（计算机应用技术专业论文）基于p2p和移动代理的入侵检测系统研究.pdf

山东师范大学硕士学位论文 摘要 随着互联网的迅速发展，网络安全问题越来越受到人们的重视。随着攻击者技 术的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙策略己经无法满足 当前的需要，网络的防卫必须采用一种纵深的、多样的手段。与此同时，当今的网 络环境也变得越来越复杂。在这种环境下，入侵检测技术作为一种主动的信息安全 保障措施，能根据入侵行为的踪迹和规律发现入侵行为，从而有效地弥补了传统安 全防护技术的缺陷，成为当前网络信息安全领域研究的熟点和重点但传统的入侵 检测系统仍存在一些缺陷，如在分布性、灵活性、协作性、检测效率等方面还不尽 人意 为了解决当前分布式入侵检测系统中存在的负载不均衡、单点失效以及传输瓶 颈等问题，本文设计了基于p 2 p 和移动代理的入侵检测系统p 2 p i d s 。该系统利用 p 2 p 网络技术、入侵检测系统s n o r t 以及与i b m 公司的移动代理平台a e # t 相结合， 具有良好的检测性能和灵活性，能够充分发挥对等网络技术的特点，实现各检测节“ 点之间的相互协作，增强系统的系统检测能力，提高检测效率。 ( 1 ) 本文分析了网络安全研究的现状，详细介绍了通用的入侵检测原理、分类及 常用的入侵检测技术，指出了入侵检测的发展趋势分析了入侵检测系统s n o r t 的 框架结构、主要构件和主工作流程。然后又介绍了p 2 p 网络的特点及其网络拓扑结 构的分类，并对移动代理的体系结构和模型进行了分析。 ( 2 ) 从体系结构上把现有的分布式入侵检测系统进行比较，说明了其各自的优缺 点，同时借鉴已有的研究成果，提出了基于p 2 p 和移动代理的入侵检测系统p 2 p l d s 的体系结构，并对系统中各个代理的结构和功能进行了详细的设计和阐述。然后提 出了系统中各节点的通信协作机制和负载均衡机制。最后对系统中的主要模块进行 了结构设计，入侵检测模块主要由s n o r t 来实现，系统监控模块通过系统监控代理 和管理代理实现。 ( 3 ) 实现了系统中的关键模块，通过实验，说明了提出的通信协作机制和负载均 衡机制能有效降低丢包率，提高系统的检测效率。 “) 对本文设计的p 2 p i d s 进行了总结，分析了其优点和存在的问题，提出了下 一步的研究方向。 关键字：网络安全入侵检测p 2 p 移动代理负载均衡 分类号：t p 3 9 3 i l l 山东师范大学硕士学位论文 a b s t r a c t a st h ef a s td e v e l o p m e n to f r n t e r n e t , t h en e t w o r ks e c u r i t yp r o b l e ma t t r a c t sm a n y p e o p l e sa t t e n t i o n a st h ea t t a c k e r sa b e c o m i n gm 0 1 em a t t t r e , a n dt h ea t t a c kt o o l sa n d w a y sa r eb e c o m i n gv a r i o u s 田扯f i r e w a l ls t r a t e g yc a nn o tm e e tt h en e e d sa n yl o n g e r s o t h ed e f e n s eo fn e t w o r kn e e d st ob ed e e p e ra n dm o r em u l t i p l e x a tt h es a m et i m e ，t h e n e t w o r ke n v i r o n m e n ti sb e c o m i n gm o l ea n dm o r ec o m p l e x u n d e rt h i ss i t u a t i o n , 够a k i n do fa c t i v em e a b z l r eo fi n f o r m a t i o na 鲻t l r 剐1 c e i d sf i n d st h ei n t r u s i o nf r o mt h et r a c e a n dp a t t e r no ft h e i ra c t i o n s i ta c t sa st h ee f f e c t i v ec o m p l e m e n tt ot h et r a d i t i o n a l p r o t e c t i o nt e c h n i q u e s i th a sb l o m et h ef o c u so fn e t w o r ks e c u r i t yr e s e a r c h i ta c t sa st h e e f f e c t i v ec o m p l e m e n tt 0t r a d i t i o n a l t e c h n i q u e s h o w e v e r , t h et r a d i t i o n a l i n t r u s i o n d e t e c t i o ns y s t e m sh a v es o m e s h o r t c o m i n g s i nc e r t a i n a s p e c t s ，s u c ha sf l e x i b i l i t y , i n t e r o p e r a b i l i t ye t c i no r d e rt os o l v et h ep r o b l e mo f t h ee x i s t i n gk i n d so f d i s t r i b u t e di n t r u s i o nd e t e c t i o n s y s t e m , s u c ha s t h eu n b a l a n c e d l o a d , s i n g l e - p o i n ti n v a l i d a t i o n a n dt r a n s m i s s i o n b o t t l e n e c k se t c ，an o v e li n t r u s i o nd e t e c t i o ns y s t e mi sp r o p o s e di n t h i sp a p e rw h i c hi s b a s e do np 2 pa r c h i t e c t u r ea n dm o b u ea g e n t t e e h n o l o g y - - - p 2 p i d s ( p e e r - t o p e e r i n t r u s i o nd e t e c t i o ns y s t e m ) t h es y s t e mr s e sp 2 pn e t w o r kt e h a o l o g y , i d ss n o r t , a n d i b m sm o b i l ea g e n tp l a t f o r ma g l c w h i c hm a k et h es y s t e mh a v ec e r t a i nf l e x i b i l i t y , i n t e r o p e r a b i l i t y , i n t e u i g e n e ea sw e l la sg o o dp e r f o r m a n c e i tc a np l a yt h ec h a r a c t e r i s t i c s o ft h ep 2 pn e t w o r kt e c h n o l o g i e s ，a n da c h i e v ec o o p e r a t i o na m o n gt h ed e t e c t i n gn o d e s i t c a na l s oe n h a n c et h es y s t e m sd e t e c t i o nc a p a b i l i t ya n di m p r o v et h ee f f i c i e n c yo f d e t e c t i o n ( 1 ) 1 k sp a p e ra n a l y z e st h ec u r r e n ts i t u a t i o ni nn e t w o r ks e c u r i t y , i n t r o d u c e st h e g e n e r a lp r i n c i p l e s ，c l a s s i f i c a t i o no fi n t r u s i o nd e t e c t i o ni np a r t i c u l a r , a n di n d i c a t e st h e 乜- c n do fi d sd e v e l o p m e n t i ta n a l y z e st h es t r u e t o r a lf r a m e w o r ko ft h ei d ss n o r t , t h e m a i nc o m p o n e n ta n dt h em a i nw o r kf l o wi nd e t a i l t h e n , t h et o p o l o g yo f t h ep 2 pn e t w o r k a n di t sc l a s s i f i c a t i o na r ei n t r o d u c e d , m o b i l ea g e n ta r c h i t e c t u r ea n dm o d e la r ea l s of o r a n a l y s i s ( 2 ) i ts h o w st h ea d v a n t a g e sa n dd i s a d v a n t a g e so f t h ee x i t i n gi d st h r o u g hc o m p a r i n g i v 山东师范大学硕士学位论文 t h e i rs t r u c t u r e t h ea u t h o ri n t r o d u c e st h ed e s i g no f t h es y s t e ma r c h i t e c u a ea n d e x p o u n d s t h ed e s i g na n di m p l e m e n t a t i o no fp 2 p i d si nd e t a i l c o m m u n i c a t i o nc o o p e r a t i o n m e c h a n i s ma n dl o a db a l a n c i n gm e c h a n i s mi nf 2 p i d sa r ep r o p o s e di nt h i st h e s i s f i n a l l y , t h ea u t h o rd e s i g n st h em a i nm o d u l e so ft h es y s t e m t h ei n t r u s i o nd e t e c t i o nm o d u l ei s a c t u a l i 2 锄b ys n o r t , a n dt h es y s t e m a t i cm o n i t o r i n gm o d u l ei sa c t u a l i z e db ys m a a n d m a ( 3 ) i ta c t u a l i z e sas y s t e mp r o t o t y p e , a n dt h e n , p r o v e st h a tt h ec o m m u n i c a t i o n c o o p c t a t i o nm e c h a n i s ma n dl o a db a l a n c i n gm e c h a n i s mc a ne f f e c t i v e l yr e d u c et h er a t eo f d r o p m gp a c k e t sa n di m p r o v et h ed c t o c t i o ne f f i c i e n c y ( 4 t h ep a p e re n d su p 谢t has u m m a r yo fp 2 p i d s f i n a l l yt h ea u t h o rs u m m a r i z e s t h ea d v a n t a g e sa n dd i s a d v a n t a g e so ft h i ss y s t e m , a n dt a l k sa b o u tt h ef u t u r er e s e a r c h o r i e n t a t i o n k e y w o r d s ：n e t w o r ks e c u r i t y i d s p 2 pm o b i l ea g e n tl o a db a l a n c e c l a s s 蚯c a t i o n ：t p 3 9 3 v 独创声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得( 注：如 没有其他需要特别声明的，本栏可空) 或其他教育机构的学位或证书使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明 并表示谢意。 学位论文作者签名： 徐岳檬 导师签字： 学位论文版权使用授权书 参1 方曙 f 本学位论文作者完全了解堂撞有关保留、使用学位论文的规定，有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。 本人授权趁可以将学位论文的全部或部分内容编入有关数据库进行检索，可 以采用影印、缩印或扫描等复制手段保存、汇编学位论文。( 保密的学位论文在 解密后适用本授权书) 学位论文作者签名： 像岳诛 导师签字： 紊1 方嚼 签字日期：2 0 0 t v ，月才日签字日期：2 0 0 了年、r 码) j 日 山东师范大学硕士学位论文 第一章绪论 1 1 研究背景 随着计算机的日益普及和网络技术的迅猛发展，计算机网络已经给人类社会 各个方面都带来了深远的影响，它的触角己经伸展到全球的各个角落，人们的工 作、学习和生活方式正在发生巨大变化，效率大为提高，信息资源得到最大程度 的共享。但是，网络在为人类发展创造了一个更广阔天地的同时，也为入侵者提 供了一个更加便利的场所。从1 9 8 8 年1 1 月2 号由r o b e r tm o r r i sj r 编写的一个 基于b s du n i x 的“i n t e r n e tw o r m 蠕虫的出现到2 0 0 1 年8 月5 号的红色代码“c o d e r e d ”蠕虫发作，直至2 0 0 3 年8 月1 2 号的冲击波“b l a s t e r ”蠕虫的大规模爆发。 互联网的安全威胁正逐渐逼近每一个普通用户。在这种情况下，如果不很好地解 决安全问题，必将阻碍信息化发展的进程，给经济发展带来严重的后果。因此， 如何提高网络的安全性和可靠性成为人们目前关心和研究的主要课题。 网络安全是指网络系统的硬件、软件以及系统中的数据受到保护，不受偶然 的或者恶意的原因而受到破坏、更改、泄漏等，使系统可以连续可靠正常的运行， 网络提供的服务不中断“3 目前，计算机网络面临的安全威胁主要有： 信息泄漏：指无权访问某条信息的人，却阅读了此信息。 拒绝服务：指系统由于偶然或者恶意的原因，无法提供正常的服务 数据被篡改：指系统中的数据完整性被破坏，即数据在传输过程中遭到修 改、破坏、丢失等。 对上述威胁，采用传统的网络信息安全措施防火墙技术可以阻止大半的 攻击，但防火墙技术只是一种被动的保护措施，对于刻意绕过防火墙的连接，如 程序员留下的后门( b a c kd o o r ) 遭到滥用等，就无法发挥防护功能囝 入侵检测作为一种主动的网络安全保护技术，自2 0 世纪8 0 年代早期提出以 来，经过2 0 多年的不断发展，从最初的一种有价值的研究想法和单纯的理论模型， 迅速发展出种类繁多的各种实际原型系统，并在近1 0 年的时间里涌现出许多商用 入侵检测系统产品，成为计算机安全防护领域内不可缺少的一种重要的安全防护 山东师范大学硕士学位论文 技术网。 目前为止，现有的入侵检测系统大多数采用的是难以更改和重新配置的体系 结构。在传统的入侵检测系统中，数据收集是通过单一的主机来完成的，并且把 收集到的数据发送到单独的分析器上进行数据分析，有些系统虽然采用了分布式 的数据收集，但是数据分析也往往是集中在一个组件中完成的。系统只依靠有限 的几个传感器( 就运算能力来说通常是一个) 和唯一的一个事件分析器中来获取， 处理和分析网络中的所有数据，从而不可避免地会在检测过程中产生数据丢失和 处理瓶颈的问题。近几年来研究者将代理技术引入到入侵检测系统中，通过使用 移动代理技术解决了传统i d s 中存在的大部分缺点。但是这些基于代理的d i d s 大 都采用的是层次化的结构，当多个底层节点都向高层节点发送分析结果时，容易 在高层节点处形成处理瓶颈，造成系统丢失数据或者因来不及处理而延迟了对入 侵行为的发现，并易成为攻击者的目标f 3 j f 4 】。而协作式模型中各个分析节点具有较 大的自主性，不依赖于指定的中心节点，可以减少系统瓶颈，提高系统的容错性。 但纯粹的协作式系统也有缺陷，就是各组件相互通信时，可能导致消息量过于庞 大昀。 1 2 主要工作 本文主要工作如下 ( 1 ) 在分析当前入侵检测研究领域的热点和发展方向的基础上，针对现有分 布式入侵检测系统中存在各组件间相互依赖程度大、系统不够健壮、容易产生传 输瓶颈和节点失效问题等缺点，结合分布式模型和p 2 p ( p e e r - t o - p e e r ) 网络模型的 优点，并引入移动代理技术，提出一种基于p 2 p 网络结构和移动代理技术的分布 式入侵检测系统模型。 ( 2 ) 提出了基于对等网络的通信协作机制，降低了系统中各个节点之间的数 据传送量，减少了对网络带宽的占用。 ( 3 ) 提出了一种负载均衡机制，在节点超过负载时，利用此机制能够比较有 效地把重载节点的任务转移到轻载节点上，由轻载节点协同检测，在一定程度上 提高了检测效率和检测的实时性。 ( 4 ) 对系统的主要模块进行了结构设计，并分析了其优点 2 山东师范大学硕士学位论文 1 3 论文章节安排 第一章：对网络安全进行了概述，指出了入侵检测的研究意义，说明了本文的 主要工作。 第二章：系统介绍了入侵检测系统的基本概念、常用入侵检测技术，以及入 侵检测的研究现状和发展趋势，介绍了s n o r t 的框架结构及其工作流程。 第三章：首先介绍了p 2 p 技术及其网络结构，然后详细介绍了移动a g e n t 技 术，及其在入侵检测系统中的应用，重点介绍了i b m a g l , t 。 第四章：分析了分布式入侵检测系统的几种框架结构，提出了基于p 2 p 的入 侵检测系统模型，对模型中设计的代理进行了详细描述和分析，提出了通信协作 机制和负载均衡机制。 第五章：对系统模型的主要模块进行了设计和功能分析，系统地完成了对基 于p 2 p 结构和移动代理的入侵检测系统的研究。 最后，对本文所做工作进行了总结，并提出了迸一步的研究方向。 3 山东师范大学硕士学位论文 第二章入侵检测技术综述 2 1 入侵检测概述 在网络安全防范中，传统的方法是对操作系统进行安全加固，通过各种各样 的安全补丁提高操作系统本身的抗攻击性，这种方法在一定程度上可以有效地防 范外来攻击者的破坏行为，但它们对授权用户滥用权限的行为却无能为力；后来 采用的防火墙技术是一种有效的网络安全技术手段，它通过系统设置提供诸如数 据包阻断等功能，但其结构和功能特点决定了它只能提供企业内外网间一定程度 的安全保障，一般无法具有有效的主动检测能力，也不能防止层出不穷的应用设 计缺陷和通过加密通道的攻击。因此仅仅有访问控制技术和防火墙技术是远远不 够的，需要一种能及对发现并报告系统非授权访闯或异常现象b 9 技术，即入侵检 测( i n t r u s i o nd e t e c t i o n ) 州。 入侵检测的研究最早可追溯到j a m e sp a n d e r s o n 在1 9 8 0 年的工作。1 9 8 0 年 4 月，j a m e sp a n d e r s o n 为美国空军做了一份题为( c o m p u t e rs e c u r i t yt h r e a t m o n i t o r i n ga n ds u r v e i l l a n c e ( 计算机安全威胁监控与监视) 的技术报告伪，第一 次详细阐述了入侵检测的概念。以此为标志，国外一些机构在2 0 世纪8 0 年代就 开展了基础研究工作。此后的2 0 多年间，入侵检测技术得到了很大发展。 入侵行为、入侵检测及入侵检测系统的定义是： 入侵行为主要是指对系统资源的非授权使用，可以造成系统数据的丢失和破 坏、系统拒绝服务等危害的行为嘲。入侵行为可能不仅来自外部，同对也包括了 内部用户的未授权活动。 入侵检测是通过对计算机网络或计算机系统中的若干关键点收集信息并进 行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。从 入侵策略的角度可将入侵检测工作分为；试图闯入、成功闯入、冒充其它用户、 违反安全策略、独占资源以及恶意使用等等。 进行入侵检测的软件与硬件的组合就是入侵检测系统( i n t r u s i o nd e t e c t i o n s y s t e m ，i d s ) 9 1 1 1 0 1 。 在二十世纪八十年代，大多数入侵者都是高水平的专家，他们经常自己研究 4 山东师范大学硕士学位论文 入侵系统的方法，而很少使用自动工具和现成的代码。而现在的攻击工具却越来 越高级，在i n t e r a c t 上充斥着大量这样的工具，这使得任何人都可以使用现成的 工具来攻击因特网上的计算机系统而 d s 的目标是将攻击的各种表象特征化， 以确认所有真正的攻击但又不确认非攻击活动。入侵检测具有监视分析用户和系 统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、 对异常行为进行统计、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器 记录黑客行为等功能，使系统管理员可以比较有效地监视、审计、评估自己的系 统。 有必要说明的是，网络安全是动态的系统工程，入侵检测系统是网络安全整 体解决方案的重要一环，应该将其融入到整体防御体系之中，与其他安全设备协 同工作。理想的情况是，建立相关安全产品能够相互通信并协同工作的安全体系， 实现防火墙、 d s 、病毒防护系统和审计系统等的互通与联动，以实现整体安全 防护。例如：m s 与防火墙的联动，可封堵源自外部网络的攻击；i d s 与网络管 理系统的联动，可封堵被利用的网络设备和主机； d s 与操作系统的联动，可封 堵有恶意的用户账号；e ) s 与内网监控管理系统的联动，可封堵内部网络上恶意 的主机。 2 1 1 入侵检测标准化工作 为了提高i d s 产品、组件及其他安全产品之间的互操作性，美国国防高级研究 计划署( d a r p a ) 和互联网工程任务组( 玎盯d 的入侵检测工作组( m w g ) 发起制定了 一系列建议草案，从体系结构、a p i 、通信机制、语言格式等方面规范i d s 的标准。 d a r p a 提出了公共入侵检测架构c i d f ( c o m m o n i n t r u s i o n d e t e c t i o n f r a m e w o r k ) n 】。 c i d f 阐述了一个入侵检测系统的通用模型，将入侵检测系统分为4 个组件：事件 产生器( e v e n tg e n e r a t o r s ) 、事件分析器( e v e n ta n a l y z e r s ) 、响应单元( p e s p o n s eu n i t s ) 及事件数据库( e v e n td a t a b a s e s ) ，如图2 - 1 所示。c i d f 将入侵检测系统需要分析的数 据统称为事件，它可以是网络中的数据包，也可以是从系统日志等其他途径得到的 信息。 5 山东师范大学硕士学位论文 图2 - 1c i d f 框架模型 事件产生器是从整个计算环境中获得事件，并向系统的其他部分提供此事件； 事件分析器分析得到的数据，并产生分析结果：响应单元则是对分析结果做出反应 的功能单元，它可以做出切断连接、改变文件属性等反应，也可以是简单的报警。 事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也 可以是简单的文本文件。在这个模型中，前三者以程序的形式出现，而最后一个则 往往是文件或数据流。 入侵检测系统的几个组件往往位于不同的主机上。一般会有3 台机器，分别运 行事件产生器、事件分析器和响应单元。 i e t f 的入侵检测工作组i d w g ( i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ) 【1 2 】专门负责 定义入侵检测系统组件之间，及不同厂商的入侵检测系统之间的通信格式，目前只 有相关的草案，还未形成正式的r f c 文档。i d w g 文档有：入侵警报协议( i a p ) ， 该协议是用于交换入侵警报信息、运行于t c p 之上的应用层协议；入侵检测交换协 议( i n t r u s i o nd e t e c t i o ne x c h a n g ep r o t o c o l ，i d x p ) ，这个应用层协议是在入侵检测实 体间交换数据，提供入侵检测报文交换格式( i n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g e f o r m a t , i d m e f ) 1 3 】报文、无结构的文本。二进制数据的交换。 2 1 2 入侵检测系统的分类 入侵检测分类有多种，根据不同的标准，i d s 有不同的分类，主要有以下几类 【1 4 1 ： 1 - 根据入侵检测系统所需数据的来源分类 ( 1 ) 基于主机的入侵检测系统( h o s t - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ，h i d s ) 基于主机的入侵检测系统通常采用系统日志、应用程序日志等审计数据作为检 测的数据源，然后从所在的主机收集这些信息进行分析。 6 山东师范大学硕士学位论文 基于主机的入侵检测系统仍使用验证记录，但自动化程度大大提高，并发展了 精密的可迅速做出响应的检测技术。通常，基于主机的入侵检测系统可监测系统、 事件和w m d o w sn t 下的安全记录以及u n i x 环境下的系统记录。当有文件发生变 化时，入侵检测系统将新的记录条目与攻击标记相比较，看它们是否匹配。如果匹 配，系统就会向管理员报警并向别的目标报告，以采取措施。 基于主机的入侵检测系统在发展过程中融入了其它技术。对关键的系统文件和 可执行文件的入侵检测的一个常用方法，是通过定期检查校验和来进行的，以便发 现意外的变化。 对圈d s 来说，优点是它可以检测到具体的关键系统文件改动和用户权限的变 动，这一点是n t d s 做不到的：基于主机的i d s 缺点表现在：一方面是在每个需要 保护的主机上都要安装i - l i d s 软件，这是很费事的，并且，h i d s 软件本身的运行会 消耗系统的资源；另一方面，h i d s 的入侵检测不是实时进行的。 ( 2 ) 基于网络的入侵检测系统( n e t w o r k - b a s e di n t r u s i o nd c t e c t i o ns y s t e m , n i d s ) 基于网络的入侵检测系统使用网络上传输的数据包作为检测的数据源通常利 用一个运行在混杂模式下的网络适配器来实时监视并分析网络上传输的所有数据 包，判断是否有入侵行为。一旦检测到入侵行为，入侵检测系统的报警部件就发出 通知并对入侵采取相应的防御手段。 基于网络的入侵检测系统通常使用以下四种常用技术来识别攻击：模式、表达 式或字节匹配、频率或穿越阀值、次要事件的相关性、统计学意义上的非常规现象 检测。 n i d s 的优势在于：只需在适当的少量位置配置n i d s 就可以监控一个大型网 络；而且对己有网络影响较小，可以很好地避免攻击。 其劣势在于：随着网络流量的增加，n i d s 可能来不及处理捕获的网络数据包， 从而造成丢包现象，导致漏报率就上升，检测效率下降。另外，n i d s 一般不能分 析加密的数据包【坷 2 根据入侵检测系统的结构分类 ( 1 ) 集中式的入侵检测系统( c e 咖f a l i z e di n m 】s i o nd e t e c t i o ns y s t e m , c i d s ) c i d s 中数据的采集、数据的分析、入侵响应都由固定数日的组件来实现，而 不论系统保护的主机数是多少。 7 山东师范大学硕士学位论文 集中式入侵检测系统的主要缺点是：系统中各组件不具有分布性，因此系统没 有可扩展性，只能在网络环境比较简单的情况运用；系统存在单点失效问题，一旦 系统中数据分析部件被攻击者破坏，那么整个系统就是去了对网络的保护功能。 ( 2 ) 分布式入侵检测系统( d i s w i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ，d i d s ) 分布式入侵检测系统的数据的采集、数据的分析、入侵响应都由若干个组件来 完成，组件数目和保护的主机数的大小是成比例的，也就是随着审计数据量的大小 可以动态的调整【1 叼；各组件具有分布性，因此系统具有可扩展性。 2 1 3 入侵检测方法 入侵检测系统的实现是指通过对各种事件分析，从中发现违反安全策略的行为， 通常采用基于行为的检测方法和基于知识的检测方法【1 7 1 。 一、基于行为的入侵检测方法 基于行为的入侵检测是根据使用者的行为或资源使用状况来判断是否入侵，而 不依赖于具体行为是否出现来检测，所以也被称为异常检澳1 ( a b n o r m a l l y d e t e c t i o n ) 。 异常检测的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常 活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计 规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简 档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入 侵”行为。 1 概率统计方法 概率统计方法是系统检测器根据用户对象的动作，为每个用户建立一个活动简 档，通过比较前特征与已存储的历史特征，来判断是否有异常行为。活动简档需要 根据审计记录情况不断地加以更新。用于描述特征的变量类型有： ( 1 ) 操作密度：度量操作执行的速率，常用于检测通过长时间平均觉察不到的异 常行为； ( 2 ) 审计记录分布：度量在最新记录中所有操作类型的分布： ( 3 ) 范畴尺度：度量在一定动作范畴内特定操作的分布情况； ( 4 ) 数值尺度：度量那些产生数值结果的操作，如c p u 和i o 使用量。 这些变量记录的具体操作包括：c p u 的使用，i o 的使用，使用地点及时间， 邮件使用，编辑器使用，编译器使用，所创建、删除、访问或改交的目录及文件， s 山东师范大学硕士学位论文 网络上活动等。 2 特征选择异常检测方法 基于特征选择异常检测方法是通过从一组度量中挑选出能检测出入侵的度量构 成子集来准确地预测或分类已检测到的入侵。异常入侵检测难于在异常活动和入侵 活动之间作出判断。判断符合实际的度量是复杂的，因为能否合适地选择度量子集 依赖于检测到的入侵类型，一个度量集对所有的各种各样的入侵类型不可能是足够 的。预先确定特定的度量来检测入侵可能会错过单独的特别环境下的入侵。最理想 的检测入侵度量集必须动态地决策判断以获得最好的效果。假设与入侵潜在相关的 度量有一个，则这拧个度量所构成的子集数是锄个。由于搜索空间与度量数是级数 关系，所以穷尽寻找最理想的度量子集的开销不是有效的m a c c a b c 提出用遗传方 法来搜索整个度量子空间以寻找正确的度量子集。其方法是使用学习分类器方案生 成遗传交叉算子和基因突变算子，除去降低预测入侵的度量子集，而采用遗传算子 产生更强的度量子集取代。这种方法与较高的预测度量子集相结合，允许搜索的空 间大小比其他启发式搜索技术更有效。 3 神经网络方法 利用神经网络检测入侵的基本思想是用一系列信息单元( 命令) 训练神经单元， 这样在给定一组输入后，就可能预测出输出。神经网络更好地表达了变量间的非线 性关系，并且能自动学习并更新。用于检测的神经网络模块结构大致是这样的：当 前命令和剐过去的1 ，个命令组成了网络的输入，其中w 是神经网络预测下一个命令 时所包含的过去命令集的大小。根据用户的代表性命令序列训练网络后，该网络就 形成了相应用户的特征表，于是网络对下一事件的预测错误率在一定程度上反映了 用户行为的异常程度。 二、基于知识的入侵检测方法 基于知识的检测指运用己知攻击方法，根据已定义好的入侵模式，通过判断这 些入侵模式是否出现来检测入侵行为因为很大一部分的入侵是利用了系统的脆弱 性和网络协议的弱点，通过分析入侵过程的特征、条件、排列以及事件间关系来具 体描述入侵行为的迹象。基于知识的检测也被称为误用检测叫吐s u 辩d c 【c c t i o n ) ，此 方法类似于杀毒软件。 1 专家系统 9 山东师范大学硬士学位论文 专家系统是根据安全专家对可疑行为的分析经验来形成一套推理规则，然后在 此基础之上构成相应的专家系统。将有关入侵的知识转化成i f - f l _ m 结构的规则，即 将构成入侵所要求的条件转化为i f 部分，将发现入侵后采取的相应措施转化成t h e n 部分。当其中某个或某部分条件满足时，系统就判断入侵行为是否发生。其中的 i f - t l e n 结构构成了描述具体攻击的规则库，状态行为及其语义环境可根据审计事件 得到，推理机根据规则和行为完成判断工作。 2 模型推理 模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的 知识被描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特 殊使用等。根据这些知识建立攻击脚本库，每一脚本都由一系列攻击行为组成。检 测时先将这些攻击脚本的子集看作系统正面临的攻击。然后通过预测器根据当前行 为模式，产生下一个需要验证的攻击脚本子集，并将它传给决策器。决策器收到信 息后，根据这些假设的攻击行为在审计记录中的可能出现方式，将它们翻译成与特 定系统匹配的审计记录格式。然后在审计记录中寻找相应信息来确认或否认这些攻 击。假设初始攻击脚本子集应满足：易于在审计记录中识别，并且出现频率很高。 随着一些脚本被确认的次数增多，另一些脚本被确认的次数减少，攻击脚本不断地 得到更新。 基于知识的入侵检测实现方法除了上述方法之外，还有条件概率的误用入侵检 测方法、键盘监控的误用检测方法等。 2 1 。4 入侵检测系统的发展趋势 无论从规模与方法上入侵技术近年来都发生了变化。入侵技术的发展与演化主 要反映在下列几个方面： 入侵或攻击的综合化与复杂化。入侵手段有多种，入侵者往往采取多种攻击手 段。由于网络防范措施的多重化，攻击的难度增加，使得入侵者在实施入侵或攻击 时往往同时采用多种入侵手段，以保证入侵的成功率，并可在攻击实施的初期掩盖 攻击或入侵的真实目的。 入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。通过一定的技术， 可掩盖攻击主题的源地址及主机位置。即使用了隐蔽技术后，对于被攻击对象攻击 1 0 山东师范大学硕士学位论文 的主题是无法直接确定的。 入侵或攻击的规模扩大对于网络的入侵与攻击，在其初期往往是针对于某公 司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不排除商 业的盗窃与破坏行为由于战争对于电子技术和网络技术的依赖性越来越大，随之 产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与技术都与一 般意义上的计算机网络的入侵与攻击都不可相提并论的。信息战的成败与国家主干 通信网络的安全是与任何主权国家领土安全一样的国家安全。 入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于 防范技术的发展使得此类行为不能奏效。所谓分布式拒绝服务( d d o s ) 在很短的时间 内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常的通信无差 异，所以往往在攻击发动的初期不易被确认，分布式攻击是近期最常用的攻击手段。 攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却 发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的形势。 现在已经有了专门针对i d s 作攻击的报道。攻击者详细的分析了i d s 的审计方式、 特征描述、通信模式找出i d s 的弱点，然后加以攻击。 今后的入侵检测技术大致可朝下述三个方向； 分布式入侵检测：第一层含义，即针对分布式网络的攻击的检测方法；第二 层含义即使用分布式的方法来实现分布式的攻击，其中的关键技术为检测信息的协 同处理与入侵攻击的全局信息的提取。 智能化入侵检测：即使用智能化的方法与手段来进行入侵检测。所谓的智能 化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些 方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是 常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断升级与 扩展，使设计的入侵检测系统防范能力不断增强，应该具有更广泛的应用前景。应 用智能体的概念来进行入侵检测的尝试也有报道。较为一致的解决方案应为高效常 规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。 全面的安全防御方案：即使用安全工程风险管理的思想与方法来处理网络安 全问题，将网络安全作为一个整体工程来处理。从管理，网络结构，加密通道，防 火墙，病毒防护，入侵检测多方位全面对所关注的网络作全面的评估，然后提出可 山东师范大学硕士学位论文 行的全面解决方案。 2 。2s n o r t 及其结构分析 2 2 1s n o r t 系统的总体框架 s n o r t 系统主要由数据包嗅探器、预处理器、检测引擎模块、报警，日志模块、 输出模块等5 个模块。其逻辑设计如图2 - 2 所示1 1 观 骨干网群= = = 爿s n i f f e r 预处理器检测引擎 报警，日志 n 磊；翮过7 7 图2 2s n o r t 体系结构 2 2 2s n o r t 系统的主要构件分析 1 数据包嗅探器 s n o r t 没有自己的捕包工具，它使用的是外部的捕包程序库：l i b p c a p ( p a c k c t c a p t u r el i b r a r y ) 。l i b p c a p 是由b e r k e l e y 大学l a w r e n c eb e r k e l e yn a t i o n a ll a b o r a t o r y 研究院的v a nj a c o b s o n 、c r a i gl e r e s 和s t e v c nm c c a n n e 编写的。l i b p c a p 具有平台 独立性的特点，它可以运行在任何一种流行的硬件和操作系统的组合中，在r m d o w s 系统中，它的版本是是w i n p c a p 。 2 预处理模块 预处理器是s n o r t 在检测引擎之前用相应的插件检查原始的数据包，从中发现 这些数据的“行为”。在预处理器中，用插件的形式来实现预处理功能对i d s 是非 常有用的。使用者可以根据实际环境的需要启动或停止某个预处理插件这样可以 提高s n o r t 的工作效率，使用者也可以根据实际需要编写特定的预处理插件。 3 检测引擎 检测引擎是s n o r t 的核心模块。它有两个主要功能：规则分析和特征检测。预 1 2 山东师范大学硕士学位论文 处理器把数据包送来后，检测引擎根据预先设置的规则检查数据包，一旦发现数据 包中的内容和规则库中的某条规则相匹配，就通知报警模块。 在s n o r t 中，预先设置的规则有很多。规则主要有两部分组成：规则头和规则 体。规则头定义了规则被触发时产生的处理动作，数据包对应的协议( t c p 、u d p 、 i c m p 等) ，以及d 源地址、网络、端e l 在内的源和目的信息。如图2 3 所示【埘。 规则头 图2 - 3一个s n o r t 规则头 4 报警，日志模块 依据在数据包中所找到的数据特征，一个包可以用来记录行为或者产生告警。 日志可以存为简单的文本文件、t c p d u m p 格式文件或者其他的形式 5 输出模块 输出模块的主要功能是把经检测引擎检查后的s n o r t 数据根据需要以某种方式 输出，利用输出模块中插件的功能可以控制报警日志系统产生的信息的输出格式。 2 2 3s n o r t 工作流程 s n o r t 主工作流函数为s n o r t m a