（计算机应用技术专业论文）前瞻性入侵检测系统的方法及算法研究.pdf

华中科技大学硕士学位论文 摘要 随着网络开放性、共享性以及互联程度的日益扩大，i _ n t e r n e t 得到飞速的发 展，人类已经进入了网络时代。由于计算机网络技术的发展改变了以单机为主的模 式，网络入侵的风险性也相应地急剧增长。设计安全措施来防范未经授权的数据访 问和非法的资源利用，是当前网络安全领域个十分重要而迫切的问题。目前，要 想完全避免安全事件的发生是不现实的，网络安全人员所能做到的是尽量发觉入侵 及入侵企图，以便采取有效措施来避免或减少损失。为此目的而研制开发的系统称 为入侵检测系统( i d s i n t r u s i o nd e t e c t o ns y s t e m ) 。目前的入侵捡测系统 有基于主机的和基于网络的。基于主机的入侵检测系统( h i d s ) 通过分析操作系统 中的审计数据来监视单个主机。基于网络的入侵检测系统( n i d s ) 通过审查网络通 信行为来监视网络中所有主机。尽管研究人员已经提出了各种基于主机和网络的 i d s 的方法，但是还没有一种方法被人们广泛接受。 前瞻性入侵检测系统( f i d s f o r e s i g h ti n t r u s j o nd e t e c t i o ns y s t e m ) 的网络入 侵检测方法是从人类商品安全( 质量) 流通系统的特性得到的启发，比其它方法更 能满足提前发现和控制入侵行为豹要求，并且具有在全球计算机网络安全系统中普 及应用的广阔前景。文章提出了该方法的一个模型前瞻性入侵检测系统模型和 这种模型实现中出现的三个关键技术：入侵信息分析、逆向信任机制、数据包安全 置标。 前瞻性入侵检测系统( f i d s ) 可以作为个独立的入侵检测产品单独设计和应 用在网络安全检测中，也可以把前瞻性的思想弓l 入到现有的入侵检测系统中，作为 现有入侵检测系统的个功能扩充。通过对该系统的评估，前瞻性入侵检测系统在 入侵检测系统的检测对效上比一般入侵检测系统要提前，比h i d s 的占用系统资源 要少，比n i d s 在命中率和网络带宽的利用上要高。它是一种更为实用和有发展前 景的i d s 。 关键词：入侵检测自u 瞻性逆向信任安全置标 华中科技大学硕士学位论文 a b s t r a c t w i t ht h ei n c r e a s i n ge n l a r g e m e n to ft h eo p e n i n g ，s h a r i n ga n di n t e r c o n n e c t e dd e g r e e ， i n t e r n e th a sb e e nd e v e l o p e da tf o i ls p e e d ，t h em a n k i n dh a sa l r e a d ye n t e r e dc y b e r t i m e s s i n c et h ed e v e l o p m e n to ft h en e t w o r kt e c h n o l o g yo fc o m p u t e rh a sc h a n g e dt h em o d e m a i n l yr e l y i n go nu n i t ，t h er i s ko fn e t w o r ki n v a s i o ni n c r e a s e ss h a r p l ya c c o r d i n g l y i t sa v i t a la n du r g e n tp r o b l e mi nn e t w o r ks e c u r i t ya r e at od e s i g ns e c u r i t ym e a s u r ea g a i n s tt h e d a t av i s i t i n gw i t h o u tp e r m i s s i o na n dt h ei l l e g a lu t i l i z a t i o no ft h er e s o u r c e s a tp r e s e n t ，i t s t o t a l l yu n r e a l i s t i ct op r e v e n tf r o ms a f ee m e r g e n c e ，w h a tt h es e c u r i t yp e r s o n n e lc a nd oi s t od i s c o v e rt h ei n v a s i o na n dt or e d u c eo ra v o i dt h el o s sb yt a k i n gu pe f f e c t i v em e a s u r e s s ow ec a l lt h es y s t e mi d s i n t r u s i o nd e t e c t i o ns y s t e m t h ep r e s e n ti n t r u s i o nd e t e c t i o n s y s t e mi sh o s t - b a s e da n dn e t w o r k b a s e d t h eh o s t b a s e ds y s t e m ( h i d s ) m o n i t o rt h e i n d i v i d u a lh o s tc o m p u t e rb ya n a l y z i n gt h ea u d i t i n gd a t ai no p e r a t i n gs y s t e m ，w h i l et h e n e t w o r k b a s e ds y s t e ms y s t e m ( n i d s ) m o n i t o ra l lt h eh o s t st h r o u 曲c h e c k i n gn e t w o r k c o m m u n i c a t i o n s a l t h o u g ht h er e s e a r c h e r sh a v ea l r e a d yp u tf o r w a r dm a n yk i n d so f m e t h o da b o u tt h eh o s t - b a s e di d sa n dn e t w o r k - b a s e di d s ，n o n eo ft h c mi sw i d e l y a c c e p t e d t h i sa r t i c l eh a si n t r o d u c e daf o r e s i g h tm e t h o do fd e t e c t i n gt h ei n t r u s i o ns y s t e m i t si n s p i r e df r o mt h ec h a r a c t e r i s t i c so fh u m a ng o o d s s a f e t yc y c l i n gs y s t e m ，t h u si tc a n d ob e t t e ri nm e e t i n gt h ed e m a n do fd i s c o v e r i n gi na d v a n c ea n dc o n t r o l l i n gt h ei n t r u s i o n i t e n j o yaw i d e rp r o s p e c ti np o p u l a ra p p l i c a t i o ni nt h eg l o b a lc o m p u t e rn e t w o r ks e c u r i t y s y s t e m t h ea r t i c l ei n t r o d u c e sam o d e li nd e t a i l ：f o r e s i g h ti n t r u s i o nd e t e c t i o ns y s t e m ( f i d s ) m o d e la n dt h r e ep i e c e so fk e yt e c h n o l o g yt h a ta p p e a ri n t h i sk i n d ： 1 i n t r u s i o ni n f o r m a t i o na n a l y s i s2 r e v e r s et r u s tm e c h a n i s m3 t h ed a t ac h a r t e rt h e s e c u r i t yt op u ta n dm a r k t h ef o r e s i g h ti n t r u s i o nd e t e c t i o ns y s t e mc a l ld e s i g na n da p p l yt ot h en e t w o r k s e c u r i t ya l o n ea sa ni n d e p e n d e n ti n t r u s i o nd e t e c t i o ns y s t e m i ta l s oc a ni n t r o d u c et h e f o r e s i g h tt h o u g h ti ne x i s t e di n t r u s i o nd e t e c t i o ns y s t e ma sas u p p l e m e n to ff u n c t i o ni nt h i s s y s t e m t h r o u g ht h ee v a l u a t i o no ft h i s ，f o r e s i g h ti n t r u s i o ns y s t e mc a r lg oa h e a dt h a n g e n e r a lo n e s ，t a k i n gu pl e s sr e s o n r c p 。st a k e nb yh i d s ，m a k i n gm o r eu s eo fn i t sa n d n e t w o r kb a n d w i d t ht h a nn i d s i t sak i n do f d se n j o ym o r ep r a c t i c a i t ya n d p r o s p e c t k e y ：i n t r u s i o nd e t e c t i o n ，f o r e s i g h t ，r e v e r s et r u s t ，m a r k i n gt h ed a t ap a c k a g e n 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他 个人或集体己经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集 体。均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签 日期：沙夕 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密口，在年解密后适用本授权书。 本论文属于 不保密百z ( 请在以上方框内打“4 ”) 学位论文作者签名：淤字鼋巧盼 日期渺夕月，日i 艚教师签名房众辛 日期：2 一r 年，月9 日 华中科技大学硕士学位论文 1 绪论 1 1 课题来源及意义 本课题来源于国家自然科学基金资助课题面向网络入侵检钡4 的并行数据挖 掘技术研究，批准号：6 0 2 7 3 0 7 5 。 计算机技术、网络技术、和无线通信技术的迅速发展已经使人与人之间的时空 界线越来越淡化，同时网络入侵技术也是曰新月异。网络安全成为我们无比关心的 问题。好的入侵检测系统是有效控制和抵御网络入侵的有力武器，入侵检测系统是 网络安全领域一个不可或缺的组成部分，在网络的时代，一个好的检测方法可以是 千军万马，也可以是铜墙铁壁，更是威力无比的武器。 随着越来越多的重要信息存储在网络系统中，网络系统的安全变得至关重要， 各种网络入侵事件促进了网络安全技术的发展，继众多信息安全防范技术( 如防火 墙技术、数据加密“、授权和认证) 后，入侵检测( i n t r u s i o nd e t e c t i o n ) 成 为又一个重要的信息安全保障措施”。 防火墙和入侵检测系统是两类重要的安全系统。3 ，其中防火墙技术属于静态安 全防御技术，广泛用于局域网的安全防护。它的本质思想就是隔离，不论是包过滤 方式，还是代理方式，都是将有危险的数据包拦截在外部。入侵检测技术是动态安 全技术峥”1 的核心技术之一。通过研究入侵事件、入侵手段及被入侵目标的漏洞， 建立起有效的响应策略，不论是外部还是内部发起的攻击都能按照策略做如响应， 并且能够通过建立用户行为的描述，发现用户的异常行为，进行预警。入侵检测技 术经过十几年的发展，已融合了包括神经网络m 1 “、数据挖掘1 、遗传算法“73 在 内的众多技术，同时，大量的入侵检测系统被研究出来并得到了一定范围的应用， 将使信息更安全、更有保障。 入侵技术与入侵检测技术就像矛盾的两个方面，总是不断地向上攀升，所以入 侵检测产业将来也是一个随着新技术发展而不断发展的产业。 华中科技大学硕士学位论文 1 2 国内外研究概况 大容量的信息存储，高速的网络传输，海量的数据共享，货币电子化，购物网 络化，政务自动化，使信息安全将是本世纪最受人们关注的问题。世界各国都在制 定完备的安全标准，也在研究和开发更丰富的网络安全产品。 1 2 1 国内外关于网络信息安全的政策、法规与标准 1 我国信息安全标准化方面的工作 自从1 9 8 4 年国家标准化委员会成立数据加密技术分委员会起，到改组为信息 技术安全技术分委员会至今，从学习、仿效到结合国情共制定了3 0 多个安全标 准，这期间，进展最快的要算近几年，在国家信息化发展的推动下，有2 0 多个安 全标准已正式发布，根据国家信息化发展的需要，近期开展了以下几个方面的标准 化工作。首先确定国家信息化安全标准体系表；其次，制定了电子商务有关的安全 标准“，如公钥基础设施、证书认证机构体系；另外，继续充实完善安全测评标 准和规范的体系，关于密码模块的安全性要求、入侵检测系统等应用产品标准也要 及时组织制定。我国的“标准化八字原理“”为：统一、简化、选优、协调。 国家信息安全标准体系框架中的基础标准是整个信息安全标准体系的基础部 分并向其他的技术标准提供所需的服务支持。在其安全技术标准中的“事件检测 和报警”工作中已制定出了“i t 入侵检测框架( z s o i e cp d t r1 5 9 4 7 ：1 9 9 9 ) 标准 1 ，但在其物理安全标准中的“安全产品”工作中只对“包过滤防火墙( g b t 1 8 0 1 9 ) 、应用及防火墙( g b t1 8 0 2 0 ) 、安全路由器( g b t1 8 0 1 8 ) 、i c 卡 ( i s o i e c 、7 8 1 6 7 8 1 3 ) ”等有规范的描述，而对“入侵检测产品”还没有一个统 一的标准。这就给入侵检测的研究提供了一个更广泛的空间。 我国标准化主管部门一一国家技术质量监督局标准化司的相关官员曾表示，信 息产业部在通信标准的制订过程中，采取开放的组织形式，让企业和科研单位更深 入地参与标准的研究制定工作，是一种有益的尝试。 2 国际上信息系统安全的主要问题 ( 1 ) 网络技术与信息安全问题 2 华中科技大学硕士学位论文 i n t e r n e t 技术与信息共享、信息安全的关系这类话题近年来已受到普遍关 注。这与所谓网络黑客( h a c k e r ) 的行为有关，但这并不是信息安全问题的全部， 甚至还不是信息安全的本质问题。为了让不同厂商不同类型的网络可以互通，基于 t c p i p 协议簇的i n t e r n e t 技术发展极为成功，其主要原因是它使用了统一和有效 的用于网络互联的通信协议集旧t c p i p ，并被开发成为适用于各种软件平台，从而 打破了异型计算机之间、异构网络之间互联互通的技术屏障。同时，原先致力于研 究和开发网络信息系统弱点和漏洞的黑客们及时地从正反方而向人类发出警告， t c p i p 协议作为互联网技术的基础和核心，在框架体系上基本未考虑网络环境的 不可信任问题。 ( 2 ) 信息系统规划与建设中的安全隐患阀题 目前，各类信息系统在觌划和建设中，普遍地对其中的安全隐患重视不够，除 了来自产品本身( 例如操作系统、应用软件和数据库管理系统等) 提供的诸如用户 口令、访问控制等安全措施外，几乎再无其他附加安全措施。就信息系统安全而 言，不但砍乏整体安全的框架方面的考虑，而且对信息流的管理也缺乏正常的秩序 作为基础。由此造成的安全问题有两类，类是针对信息系统( 包括网络体系中的 设备、传输介质和操作系统) 中各种技术和管理上的漏洞，实施技术型攻击：另一 类是网络信息的无序流动，在造成系统过载运行的同时，给安全管理( 包括安全设 备、操作规范等) 带来不堪重负和不能胜任的后果，从而由系统的不可靠和不稳定 性演变为系统安全运行的崩溃。 ( 3 ) 信息系统管理和安全问题 信息系统安全是一个管理和技术结合的问题。就信息系统安全而言，管理与 技术和关系就如同军事上指挥系统与战役部署的关系。安全技术是确保信息系统安 全运行的必要措施。 ( 4 ) 用户的安全意识问题 对信息系统备类用户( 包括系统管理员、安全管理员和业务用户等) 进行信息 安全的系统知识培训和常规培训，是信息安全管理的重要一环。大是网络信息安全 案例表明，由于用户的安全意识不强以及误操作同样会造成信息系统的不可预测后 华中科技大学硕士学位论文 果。有意无意将计算机病毒、b 0 程序及其他恶意代码引入信息系统，将给信息系 统造成灾害性后果，这恰恰是各类用户安全意识不强以及违背管理制度的直接结 果：用户违背访问控制策略出访因特网或外部网络，不仅可能突破系统防护的薄弱 环节，绕过防火墙，将内部秘密信息泄漏出去，暴露内部资源配置信息，而且会严 重破坏访问控制秩序，加重网络传输负荷造成拥挤，导致网络管理混乱。因此加强 对信息系统各类用户的安全教育和安全管理是信息系统确保安全运行的预前、预后 和常规性重要措施。 1 2 2 国内外入侵检测技术研究情况 1 基于数据挖掘的实时入侵检测技术 美国哥伦比亚大学提出了一种基于数据挖掘的实时入侵检测技术雎1 。“1 ，证明了 数据挖掘技术能够用于实时的i d s 。其基本框架是：首先从审计数据中提取特 征，以帮助区分正常数据和攻击行为：然后将这些特征用于模式匹配或异常检测模 型：接着描述一种人工异常产生方法，来降低异常检测算法的误报率：最后提供一 种结合模式匹配和异常模型的方法。实验表明，上述方法能够提高系统的检测率 而不会降低任何一种检测模型的效能。在此技术基础上，实现了数据挖掘的实时 i d s ，它是由引擎、检测器、数据仓库和模型产生四部分构成，如图1 1 所示。 图1 1 基于数据挖掘的i d s 体系结构 4 华中科技大学硕士学位论文 其中，引擎观察原始数据并计算用于模型评估的特征，检测器获取引擎的数据 并用检测模型来评估它是否是一个攻击：数据仓库被用作数据和模型的中心存储 地；模型产生的主要目的是为了加快开发以及分发新的入侵检测模型的速度。 2 基于人工免疫模型的i d s 免疫系统的主要工作原理是区分“自我”及“非我”。“自我”是指自身的细 胞。“非我”是指病原体、毒性有机物和内源的突变细胞( 致癌) 或衰老细胞。免 疫细胞能对“非我”成分产生应答，以消除它们对机体的危害；但对“自我”成 分，则不产生应答，以保持内环境动态稳定，维持机体健康。免疫系统的功能就是 由这些免疫细胞的交互作用来实现的，而并非某个器官。它有很多完备的机制，这 些机制一方面是使得它能够出色地完成保卫人体的任务，另一方面也表明它满足分 布性、自组织性和低消耗性。 - 一丑 目路由器 匡薹j ! i d $ u 从d s 啊检测规则集 通信控制器 信息流 一一，网络数据包 卜 图1 2 人工免疫模型的物理结构 人体免疫系统的这些系统特性极大地鼓舞了计算机安全和人工智能研究人 员。在免疫学者研究的基础上，越来越多的计算机科学家提出各自的计算机免疫模 5 华中科技大学硕士学位论文 型。这些模型的主要思想是区分“自我”( s e l f ) 和“非我”( n o n s e l f ) 。“自 我”是指正常的行为，“而非”我是指异常的行为。将人工免疫模型映射到入侵检 测系统中，将被监测网络的正常行为视为自我，将异常行为视为非我。人工免疫模 型的物理结构如图1 2 所示。它包括一个主i d s 和若干个从i d s 。 主 d s 扮演人体免疫系统中骨髓和胸腺的角色，负责生成若干检测规则集。检 测规则集描述了网络数据包的异常通信模式。每一个检测规则集都是唯一的，并且 被传送给一个从i d s 。从i d s 位于本地主机上。它使用检测规则集来发现非己的网 主瞵 从s ，蕾j 篁_ 复制高效检澳4 规则集 图l i3 人工免疫模型的概念体系结构 络通信模式。主i d s 和所有的从i d s 之间不断地进行信息相互传输。在人体中，骨 髓和胸腺不断地产生各种被称为抗体的检测细胞并将这些细胞输送到淋巴结。抗体 在淋巴结处对所有的活细胞进行监视，从而发现被称为抗原的入侵淋巴结的细胞。 华中科技大学硕士学位论文 在人工免疫模型中，本地主机、检测规则集和网络入侵行为分别被看作人体的淋巴 结点、抗体和抗原。检测规则集在本地主机上对网络通信模式进行监视，以便及时 识别并防止网络入侵。图1 2 假设只监测一个网络区域( 如果有个多个网络区域， 则只需为每个区域分别分配一个独立的人工免疫模型) ，所以所有被传送到该区域 的网络数据包首先都要经过第一个路由器。 上面给出了该模型的概念体系结构。由圈1 3 可以看出人工免疫模型的工作流 程分为三个阶段，即生成规则基因库，筛选检测规则集和复制高效检测规则集。 3 基于s v ) 1 1 分类机的入侵检测系统 同样是基于网络的异常检测系统，它通过s v m 分类技术“，把t c p 连接识别 成正常和非正常两类。系统总体结构如图i 4 所示。虽然本入侵检测模型参考了 通用入侵检测模型c i d f “的建议，其中包括数据采集、特征选择、数据库、s v m 训练、s v m 分类机和相应模块。数据采集从网络上采取网络数据包，该系统采用 t c p d u m p “”1 实现，被采取的数据包被重组成t c p 连接。特征选择模块将每个t c p 连接编码成为一个向量，并在数据库保存。数据库保存了标准训练数据，实时数据 以及检测结果。s v m 训练机根据数据库中的标准数据训练s v m 分类机。 图1 4 入侵检测总体结构 7 华中科技大学硕士学位论文 经过训练的s v m 分类机，可以对一个新的t a p 连接进行识别，并把结果保存 在数据库中和传给响应模块。 系统对t c p 连接进行异常检测的训练方法如下。 一般，t c p 连接都以服务客户形式存在。根据t c p i p 协议，t c p 连接可用 标准服务进行分类。不同服务的t c p 连接采用不同的标准端口，如t e l n e t 采用 2 3 端口。s v m 分类机不根据标准端口对一个连接所属服务进行识别，然后将结果 与该连接的标准端口比较，如果一致，表明该t c p 连接是正常，反之，则该t c p 连接被认为异常。 4 反拒绝服务( d o s ) 入侵检测系统 反拒绝服务( d o s ) 入侵检测系统“把i d s 网络中的所有元素( 如路由器、交换 机、防火墙或主机) 按其对安全的要求以集合为单位划分，以便讨论集的特定属性 及集间的关系。大部分的网络可以映射为这种结构。 所有的 d s 元素组成超集( s u p e r s e t ) ，是多个域( d o m a i n ) 的并集。域是网络最 大可能的划分，每个域由个主干( b a c k b o n e ) 和多个区( r e g i o n ) 组成。域内的主干 与各区直接物理相连。主干由一系列对安全要求高的i d s 元素( 如防火墙、路由 器、交换机等) 组成，其他i d s 元素分布在域内的区。主干与包含部分外部网络( 如 i n t e r n e t ) 的超集总线( s u p e r s e tb u s ) 直接物理相连，以便各主干之间相互通信。 不同主干中的主机通过宽带网通信，且这种通信不穿过任何公用网络。每个域内有 3 种类型的安全主机：关键主机( c r i t i c a lh o s t ) 、代理主机( p r o x yh o s t ，为了区 分我们称其为中介主机) 和子主机( c h i l dh o s t ) ，主机上相应的代理( 组件) 分别 为：关键代理( c r i t i c a la g e n t ) 、中介代理( p r o x ya g e n t ) 和子代理( c h i l d a g e n t ) 。主干中的备份代理( b a c k u pa g e n t ) 和控制器d i r e c t o r ) 都属于关键代理。 代理驻留在各自的主机上( g a 关键代理必须在关键主机上) 。域内所有的关键主机和 关键代理组成关键集( c r i t i c a ls e t ) ，同理有中介集( p r o x ys e t ) 和子集( c h i l d s e t ) 。关键集和中介集中的元素对整个系统至关重要而且安全要求高所以分布在主 干，子集分布在区。 j 利用神经网络检测堆栈溢出的入侵检测系统 华中科技大学硕士学位论文 堆栈溢出攻击的原理口“3 ：在程序中，程序员通常会声明各种变量。而这些变 量经编译后，其中的静态、全局变量分配在数据段，并且在程序开始运行的时候被 加载；而程序的局部动态变量则分配在堆栈里面。当发生函数调用时，堆栈中将被 依次压入实参、返回地址、被调用函数的局部变量。 堆栈溢出就是向堆栈中的局部变量写入超过其本身长度的数据，导致数据越 界，覆盖其后堆栈中的数据。攻击者可以用这种方法覆盖堆栈中的程序返回地址， 使其指向他所写的一段代码( 称这段代码为s h e l 卜c o d e ) 。如果攻击者利用这段 代码去执行一个s h e l l 时，那么这个s h e l l 将获得与发生堆栈溢出的程序相同的权 限。最坏的情况是被攻击的程序具有s u i d - r o o t 属性，那么攻击者就可以获得一个 具有f o o t 权限的s h e l l 。 b p 网络是目前使用的最为广泛的一种神经网络，这种网络不仅有输入层结 点，输出层结点，而且有一层或多层隐含结点。 b p 网络可用来进行分类、功能预测及评估，它在语言识别、工业过程控制等 方面得到了较好的应用。在入侵检测这一领域，b p 网络已被成功地用于异常检 测，如用用户历史的活动作为训练集，使网络记忆用户的活动规律，当用户的行为 明显偏离时报警。本文提出的检测方法也属于异常检测，只不过是将b p 网络用于 特定的攻击检测雌栈溢出攻击检测。 6 基于状态转换监测的入侵检测系统模型 在状态转换监测模型。+ 蚓中，通过对截取的数据包和日志数据进行全面的审 查，分析数据包和日志数据中所有特征参数，判断是否有异常情况或黑客攻击模式 相匹配的情况，每一种情况的查出都会使系统由初态向某个终结判定状态移动，在 终结判定状态可判定黑客的攻击情况。初态对应开始检查数据包或日志数据的状 态，而终态代表经过检查最终识别出某种攻击的状态。如图1 5 所示。 9 华中科技大学硕士学位论文 c p 一。 初态结点 终态结点 n o o 机制 逆向信任我方受信 第三方受信 彪 ( 不信任自己)( 不信任对方) 产品质量检测产品出厂检测产品质量监督产品在使用时受到检测 基于一般主机的入侵 基于网络的入 网络入侵检测 检测( 前瞻性入侵检 基于关键主机的入侵检测 侵检测 测系统) 2 0 华中科技大学硕士学位论文 这三个部分是基于一般主机的入侵检测、基于网络的入侵检测、基于关键主机 的入侵检测。虽然基于一般主机和基于关键主机都是基于主机的入侵检测系统，但 这翠所说的关键主机是指对外提供服务，并且是网络入侵的目标主机，是被入侵主 机，是被攻击的对象。而一般主机是指网络中任意一台主机，它可以是入侵主机也 可以是被入侵主机。从上文中的当前入侵检的信任机制可以看出来： 基于一般主机的入侵检测系统应该采用对方受信机制，即逆向信任机制； 基于网络的入侵检测系统是第三方受信机制； 基于关键主机的入侵检测是我方受信机制； 3 逆向信任机制分析 ( i ) 前瞻性入侵检测系统中的逆向信任机制的原理分析 基于一般主机的入侵检测采用逆向信任机制，是指在入侵检测系统中入侵捡测 工具认为本主机所发出的网络连接和数据包安全不可信，要对其进行必要的分析， 并与合法连接的规则相比较，确认无误后，对其置安全标志位( 简称：置标) ，允许 其进入网络并发送到目的主机，目的主机和网络安全服务器中的入侵检测系统对已 罨标的数据包采取信任机制，准许其直接被目的主机接收并执行。当目的主机要发 送返回信息给源主机或向网络上其它主机发送数据包时，此时目的主机的逆向信任 机制启动，对其所要发出的数据包进行检测，看是否有入侵对方的可能，对检测通 过的数据包置标并发送出去。 ( 2 ) 前瞻性入侵检测系统中的逆向信任机制的应用分析 逆向信任机制的入侵检测系统称之为前瞻性入侵检测系统，所谓前瞻性是指入 侵行为在还没有发生就对其进行分析并采取果断的制止措施，从而保障网络上各主 机的安全，保障网络运行的通畅。但逆向信任的主枫并不是对任何来自网络上其它 主机的数据包采用信任机制，它只对来自网络的已置标的数据包信任。 ( 3 ) 前瞻性入侵检测系统中的逆向信任机制的优缺点分析 逆囱信任机制把入侵检测的时间由正在入侵和已经入侵提前到预备入侵，为其 它类型入侵检测系统和网络安全系统的工作赢得了宝贵的时间；逆向信任机制中对 本机所发的安全数据包置标，使目的主机接收到数据后不必进行烦琐的检测，加速 华中科技大学硕士学位论文 了目的主机的服务响应，从相对性的角度来看也就提高了本地主机的响应速度：又 因为数据包有安全置标，所以基于网络的入侵检测系统也对其采用信任机制，网络 检测服务因为无需对其进行入侵检测，抓包分析，从而防止了网络受阻或网络堵 塞，提高了网络速度。这种入侵检测系统由于要对本机发出的所有网络数据包进行 检测和置标，所以也有其客观的缺点，这里所醴的缺点并不是因为对每个网络数据 包进行检测使本机的速度下降，而是对通过检测的数据包置标上涉及到t c p 的相关 协议要进行修订和补充，只有网络上采用逆向信任机制的主机达到相当的比例，才 能真正体现出它对网速和网络安全起到的积极作用。 ( 4 ) 前瞻性入侵检测系统中的逆向信任机制的可行性分析 一般入侵检测系统对进入的数据包或日志数据进行分析，如果发现异常，立即 做出响应。在前瞻性入侵检测系统中可以将送出的数据包或指令进行同样的分析， 特别是大量数据输出或关键指令被调用时，用聚类算法发现异常时就将包滞留或丢 弃。 3 3t g p 数据包置标问题的提出 先从前瞻性入侵检测系统( f i d s ) 模型进入，如图2 1 前瞻性入侵检测系统 ( f i d s ) 。 1 工作原理 ( 1 ) 本地主机中装入前瞻性入侵检测系统( f i d s ) ，本地主机向外部网络所 发的数据包每一个都必需进行入侵检测，以保证本地主机对外所发的数据包是安 全的，保证本地主机对外没有攻击。 ( z ) 本地主机发出的数据包在检潞后梭确认为安全的，必需对其设置安全标 志位( 以后简称：置标) ，安全标志位是在t c p 包中设置。然后再送入网络。 ( 3 ) 本地主机接收到的数据包有两类，一类是由其它装有前瞻性入侵检测 系统( f i d s ) 的主机发送到本地主机的数据包，这种数据包应该已经置标，本地 主机对这种己簧标的数据包是来者不拒，全部直接接收，另类是由一般网络主 华中科技大学硕士学位论文 机发送的普通的没有置标的数据包，本地主机会对其进行入侵检测，确认安全 后，再接收。 2 对数据包置标的分析 从上面的模型可以看出前瞻性入侵检测系统( f i d s ) 的原理第( 2 ) 条中的关 键技术就是：t c p 数据包安全置标。 逆向信任机制的实现必需以数据包可以设置安全标志位为前提，理论上在t c p 协议中对数据包置标是完全可行的，因为t c p 数据包头的结构如下： 源端口：16 位： 目的端口：1 6 位 序列码：3 2 位，当s y n 出现，序列码实际上是初始序列码( i s n ) ，而第一个数据字 节是i s n + i ： 确认码：3 2 位，如果设置了a c k 控制位，这个值表示一个准备接收的包的序列码； 数据偏移量：4 位，指示何处数据开始； 保留：6 位，这些位必须是o ； 控制位：6 位； 窗口：1 6 位； 校验位：16 位； 优先指针：1 6 位，指向后面是优先数据的字节； 选项：长度不定：但长度必须以字节记；选项的具体内容我们结合具体命令来看； 填充：不定长，填充的内容必须为0 ，它是为了保证包头的结合和数据的开始处偏 移量能够被3 2 整除； 从t c p 数据包头的结构分析可以看到，有两个地方可以用来对数据包进行安全 置标，一个是“保留”位，一个是“选项”位，本文中所阐述的是在“选项”位进 行安全置标。 3 对数据包置标的实现 对于t c p 数据包头的分析在编程实现中可通过数据结构一t c p 来定义： 华中科技大学硕士学位论文 t y p e d e fs t r u c tj c p w o r ds r c p o r t ：源端口 w o r dd s t p o r t ：目的端口 d w o r ds e q n u m ；顺序号 d w o r da c k n u m ：确认号 b y t ed a t a o f f ：t c p 头长 b y t ef l a g s ：标志( u r g 、a c k 等) w o r dw i n d o w ：窗口大小 w 0 r dc h k s u m ；校验和 w o r du r g p t r ：紧急指针 b y t eo p t i o n s ：选项 t c p ： t y p e d e ft c p * l p t c p ： t y p e d e ft c pu n a l i g n e d u l p t c p ： 在“选项”位对数据包置标可以通过下面的函数来实现： 处理数据包的函数 v o i d p a c k e tp r o c e ( u _ c h a r * p a c k e t s ，c o n s t s t r u c t p c a p _ p k t h d r 木 h e a d e r ，c o n s tu _ c h a r * p p ) s t r u c te t h e r h e a d e r 丰e t h ：以太网帧报头指针 s t r u c te t h e r _ a r p 卑a r t h ；f7 晾p 摄头 s t r u c ti p 丰i p h ：t p 报头 s t r u c tt c p h d r t c p h ； s t r u c tu d p h d r u d p h ： u s h o r ts r c p o r t ，d s t p o r t ：端口号 c h a rp r o t o c o l m a x s t r i n g s i z e ：协议类型名 华中科技大学硕士学位论文 c h a rs r c p m a x s t r i n g s i z e ，d s t p m a x s t r i n g s i z e ：端口名 u n s i g n e di n tp t y p e ：协议类型变量 u n s i g n e di n to p t i o n s = l ；“选璜”变量用来对数据包进行安全置标 u c h a r d a t a ：数据包数据指针 uc h a rt c p u d p d a t a m a x s t r i n g s i z e ：数据包数据 i 1 1 1 ：i ： e t h s t r u c te t h e r h e a d e r 木) p p ： p t y p e 2 n t o h s ( “s t r u c te t h e r h e a d e r ) p p ) _ e t h e r t y p e ) ： t c p 数据处理完毕 4 可行性分析 可以在t c p 数据包头的“保留”或“选项”位置进行安全置标，本例是在“选 项”部分以“l ”为数据包的标志位。这里谈一下为何没有在“保留”位进行安全 置标。 ( 1 ) 在“保留”位置标，是最理想的解决方案，因为t c p 数据包中本身就有 “保留”位，而且它本身也是为了将来进行功能扩充而预留的信息位，在此嚣标不 会影响至q t c p 数据包的结构、长度、识别方式等诸多因素，但是t c p 包头的这种结构 和“保留”的信息位是固化到整个t c p i p 协议中的，如果我在此将“保留”置 “l ”，它将会与现在的所有的t c p i p 协议不兼容，从而导致网络不能正常工作。 解决这个问题的办法有一个，就是向i n t e m e t 工程特退组( 刀e 硼所特许的i n f e m e t 协议 安全协议( n p s e c ) i 作组建议其对目前的t c p i p 协议进行修定，虽然难度很大，但 这是网络安全技术发展的趋势，正如中国的电器产品进行3 c 认证一样，它并不是不 可能实现的。 ( 2 ) 在“选项”位置标，是为了实现本系统的功能，而又不与国际标准相违 背的种做法。本系统作为科研或产品可在产品销售范围内对t c p 的协议用补丁程 华中科技大学硕士学位论文 序进行修补，使之能够识别“选项”位的安全标志位。它只需要此系统的使用者在 自己的电脑中安装一个小程序就可以解决这个问题。所以它是可以的。 3 4 安全置标后的数据包的抗篡改性 安全置标后的数据包( 以后简称安全包) ，在网络上传输极有可能被第三方进 行恶意篡改其内容后按安全包的格式进行重新打包后放进网路上继续前行至原目的 地。这里就要用至f j i p s e c 的数据传输安全策略，对于i p 安全性，可以定义如下三个公 认的目标： 身份验证：能够可靠地确定接收到的数据与发送的数据一致，并且确保发 送该数据的实体与其所宣称的身份一致。 完整性：能够可靠地确定数据在从源到目的地传送的过程中没有被修改。 机密性：确保数据只能为预期的接收者使用或读出，而不能为其他任何实 体使用或读出。 1 身份验证头，a h 的作用如下 为i p 数据报提供强大的完整性服务，这意味着a h 可用于为i p 数据报承载内容 验证数据。 为i p 数据报提供强大的身份验证，这意味着a h 可用于将实体与数据报内容相 链接。 如果在完整性服务中使用了公共密钥数字签名算法，a h 可以为i p 数据报提 供不可抵赖服务。 通过使用顺序号字段来防止重放攻击。 a h 可以在隧道模式或透明模式下使用，这意味着它既可用于为两个节点间的简 单直接的数据报传送提供身份验证和保护，也可用于对发给安全性网关或由安全性 网关发出的整个数据报流进行封装。 ( 1 ) 语义 i p v 6 中的a h 与其他扩展头一起使用时，必须置于那些将由中间路由器处理的扩 展头之后，及那些只能由数据报目的地处理的扩展头之前。这意味着a h 应置于逐跳 华中科技大学硕士学位论文 扩展头、选路扩展头或分段扩展头之后。根据不同情况， a h 可在目的地选项扩展 头之静，也可在其后。 在透明模式中，a h 保护初始i p 数据报的净荷，也保护在逐跳转发中不变化的部 分i p 头，如跳极限字段或选路扩展头。图3 1 中显示了在透明模式中，当计算和增 加a h 时，i p 数据报的变化情况。图中的目的地选项头也可以置于a h 之前。对于目的 i p 地址和扩展头，仅在逐跳转发它们不发生变化的情况下，才能得到保护。 计算a h 之前豹数据报 二j 三蔓二i 二：量二一i t c p 一蔓： 插入a h 之后的数据报 f 目韵p 头扩展头a h目的地选项t c p数据 i ， 验证除了改交的字段以外的部分 、 l 7 图3 l 在透明模式中为i p 数据报增加a h 当a h 用于隧道模式中时，使用方法与上不同。图3 2 表明了其中的区别。初始 的目的i p 地址与整个初始i p 数据报一起，封装在全新的i p 数据报中，该数据报再发 送到安全性网关。因此，整个初始i p 数据报以及传送中不变的封装i p 头部分都得以 保护。 原始p 数据报 蘑蔓工基1 蔓工曼 受用隧道方式向安垒牲网关发：送的pi i 耀报( g w ) 量三丑至曼i ：叠 囊三兰工：基i ：蔓 二曼 图3 2 在隧道模式中为i p 数据报增加a h 华中科技大学硕士学位论文 ( 2 ) a h 字段 图3 3 表示