（信号与信息处理专业论文）分布式入侵检测系统研究.pdf

分布式入侵检测系统研究 摘要 摘要 互联网的开放性为信息的共享和交互提供了极大的便利，但同时也对信息的安全性提出 了严峻的挑战。信息安全已逐渐发展成为信息系统的关键问题。 入侵检测( i n t r u s i o nd e t e c t i o n ) 作为一种主动的信息安全保障措施，有效地弥补了传统 安全防护技术的缺陷。通过构建动态的安全循环，可以最大限度地提高系统的安全保障能力， 减少安全威胁对系统造成的危害。 随着计算机技术和网络技术的不断发展，分布式计算环境的广泛采用，海量存储和高带 宽传输技术的普及，传统的基于单机的集中式入侵检测系统已不能满足安全需求。分布式入 侵检测( d i s t r i b u t e di n t r u s i o nd e t e c t i o n ，d i d ) 逐渐成为入侵检测乃至整个网络安全领域的研 究重点。本文针对面向大规模网络的分布式入侵检测的关键问题进行了研究： 本文首先分析了入侵检测的研究现状，对分布式入侵检测系统所广泛采用的两种结构模 型( 层次模型和协作模型) 进行了深入的研究，探讨了其相对于传统i d s 的优势及技术难 点，并介绍了典型的代表系统。 在检测系统的结构模型方面，本文首先根据数据源和分析引擎的工作方式，将现有的入 侵检测系统进行了树状分类，提出了分布级别( d i s t r i b u t i o nl e v e l ) 的概念，将不同类型的 分布式入侵检测系统归属于不同的分布级别。在此基础上，本文提出了一种新型的分布式入 侵检测系统架构层次化协作模型( h i e r a r c h i c a lc o o p e r a t i o nm o d e l ，h c m ) ，该模型可以 综合层次模型及协作模型的优点，在保证节点可控性和检测效率的同时，提高系统的容错性 和协作能力。随后，本文引入了信息抽象级别( i n f o r m m i o n a b s t r a c t i o nl e v e l ，i a l ) 的概念， 对检测过程中安全审计数据所经历的状态进行表述，并描述了在我们所构建的分布式入侵检 测系统中，处于不同抽象级别的审计信息在系统各个组件间的交互过程。 在系统的检测算法方面，本文采用了基于安全审计数据挖掘的入侵检测方法，包括针对 网络数据源的连接记录误用检测、t e l n e t 会话记录误用检测、用户行为模式异常检测，以及 针对主机系统调用数据源的短序列匹配、滑动窗口序列分析、序列预测和m a r k o v 链随机过 程分析等算法。本文提出了针对序列挖掘的滑动窗口分割算法和针对用户行为模式比较的递 归式相关函数算法( r e c u r s i v ec o r r e l a t i o nf u n c t i o n ) ，结合已有的数据分类、关联分析等挖 掘算法，为系统检测组件提供了用于安全审计数据挖掘分析的具体方法。 在检测组件信息交互方面，本文同样进行了深入的研究和探讨。作为体现检测系统分布 化、协作化特性的关键所在，组件间的信息交互必须满足准确性、扩展性、移植性以及丰富 的表达能力等特性。本文将系统模型中所定义的各个组件( 分析器、感应器) 之间交互的消 息分为三种类型：感应器向分析器上传的报告( r e p o r t ) 、分析器向感应器下发的指令 ( i n s t r u c t i o n ) 以及分析器之间用于协作的通知( n o t i f i c a t i o n ) 。本文详纽定义了这三种类型 交互消息的内容。在此基础上，以四种具有代表性的攻击方式为例，给出了系统在面临各种 类型攻击方式的情况下，各个检测组件之间的消息流动和处理流程。 通过对系统的检测模型、检测算法和消息交互这三方面内容的详细阐述，本文描述了我 们所构建的分布式入侵检测系统的原理和技术。在随后的章节中，本文将关注的重点集中于 原型系统中各个组件的实现，包括感应器和分析器中各个模块单元的划分、功能定义、模块 交互和具体实现。随后，本文给出了针对所完成的原型系统所进行的一系列试验的描述。这 些试验用于测试系统对各种类型攻击( 包括单点攻击、多点攻击、已知攻击、未知攻击) 的 检测和响应能力。结果表明，系统可以准确地检测出以上多种类型的攻击行为，并及时地采 取响应措施阻断攻击者的网络连接。 中国科学技术大学博士学位论文 作为网络安全的一个重要研究领域，分布式入侵检测仍然存在着众多的问题和技术难 点，本文的最后给出了今后针对该领域我们的研究方向。 关键词：分布式入侵检测层次化协作模型数据挖掘模式比较组件消息交互 u 分布式入侵检测系统研究a b s t r a c t a b s t r a c t t h eo p e n n e s so fi n t e r n e to f f e r sg r e a tc o n v e n i e n c eo fi n f o r m a t i o ns h a r i n ga n de x c h a n g e ， a c c o m p a n i e dw i t hc r u c i a lc h a l l e n g e st oi n f o r m a t i o ns e c u r i t y s e c u r i t yi s s u e sh a v ee v o l v e di n t o t h ek e yp r o b l e mo f i n f o r m a t i o ns y s t e m s a sak i n do fa c t i v em e a s u r eo fi n f o r m a t i o na s s u r a n c e ，i n t r u s i o nd e t e c t i o na c t sa st h e e f f e c t i v ec o m p l e m e n tt ot r a d i t i o n a lp r o t e c t i o nt e c h n i q u e s t h ed y n a m i es e c u r 崎c i r c l e ，i n c l u d i n g p o l i c y , p r o t e c t i o n ，d e t e c t i o na n dr e s p o n s e ，c a r lg r e a t l yc o n t r i b u t e t o i m p r o v i n gt h ea s s u r a n c e a b i l i t yo f i n f o r m a t i o ns y s t e m sa n dr e d u c i n gt h ee x t e n to f s e c u r i t yt h r e a t s w i t ht h ed e v e l o p m e n t o f c o m p u t e ra n dn e t w o r kt e c h n o l o g i e s ，t h ew i d e l y a d o p t i v ed i s t r i b u t e dc o m p u t i n ge n v i r o n m e n t ，a n d t h ep o p u l a r i z a t i o no fw i d e b a n dt r a n s p o r t a t i o n ，t r a d i t i o n a lc e n t r a l i z e di n t r u s i o nd e t e c t i o ns y s t e m s b a s e do ns t a n d - a l o n e c o m p u t e r a r eu n a b l et om e e tt h e s e c u r i t yr e q u i r e m e n t s a s ar e s u l t ， d i s t r i b u t e di n t r u s i o nd e t e c t i o n ( d i d ) h a sd e v e l o p e di n t ot h ef o c u so fi n t r u s i o nd e t e c t i o na n dt h e w h o l er e a l mo fn e t w o r ks e c u r i t y i nt h i st h e s i s ，w es t u d ys e v e r a lc r i t i c a lp r o b l e m si nd i s t r i b u t e d i n t r u s i o nd e t e c t i o n a f t e ri n t r o d u c i n gt h es t a t u sq u oo fr e s e a r c ho ni n t r u s i o nd e t e c t i o n ，w eg od e e pi n t ot h et w o f r a m e w o r k s ，t h eh i e r a r c h i c a ld e t e c t i o nm o d e la n dt h ec o o p e r a t i v ed e t e c t i o nm o d e l ，a d o p t e db y c u r r e n td i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m s ( d i d s ) ，i n c l u d i n gt h e i rr a t i o n a l e s ，s t r u c t u r e s ， p r o sa n dc o n sa n ds o m er e p r e s e n t a t i v ep r o t o t y p e s a f t e rt h a t ，w ed i s c u s st h ea d v a n t a g e sa n d d i f f i c u l t i e so f d i d s c o n s i d e r i n gt h ed e t e c t i o ns t r u c t u r eo fo u rs y s t e m ，w ep r o p o s et h ec o n c e p to fd i s t r i b u t i o n l e v e l ( d l ) t oc l a s s i f ye x i s t i n gd i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m s a f t e r w a r d ，w ep r e s e n ta h i e r a r c h i c a l c o o p e r a t i o nm o d e l ( h c m ) a p p l i e d t od i d s p r o v i d e dw i t h a d v a n t a g e s o f h i e r a r c h i c a lm o d e la n dc o o p e r a t i v em o d e l ，t h i sm o d e li m p r o v e st h ea b i l i t yo fe r r o r - t o l e r a n c ea n d c o o p e r a t i o n w i t h o u t d e g r a d a t i o no f c o n t r o l l a b i l i t ya n de f f i c i e n c yi ni n t r u s i o nd e t e c t i o n a f t e rt h a t ， w ei n t r o d u c ei n f o r m a t i o na b s t r a c t i o nl e v e l ( i a l ) t oc h a r a c t e r i z et h el o g i ca b s t r a c t i o nh i e r a r c h yo f a u d i td a t ai nt h ep r o c e s so fi n t r u s i o nd e t e c t i o n w ea l s od e s c r i b et h ee x c h a n g ep r o c e s so fa u d i t d a t aa td i f f e r e n tl e v e l sb e t w e e nc o m p o n e n t so f o u rd i d s w ea p p l yt h ei n t r u s i o nd e t e c t i o nt e c h n o l o g yb a s e do nd a t am i n i n g ( d m ) t oo u rs y s t e m ， i n c l u d i n gm i n i n gn e t w o r kd a t a f l o wa n dm i n i n gs y s t e mc a l l sg e n e r a t e db yp r i v i l e g e dp r o c e s s e s t h e f o r n l e r i s f o r t h es a k e o f p e r f o r m i n g m i s u s ed e t e c t i o no f c o n n e c t i o n r o c o r d s a n d t e l n e ts e s s i o n r e c o r d sa n da n o m a l yd e t e c t i o no fu s e rb e h a v i o rp r o f i l e s 。w h i l et h el a t t e ri st od e t e c ta r l o m a l o u s s y s t e mc a l l ss e q u e n c eb ya l g o r i t h m so fs l i d i n gw i n d o ws e q u e n c ea n a l y s i s ，s e q u e n c ep r e d i c t i o n a n dm a r k o vc h a i nm o d e l ( m c m ) a n a l y s i s b e s i d e se x i s t i n ga l g o r i t h m so fd a t ac l a s s i f i c a t i o n a n da s s o c i a t i o na n a l y s i s ，w ep r e s e n tt h es l i d i n gw i n d o wd i v i s i o na l g o r i t h m ，u s e dt om i n e s e q u e n c ep r o f i l e so fu s e rb e h a v i o r s ，a n dt h ea l g o r i t h mn a m e dr e c u r s i v ec o r r e l a t i o nf u n c t i o n ( r c f ) t oc o m p l e t et h et a s k o fp r o f i l e c o m p a r i s o n a n dc a l c u l a t es i m i l a r i t i e sf o r d e t e c t i n g a n o m a l o u sb e h a v i o r s a st ot h ea s p e c to fc o m p o n e n tm e s s a g ee x c h a n g ei no u rs y s t e m ，w ea l s om a k ed e e p r e s e a r c h a st h ek e y p o i n to f d i s t r i b u t e dd e t e c t i o n ，t h em e s s a g ef o r m a tm u s t m e e tt h er e q u i r e m e n t s o fa c c u r a c y , s c a l a b i l i t y , p o r t a b i l i t ya n d e x p r e s s i v e n e s s w e d i v i d et h e m e s s a g e se x c h a n g e d b e t w e e nc o m p o n e n mi n t ot h r e ec a t e g o r i e s ：r e p o r t sf r o ms e n s o r st oa n a l y z e r s ，i n s t r u c t i o n sf r o m l n 中国科学技术大学博士学位论文 a n a l y z e r st os e n s o r sa n d n o t i f i c a t i o n sb e t w e e nd i f f e r e n ta n a l y z e r s w eg i v ed e t a i l e dd e s c r i p t i o no f t h ec o n t e n to f t h e s em e s s a g e s w ea l s oe x e m p l i f yt h em e s s a g e - e x c h a n g ep r o c e s sw h e nc o n f r o n t e d w i t hf o u rd i f f e r e n tt y p e so fi n t r u s i o n s i nt h ef o l l o w i n gc h a p t er w ec o n c e n t r a t eo nt h ei m p l e m e n t a t i o no fo u rd i s t r i b u t e di n t r u s i o n d e t e c t i o ns y s t e m ，i n c l u d i n ga l lc o m p o n e n t ss u c ha ss e n s o ra n da n a i y z e r t h e n ，w ed e s c r i b e s e v e r a le x p e r i m e n t sc o n d u c e df o rt 1 1 es a k eo ft e s t i n gt h ea b i l i t yo fd e t e c t i o na n dr e s p o n s eo fo u r s y s t e m r e s u l t so fe x p e r i m e n t ss h o w t h a to a rs y s t e mc a l ld e t e c tt h e s ea n a c k sa c c u r a t e l ya n dt a k e i n s t a n tc o u n t e r m e a s u r e st ob l o c ki n t r u s i v ec o n n e c t i o n s a sa l li m p o r t a n tr e s e a r c hf i e l do fn e t w o r ks e c u r i 吼d i s t r i b u t e di n t r u s i o nd e t e c t i o ni sf a r f r o mm a t u r i t y m a n yp r o b l e m sa n dd i f f i c u r i e sr e m a i nt ob es o i v e d w ep r e s e n ts e v e r a lf u t u r e d i r e c t i o n so f o u rr e s e a r c hw o r k k e y w o r d s ：d i s t r i b u t e di n t r u s i o nd e t e c t i o n ，h i e r a r c h i c a lc o o p e r a t i o nm o d e l ，d a t am i n i n g ， p r o f i l ec o m p a r i s o n ，c o m p o n e n tm e s s a g e e x c h a n g e i v 分布式入侵检测系统研究第一章引言 1 引言 1 1 互联网现状 1 9 4 6 年，第一台电子计算机e n i a c ( e l e c t r o n i cn u m e r i c a li n t e g r a t o ra n dc o m p u t e r ) 诞 生在美国宾夕法尼亚州。短短五十年间，计算机技术经历了人类历史上最为惊人的发展历程。 如今，面积仅有几十平方厦米的芯片其处理能力已远远超过当年需要几个房间才能容纳下的 庞大主机。 高速发展的计算机技术，不断普及的计算机应用，与快速更新的网络技术和通信技术相 结合，推动了互联网在中国乃至整个世界的飞速发展。| r t t e m e t 目前已经成为全球信息基础 设施的骨干网络，w w w 、f t p 、e m a i l 等服务已经深入人们的日常生活，并逐渐成为正在 蓬勃发展的电子商务的基础服务平台。人们把i n t e m e t 看作是第二次信息革命的象征，它不 仅将彻底改变信息产业的运作方式，而且将对世界上其它大多数行业产生深远的影响，最终 导致一场新的产业革命。 中国互联网络信息中心( c n n t c ) 于2 0 0 2 年1 月1 5 日在北京发布了第九次中国互联网 络发展状况统计报告u io 报告显示，目前我国上网计算机约1 2 5 4 万台，网民总数已经达 到3 3 7 0 万人，比去年同期增长4 9 8 ；我国国际线路总容量为7 5 9 7 5 m ，比去年同期增长 1 7 倍。互联网在中国已经进入了高速发展期，并逐步进入了人们的日常生活，为人们的信 息交流提供了极大的便利。但是，我们也应该注意到，在现实生活中，便利性和安全性始终 是一对矛盾，网络环境中也同样如此。i n t e m e t 本身所具有的开放性和共享性对信息的安全 问题提出了严峻的挑战。 由于系统安全脆弱性的客观存在，操作系统、应用软件、硬件设备不可避免地会存在一 些安全漏洞，网络协议本身的设计也存在一些安全隐患，这些都为黑客采用非正常手段入侵 系统提供了可乘之机。根据美国设立在卡内基梅隆大学的计算机紧急反应小组，协调中心 ( c e r t c c ) 的统计数据，近年来该机构所收到的安全事故逐年增加，近两年尤其显著： 1 9 9 8 年报告的安全事故是4 0 0 0 件，1 9 9 9 年约为l 万件，2 0 0 0 年为2 1 万件，2 0 0 1 年上升 到近5 3 万件，每年均以超过1 0 0 的速度递增。安全事故的上升一方面可归结为人们安全 意识提高，对安全事故的积极报告；另一方面则是由于攻击工具的无限制传播和存在安全漏 洞的软件的广泛使用所造成的。 在国内，黑客事件同样频繁出现。据统计，源自我国的黑客事件在国际上排名第三。根 据c n n i c 的统计报告l l j ，用户认为目前网上交易存在的最大问题是安全性得不到保障，有 3 1 的用户认可这一点，这说明人们对信息安全问题已经开始重视。在中国互联网络面临大 发展的今天，在共同探讨互联网步入新发展阶段的若干问题时，业界人士已经形成了普遍的 共识中国互联网在基础设施的构建上已逐步走向成熟，加强信息安全是目前运营和维护 网络生态环境的关键所在。我们必须采取各种可能的手段保护网络世界的信息安全。除了提 高国民的安全意识，加强法律、法规、制度等管理措施外，还应当使用现代化的信息安全技 术手段提高网络信息系统的安全能力，这是在未来信息社会中能够生存的必由之路。 中国科学技术大学博士学位论文 1 2 信息安全模型 1 2 1 经典安全模型 研究信息系统的安全问题，我们首先从经典的基于主体访问对象的计算机安全模型开 始。简单地说，安全模型是用来定义实体以及实体之间交互和参考的规则的一个抽象模型。 我们熟悉的网络上的实体有用户、用户组、文件、路由器、工作站、打印机、磁盘驱动器、 用户程序、客户、服务器和网络适配器等等。这些实体在计算机网络中以不同的方式进行着 相互之间的交互和参考。访问控制规则定义实体之间如何交互和参考，如对某个特殊文件可 读用户的限制就是一个常见的访问控制规则。 实体被进一步分为主体或对象。两者构成了安全模型的两个基本要素。所有的计算机网 络安全产品都是基于这样一个简单的概念：主体访问对象。对于个安全产品，首先要考虑 的就是这些最基本的定义：主体是什么? 对象是什么? 主体与对象之间使用何种访问控制? 基于主体访问对象的基本安全模型由以下几部分组成：主体、对象、描述主体如何访问 对象的一个授权数据库、约束主体对对象访问尝试的参考监视器、识别和验证主体和对象的 i & a 子系统以及审计参考监视器活动的审计子系统t 。它们之间的关系如图1 1 所示。 1 ) 授权数据库 授权数据库存放系统的访问控制规则，也就是授权，通常表现为 的形式，简单来说就是规定谁可以访问什么和它如何被访问。 图1 1 基于主体访问对象的安全模型 2 ) 参考监视器 参考监视器的目的是要控制由主体发出的访问对象的请求( 见图1 1 ) 。主体操作对象的 唯一途径就是要通过参考监视器。参考监视器通过其两个主要功能参考与授权来进行访 问控制。 参考功能 2 分布式入侵检测系统研究 第一章引言 这个功能用来评价由主体发出的访问请求。参考监视器使用授权数据库来决定是否接受 或拒绝收到的请求。当个请求要通过参考监视器时，它就检查授权数据库来查明是否 允许进行这个操作。 授权功能 参考监视器通过使用授权功能来控制对授权数据库的改变。参考监视器不仅控制主体如 何访问对象，也控制对个别访问规则的改变。 参考监视器是一个抽象的引擎。参考监视器的实际实现通常称为安全内核( s e c u r i t y k e r n e l ) 。 3 )识别与验证( i a ) 计算机系统的识别与验证( i d e n t i f i c a t i o n a u t h e n t i c a t i o n ) 部件提供识别主体和对象身 份的方法，它与安全内核交互来识别主体和对象。必须保证每个实体能够被唯一地识别出来。 如果系统不能唯一地识别实体，就很难为操作系统或常规操作分配任务。 当用户要进入计算机系统时，用户登录事件就是识别与验证；当两个计算机要通过网络 进行通信时，它们之间就会发生一种基于地址形式的识别与验证；在同一台计算机或不同计 算机上运行的独立程序经常需要进行彼此的识别和验证。 4 ) 访问控制 主体对对象的访问控制进一步分为自主访问控制和强制访问控制。 自主访问控制( d i s c r e t i o n a r y a c c e s sc o n t r o l ，d a c ) ： 主体的拥有者负责设置访问权限。一个或多个特权用户也可以改变主体的控制权限。主 体的拥有者可以在单独的用户和组这样低的层次上对访问控制规则进行定义。u n i x 系 统和n t 系统都使用自主访问控制。 强制访问控制( m a n d a t o r y a c c e s sc o n t r o l ，m a c ) ： 使用系统本身来规定访问权限，而不是通过主体的拥有者来控制访问权限。主体的拥有 者甚至在系统中没有对其他主体进行权限分配的能力。系统是根据主体和对象的分类来 控制访问权限的。 访问控制是安全模型中最重要的部件之一，它通过控制主体对对象的访问来增强保密性 和完整性，进而提高了数据的可用性。 5 ) 审计 安全审计是一个被信任的机制。参考监视器使用审计把它的活动记录下来，记录的信息 应包括主体和对象的标识、访问权限请求、日期和时间、参考请求结果( 成功或失败) 。审 计记录应以一种确保可信的方式存储。审计可以知道访问控制是否被正确地使用，从而保证 了系统的正常工作。 主体访问对象是对计算机系统中切操作的归纳。任何一个安全策略或安全产品都可以 认为是基于这样一个基本概念，即它们是如何安全、有效地实现主体对对象的访问。一个安 全产品可能实现安全模型的某一个或某几个方面的内容。 1 2 2 动态安全模型 基于主体访问对象的经典安全模型为我们构筑了理想的安全系统框架。但是，有诸多的 原因导致了构筑一个实际安全系统的难度： 中国科学技术大学博士学位论文 首先，操作系统和应用软件正变得越来越复杂，软件设计者在设计时无法预料程序运行 时的系统状态，更无法精确地预测出在不同系统状态下会发生什么结果。所以，系统往往存 在着设计和配置管理上的漏洞。 其次，从信息安全的三要素即保密性( c o n f i d e n t i a l i t y ) 、完整性( i n t e g i t y ) 和可用性 ( a v a i l a b i l i t y ) 1 3 j 来看，一个安全的计算机信息系统不仅应该保护它的信息和计算资源不被 未授权地访问和篡改，同时还必须保证信息和系统资源能持续有效，并且以授权用户所认可 的方式为用户提供服务，防止遭受拒绝服务( d e n i a l o f - s e r v i c e ，d o s ) 攻击。随着联网需求 的日益增长，要将来自系统外部的服务请求完全隔离是不可能的，只要存在信息通道，就不 可避免地存在安全漏洞或安全隐患。 第三，组成计算机网络的某些关键技术并非安全，如广泛应用的t c p i p 协议本身就有 许多不完善之处。从根本上讲，绝对安全的计算机是不存在的，绝对安全的网络也是不可能 的。即使是再安全的系统，都可能有各种各样的漏洞存在，黑客正是利用了这些漏洞来对网 络系统进行攻击。 在8 0 年代末，针对网络系统的攻击方式还仅限于窃取口令和利用已知的系统漏洞；到 了今天，网络攻击己发展为囊括了暴力攻击( b r u t ef o r c e ) 、网络窃听( s n i f f e r ) 、源代码分 析、l p 伪装( i p s p o o f ) 、拒绝服务攻击( d o s ) 、网络扫描( s c a n n i n g ) 、分布式攻击( d i s t r i b u t e d a t t a c k ) 、利用已知漏洞及协议缺陷的攻击、以及针对特定应用服务( 如f t p ，w w w ，e m a i l ) 的攻击。尽管进行复杂攻击还需要相当的系统和网络知识，但由于攻击技术的发展和无限制 的传播，即使是不具备专业计算机知识的人，也可以很容易地从网络上下载到一些使用简便 而危害性很大的攻击程序。黑客的队伍已经从最初的操作系统及网络专家发展为今天庞大的 团体，包括商业间谍、敌对政府、恐怖分子、内部攻击者和一些对计算机和网络有着浓厚兴 趣的少年黑客。 攻击技术的发展和传播，同时也促进了防御技术的提高。传统的安全保护主要从被动防 御的角度出发，增加攻击者对网络系统破坏的难度，典型的如： 利用访问控制机制腹止未经许可的主体对对象的访问； 利用认证机制脏止未经授权的使用者登录用户系统： 利用加密技术陵生第三者获取机密信息。 图1 2p 2 d r 动态安全模型 4 分布式入侵检测系统研究 第一章引言 事实证明，这种被动的防护( p r e v e n t i o n ) 仅仅是安全的一个组成部分，行之有效的安 全策略还应该包括实时的检测( d e m c t i o n ) 和响应( r e s p o n s e ) ，并且这些过程应该围绕着 统一的策略来进行。图1 2 是著名的p 2 d r 动态安全模型 4 1 的示意图。 p 2 d r 模型是在整体的安全策略( p o l i c y ) 的控制和指导下，在综合运用防护工具 ( p r o t e c t i o n ，如防火墙、身份认证系统、加密设备) 的同时，利用检测工具( d e t e c t i o n ， 如漏洞评估、入侵检测系统) 了解和判断系统的安全状态，通过适当的响应( r e s p o n s e ) 措 施将系统调整到最安全和风险最低的状态。防护、检测和响应组成了一个完整的、动态的安 全循环。 1 3 课题意义及研究内容 纵观信息安全研究的发展，大致可以分为三个阶段：在计算机诞生前，主要以通信的安 全保密为研究方向：计算机诞生后，则以计算机系统的安全保密研究为主要方向；进入当今 的信息化社会，随着全球信息高速公路的日渐成熟，大范围、分布式信息系统的广泛建立和 社会信息化的迅猛发展，计算机的应用形式逐渐上升为网络形态。在这种网络化、分布化的 信息系统中，不能再从单个安全功能、单个安全机制、单个安全范围来考虑安全问题，而必 须从体系结构上全面而系统地研究安全保密。对信息系统的安全保密研究已逐渐成为信息安 全研究的主要方向。这三个阶段的研究相互衔接，相互渗透。尤其是信息系统的安全保密研 究，实际上综合了前面两者的研究领域和成果，并逐渐形成了新的研究体系。 目前，对信息系统安全保密的研究方向主要有以下几点： 1 安全系统的抽象化、模型化、形式化分析 2 适应多平台计算环境的面向整个网络的安全机制 3 分布式环境和集中分布式相结合环境的安全保密策略 4 开放式、分布式系统的安全评价标准 由此可见，对分布式系统安全性的研究已经成为主要方向。分布式系统的特点是资源分 布化，用户分布化，计算分布化。管理分布化，系统的结构和功能都非常复杂，这对系统的 设计、实现、评估、维护和操作都带来了许多不利因素。尤其是在考虑系统的安全性和可靠 性时，如果不能采取有效的方法对系统模型进行简化，面l 临的困难是可想而知的。采取结构 化的安全系统设计和分析思想，可以有效地降低系统的复杂度，提高设计和分析效率，对系 统安全性和可靠性的实现提供保证。 上一节给出的动态安全模型同样适用于分布式系统的安全框架。以前，人们对信息安全 的注意力主要集中在防护模块上，随着系统脆弱性评估及入侵检测工作的深入，检测模块也 逐渐受到人们的重视。当一个安全系统构筑完成以后，它并不能让人信服地投入运行，系统 的风险分析和入侵检测必然成为增加系统安全性的重要手段。入侵检测( i n t r u s i o nd e m c t i o n ) 可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程。它不仅检测 来自外部的入侵行为。同时也针对内部用户的未授权活动。入侵检测应用了以攻为守的策略， 它所提供的数据不仅有可能用来发现合法用户是否滥用特权，还有可能在一定程度上提供追 究入侵者法律责任的有效证据。因此，入侵检测可以有效地弥补由于其它安全模块的缺陷所 导致的系统安全漏洞，在发生入侵时及时地予以报警，并通过人工或自动的方式采取对应的 响应措施。 互联网的发展为全球范围内实现高效的资源和信息共享提供了方便，同时也对网络安全 和入侵检测系统( i n f u s i o nd e t e c t i o ns y s t e m ，i d s ) 提出了新的挑战。日益复杂的网络系统 结构，广泛采用的分布式应用环境，海量存储和高带宽的传输技术，都使得集中式的入侵检 测越来越不能满足系统需求。大规模、高速网络下安全审计数据的复杂性和数据量对于传统 中国科学技术大学博士学位论文 的针对单机或小规模网络的i d s 来说是无法承受的。借助于互联网大规模传播的蠕虫病毒 ( w o r m ) 以及近年来频繁出现的以分布式拒绝服务攻击( d i s t r i b u t e dd e n i a l o f - s e r v i c e , d d o s ) 为代表的协同攻击也使传统的i d s 无能为力。在这种情况下，我们需要从系统结构、 策略管理、检测技术等各个层次上提出并实现新的入侵检测方法，以适应大规模、分布式系 统的要求。 本文研究分布式入侵检测模型的系统架构和检测技术，目的在于建立面向大规模网络的 分布式入侵检测原型系统，具体的研究内容分为以下三个方面： 从系统架构的角度提出针对分布式系统的入侵检测模型； 研究基于安全审计数据挖掘分析的入侵检测方法； 建立应用于分布式入侵检测系统的统一的组件消息交互格式。 本论文后续章节的内容安排如下：第二章介绍入侵检测的基本原理和研究现状，第三章 分析分布式入侵检测系统的特点、技术难点和研究现状，第四章在此基础上提出基于层次化 协作模型的分布式入侵检测系统框架，第五章阐述基于安全审计数据挖掘的入侵检测方法， 第六章给出应用于分布式入侵检测系统的组件消息交互格式及流程，第七章详细介绍原型系 统的实现和相应的试验结果，第八章是全文总结和今后的研究方向。 6 分布式入侵检测系统研究第二章入侵检测 2 入侵检测 2 1 基本原理 大量的实践证明，保障网络系统的安全，仅仅依靠传统的被动防护( p r e v e n t i o n ) 是不 够的，完整的安全策略应该包括实时的检测( d e t e c t i o n ) 和响应( r e s p o n s e ) 。入侵检测 ( i n t r u s i o nd e t e c t i o n ) 作为一门新兴的安全技术，以其对网络系统的实时监测和快速响应的 特性，逐渐发展成为保障网络系统安全的关键部件。 蟹 r f 特定行为模式 安全策略i 、，一一 记录证据 响应处理 图2 1 入侵检测原理 图2 1 给出了入侵检测的基本原理图。入侵检测是用于检测任何损害或企图损害系统的 保密性、完整性或可用性行为的一种网络安全技术。它通过监视受保护系统的状态和活动， 采用误用检测( m i s u s ed e t e c t i o n ) 或异常检测( a n o m a l yd e t e c t i o n ) 的方式，发现非授权的 或恶意的系统及网络行为，为防范入侵行为提供有效的手段i ，j 。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 就是执行入侵检测工作的硬件或软件 产品”j 。1 d s 通过实时的分析，检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程 序版本以及系统或用户的行为模式，监控与安全有关的活动。 入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法，它基于的重要前提 是：攫堑发狸盒洼往盘悬互匡岔艘。也就是说可以通过提取行为的模式特征来判断该行为 的性质。一个基本的入侵检测系统需要解决两个问题：一是如何充分并可靠地提取描述行为 特征的数据；二是如何根据特征数据，高效并准确地判定行为的性质。 2 。2 系统模块 应用于不同的网络环境和不同的系统安全策略，入侵检测系统在具体实现上也有所不 7 中国科学技术大学博士学位论文 同。从系统构成上看，入侵检测系统至少包括数据提取、入侵分析、响应处理三个部分，另 外还可能结合安全知识库、数据存储等功能模块，提供更为完善的安全检测及数据分析功能 ( 如图2 2 所示) 。其中，数据提取模块在入侵检测系统中居于基础地位，负责提取反映受 保护系统运行状态的运行数据，并完成数据的过滤及其它预处理工作，为入侵分析模块和数 据存储模块提供原始的安全审计数据，是入侵检测系统的数据采集器。入侵分析模块是入侵 检测系统的核心模块，包括对原始数据的同步、整理、组织、分类、特征提取以及各种类型 的细致分析，提取其中所包含的系统活动特征或模式，用于正常和异常行为的判断。这种行 为的鉴别可以实时进行，也可以是事后分析。响应处理模块的工作实际上回答了这样一个问 题，即发现入侵者的攻击行为之后，我们该怎么办? 可选的响应措施包括被动响应和主动响 应【6 1 。 2 3 系统分类 图2 2 入侵检测系统模块结构 对入侵检测系统进行分类，可以依据不同的角度【6 1 0 下面我们分别从数据源、检测方法、 检测定时三个方面来描述入侵检测系统的类型。 2 3 1 基于数据源的分类 入侵检测系统首先需要解决的问题是数据源，或者说是审计事件发生器。数据源可以使 用多种方式进行分类。从入侵检测的角度来看，最为直观的分类方法是按照数据源所处的位 置。这种分类方案通常把系统的监视角度分为五种类型：主机、网络、内核、应用程序、目 标。 基于主机的入侵检测系统通常部署在权限被授予和跟踪的主机上。早在7 0 年代末，j i m a n d e r s o n 指出通过日志文件的某些信息，如多次登录失败的记录或访问机密文件的记录等， 就能分析出非法用户的登录企图、冒充合法用户等简单入侵行为吼在美国国防部发布的可 信计算机系统评估准则( t c s e c ) 1 7 】中规定了c 2 安全级以上的操作系统必须具备审计功能， 并记录相应的安全性日志在标准u n i x 系统中，这些日志文件可根据系统管理员的设置， 记录用户何时注册、在何处注册、要作什么，以及系统调用、程序运行结果等与安全性有关 的操作信息。审计数据包括可查事件和可查信息。可查事