（计算机应用技术专业论文）ipv6下基于协议分析的入侵检测系统研究与设计.pdf

ab s tr a c t ab s t r a c t wit h t h e w i d e u s e o f e - c o mm e r ce, n e t w o r k t r a n s m i s s i o n a n d n e t w o r k c o m m u n i c a t i o n , c o m p u t e r n e t w o r k d e v e lo p s r a p i d l y a n d p l a y s a n i m p o r t a n t r o l e i n t h e l i f e a n d w o r k o f p e o p le .p e o p l e p a y mu c h a t t e n t i o n t o n e t w o r k s a f e ty b e c a u s e o f t h e w i d e s p r e a d o f v i r u s , n e t w o r k a t t a c k s a n d t h e e x i s t e n ce o f s o ft w a r e b u g . t h e r e a re a l o t s o f d e f e n s e m e t h o d s i n t h e f i e l d s o f n e t w o r k s a f e t y , s u c h a s a n t i - v i r u s t e c h n o l o g y , f i r e w o r k t e c h n o lo g y , e n c ry p t i o n t e c h n o l o g y , t h e c e rt i f i c a t i o n o f d i g it a l s i g n a t u r e a n d i n t r u s i o n d e t e c t i o n t e c h n o l o g y . n o w n e t w o r k i n tr u s i o n d e t e c t i o n t e c h n o l o g y w h i c h i s a s a n a c t i v e d e t e c t i o n t e c h n o l o g y i s w i d e l y u s e d b y l a r g e - s c a l e e n t e r p r i s e s a n d i n s t i t u t i o n s , 比e d e p a r t m e n t o f n a t i o n a l d e f e n ce a n d t h e i n s t it u t i o n o f s a f e ty. t h e a p p l i c a t i o n o f n e t w o r k i s f a c e d w i t h g r e a t c r i s i s w i t h t h e i n c r e a s i n g u s e o f i p v 4 a d d r e s s u n it . t h e r e s e a r c h e r s h a v e t o t ry t o r e p l a c e i p v 4 t e c h n o l o g y w i t h t h e p r o m i s 吨 i p v 6 t e c h n o l o g y . b u t i p s e c w h i c h i s a s o n l y t h e d e f e n c e s y s t e m i n t h e s t r u c t u r e o f i p v 6 p r o t o c o l c a n n o t d e f e n d e ff e c t i v e l y e n d le s s n e t w o r k a t t a c k a n d v i r u s i n t r u s i o n . t h e r e f o r e t h e s t u d y o f i n t r u s i o n d e t e c t i o n t e c h n o l o g y i n t h e e m p r o t o c o l b e c o m e s v e ry u r g e n t . t h i s p a p e r e x p l o re s t o d e s i g n t h e n e t w o r k i n tr u s i o n d e t e c t i o n s y s t e m i n t h e i p v 6 p r o t o c o l b a s e d o n t h e a n a l y s i s o f i n t r u s i o n d e t e c t i o n s y s t e m . t h e a u t h o r w i l l p u t s n o r t w h i c h i s t h e i n t r u s i o n d e t e c t i o n s y s t e m o f w i d e u s e i n t h e i p v 4 p r o t o c o l i n t o t h e i m p r o t o c o l . b a s e d o n t h e s n o rt s y s t e m , t h e a u t h o r r e d e s i g n s t h e m o d e l o f s y s t e m , c o n f i g u r a t i o n m o d u l e s a n d t e s t s t h e s t a t e o f o p e r a t i o n s . a t t h e s a m e t i m e , t h e p a p e r d i s c u s s e s t h e f e a s i b i l i ty o f d e s i g n i n g t h e i n t r u s i o n d e t e c t i o n s y s t e m i n t h e i m p r o t o c o l a n d t h e t r e n d s o f t h e f u t u r e . k e y wo r d s i n t r u s i o n d e t e c t i o n s y s t e m p r o t o c o l a n s a l y s i s e m p r o t o c o l 南 汗大 学 非公 开 学 徒论 文 征 明 学号: 论文题目: 不宜公开原因 ( 请在口中 选择): 口1 、申请专利或技术转让。 口2 、保密科研项目或课题。 口3 、其它 ( 请说明) 姓名: 密级:内部 密级:秘密或机密 保密期限: 内部 秘密 机密 绝密 年 ( 请填写保密年限， 3 年) 年 ( 请填写保密年限， 5 年) 年 ( 请填写保密年限， 1 0 年) 年 ( 请填写保密年限， 2 0 年) 注意:1 、 非公开论文电 子版全文亦需要在网上提交。 呈交当年， 在校园网上提供论 文目 录检索、文摘浏览以及论文全文部分浏览服务 ( 论文前1 6 页)。保密 期限过后，允许校园网上的读者浏览并下载全文。 z 、请在印刷本封面右上角注明具体密级和保密期限。 导师签字: 单位负责人签字: 单位盖章; 日期:年月日 南 夕 干 大 学 学 位 论 文 电 子 版 授 权 1 3 赶 用 协 议 ( 请将此协议书装订于论文首页) 论 文 z b t, j - 14 m#t 系本人在 南开大学工作和学习期间创作完乍 品，并已通 本人系本作品的唯一作者 ( 第一作者)，即著作权人。现本人同意将本作品收 录于 “ 南开大学博硕士学位论文全文数据库”。本人承诺:己提交的学位论文电子 版与印刷版论文的内容一致，如因不同而引起学术声誉上的损失由本人自 负。 本 人完全了 解 南开 大学图 书 馆关于保存、使 用学位论文的 管理办 法。同 意 南开大学图书馆在下述范围内免费使用本人作品的电子版: 本作品呈交当年，在校园网上提供论文目录检索、文摘浏览以及论文全文部分 浏览服务 ( 论文前1 6 页)。 公开级学位论文全文电子版于提交1 年后， 在校园网上允 许读者浏览并下载全文。 注:本协议书对于 “ 非公开学位论文”在保密期限过后同样适用。 院 系 所 名 称 : 俗 八砂 红 作 者 签 名 : 凡办习 学号: 日期 : “ u b 4 - / ， 冲年 s a z 8 日 南开大学学位论文版权使用授权书 本人完全了 解南开大学关于收集、保存、 使用学位论文的规定， 同意如下各项内 容:按照学校要求提交学位论文的印刷本和电 子版 本:学校有权保存学位论文的印 刷本和电 子版，并采用影印、缩印、 扫描、 数字化或其它手段保存论文; 学校有权提供目 录检索以 及提供 本学位论文全文或者部分的阅览服务; 学校有权按有关规定向国家有 关部门或者机构送交论文的复印 件和电 子版; 在不以 赢利为目 的的前 提下，学校可以 适当 复制论文的 部分或全部内 容用于学术活动。 学 位 论 文 作 者 签 名 : 髯丸 劝 叼年r 月 z 8 日 经指导教师同 意，本学位论文属于保密， 在年解密后适用 本授权书。 指导教师签名:学位论文作者签名: 解密时间:年月日 各密级的最长保密年限及书写格式规定如下: 内部 5 年 ( 最长5 年， 可少于5 年) 秘密1 0 年 ( 最长1 0 年， 可少于1 0 年) 机密2 0年 ( 最长2 0 年，可少于2 0 年) 南开大学学位论文原创性声明 本人郑重声明: 所呈交的学 位论文， 是 本人在导师指导 下， 进行 研究工作所取得的成果。 除文中已 经注明引用的内容外， 本学 位论文 的研究成果不包含任何他人 创作的、 已 公开发表或者没有公开发表的 作品的内 容。对本论文所涉及的研究工作做出 贡献的其他个人和集 体， 均已 在文中以明 确方式标明。 本学位论文原创性声明的法律责任 由 本人承担。 学 位 论 文 作 者 签 名 : 禹山 习 v w 1年 犷 月 ， 9 日 前 侣 旨 仁1 . . . . . .口 . . 口口 . . . . . . . . . . . . i 1 9吕 今天，随着计算机网络技术如日中天的发展，网络用户迅猛增多，i p地址 将会变得越来越匾乏，人们不得不探索研究下一代网际协议 ( n e x t g e n e r a t i o n i n t e r n e t i p n g ) ， 以 谋求新的出 路。 经过数 年的 研究 和 探索， i p v 6 协议由 孕育到 产生，最后逐步走向成熟，从实验室走进了下一代网络世界，并将逐步取代现 有i p v 4 ，被人们广泛使用， 成为下一代互联网功能强大的核心。因此，在 v 6 领域中开展相关的网络安全技术性问题研究己经成为了当前业界的热点。虽然， i m 本身已利用i p s e c 协议解决了网络层数据加密及身份认证的问题， 可以保证 数据在不安全的网络上实现安全传输， 但是i p s e c 并不能有效防止针对协议本身 的攻击。而入侵检测系统作为主动式、动态地保护网络安全的有效手段，能够 管理配置不当、用户误操作、软件漏洞等造成的攻击，特别是针对一些高度机 密的网络机构，更需要主动的防范网络入侵，以防不测，因此在i p v 6 环境下， 仍需要对入侵检测系统进行重点研究和重点发展。本文中， 第一章主要介绍了 网络安全的研究意义，i m下入侵检系统研究的必要性，并且给出本课题的研 究背景及研究内容。第二章阐述了入侵检测的概念、体系结构和通用入侵检测 模型， 并着重介绍了基于协议分析的 入侵检测技术和s n o rt 入侵检测系统的功能 原理。第三章完整介绍了i m 协议结构，并详细分析了其环境下入侵检测的系 统模型和协议分析原理，进一步说明了 入侵检测系统在i p v 6 下的实现机理。第 四章提出了由i p a 向i m 的过渡策略，并以开源入侵检测系统s n o rt为原型， 在i m 环境下实现基于协议分析的入侵检测系统， 在i p v 6 分片重组、 i m 规则 集修改增建和规则检测的快速匹配方面对s n o rt进行了改进。 第五章对本文进行 总结，指出了系统现存的不足，提出了进一步工作的方向。 第一章绪论 第一章绪论 第一节网络安全概述 随着信息化程度的日渐提高，计算机网络的资源共享得到了进一步加强， 随之而来的信息安全问题将会日益突出。据美国 金融时报报道，现在平均 每加秒就发生一次计算机网络入侵事件，超过 1 / 3的互联网防火墙被攻破。在 全球范围内，由于信息系统的脆弱性而导致的经济损失，每年达数亿美元，并 且呈逐年上升的趋势。能否成功阻止网络黑客的入侵、保证计算机和网络系统 的安全和正常运行，己经成为政府、军事要害部门以及各个企事业单位的头等 重要的大事，因此，研究基于网络的计算机系统的安全问题具有极为重要的现 实意义。 1 . 1 . 1 网络安全面临的问题 网络安全面临的主要问题包括以下几个方面: . 黑客攻击 黑客攻击早在主机终端时代就已 经出 现， 随着i n t e rn e t 的发展， 现代黑客则 从以系统为主的攻击转变到以网络为主的攻击。黑客们常用的攻击方法主要有 炸弹攻击、网络监听( s n i ff i n g ) 、冒充 ( s p o o f i n g ) 、口 令攻击( c r a c k ) 、拒绝服务 ( d e n i a l - o f - s e r v i c e ) 攻击、 端口 扫描、缓冲区溢出、 s y n f l o o d i n g 攻击等. . 管理的疏忽 网络系统的管理是企业、机构及用户免受攻击的重要措施，然而，事实上， 他们都疏于这方面的管理， 对黑客攻击准备不足。目 前， 美国7 5 %-s o %的网站 都抓不住黑客的攻击，约有7 5 %的企业网上信息失窃。 . 网络协议的缺陷 第一章绪论 i n t e r n e t 的共享和开放性使网上的信息安全存在先天不足，因为其赖以生存 的t c p i i p 协议族缺乏相应的安全机制， 而且因特网最初的设计考虑是该网络不 会因局部故障而影响信息的传输，基本没有考虑安全问题，因此它在安全可靠、 服务质量和宽带等方面存在着不适应性。 . 软件的漏洞 随着软件系统规模的不断增大，系统中的安全漏洞或 “ 后门”也不可避免 地存在，比如，我们常用的操作系统， 无论是wi n d o w s 还是u n i x几乎都存在 或多或少的安全漏洞，众多的各类服务器、浏览器，一些桌面软件等都被发现 过存在安全隐患。 . 网络内部攻击 网络内部用户的误操作、资源滥用和恶意行为，也是非常大的威胁，据统 计，网络受到的攻击有 8 0 % 发生在内部，而不是外部，这些问题防火墙往往无 能为力，可以说是防不胜防。 1 . 1 .2 网络安全技术 目 前人们在网络信息安全问题上的技术研究主要集中在以下几个方面: . 网络反病毒技术 虽然可以通过各种防护技术确保网络安全，但在网络环境下，病毒的入侵 是不可避免的，层出不穷的病毒肆意泛滥，给反病毒技术提出了新的更严峻的 考验。现在流行的各种杀毒软件都采用预防、检测和杀毒三种技术，通过常驻 系统内存，优先获得系统系统的控制权，通过对计算机病毒特征如自身校验、 关键字、文件长度的变化等监视、检测病毒存在， 然后删除病毒程序。 . 防火墙技术 防火墙是指一种将内部网和互联网 或外部网采取一定权限分开的方法，是 采取一定尺度的隔离技术。就是它能允许获得许可的人和数据进入网络，同时 第一章绪论 将未被授权的人和数据拒之门外， 最大限 度的阻 止网 络中的黑客来访问你的网 络，防止他们更改、拷贝、毁坏你的重要信息. . 加密技术 加密是一 种主动防卫技术，就是将网 络中的 数据采取一定的 运算方式，以 另一种数 据形式传输给接收方，再以 另一种数学运算方式将传 输的数 据还原。 目 前的加密技术一般有两种: 对称加密和非对称加密，比 较流 行的 加密算 法如 d e s , r s a , md 5 等等。 .电子认证技术 电子认证技术其实是一种识别技术，就是将用户的特征存入数据库，按照 一定的标准将其识别出 来，主要有 双重认证、数字认证、智能 卡和安 全电 子交 易协议等。 如目 前出 现的许多产品:智能卡、仿真装置、指纹识别仪、 视网 膜 识别器，以及运用于电子商务的电子交易、数字签名等。 . 入侵检 测技术 入侵检测是通过从计算机网络或计算 机系统中的若干关键点收集信息并对 其 进行分析， 从而发现违反安全策略的 行为 和企图 攻击的迹象，并做出 响应。 入 侵检测系统作为一种安全管理工具，它 从不同的 系统资源收集信息，分析反 映 误用或异常行为模式的信息，对检测的 行为 做出自 动的反应，并报告检测 过 程的结果。它不仅可以防止来自于外部的攻击，还可以发现内部人员的非法行 为， 弥补了 其它静态防御系统的不足。 12 11 第二节 论文研究背景 入侵检测技术从概念提出到现在系统不断完善，已经经历了三代发展过程: 第一代入侵检测系 统， 是集成在操作系统中的，它通过事后处理审计日 志来发 现攻击行为: 第二 代入侵检测系统的思想， 是1 9 8 7 年d e n n i n g 在自己 的论文“ a n i n t r u s i o n d e t e c ti o n m o d e l ”中 提出的，它是基于主 机的 系统， 具有灵活的实 现方 法，从而大大地提高了检测的质量，其中有代表性的产品是 t ri p w i r e , 第一章绪论 s e l f - n o n s e lf . n i d e s . p a tt e rn m a tc h i n g . m i d a s 和s t a t 等 ; 第 三 代 入侵 检 测 系统将第二代的基本概念扩展到网络上，形成基于多主机的入侵检测系统，其 中 包括d i d s . n a d i r . n s t a t . g r i d s . e m e r a l d等产品。 经过近几年的发 展， i d s 产品开始步入一个快速的成长期， 逐步成为了网络用户在网络安全防御 中不可替代的工具。但是，目前的入侵检测系统尚不成熟，其检测的快速性、 准确率方面还存在诸多问题， 特别是缺乏对下一代核心网络i p v 6 的支持。 因而， 在i p v 6 下，实现入侵检测方面高效、快速、准确的技术研究，成为了当前网络 安全领域中应该关注的前沿课题。今天，h 血m d发展速度成几何级数的上升。 以i p v 4 为基础的3 2 位地址模式， 其有限的地位空间越来越不能适应i n t e r n e t 的 发展，然而， i p v 6以其超长的地址空间和强大的安全性支持，越来越得到人们 的支持，并将成为下一代互联网络的核心。但同时 伴随着i p v 6 的不断发展，其 安全性也面临着新的挑战，这也使得该协议下的入侵检测技术研究不得不尽早 展开研究和实践。有关资料显示，目 前i p v 6 正在从实验室走向试验阶段， 其框 架已 经基本成熟，并在国内外得到了较大的发展，美国、日本、韩国等一些国 家在战略、政策、立法、项目资助、国际合作等方面采取相应措施，大力发展 i p v 6 网络，我国也在紧追世界前沿，在众多高校建立了i p v 6 试验床，并加入了 国际6 b o n e 。可以说，i p v 6 凭其巨大的地址空间和高效数据包处理效率等优势， 将会成为3 g时代互联网、 移动通信空前发展的支柱性平台。由此可看出， 努力 开展i p v 6网络下的入侵检测技术研究是面向未来，服务未来的前瞻性举措，是 使入侵检测技术不断走向成熟，适应未来发展需要的一项重要课题，同时，研 究i p v 6 下的入侵检测技术也是未来加强国防建设的需要，作为一名部队军人， 有责任去尝试i p v 4 下的入侵检测系统向i p v 6 下的转型。 第三节本文的研究工作和创新点 本文针对入侵检测的研究现状，对当前的网络入侵检测系统框架进行了研 究和分析，根据网络协议的高度有序性，提出了基于协议分析的网络入侵检测 系统架构。基于协议分析的入侵检测系统检测速度快、检测准确率高、误报率 低、抵抗能力强，可以较好地识别各种攻击。 本文立足未来i p v 6 协议大好的发展趋势， 提出了 一种在i p v 6 下实现协议分 析的入侵检测系统， 利用一个轻量级应用广泛的入侵检测系统s n o r t ，构建i p v 6 第一章绪论 下的 入 侵检测系统原型。开 源系 统s n o rt可扩展 性好， 设计的 模块 简便易行， 但 其在l i n u x / u n i x操作系统下工作性能较好，而在其他操作系统如 w i n d o w s 下架 构相对比较困难，而且经过测试其在高速网络环境中 丢包的 概率很大， 原因是 s n o r t 在抓包和规则匹配环节上的 速度明显下降。 针对存在的这些不足， 本文提 出了如下几个创新点: 1 、 本文在深入分析轻量级入侵检测系统s n o rt 的工作原理基 础上， 提出了 基于 协议分析的入侵检测系统模型 框架，并设计了i m 环境下的入 侵检测系统 模型。 2, 按照i m 协议规则， 实现了i p a 下入侵检测系统s n o rt到i p v 6 下的移 植， 对 s n o rt系统进行了修改、增减。 添加了i p v 6 捕获数据包模块 和协议解析 模块， 实现了i p v 4 / i p v 6 隧道捕获技术， 进一步完 善了 系统功能， 提高了 系统工 作的效率。 3 、 在 i m协议下，实现了分片重组机制，以防数据包分片攻击。 按照 i m 协议 规则， 进一步修改编写了入侵检测系统的 规则集，提高异常检测的效率， 降低漏报率。 4 、 为了提高 规则匹 配的 效率， 使入侵检测成功率提高， 综合比 较了 单模式 匹配 算法和多 模式匹 配算法。在规则匹配过程中， 采用了性能较高的多 模式匹 配算法a c - b m进行快速匹配。 第二章入侵检测系统概述 第二章入侵检测系统概述 第一节入侵检测的基本概念 入侵检测就是检测任何企图损害系统保密性、完整性或可用性行为的一种 网络安全技术。它通过对运行系统的状态和活动的监视，找出异常或误用的行 为，根据所定义的安全策略，分析出非授权的网络访问和恶意的行为，迅速发 现入侵行为和企图，为入侵防范提供有效的手段。 入侵检测 系统 ( i n tr u s i o n d e te c t i o n s y s t e m ， 简 称为id s ) ， 顾名思 义， 就是一 段执行异常或误用检测的程序。它通常处于防火墙之后，在不影响网络性能的 情况下对网络活动进行实时检测， 通过在网络或计算机系统中的若干关键点收 集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策 略的行为和被攻击的迹象。随着计算机技术的不断发展，人们已经将报替、传 输中断甚至反入侵等措施嵌入于传统的入侵检测系统中，使原有系统的安全管 理能力得到了 进一步增强 ( 包括安全审计、监视、 攻击识别和响应) ，提高了信 息安全基础结构的完整性.因此，入侵检测也可以被认为是防火墙之后的第二 道安全闸门。 通常情况下，我们所研究的入侵检测系统，其主要任务包括以下 几点: 监视并分析系统及用户活动; 检查系统配置和漏洞: 评估系统关键资源和数据文件的完整性; 识别已知的攻击行为以及统计分析异常行为; 对操作系统进行日 志管理，并识别违反安全策略的用户活动; 针对已 发现的 攻击行为做出 适当的反应，如告普、 终止进程等。3 i : 第二节 入俊检测系统的发展历程及研究现状 1 9 8 0 年4 月， j a m e s p a n d e r s o n 为 美国 空 军做了 一 份 题为 c o m p u t e r s e c u ri ty t h r e a t m o n it o r i n g a n d s u r v e i l l a n c e )( 计算机安全威胁监控与监视) 的技术报告， 第二章 入侵检测系统概述 第一次详细阐述了入侵检测的概念.他提出了一种对计算机系统风险和威胁的 分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种。并在该报告中 提出了一个基于审计跟踪数据的监视系统，就是将审计记录可以用于识别计算 机误用， 从而开启了计算机入侵检测技术领域的先河。 在入侵检测概念提出之后， 不久就出 现了 系统模型。 1 9 8 4 到1 9 8 6 年乔治敦 大学的d o r o t h y d e n n in g 博士 和s r i 公 司 计算 机 科 学实 验室 的p e te r n e u m a n n 接 受了政府的一项入侵检测的工程研究。项目的主要任务是分析从政府主机来的 审计数据并且 针对用户的行为建立用户轮廓文件。他们研究出一个实时的入侵 检测系统模型，它独立于特定的系统平台、应用环境、系统弱点以及入侵类型， 为构建入侵检测系统提供了一个通用的框架。该系统的优点是:无需了解入侵 者所使用的特定机制，就可以检测到入侵行为。但是，由于特征的不确定性难 以准确判断异常，而且遇到更改行为特征的入侵会导致检测失败等。在这基础 上，1 9 8 8 年， s r i 公司计算机科学实 验室的t e r e s a l u n t 等人改进了 模型， 并开 发出了 一 个新的入侵检测系统模型i d e s ( i n t r u s i o n d e t e c t i o n e x p e rt s y s t e m s 入侵 检测专家系统) 。该系统包括一个异常检测器和一个专家系统，分别用于统计异 常模型的建立和基于规则的特征分析检测.这种实时的入侵检测系统，是基于 主机的，它们的检查活动只局限于操作系统审计跟踪数据以及其他以主机为中 心的信息源. 1 9 8 8年，发生莫里斯蠕虫事件之后，网络安全才真正引起了 军方、 学术界 和企业的高度重视。1 9 8 9 年， 加州大学戴维斯分校的t o d d h e b e r l e i n 在论文 a n e tw o r k s e c u r ity m o n it o r 中， 引 入了 审 计网 络 数 据 流 的 思想 ， 并 于1 9 9 0 年 开 发出 了n s m ( n e t w o r k s e c u r ity m o n it o r ) 系 统， 这 样 可以 在 不 将审 计 数 据 转 换 成统一格式的情况下监控异种主机，网络入侵检测从此诞生。 至此， 入侵检测系统形成了基于主机的和基于网络的两个分支。 在这之后 的数年中，两个方向的入侵检测系统不断发展，而且同时也在向混合型、智能 化、 分布式方向 迈进. 其中d i d s 分式入侵检测系统的研究就是一个很好的例证， 它第一次尝试将主机入侵检测和网 络入侵检测的能力集成，以便于一个集中式 的安全管理小组能够跟踪安全侵犯和网络间的入侵。在大型网络互联环境下， 入侵者通常会利用计算机系统的互联来隐藏自己真实的身份和地址，一次分布 式攻击往往是每个阶段从不同系统发起攻击的组合结果，这对检测入侵行为是 相当困 难的， 但是，d i d s 是第一个具有此类攻击识别能力的入侵检测系统。目 第二章入侵检测系统概述 前， s r i / c s l 、普渡大学、 加州大学戴维斯分校、 哥伦比亚大学、 新墨西哥大学 等机构在这些方面的研究代表了当前的最高水平。 1 9 9 7 年， 美国国 防高 级研究项目 部 ( d a r p a ) 提出了 一个通用入侵检测框 架 ( c o m m o n i n tr u s i o n d e t e c t i o n f r a m e w o r k , c i d f ) ， 大致概括了当前入侵检测 系统的基本状况。它所要实现的目 标有: 入侵检测和网络管理能够共享组成入侵检测系统的事件、分析数据库和 回应组件; 入侵检测和网络管理能够共享审计纪录、报告信息和入侵模式信息等; 通过实 现协作性标准和a p i 集， 来统一实现和管理i d s ; 设计开放的入侵检测框架标准，此标准应独立于实现语言、操作语言和 网络协议。 c i d f 结构由五个组件组成: 事件组件; 分析组件; 数据库组件; 回应组件; 管理服务器组件 ( 如图2 . 1 所示) ，这些组件是大多数入侵检测系统所共同具有 的通用组件。 事件 ( e - b o x )回应 ( r e s v o n s e - b o x ) 分析( a n a ly s is - b o x )数据库( d a t a b a s e- b o x ) 管理服务器 ( a d m i n - s e r v i c e ) 图2 . 1 c i d f 结构示意图 事件组件:收集或过滤事件数据的程序或模块，是将有关事件的信息提 供给该系统的其它部分。 分析组件: 对来自 事件发生器的输入进行分析， 并产生警报信息。这部 分是入侵检测研究的重点，当前有异常探测分析技术、图形分析技术、 第二章入侵检测系统概述 基于神经网络、遗传算法乃至生物特征系统模型等多项分析技术，是该 领域内的热点和难点。 数据库组件:存储由事件组件和分析组件传递来的数据信息， 包括已 处 理的和未处理过的信息，并提供检索和查询服务。 回应组件:根据分析组件提供的替报来对攻击做出反应。 管理服务器组件: 提供对各组件的消息管理和安全控制。 川 】 : 第三节 入侵检测系统的分类及主要技术应用 2 . 3 . 1 入侵检测系统分类 1 、 按照检测类型入侵检测有两种检测模型: 1 ) 异常检测模型 ( a n o m a l y d e t e c ti o n ) : 异常检测是将正常用户行为特征轮廓和实际用户行为进行比较，并标识出 正常和非正常的偏离。异常检测的基础是反常活动和计算机不正当使用之间的 相关性。轮廓定义一个度量集， 度量用来衡量用户的特定行为。每一度量与一 个阐值或域相联系。异常检测依赖于一个假定:即用户表现为可预测的、一致 的系统使用模式。这个方法也能随着事件的迁移适应用户行为方面的变化。但 是异常检测完成后仍须验证，因为我们无法判定给定的度量集是否完备。因此， 这种异常检测模型漏报率低，误报率高，但是由于不需要对每种入侵行为进行 定义，所以能有效检测未知的入侵。常见的异常检测模型有: . d e n n in g 的 原始 模型。 这是d o r o 伽 d e n n i n g 博士 在她里 程碑式的 论 文中 提出的。她主张一个入侵检测系统中包括4 个统计模型:一个用于度量 的可操作模型，一个基于数据平均和标准偏差的概率模型，一个基于一 个度量和相关的一个或多个度量的多变量模型，一个基于执行事件流的 ma r k o v 处理模型。 . 基于量化分析的系统模型。将检测规则和属性以数值形式表示。通常包 括阐值检测、启发式阐值检测、基于目 标的集成检查和数据精简等。 . 基于统计度量的模型。 通过运用统计分析的方法，捕捉一些超过阐值的 可疑信息，运用数据挖掘的理论检测一些未知的入侵行为。所以选择合 第二章 入侵检测系统概述 适的度量对统计分析的结果起着至关重要的作用。 基于规则的检测模型。这种方法的潜在假定和统计法相关的假定是一样 的。主要不同是基于规则的异常检测系统使用规则集来表示和存储使用 模式。与统计度量相比，这种方法没有行为渐变的问题，但在基于学习 的系统中，在早期会产生大量的漏报。 神经网络的检测模型。神经网络由许多称为单元的简单处理元素组成， 这些单元通过使用加权的连接相互作用。实际的事件异常检测过程是通 过改变单元状态， 连接权值， 加入或移去连接进行的。但是， 神经网络 不能为它们提供任何具有说服力的解释，这使它不能满足安全管理需 要。 2 )误用检测模型 ( mi s u s e d e t e c t io n ) 误用检测技术是根据系统缺陷 ( 特征)和预先精确定义的入侵模式对观察 到的用户行为和资源使用情况进行模式匹配来进行检测，因此误用检测又称为 特征检测。误用检测的主要假设是攻击行为能够被精确地按照某种方式进行编 码。误用检测的误报率可以做到很低，但是漏报率高。常见的误用检测包括: 专家系统模型。它的优点在于可以把系统的控制推理从问题解决的描述 中分离出去，允许用户以诸如i f -t h e n 的形式输入攻击信息和动作，而 不需要用户理解专家系统的内部功能。采用专家系统可以将误报率压得 很低，但是它不适用于处理大批量数据，无法利用连续有序数据之间的 关联性，对不确定性的数据无法处理。 基于状态转换法模型:采用状态转换法允许使用最优模式匹配进行结构 化误用检测，速度快，灵活性高。 状态转换法使用系统状态和状态转换 表达式描述和检测已知入侵， 主要有语言 / 基于a p i 的方法、 状态转换特 征法、有色p e tri网 ( c p - n e t s )和状态转换分析法。 2 、按照检测对象可分为: 1 )基于主机的入侵检测系统 ( h o s t - b a s e d i d s , h i d s ) h i d s 通常是在主机上运行的一个应用程序， 是将计算机操作系统的事件日 志、应用程序和事件日志、系统调用、端口调用和安全审计记录作为系统分析 的数据，通过对其进行审计，检测入侵行为。早期的系统多为基于主机的，主 第二章入侵检测系统概述 要用来检测内部网络的入侵攻击。 h i d s 通常情况下由 代理来实现的，一些功能 较全的系统提供审计策略管理、统计分析和证据支持，在一些特定的情况下还 支持访问控制。大多数系统是采取监听端口的异常行为，少数是对关键的系统 文件和可执行文件定期检查其校验而发现异常的。 h i d s 由 于是在内部网络对特定主机实施的检测， 它的性能价格比相对较高， 且不受加密或者交换式网络的影响，比较容易确定攻击是否成功，特别是非常 适合检测内部入侵。但是如果入侵者逃避审计或进行合法入侵，则基于主机的 入侵检测系统就暴露出其弱点，一是不容易发现伪装的信息，二是来自网 络的 欺骗入侵难以捕获。 2 )基于网络的入侵检测系统 ( n e t w o r k - b a s e d i d s . n i d s ) n i d s 使用原始网络数据包作为数据源， 主要用于防御外部入侵攻击。 n i d s 通常利用一个运行在混杂模式下的网络适配器来实时监视出入网络的通信数据 流，依据一定规则对数据流的内容进行分析，从而发现协议攻击、运行已知黑 客程序的企图和可能破坏安全策略的特征，做出入侵攻击判断。它的攻击识别 模块通常使用四种常用技术来识别攻击行为: . 模式、表达式或字节匹配 . 频率或穿越阀值 . 次要事件的相关性 . 统计学意义上的非常规现象检测 n i d s 具有检测速度快，监视器数目 较少， 攻击者不易转移证据， 操作系统 无关性，占用资源少以及易于安装维护等优点。但是，它也有其固有的缺点， 比如难以分析加密数据，难以精确监控用户的行为，占用带宽等。目 前，一些 公司将网 络入侵检测直接植入硬件中， “ 固 化” 于机器上， 形成了 入侵检测模块， 这在一定程度上避开了交换式网络带来的不利因素。还有的公司企图考虑利用 负载平衡解决占 用带宽的问题，但负载平衡一则开销大，二则稳定性并不可靠。 3 )混合型入侵检测系统 基于主机和基于网络的入侵检测系统都有不足之处，会造成防御体系的不 全面。综合基于主机和基于网络的混合型入侵检测系统，既可以发现网络中的 攻击信息，也可以从系统日志中发现异常，吸收双方的优点，弥补了互相的不 第二章入侵检测系统概述 足，在逻辑上实现了网络和主机的互补。 2 .3 .2 入侵检测系统技术运用 当前，随着互联网的高速发展，网络安全状况受到了前所未有的考验，入 侵检测的研究也得到了新的发展，一些新技术逐步应用于入侵检测领域。 . 生物免疫原理 由于生物免疫系统能够成功识别并清除从体外入侵的病原体和体内的有害 细胞，保护机体不受侵害。通过研究发现，生物免疫系统与入侵检测系统具有 惊人的相似性，前者保护机体不受诸如疫苗、病毒等各种病原体的侵害，而后 者保护计算机系统不受或少受入侵事件的危害或威胁，两者都是在不断变化的 环境中维持系统的稳定性。 用一个s e l f / n o n s e l f 数学集区分是否为有害因素或者 是不是入侵行为，通过一定的检测规则和生成算法合理的将入侵事件行为分离 开来。 . 遗传变异原理 在自 然界中，自然选择使得更加适应环境的物种存活和繁衍。遗传变异的 原理也同于此，其算法步骤如下:随机或者启发式的产生初始种群。在每一代 中，当前种群中的个体被解码，并通过某个预先定义的适应度方程进行评估。 为了形成新的种群，根据个体的适应度值选择个体，通过交叉和变异等遗传操 作，产生新的个体。根据合适的选择函数，将当前种群中的部分个体或者全部 个体进行优化，产生新的种群.依此反复优化，直至满足终止条件.而应用于 入侵检测中，就是把一个事件或行为看成规则行为被编码为染色体，这些事件 或行为 就是 如网 络连接 构 成的 数 据库等， 通常用i f 条 件 t h e n 动 作 这 样的 形 式 表示， 条件就是如源e p 地址、目 的i p 地址、端口 号等. 动作就是诸如给系统管 理员报警等对异常的反应。随着遗传算法在入侵检测领域中的应用，很多研究 已经企图改进，比如引入种群多样性的概念，还有使用多种群的优化策略等。 . 代理检测原理 第二章入侵检测系统概述 代理( a g e n t ) 一 词最初起 源于人 工智能 领域， 它是指模拟 人类行为 和关 系， 具有一定智能并能够自主运行和提供相应服务的程序。它可以代表用户或另一 个程序执行某些操作集合。基于代理的入侵检测方法就是在一个主机上执行某 种安全监控功能的软件实体。这些代理自 动运行在主机上，并且可以和其他相 似结构的 代理进行交流和协作。一个代理可以是很简单的 ( 例如，记录在一个 特定时间间隔内特定命令触发的次数)也可以很复杂 ( 在一定环境内 捕获并分 析数据) 。 后来， a g e n t 的 概念被 扩展到 分 布式计算 机领域， 用于个人助 理、 分 布式信息获取和并 行处理， 目 前， 移动a g e n t 技术在入侵检测领域也得到了 广泛 的运用。 . 数据挖掘原理 数据挖掘技术就是采取数学的、统计的、人工智能和神经网络领域内 特定 的算法， 按照记忆推理、聚类分析、关联分析、决策树、神经网络、基因算法 等技术，从大量数据中挖掘出隐含的、先前未知的、对决策有潜在价值的关系、 模式和趋势，并用这些知识和规则建立用于决策支持的模型，提供预测性决策 支持的方法、工具和过程。在入侵检测领域中，数据挖掘可以对大量的入侵检 测数据源进行分析，尤其是用传统的方式较难发现的攻击行为，而使用数据挖 掘技术， 可以很快发现攻击。 2 . 3 .3 协议分析技术在入侵检测系统中的应用 1 9 9 8 年， n e tw o r k i c e 提出了 一种全新的 入侵检测方法， 就是协议分析技术。 该方法是n e t w o r k i c e网络安全解决方案的基础与核心。 它被称为第三代入侵检 测技术。 传统的n i d s 主要使用特征模式匹配技术， 即通过基本的数据包捕获加以 非 智能模式匹配来探测攻击。 这种方法实 现简单，但检测能力和灵活性差，只能 探测出明 确的、唯一的攻击特征，而且计算机量大、检测效率低，不利于在高 速网络环境下使用。 而协议分析技术是充分利用了网络协议的高度有序性，对每个网络中的每 一个数据包根据协议规则进行解码，然后再去检查每一个字段，看它是否符合 标准。如果发现不符合标准的数据，网络入侵检测系统则给这样的数据包做一 第二章 入侵检测系统概述 个标记，当这些数据包到达主机后，主机将会在这些包到达操作系统、 应用程 序之前丢弃它们。与传统的特征匹配技术相比，计算量大大减少，效率提高， 而且还可在性能不变的情况下应用于高负载的高速网络上。 协议分析的过程就是:捕获网络数据包后，按照网络协议的层次组织结构， 依次分解出各层协议首部，进而确定其上一层协议，直至完成应用层协议的全 部解析。 如对h t t p 报文， 结构如图2 .2 所示。 其解析过程如下:从链路层获得 图 2 . 2 h ttp 报文格式 以 太网数据帧，解析出以太网首部，检查其中的帧类型为 0 8 0 0 ，确定上一层为 i p 协议;进一步解析出i p 首部， 检查其中的协议值为6 ，为t c p 报文段，再解 析出t c p首部，查看目的端口号为8 0 ，为h t t p 报文，最后解析出h t i t首部 和包含的实体数据 ( 如图 2 . 3 ) 。所有解析出的协议首部和数据编码都用来进行 详细的协议分析检测.本论文主要讨论的是基于i m 协议分析技术，具体步骤 将在下一章中详细阐述。 协议分析方法可以识别各种攻击，可以通过确认协议数据来捕获攻击。在 可能的攻击分类中制订可以 识别的攻击程序的规则，不需要决定攻击的目的， 而只要确定是否有不正常的行为发生以及进行归档分析。协议分析只需