（计算机应用技术专业论文）基于ixp2400的入侵检测系统的设计与实现.pdf

摘要 随着网络应用范围的不断扩大，对网络的各类攻击与破坏也与日俱增。网络 安全已经成为国防安全的重要组成部分，同时也是国家网络经济发展的关键。对 入侵攻击的检测与防范，保障计算机系统、网络系统及整个信息基础设施的安全 已经成为刻不容缓的重要课题。 入侵检测是实现网络安全的个重要手段，但它目前面临着许多挑战，其中 最主要的就是检测速度不能适应网络流量的飞速发展。大多数网络入侵检测系统 在不牺牲检测质量的前提下，无法处理百兆位网络满负荷时的数据量，而千兆位 更是难以企及的目标。 由于体系结构上的原因，c p u 和a s i c 设备已经不能满足当前和未来的网络 服务功能既需要高性能，又需要高灵活性的要求。丽网络处理器先进的体系结构 使得它可以同时满足这两种需求。为了快速灵活地实现具有千兆检测速度的入侵 检测系统，我在课题中采用了i n t e l 公司最新一代网络处理器i x p 2 4 0 0 作为硬件 平台。 课题进行前期工作是阅读有关文献，了解入侵检测的有关知识。然后在了解 网络处理器体系结构的基础上，阅读英文开发文档，掌握i x p 2 4 0 0 网络处理器的 体系结构和程序设计方法以及程序开发工具的使用方法。在阅读开发文档的同 时，我深入分析了开放源代码入侵检测系统s n o r t ，在对其有了比较系统的了解 的基础上，完成了整个系统设计工作。最后，本人在模拟环境下实现了系统的两 个主要功能数据包采集和检测引擎。 在课题的设计和实现过程中，我重点解决了入侵检测系统的检测引擎、在网 络处理器各线程间数据的通信和检测实体间报警信息的传递。 关键字：入侵检测， x a ，网络处理器，i x p a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to ft h ei n t e m e t ，t h ea t t a c k sa n dd e s t r o y si n c r e a s e s t e a d i l yd a yb yd a y i n t e r n e ts e c u r i t y h a sb e c o m et h ei m p o r t a n tc o m p o n e n to f n a t i o n a l d e f e n s e m e a n w h i l ei t i sa l s ot h ek e yf o rt h ed e v e l o p m e n to fn a t i o n a l i n t e r n e t e c o n o m y s o t h e r ei sn ot i m et od e l a yf o rt h ed e t e c t i o na n dg u a r da g a i n s tt h ei n t r u s i o n ， t h es e c u r i t ya s s u r a n c eo f c o m p u t e ra n di n t e m e ts y s t e m s ，a n dt h es a f e t yg u a r a n t e ef o r t h eb a s i cf a c i l i t i e s i n t r u s i o nd e t e c t i o na so n eo ft h ev i t a lm e a s u r e st or e a l i z et h ei n t e m e ts e c u r i t y s t i l lc o n f r o n t sal a r g en u m b e ro fc h a l l e n g e s a m o n gt h e m ，t h el e a d i n gc h a l l e n g ei s t h a tt h ed e t e c t i o ns y s t e m sc a n n o ta d a p tt h er a p i dd e v e l o p m e n to ft h ei n t e r n e tf l o w i n o r d e rt oa v o i dt h ei n f l u e n c et ot h eq u a l i t yo f d e t e c t i o n ，m o s to f t h en e t w o r ki n t r u s i o n d e t e c t i o ns y s t e m sc a n n o tm a n a g et h ef l o wu pt o10 0 m b i t s ，l e ta l o n e10 0 0 m b i t s a sar e s u l to ft h e s y s t e ma r c h i t e c t u r e ，c p ua n da s i cc a l l n o tf u l f i l lt h e r e q u i r e m e n t so f t h ep r e s e n ta n df u t u r e n t e r n e ts e r v i c e ，n a m e l y , t h eh i 曲c a p a b i l i t y a n dt h eh i 曲f l e x i b i l i t y h o w e v e r , n e t w o r kp r o c e s s o gi sa na d v a n c e dt e c h n o l o g y , c a n a c h i e v et h et w or e q u i r e m e n t sa to n et i m e i no r d e rt oa c h i e v et h ea p p l i c a t i o no ft h e i n t r u s i o nd e t e c t i o ns y s t e m sw i mt h ed e t e c t i o ns p e e do f1 0 0 0 mb i t s t h ea u t h o r a d o p t s t h en e wn e t w o r k p r o c e s s i x p 2 4 0 0a st h eh a r d w a r e p l a t f o r m t h ea u t h o rr e a d sf l q u a n t i t yo f l i t e r a t u r e sa n dg r a s p st h ei n f o r m a t i o nr e l a t e dt o t h ei n t r u s i o nd e t e c t i o n b a s e do nt h eu n d e r s t a n d i n go ft h ea r c h i t e c t u r eo fn e r w o r k p r o c e s s o r ，t h e a u t h o rr e a d st h ee n g l i s hd e v e l o p m e n td o c u m e n t sa n dm a s t e r st h e s y s t e ma r c h i t e c t u r eo fi x p 2 4 0 0a n di t su s a g eo fp r o g r a m m i n gd e v e l o p m e n tt o o l s w h i l eir e a dt h ed e v e l o p m e n td o c u m e n t s ，t h ea u t h o ra n a l y s e st h ei n t r u s i o nd e t e c t i o n s y s t e mo fs n o r t o nt h eb a s i so ft h eu n d e r s t a n d i n g sa b o v e ，t h ea u t h o rf i n i s h e st h e d e s i g no f t h ew h o l es y s t e m f i n a l l y , u n d e rt h ec i r c u m s t a n c e so f s i m u l a t i o n ，t h ea u t h o r a c h i e v e st h em a i n f u n c t i o n s ，n a m e l y d e t e c t i o n e n g i n ea n dp a c k e tr e c e i v e i nt h i sa r t i c l e ，w ea t t a c hi m p o r t a n c et od e t e c t i o ne n g i n e ，d a t ac o m m u n i c a t i o ni n t h r e a da n dc o m m u n i c a t i o np r o t o c o lu s e dt ot r a n s f e ra l e r ti n f o r m a t i o ni nd e t e c t i o n e n t i t y k e yw o r d s ：i x a ，n p , i d s ，i x p i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：连垄豳 日期：舢0 4 _ 匀e 年月甜日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：连鲨麴 导师签名：遂 日期：剃垆年中月钐日 第一章序言 1 1 课题背景、意义和来源 随着网络应用的普及，信息化水平的快速提高，网络安全问题显得越来越重 要。各种安全产品也相继出现，如网络防毒、防火墙、入侵检测系统、漏洞扫描 系统、身份认证和加密系统等。目前，入侵检测系统面临的最主要挑战之一，是 检测速度太慢。大多数网络入侵检测系统在不牺牲检测质量的前提下，无法处理 百兆位网络满负荷时的数据量，而千兆位更是难以企及的目标。然而，随着网络 流量的急剧增加，用户必然要求网络入侵检测系统具有较高的检测速度。 目前，在安全技术领域，呈现一种新的发展趋势，并且已经融合在部分产品 中，那就是安全产品芯片化。安全所使用的芯片网络处理器没有普通c p u 功能强大，但完成特定功能的效率极高，为普通计算机处理效率所不能及。并且 安全芯片通过良好的体系结构设计和专门针对网络处理优化的部件，为上层提供 了一个可编程控制的环境，可以很好地解决硬件加速和软件可扩展的折衷问题。 本设计采用了i n t e l 最新的网络处理器i x p 2 4 0 0 ，它以i n t e li x a ( i n t e l i n t e r n e te x c h a n g ea r c h i t e c t u r e ) 为基础，在一个单一芯片上集成了能够处理 复杂算法、深层包查验、流量管理以及以线速转发包的高性能并行处理功能，其 存储转发架构由高性能的i n t e lx s c a l e 内核和8 个独立的3 2 位多线程微引擎组 成，这8 个微引擎的处理能力累计可达每秒2 3 1 千兆次运算速度，它们提供了 传统上只有昂贵的高速度a s i c 芯片才能提供的处理能力。因此，在此基础上开 发出的入侵检测系统具有更高的检测速度，可以适应千兆网络流量的需求；同时， 由于入侵检测系统独立于主机操作系统，对入侵更有抵抗力。 本课题来自电子科技大学i n t e l 互联网交换架构研究实验室。基于i n t e l 公 司最新的i x p 2 4 0 0 网络处理器，使用i n t e li x a 开发工具s d k 3 0 进行入侵检测 系统的开发，所需要的这些软件工具和硬件设备由i n t e l 实验室提供。课题由我 的导师彭寿全教授提出，系统的设计和实现由本人独立完成。 1 2 本人所做工作 i x p 2 4 0 0 是i n t e l 公司最新一代网络处理器，它是本人设计工作的硬件平台。 本人毕业设计中的工作首先是学习和研究它，进而探索它在入侵检测领域中的应 用a 课题进行前期工作是阅读有关文献，了解入侵检测的有关知识，这部分工作 1 主要体现在论文的第二章。课题的第二部分工作是在了解网络处理器的基本结构 的基础上，阅读英文开发文档，掌握i x p 2 4 0 0 网络处理器的体系结构和程序设计 方法以及程序开发工具的使用方法，这部分的工作主要体现在论文的第三章。本 课题的大部分工作在后面的设计和实现部分。在进行系统设计时我深入分析了开 放源代码系统s n o r t ，借鉴了其中些思想，完成了整个设计工作。设计工作体 现在论文的第四章。本人在模拟环境下实现了系统的两个主要功能数据包采 集和检测引擎，这些功能基本上是由本人独立完成的，在涉及到有关原理、理论 的地方与其他同学进行了讨论。 1 3 论文结构 本文的主要结构安排如下： 第一章：介绍了课题的背景、课题的意义和课题的来源，并对本人 所做的工作了一个概述，最后对论文结构的安排作了说明。 第二章：对入侵检测做了系统叙述，包括入侵检测系统的产生、发 展和现状、入侵产生的根源、入侵检测系统的一般模型、入侵检测 系统数据来源和分析技术，最后总结了入侵检测技术的发展趋势。 第三章：本章首先给出网络处理器概念，介绍了其产生背景和技术 原理。然后简要介绍了i x p 2 4 0 0 的技术基础i n t e li x a ，再对i x p 2 4 0 0 网络处理器外部和内部组织结构和各个内部功能单元做了详细阐 述，总结了i x p 2 4 0 0 的特性和优点。在最后对i x p 2 4 0 0 的软件编程 架构作了简要介绍。 第四章；本章给出基于i x p 2 4 0 0 的入侵检测系统的详细设计，包括 数据包采集模块的设计、检测引擎的设计和控制台设计。 第五章：本章介绍基于i x p 2 4 ) o 噩勺入侵检测系统的实现，包括系统 资源分配、基本数据结构和主要函数模块介绍。 第六章：对课题进行了总结，并提出了完善系统的进步工作。 2 第二章入侵检测概述 计算机网络的安全是一个国际化的问题，每年全球因计算机网络的安全系统 被破坏而造成的经济损失达上千亿美元。 政府、银行、大企业等机构都有自己的内网资源。从这些组织的网络办公环 境可以看出，行政结构是金字塔型，但是局域网的网络管理却是平面型的，从网 络安全的角度看，当公司的内部系统被入侵、破坏与泄密是一个严重的问题，以 及由此引出的更多有关网络安全的问题都应该引起我们的重视。据统计，全球 8 0 以上的入侵来自于内部。此外，不太自律的员工对网络资源无节制的滥用对 企业可能造成巨大的损失。 当个人用户、银行与其他商业与金融机构在电子商务热潮中纷纷进入 n t e r n e t ，以政府上网为标志的数字政府使国家机关与i n t e r n e t 互联。通过 i n t e r n e t 实现包括个人、企业与政府的全社会信息共享己逐步成为现实。随着 网络应用范围的不断扩大，对网络的各类攻击与破坏也与目俱增。无论政府、商 务，还是金融、媒体的网站都在不同程度上受到入侵与破坏。网络安全己成为国 家与国防安全的重要组成部分，同时也是国家网络经济发展的关键。对入侵攻 击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全已经成 为刻不容缓的重要课题。 网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安 全的首要目标。网络安全技术主要有，认证授权、数据加密、访问控制、安全 审计等。本文着重讨论的入侵检测技术是安全审计中的核心技术之一，是网络安 全防护的重要组成部分。 2 1 入侵检测的发展和现状 入侵检测是指能够识别针对计算机或网络资源的恶意企图和行为，并对此做 出反应的过程。入侵检测系统( i n t r u s i o n d e t e c t i o ns y s t e m ，简称i d s ) 则是完 成如上功能的独立系统。i d s 能够检测未授权对象( 人或程序) 针对系统的入侵企 图或行为，同时监控授权对象对系统资源的非法操作。 入侵检测从最初实验室里的研究课题到目前的商业产品，已经有2 0 多年的 发展历史。它的发展可大致分为三个阶段： 1 安全审计阶段 安全审计为入侵检测的产生打下了基础。审计是对系统中发生事件的记录和 分析处理过程。与系统日志相比，审计更关注安全问题。根据美国国防部( d o d ) t c 可信计算机系统评估标准”( t c s e c ) 橘皮书规定，审计机制( a u d i t m e c h a n i s m ) 应作为c 2 或c 2 以上安全级别的计算机系统必须具备的安全机制，其功能包括： 能够记录系统被访问的过程以及系统保护机制的运行；能够发现试图绕过保护机 制的行为；能够及时发现用户身份的跃迁；能够报告并阻碍绕过保护机制的行为 并记录相关过程，为灾难恢复提供信息。 2 入侵检测的诞生 1 9 8 0 年，a n d e r s o n 在报告“c o m p u t e rs e c u r i t yt h r e a tm o n i t o t i n ga n d s u r v e i l l a n c e ”中提出必须改变现有的系统审计机制，以便为专职系统安全人员 提供安全信息，此文被认为是有关i d s 的最早论述；1 9 8 4 1 9 8 6 年d o r o t h y d e n n i n g 和p e t e rn e u m a n n 联合开发了一个实时入侵检测系统一i d e s ( i n t r u s i o n d e t e c t i o ne x p e r ts y s t e m ) ，i d e s 采用异常检测和专家系统的混合结构，d e n n i n g 1 9 8 6 年的论文“a ni n t r u s i o nd e t e c t i o nm o d e ”，亦被公认为是i d s 领域的另 一篇开山之作。受a n d e r s o n 、d e n n i n g 和i d e s 的影响，在2 0 世纪8 0 年代出现 了大量的i d 原型系统，如：a u d i ta n a l y s i sp r o j e c t 、d i s c o v e r y 、h a y s t a c k 、 m i d a s 、n a d i r 、n s m 、w i s d o ma n ds e n s ee t c ；商业化的i d s 直到2 0 世纪8 0 年 代后期才出现。 3 入侵检测的发展 入侵检测技术发展的初期，检测方法比较简单，大多数i d s 只是基于主机。 例如，1 9 8 6 年，在i b m 主机上用c o b o l 开发的d i s c o v e r y 系统。 随着网络应用的迅速普及和入侵检测技术的进一步发展，1 9 9 0 年， h e b e r l e i n 提出一个新概念：基于网络的入侵检测- - - n s m ( n e t w o r ks e c u r i t y m o n i t o r ) 。与以前的i d s 系统相比，它的不同点在于它不是检查主机系统的审计 记录，而是通过主动监视局域网上的信息流来发现可疑行为。这一概念的提出使 得入侵检测系统的应用开始面向网络。 1 9 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d 提出使用自治代理( a u t o n o m o u s a g e n t ) 来提高i d s 的可扩展性、可维护性和容错性。 1 9 9 6 年，c h e u n gs 提出了g r i d s ( g r a p h b a s e di n t r u s i o n d e t e c t i o n s y s t e m ) ，该技术对大规模的自动或协同攻击的检测更为有利。随着广域网的不 断发展和黑客攻击技术的提高，早期集中式的网络入侵检测系统已不再适用于大 型的网络，于是就有了用于大型网络的分布式入侵检测系统，如：j i n a o ，e m e r a l d ， g r i d s 等。这些系统的网络检测任务由分布于网络各处的检测单元协作完成，这 4 些检测单元还能进行更高层次上的扩展，以适应网络范围的扩大a 这种分布式入 侵检测方法的容错能力强，扩展能力强，能检测大范围的网络入侵活动。目前， 对广域网范围的入侵活动的检测和必要的入侵反应机制( 如自动恢复、对入侵者 进行跟踪等) ，是网络入侵检测系统研究的重点。 当前国际上最先进的入侵检测系统是美国i s s 公司的r e a l s e e u r e ，它采用 了智能攻击识别技术。其它公司开发的入侵检测工具，如：n a i 公司的c y b e r c o p m o n i t o r ，a x e n t 的n e t p r o w l e r 和c i s c o 的n e t r a n g e r 等，也有比较完善的功能 和较强的实用性，能对大量攻击和系统误用特征进行识别，并采取及时的入侵反 应措施。最近美国权威杂志i n f o r m a t i o ns e c u r i t y 评出了2 0 0 2 年1 1 种优秀安 全产品，包括入侵检测产品、防火墙产品、访问控制产品等1 1 种不同的种类。 其中入侵检测产品中最优秀的就是i s s 公司的r e a l s e c u r e 。 近年来，国内计算机安全特别是网络安全已成为研究热点。但在入侵检测技 术方面国内的研究还只是刚刚起步，处于跟踪国外技术阶段，投入实际使用的入 侵检测系统很少，而且系统功能还比较简单。主要产品包括：紫光网络推出的网 络安全入侵检测系统- - u n i s i d s 、中科大国祯入侵检测系统和上海广电的分布式 入侵检测系统s e c u r e n e tg i g 等。 2 2 产生入侵的根源 入侵之所以能够发生并对目标系统造成危害，归根到底，是因为系统存在某 种可以被利用的安全脆弱性( 漏洞) 。这种安全脆弱性的来源大致可以分为3 类： 设计开发中存在的问题，管理中存在的问题和信任中的问题。 1 设计开发中存在的问题 安全问题的第一个来源是系统设计和开发过程中的错误、缺陷和省略。无论 是系统软件还是协议软件或应用程序的设计开发，都会发生这种情况。在当前主 流的操作系统和许多应用程序中，都可以找到许多类似的缺陷。2 0 世纪7 0 年代 中期的r i s o s 项目对操作系统软件进行了深入的研究，它试图弄清安全问题的根 本原因，并希望发展软件工程技术来防止这些问题在后继系统中出现。r i s o s 项 目对以下问题进行了鉴定： 不完善的参数确认此问题的原因是没有检查与过程调用相对应的参 数，而此过程调用会影响过程间的相互通信。确认性检查应该包括数据 类型检查、编号和顺序检查、取值和范围检查、访问存储区权限和一致 性检查。当过程调用是由某一级别权限的操作f f - - 个更高级别 权限的操作过程时，此错误具有摧毁性。这种情况下非法的参数会引起 5 过程权限升级，最终导致安全漏洞。 不一致的参数确认这一问题与不完善的参数确认本质上不同。不一致 参数确认被认为是一种设计性错误，而不是确认性错误。如果一个系统 中确认标准是不一致的，当此过程以它自认为合法的条件为基础并发作 用时，就会出现安全问题。 不明确的特许机密数据共享这一类问题关系到信息泄露，从一个过 程泄露到另一个过程，或者从拥有高级权限的用户泄露到较低级权限的 用户。 异步确认不充分串行化这一类问题关系到对一种假设的违背，此假 设认为过程是按照某一特定顺序的步骤执行的。该类问题的一个实例就 是从检查时刻到使用时刻的错误，也称为种类条件利用。这些错误通常 允许系统穿透一个特定的时间间隔，称作时间选择窗口。 不充分确认鉴别授权授权是指以对个体和资源的确认和鉴别为基 础，授予访问权利和许可。它以一种人为的方式分配这些权利和许可。 当操作系统完全忽略授权所需的必要条件，或者没有能够确认与此授权 相关的资源时，此类问题就会发生。 易受侵犯的禁令限制这些问题包括在固定大小的数据结构中的数据 溢出状态。 可利用的逻辑错误这些问题包括不合理的时间安排条件，不正确的错 误处理以及指令的副效应。 2 管理中存在的问题 这类问题源于系统管理中的错误或疏漏，包括系统配置错误，没有使用系统 的安全机制，或者没有建立安全管理的策略等等。主要有如下几种情形： 缺乏必要的安全基础设施单位内部没有制定必要的安全管理制度，没 有对单位内部的每一个员工的安全级别作出相应的规定。比如一个大型 的组织机构中一个普遍的问题是员工在内部系统或桌面个人计算机上安 装为授权的m o d e m 。因为m o d e m 提供了进入组织机构内部的网络通道， 攻击者就可以绕过防火墙等安全机制进入组织机构的内部网络。 撤消或回避了安全机制 有的计算机系统中虽然安装了反病毒软件、防 火墙或入侵检测系统，但是由于系统管理员或用户的疏忽，他们并没有 启动这些安全设备。 6 未更正系统某些不恰当的缺省配置 有些操作系统和应用软件的缺省 配置并没有充分考虑安全因素，这就要求系统管理员按照本单位的安全 策略配置系统。关键系统文件的访问权限被缺省设置成全局可读可写就 是一个十分严重的安全隐患，比如在l i n u x 系统中将口令文件设置为全 局可读可写。 多重保护机制间未正确地协调工作 当采用多重机制保护一个网络时， 有可能出现协调保护功能失败。例如虽然安装了防火墙或入侵检测系统， 但是它们的密码文件却以明文的形式被保存起来，这样就可以远程访问 它们，因此易受到口令攻击。 管理系统的人为错误在安全管理中，人为错误也是经常发生的问题。 例如系统管理员在设置对新用户目录的许可时，输入了错误的组编号或 者用户名，使得用户享有了不应该有的权限等等。这类人为的错误，往 往给系统留下了安全的隐患，使得针对本系统的某些入侵行为成为可能。 3 信任中的问题 安全性问题的第三个主要来源是信任问题。信任是安全领域的一个核心概 念。在i n t e r n e 7 发展的初期阶段，由于网络的用户量很小，并且这些用户使用 i n t e r n e t 都有共同的目的，因此，他们相互之间都是可以信赖的。但是当 i n t e r n e t 的用户数量飞速膨胀，并且i n t e r n e t 工作在i p 协议上时，严重的网 络安全问题就产生了，因为用户是各种各样的，相互可信任的假设不复存在：并 且i p 协议在设计之初，注重网络的坚固性，对网络的安全和控制却考虑得不多。 网络主机间的信任问题许多操作系统支持网络操作，他们能够建立网 络主机之间的信任关系，这种信任的关系通常是由文件系统中的主机表 单驱动，只要用户在两个不同的系统中使用相同的用户名，并且都有帐 号，它们就允许全权委托从一个系统进入另一个系统。可信任的用户能 够进入系统而不需要密码。用户或主机之间的这种信任关系是可传递的， 就是说，如果主机a 信任主机b ，且主机b 信任主机c 和d ，那么主机a 也信任主机c 和d 。大多数实现方案是根据对系统i p 地址或者名字的信 任，这使得许多入侵成为可能，比如常见的i p 欺骗攻击。攻击者采用精 心设计的软件，从一台主机向目标系统发送数据包，这些数据包包含的 源地址不是他自己的i p 地址，而是另一台被目标系统信任的主机的i p 地址。目标系统如果不要求密码或者没有采用任何其它鉴别身份措施的 情况下，就会允许攻击者进入。 协议和信任问题网络协议和加密解密协议是许多系统脆弱性的来源， 根本原因在于它们往往包含一些“理想的”，甚至是错误的假设。例如 i n t e m e t 协议假定系统的合法用户不会攻击自己网络，这一假设导致了许 多的网络脆弱性和攻击。又比如在采用广播方式的以太网中，假定每一 个数据包都只被它的目的地址所标明的主机读取，而其他主机不会获取 该数据包。当网络上的某一主机不遵守这一规定时( 如将网卡设置为混 杂模式) ，网络窃听就变的十分容易了。 2 3 入侵检测系统的一般模型 依据c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ( c i d f ) 给出的入侵检测系统 的一般模型，现有的i d s 可以划分为四个功能模块，如图2 一l 所示。 图2 - 1 通用入侵检测模型 息 事件源( e b o x ) 收集入侵检测事件，并向i d s 其它部件提供事件，是i d s 的信息源。事件包含的范围很广泛，既可以是底层网络活动，也可以是系统调用 等系统信息。从事件源中可分析出入侵的迹象。事件的质量与数量对i d s 性能的 影响极大，决定这两个参数的是事件产生器的响应速度与事件采集方式。 分析器( a b o x ) 分析器对输入的事件进行分析以检测是否构成入侵。许多 i d s 的研究都集中于如何提高入侵检测的能力，包括提高已知入侵识别的准确 性，提高发现未知入侵的概率。 事件数据库( d b o x ) e b o x e s 和a b o x e s 产生大量的数据，这些数据必须 被妥善地存储，以各将来的使用。d - b o x 的功能就是存储和管理这些数据，用于 i d s 的训练和保存证据。 响应器( c b o x ) 响应器对入侵发出响应，包括向管理员发出警告，切断入侵 8 连接，根除入侵者留下的后门以及进行数据恢复等。 2 4 入侵检测系统的数据源 i d s 的数据源可以分为三类： 1 基于主机的数据源 由操作系统的审计跟踪、系统记录和应用系统日志文件组成。系统审计跟踪 记录了系统的活动信息，这些活动发生的时间，并存放在日志文件中。这些记录 包括操作系统在核心级和用户级的活动记录。大多数记录包括了进程初始事件的 信息，如与事件相关的用户i d ，有时除了原来用户i d ，还包括当前用户i d 。内 核级系统调用包括了调用的参数和返回值，而用户级系统调用包含了事件的高级 描述或是具体应用数据。 2 基于网络的数据源 该数据源是最被关注的信息来源。凡是流经网络的数据流都可以被利用作为 入侵检测系统的信息源，其涉及的范围最广。 3 来自其它安全产品的数据源 如防火墙、身份认证系统、访问控制系统和网络管理系统等产生的审计记录 和通知消息等。 2 5 分析类型 在入侵检测的过程中，如果信息源已经定义好，信息所在的位置也已经确定， 下一个要素就是分析引擎。分析引擎采用的分析方法可以分为误用检测、异常检 测两种。 1 误用检测型( m i s u s ed e t e c t i o n ) 该分析方法是通过提取数据源的特征，与已知攻击手段及系统漏洞特征库对 比，来判断系统中是否有入侵发生。具体来说是根据静态的、预先定好的攻击特 征模式库来过滤网络中的数据流，一旦发现数据包提取的特征与某个库中已有的 攻击模式匹配，则认为是一次入侵。 误用检测基于掌握已知的入侵攻击模式，故又称特征检测。它能够准确地检 测到某些特征盼攻击，但却过度依赖事先定义好的安全策略，所以无法检测系统 未知的攻击行为，从而产生漏警。误用检测方法的主要优点在于检测精度高，一 般情况下不存在误检测，其主要缺点有： 9 收集所有已知攻击模式和系统脆弱性信息困难，更新庞大的数据库需要 耗费大量时间和精力。 可移植性差，因为网络攻击信息绝大多数与主机的操作系统、软件平台 和应用类型密切相关的。 检测内部用户的滥用权限活动非常困难，因为通常此类行动并未利用任 何系统缺陷。 误用检测的关键问题是如何从已知的入侵方法中提取特征，构造入侵行为的 描述模式，并使这种描述模式有一定的扩展性和适应性。随着对计算机系统弱点 和攻击方法的不断收集和研究，入侵特征化描述的方法越来越有效，这使得误用 检测方法的使用也越来越广泛，常用的技术有专家系统( e x p e r ts y s t e m ) 、状态 转换分析( s t a t e t r a n s i t i o na n a l y s i s ) 、特征分析( s i g n a t u r ea n a l y s i s ) 和 p e t r i 网络分析等。 2 异常检测型( a b n o r m a l d e t e c t i o n ) 异常检测的工作基础基于如下假设，即任何一种入侵行为都能由于其偏离正 常或者所期望的系统和用户的活动规律而被检测出来。它是利用统计分析或神经 网络技术来检测系统异常行为的一种检测方法。统计分析检测原理如下： 1 ) 为系统中存在的主体和对象( 如用户、工作组、c p u 负载、磁盘和内存 使用情况、网络的连接频度、单个用户的进程数量等) 定义相应的统计 量，通过观察历史数据或一段时间的自学习，为每个统计量定义一个基 值( 如期望) 表示正常状态； 2 ) 根据这些统计量，通过一定的判定规则界定这些统计指标正常的波动范 围，从而利用统计方法建立系统正常运行时的轮廓模型( p r o f i l e m o d e l ) ； 3 ) 当系统活动时，会不断计算这些统计量并与轮廓模型比较，一旦偏移量 超过了界定的范围，就认为系统发生了异常，系统可能受到了入侵。常 用的统计分析方法有概率统计方法和贝叶斯推理方法。 神经网络技术是另一种主要的异常检测技术，它通过学习已有的输入一输出 矢量对集合，抽象出其内在的联系，进而得到新的输入一输出的关系。这种技术 在理论上能够用来在审计数据流中检测入侵行为的痕迹。神经网络技术和统计分 析技术的某些相似之处已经理论证明，而用神经网络技术的优势在于它能够以 种更加简洁快速的方式来表示各种状态量之间的非线性关系，同时能够自动进行 学习重新训练过程。 1 0 由于任何不符合以往活动规律的行为都将被视为入侵行为，非规贝入侵检测 技术具有很高的完整性。此外，非规则入侵检测技术较少依赖特定的操作系统环 境，同时对于合法用户超越其权限的违法行为的检测能力大大加强。相应地，较 高的虚警率是其主要缺陷。 第一种方法对于已知的攻击类型非常有效，但对变形的攻击和新的攻击方式 几乎无能为力( 这是现在正深入研究的地方，用到许多模糊识别、知识工程的数 学方法来提高检测系统的自我学习能力和识别能力) 。第二种方法可以弥补第一 种方法中的遗漏缺陷，但是它会造成一定的误报。通常的i d s 系统将两种分析 方法结合起来，可以获得更好的性能。 数据分析中，不论是异常检测技术还是误用检测技术，其实质都是一个字符 串匹配过程，下面介绍三种常用的字符串匹配算法。 2 6 模式匹配 2 6 1k u n t h - m o r r i s - p r a t t 串匹配算法 v i p 算法的主要思想是：假设在模式匹配过程中，当前正执行到比较字符， 和，( 】i n ，1 j 1 ) ，其中模式尸= 角仍，正文t = 编0 。 若t i = p ，则继续往右作匹配检查，即检查f 。和p 。是否匹配 若，p ，则考虑下列两种情况： 若j = 1 ，则执行f 。和p ；的匹配检查，这相当于把模式、正文向右移一个字 符位置后再从头进行匹配检查。 若】 m 或i n - m + l 为止。 k m p 算法的核心是构造n e x t 函数，n e x t 函数应满足下述条件 ( 1 ) 字符子串ap 2 p l 与子串p h 。计1 ) p j 一( 。【卜2 ) p j - l 相匹配 ( 简记作p 1 n e x t j 川= p d 一( n e x t j - 1 ) j 1 ) 。这是因为我们要求以后的匹配检查 可由t ，和p 。】开始，下式必须成立 p 1 n e x t j - 1 爿 i 一( n e x t j - 1 ) 一i1 】 根据已知的匹配成果，若要使得 p j 一( n e x t d 一1 ) j 一1 - - t i - ( n e x t d 一1 ) j 。1 】 则必须要有 p 1 n e x t u 一t l = p j 一( n e x t f i - 1 ) j 一1 】 ( 2 ) n e x t d 必须为满足条件( 1 ) 的最大值。这使得在模式向右滑动j - n e x t u 个字