（通信与信息系统专业论文）网络入侵检测系统的研究与设计.pdf

东北大学硕士学位论文摘要 网络入侵检测系统的研究与设计 摘要 新的世纪里，计算机网络继续迅速发展，而且基于网络的应用也越来越多，电 子商务、电子政务、网上交易系统等一些基于网络的应用正在走入人们的日常生活 当中。随之而来的网络安全的问题也日益受到人们的重视，随着越来越多的站点受 到入侵和攻击，人们逐渐认识到仅从防御的角度去构建网络安全系统是不够的。而 且统计资料表明，入侵不仅来自于系统外部，还有更多的入侵来靠于系统内部， 传统的网络安全手段( 如防火墒等) 已不能满足现在的需求了。 入侵检测系统是继防火墙、数据加密等传统的安全保护措施后的新一代网络安 全保障技术。它对计算机和网络资源的恶意使用行为进行识别和响应，不仅检测来 自外部的入侵行为，同时也监督内部用户的朱授权的活动。 本文设计了一种基于协议分析技术的网络入侵检测系统的整体框架，该系统书 要包括以下几个模块：网络数据包采集模块、网络协议解析模块、检测模块、规则 解析模块、存储模块、通信模块、决策响应模块和界丽管理模块。在数据包捕获模 块中采用w i n p c a p 及其函数库，利用它们实现w i n d o w s 平台下的网络数据包捕获。 在网络协议解析模块中着重讨论了t c p 、i p 、u d p 、i c m p 等协议的协议解析过程， 其结果是检测模块的基础。在检测模块设计中对入侵检测方法进行了分析，比较了 摸式匹配方法和协议分析技术，把协议分析技术应用到入侵检测系统可以提高其检 测的准确率和系统效率，所以本系统采用的是协议分析技术来检测网络数据包中是 否存在入侵。在协议分析的基础上建立了入侵事件描述语言，主要对特征选择、规 则格式、规则选项、规则的匹配流程等进行了分析。它的提出可以使入侵事件的定 义更加方便，使系统的扩展性加强。存储模块主要存储经过协议解析模块得到的网 络数据包信息。本系统采用m y s q l 数据库来存储这些数据，主要供事后分析使用。 通信模块保证了探测器和前台系统之间的通信能够安全有效，其遥信采用加密机制。 本系统的主要特点有：采用了w i n p e a p 实现网络数据包的捕获；采用协议分析方法； 建立了一种入侵事件描述语言来进行入侵事件的分析。 关键词：网络安全；入侵检测；协议分析；入侵事件规则 1 1 东北大学硕士学位论文 a b s t r a c t r e s e a r c ha n dd e s i g no fn e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m a b s t r a c t i nt h e2 1 s tc e n t u r y , t h ec o m p u t e rn e t w o r kc o n t i n u e sr a p i d l yt od e v e l o p ，m o r ea n d m o r ea p p l i c a t i o n sb a s e do nw h i c hc o m ei n t oe x i s t a n c e ，s ot h ee l e c t r o n i cc o m m e r c e ， e l e c t r o n i cg o v e r n m e n ta f f a i r s ，o n l i n et r a n s a c t i o ns y s t e ma n ds oo na r ew a l k i n gi n t ot h e m i d d l ep e o p l e sd a i l yl i f e a l o n gw i t ht h ei n t r u s i o na n da t t a c kt ow e b s i t e sa r eg r o w i n g p e o p l eg r a d u a l l yr e a l i z et h a tt h en e t w o r ks a f e t ys y s t e mf r o mt h ed e f e n s ea n g l e c o n s t r u c t s o n l yi si n s u f f i c i e n t a l s o ，n o wi n t u r s i o n sn o to n l yc o l l i e sf r o me x t e r i o ro ft h es y s t e m ，b u t a l s om o r ea n dm o r ei n t r u s i o n sf r o mt ot h es y s t e mi n t e r i o r t h et r a d i t i o n a ln e t w o r k s e c u r i t ym e t h o d s ( f o re x a m p l e ，f i r e w a l la n ds oo n ) h a v en o tb e e n a b l et os a t i s f yt h e d e m a n d i n t r u s i o nd e t e c t i o ns y s t e mi sn e wg e n e r a t i o no fs a f e t yp r o t e c t i o nt e c h n o l o g ya f t e r f i r e w a l l ，d a t ae n c r y p t i o ns e c u r i t y i tc a r r i e so nt h er e c o g n i t i o na n dt h er e s p o n s et ot h e m a l i c i o u su s eb e h a v i o ro ft h ec o m p u t e ra n dt h en e t w o r kr e s o u r c e s n o to n l y 抒o mt h e e x t e r i o r , b u ta l s of r o mt h ei n t c r n a l aw h o l ef r a m eo ft h en i d sb a s e do np r o t o c o la n a l y s i st e c h n o l o g yw a sd e s i g n e d ， t h ew h o l es y s t e mi sd e v i d e di n t ot h ef o l l o w i n gp a r t s ：n e t w o r kp a c k e tc a p t u r em o d u l e ： n e t w o r kp r o t o c o la n a l y s i sm o d u l e ，d e t e c t i o mm o d u l e ，r u l e sa n a l y s i sm o d u l e ，s t o r a g e m o d u l e ，c o m m u n i c a t i o nm o d u l e ，r e s p o n s em o d u l ea n di n t e r f a c em a n a g e m e n t m o d u l e i n d a t ap a c k e tm o d u l e ，w i n c a pa n di t sf u n c t i o nd a t a b a s ew a su s e dt oc a t c hd a t ap a c k e t s f r o mn e t w o r ku n d e rw i n d o w ss y s t e m i nn e t w o r kp r o t o c o la n a l y s i sm o d u l e ，p r o t o c o l a n a l y s i sp r o c e s so fs o m en e t w o r kp r o t o c o l sw a sd i s c u s s e d s u c ha st c p , i p , u d p , i c m p a n ds oo n ，i t sr e s u l ti st h eg r o u n d w o r ko fd e t e c t i o mm o d u l e i nd e t e c t i o nm o d u l e ， i n t r u s i o nd e t e c t i o nm e t h o d sa r ea n a l y s i s e d ；p a t t e r nm a t c ht e c h n o l o g ya n dp r o t o c o l a n a l y s i st e c h n o l o g ya r ec o n t r a s t e d t h ep r o t o c o la n a l y s i st e c h n o l o g yu s e di ni n t r u s i o n d e t e c t i o ns y s t e mc a nm a k ei tm o r ea c c u r a t ea n dm o r ee f f i c i e n t i nt h ep r o c e s so fb u i l d i n g i n t r u s i o ne v e n tl a n g u a g et h es i g n a t u r e ，r u l e sf o r m ，r u l e so p t i o na n dp r o g r e s so fr u l e s m a t c ha r ed i s c u s s e d t h ei n t r u s i o ne v e n tl a n g u a g em a k e st h ed e f i n i t i o no fi n t r u s i o n e v e n te a s i e ra n dm a k e st h ei n t r u s i o nd e t e c t i o ns y s t e me x p a n dm o r ee a s i l y i ns t o r a g e m o d u l e ，n e t w o r kd a t ai ss t o r e di nm y s q ld a t a b a s e ，t ob ea n a l y s i s e d a f l e r w o r d s i i i 东北大学硕士学位论文 a b s t r a c e n c r y p t i o nm e a s u r e s a r eu s e di nc o m m u n i c a t i o nm o d u l et oe n s u r et h es e c u r i t yo f c o m m u n i c a i o n t h em a i nc h a r a c t e r i s t i co ft h es y s t e ma r ea sf o l l o w s ：w i n c a pi sa d o p t e d t or e a l i z et h ec a p t u r eo fn e t w o r kp a c k e t s ；p r o t o c o la n a l y s i sm e t h o di su s e d ；a n dak i n do f i n t r u s i o ne v e n td e s c r i p t i o nl a n g u a g ei sd e s i g n e dt oa n a l y s i si n t r u s i o ne v e n t k e y w o r d s ：n e t w o r ks o c i e t y ；i n t r u s i o nd e t e c t i o n ；p r o t o c o la n a l y s i s ；i n t r u s i o ne v e n tr u l e 一 独创性声明 本人声明，所呈交的学位论文是在导师的指导f 完成的。论文中取 得的研究成果除加以标注和致谢的地方外，不包含其他人己经发表或撰 写过的研究成果，也不包括本人为获得其他学位而使用过的材料。与我 一同工作的同志对本研究所做的任何贡献均己在论文中作了明确的说明 并表示谢意。 学位论文作者签名：扦刀灸久 日期：耐f ，6 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东j 匕大学有关保留、使用学位 论丈的规定：即学校有权保留并向国家有关部门或机构送交论文的复印 件和磁盘，允许论文被查阅和借阅。本人同意东北大学可以将学位论文 的全部或部分内容编入有关数据库进行检索、交流。 ( 如作者和导师不同意网上交流，请在下方签名；否则视为间意。) 学位论文作者签名：茸书该毒、导师签名： 签字目期：。 i 签字日期： 东北大学硕士学位论文第一章绪论 第一章绪论 l 。l 入侵检测技术研究的意义 计算机网络安全是一个国际化的问题，每年全球因计算机网络的安全系统被破 坏而造成的经济损失达数百亿美元。进入新世纪之后，上述损失将达2 0 0 0 亿美元以 上丽随着攻击工具和手法的日趋复杂多样，仅仅依靠传统的安全防范措施已经无法 满足对网络安全的需求，近两年频繁的网络黑客攻击事件也证明了这种观点入侵检 测系统就是在这样的背景下产生的。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 是近年来发展较快的一种新型的 安全技术其实，从网络安全技术的发展过程来看，各种技术的出现和应用都有着较 为明显的特征：第一代是以保护数据完整性、有效性、机密性为目的的各种加密技术； 第：二代是以包过滤和代理机制来进杼访问控制的防火墙技术；而第三代，则为以入 侵行为检测及事件响应为特征的i d s 技术。当然这并不是严格按照时间阶段来划分 的，只是从技术的应用范围来看，有了i d s ，整个网络安全技术才有了较为完整的 框架。再加上主动检测技术( 扫描) ，一个动态可适应的现代安全模型就诞生了 一p 2 d r ( p o l i c y ，p r o t c e f i o n ，d e l e t i o n ，r e s p o n s e ) 。 入侵检测是指“通过对入侵行为、安全目志、或审计数据或其他网络上可以获得 的信息进行操作，检测到对系统的闯入或闯入的企图”( 参见国标g b t 1 8 3 3 6 ) 。而 我们说的入侵检测系统主要是基于系统审计记录、系统配置、数据文件和其他可以 检测的滥用信息，实时( 或) 准实时分析用户的攻击行为，并依据攻击态势( 来自外部 及内部的攻击1 做出适当的响应( 如：记录事件、报警通知管理员、阻断网络连接等) 。 i d s 作为一种积极主动的防御技术，它有力地弥补了传统安全技术的不足，与纯粹 防御为主的技术( 如：防火墙) 相比，i d s 具有更强的分析能力和更直接的辨别力，可 以更及时更有效地发现网络或系统中出现的各种入侵行为。因此，i d s 也被认为是 藏在防火墙身后的第二道安全屏障1 1 1 1 2 1 。 作为一种积极主动的安全防护工具，入侵检测系统提供了对内部攻击、外部攻 击和误操作的实时防护，在计算机嬲络和系统受到危害之前进行报警、拦截和相应。 入侵检测系统扩展了系统管理员的安全管理能力( 包括安全审计、监视、攻击识别和 响应) ，提高了信息安全基础结构的完熬性。在不影响网络或系统性能的情况下，它 能够对网络或者系统进行监测，从网络以及主机系统中采集信息，并进行分析，判 1 东北大学硕士学位论文 第一章绪论 断网络或系统中是否存在违反安全策略的行为，或者有遭到袭击的迹象【3 1 。 同其它安全技术相比，i d s 主要有以下优势： ( 1 ) 实时的检测和应答。网络入侵捡测系统能够实时的分析网络数据，检测 那些来自网络的攻击，并做出及时的反映。 ( 2 ) 一个网络入侵检测系统不需要改变服务器等主机的配置。由于它不会在 业务系统的主机中安装额外的软件，从而不会影琦句这些机器的c p u ，u 0 与磁盘等资 源的使用，不会影响业务系统的性能。 ( 3 ) 其工作模式不同于路由器、防火墙等关键设备，它不会成为系统中的关 键路径。网络入侵检测系统发生故障不会影响正常业务的运行。部署一个网络入侵 检测系统的风险比基于主机的入侵检测系统的风险要小。 ( 4 ) 对特定操作系统的依赖少，并不依赖主机的操作系统作为检测资源。 1 2 国内外研究和发展现状 入侵检测从最初实验室里的研究课题到目前的商业产品，已经有2 0 多年的发 展历史。它的发展可大致分为三个阶段： ( 1 ) 安全审计阶段 安全审计为入侵检测的产生打下了基础。审计是对系统中发生事件的记录和分 析处理过程。与系统日志相比，审计更关注安全问题。根据美国国防部( d o d ) “可信 计算机系统评估标准”( t c s e c ) 桔皮书规定，审计机制( a u d i tm e c h a n i s m ) i x 作为c 2 或c 2 以上安全级别的计算机系统必须具备的安全机制，其功能包括：能够记录系统 被访问的过程以及系统保护机制的运行：能够发现试图绕过保护机制的行为：能够 及时发现用户身份的跃迁；能够报告并阻碍绕过保护机制的行为并记录相关过程， 为灾难恢复提供信息。 ( 2 ) 入侵检测的诞生 19 8 0 年，a n d e r s o n 在报告“c o m p m e rs e c u r i t yt l l r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ” 中提出必须改变现有的系统审计机制，以便为专职系统安全人员提供安全信息，此 文被认为是有关i d s 的最早论述。1 9 8 4 1 9 8 6 年d o r o t h yd e n n i n g 和p e t e rn e u m a n n 联台开发了一个实时入侵检测系统一i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) ，i d e s 采用了异常检测和专家系统的混合结构。d e n n i n g l 9 8 6 年的论文“a ni n t r u s i o n d e t e c t i o nm o d e ”，亦被公认为是i d s 领域的另一篇开山之作。受a n d e r s o n ，d e n n i n g 和i d e s 的影响，在2 0 世纪8 0 年代出现了大量的i d s 原型系统，如：a u d i t a n a l y s i s p r o j e c t ，d i s c o v e r y , h a y s t a c k ，m i d a s ，n a d i r ，n s m ，w i s d o ma n ds e n s ee t c ：商业化 2 东北大学硕士学位论文 第一章绪论 的1 d s 直到2 0 世纪8 0 年代后期才出现。 ( 3 ) 入侵检测的发展 入侵检测技术发展的初期，检测方法比较简单，大多数i d s 都是基于主机的。 例如，1 9 8 6 年，在i b m 主机上用c o b o l 开发的d i s c o v e r y 系统。随着网络应用的 迅速普及和入侵检测技术的进一步发展，1 9 9 0 年，h e b e r l e i n 提出一个新概念：基r 网络的安全监视一n s m 烈e t w o r ks e c t t r i t ym o n i t o r ) 。该系统第一次将网络流作为数据 源，使得i d s 开始面向网络。1 9 9 4 年，普渡大学的m a r kc r o s b i e 和g e n es p a f f o r d 等推出了适用于大规模网络的分布式入侵检测系统a a f i d ( a u t o n o m o u sa g e n tf o r i n t r u s i o nd e t e c t i o n ) 1 4 。1 9 9 6 年，c h e u n gs 提出了g r i d s ( g r a p h b a s e di n t r u s i o n d e t e c t i o ns y s t e m ) 5 1 ，该技术对大规模的自动或协同攻击的检测更为有利。随着广域 网的不断发展和黑客攻击技术的提高，早期集中式的网络入侵检测系统己不再适用 于大型的网络，于是就有了用于大型网络的分布式入侵检测系统，如：j i n a o ， e m e r a l d ，g r i d s 等。这种分布式入侵检测方法的容错能力强，扩展能力强，能检 测大范围的网络入侵活动。目前，对广域网范围的入侵活动的检测和必要的入侵反 应机制，如自动恢复、对入侵者进行跟踪等，是网络入侵检测系统研究的重点。 当前国际上最先进的入侵检测系统是美国i s s 公司的r e a l s e c u r e ，它采用了智 能攻击识别技术。其它公司开发的入侵检测工具，如：n a i 公司的c y b e r c o pm o n i t o r ， a x e n t 的n e t p r o w l e r 和c i s c o 的n e t r a n g e r 等，也有比较完善的功能和较强的实用 性，能对大量攻击和系统误用特征进行识别，并采取及时的入侵反应措施【6 j 。 近年来，国内计算机安全特别是网络安全已成为研究热点。但在入侵检测技术 方面国内的研究还只是刚刚起步，处于跟踪国外技术阶段，投入实际使用的入侵检 测系统很少，而且系统功能还比较简单。主要产品包括：紫光网络推出的网络安全入 侵检测系统一u n i s l d s 、联想网御入侵检测系统以及东软的n e t e y e 2 0 网络入侵检测 系统等。 尽管现在入侵捡测技术取得了很大的进展，但仍然存在很多问题，特别是在入 侵检测技术方面，现在国内外专家都在寻找更有效的入侵检测手段。把协议分析技 术应用到入侵检测技术中，就是一个很有效的方法。 1 3 论文课题的研究内容和论文构成 本论文从网络安全的角度说明了入侵检测系统的重要性，详细介绍了入侵检测 系统的相关背景知识和各种入侵检测技术，着重研究了基于网络的入侵检测技术。 论文提出在网络协议分析中进行入侵检测，对网络协议分析技术在入侵检测系统中 - 3 一 东北大学硕士学位论文 第一章绪论 的应用做了深入研究。本文在w i n d o w s 平台下设计了一个网络入侵检测系统，该系 统参照c i d f 标准。 论文主要包括以下主要内容： 第一章：绪论。本章主要介绍了入侵检测技术研究的意义，国内外发展现状和 本课题研究内容。 第二章：入侵检测系统。本章概述了入侵检测系统的定义及有关技术，入侵检 测系统的分类，入侵检测系统的标准化和入侵检测的发展方向等。 第三章：协议分析。本章介绍了各种常见的网络协议，讨论了协议分丰厅的原理 及其技术优势。 第四章：网络入侵检测系统的设计。本章讨论了网络入侵检测系统的设计原理， 网络拓扑部署，分析了网络入侵检测系统的主要功能要求。 第五章：基于协议分析技术的网络入侵检测系统的设计与实现。本章详细讨论 了w i n d o w s 平台下基于协议分析技术的网络入侵检测系统的设计与实现过程，主要 有网络数据报采集模块，网络协议解析模块，监测模块，规煲q 解析模块，决策响应 模块，存储模块和界面管理模块等。本章还详细分析了网络数据报采集模块设计， 协议解析模块设计，响应模块设计，存储模块设计和界面管理模块设计。 第六章：检测模块和规则解析模块设计。本章介绍了入侵事件分析方法，建立 了一种基于协议分析的入侵事件描述语言，详细讨论了该语言的特征的选择，规则 选项和规则的格式等。在此基础上详细分析了检测模块和规则解析模块的设计和实 现过程。 第七章：全文总结与后续工作。 4 东北大学硕士学位论文 第二章八慢检测系统 第二章入侵检测系统 2 1 入侵检测的产生原因 传统的安全技术都集中在系统自身的加固和防护上。比如，在网络出口配置防 火墙、在信息传输和存储中采用加密技术、使用集中豹身份认证产品等【”。 然而，单纯的防护技术有许多方面的问题： ( 1 ) 单纯的防护技术容易导致系统的盲目建设，这种盲目包括两方面：一方面 是不了解安全威胁的严竣和当前的安全现状；另一方面是安全投入过大而又没有真 正抓住安全的关键环节，导致不必要的浪费。 ( 2 ) 保证信息系统安全的经典手段是“存取控制”或“访问控制”，这种手段在经 典的以及现代的安全理论中都是实行系统安全策略的最重要的手段。但迄今为止， 软件工程技术还不可能百分之百地保证任何一个系统( 尤其是底层系统) 中不存在安 全漏洞。而且，无论在理论上还是在实践中，试图彻底填补一个系统的安全漏洞都 是不可能的，也还没有一种切实可行的办法解决合法用户在通过“身份鉴别”或“身份 认证”后滥用特权的问题。 ( 3 ) 防火墙策略对于防范黑客有其明显的局限性。谱j h ： 防火墙的并发连接数限制容易导致拥塞或者溢出。由于要判断、处理流经防火 墙的每一个包因此防火墙在某些流量大、并投请求多的情况下，根容易导致拥塞， 成为整个网络的瓶颈影响性能。而当防火墙溢出的时候，整个防线就如同虚设，原 本披禁止的连接也能从容通过了。 防火墙对服务器合法开放的端口的攻击大多无法阻止。某些情况下，攻击者利 用服务器提供的服务进行缺陷攻击。例如利用开放了3 3 8 9 端口取得没打过s p 孙丁 的w i n 2 0 0 0 的超级权限、利用a s p 程序进行脚本攻击等。由予其行为在防火墙一级 看来是“合理”和“合法”的，因此就被菏单地放行了。 防火墙对待内部主动发起连接的攻击一般无法阻止。防火墙的安全控制只能作 用于外对内或内对外，窜：对辨可屏蔽内部网的拓扑结构，封锁外部网上的用户连 接内部网上的重要站点或某些端口，对内可屏蔽外部凫险站点，但它很难解决内部 网络控制内部人员的安全问题。即防辨不防内。而据权威部门统计结果表明，网络 上的安全攻击事件有7 0 以上来自内部攻击。 防火墙只实现了粗粒度的访问控制，且不能与企业内部使用的其它安全机制( 如 防火墙只实现了粗粒度的访问控制，且不能与企业内部使用的其它安全机制( 如 5 东北大学硕士学位论文第二章入侵检测系统 第二章入侵检测系统 2 1 入侵检测的产生原因 传统的安全技术都集中在系统自身的加固和防护上。比如，在网络出口配鼍防 火墙、在信息传输和存储中采用加密技术、使用集中的身份认证产品等【7 i 。 然而，单纯的防护技术有许多方面的阀题： ( 1 ) 单纯的防护技术容易导致系统的盲目建设，这种盲目包括两方面：一方面 是不了解安全威胁的严峻和当前的安全现状；另一方面是安全投入过大而又没有真 正抓住安全的关键环节，导致不必要的浪费。 ( 2 ) 保证信息系统安全的经典手段是“存取控制”或“访阀控制”，这种手段在经 典的以及现代的安全理论中都是实行系统安全策略的最重要的手段。但迄今为止， 软件工程技术还不可能百分之百地保证任何个系统( 尤其是底层系统) 中不存在安 全漏洞。而且，无论在理论上还是在实践中，试图彻底填补一个系统的安全漏洞都 是不可能的，也还没有一种切实可行的办法解决合法用户在通过“身份鉴别”或“身份 认证”后滥用特权的问题。 ( 3 ) 防火墙策略对于防范黑客有其明显的局限性。诸如： 防火墙的并发连接数限制容易导致拥塞或者溢出。由于要判断、处理流经防火 墙的每一个包，因此防火墙在某些流量大、并发请求多的情况下，很容易导致拥塞， 成为整个网络的瓶颈影响性能。而当防火墙溢如的时候，整个防线就如同虚设，原 本被禁止的连接也能从容通过了。 防火墙对服务器合法开放的端口的攻击大多无法阻止。某些情况下，攻击者利 用服务器提供的服务进行缺陷攻击。例如利用开放了3 3 8 9 端口取得没打过s p 补j _ _ 的w i n 2 0 0 0 的超级权限、利用a s p 程序进行脚本攻击等。由于其行为在防火墙级 看来是“合理”和“合法”的，因此就被简单地放行了。 防火墙对待内部主动发起连接的攻击一般无法阻止。防火墙的安全控制只能作 用于外对内或肉对外，即：对外可屏蔽内部网的拓扑结构，封锁夕 部网上的用户适 接内都网上的重要站点或某些端口，对内可屏蔽外部危险站点，但它很难鳃决内部 网络控制内部人员的安全问题。即防步 不防内。而据权威部门统计结果表明，网络 上的安全攻击事件有7 0 以上来自内部攻击。 防火墙只实现了粗粒度的访问控制，且不能与企业内部使用的其它安全机制( 如 5 东北大学硕士学位论文 第二章入侵检测系统 访问控制) 集成使用，这样，企业就必须为内部的身份验证和访问控制管理维护单独 的数据库。 针对日益严重的网络安全闻题和越来越突出的安全需求，“可适应网络安全模 型”和“动态安全模型”应运而生。而入侵检测系统在动态安全模型中占有重要的地 位。 入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和 误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵 深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国外入侵检 测产品市场的蓬勃发展就可以看出。在国内，随着上网的关键部门、关键业务越来 越多，追切需要具有自主版权的入侵检测产品。但现状是入侵检测还不够成熟，处 于发展阶段，或者是防火墙中集成较为初级的入侵检测模块，所以对于入侵检测系 统的研究是很重要的【1 】1 2 】【引。 入侵检测：顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机 系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反 安全策略的行为和被攻击豹迹象。进行入侵检测的软件与硬件的组合便是入侵检测 系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) 。与其他安全产品不同的是，入侵检测 系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。 d s 方面检测未经授权的对象对系统的入侵，另一方面还监视授权对象对系统资源的 非法操作。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的 运行。 2 2 入侵检测系统分类 研究一种技术或者系统的基本方法之一是分类，分而治之也是人类学习的一种 习惯。对于入侵检测技术而言，也是如此。随着入侵检测技术的发展，到自前为止 出现了很多i d s ，不同的i d s 具有不同的特征，也体现了对i d s 理解的不同侧面。 根据不同的分类标准，i d s 可分为不同的类别。对于i d s ，要考虑构因素( 分类依据) 主要有：信息源、入侵、事件生成、事件处理、检测方法等。 t d s 要对其所监控的网络或主机的当前状态做如判断，并不是凭空臆测，它耍 以原始数据中包含的信息为基础，做出判断。按照原始数据的来源，可以将i d s 分 为基于主机的入侵检测系统( h i d s ) 、基于网络的入侵检测系统( n i d s ) 和基于分 布式的入侵检测系统( d i d s ) 【2 】【9 【10 1 。 ( 1 ) 基于主机的入侵检测系统( h i d s ) 6 东北大学硕士学位论文 第二章八侵检测系统 h i d s 主要用于保护运行关键应用的主机。主机型入侵检测系统往往以系统f 1 志、应用程序日恚等作为数据源，当然也可以通过其他手段( 如监督系统调用) 从 所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统，其 检测的目标主要是主机系统和系统本地用户，检测原理是根据主机的审计数据和 系统日志发现可疑事件。检测系统可以运行在被检溯的主机或单独的主机上。其系 统结构图如图2 1 所示。 j0 i 配置系统la 役检测器吲虚急措施 甲彳 ff 系上作 fl 审计记录 i l主机系统 f 图2 1 基于主机的i d s 系统结构 f i g u r e2 1s y s t e ms t r u c t u r eo fh 1 d s h i d s 的优点有： 1 ) 能确定攻击是否成功。主杌是攻击的目的所在，所以h i d s 使用含有己发乍 的事件信息，可以比n i d s 更加准确地判断攻击是否成功。 2 ) 监控粒度更细。h i d s 监控的目标明确，视野集中，它可以检测一些n i d s 不能检测的攻击。它可以很容易地监控系统的一些活动，如对敏感文件、艮录、程 序或端口的存取等。 3 ) 配置灵活。每一个主机有自己的h i d s ，用户可根据自己的实际情况对其进 行配置，检测待定主机的活动。 4 ) 可用于加密以及交换的环境。h i d s 非常适合于加密和交换环境，加密和交 换设备加大了n i d s 收集信息的难度，但由于h i d s 安装在要监控的主机上，所以 根本不会受这些因素的影响。 5 ) 对网络流量不敏感。h i d s 一般不会因为网络流量的增加丽丢掉对网络行为 的监视。 6 ) 不需要额外的硬件。 h i d s 的主要缺点是：它会占用主机的资源：在服务器上产生额外的负载；缺乏 7 东北大学硕士学住论文第二章入侵捡测系统 平台支持，可移植性差，因而应用范围受到严重限制。 ( 2 ) 基于网络的入侵检测系统n i d s 随着计算机网络技术的发展，单纯依靠主机审计信息进行入侵检测难以适应嗣 络安全豹需要。人们提出了n i d s 体系结构，这种捡测系统根据网络流量，网络数 据包和网络协议来分析入侵检测，基本结构如图2 2 所示。n i d s 一般放在比较重要 的网段内，使用专门的软硬件在网卡为混杂模式下截获数据包，对每一个数据包进 行特征分析。如果数据包与内置的数据库中的某条规则相吻合，n i d s 就会发出安 全响应。 图2 2 基于网络的i d s 系统结构 f i g u r e 2 2s y s t e ms t r u c t u r eo f n i d s n i d s 的数据来源主要包括： 1 ) 简单网络管理协议信息( s i m p l en e t w o r km a n a g e m e n tp r o t o c o li n f o r m a t i o n ) ： s n m p 的管理信息库m i b ( m a n a g e m e n t i n f o r m a t i o n b a s e ) 是专门存放网络管理的目的 地，它包含了网络的配置信息以及大量的性能和记张信息。s n m p 目前有3 个版本， 前两个版本缺乏安全性。目前，很多的n i d s 开始利用s n m p v 3 作为安全审计的数 据来源。 2 ) 网络数据包( n e t w o r k p a c k e t s ) ：随着集中式计算方式向分布式计算方式的转 移，越来越多的计算活动发生在网络上。通过捕获网络数据包，可以防止基于包序 列攻击和包内容攻击。目前，几乎所有的n i d s 都采用捕获网络数据包的方法。 3 ) 其它：防火墙的审计信息也常成为n i d s 的重要辅助信息，用来分析入侵的 过程。包过滤和应用代理服务器是网络的必经之路，入侵者不注意会留下入侵痕迹。 我们通过分析代理的日志蒇能发瓒异常现象。多次网络连接失败，可能出现入侵行 8 东北大学硕士学位论文第二章入侵检测系统 为。 n i d s 主要有以下优势： ( 1 ) 拥有较低的成本。 ( 2 ) 视野更宽。可以检测一些主机检测不到的攻击，如泪滴( t e a rd r o p ) 攻击， 基于网络的s y n 洪水等。还可以检测不成功的攻击和恶意企图。 ( 3 ) 攻击者不易转移证据。n i d s 使用正在发生的网络通信进行实时攻击的检 测。所以攻击者无法转移证据。被捕获的数据不仅包括攻击的方法，而且还包括可 识别黑客身份和对其进行起诉的信息。许多黑客都熟知审计记录，他们知道如何操 纵这些文件掩盖他们的作案痕迹，如何阻止需要这些信息的h i d s 去检测入侵。 ( 4 ) 监测速度快。基于网络的监测器通常能在微秒或秒级发现问题。而大多 数基于主机的产品则要依靠对最近几分钟内审计记录的分析。 ( 5 ) 能够作到实时检测和响应，一且发现入侵酊为就立即中止攻击t 丽且町 以发现末成功的入侵及时进行终止。 ( 6 ) 隐蔽性好。一个网络上的监测器不像一个主机那样显眼和易被存取，因 而也不那么容易遭受攻击。基于网络的监视器不运行其他的应用程序，不提供网络 服务，可以不响应其他计算机，因此可以做得比较安全。丁以检测到未成功的入侵。 ( 7 ) 操作系统无关性。n i d s 作为安全监测资源，与主机的操作系统无关。与 之相比，h i d s 必须在特定的、没有遭到破坏的操作系统中才能正常工作，生成有 用的结果。 n i d s 的不足主要有： ( 1 ) 只检奄它直接连接网段的通信，不能检测在不同网段的网络包。在使f 1 1 交换以太网的环境中就会出现监测范围的局限，而安装多台网络入侵检测系统的传 感器会使部署整个系统的成本大大增加。 ( 2 ) 尽管k i d s 检测到入侵，但没有可靠方式把数据包的信息和实际用户对虑 起来，难以定位入侵者。 ( 3 ) 随着网络技术的发展，以前的广播网络向交换式网络发展，原有广播劂 络被切割成非常小的网络，这样依赖于网络嗅探器( s n i f f c r ) 获得检测数据的方法受到 极大的限制，并且在交换环境下难以配置。 ( 4 ) 网络数据包加密处理有利于数据传输的安全，但是限制了n 1 d s 从网络数 据包中发现异常数据而加密数据包的方式很有可能被入侵者傻用，以便隐藏入侵踪 迹。 ( 3 ) 基于分布式的入侵检测系统( d i d s ) 9 东北是学硕士学位论文 第二章入侵检测系统 随着网络结构的日益复杂化、大型化，入侵检测也遇到了许多新的课题。如： i ) 系统的弱点或漏洞分散在网络中各个主机上，这些弱点有可能被入侵者 起用来攻击网络，而依靠单一的h l d s 或n i d s 不会发现入侵行为。 2 ) 入侵行为不再是单一的行为，而是表现出相互协作入侵的特点。例如分布 式拒绝服务攻击。 3 ) 入侵检测所依靠的数据来源分散化，收集原始的捡测数据变的困难。如交 换型网络使得监听网络数据包受到限制。 4 ) 网络的传输速度加快，网络的流量大，集中处理原始的数据方式往往造成 检测瓶颈从而导致漏检。 在这种情况下，各种基于协同工作的分布式入侵检测系统方案就被不断提出， 并得到了定的发展。d i d s 系统通常由数据采集构件、通信传输构件、入侵检测 分析构件、应急处理构件和管理构件组成。基本过程如图2 3 所示。这些构件可根 据不同情形组合，例如数据采集构件和通信传输构件组合就产生出的新的构件，这 新的构件能宠成数据采集和传输的两种任务。所有的这些构件组合起来就变成了。一 个i d s 。同时，构件按网络配置情况和检测需要可以安装在单独的台主机上或者 分散在网络中不同位置，甚至一些构件能够单独地检测本地的入侵，并提供入侵检 测的局部结果信息到入侵检测管理中心。 图2 3 分布武入侵检测系统d i d s 系统结构图 f i g u r e2 3s y s t e ms t r u c t u r eo fd i d s 各构件的功能如下： ( 1 ) 数据采集构件。收集检测使用的数据，可驻留在网络中的主机上或安装 在网络中的监测点。需要通信传输构件的协作，将收集的信息传送到入侵检测分析 构件处理。 ( 2 ) 通信传输构件传递检测的结果、处理原始的数据和控制命令，一股需要 和其他构件协作完成通信功能。 ( 3 ) 入侵检测分析构件根据检测的数据，采用检测算法，对数据进彳亍误j e j 分 1 0 东北大学硕士学位论文 第二章八侵检测系统 析和异常分析，产生检测结果、报警和应急信号。 ( 4 ) 应急处理构件按入侵检测的结果和主机、网络的实际情况，做出决策判 断，对入侵行为进行响应。 ( 5 ) 用户管理构件管理其它的构件的配置，产生入侵总体报告，提供用j - 和 其它构件的管理接口，图形化工具或者可视化的界面，供用户查询、配置入侵检测 系统情况等。 d i d s 系统结构对大型网络的安全是需要的，它能够将基于主机和网络的系统 结构结合起来，检测所用到的数据源丰富，可以克服前硬者的弱点但由于是分布式 的结构，所以带来了新的弱点。如，传输安全事件过程中增加通信的安全问题处理， 管理复杂度增加等。 2 3 入侵检测技术 分析系统可以采用两种类型的检测技术：异常检测( a n o m a l yd e t e c t i o n ) 和误用枪 沏j ( m i s l l s ed e t e c t i o n 、 n i l l 2 1 。 2 _ 3 1 异常检测 异常检测也被称为基于行为的检测，基于行为的检测指根据使用者的行为或资 源使用状况来判断是否入侵。基于行为的检测与系统相对无关，通用性较强。它甚 至有可能检测出以前未出现过的攻击方法，不像基于知识的检测那样受已知脆弱性 的限制。但因为不可能对攘个系统内的所有用户行为进行全面的描述，况且每个用 户的行为是经常改变的，所以它的主要缺陷在于误检率很高f 5 。尤其在用户数目众 多，或工作目的经常改变的环境中。其次由于统计简表要不断更新，入侵者如果知 道某系统在检测器的监视之下，他们能慢慢地训练检测系统，以至子最初认为是异 常的行为，经一段时间训练后也认为是正常的了。异常检测的模型如图2 4 所示。 异常检测方法主要有以下两种： ( 1 ) 统计分析 概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先， 梭测器根据用户对象的动作为每个用户都建立个用户特征袭，通过比较当前特征 与已存储定型的以前