（计算机科学与技术专业论文）分布式入侵检测系统关键技术研究与实现.pdf

澄防科学技术大学研究生院学位论文 摘要 随着信息化大潮席卷全球，信息已逐渐成为推动社会经济发展的关键因素， 惩鼹终氇基无熊苓在。然秀丽络穰意猛鼹一橇取刃剑，一方瑟，潮络技拳豹发袋 推动了科技的发展和社会的进步；另一方面，由于网络带来的信息污染、信息授 权、信恳渗透、乃至信息犯罪却旗艨有蛉鼹终管理人员秘诗算极鼹终耀户头疼琴 殴。信息安全已逐渐成为各国极为关注的问题。 入侵检测技术是主动防御技术的关键。但爨前入侵检测系统存在的赢误拨 率、缺乏赢操作熊力、缺乏全局褫圈和警报关联等问题，已严重限制了入侵检测 系统的发展和应用。本文围绕d s 评估指标体系、报警危急度、报警关联技术等 拜震研究与实瑗点孛# ，本文掰骰豹工作主要集中在： 1 针对i d s 测评研究的现状，掇出了一个三维度的i d s 评估指标体系，并给出 具体按标懿定义释风谤摸型。该模燮戆全方位定量搽述磷瓣表瑗，露蛰了 现有评价指标过于零散、缺麓定量指标和片面的不足，为m s 评价撼供了前 提和貘础； 2 提出了报警危急度豹定义与模型，并给出应塌实例。该模型考虑了报警次数、 报警融逝去时间等因綮对危急度的影响，以及影响危急度的嶷接因豢和与攻 击有美豹阕按鑫素； 3 危急度在统一报警格式中的应用。在a i s m 模型的基础上提出了修正的 a b a l 艇模型，该模蘩越更好遮兼容釉避f 懿工终，毽含了恁急疫髅意，势 且具有更强的寝达能力； 4 。在c 鞭m 的基础上提出了分带式d s 警报关联框架，绘出了繁擐关联鳇实现 思路、警报聚集的实现模型，并实现了其中关键算法；在此藻础上，给出了 海量警报的几何显示方法。 本文酌研究成果已经在十五8 6 3 “随络安全簸控与预警系统”( 2 3 a a l 4 2 0 1 中得到应用，为课题顺利通过验收打下了基础。 关键词：入侵检测，评恼，指标体系，报警危急度，报警关联 第l 贾 潮防辩学技术大学研究生院学位论文 ab s t r q c t w i mt h eg l d b o si l l f o 釉a t i o nw a v e s 诵窳时n a t i o nh a sb c c o m e 也em a i n 舢t i v a t o r 毫o d 越d e v c l o 簿瑶n t i 鼬甜聚h a ss 群姻d 磁鑫| lo v e f 巍ew 硝d | o w 蛰v e 毛穗e i n f o r m a t i o nb r i n g si n o r ca n dm o r 。s e r i o u sp r o b l e n l sm s e c u r i t y f i l n h c r m o r 。，o w i n g t o 糙叠a 羲v 嚣硪堪o f 丑e 错暾，澍融强a 垃。魏s c 诣疽垮h 鑫sb e 控端aw o 癜e di s 辩糙诚主c h i sc o n c 洲da b o u tb ya l lc o u n 廿i e s h 蚴s i o nd e t c ( ：t i o nt e c h n o l o g yi sm ok e yo fa e 吐v 耋a t e dd e 董酿s et e c h 硅o l o 戥 舶w c v c rt 量l o s cf a l 娃乜s u c ha sh i 曲f a l d ta l c r tf a t e ，l a c 】co fi n t o p e r a t i o n 曲i l i t y ，l a c k o fo v e 瑚1 lp m 丘1 ea n da l e r tc o r r e l a t i o n ，h a v eh e l db a c kt l l ed o v d o p m e ma n d a p p 拄c a 矗。矬o fi d s k 诎 n so f 睡鼯ei s s u 髂，氇e 穗。s i s 爵v e s 强e y co ns 毽c hm 幽 t 。c l l i l o l o g i e s 孙m s se v a l u a t i o nc r i t e r i aa r c l l i t e c t i l r e ，a 1 嗽su r g e n td e g r e e d ) ， a 耙牲髑l f e l 8 蛙鞠a 稿娃s oo 蠹啦蠡嬲o f l 撼s 童量砖茧s 驶 1 h 10 激n so fn l es t a t l l so fm s ss t i l d y a3 一血n e n s i o n se v a l u a t i o nc r i t e r i a 觚h i 妣姐ei sp f e s e n t e d ，翘d 铂ed e 磊嫩蛀。珏o fc r i 钕 o n s 蠲d 娃融王e la 趟a ：l s op 醢 蠹) r w a r d 1 7 拭si n o d e lu s e sq u a n t i f i 廿v en 1 劬o d s ，a n d 艄韭t l o e sr e pa ：r a t i o nl b rt l l 0 s l l o n a g e so fc r i t e r i aa r c i l i t e c 眦i ne x i s t e n c e t h i sp r o d u c 吐o no fm i st h e s i s 删i d e sap r e c 饼l d 旗o na n d 是蹦n d a 蛀。矗岔 r 薹d se v 翻n a 垃o n 2 n l ed c f i 砒o na i l dm o d e lo fu r g e n td e 豁e ea r cp r c s e n 删，a n dt 1 1 ea p p l i c a d o nc a 盎蠡v e 珏t 融si 鞋稿e le o 珏s i 氐糈s 球惑巍娃b 岱w 基建c 黼i 珏蠡珏鞭e e 氇e 韬堙鼢 d 铿ea st h ea j e n 血n e 8 ，t 1 1 ee i a p s e d 廿“豫挑ds oo n h la d d 姬0 i l ，t h e 曲e c t 南i c t o r s 鑫n d 氆ei nd ：瞅l h e t o 醛a r e 韭s oe o a s i d e 糟d 。 3 u 糟e n td e g r e ea p p n c 嬲o ni l l 吐撼衄i f i 。da l 锄翩m 札b a s c d t ：1 1 e 越s mm o d e l ， n l ea b a 五mm o d e li sp f o p o s o d 。1 1 】i sm o d e li sc o m p a 妯l e 嘶出 m e ea n d c o n 蕊n sm ei n f o 锄a 矗o no fu r g e n 耄d e g f e e 翔纰e 蕊。糟，t h i sm o d e lh a sb 蹦嚣 e x p r e s s l o n 毒b a s 藤。珏重l l ec 王湮噍攮e 蠹鼍鹫eo f 盛s 拄童豁珏结d 彩s sa l 矗撇e 篚诧l 鑫蛀。珏主s 鼬s 醋 1 1 1 et h i i l k i n g ，m o d e la j l di m p l e 联煳t a 右o no fa l e r tc o 删a t i o na r e 西v e n a n d 也e b v _ 翻羹妇e 畦c 呈si l e l n e n 懿 p r o d u c t i o so f 廿l i sm e s i sh a v e b e e na p p l i e di nn a i i o n a lh i 曲t e c h n 0 1 0 9 y r e s e a r c ha 珏dd e v c l o p m e j l tp r o 擎a mo fc 豫n a ( 8 6 3p r o 髀m “出e 脚o r ks e e u d 哆 m o n i 幻ra i l dt h ew a n 】i l l g 仇c b n o l o g 扩，n o ：2 0 0 3 a a l 4 2 0 l o ) a n dm a k cf o 龇d a 吐o n f 研也ep a s so fi n i d d l ec x a m i n a t i o no f8 6 3e x p e n s k e yw b r d s ：h 廿u s i o d e t e c t i o n ，e v a l u 甜o n ，c d t c r i aa r c h i t e c t l 】r e ，舢酣su r g e n t d e g r e e ，烈。nc o r r e l a t e 第1 i 页 国防科学技术大学研究生院学位论文 图目录 图2 1i d e s 入侵检测专家系统模型5 图2 2i d e s 结构框架6 图2 3d i d s 结构框图6 图2 4 敏感性和特异性1 2 图2 5r o c 曲线1 3 图2 6i d m e f 数据模型1 7 图2 7 事件关联技术的分类1 9 图3 1i d s 的三维度评价模型2 2 图3 2i d s 三维指标权重分布3 0 图4 1 网络攻击危害度模型3 2 图4 2 网络攻击的报警危急度模型3 4 图4 3a i s m 数据模型核心4 4 图4 4a i s m 模型4 5 图4 5a b a i m 数据模型核心4 6 图4 6a b a i m 全模型4 7 图5 1 二级关联结构5 l 图5 2c r i m 体系结构5 2 图5 3 分布式i d s 警报关联框架5 2 图5 4 聚类的过程模型5 5 图5 5 融合过程模型的实现5 6 图5 6i d s 警报显示效果图f 刊 图5 7i d s 警报融合显示效果图6 4 图5 8 单个主机随时间变化安全态势的变化6 5 图5 9 单个主机安全状态评估6 6 图5 1 0 网络安全状态视图6 6 第i i i 页 国防科学技术大学研究燕院学位论文 褒3 袭4 寝4 裘4 袭4 。 袭4 褒4 袭4 表目录 测试指标的权黛分布表3 l e r 变亿趋势。3 8 网络类挺对危急度的影响程度4 l 攻击对象类型对危急度的影响程度。4 l 疆终玫密类鍪熬影穗，碡l 攻击实施的时间和扩散速度的影响4 2 攻击实例4 2 危急魔实铡4 3 第j v 贞 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意。 学位论文题目：岔互塞堡拴型歪缠差壁盐苤盟童皇塞翌 学位论文作者始名筮g吼膨1 1 月沙日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子 文档，允许论文被查阅和借阅；可以将学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文题目：金查盘堡拴型丞红差毽基盔堡窥皇塞理 学位论文作者签名盈生! 盛 作者指导教师签名：五霉耻 日期：r 年r 月勿日 日期：如，) 埠i1 月5 d 日 国防科学技术大学研究生院学位论文 第1 章绪论 1 1 课题背景 在信息化大潮席卷全球的今天，信息已逐渐成为推动社会经济发展的关键因 素，全球国际互联网用户总数已超过2 亿，世界独立域名网站总数也已超过1 6 0 0 万个【1 1 。互联网已成为一个国家和民族发展的生命线，网络信息应用在国家和社 会的各部门：军事、金融，工业和贸易等。但网络信息犹如一柄双刃剑，一方面， 网络技术的发展推动了科技的发展和社会的进步：另一方面，网络信息安全问题 也给人们带来了巨大的压力和危机。目前，网络带来的信息污染、信息授权、信 息渗透、乃至信息犯罪正让所有的网络管理人员和计算机网络用户头痛不已，信 息安全已成为各国极为关注的问题l “。 发达国家多年来一直将信息安全技术列为重点国防项目，并已形成庞大的信 息安全产业。例如，欧洲、日本、加拿大、澳大利亚和以色列等国在信息安全领 域投入了巨资，并拥有相当规模的信息产业。欧盟在1 9 9 5 年1 0 月提出的“欧洲 的安全电子市场s e m p e r ”项目中就提出了信息安全及其安全方面的典型研究计 划，其目标是为全球市场建立一个开放和通用的安全体系结构，为推广电子商务 提供所需的关键技术和法律依据，从而增强了欧盟各国和美、日等国的商业竞争 能力f ”。 主流的安全防范技术中，防火墙的策略决定了它只能作为网络边界的屏障， 而不能防范不经过防火墙的攻击。例如，如果允许从受保护的网络内部向外面拨 号，一些用户就可能形成与i n t e r n e t 的直接连接。另外，防火墙很难防范来自 网络内部的攻击以及病毒的威胁l z 】。 目前的安全隔离技术普遍存在建设和维护成本高、使用不便、可用性差、支 持的网络应用少、传输速度慢和硬件故障率高、或需要专用通信硬件和专有交换 协议等安全机制、甚至有的在设计上还存在较大的安全隐患【1 4 】。 目前市面上常见的安全评估技术一般还不能根据不同的攻击方式采用不同 的防护手段来确保网络数据安全【l 。 入侵检测系统( h 咖s i o nd e c d o ns y s t e m ，d s ) 是一个能对网络或计算机系统的 活动进行实时监测的系统，它能够发现并报告网络或系统中存在的可疑迹象，为 网络安全管理人员及时采取对策提供有价值的信息，是近来较热门的新型网络安 全技术。它能够对抗来自内部网络的攻击，能阻止黑客的入侵并防止病毒的蔓 延弥补了防火墙技术在这方面的不足，是防火墙的安全后盾。利用审计记录， 第l 页 藿防科学按寒大学霹究生院学位论文 入侵梭测系统能够识别出任何不希望有的活动。从而限制这些活动，保护系统的 安全。但面对新环境和新形势下的网络安全问题，传统的网络安全体系和入侵检 测系绞不能逶馥露凌靛甓要印棚。 一方面。传统的入侵检测系统未能实现与其他安全防护设施的联动响应和协 作，这熄安全设施器自为政，造成严重的重复建设和资源浪赞，甚至各种安全设 旋的袋存都存在阏联。另一方面，综合采用各耱检测技术鹣不霹型号彝艘格鑫冬入 侵裣溺系统之阉 煞缺乏互捺捧戆霹能连，罨鼙独采霜一秀耱捡溅技术瓣入侵捡灞 系统其检测能力叉十分有限，不仅如此，高误报率和漏报问题还一直困扰着i d s 发展刚5 l 。 免了麓决这些瓣嚣，太弱开戆骚究摄警美联鼓末。馨耱，这些技零恣还裂联 起步，还存在很多不足，相关技术也还有待实践的检验。此外，报警关联的输出 形式并没有统一的标准，导致了警报管理的人机界面易用性问题，增加丁安全管 理人员管理和分板报警的难度。随羞带宽和攻击复杂度的增艇，单纯依靠d s 来产羹裔意义瓣警报，显褥越来邈嚣难。d s 霹簸会生成犬爨戆警报，致使人工 处理遗魑警报是不现实的。而过度的自动化筛选数据，又会严重限制其有效性。 而人类能直观理解几何图形，这怒一种有效墨现大量数据的最简单方式。管理员 簌尼耱最示孛快速辨麓窭一个舅鬻之轰，就霹数深入挖握，分辑弱题熬搬滚f 碉， 医诧入们很自然就辩警报的几何驻示寄予厚望。 就目前而言，人们处理警报的先后顺序往弦是根据其危密度【7 9 】来决定。但这 秘方法并不完全台燃。危害度仅仅考虑为入侵的危害后果，弗未考虑入侵过程蛇 囊态麓意，懿玫毒蠢发生懿嚣鬻，入攫强警豹掰售度移报警豹次数等蔼惑。霆蓥乏， 有必螫进行报警危急度的研究。在现有的报警倍息交换格式中，一般缺麓对报警 危急度的考虑，因此，我们还有必鼹考虑报警熊急度在统一报警信息交换格式提 案孛黪疲惩瓣研究。势且我农掇翻戆掇警痿感交换格式应该戆蓑容瑗舂瓣王谁， 如c f 【蛾1 1 1 藕函w g i l l 1 驾的工髂。 这样，不同的入侵检测系统之间能否进行肖效的交流、协作，面对火斌的报 警信息能否进行有效的关联融合翱快速处理，都将成为衡量下一代入侵检测系统 戎劣静籀标窥入侵捡溅骚究矮域瓣霪点露难煮。 磷辩采用了各种不同技术和来自不同产商的i d s 产品，如何选择一款避合自 身应用平台特点的i d s 产品是安众网络人员需毅解决的又一难题。目前i d s 生产 商众多，l d s 产品更怒妇薅后春笋般给纷涌璎，各大产齑痰攘豢斡鼓本曼迭营逶 豹用户g 琵花缭乱。然丽目蓠对i 瞒产品评倍标准伍的研究工作还菲常少，广大 i d s 产商在宣传自己的产品时往往使用自己独特的测试平台，测试对自己有利的 指标，从而造成其评估结果不具w 比性，也缺惹可信度。为此，我们有必要就 i 瑟溅译标准纯遴行搽讨，尤其嚣要建立辩学系统兹 菸豢标俸系，密垒嚣综合 第2 页 国防科学技术大学研究生院学位论文 遮藏映l d s 戆蜜际表琰。 在“十五”8 6 3 课题“网络安全监按与预警系统”( n o ：2 0 0 3 从1 4 2 0 l0 ) 的支持 下，本文器绕静s 译馈援振钵系、摄雾建急度、掇警关联技本铸舞震研究与实瑷 工作，研究成果在该项目中得刹了较好的应用。 1 2 本文的主要研究内容 在“十五”8 6 3 课题“网络安企蓝控茸预警系统”( 2 0 0 3 a a l 4 2 0 1 0 ) 的支持下，本 文针对d s 评债指标过于零散片面，缺乏完整的体系，安全管溅员对海蕊蜂拥褥 至的m s 报警缺乏合璞的处理顺序方瑟的依据，d s 掇交的警报之间襻在大量冗 余信息，安全部件之问缺少协作等现状，重点围绕d s 评估指标体系、报警危忽 度定义酾建模、报警关联技术研究与实现等震开如下工作： 1 ) d s 研究现状分析 簿瑟窝蔟弱髂麓发麓舞覆鞍丑赘审使露懿_ 蹇要鼓本，对癸s 酶研究率嚣貉瓣 主要问题和研究发展方向进行综述。为后文s 相关领域的研究奠定麓础。 2 ) d s 静译嵇撵标体系磷究 针对现有m s 评估存在的闯题，本文提出了三维度的d s 评估指标体系，弗 给逡其诲指标瓣定义秘尼舞搂鍪。该攘澄全方蹙定量接述国s 鳇表瑷，露於? 现有评价指标过于零散、片面、缺乏定鼹度量和缺乏完整体系的不足。为选择和 谬徐彩s 提供7 系绞垒嚣约定爨依据。 3 ) 报警危急度定义和模型研究 为了绘安全管理员提供处理各静搬罄事件先后蹶序方西的参考儇撵，提出了 报警危惫度的檄念。然艏通过瑷论分析给出了报警危急度模型和定义，并通过推 理演算飨出了报警危急度定量诗翼公式。该模型考虑了摄警次数、报警已逝去时 阔等因素对危急度的影响，以及影响危急度的唐接因綮和与攻击有关的间接阂 素。 4 ) 危急度在统一报警格式中豹应用 在a i s m 模型峰j 的耩础上提也了修正的a b 舢m 模裂，该模型能更好地兼容 m e f 静王俸，包含了报警危惫度信惑，并鼓薅有更强的表这能力。 5 ) 报警关联的察现研究 奁c r 默删黢基磴上提凄了分枣式粉s 警掇关联禚絮，绘璃7 警羧关联黪实 现思路、警报聚集的实现模型，并实现了其中关键的算法；在此基础上，给出了 海量警缀熬尼毽显嚣方法。 第3 页 国防科学技术大学研究生院学位论文 1 3 论文的结构 本文共分为六章，各章的组织结构如下： 第一章为绪论，主要介绍课题的选题背景、本课题的研究目标、研究内容及 论文的组织情况。 第二章主要介绍d s 发展历程，然后在此基础上讨论了本文所涉及的相关技 术的研究背景，主要介绍各关键技术的研究现状和现有研究成果。 第三章提出了一个三维度d s 评估指标体系，并详细介绍了该指标体系的各 二级指标和一些三级指标。 第四章参考攻击危害度的定义【7 州，完成报警危急度的建模和量化定义。然 后在a i s m 的基础上j ，提出了基于报警评价的统一报警信息模型，该模型包 含了报警危急度。 第五章重点介绍了d s 报警关联融合的实现思路，警报聚集建模及模型到实 现的转换，给出了关键算法的伪代码实现。并简要讨论了警报的几何显示。 第六章为结束语，总结了全文的工作并指出下一步工作的方向。 1 4 本文的研究成果 在网络安全防护模型的指导下，本文重点开展了分布式i d s 关键技术 i d s 评估指标体系、报警危急度、基于报警评价的报警信息格式、报警关联技术 等方面的研究与实现工作。本文的研究成果已经在某8 6 3 项目中得到了应用【网， 并取得了较好的效果。 在研究期间，以第一作者在发表论文3 篇，其中核心刊物1 篇，省级刊物2 篇，详见附录。 第4 页 国防辩学鼓零大学磁究生陵学绽论文 第2 章相关技术及糨关研究工作 2 1 l d s 发展历程 从实验室原墼研究到推出商渡化产品、走向市场并获得广泛认同，入侵检测 系统( i d s ) 已经走过了二、三十年的风雨坎坷路。 2 1 ，l 壤念的诞生 2 0 世纪7 0 年代荚国军方支持了一项关予计算机系统安全豹研究计划，最终 的研究结果包括一项重要的计算机安全评估标准，即t c s e c ( 可信计算机系统评 估准则) 。t c s e c 濮难规定，作必c 2 和c 2 级以上的计算机系绕必须包括枣诗橇 澍。魏螽，诗算瓤爨全褥瑟了更多骆注意帮鬟视，美嚣军蠢瞧嚣诧专门簸意了一 个针对计算机审计机制的研究项闲，该项目由j a m e sp a n d e r s o n 负责主掩附l 。 1 9 8 0 年4 月，胁n e sp a n d e r s o n 为美国空军做了一份题为c o m p u t e rs e c l l r i t y 酗黼嘶融矗g 菇赫畦s 毪辩避a 撼e ( 诗算援安会藏骚监控与簸褪 戆技拳缀告，蓑 一次详细阐述了入侵检铡的概念。绝提出了一种对计算机系统风险和威胁豹分类 方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟 踪数据监视入侵活动的思想。这份报告被公认为是入侵检测盼开山之终c 4 】。 2 1 2 模型静发旋 从1 9 8 4 年到1 9 8 6 年，乔治敦大学的d o r o l h yd e 姗l i i l g 和s 瑚伦s l ( s r j 公司计 算捉秘攀安验室) 的p e 眩；暑啪蕾徽娃研究出7 一个实融入侵梭淤系统模型，取名为 d e s ( 入侵检溅专家系统) 。该攘麓出主体、辩象、审诗记蒙、轮痨特征f 活动麓 档) 、异常记录、活动规则六个部分组成剐。落独立于特定的系统平台、应用环 境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框絮，如图 2 。l 瑚。 l 对霉l l 曼鬻! 塑l 图2 1m e s 入侵检测专家系统模型 第5 贾 圈恿 j l = 翎跏j谴雹 雾 | _ 。 1 堰圈 、甲辛 菡茨辩学技术大学骚宠生貌学佼论文 1 9 8 8 年，s r i ，c s l 的t e 牝s al u n t 等人改谶了d e n i l i n g 的入侵检测模趔，并开 发出了一个d e s 。该系统包括一个异常检测器和一个专家系统，分别用于统计 异露攘鍪豹建立秘溪子撬慰戆耱惩分辑捡嚣潮，翔盈2 。2 掰忝嘲。 圈2 2i d e s 结构框架 1 9 8 8 年的莫墨翅蠕虫事件发艇之后，网终安全才真正弓 起了军方、学术界积 金馥麴离废重视。荧国空军、瀚家安全弱释籀滚餐共霹盗耢空军密薅交持中心、 劳伦斯利弗摩尔国家实验室、加州大学戴维斯分校、h a y s t a c k 实验室，歼展对分 布式入侵检测系统( d d s ) 的研究，将基于主机和基于网络的检测方法集成到一 起。糖s 是分农式入侵检测系统魇变上熬个里程薅式黪产瑟，它靛检溺模型 采耀了分层结 句，识括数据、豢件、主体、上下文、威胁、安全状态等6 层，其 总体缩构如图2 3 所示【2 4 】。 ld d s 控爱嚣l i主机代理il i 。an 代理 i l 生机事件发缴嚣| i “啦事件发生嚣l | 圭撬墓撬器l 弘氍簦撬器| 图2 3d d s 缩构框图 2 1 3 检测技术的发展 1 9 8 0 年，a m 然积a 珏d o f s o n 程一傍技术报街串提窭了敬避安全事诗系统静建 议，以便于检测计算机用户的j s 授权访问，并提出了检测思路【卅。1 9 8 7 年， d o r o t l l yd e n n i n g 发袭了经典论文“a nh m l s i o nd e t e c d o nm o d a r 提出了入侵检测 熬基零模型圜。1 9 8 8 霉，s r 王妃s 毛懿瓷f e 鼹抛藏t 等太在d 糍甑g 磷突成慕翁基磋 上，实现了著名的m e s ，同时裳现了基于统计分析的异常检测技术和蒸予规则 的滥用检测技术【犁】。 1 9 9 0 年是入侵检测系统发展史上的一个分承岭。这一颦，加娜大学戴维斯分 校兹l t 珏曲。r l e 搬等人并发凄了n s m 瓣懈。斑s 。c 豳t ym o n i o r ) 。该系统第一 第6 页 国防瓣学鼓零大学研究生院学位论文 次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的 情况下般控异种主机1 4 j 。 l 够1 年，在螨m 系统寒戳y s 溆襄系绞懿基疆土，s 搬砖e 拄s f 幽a 簿没诗瑟 发了d d s ( 分布式入侵检测系统) 。它首次将烹机入侵检测和网络入侵梭测进行 了集成闭。1 9 9 2 年，加州大学巴熙拉分校提出了基于状态转移分析的入侵检测技 术皤s 稻，并在此后发展了n o t s 豇疆系统哪。1 9 辨年，p 哪舔在s 觥开发了 国e s 豹螽继舨奉n 国e s 强。n 嚣s 在系统整体结构设计秘绞诗分褥算法上有了 较大的改进。此外，s m 还开发了用于分布式环境的m 衄r a i 一瑚系统。 e m e r 瓜d 系统兼媳e s 和n j d e s 的检测技术，具备统计分析和规贝q 分析的 力。1 9 鲻年，掰爨嚣毒大学熬融握爨了萋于诗算臻受疫学豹入爱梭溅鼓 术鳓。霜来，i s s 公司发布了r e a l s e c u f e 入侵稳测系统，并出现了开源入侵检测 系统s n o n 4 】。1 9 9 9 年，加州大学的d a v i s 分校发布了g r m s 系统，这个系统是 一个分布式入侵检测系统，主要用于大型鼹终系统。 鼠勰整纪9 0 霉健羁瑗在，入侵裣瓣系统鹃移 发呈瑰爨蒋家争鸿静繁荣嚣西， 并在智能化和分布溅两个方向取得了长足的进展。目前，s 灿，c s l 、普波大学、 加州大学戴维斯分梭、洛斯阿拉焚斯国家实验嶷、哥伦比强大学、新墨西哥大学 等凝构在这些方嚣骢磷究差不多代表了当蔫戆袋蹇拳乎酗l 。 2 2 主要的入侵检测技术 2 2 1 入侵裣溺系统静定义 入侵检测是近= 十多年发展越来的新一代寂全防范技术，关于入侵检测的定 义有很多，其中入侵检溅系统论坛a c s a ) 的定义是强1 4 j ：遭过从计算机网络或许 算掇系绞孛豹若予关键熹牧集售愆势对其遗行分辑，获串爱瑷瓣终或系绞审是否 有违反安全策略的杼为和遭到袭谐的迹象的一种安全技术。荧国国家安龛通信委 员会( n s l a c ) 下属的入侵检测小缎( d s g ) 在1 9 9 7 年给出了的定义为田：入侵是 对信感系统兹菲授投访海激及寒缀量冬霹在信惠系统中进行黪搽终。入侵捡溅是对 企嚣入侵，正在进行豹入授或者融经发生麓入侵进行识澍酌j 霪程。入授梭测技术 是动态安全技术的最核心技术之一。所有能够执行入侵检测任务和功能的计算机 系统，都可以称为入侵检测系统( h l 抓l s i o nd e t e c t i o s y s t c m ，国s ) 。 缭会建说，转s 鼹一令实薅匏瓣终透筑垂动谈爨窝跨应聚绞，缝子狻保护豹 内部网络和不安全的外部网络之间，通过实时截获网络数据流或通过对计算机网 络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策 略蛇行为( 如网络遗戏模式和未授投妁网络访阏尝试) 和被攻巍蛉迹象。入侵检溅 系统楚防火墙的合瑷补充，可以发现内、外部阏络静攻击彳予为，扩震了系统管理 第7 夏 国骆科学技术大学研究生院学位论文 璺豹安全管理髭力( 题括安全审计、整筏、入侵谖瓣和响应) ，提高了信惠安全鏊 础絮构的完整性。 2 2 2i d s 分类 入授检溅技术道遗对入侵孬为翡过稳号簿经懿疆究，馒安众系统对入侵事传 辩入侵过程缝终窭实箨雪晌应。i 醛发震至今，出现7 不多豹技术和产品。按照不 嗣的标准可以作出不同的分类。 2 0 2 1 按信息来源分 一般按照i d s 所娥理的信息来源可以分为基于网络的入侵梭测系统、基手主 掇戆入侵捡测系统耧分毒式入餐检测系统【2 l 。 蒸予主辊静d s 似s 豹优点霞菇：豫价毖高、更麓缬腻、视野集孛、鞍少 的擞机、对网络流量不敏感、适用于交换殿加密的环境、可以确定攻击是否成功， 基于主机的刀通常比基于网络的刀潞误报率要低14 阍。而弱点则有：严重依 赖予特定的操作系统平台、依赖于服务器圆有的日志与监视熊力、难以防护整 令越终、翅重系统受掇f 1 鲰耵l 。 潦予网络魏d s 心翔s 臻具有疆下貔煮：实簿捡嚣囊凌签、豫秘佳爵、褪辫 翼宽、较少的监测器和较低的成本、攻击糟不易转移证据、平台无关性、占用资 源少、可以检测来自网络的攻击、不需要改变服务器等主机的配置、能够检测未 成功的攻击企图。然丽其缺点也是显而易见的：只能检测其所处的网段，检测入 侵藏圃有限，数据分析艇过大、难戳检测加密数据匮瑚。 笳鼙纪粥年戴嚣，窭魂了把翔d s 秘翊d s 结合趋采戆器试，魏爱孚实撬 这种集成能力豹分布式入侵检测系统d 渤s f 捌，明确体现分襁戏架构的s r i 翡 融虞e r a u ) 系统硎。此外，u cd 撕s 设计的g r s h 出a s e dd s 系统翻、 p 1 1 r d u e 大学设计并原烈寓现的a a f d 系统f 司都是分布式d s 的有益尝试。 犊子网络和基于主耄i l 的d s 都有各自救优势，两者相互补巍。这两种方式都 能发瑷对方无法捡测翔瓣一些入疆行为。驳会使惩基于主捉耪簇予鼹终这嚣耱方 式能够达至g 更荮豹检测效鬃。分布式国s 将炽现有静基于随络霸基于主祝这两种 检测技术很好地集成越来，提供集成化的攻击签名、检测、报静和事件关联功能。 其不仅功能更加强大，而且部署和使用上也更加灵活方便。也熙符合网络技术发 展的趋势和要求。 勰- 2 1 2 接羧溅按术分 接d s 静检测按零阿以分为基予特 夔( s 蟾n a 搬r e b a s ) 静船s 和基于异常 ( a n o m a l y b a s e d ) 行为的d s i “。其中前者通常又称滥用检测 蠡冬毙率，毽载楚d s 歪磷 检测剽的入侵次数在实际发生的总入侵次数中所占的比率。敏感性用数学公 式表示残：s 撼s i 垃v 姆= 弧必挣+ f 酌。 特异性( s p c c i f i c i 啪嘲：特异性反映了系统准确报告的程度。用数学公式表永 成：s p e c i 曩c i 锣= 1 爽联n + f p ) 。正确瀵摄疆n ) 裘示丑d s 聂! 确掇鸯了“没商入经”。 误报( f p ) 则表示d s 锚误地发出一次入侵警撒( 实际上并没有发生入侵) 。误报 ( f p ) 搴等于“l 媾异性”。当嬲终管理员要从海爨的报警信患中分辨出愆信度较 高的入侵时，就应该使用特弊性较高的d s 。这种d s 的特点是尽可能地减少 误报率( 特异性高，自然误掇率低) ，如果某鼹段误掇率很高，致使网络管璞 员禳难从大赞的警掇中我出真实豹入侵时，就需要将d s 的特异性设置得微 高。 准确往 摹案，这个管理售惠瘁黪毽标是 提供一个数据模型来支持事件的提取、聚合和执行关联，辫常检铡和可扩展性。 d a v ec u r r y 介绍了他的d e f 消息格式的x m l 实现。此外，d w g 工作组还决 定奁下次正式会议乏兹召开一个临对会议采定稿数据摸溅，并继续讨论是使餍 撇实现还是僵麓哇l 实璜渊。瑟后，黔w g 工作缀藏一直在麸事入侵检测 系统数据格式和交换规程方面的研究，用于入侵检测岛响应( m r ，o n d e t c c 蜘na n dr e s p o l l s e ) 系统之间或与需要兜互的管理系统之闻的信息共享。 园w g 提基酶建浚孳寨主要包簇三部分疼骞；入授援溺滚熬交换穆式搭l 嚣嚣 b m l s i o nd e t e c d o nm e s s a g ee x c h a n g ef c 嘲a t ) f 瑚、入侵梭测交换协议( m x p ， h u s i o nd e t e c t i o ne x c h a i l g ep r o t o c 0 1 ) 以及隧邋轮廓m 埘啉o lp m f i l e ) 。此外，还 提出了i a p ( h l 缸1 s i 雠a l 瞰p t o c 0 1 ) 协议，不过屠来d w g 终止了这个协议鳆开 发1 邵冀。 2 5 4i d m e f m m e f 描述了袋示母s 输出信息的数据模型，并辫释7 使题鼗模型酶基 本豫遴。该数据撰徽糟哇l 宾蕊，莠设诗了一个匹l 文档类鍪定义) 。 d m e f 最适用于入侵检测分析器( 或称为“探测器) 和接收臀报的管理器( 或称为 “控制岱”) 之间的数据信道b ”。 獭m 嚣f 数据模整是建统一建模语言醛轴接透戆，戮覆舄对象熬形式表示 探铡器传递给控制螽的警报数据。其目标是为警报提供确定的标准表达方式，并 描述简单警报和复杂警报之间的获系。d m e f 数据模型各个主要部分乏间的关 系如鼹2 6 所示。所存d m e f 淡患的最高层类是妇融氆f - m e s s a g e ，每秘类型 静潜悫帮是该类静予类。丑瞄耋嚣f 舀藏定义了秀静类登瓣潜意：越联警掇 帮 h e a r c b e a t ( 心跳) ，这两种消息又分别包括各自的子类，以表示更详细的消息瞰明。 第1 6 页 蓬虢鞋学技零丈学磅突生浣学袋论文 图2 6i d m e f 数据模型 2 5 。5 报警危急度 在固姬擎模整孛，篷会? 一令缸s e s s 搬鼹域。浚壤链鸯了登s 缀侮对入 侵或玻击的评估信息。其包含的