（计算机应用技术专业论文）分布式入侵检测系统检测引擎的研究.pdf

论文题目：分布式入侵检测系统检测引擎的研究 专业：计算机应用技术 硕士生：宋文尧( 签名)越 指导教师：朱宇( 签名)鉴i 摘要 计算机网络的迅速发展为全球范围内实现高效的资源共享和信息交换提供了方便。 同时，由于计算机网络的开放性和共享性，其安全性已成为人们日益关注的问题。在世 界范围内，针对计算机网络的攻击手段层出不穷，网络犯罪日趋严重，给各行各业带来 了巨大的经济损失。 入侵检测作为一种主动的信息安全保障措旌，有效地弥补了传统安全防护技术的缺 陷。通过构建动态的安全方案，可以最大限度地提高系统的安全保障能力，减少安全威 胁以及对系统造成的危害。随着计算机技术和网络技术的不断发展，分布式计算环境的 广泛采用，海量存储和高带宽传输技术的普及，传统的基于单机的集中式入侵检测系统 已经不能满足安全需求。应运而生的分布式入侵检测技术逐渐成为入侵检测领域的研究 热点之一。 本论文在对分布式入侵检测技术和a g e n t 技术研究的基础上，将a g e n t 技术应用于入 侵检测系统提出了分布式入侵检测系统体系结构，并详细设计了该体系结构的工作原理 和主要部件的功能。系统中大部分部件都使用a g e n t 实现，各部件独立运行，相互协作， 使系统能够适应复杂多交的网络环境，充分利用网络资源协同完成入侵检测任务。 在上述提出的分布式入侵检测系统结构的基础上，本文提出了检测引擎的功能结 构。详细论述了基于a g e n t 的检测引擎通信平台设计，介绍了系统内各a g e n t 问的通信机 制，消息格式定义和通信安全机制的设计。该通信平台为系统各部件问提供了安全可靠 的通信方式。并依据检测引擎的功能结构详细的设计了各模块。这为今后完整系统的开 发实现打下了良好的基础。 关键词：分布式入侵检测；a g e n t ；检测引擎 研究类型：应用研究 s u b j e c t ：r e s e a r c ho ut h ed e t e c t i o ne n g i n eo fd i s t r i b u t e di n t r u s i o n d e t e c t i o ns y s t e m s p e c i a l t y ：c o m p u t e ra p p l i c a t i o nt e c h n o l o g y n a m e ：s o n gw e n - y a o i n s t r u c t o r ：z h uy u a b s t r a c t ( s i g n a t l i 嘞牡怨 ( s i g n a t u 哟出! t h er a p i dd e v e l o p m e n to fc o m p u t e rn e t w o r ko f f e r sg r e a tc o n v e n i e n c eo fr e s o 嘲 s h a r i n ga n di n f o r m a t i o ne x c h a n g e b e c a u s eo ft h eo p e n n e s sa n dt h es h a r eo fc o m p u t e r n e t w o r k ，i t ss e o x i t yi se o n c e r n e db yt h ep e o p l em o 他a n dm o 砒t h es a m et i m e w i t ht h e i n c r e a s eo f a t t a c km e a n st oc o m p u t e rn e t w o r ka n dc r i l n ei nn e t w o r k ，ag r e a t l ye c o n o m i cl o s s h a p p e n e di ne v e r yw a l ko f l i f e a sak i n do fa c t i v em e s s u 陀o fi n f o r m a t i o na s s u r a n c e ，i n t r u s i o nd e t e c t i o na c t sa st h e e f f e c t i v ec o m p l e m e n tt ot r a d i t i o n a lp r o t e c t i o nt e c h n i q u e s t h ed y n a m i cs c c u r i q , p r o j e c t , i n c l u d i n gp o l i c y ，p r o t e c t i o n ，d c t e c t i o l la n dl e s p o n 璺g ，n 删i yc 0 枷b u t e t oi m p r o v i n gt h e 硒卯咖c ea b i l i t yo fi n f o r m a t i o ns y s t e m sa n dr e d u c i n gt h ee x t e n to fs e c u r i t yt h r e a t s w i t ht h e d e v e l o p m e n to fc o m p u t e ra n dn e t w o r kt e c h n o l o g i e s ，t h ew i d e l y - a d o p l i v e d i s t r i b u t e d c o m p u t i n ge n v i r o n m e n t ，a n dt h ep o p u l a r i z a t i o no fw i d e - b e n d 噼t r t a t i o n ，t r a d i t i o n a l c e n t r a l i z e di n t r u s i o nd e t e c t i o ns y s t e m sb a s e do ns t a n d - a l o n ec o m p u t e r 瓣u n a b l et om e e tt i m s e 饥r i t yr e q u i r e m e n t s d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m sa p p e a r ，a n dd e v e l o pi n t oo n e o f t h ef o c u so f i n l n l s i o nd e t c c t i o nr e s e a r c hr e a l m t h i sp a p e rm a i n l yi n t r o d u c e sa g e n tt e c h n o l o g i e sa p p l i e dt od i d s ，a n di tb t ：g i mw i t ht h e i n l x d c l u c t i o no ft h ei n t r u s i o nd e t e c t i o n ，d i s t r i b u t e di n m l s i o nd e t e c t i o na n da g e n t t e c h n o l o g i e s w i t ht h er e s e a r c ho fd i d se n da g e n t ，w ep r e s e n t sa na g e n t - b a s e dd i s t r i b u t e d i d sa r c h i t e c t u ma n dp a r 删yd e s i g n st h ew o r k i n gt h e o r yo ft h i sa r c h i t e c l 珊ea n dt h e c o m p o n e n t s f u n c t i o n s t h em o s t l yc o m p o n e n t so ft h ea r c l l i t e c m r ea f eu s e da g e n tw h i c hn i n i n d e p e n d e n t l ya n dc o o p e r a t e t h ea g e n t - b a s e d d i d sc a na d a p tt h ei n t r i c a t en e t w o r k e n v i r o n m e n ta n du s et h en e t w o r kr e $ o 蝴 t h ef u n c t i o n a la r c h i t e c t u r eo f & t e c t i o ne n g i n ei sr a i s e db yd i d s , t h i sa r t i c l ep r e s e n t s t h ec o m m u n i c a t i o np l a t f o r mb a s e d0 na g e n t ，a n dd e s i g n st h ec o m m u n i c a t i o nm e c h a n i s m ， m e s s a g ef o r m a ta n ds e c u r i t ym e c h a n i s m t h ep l a t f o r mp r o v i d e st h es e c u r i t ya n dc r e d i b l e c o m m u n i c a t i o nm e t h o do ft h ed i f f e r e n tc o m p o n e n t s t h e n 啪d e s i g n se v e r yp a r t o fa g e n t t e c h n o l o g i e sa p p l i e dt od i d s k e y w o r d s ：d i s t r i b u t e di n t r u s i o nd e t e c t i o n ，a g e n t ，d e t e c t i o ne n g i n e 西妻料技大学 学位论文独创性说明 本人郑重声明：所呈交的学位论文是我个人在导师指导下进行的研究工作及 其取得研究成果。尽我所知，除了文中加以标注和致谢的地方外，论文中不包含 其他人或集体已经公开发表或撰写过的研究成果，也不包含为获得西安科技大学 或其他教育机构的学位或证书所使用过的材料。与我一同工作的同志对本研究所 做的任何贡献均已在论文中做了明确的说明并表示了谢意。 学位论文作者签名：京：凌) 日期：2 。7 年争碍纱虏 学位论文知识产权声明书 本人完全了解学校有关保护知识产权的规定，即：研究生在校攻读学位期间 论文工作的知识产权单位属于西安科技大学。学校有权保留并向国家有关部门或 机构送交论文的复印件和电子版。本人允许论文被查阅和借阅。学校可以将本学 位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描 等复制手段保存和汇编本学位论文。同时本人保证，毕业后结合学位论文研究课 题再撰写的文章一律注明作者单位为西安科技大学。 保密论文待解密后适用本声明。 学位论文作者签名： 京毒魄 指导教师签名：t -雪 2 研年牛月巧日 1 绪论 1 1 概述 1 绪论 随着互联网技术的飞速发展，网络的结构变得越来越复杂，网络安全也变得日益重 要。一个健全的网络信息系统安全方案应该包括安全效用检验、安全审计、安全技术、 安全教育与培训、安全机构与程序和安全规则等内容，是一个复杂的系统工程。安全技 术是其中的一个重要环节，目前经常使用的安全技术主要有防火墙、防病毒软件、用户 认证和授权、加密、入侵检测技术等。多年来，人们在维护信息系统安全时常用的安全 技术是防火墙。然而，近年来随着各种网络安全事件的发生，以及各种黑客技术在i n t e r a c t 上出现，使得人们越来越清醒地认识到仅仅依靠防火墙来维护系统安全是远远不够的。 为保证计算机网络系统的安全，需要一种能及时发现入侵，成功阻止网络黑客或别 有用心人的入侵，并能在事后对入侵行为进行分析，查明系统漏洞并及时修补的网络安 全技术。这种技术称为入侵检测技术。入侵检测作为一种主动的网络安全防御措旌，提 供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应 入侵，有效地弥补防火墙的不足。从网络安全多层次防御的角度出发，入侵检测受到了 研究者和用户的高度重视【l j 。 未来入侵检测的发展前景主要体现在以下几个方面1 2 】： ( 1 ) 系统性能 入侵检测系统将不断提高自己的系统性能，包括大幅度降低虚警率，提高检测变异 攻击行为和协同攻击的能力，能与网络管理系统更好地集成，提供更容易操作的用户界 面等。 ( 2 ) 架构设计 入侵检测将更加重视分布式环境下的架构设计问题，重视解决分布式环境下所遇到 的特定问题。例如，自主代理的管理、不同数据源的关联分析和安全响应问题等。 ( 3 ) 更加全面的数据来源 入侵检测将从更多类型的数据源获取所需要的信息，来帮助提供检测能力以及提供 冗余保护机制。同时，入侵检测的标准化工作将会取得长足进步，确立统一的交互操作 标准。 ( 4 ) 与其它技术结合 入侵检测技术将更多地与其他各种技术无缝集成在一起，并不断演化发展，最终形 成新的技术类型。 西安科技大学硕士学位论文 1 2 课题研究背景 入侵检测系统( i d s ) 是近十多年发展起来的新一代安全防范技术，它通过对计算机网 络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行 为和被攻击的迹象。这是一种集检测、记录、报警、响应的动态安全技术，不仅能检测 来自外部的入侵行为，而且也能监督内部用户的未授权活动冽。 传统的入侵检测系统大多采用单一体系结构来收集和处理数据，而这种体系结构已 逐渐不能适应网络安全保障的需要。因此，出现了分布式入侵检测系统。但是目前大多 数分布式入侵检测系统只是数据采集上的分布，采集到的数据最终仍被集中分析处理。 这种结构容易导致处理中心单点失效、系统的实时性和可扩展性差、难以进行系统的重 配置或添加新功能、易招致插入攻击和逃避攻击等。另外，单一的基于网络或基于主机 的入侵检测、单一的异常或误用检测都不能较全面的来实现入侵检测。 针对入侵检测中存在的上述问题，论文提出了一个分布式入侵检测系统模型，该模 型采用基于软件代理的构架方式，运用分布式协同检测的技术来检测大范围的复杂的攻 击行为，跨越了基于网络和基于主机的界线，将异常检测和误用检测相结合。模型较好 地克服单一检测方法固有的弊病，实现了数据收集的分布化，入侵检测和实时响应的分 布化，提高了系统的处理速度和检测效率以及系统的实时性。 1 3 研究内容 本课题属于网络安全方面的研究领域，研究主要内容是分布式入侵检测系统的结构 框架与分布式入侵代理间的通信以及检测引擎的功能结构。 本文首先对入侵检测进行了橛述，讲述了入侵检测的基本概念、基本原理和分类。 在传统入侵检测系统不足的基础上介绍了分布式入侵检测系统。对于分布式入侵检测系 统，介绍了分布式入侵检测系统的优势以及目前对分布式入侵检测的研究现状。基于 a g e m 的i d s 由于其良好的灵活性和扩展性，是分布式入侵检测的一个重要研究方向， 于是将a g e n t 技术引入分布式入侵检测系统中。围绕a g e n t 之间如何通信简单的设计了 通信平台。论文研究了分布式入侵检测系统的检测引擎。从功能来划分，检测引擎应该 包括数据采集模块、协议解析模块、规则解析模块及检测模块。针对模式匹配的不足， 采用了协议分析与模式匹配相结合的方法来改进。 1 4 论文组织 第l 章：绪论。首先介绍了入侵检测技术的历史与发展前景，课题的背景，说明了 本人在课题中所傲的实际工作和进行的研究，最后列出了论文的组织结构。 第2 章：分布式入侵检测。介绍了入侵检测的基本知识，给出了入侵检测系统的分 2 l 绪论 类。并对目前国内外相关的研究现状作简要阐述。由于传统入侵检测系统的不足，在其 相对于传统的单机i d s 所具有的优势基础上分析了分布式入侵检测系统的优势。 第3 章：分布式入侵检测系统的体系结构。介绍了a g e n t 技术，并把a g e n t 技术应 用于入侵检测系统，a g e n t 技术是实现分布式入侵检测的一种有效的方式。对已有的入 侵检测系统的模型进行改进，提出了分布式入侵检测系统的体系结构。详细介绍组成分 布式入侵检测系统体系结构各部分的功能。 第4 章：分布式入侵检测系统检测引擎的设计。介绍了入侵检测系统通信的标准化 工作。在分布式入侵检测系统体系结构的基础上，研究了a g e n t 之间如何迸行协调和通 信的。分析了检测引擎，按功能给出了其结构，并对部分模块进行设计。 3 西安科技走学硕士学位论文 2 i 入侵检测概述 2 分布式入侵检测 入侵检预g ( i n t r u s i o nd e t e c 吐o n ) 作为一种积极主动的安全防护技术，提供了对内部攻 击、外部攻击和误操作的实时保护，使得网络系统受到危害之前拦截攻击、响应入侵。 美国国家安全通信委员会( n s t a c ) v 属的入侵检测小组( i d s g ) 在1 9 9 7 年给出的关于“入 侵检测”的确切定义为：入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵 进行识别的过程。传统的信息安全方法采用严格的访问控制和数据加密策略来防护。但 在复杂系统中，这些策略是不完整的。它们是系统安全不可缺的部分但不能完全保证系 统的安全。入侵检测系统通过分析、审计记录，识别系统中任何不应该发生的活动，并 采取相应的措施报告与制止入侵活动。入侵检测使系统管理员可以较有效地监视、审计， 评估自己的系统。 2 1 1 通用入侵检测系统模型 所有能够执行入侵检测任务和功能的系统，都可称为入侵检测系统，其中包括软件 系统以及软硬件结合的系统。 通用入侵检测系统模型( 见图2 1 ) ，主要由以下四大部分组成 4 1 ： 图2 i 通用入侵检测系统模型 ( 1 ) 数据收集器 ， 主要负责收集数据。数据收集器的输入数据流包括任何可能包含入侵行为线索的系 统信息。数据收集器将这些数据收集起来，然后发送到检测器进行处理。 4 2 分布式入侵检测 ( 2 ) 检测器 主要负责分析和检测入侵的任务， ( 3 ) 知识库 提供必要的数据信息支持。例如， ( 4 ) 控制器 并发出警报信号。 用户历史活动档案或是检测规则集合等。 根据警报信号，人工或自动做出反应动作。 另外，绝大多数的入侵检测系统都会包含一个用户接口组件，用于观察系统的运行 状态和输出信号，并对系统行为进行控制。 2 1 2 入侵检测的基本原理 图2 2 给出了入侵检测的基本原理图嗍。入侵检测通过监视受保护系统的状态和活 动，采用误用检测或异常检测的方式，发现非授权的或恶意的系统及网络行为，为防范 入侵行为提供有效的手段。 图2 2 入侵检测原理 入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法，它基于的重要 前提是：入侵行为和合法行为是可区分的，也就是说可以通过提取行为的模式特征来判 断该行为的性质。一个基本的入侵检测系统需要解决两个问题：一是如何充分并可靠地 提取描述行为特征的数据；二是如何根据特征数据，高效并准确地判定行为的性质。 5 西安科技大学硕士学住论文 2 2 入侵检测系统的分类 2 2 1 基于信息源的分类 按照数据来源的不同，可以将入侵检测系统分为：基于主机的入侵检测系统 h i d s ( h o s ti n t r u s i o nd e t e c t i o ns y s t e m ) 和基于网络的入侵检测系统n i d s ( n e t w o r k i n t r u s i o nd e t e c t i o ns y s t e m ) t 6 。基于主机的入侵检测系统从单个主机上提取资料( 如系统 日志、文件系统属性等) 作为入侵分析的资料源，而基于网络的入侵检测系统从网络上 提取网络报文作为入侵分析的资料源。通常来说基于主机的入侵检测系统只能检测单个 主机系统，而基于网络的入侵检测系统可以对本网段的多个主机系统进行检测，多个分 布于不同网段上的基于网络的入侵检测系统可以协同工作以提供更强的入侵检测能力。 基于主机的入侵检测系统一般主要使用操作系统的审计跟踪日志输入，某些也会主 动与主机系统进行交互以获得不在系统日志中的信息，然后把所收集的信息集中在系统 调用和应用层审计上，试图从日志判断滥用和入侵事件的线索。基于主机的入侵检测系 统保留了一种有力的工具，以理解以前的攻击形式，并选择合适的方法去抵御未来的攻 击。当前，基于主机的i d s 仍使用验证记录，但自动化程度大大提高，并改进了检测技 术。当有文件发生变化时，i d s 将新的记录条目与攻击标记相比较，看它们是否匹配。 如果匹配，系统就会向管理员报警并向别的目标报告，以采取措施。 基于网络的入侵检测系统主要部署在比较重要的网段上，不停地监听该网段中的各 种资料包，使用原始网络包作为资料源，通常利用一个运行在随机模式的网络适配器来 实时监视并分析通过网络的所有通信业务。它的攻击识别模块通常使用四种常用技术来 识别攻击标志：模式、表达式或字节匹配；频率或穿越阀值；低级事件的相关性；统计 学意义上的非常规现象检测。如果资料包与特征库中的攻击特征相匹配，i d s 应答模块 通过通知、报警以及中断连接等方式来对攻击做出反应。 两种入侵检测系统都具有自己的优点和不足，互相可作为补充。基于主机的入侵检 测系统可以精确地判断入侵事件，可对入侵事件立即进行反应，还可以针对不同操作系 统的特点判断应用层的入侵事件，其缺点是会占用主机宝贵的资源。基于网络的入侵检 测系统只能监视经过本网段的活动，并且精确度较差，在交换网络环境中难于配置，防 入侵欺骗的能力也比较差；但是它可以提供实时网络监视，并且监视粒度更细致。 随着高速网络和交换式网络的迅速发展，入侵检测领域的实践者们倾向于将两种不 同的方法结合起来，d s 必须包含紧密融合的主机和网络部分，以便得到更多的攻击和 入侵信息。必须大幅度提高网络对攻击和错误使用的抵抗力，使安全措施的实施更加有 效，并使设置更加灵活。目前出现了一种网络节点入侵检测系统( n e t w o r k n o d e i n t r u s i o n d e t e c t i o ns y s t e m ，n n i d s ) ，它结合了上述两种方法，将入侵检测任务委派到网络中的 6 2 分布式入侵检测 各个主机上，以减轻由于高速和交换式网络而给入侵检测系统带来的巨大压力。同时， 它还非常适用于网络中存在加密资料的情况。 2 2 2 基于检测方法的分类 从数据分析手段看，入侵检测通常可以分为两类：异常入侵检测( a n o m a l yo e t e c t i o n ) 和误用入侵检测( m i s u s ed e t e c t i o n ) p j 。 ( 1 ) 异常入侵检测 异常入侵检测的假设条件是对攻击行为的检测可以通过观察当前活动与系统历史 正常活动情况之间的差异来实现。异常入侵检测通常建立一个关于系统正常活动的状态 模型并不断进行更新，然后将用户当前的活动情况与这个正常模型进行对比，如果发现 了超过设定阀值的差异程度，则指示发现了非法攻击行为。但由于不可能对整个系统内 的所有用户行为进行全面的描述，而且每个用户的行为是经常改变的。因此，它的主要 缺陷在于误检率很高，尤其在用户数目众多，或工作方式经常改变的环境中。另外，由 于行为模式的统计数据不断更新，入侵者如果知道某系统处在检测器的监视之下，他们 可以通过恶意训练的方式，促使入侵检测系统缓慢地更改统计数据，以至于最初认为是 异常的行为，经一段时间训练后也被认为是正常的。这是目前异常入侵检测所面临的一 大困难。异常入侵检测有统计分析、预测模式生成、神经网络嗍等方法。而在这些方法 中，最广泛使用的较为成熟的技术是统计分析。 统计分析是最早出现的异常入侵检测技术，i d e s 、n i d e s 以及h a y s t a c k 系统中所 包含的异常检测模块都属于这个类别。i d e s n i d e s 所使用的统计分析技术支持对每一 个系统用户和系统主体建立历史统计模式。所建立的模式被定期地更新，可以及时反映 出用户行为随时间推移而产生的变化。检测系统维护一个由行为模式组成的统计知识 库，每个模式采用一系列系统度量来表示特定用户的正常行为。模式所包含的各个向量 每天都以指数因子衰减，同时将新的用户行为所产生的审计数据嵌入到知识库中，计算 出新的模式向量，存储在知识库中。基于统计的异常检测分析方法最初的目标是针对那 些冒充合法用户的入侵者。早期的研究者认为统计分析可以揭示某些我们感兴趣的、可 疑的活动，从而发现违背安全策略的行为。统计分析的另一个优势在于维护的方便，不 像误用入侵检测系统那样需要对规则库不断地更新和维护。为了保证这一点，分析时所 采用的度量必须精心挑选，保证足以完成准确的鉴别；用户行为的改变必须对相应的度 量产生致性的变化，保证行为模式的更新。如果这些条件都可以满足，那么对于那些 我们所感兴趣的异常行为，检测器可以可靠而高效地完成检测任务，并且不需要对系统 进行即时的更新。 伫，误用入侵检测 误用入侵检测的技术基础是分析各种类型的攻击手段，并找出可能的。攻击特征” 7 西安科技大学硕士学位论文 集合。因为很大一部分的入侵是利用了已知的系统脆弱性，通过分析入侵过程的特征、 条件、顺序以及事件问的关系，可以具体描述入侵行为的迹象。这种方法由于依据具体 特征库进行判断而且检测结果有明确的参照，所以检测准确度很高网。 误用入侵检测的缺陷在于只能检测己知的攻击模式，当出现针对新漏洞的攻击手段 或针对旧漏洞的新攻击方式时，需要由人工或者其他机器学习系统得出新攻击的特征模 式，添加到入侵模式库中，才能使系统具备检测新的攻击手段的能力，因此，它需要不 断的、及时的升级，才能保证系统检测能力的完备性。误用入侵检测方法大致有简单模 式匹配、协议分析、专家系统、状态转换分析等。在这里我们介绍一下模式匹配与协议 分析。 基于模式匹配( p a t t e r nm a t e h i n g ) 的a 侵检测方法需要知道攻击行为的具体知识。但 是，攻击方法的语义描述不是被转化为抽象的检测规则，而是将已知的入侵特征编码成 与审计记录相符合的模式，因而能够在审计记录中直接寻找相匹配的己知入侵模式。这 种方法的原理简单、扩展性好、分析速度快、误报率较低。但是随着宽带接入网的发展， 网络流量不断加大，黑客的攻击技术也在快速发展，传统的模式匹配方法己经不能适应 新的入侵检测需求。这种检测方法的缺点是它把网络数据包看作无序的随意的字节流， 不涉及网络数据包的内部结构，只是机械化地对网络中传输的数据包逐一进行匹配，不 论是音频包还是图像包。 而在协议分析中，网络数据包按协议解码，如果设置m 分片标志，数据包将会先 进行重组，然后再分析是否具有攻击行为。通过数据包重组。系统可以检测使用像数据 分片、t c p 或r c p 段边界欺骗等规避技术的攻击。并且执行协议解码时，将进行彻底 的协议校验，这意味着将检查每个层次协议域，看是否有非法或可疑的值，包括是否使 用保留的域、是否有a # 法的值、异常的默认值、不当的选项、流水号乱序等。 协议解码带来了效率上的提高 t o l ，因为系统在每一层上都沿着协议栈向上解码，可 以使用所有当前已知的协议信息来排除所有不属于这一个协议结构的攻击。这一点模式 匹配系统做不到，它只会一个接一个地做简单的模式匹配。 协议解码还能排除模式匹配系统中常见的误报。误报发生在这样的情况下：一个字 节串恰好与某个特征串匹配，但这个串实际上并非一个攻击。比如，某个字节串有可能 是一篇关于网络安全的技术论文的邮件文本，在这种情况下，“攻击特征”实际上只是 数据包数据域中的英语自然语言。这种类型的失误不会发生在基于协议解码的系统中， 因为系统知道每个协议中潜在的攻击串所在的精确位置，并使用解析器来确保某个特征 的真正含义被正确理解了，这远比简单的匹配字串先进。 协议分析技术相对单纯的模式匹配有一下优势： 提高了性能。协议分析利用己知结构的通信协议，与模式匹配系统中传统的穷 举分析方法相比，在处理数据帧和连接时更迅速、有效。 8 2 分布式入侵检测 一i i i | | - 提高了准确性。与非智能化的模式匹配相比，协议分析减少了误报和漏报的可 能性，命令解析( 语法分析) 和协议解码技术的结合，在命令字符串到达操作系 统或应用程序之前，模拟它的执行，以确定它是否有恶意。 基于状态的分析。当协议分析系统评估某个包时，它考虑了在这之前相关的数 据包内容，以及接下来可能出现的数据包。 反规避能力。因为协议分析系统具有判别通信行为真实意图的能力，它较少地 受到攻击者所用的像u r l 编码、干扰信息、t c p i p 分片等入侵检测系统规避 技术的影响。 系统资源开销小。协议分析技术的高效性降低了在网络和主机探测中的资源开 销，而模式匹配技术太浪费系统资源。 2 3 研究现状 尽管分布式入侵检测存在技术和其他层面的难点，但由于其相对于传统的单机i d s 所具有的优势，目前己经成为这一领域的研究热点。下面我们对目前国内外相关的研究 现状作简要阐述。 2 3 1d i d s d i d s 集成了两种己有的入侵检测系统，h a y s t a c k 和n s m 。前者由t r a c o ra p p l i e d s c i e n c e sa n dh a y s t a c k 实验室针对多用户主机的检测任务而开发，数据源来自主机的系 统日志。n s m 则是由u cd a v i s 开发的网络安全监视器，通过对数据包、连接记录、应 用层会话的分析，结合入侵特征库和正常的网络流或会话记录的模式库，判断当前的网 络行为是否包含入侵或异常，d i d s 综合了两者的功能，并在系统结构和检测技术上进 行了改进。d i d s 由主机监视器、局域网监视器和控制器三个组件组成。另外，d i d s 系 统还提供了一种基于主机的追踪机制，凡是在d i d s 监测下的主机都能够记录用户的活 动，并目将记录发往中心计算节点进行分析。因此，d i d s 具有在自己监测网络下的入 侵追踪能力u 卅。 d i d s 虽然在结构上引入了分布式的数据采集和部分的数据分析，但其核心分析功 能仍然由单一的中心控制器来完成，因此并不是完全意义上盼分布式入侵检测。其入侵 追踪功能的实现也要求追踪范围在系统的监控网络之内。 2 3 2g r i d s g r i d s ( g r a p h - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) 是为大规模网络环境而设计的入侵检 测模型，它对被保护的大型组织网络环境进行不同等级的分解形成不同层次的管理域 该系统把目标环境中的各种报告事件和网络流量信息汇集成图表的形式，然后在更高的 9 西安科技大学硕士学位论文 等级上把这些图表汇集成更为简要的形式。g r i d s 的设计目标主要能够检测大规模网络 环境下的网络攻击f j 9 j 。 以蠕虫攻击为例，如图2 3 所示。当主机a 上的蠕虫向主机b 和c 传播时，会发 起对这两个主机的连接，g r i d s 模块根据这两个连接产生连接图，如果在门限时间内， 又出现向其他主机的连接( 即出现与以前行为相关的新行为) ，则连接图被更新。如果受 保护网络中有蠕虫传播，那么该蠕虫传播的途径就会激发g r i d s 系统描绘出一张树形 图，通过设立一些节点数的门限或分支的闭值，就可以检测到这种行为。行为之间的相 关性可以简单到仅从时间上判断，也可以考虑诸如目标端口、目标主机的操作系统类型 等参数。 a b c 图2 3 g r i d s 示意图 d e 除了根据网络流来构造图之外，g r i d s 还允许对代表主机的节点和代表主机间连接 信息的边标记某种属性，使得g r i d s 可以根据这些属性提供的附加信息来检测网络异 常。这些节点和边的属性可以来自于其他i d s 、网络监听程序、或其他可以向g r i d s 震 送报告的程序。g r i d s 定义了良好的报告结构，并且没有对属性的性质作任何限制，因 此系统的扩展性较好。 2 3 3 c ) f c l d f ( c o m m o ni n t r u s i o n 尬c 面nf r a m e w o r k ) 可以说是最早体现分布式入侵检测思 想的系统模型，c i d f 提供了一种基础架构，使得入侵检测、分析及响应组件之间能够 共享信息 2 0 1 。c i d f 在i d e s 和n i d e s 系统的基础上提出了一个入侵检测系统的通用模 型，将入侵检测系统分为4 个基本组件：事件产生器、事件分析器、响应单元和事件数 据库。如图2 4 所示。 各组件之间以通用入侵检测对象( c , e n e r a u z e di n t r u s i o nd e t e c t i o no b j e e l s ，o i d o ) 的 形式交换数据，其数据格式由通用入侵规范语言( c o m m o ni n t r u s i o ns p e c i f i c a t i o n 1 a a g u a g e ，c i s l ) 来定义。c i d f 提供了一种称为m a t c h m a t a n g 的服务，可以用于组件之 间的交互，包括搜索可与之协作的组件、通知其他组件本组件的存在、要求服务和提供 1 0 2 分布式入侵检测 服务等功能。这可以帮助系统按照功能对c i d f 组件进行组合。为了保证组件间通信的 安全性，c i d f 还提供了c a 认证机制。c i d f 消息( 即g i d o 包) 可以包括认证头，内容 也可以进行加密。由于c i d f 在系统扩展性和规范性上的优势，己经被许多研究人员所 采用，作为构建分布式入侵检测系统的基本框架。 图2 4 c i d f 基本模型 2 3 4 层次化协作模型 层次化协作模型( h i e r a r c h i c a lc o o l g r a t i o nm o d e l ，h c m ) 如图2 5 所示，灰色区表示 逻辑检测区域，物理上可以对应于一个局域网。 圈2 5 层次化协作模型 每个检测区域内包含一个唯一的分析器( a n a l y 跚) 和多个感应器( s e n s o r ) 。感应器与 分析器之问是层次型的从属关系，感应器负责收集安全审计数据，检测安全事件，并向 所属的分析器汇报，分析器对感应器上报的信息进行聚合分析。各个检测区域中的分析 西安科技大学硕士学位论文 器处于平等地位，可以与其它分析器进行交互以完成检测任务，包括请求协查、传递检 测数据、通报协查结果等。h c m 模型在每个分析器所管辖的检测区域内，采用层次化 模型【2 。 h c m 模型易于在管辖区域内对感应器实现方便的管理，也有利于分析器对多个分 布式感应器所上报的数据进行高层提炼，以更好地发现入侵或异常行为。在各个检测区 域之间，分析器工作在平等的协作模式，整个网络范围内不存在单独的中心处理节点， 有效地实现了检测任务的分布化，避免了关键节点的处理瓶颈，提高了系统的容错性。 同时，由于分析器之间交互的数据已经是经过提炼的抽象数据而非原始的安全审计数 据，因此与纯粹的协作模式相比，可以在很大程度上降低整个网络范围内组件问传输的 数据量。 2 3 5 数据融合 t l m mb a s s 提出了数据融合( d a t af u s i o n ) 的概念，将分布式入侵检测任务理解为在 层次化模型下对多个感应器的数据综合问题 2 2 1 。在这个层次化模型中，入侵检测的数据 源经历了从数据( d a t a ) 到信息( i n f o r m a t i o n ) 再到知识( k n o w l e d g e ) _ ：个逻辑抽象层次。 t m u nb a s s 认为，对于攻击来说，可以从网络层次的角度进行分类。例如，物理层物 理攻击；网络层口s p o o f , 传输层s y nf l o o d ，因此，对于检测系统来说，也可以引 入这种层次化的概念，当然这种层次化并不一定要局限在网络层的角度。 入侵检测数据融合( dd a t af u s i o n ) 的重点在于使用已知的入侵检测模板和模式识 别，这与数据挖掘不同，数据挖掘注重于发掘先前未发现的入侵中隐藏的模式，以帮助 发现新的检测模板。 2 3 6 入侵容忍 国际上很早就开始了入侵容忍技术的研究。目前，许多重要的国际研究机构都在研 究入侵容忍技术或生存技术。 入侵容忍( i n t r u s i o nt o l e r a n c e ) 的含义：在攻击者到达系统，甚至控制部分子系统时， 系统不能丧失其应该有的保密性、完整性、真实性、可用性和不可否认性。入侵容忍系 统的一个重要特点是要求消除系统中所有的单点失效，也就是说，任何单点发生故障不 影响整个系统的运转。作为基础设施，提出消除单点失效的要求是合理的。入侵容忍技 术的另一个特色通过对权力分散及对技术上单点失效的预防，保证任何少数设备、任何 局部网络、任何单一场点都不可能做出泄密或破坏系统的事情。入侵容忍系统消除了权 力集中，它的权力分散不同于一般的权力分散，是彻底的权力分散：任何设备、任何个 人都不可能拥有特权如入侵容忍的保密不同于一般存取控制中的权力分散，存取控制 中总会有一个系统或设备级别非常高，但入侵容忍系统中不存在这样的设备。入侵容忍 2 分布式入侵检测 系统不相信任何单一的系统，因为它们可能会被对手占领了汹。 2 4 分布式入侵检测 传统的入侵检测系统，通常都属于自主运行的单机系统。无论基于网络数据源，还 是基于主机数据源；无论采用误用检测技术，或是异常检测技术，在整个数据处理过程 中，包括数据的收集、预处理、分析、检测，以及检测到入侵后采取的响应措施，都由 单个监控设备或监控程序完成。然而，在面临大规模、分布式的应用环境时，这种传统 的单机方式就遇到了极大的挑战。在这种条件下，要求各个入侵检测系统( 监控设备或 监控程序) 之间能够实现高效的信息共享和协作检测。在大范围网络中部署有效的入侵 检测系统己经成为一项新的研究课题，推动了分布式入侵检测系统( d i s t r i b u t e di n l r u s i o n d c t e c t i o ns y s t e m ，d i d s ) 的诞生和不断的发展。 分布式入侵检测系统将系统的各个模块分布在不同的计算机和设备上，采用了多种 先进技术，这使它功能十分强大。分布式入侵检测系统是基于网络数据包分析的入侵检 测系统，主要工作是研制分布式入侵检测技术与通用入侵检测架构。使其能够对异构系 统及大规模的网络进行检测，不同的i d s 系统之间可以协同工作。 分布式入侵检测系统采用以模式发现为主的入侵检测技术，内置已知网络攻击特征 模式数据库，根据网络数据流和网络通讯会话轨迹，智能地与网络攻击模式匹配。 2 4 1 传统入侵检测系统的不足 随着网络系统结构的复杂化和大型化带来了许多新的入侵检测问题，传统的i d s 经 过不断的改进，虽然在检测的精确度和及时性上得到了不断的提高，但仍存在以下几个 突出的缺点： ( 1 ) 数据处理速度慢 随着攻击的复杂化以及网络带宽的急速膨胀，对入侵检测速度的要求越来越高。但 传统的集中式i d s 所有数据收集、分析和响应都在一台主机上，而且这台主机往往要检 测整个网段的流量，容易产生瓶颈。所以无论这台主机是专用还是共享，无论其处理速 度有多快，往往都不能适应系统的发展f l l l 。 ( 2 ) 数据来源、检测分析方法单一，缺乏有效的协作机制 随着攻击技术的不断发展，入侵行为多样化，而出现了大量的分布式和协作式攻击 【嘲。而传统的i d s 数据来源往往只是来自网络数据包、系统日志、应用程序日志或者对 系统的扫描其中之一，检测分析方法也往往采用单一的基于模式匹配和统计的分析方 法，即使有个别的系统采用多种数据来源，也往往不能反映或者协调这些不同来源之间 的入侵事件的联系。因而对分布式或协作式攻击无能为力 ( 3 ) 可扩展性、可移植性差 1 3 西安科技大学硕士学位论文 很多i d s 对于现实存在的异构环境缺乏统一的入侵信息格式。这就造成了检测系统 的移植性差，太依赖于特定的系统，因为不同的系统体现不同的入侵特征，而且各种i d s 的设计都依赖特定的系统，比如数据收集子系统，就很具有系统依赖性。这也是限制i d s 普遍应用的瓶颈之一1 1 3 1 。 ( 4 ) 分析引擎不完善 异常检测具有一定的检测未知攻击的能力，但误报率偏高，误用检测能够较准确的 检测出已知攻击行为。但对未知攻击却无能为力。现有的分析引擎也较容易被欺骗，有 经验的黑客可以不断的训练检测模型，使其无法有效检测出攻击行为1 1 】。此外，现有的 i d s 缺乏预检测能力，一般只能检测到已经发生的或者正在发生的入侵行为，虽然很多 检测系统号称具有“实时性”，但无论如何都是在己经发生的非法行为特征的基础上进 行检测，对于将要发生的入侵行为就不能进行预测。所以当检测到入侵时，损失往往已 经发生了，因而非常被动。 ( 5 ) 缺乏有效的响应机制 现有的响应机制都过于简单，大多数i d s 响应系统的工作就是在检测到入侵存在 后，就立即通知系统管理员，由系统管理员采取相应的措旌。这显然不能满足现代系统 的需要。 2 4 2 分布式入侵检测系统的优势 分布式入侵检测由于采用了非集中的系统结构和处理方式，相对于传统的单机i d s 具有