（计算机应用技术专业论文）基于策略的入侵检测系统的研究与实现.pdf

摘要 摘要 随着计算机技术的飞速发展，互联网在当今世界经济中变得愈来愈重要，各 企事业单位也纷纷构筑自己的i n t e m e t 环境。网络在给我们带来极大便利的同时， 也带来了另外一个不容忽视的安全问题。由于因特网本身在设计上的开放性，使 其极易受到攻击。因此，提高安全意识，加强安全措施更显得尤为迫切和重要。 入侵检测是网络安全个迅速发展的领域，入侵检测是用来识别针对计算机 系统和网络系统，或者更广泛意义上的信息系统的非法攻击，包括检测外界非法 入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法行动。入侵 检测的软件与硬件的组合便是入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称 i d s ) 。本文从数据源、分析引擎、响应三个部分详细分析了入侵检测系统，并给 出了测试方法，最后指出了进一步的研究工作。 在安全策略和入侵检测技术的基础上，本文设计并实现了基于策略的入侵检 测系统p b i d s ，该系统将制定安全策略和入侵检测技术合二为一，克服了传统入 侵检测技术的局限性。本文详细分析了数据包解析、检测引擎模块、响应模块和 安全策略库等关键模块。在实现中，我们采用了一种改进的b o y e r - m o o r e 模式匹 配算法。通过事例及后续实验表明这是。一种比较高效的算法。 本文在l i n u x 平台上实现了p b i d s 的具体功能，它充分考虑了网络拓扑结 构和本地操作系统和安装软件的特点来制定规则集合，经测试证明是一个可行的 入侵检测系统。 关键词 网络安全；入侵检测；策略；模式匹配 北京工业大学工学硕士学位论文 a b s t r a c t w i t ht h ed e v e l o p m e n to f t h ec o m p u t e rt e c h n o l o g y ，i n t e m e ti sp l a y i n gam o r ea n d m o r ei m p o r t a n tr o l ei nt h ew o r l do fe c o n o m y a l lk i n d so fo r g a n i z a t i o n sa n d c o m p a n i e sa r ec o n s t r u c t i n gt h e i ro w ni n t e r n e te n v i r o n m e n tn o w a d a y s w h e nw ea r e e n j o y i n gt h ec o n v e n i e n c eo f n e t w o r k ，t h e r ei sa l s oas e r i o u ss e c u r i t yp r o b l e m t h a tw e c a n ti g n o r e t h eo p e n i n go f i n t e r n e tt e c h n o l o g yi nt h ed e s i g nm a k e si t s e l f v e r yf r a g i l e a n da tr i s k so fb e i n ga t t a c k e d s o ，i ti si m p o r t a n ta n du r g e n tt oi m p r o v et h es e c u r i t y s e n s ea n ds 虹e n g t h e nt h es e c u r i t ym e a s u r e s i d s ( i n t r u s i o nd e t e c f i o ns y s t e m ) h a sar a p i dd e v e l o p m e n ti nt h ef i e l do f n e t w o r k s e c u r i t y i ti sd e s i g n e dt or e c o g n i z et h ei l l e g a la t t a c ko nc o m p u t e rs y s t e m ，n e t w o r k s y s t e m ，a n do t h e ri n f o r m a t i o ns y s t e mw i t hab r o a dm e a n i n g i ti n c l u d e sd e t e c t i n g d e l i b e r a t ei l l e g a la t t a c kf r o mo u t s i d ee n v i r o n m e n ta n dt r y i n gt od e t e c tt h ei l l e g a lu s i n g b yi n n e rl e g a lu s e r s t h i sp a p e rf i r s tg i v e sa na n a l y s i so fi d sf r o md a t as o u r c e ， a n a l y s i se n g i n ea n dr e s p o n s e ，a n dt h e nd e s c r i b e sh o wt ot e s tt h ei d s a tl a s t ，w ep o i n t o u tt h ef u t u r ew o r ko f 日d s b a s e do ns e c u r i t yp o l i c ya n di d s ，t h i sp a p e rd e s i g n sa g e n e r a lp o l i c y - b a s e di d s ( p b i d s ) ，w h i c hc o m b i n e st h es e c u r i t yp o l i c ya n di d st o g e t h e r , g e t t i n go v e rt h e l i m i t a t i o n so ft r a d i t i o n a l1 d s g r e a te m p h a s i si sp u ti nk e ym o d u l e ss u c ha sn e t w o r k d a t af l o wp a r s i n gm o d u l e ，d e t e c t i o ne n g i n em o d u l e ，i n t r u s i o nr e s p o n s em o d u l ea n d s e c u r i t yp o l i c y i nt h ei m p l e m e n t a t i o no fp b i d s ，w eu s ea ni m p r o v e db o y e r - m o o r e a l g o r i t h m ，w h i c hi sp r o v e dt ob eam o r ee f f i c i e n ta l g o r i t h mb ye x a m p l ea n d e x p e r i m e n t p b i d sh a sb e e ni m p l e m e n t e do nl i n u xs y s t e m t a k i n gi n t oa c c o u n tt h e t o p o l o g yo ft h en e t w o r ka n dl o c a lp r o p e r t i e sl i k eo p e r a t i n gs y s t e m sa n di n s t a l l e d s o f t w a r e ，w em a k et h es i g n a t u r es e t s i tp r o v e dt ob ear e a s o n a b l ei n t r u s i o nd e t e c t i o n s y s t e mb ye x p e r i m e n t k e y w o r d s n e t w o r ks e c u r i t y ；i n t r u s i o nd e t e c t i o n ；p o l i c y ；p a t t e r nm a t c h i n g i i 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其它 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 签名墨丛蓄日期：u j 、水 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其它复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名： 纽羁 导师签名： 日期：! 生羔 第1 章绪论 1 1 课题背景 第1 章绪论 随着i n t e m e t 的飞速发展和网络社会的到来，网络为我们社会的政治、经济、 文化、军事和社会生活的方方面面带来了极大的方便，然而在网络给人们带来方 便的同时，美国计算机紧急事件响应小组协调中心( c e i 盯c c ) 关于黑客入侵、 病毒、系统漏洞等的年报也急剧增加，表1 1 描述了从1 9 8 8 到2 0 0 3 每年发生的 安全事件【1j 。从中可以看出，发生的攻击事件逐年增加，这给国家安全、经济、 社会生活带来了极大的威胁。 i d c ( 国际数据公司) 在世界因特网安全软件市场预测和分析( 2 0 0 0 2 0 0 5 ) ) ) 报告中指出：从现在起到2 0 0 5 年，世界网络安全市场将加速发展，营销额年增 长率可达2 3 ，到2 0 0 5 年收入预计将超过1 4 0 亿美元。 表卜1c e r t c c1 9 8 8 2 0 0 4 统计表 t 曲l e1 1c e r r c cs t a t i s t i c s1 9 8 8 2 0 0 4 笠 l1l1111111 9 9 71 9 9 81 9 9 92 0 0 0 2 0 0 12 0 0 22 0 0 3 999999 999 889 9999 99 890 1 2 3456 事6 1247l2 222 1 3 43 7 3 49 8 5 92 1 7 5 65 2 6 5 88 2 0 9 41 3 7 5 2 9 件 350733 45 数 22633417 4o23 1 9 8 8 2 0 0 3 报告发生的事件数，总共报告的事件数( 1 9 8 8 2 0 0 3 ) ：3 1 99 9 2 。 由于广泛的使用自动化攻击工具，攻击和互联网相连的系统是如此平常，以至于报告发 生攻击的事件数对于评估攻击的范围和影响没有任何意义，故2 0 0 4 年将不再报告攻击事件 数。 因此研究高效的网络安全防护和检测技术，开发实用的网络安全检测系统具 有重大的研究、实践和商业意义。 1 2 入侵检测的概念 入侵，是指任何试图危及计算机资源的完整性、保密性和可用性的行为。而 入侵检测是通过计算机网络或系统中的若干关键点收集信息，并对这些信息进行 分析，从而发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。进 行入侵检测的软件和硬件的组合便是入侵检测系统( 简称d s ) 。 北京工业大学工学硕士学位论文 1 3 入侵检测的产生 入侵检测( i n t r u s i o nd e t e c t i o n ) 是网络安全个迅速发展的领域，国外入侵检 测系统的发展已有二十多年的历史。其概念早在1 9 8 0 年由j a m e sp a n d e r s o n 提 出，他在( ( c o m p u t e rs e c u r i t yt h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ) ) 1 2j 这篇报告中提 出了一种新的研究安全机制的方法，这是有关入侵检测的最早论述。接着， d o r o t h y d e n n i n g 在1 9 8 6 年提出了第一个入侵检测模型【3 】，如图1 - 1 所示。 特征表更新规则更新 图1 - 1 入侵检测模型 f i g u r e1 - 1i n t r u s i o nd e t e c t i o nm o d e l 1 4 入侵检测的标准 为了提高i d s 产品、组件及与其他安全产品之问的互操作性，一些组织和机 构发起制订了一系列建议草案，从体系结构、a p i 、通信机制、语言格式等方面 对i d s 做了一些规范。当前有两个国际组织在进行这方面的工作，他们是c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k ( c i d f ) 和i n t e m e te n g i n e e rt a s kf o r c e ( i e t f ) 下属 的i n t r u s i o n d e t e c t i o n w o r k i n g g r o u p ( i d w g ) 。他们分别考虑了入侵检测的不同 方面，并从各自的角度进行了标准化工作。下面简要介绍一下。 1 4 1 入侵检测工作组 i d w g 4 1 是互联网工程任务部( i e t f ) 下属的入侵检测工作组制定的建议草案。 i d w g 制定了入侵检测系统之间共享信息的数据格式和交换信息的方式，以及如 何满足系统管理的需要。具体地说，就是建立入侵检测系统之间，以及入侵检测 系统和网管系统之间通信的功能需求描述，制定统一的语言描述系统体系结构。 i d w g 提出的建议草案包括三部分内容：入侵检测消息交换格式( i d m e f ) 、入侵 检测交换协议( d x p ) 以及隧道轮廓( t u n n e lp r o f i l e ) 。 i d m e f 描述了入侵检测系统输出信息的数据模型，并解释了使用此模型的 基本原理。该数据模型采用x m l 实现，并设计了一个x m l 文档类型定义。不 同的入侵检测系统可以使用i d m e f 提供的标准数据格式对可疑事件发出警报， 提高商业、开放资源和研究系统之间的互操作性。 i d x p 是个用于入侵检测实体之间交换数据的应用层协议，能够实现 i d m e f 消息、非结构文本和二进制数据之间的交换，并提供面向连接协议之上 的双方认证、完整性和保密性等安全特征。 2 第1 章绪论 1 4 2 公共入侵检测框架 c i d f 5 1 ，公热入侵检测框架，由美国国防高级研究计划署a 碰狐) 在1 9 9 7 年提出。c i d f 标准主要包括四部分：体系结构、通信机制、描述语言和应用编 程接口a p i 。 ( 1 ) 体系结构：c i d f 在i d e s 6 】和n i d e s 7 1 的基础上提出了一个通用体系结 构，用以说明i d s 各组件间通信的环境。将入侵检测系统分为四个基本组件： 事件产生器、事件分析器、响应单元和事件数据库。如图1 2 所示。 图1 - 2c i d f 入侵检测模型 f i g u r e1 - 2c i d fi n t r u s i o nd e t e c t i o nm o d e l f 2 ) 通信机制：主要描述i d s 各个组件之间如何安全地建立连接和通信，包 括组件间的鉴别和认证。 ( 3 1 语言规范：c i d f 定义了一种应用层的语言c i s l ( 公共入侵规范语言) ，用 来描述i d s 各组件之间传送的入侵和警报等信息，以及制定了一套对这些信息 进行编码的协议。 f 4 1a p i 接口：允许i d s 各组件的重用，在c i s l 中隐含了a p i 。 1 5 入侵检测的国内外研究现状 国外对入侵检测系统的研究较早，并且在产品商业化方面也迈开了一大步。 目前的典型i d s 有i s s 公司的r e a l s e c u r e 、c i s c o 公司的c i s c os e c u r ed s 等。 成熟的技术有模式匹配、状态转换、专家系统、概率统计等，目前出现了一些新 的入侵检测技术如免疫系统、基因算法、数据挖掘等，尚处在研究阶段。国内起 步比较晚，研究落后于国外，总体发展比较慢，检测技术单一，这方面的研究亟 待加强和深入。主要入侵检测系统有中科网威的“天眼”网络入侵检测系统、启 明星辰的“天阒”黑客入侵检测系统、绿盟科技的“冰之眼”网络入侵检测系统 等。 1 6 研究入侵检测的必要性 计算机网络安全应提供保密性、完整性以及抵抗拒绝服务攻击的能力，但是 由于互联网用户的增加，越来越多的系统受到攻击。为了对付这些攻击企图，可 以采取一些方法。从实际看，这根本是不可能的。 1 在实践当中，建立完全安全系统根本是不可能的。m i l l e r 给出一份有关现 今流行操作系统和应用程序的研究报告，指出软件中不可能没有缺陷。另外， 北京工业大学工学硕士学位论文 设计和实现一个整体安全系统相当困难。 2 要将所有已安装的具有安全缺陷的系统转换成安全系统需要相当长的时 间。 3 静态安全措施不足以保护安全对象属性。 4 加密技术方法本身存在的一定问题。 5 安全系统易受到内部用户滥用特权的攻击。 6 安全访问控制等级和用户的使用效率成反比，访问控制和保护模型本身存 在一定的问题。 7 在软件工程中存在软件测试不充足、软件生命周期缩短、大型软件复杂性 等难解问题，工程领域的困难复杂性，使得软件不可能无错误。而系统软件 恰恰是安全的弱点。 8 修补系统软件缺陷不能令人满意。 因此，就目前系统的安全状况而言，系统存在被攻击的可能性。但是如果系 统遭到攻击，只要尽可能地检测到，甚至是实时地检测到，然后再采取适当的处 理措施。入侵检测作为安全技术其主要目的在于：识别入侵；识别入侵者；检测 和监视已成功的安全突破；为对抗入侵及时提供重要信息，阻止事件的发生及事 态的扩大a 从这个角度看待安全问题，入侵检测非常必要，它将弥补传统安全保 护措施的不足毕j 。 1 7 课题研究意义和主要研究内容 传统上，一般采用防火墙作为网络安全的第一道防线。而随着攻击者知识的 日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对 安全高度敏感的部门的需要。网络的防卫必须采用一种纵深的、多样的手段。与 此同时，网络环境也变得越来越复杂，各式各样的复杂的设备需要不断升级，使 得网络管理员的工作不断加重，不经意的疏忽便会给企业造成巨大损失。而且作 为一个良好的完整的动态安全体系，不仅需要恰当的防护，而且需要动态的检测 机制，在发现问题时及时进行响应。整个体系要在统一的、一致的安全策略的指 导下实施。 入侵检测系统是一种新型网络安全技术，是软件和硬件的结合体。入侵检测 系统能弥补防火墙的不足，为受保护网绍提供有效的检测手段及采取相应的防护 措施；入侵检测系统是个全新的、迅速发展的领域，已成为网络安全中极为重 要的一个课题。 在本课题中，我们的研究内容将包括： 1 入侵检测的现状及其模型的分析。 2 网络安全策略的研究： 3 入侵检测常用技术的比较分析。 4 入侵检测技术的发展趋势。 5 基于策略的入侵检测系统体系结构分析与设计。 6 实现一个基于策略的入侵检测系统( p b d s l 。 7 基于策略的入侵检测系统的性能测试。 4 第1 章绪论 1 8 本文结构 本论文共分五章： 第一苹，绪论，首先分析了课题的研究背景，简要介绍了入侵检测的概念、 产生、标准和国内外研究现状，以及研究的必要性。然后指出研究入侵检测系统 的理论与现实意义。最后介绍了本课题的主要研究内容。 第二章，从数据源、分析引擎和响应三个模块详细地介绍了i d s ，然后指 出了j d s 面临的挑战以及发展趋势。 第三章， 首先介绍基于策略的入侵检测系统p b i d s 的总体架构，然后描述 了其主要模块，晟后介绍了p b i d s 的运行机制和系统的部署。 第四章，首先介绍了协议分析及其实现，然后介绍了p b i d s 中使用的规则、 安全策略的制定和实现，接着介绍了模式匹配算法及其改进、响应和安全策略的 协调。 第五章，介绍了i d s 的性能测试指标和评估标准，以及p b i d s 的测试环境 和测试结果。 第六章， 结论，对论文进行了简要总结，并提出了今后的研究方向。 北京工业大学工学硕士学位论文 第2 章入侵检测系统概述 入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击 和误操作的实时保护，在网络系统受到危害之前进行拦截和响应。从网络安全立 体纵深、多层次防御的角度出发。 2 1 l d s 功能模块 入侵检测系统可以分为数据源( 提供系统监视的审计数据流) 、分析引擎( 用 于对审计数据进行分析，发现入侵或异常行为) 、响应( 根据分析引擎分析的结 果采取相应的动作) 三个模块。数据源、分析引擎、响应模块相辅相成。数据源 为分析引擎提供原始数据进行入侵分析，分析引擎执行入侵或异常行为检测，分 析引擎的结果提交给响应模块，以采取必要的动作，阻止进一步的入侵行为或恢 复受害的系统。 2 1 1 数据源 入侵检测系统按照数据源所处的位置可以分为 一、基于主机的入侵检测系统( h id s ) 数据源是操作系统的审计纪录。该系统通常是安装在被检测的主机上，主要 是根据主机的系统日志以及系统审计记录进行检测分析和判断，通过对系统日志 和审计记录不间断的监视和分析来发现攻击。如果其中主体活动十分可疑，入侵 检测系统就会采取相应措施来阻止进一步的攻击。反应的时间依赖于定期检测的 时问间隔，实时性没有基于网络的i d s 好。 优点有： 1 能够监视特定的系统行为。例如所有的用户登录和退出、甚至用户所做 的所有操作、审计系统在日志里记录的策略改变等。 2 能够确定攻击是否成功。由于h i d s 使用含有已发生事件的信息，它们 可以比n i d s 更加准确地判断攻击是否成功。 3 有些攻击在网络的数据流中很难发现，或者根本没有通过网络在本地进 行。这时n d s 将无能为力，只能借助于h i d s 。 其缺点是依赖于特定的主机和审计系统，而且通常需要在很多的主机上安装 h d s 系统。 二、基于网络的入侵检测系统( n i d s ) 数据源是网络中的数据包。该系统放置在比较重要的网段内，不停地监视网 段中的各种数据包。对每一个数据包进行特征分析，如果数据包与系统内置的某 些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。目前，大部分 入侵检测产品是基于网络的。 6 第2 章入侵检测系统概述 基于网络的入侵检测系统通常使用报文的模式匹配或模式匹配序列来定义 规则，检测时将监听到的报文与模式匹配序列进行比较，根据比较的结果来判断 是否有非正常的网络行为。它的攻击辨别模块通常有：模式、表达式或字节匹配， 低级事件的相关性，统计学意义上的非常规现象检测等。 优点有： 1 能够检测到h i d s 无法检测的入侵，如n i d s 能够检查数据包的头部而 发现非法的攻击。 2 入侵对象不容易销毁证据，被截取的数据不仅包括入侵的方法，还包括 可以定位入侵对象的信息。 3 能够作到实时检测和响应，一旦发现入侵行为就立即中止攻击。 4 可以检测到未成功的入侵。 5 n i d s 不依赖于被保护主机的操作系统。 从技术上看，混合的入侵检测系统可以弥补一些基于网络和基于主机的片面 性缺陷。 三、基于内核的入侵检测系统 基于内核的监视器从操作系统内部收集数据，作为入侵检测或异常行为的依 据。这种系统的特点是具有良好的监测效率和数据源的可信度，目前主要针对的 操作系统是开放源代码的l i n u x ，有o p e n w a l l 和l i d s 。它们都采取了防止缓冲 区溢出、增强文件保护、阻塞信号等手段，从而提高了攻击者侵入系统的难度。 l i d s 还对根用户的操作进行了限制，例如：安装监听程序、改变防火墙的规则 等。该系统目前仍处于研究阶段。 四、基于应用的入侵检测系统 目前的系统越来越趋向于面向对象和分布式结构，要想在单一的操作系统层 次上获取整个系统的完整信息，已经不太可能了。而应用同志通常代表了系统活 动的用户级抽象信息。 基于应用的监视器从运行的应用程序中收集数据。数据源包括了应用事件日 志和其他存储于应用程序内部的数据信息。如数据库系统日志、w w w 服务器日 志等。 五、基于目标的入侵检测系统 基于目标的监视器使用密码啥希( h a s h ) 算法来监测系统对象的更改，并将 这种更改与系统的安全策略进行对照，以判断是否出现入侵或异常情况。最为常 见的基于目标的检测技术是完整性校验，可以监视系统对象( 如关键文件) 的状 态变化。与动态的审计机制和系统曰志不同，这种方法提供的是静态的安全检查。 因此，它的缺点就是不能满足实时检测的目的，它的优点是占用系统资源少，检 测成本低。完整性检查( i n t e g r i t yc h e c k ) 的基本方法是使用密码算法，计算需要 保护的系统对象的检验值，并存储在安全区域。计算检验值通常采用消息摘要算 北京工业大学工学硕士学位论文 法，在密码学中也称为单向哈希( h a s h ) 函数。如t r i p w i r e 采用的h a s h 算法包 括m d 5 、h a v a l 、s h a 和c r c 3 2 。 2 1 2 分析引擎 目前大多数学者将检测分析引擎的研究作为i d s 的关键因素，分析引擎可分 为基于行为的检测( 异常检测) 和基于知识的检测( 误用检测) 。 一、基于行为的检测 是指根据使用者的行为或资源使用状况的正常程度来判断是否发生了入侵， 雨不依赖于具体行为是否出现来检测，所以也称为异常检测( a n o m a l yd e t e c t i o n ) ， 异常检测技术是利用统计的方法来检测系统的异常行为，其需要建立目标系统及 其用户的正常活动模型，然后根据此模型对系统和用户的实际活动进行审计，来 判断是否对系统产生了入侵行为。主要包括概率统计和神经网络两种方法。 该方法的优点是：监测与系统相对无关，通用性强，它甚至能检测出以前未 出现过的新型攻击方法。然而因为不可能对整个系统内的所有用户行为进行全面 的描述，况且每个用户的行为是经常变动的，所以它的主要缺点是：误检率比较 高。 1 基于用户行为概率统计模型的入侵检测方法是基于对用户历史行为以及 在早期的证据或模型的基础上进行的，由审计系统实时地检测用户对系统的使用 情况，根据系统内部保存的用户行为概率统计模型进行检测。当发现有可疑的用 户行为发生时，保持跟踪并监测、记录该用户的行为。统计特征轮廓由主体特征 变量的频度、均值、以及偏差等统计量来描述，在基于统计性特征轮廓的异常检 测器中，使用统计的方法来判断审计与主体正常行为的偏差，如果偏差超过规定 的价值，那么确定有入侵行为发生。在统计模型中常用的测量参数包括审计事件 的数量、问隔时间、资源消耗情况等。目前提出的可用于入侵检测的几种统计模 型，有操作模型、方差、多元模型、马尔可夫过程模型、时间序列分析等。 统计方法的最大优点是它可以学习用户的使用习惯，从而具有较高检出率与 可用性。基于统计的入侵检测系统中，关键因素是选取合适的统计量、统计数据 的分析和判断以及利用统计理论提取用户或系统正常行为的特征轮廓。这种方法 主要缺点是对于非常复杂的用户行为，很难建立一个准确匹配的统计模型，再就 是统计模型没有普遍性，因此一个用户的检测措施并不适用于另一用户，使得算 法庞大且复杂。 使用该方法的有：d e n n i n g 的原始模型 3 1 、i d e s 6 1 、n i d e s 系统7 1 ( 由s r l i n t e r n a t i o n a l 公司开发1 、h a y s t a c k 9 】以及t u l a n e 大学的l i n d al a n k e w i c a 和m a r k b e n a r d 提出一种使用非参技术执行异常检测 1 。 2 基于神经网络的入侵检测方法 神经网络的引入对入侵检测系统的研究开辟了新的途径，由于它有很多优 点，如对用户行为具有学习和自适应的能力，因此，在基于神经网络的入侵检测 系统中，只要提供系统的审计数据，它就可以通过自学习从中提取正常的用户或 系统活动的特征模式，而不必对大量的数据进行存取，精简了系统的设计。基于 神经网络的检测方法具有普遍性，可以对多个用户采用相同的检测措施。但该方 第2 章入侵检测系统概述 法还不成熟，目前还没有出现较为完善的产品。 二、基于知识的检测 是指运用已知的攻击方法，根据已定义好的入侵模式，通过判断这些入侵模 式是否出现来检测，它通过分析入侵过程的特征、条件、排列以及事件间的关系 来描述入侵行为的迹象，基于知识的检测也被称为误用检测( m i s u s ed e t e c t i o n ) ， 主要包括模式匹配、专家系统和状态转换分析三种方法。 误用检测技术的优点，是能够具有针对性地来构造有效的入侵检测系统，其 准确度高，但它只能检测已知的入侵行为，不能检测未知的入侵行为。误用检测 技术的关键是入侵行为的表达、攻击签名的构造等。 1 模式匹配 也叫模式发现技术，就是将收集到的信息与已知的网络入侵和系统误用模式 数据库进行比较，从而发现违背安全策略的行为。模式发现的关键是正确表达入 侵的模式，将入侵与正常行为区分开来。 模式发现的优点是原理简单、扩展性好、检测效率高、误报少、可以实时检 测，局限是它只能发现已知的攻击，对未知的攻击无能为力。例如开放源代码的 s n o r t 就采用了这种检测手段。 2 专家系统 专家系统( e x p e r ts y s t e m ) 是晟早的误用检测方案之一，系统用规则来描述 用户或系统的特征轮廓，由推理方法根据用户行为来判断入侵活动。所谓的规则， 即是知识，它是根据安全专家对可疑行为的分析经验来形成的一套推理规则，然 后在此基础上建立相应的专家系统，专家系统自动进行对所涉及的攻击行为的分 析工作。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计 记录的完备性与实时性。入侵特征的抽取与表达，是专家系统的关键。其中规则 描述方法有基于i f t h e n 规则描述、基于判决树的规则描述和基于图形的描述 等。专家系统对历史数据的依赖性总的来说比基于统计模型的检测方法要少，因 此系统的适应性比较强，可以较灵活地适应广谱性的安全策略和检测需求。用专 家系统对入侵进行检测，经常是针对有特征的入侵行为。由于这类系统的推理规 则般都是根据已知的安全漏洞进行安排和策划的，因此对于来自于未知漏洞的 攻击通常就难以应付。 3 状态转换分析法 它将状态转换图应用于入侵行为的分析，把入侵过程看作一个行为序列，这 个行为序列导致系统从初始状态转入被入侵状态，它采用系统状态和状态转移的 表达式来描述已知的攻击模式。目前，实现状态转移的入侵检测有以下三种方法： 状态转移分析( s t a t e t r a n s i t i o na n a l y s i s ) 该系统使用有限状态机模型来表示 入侵过程，入侵过程由一系列导致系统从初始状态转移到入侵状态的行为组成。 初始状态表示在入侵发生之前的系统状态，入侵状态则代表入侵完成后系统所处 的状态。系统状态通常使用系统属性或用户权限来描述。用户的行为和动作导致 系统状态的转变。 着色p e t r i 网( c o l o r e d p e t f i n e t s ，简称c p - n e t s ) 和i d i o t 系统着色p e t r i n e t 】 北京工业太学工学硕士学位论文 和i d i o t i j 驯由p u r d u e 大学的s a n d e e pk u m a r 和g e n es p a f f o r d 研制。d i o t 使 用一种c p n e t s 的变种，用来表示和检测入侵模式，在这种模式下，一个入侵被 表示为一个c p n e t ，整个特征匹配过程由令牌( t o k e n ) 的动作构成，令牌在审 计记录的驱动下，从初始状态向最终状态( 表示入侵发生的状态) 逐步前进。 c p - n e t 中每个令牌的颜色来代表事件所处的系统环境，当令牌出现某种特定的 颜色时，预示着目前的系统环境满足了特征匹配的条件，此时就可以采取相应的 动作。 基于语言应用程序接1 2 1 的方法( l a n g u a g e a p i b a s e da p p r o a c h ) 该方法是 定义一种检测引擎可以识别的语言，用于对入侵行为的特征进行描述。著名的有 三种基于误用检测的入侵描述语言及其检测模型，分别是r u s s e l 语言、 s t a l k e r 系统和n c o d e 语言。 三、其他新的检测技术 在近期的入侵检测系统的发展过程中，研究人员还提出了一些新的入侵检测 技术，这些技术不能只是简单地归为误用检测或是异常检测，而是一种有别于传 统的入侵检测技术，例如免疫系统、基因算法、数据挖掘、基于代理的检测等， 他们提供了更具有普遍意义的分析技术，提出了新的检测框架。 1 免疫系统方法 免疫技术利用系统进程正常运动轨迹中的系统调用短序列集，来构建系统正 常行为活动的特征轮廓，当检测到特征轮廓中不存在的系统调用序列的量到达某 一条件后，就认为被监视的迸程正企图攻击系统。该方法n e wm e x i c o 大学提出， 该系统能够识别“自我非自我”，即与生物免疫系统类似，应能够识哪些组织属 于正常机体的，不属于正常的就认为是异常1 1 3 1 。但它不是一个对入侵检测问题彻 底的解决办法。 2 基因算法 该算法是进化算法的一种，引入了达尔文在进化论中提出的自然选择( 优胜 劣汰、适者生存) 的概念对系统进行优化。基因算法利用对“染色体”的编码和 相应的变异和组合，形成新的个体。入侵检测过程可以抽象为：为审计记录定义 一种向量表示形式，该向量对应于攻击行为或正常行为。 3 数据挖掘 数据挖掘指从存储的大量数据中识别出有效的、新颖的、具有潜在用途及最 终可以理解模式的高级处理过程。数据挖掘算法多种多样，来自统计、模式识别、 机器学习、数据库等多个领域。目前的主要算法包括如下几种： 数据分类( d a t ac l a s s i f i c a t i o n ) 算法数据分类的目的是提取数据库中数据项 的特征属性，生成分类模型，该模型可以把数据库中的数据项映射到给定类别中 的一个。这类算法的输出结果就是分类器，它可以用规则集或决策树的形式表示。 用于入侵检测时，可以先收集有关用户或应用程序的“正常”和“非正常”的审 计数据，然后用分类算法得到的规则集用来预测新的审计数据属于正常还是异常 行为。常用的算法有r i p p e r 、n a i v e b a y e s 、n e u r a l n e t w o r k 等。 关联分析( m i n i n ga s s o c i a t i o nr u l e s ) 算法发掘数据库记录中各数据项之间 的关系。利用审计数据中各数据项之间的关系作为构造用户正常使用模式的基 第2 章入侵检测系统概述 础。常用的算法有a p f i o da l g o r i t h m 、a p r i o r i t i da l g o r i t h m 。 序列分析( m i n i n gs e q u e n c e p a t t e r n s ) 算法获取数据库记录之间在时间窗口 中的关系。这类算法可以发现审计数据中的一些经常以某种规律出现的事件序列 模式。这些频繁发生的事件序列模式可帮助在构造入侵检测模型时选择有效的统 计特征。序列分析算法分为c o u n t a l l 算法和c o u n t - s o m e 算法两个大类。 c o u n t a 1 1 算法的代表是a p r i o f i a l l 。c o u n t s o m e 算法的代表是a r i o r i s o m e 和 d y n a m i c s o m e 。 因此，数据挖掘技术也用于入侵检测中。用数据挖掘引擎处理收集到的审计 数据，能为各种攻击行为和正常活动建立精确的行为模型，此过程可以自动完成， 无需人工分析。并且，相同的算法能用于多种证据数据，这样有助于满足系统的 可适应性要求。 4 基于代理( a g e n t ) 的检测 所谓a g e n t ，实际上可以看作是在网络中执行某项特定监视任务的软件实体。 a g e n t 通常以自治的方式在目的主机上运行，本身只受操作系统的控制，因此不 会受到其他进程的影响。如p u r d u e 大学的研究人员提出了一个入侵检测自治代 理 14 】a a f i d ( a u t o n o m o u sa g e n t sf o ri n t r u s i o nd e t e c t i o n ) 就采用了该方法。a g e n t 的独立性和自治性为系统提供了良好的扩展性和发展潜力。a g e n t 的灵活性保证 了它可以为保障系统的安全提供混合式的架构，综合运用误用检测和异常检测， 从而弥补两者的各自的缺陷。例如，可以建一个a g e n t 设置成通过模式匹配的算 法来检测某种特定类型的攻击行为，同时可以将另一个a g e n t 设置为对某项服务 程序异常行为的监视器，甚至将入侵检测的响应模块也作为系统的一个a g e n t 来运行。 目前，智能a g e n t 技术【l 川开始应用于入侵检测系统。智能a g e n t 比传统a g e n t 技术具有可移动性、安全性、一致性、互操作性等特征，能够连续不断地感知外 界以及自身状态的变化，并主动产生相应的动作。这些比专家系统有更好的效率。 2 1 3 响应 当入侵检测系统发现入侵后，应该选择合适的响应来解决问题。入侵监测系 统的响应分为主动响应( a c t i v er e s p o n s e ) 和被动响应( p a s s i v er e s p o n s e ) 以及混合 响应三种类型。 在主动响应中，系统自动或以用户设置的方式阻断攻击过程或以其他方式影 响攻击过程，包括针对入侵者采取的措施，如禁用入侵者机器或网络的连接、修 正系统和收集更详细的信息来记录攻击者的行为，作为进一步采取法律措施的依 据。而在被动响应中，系统只报告和记录发生的事件。它包括警报和通知。 2 2i d s 面临的挑战 1 误报 误报是i d s 中最令人头疼的问题。误报是指正常及合法使用受保护的网络和 计算机而被i d s 检测出的警报。一个有效的i d s 应限制误报出现的次数。假警 报不但令人讨厌，还会降低i d s 的效率。攻击者往往是利用包的结构伪造无威胁 北京工业大学工学硕士学位论文 的“正常”假警报，诱使网络管理员把d s 关掉。 2 黑客攻击 黑客攻击工具不断改进和增多，攻击技术日益完善，令i d s 防不胜防。特别 是，现今的攻击可能来自四面八方，经过一群技术高超的攻击者有组织、有目的 的策划，i d s 是很难对付它的，甚至会因为无法检测而造成大量漏报。 3 基于网络的d s 面临的挑战 首先，字符串匹配的方法对于加密的数据包无能为力，i d s 往往假设攻击信 息是通过明文传输的，因此攻击者可以利用加密骗过i d s 检测。其次，交换网 络造成网络数据流的可见性下降，影响了i d s 的功能。最后，快速网络的传输速 度超过了检测器处理数据包的速度，使数据的实时分析更加困难。 2 3 入侵技术的发展趋势 随着时间的推移，无论是规模还是方法入侵技术都有了很大的进步与发展。 然而入侵检测系统的研究还处于一个不完善的阶段，还有很多问题需要解决，在 此就一些问题和发展方向进行阐述。 1 分布式。早期出现的i d s 都采用集中化处理的系统框架，局限于单一的 主机或网络架构。然而，曰益复杂的网络体系结构、广泛采用的分布式应用环境、 海量存储和高带宽的传输技术，都使得集中式的入侵检测越来越不能满足系统需 求。目前分布式的入侵检测已成为i d s 系统的基本框架。 2 应用层入侵检测。许多入侵的语义只有在应用层才能理解，而目前的i d s 仅能检测如w e b 之类的通用协议，而不能处理如数据库系统等其他的应用系统 1 6 1 。 3 智能入侵检测技术。入侵检测方法越来越多样化与综合化，尽管已经有 智能体、神经网络等在入侵检测领域应用研究，但智能入侵检测系统研究工作处 于尝试性阶段，还不能形成真正实用的产品。 4 与其他网络安全技术整合。如与防火墙、病毒检测等新的网络安全技术 相结合，充分发挥各自的长处，协同配合，共同提供一个完整的以防火墙为核，t l 的网络安全体系。 5 自身安全性。d s 本身的健壮性是i d s 系统好坏的重要指标。i d s 的健 壮性要求系统本身在各种网络环境下都能正常工作，并且系统的各个模块之间的 通信能够不被破坏。这就需要在模块间的通信过程中引入加密和认证的机制，并 且这令加密和认证的机制的健壮性也要德到保证。 2 4 小结 本章从数据源、分析引擎和响应三个模块详细地介绍了i d s ，然后指出了i d s 面临的挑战以及发展趋势。 第3 章基于策略的入侵检测系统体系结构 第3 章基于策略的入侵检测系统体系结构 通过对已有入侵检测系统和入侵检测技术以及入侵检测发展趋势的大量研 究，本文设计了一个基于策略的入侵检测系统原型p b i d s ( p o l i c y - b a s e di n t r u s i o n d e t e c t i