理一些专门针对网络进行攻 击的活动,如“分片”的数据包。这些恶意的数据包可能会使入侵检 测系统不稳定或崩溃。 3 1 网络入侵检测系统的薄弱环节 网络入侵检测系统s n o r t 的安仝性分析 入侵榆测检测系统刚出现的时候,仅采用单一体系结构和监测单台主机上的 日志。这种基于主机的入侵检测系统存在缺陷:无法嘛测大规模的针对多台主机 的入侵。这样就导致了基于网络的入侵检测系统的出现。t l i d s 与n i d s 都由各自 的优缺点。h i d s 能够发现存当地主机e 出现的行为,但不能监测网络中活动; 而n i d s 能监测网络,卜的行为,但无法发现在当地主机上的实际的活动。 一般说来,入侵检测系统的研究仍然处于不成熟阶段,而且有很多的缺陷。 入侵监测的_ f i ) f 究一个基本假设是入侵检测系统本身是绝对安全和可信赖的,并且 在入侵检测系统中的安全机制都能止确、完全并及时地执行。然而没有一种方法 能证明这个前提。同时网络入侵榆测系统不可避免地存在一些薄弱环节。存在的 薄弱环节有: 系统缺陷 网络协议彳i 严格 “f a i lo p e n ” 位置固定 层次型的组织结构 同步问题 易受拒绝服务攻击 3 1 1 系统缺陷 入侵榆测系统作为入侵检测技术的基础,理想的状况是入侵检测系统本身能 够被信任,绝对地完伞。事实上,从二十世纪七十年代以来,在此领域内,做了 相当多的研究工作。1 9 7 2 年,a n d e r s o n 提出了“r e f e r e n c em o n i t o r ”的概念。 此模型内,强调的是总体安伞而不是安伞策略或实现的细节,它足一个集中的系 统安全访问机制存储池。“r e f e r e n c em o n i f o r ”管理和协助自动系统来达到或加 强足够和必要的安伞特性。皋于“r e f e r e n c em o n il o t ”模型,出现了。些安全 内核,并试图设计发展成为一种可证明的安全系统。如k e r n e l i z e ds e c u r e o p e r a t i n gs y s t e m ,m i t r e 安全内核,u c l ad a t as e c u r eu n i x 等。美国国防部 在1 9 8 5 年提出了a 1 分类模型“,要求系统的安全性能够被证明,并且可以作为 网络入侵检测系统s n o r t 的安全性分析 种安全系统的标准模型。 然m j 当今的断k 产晶【十i ,没有能满足a 1 分类模犁的要求,因为要在数学上 证明系统没有缺陷足非常幽难。采用正式被证| ! j 的安全系统模型,需要更高的时 问和金钱上的化费。此外,很多人并不熟悉正规的模型技术。凶此,正式地证明 系统的安全足小现实的,而且似乎电没有人汪明过。不m 意外,当今大多数的入 侵检测系统并不是基丁安全的模型,系统中的缺陷仍然可能存在。所能做的只是 “穿透测试”( p e n e t r a t i n gt e s t ) 来发现其中的缺陷,这些并不能足够地是入 侵榆测系统避免攻击或破坏。 在系统的安全没有止式证明的同时,入侵柃测系统也面临实现h 的缺陷。当 越来越多的特性和安全机制加入到入侵榆测系统时,入侵榆测系统也变得越来越 复杂。错误也就不可避免地引入其中,这,f i 仅出现在设计阶段,而且在实现、维 护和升级等阶段都有町能出现错误。彻底地检查系统中的错误和缺陷已变得越来 越难。凶此,入侵检测系统就小町避免地存在b u g ,这些缺陷就口j 能被作为对系 统进行入侵的突破u 。 作为一种公丌源代码的网络入侵检测系统,s n o r t 被广泛地学习和使用。然 而最近发现了两个缓冲区溢出的缺陷| 5 l ,分别出现在两个不j 司的模块里。一个出 现在s t r e a m 4 预处理模块中,另一个出现在r e m o t ep r o c e d u r ec a l l ( r p c ) 预处理 代码中。 s n o r t 中的s t r e a m 4 预处理器在重组定范围内序列号的数据包时,有时不 能正确地计算一些参数,为此可导致整数溢出,甚至能使缓冲区溢出。s n o r t 中 的s t r e a m 4 的缺陷u j 能会导致在运行s n o r t 的主机上进行远程命令执行,出现拒 绝服务攻击。当r p c 解码器重组分片的r p c 记录时,它不能正确地检查相对于当 前数据包大小,可导致缓冲区溢出。s n o r t 是皋于网络的入侵检测系统,入侵者 就无需知道s n m ,t 探测器的位置就可以赢接发送特别的分片数据包对s n o r t 进行 攻击。使s n o r t 探测器崩溃或使入侵者以r o o t 权限插入一些恶意的可执行代码。 3 1 2 “f a i l o p e n ” 入侵检测系统的实现方式多样,当系统崩溃或遭到破坏以后,就有不同应对 网络入侵检测系统s n o a 的安仝性分析 措施和反应。对于网络入侵检测系统,区别在于,当系统遭到破坏后,网络对外 是否可用。有些网络入侵检测系统在失效后,就停f f j 对目标系统的保护,目标系 统就暴露在入侵者面前,这种情形成为“f a i lo p e n ”。同时也有一些网络入侵检 测系统在失效后关闭网络的连接,使目标系统不再遭到入侵,此种情况为 “f a i 卜c l o s e ”。对于“f a i 卜c l o s e ”,当入侵检测系统失效后,目标系统不会遭 到破坏,仍然处于保护状态。而对于“f a i 卜o p e n ”,则当目标系统没有其他安全 措施时,入侵者就可以操纵目标系统,进行
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 牛津6年级期末数学试卷
- 清华强基计划数学试卷
- 华夏盛典营销活动策划方案(3篇)
- 门店施工方案范本(3篇)
- 农村小型鱼池施工方案(3篇)
- 海南景区喷泉施工方案(3篇)
- 美式小区施工方案(3篇)
- 北京市昌平区2024-2025学年八年级下学期第一次月考历史题库及答案
- 安徽省六安市金安区2023-2024学年高二上学期第二次月考生物考点及答案
- 心动传媒面试题目及答案
- 云南省澜沧拉祜族自治县2025年上半年事业单位公开招聘教师岗试题含答案分析
- 养老护理员基础照护试题(含参考答案)
- 教师职业技能提升培训教程
- 2025年版房屋租赁合同模板下载
- 2025年第三类医疗器械培训试卷(含答案)
- 2025年医院财务科招聘考试题目(附答案)
- 面试指导:空中乘务面试常见问题与答案
- 2025年医德医风培训试题(附参考答案)
- 二人合伙开店的合同协议
- 北师大版五年级数学下册常考题:分数除法(单元测试)含答案
- 2024广西公需课高质量共建“一带一路”谱写人类命运共同体新篇章答案
评论
0/150
提交评论