（交通信息工程及控制专业论文）入侵追踪技术研究.pdf

南京航空航天大学硕士学位论文 i 摘摘 要要 随着网络技术的快速发展和广泛应用，网络入侵行为给用户带来的影响 和损失越来越大，网络信息安全技术的研究显得日益迫切。本文旨在探讨入 侵追踪技术， 以在检测入侵的基础上， 研究寻找入侵攻击源的技术及其措施。 本文首先分析入侵检测技术及其研究现状和发展趋势，分析总结当前入 侵追踪技术的几种典型算法特点，并对其性能进行对比，将数据包标记算法 作为本文的重点研究内容。本文利用 hash 函数，ip 报头和自适应概率特性， 设计了基于 hash 函数的数据包标记追踪引擎。并在此基础上引入智能化的 agent 技术，构造了一个基于多 agent 的分布式入侵追踪系统ditsba。文 中较详细地论述了系统的实现目标、工作原理、体系结构及其各组成模块的 功能与相互关系。通过对 ditsba 的入侵追踪模拟试验，对实验结果进行分 析和评估。分析结果表明，在设定的目标和条件下，该系统执行效率较高， 数据存储量小，追踪成功率较高。论文最后对 ditsba 提出了进一步改进的 建议。 关键字：入侵检测，入侵追踪，数据包标记，agent，hash 函数 入侵追踪技术研究 ii abstract with the development and the aboard application of network, network intrusion has imposed more and more effect on users and their information. so it becomes increasingly pressing to the research of network information security. this thesis is for the purpose to explore the intrusion tracing technology. it is a research on the technology and measures to find out the source of intrusion attacks on the foundation of intrusion detection. this thesis introduces firstly the intrusion detection technology and its present situation and future development. the analysis summarizes the characteristics of several typical algorithms to current intrusion tracing technology, and afterwards makes a contrast to their different performance. the packet-marking algorithm is taken as key research content in this thesis. with the utilization of hash function, ip and adaptive probability, a hash-based packet-marking tracing engine is designed. based on this engine, distributed intrusion traceback system based on multi-agentditsba is presented, which integrates the intelligent agents. the system realization goal, work principle, the system structure and each composition module function and reciprocity are elaborated. the performance of the system ditsba is analyzed and evaluated, and the suggestion to the further work on ditsba is given. key word: intrusion traceback, intrusion detection, packet-marking, agent, hash 承诺书 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立 进行研究工作所取得的成果。尽我所知，除文中已经注明引用的内容 外，本学位论文的研究成果不包含任何他人享有著作权的内容。对本 论文所涉及的研究工作做出贡献的其他个人和集体， 均已在文中以明 确方式标明。 本人授权南京航空航天大学可以有权保留送交论文的复印件， 允 许论文被查阅和借阅,可以将学位论文的全部或部分内容编入有关数 据库进行检索，可以采用影印、缩印或其他复制手段保存论文。 (保密的学位论文在解密后适用本承诺书) 作者签名： 日 期： 南京航空航天大学硕士学位论文 v 图表图表 图 2.1 最早的入侵检测模型 .6 图 2.2 通用的入侵检测模型 .6 图 2.3 基于主机的入侵检测系统结构 .9 图 2.4 基于网络的入侵检测系统结构 .10 图 2.5 主动对抗式入侵响应框架 .15 图 2.6 大规模网络入侵响应模型 .16 图 2.7 基于 netfilter 的主动响应框架.16 图 3.1 控制溢出反向追踪 .23 图 3.2 边缘采样中使用的地址图 .25 图 3.3 报文格式 .26 表 3.1 各种攻击源追踪技术比较 .27 图 3.4 ip 报头内容.30 图 3.5 数据包头长度对冲突率的影响 .31 图 3.6 光晕滤波加入 k 的 hash 函数.32 图 3.7 利用路径反转追踪攻击源 .35 图 4.1 拒绝服务攻击的方式 .41 图 4.2 系统总体结构图 .43 图 4.3 系统模型的交互界面框架 .50 图 4.4 交互界面 .51 图 4.5 概率 0.125 下攻击路径长短对错误判断率的比较 .52 南京航空航天大学硕士学位论文 1 第一章第一章 绪论绪论 随着网络技术的飞速发展，互联网的广泛应用达到指数级的增长。在网 络应用大规模发展的同时，出现了网络及信息安全问题。网络信息安全问题 很大一部分是由于入侵引起的，因此各种防范入侵等行为的技术研究摆在了 我们面前。入侵检测、追踪和响应技术是动态地防御非法入侵者，即主动对 网络中的信息系统造成恶意的行为进行识别、追踪，并对这些行为做出实时 响应，采取对应措施，以保障网络系统及其信息的安全。 1.1 研究现状研究现状 入侵检测技术是近 20 年发展起来的新一代网络及信息安全防范技术， 通 过对计算机网络系统中的若干关键点搜集信息并对其进行分析，从中发现是 否有违反安全策略的行为和被攻击的迹象。随着网络的日益复杂，集中式入 侵检测系统暴露出越来越多的缺陷，如缺乏扩展性、易单点失效和中央控制 台成为瓶颈等。这些固有的缺陷依靠已有的技术难以获得突破性的进展。因 此，基于网络的分布式入侵检测的研究，已成为当前入侵检测领域的研究重 点。此外，在入侵检测系统的研究发展中，研究人员提出了一些新的入侵检 测技术，这些技术不能简单的归为误用检测或者异常检测，而提供了一种有 别于传统方法的技术层次，如数据挖掘、人工智能、专家系统、神经网络、 基于 agent 的检测等1。 入侵追踪是在入侵检测后对攻击源进行查找和定位的过程，同时也是对 网络中的犯罪行为实施者进行追查，阻止其继续入侵，严重的可以进行取证 以便采取法律手段对犯罪分子进行制裁。国内外对入侵追踪技术的研究，由 于网络攻击特别是本世纪初 ddos（分布式拒绝服务攻击）的猖獗，逐步引 起重视并展开2。目前的追踪技术，主要从距离被攻击者比较近的路由器开 始查找，通过不断的测试上级路由器，查找哪一级路由器中有被攻击的信息 通过。这种技术要求在查找攻击源的过程中，攻击源的攻击是一直维持的， 如果停止就将无法追查。 到目前为止国内外的研究人员提出了一些追踪 ip 包 源地址的方法，如 icmp 追踪（itrace）引入一个新的消息，帮助网络服务提 入侵追踪技术研究 2 供商鉴别伪造的 ip 包的真实源 ip 地址3； 利用 ipsec 安全协议结合认证头来 提供追踪攻击源4；利用概率的数据包标记方法，对网络中通过的数据以一 定的概率进行标记，用来提供路径回溯5。利用记录关键路由器上的数据包， 提取数据得到攻击源的信息。 虽然有不少网络追踪的技术问世，但是解决追踪攻击源问题的研究结果 和实际应用还有很大的差距。在入侵追踪技术中，数据包标记具有较大的优 越性能，因此利用这种技术追踪的研究最多，提出了一些算法：基本包标记； 高级包标记；带认证的包标记；自适应包标记等。这些算法面临的困难有： 如何从具有伪装信息的大量数据包中提取正确的、符合要求的数据包信息； 如何记录大量的数据包信息；如何降低错误率；如何提高入侵追踪技术的智 能化等。如何解决以上这些困难，是目前研究的重点也是入侵追踪技术发展 的趋势。 入侵响应技术在国内外的发展普遍比攻击技术缓慢，入侵响应机制的性 能都十分有限，基本上都停留在人工手动的处理方式。现有的入侵响应系统 可以分为通知警报系统，手动响应系统和自动响应系统三大类6。其中通知 和警报型占主导地位。 1.2 课题背景和研究内容课题背景和研究内容 计算机网络给人们的工作、生活带来了巨大的便利，同时网络也带来了 信息安全的问题。引起目前的信息安全问题有主客观的原因。客观上：网络 协议本身的设计就有潜在的缺陷，网络的目的性（开放性） ，网络系统在如今 的计算机软硬件发展下的复杂性不断增加以及各种终端分布的不平衡性等； 主观上：一些黑客的攻击，恶意软件的发展，还有一些企图通过攻击别人或 单位的信息系统来获取自身的利益。 拒绝服务攻击（dos）是最近发展起来的一种攻击手段，它消耗被攻击 主机的网络资源， 使得正常用户对网络的请求无法响应。 由于攻击容易实施， 很难防范又不容易查找攻击源，所以这种攻击是信息安全问题中最难以解决 的。在过去的几年中，互联网上的拒绝服务攻击在不断的增加。根据美国计 算机应急响应小组（cert）公布的数据显示，每年拒绝服务攻击数量以百分 之五十的速度上升7。更令人担忧的是，最近的报告显示，拒绝服务攻击已 南京航空航天大学硕士学位论文 3 经采用了分布式的攻击方式，攻击源通过多级控制来发动攻击8。 然而，信息安全技术的研究对于阻止拒绝服务攻击等入侵行为是比较落 后的。对于拒绝服务攻击等入侵，很多方法和技术只能减轻对被攻击者的影 响9。采用最多的一种方法是攻击比较严重时中断该网络提供的服务，可是 这种方法并不能消除攻击的存在。最近国内外都在重视发展入侵者的追踪技 术，希望从源头阻止对被攻击者的攻击。 要解决拒绝服务攻击最好的方法就是通过非直接的过滤，找到真正的攻 击源。例如：一次分布式拒绝服务攻击的发动，需要很多数据包，而这些数 据包是一台主机通过分布在不同地方被它控制的主机发出的。这种间接的攻 击，有的攻击命令直接通过攻击源得到，有的通过反射体（被攻击源控制的 主机）得到。更加先进的攻击，攻击源和被控制的攻击者伪造地址来隐藏自 身，使攻击更加隐秘。 查找网络攻击路径在本文有限制的研究中，也是一件很困难的事，其中 互联网的无界性是引起这种困难最主要的原因。另外攻击者经常利用欺骗、 伪装等手段隐藏自己的真实 ip 地址。 这些攻击数据包对目标机不断的发动攻 击，然而留给被攻击者可以用来追查攻击源的有用信息少之又少。 本文从事的研究工作，重点集中在追查发动直接攻击的网络路径，称为 追踪问题。对于不完全的或近似的信息对追踪也很有用，追踪本身就要对进 入被攻击者电脑的数据包进行过滤，查找有用的数据，用来分析路径。 对入侵进行追踪，首先必须检测到是否已被入侵，此后才能去追查入侵 源。因此本文首先研究入侵检测的一些关键技术，同时对一些入侵响应技术 进行探讨。 文章深入研究入侵追踪的一些方法， 特别是对 hash 函数在数据包 标记中的应用研究，提出了追踪拒绝服务攻击的攻击源追踪方案，利用 hash 函数构建了基于多 agent 的入侵追踪系统，并对实现系统的多 agent 技术进 行了探究。 1.3 内容安排及研究成果内容安排及研究成果 本文从入侵检测技术开始展开讨论，首先介绍了入侵检测技术的一些基 本技术和关键技术，对这些技术按照不同的分类法进行了归类。然后对入侵 检测技术在当前的技术条件下进行了展望，并预测了未来的发展方向和期望 入侵追踪技术研究 4 取得的成果。第三章中首先对入侵追踪进行了定义，提出了入侵追踪技术的 假设和需要达到的目标。简单介绍 ip 地址追踪的命令和方法，对一些目前比 较热门的追踪技术进行了分类讨论。 提出了基于 hash 函数的自适应概率的数 据包标记的入侵追踪方法，并以此提出了一个入侵追踪引擎。第四章设计了 一个基于多 agent 的入侵追踪系统，并论述系统功能和结构。 本文的研究成果主要体现在利用设计的 hash 函数对通过路由器的数据 包进行自适应概率标记，在路由器中安装该追踪引擎，快速高效地进行数据 包标记，通过设计的基于多 agent 的分布式系统，实现入侵追踪技术地有效 应用。 南京航空航天大学硕士学位论文 5 第二章第二章 入侵检测技术分析入侵检测技术分析 本章从入侵检测系统的基本概念开始，用不同的分类方法总结了各种入 侵检测技术，并对今后的发展趋势以及入侵响应的一些基本技术四个方面进 行阐述。入侵检测是入侵追踪的前提条件，当检测到有入侵行为，分析这些 入侵行为是否需要追踪攻击源，并对追踪结果进行适当的响应。入侵检测是 安全防范的开始，直接关系到入侵是否追踪和响应。入侵响应是入侵追踪查 找到真正的攻击源之后，对其采取的一些合理措施。 2.1 入侵检测基础技术入侵检测基础技术 john anderson 在 1980 年的“计算机安全威胁的监察与监管（computer security threat monitoring and surveillance） ”中首次提出了入侵检测的思想。 几年以后，入侵检测系统的抽象模型在 1987 年 dorothy.e.denning 论文“入 侵检测模型（an intrusion detection mode） ” 10中提出，首次将入侵检测的概 念作为一种计算机系统安全防御问题的措施提出，与传统加密和访问控制的 常用方法相比，ids 是全新的计算机措施。1988 年的莫里斯蠕虫事件使得社 会对计算机安全从静态防御提升到动态防御，引起了许多 ids 系统的开发研 究。 “入侵检测”通常定义为：识别对计算机或网络信息的恶意行为，并对 此行为做出响应的过程。具有入侵检测功能的系统统称为入侵检测系统，简 称 ids。 最早的入侵检测模型即 denning 提出的，该模型是基于主机的入侵检测 系统，根据监测的数据变化差异发现系统的入侵行为，如图 2.1 所示。 入侵追踪技术研究 6 图 2.1 最早的入侵检测模型 通用的入侵检测系统的模型是从 denning 的模型中发展起来的。经过提 炼，分析出的一个模型。如图 2.2 所示。 图 2.2 通用的入侵检测模型 该模型主要有四个部件：事件产生器、事件分析器、事件数据库、响应单 元。事件产生器是该模型的事件起点。为了确定是否存在安全方面的问题， 受到监控的各个系统必须提供一种形式的事件产生器，这是为模型提供系统 活动信息的子系统。这些事件来源于系统日志记录、防火墙、认证系统或网 络中通讯之类的系统。 事件分析器决定进入检测系统的数据包是否发生被入侵的参考引擎。它 是基于一些规则集来进行判断的，这些规则集利用专家系统，对它经常进行 规则的更新、修改，使它能够对入侵的分析判断朝着更加准确的方向发展。 它利用了模型、模式、规则、统计分析等手段对入侵行为进行标识与辨别， 南京航空航天大学硕士学位论文 7 是入侵检测系统的核心，成败直接决定了一个入侵检测系统的好坏。 事件数据库是用于保存被监控系统的活动状况和网络的通信状态。存储 大量的用于事件分析的数据， 为事件分析器提供支持。 为了有效的记录事件， 它直接跟事件产生器连接，判断是否为新的事件，通过一定的规则检查创建 新的变量，为以后识别所用。 响应单元和响应是利用以上 3 个系统综合分析的结果，当有入侵攻击行 为发生时，采取一定的措施。可以在入侵响应单元中加入自动响应的智能系 统，让它不断的自我学习，然后做出一些合理的响应。 ids 的经典工作过程：从被监控系统的不同环节中收集数据，分析这些 数据，查找是否有入侵的数据，对检测到入侵的数据包进行一定的响应并记 录。入侵检测是一种积极主动的安全防御技术，它不仅提供了对外部攻击的 保护，而且提供了对内部攻击的保护。这些保护是实时性的，能够对系统的 安全提供很好的保护，并能进行及时的维护。 2.2 入侵检测关键技术分析入侵检测关键技术分析 入侵检测根据数据的来源不同，在网络的环境下主要有三种入侵检测体 系结构：基于主机、基于网络和混合分布式。采用的分析方法也有三种比较 常用的手段：异常检测、模式匹配和完整性分析。 2.2.1 入侵检测技术分类 2.2.1 入侵检测技术分类 入侵检测技术按照采用的技术可以分为：异常检测、误用检测两大类。 1异常检测 异常入侵检测可以检测异常活动的发生，当发现异常活动就认定为有入 侵行为的发生11。 要检测异常的行为， 就会涉及到判断入侵行为的一个度 （阀 值） 。 异常入侵检测方法的优点是不依赖于攻击特征， 立足于受检测的目标发 现入侵行为。如何对检测建立异常阀值，如何定义正常的模式，降低误报率， 都是目前比较难以解决的课题。 异常检测有很多方法。基于数据挖掘的异常检测方法：从审计数据提取 数据流中感兴趣的知识，把它们表示为概念、规律、规则等形式，用这些知 识判断异常入侵行为；基于机器学习的异常检测方法：它采用机器学习的方 入侵追踪技术研究 8 法来建立系统的入侵检测功能，主要采用死记硬背、归纳学习、比较学习等； 基于特征不匹配的异常检测方法：从一个或多个数据包中对比在入侵规则库 中的特征串，如果相同或相似就判断为入侵行为。 2误用检测 误用检测也被称为基于知识、特征的检测手段。相比异常检测它侧重于 已知入侵行为的模式、特征，将这些模式、特征用各种方式表达出来，形成 各种规则12。 误用检测方法的核心思想是已知入侵行为， 并拥有已知入侵行为的模式， 这样可以有针对性的查询这些模式，保证能够检测到大部分已知的入侵，也 不会把正常的访问当成入侵行为来处理。然后，如同病毒一样，入侵行为的 变体就比较难以发现。这需要模式库不断的更新，才能有效的检测到各种入 侵行为。 误用检测的一些方法举例。基于条件概率的误用检测：利用条件概率的 方法，进行入侵检测。基于专家系统的误用检测：利用专家系统来提供入侵 知识库，利用已有的知识检测入侵行为。基于神经网络的误用检测：神经网 络具有可训性，对它不断的测、训达到入侵检测的效果。 2.2.2 入侵检测对象分类 2.2.2 入侵检测对象分类 入侵检测技术按照检测的对象不同可以分为： 基于主机的入侵检测系统、 基于网络的入侵检测系统。 1基于主机的入侵检测系统（hids） 基于主机的入侵检测系统是早期的入侵检测系统结构13。如图 2.3。 南京航空航天大学硕士学位论文 9 图 2.3 基于主机的入侵检测系统结构 图中的模型是基于主机的入侵检测系统，其检测的目标系统主要是主机 系统和本地用户。检测的原理是每个被保护的主机系统上都运行一个客户端 程序，用于实时检测系统中的信息通信，如果根据主机中提供的规则审计出 有入侵的数据，立即由检测系统的主机进行分析，如果是入侵行为，及时进 行响应。 基于主机的入侵检测系统的关键点是审计信息，即分析数据的准确性和 效率等。这种方法最大弱点是系统自身的安全性，由于检测系统的特殊性， 自身很容易受到攻击，当系统受到攻击后检测和分析性能就会受严重影响。 这样如果该主机被控制，那么整个内部网络就被攻陷了。主机 ids 的存在， 也会对服务器的性能造成一定的影响。另外，这类 ids 对运行的环境比较有 针对性，一般都是为特定的操作系统开发的，所以兼容性和通用性比较差。 基于主机的入侵检测系统可以较好的监控单台服务器14，如果监控的数 量比较少，它能够比较精确的判断入侵事件，并能及时的做出响应。由于这 些监测的主机一般采用同一种操作系统，在运行一段时间后，检测这类操作 系统的规则库会不断的改进，为以后的监测提供更好的条件。 基于主机的 ids 在发展的进程中，已经引入了很多新技术。检测关键系 统文件和可执行文件的一个最普通的方法就是定期检查文件的校验和，以便 及时发现问题。目前很多产品都有端口监听的功能，已经利用了部分的网络 入侵追踪技术研究 10 入侵检测功能。 2基于网络的入侵检测系统（nids） 随着计算机网络技术的不断发展，单独地依靠主机审计信息进行入侵检 测将难以适应网络安全的需求。基于网络的入侵检测系统通常为了提供可靠 的、实时的信息而较少的消耗网络或主机的资源15。基于网络的入侵检测系 统对数据包和报头进行检测， 因此能检测出如拒绝服务这类比较棘手的攻击。 这类入侵检测比基于主机的入侵检测更具实时性，更能有效的减少损失。但 是网络入侵检测系统的问题是它不能检测出在主机上登陆的入侵检测对主机 的攻击。例如一个网络入侵检测系统和一些附加支持机制检测出正在向某台 主机发动的攻击，对于这样的攻击一般它比较难确定攻击的类型和后果。基 于网络的入侵检测系统根据数据收集、分析、响应方式的分布性又可以分为 集中式网络入侵检测和分布式网络入侵检测。下面图 2.4 所示为网络入侵检 测系统的典型模型11。 图 2.4 基于网络的入侵检测系统结构 集中式的网络入侵检测， 一般指对网络中的数据包作为数据源进行分析。 对数据进行采集、过滤，对网络的端口进行监控。它是按一定的规则从网络 中获取与攻击安全性相关的数据包，然后对传入的数据用入侵分析引擎进行 分析，最后把分析结果输出或通知管理员。集中式的网络入侵检测的精确度 南京航空航天大学硕士学位论文 11 比较差，而且无法知道主机内部网络用户对系统的安全威胁。 分布式网络入侵检测系统通常有多个模块组成，这些模块一般分布在网 络的不同位置，分别完成数据的收集、数据分析、控制输出分析结果等功能。 分布式入侵检测系统比传统的网络入侵检测系统有比较多的优点16：首先， 由于采用分布式， 与采用单台主机的情况相比能明显减少主机的压力； 其次， 分布式 ids 的可扩展性将大大的提高；最后，对于集中式的 ids 面临突出的 单点失效问题也能有效的解决。不过分布式 ids 技术要求比较高，各个组件 之间的协调比较困难，如何合理的结合这些组件，使该系统的性能、负载等 达到最优。 2.2.3 入侵检测方式分类 2.2.3 入侵检测方式分类 1实时入侵检测 实时的入侵检测技术是对主机中的数据包或网络中的数据包等进行实时 分析，快速的进行响应，用来保护系统的安全。这种实时性是在一定的条件 下，一定的系统规模中，具有的相对实时性17。如果超出一定的网络规模， 那么这种相对的实时性也将难以保证。 2事后入侵检测 事后入侵检测技术也称为离线式的入侵检测17。顾名思义，这种入侵检 测就是在入侵已经发生后，分析、审计事件和数据包等，从中得出如何应对 这些入侵行为。这种检测主要为事后响应服务，同时它也可以通过不断的完 善如规则库中的规则，知识库中的知识量，达到更加准确。事后的检测要求 记录大量的历史数据，对系统的要求比较高，分析的数据量也比较大。因此， 这种技术在早期网络通信量不是很大的情况下使用效果比较明显。 2.3 入侵检测技术发展趋势入侵检测技术发展趋势 入侵检测的体系结构演变过程：从主机型到网络型，再到现在研究比较 多的分布型三个阶段。主机型和网络型（集中式）都是入侵检测中的一种集 中式控制系统。随着现代网络的不断发展，入侵行为的隐蔽性、复杂性、综 合化和规模的不断扩大，使入侵检测的体系结构必须由集中式朝着分布式的 方向发展。 入侵追踪技术研究 12 基于目前入侵检测技术的一些困难，可以利用的解决途径有18：一，研 究和设计新的 ids 结构模型或算法，以适应高速网络的现状；二，可以在软 件压力比较大的环节采用硬件来替代，提高运算速度和准确度；三，对检测 的规则要不断的更新，并要分析各种攻击行为发生的概率，对此做出不同的 检测方法。入侵检测技术未来的几个研究方向1： 1分布式的入侵检测技术：它是在每个网段和重点的主机上都安装一个 监控程序，该客户端相当于基于网络和基于主机的入侵检测系统，只是没有 界面。它用来监测其所在网段和主机上的数据流，根据集中安全控制的安全 策略、响应规则等来分析检测网络中的数据包，同时把分析结果输出。分布 式入侵检测系统的最大困难是相互间的协调，合作问题。未来的发展方向之 一：利用移动 agent 的特点，来解决分布式检测系统遇到的实时性问题（相 对） ，节省网络带宽，调节负载平衡，动态配置等问题。实时性主要是在各个 检测子系统无法单独做出判断时起到互相交换信息。移动 agent 可以利用自 身的移动携带数据， 这样传送的数据量会减少， 同时节约了带宽。 移动 agent 自身能实时调节互相间的负载平衡，达到动态的调节19。 2智能入侵检测技术：将人工智能的方法和手段应用到入侵检测领域， 能检测未知的攻击能力，大大提高 ids 的性能。人工智能就是赋予计算机以 人类智慧的某些特点，用计算机来模拟人的推理、记忆、学习、创造等智能 特征，主要方法是依靠有关知识进行逻辑推理，特别是利用经验性知识对不 完全确定的事实进行精确性推理。利用人工智能的特性，训练规则库，对知 识库不断的更新、升级和扩展，提高入侵检测的检全率和准确率。人工智能 还能结合神经网络的知识，克服入侵检测中异常检测的一些困难。还可以利 用智能化中的模糊技术提高规则匹配率以及检测率。 3基于数据挖掘技术的入侵检测：数据挖掘是从数据中提取出隐含的、 特别的、过去未知的、潜在的、有价值的信息。这些特点对于检测未知的入 侵检测行为是很有利用价值的。对于网络中的海量信息，很适合数据挖掘的 技术来处理，并能应用各种算法，提高对未知入侵行为检测的准确率20。目 前的数据挖掘技术还处于起步阶段，各种算法和模型还不成熟，用于入侵检 测的挖掘技术才刚起步。 另外，入侵检测技术正在朝着标准化的方向发展。标准化有利于不同类 型的 ids 之间的互相利用和协调。ietf（internet engineering task force）的入 南京航空航天大学硕士学位论文 13 侵检测工作小组(idwg)已经制订了入侵检测消息交换格式(idmef)、入侵检 测交换协议（idxp）等标准，以适应入侵检测系统之间互相交换数据，互相 分工合作的要求。 ids 研究已经有 20 多年了，但是现在商业上应用的 ids 还是不够成熟， 误报、漏报、难以扩展、难以兼容等缺陷，使得入侵检测系统还面临不小的 困难，解决这些困难必定成为未来发展的方向。 2.4 入侵响应基础技术入侵响应基础技术 入侵响应是入侵检测的后继步骤，是入侵防御系统的重要组成部分。入 侵响应是在入侵检测系统发现有入侵行为后，为了避免入侵造成损失，及时 采取的一些对应措施。要求入侵响应技术必须尽快地、有效地予以响应和处 理。 2.4.1 入侵响应的基础方式 2.4.1 入侵响应的基础方式 入侵响应的分类是任何入侵响应系统的基础。并非每一个针对入侵行为 的响应措施都是恰当合理的，应该对入侵响应进行合理的分类，使得具体的 攻击对应一类响应措施。从入侵响应的位置和对象来划分，可以分为基于主 机的响应和基于网络的响应。从响应的方式来划分，可以分为主动响应和被 动响应21。 1主动响应 主动响应是基于已经检测到的入侵行为所采取的措施，一般可以分为以 下几类： （1）记录事件日志 对入侵事件记录日志以便以后复查、长期分析；在用户的行为还没被确 定为入侵之前，记录附加日志以帮助收集信息。最好把日志记录在专门的数 据库中，可以起到长期保存的效果。 （2）修正系统 为了弥补引起攻击的缺陷，类似生物体的免疫系统，辨认出问题所在并 进行隔离。这种响应方式是比较中性的，也是最佳的响应配置。由于入侵行 为的不断变化，根据入侵的危害程度，不断调整响应系统的策略，扩大监控 入侵追踪技术研究 14 的范围，做出恰当的应对措施。 （3）设计诱骗系统获取入侵信息 这种类型的主动响应方式主要是为了取得入侵行为的信息。这种方式通 常采用如“蜜灌”这类诱骗技术，使攻击者主动攻击，采集信息，然后追查 到攻击者。可以在受到系统危害或受损失时提供法律依据。 （4）禁止被攻击对象的特定端口或服务 关闭已受攻击的特定端口或服务，可以避免影响其他的服务。必要时可 以停止已受攻击的主机，以免其他主机受影响。 （5）隔离入侵者的 ip 地址 已经查到入侵的 ip 地址， 可以通过重新配置边缘路由器22、 交换机或防 火墙以阻断该 ip 地址的数据包进入，免受更严重的攻击。 2被动响应 早期应用在入侵检测系统中的响应部分， 都是采用被动响应的方式来实现 的。被动响应只是为用户提供通知或警报的作用，主要由用户自己决定用什 么方式或措施来应对这种入侵行为。一般采取的策略可以分为以下几种： （1）警报或通知 警报是被动响应系统中使用最多，也是最有效的方式。一般警报显示在 界面上，提示用户受到某类攻击，应该采取什么样的措施。警报还可以采取 其他方式，声音报警、电子邮件等通知网络管理员或信息安全人员。这些警 报可以根据入侵危害程度分级提交，使管理员处理问题时有主次之分。 （2）利用网络管理协议 检测系统可以设计成和网络管理工具协同工作的方式，这样可以充分利 用网络协议的标准化特色，更准确的在网络控制台上显示警报和发送信息。 目前商业上已经有应用网络管理协议的产品出现。 2.4.2 入侵响应的处理框架 2.4.2 入侵响应的处理框架 综合入侵响应的一些技术，并参考一些国内外在这方面的发展现状，总 结了几种比较常用的入侵响应框架。 1基于主动对抗的入侵响应框架 主动对抗响应系统是一旦被检测到攻击行为，它会自动触发，在网络范 围内追踪。通过在入侵源和目的处阻塞、隔离网络入侵，不仅有效的保护了 南京航空航天大学硕士学位论文 15 网络设施，也能更好地恢复受攻击的主机。主动对抗的入侵响应框架23如图 2.5 所示。 图 2.5 主动对抗式入侵响应框架 该框架表明首先通过数据检测，检测到一些入侵数据，经过分析，可以 直接通过响应控制，输出给守护 agent，由它负责实行主动的对抗（如追踪， 攻击等） ，如果是本地的事件，直接在本地响应，如果无法响应，可以请求响 应控制来执行。 2基于大规模网络入侵响应框架 大规模网络具有复杂的网络拓扑结构，没有明显的网络边界，因此必须 采用基于 agent 的分布式入侵检测结构，从多点收集网络数据。这样既便于 检测分布式攻击，也利于跟踪攻击源，同时可以发送 agent 进行防御攻击。 如图 2.6 所示为大规模网络的入侵响应模型24。 入侵追踪技术研究 16 图 2.6 大规模网络入侵响应模型 该框架有检测 agent、响应 agent、数据分析、代价评估、智能模块和响 应模块组成。首先检测 agent 把检测到的数据发往数据分析，输出给响应模 块，由响应 agent 输出。代价评估评测这次响应是否值得，智能模块在响应 agent 响应后，自我调节、评估。 3基于 netfilter 的主动响应框架 netfilter 提供的是一个抽象、通用化的框架，作为中间件，为每种网络 协议（ipv4,ipv6 等）定义一套钩子函数。netfilter 有四种关键技术：连线跟 踪、包过滤、地址转换、包处理。netfilter 具有快速高效的优点，可以有效 的提高入侵响应的效果。如图 2.7 所示。 图 2.7 基于netfilter的主动响应框架 南京航空航天大学硕士学位论文 17 该框架24分为五个部分，入侵检测是该框架的重要构成部分，检测分析 结果的正确性是整个系统的前提。规则产生部分是用已经存在的规则进行过 滤， 对没有的规则进行生成。 只要攻击源的目标确定， 攻击 ip 包将由 netfilter 用一定的规则进行处理，重新由诱骗系统对攻击源进行反击。 2.5 本章小结本章小结 入侵检测是对入侵行为的确定。入侵检测已经经历了一段时间的研究， 本章简单的总结和归纳了这些技术，并分析与论述了未来入侵检测技术发展 方向。 入侵响应是检测到入侵行为并追踪到入侵源时采取的一些措施。由于入 侵响应会涉及到法律、政策等因素，各个国家的法律、政策的差别比较大， 因此响应技术的研究并不多。本章概括了入侵响应的方式和框架。 入侵追踪技术研究 18 第三章第三章 入侵追踪技术研究入侵追踪技术研究 本章首先讲解入侵追踪的技术以及一些基本方法，最后重点阐述了基于 hash 函数的攻击源追踪技术。利用基于 hash 函数的自适应概率数据包标记 算法设计了一个追踪引擎。 3.1 入侵追踪技术基础入侵追踪技术基础 对于一个入侵追踪系统，可靠的独立追踪数据包路径是成功追踪到攻击 源的首要也是最重要的一步。如何构造一个具有判断哪些数据包需要追踪， 追踪的价值和意义是否值得等功能的追踪系统是当今面临的课题。 根据 ip 追踪的主动程度，目前的 ip 追踪技术可以分为两个大类26：主 动追踪和反应追踪。主动追踪技术在追踪源 ip 地址时，需要在传输数据包时 对这些数据包做一些处理，并利用这些信息来识别攻击。主动追踪包括数据 包记录、消息传送、包标记和包查询等。反应式追踪则在检测到攻击包后， 才开始利用各种技术从攻击目标反向进行追踪，直到攻击源查到为止。因此 该追踪技术要求攻击源不能停止攻击，否则将无法查询。 前几年入侵追踪主要依靠网络专家自身的经验，结合专家系统提供的条 件，并要求 isp 的大力支持与合作，才能完成。这样的追踪不仅耗费大量的 人力物力，在法律上也有一定的阻碍。因此作为追踪技术要较少或基本上不 利用 isp 服务商的协助。 在本文中，常用的一些术语。攻击包：在网络中对其他主机有危害性的 一些数据包。被攻击者：被攻击包攻击的目标机。攻击源：首先发出攻击包 的主机。跳板机，反射机：攻击源通过它们发动对被攻击者攻击的主机。 3.2 入侵追踪的条件和目标入侵追踪的条件和目标 入侵追踪，一般的意义是寻找网络中的攻击源。它能概括成两类：一确 定攻击者的身份27， 二查找到攻击者的 ip 地址。 一般确定攻击者身份发生在 局域网内部比较多。本文研究的重点查找 ip 地址。 南京航空航天大学硕士学位论文 19 3.2.1 追踪的条件 3.2.1 追踪的条件 设计追踪系统的算法是一个比较复杂和困难的问题，下面设计了一些假 设条件28，利于系统的设计。 （1）一个攻击者控制了很多的数据包 （2）多重攻击者联合攻击 （3）攻击者应该一直处于攻击状态 （4）数据包有可能丢失或重新生成 （5）攻击者会生成巨量数据包 （6）处于攻击源和被攻击者的路由器必须很稳定 （7）路由器的计算能力和存储能力必须足够 （8）路由器必须保证安全 前四个假设是现代网络攻击中最基本的特点，也是追踪所面临的首要问 题。 设计互联网上的追踪系统由于可以利用的可靠信息比较少而极具挑战性。 如果攻击者能够生成任意的数据包将严重限制潜在的解决方法。当路由器收 到一个数据包，要区别数据包是否被上层路由器标记过还是被攻击者给伪造 了是比较困难的。事实上，我们能够相信的是那些从攻击源发出的穿过所有 路由器到被攻击者的数据包。这些数据包包含了所有的路由信息。 其余的几个假设反映了设计路由追踪的基本要求和值得讨论的问题。拒 绝服务攻击只在攻击者占用被攻击者的网络资源时有效。大部分攻击都是由 成千上万的数据包组成，如果许多攻击行程都像（pingofdeath）只要一 条命令，那么就不需要设计追踪系统了。 入侵追踪的最大困难是如何在最少的时间里用数据包通过的方法在很多 条路径中查找正确的路径29。这些假设很大程度上简化了被攻击者的作用， 如此做的目的为每个攻击找到一条简单的路径。如果互联网允许多角度多重 路由，那么这个假设就会不成立。 目前路由器执行的速度已经明显改变，连接消耗的时间也不用太久了。 因此必须控制数据量不能溢出，那样简单的配置就可以用在网络追踪设计中 了。 一个不安全的路由器会消除所有标有上级路由器提供的信息，这样就不 能区分攻击者的身份了。因此在这种环境下，首先应该解决的问题是找出被 入侵追踪技术研究 20 攻陷的路由器。 3.2.2 追踪的目标设定 3.2.2 追踪的目标设定 理论上，一个追踪系统必须能够追踪网络中的任何一条记录的路径。在 以 ip 为框架的数据包中，最小的数据单元是数据包，因此任何一个数据包都 是唯一的。由于 ip 追踪系统必须对 ip 数据包进行操作。更大的数据单元或 数据流的区分都必须用这些特殊的包。 如同以前的审计系统一样，追踪系统只能追踪它所配置的网络区段。因 此可以得出追踪源数据包的范围： （1）网络中追踪系统进入的端口 （2）主机或网络的终端 （3）在监测网络中的一个或多个已不安全的路由器 如果在网络中有一个路由器设法隐藏数据包的源地址，那么很明显追踪 不仅要求辨别包的源地址，同时也需要知道整个网络的路径。如果路径能追 踪到任何没有被攻陷的路由器，那么它遇到被攻陷的路由器或网络，路径追 踪就会被终止。因此我们要求追踪路径的数据包必须能穿过整个网络（即从 攻击源到被攻击主机） 。 被攻陷的路由器会伪造路径信息， 那么通过这些路由 器的数据包信息只有一部分才是正确的。只有获得更多的网络中不同层次的 可以辨别的信息，才能通过入侵追踪系统画出路径图，构成一条完整的攻击 路径。 一幅攻击路径图存在被攻陷路由器的情况下， 就会存在不少缺陷。 首先， 追踪图只画出路径而不表示出数据包。这是被攻陷路由器无法避免的结果。 其次，也不能排除在所绘的追踪路径图中没有包括攻击源的事件发生。当一 个追踪系统已经运行时，肯定不能减少 ip 的通信。另外一个理想的 ip 追踪 系统不能扩张恶意的监听部分。 3.3 基于基于 ip 地址的追踪技术地址的追踪技术 介绍一些比较直接的 ip 地址的追踪技术： 1netstat 命令 netstat 命令是一个监控 tcp/ip 网络的非常有用的工具， 它可以显示路由 南京航空航天大学硕士学位论文 21 表、实际的网络连接以及每一个网络接口设备的状态信息。无论 windows 系 列、 unix 系列、 linux 系列的主机等常用网络操作系统都可以使用这个命令。