（计算机应用技术专业论文）基于网络的入侵检测系统的研究与实现.pdf

摘要 摘要 随着越来越多的站点受到黑客的入侵和攻击，传统的安全技术( 如防火墙等) 已经不能满足现有的要求了。网络入侵检测系统( n i d s ) 近年来倍受人们青睐。 n i d s 是通过对计算机网络收集信息并对其进行分析，从中发现是否有违反安全 策略的行为和被攻击的迹象。这是一种集检测、记录、报警、响应的动态安全技 术，不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动。 本文论述了一个基于网络的入侵检测系统j f c s r n i d s 的设计与实现。 本文对入侵检测系统的主要问题做了深入研究，设计了描述入侵特征的规则描述 语言，实现了网络数据包捕获、解码、协议分析、规则处理、模式匹配、入侵响 应及日志记录等模块，使系统具备了基本的入侵检测功能。作为研究重点，本文 从改善现有网络入侵检测系统的性能出发，提出了一种基于攻击特征模式匹配与 协议分析相结合的网络入侵检测模型；文章在对常见的模式匹配算法的分析基础 上，提出了一种改进的模式匹配算法一s u n d a y n e w 算法。另外，本文利用链 表结构很好的解决了i p 分片重组的问题；通过h r 皿协议的分析，将入侵检测 的能力扩展到了应用层；并在攻击的响应方面采用了多种安全响应的方式，使得 网络管理员能够及时的发现入侵行为。最后，本文对所做的工作进行了总结，并 提出了下一步的研究内容。 关键字 网络安全；入侵检测：模式匹配：匹配算法；协议分析 a b s t r a c t a b s t r a c t w h e nm o r ea n dm o r ew e b s t a t i o nw a si n t r u d e d a n da t t a c k e d b yh a c k e r s ， t r a d i t i o n a ls e c u r i t yt e c h n o l o g y , s u c ha sf i r e w a l l ，h a dn o tb e e na b l et od e a lt h e mw i t h n e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m ( n i d s ) i sp a i dm o r ea t t e n t i o nt ob yp e o p l e r e c e n t l y o nt h eb a s i so fs y s t e m s i n f o r a m t i o na n d ，a tt h es a m e t i m e ，d e a l i n gw i t ht h i s i n f o r m a t i o n ，n i d sa i m sa tl o o k i n gf o rt h ea c t i o nt h a ti n f f a c t ss o m es e c u r i t yp o l i c y a n dt h eo b j e c tt h a ti sa t t a c k e d t h i si sad y n a m i cs e c u r i t yt e c h n i q u ea n dc o n s i s t so f d e t e c t i o n ，l o g ，a l e r t a n d r e s p o n s e t h i st e c h n i q u e c a nn o t o n l y d e t e c te x t e r n a l i n t r u s i o nb u ta l s os u p e r v i s ei n t e r n a li n v e s t i t i v ea c t i v i t y t h i sp a p e rd i s c u s s e sad e s i g na n di m p l e m e n t a t i o no fn i d sn a m e dj f c s r - n i d s w h i c hb a s e do nn e t w o r k i nt h i s s y s t e m ，w eh a v e ad e e pr e s e a r c ho nt h eb a s a l p r o b l e mo fn i d s ，d e s i g na r u l ed e s c r i b i n gl a n g u a g ew h i c hc o u l dd e s c r i b ei n t r u s i o n c h a r a c t e ra n dc o m p l e t ep a c k e tc a p t u r e ，p r o t o c o ld e c o d i n g ，p r o t o c o la n a l y s i s ，r u l e d e a l i n g , p a t t e r nm a t c h i n g , i n t r u s i o nr e s p o n s ea n dl o g g i n ge t c i na w o r d ，t h i ss y s t e m d o wh a v et h eb a s a lf u n c t i o no fn i d s a sak e yr e s e a r c h ，f r o mi m p r o v i n gt o d a y s n i d sp e r f o r m a n c e ，w ep u tf o r w a r da ni n t r u s t i o nd e t e c t i o nm o d u l ew h i c hc o m b i n e d w i t ha t t a c kc h a r a c t e rp a t t e r nm a t c h i n ga n dp r o t o c o la n a l y s i s t h i sp a p e rp r e s e n ta n i m p r o v e dp a t t e r nm a t c h i n ga l g o r i t h m ，a f t e ra n a l y z i n gm a n y c o m m o nm a t c h i n g a l g o r i t h m o nt h eo t h e rh a n d ，w er e s o l v ei p f r a g m e n tp r o b l e mb yu s i n g l i n ks t r u c t u r e ， e x p a n dt h ep e r f o r m a n c eo fi n t r u m o nd e t e c t i o nt oa p p l i c a t i o nl a y e ro ft c p i pn e t w o r k b ya n a l y z i n gh r 开p r o t o c o la n dt a k em a n ym o d e so fs e c u r i t yr e s p o n s ew h i c h c a n m a k en e t w o r ka d m i n i s t r a t o r sd i s c o v ei n t r u s i o na c t i o nq u i c k l y f i n a l 5t h ea u t h o rs u m s u pt h i sp a p e r a n d p u t f o r w a r dt h en e x tw o r k k e y w o r d s n e t w o r k s e c u r i t y ；i n t r u s i o nd e t e c t i o n ；p a t t e r nm a t c h i n g ；m a t c h i n ga l g o r i t h m ；p r o t o c o l a n a l y s i s 第一章绪论 1 1 课题的目的和意义 1 1 i 网络安全概述 第一章绪论 当企业、银行和其他商业与金融机构在电子商务热潮中纷纷进入i n t e r n e t ， 以政府上网为数字政府使国家机关与i n t e r n e t 互联。通过i n t e r n e t 实现包括个 人、企业与政府的全社会信息共享已经逐步成为现实。随着网络应用范围的不断 扩大，对网络的各类攻击与破坏也与日俱增。无论政府、商务，还是金融、媒体 的网站以及一些保密性的数据都在不周程度上受到攻击与破坏。据报道，美国国 防部已经花费了数十亿美元用以整治网络安全，但是网络安全问题还是不断涌 现。在2 0 0 3 年，全球1 3 台最重要的母服务器中的9 台都遭受到了黑客的袭击。 网络安全已经成为国家与国防安全的重要豹组成部分，同时也是国家网络经济发 展的关键。 1 1 1 1 网络面临的主要威胁 网络面临的主要威胁主要来自下面几个方面： ( 1 ) 黑客的攻击 黑客对于大家来说，不再是一个高深莫测的人物，黑客技术逐渐被越来越多 的人掌握和发展。目前，世界上有2 0 多万个黑客网站，这些站点都介绍一些攻 击方法和攻击软件的使用以及系统的一些漏洞，因而系统、站点遭受攻击的可能 性就交大了。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得 黑客攻击的隐蔽性好，“杀伤力”强，是网络安全的主要威胁。 ( 2 ) 管理的欠缺 网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上，很 多企业、机构及用户的网站或系统都疏于这方面的管理。据i t 界企业团体i t 从 的调查显示，美国9 0 的i t 企业对黑客攻击准备不足。 ( 3 ) 网络的缺陷 第一章绪论 i n t e r n e t 的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存 的t c p i p 协议族缺乏相应的安全机制，而且i n t e r n e t 最初的设计考虑是该网不 会因局部故障而影响信息的传输，基本没有考虑安全问题。因此它在安全可靠、 服务质量、带宽和方便性等方面存在着不适应性。 ( 4 ) 软件的漏洞 随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的 存在，比如我们常用的操作系统，无论是w i n d o w s 还是u n i x 几乎都存在或多或 少的安全漏洞，众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在 安全隐患。大家熟悉的尼母达、震荡波等病毒都是利用微软系统的漏洞给企业造 成巨大损失。可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中 的一个缺陷等原因而存在漏洞，这也是网络安全的主要威胁之一。 ( 5 ) 网络内部的攻击 网络内部用户的误操作、资源滥用和恶意行为也是网络安全面临的主要威胁 之一。再完善的防火墙也无法抵御来自网络内部的攻击，也无法对网络内部的滥 用做出反应。 1 1 1 2 传统的网络安全技术 传统的网络安全技术主要使用以下几种安全机制： ( 1 ) 加密机制 加密是一种最基本的安全机制，它能防止信息被非法读取。加密是一种在网 络环境中对抗被动攻击的行之有效的安全机制。数据加密是保护数据的最基本的 方法。但是这种方法只能防止第三者获取真实数据，仅解决了安全问题的一个方 面。而且，加密机制并不是牢不可破的。 ( 2 ) 数据签名机制 签名与加密很相似，一般是签名者利用私钥对需签名的数据进行加密，验证 利用签名者的公钥对签名数据做解密运算。如果能保证一个签名者的签名只能唯 一地服从他自己产生，那么当收发双方发生争议的时候，仲裁机构就能够根据消 息上的数字签名来裁定这条消息是否是由发送方发出的。 ( 3 ) 访问控制机制 2 第一章绪论 访问控制机制是按照事先确定的规则决定主体对客体的访问是否合法。当一 个主体试图非法使用一个未经授权使用的客体时，访问控制功能将拒绝这一企 图，并可附带报告这一事件给审计跟踪系统，审计跟踪系统产生一个报警或形成 部分追踪审计。 ( 4 ) 数据完整性机制 数据完整性机制可以发现网络上传输的数据已经被非法修改，从而使用户不 会被非法数据欺骗。 ( 5 ) 认证机制 认证是以交换信息的方式来确认实体身份的机制，是进行存取控制所必不可 少的条件，因为不知道用户是谁，就无法判断其存取是否合法。 ( 6 ) 系统脆弱性检测 系统中脆弱性的存在是系统受到各种安全威胁的根源。外部黑客的攻击主要 利用了系统提供的网络服务中的脆弱性；内部人员作案则利用了系统内部服务及 其配置上的脆弱性；而拒绝服务攻击主要利用资源分配上的脆弱性，长期占用有 限资源不释放，使其他用户得不到应有的服务，或者是利用服务处理中的弱点， 使该服务崩溃。 ( 7 ) 防火墙 防火墙系统软件实现将定义好安全策略转换成具体的安全控制操作，它使得 内部网络与外部网络互相隔离，限制网络互访。按照一定的安全策略规则对其检 查网络包或服务请求，来决定网络之间的通信是否被允许，其中被保护的网络称 为内部网络或者私有网络，丽与内部网络或私有网络相连的网络称为外部网络或 公有网络。防火墙能有效的控制内部网络与外部网络之间的访问及数据传送，从 丽实现保护内部网络的信息不受外部非授权用户的访问或者过滤信息的目的。防 火墙的实现从层次上大概可以分两种：报文过滤和应用层网关。 1 1 1 3 网络安全模型p p d r p p d r ( p o l i c yp r o t e c t i o nd e t e c t i o nr e s p o n s e ) 模型最早由i s s ( i n t e r n e t s e c u r i t ys y s t e m s ) 公司提出。其由4 部分组成( 见图卜1 ) ：策略( p o l i c y ) 、 防护( p r o t e c t i o n ) 、检测( d e t e c t i o n ) 和响应( r e s p o n s e ) 。p p d r 模型是在整 3 第一章绪论 体的安全策略的控制和指导下，在综合运用防护工具( 如防火墙、操作系统身份 认证、加密等手段) 的同时，利用检测工具( 如漏洞评估、入侵检测等系统) 了 解和评估系统的安全状态，通过适当的晌应将系统调整到一个比较安全的状态。 防护、检测和响应组成了一个完整的、动态的安全循环。 、 彰7 策略、麓 冀7策略、p ( p o l i c y l 1 厕。 图i - ip p d r 模型示意图 ( 1 ) 策略 策略是p p d r 模型的核心，在具体的实施过程中，策略意味着网络安全要达 到的目标，它决定了各种措施的强度。因此追求安全是要付出代价的，一般会牺 牲用户使用的舒适度，还有整个网络系统的运行性能，因此策略的制定要按照需 要进行。 ( 2 ) 防护 一般来说，防护是安全的第一步，它的基础是检测与响应的结果。具体包括： 安全规章的制定：在安全策略的基础上制定安全细则； 系统的安全配置：针对现有网络环境的系统配置，安装各种必要的补丁 软件，并对系统进行仔鲴的配置，以达到安全策略规定的安全级别； 安全措施的采用：安装防火墙软件和设备、vpn 软件和设备等。 ( 3 ) 检测 采取了各种安全防护措施并不意味着网络系统的安全性就得到了安全的保 障，网络的状况是动态变化的，丽各种软件系统的漏洞层出不穷，都需要采取有 效的手段对网络的运行进行监控。 防护相对于攻击来说是滞后的，一种漏洞的发现或者攻击手段的发明与相应 的防护手段的采用之问，总会有一个时间差，检测就是弥补这个时闯差的必要手 段。 检测的作用： 异常监视：发现系统的异常情况如重要文件的修改、不正常的登陆等； 4 第一章绪论 模式发现：对已知的攻击模式进行发现。 ( 4 ) 响应 在发现了攻击企图或者攻击之后，需要系统及时地进行响应，这包括： 报告：就是做出入侵事件响应的报告，通知安全管理员发生了入侵行为， 可以利用各种各样的报告方式，如电子邮件、声音警报甚至手机短信等： 记录：当有入侵行为时，就把包括入侵的各个细节以及系统的反应都记 录下来，为事后分析提供依据； 反应：反应是主动的，目的是进行相应的处理以阻止进一步的入侵。例 如可以切断当前的连接，也可以通过告诉防火墙更改控制策略等； 恢复：清除入侵造成的影响，修复系统，使系统能够正常运行。 1 1 2 课题的目的和意义 谈到网络安全，人们第个想到的是防火墙。但随着网络技术的发展，网络 日趋复杂，传统防火墙所暴露出来的不足和弱点引出了人们对入侵检测系统 ( i d s ，i n t r u s i o nd e t e c t i o ns y s t e m ) 技术的研究和开发。 首先，并非所有的网络流量经过防火墙，当内部网和外部网通过m o d e m 进行 连接时，防火墙是束手无策的。 其次，防火墙完全不能阻止来自内部的袭击，而通过调查发现，7 0 的攻击 都将来自予内部，对于企业内部心怀不满的员工来说，防火墙形同虚设。 再者，由于性能的限制，防火墙通常不能提供实时的入侵检测能力，而这一 点，对于现在层出不穷的攻击技术来说是至关重要的。 第四，由于防火墙大多采用基于i p 地址和协议进行过虑，所以防火墙对于 病毒也束手无策。 第五，防火墙本身易受攻击。常见的欺骗防火墙的策略是利用“隧道” ( t u n n e l i n g ) 技术绕过防火墙的保护。隧道技术将恶意的数据包进行封装作为 夕卜壳的合法的数据包，骗过防火墙。 第六，防火墙难以管理、配置，易造成安全漏洞。一般来说由多个功能系统 ( 路由器、过滤器、代理服务器、网关、堡垒主机等) 组成的防火墙，管理上有 所疏忽是在所难免的。另外，根据美国财经杂志统计资料表明，3 0 的入侵发生 第一章绪论 在有防火墙的情况下。 第七，无法基于用户身份进行安全控制。许多防火墙对用户的安全控制主要 是基于i p 地址，而不是用户身份，这样就很难为同一用户在防火墙内外提供一 致的安全控制策略。 第八，粗粒度访问控制。防火墙只实现了粗粒度的访问控制，且不能与企业 内部使用的其他安全机制( 如身份验证) 集成使用，这样，企业就必须为内部的 身份验证和访问控制维护单独的数据库。 因此，认为在i n t e r n e t 入口处部署防火墙系统就足够安全的想法是不切实 际的。入侵检测系统( i d s ) 可以弥补防火墙的不足，为网络安全提供实时的入侵 检测及采取相应的防护手段，如及时记录证据用于跟踪、切断网络连接，执行用 户的安全策略等。在网络安全中防火墙就像一座别墅的围墙，入侵检测系统就像 监视器，互相补充，使网络更加安全。 1 2 国内外研究现状 1 2 1 入侵检测系统概念 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ) ：指“对于面向计算资源和 网络资源的恶意行为的识别和响应系统”( e d a m o r o s o ) 。一个完善的i d s 系统应 该具备下列特点： ( a ) 经济性：经济成本不能太高： ( b ) 时效性：必须及时的发现入侵行为； ( c ) 安全性：i d s 系统自身必须安全； ( d ) 可扩展性：可扩展性有两方面的意义。首先是机制与数据的分离，在现 有机制不变的前提下能够对新的攻击进行检测；其次是体系结构的可扩展性，在 有必要的时候可以在不对系统的整体结构进行修改的前提下对检测手段进行加 强，以保证能够检测到新的攻击。 1 2 2 常见入侵检测系统 近几年来，入侵检测系统的研究已经全面展开，世界各地都在投入资金进行 第一章绪论 入侵检测系统的研究和开发。下面介绍几种目前国内外知名的入侵检测系统( 产 品) 。 ( 1 ) s n o r t s n o r t 是开放源代码的网络入侵检测系统( t h eo p e ns o u r c en e t w o r k i n t r u s i o nd e t e c t i o n ) 的缩写。它能够在i p 网络上执行实时的网络流量分析和 数据包纪录，可以用来检测不同的攻击和探测，例如秘密端口扫描、c g i 攻击、 操作系统识别尝试等等。 s n o r t 使用灵活的规则语言来描述流量，来判断它是否应该收集或者通过， 它有一个优秀的检测引擎，此检测引擎是利用模块插入框架。s n o r t 可以提供实 时的预警能力，它的预警方式很多，例如有系统记录、w i n p o p u p 消息方式等。 s n o r t 有三个主要的用途，它能被用作一个轻量级的网络数据包分析器，就 像t c p d u m p 一样。也可以用作数据包记录器，这对于网络流量分析很有帮助的。 最后就是它可以作为一个入侵检测系统。 s n o r t 可以运行在具有1 i b p c a p 库的所有的系统平台上，例如l i n u x 、 f r e e b s d 、n e t b s d 、s o l a r i s 、h p _ u x 、a i x 、m a c o sxs e r v e r 、w i n d o w s 等。 ( d l i d s l i d s 是l i n u xi n t r u s i o nd e t e c t i o ns y s t e m 的缩写，即l i n u x 入侵检测系 统。它是一个内核模块和管理工具，它通过实现命令访问控制( m a n d a t o r ya c c e s s c o n t r o l ，m a c ) 来提高l i n u x 内核的安全性。当它产生作用的时候，文件的访问、 所有系统网络管理操作、任何性能使用、原始设备、内存和i o 访问都有可能被 限制，即使对于超级用户。你可以通过l i d s 来定义哪些程序可以访问哪些文件。 l i d s 扩大了系统的控制整个系统的绑定能力，增加了一些网络和文件系统安 全特性，提高了内核的安全性。l i d s 在g p l 下发行。 ( 3 ) e m e r a l d e m e r a l d 是e v e n tm o n it o r i n ge n a b li n gr e s p o n s e t oa n o m a l o u sl i v e d i s t u r b a n c e s 的缩写，它是针对s o l a r i s 系统的，是个功能非常强大的商业 b s m 分析工具，可以检测用户行为和入侵行为。它具有的特性：如可升级的网络 监督，非常多的事件分析功能，轻量级的分析式检测器，基础架构和插件模块相 结合，非常容易制定针对新的目的的用户策略。 7 第一章绪论 ( 4 ) a a f i d a a f i d ( a u t o n o m o u sa g e n t sf o ri n t r u s i o nd e t e c ti o n ) 自治代理入侵检测 系统，此系统由p u r d u e 大学开发。该系统是一种采用树型分层构造的代理群体， 底部的是监视器代理，提供控制、管理以及分析功能，在树叶部分的代理专门用 来收集信息。处在中间层的代理被称为收发器，这些收发器一方面实现对底层代 理的控制，一方面可以起到信息的预处理过程，把精炼的信息反馈给上层的监视 器。这种结构采用了本地代理处理本地事件，中央代理负责整体分析的模式。 a a f i d 系统包含四个部件：监视器( m o n i t o r ) 、收发器( t r a n s c e i v e r ) 、代理 ( a g e n t ) 和过滤器( f i l t e r ) 。这些部件被称为e a f i d 的实体( e n t i t y ) 。 ( 5 ) g r i n s g r i d s ( g r a p h b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) 是基于图形的入侵检 测系统。g r i d s 为在网络系统上检测大规模自动攻击的一个系统。它使用的机制 是建立活动图来近似地描述大规模分布式行为的因果结构。活动图的节点相当于 系统中的主机，图的边相当于这些主机间的网络活动。它与入侵模式是不同的， 即使它们警告的产生方式很相似。 ( 6 ) c m d s c m d s ( c o m p u t e rm i s u s e d e t e c t i o ns y s t e m ) 是由s c i e n c ea p p l i c a t i o n i n t e r n a t i o n a lc o r p o r a t i o n 公司开发的入侵检测产品。它是个基于主机的入 侵检测系统，采用了异常检测和误用检测两种方法。 在异常检测中，c m d s 使用统计分析的方法，从用户的行为中获得其行为模式。 其统计的数据来源有：登陆和退出的次数；所执行的应用程序；打开、修改和删 除的文件数目：管理员权限的使用情况；经常使用的目录等。 在模式识别中，c m d s 系统定义了u n i x 和n t 下的攻击特征，这些特征有登陆 失败次数、试图修改重要的文件、试图取得超级用户权限等，利用c l i p s 专家 系统来检测入侵。 ( 7 ) n e t r a n g e r n e t r a n g e r 是c i s c o 公司推出的基于网络的入侵检铡产品，它能对整个企业 网络进行实时的检测。n e t r a n g e r 由多个传感器( s e n s o r s ) 和一个或多个控制 器( d i r e c t o r ) 组成。传感器在硬件平台上实现，而控制器则是由软件来实现。 8 第一章绪论 传感器放置在网络的关键点上，使用基于规则的专家系统来审查通过的网络 包。它能分析网络包的头部和包的内容，并能将具有共同特征的包关联起来。每 一个传感器不仅能分析单个数据包，还能检测基于多个数据包基础上的攻击。 控制器提供了对整个系统的集中管理。通过控制器可以管理系统中的传感 器，调整其功能( 通信，数据管理，入侵检测和数据的收集等) ，远程地在传感 器上安装新的检测特征，同时还能收集、分析安全数据和检测传感器的状态。 ( 8 ) r e a l s e c u r e r e a l s e c u r e 是i s s 公司的实时i d s 产品。它采用了三层体系结构，系统由基 于网络的检测引擎、基于主机的检测引擎和管理模块组成。 网络检测引擎运行在专门的工作站上，分析特定网段中的网络包，检测网络 入侵并给以响应。当其检测到入侵时，可以采取切断连接、发送警报、记录会话 和重新配置防火墙等措施，并向管理模块报告。 基于主机的检测引擎是对网络检测引擎的补充。每一个基于主机的捡测引擎 安装在一个主机或工作站上，通过检查系统日志发现破坏网络安全的行为，并确 定攻击是否成功，同时通过中止用户进程、注销用户的登录来防止进一步的入侵。 管理模块提供了一个易于配置和管理系统的方式，用来配置所有的检测引 擎，接收其报告并检测其状态。 ( 9 ) 其他 其他的入侵检测系统( 产品) 有：n s w ( n e t w o r ks e c u r i t yw i z a r d ) 公司的 d r a g o n ( 见h t t p ：w w w n e t w o r k d e f e n s e c o m ) ，a x e n t 公司的i n t r u d e ra l e r t ( i t a ) 和n e t p r o w l e r ( 见h t t p ：m a x e n t c o m ) ，n e t w o r k i c e 公司的b l a c k l c e ( 见h t t p ：肿n e t w o r k i e c c o m ) ，中科网威公司的天眼n i d s ( 见 h t t p ：w 删n e t p o w e r c o m c n ) 、c a 公司的s e s s i o nw a l l 、n f r ( n e t w o r kf 1 i g h t r e c o r d e r ) ( 见h t t p ：w w w n f r n e t ) 等等。 1 3 论文的主要内容和目标 当今，基于网络的入侵攻击比以往更加普遍和复杂，入侵检测系统也把重点 从最初的基于主机的转向基于网络的入侵检测系统。基于网络的入侵检测系统的 结构如图卜2 。 9 第一章绪论 图l - 2基于网络的入侵检测系统的结构示意图 各个模块功能介绍： 探测器：按一定的规则从网络上获取与安全事件相关的数据包，经过协议解码处 理后，然后传递给分析引擎器迸行安全分析判断； 分析引擎器：从探测器上接收到的数据包结合网络安全数据库进行分析，把分析 的结果传递给安全配置构造器； 安全配置构造器：按分析引擎器的结果构造出探测器所需要的配置规则； 控制显示台：根据分析引擎器的结果，在管理控制台上显示，并发出报警或断开 网络链接。 1 3 1 研究的内容 本论文的研究内容是基于图1 - 3 所示的完整的系统软件模块结构图。 f 稹式匹配模块协议分析判断 tt l 规则处理模块ll 协议分析模块 ，辛 i协议解码模块 十 i数据包捕获模块 图t 一3 i 、f i d s 系统软件结构图 1 0 第一章绪论 下面对各个模块的功能进行说明： 数据包捕获模块；实现从网络接口上直接捕获网络上的数据包； 协议解码模块：把从网络上抓取的原始数据包，从下向上沿协议栈逐层进行 解码，为规则处理模块和协议分析模块服务； 规则处理模块：按照规则定义的格式，解析每一条规则，然后存储到特定的 数据结构中； 模式匹配模块：把经过协议解码模块的网络数据包和解析出来的规则进行匹 配，进而判断是否为入侵行为； 协议分析模块：根据网络协议的定义( r f c ) ，分析当前网络数据包的特点： 协议分析判断：分析一段时间网络上数据包呈现出来的特征，与预定的阀值 进行比较，进而判断是否为入侵行为； 安全响应模块：实现在检测到攻击后执行各种安全响应( 如日志记录、远程 w e b 数据库、发出警报等) 。 1 3 2 研究的总体目标 基于图卜2 所示i d s 系统的内部组织形式和图i - 4 所示的外部网络( 相对于 i d s 系统来讲) 组织形式应能够提供完整的网络入侵检测安全服务，包括对常见 的基于网络数据包序列和内容的入侵攻击( 如泪滴攻击( t e a rd r o p ) 、w e bc g i 攻击、i i s 攻击、l a n d 攻击、p i n go fd e a t h 等) 的分析和正确检测，并及时发 出安全响应。 图l - 4 外部网络拓扑结构图 第二章入侵检测技术( 系统) 综述 第二章入侵检测技术( 系统) 综述 2 1 入侵检测中的几个重要的概念 ( 1 ) 警报( a l a r m ) ：是i d s 传感器( 检测器) 产生的事件。 ( 2 ) 告警( a l e r t s ) ：传感器设备检测到的事件被传送到管理控制台，根据显 示规则，显示在g u i 屏幕或者别的能让网络安全管理员易看到的设备上。 ( 3 ) 攻击( a t t a c k s ) ：是造成入侵的行为动作。 ( 4 ) 异常( a n o m a l i e s ) ：任何不正常都可以描述成异常。系统安全管理员应集 中注意异常的来源，包括：防火墙日志、路由器日志、i d s 警报、用户的呼叫、 可疑的主机活动等。 ( 5 ) 滥用( m i s u s e ) ：这是一个很广阔的区域，可简单的定义为任何违反公司 安全策略的活动。 ( 6 ) 引擎( e n g i n e ) ：截获数据包并传送数据到其他进程的事件驱动进程。 2 2 入侵检测系统的基本结构、原理及功能 2 2 1 入侵检测系统的基本结构和原理 图2 1 给出了一个通用的入侵检测系统结构，主要有以下几个部分组成： 图2 - 1 通用入侵检测系统结构图 ( 1 ) 数据提取模块：它的作用是为系统提供数据，数据的来源可以是主机上的 日志信息、变动信息，也可以是网络上的数据信息，甚至是流量变化等。它 在获得数据后，需要对数据进行处理，然后把处理后的数据提交数据分析模 块。 ( 2 ) 数据分析模块：它的作用是对数据进行深入的分析，检测出入侵攻击，并 第= 章入侵检测技术( 系统) 综述 根据结果产生事件，传递给结果处理模块。该模块是入侵检测系统的核心。 ( 3 ) 结果处理模块：它的作用在于报警与反应。 2 2 2 入侵检测系统的功能 入侵检测技术作为安全技术其作用在于： ( 1 ) 识别入侵者； ( 2 ) 识别入侵行为； ( 3 ) 检测和监视已成功的安全突破； ( 4 ) 为对抗入侵及时提供重要信息，阻止入侵的发生和事态的扩大。 2 3 入侵检测系统的分类 2 3 1 根据检测方法分类： 2 3 1 1 滥用入侵检测系统( m i s u s ei n t r u s i o nd e t e c t i o ns y s t e m ) ( 1 ) 定义：m d i s 也叫误用入侵监测系统，是建立在对过去各种网络入侵方法和 系统缺陷的知识的积累之上，它首先需要建立这样一个表示过去知识( 信息) 的数据库，然后在各种收集到的网络活动信息中寻找与数据库项目中相匹配 的项目。当符合条件的线索被发现后，它就会触发一个警告，这就是说任何 不符合特定匹配条件的活动将被认为是合法和可以接受的，尽管其中也许包 含着隐蔽的入侵行为。典型的滥用入侵检测系统的示意图如图2 2 。 图2 - 2滥用入侵检测示意图 ( 2 ) 特点： 优点：采用模式匹配的方法，对检测已知或者发现的攻击时，能达到很 高的准确率： 第二章a 侵捡聊技术( 系统) 综述 缺点：个很明显的缺陷是收集所有已知或者发现的攻击行为和系统的 脆弱性信息非常困难；建立和及时的更新这样一个庞大的数据库需要耗费大 量的精力和时间：关于网络攻击的信息决大多数是与主机的操作系统有密切 关系的，这样就带来了问题，一个i d s 只能在一个特定的环境下运行，这样 的i d s 通用性差、移植性差；对于事先并不知情的攻击，此系统却无能为力。 ( 3 ) 典型应用产品：s r ii n t e r n a t i o n a l 公司开发的入侵检测专家系统( i d e s ， i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) ，见 2 7 3 。 2 3 1 2 异常入侵检钡l 系统( a n o m a l yi n t r u s i o nd e t e c t i o ns y s t e m ) ( 1 ) 定义：d e n n i n g 早在1 9 8 6 年就提出了此模型。a i d s 也被称为基于行为的 入侵检测系统，是入侵性活动作为异常活动的子集。通常事先根据以往的知 识定义一个正常的统计概率模型( 行为) ，根据统计分析原理，当用户或者 系统出现一个非正常的模型( 行为) 时( 与正常的模型偏差较大) ，就可以 响应警告，认为其可能是入侵。如用户x 仅仅是在早上9 点钟到下午5 点钟 之间在办公室使用计算机，则用户x 在晚上使用计算机的活动就是异常的， 就有可能是入侵。典型的异常入侵检测模型如图2 - 3 。 黧糕 懒。 圈2 3 异常入侵检测模型 ( 2 ) 特点： 优点：采用统计分析的方法在检测未知的攻击较模式匹配方法效果好； 还能发现任何企图或者尝试的入侵行为；因为其基于统计模型，所以在某种 程度上来讲，它更少依赖于特定的操作系统。 缺点：入侵误报率很高：建立正常行为模型的轮廓较困难：无法知道具 体的入侵情况；对用户活动的异常性报警的门限值的确定很困难：入侵的漏 1 4 第二章入侵检测技术( 系统) 综述 报率也很高，不是所有的入侵者的行为都能产生明显的异常性，有经验的入 侵者可以通过缓慢的改变他的行为，来改变a i d s 中的正常行为模型，使其 的入侵活动逐渐变的合法。 ( 3 ) 典型应用产品：国内的中联绿盟信息技术有限公司的“冰之眼”网络入侵 检测系统( 见h t t p ：w m , n s f o c u s o o m ) 。 2 3 2 根据分析数据的来源分类： 2 3 2 1 基于主机的入侵检测系统( h o s ti n t r u s i o nd e t e c t i o ns y s t e m ) ( 1 ) 定义：基于主机的入侵检测技术是入侵检测中最早应用的领域。h i d s 安装 在被检测的主机上，只要分析主机提供的审计信息等，然后给出可能是不安 全的报告。 ( 2 ) 特点： 优点：h i d s 对分析可能的入侵行为很有用( 必尽有很多的审计信息可以 查看) ：比n i d s 的误报率要低，因为检测主机的信息比检测网络流更简单， 系统的复杂性也少的多：h i d s 部署在不需要广泛的i d s 、监测器与控制台之 间的通信带宽的情况下。 缺点：h i d s 安装在需要保护的设备上，一方面降低了设备的性能，另一 方面，如设备是服务器，则将本不允许安全管理员有权利访问的服务器变成 可以访问了；它依赖于系统配备日志和监视功能，如果系统没有配备，则还 得重新配备；全面部署h i d s 成本很大，另外企业不可能把它的每一台机器 都配备h i d s ，所以又给黑客留下了攻击的空间；h i d s 只检测自身主机，不 检测网络上的情况，对入侵行为分析的工作量将随着主机数目的增加而增 加。 ( 3 ) 典型应用产品：恰德数码技术有限公司的天阒( t i a n ) 黑客入侵检测系统 ( h t t p ：w w w d e l t e q c o m c n ) 。 ( 4 ) h i d s 的数据来源主要包括： 系统信息( s y s t e ms o u r c e s ) ：操作系统提供的当前激活的进程的状 态信息。在u n i x l i n o x 环境下，类似的命令有p s 、p s t a t 、v m s t a t 等。 记帐( a c c o u n t i n g ) ：指计算机操作系统或者是操作员所执行的特定 纂= 章入侵检测技术( 系统) 综述 操作，它记录用户对计算机资源的使用情况，如处理器占用时间、 内存、硬盘或者是网络的使用状况等。 系统日志( s y s t e m l o g ) ：是种由操作系统提供给应用程序的服务， 该项服务接收由应用程序发来的一行文本字符串，加上时间戳和运 行的平台系统的名称信息，然后将它们存档。 c 2 级安全审计( c 2s e c u r it ya u d i t ) ：它记录所有可能与安全性有 关的发生在系统上的事件。c 2 级别的安全证书是由美国国防部可信 计算机系统评估标准t c s e c ( t r u s t e dc o m p u t e rs y s t e me v a l u a t i o n c r i t e r i a ) 来确定，目前为了适应这一要求，如s u n 公司的b s m 、 s h i e l dp a c k a g e s 以及a i x 等在其系统内加入了该项审计特征。目前 这项特征已经成为大多数h i d s 的主要审计信息的来源，并且它也是 唯一可靠的收集当前用户活动信息的途径。 2 3 2 2 基于网络的入侵检测系统( n e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m ) ( 1 ) 定义：n i d s 一般放在比较重要的网段内，使用专门的软硬件在网卡为混杂 模式下截获数据包，对每一个数据包进行特征分析。如果数据包与内置的数 据库中的某条规则相吻合，n i d s 就会发出安全响应。 ( 2 ) 特点： 优点：n i d s 可以防止数据包序列和数据包内容的攻击；它不会改变服务 器等主机的配置，也不会影响系统的性能；由于n i d s 不像路由器、防火墙 等设备的方式工作，所以它不会成为系统中的关键路径，它发生故障不会影 响到整个网络系统的正常运行。 缺点：n i d s 只检测与它直接连接网段的通信，不能检测不同网段的数据 包；在交换以太网的环境中就会出现检测范围的局限，恧安装多台n i d s 又 会增加系统的成本；n i d s 通常采用特征检测的方法，对于普通的攻击很容易 就检测出来，但是对于需要大量计算与分析时间的攻击就很难实现；n i d s 检测加密的i p 会话过程较难，目前采取加密的攻击几乎没有，但随着i p v 6 的普及，这个问题会越来越突出； ( 3 ) 典型应用产品：目前，国内外大多数的i d s 都是基于网络的，并且兼顾 h i d s ，将这两种i d s 结合起来，对提裔系统整体的安全性很有好处。 1 6 第二章a 侵检测技术( 系统) 综述 ( 4 ) n i d s 的数据来源主要包括： 简单网络管理协议信息( s i m p l en e t w o r km a n a g e m e n t p r o t o c o l i n f o r m a t i o n ) ：s n m p 的管理信息库m i b ( m a n a g e m e n ti n f o r m a t i o n b a s e ) 是专门存放网络管理的目的地，它包含了网络的配置信息以及 大量的性能和记帐信息。s n i p 目前有3 个版本，前两个版本缺乏安 全性。目前，很多的n i d s 开始利用s n m p v 3 作为安全审计的数据来 源。 网络数据包( n e t w o r kp a c k e t s ) ：随着集中式计算方式向分布式计 算方式的转移，越来越多的计算活动发生在网络上。通过捕获网络 数据包，可以防止基于包序列攻击和包内容攻击。目前，几乎所有 的n i d s 都采用捕获网络数据包的方法