（计算机应用技术专业论文）基于loss和分维技术的doste入侵检测.pdf

基于l o s s 和分维技术对d o s t e 的入侵监测 专业：计算机应用技术 研究生：叶浩 指导教师：李志蜀 摘要本文开始部分介绍并分析典型的拒绝服务攻击d o s 的方式。然后在现有 的理论基础上，借鉴两种已有的较新的入侵算法来实现检测入侵系统，其中一 种是利用自我相似性来进行入侵检测，另一种则利用了分维理论。然后我对这 两种方法实现的入侵检测系统进行了测试和评估。我的实验结果表明在实验环 境下，l o s s 方法可以检测到大约8 4 的攻击，而分维方法可以检测到大约9 6 的攻击，在这些测试中都未引起误报。就结果来看，后者的有效性比前者高， 但二者结合的效果更好。此外论文将介绍我开发的入侵攻击生成工具，这些工 具是在对入侵攻击的协议特点和方法进行研究后，在l i n u x 下用c 实现。 l o s s 检测技术是建立在当特定的网络被攻击之后，其通信特性出现变化。 对此深入分析可以发现这些攻击会让通信的自我相似性发生变化。这样依靠监 测通信变化来检测攻击的主要优点包括： ( i ) 之前对这些攻击行为不需要有了解； ( 2 ) 不需要建立“正常”通信活动的模板。 分维技术是建立在对可测量的通信特性异常的检测上，利用攻击会使通信 的拓扑分维发生变化的特征，可以对攻击做出准确的判断，包括攻击的发生时 间和结束时间。虽然这种技术需要提供一个通信的模板，但是它并不要求之前 对攻击行为有了解，这点相对于其它一些基于异常的检测技术有了很大的改进。 此外我的论文中对攻击的实现方法有具体的介绍，我在l i n u x 的环境下， 在对攻击原理有了具体的了解后，比如s m u r f 攻击等，用程序实现这些攻击， 获取这些含有攻击的p a c k e t ，然后将这些攻击包与已有的背景通信数据段合成， 然后用于我对入侵检测系统的测试的实验。 关键字： 拒绝服务攻击；自我相似损耗( l o s s ：l o s so fs e l f - s i m i l a r i t y ) ；分形；分维；入 侵检测；通信局部分布 a n a l y s i s d e t e c t i o nd o s - t eb yl o s sa n d f r a c t a l - d i m e n s i o nt e c h n o l o g y m a j o r ：c o m p u t e ra p p l i c a t i o nt e c h n o l o g y m a s t e rc a n d i d a t e ：y eh a oa d v i s o r ：p r o f l iz h i s h u a b s t r a c tt h i sd i s s e r t a t i o nb e g i n sw i t ht h ed e s c r i p t i o na n da n a l y s i so fac e r t a i n c l a s so fd e n i a lo fs e r v i c ea t t a c ka l o n gw i t ha no v e r v i e wo ft e c h n i q u e sa n dt o o l su s e d t od i s c o v e ra n da n a l y z et h e m t w on e ws o l u t i o n st ot h ep r o b l e mo fd e t e c t i n gt h i s t y p eo fa t t a c ka r ei n t r o d u c e d ，d e v e l o p e d ，a n de v a l u a t e d w ed e m o n s t r a t et h a to n eo f t h e s et e c h n i q u e sc a nd e t e c ta na v e r a g eo f8 4 o f t h ea t t a c k sa n dt h eo t h e rd e t e c t sa n a v e r a g eo f9 6 ，a l lw i t hn 0o c c u r r e n c eo f af a l s ea l a r m ( i nt h i sa r e n at h el a t t e rm a y b em o r ei m p o r t a n tt h a nt h ef o r m e r ) h a v i n ge x p e r i e n c e df i r s t h a n dt h ed i f f i c u l t yo f c r e a t i n gac o n t r o l l e de n v i r o n m c n tf o rt e s t i n gn e wa t t a c kd e t e c t i o nt e c h n i q u e s ，w e t h e nd i s c u s st h ep r o b l e m si nt h i sa r e a t h ef i r s td e t e c t i o nt e c h n i q u ei sb a s e do na ni n d e p t ha n a l y s i so fa ni n v a r i a n t t r a f f i cc h a r a c t e r i s t i ct h a ta p p e a i st ob ea f f e c t e db yc e r t a i nt y p e so fn e t w o r ka t t a c k t h i st e c h n i q u er e q u i r e st h es e l f - s i m i l a rt h e o r yw h i c hw o u l db ea f f e c t e db yt h ea t t a c k i nt r a f f i c t h em a i nb e n e f i t so fd e t e c t i n ga t t a c k sb ym o n i t o r i n gt r a f f i ci n v a r i a n t sa r e t h a t ( 1 ) n op r i o rk n o w l e d g eo f t h ea t t a c k sb e h a v i o ri sn e e d e da n d ( 2 ) n ot e m p l a t eo f “n o m a a l ”t r a f f i ca c t i v i t yi sn e e d e d t h es e c o n dt e c l m i q u ei sb a s e do nd e t e c t i n ga b n o r m a l i t i e si nam e a s u r a b l e t r a f f i cc h a r a c t e r i s t i c ，w h i c hm e a n st h e a t t a c ki nt r a f f i cw i l la f f e c tt h en e t w o r k t r a f f i c sl o c a ld i s t r i b u t i o nm a dw i l lc h a n g et h ef r a c t a ld i m e n s i o n ，a n da l t h o u g ha t r a f f i ct e m p l a t ei sr e q u i r e d ，i td o e sn o tr e q u i r ep r i o rk n o w l e d g eo ft h eb e h a v i o ro f a t t a c k s ，a na d v a m a g eo v e rs o m et y p e so fa n o m a l y - b a s e dd e t e c t o r s k e y w o r d s ： d o s ( d e n i a l - o f - s e r v i c e ) ；d o s - t e ( d e n i a l o f - s e r v i c eb yt r a f f i ce x p l o i t ) ；l o s s ( l o s s o fs e l f - s i m i l a r i t y ) ；f r a c t a l ；f r a c t a l d i m e n s i o n ；i d ( i n t r u s i o nd e t e c t ) p u ，1 1 大学坝l j 学位论史 1总论 在现实世界中，随着时问的流逝，每个人都能够成为一个完美的小偷，他 能够打开所有的锁，绕开所有的报警器，避开任何的追踪者的追捕。但是，不 管他的技巧有多么的完美，他也只能够某一时问内在某一个地点行窃。不过， 在计算机的世界中，即使是水半一。般的人也能够非常轻易的对服务器发起攻击， 突破它的防御，而那些安全专家不得不和全球范h j j 内涮时发生的成百上千的攻 击对抗。由于网络允许用户匿名访问任意的资源，i n t e m e t 互连让那些有恶意的 人能够在任何时间内使用一些也许并不是他自己 发的。广具攻击任意的站点， 甚至有时候他们完全不懂得这些j 二具的攻击原理。依靠网络脚议为开放式交流 而提供的匿名服务，同时由于对恶作剧没有限制，攻击者能够随意攻击而不用 考虑被发现的风险，况且就算被发现也几乎没有枧会找到恶作剧本人。 虽然计算机安全方面的研究已经发展了近3 0 年，但自动入侵检测系统对各 种各样的威胁来说还不够成熟，而人力分析是解决这个问题的唯一有效方法。 现在的思路已经倾向由敏感的定向传感器组成的分布式系统来监视网络通 信和主机的活动，同时将结果报告给使用人工智能，数据挖掘，可视化信息技 术的分析工具，以此来检测局部或者系统范围内的攻击。 在这篇论文里面，我们将介绍两种新的入侵检测技术，它们在检测一类使 服务器拒绝访问的攻击的时候表现的非常出色。另外，还将介绍一种产生攻击 的工具，这种工具在测试主机和系统的脆弱程度的时候非常有用，当然它也能 对入侵检测系统进行评估。 1 1 入侵，故障，攻击 我们一般认为定义计算机和计算机网络的安全需要参考以f - l 个要求 1 机密性数据只能够被授权的部分获得 2 完整性数据只能被授权的部分修改 3 可用性数据应该保证能够被授权的部分获得 v u 川人学坝l j 学位论史 儿是威胁到上而提到的三个安全要求的活动，我们都可以定义为入侵。比 如一个恶意的入侵常常包含了攻击，如果攻击成功，就可以破坏数据或者修改 主机和网络访问数据的权限。 在一份1 9 9 9 年美国麻省理工大学林肯实验室的报告中评估了检测入侵的 系统，作者列举了五个主要的攻击或者其他类型的入侵的分类。 1 拒绝服务：攻击使主机或网络服务受限制或者无法连接 2 探测：入侵试图获耿计算机或者网络的配旨 3 远程取得本地权限：攻击是在只有远程访问的权限下，得到本地主机或 者网络的权限。攻击的原理包括通过猜测获得用户i ：_ _ | 令，以及依靠程序 的漏洞获得本地账号 4 r o o t 的权限：攻击的目的是将用户合法的普通权限修改为r o o t 或者 a d m i n i s t r a t o r 的权限。一旦攻击者取得这类权限，他们就能够对系统随 心所欲。这种攻击主要是对每个电脑都存在的“缓冲区溢出”进行攻击 5 数据：攻击目标是访问到没有获得权限的数据，然后进行修改或删除。 这种类型的攻击需要攻击者获取本地访问的权限或者r o o t 用户权限之后 才能进行 在计算机系统还是独立，采用批处理系统，或者中央主机与终端之阳j 用私 人电缆连接的时候，主要的安全问题是那些没有获得授权的用户尝试访问他们 不能访问的数据，或者在系统上有账号的用户的不证确使用。随着计算机网络 和计算机网络服务的发展，可能的危险也不断增加。 虽然数据在服务器上面保存是可靠的，但如果一个人能够直接从网络通信 中析取这些数据，那么网络就没有可靠性。同样的，如果攻击者能够让网络提 供的数据连接失败，就算本地的用户还能够访问这螳数据，但对远程用户来说 网络也没有呵用性。 考虑到使服务器拒绝服务的攻击的影响，r 叮靠性的定义就不仅仅包含数据 拒绝访问，关于安全机制的信息也不能被访问到。如果潜在的攻击者能够得到 网络的拓扑，找出网络内每个= ! e 机的操作系统类型，那么他就能针对网络的配 置设计最有效的攻击方式。如果这些信息能够保密，那么攻击者如果想成功就 必须付出更大的代价。 v uj i f 大学坝j 学位论义 另外，很明显网络或者操作系统提供的数据访问服务必须是可用的。如果 是网络，服务器，或者操作系统的问题造成访问失败，造成的负面效果和数据 本身丢失一样。 s t a t l i n g s 列举可四个主要的攻击分类： 1 中断：对数据或资源的获取产生负面的影响 2 截取：访闽未授权的数据或资源 3 修改：修改未授权的数据，也就是对系统的完整性进行攻击 4 伪造：在系统中加入末授权的数掘，使获取的数掘真实性受到攻击 使服务器拒绝访问的攻击主要是第类，但是一些攻击伪造看起来可信的 通信，来达到他们的目标。 1 1 1 使服务器拒绝访问类攻击 使服务器拒绝访问的攻击计合法用户无法访问数据或者信息资源。这些攻 击能够从外部覆盖网络，同时让i e 常的通信无法传输，或者使用软件使主机上 的关键程序无效，比如e m a i l 或者w e b 服务等。尽管网络或主机拒绝访问攻击 的基本概念在很多年以前已经被讨论，但是在2 0 0 0 年y a h o o ，亚马逊等一系列 网站被攻击之前，它们没有收到足够的重视。 1 1 1 1 系统方式的攻击与通信方式的攻击 使服务器拒绝访问的攻击一股有两种模式。它们可以利用特殊的包，对操 作系统的弱点，网络协议栈，或应用软件发起攻击。这些包使执行代码进入与 预期相反的状态或者覆盖临界数据从而引起程序无效。些攻击只要非常有限 的特别的包就能成功，比如p i n g 死机等等。此类攻击都是针对系统的攻击。 第二类攻击利用大量的包覆盖目标网络，让它不能被访问。这种类型的攻 击采用暴力，或者攻击者利用目标已有的弱点使f 1 标服务器中断访问。后者的 攻击不会造成系统崩溃或其他的永久伤害，它采用大量持续的通信来达到它的 目的，所以也能够被认为是通信方式的攻击。攻击提供w w w 服务的a p a c h e 服务器就是采用这种方式。这种方式在短时间内给服务器发送大量的h t t p 请 求，超过服务器的处理能力，使服务器拒绝访问。发送请求的速率越高，服务 器越容易中止服务，因此这类攻击总是采用尽可能高的发送速率。 u u 川大学坝l j 学位论文 毫无疑问，第一种攻击方式对网络通信的整体影响来说，要小的多，而后 者实际上对通信特性的影响也有限。 1 1 i 2 攻击的强度 通信方式攻击主要是对目标发送大量的请求，止目标无法处理，但是这必 须看攻击的应用协议，有可能需要发送数量非常大的请求。有些时候我们攻击 只需要很少的包就能成功，但是遄到更强壮的协议的时候，包的发送频率就必 须到达超载的程度。图1 1 的传输分布 | _ | j 线表现的就是通信方式攻击的强度。a 部分是标记的数据在没有攻击的时候通信情况，而b 、c 、d 图表现的是受到攻 击之后表现的情况。攻击的峰值强度是每秒到达包的峰值数量，四个图的时间 长度都是1 8 0 0 秒，它们的y 轴是相同的。 曩 ：暑 兰： 詈 鼍一 q 暑 羔竹 等 山 来收刊攻击的时候强度曲线 2 0 08 0 01 3 0 0 1 8 0 0 2 3 0 0 2 0 0 03 3 0 0 1 秒内的b i n 中等强度攻击的时候强度曲线 2 0 08 0 0i3 0 0 1 8 q 02 3 0 02 8 0 03 3 0 0 1 秒内的b i n 1 秒内的d i n 1 移内的b i n 图1 1 ( a ) 未受到攻击时候的数据( 参j 担度) ，( b ) 低强度通信方式攻击，( c ) 中等强 度通信方式攻击，( d ) 高强度通信方式攻市。 口o n o o 口一 。口竹 目叫瞄-岛净h-啕一ou时 叫j i i 大学倾t + 学位论文 图b 是一个b a c k 攻击的例子，它的峰值强度是1 2 0 个包每秒。因为参照强 度是2 3 9 7 个包每秒，所以b 看起来和a 差别不大。图c 中表示的是n e p t u n e 攻击，它的峰值强度是2 t 4 个包每秒。虽然这种攻击产生了8 6 0 0 0 个包，但是 它只在x 轴的1 8 0 0 2 6 0 0 之问引起了轻微的传输强度增加。图d 中有非常明显 的强度变化，这是a p a c h e 攻击的例子，它的峰值达到了1 3 6 4 个包每秒。 与此形成鲜明对比的是在系统方式攻击卜- ，不需要大量的包就能使目标无 效。大多数的通信方式攻击都要求不断发送大量的包，而大多数的系统方式攻 击只需要发送很少数量的包就能达到它们的目的，其余的包都是多余的。当能 够向目标发送越高速率的包，通信方式攻击也就越容易成功。但是大多数的系 统方式攻击只是用普通速率发送包，即使能够比较快的发送包，对这种方式的 攻击来说也没有意义。因此，大多数的系统类攻击强度都不会超过图b 中湿示 的低速率的b a c k 攻击。 1 1 2 嗅探 另外一个网络入侵的重要方式是嗅探，监听和扫描，用这种方式来获取网 络的配置信息或者找出个人主机的漏洞。某些嗅探非常隐秘，发送数量非常有 限的包，或者将包与包之间的间隔延迟的很长。另外一些嗅探采用了暴力方法， 比如扫描特定主机的丌放端口，在几秒内向预先选中的端口发送一个或几个包。 暴力扫描可以使用一些软件，t k , 0 nm s c a n 和s a t a n 等。扫描不能被简单的归 类为通信方式攻击，不过攻击者使用嗅探必然会用到通信类攻击，因此扫描利 用了通信。 1 1 3 攻击分析和识别 考虑到网络攻击能够被探测到，同时攻击具有某些独有的特性，因此可以 用工具将网络攻击的包提取利独立出来，进行安全分析。比如，如果一个特定 的w e b 服务器被攻击，由于w e b 服务器使用独有的t c p 端口号，分析者能够 监视主机的通信，提取直接发给w e b 服务器的包，然后搜索会造成服务器异常 的特定已知的包，当发现包有异常，那么就能知道攻击的源头。当然攻击电能 p q 川大学坝l 学位论文 利用一些分析者未知的服务器漏洞，这种情况f ，分析者必须对通信进行深入 的检测，以找出与攻击相关的特殊的通信流以及通信流中的包。这个过程可能 非常的困难，分析者需要了解已有攻击的特性，网络协议，具体的服务器软件， 以及操作系统的局限。因此快速，准确探测网络攻击和入侵的软件对分析帮助 很大，特别是这些攻击可能很快就结束了。f 面就介绍一些能够用来分离攻击 通信和检测通信内容的软件。 1 1 3 1 抓包和分析包的工具 网络通信分析中最重要的工具是能够抓取，显示和保存包的软件，一些操 作系统，比如s u ns o l a r i so s ，就提供了专门的抓包工具。彳i 过最常用的工具是 u c 伯克利的j a c o b s o n 开发的t c p d u m p 。这个工具使用了l i b p e a p 库，利用这 个库提供了一些函数，能够在活网中抓耿包，将获取的包存储为二进制的文件， 也能从文件中读取之前抓耿的包。l i b p c a p 支持采用b e r k e l e yp a c k e tf i l t e r 特性 的核心层过滤，能够在1 0 0 m b p s 的网络卜快速可靠的获取通信，这也实现了在 通信接收端获取通信的同时进行过滤，提耿出特定连接的主机或者使用特定协 议的包，而其余的包则忽略。过滤方式包括特定的包报头信息，比如地址，端 口号，或者标志位的状态。 其余的工具有e t h e r e a l ，这个图形界面的工具提供与t c p d u m p 类似的包 获取功能，t c p s l i c e 是另外个利用l i b p c a p 的j ：具，它利用包的时问信息， 从获取的文件中提取包，e d i t c a p 则是利用包的数量来提取包的。通过选择包， 以及比较包的报头部分，分析者能够轻易的识别 = h 已知攻击特有的性质，或者 找出未知方式攻击的识别特征。 1 1 3 2 抓包示例 这个例子是m i t 林肓实验室的数掘，时间是1 9 9 9 年4 月8 号1 5 ：5 3 到1 5 ：5 4 。 这个攻击的目的是让i p 地址为】7 2 1 6 1 1 4 5 0 的主机失效。对攻击时抓取的 t c p d u m p 文件进行分析可知在从1 5 ：5 3 到主机失效期间，+ 共发送了7 5 个包， 过滤器将这些包分离出来。首先，用t c p s l i c e 从全天时间抓取的包中将1 5 ：5 3 到1 5 ：5 4 之问的包分离出来，将这些包保存在文件：a t t a c k 1 5 5 3 d u m p ： t e p s l i c eqa t t a c k 1 5 5 3 d u m p1 5 h 5 3 m 0 0 s1 5 h 5 4 m 0 0 st h u 一4 8 - 1 9 9 9 d u m p 然后t c p d u m p 能够将这个文件中与受攻击i ) 地址相关的包提取出来，保存 1 w 川1 人学坝i 。学位论，：【= 到a t t a c k 1 1 4 5 0 d u m p ： t c p d u m p - ra t t a c k 1 5 5 3 d u m p wa t t a c k 1 1 4 5 0 d u m pi ph o s t1 7 2 1 6 1 1 4 5 0 提取出来包括了连接被攻击的主机的包，以及束自1 9 9 2 2 9 9 9 1 2 5 的碎片 数据包。由于碎片数据包在网络当中很少，而且常被用于攻击，所以来自 1 9 9 2 2 7 9 9 1 2 5 的通信是非常值得怀疑的。然后t c p d u m p 过滤器将i p 地址 为1 9 9 2 2 9 9 9 1 2 5 与1 7 2 ，1 6 1 1 4 5 0 之间的包分离出来： t c p d u m p - ra t t a c k 11 4 5 0 d u m pwa t t a c k 1 9 9 d u m pi ph o s t1 9 9 2 2 7 9 9 1 2 5 由于文件a t t a c k 1 1 4 5 0 d u m p 只包含与1 7 2 1 6 1 1 4 5 0 相关的通信，所以 不用再过滤地址。t c p d u m p 允许b o o l e a n 表达式，比如： i ph o s t1 7 2 1 6 1 1 4 5 0s a di ph o s t1 9 9 2 2 7 9 9 1 2 5 可以将两个特定主机问的通信提取出柬。t c p d u m p 输出： 1 5 ：5 3 ：1 0 5 3 6 0 0 51 9 9 2 2 7 9 9 1 2 5 1 7 2 1 6 1 1 4 5 0 ：( f r a g2 4 2 ：3 6 0 + ) 1 5 ：5 3 ：1 0 5 3 6 1 9 91 9 9 2 2 7 9 9 1 2 5 1 7 2 1 6 1 1 4 5 0 ：( f r a g2 4 2 ：4 2 4 ) 我们能够在这些包内找到i p 片断，这些片断违反了传输协议中片断不能重 叠的要求。这两个包很明显是从地址为1 9 9 2 2 7 9 9 1 2 5 的攻击者那罩直接发给 目标地址1 7 2 1 6 1 1 4 5 0 的，片断位置“f r a g2 4 2 ：3 6 0 + ”和“f r a g2 4 2 ：4 2 4 ” 衷明第二个包的数据从偏移量为2 4 的地方开始，长度为4 字节。从这儿我们可 以看出第二个包重叠在第一个包片断上面。由于在一些早期的t c p i p 堆栈上存 在漏洞，重叠的片断将让软件失效，攻击就是利用这些漏洞，比如t e a r d r o p 。 在1 5 ：5 3 ：1 8 开始1 9 9 2 2 7 9 9 1 2 j 向目标地址1 7 2 1 6 1 1 4 5 0 进行t e a r d r o p 攻 击。在本论文第四章，我将用程序实现这种攻击。 在这个例子中使用了工具来分离和识别攻击，比如t c p d u m p ，t c p s l i c e 和e t h e r e a l 。未知类型的攻击也能够用相似的办法检测到，但是这需要对目标 主机通信进行具体的分析，以决定哪些包与攻击有关。比如，如果不知道攻击 采用了重叠片断的方法，分析者就必须检查t c p 的每个部分的漏洞，同时检查 在攻击时间内到达主机的i p 报头，将其数值与协议正常范围的数值进行比较。 很明显，这个过程是非常繁琐的，需要大量的时间和人力来应付每天发生 的上百次攻击。所咀下面我们将讨论入侵检测过程自动化的工作。 叫川人学硕i 学位论文 1 2 入侵检测 入侵检测系统的目标是检测，并针对网络或主机的非法活动作出反应。尽 管这种活动有可能是故障引起的，但大多数情况下，这些活动都是恶意的，如 滥用或者误用资源与数据。这类活动存在的周期与用户共享计算机系统的程序 或数据同步，不过上世纪8 0 年代后快速发展的局域网，以及i n t e r n e t 在9 0 年 代出人意料的发展速度使能够上网的人可以对其它的计算机系统进行攻击。下 面是入侵检测系统使用的各种技术，入侵检测系统一般使用其中的一个或几个 方面来检测入侵或者资源误用。 1 “标志”检测“标志”是一组特殊的二进制编码，或者是一系列标志 了入侵或误用的命令与事件。入侵检测系统扫描网络包，查找有操作系统产生 的监听记录，以找到这些“标志”。 2 非正常检测系统将确定检测到的活动是否是f 常的，依靠对过去活动 的分析和已知的知识，判断这些活动是否违反了安全策略，一旦有异常的活动 被检测到，马上发出警报。由此，诞生了许多不同的分析技术，包括：比较用 户当前的活动与同一用户上次正确使用的活动；神经网络学习正确与不f 确的 活动，并且将现在的活动与已知的传输状态统计分析，判断当前活动是否f 常。 如果入侵和误用被检测到，我们将做一些选择，事件的细节，或者异常事 件将被储存到同志中等待分析。一些限制性的对策将生效，比如阻止来自入侵 用户的通信，将引起异常的用户账号停止，或者退出引起攻击的程序等。需要 注意现在的入侵检测系统使用的技术并不能非常准确检测到由用户，网络资源， 或者程序等引起事件异常。 1 3 入侵检测系统发展简史 这个部分将简略的介绍入侵检测系统的早期历史，主要是一些重要的发展 阶段。入侵检测系统的大部分工作是在上世纪8 0 年代到9 0 年代中期完成的。 叫川大学坝t 学位论史 1 3 1 早期的计算机安全 最早关于计算机安全方面的论文出现在1 9 7 3 年，s a l t z e r s 和s e h r o e d e r 描述 了一系列重要的设计原理与保护机制，这些对保护计算机数据与资源是必不可 少的，同时他们介绍了技术标准，提供了基本访问控制特征，简述了他们当时 取得的成果。最重要的一点在于论文列出了八个保护机制的设计原理： 节约机制保证设计尽可能的简单小巧，以避免设计与实现出错 安全模式预先设定的环境不能够允许访问 中介机制所有的访问，不管目标是什么，都必须通过许可检查 开放设计保护机制必须避免对潜在攻击者的无知 特权分离如果可能，为系统设计两个密码而不是一个，入侵者必须同 时使用两个密码才能得到访问系统的权限 最小权限每个程序利用户应当使用完成任务所要的最小的权限 最小共用机制用户之问共享的代码或数据最少( 包括用户代码和系统 代码) 心理接受用户界面必须方便操作，使用户能正确使用保护机制 尽管这些原理已经成为了公理，并且很早之前就被证明是有效的，但是在 软件和系统设计的时候还是忽略了它们，让本来可以避免的入侵和误用发生。 1 9 8 5 年，美国防部公布了技术文档：计算机系统可信度评估准则，建立了国防 部设计和认证计算机系统的标准。三个基本准则是： 1 安全策略：表述为有意识的控制访问和传播信息 2 账号制度：包括要求用户身份，每个用户的证明，以及可靠的审查能力 3 确认机制：确保安全策略被f 确的执行 报告继续描述了如何将可靠系统的分类。这些国防部的安全标准规定系统 能提供的安全等级，信息安全保存的类型，不过很多商业系统没有使用这些标 准。 a n d e r s o n 在他关于计算机安全的论文中描述了可能威胁和攻击计算机系统 的范围： 来自外部非法用户的渗透 州川人学坝i j 学位论文 来自内部合法用户的渗透，此类用户企图访问其无权访问的资源 来自合法用户错误使用授权资源，这类合法用户使用资源做非法的事 a n d e r s o n 指出大部分入侵类型难于检测是由于入侵者悄悄使用了有管理员 权限或者系统软件权限的合法账号，这一类的入侵者能够消除或修改他们的监 听记录，以掩盖其行为。 1 3 2 正常模型 与其他的科学一样，正常模型对计算机安全系统和软件的设计有很重要的 作用。上世纪7 0 年代与8 0 年代，提出了两个重要的模型，这两个模型成为以 后安全系统的基础。 1 3 3 1b e l l l a p a d u l a 模型 b e l l 和l a p a d u l a 的论文发表于7 0 年代，对第一代计算机安全的正常模型 进行了描述，这个模型针对不同等级的安全标准，定义了一系列的信息访问限 制，保证信息安全，同时它定义了结构层次，将访问源( 用户或程序) 对目标 ( 数据与信息) 的访问f 规化，访问源只能访问其所在安全等级允许的目标， 这个等级必须符合一些安全策略规定的条件。b e l l l a p a d u l a 模型有两个特征变 换，如果正确使用了安全策略，就能够进行正常性校对。 1 3 2 1d e n n i n g 模型 d e n n i n g 提出的正常模型着重点在基于专家系统上的实时入侵检测系统的 设计，通过参加开发s r i 的入侵检测系统，d e n n i n g 在她的论文中提出入侵检 测应该能够识别计算机系统监听记录中的异常连接活动。d e n n i n g 分析了异常 活动的类型，比如伪装成合法用户，合法用户滥用权利以及病毒攻击或者木马 等。她认识到这些活动都要求不同的分析和统计方法来检测，所以系统模型必 须基于连接匹配规则，这使得模型能够在平台，操作系统和应用上是独立的， 并且对系统的漏洞不需要有了解。这个模型的主要组成部分有： 源活动的发起者 目标被管理的资源 监听记录系统和用户活动的记录 用户文档通过统计数据，以及之前的活动模型，描述源的行为，对甘 u u 川大学坝卜学位论文 标的目的 异常记录当检测剑异常活动是生成记录 活动规则当检测到异常行为或者其它系统活动之后，系统激活 由于监听记录包括了源对目标的活动信息，这些记录就能提供系统和用户 的活动记录，为合法用j 创建的用户文档描述了这类用户币常活动的特征。 d e n n i n g 提出了一些量度和统计模型，这些模型对建立意义重大的用户活动文 档非常有用，同时她提供了用户文档的详细结构。当产生监听记录后，记录会 与已有的文档进行比较。任何与已知文档不匹配的记录会被认为是异常的，一 个异常的记录被创建后，活动规则将生效，并依靠规则确定采取什么样的措施。 这些措施包括生成报告摘要，升级用户文档，向安全官发出异常警报。 1 3 3 入侵检测的近期发展 从上世纪9 0 年代中期丌始，第二代入侵检测系统玎始出现，这些系统合并 了多用户传感器，分配数据的收集与处理，签名检测算法和异常检测算法。与 早期系统检测入侵和误用主要列象是内部用户不同，新系统认为攻击者和入侵 源是有可能从局域网外部产生的。 “下一代入侵检测专家系统( n i d e s ) ”是s r i 丌发的入侵检测专家系统的替代 产品，下一代入侵检测专家系统收集主机的数据，然后在中心区域进行分析， 和入侵检测专家系统一样，它使用了两种不同的检测技术：统计分析和规则分 析。 网络安全监视( n s m ) 最早是出加州大学丌发，通过监视网络通信而不是 分析主机监听同志来检测入侵，因此n s m 能够监视不同的系统。不需要支持不 同的操作系统和平台。n s m 使用分层模型，也就是互连计算机环境模型( i c e m ) 柬检测联网系统的全部状态。来自网络的包通过i c e m 的各层，得到主机和网 络活动之间的相关信息和数据结构。在最高层中，所有主机的序列和矢量连接 表示的整个系统的状态，同时它们也被专家系统检测入侵。 图形检测系统( g r i d s ) 的设计者是针对的大型网络，图形并不是指的图 形技术，而是使用图形原理来表示主机茅u 网络通信间的活动。通过分析图形的 结果，g r i d s 能检测到违反安全的活动，这个技术主要是适用于有大量主机参 p u 川i 大学倾l j 学位论文 与，通过网络进行的攻击，系统被组织成分级系统，低级检测本地入侵，并报 告给上一级别，同时上级扩大对入侵的相关通信的检测。g r i d s 采用规则检 测模式，能够判断是否采取特别措施，或者将结果传给上一级别进一步处理。 g r i d s 包括以下几个部分：建图引擎，建模和数据资源。软件管理者忽略 系统的状态，直接与其分布式模型交流，数据资源实际上是主机模型，监视主 机和局域网的活动，并报告给其他部分。建图引擎建立描述网络中主机活动的 动态图，图中每个节点代表一个主机，连线代表可能是入侵的主机问的特殊连 接。这些来自本地的数据资源的信息用可以建立低级别的图，建图结果报告给 下一等级。这个连接到最高等级才结束，动态图在最高等级将表示全部可以探 测到的入侵。 传输状态分析工具( s t a t ) 是用来检测主机入侵的，它认为入侵检测系统 包括基于文档的异常检测控制和基于规则的传输状态特征。系统收集监听记录， 并将其转换为s t a t 能够处理的格式，s t a t 接着将结果发送到安全官界面，使 系统采用相应的措施。在u n i x 下面使用的s t a t 叫u s t a t ，它有实时检测入 侵的能力，比基于规则的入侵检测系统要好一些。 n e t s t a t 是分布式的网络入侵检测系统，采用与传输状态相似的方法监视 网络传输的异常行为，n e t s t a t 访问网络的资源包括了关于网络拓扑的信息与 网络提供的服务，攻击方式的数据库包括了所有己知的信息传输攻击的状态。 1 4 入侵检测研究的现状 现在开发的一些系统采用了一些新的入侵检测方法，或者采用模块化的设 计，支持多路检测模式，并且相比之前的设计，有更好的扩展性。入侵检测的 新方法包括了数据挖掘，智能主体，信息可视化等，在这个部分，将主要介绍 一些例子。 1 4 1b r o ：监视包内容 b r o 入侵检测系统使用被动网络监视，检测局域网内的入侵，这个系统是 实时的，并且由于它监视的是网络而不是主机，所以这个系统不需要在主机上 p q 川1 人学坝l 学位论文 运行，也不用安装在主机上，此外，它甚至能够监视一个u n i x 工作站的变异 网络。b r o 的设计者是最早考虑到网络监视器被攻击的研究者之一，他对这个 问题也提供了一些解决方案。b r o 的设计目标如下： 1 系统必须能够监视有大通信量的高速网络 2 捕捉包的过程中不能导致掉包 3 系统应该对入侵提供实时提醒 4 从逻辑上说，安全策略必须与产生这些策略的机制分离 5 系统具有可扩展性 6 安全策略应该足够的简单和明晰，以建设使用中出现的错误 7 监视器自身必须有对攻击的免疫力 每个包的处理都必须通过三个层：包的捕获与过滤，事件检测，对指定事 件的安全策略进行解读。这种分层模式实现了上面提到的几个目标：将包的捕 获与处理分开能够实现前三个目标，在两个分离的层中处理事件检测和策略解 读，能够实现目标4 和目标6 。b r o 语言曾经用来创建检测规则和指定当规则被 调用时，需要采用的行为，而这点，能够满足第血个目标。分层的方式也让b r o 更加的强壮，具备了一些额外的特性( 比如用来判断b r o 是否对输入停止响应 的监视计时器) ，这让b r o 列攻击有更强的免疫能力。 开发b r o 取得最好的一个成果是设计者的处理设计文档，这些文档提供了 重要的现实数据，能够用来设计今后的入侵检测系统。 1 4 2e m e r a l d - - 模块化的入侵检测系统 e m e r a l d 系统是对活动的异常干扰产生响应的事件监视，这个系统是入 侵检测专家系统( i d e s ) 和下一代入侵检测专家系统( n i d e s ) 的继承者，但 是这个系统使用了不同的方法来解决大网络的入侵检测。与设计一个完整的入 侵检测系统不同，e m e r a l d 的设计者致力于提供一个能够不断添加指定问题 解决方案的框架模块。e m e r a l d 的框架包括了三等级的设计，以满足不同节 点数量和主机数量的网络。 服务分析层本地的，分布式的e m e r a l d 监视器收集局域网或者主机 的数据，分析这些数据，同时与同级节点交流结果 q 川大学坝k 学位论文 范围层在整个网络中支持区f b j 的分离管理，川时将所有本地层的 e m e r a l d 监视器的信息坐标化，以检测大范围入侵或者联合攻击 组织层收集来自范围层节点的信息，寻找系统范围内的异常活动 e m e r a l d 监视器不是一个特定的软件，它是一个理论上的东西，能够被用 于很多方式，对特定的平台或服务进行支持。比如一个e m e r a l d 监视器是基 于u n i x 系统的主机监视器，或者实现相l 司月的相同的监视器是基于w i n d o w s 系统的。e m e r a l d 监视器也是一个范围层的网络监视器，此外，每个 e m e r a l d 监视器的例子都能利用e m e r a l d 的框架，解决一个特定的问题， 所有的监视器必须提供以下的服务或特征： 1 指定目标的资源：提供接口，以影响被监视的目标 2 文档引擎：执行异常检测，调用监视器可得到的监听信息 3 前台引擎：在过滤后的监听数据上执行基于规则的检测，这个部分使用 了基于产品的专家系统工具 4 全局决定：将所有类型的分析引擎的结果关联，并且和其余的监视器交 流 服务层的监视主要是针对特定的主机或者l a n ，同时向同级或上级监视器 报告警告或者错误。分析的结果在范围层完成，然后传送到组织层和同缴的范 围层监视器。 全局决定是e m e r a l d 系统分析部分的重要组成，它使用了基于规则的专 家系统处理来自本地文档和签名引擎的报告和警报，同时也对来自其余监视器 的报告和警报产生响应，以此来检测入侵和误用。它也负责决定哪些信息需要 发送给其余监视器，此外，它还将判断对攻击产生响应的有限的预处理对策是 否正确。 1 4 3 开放源码入侵检测系统 上面提到的所有的系统不但是研究系统，也是专利产品，开放源码为设计 有效的入侵检测工具减少了人量的工作。这类系统倾向于使用签名检测的原理， 因为这类系统的速度较快，使用也更简单，相比基于异常设计的系统，它更适 合检测已知的入侵。在这旱简单介绍两个系统：s h a d o w 和s n o r t 。 叫川人学坝f 。学位论文 s h a d o w 系统的丌发者认为s h a d o w 系统对于侦测新的攻击和分析它 们对网络安全的影响是很有效的。s h a d o w 是个丌放源码的集成，它使用 了很多低成本的入侵检测的脚本，程序，最小的s h a d o w 系统由一个通常在 防火墙外部，暴露在攻击危险中的感应器，以及防火墙内部的分析器组成，感 应器收集数据，并通过安全连接传输到分析器，其问，系列的脚本将对数掘 过滤，以获得入侵或者【u 疑晌行为。这些结果将通过w e b 页面监视到。 s n o r t 是过滤包，同时还能检查那些复杂或者简单的入侵检测系统的程序。 s n o r t 是免费的，它丌放的源码能够向使用者提供很强的支持。s n o r t 检测已知 类型的攻击的规则比商业化的入侵检测系统更多，它有类似s q l 数据库支持的 特性，有基于w e b 的接口，有数据挖掘软件和等业的技术支持，此外，很多文 章都提到了s n o r t 的用处，其中的一片公丌沦文认为s n o r t 的发展6 口景非常的可 观。 s n o r t 采用基于规则的检i f l 4 引擎来探测已知的入侵或攻击，这些舰则是明确 和简单的，能够通过显示器最示出来，或者存储为r 志形式，或者能够以系统 h 志，e m a i l 等形式发给其它的入侵检测系统。在检查到异常或可疑的报头文件 后，s n o r t 能够将这些包的数据进行分析，以找到傀儡命令的线索，比如缓存溢 出，利用c g i 脚本，宏病毒编码等。s n o r t 的包的捕获引擎速度很快，能避免 繁忙系统产生掉包。 s n o r t 能够用于一个完善的入侵检测系统的包记录部分，比如s h a d o w 系 统，还找出已知的攻击和入侵，调用相应的规则，将捕献的包传给系统的分析 器。当s h a d o w 找到未知的入侵时，它找到的信息将用来为s n o r t 创建一个 新的规则，然后加入检测的引擎。将两种不同的检测技术联合使用，类似丁很 多前面捉到