（计算机应用技术专业论文）基于脚本配置代理协作的入侵检测模型的研究.pdf

东北大学硕士学位论文摘要 基于脚本配置代理协作的入侵检测模型的 研究 摘 要 高速网络的出现、攻击者技术水平的不断提高，攻击规模日 益扩大，攻击 方法日 益复杂化、多元化、分布化，传统的入侵检测系统已经远远不能满足要 求，此课题就是在这样一种背景下提出的。本文通过对现有入侵检测系统特别 是基于移动代理的i d s原理及系统结构进行研究分析，并在此基础上提出一个 新的系统模型 c - m a h i d s a 良 好的系统构架是影响入侵检测系统整体性能的关键部分，本文对传统的 i d s ， 特别是基于移动代理的i d s 作了 详细的系统结构分析与 研究， 分析各类系 统的优缺点，由此对 c - ma h i d s 系统结构进行了设计和规划。该系统吸取以往 各类i d s - a a f i d , i d a , j a m, m a i d s的优点，并尽力消除它们的缺陷。 c - m a h i d s选用移动代理技术来完成入侵检测的数据收集与分析功能，因此它 和 i d a , m a - i d s一样具有网 络负 载轻、系统性能高等显著优点。 其次该系统 采用分散式的系统结构，各个结点的地位和作用都是等同的，这样可以消除层 次型或树型系统结构所具有的检测实时性差、容错性不好、单点失效等问题。 可以增强了系统的稳定性、容错性及抗攻击能力。另外该系统采用一种新的数 据关联分析技术，即采用分布式关联脚本来定义代理之间的协作，它可以有效 解决代理协作问题，而且使得系统具有极强的可配置性，因此系统具有很强的 适应性、 可扩展性。 该系统具有的另一个特点是可以重用现有的入侵检测系统， 这样可以避免不必要的重复开发活动。 随后本文对该系统的性能作了理论上的分析，理论结果是该系统比传统的 层次型或树型的结构的i d s具有更强的容错性和伸缩性，入侵检测能力与其他 i d s 相当。 最后，本文对本文所设计的入侵检测模型进行了初步实现，以验证系统设 计的可行性。 关键词 移动代理 入侵检测 i d s 分布式关联脚本 a g l e t网 络安全 东北大学硕士学位论文ab s t r a c t r e s e a r c h o f a c o n f i g u r a b l e , mo b i l e a g e n t - b a s e d i n t r u s i o n d e t e c t i o n s y s t e m ab s t r a c t a s e m e r g e n c e o f t h e h i g h - s p e e d n e t w o r k , i m p r o v e m e n t o f a tt a c k e r s t e c h n o l o g y l e v e r , e x t e n s i o n o f a tt a c k s s c a l e , c o m p l i c a t i o n o f a t t a c k m e t h o d s , t r a d it i o n a l i d s s c a n n o t s a t i s f y s u c h r e q u e s t . s o t h i s p a p e r p r e s e n t s a n n e w m o d e l , c a l l e d c - m a h i d s , b a s e d o n r e s e a r c h a n d a n a l y s i s o f t h e s t r u c t u r e s o f s o m e i n t r u s i o n d e t e c t i o n s y s t e m s , s p e c i a l l y i d s s b a s e d o n m o b i l e a g e n t . i c a r e f u l l y d e s i g n a n d p l a n f o r t h e s t r u c t u r e o f c - ma h i d s b a s e d o n a d e t a i l e d r e s e a r c h a n d a n a l y s i s o f t r a d i t i o n a l i d s s , s p e c i a l l y f o r ma - i d s . t h e c - ma h i d s h a s s o m e m e r it s s u c h a s l i tt l e n e t w o r k l o a d , h i g h - p e r f o r m a n c e w h i c h a r e t h e s a m e as i d a , ma i d s , b e c a u s e i t u s e s m o b i l e a g e n t t o p e r f o r m t a s k s o f d a t a c o l l e c t i o n a n d a n a l y s i s w h i c h a r e n e e d e d f o r i n t r u s i o n d e t e c t i o n . i n t h e n e x t p l a c e , t h e s y s t e m s t ru c t u r e i s d e c e n t r a l i z e d , e a c h n o d e i n t h e s y s t e m i s e q u a l , w h i c h c a n r e s o lv e s o m e p r o b l e m s s u c h a s l o w r e a l - t i m e , s i n g l e p o in t f a i l u r e a n d f a u l t t o le r a n c e w h i c h h i e r a r c h y o r t r e e - l i k e s y s t e m s h a v e . t h e s y s t e m e x t r e m e l y b u i l d s u p s t a b i l i z a t i o n , f a u l t t o l e r a n c e a n d a n t i - a tt a c k c a p a b i l i t y . i n a d d it i o n , t h e s y s t e m u s e s a n e w c o r r e l a t i o n t e c h n o l o g y , c a l l e d d i s t r i b u t e d c o r r e l a t i o n s c r i p t , w h i c h c a n d e f i n e c o o p e r a t i o n a m o n g a g e n t s . a s a r e s u l t , t h e s y s t e m i s c o n f i g u r a b l e e a s i l y , a d a p t a b l e t o c h a n g e a n d e x t e n s i b l e . a n o t h e r c h a r a c t e r i s t i c i t h as i s t h a t i t c a n r e u s e e x i s t i n g i d s c o m p o n e n t s , s o i t i s t r u e t o a v o i d u n n e c e s s a ry r e p e a t t a s k s o f d e v e l o p m e n t . s u b s e q u e n t l y , w e e v a l u a t e p e r f o r m a n c e o f t h e s y s t e m t h e o r e t i c a l ly , t h e c o n c l u s i o n i s t h a t t h e s y s t e m h a s s t r o n g e r f a u lt t o l e r a n c e a n d s c a l a b i l i t y t h a n t h a t t r a d i t i o n h i e r a r c h y o r t r e e - l i k e i d s s h a v e , a n d a b i l i t y o f i n t r u s i o n d e t e c t i o n i s e q u a l t o o t h e r i ds s . i n t h e e n d , w e i m p l e m e n t t h e m o d e l e l e m e n t a r i l y i n o r d e r t o v a l id a t e f e a s i b i l i t y o f t h e s y s t e m . k e y w o r d s i n t r u s i o n d e t e c t i o n , i d s , mo b i l e a g e n t , d i s tri b u t e d c o r r e l a t i o n s c r i p t , a g l e t , n e t w o r k s e c u r i t y 1 1 独创性声明 本人声明所呈交的学位论文是在导师的指导下完成的。论文中取得的研究 成果除加以标注和致谢的地方外， 不包含其他人己 经发表或撰写过的研究成果， 也不包括本人为获得其他学位而使用过的材料。与我一同工作的同志对本研究 所做的任何贡献均己在论文中作了明确的ia明并表示谢意。 学位论文作者签名: 期 高 志 刚 a o ss 4 i z 9 日 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学位论文的 规定:即学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允 许论文被查阅和借阅。本人授权东北大学可以将学位论文的全部或部分内容编 入有关数据库进行检索、交流。 ( 如作者和导师同意网上交流，请在下方签名;否则视为不同意。 ) 学位论文作者签名: 签 字日 期 : 忘态 刚 口 ” 麟) q 2 8 日 导师签名 签字日期一 1， 东i t 大学 硕士学位论文 第一章 引言 w - 音己! 省 夕叮 ，言户.j 二二 刁 1 . 1 论文的背景 随着i n t e r n e t 的迅速扩展，网络与人们的日常生活、工作息息相关， 然而网 络安全问题日 益突出，网 络入侵事件频频发生，并随着网络发展而发展。 根据美国计算机安全专业机构计算机应急反应小组( c o m p u t e r e m e r g e n c y r e s p o n s e t e a m , c e rt ) 多年来的 报告统计:1 9 9 8 年网站攻击事件仅为 3 , 7 3 4 起，1 9 9 9 年为9 , 8 5 9 起，2 0 0 0 年为2 1 , 7 5 6 起， 2 0 0 1 年5 2 , 6 5 8 起， 2 0 0 2 年为8 2 , 0 9 4 起， 2 0 0 3 年为1 3 7 , 5 2 9 起，由此可见网络入侵事件的 攀升速度十分 惊人，因此网络安全是刻不容缓的。另一方面，网络攻击事件的不断出现促使 网络安全技术的研究和发展，先后出现防火墙和入侵检测系统，它们为计算机 系统和网络系统的安全提供了 有力了 保障。 入侵检测系统日渐成为保障计算机及网络安全的重要措施。自 从 1 9 7 0 d e n n i n g , d . e . 提出 入侵检测模型【 1 后，许多院校和研究机构加入到入侵检测系 统的研究与开发大军中来。入侵检测系统发展经历两个重要的阶段:基于主机 的i d s 和基于网络的i d s ，并先后出现了几种实用的系统。 近几年，关于入侵检测技术的研究发展很快，又出现了许多新的入侵检测 系统。但是，随着网络向高速化、分布式、多元化、多服务、多应用、多用户 的方向发展，对入侵检测系统的准确性和实时性提出了更高的要求，而且新的 攻击方法的不断出现，尤其是一些互相协作的入侵行为的出现，早期的集中式 入侵检测系统不能有效适应这些新的问题，这就引 起了研究分布式入侵检测系 统 ( d i d s )的 热潮。 目 前虽然出现了一些分布式入侵检测系统 ( 如g r i d s ) ，但是它们大多利用 分布式部件进行数据采集， 然后将数据发送到处理中心，由处理中心集中处理。 这种系统的存在入侵实时性不高、存在单点失效问题、网络负荷大及难于和其 他i d s 互操 作等 缺点。 移动代理技术的出现和发展，为解决分布式入侵检测系统所存在的问题提 供了一条新的道路。由于移动代理具有智能性、平台无关性、分布的灵活性、 低网络数据流量、协作性等优点，可以 有效克服原有 d i d s所具有的缺点。这 给入侵检测领域研究带来了新的课题。 基于移动代理的入侵检测系统设计的首要问题是如何设计系统的整体结构 东i t 大学 硕士学位论文 第一章 引言 w - 音己! 省 夕叮 ，言户.j 二二 刁 1 . 1 论文的背景 随着i n t e r n e t 的迅速扩展，网络与人们的日常生活、工作息息相关， 然而网 络安全问题日 益突出，网 络入侵事件频频发生，并随着网络发展而发展。 根据美国计算机安全专业机构计算机应急反应小组( c o m p u t e r e m e r g e n c y r e s p o n s e t e a m , c e rt ) 多年来的 报告统计:1 9 9 8 年网站攻击事件仅为 3 , 7 3 4 起，1 9 9 9 年为9 , 8 5 9 起，2 0 0 0 年为2 1 , 7 5 6 起， 2 0 0 1 年5 2 , 6 5 8 起， 2 0 0 2 年为8 2 , 0 9 4 起， 2 0 0 3 年为1 3 7 , 5 2 9 起，由此可见网络入侵事件的 攀升速度十分 惊人，因此网络安全是刻不容缓的。另一方面，网络攻击事件的不断出现促使 网络安全技术的研究和发展，先后出现防火墙和入侵检测系统，它们为计算机 系统和网络系统的安全提供了 有力了 保障。 入侵检测系统日渐成为保障计算机及网络安全的重要措施。自 从 1 9 7 0 d e n n i n g , d . e . 提出 入侵检测模型【 1 后，许多院校和研究机构加入到入侵检测系 统的研究与开发大军中来。入侵检测系统发展经历两个重要的阶段:基于主机 的i d s 和基于网络的i d s ，并先后出现了几种实用的系统。 近几年，关于入侵检测技术的研究发展很快，又出现了许多新的入侵检测 系统。但是，随着网络向高速化、分布式、多元化、多服务、多应用、多用户 的方向发展，对入侵检测系统的准确性和实时性提出了更高的要求，而且新的 攻击方法的不断出现，尤其是一些互相协作的入侵行为的出现，早期的集中式 入侵检测系统不能有效适应这些新的问题，这就引 起了研究分布式入侵检测系 统 ( d i d s )的 热潮。 目 前虽然出现了一些分布式入侵检测系统 ( 如g r i d s ) ，但是它们大多利用 分布式部件进行数据采集， 然后将数据发送到处理中心，由处理中心集中处理。 这种系统的存在入侵实时性不高、存在单点失效问题、网络负荷大及难于和其 他i d s 互操 作等 缺点。 移动代理技术的出现和发展，为解决分布式入侵检测系统所存在的问题提 供了一条新的道路。由于移动代理具有智能性、平台无关性、分布的灵活性、 低网络数据流量、协作性等优点，可以 有效克服原有 d i d s所具有的缺点。这 给入侵检测领域研究带来了新的课题。 基于移动代理的入侵检测系统设计的首要问题是如何设计系统的整体结构 东北大 学 硕士学 位 论文第 一章 引言 以及如何合理高效的配置代理的检测分析引擎。到目 前为止，虽然已经有人提 出了一些基于移动代理的入侵检测架构，并先后出现几种系统原型的实现，但 是仍然需要改进系统的性能和安全性，才能真正用于实践中。本论文正是处于 这种目的进行研究的。 1 . 2 课题的研究意义 目 前几种基于移动 代理的 入侵检测系统， 如 a a f i d 2 , i d a 3 , j a m 4 1 和m a i d s 协 j 等， 它们的 系统结构都是层次型或 树型的， 这类结构需要 将消 息一 层一层地向上传递和提炼， 这样系统的入侵检测实时性不是很高，另外此类系 统一般存在关键主机 ( 如管理主机) ， 一旦关键主机被攻击者破坏， 整个系统无 法正常工作。 此外这类系统还存在着系统容错性不高、可扩展性也不够好等缺 点。如何改进系统的架构，使系统具有更强的性能是本课题的研究目 标之一。 多代理协同检测与移动代理技术是入侵检测体系中一个比较新的研究方 向， 移动代理技术的应用可以实现负载动态平衡，以及由信息流动到代码移动， 减小网络负担。利用移动代理与多代理协作技术，可实现各种动态、 灵活的检 测技术。 本文研究的系统是一种分散式系统，这种系统中不存在进行分析处理的中 心主机或处于高层的主机 ( 如树形结构中处于根结点的主机) ， 每 一 个结点的地 位都是相等，这种结构可以增强系统的容错性与伸缩性。另外本文的系统可以 利用现成的i d s检测工具，这样的系统可以提高系统的扩展能力。再者，本文 对系统的代理协作机制作了改进， 采用了脚本配置代理协作的新方法，可以增 强系统的可扩展性和灵活性。因此，本课题的研究在理论和实践上都具有深刻 的意义。 1 . 3 论文的主要工作和贡献 本论文在全面剖析典型的基于移动代理入侵检测系统的基础 种系统结构模型的优点，并尽可能去除这些结构所存在的缺点。 ，充分挖掘各 提出了一种新 的系统架构模型，这种模型与以往的模型不同，它采用了分散式的系统结构， 而不是层次结构或树型结构。 但是它在某些地方与原有的系统相似，它也采用 移动代理收集可疑的事件信息，并进行事件关联分析。理论上这种系统结构具 有更好的容错性和伸缩性。 . 其次，本文的系统结构可以重用现有入侵检测技术， 任何入侵检测工具只 要符合i me f 6 标准就可以 无缝地与该系统集成， 不符合i m e f 标准的也可以用 东北大 学 硕士学 位 论文第 一章 引言 以及如何合理高效的配置代理的检测分析引擎。到目 前为止，虽然已经有人提 出了一些基于移动代理的入侵检测架构，并先后出现几种系统原型的实现，但 是仍然需要改进系统的性能和安全性，才能真正用于实践中。本论文正是处于 这种目的进行研究的。 1 . 2 课题的研究意义 目 前几种基于移动 代理的 入侵检测系统， 如 a a f i d 2 , i d a 3 , j a m 4 1 和m a i d s 协 j 等， 它们的 系统结构都是层次型或 树型的， 这类结构需要 将消 息一 层一层地向上传递和提炼， 这样系统的入侵检测实时性不是很高，另外此类系 统一般存在关键主机 ( 如管理主机) ， 一旦关键主机被攻击者破坏， 整个系统无 法正常工作。 此外这类系统还存在着系统容错性不高、可扩展性也不够好等缺 点。如何改进系统的架构，使系统具有更强的性能是本课题的研究目 标之一。 多代理协同检测与移动代理技术是入侵检测体系中一个比较新的研究方 向， 移动代理技术的应用可以实现负载动态平衡，以及由信息流动到代码移动， 减小网络负担。利用移动代理与多代理协作技术，可实现各种动态、 灵活的检 测技术。 本文研究的系统是一种分散式系统，这种系统中不存在进行分析处理的中 心主机或处于高层的主机 ( 如树形结构中处于根结点的主机) ， 每 一 个结点的地 位都是相等，这种结构可以增强系统的容错性与伸缩性。另外本文的系统可以 利用现成的i d s检测工具，这样的系统可以提高系统的扩展能力。再者，本文 对系统的代理协作机制作了改进， 采用了脚本配置代理协作的新方法，可以增 强系统的可扩展性和灵活性。因此，本课题的研究在理论和实践上都具有深刻 的意义。 1 . 3 论文的主要工作和贡献 本论文在全面剖析典型的基于移动代理入侵检测系统的基础 种系统结构模型的优点，并尽可能去除这些结构所存在的缺点。 ，充分挖掘各 提出了一种新 的系统架构模型，这种模型与以往的模型不同，它采用了分散式的系统结构， 而不是层次结构或树型结构。 但是它在某些地方与原有的系统相似，它也采用 移动代理收集可疑的事件信息，并进行事件关联分析。理论上这种系统结构具 有更好的容错性和伸缩性。 . 其次，本文的系统结构可以重用现有入侵检测技术， 任何入侵检测工具只 要符合i me f 6 标准就可以 无缝地与该系统集成， 不符合i m e f 标准的也可以用 东北大 学 硕士学 位 论文第 一章 引言 以及如何合理高效的配置代理的检测分析引擎。到目 前为止，虽然已经有人提 出了一些基于移动代理的入侵检测架构，并先后出现几种系统原型的实现，但 是仍然需要改进系统的性能和安全性，才能真正用于实践中。本论文正是处于 这种目的进行研究的。 1 . 2 课题的研究意义 目 前几种基于移动 代理的 入侵检测系统， 如 a a f i d 2 , i d a 3 , j a m 4 1 和m a i d s 协 j 等， 它们的 系统结构都是层次型或 树型的， 这类结构需要 将消 息一 层一层地向上传递和提炼， 这样系统的入侵检测实时性不是很高，另外此类系 统一般存在关键主机 ( 如管理主机) ， 一旦关键主机被攻击者破坏， 整个系统无 法正常工作。 此外这类系统还存在着系统容错性不高、可扩展性也不够好等缺 点。如何改进系统的架构，使系统具有更强的性能是本课题的研究目 标之一。 多代理协同检测与移动代理技术是入侵检测体系中一个比较新的研究方 向， 移动代理技术的应用可以实现负载动态平衡，以及由信息流动到代码移动， 减小网络负担。利用移动代理与多代理协作技术，可实现各种动态、 灵活的检 测技术。 本文研究的系统是一种分散式系统，这种系统中不存在进行分析处理的中 心主机或处于高层的主机 ( 如树形结构中处于根结点的主机) ， 每 一 个结点的地 位都是相等，这种结构可以增强系统的容错性与伸缩性。另外本文的系统可以 利用现成的i d s检测工具，这样的系统可以提高系统的扩展能力。再者，本文 对系统的代理协作机制作了改进， 采用了脚本配置代理协作的新方法，可以增 强系统的可扩展性和灵活性。因此，本课题的研究在理论和实践上都具有深刻 的意义。 1 . 3 论文的主要工作和贡献 本论文在全面剖析典型的基于移动代理入侵检测系统的基础 种系统结构模型的优点，并尽可能去除这些结构所存在的缺点。 ，充分挖掘各 提出了一种新 的系统架构模型，这种模型与以往的模型不同，它采用了分散式的系统结构， 而不是层次结构或树型结构。 但是它在某些地方与原有的系统相似，它也采用 移动代理收集可疑的事件信息，并进行事件关联分析。理论上这种系统结构具 有更好的容错性和伸缩性。 . 其次，本文的系统结构可以重用现有入侵检测技术， 任何入侵检测工具只 要符合i me f 6 标准就可以 无缝地与该系统集成， 不符合i m e f 标准的也可以用 东北大学 硕士学位论文第一章 引言 在本系统中，只要编写一个转换器即可。这就可以大大提高系统的扩展能力和 适应能力，避免不必要的重复开发。 另外，本文提出一种分布式关联脚本d c s ， 这种脚本可以明确定义代理之 间的协作， 每一个脚本只描述一个攻击场景。这样有利于提高系统的入侵检测 效率。 但d c s 脚本并不定义事件监控和分析的具体实现，它只是指定一系列相 关的代理，这样脚本的扩展能力非常强大，新型的入侵行为只要定义新的脚本 就可。对于某些攻击的变种也可以轻松搞定。 最后，本文对这个系统模型进行初步地实现，虽然它非常不完善。但也是 对这一系统模型的一次尝试。 1 . 4 论文的组织 第一章引言 第二章介绍入侵检测技术 第三章 介绍基于移动代理的入侵检测技术 第四章 c - ma h i d s 系统模型的设计 第五章c - ma h i d s的初步实现 第六章 c - m a h i d系统性能的评估 第七章结论 东北大学 硕士学位论文第一章 引言 在本系统中，只要编写一个转换器即可。这就可以大大提高系统的扩展能力和 适应能力，避免不必要的重复开发。 另外，本文提出一种分布式关联脚本d c s ， 这种脚本可以明确定义代理之 间的协作， 每一个脚本只描述一个攻击场景。这样有利于提高系统的入侵检测 效率。 但d c s 脚本并不定义事件监控和分析的具体实现，它只是指定一系列相 关的代理，这样脚本的扩展能力非常强大，新型的入侵行为只要定义新的脚本 就可。对于某些攻击的变种也可以轻松搞定。 最后，本文对这个系统模型进行初步地实现，虽然它非常不完善。但也是 对这一系统模型的一次尝试。 1 . 4 论文的组织 第一章引言 第二章介绍入侵检测技术 第三章 介绍基于移动代理的入侵检测技术 第四章 c - ma h i d s 系统模型的设计 第五章c - ma h i d s的初步实现 第六章 c - m a h i d系统性能的评估 第七章结论 东北大学硕士学 位论文第二章 入侵检测技术 第二章入侵检测技术 2 . 1 入侵检测概念 入侵检测是指识别非授权用户企图使用计算机系统及合法用户滥用其特权 访问 计算机系统的 行为，以 保证系统的 完整性、机密性及资源的可用性 7 8 1 0 入侵检测系统 ( i n t r u s i o n d e t e c t i o n s y s t e m , i d s ) 就是进行入侵检测的软件 与硬件的组合 1 . i d s的 作用一般是检测对系统的入侵事件， 一般不主 动采用 措施阻止入侵行为， 而是采用一种积极主动的安全防护技术，提供对内部攻击、 外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。一 个理想的入侵检测系统应具有准确性、可靠性、可用性、可配置性、伸缩性、 适应性、实时性和安全性等特点。 2 . 2 传统入侵检测技术 传统的检测入侵的方法分为两类: 滥用检测 ( mi s u s e d e t e c t i o n ) 和异常检测 ( a n o m a ly d e t e c t i o n ) 9 , 1 0 4 2 .2 . 1 滥用检测 滥用检测技术的技术基础是分析各种类型的攻击手段，找出可能的 “ 攻击 特征”集合。然后利用这些特征集合或者是对应的规则集来对所获取的数据进 行特征匹配或规则匹配处理，如果发现满足条件的匹配，就说明发生了攻击行 为。 滥用检测最适用于已 知攻击模式的可靠检测，误报率可以做到很低，但是 它不能检测新的入侵行为。 如果i d s 具有学习能力的话， 那么可以不断提高i d s 的知识水平。 滥用检测方法主要有以下几种: . 专家系统 早期的滥用检测都采用专家系统，如i d e s , d i d s等。使用专家系统的优 点在于可以把系统的控制推理从问题解决的描述中分离出去，这样就允许用户 以 i f - t h e n的形式输入攻击信息和动作，而不需要用户理解专家系统的内部功 能。 采用专家系统可以 将误报率压得很低，但是它也存在一些不足:如不适用 于处理大批量数据，特别是规则数量的增加使系统性能下降的非常快，尽管对 东北大学硕士学 位论文第二章 入侵检测技术 第二章入侵检测技术 2 . 1 入侵检测概念 入侵检测是指识别非授权用户企图使用计算机系统及合法用户滥用其特权 访问 计算机系统的 行为，以 保证系统的 完整性、机密性及资源的可用性 7 8 1 0 入侵检测系统 ( i n t r u s i o n d e t e c t i o n s y s t e m , i d s ) 就是进行入侵检测的软件 与硬件的组合 1 . i d s的 作用一般是检测对系统的入侵事件， 一般不主 动采用 措施阻止入侵行为， 而是采用一种积极主动的安全防护技术，提供对内部攻击、 外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。一 个理想的入侵检测系统应具有准确性、可靠性、可用性、可配置性、伸缩性、 适应性、实时性和安全性等特点。 2 . 2 传统入侵检测技术 传统的检测入侵的方法分为两类: 滥用检测 ( mi s u s e d e t e c t i o n ) 和异常检测 ( a n o m a ly d e t e c t i o n ) 9 , 1 0 4 2 .2 . 1 滥用检测 滥用检测技术的技术基础是分析各种类型的攻击手段，找出可能的 “ 攻击 特征”集合。然后利用这些特征集合或者是对应的规则集来对所获取的数据进 行特征匹配或规则匹配处理，如果发现满足条件的匹配，就说明发生了攻击行 为。 滥用检测最适用于已 知攻击模式的可靠检测，误报率可以做到很低，但是 它不能检测新的入侵行为。 如果i d s 具有学习能力的话， 那么可以不断提高i d s 的知识水平。 滥用检测方法主要有以下几种: . 专家系统 早期的滥用检测都采用专家系统，如i d e s , d i d s等。使用专家系统的优 点在于可以把系统的控制推理从问题解决的描述中分离出去，这样就允许用户 以 i f - t h e n的形式输入攻击信息和动作，而不需要用户理解专家系统的内部功 能。 采用专家系统可以 将误报率压得很低，但是它也存在一些不足:如不适用 于处理大批量数据，特别是规则数量的增加使系统性能下降的非常快，尽管对 东北大学硕士学位论文 第二章 入 侵检测技术 规则进行分类索引可以取得一定效果，但是无法根本上解决问题;无法利用连 续有序数据之间的关联性;无法处理不确定性。 . 状态转换法 采用状态转换法可以使用最优模式匹配进行结构化滥用检测， 速度快，灵 活性高。状态转换法使用系统状态和状态转换表达式描述和检测已知入侵，主 要有语言堪 于a p i 方法、状态转换特征法、有色p e t ri网 ( c p - n e t s ) 和状态转 换分析法。 2 . 2 .2 异常检测 异常检测是将正常用户行为特征轮廓和实际用户行为进行比较，并得出正 常值和非正常值之间偏离。如果发现偏差超过了设定好的闭值，就说明发生了 攻击行为。异常检测的基础是反常活动和计算机不正当使用之间的相关性。轮 廓定义一个度量集，度量用来衡量用户的 特定行为。每一度量与 一个闽值或域 相联系。 异常检测依赖于一个假定: 即用户表现为可预测的、 一致的系统使用模式。 这个方法也能随着事件的迁移适应用户行为方面的变化。但是异常检测的完成 仍必须验证，因为无法判定给定的度量集是否完备。因此，异常检测作为一种 可靠而强壮的系统保护机制仍需要进一步的研究。 异常检测方法主要有以下几种: 0 统计分析法 统计分析法是异常检测中最古老的方法之一。 它首先给系统对象 ( 如用户、 文件、目 录和设备等) 创建一个统计描述， 统计正常使用时的一些测量属性( 如 访问次数、操作失败次数和延时等) 。 然后，测量属性的平均值和偏差，并与网 络、系统的正常行为的值进行比较，如果发现观察值在正常值范围之外时，就 认为 有入侵发生。 早期系 统， 如i d e s 川、 h a y s t a c k 等都使用了 这个方法。 . 神经网络法 1 2 , 1 3 神经网络使用自 适应学习技术来描述异常行为，属于非参分析技术。神经 网络由许多称为单元的简单处理元素组成，这些单元通过使用加权的连接相互 作用。 一个神经网络的知识根据单元和它们之间的连接权值编码而成。 实际上， 事件异常检测过程是通过改变单元状态，连接权值，加入或移去连接进行的。 在使用神经网络进行入侵检测时，主要不足是神经网络不能为它们提供任何信 服的解释，这使它不能满足安全管理需要。尽管一些研究者提出用符合方法来 解决这些难题，但可行性仍有待探讨。 东北大学硕士学位论文 第二章 入 侵检测技术 规则进行分类索引可以取得一定效果，但是无法根本上解决问题;无法利用连 续有序数据之间的关联性;无法处理不确定性。 . 状态转换法 采用状态转换法可以使用最优模式匹配进行结构化滥用检测， 速度快，灵 活性高。状态转换法使用系统状态和状态转换表达式描述和检测已知入侵，主 要有语言堪 于a p i 方法、状态转换特征法、有色p e t ri网 ( c p - n e t s ) 和状态转 换分析法。 2 . 2 .2 异常检测 异常检测是将正常用户行为特征轮廓和实际用户行为进行比较，并得出正 常值和非正常值之间偏离。如果发现偏差超过了设定好的闭值，就说明发生了 攻击行为。异常检测的基础是反常活动和计算机不正当使用之间的相关性。轮 廓定义一个度量集，度量用来衡量用户的 特定行为。每一度量与 一个闽值或域 相联系。 异常检测依赖于一个假定: 即用户表现为可预测的、 一致的系统使用模式。 这个方法也能随着事件的迁移适应用户行为方面的变化。但是异常检测的完成 仍必须验证，因为无法判定给定的度量集是否完备。因此，异常检测作为一种 可靠而强壮的系统保护机制仍需要进一步的研究。 异常检测方法主要有以下几种: 0 统计分析法 统计分析法是异常检测中最古老的方法之一。 它首先给系统对象 ( 如用户、 文件、目 录和设备等) 创建一个统计描述， 统计正常使用时的一些测量属性( 如 访问次数、操作失败次数和延时等) 。 然后，测量属性的平均值和偏差，并与网 络、系统的正常行为的值进行比较，如果发现观察值在正常值范围之外时，就 认为 有入侵发生。 早期系 统， 如i d e s 川、 h a y s t a c k 等都使用了 这个方法。 . 神经网络法 1 2 , 1 3 神经网络使用自 适应学习技术来描述异常行为，属于非参分析技术。神经 网络由许多称为单元的简单处理元素组成，这些单元通过使用加权的连接相互 作用。 一个神经网络的知识根据单元和它们之间的连接权值编码而成。 实际上， 事件异常检测过程是通过改变单元状态，连接权值，加入或移去连接进行的。 在使用神经网络进行入侵检测时，主要不足是神经网络不能为它们提供任何信 服的解释，这使它不能满足安全管理需要。尽管一些研究者提出用符合方法来 解决这些难题，但可行性仍有待探讨。 东 北大学硕士学位论文第二章 入侵检测技术 另外还有特征选择、贝叶斯推理、模式预测等异常检测方法。 2 . 3 新型检测方法 最近出现的一些入侵检测方法既不属于滥用检测也不属于异常检测的范 围。这些方法可以应用于_ l 述两类检测。它们主要包括: . 免疫系统方法 1 4 1 这 个方法是由f o r r e s t 和h o f rn e y r 等 人提出 的， 他们 注意到生 理免 疫系统 和 系统保护机制之间有着显著的相似性。 两者的关键是有决定执行 “ 自 本文/ 非自 本文”的能力，即一个免疫系统能决定哪些东西是无害实体，哪些是有害因素。 由于免疫系统通过使用缩氨酸、短蛋白 质片段做出 判断，因此研究者们将注意 力集中到与缩氨酸相似的计算机属性上来研究异常检测。 . 遗传算法 i 习 另一个比较复杂的异常检测方法是使用遗传算法执行事件数据分析。一个 遗传算法是一类称为进化算法的一个实例。进化算法吸收达尔文自 然选择法则 ( 适者生存)来优化问题解决。这些算法在多维优化问题处理方面的能力己 经 得到认可，并且遗传算法对异常检测的实验结果也是令人鼓舞的，在检测准确 率和速度上有较大的优势，但主要的不足就是不能在审计跟踪中精确的定位攻 击，这一点和神经网络面临的问 题相似。 . 基于代理检测 基于代理的入侵检测方法就是在一个主机上执行某种安全监控功能的软件 实体。 这些代理自 动运行在主机上，并且可以和其他相似结构的代理进行交流 和协作。一个代理可以是很简单的 ( 例如，记录在一个特定时间间隔内特定命 令触发的次数)也可以很复杂 在一定环境内捕获并分析数据)。基于代理的 检测方法是非常有力的，它允许基于代理的入侵检测系统提供异常检测和滥用 检测的混合能力。例如，一个代理可以设计成能检测本地环境变化;也可以设 计成在一个很长时间内监控不确定模式，如检测慢攻击。而且，一个代理能对 一个检测到的问题指定非常精细的响应 ( 例如，改变一个进程的优先级)。具 有代表性的基于代理的入侵检测系统原型有a a f i d . . 数据挖掘 1 6 另一个与一些基于规则异常检测相似的方法是使用数据挖掘技术建立入侵 检测模型。数据挖掘是从大量实体数据中抽出模型， 这些模型经常在数据中发 现对其他检测方式不是很明显的事实。通常对挖掘审计数据最有用的 3种方法 包括分类、连接分析和顺序分析。研究者也已经开发出标准数据挖掘扩展算法 东 北大学硕士学位论文第二章 入侵检测技术 另外还有特征选择、贝叶斯推理、模式预测等异常检测方法。 2 . 3 新型检测方法 最近出现的一些入侵检测方法既不属于滥用检测也不属于异常检测的范 围。这些方法可以应用于_ l 述两类检测。它们主要包括: . 免疫系统方法 1 4 1 这 个方法是由f o r r e s t 和h o f rn e y r 等 人提出 的， 他们 注意到生 理免 疫系统 和 系统保护机制之间有着显著的相似性。 两者的关键是有决定执行 “ 自 本文/ 非自 本文”的能力，即一个免疫系统能决定哪些东西是无害实体，哪些是有害因素。 由于免疫系统通过使用缩氨酸、短蛋白 质片段做出 判断，因此研究者们将注意 力集中到与缩氨酸相似的计算机属性上来研究异常检测。 . 遗传算法 i 习 另一个比较复杂的异常检测方法是使用遗传算法执行事件数据分析。一个 遗传算法是一类称为进化算法的一个实例。进化算法吸收达尔文自 然选择法则 ( 适者生存)来优化问题解决。这些算法在多维优化问题处理方面的能力己 经 得到认可，并且遗传算法对异常检测的实验结果也是令人鼓舞的，在检测准确 率和速度上有较大的优势，但主要的不足就是不能在审计跟踪中精确的定位攻 击，这一点和神经网络面临的问 题相似。 . 基于代理检测 基于代理的入侵检测方法就是在一个主机上执行某种安全监控功能的软件 实体。 这些代理自 动运行在主机上，并且可以和其他相似结构的代理进行交流 和协作。一个代理可以是很简单的 ( 例如，记录在一个特定时间间隔内特定命 令触发的次数)也可以很复杂 在一定环境内捕获并分析数据)。基于代理的 检测方法是非常有力的，它允许基于代理的入侵检测系统提供异常检测和滥用 检测的混合能力。例如，一个代理可以设计成能检测本地环境变化;也可以设 计成在一个很长时间内监控不确定模式，如检测慢攻击。而且，一个代理能对 一个检测到的问题指定非常精细的响应 ( 例如，改变一个进程的优先级)。具 有代表性的基于代理的入侵检测系统原型有a a f i d . . 数据挖掘 1 6 另一个与一些基于规则异常检测相似的方法是使用数据挖掘技术建立入侵 检测模型。数据挖掘是从大量实体数据中抽出模型， 这些模型经常在数据中发 现对其他检测方式不是很明显的事实。通常对挖掘审计数据最有用的 3种方法 包括分类、连接分析和顺序分析。研究者也已经开发出标准数据挖掘扩展算法 东 北大学 硕士学位论文 来满足一些审计和系统时间日 志处理的特殊需求。 第二 章 入 侵检测技术 2 . 4 入侵检测系统的分类 i d s主要有三种分类方式，第一种是根据检测方法，第二种是根据检测的 数据来源，第三种是系统各模块的运行方式。 2 .4 . 1 根据检测方法分类 根据入侵检测方法，可以将i d s公为两类: 二 基于异常的入侵检测系统 ( a n o m a l y b a s e d i d s ) 在这种模型中， i d s试图定义一个正常操作的配置文件。所有与该文件定 义的活动不同的活动都是可疑的。该模型的优点是新出现的入侵可能被检测出 来。不幸的是，它存在着误报率高的缺点。 . 基于滥用的入侵检测系统 ( mi s u s e b a s e d i d s ) 2 .4 .2 根据数据来源分类 根据检测的数据来源，入侵检测系统一般分为三种:基于主机的入侵检测 系统 ( h o s t - b a s e d i d s ， 简称h i d s ) 、 基于网络的入侵检测系统 ( n e t w o r k - b a s e d i d s ， 简称n i d s ) 及混合型入侵检测系统 ( h y b r i d b a s e d i d s , 简称hid s ) 。 早 期的工具大多是基于主机的入侵检测工具，但随着网络的迅猛发展，基于网络 的入侵检测系统己成为研究与开发的主流。目前的大多商用产品主要是侧重于 基于网络的入侵检测系统。 . 基于主机的入侵检测系统 这种系统通常从主机的审计记录和日志文件中获得所需的主要数据源，并 结合主机上的其他信息，例如文件系统属性、进程状态等，在此基础上完成入 侵检测任务。 早期的入侵检测系统大多 是基于主机的。 n i d s 和h i d s 的差别在 于前者处理主机和主机之间传输的数据，后者则只关心主机本身的事件。基于 主机的入侵检测非常适合对抗内部入侵，因为他能对指定用户的行为和对该主 机文件访问 进行监视和响应。 基于主机的入侵检测系统有s r i 的i d e s 和n i d e s , h a y s t a c k 系统等。 . 基于网络的入侵检测系