（通信与信息系统专业论文）基于协同入侵检测技术的应用入侵检测与管理系统（ims）.pdf

武汉理工大学硕士学位论文 摘要 随着网络技术和攻击技术的不断发展，在巨大的网络规模及流量环境下， 面列大规模的、有组织的各种分布式的攻击彳= | 二为，传统的入侵检测技术已经不 能满足需要，暴露出了漏报，误报和响应智能化不足等问题，具体如下： 1 自身安全性的缺乏： 2 对新攻击检测能力的缺乏； 3 人机交互能力的缺乏； 4 响应缺乏智能化； 5 误报、漏报问题； 为克服传统入侵检测技术的种种缺陷，论文在研究了传统入侵检测技术的 基础上，引入了协同入侵检测模型，设计了基于该模型下的商业化应用一入侵检 测与管理系统。它在新一代入侵检测技术的基础上，利用全面流量监控发现异 常，结合地理信息显示入侵事件的定位状况，应用入侵和漏洞之间具有的对应 关联关系，给出了入侵威胁和资产脆弱性之间的风险分析，从而有效地管理安 全事件并进行及时处理和响应。在具体实现上，不同的功能对应相应的模块， 各模块之间可独立工作，也可以协同工作，并可以实现在同一个平台上管理。 通过各模块之间的协同数据采集，数据关联分析，基本上解决了误报的问 题；而数据的处理上采用并行多线程的技术，在千兆网络环境下，也基本解决 了漏报的问题；并且在解决误报、漏报问题的基础上，通过响应协同( 入侵检 测与防火墙和交换机之间的协同响应) 进行合理阻断，在一定程度上解决了响 应智能化的问题；最后通过各模块统一平台的管理，采用图形化的方式，解决 了人机之间交互的问题，体现在检测、防御、协调、管理等各个方面，并通过 技术整合，实现：“可视十可控+ 可管”，深入挖掘不同安全产品的内在相关性， 加强安全产品之间的优势互补，提高安全产品协同作战能力。 论文阐述了以协同入侵检测技术为核心的一种应用的发展趋势入侵检测 与管理平台，通过对入侵检测与管理平台的简要分析，总结了目前基于协同入 侵检测技术的应用存在的问题，并提出了相应的解决方法供探讨。 关键词：协同入侵检测，关联分析，响应协同，入侵检测与管理平台 武汉理 大学硕士学位论文 a b s t r a c t w i t ht h e d e v e l o p m e n to ft h e n e t w o r ka n da t t a c k t e c h n i q u e ，t h e t r a d i t i o n a l t e c h n i q u eo f i n t r u s i o nd e t e c t i o nh a sn o tb e e ns u f f i c i e n tf o rr e q u i r e m e n tw h e ni tf a c e d a l lk i n d so fl a r g e s c a l ea n d s y s t e m a t i c a l d i s t r i b u t e da t t a c k si nt h ec o n d i t i o no f s w e e p i n gn e t w o r ka n df l u x t h es h o r t c o m i n ge m e r g e ds u c ha sf a l s en e g a t i v e s ，f a l s e p o s i t i v e sa n d l a c ko f i n t e l l i g e n t i z e d r e s p o n s e ，e m b o d i m e n t i sa sf o l l o w s ： 1 1 a c k i n gs e c u r i t yo fs e l f ； 2 1 a c k i n ga b i l i t yo f d e t e c t i o nf o ran e w a t t a c k ； 3 1 a c k i n ga b i l i t yo f b e t w e e np e r s o na n dm a c h i n ee a c ho t h e r ； 4 1 a c ko f i n t e l l i g e n t i z e dr e s p o n s e ； 5 t h e p r o b l e m a b o u tf a l s en e g a t i v e sa n df a l s ep o s i t i v e s f o rs e t t l i n gt h e s eo ft h et r a d i t i o n a lt e c h n i q u eo fi n t r u s i o nd e t e c t i o n ，t h ea r t i c l e i n t r o d u c eam o d e lo f c i d s ( c o o p e r a t i v e i n t r u s i o nd e t e c t i o n s y s t e m ) a n d a c o m m e r c i a l a p p l i c a t i o n b a s e do ni t - i m s ( i n t r u s i o na n dm a n a g e r s y s t e m ) i t c a r l m a n a g es e c u r i t ye v e n t sa v a i l a b l yw h i l ed e a la n dr e s p o n di nt i m eb e c a u s ei tb a s e st h e n e wg e n e r a t i o nt e c h n i q u eo fi d sa n du s eg e n e r a lf l u xd e t e c t i o nt of i n da b n o r m i t y w h i l el i n k i n gg e o g r a p h yi n f o r m a t i o nt og ot ot h ea t t a c ke v e n t s ，a p p l y i n gr e l e v a n c y b e t w e e na t t a c ka n dl e a k ，t h e ni tc a ng i v ev e n t u r ea n a l y s i sb e t w e e ni n t r u s i o nm e n a c e a n df r a n g i b i l i t yo fa s s e t i nt h em a t e r i a lr e a l i z a t i o n ，t h ed i f f e r e n tf u n c t i o nr e l a t i v et o o p p o s i t em o d u l e d i f f e r e n tp a r t sc a nw o r k a l la l o n ea n dc o o p e r a t i v e l y ，a n dt h e yc a i l b em a n a g e do nt h es a m es y s t e m t h r o u g h a l lm o d u l e sg a t h e ra n da n a l y z ed a t ac o o p e r a t i v e l y ，t h ep r o b l e mo ff a l s e n e g a t i v e sc a nb es o l v e du l t i m a t e l y ；i nt h e c o n d i t i o no ft0 0 0 mf l u x ，t h r o u g hd a t a p r o c e s s i n ga d o p ts i d e b y s i d e a n dm o r et h r e a d g r o u p s ，t h ep r o b l e m o ff a l s e p o s i t i v e s c a nb es o l v e d u l t i m a t e l y ；o n t h eb a s i so ft h o s e ，t h e p r o b l e m o f i n t e l l i g e n t i z e dr e s p o n s e c a nb es o l v e d t h r o u g hr e s p o n d i n gt o g e t h e r t oi n t e r d i c t r e a s o n a b l e ；a tl a s t t h ep r o b l e mo fl a c k i n ga b i l i t yo fb e t w e e np e r s o na n dm a c h i n e 武汉理工大学硕士学位论文 e a c ho t h e rc a nb es o l v e dt h r o u g ha l lp a r t sc a i lb em a n a g e d0 1 1t h es a m es y s t e mb y g r a p h i c a li n t e r f a c e s i ti n c a r n a t e sd e t e c t i o n 、r e c o v e r y 、h a r m o n y 、m a n a g ea n d s oo n ， w h i c hi n c a r n a t e sv i d e o t e x t ，c o n t r o l l a b l ea n da d m i n i s t r a b l et h r o u g ha r tc o n f o n n i t y t h ea r t i c l ee x p a t i a t eo nat i d ef o ra p p l i c a t i o n 一1 m s ，w h i c hb a s e do nt h et e c h n i q u e o fc i d st h r o u g ha n a l y z i n gt h ei m s ，w es u m m a r i z es o m ep r o b l e m sb a s e do nt h e t e c h n i q u e o fc i d sf o r a p p l i c a t i o n a n d p u t f o r w a r dt h er e l e v a n tr e s o l v e n t sf o r d i s c u s s i n g ， k e y w o r d s ：c i d s ( c 0 0 p e r a t i v e i n t r u s i o nd e t e c t i o n s y s t e m ) ，r e l e v a n c ya n a l y z e c o o p e r a t i v er e s p o n s e ，1 m s ( i n t r u s i o n a n dm a n a g e r s y s t e m ) i i i 武汉理 大学硕士学位论文 第1 章引言 自从计算机问世以来，安全问题就一直存在。特别是随着i n t e r n e t 的迅速 扩张和电子商务的兴起，人们发现保护资源和数据的安全，让他免受来自恶意 入侵者的威胁是件相当困难的事。提到网络安全，很多人首先想到的是防火墙， 防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络 的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外，但不能检 查出经过他的合法流量中是否包含着恶意的入侵代码。在这种需求背景下，入 侵检测系统( i d s ) 应运而生。 入侵检测系统是将电子数据处理、安全审计、模式匹配及统计技术等有机 地融合在一起，通过分析被检测系统的审计数据或直接从网络捕获数据，发现 违背安全策略或危及系统安全的行为和活动。然而，随着网络的发展，数字 化攻击的问题越来越严峻，数字化攻击给全球经济造成的损失也是越来越巨大。 黑客、计算机病毒是威胁网络安全、给全球经济和企业造成损失的元凶。更为 严重的是，随着网络的普及以及人们社会经济生活对网络依赖性的增加和网络 作为信息载体地位的提高，使得网络安全的问题在本质上已经成为一个没有硝 烟的战场。国内外有关计算机系统和网络遭受攻击的事件也屡见不鲜，引起了 人们对网络安全监控和入侵检测( i d s ) 的格外重视，检测、跟踪和防范大规模 的破坏活动，特别是针对网络基础设施的攻击行为，保证网络的可用性，是大型 计算机互连网络安全非常重要的环节。 作为传统的信息安全技术之一，入侵检测技术在构建动态的网络安全防护 体系中处于核心地位。这种以入侵检测为核心建立的实时检测入侵行为、实时 调整防护策略、实时保障系统安全的动态防护体系，体现着入侵检测的重要价 值，对它的研究，在学术和经济方面都有很大的现实意义。 1 1 课题的来源、目的及意义 本课题来源于当前入侵检测技术的的发展以及商业化应用的研究。本文的 武汉理1 犬学硕士学位论文 主要研究内容是基于协同入侵检测技术的商业化应用入侵检测与管理系统的 研究，以及通过该系统建立一个以入侵检测为核心的动态的网络安全防护平台。 该系统解决了入侵检测系统面对大规模的、有组织的各种分布式的攻击行为时 的一些缺陷。 随着网络在现代社会中发挥愈来愈重要的作用，利用计算机网络犯罪也呈 现出明显的上升趋势。如何建立安全而又健壮的网络系统，保证重要信息的安 全性，已经成为研究的焦点。网络安全的本质是保护核心资产完整性、将可能 发生的损失减到最小，投资回报率最大化，确保业务的连续运行。传统的静态 的安全防护措施都是从被动防御的角度来构建的，主要集中在系统自身的加固 和防护上“。但是随着网络信息技术的发展，这种方式己经不能完全适应当前的 技术需要，因为这种基于静态的系统安全模型和安全标准无法彻底解决呈动态 分布而又发展迅速的i n t e r n e t 安全问题。这就需要建立一个以安全策略为核一心， 在综合运用防护工具( 如防火墙、身份认证、加密等手段) 的同时，利用检测工 具( 如漏洞检测工具、入侵检测系统等) 了解和评估系统的安全状态。通过一一致 性检查、流量统计、异常分析、模式匹配以及基于目标主机、网络、应用的入 侵检测等方法进行安全漏洞检测，并对系统异常状态作出快速响应，将系统调 整到“最安全”和“风险最低”的状态。整个系统的安全策略是动态调整的， 从而使系统从静态防护转化为动态防护，而动态的调整都是建立在入侵检测的 结果基础之上进行。 解决上述问题，如何最大限度的发挥入侵检测的作用，使网络真正处于动 态的防护体系中的研究有着重要的现实意义。协同入侵检测技术的应用，建立 一个以入侵检测系统为核心的入侵检测与管理平台，使网络安全动态防护得以 实现。 1 2 入侵检测技术的国内外研究现状 1 2 。1 入侵检测的研究现状 入侵检测的研究最早可追溯到1 9 8 0 年，j a m e sa d e r s o n 首先提出了入侵检 测的概念；1 9 8 7 年o o r o t h yed e n n i n g 提出一个通用的入侵检测系统模型， 为构建入侵监测系统提供了一个通用的框架。d e n n i n g 模型的最大缺点在于它没 武汉理工大学硕士学位论文 有包含已知系统漏洞或攻击方法的知识，而这些知识在许多情况下是非常有用 的信息”1 。早期的i d s 系统都是基于主机的系统，而目前入侵检测的研究重点是 基于网络的系统。1 9 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d 建议使用自治代卫1 1 ( a i 】t o n o m o u sa g e n t s ) 以便提高i d s 的可伸缩性、可维护性、效率和容错性， 1 9 9 6 年提出的g r i d s ( g r a p h b a s e di n t r u s i o hd e t e c t i o ns y s t e m ) 系统，该系 统对大规模自动或协同攻击的检测很有效，这种跨越多个管理区域的自动协同 攻击显然是入侵行为发展的方向”。 1 9 9 7 年，c i s c o 要求w h e e l g r o u p 公司将入侵检测与他的路由器结合。同年， i s s 成功开发了r e a l s e c u r e ，他是在w i n d o w sn t 下运行的分布式网络入侵检测 系统，被人们广泛使用。1 9 9 6 年的第一次开发是传统的基于探测器的n i d s ( 网 络入侵检测系统，监视整个网络段) ，在w i n d o w s 和s o l a r i s2 6 上运行。1 9 9 8 年后期，r e a s e c u r e 发展成为一个混合式的入侵检测系统。他对入侵行为具有 。泛的反应能力包括断开连接、发送s n m p 信息、e m a i l 提醒、运行客户程序记 录会话内容等，并能根据检测策略自动产生审计策略。近年来的技术创新还有： f o r r e s t 将免疫原理运用到分布式入侵检测中。；1 9 9 8 年r o s sa n d e r s o n 和 a b i d a k h a t t k 将信息检索技术引入这个领域。 2 0 0 2 年，针对i d s 响应方式的被动性，基于入侵检测和防火墙协同响应的 技术得到应用。然而，由于i d s 居高不下的误报率和漏报率、海量信息难以分 析以及在对入侵行为的响应的延迟，在同年又出现了一种新技术：入侵防御系 统( i p s ) 。i p s 可以进行主动防御，但目前所采用的技术还是模式匹配、异常 检测等i d s 的老技术，并没有解决i d s 的漏报、误报以及海量信息处理的问题， 对于串接在网络中的i p s 来说，分析得越清晰准确，计算复杂度越高，传输延 迟就会大大增加，反而因为在线安装增加了性能瓶颈等新问题。在i p s 的推动 下， d s 的技术向着协同方向发展。 在入侵检测算法方面，主要研究如何同时应用多种检测算法以相互弥补各 算法自身的不足，如基于神经网络的入侵检测方法更好地表达了变量间的非线 性关系，不依赖于任何有关数据种类的统计假设，能较好地处理噪声数据：并且 能自动学习和更新，但这种方法存在这样一些弱点：网络的拓扑结构和每个元素 分配权重较难以确定，其输出准确性往往依赖于最近输入执行的命令序列集合 的大小：如果设置太低，则工作就差：如果设置太高，网络则将忍受无关的数据； 基于实时数据挖掘异常检测方法，通过分析大量实体数据来建立入侵检测模蕾! 武汉理工大学硕士学位论文 并进行检测，其从海量数据中提取出感兴趣的知识，这些知识往往是隐含的、 事先未知的、而潜在有用信息，提取的知识表示为概念、规则、规律、模式等 形式，并用这些知识去检测异常入侵和己知的入侵，这种方法的优点在于适应 处理大量数据情况，但是，对于实时入侵检测则还存在问题，需要开发出有效 的数据挖掘算法和相适应的体系；基于专家系统误用入侵检测方法的局限性在 于专家系统的建立依赖于知识库的完备性，因为作为这类系统基础的推理规则 一般都是根据已知的安全漏洞策划的，而对系统最危险的威胁则主要来自来知 的安全漏洞。但在大型网络系统中，建立完备的知识库几乎是不可能的，且专 家系统往往是不可移植的。另外，其不能很好处理不确定性。因此，较适用的 方法是将专家系统与采用软计算方法技术的入侵检测系统结合在一起，构成一 个以已知的入侵规则为基础，可扩展的、自适应的动态入侵检测系统。如何在 入侵检测的算法方面取得突破，也是未来制约入侵检测技术发展的重要一面。 我国入侵检测技术的研究起步较晚，但发展很快，目前已和国际接轨。入 侵检测技术目前的研究发展方向是建立以入侵检测为核心的动态安全防护平 台，这是基于协同入侵检测技术的应用。作为一个技术体系，该平台尚不完善 在海量的数据协同分析依赖于算法的改进或者一种新的算法的出现，从丽使入 侵检测技术更加完善。 1 2 2 入侵检测技术的应用以及存在的主要问题 从技术应用分，入侵检测已经发展到第四代，入侵检测技术发展到现在大 致经历了四个阶段”。： 第一代入侵检测技术是基于协议解码和模式匹配技术，它的主要缺点是， 高超的黑客采用变形手法或者新技术可以轻易躲避检测，漏报率很高。 第二代入侵检测技术是基于模式匹配+ 简单协议分析+ 异常统计技术，实际 上是在第一代的基础上增加了部分对异常行为的分析，能够分析处理一部分协 议，可以进行重组，缺点是匹配效率较低，管理功能较弱。 笫三代入侵检测技术是基于完全协议分析+ 模式匹配+ 异常统计技术，它的 优点是误报率、漏报率较低，效率高，可管理性强，并在此基础上实现了多级 分布式的检测管理，缺点是可视化程度不够，防范及管理功能较弱，也就是说， 高端的产品可能因功能、操作等方面的不便而被束之高阁。 第四代入侵检测技术是基于安全管理+ 协议分析+ 模式匹配+ 异常统计，它的 武汉理工人学硕士学位论文 优点是入侵管理和多项技术协同工作，建立全局的主动保障体系，以它为核心， 可以构造一个积极的动态防御体系。 从网络技术和攻击技术的飞速发展来看，在巨大的网络规模及流量环境下， 面对大规模的、有组织的各种分布式的攻击行为，传统的入侵检测技术在应用 中暴露山了很多问题，成为动态防护的瓶颈： 1实时性的缺乏； 2 自身安全性的缺乏： 3对新攻击检测能力的缺乏； 4 人机交互能力的缺乏； 5响应的智能化问题； 6 误报、漏报问题： 其中从应用的角度来说，最严重的问题就是人机交互能力的缺乏和响应缺 乏智能化。人机交互能力的缺乏使入侵检测系统的应用门槛变高，应用也不方 便；响应缺乏智能化导致入侵检测系统的应用面变窄。 1 3 入侵检测的主要应用领域 随着互联网的迅速发展，信息资源得到最大程度的共享。但必须看到，紧 随信息化发展而来的网络安全问题日渐凸出，目前，我国计算机系统遭受病毒 感染和破坏的情况相当严重。电脑黑客活动已形成重要威胁。在信息化时代， 我国的政治安全、军事安全和经济安全越来越依赖网络和信息的安全运行。作 为网络安全的防护手段之一，入侵检测系统在安全防护体系中的核心地位，使 入侵检测的应用领域十分广泛，涉密领域和非涉密领域都离不开入侵检测。 以下几个典型的入侵检测应用领域”。： 1 电子政务 在电子政务系统中，政府机关的公文往来、资料存储、服务提供都以电子 化的形式来实现，但在提高办公效率、扩大政府服务内容的同时，也为某些居 心不良者提供了通过技术手段窃取重要信息的可能。此外，电子政务系统是基 于互联网平台的，从技术角度来说，互联网是存在许多不安全因素的全球性网 络，打击跨国网络犯罪难度很大。因此，电子政务建设中的网络安全问题尤为 重要，主要是通过各种技术手段实现技术层次的安全保护，主要技术包括主机 武汉理工大学硕士学位论文 监控、网络璐控、身份验证、数字签名、访问控制、攻击监测、审计跟踪等。 2 电子商务 电子商务促进了互联网与人们的经济活动紧密结合，充分发挥互联网的效 用，同时也给互联网带来丰富效益。就中国目前的状况而言，电子商务不仅由 于经济本身的原因，也由于人们的担心和忧虑，还远没有深入人们的生活。如 何保障网上交易的安全，积极主动的采取防护措施，构建安全的电子商务平台， 也需要入侵检测的实时监测，对恶意行为及时响应，充分保障交易双方的利益。 3 军事领域 军事专用网由于其特殊性，对信息的保密性要求很高，因此必须构建安全 的网络系统。入侵检测作为实现的技术手段之，被广泛的应用于该领域。 4 金融领域 随着网络交易和电子银行的应用普及，金融领域的网络安全日益突出。从 国内情况来看，目前我国9 5 与互联网相联的网络管理中心都遭受过境内外黑客 的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。金融领域网络 安全的重要意义不言而喻，同样也需要入侵检测的协同检测和协同响应。 1 4 本论文的主要研究工作和组织结构 1 4 1 主要研究工作 1 当前入侵检测技术的发展； 2 目前入侵检测面临的问题； 3 西同入侵检测技术的研究； 4 针对当前入侵检测面临的问题，提出了入侵检测与管理系统。 1 , 4 2 论文组织结构 论文阐述了以协同入侵检测技术为核心的一种应用发展趋势一入侵检测与 管理平台，通过对该平台的分析，总结了目前基于协同入侵检测技术应用存在 的问题及解决办法。 本论文分为六部分，其中： 第一章主要叙述了本研究的背景和意义、国内外关于入侵检测技术的研究 武汉理工大学硕士学位论文 现状，同时介绍了入侵检测的主要应用领域；并对本沧文的主要研究工作和论 文组织结构进行了说明。 第二章对入侵检测系统做了一个系统的综述，包括入侵检测的定义，作用， 分类以及发展历史；并对传统的入侵检测技术做了概括，通过对一些入侵行为 的分析，总结了当前入侵检测存在的一些技术方面的问题。 第i 章是针对以上提出的问题，从技术的角度提供了一种解决该问题的思 想协同入侵检测( c i d s ) ；并从数据采集协同、数据分析协同、响应协同和管 理协同四个层面上讨论了协同入侵检测的具体涵盖内容。 第四章具体研究了基于协同入侵检测思想的应用一入侵检测与管理系统 ( j m s ) 。 第五章是对全文的工作进行了总结并给出了对未来工作的展望。 武汉理工大学硕士学位论文 第2 章入侵检测技术研究 随着互联网的迅速发展，信息资源得到最大程度的共享的同时，网络安全 问题二i 渐凸出，作为有效的网络安全防护手段，入侵检测己不能很好的满足当 前的应用需要。本文在对攻击分析的基础上，研究了入侵检测所面临的一些问 题及解决办法，阐述了以协同入侵检测技术为核心的种应用一入侵检测与管理 平台，通过对该平台的分析，总结了目前基于协同入侵检测技术应用存在的问 题及解决办法。 2 1 入侵检测系统概述 2 1 1 入侵检测的定义 入侵检测就是对指向计算机和网络资源的恶意行为的识别和响应的过程 。i c s a ( i c s a 实验室是t r u s e c u r e 公司的一个独立部门，提供独立的安全产 品测试和认证) 入侵检测系统论坛对入侵检测的定义：为通过从计算机网络或 计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中 是否有违反安全策略的行为和遭受袭击的迹象的一种安全技术。从以上2 种定 义中可以看出：入侵检测注重的是对入侵行为的识别，其次是响应。 2 1 2 入侵检测的分类 入侵检测一般要经过数据收集与归纳、行为的分析与分类、报告与响应等 过程。按照数据来源、分析方法和工作模式的不同，目前的入侵检测系统主要 有3 种分类方法。 2 1 2 1 根据采用的技术分为如下两种检测：“ 1 异常检测( a n o m a l yd e t e c t i o n ) ： 异常检测假定：用户行为表现为可预测的、一致的系统使用模式，而入侵者 活动异常于正常用户的活动。根据这一理念建立用户正常活动的“行为模型”。 武汉理工大学硕士学位论文 进行检测时，将使用者的行为或资源使用状况与“行为模型”相比较，从而判 断该活动是否是入侵行为。例如事先定义一组系统“j 下常”情况的阐值，如c p u 利用率、内存利用率、特定类型的网络连接数、访问文件或目录次数、不成功 注册次数等( 这类数据可以人为定义，也可以通过观察系统、并用统计的办法得 出) ，然后将系统运行时的数值与所定义的“正常隋况比较，得出是否有被攻 击的迹象。异常检测与系统相对无关，通用性较强，它甚至有可能检测出以前 未出现过的攻击方法。异常检测的关键在于如何建立“行为模型”以及如何设 计检测算法来降低过高的误检率和漏检率，因为不可能对整个系统内的所有用 户行为进行全面的描述，况且每个用户的行为是经常改变的，尤其在用户数目 众多，或工作目的经常改变的环境中。 2 误用检测( m i s u s i n gd e t e c t i o n ) ： 也称特征( s i g n a t u r e ) 检测，这一检测假设入侵者活动可以用某种模式特征 来表示，系统的目标是检测主体活动是否符合这种模式特征。该方法的一大优 点是只需收集相关的数据集合并依据具体特征库进行判断，显著减少了系统负 担，且技术已相当成熟。它与病毒防火墙采用的方法类似，检测准确率和效率 都相当高。但是，该方法存在的弱点在于与具体系统依赖性太强，系统移植性 不好，且不能检测到从未出现过的黑客攻击手段，需要不断的升级以对付新出 现的入侵手段。 2 1 2 2 按系统所检测的对象分为如下三种检测 12 1 基于主机的入侵检测系统( h i d s ) ： 早期基于主机的入侵检测是通过监视与分析主机的审计记录来检测入侵。 这些系统的实现也不全在目标主机上，例如使用网络将主机的信息传送到中央 分析单元。基于主机的入侵检测系统在发展过程中也融入了其它技术，如通过 定期检查对关键系统文件和可执行文件以便发现意外的变化。另外还将基于网 络的入侵检测的方法融入到基于主机的检测环境中，如监听并记录特定端口的 活动等。 基于主机的入侵检测系统具有如下的优点： ( 1 ) 可监视特定的系统活动由于基于主机的i d s 使用含有已发生事件信 息，能够检测到基于网络的i d s 检测不出的攻击，如监视用户访问文件的活动， 包括文件访问、主要系统文件和可执行文件的改变、试图建立新的可执行文件 武汉理工大学硕士学位论文 或者试图访问特殊的设备：还可监视通常只有管理员才能实施的非正常行为，包 括用，r 帐号的添加、删除、更改的情况等。 ( 2 ) 适用于加密的及交换的环境交换设备可将大型网络分成许多的小型 网段加以管理。基于主机的i d s 可安装在所需检测的重要主机上，在交换的环 境中具有更高的能见度。而且，基于主机的i d s 也能适应加密的环境。 ( 3 ) 对网络流量不敏感基于主机的i d s 只检测和分析与本地主机相关的 通信，一般不会因为网络流量的增加而丢掉对网络行为的监视。 ( 4 ) 不要求额外的硬件设备基于主机的i d s 存在于现行网络系统结构之 中，包括文件服务器，w e b 服务器及其它共享资源。它们不需要在网络上另外安 装、维护及管理硬件设备。 2 基于网络的入侵检测系统( n i d s ) ： 基于网络的入侵检测系统在共享网段上对通过网络的所有通信业务数据进 行侦听，采集原始网络包作为数据源并分析可疑现象。由于这类系统并不需要 主机提供严格的审计，因而对主机资源消耗少，并且由于网络协议是标准的， 它可以提供对网络通用的保护而无需顾及异构主机不同架构。 基于网络的入侵检测系统具有如下的优点： ( 1 ) 可检测低层协议的攻击基于网络的i d s 检查所有数据包的头部和有 效负载的内容从而能很好地检测出利用低层网络协议进行的攻击。 ( 2 ) 攻击者不易转移证据一一基于网络的i d s 使用正在发生的网络通讯数 据进行检测，所以攻击者无法转移证据。被捕获的数据不仅包括的攻击的方法， 而且还包括可识别黑客身份的信息，甚至能检测未成功的攻击和不良意图。 ( 3 ) 实时检测和响应一基于网络i d s 检测速度快，可以在恶意及可疑的攻 击发生的同时将其检测出来，并做出更快的通知和响应。 ( 4 ) 可靠性好基于网络的i d s 不运行其它的应用程序，不提供网络服务， 可以不响应其它计算机，不会因为目标系统崩溃而停止检测。因此可以做得比 较隐蔽和安全。 ( 5 ) 操作系统无关性，不占用被检测系统的资源一基于网络的i o s 主要检 测所捕获的网络通信数据，与被检测主机的操作系统和其运行状态无关，并且 不占用被检测系统的资源。 武汉理t 入学硕士学位论文 但是，基于网终的入侵检测系统也有如下一些明显的弱点： ( 1 ) 容易受到拒绝服务攻击 因为n i d s 要检测所捕获的网络通讯数据并维持许多网络事件的状态信息， 很容易受到拒绝服务攻击。例如，入侵者可以发送许多到不同结点的数据包分 段，使n i d s 忙于组装数据包而耗尽其资源或降低其处理速度。平均情况下个 帧的大小约有1 8 0 字节，在1 0 0 l b p s 的以太网上，能以5 0 0 0 0 个数据报秒的 速率传输。大多数的i d s 系统能在每数据报1 5 0 0 字节的情况下处l o o m b p s 的流 量，却很少有能在每数据报6 0 字节的情况下处理l o o m b p s 的流量的。这就意味 着如果它们不能跟上高速的网络流量，就必须开始丢弃数据包，甚至完全瘫痪。 因此n i d s 本身要精简高效，除了在编程时加强对代码的分析与测试工作，确保 在内存及其它资源的使用方面没有潜在的问题外，在处理所捕获的网络原始数 据时必须具有细致完整性检查和周全的出错处理机制，保证不会在处理一些恶 意的及非正常信息包时发生意外的错误。 ( 2 ) 不适合于交换式网络 交换式网络对n i d s 将会造成问题，因为，连到交换式网络上的n i d s 只能 看到发送给自己的数据包，因而无法检测网络入侵行为。目前，n i d s 常采用交 换机上的端口镜像( s p a np o r t ) 或分接器( t a p ) 将n i d s 接在所要检测的网络上。 ( 3 ) 不适合于加密环境 为了进行安全通信需要对数据进行加密。因此非通信主体双方的n i d s 对所 捕获的网络数据无法解密，也就失去了入侵检测的功能。 3 基于i p 网关( 路由器) 的入侵检测系统： 目前的信息基础设施主要依赖于路由器等设备来互连，对这些信息基础设 旅的攻击，特别是拒绝服务攻击是将会使局部甚至整个信息基础设施无法使用， 基于网关的入侵检测系统就是通过对路由器中相关信息的提取，从而提供对整 个信息基础设施的保护。 2 1 2 3 根据工作方式可以分为如下两种检测“： 1 实时入侵检测( 在线式) ： 对网络数据包或主机的审计数据等进行实时分析，可以快速反应，保护系 统的安全。但在系统规模较大时，难以保证实时性。 武汉理工火学硕士学位论文 2 事后入侵检测( 离线式) ： 通过事后分析审计事件和文件等，从中检测入侵事件。这口j 以分析人量事 件，调查长期的情况，有利于其它方法建立模型。但由于是在事后进行，不能 对系统提供及时的保护。而且很多入侵在完成后都将审计事件去掉，无法进行 分析。 2 1 2 4 入侵检测系统的评价 一个好的入侵检测系统应该具有以下特点。： 1 有效性、准确性：有效性是所有需求中最重要的一个。入侵检测系统必 须能够准确地、持续地检测到入侵行为和其它感兴趣的预定义的使用模式，且 对于入侵事件的错报与漏报能够控制在一定范围内。 2 实时性：入侵检测系统必须具有时效性，即能够实时地执行对目标环境 的监测任务。如果入侵行为或者入侵企图能够尽快的被发现，这就使得有可能 对入侵者进行追踪，阻止其进一步的入侵活动，把破坏控制在最4 , 1 j e 度，并能 够记录下入侵过程的全部活动。 3 可扩展性：因为存在成千上万种不同的已知和未知的入侵手段，它们的 入侵行为特征也各不相同。所以必须建立一种机制，把入侵检测系统的体系结 构与使用策略区分开。一个己经建立的入侵检测系统必须能够保证在新的攻击 类型出现时，可以通过某种机制在无需对入侵检测系统本身进行改动的情况下， 使系统能够检测到新的入侵行为。并且在入侵检测系统的整体功能设计上，也 必须建立一种可以扩展的结构以适应未来可能出现的要求。 4 适应性：入侵检测系统必须能够适用于多种不同的环境，比如高速大容 量计算机网络环境，并且在系统环境发生改变，比如增加环境中的计算机系统 数量，改变计算机系统类型时，入侵检测系统应当依然能够正常工作。适应性 也包括入侵检测系统本身对其宿主平台的适应性，即：跨平台工作的能力，适应 其宿主平台软、硬件配置的各种不同情况。另外还应该能适应客户的不同策略。 a ) 安全性：入侵检测系统必须尽可能的完善与健壮，能够自动地适应更好的 安全实现的设置和模式。不能向其宿主计算机系统以及其所属的计算机环境中 引入新的安全问题及安全隐患。 b ) 可靠性：入侵检测系统应该具有一定容错性，即能够在允许一定的冗余和 武汉理工人学硕上学位论文 错误的情况下可靠地运行，可以容忍入侵( j n t r u s i o n t 0 1 e r a l c e ) 。同f 寸，入侵 检洲系统还应具有完善的自身防护手段。 c ) 高效性：入侵检测系统应该能够优化使用计算资源、存储资源，通信带宽 资源等，提高检测系统自身的性能，以使它对其所监测的目标环境的影响最小。 d ) 易使用性：便于用户使用也是很重要的。一个设计良好的工具应该能够使 得非安全专家可以可靠地执行安全任务。 2 1 3 入侵检测的作用 入侵检测系统具有以下功能( 包括基于主机和基于网络的入侵检测系统) ： 1 监视分析用户和系统的行为； 2 审计系统配置和漏洞； 3 评估敏感系统和数据的完整性； 4 识别攻击行为； 5 对异常行为进行统计； 6 自动收集和系统相关的补丁； 7 进行审计跟踪，识别违反安全法规的行为； 8 安装诱骗服务器，记录非法入侵行为。 2 1 4 入侵检测的发展 入侵检测的雏形 入侵检测的研究最早可追溯到1 9 8 0 年，j a m e sa d e r s o n 首先提出了入侵检 测的概念，将入侵尝试( i n t r u s i o na t t e m p t ) 或威胁( t h r e a t ) 定义为：未经授权 蓄意尝试访问信息、篡改信息、致使系统不可靠或无法使用的企图。h e a d y 给出 另外的入侵定义：入侵是指有关试图破坏资源的完整性、机密性及可用性的活 动。1 9 8 7 年d o r o t h yed e n n i n g 提出一个通用的入侵检测系统模型( 如图2 1 所 示) ，首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出。该 模型基于这样的假设：计算机的入侵行为可以通过检查系统的审计记录等，从中 辨识异常使用系统的入侵行为。 武汉理工大学硕士学位论文 图2 1 通用入侵检测系统模型 d e n n i n g 的模型假设：入侵行为明显的区别于正常的活动，入侵者使用系统 的模式不同于正常用户的使用模式，通过监控系统的跟踪记录，可以识别入侵 者异常使用系统的模式，从而检测出入侵者违反系统安全性的情况。该模型由 以下6 个主要部分构成： 1 丰体( s u b j e c t ) ：指系统酒动中的主动发起者，如操作系统的进程、网络 的连接等： 2 对象( o b j e c t ) ：指系统所管理的资源，如文件、设备、命令等： 3 审计记录( a u d i tr e c o r d ) ：指主体对对象的实施操作时所产生的数据，如 用j 注册、命令执行和文件访问等。 4 活动轮廓( a c t i v i t yp r o f i l e ) ：指用以刻划主体对对象的活动的有关信 息，具体实现依赖于检测方法，例如在统计方法中从事件数量、频度、资源消 耗等方面度量： 5 异常记录( a n o m a l yr e c o r d ) ：用以表示发生异常事件的情况： 6 活动规则( r u l es e t s ) ：规则集是检查入侵是否发生的处理引擎，结合活 动轮廓用专家系统或概率统计等检测方法对审计记录进行分析，并调整内部规 则或统计信息等。 范型( p r o f i l e s ) 表示主体的行为特色，也是模型检测方面的关键。行为 规则描述系统验证一定条件后抽取的行为，他们能“更新范型，检测异常 行为，能把异常和可能的入侵关联起来并提出报告”。审计纪录由一个行为触 发，而且电录主体尝试的行为、行为本身、行动对准的目标、任何可能导致例 外的情况以及行为消耗的资源和独特的时间戳标记。审计记录会和范型进行比 武汉理 大学硕士学位论文 较( 使用适当的规则) ，那些符合异常条件的事件将被识别出来。这个模型独 立于特定的系统平台、应用环境、系统弱点以及入侵的类型，也不需要额外的 关于安全机制、系统脆弱性或漏洞攻击方面的知识，为构建入侵监测系统提供 了一个通用的框架。 d e e e in g 模型的最大缺点在于它没有包含已知系统漏洞或攻击方法的知识， 而这些知识在许多情况下是非常有用的信息。 早期的i d s 系统都是基于主机的系统，也就是说通过监视与分析主机的审 计记录检测入侵。1 9 8 8 年，t e r e s al u n t 等人进一步改进了d e n n i n g 提出的入 侵检测模型，并创建了i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) ，该系统用 于检测单一主机的入侵尝试，提出了与系统平台无关的实时检测思想，1 9 9 5 年 开发了i d e s 完善后的版本n i d e s ( n e x t g e n e r a t i o n i n t r u s i o nd e t e c t i o n e x p e r ts y s t e m ) ，其可以检测多个主机上的入侵。该系统包括一个异常检测器 和一个专家系统，分别用于异常模型的建立和基于规则的特征分析检测。系统 的框架如图2 2 所示。 图2 2i d s 的框架 入侵检测的发展中期 8 0 年代末，一些其他值得注意的系统开发出来，大部分走的是将统计学理 论和专家系统结合在一起的路子。有几个系统，特别是在h a y s t a c k 和n a d i r 中， 分析引擎把几个商业数据库管理系统( 比如o r a c l e ，s y b a s e ) 聚合在一起，发 挥他们各自的优势。 m i d a s 由美国国家安全局下属的计算机安全中心开发，用来监控他的 m u lt i c s 系统- - d o c km a s t e r 。他使用混合的专家系统和统计学分析方法，以及 来自m u i t i c s 应答系统( a n s w e r i n gs y s t e m ) 的已检查的审