（计算机应用技术专业论文）广域网入侵检测系统的实现研究.pdf

x 6 6 9 2 16 昆明理工大学学位论文原创性声明 本人郑重声明：所呈父的学位论文，是本人在导师的指导一拄行 研究工作所取得的成果。除文中已经注明引用的内容外，本论文不含 任何其他个人或集体已经发表或撰写过的研究成果。对本文的研究做 出重要贡献的个人和集体，均已在论文中作了明确的说明并表示了谢 意。本声明的法律结果由本人承担。 学位论文作者签名：勃吟 日 期：孔 ，年弓月7 日 关于论文使用授权的说明 本人完全了解昆明理工大学有关保留、使用学位论文的规定，即： 学校有权保留、送交论文的复印件，允许论文被查阅，学校可以公布 论文的全部或部分内容，可以采用影印或其他复制手段保存论文。 ( 保密论文在解密后应遵守) 导师签名：荔曩r 论文作者签名：爱z 曼奠 日期：五距_ 生二玉且j l 旦 广域嗣入侵检铡系统的实现研究 摘要 随着计算机和网络技术在社会生活各方面应用的深入发展，计 算机网络系统的安全已成为计算机科学研究的热点。随着网络技术 的发展及攻击者技术的日益提高，单纯的防火墙已经不能满足安全 需求，它无法控制内部网络用户和透过防火墙的入侵者的行为。因 此需要采用多方位，多式样的手段来保证网络安全。在当前的网络 安全技术中，i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ，入侵检测系统) 无疑是最热门的技术之一。入侵检测技术能检测出针对某一系统的 入侵或入侵企图，并实时作出反应。 本文提出了广域网入侵检测系统的实现研究。路由器是构成广 域网的重要设备，许多网络瘫痪都与路由器有关，路由器作为互联 网络的中枢，是网络安全的前沿关口。广域网入侵检测系统是专门 加强广域网核心部分安全性的一种入侵检测系统。本文设计广域网 入侵检测系统的数据采集实现采用c is c o 的n e t f l o w 技术。数据接 收模块的实现平台设计采用l i n h x ，模块的实现采用g c c 环境下的 c 语言编程，数据存储选用o r a c l e 数据库，接收模块与o r a c l e 的 访问接口采用p r o * c 编程。设计广域网入侵检测引擎的实现采用分 层式数据分析，将模式匹配分析方法和数据挖掘技术相结合，来保 证入侵检测系统的实时性和准确性。设计入侵响应控制系统时，首 先分析了传统响应系统的不足，接着提出了相应的改进方案。 关键词：入侵检测系统 n e t f l 。wl i f l u xp r o * c 模式匹配数 据挖掘 苎塑垒堡垒! ! 墨堕塑塞翌塑塞 a b s t r a c t s e c i i f i t y 0 ft i e t w o r k s y s t e m s is b e c o m i n gi r i c r e a s i n g l y i m p o r t a n t a sn l o i ea n di l l o i - es er l s i t i v ei n f o r m a t i o i li s b e i n g s t o r e da n d m a r l i p u l a t e d o n l i n e 1 1 3 a d d i t i o nt oi n t r l i s i o n p r e v e n t i o f tt e c h n i q u e s ，s u c ha su s e ri a t l t h e n t i c a t i o n ，o v o i d i n g p r o g r a m m i n ge r r o r s 。a n di n f o r m a t i o r lp r o t e c t i o n ，i n t i l i s i o n d e t e c t i o r liso f t e l lu s e da sa r l o t h e rw a 1 1 t o p r o t e c tl i e t w o r k s y s t e m s i nt h is p a p e r ， w e p r e s e l i t t h e d e s i g n a n d p a r t o f i m p l e m e n t a t i 0 1 3 o fi n t l 2 u s i o nd e t e c t i 0 1 3 s y s t e l n f 0 1 w a n s e c u r i t y w a ni n t r u s i o nd e t e c t i o ns y s t e n l ( w a n i d s ) h a sf o u r p a r t s 1 0 9 i c a l l y ：i n f o r m a t i o l l c o l l e c t i o n i j n i t ，a r i a l y s is i n t r u s i o nd e t e c t i o i lu i l i t ，i n f o r m a t i o r ld a t a b a s e ，a n dr e s p o r t s e c o n t r 0 1u n i t f o r1 1 3 f o r m a t i o i lc o l l e c t i or l ，w ei i s ec i s c o s n e t f l o wt e c h n o l o g y n e t f l o r a l1 0 w s e x t r e m e l yg r s r i u l a ra n d a c c u r a t et r a f f i cm e l 3 s u r e m e n l ；sa n d h i g h 一1 e v e la g g r e g a t e d t t o f f ic c 0 1 1 e c t i o n b ya n a l y z i n g n e t f l o wd a t f l , ，an e t w o r k m a n a g e rc o , i ii d e n t i f yt h ec a l i s e o f c o i l g e s t i o n ：d e t e r m i i l et h e c l a s so fs e r v ic e ( c o s ) f o re a c hu s e ra n da p p l i c a t i o r l ：a n d i d e n t i f yt h es o u f c ea n dd e s t i n a t i o nn e t w o r kf o ry o u rt r a f f i c a n a ly s is i n t r u s i 0 3 d e t e c t i o nu n i ti sd e s i g n e dt ob e1 a y e r e d f o rr e a lt i m ea n d a c c l i a c y a n do r a c l eis a p p l i e d 8 s i n f o r m a t i o f t1 ) a t a b 1 s e a n ds o m ei m p r o v e dr n e 。c h o d sc a nb ef o u n d i n r e s p o r t s e c o n t r o l i j n i t k e yw o r d s ：i d s ，n e t f l o r ，l i r l l i x ，p r o * c ，p a t t e l - l qm a t c h ，d a t a m i n i n g 2 广域网入侵检测系统的实现研究 第一章绪论 1 1 入侵检测系统简介 自i n t e r n e t 诞生起，信息和网络的安全就成为人们关注的一 个焦点。i n t e r n e t 发展的每一个阶段，安全问题都是一个基础性、 关键性的发展因素。今天，随着i n t e r n e t 技术的日趋成熟，安全 问题更成为影响国家安全、经济发展、个人生活、社会稳定的重大 关键问题。 1 1 1 入侵检测系统产生的背景及意义 i n t e r n e t 已遍及世界1 8 0 多个国家，容纳了6 0 多万个网络， 为l 亿多用户提供了多样化的网络与信息服务。在i n t e r n e t 上， 除了原来的电子邮件、新闻论坛等文本信息的交流与传播之外，网 上电话、网上传真、静态图像及视频等通信技术都在不断地发展与 完善。在当今的信息化社会中，网络信息系统在政治、军事、金融、 商业、交通、电信、文教等方面发挥的作用越来越大，社会对网络 信息系统的依赖也日益增强。 随着网络的开放性、共享性和互联程度的扩大，网络与信息系 统的安全和保密问题显得越来越重要，己成为各国政府有关部门、 各大行业和企事业领导人关注的热点问题。目前，全世界每年由于 信息系统的脆弱性而导致的经济损失逐年上升。 为了解决安全问题，各种安全机制、策略和工具被研究和应用。 然而，即使在使用了现有的安全工具和机制的情况下，网络的安全 仍然存在很大隐患，这些安全隐患主要可以归结为以下几点： 1 ) 每一种安全机制都有一定的应用范围和应用环境。防火墙 是一种有效的安全工具，它可以隐蔽内部网络结构，限制外部网络 到内部网络的访问。但是对于内部网络之间的访问，防火墙往往是 无能为力的。因此，对于内部网络到内部网络之间的入侵行为和内 广域网入侵检测系统的实现研究 外勾结的入侵行为，防火墙是很难发觉和防范的。 2 ) 安全工具的使用受到人为因素的影响。一个安全工具能不 能实现期望的效果，在很大程度上取决于使用者，包括系统管理者 和普通用户，不正当的设置就会产生不安全因素。例如，n t 在进 行合理的设置后可以达到c 2 级的安全性，但很少有人能够对n t 本 身的安全策略进行合理的设置。虽然在这方面，可以通过静态扫描 工具来检测系统是否进行了合理的设置，但是这些扫描工具基本上 也只是基于一种缺省的系统安全策略进行比较，针对具体的应用环 境和专门的应用需求就很难判断设置的正确性。 3 ) 系统的后门是传统安全工具难于考虑到的地方。防火墙很 难考虑到这类安全问题，多数情况下，这类入侵行为可以堂而皇之 经过防火墙而很难被察觉；比如说，众所周知的a s p 源码问题，这 个问题在i i s 服务器4 0 以前一直存在，它是i i s 服务的设计者留 下的一个后门，任何人都可以使用浏览器从网络上方便地调出a s p 程序的源码，从而可以收集系统信息，进而对系统进行攻击。对于 这类入侵行为，防火墙是无法发觉的，因为对于防火墙来说，该入 侵行为的访问过程和正常的w e b 访问是相似的，唯一区别是入侵访 问在请求链接中多加了一个后缀。 4 ) 只要有程序，就可能存在b u g 。甚至连安全工具本身也可 能存在安全的漏洞。几乎每天都有新的b u g 被发现和公布出来，程 序设计者在修改已知的b u g 的同时又可能使它产生了新的b u g 。系 统的b u g 经常被黑客利用，而且这种攻击通常不会产生日志，几乎 无据可查。比如说现在很多程序都存在内存溢出的b u g ，现有的安 全工具对于利用这些b u g 的攻击几乎无法防范。 5 ) 黑客的攻击手段在不断地更新，几乎每天都有不同系统安 全问题出现。然而安全工具的更新速度太慢，绝大多数情况需要人 为的参与才能发现以前未知的安全问题，这就使得它们对新出现的 安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安 全问题时，其他的安全问题又出现了。因此，黑客总是可以使用先 进的、安全工具不知道的手段进行攻击。 对于以上提到的问题，很多组织正在致力于提出更多的更强大 的主动策略和方案来增强网络的安全性，然而另一个更为有效的解 广域霸入侵检测系统的实现研究 决途径就是入侵检测。在入侵检测之前，大量的安全机制都是根据 从主观的角度设计的，他们没有根据网络攻击的具体行为来决定安 全对策，因此，它们对入侵行为的反应非常迟钝，很难发现未知的 攻击行为，不能根据网络行为的变化来及时地调整系统的安全策 略。而入侵检测正是根据网络攻击行为而进行设计的，它不仅能够 发现已知入侵行为，而且有能力发现未知的入侵行为，并可以通过 学习和分析入侵手段，及时地调整系统策略以加强系统的安全性。 入侵检测是对于面向计算机资源和网络资源恶意行为的识别 和响应。入侵是指任何企图破坏资源完整性、机密性和可用性的行 为，且包括用户对系统资源的误用。 入侵检测系统( i d s ) 是对传统安全产品的合理补充，帮助系 统对付网络攻击，扩展了系统管理员的安全管理能力( 包括安全审 计、监视、进攻识别和响应) ，提高了信息安全基础结构的完整性。 它从计算机网络系统中的若干关键点收集信息，并分析这些信息， 看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检 测系统被认为是防火墙之后的第二道安全闸门，在不影响网络性能 的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误 操作的实时保护。 1 1 2 入侵检测系统的分类 入侵检测系统可以采用两种方法进行分类：( 1 ) 根据检测数据 的来源分类；( 2 ) 根据采用的检测方法分类。 根据检测数据的来源，入侵检测系统可以分为：基于主机的入 侵检测系统和基于网络的入侵检测系统。 1 ) 基于主机的入侵检测系统： 基于主机的入侵检测系统将检测模块驻留在被保护系统上，通 过提取被保护系统的运行数据并进行入侵分析来实现入侵检测的 功能。基于主机的入侵检测系统可以有若干种实现方法：检测系统 设置以发现不正当的系统设置和系统设置的不正当更改，例如c o p s ( c o m p u t e ro r a c l e a n dp a s s w o r ds y s t e m ) 系统；对系统安全状 态进行定期检查以发现不正常的安全状态，例如t r i p w i r e 系统； 广域网入侵检铡系统的实现研究 通过替换服务器程序，在服务器程序与远程用户之间增加一个中间 层，在该中间层中实现跟踪和记录远程用户的请求和操作，例如 t c p w r a p p e r ；基于主机日志的安全审计，通过分析主机日志来发现 入侵行为。 基于主机的入侵检测系统具有检测效率高，分析代价小，分析 速度快的特点，能够迅速并准确地定位入侵者，并可以结合操作系 统和应用程序的行为特征对入侵进行进一步分析。目前很多是基于 主机日志分析的入侵检测系统。基于主机的入侵检测系统存在的问 题是：首先它在一定程度上依赖于系统的可靠性，它要求系统本身 应该具备基本的安全功能并具有合理的设置，然后才能提取入侵信 息；即使进行了正确的设置，对操作系统熟悉的攻击者仍然有可能 在入侵行为完成后及时地将系统日志抹去，从而不被发觉；并且主 机的日志能够提供的信息有限，有的入侵手段和途径不会在日志中 有所反映，臼志系统对有的入侵行为不能作出正确的响应，例如利 用网络协议栈的漏洞进行的攻击，通过p i n g 命令发送大数据包， 造成系统协议栈溢出而死机，或是利用a r p 欺骗来伪装成其他主机 进行通信，这些手段都不会被高层的日志记录下来。在数据提取的 实时性、充分性、可靠性方面基于主机日志的入侵检测系统不如基 于网络的入侵检测系统。 2 ) 基于网络的入侵检测系统： 基于网络的入侵检测系统通过网络监视来实现数据提取。网络 监视具有良好的特性：理论上，网络监视可以获得所有的网络信息 数据，只要时间允许，可以在庞大的数据堆中提取和分析需要的数 据；可以对一个子网进行检测，一个监视模块可以监视同一网段的 多台主机的网络行为：不改变系统和网络的工作模式，也不影响主 机性能和网络性能；处于被动接收方式，很难被入侵者发现；可以 从低层开始分析，对基于协议攻击的入侵手段有较强的分析能力。 网络监视的主要闷题是监视数据量过于庞大并且它不能结合操作 系统特征来对网络行为进行准确的判断。 由于基于网络的入侵检测方式具有较强的数据提取能力，因此 目前很多入侵检测系统倾向于采用基于网络的检测手段来实现。 广域阐入侵检测系统的实现研究 根据所采用的检测分析方法，入侵检测系统可分为：滥用检测 ( m is u s ed e t e c t i o n ) 和异常检测( a n o m a l yd e t e c t i o i l ) 。 1 ) 滥用检测： 滥用入侵检测系统是建立一个包含已知入侵或攻击方法的数 据库，然后在检测引擎的输入信息中寻找与数据库项目匹配的特 征。如果发现符合条件的活动线索，即认为发生入侵或攻击行为， 系统触发一个警告；如果未发现符合条件的活动线索，则认为该活 动是合法的。滥用入侵检测系统具有较高的准确性，误报率极低。 但是，滥用入侵检测系统只能检测系统已知攻击，并且维护包含所 有己知入侵或攻击方法的数据库，对于目前攻击手法不断变化的情 况，是非常困难的，因此滥用入侵检测系统对入侵或攻击的漏报率 比较高。 2 ) 异常检测： 异常入侵检测系统是建立正常或合法用户行为模型，一旦出现 入侵或攻击行为，则可以根据偏离正常或期望的系统或用户行为而 被检测出来。描述正常或合法活动的模型是通过各种渠道收集大量 历史活动资料并分析得来的。因此，异常入侵检测系统可以检测系 统未知攻击，漏报率极低。但是，异常入侵检测系统的误报率却极 高，一旦系统或用户活动发生变化，且该变化检测系统尚未学习到， 则检测系统认为发生入侵，启动报警。 基于滥用检测和基于异常检测，这两种分析方法各有其适用范 围，不同的入侵行为可能适应于不同的方法，但就系统实现而言， 由于基于异常检测的入侵分析需要保存更多的检测状态和上下关 系而需要消耗更多的系统处理能力和资源，实现难度相对较大。 1 2 入侵检测系统的研究现状及其标准化 自2 0 世纪8 0 年代被提出以来，入侵检测技术得到了极大的发 展，国内外已经开发出了适用于不同操作系统以及不同环境的入侵 检测产品。下面介绍入侵检测系统的研究现状及其标准化。 广域网入侵检测系统的实现研究 1 2 1 入侵检测系统的研究现状及研究热点 入侵检测在近几年来取得了迅速的发展，虽然国外已经推出了 一些i d s 系统，但是这项技术还远未成熟。 基于模型推理的入侵检测技术和基于免疫的入侵检测技术一 直是近年来的研究热点。基于模型推理的检测技术是根据入侵的行 为程序建立一定行为特征的模型，根据这些模型所代表的攻击意图 的行为特征，实时检测恶意的异常行为。该方法可以为某些行为建 立特定的模型，从而能够监视具有特定行为特征的某些活动，根据 假设的攻击脚本，系统能够检测到非法的用户行为。该方法的优点 是对不确定的推理有清晰的数学理论基础，缺点是建模工作量巨 大，并且在系统实现实时决策器应如何有效地翻译脚本也是一个问 题。基于免疫的检测技术是将生物免疫系统的某些特征运用到i d s 中，使整个系统具有自适应性、可调节性和可扩展性。生物免疫系 统成功地保护生物体免受各种抗原侵袭的特征引起了众多计算机 安全专家和人工智能专家的注意。通过对免疫仿生学的研究，计算 机专家已提出了计算机免疫系统。 基于神经网络的入侵检测技术是近年来出现的另一个研究热 点。该检测技术的关键在于在检测前要用入侵样本对i b s 进行训 练，使其具备对某些入侵行为进行分类的能力，从而能够正确“认 识”各种入侵行为。j b o n i f a c i o 等人通过采用m l p 神经网络来分 析数据包与入侵签名匹配的结果，得到了较高的正确率。 r l i p p m a n n 和r c u n n i n g h a m 将神经网络与关键字匹配结合起来， 正确率也有明显提高。s u s a nc l e e 和i ) a v i dv h e i n b u c h 在i d s 中引入了一个检测“真实”异常行为的分层神经网络系统，实验结 果表明这一系统对于监视特定区域的网络行为有很好的效果，而且 这一系统具有一定的自适应性，对于一些未知的入侵行为也有识别 能力。 基于a g e n ts 的分布式入侵检测系统是研究大型网络系统安全 的一个热门方向。a g e n t 代理技术具有适应性和自主性，能够连续 地检测外界和内部的变化，并作出相应的反应。利用a g e n t 的推理 广域阿入侵检测系统的实现研究 机制和多a g e n t 之间的协同工作，i d s 可以完成知识库更新、模型 过程描述和动态模型识别等功能，它比传统的专家系统有更高的效 率。国外已出现了许多基于a g e n t 的分布式入侵检测系统框架。 1 2 2 入侵检测系统的标准化 随着计算机网络资源共享的进一步加强，并且随着网络规模的 扩大，网络入侵的方式、类型、特征各不相同，入侵活动变得复杂 而又难以捉摸。某些入侵活动仅靠单一i d s 不能检测出来。但是， 不同的i d s 之间没有协作，结果造成缺少某种入侵模式而导致i d s 不能发现新的入侵活动。网络的安全也要求i d s 能够与访问控制、 应急、入侵追踪等系统交换信息，相互协作，形成一个整体有效的 安全保障系统。然而，要达到这些要求，需要一个标准来加以指导， 系统之间要有一个约定，如数据交换的格式、协作方式等。 为了提高i d s 产品、组件及与其他安全产品之间的互操作性， 美国国防高级研究计划署( d a r p a ) 和互联网工程任务组( i e t f ) 的入侵检测工作组( i d w g ) 发起制定了一系列i d s 的标准草案 i d w g 主要负责制定入侵检测响应系统之间共享信息的数据格 式和交换信息的方式，以及满足系统管理的需要。i d w g 的任务是， 对于入侵检测系统、响应系统和它们需要交互的管理系统之间的共 享信息，定义数据格式和交换程序。i d w g 提出的建议草案包括三 部分内容：入侵检测消息交换格式( i d m e f ) 、入侵检测交换协议 ( i d x p ) 以及隧道模型( t u n n e lp r o f i l e ) 。 i d m e f 描述了一种表示入侵检测系统输出消息的数据模型，并 且解释了使用这个模型的基本原理。i d m e f 数据模型以面向对象的 形式表示分析器发送给管理器的警报数据。数据模型的设计目标是 用一种明确的方式提供了对警报的标准表示法，并描述简单警报和 复杂警报之间的关系。该数据模型用x m l ( 可扩展的标识语言) 实 现。自动的入侵检测系统能够使用i d m e f 提供的标准数据格式，来 对可疑事件发出警报。这种标准格式的发展将使得在商业、开放资 源和研究系统之间实现协同工作的能力，同时允许使用者根据他们 的强点和弱点获得最佳的实现设备。实现i d m e f 最适合的地方是入 一1 1 广域网入侵检测系统的实现研究 侵检测分析器( 或称为“探测器”) 和接收警报的管理器( 或称为 “控制台”) 之间的数据信道。 i d x p 是一个用于入侵检测实体之间交换数据的应用层协议， 能够实现i d i e f 消息、非结构文本和二进制数据之间的交换，并提 供面向连接协议之上的双方认证、完整性和保密性等安全特征。 i d x p 模型为建立连接、传输数据和断开连接。 d a r p a 提出的建议是通用入侵检测框架( c i d f ) ，最早由加州 大学戴维斯分校安全实验室主持起草工作。c i d f 主要介绍了一种 通用入侵说明语言( c i s l ) ，用来表示系统事件、分析结果和响应 措施。为了把i d s 从逻辑上分为面向任务的组件，c i d f 试图规范 一种通用的语言格式和编码方式以表示在组件边界传递的数据。 c i d f 所做的工作主要包括匹部分：i d s 的体系结构、通信体制、描 述语言和应用编程接口( a p i ) 。 c i d f 根据i d s 系统通用的需求以及现有的i d s 系统的结构， 将i d s 系统的构成划分为四个基本组件：事件产生器、事件分析器、 响应单元和事件数据库。从功能的角度，这种划分体现了入侵检测 系统所必须具有的体系结构：数据获取、数据管理、数据分析、行 为响应，因此具有通用性。这些组件以g i d o ( 统一入侵检测对象) 格式进行数据交换。g i d o 是对事件进行编码的标准通用格式( 由 c i d f 描述语言c i s l 定义) 。这里的组件只是逻辑实体，个组件 可能是某台计算机上的一个进程甚至线程，也可能是多个计算机上 的多个进程。 c i d f 组件在一个分层的体系结构里进行通信，这个体系结构 包括三层：g i d o 层、消息层和协商传输层。g i d o 层的任务就是提 高组件之间的互操作性，就如何表示各种各样的事件做了详细的定 义。消息层确保被加密认证消息在防火墙或n a t 等设备之间传输过 程中的可靠性。消息层没有携带有语义的任何信息，它只关心从源 地址得到消息并送到目的地；相应地，g i d o 层只考虑所传递消息 的语义，而不关心这些消息怎样被传递。协商传输层规定g i d o 在 各个组件之间的传输机制。 c i d f 的通信机制主要讨论消息的封装和传递，分为四个方面： 匹配服务；它为c i d f 组件提供一种标准的统一机制，并且为组 广域网入侵检测系统的实现研究 件定位共享信息的通信“合作者”。因此极大提高了组件的互操作 性，减少了开发多组件入侵检测与响应系统的难度；路由：组件 之间要通信时，有时需要经过非透明的防火墙，发送方先将数据包 传递给防火墙的关联代理，然后再由此代理将数据包转发到目的 地。c i d f 采用了源路由和绝对路由；消息层：消息层的使用达 到了下面的目标：提供一个开放的体系结构，使通信独立于操作系 统、编程语言和网络协议，简化向c i d f 中添加新的组件，支持认 证与保密的安全要求，同步( 封锁进程与非封锁进程) ；消息层 处理：消息层处理规定了消息层消息的处理方式，它包括四个规程： 标准规程、可靠传输规程、保密规程和鉴定规程。 c i d f 的a p i 负责g i d o 的编码、解码和传递，它提供的调用功 能使得程序员可以在不了解编码和传递过程具体细节的情况下，以 一种很简单的方式构建和传递g i d o 。它分为两类：g i d o 编码解码 a p i 和消息层a p i 。 c i d f 和i d w g 都还不成熟，目前仍在不断地改进和完善中，但 可以预见，标准化是未来的入侵检测系统必然方向，而c i d f 或i d w g 很可能会代表将来的i d s 国际通用标准。 1 2 3 通用入侵检测框架c i d f 的体系结构 通用入侵检测框架的体系结构：定义了i d s 系统功能组件的划 分，以及这些组件问的分层通信模型。c i d f 根据i d s 系统的通用 的需求以及现有i d s 系统的结构，将入侵检测系统分为四个基本组 件：事件产生器、事件分析器、响应单元和事件数据库。从功能角 度，这种划分体现了入侵检测系统所必须具有的体系结构：数据捕 获、数据分析、行为响应和数据管理。 1 、事件产生器 事件产生器的任务是从入侵检测系统之外的计算环境中收集 事件但并不分析它们，并将这些事件转换成c i d f 的g i d o 格式传送 给其它组件。例如，事件产生器可以是读取c 2 级审计追踪并将其 转换为g i d o 格式的过滤器，也可以是被动地监视网络并根据网络 数据流产生事件的另一种过滤器，还可以是s q l 数据库中产生描述 广域弼入侵检涮系统的实现研究 事务的事件的应用代码。 2 、事件分析器 事件分析器分析从其它组件收到的g i d o ，并将产生的新的 g i d o 在传送给其它组件。分析器可以是一个轮廓描述工具，统计 性地检查现在的事件是否可能与以前某个事件来自同一个时间序 列：也可以是一个特征检测工具，用于在一个事件序列中检查是否 有己知的滥用攻击特征；此外，事件分析器还可以是一个相关器， 观察事件之间的关系，将有联系的事件放在一起，以利于以后的进 一步分析。 3 、事件数据库 用来存储g i d o ，以备系统需要的时候使用。 4 、响应单元 响应单元处理收到的g i d o ，并据此采取相应的措施，如杀死 相关的进程、将连接复位、修改文件权限等。 c i d f 的体系结构如图卜1 所示： 图1 - 1c i d f 的体系结构 1 3 广域网入侵检测系统的实现研究 息 广域网是一种跨地区的数据通讯网络，其作用是将互不相连的 分散于广泛地理范围的局域网连接起来，使其能够相互通信并共享 资源。路由器是构成广域网的重要设备，正是遍布世界各地的数以 万计的路由器构成了因特网这个在我们的身边日夜不停地运转的 堡塑堡垒塑墨堕墼茎窭塑 巨型信息网络的“桥梁”。每当提起网络安全，我们首先想到的就 是防火墙和防病毒，其实许多网络瘫痪都与路由器有关。路由器作 为互联网络的中枢，也是网络安全的前沿关口。 1 3 1 路由器的安全 流行的路由器大多是以硬件设备的形式存在的。但是在某些情 况下也用程序来实现“软件路由器”，两者的唯一差别只是执行的 效率不同而已。路由器一般至少和两个网络相联，并根据它对所连 接网络的状态决定每个数据包的传输路径。路由器生成并维护一张 称为“路由信息表”的表格，其中跟踪记录相邻其他路由器的地址 和状态信息。路由器使用路由信息表并根据传输距离和通讯费用等 优化算法来决定一个特定的数据包的最佳传输路径。正是这种特点 决定了路由器的“智能性”，它能够根据相邻网络的实际运行状况 自动选择和调整数据包的传输情况，尽最大的努力以最优的路线和 最小的代价将数据包传递出去。路由器能否安全稳定地运行，直接 影响着因特两的活动。不管因为仟么原因出现路由器死机、拒绝服 务或是运行效率急剧下降，其结果都将是灾难性的。 目前，路由器已经成为黑客攻击的目标。黑客攻击路由器的手 段与袭击网上其它计算机的手法大同小异，因为从严格的意义上讲 路由器本身就是一台具备特殊使命的电脑，虽然它可能没有人们通 常熟识的p c 那样的外观。一般来讲，黑客针对路由器的攻击主要 分为以下两种类型：一是通过某种手段或途径获取管理权限，直接 侵入到系统的内部；一是采用远程攻击的办法造成路由器崩溃死机 或是运行效率显著下降。相较而言，前者的难度要大一些。 对于上面提及的第一种入侵方法中，黑客一般是利用系统用户 的粗心或已知的系统缺陷获得进入系统的访问权限，并通过一系列 进一步的行动最终获得超级管理员权限。黑客一般很难一开始就获 得整个系统的控制权，在通常的情况下，这是一个逐渐升级的入侵 过程。由于路由器不像一般的系统那样设有众多的用户账号，而且 经常使用安全性相对较高的专用软件系统，所以黑客要想获取路由 器系统的管理权相对于入侵一般的主机就要困难得多。因此，现有 丛壁垒堡垒型至竺塑塞! 燮 的针对路由器的黑客攻击大多数都可以归入第二类攻击手段的范 畴这种攻击的最终目的并非直接侵入系统内部，而是通过向系统 发送攻击性数据包或在一定的时间间隔里，向系统发送数量巨大的 “垃圾”数据包，以此大量耗费路由器的系统资源，使其不能正常 工作，甚至彻底崩溃。这就是通常所说的拒绝服务攻击( d o s ) 。 1 3 2 广域网入侵检测系统结构 广域网入侵检测系统是专门加强网络核心部分安全性的一种 入侵检测系统。和其它所有的入侵检测系统一样，广域网入侵检测 系统必须具有如下体系结构：数据捕获、数据分析、彳于为响应和数 据管理。设计广域网入侵检测系统结构如图1 2 所示： 图卜2 广域网入侵检测系统体系结构 广域瞰入侵检观系统的实现研究 第二章广域网网络信息采集 实旌入侵检测，首先要收集相应的信息。广域网是连接众多的 局域网和区域网而成，信息时代的进一步需求导致了广域网更加细 密化、复杂化，广域网的数据量大且数据特征复杂。如何高效地采 集广域网数据t 是研究实现广域鼹入侵检测系统需要解决的第一个 问题。 本章首先讨论了传统入侵检测收集网络数据包的方法，接着针 对广域网网络信息的特性，引用并介绍了c is c o 公司的n e t f l o w 技 术。 2 1 传统的网络数据包捕获 传统网络入侵检测系统捕获数据包的方法有两种：一种是利用 以太网的广播特性实现；另一种是通过设置路由器的监听端口实 现。两种方式分别适用于不同的情况，下面进行详细论述。 2 1 1 利用以太网的广播特性进行数据包捕获 以太网数据的传输通过广播实现，通常一个共享网络上的所有 网络接口都有访问物理介质上所传输的所有数据的能力。系统正常 工作时，应用程序只能接收到以本机为目标主机的数据包，其他数 据包将被过滤并丢弃。该过滤机制被作用在链路层、网络层以及传 输层。工作流程请参见图2 - 1 ： 广域网入侵检测系统的实现研究 苣塞j ；：i ! 兰竺! 卜丢弃 茜叁j ；： 传输层 阿络层 链路层 翱理层 敦据包 图2 一l 以太网数据包过滤机制 一合法m a c 地址：帧中包含的目标m a c 地址和本机m a c 地址一 致，或者为6 个f f 。 一合法i p 地址：包中包含的目标i p 地址和本机绑定的i p 地 址一致，或者为广播i p 地址。 _ 合法端口：目标端口是否是本机已经开放的。 要捕获流经网卡的不属于本机的数据包，就必须绕过系统正常 工作的处理机制，直接访问网络底层。首先，为了绕过数据链路层 检查，需要将网卡的工作模式置于混杂( p r o m is c u o u s ) 模式。这 样网卡就可以接收所有流经的帧并产生硬件中断提醒操作系统进 行处理。同样为了绕过网络层及传输层的检查，需要相应的应用程 序直接访问数据链路层，捕获相关数据。 2 1 2 基于路由器的网络底层数据包捕获 在实际应用中，存在许多非以太网接入的情况，例如通过d d n 专线或者光纤接入等。在这些情况下，就无法利用以太网广播特性 进行数据捕获，而需要在路由器中设置监听端口，将流经路由器的 所有信息流量通过特定的监昕端口输出，从而实现数据包的捕获。 假设网络通过d d n 专线接入，出口路由器连接两个内部以太网 络，整个网络连接请参见图2 - 2 ： 广域网入侵检涮系统的实现研究 不： 图2 2 网络连接图 在不设置监听端口的情况下，网络路由器工作原理如图2 - 3 所 数据包 珏d l c o l 一j e t h 0 e t h l 丢弃 图2 - 3 路由器工作原理图 现在设置以太接口e t h 2 为监听端口，并连接到数据采集服务 器，连接如图2 4 所示： 堡塑垒堡竺型墨竺丝壅銎要塞 图2 4 带监听端口的网络连接 此时路由器工作将不同于正常情况，所有的网络信息数据包除 按照正常情况转发外，同时还将转发到监昕端口，从而使得网络信 息采集服务器可以接收到所有的网络信息，工作原理请参见图2 - 5 ： 数据包 h d l c o l 一一。 图2 - 5 带监听端口的路由器工作原理 2 2 应用n e f f io w 技术收集网络信息 e t h 0 e t h l 丢弃 e t h 2 信息时代的进一步需求导致了广域网更加细密化、复杂化，广 域网的数据量大且数据特征复杂。传统的网络数据信息采集方法很 难做到保证有效采集广域网数据的同时又不影响路由器工作效率。 因此，我们引入了c is c o 公司的n e f f l o w 技术。 2 2 1n e f fi o w 简介 n e t f l o w 交换是c i s c o 公司在其i o s 交换体系中引入的一种新 的交换技术。c i s c o 路由和交换平台中的n e t f l o w 服务可提供内置 在快速、最优和c e f 交换路径之中的网络数据流统计功能。n e t f l o w 服务可在最大限度减小对路由器交换机性能影响的前提下提供详 细的数据流统计信息。作为其交换功能的一部分，它能够提供包括 用户、协议、端口和服务类型等统计信息。n e t f l o w 可以部署在网 络中的任何位置，作为对现有寻径基础设施的扩展。n e t f l o w 还可 对访问列表进行有效的处理，进而实现数据包过滤和安全性服务。 传统的网络交换中，路由器对每一个输入分组单独处理，利用 一系列函数去检查访问列表、获取记账数据，然后将它发送( 即交 换) 到目的地。这种交换方式，因为做一系列同样的工作而付出了 很高的性能代价。而在n e t f l o w 实现中，查询过程仅对数据流中的 第一个数据包进行，当一个数据流被识别并确定了与其相关的服务 后，那么后面的所有数据包都作为该数据流的一部分，在面向连接 的基础上进行处理，绕过了访问列表的检查，进而依次对数据包进 行交换和获取统计信息。因此，n e t f l o w 交换可以在对路由器影响 极小的情况下采集到详细的网络数据。 n e t f l o w 能够实现以下功能： 辨认和缓存i pf l o w 为已经建立f l o w 的包提供加速的访问列衰检查功能 以小的路由器系统负荷记录高度聚合的f 1 0 w 为f 1 0 w 缓存的管理提供复杂的算法( 例如，f 1 0 w 过期检测) 高效地为接收设备提供数据 n e t f l o w 支持如下接口：a t m 、以太网、高速以太网、f d d i 、 帧中继、g r ei p 通道、h s s i ( h i g h s p e e d s e r i a li n t e r f a c e ) 、 i s d n 、p o s i p ( p a c k e to v e rs o n e to v e ri p ) 、s e r i a l 、令牌环。 广域网入侵检测系统的实现研究 2 2 2n e t f io w 工作原理及格式 n e t f l o w 的工作原理主要是：n e t f l o w 先记录下初始化i p 包的 数据，如i p 协议类型、服务种类( t o s ) 、接口标识等，然后，为 了更有效对数据进行匹配和计数，n e t f l o w 让随后的数据在同一个 数据流中进行传输，同时，对它们使用各自相应的服务，如安全性 过滤、q o s 策略、流量策划等。实时数据被存储在n e t f l o w 的缓存 中，通过读取的操作指令就可以重新找回。 n e t f l o w 技术中一个非常重要的概念就是f l o w ，即数据流。 f 1 0 r 是指给定源和目标的单向数据包流。其中，源是指三层源i p 地址以及传输层源端口号，目标是指目标i p 地址以及目标端口号。 根据定义，一个f l o w 由以下七个字段所唯一确定： 源i p 地址( s o u r c ei ph d d r e ss ) 目标i p 地址( d e s t i n a t i o ni ph d d r e s s ) 源端口号( s o u r c ep o r tn u m b e r ) 目标端口号( d es t i n a t i o np o r tn u m b e r ) 三层协议类型( l a y e r3 p r o t o c o l t y p e ) 服务类型( t o sb y t e ) 输入逻辑接口( i n p u tl o g i c a li n t e r f a c e ( i f i n d e x ) ) 以上七个字段唯一地确定一个f l o w ，只要有一个字段的值不 相同，则说明开始了一个新的f l o w 。 n e t f l o w 可以捕获以下i p 数据包： i p t 0 一i pp a c k e t s i p t o m u l t i p r o t o c 0 1 l a b e l s w i t c h i n g ( m p l s ) p a c k e t s f r a m er e l a y t e r m i n a t e dp a c k e t s a t m t e r m i n a t e dp a c k e ts 图2 6 说明了n e t f l o w 数据采集过程： 2 2 n e t f l o wc a c h e f l o we n t r i e s f l o w l f l o w 2 f l o w3 f l o we x p i r e d c a c h e f u l i t i m e r e x p i r e d 匿嘿u d 黔p 图2 - 6n e t f l o w 采集过程 参见上图，n e t f l o w 创建一个n e t f l o w 缓存区，来存放生成的 f 1 0 w 记录，启用路由器某接口的n e t f l o w 设置后，系统依照默认 大小创建n e t f l o w 缓存区，其大小可以设置。启用n e t f l o w 后，路 由器每秒钟检查一次n e t f i o w 缓存，发现下列情况之一，则导出缓 存中存放的所有f 1 0 w 记录： 传输结束 缓存区己满 传输未激活状态计时器( t h ei n a c t i v et i m e r ) 计时时间到 ( 传输未激活状态计时器默认时间设置为1 5 秒) 传输激活状态计时器( t h ea c t i v et i m e r ) 计时时间到( 传 输激活状态计时器默认时间设置为3 0 分钟) 传输未激活状态计时器以及传输激活状态计时器的计时时间 可以设置，有关两种计时器的工作情况请参见图2 7 ； d d d d d d d d d d k t is t a r t s d d d d d , d ：d a t af u o p l a r a c t i v et i m e r 广f o r t h ef l o w i t ：l n a c t i wt i m e rf o rt h ef