（系统分析与集成专业论文）基于模式匹配和协议分析的网络入侵检测系统的研究及实现.pdf

摘要 摘要 入侵检测技术是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术， 对提高计算机网络防攻击水平、扩展系统管理员的安全管理能力有重要意义。 本文分析了入侵检测技术的研究现状，阐述了网络入侵的流程以及入侵检测系统的标 准结构，在此基础上提出模式匹配和协议分析技术相结合的思想。在深入研究入侵检测系 统常用的模式匹配方法的基础上，提出了改进的b m 算法，并将协议分析方法应用到网络入 侵检测系统中，给出了基于模式匹配和协议分析的网络入侵检测系统模型和设计过程。 本文构建的入侵检测系统分为数据包捕获模块、预处理模块、规则解析模块、协议分 析模块、规则匹配模块、规则匹配模块和响应模块。数据包捕获模块负责从网络上获取数 据包；预处理模块对当前截获的数据包进行相关的处理，解决了p 包分片重组、t c p 流重 组问题；规则解析模块给出了规则的设计；协议分析模块根据服务和协议的不同对入侵检 测规则库进行分类，详细地探讨了i p 、t c p 、u d p 等协议的分析过程；规则匹配模块采用 了改进的b m 算法，加快了匹配速度；响应模块对检测到的入侵行为做出相应的反应。 本文最后使用m i t 林肯实验室提供的入侵检测测试数据集进行实验。对改进后的 n i d s 系统进行了测试，并和采用b m 算法的s n o r t 系统进行了比较，n i d s 无论是在误报 率、漏报率、检测率和检测时间上都有了改进，随着各种新攻击的层出不穷，n i d s 将更有 优势。 关键词：入侵检测，模式匹配，协议分析 a b s t r a c t a b s t r a c t i n t r u s i o nd e t e c t i o nt e c h n o l o g yi st h es e c u r i t yt e c h n o l o g yo fn e wg e n e r a t i o n , w h i c h c o n t i n u e st h et r a d i t i o n a ls a f ep r o t e c t i v em e a s u r e s ，s u c ha sf i r ew a l l ，t h ed a t ae n c r y p t e de t c i t p l a y sa ni m p o r t a n tr o l e i ne n h a n c i n gt h el e v e lo fa n t i - a t t a c k so nc o m p u t e r sn e t w o r k , a n d e x p a n d i n gs e c u r i t ym a n a g e m e n ta b i l i t yo fs y s t e mm a n a g e n t h i sp a p e ra n a l y z e dt h er e s e a r c hs t a t u so fi n t r u s i o nd e t e c t i o nt e c h n o l o g y , d e s c r i b e dt h e p r o c e s so fn e t w o r ki n t r u s i o na n dt h es t a n d a r ds t r u c t u r eo fi n t r u s i o nd e t e c t i o ns y s t e m , o nt h e b a s i so ft h e s ev i e w s ，t h ea u t h o rp u tf o r w a r d st h ei d e at h a tp a t t e r nm a t c h i n gc o m b i n e sw i t ht h e t e c h n o l o g yo fp r o t o c o la n a l y s i s a f t e rd e e p l yh a v i n gas t u d yo nc o m m o np a t t e r nm a t c h i n g m e t h o d so fi n t r u s i o nd e t e c t i o ns y s t e m , t h ea u t h o rb r o u g h tf o r w a r da ni m p r o v e db m f l g o f i t h m b yi n t r o d u c i n gt h em e t h o do fp r o t o c o la n a l y s i st ot h en e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m ，t h e a u t h o rs e tf o r t ht h em o d e lo fn e t w o r ki n t r u s i o n d e t e c t i o ns y s t e mb a s e do np a t t e r nm a t c h i n ga n d p r o t o c o la n a l y s i s t h ei d si n t h i sp a p e ri sd i v i d e di n t os i xp a r t s t h e ya r ep a c k e tc a p t u r i n gm o d u l e ， p r e p r o c e s s o rm o d u l e ，r u l ea n a l y s i sm o d u l e ，p r o t o c o la n a l y s i sm o d u l e ，r u l em a t c h i n gm o d u l ea n d r e s p o n s em o d u l e t h ep a c k e tc a p t u r i n gm o d u l ei sc h a r g eo fc a p t u r i n gp a c k e t sf r o mn e t w o r k t h e p r e p r o c e s s o rm o d u l ei sr e s p o n s i b l ef o rr e l a t e dp r o c e s so nt h ep a c k e t sw h i c hc a p t u r e df i o m n e t w o r k , a n dr e s o l v et h ep r o b l e mi pp a c k e t sr e s t r u c t u r i n ga n dr e o r g a n i z a t i o no ft c pd a t a f l o w t h er u l ea n a l y s i sm o d u l eg a v et h er u l e so fd e s i g n a c c o r d i n gt ot h ed i f f e r e n c eb e t w e e ns e r v i c e s a n d p r o t o c o l s ，t h er u l em a t c h i n g m o d u l em a d eac l a s s i f i c a t i o no ni n t r u s i o nd e t e c t i o nr u l e sl i b r a r y t h ea n a l y s i sp r o c e s so fi p , t c pa n du d p p r o t o c o lw e r ed e e p l yd i s c u s s e d a st h ei m p r o v e db m a l g o r i t h mi sb e e nu s e di nr u l em a t c h i n gm o d u l e ，t h em a t c h i n gs p e e di sb e e na c c e l e r a t e d t h e r e s p o n s em o d u l em a d er e l a t e dr e s p o n s eo ni n t r u s i o nb e h a v i o r sw h i c h w e r ed e t e c t e d f i n a l l y , t h ep a p e ru s e st h ei n t r u s i o nd e t e c t i o nt r a i n i n gd a t af r o mm i t l i n c o l nl a b o r a t o r yt o t e s tt h es y s t e m c o m p a r i n gw i t ht h es n o r t , e x p e r i m e n t a ld a t as h o w st h a tt h en e ws y s t e mi sb e t t e r o nf a l s en e g a t i v er a t e ，f a l s ep o s i t i v er a t e ，d e t e c t i o nr a t ea n dt i m e w i t hav a r i e t yo fn e wa t t a c k s , n i d sw i l lb em o r ea d v a n t a g e 。 k e y w o r d s ：i n t r u s i o nd e t e c t i o n , p a t t e r nm a t c h i n g , p r o t o c o la n a l y s i s 缩写词表 缩写词表 c d fc o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k c i s lc o m m o ni n t r u s i o ns p e c i f i c a t i o nl a n g u a g e d d o sd i s t r i b u t e dd e n i a lo fs e r v i c ea t t a c k d i d sd i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m d o sd e n i a lo fs e r v i c ea t t a c k g i d og e n e r a l i z e di n t r u s i o nd e t e c t i o no b j e c t s i di n t r u s i o nd e t e c t i o n i d e si n t r u s i o nd e t e c t i o n e x p e r ts y s t e m i d r i n t r u s i o nd e t e c t i o na n dr e s p o n s e i d si n t r u s i o nd e t e c t i o ns y s t e m i d w gi n t r u s i o nd e t e c t i o nw o r k i n gg r o u p 肼硼把i n t e m e t e n g i n e e r i n gt a s kf o r c e n i d e sn e x t - g e n e r a t i o ni n t r u s i o nd e t e 州o ns y s t e m n i d sn e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m n s mn e t w o r ks e c u r i t ym o n i t o r p mp a t t e r nm a t c h i n g 入侵检测框架 公共入侵规范语言 分布式拒绝服务攻击 分布式入侵检测系统 拒绝服务攻击 统一入侵检测对象 入侵检测 入侵检测专家系统 入侵检测与响应 入侵检测系统 入侵检测工作组 国际互联网工程任务组 下一代入侵检测系统 网络入侵检测系统 网络安全监视器 模式匹配 学位论文独创性声明 本人郑重声明： 1 、坚持以。求实、创新一的科学精神从事研究工作。 2 、本论文是我个人在导师指导下进行的研究工作和取得的研究成果。 3 、本论文中除引文外，所有实验、数据和有关材料均是真实的。 4 、本论文中除引文和致谢的内容外，不包含其他人或其它机构已经发 表或撰写过的研究成果。 5 、其他同志对本研究所做的贡献均已在论文中作了声明并表示了谢意 作者签名：麟 日期：趟3 ：l z 勺 学位论文使用授权声明 本人完全了解南京信息工程大学有关保留、使用学位论文的规定，学校 有权保留学位论文并向国家主管部门或其指定机构送交论文的电子版和纸 质版；有权将学位论文用于非赢利目的的少量复制并允许论文进入学校图书 馆被查阅；有权将学位论文的内容编入有关数据库进行检索；有权将学位论 文的标题和摘要汇编出版保密的学位论文在解密后适用本规定 作者签名。匦聋 日 期：塑驾。b ：2 关于学位论文使用授权的说明 本人完全了解南京信息工程大学有关保留、使用学位论文的规定，即：学校有权保留送 交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部分内容，可以采用 影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵循此规定) 作者签名：盔蜜聋 e t 期：望塑：鲣 导师签名： 日期： 第一章前言 1 1 问题的提出 第一章前言 随着网络技术的不断发展，计算机系统已经从独立的主机发展到复杂的、互连的开放 式系统，这给人们在信息利用和资源共享上带来了很大的便利。与此同时，人们也面临着 由于入侵而引发的一系列安全问题的困扰。社会经济的发展要求各用户之间的通信和资源 共享，需要将一批计算机连成网络，这样就隐含着很大的风险，包含了极大的脆弱性和复 杂性，特别是当今最大的网络一国际互联网，很容易遭到别有用心者的恶意攻击和破坏。 随着国民经济信息化程度的提高以及网络应用范围的扩大，有关的大量情报和商务信息都 高度集中地存放在计算机中，信息的泄露问题变得日益严重，计算机网络的安全性和保密 性问题也越来越重要。因此，计算机网络必须有足够强的安全保障，否则该网络不仅是无 用的，还会为国家安全带来危割1 1 。 试图破坏信息系统的完整性、机密性、可用性的任何网络活动都称为网络入侵 2 1 。防 范网络入侵最常用的方法就是防火墙，它是设置在不同网络( 如可信任的企业内部网和不 可信任的公共网) 或网络安全域之间的一系列部件的组合，属于网络层安全技术，多数情 况下，其作用是为了保护与互联网相连的企业内部网络或单独节点。它具有简单实用的特 点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。但是， 防火墙只是一种被动防御性的网络安全工具，仅仅使用防火墙是不够的。首先，入侵者可 以找到防火墙的漏洞，绕过防火墙进行攻击。其次，防火墙对来自内部的攻击无能为力。 它所提供的服务方式是要么都拒绝，要么都通过，而这是远远不能满足用户复杂的应用要 求的。在这种情况下，入侵检测技术应运而生。 入侵检测技术是动态安全技术的核心技术之一。传统的操作系统加固技术和防火墙隔 离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。目 前，利用最新的可适应网络安全技术和i 萨d r 3 1 ( p o l i c yp r o t e c t i o nd e t e c t i o nr e s p o n s e ) 安全模 型( 如图1 1 所示) ，已经可以深入地研究入侵事件、入侵手段本身以及被入侵目标的漏洞 等内容。 信息基础设施的重要性，决定了网络入侵检测与预警的必要性。当我们像需要雷达来 保卫领空一样地需要网络预警来保卫网络时，投入人力、物力和财力来攻克网络预警的关 键技术，研制和开发实用的网络入侵检测与预警系统便成为十分必要的举措由于所有的 安全威胁都有可能以攻击、入侵、渗透、影响、控制和破坏网络及网上信息系统作为重要 第一章前言 圈1 - 1p 2 d r 动态安全模型 手段。因此，对来自阿上的破坏活动的监控与审计是防范的先决条件，是构筑信息安全环 境重要而必不可少的环节。 1 2 国内外研究现状 早在上世纪8 0 年代，国外一些组织就开始了 侵检测领域相关的基础理论研究工作。 随着计算机系统软、硬件的飞速发展，以及网络技术、系统工程、计算智能、人工神经网 络、分布式计算系统等新兴理论与前沿技术的不断完善和发展入侵检测技术本身也处在 不断演变过程中。1 9 8 0 年j a m e sp a n d e r s o n 发表了一篇名为( 计算机安全威胁监测【】 ( “c o m p u t e rs e c u r i t y t h r e a t m o n i t o r i n ga n ds u r v e i l l a n c e ”) 的文章，首次明确给出了入侵的 概念，将入侵划分为外部闯入、内部授权用户的越权使用和滥用三种类型，并提出用审计 追踪来监视入侵威胁。1 9 8 7 年，d o r o t h y d e n n i n g 的论文入侵检测模型”y “a n i n t r u s i o n d e t e c t i o n m o d e l ”) 提出的理论架构更是启发了很多读者，从而奠定了入侵检测系统商业产 品的理论基础。d o r o t h y d e n n i n g 在论文中给出了一种不依鞍于特殊系统、应用环境、系统 缺陷和入侵类型的通用入侵检测专家系统框架，简称i d e s 模型( 如图】2 所示) 。 它的基本思路为：入侵者的行为和合法用户的异常行为是可以从系统合法用户的正常 行为中区分出来的。为了定义一个用户的正常行为就必须为这个用户建立和维护一系列的 行为轮廓配置，这些配置描述了用户正常使用系统的行为特征。i d e s 可以利用这些配置来 监控当前用户活动并与以前的用户活动进行比较，当一个用户的当前活动与以往活动的差 别超出某些预定义的边界条件，即轮廓配置的各项阈值时，这种活动就被认为是异常的， 并且它很可能是一种入侵行为。 1 9 9 0 年，h c b e r l e i n 等提出新概念：基于网络的入侵检测n s m ( n e t w o r ks e c u r i t y m o n i t o r ) p ”。从此，入侵检测被分为两个基本类型：基于主机和基于网络的。 第一章前言 图1 - 2 d e s 模型 1 9 9 1 年，n a d i r ( n e t w o r k a n o m a l yd e t e c t i o na n di n t r u s i o nr e p o r t ) 与d i d s ( d i s t r u i b u t e d i n u - u s i o nd e t e c t i o ns y s t e m ) 提出了收集和合并处理来自多个主机的审计信息来检测针对一 系列主机的协同攻击。 1 9 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d l 8 1 建议在i d s 中使用自治代理( a u t o n o m o m a g e n t s ) 来提高i d s 的可伸缩性、可维护性、效率和容错性。 1 9 9 5 年，i d e s 的完善版本n t d e s ( n e x t - g e n e r a f i o ni n t r u s i o nd e t e c t i o ns y s t e m ) 实现了可 以检测多个主机上的入侵。 1 9 9 6 年，g r i d s ( g r a p h - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) 1 9 1 的设计与实现使得对大规模 自动协同攻击的检测更为便利。 1 9 9 8 年，r o s sa n d e r s o n 和a b i d ak h a t t a k 1 0 1 将信息检索技术引进了入侵检测领域。 随着i n t e m e t 的日益膨胀，入侵、攻击事件频频发生。以2 0 0 3 年夏季的冲击波【1 1 l ( b l a s t e r ) 攻击为例，全球所有安装了微软w m d o w s 操作系统的p c 用户，几乎无人幸免，都受到了 不同程度的损失。另据国家计算机网络应急技术处理协调中心的统计数据【1 2 】表明，2 0 0 3 年 上半年仅网页篡改一项，我国大陆就至少有1 5 0 个网站的网页被篡改，其中包括8 7 个政府 网站。由此可见，网络用户迫切需要实时的、智能的入侵检测系统及其他安全保障措施的 出现，这些需求都进一步的推动了入侵检测的发展。 这几年，入侵检测的产品发展很快。国外比较流行的入侵检测系统也比较多，如美国 c i s c o 公司的n e t r a n g e r ，n e t w o r k s e c u r i t y w m a r d s ( n s w ) 公司的d r a g o n ，s o u r c e f i r e 的s n o r t ， n a i 公司的c y b e r c o pn e t w o r k ，a x e n t 公司的i t a 和n e t p r o w l e r ，n f r 公司的i n t r u s i o n d e t e c t i o na p p l i a n c e 4 0 、c e n t r a x 2 2 等【1 3 】。 3 第一章前言 在国内也开发了许多i d s 产品，据公安部计算机信息系统安全产品质量监督检验中心 的报告，国内送检的入侵检测产品9 5 是属于使用入侵规则进行模式匹配的特征检测产品， 其他5 是采用概率统计的检测产品与基于日志的专家知识库产品，主要有启明星辰的 s k y b e l l 入侵检测系统、中联绿盟“冰之眼”入侵检测系统、福建海峡“黑盾”入侵检测系 统、东软n e t e y e 入侵检测系统等，不过目前的市场产品大多数是采用基于模式匹配或者以 单模式匹配为主的检测机制【l 习。 随着对入侵检测研究的不断深入，人们在取得丰硕研究成果的基础上，也逐渐认识到 入侵检测研究中普遍存在的问题，如检测速率不适应现代高速网络通信的要求，入侵检测 系统中误报率和漏报率较高，入侵检测系统主动防御不足，以及与其它网络安全设备之间 的互动性不够。针对以上存在的问题，入侵检测的研究将会向分布式、智能化和全面的安 全防御方向发展。 1 3 课题研究的必要性 随着网络应用范围的不断扩大，对网络的各类攻击与日俱增，无论政府、商务，还是 金融、媒体的网站都在不同程度上受到入侵与破坏。网络安全已成为国家与国防安全的重 要组成部分，同时也是国家网络经济发展的关键。据统计信息窃贼在过去5 年中以2 5 0 的 速度增长，9 0 f i 勺大公司发生过大的入侵事件【1 6 1 。世界著名的商业网站，如y a h o o 、a m a z o n 、 c n n 都曾被黑客入侵，造成巨大的经济损失，甚至连专门从事网络安全的网站也受到黑客 的攻击。因此，现代的网络安全需要有一种更为积极的、有效的动态防御技术来加以保障， 而入侵检测技术就是继“防火墙”、“数据加密”等传统安全保护措施之后的新一代安全保 障技术。入侵检测技术作为一种积极主动的防御技术，能为系统的安全提供强有力的保护 入侵检测是信息安全中的重要研究内容之一，也是当前信息安全领域中的研究热点， 具有良好的学术发展前景。目前入侵检测的发展存在着以下主要缺陷： ( 1 ) 基于特征匹配的检测方式随着规则数增多性能下降。随着网络数据流量的增大， 攻击方式的多样化，不得不增多入侵规则数目从而使系统的处理负荷线性增加，结果对一 些攻击行为不能及时识别并做出响应，漏报问题显著。 ( 2 ) 检测分析方法单一。基于规则的入侵检测不能发现新的入侵行为，基于异常的入 侵检测很难发现渐进式入侵。 协议分析是新一代入侵检测系统探测攻击手法的主要技术，它利用网络协议的高度规 则性快速探测攻击的存在。 多种技术协同作业已经成为人们越来越关注的热点。融合传统模式匹配技术的优点， 4 第一章前言 将协议分析技术共同协作来发现攻击、做出响应并阻止攻击是关系整个系统安全性的重要 因素。本文正是以此为出发点，从改善现有网络入侵检测系统性能的角度出发，通过对b m 算法进行改进，建立新的模式匹配方法，提高检测速度这一系统瓶颈来解决高速网络中的 应用问题；利用协议分析技术发现网络中的异常报文从而标识出未知攻击，将其结合起来 运用在实际的入侵检测系统中，给出了一个基于模式匹配和协议分析的网络入侵检测系统 的模型。 1 4 论文的研究内容及组织结构 从二十世纪九十年代初期开始。入侵检测技术已经在全球范围内广泛用来保护公司、 组织的信息网络。但直到今天，绝大多数入侵检测系统的核心技术并没有获得明显进展， 还停留在靠基本的数据包捕获加以非智能模式匹配和特征搜索技术来探测攻击。协议分析 是新一代入侵检测系统探测攻击手法的主要技术，它利用网络协议的高度规则性快速探测 攻击的存在。本文主要对入侵检测的两种技术模式匹配和协议分析进行研究，对模式匹配 的经典算法b m 算法提出了改进，将模式匹配和协议分析结合起来运用在实际的入侵检测 系统中，给出了一个基于模式匹配和协议分析的入侵检测系统模型并开发了该系统，并对 系统性能进行了测试分析。 本论文内容安排如下： 第一章对计算机网络安全及入侵检测领域的发展背景和研究现状进行了论述，分析 了目前国p g # i - 入侵检测技术领域的研究状况，指出了广泛展开入侵检测相关课题研究的必 要性和紧迫性，同时提出本文所要解决的问题。 第二章分析了网络入侵的一般流程和典型的网络入侵方法，阐述了入侵检测系统的 标准化工作以及面临的主要问题和发展趋势。 第三章模式匹配算法的研究与改进。本章详细介绍了经典的模式匹配算法：k m p 算法和b m 算法的思想，并在此基础上给出了改进的b m 算法，并对改进的b m 算法进行 了测试。 第四章本章详细介绍了t c p i p 协议族模型，阐述了t c p i p 协议中数据包的封装过 程和协议分析的基本思想，接着介绍了协议分析技术的优势，提出协议分析和模式匹配相 结合的观点。 第五章给出了一个改进的基于模式匹配和协议分析的网络入侵检测系统模型，对各 模块进行了较为详细的设计。 第六章对所设计的系统进行了测试，最后对实验结果进行了分析。结果表明改进的 5 第一章前言 系统无论在漏报率、误报率、检测率和检测时间上都有了改进。 第七章总结。本章对论文所作的工作进行了总结。 1 5 本章小结 本章阐述国内外入侵检测技术的研究现状，针对目前入侵检测技术的缺陷提出了本 文的研究工作，给出了本文各章节的内容安排。 6 第二章入侵检测系统 第二章入侵检测系统 2 1 网络入侵的一般流程 网络入侵一般可分成以下几个步剩1 7 8 1 ： 第一步确定目标 当前，网络中充满大量黑客，这些人经常漫无目的地在网络上扫描，发现漏洞主机便 实施攻击，往往造成远程网络的瘫痪或者主机的破坏。 第二步信息收集 在确定被攻击的目标之后，网络入侵者往往进行信息的收集、汇总和分析。信息收集 的方式非常广泛，可以通过常见的网络搜索引擎来查询目标在因特网中暴露的各种信息， 也可以通过报纸、杂志甚至聊天等传统方式进行信息收集。 第三步漏洞挖掘 漏洞挖据包括漏洞扫描和漏洞分析。漏洞扫描是非常常见的方法，随着反入侵技术的 发展，直接实施大规模的漏洞扫描对网络入侵者来说具有一定的风险性。做好信息的收集 工作，可以通过漏洞分析的方法挖掘出网络入侵者可以利用的信息。例如，当发现远端主 机是操作系统w i n2 0 0 0 + 1 1 s 5 0 ，而且系统补丁为s l 2 时，网络入侵者可以在不实施漏洞 扫描的情况下，分析出远程系统可能存在的漏洞信息，直接利用w e b d a v 缓冲溢出方式进 行尝试攻击。 第四步实施攻击 目前最常见的网络攻击包括拒绝服务攻击、信息窃取、远程控制等几类。而网络攻击 者为了达到这些目的，实施攻击的手法也不尽相同。 第五步留下后门 黑客渗透主机系统之后，往往会留下后门以便后续再次入侵。留下后门的技术有多种 方法，包括增加管理员帐号、提升账户权限、安装木马等。 第六步清除日志 为了达到隐蔽自己入侵行为的目的，清除日志信息对于黑客来说是必不可少的。在现 实生活中，很多内部网络根本没有启动审计机制，这些入侵追踪造成了巨大的影响。 7 第二章入侵检测系统 2 2 典型网络入侵方法分析 安全威胁的表现形式有很多种，可以简单到仅仅干扰网络正常的运作( 通常把这种攻 击称为拒绝服务攻击( d o s ) ) ，也可以复杂到对选定的目标主动地进行攻击，修改或控制网 络资源。常见的安全威胁包括以下类型1 1 9 训。 1 口令破解； 2 漏洞攻击； 3 特洛伊木马攻击： 4 拒绝服务( d o s ) 攻击； 5 m 地址欺骗； 6 网络监听； 7 病毒攻击； 8 社会工程攻击。 通常情况下上述的威胁并不是单独存在的，实际上，大多数成功的攻击都是结合了上 述几种为威胁来完成的。例如，缓冲区溢出破坏了正常运行的服务，但破坏运行的目的是 执行未授权的或危险的代码，从而使恶意用户可以控制这台服务器。 网络入侵常见手法如下： 1 主机渗透 ( 1 ) 口令破解 口令是主机安全的第一道防线，猜解弱口令也是网络入侵者渗透主机系统行之有效的 方法。口令的安全与多种因素有关，如：口令的强度、口令文件的安全、口令的存储格式 等。弱口令是口令安全的致命弱点，从调查统计的角度来看只有1 5 的口令属于良好口令， 而良好口令仅仅意味着在暴力猜解中相对困难。增强口令的强度、保护口令存储文件和服 务器合理利用口令管理工具是避免网络入侵者利用口令破解渗透实施攻击的必不可少的措 施。 ( 2 ) 漏洞攻击 目前发现的网络设备和操作系统的漏洞多达上万种，而在操作系统渗透攻击中被网络 入侵者利用的最多的一种漏洞是缓冲溢出漏洞。缓冲溢出漏洞往往是开发者在编写代码时 缺少字符串检查机制而导致的，它带来了两种后果：一是过长的字符串覆盖相邻的存储单 元，引起程序运行失败，严重的可引起关机、系统重新启动等后果。二是利用这种漏洞可 以执行任意指令，甚至可以取得系统特权，由此引发了更多的攻击方法。发现缓冲溢出漏 8 第二章入侵检测系统 洞并非十分简单的事情，然而缓冲溢出漏洞一旦被发现，利用缓冲溢出漏洞实施攻击却是 十分简单有效的。 除此以外，利用漏洞的攻击还有u n i c o d e 编码漏洞、s q li n j e c t i o n 漏洞等。整体上来 讲，漏洞大多是由于开发者的疏忽造成的。 ( 3 ) 特洛伊木马攻击 远程控制是网络管理人员进行网络维护经常采用的一种方法，这种方法简化了管理员 的日常维护工作。常见的远程控制工具包括：m i c r o s o f t 的远程桌面， s n m a n t e c 的 p c a n y w h e r e ，v n c 等。从技术上来讲，特洛伊木马技术是远程控制技术的一个实现，它 最典型的做法就是把一个能帮助黑客完成某特定动作的程序依附在某一合法用户的正常 程序中，改变合法用户的程序代码。一旦用户触发该程序，那么依附在内的黑客指令程序 同时被激活，这些代码往往能完成黑客指定的任务。特洛伊木马和商业远程管理工具相比 具有以下几个特点。 在未经授权情况下渗透远端主机； 被控制端的应用程序非常短小，便于上传； 被控制端的应用程序在运行时不会弹出任何提示和界面； 被控制端的应用程序一般具有自我保护功能，因此难以查杀。 特洛伊木马不会自我复制和自动传播，这和计算机病毒、蠕虫不同。但是新型的特洛 伊木马已经开始和蠕虫技术、病毒技术进行结合，因此传播范围更广、破坏性更大、影响 更为广泛 2 网络攻击 ( 1 ) 拒绝服务攻击 d o s ( d e n i a lo f s e r v i c e ) e 1 0 1 攻击是一种对网络危害巨大的恶意攻击。其中，具有代表性 的攻击手段包括s y nf l o o d 、i c m p 舶0 d 、u d pf l o o d 等。其原理是使用大量伪造的连接请 求报文攻击网络服务所在的端口，比如8 0 ( w e b ) ，造成服务器的资源耗尽，系统停止响 应甚至崩溃。另外一些利用网络协议实现缺陷进行攻击的拒绝服务技术，包括p i n go f d e a t h 、t e a r d r o p 等也曾猖狂一时。近年来，这种入侵出现了更新更有力的表现形式，如 d d o s t i ) i s t r i b u t e dd e n i a lo f s e r v i c e ) ，即分布式拒绝服务攻击，它的精髓在于用许多台计算 机同时向目标网站发送大量信息，攻击范围更加广泛。 ( 2 ) i p 地址欺骗 p 欺骗技术就是伪造某台主机的p 地址的技术。通过p 地址的伪装使得某台主机能 够伪装成另外的一台主机，而这台主机往往具有某种特权或者被另外的主机所信任。入侵 9 第二章入侵检测系统 者可以利用口欺骗技术获得对主机的未授权访问，因为他可以发出这样的m 包，自称为 来自内部地址。当目标主机利用基于p 地址的验证来控制对目标系统中的用户访问时，这 些小诡计甚至可以获得特权和普通用户的权限。即使设置了防火墙，如果没有配置对本地 域中的资源p 包地址的过滤，这种欺骗技术仍然可以奏效。 ( 3 ) 网络监听 网络监听工具是提供给管理员的一类管理工具。使用这种工具，可以监视网络的状态、 数据流动情况以及网络上传输的信息。但是网络监听工具也是网络入侵者们常用的工具。 当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来实施攻击，将网络接 口设置为混杂模式，便可以源源不断地将网上传输的信息截获。 网络监听可以在网上的任何一个位置实施，如局域网的一台主机、网关或者交换机等。 在网络上，监听效果最好的地方是在网关、路由器和防火墙上，通常由网络管理员来部署。 然而最方便部署网络监听的位置是局域网中的主机，这是大多数网络入侵者采用的方式 3 其他攻击方法 ( 1 ) 病毒攻击 计算机病毒是一种程序，有时是有破坏性的( 但并不总是这样) 。它被设计为可以在计 算机之间传播，感染它所经过的每个地方。“感染”的过程通常是病毒把自己附着在其他文 件之中。蠕虫和病毒都是可以自我复制的恶意代码，二者在原理上属于同一类技术，但是 在实际使用时采用的具体技术和需要的宿主环境却并不完全相同。 随着蠕虫病毒的泛滥以及蠕虫、计算机病毒、木马和黑客攻击程序的结合，病毒攻击 成了英特网发展以来面临的巨大挑战之一。甚至在战争中，病毒已经成为了实施信息战不 可或缺的武器。 ( 2 ) 社会工程攻击 社会工程攻击是利用社会工程学实施攻击的一种名称。现实社会中发生的许多网络安 全案例，破坏者使用的手法并不是十分高明，这些攻击并不需要太高深的技术，仅仅使用 一些现成的软件和一点的耐心就能实现。甚至还有一种技术含量更低的破解网络安全防御 系统的方法，它通过种种手段骗取操作系统内部的必要信息( 如管理员口令) ，从而获取网 络的访问权。 社会工程学其实就是一个陷阱，网络入侵者通常以交谈、欺骗、或假冒等方式，从合 法用户中套取用户系统的秘密，例如，用户名单、用户密码及网络结构。还比如，只要有 一个人抗拒不了本身的好奇心看了邮件，病毒就可以大行肆虐。大家熟知的m y d o o m 与 8 a g l e 都是利用社会工程学陷阱得逞的病毒。 l o 第二章入侵检测系统 当然，以上提出的这些入侵技术仅仅是最常见的一些攻击手段。近年来，随着互联网 的迅速发展，黑客入侵技术也呈现出大规模、多样化、强攻击性、繁衍性、可变异性等特 点。因此，如何有效地防范这些入侵已经成为未来网络技术发展的首要问题。 2 3 入侵检测系统 入侵检测系统0 d s ，i n t r u s i o nd e t e c t i o ns y s t e m ) 用来识别针对计算机系统和网络系统， 或者更广泛意义上的信息系统的非法攻击，包括检测外界非法入侵者的恶意攻击或试探， 以及内部合法用户的超越使用权限的非法行动。 2 3 。1 入侵检测系统的工作模式 无论对于什么类型的入侵检测系统，其工作模式都可以体现为以下四个步骤 咎2 6 1 。 1 从系统的不同环节收集信息； 2 分析该信息，试图寻找入侵活动的特征； 3 自动对检测到的行为作出响应； 4 记录并报告检测过程和结果。 一个典型的入侵检测系统从功能上可以分为三个组成部分：感应器( s e n s o r ) 、分析 器( a n a l y z e r ) 和管理器( m a n a g e r ) ，如图2 - l 所示。 管理器( m a n a g e r ) 分析器( a n a l y z e r ) 感应器( s e n s o r ) 网络主机应用程序 图2 - 1 入侵检测系统的功能结构 其中，感应器负责收集信息。其信息源可以是系统中可能包含入侵细节的任何部分， 其中比较典型的信息源有网络数据包、l o g 文件和系统调用的记录等。感应器收集这些信 息并将其发送给分析器。 分析器从许多感应器接收信息，并对这些信息进行分析以确定是否有入侵行为发生。 如果有入侵行为发生，分析器将提供关于入侵的具体细节，并提供可能采取的对策。一个 入侵检测系统通常也可以对所检测到的入侵行为采取相应的措施进行反击，例如，在防火 墙处丢弃可疑的数据包，当用户表现出不正常行为时拒绝其进行访问，以及向其他同时受 l l 第二章入侵检测系统 到攻击的主机发出警报等。 管理器通常也被称为用户控制台，它以一种可视的方式向用户提供收集到的各种数据 及相应的分析结果，用户可以通过管理器对入侵检测系统进行配置，设定各种系统的参数， 从而对入侵行为进行检测以及对相应措施进行管理。 2 3 2 入侵检测系统的分类 通过对现有的入侵检测系统和入侵检测技术的研究，可以从以下几个方面对入侵检测 系统进行分类【2 7 渤l 。 1 根据目标系统的类型分类 ( 1 ) 基于主机( h o s t - b a s e d ) 的入侵检测系统。 通过监视和分析主机的审计记录检测入侵。可检测系统、事件和操作系统下的安全记 录以及系统记录。当有文件发生变化时，入侵检测系统将新的记录条目与攻击目标相比较 看它们是否匹配。如果匹配，系统就会向管理员报警，以采取措施。优点是可精确判断入 侵事件，并及时进行反应。缺点是会占用宝贵的主机资源。另外，能否及时采集到审计也 是这种系统的弱点之一，因为入侵者会将主机审计子系统作为攻击目标以避开i d s 。 ( 2 ) 基于网络( n e t w o r k - b a s e d ) 的入侵检测系统。 通过在共享网段上对通信数据进行侦听，分析可疑现象。这类系统不需要主机通过严 格的审计，主机资源消耗少，可提供对网络通用的保护而无需顾及异构主机的不同架构。 但它只能监视经过本网段的活动，且精确度较差，在交换网络环境下难于配置，防欺骗能 力也较差。 2 根据入侵检测系统分析的数据来源分类 入侵检测系统分析的数据可以是：主机系统日志、原始的网络数据包、应用程序的日 志、防火墙报警日志以及其他入侵检测系统的报警信息等。据此可将入侵检测系统分为基 于不同数据源的入侵检测系统。 3 根据入侵检测分析方法分类 ( 1 ) 异常入侵检测系统。异常入侵检测系统利用被监控系统正常行为的信息作为检测 系统中入侵行为和异常活动的依据。在异常入侵检测中，假定所有入侵行为都是与正常行 为不同的，这样，如果建立系统正常行为的轨迹，那么理论上可以把所有与正常轨迹不同 的系统状态视为可疑企图。对于异常阈值与特征的选择是异常入侵检测的关键。比如，通 过流量统计分析将异常时间的异常网络流量视为可疑。异常入侵检测的局限是并非所有的 入侵都表现为异常，而且系统的轨迹难于计算和更新，容易产生误报。图2 - 2 是一种典型 1 2 第二章入侵检测系统 的异常检测系统模型。 更新 动态产生 新的行为特征 图2 - 2 典型的异常检测系统模型 ( 2 ) 误用入侵检测系统。误用入侵检测系统根据已知入侵信息( 知识、模式等) 来检 测系统中的入侵和攻击。在误用入侵检测中，假定所有入侵行为和手段( 及其变种) 都能 表达为一种模式和特征，那么所有已知的入侵方法都可以用匹配的方法发现。误用入侵检 测的关键是如何表达入侵的模式，把真正的入侵与正常行为区分开来。其优点是误报少， 局限性是它只能发现已知的攻击，对未知的攻击无能为力，且其复杂性将随着攻击数量的 增加而增加。图2 3 是一种典型的误用检测系统模型。 修改已有规则 图2 3 典型的误用检测系统模型 4 根据检测系统对入侵攻击的响应方式分类 ( 1 ) 主动的入侵检测系统。主动的入侵检测系统在检测出入侵后，可自动地对目标系 统中的漏洞采取修补、强制可疑用户( 可能的入侵者) 退出系统以及关闭相关服务等对策 和响应措施。 ( 2 ) 被动的入侵检测系统。被动的入侵检测系统在检测出对系统的入侵攻击后只是产 生报警信息通知系统安全管理员，之后的处理工作则由系统管理员来完成。 1 3 第二章入侵检测系统 5 根据系统各个模块运行的分布方式分类 ( 1 ) 集中式入侵检测系统。系统的各个模块包括数据的收集与分析以及响应都集中在 一台主机上运行，这种方式适用于网络环境比较简单的情况。 ( 2 ) 分布式入侵检测系统。系统的各个模块分布在网络中不同的计算机、设备上，一 般来说分布性主要体现在数据收集模块上，如果网络环境比较复杂、数据量比较大，那么 数据分析