（计算机应用技术专业论文）ips入侵行为特征分析技术研究与实现.pdf

趴! ol 一 k 乙一。、 f k ! j - i 一 厶 一 摘要 摘要 近些年，随着网络上的入侵事件越来越多，系统及网络的安全成为一个热门 领域。防火墙等安全设备已不能满足现在人们对安全的要求，入侵检测成为安全 领域一个热点问题。入侵防御系统就是在这样的大环境下产生，它不但能检测出 已知的攻击行为，还能探测出网络中部分未知的攻击方式，更能对这些攻击行为 进行主动的、积极的响应、处理和防御，这是入侵检测系统所不能具备的。 但是入侵防御目前对于入侵的检测多集中在单点检测，即一个独立的入侵防 御系统，这样的构架将不能对整个网站中的攻击行为进行确切的检测。本论文将 数据挖掘中的序列挖掘与分布式架构相结合，综合分析多个独立的入侵防御系统 收集的信息，采用序列模式匹配的方式，使针对入侵的检测更加准确。 本文研究和实现了入侵防御系统的主要功能模块。论文主要工作如下： 1 、将基于时序数据分层的序列挖掘算法应用到了入侵防御系统中来。该方法 首先将多维时序行为序列分层，并从中筛选频繁项，最后生成关联规则。最终的 关联规则是多维时序的，应用于入侵检测系统，可以基于更多的信息，更准确地 分析识别更多的攻击行为。 2 、提出了双层入侵防御系统体系架构。该系统架构由两层组成：本地系统和 交互系统。本地系统是一个集中式的架构，有探针用于初步分析处理本地数据， 也有数据处理中心负责管理本地信息。其中，数据处理中心是本地系统的中心节 点。交互系统是一个纯分布式的架构，该系统内的节点即是本地系统中的数据中 心。交互系统用于在各个数据中心间共享信息，以收集更多的证据来发现攻击。 3 、本文根据所提出的双层入侵防御系统体系架构以及相关关键技术的解决方 案，具体设计并实现了一个双层入侵防御系统。通过现实中的网络数据和模拟的 攻击数据，本文从功能和性能两个方面对双层入侵检测系统进行了测试。测试结 果表明，本文所提出的双层入侵防御系统具有高准确度和高性能等特点。 总体上，基于行为序列模式匹配的双层入侵防御系统，其性能要优于传统的 入侵防御系统，使用该系统可以有效地防御常见的网络攻击。 关键字：入侵防御、时序序列挖掘、信息共享、p 2 p 系统 - a b s t r a c t a b s t r a c t w i t ht h em o r ea n dm o r ei n v a s i o no nt h en e t w o r k ，s y s t e m sa n dn e t w o r k s e c u r i t yh a s b e c o m eah o ta r e ai nr e c e n ty e a r s n o w , b e c a u s ef h e w a l l sa n do t h e rs e c u r i t ys c h e m e s c a l ln o tm e e tt h er e q u i r e m e n t so fs e c u r i t y , i n t r u s i o nd e t e c t i o nb e c o m e st h eh o ti s s u ei n t h ef i e l do f s e c u r i t y i n t r u s i o np r e v e n t i o ns y s t e mi si n t r o d u c e du n d e rs u c hac a s e i tc a l l n o to n l yd e t e c tt h ek n o w ni n v a s i o n ，b u ta l s oc a nd e t e c tp a r t so ft h eu n k n o w na t t a c ko n t h en e t i p sc a na l s od e f e n dt h ea t t a c k sa n dp r o t e c tt h es y s t e m , w h i l et h ei n t r u s i o n d e t e c t i o ns y s t e mc a l ln o t h o w e v e r , t h et r a d i t i o n a li p s su s u a l l yd e t e c tt h ea t t a c k sb a s i n gu p o nt h el o c a l i n f o r m a t i o n t h a ti s ，t h ei p s sd on o te x c h a n g et h ei n f o r m a t i o n s u c haf r a m e w o r k s t o p s u sf r o mu s i n gt h eg l o b a li n f o r m a t i o nt od e t e c tt h ei n t r u s i o n s i nt h i sp a p e r , w ec o m b i n e t h ed a t am i n i n g ，e s p e c i a l l yt h es e q u e n c ep a r e r n , a n dt h ed i s t r i b u t e da r c h i t e c t u r e w eu s e s e q u e n c ep a t t e r nm a t c h i n ga p p r o a c ht oa n a l y z et h ei n f o r m a t i o ng a t h e r e db ym a n y i n d e p e n d e n ti n t r u s i o np r e v e n t i o ns y s t e m si na l li n t e g r a t e dm a n n e r , w h i c hm a k e st h e i n t r u s i o nd e t e c t i o nm o r ea c c u r a t e i nt h i sd i s s e r t a t i o n , w es t u d ya n dr e a l i z et h em a i nm o d u l e so ft h ei n t r u s i o n p r e v e n t i o ns y s t e m t h em a j o rw o r k so ft h i st h e s i sa r ea sf o l l o w s ： f i r s t l y , t h eh i e r a r c h i c a ls e q u e n c ed a t am i n i n ga l g o r i t h mf o rt i m e s e r i e sd a t ai s b r o u g h ti n t o t h ei n t r u s i o n p r e v e n t i o ns y s t e m t h i sm e t h o df i r s t l ys t r a t i f i e st h e m u l t i d i m e n s i o n a lt i m e s e r i e sb e h a v i o rs e q u e n c e ，t h e nf m d so u t f r e q u e n ti t e m s ，a n d f i n a l l yg e n e r a t e s t h ea s s o c i a t i o nr u l e s t h ea s s o c i a t i o n r u l e s ，w h i c h a r e m u l t i _ d i m e n s i o n a l ，c a na c c u r a t e l yd e t e c tm o r ei n t r u s i o n sb a s i n gu p o nm o r ei n f o r m a t i o n , w h e nt h e ya r eu s e di nt h ei n t r u s i o np r e v e n ts y s t e m s e c o n d l y , w ep r o p o s e dt h ed o u b l e - l a y e ri n t r u s i o np r e v e n t i o ns y s t e ma r c h i t e c t u r e t h i ss y s t e ma r c h i t e c t u r ec o n s i s t so ft w ol a y e r s ：l o c a ls y s t e m sa n di n t e r a c t i v es y s t e m s t h el o c a ls y s t e m sa r es o m ec e n t r a l i z e da r c h i t e c t u r e i nt h el o c a ls y s t e m , t h e r ea r es o m e p r o b e sf o rm ec a p t u r ea n di n i t i a la n a l y s i so ft h el o c a ln e t w o r kd a t a a n dad a t a p r o c e s s i n gc e n t e r w h i c hi sr e s p o n s i b l ef o rm a n a g i n gl o c a li n f o r m a t i o n t h ed a t a p r o c e s s i n gc e n t e ri st h ec e n t e ro ft h el o c a ls y s t e mn o d e s i n t e r a c t i v es y s t e mi sap u r e l y i i d i s t r i b u t e da r c h i t e c t u r e t h en o d e si nt h ei n t e r a c t i v es y s t e ma r et h ed a t ap r o c e s s i n g c e n t e ri nt h el o c a ls y s t e m s i n t e r a c t i v e s y s t e mi su s e dt os h a r ea n de x c h a n g et h e i n f o r m a t i o na m o n gt h ed a t ap r o c e s s i n gc e n t e r st o g a t h e rm o r ee v i d e n c et od i s c o v e r a t t a c k s f i n a l l y , b a s e du p o nt h ep r o p o s e di n t r u s i o np r e v e n t i o ns y s t e ma r c h i t e c t u r ea n d s o l u t i o n so ft h ek e yt e c h n o l o g i e s ，w ed e s i g n e da n di m p l e m e n t e dad o u b l e 1 a y e r i n t r u s i o nd e t e c t i o ns y s t e m t h r o u g hr e a l w o r l dn e t w o r kd a t aa n ds o m ed a t ao ft h e s i m u l a t i o na t t a c k , w et e s t e dt h i ss y s t e mb yt w o a s p e c t s ，f u n c t i o na n dp e r f o r m a n c e t h e t e s tr e s u l t ss h o wt h a tt h ep r o p o s e d d o u b l e l a y e ri n t r u s i o np r e v e n t i o ns y s t e mi sw i t hh i 曲 a c c u r a c ya n dh i 曲p e r f o r m a n c e i ng e n e r a l ，d o u b l e l a y e ri n t r u s i o n p r e v e n t i o ns y s t e mu s i n gb e h a v i o rs e q u e n c e p a t t e r nm a t c h i n g ，h a sap e r f o r m a n c et h a ti ss u p e r i o rt ot h et r a d i t i o n a li n t r u s i o n p r e v e n t i o ns y s t e m u s i n gt h i ss y s t e mc a l le f f e c t i v e l yd e f e n dt h ec o m m o nn e t w o r k a t t a c k s k e yw o r d s ：i p s ，t i m i n gs e q u e n c em i n i n g ，i n f o r m a t i o ns h a r e ，p 2 ps y s t e m i i i iffjlfjilfjiiiiiiijiiijliiiliiliiiliiili-ii ， ， - 日录 目录 第一章绪论1 1 1 课题的研究背景1 1 2 国内外研究现状2 1 3 本课题研究的目的和内容3 1 4 课题来源及本人工作4 1 5 论文结构4 第二章i p s 技术背景及相关研究6 2 1i p s 原理6 2 2 入侵防御系统分类9 2 2 1 根据数据来源进行分类1 0 2 2 2 根据处理行为进行分类1 2 2 2 3 根据系统环境进行分类1 5 2 2 4 根据系统架构进行分类1 5 2 3 入侵检测技术发展趋势1 6 2 4 数据挖掘技术1 7 2 4 1 数据库中知识发现1 7 2 4 2 基本的数据挖掘技术1 8 2 4 3 关联分析1 9 2 5 本章小结2 3 第三章基于行为序列的入侵检测方法2 4 3 1 行为序列2 4 i v 目录 3 1 1 序列模式2 4 3 1 2 攻击序列2 5 3 2 序列模式挖掘算法2 7 3 2 1 序列模式挖掘经典算法2 7 3 2 2 基于时序数据分层的序列挖掘算法2 8 3 3 序列挖掘在i p s 中的应用3 3 3 3 i 数据预处理3 3 3 3 2 攻击序列挖掘3 7 3 4 本章小结。3 9 第四章双层入侵防御系统设计4 0 4 1 本地系统设计4 0 4 i 1 探针子系统4 1 4 1 2 监控中心4 5 4 1 3 数据仓库4 6 4 i 4 数据处理中心4 7 4 2 交互系统设计4 8 4 2 i 交互系统总体架构4 9 一1 4 2 2 安全通讯机制5 0 4 2 3 消息格式5 2 4 3 本章小结5 4 第五章i p s 系统数据处理中心实现5 5 5 1 数据提交：5 6 5 2 用户服务5 7 5 3 日志服务、控制服务5 9 v 目录 5 4 数据分析6 0 5 5 信息共享6 1 5 5 1 信息请求6 3 5 5 2 请求响应6 4 5 5 3 结果发送6 5 5 5 4 分析结果接收6 6 5 6 本章小结6 6 第六章系统测试6 8 6 1 测试环境6 8 6 2 功能测试和结果6 9 6 3 性能测试和结果7 0 6 3 1 识别能力测试7 0 6 3 2 处理性能测试7 l 6 4 本章小结7 2 第七章结论7 3 7 1 工作总结7 3 7 2 未来的研究工作7 3 致谢7 5 参考文献7 6 攻硕期间取得的研究成果8 0 第一章绪论 1 1 课题的研究背景 第一章绪论 在进入2 1 世纪的第一个十年，计算机网络技术得到了迅猛的发展，据中国互 联网络信息中心( q 州i c ) 最近一次发布的第2 3 次中国互联网络发展状况统计 报告【1 】显示，截至2 0 0 8 年1 2 月底，中国上网人数达到2 9 8 亿人，宽带上网人 数为2 7 亿人，手机上网人数有1 1 7 6 0 万。互联网的普及率达到了2 2 6 。毫无疑 问，所有的数据均表明社会已经进入一个崭新的信息时代。 在信息时代，信息技术在人们的生活上、工作上、学习上带来了翻天覆地的 变化，带给人们非常多的便利，例如电子邮件、即时消息、视频会议、网络购物 等。中国应用最广泛的即时通讯软件q q 的同在现在人数已经突破1 亿【2 】。淘宝网 是目前亚洲最大的网络零售商圈，其在2 0 1 0 年春节期间5 天交易总额就超过了1 0 亿人民币，其旗下支付宝的用户突破3 亿【3 】，淘宝网在2 0 0 9 年1 0 月9 日当天，单 日交易额创历史地达到6 2 6 亿元人民币，即当天在淘宝网上每分钟完成4 3 4 7 万 元的交易【4 】。北京正望咨询有限公司( c h i n ai n t e l l i c o n s u l t i n gc o r p ) 最新发布的调 查结果【5 】显示，2 0 0 9 年我国网上购物持续高速发展，有1 3 亿消费者共计在网上购 买了2 6 7 0 亿元的商品，比2 0 0 8 年实现了9 0 7 的增长。 但是随之而来的不全是正面的影响，随着网络入侵事件的不断增加和黑客攻 击水平的不断提高，垃圾邮件、网络蠕虫病毒、恶意代码、恶意程序等等也影响 者人们的正常生活、企业的正常运作，给个人、企业甚至国家造成不可忽视的经 济及精神的损失。根据卡巴斯基的( ( k a s p e r s k ys e c u r i t y b u l l e t i n2 0 0 9 m a l w a r e e v o l u t i o n2 0 0 9 【6 】，截止2 0 0 9 年底，恶意代码的总量达到了惊人的3 3 9 0 万左右， 而仅仅在2 0 0 9 年一年，新恶意代码的数量就达到了1 5 0 0 万，由卡巴斯基监控到 的网络攻击就有近2 2 亿次。安全问题已经严重影响到了整个互联网的健康发展和 社会生活的顺利进行。 针对日渐严峻的互联网安全问题、日益成熟壮大的网络攻击技术，传统的安 全产品，例如杀毒软件、防火墙、加密软件、入侵检测系统等都已经渐渐的不能 满足网络安全的需求，计算机安全方面的专家和相关公司在不断研究新的技术防 御攻击，降低攻击带来的伤害，保护国家、个人的信息安全。 电子科技大学硕士学位论文 针对网络入侵攻击，尤其是混合威胁的风险，给企业的信息网络造成严重的 破坏。面对这些问题，旁路部署的i d s 产品无法实现实时、有效的阻断防御，无 法实现用户主动防御的要求。一种新的安全技术入侵防御系统( i n t r u s i o n p r e v e n t i o ns y s t e m ，i p s ) 的出现显得那么必然。入侵防御系统不再像以前传统的 安全产品那样等威胁发生，被动的去防护，它更加主动，给用户提供的是前瞻性 的安全保护。它将入侵检测技术、防火墙技术等结合在一起，其设计宗旨在于预 先拦截入侵攻击和攻击性网络流量，而不是像入侵检测系统那样只是在恶意流量 传送时或传送后才发出警报【7 1 。入侵防御的解决方案将逐渐地成为安全技术领域的 主流技术，并会逐步整合到企业的安全基础架构中，所以开发入侵检测系统具有 非常重要的意义i s 。 1 2 国内外研究现状 市场对i p s 的需求与日俱增，随着i p s 相关技术逐渐成熟，国外、国内各个安 全厂商都纷纷开发、推出了自己的i p s 产品。本节就通过对这些产品的介绍，清 楚展现当前i p s 技术在应用方面的发展状况。 在国外，继n e t w o r ki c e 公司在2 0 0 0 年首次提出了i p s 这个概念，并于同年 的9 月1 8 日推出了b l a c k l c eg u a r d ，这是一个串行部署的i d s ，直接分析网络数 据并实时对恶意数据进行丢弃处理。m c a f e e 、i b m 等大公司【9 】【l o 】【1 1 1 都相继推出了 自己的公司的i p s 产品。m c a f e e 的i n t r u s h i e l d 是一款具有风险感知能力的网络 入侵防护解决方案，使用它可以更全面地了解企业的安全状况，获得更有针对性 的信息，从而正确地制定决策，及时采取相应措施。i b mi s s 推出的商、比入侵防 御系统( i n t r u s i o np r e v e n t i o ns y s t e m ，i p s ) p r o v e n t i a g x 系列，能麴在不影响网络 运行的情沉下，同畴自动阻绝网络上的恶意攻击，它以r e a l s e c u r e 侦测技术为基 础，具备动态阻断( d y n a m i cb l o c k i n g ) 功能，并搭配p r o v e n t i a rm a n a g e m e n t s i t e p r o t e c t o r t m 中央控管平台。 国内方面，也有多家网络安全公司推出了了各自的入侵防御产品。如启明星 辰公司推出的天清入侵防御系统【1 2 】、h 3 c 公司推出的s e c p a t h 系列入侵防御系统 产品【1 3 】、天融信公司推出的网络卫士入侵防御系统t o p l d p t l 4 】、绿盟公司推出的冰 之眼网络入侵保护系鲥1 5 1 、联想网御公司推出的新一代p o w e r v 入侵防护系统【l 6 1 。 启明星辰的天清入侵防御系统融入了启明星辰公司在入侵攻击识别方面的积累和 研究成果，围绕深层防御、精确阻断这个核心，不仅可以对深层攻击行为进行主 2 第一章绪论 动阻断，而且能够有效的防御针对应用业务的攻击行为。h 3 c 的s e c p a t h 系列入侵 防御系统产品集成入侵防御与检测、病毒过滤、带宽管理和u r l 过滤等功能，通 过深入到7 层的分析与检测，实时阻断网络流量巾隐藏的病毒、蠕虫、木马、间 谍软件、d d o s 等攻击和恶意行为。网络卫士入侵防御系统t o p l d p 具备对2 到7 层网络的全线速、深度检测能力，同时配合以精心研究、及时更新的攻击特征库， 即可有效检测并实时、准确阻断隐藏在海量网络中的攻击、病毒与滥用行为。p o w e r v 入侵防护系统是将实时操作系统、深度内容检测、安全防护等技术结合在一起 的一个i p s 系统。 现阶段，入侵防御系统主要可以分为三类：基于主机的入侵防御系统 ( h o s t b a s e di n t r u s i o np r e v e n t i o ns y s t e m , h i p s ) 、基于网络的入侵防御系统 ( n e t w o r ki n t r u s i o np r e v e n t i o ns y s t e m s n i p s ) 和应用入侵防御系统( a p p l i c a t i o n i n t r u s i o np r e v e n t i o ns y s t e m ，a i p s ) 。 基于主机的入侵防御系统主要包括三个功能：应用程序防御体系( a p p l i c a t i o n d e f e n d ) 、注册表防御体系( r e g i s t r yd e f e n d ) 和文件防御体系( f i l ed e f e n d ) 。基 于主机的入侵防御系统通过捕获和分析程序对主机环境的影响来判断攻击并保护 主机。 基于网络的入侵防御系统通过捕获、还原和分析网络数据流来识别并遏制网 络攻击。在技术上，基于网络的入侵防御系统使用的成熟技术包括特征匹配、协 议分析和异常检测等。其中，特征匹配广泛地应用于各类商用产品中，而协议分 析和异常检测由于相对较高的误报率和漏报率，尚处于科研阶段。 应用入侵防御系统是用来保护某一特定应用层服务的网络设备，通常部署在 应用服务器之前，通过应用入侵防御系统的安全策略的控制来防止基于应用协议 漏洞和设计缺陷的恶意攻击。应用入侵防御系统是一个服务相关的系统，特定类 型的应用入侵防御系统只能用于保护特定类型的应用服务。 1 3 本课题研究的目的和内容 本课题是入侵防御系统项目研究和实现的一部分，主要目的是在为入侵防御 系统提供数据中心一些基本数据处理的基础上，通过数据挖掘的方法网络数据包 信息进行分析，进一步对入侵行为特征进行分析。由于单个的入侵防御系统的数 据捕获能力有限，所以必要时须向网络中其他系统请求交互支持。为入侵防御系 统的良好运行提供必要的保障。本系统的研究主要有以下几个方面目的： 3 电子科技大学硕士学位论文 ( 1 ) 对数据挖掘技术进行研究，并找到适合入侵防御系统的序列模式数据的 挖掘算法。 ( 2 ) 对p 2 p 技术进行研究，提出适合本系统的架构、通讯模式、安全通讯机 制等p 2 p 相关技术。 ( 3 ) 为监控中心提供所有操作的接口，实现系统逻辑层的功能，将监控中心 和探针独立起来，方便系统后面的升级。 ( 4 ) 提供一个功能全面的数据处理中心系统，由于入侵防御系统的数据类型 非常多，数据量非常大，因此全面的功能会更方便用户的使用。 本课题研究的内容包括了数据挖掘的各种技术、入侵特征的规则提取、p 2 p 相关技术和系统中数据处理中心的设计与实现。 1 4 课题来源及本人工作 本论文课题来源于电子信息产业基金项目高可靠、高性能入侵防御系统 研发与产业化。本人作为此入侵防御系统的研发人员之一， 在项目研发期间参与 了系统需求分析的讨论与文档的撰写、关键技术的研究和系统设计的讨论分析， 并在后来主要负责了数据处理中心的研究与开发。 而i p s 数据处理中心是i p s 实施的一个重要组成部分，为i p s 的正常运行提供 良好的保障服务。 1 5 论文结构 首先对系统的功能进行了需求分析，整体介绍了本课题研究和实现的系统。 接着对网络中的攻防技术进行了研究分析，最后详细说明了本系统的设计和实现。 本论文的结构如下： 第一章主要介绍了论文的背景、研究的目的和内容，同时对课题的来源、本 论文章节安排进行简单说明； 第二章对入侵防御系统监控管理系统的技术背景及相关研究做详细说明。 第三章介绍了基于行为序列的入侵检测方法，主要注重攻击序列的特征，统 采用基于时序数据分层的序列挖掘算法对数据进行分析，从而得到入侵行为的特 征规则。 第四章详细介绍交互式入侵防御系统的设计与实现。在单个本地入侵防御系 4 第一章绪论 统的设计基础上，提出交互式的系统方案。 第五章是对本系统的测试。 第六章对本课题进行了总结，提出了进一步研究的方向。 5 电子科技大学硕士学位论文 第二章ip s 技术背景及相关研究 i p s 系统是为了保证系统、网络安全出现的安全产品，在这章中，首先介绍 i p s 的原理，即以安全策略为中心p d r r 模型。该模型在安全策略为指导，由保护 ( p ) 、检测( d ) 、响应( r ) 、恢复( r ) 四步来保障安全。接着根据入侵检测的 各种方法来对入侵防御系统进行分类，进一步介绍了各种入侵防御系统的检测方 法。然后对入侵检测技术进一步发展的趋势进行分析，分布式、智能化、全面的 安全防御方案将是下一步发展的方向。在本章的最后详细介绍了数据挖掘技术的 相关知识，为下一章的基于时序数据分层的序列挖掘算法及其在i p s 系统的应用 进行知识准备。 2 1ip s 原理 i p s 系统做为一种新一代的网络安全设备，正是结合了以策略为中心的p d r r ( p r o t e c t 、d e t e c t 、r e a c t 、r e s t o r e ) 模型【m 。p d r r 已经将安全的范畴不仅仅局限 在p 2 d r ( p o l i c y 、p r o t e c t 、d e t e c t 、r e a c t ) 模型的信息安全概念，更扩大到了信 息保障 1 8 】。以策略为中心的p d r r 模型如图2 1 所示： 图2 - 1p d r r 模型 6 第j - 章i p s 技术背景及相关研究 p d r r 模型把信息的安全保护作为基础，将保护视为活动过程，要用检测手段 来发现安全漏洞，及时更正；同时采用应急响应措施对付各种入侵；在系统被入 侵后，要采取相应的措施将系统恢复到正常状态。p d r r 模型由保护( p ) 、检测 ( d ) 、响应( r ) 、恢复( r ) 和安全策略组成【l9 1 ，p 2 d r 模型以策略为核心，和p d r r 模型相比较，缺少了恢复。但p d r r 模型由p 2 d r 模型发展而来，其核心依旧是安 全策略( p o l i c y ) 。 p d r r 模型就是在安全策略的控制与指导下，将保护、检测、响应和恢复四个 步骤有机的结合在一起，使这四个步骤成为一个“死循环”，这个循环在一轮又一 轮的反复中保证系统的安全【2 0 1 。保护就是指利用防火墙等系统基础的保护设施或 其他保护方法对系统进行第一层保护，这层保护是最基本的，其保护力度也是有 限的。接着，利用检测技术对当前系统的状态进行安全检测，并得到检测评估结 果，然后根据检测评估结果进行响应，检测和响应就类似一个入侵防御系统，在 检测出威胁后，对威胁进行响应，将威胁消除或至少将威胁降到最低。在最后， 在通过漏洞修复、修补后门等手段对系统进行恢复，将系统恢复到威胁发生前的 状态，甚至比威胁发生前更加安全的状态。 下面对p d r r 模型中的每一部分进行详细的介绍，包括安全策略( p o l i c y ) 、 保护( p r o t e c t ) 、检测( d e t e c t ) 、响应( r e a c t ) 、恢复( r e s t o r e ) 五部分： 安全策略( p o l i c y ) 是指在一定的环境里，系统所遵循的基本原则，这些原则保 证提供一定级别的安全保护。t c s e c ( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o nc r i t e r i a ， 可信计算机系统评估准则) 中定义安全策略为“一个组织为发布、管理和保护敏感的 信息资源而制定的一组法律、法规和措施的总和”【2 。p d r r 模型中，安全策略 已经从以前p 2 d r 模型的被动保护转到了主动防御。因此，p d r r 模型的安全策略 是对整个局部网络实施的分层次、多级别的包括安全审计、入侵检测、告警和修 复等应急反应功能的实时处理系统策略。 p d r r 模型中的第一个环节是保护( p r o t e c t ) 【1 9 】。保护是指通过一定手段、设施 或者方法对系统、网络甚至是关键的信息进行保护。目前常见的保护技术有：针 对保护网络安全的防火墙、访问控制技术；保护系统安全的杀毒软件、实时监控 程序；保护关键信息的数据加密技术、鉴别技术等。通过这些最基本的措施，可 以防止一部分威胁的发生，使攻击者不能顺利的进行破坏。 p d r r 模型中在保护之后的环节就是检测环节( d e t e c t ) 。第一个环节保护可以 防止一部分威胁的发生，但是它不能防止所有的入侵事件，特别是那些利用新发 现的系统漏洞的攻击或者最新的攻击方法的入侵更是不能防止，所以就需要一个 7 电子科技大学硕士学位论文 屏障对已经发生了的入侵进行检测的环节，将已经发生的入侵行为检测出来，这 个就是我们入侵防御系统的检测模块。检测环节与保护环节最大的区别在于一个 是通过修补漏洞来增加系统安全度来消除威胁事件发生的条件；检测环节不再关 注系统漏洞，而是根据入侵的特征来判别。在p d r r 模型中，保护和检测之间处于 相互互补的地位，保护做的出色的话，被阻止的威胁就会更多，从而检测环节的 任务就会少的多，同样，倘若保护做的不到位的话，那么检测环节的压力、任务 就会严重加重。 在p d r r 模型中处于第三个环节的就是响应( r e s p o n s e ) 2 2 1 。响应主要任务就是 在检测环节检测出入侵行为之后，对入侵行为进行处理。在我们的入侵防御系统 中就对应响应模块。但在一个规模相当大的网络中，都会有一个专门的部门来负 责网络中的响应工作，即计算机响应小组。在世界范围上，第一个计算机响应小 组就是位于美国卡内基梅隆大学( c m u ) 的软件研究所的c e r t ( c o m p u t e r e m e r g e n c yr e s p o n s et e a m ) 【2 3 1 ，这个小组在1 9 8 9 年建立，是世界上最著名的计算 机响应小组。在c e r t 成立以后，世界各个国家以及各个机构也相继建立自己的 计算机响应小组。我国第一个计算机紧急响应小组，也就是c c e r t ，在1 9 9 9 年建 立，主要服务的服务对象是中国教育和科研网。响应的主要工作也可以分为两种。 第一种是紧急响应；第二种是其他事件处理。紧急响应就是当安全事件发生时采 取应对措施，其他事件主要包括咨询、培训和技术支持等。 恢复( r e s t o r e ) 环节是p d r r 模型的最后一个环节。恢复是指当在危害事件发生 以后，把系统恢复到原先的状态，甚至比原先更加安全的一个状态。恢复分为两 个方面：即s r ( s y s t e mr e s t o r e ，系统恢复) 与i r ( i n f o r m a t i o nr e s t o r e ，信息恢 复) 。s r 是指的对事件利用到得那些系统缺陷进行修补，不给黑客提供再次利用 这些缺陷入侵的机会。一般s r 包括了给系统升级、给软件升级和给系统、软件打 补丁等。s r 的另一个重要工作就是去除系统后门。通常情况，h a c k e r 都是通过利 用系统漏洞进行第一次入侵，当第一次入侵成功以后，h a c k e r 就会在系统打开一些 后门，例如在系统中安装木马。因此，系统打过补丁之后并不意味着绝对完全， h a c k e r 会通过自己第一次留下的后门随意进入系统。s r 都是根据检测及响应环节 提供有关事件的资料进行的。瓜是指由于h a c k e r 攻击、系统崩溃甚至自然原因等 主管或客观的原因造成的丢失了的数据进行恢复。数据备份适合m 紧紧关联的一 个过程，它为恢复提供数据，一个及时、充分的数据备份可以保障高质量的数据 恢复。无论数据备份还是恢复，都要依照一定的优先级，对正常的生活、工作、 学习造成直接影响的就要优先备份及恢复。 8 _ 第j t 章i p s 技术背景及相关研究 2 2 入侵防御系统分类 入侵防御系统的基础就是入侵检测系统，是更主动的安全防御产品。在这里 我们着重讨论入侵防御系统的分类。随着入侵检测技术的发展，出现了很多种入 侵防御系统，每种入侵防御系统根据检测方法的不同都具有各自独立的特征。通 过不同的分类标准或不同的考虑方式，入侵防御系统可分为不同的类别。入侵防 御系统可通过考虑如下几种方式进行分类：数据来源、处理行为、处理时间、系 统所在环境、系统架构、系统响应方式、系统报警方式。 图2 2 入侵防御系统分类 9 电子科技大学硕士学位论文 根据数据来源，可以分为基于主机的入侵防御系统( h i p s ) 、基于网络的入侵 防御系统( n i p s ) 、混合式的入侵防御系统( h y b i r d ) 、基于网络行为分析的入侵 防御系统( n b a ) 。【2 4 】 按照所采用的检测机制，入侵检测技术可大致分为滥用检测( m i s u s e d e t e c t i o n ) 技术、异常检测( a n o m a l yd e t e c t i o n ) 技术和协议状态( s t a t e f u lp r o t o c 0 1 ) 2 5 】。并且根据i p s 的布置策略又可分为集中式i p s 和分布式i p s 。 根据系统环境，入侵防御系统可以分为有线、无线、有线和无线相结合三种， 无线又分为有基础设施和无基础设施两类。 2 2 1 根据数据来源进行分类 根据数据来源，我们可以把i p s 分为：基于主机的入侵防御系统( h i p s ) 、基 于网络的入侵防御系统( n i p s ) 、混合式的入侵防御系统( h y b i r d ) 、基于网络行 为分析的入侵防御系统( n b a ) 。 2 2 1 1 基于主机的入侵防御系统( 川p s ) h i p s 全称是h o s t b a s e di n t r u s i o np r e v e n ts y s t e m 。它是从h i d s 发展而来，h i p s 设置在某一个单独的主机之上，主要通过监控该主机的某些行为特征和该主机产 生的某些事件，进而来分析检测是否发生入侵行为等，接着对发生的威胁进行主 动阻断【z 6 | 。 h i p s 主要关注于一台单独的主机的系统内部，它对于系统的外部接口或者与 主机连接的网络或者其它根本不关心。h i p s 的检测部分相当于主机的监视器和分 析器的结合，h i p s 会监视并分析主机上的系统的全部或部分的相关行为及主机系 统的当前状态和以前状态。检测的实现是基于相关的数据包，它能检测到当前系 统的资源被哪些程序运用。同时对于系统中的内存、文件系统。日志系统等任意 存储单元，只要往里面写信息，都会被系统一直监控，接着对这些信息进行分析， 以判断是否为恶意【2 7 | 。 h i p s 功能的实现主要依赖于：不管是任何人的入侵，或者不管是任何形式的 入侵，只要它们入侵成功，那么在系统里一定都会有蛛丝马迹。因此，h i p s 都可 以通过这些痕迹检测到那些入侵，并能对此做出应有的、主动的、积极的阻断或 者响应。 由于h i p s 基于主机，因此相当依赖主机上的操作系统，与操作系统的结合非 常的紧密，可以通过控制系统调用，拦截针对系统的威胁行为。有些h i p s 为了使 1 0 一 第二章i p s 技术背景及相关研究 系统更加安全，对系统内核进行破坏性的修改，但在带来系统安全的同时，也带 来了系统无法升级或升级就丧失安全性的诸多负面影响。并且h i p s 的安全性也影 响到了主机本身的安全性1 2 羽。 2 2 2 2 网络型入侵防御系统( n i p s ) n i p s 全称是n e t w o r ki n t r u s i o np r e v e n ts y s t e m 。同样，和h i p s 相似，n i p s 是 从n i d s 发展而来，包含了n i d s 所有的优点，其主要用于对h a c k e r 或者c