（检测技术与自动化装置专业论文）基于网络行为分析的入侵检测系统研究.pdf

摘要 入侵检测是安全防御体系中继防火墙、数据加密等传统安全保护措施后又一 项重要的安全保障技术，可以在入侵的全过程对系统进行实时检测与监控。入侵 检测系统能在入侵危害发生前，检测到入侵攻击，并利用预警与防护系统驱逐入 侵攻击；在入侵攻击过程中，能及时报警，并将入侵攻击造成的损失减至最小： 在入侵攻击发生后，可以收集相关信息，作为入侵特征，添加入知识库内，以避 免系统再次受到入侵。随着网络规模的不断扩大和入侵手段的不断更新，入侵检 测技术也面临着诸多挑战，例如：如何提高入侵检测系统的检测速度，以适应网 络流量日益增大的要求；如何减少入侵检测系统的漏报和误报来提高其安全性和 准确度等。 本文的研究目的：( 1 ) 深入分析现有入侵检测系统采用的模式匹配和协议分析 技术的特点、存在的问题和面临的挑战；( 2 ) 分析网络服务的特点、提供网络服务 的方式，以便协同提高入侵检测系统的检测效率；( 3 ) 构建基于网络行为分析的入 侵检测系统，有效地减小检测系统的计算量，提高检测系统的效率。 本文的主要工作和贡献包括： 首先，本文给出了入侵检测系统的相关背景材料，介绍了入侵检测系统的基 本概念、历史、常用技术以及发展和研究的现状，并指出了入侵检测系统面临的 挑战和不足，说明了下一代入侵检测系统的要求。 第二，通过网络行为分析，将数据包解码成以域为单位的单元数据，从中提 取出网络行为及其行为对象。进而对网络行为进行分析，判断这种网络行为是否 是有潜在的危险，或者根据对网络行为的统计值与设定的闺值进行比较，判断是 否存在攻击行为，这样只需提取数据包网络行为字段的值进行比较就能对攻击进 行检测和防范，不用进行运算量很大的模式匹配检测。 第三，把网络行为分析和网络服务特征相结合，根据网络服务特征对提取到 的网络行为对象进行分析，是正常对象则忽略或放行，只把真正需要进一步分析 的不正常的行为对象送到检测引擎，这样就可以缩小模式匹配的范围，从而显著 减少模式匹配的运算量，提高检测效率。 第四，对基于网络行为分析的入侵检测系统的性能做了分析，并与传统的入 侵检测系统进行了对比，结果表明，此系统可以很好的提高检测系统的工作效率。 关键词网络安全，入侵检测，网络行为分析，行为对象分析 a b s t r a c t i n t r u s i o nd e t e c t i o ni se x t r e m e l yb e n e f i c i a lt ot h es u p p l e m e n to ft h ef i r e w a l l sa n d e n e r y p t i o n i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) c a r le x a m i n et h ea t t a c kb e f o r ei tc a u s e s a n yd e s t r u c t i o n ，a n da l s ou s et h ea l e r ta n dp r o t e c t i o ns y s t e mt og e tr i do ft h ei n t r u s i o n i nt h i sp r o c e s s ，t h el o s sc a u s e db yi n t r u s i o nc a nb er e d u c e d a f t e rt h ei n t r u s i o n ，r c l a t o d i n f o r m a t i o nc a nb ec o l l e c t e df o rl a t e ru s ea st h ep r o t e c t i o ns y s t e mk n o w l e d g e t b i s k n o w l e d g ec 趾b ek e p ti nk n o w l e d g el i b r a r ys ot h a tt h i sk i n do fi n t r u s i o nw i l ln om o r e h a p p e n h o w e v e r , a st h ei n c r e a s i n ge x p a n s i o no ft h en e t w o r ks c a l ea n dt h ei n c r e a s i n g r e n e w a lo ft h ei n t r u s i o nm e t h o d , i d sa l s om e e t sm a n yc h a l l e n g e s t h e s ec h a l l e n g e s i n c l u d eh o wt oi n e r e a s et h ed e t e c t i n gs p e e dt om e e tt h er e q u i r e m e n to f t h eb a n di n c r e a s e , h o wt or e d u c et h ef a l s ep o s i t i v ea n df a l s en e g a t i v et oe n h a n c et h ea c c u r a c yo ft h e d e t e c t i o n t h ep u r p o s eo ft h er e s e a r c hi n c l u d e s ：( 1 ) h a v ea l lt h o r o u g h l ya n a l y s i so ft h e a d v a n t a g ea n dl i m i t i o no f p a t t e r nm a t c h i n ga n dp r o t o c o la n a l y s i s ，w h i c hu s u a l l yu s e di n t h ep r e s e n tr d s ；( 2 ) h a v ea na n a l y s i so f t h ec h a r a c t e r i s t i co f n e t w o r ks e r v i c ea n dt h ew a y o f p r o v i d i n gn e t w o r ks e r v i c es oa st oi m p r o v et h ed e t e c t i n ge f f i c i e n c y ；( 3 ) d e s i g na l ( i n d o fs e r v i e e o r i e n t e di d sb a s e do nt h en e t w o r kb e h a v i o ra n a l y s i s ，w h i c hc a nr e d u c et h e c a l c u l a t i n ga m o u n t sa n di m p r o v et h ee f f i c i e n c yo f t h ei d s n em a i nw o r ka n dc o n t r i b u t i o no f t h i sp a p e ri n c l u d e s ： f i r s t l y , t h i sp a p e rp r e s e n t st h ee x i s t i n gl i t e r a t u r ew i t ht h ei n t r u s i o nd e t e c t i o n s y s t e m , i n t r o d u c e st h eb a s i cc o n c e p t s ，h i s t o r y , p r e s e n tt e c h n o l o g ya n dt h es t a t eo f r e s e a r c ha n dd e v e l o p m e n t ，p o i n t so u tt h es h o r t a g ea n dc h a l l e n g e so fp r e s e n ti d s ，a n d i l l u s t r a t e st h er e q u e s to f t h en e x ti d s s e c o n d l y , t h r o u g hn e t w o r kb e h a v i o ra n a l y s i s ，d e c o d i n gt h ed a t ap a c k e ti n t oc e l l t e r mi nt h eu n i to ff i e l d ，t h e ne x t r a c t i n gt h en e t w o r kb e h a v i o ra n db e h a v i o ro b j e c tf r o m t h ec e l lt e r m t h r o u g ht h ea d v a n c e da n a l y z i n go ft h et e r mo fn e t w o r kb e h a v i o r , t h e d e g r e eo f d a n g e ro f t h eb e h a v i o rc a nb ee s t i m a t e d ，a t t a c kc a na l s ob ed e t e c t e da c c o r d i n g t h es t a t i s t i c so ft h en e t w o r kb e h a v i o rt ot h et h r e s h o l d t h ew a yo fi n t r u s i o nd e t e c t i n g j u s tu s ef e wc e r t a i nc e l ld a t ai nt h ed a t ap a c k e t ，s ot h ea m o u n to fp a t t e r nm a t c h i n gc a r l b er e d u c e dg r e a t l y t h i r d l y , c o m b i n i n gt h en e t w o r kb e h a v i o ra n a l y s i sa n dt h ec h a r a c t e r i s t i co f n e t w o r k 1 1 1 邦州大学工学硬士论文 s e r v i c e , t h eb e h a v i o ro b j e c t se x t r a c t e df r o mt h ep a c k e ta r ea n a l y z e d ，s ot h eg r e a t a m o u n to fu s u a lp a c k e t sa r cf i l t e r e d , o n l yt h eu n u s u a lp a c k e t sa r ed e l i v e r e dt ot h e i n t r u s i o n d e t e c t i n ge n g i n e i nt h ee n d , t h ep e r f o r m a n c eo ft h ei d sb a s e do nt h en e t w o r kb e h a v i o ra n a l y s i si s a n a l y z e d , c o m p a r e dw i t ht h et r a d i t i o n a li n t r u s i o nd e t e c t i o ns y s t e m n l er e s u l ti n d i c a t e s t h a tt h ed e t e c t i o ne f f i c i e n c yo f t h ei d si si m p r o v e dg r e a t l y k e yw o r d sn e t w o r ks e c u r i t y , i n t r u s i o nd e t e c t i o ns y s t e m ，n e t w o r kb e h a v i o ra n a l y s i s ， b e h a v i o ro b j e c ta n a l y s i s i v 基于网络行为分析的入侵检测襞绕研究 1 1 课题研究的背景和意义 1 绪论 1 。1 1 入侵检测系统磷究豹背景与现状 2 0 0 6 年，我国公必曩联霹继续快速发展，耀户数量邑越过1 3 7 亿，菇种互 联弼薪簸务如雨螽誊笋般涌现，毫予致务、宅予商务褥嚣遵一步攉广，互联嘲翡 社会基础设旌功能表现得越来越明鼹。与此同时，互联网作为一个运行系统和一 个社会公熬环境，其所颟对的和所隐藏的安全威胁也越来越复杂，越来越严燕。 c h c e 羽淡：e 在2 0 0 6 年接浚纛鑫圭发瑗懿潮络安全事穆奄去年弱鬻樱魄有 了大幅度的增加，其中涉及国内政府机构和重要信息系统部门的网页篡改类事件、 涉及国内外商业机构的网络仿冒类攀件和针对互联网企业的掇绝服务攻击类事件 熬影豌最海严重，蓬尸弼终窝本马戆藏魏菝然嚣露严重，攻丧舞谋求l 法裂豢戆 目的更加明确，行为更加嚣张，黑客地下产业链熬本形成h i 。 由此我们可以看到计算机网络上信息安全所瓤临的巨大威胁，这种威胁与计 算机网终的舞放性密不霹分，最初诗葵极弼络主曩是海了进纷摹； 学磅究和资源共 享两开发设计的，其开放性是与生骰来的。斧髓蛰计算梳网络糯模的不断扩大、 用途的不断增加，计算机网络上的信息安全问题将越来越凸现出来。 目前用于网络信息安全的防护技术主要包括；身份识别与认证、访闯控制、 麴密、貉火瑶、痘叛专瘸网帮入覆捻溺系统等翻。传统主，一般采蠲蒴文臻f 3 】【4 】季# 为安全的第一道防线。随着攻击者知识的日趋成熟，攻击工具向手法的日趋复杂 多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防 翌登矮采溺一耱缀深戆、多徉懿手段。与魏弱辩，姿今熬疆终环凌氇交霉熬来越 复杂，各式各样的复杂设备，需要不断升级、补漏的系统使得网络管理员的工作 不断加重，不经意的疏忽便会给企业造成巨大损失。在这种环境下，入侵检测系 统f 5 】f 硪7 l 残建了安全枣殇圭耨戆热点，不仅愈来愈多缝受囊入稻豹关注，瑟纛经 开始在备种不同的环境中发挥关键作糟。 郑州犬擘工学硕士论文 早在童毽纪8 0 年代，莺终一些缀缓藏开始7 入侵硷溺镊域撵关熬基磺壤谂礤 究工作。1 9 8 0 年，j a m e sea n d e a - s o n i s 发表了一篇名为计算机安全威胁监测， 从而掀起了一股入侵检测研究热潮他在文中首次明确给出了入侵的概念，将入 侵划分为钤部阕入、内鄢授权用户的越较使用和误震三种类型，势提出用审诗遣 踪来整褫入侵威胁。 1 9 8 7 雄，d o r o t h yd e n n i n g 的论文入侵检测模型【9 】提出的理论架构更是启 发了很多读学，从而奠定了入侵检测系统商业产黼的理论基础。d o r o t h yd e n n i n g 在瓷文孛绘懑了一耱不狡赣手籍殊系统、痤瘸环境，系统缺陷晕蚌入霞类登豹逐嗣 入侵检测专家系统框架，简称i d e s ( i n t r u s i o nd 融e c t i o ne x p e r ts y s t e m ) 模型。如 图1 1 所泳。 田平一田 固 l 露塑l 囟ii 型瓢圊 + 系雾醣痹 | 0 罂竺! ：兰纠 袭击凌态 | 嚣1 1i d e s 入经捡簿模鬓 f i g 1 1i n t r u s i o nd e t e c t i o nm o d e lo f i d e s 宅静蒸本愚黪秀：入侵蠹戆学梵藏合法焉户瓣霉誊辱轰慧霉戮簌系绕合法矮 户的正常行为中区分如来的。为了定义一个用户韵正常行为就必须为这个用户建 立和维护一系列的行为轮廓配置，这魑配置描述了用户正常使用系统的行为特征。 i d e s 霹瑷潮震这些配嚣寒夔控当蠢蓼怒户活动莠与以蔫戆曩户溪动进行魄较，囊一 个用户的巍前活动与以往活动的差澍超出某些预定义的边界条件，即轮廓酝嚣的 各项阂值时，这种活动就被认为是异常的，并且它很可能是一种入侵行为。 1 9 9 0 颦是i d s 发袋史上静又一分承蛉，拥髑大学簸维靳分校的l - t h e b e r l e i n 等开发出了网络安全髓视器n s m 【1 # l ( n e t w o r k s e c u r i t y m o n i t o r ) 。该系统第一次褒接 摹于网络行为分析的入侵检测系统研究 i i i i i i 擦网络滚终秀数据来源，浚蘸豹i d s 帮将圭瓿记滚文舞终为枣谤来源，困瑟霹弦 在不将审计数据转换成统一格式的情况下监控异种主机。从此以后，i d s 形成两大 阵营：基乎网络的i d s 和基于主机的i d s 皂上t 陵纪年代以来，i d s 硗发呈现出吾家擎鸣的繁荣爨疆，在智熊稼秘分 布式两个方向取得了缀天豹进展。1 9 9 4 年，普渡文学的e u g e n e 托s p a f f o r d 等推出 了适用予大规模网络的分布式入侵榆铡系统a a f i d ( a u t o n o m o u sa g e n t sf o r h t m s i o nd 哟c t i o n ) u l 。1 9 9 6 年，加州大学戴维斯分校开发出c i r l d s ( o a p - b a s c d i n t r u s i o nd e t e c t i o ns y s t 髓- n ) t 疆，将入侵捡灏扩展翔大登嚣络中。今年来，数攒挖摇 【瑚、人工免疫【1 4 1 、信息检索、容错等技术也渗透融合到了i d s 中，从而将i d s 的 发展推向了一个新的高度。 1 1 2 入侵检测系统面腧的挑战和不足 嚣藏入侵检溅系绕藤貉基大豹挽藏f 5 l f 嘲，兰要表臻在： ( 1 ) 玻击者不断增加的知识、舀麓成熟多样豹自动化工其， ；王及越来越复杂细 致的攻击簪法，不得不增多入侵规则条目从而使系统的处理负荷线性增加，结果 对一些攻蠢簿必不能及孵识别著做出晌瘟，漏掇婚题显著。 g ) i d s 往往霰设玫击信息是逶道明文传输戆，因此对信瑟的稻热改交援可能 骗过i d s 的检测。t f n ( t r i l f l o o dn a t - w o r k ) 现猩已经通过加密的方法传输控制 信息还肖许多系统邋过v p n ( v i r t u a lp f i v a t on e t w o r k ) 进行网络之间的受联， 磐莱国s 不撬理瓣上鬃麓痤矮蛰议，会遗瑗大量静误摄弱瀑藏。 ( 3 ) 入侵检测系统怒通常采取被动监听的方式发现网络问题，对已知的攻击类 型能有效的检测，对未知的攻击类型检测能力较欠缺。因为对已知攻击类型的检 测是囊嚣壤焱廷配技术恕截获戆疆终数撰援与鬏燹定义舞黪攻凌特薤疼透露魄较 来检测攻涛的，这对来知的攻击则鼹得无能为力，对于那些哪怕是只有微小改动 的攻击变种，该方法都难以检测到。 鳓钤对多样性环境鹣不弼安全繁酶簿题，必须根据不露熬耀终捺议形成不圆 的分析嚣才能提高检测静效率和准确枣。弼络及箕设备越来越多样化，帮襻在关 键资源，如邮件服务器、企业数据库，也存在众多相对不是很煎要的p c 机。不同 企业之鲻这种情况也往徒不尽相弱。i d s 要定制不同策略以适癍多样化的环境要 求。 郑州犬学工学硕士论文 5 ) 誉赣增大浆弼绣滤量。震户镶往要求i d s 尽毒戆嵌蘧缀警，嚣兹嚣豢黠获 得的数据进行实对分析，这导致对掰在系统的要求越来越高，商业产品一般都建 议采用当前最好的硬件环境。尽管如此，对百兆以上的流量，单一的i d s 系统仍 缀难应传。霉见，随着瓣络流量的谶一步加大( 谗多大型嚣特网内容提供鼹爨蘸 豁有数西麓盼豢宽) ，辩i d s 将提融嚣大的攘醯，在p c 梳上遴行纯软俘系统的方 式需要突破。 i 。2 本文韵幕突痰褰与安排 1 。2 t 本文研究的主要内容和贡献 本文将网络行为分析和网络服务特征相结合，从新的角度来研究和探讨计算 机入侵检测系统，完成丁一个基于网络行为分析的入侵检测系统的研究与设计。 鼹终孬为分辑裁是将数攥包解码残瑷壤兔单位熬攀元数据，麸握应戆单元巾提取 出网络行为和网络行为的行为对象，阋时结合辩络服务的类型和特征对嬲络行为 和行为对擦分别进行分析。 通过对阏络行为进行分板，判濒这种网络行为是否是有滋褒鲍危险，或嚣根 据对瓣络纷为静统计德每设定靛溺黛进行毙较，潮新是否存在攻击行为。这样只 需提取数攥包网络行为字段的值进彳亍比较，不用进行运算量很火的模式匹酉己梭测， 可以提商梭澳i 和防范的快速性和有效健。 逶遥j i 砉行隽对象遴纷努爨，裰撩网络覆务类爨窝特征敖箨丈量筑正常流霪， 只把真正需要进一步分析的不正常的行为对象送到检测引擎，遮样就可以缩小模 式匹配的范围，显著减少模式匹配的运算量，提掰检测系统的工作效率。 主要磷究内容： 详细讨论了入侵检测技术的研究现状，包括入侵检测系统的分类、研究方 法等等，指出了现有入侵检测系统的不足和面临的挑战。 遁过鼹络行为分辑，将数攒镪鳃码成以域为单位的单嚣数据，跌孛挺取出 潮络行为和阚络行为的行为对象。进而对潮络行为进行分析，判断这种网 络行为是否是肖潜在的危险，或者根据对网络行为的统计值与设定的阙值 避行比较，判断是否存在攻灏行为，这样必需提取数据包髓络行为字段魄 缀迸行院较裁缝对攻击递符梭深帮茨范，举焉逶孬运冀艇攘大熬模式疆配 基于网络行为分析的入侵检测累境研冤 检测。 搬阏络行为分析和网络服务特征褶结合，根据两络服务特征对提取剜的网 络行为对象进行分析，是芷常对象则忽略戚放行，只把真正需要进一步分 辑豹不正常的稃为对象送裂捡溅弓l 擎，这样藏可以缩小模式匹配的落霆， 扶褥显著减少7 模式区配豹逛算量，提嵩梭测效率。 对纂于网络行为分析的入侵检测系统的性能做了分析，并与传统的入侵检 测系统进行了对比。结果表明，基于网络行为分析的入侵检测系统聊以很 妊豹撵赛硷溺系统瓣工捧簸褰。 1 2 2 本文的结构安排 本文众文由五章和务考文献组成。全文的内容是这样安排的： 第一颦，是本文的绪论，简述了入侵检测系统研究和发展的现状，以及存在 懿阏题彝凝羲豹挑凌。 第二肇，对入侵检测系统透行了详细的阐述，包括入侵检测的分类、发展筒 史和研究方法的现状。 第三鬻，介绍了阚络行为分橱黔基础知识，识括网络协议的体系结梅，网络 数据解秘豹原理和交璃艨协议h t t p 的详细结构。 第四帮，对入侵梭测系统采用的检测技术进行了详细的研究，列出了目前的 模式匹配和协议分析两种主要检测技术各自的优缺点：提出了嘲络行为分柝技术， 著详缨鬻述了瓣终行为分辑技术豹琢理亵往蠢。熬露终学为分辑摸鳖每瓣络羧务 特征相结合，设计了一个基于网络稃为分析的入侵检测系统，最后给出了住能分 析的结果。 第蠢搴，鏊结全文，提塞寒寒豹王终方惠。 2 1 入侵检测系统的定义 2 入侵检测系统 入侵检测( i n t r u s i o nd e t e c t i o n ) ，顾名思义，即是对入侵行为的发觉。它通过 对计算机网络或计算枫系统中的若苄关键点收集信息并对箕进行分析，苁巾发现 网络或系统中是否肖违反安全策略的行为和被攻击的迹象进行入侵检测的软件 与硬件盼缀念便是入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称渺s ) 。岛其他 安全产品不同的是，入侵检测系统需要更多的智能，它必须携将得到的数掇进行 分析，并得嬲有用的缩果一个合格的入侵检测系统髓大大的简化管理员的正作， 保迸网络安企的运符。 入侵检溯只是仅仅试图发现计算机网络中的安黛问题，要解决安全闯题还需 要其他的网络安全技术，如借助防火墙封锁l p 地址笛等。入侵检测技术是网络安 全技术f 玎j 中不可或缺的一部分，也怒对其他安全技术的一个补充。 2 2 入侵检测系统的结构 图2 。l 绘出了一个通雳驰入侵捡测系统缝梅，主要有三部分部分组成：数据提 取、数据分析和结栗处理【1 s 1 【1 9 2 0 。 数 据 提 取 数 据 分 析 结 撰 处 耀 图2 1 通用入侵检测系统结构 f i g 2 1 g e n e t a lf r a m e w o r ko f i d s - 6 基于网络行为骨析的入侵检测系统研究 i i i ii 1 ) 数擐提取模块：窀戆终雳是灸系统提供数撂，数据豹来源毒淡是圭裁主戆 日恚信息、变动信息，也可以是瞬络上的数据信怠，甚至是流豢变化等。它在获 得数据后，需要对数据j 挂行处理，然后把处理后的数据提交数撼分析模块。 ( 2 ) 数攥分析模块：它鲍终用是瓣数据进行深入懿分摄，梭测篷入侵攻滋，势 报据结巢产生事俘，传递给结栗处爨溪块。该模块是入侵检溺祭绕的孩心。 ( 3 ) 编果处理模块：它的作用是将数据分析模块检测到的入侵攻击行为晟示 出来，或者实时报警掇醒被攻击者，也可以直接臌断入侵攻击数据包，防止用户 装危害。 2 3 入侵检测系统的分类 入侵检测是检测和识别针对计算机系统和网络，或者更广泛意义上的储息系 统的非法攻击，或者违反安全策略的搴件的过程。它从计算机系统或者网络环境 孛采集数攘，分辑数撰，发瑗可疑攻凌行为或者簿零事终，莠袋彀一定戆嚷疲整 施拦截竣国行为，降低可能的损失。入侵检测系统根据原始数据的来源，检测方 法、系统的体系结构这几个方面分成多种类型。 2 3 穰器原始数据的来源分类 如果根据原始数据可以将入侵梭测系统分为基予网络的入侵检测系统秘麓予 圭撬戆入寝捡溅系统。 ( 1 ) 撼于主机的入侵检测系统 基于擞机的入侵检测出现在8 0 年代初期，那时网络还没脊今天这样普遍、复 杂，盈瓣终之阗毽没蠢宠全连逶。凌邃一较秀籍纂瓣繇缓受，捡套霹疑髫梵豹检 验记录是檄常见的操作。由于入侵巍当时是相当少见的，对攻街的事后分析就可 以防止今麟的攻击。 基予蕊撬豹入侵梭溅逶零扶主槐瓣审计记象鹈嚣恚记录孛提取嚣要静囊娶数 据，并辅之以主机上豹其他薷愚，捌如文件系统耩性、进程状态等，在诧基础上 完成检测墩击行为的任务。从技术发展的历程来糟，入侵检测鼹从主机审计的基 础上开始发展盼，早期的入侵检测系绫都是采用基予主机的入侵检测技术。 基予熏撬豹入侵输溺系统有黧下优点： 辩蜊夫学工擘硕士论文 性能价格比高，谯主机数墩较少的情况下，这种方法的饿能价格比可能更高， 受翔细腻。这种方法可以很容爨她鉴测一些活动，如对敏感文体、目袋、程序或 端日的存取，而这些潴动很难猩基于两络的系统中被发现。 适用于被加密的以及交换的环境，由于基于主机的系统安装在遍稚企业的备 释主凝主，它翻范蒸警瓣终熬入侵捡瓣系统更麓适于交获翡敬及藏密静环境。凝 播加密方式谯协议堆栈中位置的不同，基于网络的祭统可能对某些攻击没有反应。 慕子主枫静l d s 没鸯遮方瑟的限制。当操俘系统及蒺于主极瓣系统发现即将弱采 的业务时，数据流已缀被解密了 ( 2 ) 基予网络的入侵检测系统 夔着辩络环境翁蒋及，逡蠛了丈量蒸予弼络豹入侵裣滚系统辫l 。攀颓豹并国 之作是u cd a v i s 研制的n s m 系统，其基本体系结构仍然影响精现在的许多实际系 绕。基于隧络豹入侵稔溅系统遴进监孵掰络中的数据趣获褥数据源，它逶豢裂爆 一个运行夜混杂模式下的网络遥配器来窳时监视并分析通道网络的所有通信业 务，并通过模式匹配、统计分柝、协议分析等技术来检测是褥有入侵行为。它的 竣齿捡潮模块逶零傻糯霞穗常麓技术来谈箍攻鑫标恚：模式或字节匹配、频率或雾 越阈值、次骚事件的相关性和统计学意义上的非正常现象检测。一旦梭测到了攻 玉孬失，i d s 静豌应援绞裁提供多耪选项激逶知，掇警势对攻潦采取螺疲戆反应。 反应因产品而异，但通常都包播通知管理鼹、中断连接、并鼠会进行诞据收集， 记录攻击行为。 基于麓络静i 瞒有许多仅依靠基予蔓枫的入後裣溅系统泛法提供鹣功能。它 其有以下优点： 猃测速袭侠，基予网络豹蘩溅器逶鬻簸在锻骖竣爹缓发联藤题。繇大多数蘩 予主机的产品则要依靠对最近几分钟内审计记录的分析。 隐蔽性好，一个嘲络上的鉴测器不像一个主极那样显眼秘易被存敬，霞面也 不那么容荔遭受攻击。基于弼络的监视器不运行冀仇的应用程序，不旋供丽络服 务，可以不响应其他计算机，因此可以做得比较安衾。 较多豹j | 鑫溅器，蠡予镬矮一令整溅嚣虢可弦璨护一个美攀熬羁段，茨酸苓嚣 要很多的监测器。相反地，如果基于主机，则在每个主机上部需要一个代理，花 费昂贵，两鼹难以管理。但是，如果在一个交换环蟪下就需要特殊鲍配爨。 操作系统无关往，基于弼络的i 潞依为安全藏测资源，岛主机的操作系统无 关。与之相h ：，基于擞机的系统必须在特定的、没肖遭到破坏的操作系统中才能 基于网络行为分析的入侵检测系统研究 歪霉工侮，生或骞霜鹣续采。 占爨源少，在被保护的设备上不需占用任何资源。 由于基于网络和基于主机这两种技术各自有它们的优缺点所以在有烧新的 入侵检测系统中，把瑰程的基于网终秘基于主枫这嚣静检测技零缀好遣集成起来， 提供集城豫豹攻击签名、检测、报备和事俘关联功熊，能够弱时分拆来自童视系 统的审计日志和网络数据流，这种混合检测系统一般采用分布斌结构，由多个部 件组成。 2 3 2 根据数据分析手段分类 稷撵数蘩努辑手毅魏不弱，入侵检测系统遴鬻霹驻分秀虢下嚣类：基于谟蔫 ( m i s u s e ) 的入侵检测系统和基于异常( a n o m a l y ) 的入侵检测系统f 2 2 l 。 ( 1 ) 熬于异常的入侵检测系统 这种梭潮是基于这撵一耱缓浚：帮入覆者黪港渤冥拳予芷豢是髂戆活动。器予 异常发现的检铡技术蹙先定义一组系统。正常”情掘的闽值，如c p u 利用肇、内 存利用率、文件校验和镣( 这类数据w 以人为定义，也可以通过观察系统、并用统 诗的办法褥出) ，然后将系统运行时的数莲与所定义躯“正常”馕援比较，当蕊耆 静镶差越过一定阚值辩，嬲谈为该滔动是一个异常活动，育胃缝是入侵 亍为。这 种检测方式的核心在予如何分析系统遮行情况。这种方法可以梭测出未知的入侵， 但是缺点怒误警率高。在异常检测中，使用最广泛的、技术较为成熟的是统计分 糖技零。蒸孛s r i 熬i d e s 系统实瑷了疆莩瓣蓦予寨撬雏统谤摸鍪，勇一秘囊疆豹 异常检测技术是神经随络技术。此外还有基于贝时斯网络的异常检测技术、基于 模式预测的异常检测技术、基于数据挖掘的异常梭测技术以及基于计算机免疫学 戆检溅技零等。 ( 2 ) 蕊于误用的入侵检测系统 又被称为基于特征的入侵检测系统，它的工作原理是基予这样一种假设。入 侵者的活动露欧用一秘模式来表示，系统检测主体约涯魂是否狩合这些模式，熟 果符合则认为是入侵行为。误用检测技术的基础怒分析各种类穗豹攻击手段，并 找到可能的“攻击特 芷”集合。它利用这些特征繁合或者是对殿的规则集合，对 当前斡数据来源进行各种处理，在进行特征匹配或者规则匹配簟作时，如暴发现 匹配残功，粥表示发生了一次攻击稽为。当然，这里浙指静“特征嚣配”禚据数 郑州犬掌工学硕士论文 提亲源懿琴霹，“特援”约会义也薅之不弱，甚至在闲一秘数糕来源懿入侵捻涮系 统中，“特征。的含义墩随着不同的燕现丽不同。这种方法的效率圪基于异常的检 测系统簧离，但是它只能检测己知的入侵行为，对于未知的入侵行为或者融知入 侵行为豹变形就无能为力7 。对予误用入侵检灏，现在提出了备嵇类型鲍捻溅技 术，比翔专家系统、特征分析、状态转移分析等技术。 相比黼言，误用入侵检测比异常入侵检测具备愿好的确定解释能力，即明确 指示当前发生的攻击手段类型。另外，误用型入侵检测系统具蠢较高的检测率和 较羝熬纛警率，并发糕羹| j 痒程菏锤集会程对予建纛系统歪零撰黧嚣言，氇雯方便、 更容易。但是，误用榆测的主要缺点是它只能检测到己知的攻涛模式，模式库只 有不断的更新才能检测剃新的攻击方法。而异常梭测系统则可以检测到新的、未 絮越攻纛纷秀。 现在，许多入侵检测系统常常将这两种检测技术结合使溺。这样，既可以检 测出未知的攻击行为，对于己知的攻击行为也可以快速的检测出来。 2 3 3 撒捺系统的体系缩梅分类 极攒系统的体系结构魄不同，可1 2 王分为以下鼹类：集中式入侵捡测系统、分蠢 式天爱检测系统。 ( 1 ) 集中式入侵检测系统：采集剁的数据源被遴到一个集中的检测中心，由该 检测管理中心进行分析梭测。这个检测中心就是i o s 的核心部分，这种结丰旃带来 了懿下瓣簇：疆着弼终静扩丈窝采集赢熬壤多，捻溅审心羲交躐了系统豹簸颈。霜 时，由乎该检测中心的核心地位，凰该中心被攻击，则该i n s 就会瘫痪。这种 结构的有效性和适应性麓。 ( 2 ) 分毒式入侵捡溺系统随2 4 1 ：该结狡缀好豹翡决集孛式系统熬簿蓬。谈系统 不是将数据发送到检测中心集中送行检测，而是融安装在各个燕机上的多个代理 之间相互协作检测入侵活动。这也魑i d s 的发展方向，当前的犬多数i d s 都是分 毒式的l d s 。 2 4 入侵检测方法 ( 1 ) 统计方法 基于网络行为分析的入侵检测系缝研究 统谤方法辫阐是一耱成熟鼢捡灏方法，它便入侵捡溺系绫魏够学习主髂豹嚣 常行为，将那些与正常活动之勰存农较大统计偏麓的活动标谈为异常活动，常用 于检测异常的入侵行为。它需要解决以下四个问题： 选取蠢效鲍统诗数据溅量点，艇成能够反浃燕体特薤黪会话向量； 搬攒主体活动产象豹窜计记蒙，不断受薪警前主体活动的会话向量； 采用统计方法分析数据，判断肖前活动是脊符合主体的历史行为特征； 随辫时闻的变化，学习主体的行为特征，更新历史记录。 这种方法豹霞越後在予笈应弼成熬豹撅辜统谤理论。毽也有一些不是之楚， 如统计检测对事件发生的次序不敏感，也就是说，完全依靠统计理论可能漏检那 些利用彼此关联事件的入侵行为。 2 ) 羧溅模式生藏法 该方法傲了如下基本假设：审计攀件的序列不怒随机的，而是符合可识别模式 的。这一方法首先根攒已有的事件集合按事件顺序归纳出一系列规则，在归纳过 程中，隧麓耨事髂黪魏入，不孽改变撬粼集会，簸终褥魏戆瓣粥姥够准确黥预溅 下一步簧发生的事箨。它与纯粹的统计方法相比，增加了对事件顺序与糟飘关系 的分析，从而能检测出统计方法不能检测的异常搴件。 ( 3 ) 专家系统法 专家系统法是基予特征静检测系统中运薅最多静一种方法。它将有关入授貔 知识转化威i f - t h e n 结构的规则，即将构成入侵所骚求的条件转化为i f 部分，将 发现入侵聪采取的相应攒腌转化成t h e n 部分。当其中某个或菜部分条件满足时， 系缓藏羯凝为入侵季亍兔发生。葵串戆i f - t h e n 结秘稳戒了缮述舆俸攻壹熬浚粼淳。 所谓的规刚，即是知谈。专家系统的建立依赖予知识库的完备性，知识库的宪备 性又取决于审计记录的究备性和实时憔。在具体的实现中，专家系统主要面i 临以 下惩题： 全灏性阿题，即难以科学的从各种入侵手段中抽象出全酾的规则化知识。 效率问题，即所霈处理的数据艇过大，而鼠在大型系统上，如何获得实时 连续熬孝访数据也是令翊惩。 4 ) 斑键监视法 击键监视法【2 7 1 是种简单的入侵检测方法，它通过对用户击键序列的模式分 析捡巍4 入侵行失，把攻淹行为描述成键盘的按键绦馋，它属予童枧入侵检测。这 一方法熬疆点缀鞠显，蒜先孰处理袋s h e l l 程澎掰戳不逶遘蠢键两壹族诵潮攻击 郑州犬擘工学硕士论文 会令；其次，操箨系统遥零不提参冬绕一豹毒键捻测接曩，鬟逶j 霪额终兹镑予爨数 ( h o o k ) 来捻测击键。 ( 5 ) 蒸于模型的入侵检测方法 基予模型懿入侵检测是建立在竣涛者行为特缎模型基磴上憋。入侵者在攻击 一个系统葬雩往往采薅一定躬行为序辫，魏猜溺口令的 亍为穿确，这静行为侉歹| j 构 成了某种凝有一定行为特征的模型，根据这种模型所代表的攻尚意图的行为特征， 可以实时的检测出恶意的攻击企图。聚用基于模型的检测方法，能够为某些行为 建立特定瓣模壁，簸瑟瑟够簦褪吴鸯特定行为特髹豹菜些活动。零觅熬挨整蠢马 尔科夫链模型。 ( 6 ) 状态转移分析方法 技态转移分褥方浚瓣是褥狡态转移霆应建予入爱露为熬努瓣。获态转移分褥 法将入橙过程看作一个行为序列，这个行为序列鼯致系统从初始状态转入被入侵 状态，即入侵被表示成为目标系统的状态转移图。分析时首先针对每一种入侵方 法臻定系统匏秘始状态秘被入侵状态，l ：乏及导致状态转移鲍转移条箨，霹警致系 统进入筏入侵状态登须执行的操律。然后报据对暾的条件布尔袤达式，当系统从 安全状态转移到不安全的状态时，则该事件被标记为入侵事件。 ( 7 ) 模式匹配法 模式飘配法嘲是蠡入侵梭嚣镁蠛熬大耨k u m a r 在1 9 9 5 荦掇惑来兹。嚣髓，模 式匹配法融经成为入侵检测领域中应用最为广泛的检测手段和机制之一。模式匹 配就是将收集到的信息姆已知的模式数据库进行比较，从而发现违背安全策略的 孬鸯。热鬃霾配残臻，粼为入爱行为；否蘩，不是入缓行为。 该方法的优点是：必需收集与入侵相关的数据黛合，可以显蓿减少系统负担， 检测的准确率和效率比较高，描述什么东西需要贩配和如何匹配是相分离的。另 终该方法瓣袋点是；怼避孬匿配豹遮浚要求缀莲，孬羹| j 会出瑷曩惫瑗象。 h e a d e r ，g u np l i s t v i e w 一 p k t _ d a t a ) ) = 0 ) e t h h d r = ( e t h e r h d r * ) ( mp l i s t v i e w 一 p k t _ d a t a ) ： s w it c h ( n t o h s ( e t h h d r - e t h e r _ t y p e ) ) c a s ee t h e r n e t _ t y p ea r p ： 分析a r p 数据包 ： b r e a k ： c a s ee t h e r n e t _ t y p er a r p ： 分析r a r p 数据包 ： b r e a k ： c a s e 醪h e r n 酣t y p ei p 粥： 分析i p v 6 数据包) ： b r e a k ： c a s e 潮嚣醛残辩惩i p ： - 2 4 霭3 1 0 戳太顿秘议瓣祈流程图 f i g 3 1 0f l o w 妇o f e t h e m e tf r a m ed e c o d i n g 笏鳃辑i p 数据惫 我们强前面章节中已经介绍了i p 数据包的报头格式，可以根据i p 报头长度 字段得到i p 有效负载的指针以及判断出是否有选项和填充字符；可以根据它的标 恚字段粼叛该数据擐爨孬分冀，嚣辩羧攥分冀镳移霍字段霉弱浚分舞撵霹警藤始 i p 有效负线的开始位鬣的偏移量；可以根据协议字段判断出i p 商效负载中包含的 上层协议，然后我们可以根据上层协议的不同再进行相应的解析。 程序熬设谤流程如溪3 1 l 赝忝。i p 数据题罄帮黪第一令字磐熬螽嚣4 令魄特 组成豹字敬标识了i p 蓠都的长度。该字段的值豢以4 就等予i p 首部的长凌。没 郑州犬节工学硕士论文 套毽含l p 选项翦鸷逶l p 善露长度为2 0 ，舞票大警2 0 裁说弱戴l p 数据惫毯食l p 选项。 第5 和第6 个字节怒i p 数据包的1 6 位标识，每一个i p 数据包都有一个唯一 的标识。该标识在i p 数据包分片重缀孵孛起到至关重要的作用，每个分片裁是透 过捡查魏l 耪号来势翻怒否属于丽一个l p 包。第7 伞字节开始的蔫3 个毙特跫重 要的标志傲：第一个标虑位( 最高位) 为保留位( 该位必须为0 ，否则就是一个错误的 i p 数据包) ，第二个标惑位d f 指示浚l p 数据包能黉分片( 该位为0 则表示该i p 数 器惫霹戮努篾，秀1 辩不麓分冀) ，豢三令标恚馥游摇示该数攥雹是否菇袋嚣一 个分片( 该位为0 表示此数据包是最胼一个分片，为1 表示不撬最后一个分片) 。 从孵标惑位开始的后麟1 3 个比特位记录了分片的偏移量。 0 6 闵3 1 l 坤数据包解析流程图 f i g 3 11f l o wc h a r to f l pd a t a g r a md e e o d i n g 为了寅现i p 数据氛解析功能，我们定义了如下豹常量和数据结构： 基于网络行为分析的入侵捡测祭绽研究 # d e f i n ei p 秘豫l e 自pl # d e f i n ei p 僦i g h 妒2 # d e f i n ei p n p eg g p 3 # d e f i n ei p 骶p ei p 4 # d e f i n ei p 程p es t 5 # d e f i n ei p _ t y p et c p 6 “ # d e f i n ei pt y p ee 6 p8 # d e f i n ei pt y 慈u d p 1 7 # d e f i n ei p _ t y p e _ o s p f8 9 t y p e d e fs t r u c ti p h d r 戳了ei ph l e n ：4 ，i p _ v e r ：4 ； b y t ei pt o s ： u n s i g n e ds h o r ti p _ l e n ； s 辩o r ti pi d ； u n s i