（系统分析与集成专业论文）分布式入侵检测系统的研究与设计.pdf

中文摘要 随着网络环境的不断复杂、各种网络攻击的频繁发生，网络安全问题越来 越受到人们的关注。传统的网络安全技术是以防护为主，即采用以防火墙为主 的安全防护措施。但是防火墙作为一种被动的防御技术具有一定的局限性，比 如对内部的非法操作无能为力等等。入侵检测是一种主动的保护技术，是目前 网络安全的核心技术之一，它通过从计算机网络或计算机系统中的若干关键点 收集信息并对其进行分析，来发现网络或系统中是否有违反安全策略的行为和 遭到攻击的迹象。其中的分布式入侵检测系统能进一步解决当前网络中存在的 安全问题，已经日益成为学术界研究的热点。 本论文从当前的网络安全现状入手，对入侵检测的概念、发展历史、分类 以及通用入侵检测模型进行了分析。然后介绍了现有的两种分布式入侵检测系 统模型：a a f i d 和e m e r a l d 。本文综合协作化结构和层次化结构提出了分 布式入侵检测系统的结构，解决了单点失效以及信息量过大的问题。重点分析 了网络探测代理部分的实现问题，从数据包的捕获、协议分析、规则链表的生 成以及规则匹配等方面进行了阐述。其中实现了利用w i n p c a p 进行数据包捕获 的算法，改进了b o y e r 。m o o r e h o r s p o o l 算法进行规则匹配，最后在w i n d o w sx p 平台下构造了基于规则的网络探测代理，其中使用s n o r t 规则集，并且实现了 a c i d 分析图形化输出。本文选用的是m y s q l 数据库。另外本文还使用 v c + + 6 0 设计了网络探测代理的用户界面，方便用户配置和掌握系统的安全 情况。 最后，本论文在对所做研究工作的基础上进行了总结，并提出了下一步的 研究内容。 关键字：分布式入侵检测，数据捕获，模式匹配，s n o r t ，探测代理 a b s t r a c t w i t ht h ec o n s t a n tc o m p l i c a t i o no fn e t w o r ke n v i r o n m e n ta n df r e q u e n to c c u r r e n c e o fn e t w o r ka t t a c k s m o r ea n dm o r ea t t e n t i o nh a sb e e np a i dt on e t w o r ks e c u r i t y t h e t r a d i t i o n a ln e t w o r ks e c u r i t yt e c h n o l o g yi sp r i m a r i l yo nd e f e n s e f o re x a m p l e ， f i r e w a l li su s e da st h ep r i n c i p a lp a r to fs e c u r i t yp r o t e c t i v em e a s u r e s h o w e v e r , t h e f i r e w a l li sap a s s i v ed e t e c t i o nt e c h n o l o g ya n dh a ss o m el i m i t a t i o n s f o ri n s t a n c e ，i ti s p o w e r l e s sf o rt h ei n t e r n a li l l e g a lo p e r a t i o n s ot h ep r o t e c t i n gt e c h n o l o g yt h a tb a s e s o ni n v a s i o nd e t e c t i o nr e c e i v e sm o r ea t t e n t i o n s i n v a s i o nd e t e c t i o nt e c h n o l o g yi so n e o ft h ec o r et e c h n o l o g i e so fn e t w o r ks e c u r i t y i tc a nd i s c o v e rt h r o u g ht h ea n a l y s i so f i n f o r m a t i o nc o l l e c t e df r o mn e t w o r ka n dc o m p u t e rs y s t e m 。i tc a nd i s c o v e rw h e t h e r t h e r ei sb e h a v i o rt h a tv i o l a t e st h es e c u r i t ys t r a t e g ya n da t t a c k e ds i g n s i tc o l l e c t s i n f o r m a t i o nf r o mm a c h i n e st h a ts e ti ns o m ek e yp o i n t so f 也en e t w o r k r e s e a r c ho n d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e mc a nf u r t h e rr e s o l v et h ec u r r e n tn e t w o r k s e c u r i t yi s s u e s a n dd i d sw i l lt a k eo nm o r ei m p o r t a n tt a s k si nn e t w o r ka n a l y s i sa n d t e s t i n g ，a n di tg r a d u a l l yb e c o m e st h er e s e a r c hh o t s p o t f i r s t l y , t h ec u r r e n tn e t w o r ks e c u r i t ys i t u a t i o ni si n t r o d u c e d a n dt h e nc o n c e p t s c o n c e r n i n gi n t r u s i o nd e t e c t i o n ，i t sd e v e l o p m e n t ，i t sc l a s s i f i c a t i o na n dc o m m o n i n t r u s i o nd e t e c t i o ns y s t e m ，a r ed i s c u s s e d t h e nt w ok i n d so fd i s t r i b u t e di n t r u s i o n d e t e c t i o ns y s t e m s ，t h a ta r ea a f i da n de m e r a l d ，a r ed i s c u s s e d ，n l ef r a m e c o l l i g a t i n gh i b e r a r c h ya n dc o o p e r a t i n gf r a m e ，w h i c hs o l v e st h eb o t t l e n e c kp r o b l e m a n dt h ep r o b l e mt h a to n es p o ti sd i s a b l e d ，i sa d v a n c e di nt h i sp a p e r t h ei m p o r t a n t p a r ti sh o wn e t w o r kd e t e c t i o na g e n tc o m e st r u e i ti sd i s c u s s e dt h r o u g hd a t ac a p t u r e ， p r o t o c o la n a l y s i sa n dr u l em a t c h i n g a r i t h m e t i co fw i n p c a pi su s e d ，a n dt h e a r i t h m e t i cw h i c hi sb e t t e rt h a nb o y e r - m o o r e h o r s p o o li sa l s ou s e d a n dt h en e t w o r k d e t e c t i o na g e n tb a s e do nr u l e s ，w h i c hi sf r o ms n o r t ，i sc o n s t r u c t e do nw i n d o wx p a n da l s ot h eg r a p h i co u t p u tu s i n ga c i dc o m e st r u e a n dt h ed a t a b a s ew h i c hi su s e d i nt h es y s t e mi sm y s q l a n dt h e i n t e r f a c eo ft h en e t w o r kd e t e c t i o na g e n ti s d e s i g n e db yv c + + 6 0 ，w h i c hm a k e su s e r se a s i l yc o n f i g u r et h es y s t e ma n dh o l dt h e s e c u r i t yo f t h es y s t e m i i f i n a l l y , t h ep a p e ri ss u m m e du pa n d t h en e x ti sp u tf o r w a r d k e y w o r d s ：d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ；d a t ac a p t u r e ；p a t t e mm a t c h ；s n o r t ； d e t e c t i o na g e n t i i i 学位论文独创性说明 本人郑重声明： 1 、坚持以“求实、创新”的科学精神从事研究工作。 2 、本论文是我个人在导师指导下进行的研究工作和取得的研究成果。 3 、本论文中除了引文外，所有实验、数据和有关材料均是真实的。 4 、本文除了引文和致谢的内容外，不包含其他人或其他机构已经发表或撰写过的研究 成果。 5 、其他同志对本研究所做的贡献均已在论文中作了声明并表示了谢意。 学位论文使用授权声明 本人完全了解南京信息工程大学有关保留、使用学位论文的规定、学校有权保留学位 论文并向国家主管部门或其指定机构送交论文的电子版和纸质版；有权将学位论文用于非 赢利目的的少量复制并允许论文进入学校图书馆被查阅；有权将学位论文的内容编入有关 数据库进行检索；有权将学位论文的标题和摘要汇编出版。保密的学位论文在解密后适用 本规定。 作者签名：汤迄 日期：2 鲨：! ： 前言 随着计算机技术以及网络技术的发展，全球信息化已经成为人类发展的大趋势。1 1 】而 一个安全系统至少应该满足用户系统的保密性、完整性以及可用性的三大要求。随着社会 化网络程度的增加，开放式网络体系的安全性隐患日益明显地暴露出来，计算机网络和信 息资源已经日益成为犯罪分子和敌对势力的攻击目标。根据美国金融时报报道，现在 平均每2 0 秒就发生一次入侵计算机网络的事件，超过l 3 的互联网被攻破。【z j 随着攻击者经验越来越丰富，攻击工具与手法的日趋复杂，传统单一的安全技术和策 略虽然在一定程度上提高了系统的安全性，但已经无法满足网络安全的需要。因此，网络 安全的防卫必须采用多样的技术和策略，形成一个多层次的防护体系，不再是单一的安全 技术和安全策略，而是多种技术的融合，关键是各种安全技术能够起到相互补充的作用， 即使当某一种措施失去效能时，其他的安全措施也能给以弥补。传统的安全技术的缺陷已 经日益暴露，比如访问控制可以拒绝未授权用户的访问，却并不能防止已授权访问用户越 权获取系统中未授权的信息；防火墙可以将危险挡在外面，却无法挡住内部的入侵。从网 络安全的角度看，内部系统被入侵是一个严重的问题，以及由此引出的更多有关网络安全 的问题都应该引起重视。据统计，全球8 0 以上的入侵都是来自于内部。由于传统的安全 技术更多的只是一种被动的防护，而如今的攻击和入侵要求我们主动去检测，发现和排除 安全隐患，正是在这样的环境下，入侵检测系统开始崭露头角，成为了研究上和安全市场 上新的热点，不仅愈来愈多地受到人们的关注，并且已经开始在各种不同的环境中发挥重 要的作用。【3 】 入侵检测是对防火墙等传统安全技术的补充。入侵检测技术在网络安全方面具有非常 重要的作用，它可以弥补防火墙等传统安全技术的不足，是防火墙后的第二道安全闸门， 它能在不影响网络性能前提下监测网络，提供对内部攻击、外部攻击和误操作的保护。h 防火墙只能在被攻击后，事后再调整安全策略，但损失已经造成，而入侵检测可以在攻击 发生之前识别入侵，这样就可以尽可能地降低损失。一个完整的入侵检测系统至少应该包 含以下模块：网络数据包的捕获分析模块；用户行为的误用检测模块；系统资源的异常检 测模块；系统日志的生成、保存和分析模块；攻击事件的存储、分析模块；对攻击事件的 实时响应模块。其中对于检测模块，又可以协同使用统计分析、专家系统、模式匹配、数 据挖掘、数据融合、人工神经网络等不同的方法，利用各种分析技术的互补性来提高检测 的准确性，减少误报率。 最早的入侵检测的体系结构以集中式入侵检测为主。集中式入侵检测系统无论监视的 网络有多少主机，但只有一个中央入侵检测服务器。但是近几年黑客的入侵手段不断提高， 并且许多攻击是通过在大范围网络和较长时间内有组织的进行的，再加上网络内安全产品 孤立，不能有机地形成一个动态防御体系，而且入侵技术的不断分布化，这都给网络防护 提出了更高的要求，因此研究高效的安全检测技术和开发实用的安全检测系统具有重大的 理论意义和现实意义。p 本论文正是在这个背景下进行选题的。本论文通过对入侵检测技术的研究和探讨，设 计了一种分布式入侵检测系统。 分布式入侵检测系统是在网络中的相关位置安装探测节点，按照一定的规则捕获原始 信息，进行简单预处理，分析判断，再统一提交给中央处理器，由中央处理器进行检测判 断。分布式入侵检测系统将信息捕获、预处理和简单的分析判断分散在各个探测节点上， 提高了入侵检测的效率，但由于所有探测节点依赖中央处理器协同工作，容易出现单点失 效的问题。 在分析了分布式入侵检测系统的结构后，本文结合层次化结构和协作化结构提出了分 布式入侵检测系统的结构，解决了单点失效的问题以及瓶颈的问题。重点分析了网络探测 代理部分的实现问题，从数据包的捕获、协议分析、规则链表的生成以及规则匹配等方面 进行了阐述。实现了利用w i n p c a p 进行数据包捕获的算法，改进了b o y e r m o o r e h o r s p o o l 算法进行规则匹配。 最后本文在w i n d o w sx p 平台下构造了基于规则的网络探测代理，其中利用s n o a 的规 则集，并且实现了a c i d 分析图形化输出。其中系统选用的是m y s q l 数据库。 另外本文还设计了网络探测代理的用户界面，为系统管理员提供了友好的用户接口， 易于操作，能较为清晰的了解系统的安全状况。 ( 1 ) 研究内容 本文在第一章和第二章阐述了国内外入侵检测技术的基本发展状况，主要阐述了c i d f 模型，入侵检测系统的分类以及传统的入侵检测系统的缺陷。 本文在第三章介绍了代理的概念以及其技术优势。 本文在第四章从以太网的发展现状，说明了分布式入侵检测系统的必要性，并建立分 布式入侵检测系统模型。 本文在第五章主要从数据捕获、协议分析、规则链表生成和规则匹配等方面阐述了网 络探测代理的实现原理，实现了w i n p c a p 捕获数据包的算法，改进了b o y e 卜m o o r e h o r s p o o l 算法实现了入侵检测的关键部分：规则匹配，并且利用w i n p c a p 的数据包捕获功能、s n o a 2 规则、m y s q l 数据库等设计了网络探测代理部件，另外还设计了网络探测代理的友好用 户界面。 本文在最后对本文进行了总结，并展望了未来的研究和发展。 ( 2 ) 研究中使用到的方法 模式匹配技术：改进了b o y e r - m o o r e h o r s p o o l 算法，提高了匹配的速度。 协议分析技术：利用网络协议的层次性和相关协议的知识快速地分辨数据包的协议类 型，根据协议类型利用相关的数据分析程序来匹配数据包，大幅度减少了匹配的计算量。 协同机制：多种不同的检测技术相互弥补，更好地发现入侵，如预处理器使用的异常 检测和检测引擎部分的滥用检测，上文提到的模式匹配和协议分析等技术的使用。 ( 3 ) 研究中使用到的软件 v c + + p h p ，m y s q l ，a p a c h e ，a d o d b ，a c i d ，s n o r t ，w i n p c a p ，j p g r a p h 1 1 网络安全 第一章网络安全与传统的安全技术 随着计算机网络的快速发展，网络在带给人类和社会带来巨大便利和机会的同时，也 给人们带来了巨大的挑战。互联网环境中充斥着各种各样的病毒，它们利用用户和系统的 漏洞，通过各种方法入侵用户主机，破坏用户系统的完整性，占用带宽，使用户不能正常 工作，还利用被侵害的主机向其他主机扩散，造成恶劣的影响。当今世界，银行与其他商 业金融机构在电子商务热潮中纷纷进入i n t e m e t ，以政府上网为标志的数字政府使国家机关 与i n t e r n e t 互联，通过i n t e r n e t 实现包括个人、企业与政府的全社会信息共享已逐步成为现 实。随着网络应用范围的不断扩大，对网络的各类攻击与破坏也与日俱增，无论政府、商 务，还是金融、媒体的网站都在不同程度上受到入侵与破坏。网络安全已成为国家与国防 安全的重要组成部分，同时也是国家网络经济发展的关键。 计算机安全包括两方面：系统安全和网络安全。系统安全是指使系统和数据既要能够 拒绝没有使用权限的用户的数据存取请求，又要使有权限的用户能够使用，而且提供的数 据不能是错误的。网络安全是指利用电缆和无线传送数据时，能够保证数据的保密性、完 整性和可用性，令有权限用户可以使用，无权限的用户不能窃听、篡改和假冒等。1 6 1 安全的计算机系统具有以下几个特征：1 7 1 ( 1 ) 机密性。机密性指数据不会泄露给非授权的用户和实体，也不会被非授权用户使用， 只有合法的授权用户才能对机密或受限的数据进行存取。 ( 2 ) 完整性。完整性指数据未经授权不能被改变。完整性要求保持系统中数据的正确性 和一致性。 ( 3 ) 可用性。计算机资源和系统中的数据信息在系统合法用户需要使用时，必须是可用 的。即对授权用户，系统应该尽量避免系统资源被耗尽或服务被拒绝的情况。 ( 4 ) 可控性。可控性指可以控制授权范围内的信息流向及行为方式，对信息的访问、传 播及具体内容具有控制能力。同时还要求系统审计针对信息的访问，当计算机中的泄密现 象被检测出后，计算机的安全系统必须保持足够的信息以追踪和识别入侵攻击者，入侵者 对此不能抵赖。 ( 5 ) i t z 确性。系统要尽量减少对事件的不正确判断引起的虚警现象，要有较高的可靠性。 1 2 传统的安全技术 传统的安全技术包括数据加密技术、访问控制技术、认证技术、数据完整性控制技术、 安全漏洞技术、防火墙技术等。 1 2 1 数据加密技术 加密是指将信息经过加密钥匙以及加密函数转换变成密文，接受方再经过解密函数和 解密钥匙还原成明文。数据加密是保护数据的最基本的方法，是在网络环境中对被动攻击 比较有效的安全机制，但只能防止第三者获取真实数据，只能解决安全问题的一方面。 1 2 2 访问控制技术 访问控制是计算机安全机制的核心。访问控制技术根据规则确定合法用户对哪些系统 资源享有何种权限，可以进行何种类型的访问操作，防止非法用户进入系统和非法使用系 统资源。当一个主体试图非法使用未经授权使用的客体时，访问控制将拒绝这个企图，并 向审计跟踪系统报告。 1 2 3 认证技术 认证是用交换信息的方式将特定实体从任意实体的集合中识别出来的行为。主要有以 下这些技术：使用实体的特征或实体所有的物件的技术、口令技术、安全协议技术、密码 技术。 1 2 4 数据完整性控制技术 数据完整性控制技术是用来识别有效数据的信息是否被篡改的技术，包括文件系统完 整性控制和网络传输信息的完整性控制。 文件系统完整性控制的工作方式是在系统未受到入侵时建立关键文件的数据库，定期 或需要时对文件系统审核得出结果，并与最初的数据库对比，检查文件是否有异常变化。 网络传输信息的完整性控制可以通过报文认证和通信完整性控制实现。报文认证将报 文各字段组成一个约束值，称为该报文的完整性检测向量i c v ，和数据封装在一起加密。 接受方收到数据后解密并计算1 c v ，若与明文中i c v 不同，则认为此报文无效。通信完整 性控制防止破坏者删除或添加报文，在每个报文中加入该报文的序列号、报文生成时间等 信息，目的端将加密报文解密后只接受所期望序列号的报文。 - 5 - 1 2 5 安全漏洞扫描技术 漏洞是指可以任意允许来授权用户访问或者提高其访问层次的硬件或软件特征。漏洞 扫描是自动检测远端或本地主机脆弱点的技术，通过对系统当前的状况进行扫描、分析， 找出系统中存在的各种脆弱性，并进一步对脆弱性进行修补。安全漏洞扫描技术可以发现 很多常见的问题，用户可以根据结果采取相应的安全措施。 1 2 6 防火墙技术 防火墙是最常用的方法之一，它是在被保护网络周边建立的，分隔被保护网络与外部 网络的系统，它在内部网与外部网之间形成一道安全保护屏障。主要功能是控制对受保护 网络的非法访问，它通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网 络的拓扑结构，另一方面对内屏蔽外部危险站点，用来防范外对内、内对外的非法访问。 防火墙可以过滤不安全的服务，极大地提高网络安全和减少子网中主机的风险；可以 提供对系统的访问控制，阻止攻击者获得网络系统的有用信息；提供指定和执行网络安全 策略的手段，可以对企业内部网络集中安全的管理，安全规则可以用于整个内部网络，无 需在每台机器上设立安全策略。 但作为静态的防御技术，防火墙远远不能满足网络安全的需要。原因如下：( 1 ) 入侵者 可以通过寻找防火墙背后可能敞开的后门而绕过防火墙；( 2 ) 防火墙完全不能阻止内部攻 击；( 3 ) 由于性能限制，防火墙通常没有实时的入侵检测能力；( 4 ) 防火墙对病毒无能为力； ( 5 ) 防火墙不能解决自身的安全问题；( 6 ) 防火墙无法做到安全与速度的同步提高；( 7 ) 防火墙 是一种静态的安全技术，需要人工来实施和维护，不能主动跟踪入侵者。 6 一 第二章入侵检测概述 以防火墙技术为主的被动防御技术越来越不能满足网络安全的需要，由此产生了以入 侵检测技术为主的主动防御技术。 2 1 入侵检测的定义 入侵：对信息系统的非授权访问及( 或) 未经许可在信息系统中进行操作。 入侵检测：检测对计算机网络的非授权访问，对企图入侵、正在进行的入侵或已经发 生的入侵进行识别的过程。【8 】 入侵迹象：用于指出威胁的信息。迹象包括已经发生的入侵的确凿证据以及揭示威胁 的来源、意图和性能的隐含证据。 入侵检测系统：系统从多种计算机系统及网络中搜集信息，再从这些信息中分析入侵 及误用特征。 美国国家安全通信委员会下属的入侵检测小组给出了入侵检测的定义：入侵检测是对 企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。所有能够执行入侵检测 任务和功能的系统，就称为入侵检测系统，其中包括软件系统和软硬件结合的系统。 入侵检测是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术， 它通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从而发现网 络或系统中是否有违反安全策略的行为和遭到攻击的迹象。利用入侵检测技术，不仅能检 测到外部攻击，而且能检测到内部攻击或误操作。然而，随着大规模网络的发展，曰益猖 獗的黑客行为、日新月异的入侵手段向入侵检测系统提出了前所未有的挑战。入侵检测作 为安全防护的重要手段，能及时发现系统漏洞以及入侵动机和行为，及时提醒管理人员采 取相应的措施，显著减少被入侵的可能性和可能造成的损失。因此研究高效的安全检测技 术和开发实用的安全检测系统具有重大的理论和实践意义。 2 2 入侵检测的必要性 仅仅依赖防火墙系统不能保证足够的安全。入侵检测系统可以弥补防火墙的不足，为 网络提供实时的入侵检测并采取相应的防护手段，比如记录证据跟踪入侵者，灾难恢复， 发出警报，甚至终止进程，断开网络连接等。入侵检测系统是防火墙之后的第二道安全闸 - 7 一 门，是防火墙的重要补充，它在不影响网络性能的情况下对网络监控，提供对内部攻击、 外部攻击和误操作的实时检测。 入侵检测作为安全技术，主要目的在于：一，识别入侵行为：二，识别入侵者；三， 检测和监视已经成功的安全突破；四，为对抗入侵提供重要信息，防止事件的发展和扩大。 因此，入侵检测对于建立一个安全系统是非常必要的，可以弥补传统安全保护措施的不足。 2 3 入侵检测的分类 根据考虑因素的不同，入侵检测可以分成各种不同的类别。本文主要介绍了按照以下 几个方面划分：分析数据的方式、部件分布情况和数据来源情况。 2 3 1 分析数据方式区分 从数据分析的方式划分，入侵检测一般分为两类：滥用入侵检测和异常入侵检测。 ( 1 ) 滥用入侵检测 滥用入侵检测是利用攻击特征集合或其他相应的规则集合，对目前数据来源进行各种 处理后，再进行特征匹配或者规则匹配工作，如果发现满足条件的匹配，就指示发生了一 次攻击行为。最主要的方式是规则匹配。由于计算机程序对单纯的匹配比较容易实现，因 此滥用入侵检测成为绝大多数入侵检测系统的实现手段。【9 j 滥用入侵检测优点在于：( a ) 容易实现。基于特征的入侵检测的计算模型比较容易实现， 主要的匹配算法也较为成熟，实现起来比较容易；( b ) 具有较高的检测率和较低的虚警率； ( c ) 升级容易。很多滥用入侵检测系统都提供了自己的规则定义语言，当新的攻击或漏洞出 现时，用户只需要根据该攻击或漏洞的特征编写相应的规则，就可以升级系统。 滥用入侵检测缺点在于一般只能检测到已知的攻击模式，规则库必须不断更新才能检 测到新的攻击手段。 ( 2 ) 异常入侵检测 异常入侵检测通常建立一个系统正常活动的状态模型并不断更新，然后将用户当前的 活动情况与正常模型对比，如果超过设定阈值的差异程度，则指示发现非法攻击行为。在 异常入侵检测中，最常用到的技术是统计分析。 异常入侵检测的主要优点在于可以检测到未知的入侵行为。 异常入侵检测的主要缺点在于误报率高。 8 2 3 2 部件的分布区分 从部件的分布情况看，入侵检测可以分为集中式入侵检测和分布式入侵检测。 集中式入侵检测系统无论监视的网络有多少主机，数据分析都在一个固定的位置进行。 集中式入侵检测采用单个数据分析组件进行数据分析，其扩展性较差，存在单点故障问题， 同时耗费大量的通信和处理资源。 而分布式入侵检测系统则将数据分析任务分配给多个处于不同位置的数据分析组件， 这些组件采用完全分布方式或分层方式进行协作。根据分布的程度，又可再分为部分分布 式和完全分布式结构。 2 3 3 数据来源区分 从数据来源看，入侵检测通常分为三类：基于主机的入侵检测、基于网络的入侵检测 和混合型入侵检测。 ( 1 ) 基于主机的入侵检测 基于主机的入侵检测通常从主机的审计记录、日志文件和主机上的其他信息，比如文 件系统属性、进程状态等中获得所需要的数据来源，并在此基础上完成检测攻击行为的任 务。结构如图2 1 所示。 图2 1h i d s 结构不意图 基于主机的入侵检测能够较为准确地检测到发生在主机系统高层的复杂攻击行为，比 如对文件系统进行的具有潜在安全风险的访问操作序列、对系统配置的修改和应用程序的 异常运行情况等等。许多发生在应用进程级别的攻击行为是无法依赖基于网络的入侵检测 检测的。 基于主机的入侵检测系统具有如下的优点： ( a ) 能确定攻击是否成功。因为主机就是攻击的目标，所以基于主机的入侵检测系统含 。9 有发生事件的信息，所以能比基于网络的入侵检测系统更准确的得知是否发生了入侵。 ( b ) 监控粒度更细。基于主机的入侵检测系统监控的目标明确、视野集中，它可以监控 系统的一些活动，还可以监控通常只有管理员才有权限的非正常行为，而这些行为有的并 不通过网络传输数据，所以在这一点上，基于主机的入侵检测系统比基于网络的更有优势。 ( c ) 不需要额外的硬件设施。 ( d ) w 以不受加密以及交换环境的影响。加密和交换设施加大了基于网络的入侵检测系 统收集数据的难度。 ( e ) 配置灵活。 ( f ) 不会因为网络流量的增加而导致系统瘫痪。 基于主机的入侵检测的主要缺点在于： ( a ) 由于它严重依赖特定的操作系统平台。因此对于不同的操作系统，无法移植。 ( b ) 它在所保护的主机上运行，将影响主机的运行速度，特别当主机是服务器的情况。 ( c ) 它通常无法对网络环境下发生的大量攻击行为做出及时响应。这种事后分析的主要 不足在于等到一个安全问题被检测出来时，通常太迟而错过了用有效方法进行响应的最佳 时机。事实上，入侵者对系统的攻击可能已经远远延伸到系统内部了。由于不能保证在入 侵发生时采取行动，攻击者就可以获得很好的机会删除日志文件中的入侵记录，并隐藏自 己的踪迹，从而逃过入侵检测系统的审计检查。 ( d ) 基于主机的入侵检测依赖事件的生成能力和底层操作系统的日志登记能力。通常很 难明确地指出哪些事件确定与安全有关，入侵会造成主机状态的哪些变化，会在哪些文件 中留下踪迹以及会留下怎样的踪迹等等。因此，对于攻击特征和异常行为的分析比较困难， 难于确定如何选择正确的数据和采用何种方式收集这些数据。 ( 2 ) 基于网络的入侵检测 基于网络的入侵检测通过监听网络中数据包获取必要的数据来源，并通过协议分析、 特征匹配、统计分析等方式发现当前发生的攻击行为。结构如图2 2 所示。 基于网络的入侵检测系统通常采用独立主机和被动监听的工作模式。 1 0 基于网络的入侵检测系统的优点在于： 1 0 1 ( a ) 实时性。能够实时监控网络中的数据流量，发现潜在的攻击行为，并且及时做出反应。 ( b ) 隐蔽性好。网络上的监视器不像主机上的那样明显和容易被存取，因此不容易受到攻击。 ( c ) 视野更宽。基于网络的入侵检测系统可以检测到一些主机无法检测到的攻击，比如 泪滴攻击( t e a r d r o p ) 、基于网络的s y n 攻击等等，还可以检测到不成功的攻击和恶意企图。 ( d ) 基于网络的入侵检测系统不需要配置在被监视的主机上，因而对受保护的主机和网 络系统的性能影响很小或几乎没有影响，并且无需对原来的系统和结构进行改动。 ( e ) 较少的监视器。使用一个监视器就可以保护一个网段，因此不需要很多的监视器。 而基于主机的入侵检测系统，则需要在每个主机上安置一个监视器，花费太大，并且难以 管理，并且如果是在交换环境下，就需要特殊的配置。 ( f ) 平台无关性。它的分析对象是网络数据包，通常是标准化的，因此独立于系统的操 作系统类型。 ( g ) 攻击者不易转移证据。基于网络的入侵检测系统使用正在发生的网络数据包进行实 时检测，所以攻击者无法转移数据。而基于主机的入侵检测系统的审计记录则很容易被破 坏。 ( h ) 基于网络的入侵检测系统可以从网络协议的底层开始进行检测分析，因此对基于协 议的攻击手段有较强的分析能力。 基于网络的入侵检测的主要缺点在于： ( a ) 对物理地侵入被监视主机系统所从事的非法活动、内部人员在授权范围外从事的非 法活动和在网络数据中无异常而只能通过主机状态的异常变化才能反映出来的攻击没有检 测能力，与基于主机的检测系统相比其准确性较低，特别是误报较多。 ( b ) 只能检查它直接连接网段的通信，不能检测在不同网段的网络包，在使用交换以太 网的环境中会出现监测范围的局限。而安装多台网络入侵检测系统的探测器会使部署整个 系统的成本大大增加。 ( c ) 基于网络的入侵检测系统通常使用滥用检测的方法，它可以检测出普通的攻击，但 对于复杂的需要大量计算和分析时间的攻击的检测能力较弱。 ( d ) 对高速网络和交换网络的适应能力需要提高。基于网络的检测在协议解析和模式匹 配等方面的计算成本非常高，要保证可靠、准确、及时地检测入侵行为就必须对网络分组 流进行实时的监控。随着高速网络的不断应用，对基于网络的入侵检测系统会产生两方面 的重要影响：可能会有丢包现象，造成漏报可能性增大；产生巨量的网络数据，对存储资源 和实时数据分析效率提出了更高的要求，进而会影响到系统的检测能力。在交换式网络中， 需要通过分接器t a p 或利用交换机的监视口收集网络数据。 ( e ) 不能检查加密的数据包。对经过加密的数据流进行分析存在困难，数据流经过加密 后，其中的数据特征已经变形，基于网络的入侵检测系统就无法对其进行分析、识别以及 匹配。随着i p v 6 的普及以及攻击手法的提高，这个问题会越来越突出。 另外，系统需要完成同时检测主机和网络安全状态的任务，所以采用网络数据和主机 审计数据两种数据来源，即为混合型入侵检测。 2 4c i d f 模型 为了提高i d s 产品、组件和其他安全产品之间的互操作性，美国国防高级研究计划署 ( d a p r a ) ； h 互联网工程任务组( i e t f ) 的入侵检测工作组( i d w g ) 发起制定了一系列建议草 案，从体系结构、a p i ( a p p l i c a t i o np r o g r a m m i n gi n t e r f a c e ) 、通信机制、语言格式等方面规 范i d s 的标准。d a r p a 提出的建议是公共入侵检测框架( c i d f ) 。c i d f 所做的工作主要包 括四部分：i d s 的体系结构、通信机制、描述语言和应用编程接口a p i 。 2 4 1 体系结构 公共入侵检测框架包括4 个部分，结构如图2 3 所示。 事件产生器：事件产生器从i d s 以外的计算环境中收集事件，并转换成g i d o 格式传 送给其他组件。 事件分析器：事件分析器分析从其他组件接收的g i d o ，并将分析结果给其他组件。 其功能包括：一，统计模型，检查现在的事件是否满足之前建立的正常事件模型；二，特 征检测，在当前事件序列中检查是否存在已知的滥用攻击特征；三，关联分析，观察不同 事件之间的关系，将关联事件汇聚处理，以利于以后的进一步分析。 事件数据库：存储g i d o 。 响应单元：处理接受的g i d o ，并采取相应的措施。 其中g i d o ( g e n e r a l i z e di n t r u s i o nd e t e c t i o no b j e c t s ) 是指c i d f 采用入侵检测对象g i d o 格式进行数据交换，用对事件进行编码的标准通用格式来表示。 图2 3c i d f 体系结构 一1 2 2 4 2 通信机制 为了保证组件之间安全、高效的通信能力，c i d f 把通信机制构造成三层模型，分别 是g i d o 层、消息层和协商传输层，如图2 4 所示。 g i d o 层 消息层 协商传输层 图2 4c i d f 通信机制图 g 1 d o 层的任务是提高组件间的互操作性，对如何表示各种事件语义进行了定义。 g i d o 层只考虑传递信息的语义，并不关心消息如何传输。消息层确保被加密和认证的消 息在防火墙或n a t 等设备间传输可靠性。消息层不携带语义的信息，只负责传送。协商传 输层规定g i d o 在各组件间的传输机制。 c i d f 通信机制主要讨论消息的封装和传递，主要分为以下四个部分：配对服务、路 由、消息层和消息层处理。通过c i d f 的通信协议，一个c i d f 组件就能正确、安全、有 效的和其他组件通信。通信的内容，就是消息层传输的内容，也就是g i d o 层的数据。消 息层完全不知道它所传输的内容，这样有利于g i d o 的独立性。g i d o 层的数据要被通信 双方的组件正确识别，就必须标准化，也就是公共入侵规范语言c i s l 。 2 4 3 通信机制的语言 c i d f 对各组件之间的信息传递格式、通信方法和应用程序接口( a p i ) 进行了标准化。 部件间通过入侵检测对象g i d o 交换数据，它以一种标准的通用格式表示，该格式采用通 用入侵规范语言c i s l ( c o m m o ni n t r u s i o ns i g nl a n g u a g e ) 进行定义。通用入侵规范语言采用 s 表达法，在传输过程中包含以下信息： ( 1 ) 原始事件信息：审计跟踪记录和网络流量信息； ( 2 ) 分析结果：对系统异常和检测到的攻击描述； ( 3 ) 响应提示：停止某些特定活动或修改组件的安全参数。 c i d f 使用了一种称作s 表达式的通用语言构建方法，s 表达式可以对标识和数据进行 简单的递归编组，即对标识加上数据，然后封装在括号里完成编组，举例如下： ( h o s t n a m e f i r s t e x a m p l e 。e d u c n 1 1 3 2 4 4 a p i 接口 a p i 接口主要负责g i d o 的编码、解码和传递。另外，为了方便这些函数的实现，c i d f 迸一步定义了消息层的通信a p i 和签名用的a p i 。 要产生一个供传输用的g i d o 的步骤为：首先，产生一个代表g i d o 的树形结构；然 后，把它编码成一个字节流。由于g i d o 被表示成树形结构，因此g i d o 的编码工作就是 简单的树的遍历，解码工作则是相反的过程。 2 5i d w g 的标准化努力 i d w g 的任务主要是定义数据格式和通信规范，用于i d s 之间或与需要交互的管理系 统的信息共享。i d w g 的建议草案包括入侵检测消息交换格式i d m e f 的定义和实现规范、 用于i d m e f 数据交换的入侵检测交换i d x p 规范和隧道轮廓( t u n n e lp r o f i l e ) 。i d m e f 描述 入侵检测系统输出信息的数据模型，i d x p 是入侵检测实体之间交换数据的应用层协议， 能够实现i d m e f 消息、非结构文本和二进制数据间的交换。隧道轮廓描述了对等体之间 使用代理进行通讯时的i d x p 交换。 i d w g 和c i d f 一样对组件间的通信进行了标准化，但只标准化了一种通信场景，即 数据处理模块和警告处理模块间的警告信息的通信。i d m e f 描述了表示入侵检测系统输出 信息的数据模型，并解释了使用此模型的基本原理。 i d m e f 使用面向对象的模型来表示其数据格式，通过使用面向对象的概念，可以提供 很强的包容性和可扩展性。i d m e f 数据模型是用统一建模语言( u m l ) 描述的。u m l 用一 个简单的框架表示实体以及它们之间的关系，并将实体定义为类。i d m e f 包括的类有 i d m e f m e s s a g e 类、a l e r t 类、h e a r t b e a t 类、c o r e 类、t i m e 类和s u p p o r t 类。i d m e f 还提 出了数据模型转换的方法，用来携带开发商需要传输的与警告相关的附加信息。扩展方式 有两种：聚合和继承。 i d m e f 的数据模型用x m l 实现。i d w g 早期曾提出两个建议实现i d m e f ：用s m i ( 管 理信息结构) 描述一个s n m pm i b 和使用d t d ( 文档类型定义) 描述x m l 文档。经过评估， x m l 更符合i d m e f 的要求，则采用x m l 方案。 i d x p 是一个用于入侵检测实体间交换数据的应用层协议，能够实现i d m e f 消息、非 结构文本和二进制数据之间的交换，并提供面向连接协议之上的双方认证、完整性和保密 性等安全特征。i d x p 是b e e p ( b e e p 是用于面向连接的异步交互通用应用协议) 的一部分。 i d x p 模型通信过程包括三个阶段： ( 1 ) 建立连接。使用i d x p 传送数据的入侵检测实体称为i d x p 对等体，只能成对出现， 可以使用多个b e e p 信道传输数据。对等体可以是一对多或多对多的管理器或分析器，但 分析器之间不可以。在打开b e e p 通道前，先要进行一次b e e p 会话，协商好b e e p 安全 轮廓。 ( 2 ) 数据传输。每个信道上，对等体是客户机朋艮务器模式通信。发起者是客户体，收 听者是服务器。 ( 3 ) 断开连接。关闭一个信道时，对等体在0 信道上发送“关闭”信息，指明关闭某个 信道；也可以对等体在0 信道上发送关闭0 信道信息，来关闭整个b e e p 对话。 2 6 国内外研究进展及现状 自从2 0 世纪8 0 年代早期提出入侵检测技术以来，经过2 0 多年的不断发展，从最初的 一种有价值的研究想法和单纯的理论模型，迅速发展出种类繁多的各种实际原型系统，并 在近1 0 年的时间涌现出很多商用入侵检测系统产品，成为计算机安全防护领域内不可缺少 的安全防护技术。 基于主机的i d s ，早期的系统原型有s r i 的i d e s 和n i d e s