（农业电气化与自动化专业论文）基于神经网络入侵检测系统的研究与实现.pdf

摘要 随着i n t e r n e t 的发展、电子商务和电子政务的广泛应用，据有关数据显示，每年全球 因计算机网络安全系统被破坏而造成的损失可达数百亿元。并且这种经济损失仍有上升的 趋势。因此计算机系统安全问题已经作为一个迫在眉睫的问题呈现在我们面前。 入侵检测( i n t r u s i o nd e t e c t i o n ) 指用来识别针对计算机系统、网络系统，或者更 广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的试探、恶意攻击，以及内 部合法用户的非法越权行为。这一研究方向自1 9 8 0 年4 月由j a m e sp a n d e r s o n 第一次提 出后，经历2 0 余年的发展，并随着入侵事件愈演愈烈逐渐成为安全领域研究的一个热点。 本文介绍了现有的入侵检测系统，分析了各自的优缺点，指出了当前入侵检测系统存 在的问题和所面临的挑战，归纳了入侵检测技术的发展方向。并结合基于主机入侵检测系 统和基于网络入侵检测系统的各自特点，形成了节点入侵检测系统。本文所设计的节点入 侵检测系统通过分析基于主机与基于网络入侵检测系统两者的数据源，有机的实现了既可 以检测来自内部的入侵行为又可以检测来皂外部的入侵行为的检测功能。充分发挥了基于 主机和基于网络入侵检测系统的各自优点，使得基于主机和基于网络入侵检测系统互为补 充达到了更好的检测效果。考虑到在检测分类中存在着大量的不确定因素和噪声影响， 在选择检测算法时，本文选取了神经网络作为检测方法，其中主要利用了神经网络的自学 习性和容错能力，同时在输入和输出层中应用隶属度对输入输出数据进行了模糊化表示， 较好的解决了由尖锐边界所带来的误报警和漏报警问题，使整个系统更具有可解释性。 本系统以w i n d o w s n t 为平台，利用v c 6 0 为开发工具，应用m a t l a b 对试验数据进行 训练分析。在整个系统开发过程中根据软件工程原则，采用模块化的设计思想和并行开发 策略，设计完成了一个具有实验性质的入侵检测系统。 关键词网络安全；节点入侵检测：神经网络；软件工程 v r e s e a r c ha n dr e a l i z a t i o no n i n t r u s l 0 nd e t e c t i o ns y s t e m s b a s e d0 nn e u r a ln e t w o r k s a b s t r a c t w i t ht h ei n t e r n e td e v e l o p i n g 、e 1 e c t r o n i cg o v e r n m e n ta n de - b u s i n e s sa p p l y i n g 。 a s l o s i n gd a t as h o w st h a ta n n u a ll o s sc a u s e db yt h es e c u r i t ys y s t e mo ft h ec o m p u t e r w a sd e s t r o y e dr e a c h e ss e v e r a lt e nb i l l i o ny u a no nt h ew h o l ew o r l d a n dt h et r e n d o fl o s si ss t i l lv e r ya s c e n d a n to b v i o u s l y s ot h eq u e s t i o no fs e c u r i t yh a sa l r e a d y p r e s e n t e di n f r o n to fu s i n t r u s i o nd e t e c t i o ni sd e f i n e da s “t h ep r o b l e mo fi d e n t i f y i n gi n d i v i d u a l sw h o a r eu s i n go rp r o b i n gac o m p u t e rs y s t e mw i t h o u ta u t h o r i z a t i o na n dt h o s ew h oh a v e 1 e g i t i m a t ea c c e s st ot h es y s t e mb u ta r ea b u s i n gt h e i rp r i v i l e g e s ”t h i sc o n c e p t w a se x p r e s s i o ns i n c eb yj a m e spi na p r i lo f1 9 8 0 t h r o u g hd e v e l o p m e n to fm o r et h a n 2 0y e a r s i tb e c a m ef o c u s e dr e s e a r c hi ns e c u r i t yf i e l dw i t hi n t r u s i o nh a p p e n i n g f r e q u e n t l y t h i s p a p e ra n a l y s e s t h em e r i ta n df l a wo fi n t r u s i o nd e t e c t i o ns y s t e m e x i s t i n g l y ，p o i n t so u t t h es h o r t c o m i n ga n dc h a l l e n g ef a c e d ，a n dc o n c l u d e si t s d e v e l o p i n gd i r e c t i o n ，t of o r mn o d e i n t r u s i o nd e t e c t i o ns y s t e mb yc o m b i n i n gt h e c h a r a c t e ro fh o s ti n t r u s i o nd e t e c t i o os y s t e ma n dn e ti n t r u s i o nd e t e e t i o ns y s t e m n o d ei n t r u s i o nd e t e c t i o nd e s i g n e di nt h i sp a p e rc a nd e t e c tt h ei n n e ri n t r u s i o n a c t i o na n do u ti n t r u s i o na c t i o nt h r o u g ha n a l y z i n gt h ed a t as o u r c ef r o mh i d sa n d n i d s g i v i n gf u l lp l a yt oh i d sa n dn i p se a c hm e r i ta n dm a k i n gt h e ms u p p l e m e n te a c h o t h e r ，t h i sd e t e c t i o ns y s t e mr e a c h e sb e t t e rd e t e c t i n gr e s u l t w es e l e c t n e u r a l n e t w o r ka sa p p l i c a t i o nt od e t e c t ，f o rc o n s i d e r i n gt h ei n f l u e n c eo fl a r g en u m b e r s o fu n c e r t a i nf a c t o ra n dn o i s e a n dt h en e u r a ln e t w o r kj u s t h a st h ea b i1it yo f s e l f - s t u d ya n df a u l t t o l e r a n t i ni n p u t t i n ga n de x p o r t i n gl a y e r ，w eu s e sd e g r e e o fm e m b e r s h i pt of u z z yi n p u to ro u t p u td a t a b e t t e rt os o l v et h eq u e s ti o no fs h a r p b o r d e re f f e c t i n gp r o b l e m t h iss y s t e mr e g a r d sw i n d o w s n ta st h ed e v e l o p m e n tp l a t f o r m ，u t i l i z e sv c 6 0 l a n g u a g et od e v e l o p a n du s e sm a t l a bt ot r a i nt h et e s td a t a ，a c c o r d i n gt ot h es o f t w a r e e n g i n e e r i n gp r i n c i p l e ，t h i ss y s t e ma d o p t sm o d u l a rd e s i g n i d e a l sa n dp a r a l l e l d e v e l o p m e n tt a c t i c st od e v e l o pa n df i n i s h e sa ne x p e r i m e n t a l i n t r u s i o nd e t e c t i o n s y s t e m v i 东北农业人学t 学硕士学位论文 c a n d i d a t e ：z h o u j i a n x i a n g m a j o r ；a g r i c u l t u r a le l e e t r i z a t i o na n da u t o m a t i z a t i o n s u p e r v i s o r ：p r o f w a n gx i n g f e n k e y w o r d sn e ts e e u r i t y ：i n t r u s i o nd e t e c t i o n ：n e u r a ln e t w o r k ：s o f tp r o j e c t v 1 前言 1 1 研究目的及意义 1 1 1 安全现状 随着i n t e r n e t 的飞速发展，社会信息化的普及，人们日常生活及工作越来越依赖于 信息系统、依赖于网络，计算机系统已经成为我们生活的一部分。它给我们带来了便利、 快捷，同时它的不安全性也给人们造成了越来越大的损失。 据有关统计数据显示，每年全球因计算机安全系统被破坏而造成的损失。达数百亿元， 而且由此造成损失的上升趋势越发明显。世界上著名的商业网站几乎都有过被入侵的记录， 如y a h o o 、b u y 、e b a y 、a m a z o n 、c n n 等，甚至专门从事网络安全的r s a 也遭到过黑客的光 顾。根据美国g a o ( g e n e r a la c c o u n t i n go f f i c e ) 在1 9 9 6 年5 月2 2 日披露，有将近2 5 0 0 0 0 次黑客尝试闯入美国联邦计算机系统的事件发生，估计这些攻击6 4 是成功的。按照一些 研究结果，g a o 预计l 一4 的攻击被检测到仅有1 的攻击被报告。 我们还可以看一下x f o c u s 的一个h o n e y n e t 项目收集的入侵报告。需要注意的是，这 些统计信息只代表了一个没什么价值的小网络，它没有对外广而告之并且没有试图引诱黑 客。攻击后的分析；从2 0 0 0 年4 月到1 1 月，7 台默认安装了r e dh a t6 2 服务器在它们 被放上i n t e r n e t 的三天之内就受到攻击。一个系统最快在1 5 分钟内就被入侵。这意味蔫 系统在连上i n t e r n e t 的1 5 分钟内就被扫描，探测和入侵。在2 0 0 0 年1 0 月3 1 日，x f o c u s 放置了一个默认安装了w i n d o w s 9 8 系统，就像许多家庭和组织那样设置了共享。这个蜜罐 系统在2 4 小时之内就被入侵。在接下来的三天中又被入侵了四次。就是说在少于四天内它 被成功的入侵了五次。 你也许认为没有人知道你的系统你的系统就会安全或者你认为你的系统没有价值， 就没有人要探测你。如果扫描只能限制在几个独立的资源上，你可能会很安心，因为 i n t e r n e t 上千千万万的机器，扫描到你的机器的几率少之又少。但是，事实不是你想象的 那样，目前多数入侵工具能很方便的使用，并且广泛传播，i n t e r n e t 本身没有区域限制， 有这么多人使用这些工具，探测到你就不是问题了。 1 1 2 安全误区 值德一提的是，很多人有一个误区，认为安装了防火墙的网络就是安全的了，但事实 是这样吗? 虽然大家都知道如果要上网一定要装防火墙，但是在很多人的印象中。仿佛只要装了 防火墙一切就万事大吉高枕无忧了。从技术理论上看，防火墙已经成为一种先进的基于 应用层的网关，不仅能完成传统的过滤任务，同时也能够针对各种网络应刚提供相应的安 全服务。 但事情并不像看起来那么简单，仅仅使_ 【i j 防火墙保障网络安全是远远不够的。虽然防 火墒能够有效地防e e 通过它进行传输非法信息，却不能防l 不通过它而传输的a 法信息。 东北农业太学工学烦上学位论文 i l l e l q 入侵者还可以寻找防火墙背后可能敞开的后门进行入侵：另外，防火墙对内部用户的资料 泄漏及内部_ ；i 户的越权行为无法执行保安功能，防火墙形同虚设。 p c 安全专家s t e v e g i b s o n ( 史蒂夫吉森) 曾用特洛伊木马程序对个人防火墙进行测试， 结果很令人失望。他把特洛伊木马程序进行伪装，改为“可以信赖”的应崩软件，轻易突 破防火墙的封锁，畅通无阻地进入到互联网中。一旦用户的电脑被安装了特洛伊水马程序， 它就会打开一个特别的后i l 】端口，以后黑客就可利用这个端口直接进行入侵了。 以下列出了防火墙的几点不足： 1 防火墙不对数据包的内容进行分析，对规则中开放的端口和提供的服务不执行保安 功能。 2 防火墙不能防止利用标准网络掷议中的缺陷进行的攻击。旦舫火墙允许了某些标 准网络协议，那么防火墙对利用该协议中缺陷进行的攻击将无能为力。 3 在遭到黑客攻击后因防火墙不保留数据包内容日志，所以事后无法把防火墙日志 作为检查目志进行分析。 4 防火墙不能防止来自内部的泄密行为。防火墙对来自内部的非法、越权行为几乎无 能为力。 1 1 3 入侵检测的目的与意义 入侵检测技术是近十多年发展起来的新一代安全防范技术，它通过对计算机网络或系 统中若干关键点信息收集并对其进行分析从中发现是否有违反安全策略的行为和被攻击 的迹象。这是一种集检测、记录、报警、响应为一体的动态安全技术。入侵检测的目的意 义在于： 1 能够及时有效的减少因计算机安全系统被破坏而造成的损失：入侵检测能够监控、 分析用户和系统的活动、核查系统配置和漏洞、评估关键数据文件的完整性，检测入侵攻 击的发生，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，麓最大限度的减少 入侵攻击所造成的损失。 2 避免同样入侵行为再次发生：被入侵攻击后，收集入侵攻击的相关信息，作为防范 系统的知识添加入知识库内，以增强系统的防范能力。 3 。有效的检测出来自内部的入侵行为：具有关数据统计有8 0 的入侵行为来自于系统 内部，能够检测来自内部的入侵行为，因而检测出来自内韶的入侵行为有着重要的意义。 4 被入侵后，可以取证入侵者的信息：入侵检测系统可以在入侵发生的同时，记录并 保留入侵行为的相关信息，指证入侵者的非法行为。 计算机网络安全问题已不再仅仅是学术问题，它直接关系到我1 f j 每个人自身的信息安 全，乃至一个国家的信息安全。因此可以说研究和开发入侵检测系统是信息时代一个刻不 容缓的课题具有重大的意义。 1 2 国内外研究动态和趋势 1 2 1 入侵检测系统现状 2 入侵检测这一概念最先在1 9 8 0 年4 月由j a m e spa n d e r s o n 为美国空军做的一份题为 计算机安全威胁监控与监视的技术报告中提出。此_ l ；彳，历经2 0 余年的发展并随着入侵 事件愈演愈烈，入侵检测的研究也逐渐成为安全领域中的一个研究热点。 目前，国外不但有多个实验室从事入侵检测系统的研究和开发，而且己完成一些原型 系统和商业产品，但这些入侵捡测产品的检测效果都不能很令人满意。当今，国际顶尖的入 侵检测系统主要以模式匹配检测技术为主，并结合使用异常检测技术。现有的国外入侵检 测系统有：b l a c k l c e 、s n o r t 、s h o w d o w 、s r i 等著名检测系统。国内入侵检测系统有：冠群 金辰的“e m m t 入侵检测系统”、中联绿盟的“冰之眼入侵检测系统”等。 可以说国外的i d s 研究远远早于我国取得了相应的成果，而国内的研究和开发相对 比较晚、比较落后。但无论是国外还是国内，在产品和检测手段上都还不够成熟，并且没 有一个国际化的i d s 标准。为了适应网络安全发展的需要，s s t a n i f o r d c h e n 等人提出 了公共入侵检测框架c i d f ( c o n m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) ，该框架主要定义 了检测的体系结构、入侵描述语言规范和相应的程序接口规范。并且c i d f 小组准各加入 i e t f ( i n t e r n e t 网络工程部i n t e r n e te n g i n e e r i n gt a s kf o r c e ) ，使得c i d f 成为入侵检 测领域的标准。 1 2 2 入侵检测系统的发展趋势 1 数据挖掘技术：操作系统的日益复杂和网络数据流量的急剧增加，导致了审计数据以 惊人的速度剧增。如何在海量的审计数据中提取出具有代表性的系统特征模式，用阻对程 序和用户行为做出更精确的描述，是实现入侵检测的关键。 数据挖掘技术是一项通用的知识发现技术，其目的是要从海量数据中提取对用户有用 的数据。将该技术用于入侵检测领域，利用数据挖掘中的关联分析、序列模式分析等算法 提取相关的用户行为特征。并根据这些特征生成安全事件的分类模型。一个完整的基于数 据挖掘的入侵检测模型要包括对审计数据的采集，数据预处理、特征变量选取、算法比较、 挖掘结果处理等一系列过程。这项技术难点在于如何根据具体应用的要求。从用于安全的 先验知识出发，提取出可以有效反映系统特性的特征属性；另一技术难点在于如何将挖掘 结果自动地应用到实际的i d s 中。目前，数据挖掘技术用于入侵检测的研究总体上来说还 处于理论探讨阶段，离实际应用还有相当的一段距离。 2 更先进的检测算法：在入侵检测技术的发展过程中，新算法的出现可以有效提高检测 的效率。以下三种机器学习算法为当前检测算法的改进注入了新的活力。它们分别是计算 机免疫技术、神经网络技术和遗传算法。 计算机免疫技术是直接受到生物免疫机制的启发而提出的。生物系统中的脆弱性因素 都是由免疫系统来妥善处理的，而这种免疫机制在处理外来异体时呈现了分布的、多样性 的、自治的以及自修复的特征，免疫系统通过识别异常或以前未出现的特征来确定入侵。 计算机免疫技术为入侵检测提供了以f 思路即通过正常行为的学习来识别不符台茕态的 行为序列。虽然在这方面已经作了若干研究工作，但仍有待于进一步深入。 神经网络技术在入侵检测中研究的时间较艮并在不断发展。早期的研究通过训练向 后传播神经网络来识别已知的网络入侵，进一步研究识别未知的网络入侵行为。今天的神 经网络技术已经具备相当强的攻击模式分析能力，它能够较好地处理带噪声的数据，而且 分析速度很快，可以用于实时分析。 遗传算法应用于入侵检测中的时间不长。在一些研究试验中，用若干字符串序列来定 义分析检测的指令组，在对这些识别正常或者异常行为的指令进行初始训练阶段，应用遗 传算法不断优化训练结果，提高分析能力。 3 ，大规模分布式的检涌技术：由于分布式拒绝攻击的出现，如何利j j 分布式检测技术也 成为i d s 未来的发展方向。集中模式的检测手段，当面对在大规模、异质网络基础上发起 的复杂攻击行为时，中央控制台的业务负荷将达到不可承受的地步，以至于无法处理来自 各方的消息事件。这种情况会造成对许多关键消息的漏报，大大增加了漏警率。而且由于 网络传输存在延时问题，因而达到中央控制台的数据包也无法实时的反映当前的状况。另 外异质网络环境所带来的平台差异性也将给集中模式带来诸多的困难，因为每一种攻击行 为在不同的平台操作系统中都表现出不同的类型模式特征，这样来要进行模式匹配就更 加困难。分布式的检测方式，由几个中央代理和大量的分布的本地代理做成，其中本地代 理负责本地事务，中央代理负责全局事务，相互协同工作达到检测目的。 总之入侵检测技术作为当前网络安全研究的热点，它的快速发展和极具潜力的应用 前景需要更多的研究人员参与。i d s 只有在基础理论研究和工程项目开发多个层面上同时 发展，才能全面提高整体检测效率。 1 3 入侵检测系统的局限性 众所周知，入侵检测系统是防止黑客入侵的一种行之有效的主要手段。但是，通过研 究发现，目前的i d s 产品却并非那么如意。它们在构建方法、检测效率、可移植性和可升 级性方面存在着普遍的缺陷。从整体上来看，现有i d s 存在一些共同的弱点，主要体现在 以下几个方面： 1 检测效率：实际的i d s 通常很难检测出所有的具有欺骗性的入侵。无论异常入侵检 测还是误用入侵检测都存在此问题。当1 0 0 0 m 网的出现更加突出了检测效率低所带来的漏 报警问题 2 可移植性：一般的i d s 都是为某个单一环境构建的很难直接应用于其他环境，即 使它们具有类似的安全策略和安全目标。这是由于i d s 的主体部分是目标系统所特有的， 是为目标系统定制的。这样系统的重用与重定位非常困难，除非这个系统一开始就被设计 成一种通用模式。然而，通用模式下的系统检测效率较低，而且功能受限。 3 可维护性：维护一个1 d s 需要丰富的安全知识。进行一次规则集的升级。不仅需要 理解大量的语义信息，而且还要掌握专家语言规则，而这些的实现都是很难做到的。 4 检测方法：没有一种简单的方法能够对1 d s 进行测试。未知的入侵模式难以模拟， 已知的入侵模式难以重现，审计记录格式的不规范也给i d s 的实验与比较造成诸多不便。 1 4 入侵检测所面临的挑战 目前，入侵检测系统也面临着若干重要挑战。这些挑战有些米白技术方面，有些米自 1 r 技术方面。总结其中重要的三个方面如卜： 前言 l _ 如何提高入侵检测系统的检测速度，以适应网络通信的要求。 网络安全设备的处理速度一直是影响网络性能的一大瓶颈，虽然i d s 通常以并联方式 接入网络的，但如果其检测速度跟不上网络数据的传输速度，那么检测系统就会漏掉其中 的部分数据包从而导致漏报而影响系统的准确性和有效性。在i d s 中，截获网络中每一 个数据包，分析、匹配其中是否具有某种攻击特征需要花费大量的时间和系统资源，因此 大部分现有的i d s 只有几十兆的检测速度，随着百兆、甚至千兆网络的大量应用，i d s 技 术发展的速度已经远远落后于网络速度的发展。 2 如何减少入侵检测系统的漏报和误报，提高其安全性和准确度。 基于模式匹配的i d s 将所有入侵行为和手段表达为一种模式或特征，通过检测搜集到 的数据的特征是否在入侵模式库中出现，如出现则断定是入侵行为。由于每天都有新的攻 击方法产生和新漏洞发布，入侵模式库不能及时更新是造成i d s 漏报的一大原因。而基于 异常发现的i d s 通过流量统计分析建立系统正常行为的轨迹，当系统运行时的数值超过正 常阈值，则认为可能受到攻击，该技术本身就有较高的漏报误报率。 3 如何提高入侵检测系统的互动性能，从而提高接个系统的安全性能。 在大型网络中网络的不同部分可能使用了多种入侵检测系统，甚至还有防火墙、漏 洞扫描等其他类别的安全设备。这些入侵检测系统之间以及i d s 和其他安全组件之间如何 交换信息，共同协作来发现攻击、做出响应并阻止攻击是关系整个系统安全性的重要因素。 例如，漏洞扫描程序例行的试探攻击就不应该触发i d s 的报警，而利用伪造的源地址进行 攻击，就可能联动防火墙关闭服务从而导致拒绝服务这也是互动系统需要考虑的问题。 1 5 本章小结 本章阐述了研究入侵检测研究的目的与意义，分析了当前国内外入侵检测技术的发展 动态与趋势，最后归纳总结了入侵检测的发展方向，并简述了入侵检测所面临的问题和不 足之处。 东北农业人学工学硕士学位论文 2 入侵检测技术概述 髓着计算机系统入侵事件的不断发生计算机系统的安全性越米越受到人们的关注。 原有的防火墙系统已经越来越难以单独保障计算机系统的安全，这主要是由于防火墙始终 在明处抵挡外来的攻击，黑客针对防火墙的攻击手段不断翻新，让它防不胜防。另外很 多入侵行为来源于系统内部，例如内部用户的越权操作或恶意破坏等，这些都对系统安全 构成了极大的威胁。入侵检测是一种新型的安全技术，它不仅能够检测来自外部的攻击行 为，而且能检测出来自内部的非法越权行为，在全面的保护系统不受攻击破坏中发挥出不 可替代的作用。 2 1 基本概念 1 安全的定义 广义上安全的定义为：主体的行为完全符合系统的期望。系统的期望可表达成安全 规则，也就是说主体的行为必须符合安全规则对它的要求( 金波等2 0 0 0 ) 。 根据o s i 狭义的系统与数据安全定义为： ( i ) 机密性：使信息不泄漏给非授权的个人、实体、进程不为其所用； ( 2 ) 完整性：数据没有遭受非授权方式所作的篡改或破坏： ( 3 ) 可确认性：确保一个实体的作用可以独一无二的跟踪到该实体； ( 4 ) 可用性：根据授权实体的请求可被访问与使用。 2 入侵定义 指任何一种企图去破坏资源的完整性、机密性或者有效性的行为( f l o r i a nk e r s c h b a u me t c ，2 0 0 2 ) 。 3 入侵检测定义 入侵检测( i n t r u s i o nd e t e c t i o n ) 指用来识别针对计算机系统、计算机网络，或者更 广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击、试探，以及内 部台法用户的越权非法行为( f l o r i a nk e r s c h b a u m ，e u g e n eh s p a f f o r da n dd i e g o z a m b o n i ，2 0 0 2 ) 。 2 2 入侵检测系统的分类 按数据来源分类，可以将入侵检测系统分为基于主机的入侵检测系统( h i d s ) 和基于 网络的入侵检测系统( n i d s ) 。基于主机的入侵检测系统：系统获取数据的依据是系统运行 所在的主机保护的目标也是系统运行所在的主机。基于网络的入侵检测系统：系统获取 的数据是网络传输的数据包，保护的是所监控的网络。 2 2 1 基于主机的入侵检测系统 基于主机的入侵检测出现在8 0 年代初期，通常基于主机的入侵检测系统监测系统事件 和系统下的安全记录。当发现异常时i d s 将会向管理员报警，以采取措施。 基于主机的入侵检测系统的优点包括： 入侵检测技术概述 1 性能价格比高：在主机数量较少的情况卜，这种方法的性能价格比可能更高。尽管 基于网络的入侵检测系统能很容易地提供广泛覆盖，但其价格通常是昂贵的。而基于士机 的入侵检测系统相对便宜许多，并且客户只需很少的费用用于最初的安装； 2 更加细腻：这种方法可以很容易地监测一些活动，如对敏感文件、目录、程序或端 口的存取，而这些活动很难在基于网络的系统中被发现。例如，基于主机的i d s 可以监督 所有用户登录及退出登录的情况，以及每位用户在联接到网络以后的行为。基于网络的系 统要做到这个程度是非常困难的。基于主机技术还可监视通常只有管理员才能实施的非正 常行为。操作系统记录了任何有关用户帐号的添加、删除、更改的情况。一旦发生了更改， 基于主机的i d s 就能检测到这种不适当的更改。基于主机的i d s 还可审计能影响系统记录 的校验措施的改变。母后，基于主机的系统可以监视关键系统文件和可执行文件的更改。 系统能够检测到那些欲重写关键系统文件或者安装特洛伊木马或后门的尝试井将它们中 断： 3 视野集中：一旦入侵者得到了一个主机的用户名和口令，基于主机的代理是最有可 能区分正常活动和非法活动的： 4 较少的主机：基于主机的方法有时不需要增加专门的硬件平台。基于主机的入侵检 测系统存在于现有的网络结构之中，包括文件服务器、w e b 服务器及其它共享资源。这些 使得基于主机的系统效率很高，因为它们不需要在网络上另外安装登记、维护及管理的硬 件设备； 5 对网络流量不敏感：用代理的方式一般不会因为网络流量的增加而丢掉对网络行为 的监视： 6 报警准确：由于基于主机的i d s 使用己发生事件为检测信息，所以具有更高的准确 报警率。 2 2 2 基于网络的入侵检测系统 基于网络的入侵检测系统使用原始网络包作为数据源，通常利用一个运行在随机模式 下网络的适配器来实时监视并分析通过网络的所有通信业务。它的入侵识别模块通常使用 四种常用技术来识别攻击：模式或字节匹配、频率或穿越阀值、次要事件的相关性、统计 学意义上的非常规现象检测。一旦检测到了攻击行为，它的响应模块就提供多种选项以通 知、报警并对攻击采取相应的反应。 基于网络的i d s 有许多仅靠基于主机的入侵检测法无法提供的功能。许多客户在最初 使用i d s 时都配置了基于网络的入侵检测。基于网络的检测有以下优点： 1 检测速度快：基于网络的检测器通常能在微秒或秒级发现问题。而大多数基于主机 的产品则要依靠对最近几分钟内审计记录的分析： 2 隐蔽性好：一个网络上的监测器不像一个主机那样显眼和易被存取，因而也不那么 容易遭受攻击。基于网络的监视器不运行其他的应用程序，不提供网络服务，可以不响应 其他计算机。因此可以做得比较安全： 3 视野更宽：基于网络的入侵检测甚至可以在网络的边缘上，即攻击者还没能接入网 络时就被发现井制i r ： 东北农业大学工学硕士学位论文 4 较少的监测器：由于使用一个监测器就可以保护一个共享的网段所以你不需要很 多的监测器。相反地，如果基于主机，则在每个主机上都需要一个代理，这样花费昂贵， 而且难于管理； 5 攻击者不易转移证据：基于网络的i d s 使用正在发生的网络通讯进行实时攻击的检 测，所以攻击者无法转移证据。被捕获的数据不仅包括攻击的方法，而且还包括可识别黑 客身份和对其进行起诉的信息： 6 操作系统无关性：基于用终的i d s 作为安全监测资源，与主机的操作系统无关，与 之相比，基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作，生成 有用的结果。 2 3 检测技术的分类 从检测技术的方法可以分为异常检测和误用检测。异常检测( a n o m a i yd e t e c t i o n ) ， 首先总结正常操作应该具有的轮廓特征，当用户行为特征与正常行为轮廓有重大偏离时即 被认为是入侵。误用检测( m i s u s ed e t e c t i o n ) ，收集非正常操作的行为特征，建立相关 的特征库，当检测到的记录与相关特征库中的记录相匹配时，系统就认为这是一个入侵行 为。 异常入侵检测一般采用统计方法和临界值检测。异常入侵检测是i d s 研究领域的重点， 处于研究阶段的技术包括基于规则的异常检测、神经网络、遗传算法和免疫学方法等，这 些方法目前较少应用于商用i d s 中。误用入侵检测采用的技术包括模式匹配、专家系统、 图论和状态迁移等。 2 3 1 异常入侵检测 异常入侵检测系统的工作是建立在假设基础上的，即任何一种入侵行为都是由于其偏 离正常系统和用户的活动规律而被检测出来的。描述正常或者合法活动的模型是从过去通 过各种渠道收集到的可信赖历史活动资料分析中得出来的。即发现任何不符台以往规律的 行为都将被视为入侵行为。 异常的入侵检测方法主要有以下几种： 1 统计分析方法：检测系统根据用户对象的行为为每个用户建立一个用户轮廓特征表 ( p r o f i l e ) 。通过将当前特征与以前已存储的轮廓特征相比较，判断出是否有异常行为发生。 这种方法的优越性在于应用了成熟的概率统计理论，不足之处是统计检测对事件发生的次 序不敏感，定义是否入侵的判断阈值比较困难。( s f o r r e s t , s ，a h o f m e y r , a n d as o m a y a j i ， 1 9 9 7 ：pd m a e s e l e e r , s f o r r e s t ，a n dp h e l m a n ，1 9 9 6 i f l u n t ，1 9 9 0 | t el u n t ，1 9 9 3 ；t f l u n t ， a t a m a r u eg l u m , j a g a n n f l m n ，c j a l a l i ，h s j a v i t z , a v a l d o s , e qn e u m a n n , a n d t d ，1 9 9 2 ；e a p o r r a sa n de g n e u r n a n n , 1 9 9 7 ) ： 2 神经网络方法：其基本思想是用一个信息单元序列来训练神经网络，在神经网络的 输入中包括当前的信息单元序列和过去的信息单元序列集合，神经网络由此可给出判断。 与概率统计方法相比，神经网络方法不依赖于数据的统计假设条件。可更好地处理有噪音 的数据和模糊数据，可更好地考虑各种变量间的相关性，并且能自动学习和更新 s 入侵检测技术概述 ( j o r g e n s o n j ，, m a n i k o p o l o s c l i ，j , z h a n g , z , 2 0 0 1 ；l i n , m ，m i i k k u l a m e n ，r ，j ，1 9 9 8 ；j m b o n i f a c i o e ta 1 1 9 9 8 ) ： 3 计算机免疫学：利用动物的免疫机理，即区分自身和非自身并消除非自身机体，建 立每个程序正常行为的数据库，定义属于自己的体系结构、软件版本和配置、管理策略、 使用模式等，用来监测程序的行为，识别非自身的外来攻击活动。 2 3 2 误用入侵检测技术 误用入侵检测系统的应用是建立在对过去己知各种入侵方法和系统缺陷知识的积累之 上，首先建立包含已知上述信息的知识库，然后检测活动信息，当发现匹配模式时，即可 判定是入侵行为。这种检测方法具有较高的准确性，但它的完备性则取决于知识库的完整 与及时更新的程度。 误用入侵检测方法有以下几种： 1 专家系统方法：是基于误用入侵检测中运用最多的一种方法，可以说专家系统的应 用在入侵检测领域有着里程碑的意义( d i l i i l g ，d o m 1 y 1 9 8 7 ；s e b r i n g ，m ，s h e l l h o u s e e ， 1 9 9 8 ) 。专家系统将有关入侵的知识转化成规则结构，在检测数据时如果发现规则中的条 件满足时，就认为发生了入侵活动。在具体实现中。专家系统主要面临着全面性问题和效 率问题，它要求系统中的专家知识及时升级更新，而实际中做到这一点是相当困难的( 、w t c o h e n ，1 9 9 5 ；w l e e ，s s t o l f o ，a n dp kc h a r t 1 9 9 7 ) ： 2 状态变迁分析方法：将入侵过程看作一个状态变迁序列，分析系统从初始的安全状 态转变到非安全状态的变迁。通过状态变迁图来准确地识别发生下一事件的条件。变迁图 中只包括为成功实现入侵所必须发生的关键事件，根据系统审计记录中包含的信息，对用 户活动的状态变化和已知入侵的状态变迁图加以比较分析做出入侵检测判断( ln 鲫 u s t a l l 9 9 2 ；ki l g u n , r a k e n a n e r e r , a n de a p o r r a s ，1 9 9 5 ；p 丸p o r r a sa n d1 l a k e m m e r e r 1 9 9 2 ) ： 3 特征值匹配模型：k u m a r 最早提出了基于特征值匹配的入侵检测方法和加标签事件 的概念，通过提取事件的特征值来进行模式匹配检测入侵的发生。这种方法目前已经被许 多商业软件所采用。 2 4 入侵检测标准状况 随着计算机网络资源共享的进一步加强，和网络规模的扩大，网络入侵的方式、类型、 特征各不相同，入侵活动变得复杂而又难以捉摸。某些入侵的活动靠单一i d s 不能检测出 来。不同的i d s 之间没有协作，结果造成缺少某种入侵模式而导致i d s 不能发现新的入侵 活动。网络的安全也要求i d s 能够与访闯控制、应急、入侵追踪等系统交换信息相互协 作，形成一个楚体有效的安全保障系统。然而，要达到这些要求，需要一个标准来加以指 导，系统之间要有一个约定，如数据交换的格式、协作方式等。为了提高i d s 产品、翔什 及与其他安全产品z 间的互揲作性美国国防高级研究计划署( d 、r p a ) 和互联网j ：样任务 组( e t f ) 的入侵检测i ：作组( i d w g ) 发起制定了一系列i d s 的标准草案。 东北农业大学工学颂士学位论文 i i ui i _ _ e 自! ! e 目! ! ! 目! ! ! ! 曼 2 4 1 入侵检测工作组 d w g 主要负责制定入侵检测响戍系统之间兆享信息的数据格式_ l 交换信息的方式，以 段满足系统管理的需要。i d w g 的任务魁对于入侵检测系统、响应系统j l l 它们需要交甄的瞥 理系统之间提供共事信息定义数据格式幂i 交换程序。i d w g 提出的建议草案包抵三部分内 稀：入侵检测消息交换格式( i d m e f ) 、入侵检测交换协议( i d x p ) 以及隧道模磁( r u n n e l p r o f i l e ) 。 i d m e f 描述了一种表示入侵检测系统输出消息的数据模! 峰_ ! ，并且解释了使用这个模型 的基本原理。i d m e f 数据模型以面向对象的形式表示分析器发送给管理器的警报数据。数 据模型的设计目标是_ 一神明确的方式提供了对警报的标准表示珐，并描述简单警报象i 复 杂警报之间的关系。该数据模型用x m e ( 可扩展的标识语言) 实现，自动的入侵检铡系统 能够使j ； i d m e f 提供的标准数据格式，来对可疑事件发出臀报，这种标准格式的发展将使 得庄商业、开放资源和研究系统之闻实现协同1 ：作的能力，同时允许使用者根据他们的强 点和弱点获得最佳的实现设备。实现i d i e f 晟适合的地方是入侵检测分析器( 或称为“探 测器”) 萃f | 接收警报的管理器( 或称为“控制台”) 之间的数据信道。 i d x p 是一1 个州j 二入侵检测实体之间交换数据的应用屡协议，能够实现i d m e f 消息、非 结构文本莆l _ 二进制数据之间的交换，并提供面向连接协议之上的双方认证、完褴性和保密 性等安全特征。i d x p 模犁为建立连接、传输数据和断开连接。 2 4 2 通用入侵检测框架 通用入侵检测框架c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ( c i d f ) 根据i d s 系统通 州需求以及现有的i d s 系统的结+ 句将i d s 系统的构成划分为四类组件：枣件组仆、分析 组州、数据库组件、响庶组件。从功能的角度，这种划分体现了入侵检测表统所必须具有 的体系结构：数据获取、数据管理、数据分析、行为响应冈此员_ 有通刖性。这里的组件 只是逻辑实体，一个组什可能是某台计葬机上的一个进科甚至线稗，也可能是多个计算机 上的多个进程。c i d f 解决了不同入侵检测系统的互操作性和共存问题。它所提供的标准数 据格式，使得i d s 中的各类数据可以在不同的系统之间传递并共享。 目前，c i d f 和i d w g 都还不成熟仍在不断地改进和完善中，但可以预见标准化是 来来的入侵检测系统发展的必然方向而c i d f 或i d w g 很可能会代表将来的1 d s 国际通 用标准。 2 5 本章小结 本章对入侵检测技术的概念、定义、分类分别作了详尽的阐述，并分析了现有检测方 法的特点及所应用的检攒i 方法。最后介绍了入侵检测技术标准建立的情况和意义。 节点入侵检测系统的总体设计 3 节点入侵检测系统的总体设计 构造一个入侵检测系统是个相当复杂、繁琐、火任务鼙的过程，目前无论在商业领 域还是在学术界都有了一定的研究成果和研究性系统。本章结合h i d s 与n i d s 的特点，在 充分考虑了重用性与效率的基础上设计了：肖点入侵检钡 系统。 所谓节点入侵检测系统( n i d s ) ，即安装在网络节点的主机中综合利用来自主机和来 自网络的检测数据源，形成对内可以检测系统的异常行为，对外可以检测网络攻击的入侵 检测系统。