（计算机应用技术专业论文）基于网络协议特性的统计入侵检测系统研究与实现.pdf

中文摘要 中文摘要 当我们越来越依靠信息基础设施作为国防、银行、电讯、运输、电力及其他有关国计民 生的社会系统的支撑措施时，我竹j 的社会就面j 临着承担入侵这些社会系统所带来的严重的灾 难性后果的威胁。因此，开展网络安全特别是入侵攻击与防范技术的研究，开发急需的、商 效实用的网络入侵检测系统，对计算机网络的发展和网络信息建设与应用都具有重要的意义。 入侵检测技术能够捕获隅j 入信息系统的入侵行为，这种技术是加强信息系统安全的一种 重要手段。现存的入侵检测技术可分为两大类：特征识别与异常检测两种技术。 由于t c p f i p 在网络互联方面的健壮性，使它在互联网中广泛流行。但是同是因为在设计 之初仅考虑它的易用性。对它的安全设计考虑的不是很充分，t c p i p 在使用过程中暴露了它 越来越多的漏洞与缺陷。这些漏洞与缺陷对网络上的入侵者来说，这是留给他们一试身手的 天然后门，因此使用t c p i p 协议联入i n t e r n e t 的信息系统不可避免的由于这些漏洞而时时承 受被攻击的威胁。 统计技术是入侵检测系统中现今最为成熟和常用的技术，它的一个突出优点是它具有精 确描述和处理牵涉于系统活动中的偏差与噪音的能力。 本文提出了一种基于网络协议特性的统计入侵检测模型，在该模型中用统计技术实现了 两种不同的入侵检测方法。针对网络协议通信的特性，从网络协议包中提取各种协议标志 构建向量p = 职，五，l ，这里z ( f = 1 , 2 ，p ) 表示协议标志的统计频数，在此基础上 设计特征检测与异常检测。实现特征检测使用了统计技术中x 2 检验的一种变体形式，j 列 联表的p e a r s o n 工2 检验技术：在实现异常检测时则用的是费歇( f i s h e r ) 判别法。 网络数据流中数据传输使用晟多的协议是口与t c p 协议，本文重点以职与t c p 协议为 研究对象，分析了邛与t c p 在传输数据时所留下的安全隐患。针对常见的入侵方式，选取 口协议包的分片标志( f r a g m e n tf l a g ) ：对于t c p 协议包，则选取t c p 连接初始标志s y n 、 t c p 连接断开标志f i n 与t c p 连接重置标志r e s e t 。在模型系统实现上向量p 韵组织形式为 p = “， ，a ， ) ，其中；、 、 与 分别表示f r a g m e n t 、f i n 、s y n 与r e s e t 在向量 p 中的频数。用z = ：f 来记数标志频数之和，z 为可调参数，在规定的时间段内当从网 络上获取的标志频数达到上限z 时则记p 为一检测模式。 现今商用或研究中的入侵检测系统用统计技术来做入侵检测时基本上都是用来做异常检 测。本文提出在基于网络特性基础上用统计技术实现特征检测与异常检测简化了入侵检测系 统实现的复杂性。 本文最后系统的介绍了入侵检测模型系统的详细设计过程，对各个功能模块作了详细的 叙述。 入侵检测的主要目的是在最短的时间内检测出尽可能多的入侵行为，为整个信息系统安 全管理者提交正确的决荒依据。从试验结果来看，本文提出的入侵检测系统有较好的效果。 关键词：网络安全；入侵检测；t c p p ；统计检测技术 图书分类号：t p 3 9 3 0 8 i i i a b s t r a c t a b s t r a c t a sw ei n c r e a s i n g l yr e l yo ni n f o r m a t i o ni n f r a s t m c t u f t st os u p p o r tc r i t i c a lo p e r a t i o n si nd e f e n s e ， b a n k i n g ，t e l e c o m m u n i c a t i o n ，t r a n s p o r t a t i o n ，e l e c t r i cp o w e r , a n dm a n yo t h e rs y s t e m s ，i n t r u s i o n si n t o i n f o r m a t i o ns y s t e m sh a v eb e c o m eas i g n i f i c a n tt h r e a tt oo r rs o c i e t yw i t hp o t e n t i a l l ys e v e r e c o n s e q u e n c e s t h e r e f o r e ，i ti sq u i 捃n e c e s s a r yf o ru st ot h r o u g ha n a l y z i n gp r o b l e m si nn e t w o r k s e c u r i t y , s u c ha si n t r u s i o na t t a c k t os t u d yi n t r u s i o nd e t e c t i o nt e c h n o l o g y , a n da l s ot od e v e l o p e f f e c t i v en e t w o r ki n t r u s i o n d e t e c t i o ns y s t e m s a n dt h e s er e s e a r c hw o r k sa r ev a l u a b l ea n di m p o r t a n t f o rt h ed e v e l o p m e n ta n da p p l i c a t i o no f n e t w o r ki n f o r m a t i o ns y s t e m s i n t r u s i o nd e t e c t i o nt e c h n i q u e sc a nc a p t u r ei n t r u s i o n sw h i l et h e ya r ea c t i n go na ni n f o r m a t i o n s y s t e m ，s oi t i sa ni m p o r t a n tm e a n st os h - e n g t h e nt h es a f e t yo fi n f o r m a t i o ns y s t e m e x i s t i n g i n t r u s i o nd e t e c t i o nt e c h n i q u e sf a l li n t ot w om a j o rc a t e g o r i e s ：s i g n a t u r er e c o g n i t i o na n da n o m a l y d e t e c t i o n b e c a u s ei t sr o b u s t n e s so ni n t e r c o n n e c t e d ，t c p i pb e c o m eq u i t ep o p u l a ri ni n t e m e t b u tw i t h c o n s i d e ri ta p tt ou s e ，f e ws e c u r i t ya tt h eb e g i n n i n go fd e s i g n ，t c p i ph a se x p o s e di t sm o l ea n d m o r ev u l n e r a b i l i t i e si nt h ec o u r s eo fu s i n g t h o s ev u h a e r a b i l i t i e sa n db u g s f o ri n v a d o r , a r ct h e n a t u r a lb a c kd o o rl e a v i n gt h e mt ot r yo n e sh a n d ，s oi n f o r m a t i o ns y s t e mt h a tu s et c p i pt ol i n k i n t e m e tu n a v o i d a b l eo f t e nb e a r i n gt h ea t t a c kt h r e a t s t a t i s t i c a lt e c h n o l o g yi st h er i p e s ta n dc o m m o n l yu s e di ni n t r u s i o nd e t e c t i o ns y s t e mt o d a y a n a d v a n t a g eo fs t a t i s t i c a l - b a s e dd e t e c t i o nt e c h n i q u e si st h e i rc a p a b i l i t yo fe x p l i c i t l yr e p r e s e n t i n ga n d h a n d l i n gv a r i a t i o n sa n dn o i s e si n v o l v e di na c t i v i t i e so f i n f o r m a t i o ns y s t e m t h i sp a p e rp r o p o s e sas t a t i s t i c a li n t r u s i o nd e t e c t i o nm o d e lb a s e do nc h a r a c t e r i s t i co ft h e p r o t o c o l s ，a n di m p l e m c n t at w ok i n d si n t r u s i o nd e t e c t i o nm e t h o d s t h i sp a p e rd e s i g ns i g n a t u r e d e t e c t i o na n d a n o m a l y d e t e c t i o nb a s e do nav e c t o r p = m ， ，正 ，w h e r e ，“= 1 , 2 ，p ) d e n o t e f r e q u e n c y o f a f l a g d r e w f r o m p r o t o c o l s p a c k e t s i n t h i s p a p e r , i m p l e m e n t s i g n a t u r ed e t e c t i o na p p l ya ，sc o n t i n g e n c yt a b l eo fp e a r s o n 工t e s tt e c h n i q u e st h a tav a r i a n t f o r mo f _ f 2 t e s t ，a n di m p l e m e n ta n o m a l yd e t e c t i o nu t i l i z ef i s h e r - d i s e r i m i n a n e e p r o t o c o l sm o s tu s e di nd a t at r a n s m i s s i o na r ei pa n dt c p , t h i sp a p e rl e g a r d si pa n dt c p t h e r e s e a r c ho b j e c t ，a n a l y z et h e i rp o t e n t i a ls a f e t yh a z a r d s d i r e c ta g a i n s tt h ec o m m o ni n v a s i o nw a y , t h e a t t r i b u t e so fv e c t o rpc o n s i d e r e da r eas u b s e to ft h et c pc o n t r o lf l a g s ，i e s y n ，f i n ，a n dr e s e t ， w e l la s t h en u m b e ro f f r a l v n e n t e d p a c k e t s t h e f o r m o f v e c t o r p i sp = m ， ，厶， i n m o d e l s y s t e m ，a m o n g f l 、五、五a n d a ，t h e ys e p a r a t e l y d e n o t e t h e f r e q u e n c yo f f r a g m e n t 、f i n 、s y n a n dr e s e t ，a n dd e f m eas i z ezo fap r o f i l ea st h es u m m a t i o no ft h ef r e q u e n c i e so ft h ei n d i v i d u a l a t t r i b u t e s ，w h e r ez = 五，zi sat u n a b l ep a r a m e t e r w h e nt h ef r e q u e n c y 。fa l lf l a g so b t a i n e d f r o mn e t w o r k 岍t l l i nf i x e dt i m es l o tr e a c h e su p p e rl i m i tz u s ev e c t o rpa sad e t e c t i o np r o f i l e i nc o m m e r c i a la n ds t u d y i n gi n t r u s i o nd e t e c t i o ns y s t e m ，s t a t i s t i c a lt e c h n i q u e sa r em o s tu s e di n a n o m a l yd e t e c t i o n t h i sp a p e rp u tf o r w a r di n t r u s i o nd e t e c t i o ns y s t e mt h a tu s es t a t i s t i c a lt e c h n i q u e s i m p l e m e n ts i g n a t u r ed e t e c t i o na n da n o m a l yd e t e c t i o nb a s e do nc h a r a c t e r i s t i co fp r o t o c o l s i t 重型查堂堡圭堂堡堡皇一 s i m p l i f i e st h ec o m p l e x i t yo f d e s i g na l li n t r u s i o nd e t e c t i o ns y s t e m l a s t ，sp a p e ri n t r o d u c e st h ed e t a i l e dd e s i g np r o c e s so fi n t r u s i o nd e t e c t i o nm o d e ls y s t e m ， a n dn a r r a t e se a c hf u n c t i o nm o d u l eo f t h em o d e ls ”t e m m a i nd u r p o s eo fi n t r u s i o nd e t e c t i o ni st od e t e c t i n ga sm a n yi n v a s i o nb e h a v i o r sw i t h i ns h o r t e s t t i m e r e f e rt h ec o r r e c td e c i s i o nb a s i sf o rt h es a f ea d m i n i s t r a t o ro ft h ew h o l ei n f o r m a t i o ns y s t e m a c c o f d 泣叠t or e s u l to ft h et e s t ，t b _ e r ea r eb e t t e re f f e c t s 酞t h ei n t r u s i o nd e t e c t i o ns y s t e mt h a t t h i s d i s s e r t a t i o np u t sf o r w a r d k e yw o n s ：n e t w o r ks e c u r i t y ；i n t r u s i o nd e t e c t i o n ；t c p i p ；s t a t i s t i c a ld e t e c t i o nt e c h n o l o g y v 第一章引言 第一章引言 随着全球信息化的飞速发展网络作为一种重要的信息传递手段，对于经济的发展和人 们之间的交流起着越来越重要的作用。但是，在网络建设蓬勃发展的同时，网络安全问题也 到了令人堪忧的地步。目前，利用计算机网络进行各类违法行为的数量呈上升之势，大到国 家、政府，小到企业、个人，无不意识到安全是网络的个重要属性。网络安全的隐患主要 来于如f 四个方面：一、网络的复杂性。网络是一个由众多环节构成的复杂系统，由于市场 利润、技术投入、产品成本、技术规范等等问题，不同供应商提供的环节在安全性上不尽相 同，这使得整个系统的安全程度被限制在了安全等级最低的那个环节。二、网络的高速发展。 由于网络的离速发展，提供新的网络服务内容，增加网络的开放性与互联性，必将更多的网 络环节纳入网络系统，使网络变得更加复杂化，这毫无疑问引发了网络的不安全| 生。三、软 件质量问题。软件质量难以评估是软件的一个特性现实中，即使运行了很长时间的软件， 也会在特定情况下出现漏洞。现代网络已经是软件驱动的发展模式，对软件的更大依赖性加 大了软件质量对网络安全的负面影响。四、其它非技术因素。这包括技术员在网络配置管理 上的疏忽或错误，网络实际运行效益与安全投入成本间的平衡抉择，网络用户的安全管理缺 陷等等。 当今世界，有大量的研究机构、社会团体、商业公司与政府部门投入到网络安全的研究， 并将此纳入到一个被称为信息安全的研究领域。虽然网络安全已经超越了纯技术领域，但是 网络安全技术仍然是解决网络安全问题最重要的基础和研究方向。除了基于密码学的各种增 强网络安全特性的手段如安全传输协议、数字签名、数字验证、各种数据加密技术、安全代 理等等，其它的可归类为防御( p r o t e c t i o n ) 、检测( d e t e c t i o n ) 、响应( r e s p o n s e ) 恢复( r e s t o r e ) 四个策略。网络入侵检测是是检测领域的代表性研究方向，在某些具体应用场合，恢复和响 应的某些特性也被集成到入侵检测系统中。同时，在对计算机网络犯罪行为举证的过程中， 入侵检测是不可或缺的技术基础。进一步的研究表明，在今后的网络安全应用方案中，以入 侵检测系统为中枢，控制和协调其它各策略产品，有针对性的发挥其各自最大的作用，将成 为必然的组建趋势。 入侵检测系统( d s ) 能帮助系统管理员对付网络攻击，扩展系统管理员的安全管理能力， 提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这 些信息，看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙 之后的第二道安全闸门，在不影响网络性能的情况下能对网络进彳亍监测，从而实现提供对内 部攻击、外部攻击和误操作的实时保护。 本文以当今最开放最普及同时也是晟容易受攻击和研究最多的t c p i p 网为研究对象，重 点关注由于t c p ，i p 网络协议的自身漏洞引起的安全隐患所导致的入侵行为。在基于协议特性 的基础上应用统计学原理进行入侵检测研究，充分结合特征检测与异常检测的优点，扬长避 短，构建入侵检测模型。 本文各章节内容安排如下： 第一章引言。 第二章网络安全概述。介绍网络安全的基本概念；网络安全模型。 贯州大学硕士学位论文 第三章 入侵检测系统。归纳入侵检测技术的要素；从特征检测与异常检测两个分类 出发，介绍入侵检测技术的算法思想：从不同角度举例和讨论算法思想及扩展：分析入侵检 测技术的优势和缺陷。 第四章t c p i p 协议分析。简要介绍t c p , q p 协议内容；介绍由于协议特性引起的入 侵隐患；举实例介绍应用协议安全隐患进行入侵的手段。 第五章 入侵检测中的多元统计技术。介绍多元统计技术的基本概念；详细介绍入侵 检测系统中应用的多元统计技术。 第六章 基于网络数据流协议特性的统计入侵检测模型。介绍基于网络数据流协议特 性的入侵检测方法；系统模型的构建；系统设计思想、原则与策略。 第七章 系统详细设计。介绍系统的工作流程、入侵检测的功能模块、日志记录模块、 入侵响应模块。 第八章结束语。 2 第二章网络安全概述 第二章网络安全概述 网络技术是一把“双刃剑”。网络的精妙在于互联，网络的问题也在于互联。信息网络国 际化、社会化、开放化和个人化的特点，给人们提供“信息共享”，带来了工作的高效率和生 活的高质量，同时，也投下了不安全的阴影。越来越多的计算机联成网络，开始进入了网上 每一台计算机都可能被另外的计算机攻击的时期。网上信息被泄露、篡改和假冒，黑客入侵， 计算机犯罪病毒蔓延和不良信息传播，国际上环境信息的获取、使用和控制的斗争等等， 对网络构成了严重威胁。随着政府、部门和行业对网络环境和网络资源依赖程度的加强，涉 及国家安全和社会公共安全的所有重大问题都在网络上表现出来。从发展趋势看，网络化决 定在国家安全领域的对抗不仅是军事的，而且更经常的是政治、经济、外交、科技和意识形 态等方面的。 网络技术带来的负面影响值得我们警惕和重视，但也不能因噎废食。世界上一切事物都 是在斗争中发展的，依靠人类智慧建立起来的网络，它所带来的网络风险，也一定可以依靠 人类智慧化解风险，趋利避害解决网络安全问题。 2 1 网络安全基本观点 网络安全基本上是一个实践性的技术领域，在网络安全的范畴内，包括三个基本元素： 数据：包括在网络上传输的数据与终端系统中的数据。 关系：网络作为交流的重要手段。涉及到通信各方信赖关系的建立与维护，这也是攻 击者比较感兴趣的一个方面。因为信赖关系的窃取就意味着能力和数据访问权力的获取，进 而可以转化为物理意义上的财富。 能力：包括网络系统的传输能力与终端系统的处理能力，前者意味者网络连接能力的 充分运用，而后者则意味着数据处理能力和服务提供能力等。 网络安全的意义，就在于为以上三个要素提供保护，保证这三者能够为所应用，为合适 的人服务。相应的，网络安全就包含以下三个基本方面： 数据保护：包括数据的机密性保护和完整性保护，主要针对数据窃取、数据篡改等攻 击基本的手段包括加密和访问控制。 ( 信赖) 关系保护：包括身份鉴别与安全建立、维护信赖关系，主要针对网络身份冒充、 连接截取等攻击。基本手段包括加密与协议的安全设计。 能力保护：包括对网络系统的传输功能与端系统的处理功能的保护。主要针对拒绝服 务、远程权力获取等攻击。能力保护的工作是入侵检测系统发挥作用之处。 为了达到以上三个目的，在实践经验和一些理论研究的基础上，提出了一些安全模型， 其中比较有代表性的就是p 2 d r 模型。 2 2 网络安全模型 并没有一种技术可完全消除网络中的安全漏洞。网络的安全实际上是理想中的安全策略 和实际的执行之间的一个平衡。 3 贵州大学硕士学位论文 安全理论模型p 2 d r 模型是一个超前的安全模型，它最初由i s s 公司( i n t e r a c ts e c u r i t y s y s t e m si n c ) 提出。它的指导思想比传统静态安全方案有突破性提高。p 2 d r 是p o l i c y ( 策 略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检测) 和r e s p o n s e ( 响应) 的缩写。由p 2 d r 四要素组 成完整的模型体系可以描述和解释任何信息安全问题。p 2 d r 安全模型的特点就是动态性和 基于时间的特性。图1 - 1 是p 2 d r 模型示意图。 p 2 d r 模型阐述了这样一个结论：安全的目标实际上就是尽可能地增大保护时间，尽量 减少检测时间和晌应时间。 p o l i c y ( 安全策略) ：安全策略是p 2 d r 安全模型的核心，所有的防护、检测、响应都是依 据安全策略实施的，企业安全策略为安全管理提供管理方向和支持手段。策略体系的建立包 括：安全策略的制订、评估执行等。制订可行的安全策略取决于对网络信息系统的了解程度。 p r o t e c t i o n ( 保护) ：保护通常是通过采用一些传统的静态安全技术及方法来实现的，主 要有防火墙、加密、认证等方法。 d e t e c t i o n ( 检测) ：在p 2 d r 模型中，检测是非常重要的一个环节，检测是动态响应和加 强防护的依据，它也是强制落实安全策略的有力工具，通过不断地检测和监控网络和系统， 来发现新的威胁和弱点，通过循环反馈来及时做出有效的响应。网络的安全风险是实时存在 的，所以我们检测的对象应该主要针对构成安全风险的两个部分：系统自身的脆弱性及外部 威胁。 r e s p o n s e ( 响应) ：紧急响应在安全系统中占有最重要的地位，是解决安全潜在性晟有效 的办法。从某种意义上讲，安全问题就是要解决紧急响应和异常处理问题。要解决好紧急响 应问题，就要制订好紧急响应的方案，做好紧急响应方案中的一切准备工作。 2 3 入侵检测在p 2 d r 模型中的位置与作用 入侵检测就是p 2 d r 模型中的检测，它的作用在于承接防护和响应的过程。 入侵检测是p 2 d r 模型作为个动态安全模型的关键所在可以说提出p 2 d r 模型的原 因就是入侵检测技术，这一点可以从p 2 d r 模型的提出者看出一i s s 正是全球领先的入侵检 测系统提供商。 网络安全近几年的热点发展过程基本是按照以下顺序进行： 防火墙技术的研究：在网络边界保卫内部网。 4 第二章网络安全概述 v p n 技术的研究：连接分散的内部网，完成内部网外延的扩大，与防火墙技术结合比 较紧密。 认证p 技术的研究：进一步扩大内部网的外延，同时建立广义的信任关系。 入侵检测技术的研究。 可以看出，除了入侵检测技术，其他几项都是立足于防。从这个发展趋势可以看出，在 不断加强防护的同时，人们己经越来越意识到只有防护是不够的，近两年频繁的网络攻击事 件也证明了这种观点。 如果与真实世界相比拟的话，防火墙等技术就像是一个大楼的安防系统，虽然它可能很 先进也很完备，但是仍然需要与监视系统结合来进行，仍然需要不断地检查大楼包括安防系 统本身。 网络安全也是如此，在设计现有防护系统的时候，只可能考虑到已知的安全威胁与有限 范围内的未知安全威胁。防护技术只能做到尽量阻止攻击企图的得逞或者延缓这个过程，而 不能阻止各种攻击事件的发生。更何况在安全系统的实现过程中，还有可能留下或多或少的 漏洞，这些都需要在运行过程中通过检测手段的引入来加以弥补。 2 4 本章小结 网络安全是信息产业的关键一环。在本章中 前流行的网络安全模型p 2 d r 模型进行了介绍 中的位置与作用。 5 对网络安全的概况作了简略的叙述，对当 简单的介绍了入侵检测技术在p 2 d r 模型 第三章入侵检测系统 第三章入侵检测系统 入侵检测技术i d s 是一种主动保护自己免受攻击的一种网络安全技术。入侵检测技术能 够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力( 包括安全审计、监视、攻击 识别和响应) ，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集 信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性 能的情况下能对网络进行监测。它可以防止或减轻上述的网络威胁。 3 1 入侵检测系统的发展历程 1 9 8 0 年4 月，j a m sp a n d e r s o n 为美国空军作了一份题为( c o m p u t e rs e c u r i t yt h r e a t m o n i t o r i n g a n d s u r v e i l l a n c e ) ( 计算机安全威胁监控与监视) 的技术报告，第一次洋细阐述了入 侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、 内部渗透与不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公 认为是入侵检测的开山之作。 从1 9 8 4 年到1 9 8 6 年，美国乔治敦大学的d o r o t h yd e n n i n g 和s r i c s l ( s r j 公司计算机 科学实验室) 的p e t e r n e u m a n n 研究出了一个实时入侵检测模型，取名为i d e s ( 入侵检测专家 系统) “”。该模型由六个部分组成：主体、对象、审计记录、轮廓特征、异常记录、活动规 则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵系统提供了 一个通用的框架。 1 9 8 8 年，s r f c s l 的t e r e s al u n t 等人改进了d e n n i n g 的入侵检测模型，并开发出了一 个d e s 。该系统包括一个异常检测器和一个专家系统，分别用于统计异常模型的建立和基于 规则的特征分析检测( 如图2 1 所示) 。 图3 - 1i d e s 结构框架圈 1 9 9 0 年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的 lt h e b e f l e i n 等人开发出了n s m ( n e t w o r ks e c u r i t ym o n i t o r ) 。该系统第一次将网络数据流作 为审计数据来源，因而可以在不将审计数据转换为统一格式的情况下监控异常主机。从此之 后入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的i d s 和基于主机 的i d s 。 1 9 8 8 年的莫里斯蠕虫事件发生之后，网络安全才真正引起了军方、学术界和企业的高度 6 贵州大学硕士学位论文 重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗摩尔国家实 验室、加州大学戴维斯分校、h a y s t a c k 实验室，开展对分布式入侵检测系统( d i d s ) 的研究， 将基于主机的和基于网络的检测方法集成到一块，其总体结构如图2 2 所示。 图3 - 2d i d s 结构框图 d i d s 是分布式入侵检测系统历史上的一个里程碑式产品，它的检测模型采用了分层结 构，包括数据、事件、主体、上下文、威胁、安全状态等六层。 从2 0 世纪9 0 年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能 化和分布式两个方向上取得了长足的发展。目前，s r f c s l 、普渡大学、加州大学戴维斯分 校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表 了当前的最高水平。 3 2 入侵检测系统的分类及其特点 经过近二十年时问的发展，入侵检测产品开始步入快速的成长期。一个入侵检测系统通 常由两部分组成：传感器( s e n s o r ) 与控制台( c o n s o l e ) 。传感器负责采集数据( 网络包、系统日 志等) 、分析数据并生成安全事件。控制台主要起到中央管理的作用。入侵检测系统( i d s ) 就是在系统中某个位置，监控整个系统的资源和信息的使用状况以及系统的状态来检测是 否存在入侵行为的计算机软件与硬件设备。它具有对非正常行为( 攻击和入侵) 的识别判断 能力，并会做出适当的应对措施。入侵检测系统具有较高的智能，它在对出入系统的数据进 行实时监控的同时，搜集、整理数据报文中各个协议层和数据内容中的可疑信息，对当前的 系统( 网络或主机) 状态和用户行为做出推断，是否有入侵发生。 按照数据来源以及检测对象的不同，入侵检测系统基本上分为以下三类1 4 w ：基于主机的 系统和基于网络的系统以及混合的入侵检测系统。 3 2 1 基于主机( h o s t - b a s e d ) 的入侵检测 基于主机的入侵检测系统( h i d s ) 通常是安装在被重点检测的主机之上，主要是对该主 机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑( 特 征或违反统计规律) ，入侵检涮系统就会采取相应措施。 基于主机的i d s 分析几个方面来判定滥用( 来自网络内部的蓄意或妄用活动) 或入侵 ( 来自外界的突破) 情况。基于主机的i d s 考查若干日志文件( 内核、系统、服务器、网 7 第三章入侵检测系统 络、防火墙等等) ，并拿目志文件和常见已知攻击的内部数据库进行比较。基于主机的i d s 过 滤日志( 记录网络和内核事件的日志可能会非常详细) 、分析日志、使用它自己的严重性级别 系统来重新给异常消息标签、并把它们收集到它自己的特殊日志以供管理员分析使用。 早期的i d s 大部分都是基于主机的系统，图3 - 3 是基于主机i d s 的逻辑视图。 主机 图3 - 3 基于主机i d s 的逻辑视图 主机入侵检测系统的优点： 主机入侵检测系统对分折“可能的攻击行为”非常有用。举例来说，有时候它除了指出 入侵者试图执行一些“危险的命令”之外，还能分辨出入侵者干了什么事：他们运行了什么 程序、打开了哪些文件、执行了哪些系统调用。主机入侵检测系统与网络入侵检测系统相比 通常能够提供更详尽的相关信息。 主机入侵检测系统通常情况下比网络入侵检测系统误报率要低，因为检测在主机上运行 的命令序列比检测网络流更简单，系统的复杂性也少得多。 主机入侵检测系统可部署在那些不需要广泛的入侵检测、传感器与控制台之间的通信带 宽不足的情况下。主机入侵检测系统在不使用诸如“停止服务”、“注销用户”等响应方法 对风险较少。 主机入侵检测系统的弱点： 主机入侵检测系统安装在我们需要保护的设备上。举例来说，当一个数据库服务器耍保 护时就要在服务器本身上安装入侵检测系统。这会降低应用系统的效率。此外，它也会带 来一些额外的安全问题，安装了主机入侵检测系统后。将本不允许安全管理员有权力访问的 服务器变成他可以访问的了。 主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力。如果服务器 没有配置日志功能。则必需重新配置，这将会给运行中的业务系统带来不可预见的性能影响。 全面部署主机入侵检测系统代价较大，企业中很难将所有主机用主机入侵检测系统保护， 只能选择部分主机保护。那些未安装主机入侵检测系统的机器将成为保护的盲点，入侵者可 利用这些机器达到攻击目标。 主机入侵检测系统除了监测自身的主机以外根本不监测网络上的情况。对入侵行为分 析的工作量将随着主机数目增加而增加。 8 国 e 一 啼 、 m 十上 掷一 贵州大学硕士学位论文 3 2 2 基于网络( n e t w o r k - b a s e d ) 的入侵检测 基于网络的入侵检测系统( n i d s ) 放置在比较重要的网段内，不停地监视网段中的各种 数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与系统内置的某些规则 吻合，入侵检测系统就会发出警报甚至直接切断网络连接。 基于网络的i d s 最早出现于1 9 9 0 年，使用原始网络包作为数据源。基于网络的i d s 通 常利用一个运行在随机模式f 的网络适配器来实时监视并分析通过网络的所有通信业务。它 的攻击辨识模块通常使用四种常用技术来识别攻击标志：模式、表达式或字节匹配频率 或穿越阀值低级事件的相关性统计学意义上的非常规现象检测。 目前，大部分入侵检测产品是基于网络的，图3 _ 4 是基于网络i d s 的逻辑视图。 f 习 ，弋 i n t e r n e t 主一 内部阿络 l j 图3 - 4 基于网络i d s 的逻辑视图 网络入侵检测系统的优点： 网络入侵检i 贝9 系统能够检测那些来自网络的攻击，它能够检测到超过授权的非法访问。 一个网络入侵检测系统不需要改变服务器等主机的配置。由于它不会在业务系统的主机 中安装额外的软件，从而不会影响这些机器的c p u 、i o 与磁盘等资源的使用，不会影响业 务系统的性能。 由于网络入侵检测系统不像路由器、防火墙等关键设备方式工作，它不会成为系统中的 关键路径。网络入侵检测系统发生故障不会影响正常业务的运行。部署个网络入侵检测系 统的风险比主机入侵检测系统的风险少得多。 网络入侵检测系统近年内有向专门的设备发展的趋势，安装这样的一个网络入侵检测系 统非常方便，只需将定制的设备接上电源，做很少一些配置，将其连到网络上即可。 网络入侵检测系统的弱点： 网络入侵检涣 系统只检查它直接连接网段的通信不能检测在不同网段的网络包。在使 用交换以太网的环境中就会出现监测范围的局限。而安装多台网络入侵检测系统的传感器会 使部署整个系统的成本大大增加。 网络入侵检测系统为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻 击，而很难实现些复杂的需要大量计算与分析时间的攻击检测。 基于网络的入侵检测系统。它通过在同段上对通信数据的侦听来采集数据。当它同时检 测许多台主机的时候，系统的性能将会下降，特别是在网速越来越快的情况下。由于系统需 要长期保留许多台主机的受攻击信息记录，所以会导致系统资源耗竭。 尽管基于网络的i d s 存在这些缺点但由子基于网络的1 d s 易于配置和易于作为一个独 立的组件来进行管理而且它们对受保护系统的性能不产生影响或影响很小，所以基于网络的 i d s 仍然很受欢迎。 9 第三章入侵检测系统 3 2 3 混合入侵检测系统 基于主机的入侵检测系统和基于网络的入侵检测系统都有其不足之处，单纯使用一类系 统会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类系统能够无缝结合 起来部署在网络内则会构架成一套完整立体的主动防御体系，综台了基于主机和基于网络 两种结构特点的入侵检测系统，既可从系统曰志中发现异常情况。也能发现网络中的攻击信 息。 3 3 入侵检测技术 根据h e a d y 4 1 1 等人对入侵的定义，一种入侵行为就是一系列企图危及信息资源的完整性、 可信性或可用陛的活动的集合，对于这种恶意行为的辨别就是入侵检测。现存的入侵检测方 式主要分属于以下两类 1 4 2 1 ：特征检测与异常检测。 3 3 1 特征检测技术 特征检测”“( s i g n a t u r e b a s e dd e t e c t i o n ) 又称误用检测( m i s u s ed e t e c t i o r t ) ，这一检测假 设入侵者活动可以用一种模式( p r o f i l e ) 来表示，系统的目标是检测主体活动是否符合这些 模式。它可以将已有的入侵方法捡测出来，但对新的入侵方法无能为力。其难点在于如何设 计模式既能表达入侵现象又不会将正常的活动包含进来。 一个典型的基于特征的入侵检测系统如图3 - 5 所示。 基于特征的入侵检测系统通过使用某种模式或者标识表示攻击，进而发现相同的攻击。 特征信号标识需要对入侵的特征、环境、次序以及完成入侵的事件相互间的关系进行详细的 描述，这样特征信号标识不仅可以检测出入侵行为而且可以发现入侵的企图，特征信号局 部上的符合就可能代表一个入侵的企图。 at y p i c o lm l s u , s eo o t 鲥l o ns y s t e m m o o n y 删r 口n j 鹃 图3 - 5 典型的基于误用入侵检测系统模型 对于基于特征的检测系统来说最重要的技术问题有： 如何全面描述攻击的特征，覆盖在此基础上的变种方式。 如何排除其他带有干扰性质的行为，减少误撤率。 解决问题的方式。 3 3 1 1 基于特征的入侵检测系统类型 主要的基于特征的检测系统类型有以下几种： 1 0 贵州大学硕士学位论文 l 专家系统 入侵检测专家系统最显著的特征是采用一定的规则表示攻击的行为，把根据规则进行的 推理过程从解决问题的过程中分离出来。专家系统是基于i f - t h e n 原则的匹配系统，即将已知 的入侵行为模式用条件推出结果的逻辑来描述，然后对逻辑描述编码成规则来判断是否是入 侵。该技术的优点在于计算机的实现非常简单，缺点在于将知识转化为有顺序的条件推理是 非常有难度的，因为在很多情况下，入侵行为并没有明显的顺序。 2 模刭推理系统 模型推理系统主要通过构建一个入侵行为检测模型，对一些可见的行为进行相关性分析， 从中推导出相关联的攻击行为。模型推理技术是基于特征检测中一种复杂的实现技术，它的 设计思想是建立一个入侵行为的模型库，每一模型中又包含有不同的行为特征，当个特征 进行匹配后，该技术将主动在审计记录里寻找该状态中的其他匹配特征。芾j 用该技术建立模 型库的主要方法是统计和数据挖掘。 3 状态转换分析系统 状态转换分析系统主要是把攻击行为描述成系统一系列状态的转化，通过对系统状态的 监视找出攻击。 4 模式匹配系统 模式匹配系统主要是用一定的模式描述来提取攻击的特征通过匹配机制从审计事件中 发现攻击，相对于以上的三种技术是最为简单的实现方式。通过在已知入侵行为的相关数据 中提取