（计算机系统结构专业论文）基于snort的入侵检测系统的研究与实现.pdf

华 中 科 技 大 学 硕 士 学 位 论 文 摘要 自 从计算机问世以 来， 安全问 题就一直存在。 特别是随 着i n t e rn e t 的迅速扩张和 电 子商务的兴起， 人们发现保护资源和数据的安全的重要性。 一提到网络安全， 首先 想到的是防火墙。 适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外， 但不能 检查出经过他的合法流量中是否包含着恶意的入侵代码。 在这种需求背景下， 入侵检 测系统应运而生。 在分析了很多商业的基于网络的入侵检测系统后， 发现它们大多配置和操作都比 较复杂和难以掌握，而且比较昂贵，一般的公司无法承受。而s n o r t 是一个强大的源 代码公开的基于网络的入侵检测系统。它具有实时数据流量分析和日 志 i p网络数据 包的能力，能够进行协议分析，对内 容进行搜索/ 匹配。它能够检测各种不同的攻击 方式， 对攻击进行实时报警。 此外， s n o r t 具有很好的扩展性和可移植性。 还有， 这个 软件遵循通用公共许可证g p l ， 所以只要遵守g p l任何组织和个人都可以自由使用。 在对s n o r t 的体系结构、 规则的研究和分析的基础上， 对s n o r t 的规则匹配算法进 行分析， 在保持了它原有的深度优先搜索算法的基础上， 做了 增加广度优先搜索算法， 优化了规则树构成和匹配方法， 提高搜索过程的并行性的研究并予以实现， 从而提高 规则匹配速度。 最后给出实验进行了 性能分析， 结果表明该系统在匹配速度的性能确 实有较大的提高。 关键词: 入侵检测系统， 规则树， 规则匹配， 深度优先搜索算法， 广度优先搜索算法 华 中 科 技 大 学 硕 士 学 位 论 文 ab s t r a c t s i n c e t h e c o m p u t e r c o m e s f o r th , t h e s e c u r i t y p r o b l e m h a s b e e n e x i s t i n g . wi t h i n t e rn e t r a p i d e x p a n s io n a n d w i t h t h e r i s e o f t h e e l e c t r o n i c c o m m e r c e , p e o p l e f in d i t i s i m p o rt a n t t o p r o t e c t t h e s e c u r it y o f t h e d a t a . me n t i o n e d t h e n e t w o r k s e c u r i t y , p e o p l e w i l l t h i n k o f t h e f i r e w a l l a t t h e f i r s t . a l t h o u g h t h e f ir e w a l l c a n p r o t e c t t h e u n e x p e c t e d a c c e s s re q u e s t fr o m e n t e r i n g i n t o t h r o u g h a d e q u a c y c o n f i g u r a t i o n , it c a n t c h e c k w h e t h e r t h e d a t a s t r e a m s p a s s e d i t h a v e m a l i c e c o d e s . t h e r e f o re , i n t r u s i o n d e t e c t i o n s y s t e m ( i d s ) e m e r g e s u n d e r t h e a n a l y s i s o f m a n y c o m m e r c i a l n i d s , i t i s f o u n d t h a t t o b u y f o r mo s t o f t h e m a r e c o mp s nort l e x , d i ff i c u l t t o c o n f i g u r e a n d o p e r a t e , t o o e x p e n s i v ema n y c o mp a nie s . v e ry th e i s a p o w e r f u l a n d o p e n s o u r c e b a s e d n e t w o r k i d s ( n i d s ) , w h i c h c a n a n a l y z e t h e d a t a s t r e a m , r e c o r d t h e d a i ly i p d a t a p a c k e t i n r e a l t i m e a n d a n a ly z e t h e p r o t o c o l . b e s i d e s it c a n s e a r c h a n d ma t c h t h e c o n t e n t s . i t c a n d e t e c t v a r i o u s d i ff e r e n t a t t a c k me t h o d s a n d a l e rt w h e n i t i si n r e a l t i me . i n t h e s n o rt h a s t h e g o o d a b i l i t y t o e x p a n d a n d t r a n s p l a n t . wh a t s m o r e , s n o rt o b e y g p l a n d a n y o r g a n i z e a n d in d i v i d u a l o b e y e d g p l c a n u s e i t 丘e e . b a s e d o n a r c h i t e c t u r e a n d r u l e o f s n o r t , t h i s a l g o r i t h m o f m a t c h s p e e d , s n o r t -a n o p e n s o u r c e c o d e n i d s . i n a rt i c l e a n a l y z e s t h e r u l e m a t c h i n g o r d e r t o i n c r e a s e e ff e c t i v e l y t h e r u l e s o m e t e n t a t i v e w o r k i s d o n e t o a d d t h e b r e a d t h - f a s t a l g o r i t h m b a s e d o n d e p t h - f i r s t a l g o r it h m . f in a l l y , i t a n a l y z e s t h e p e r f o r m a n c e t h ro u g h e x p e r i m e n t . r e s e a r c h in g r e s u l t s h o w s i t g e t s a h i g h e r p e r f o r m a n c e . th e k e y wo r d s : i n t r u s i o n d e t e c t i o n s y s t e m , r u l e t r e e , r u l ed e p t h - fi r s t a l g o r i t h m, b r e a d t h - f i r s t a l g o r i t h m 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除文中己经标明引用的内容外，本论文不包含任何其他个 人或集体已 经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体， 均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学 位 论 文 作 者 签 名 : 4 可 0 h 日 期 : 2 , v 卜 年5月1 口 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即:学校有 权保留并向国家有关部门 或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权华中科技大学可以 将本学位论文的全部或部分内容编入有关数据 库进行检索，可以 采用影印、缩印或扫描等复制手段保存和汇编本学位论文. 保密口，在年解密后适用本授权书。 本 论 文 属 于 不 保 密 以 ( 请在以上方框内打 “, / ) 学 位 论 文 作 者 签 名 : 何“ 欠 日 期 : 2 .0 o 卜 年夕月/ 0 日 指导教师签名: 日 期: d - l p 羊上月厂 。日 华 中 科 技 大 学 硕 士 学 位 论 文 1 绪论 1 . 1 1 . 1 . 1 课题背景 课题来源 随着网络的日 益普及， 入侵检测系统就显得更加的重要。 在这样的背景下， 2 0 0 2 年 7月，华中科技大学外存储国家重点实验室和美国公司合作开发入侵检测系统 ( i d s ) 和入侵预防系 统 ( i p s ) 。 本课 题是作者参与 其中“ 基于s n o rt 的i d s ” 项目 的 一 部分工作。 1 . 1 .2 技术背景 随着i n t e rn e t 的发展， 给生活带来越来越多的便捷， i n t e rn e t 自 身协议的开放性极 大地方便了各种计算机联网， 拓宽了共享资源。 但是，由于在早期网络协议设计上对 安全问题地忽视，以及在使用和管理上的无政府状态，逐渐使i n t e rn e t 自 身地安全受 到严重威胁，与它有关的安全事故屡有发生。 电子商务、网络银行、电子政府等等的网络应用都要求构建在安全的平台上。 对 网络安全的需求日益强烈。 当今网络安全技术主要包括以下几个方面: 加密与认证类 技术、防火墙技术、防病毒技术、漏洞检测与入侵检测技术等。 一个优秀的网络安全系统应该是: 在网络入口设置多重防火墙; 使用漏洞检测技 术对网络与主机系统进行配置; 安装有效的 入侵检测系统， 实时捕捉入侵行为并组织 还击;在广域网上使用加密与认证技术;建立起严格与规范的管理制度。 目 前，企业为其网络安全的考虑主要是设置防火墙，防火墙 1 ,2 1 只是一个静态的 被动的防御系统， 虽然为网络提供了较好的身份认证和访问控制技术， 但防火墙并不 能检测到所有的入侵行为。 例如: 1 9 9 9 年4 月， 通过c o l d f u s i o n 的一 个b u g ， 许多站 点被黑。 这些站点都有防火墙， 并且只开放了8 0 端口， 然而w e b 服务器还是被黑掉了。 防火 墙的 另一 个问 题是他们只是 在网 络的 边界 上。 大概有8 0 % 的经济损失都是由 于来自 于网络内部的攻击。 处于网络边界的防火墙卡不到内部发生的事件， 只能看到内部网和 i n t e rn e t 间的 通信， 对于发生在内 部网上的入侵行为，防火墙是无能为力的3 1 入侵检测系统( i d s :i n t r u s i o n d e t e c t i o n s y s t e m ) 是一个动态的防御系统，可以识别 华 中 科 技 大 学 硕 士 学 位 论 文 防 火墙不能 识别的 攻 击4 .5 1 。 入 侵检 测 是 指 对计 算 机和网 络资 源上的 恶 意使 用 行为 进 行识别和相应处理的过程。 它不仅可以 检测来自 外部的入侵行为，同时也可以 监控内 部用户的非授权行为。 入侵检测系统是一项新的技术， 它的出 现曾引起巨大的轰动，目 前国内 外的许多 实验室对此项技术进行研究并有数种成熟的 商业产品6 1 。 入侵检测的最大优点是可以 向系统管理员提供实时报告，告诉管理员有黑客入侵。 现在已经出现了很多商业的n i d s ，但是它们大多配置和操作比较复杂和难以掌 握，而且比较昂贵，一般的公司无法承受，因此它们在市场上面临着强劲的对手; s n o rt 7 1 e s n o rt 是高 效的 稳 定的 ， 并 拥有 一 个 不断 成 长的 用 户 群 体。 最 重 要的 是， s n o rt 是 开 放 源代 码的 s 1 s n o rt 是一 个强 大的 轻量级的网 络入 侵检测系 统9 1 。 它 具有实时 数据流量分 析和日 志i p网络数据包的能力，能够进行协议分析，对内容进行搜索/ 匹配。它能够检测各 种不同的攻击方式， 对攻击进行实时报警。 此外， s n o rt具有很好的扩展性和可移植性。 还有，这个软件遵循通用公共许可证g p l ，所以只要遵守g p l任何组织和个人都可 以自由使用。 s n o r t 具有实时流量分析和日 志i p 网络数据包的能力。 能够快速地检测网络攻击， 及时地发出 报苦。 s n o rt的报替机制很丰富，例如: s y s l o g 、用户指定的文件、一个 u n i x套接字， 还有使 用s a m b a协 议向w i n d o w s 客 户程序发出w i n p o p u p 消 息。 利 用 x m l插件， s n o rt可以 使用 s n m l ( 简单网络标记语言， s i m p l e n e t w o r k m a r k u p l a n g u a g e ) 把日 志存 放到 一 个文件 或者适时 报 警h o l s n o r t 能够进行协议分析，内容的搜索/ 匹配。 现在s n o rt能够分析的协议有t c p , u d p 和i c mp 。 将来， 可能提供对a r p , i c r p , g r e , o s p f , r i p , i p x等协议的支 持。它能够检测多种方式的攻击和探测， 例如: 缓冲区溢出、 秘密端口 扫描、c g i 攻 击、s mb探测、探测操作系统指纹特征的企图等等。 1 .2 国内外研究情况 i d s 是二 十年前就产生了 其最初概念， 在近几年来迅速发展起来的系统安全技术， 它日 益受到各国政府和学者的重视。 入侵检测系统的典型代表是 i s s( 国际互联网安全系统公司)的r e a l s e c u r e 。它 是计算机网络上自 动实时的入侵检测和响应系统。 目 前较为著名的商用入侵检测产品 一 一. 一， 一一一一一- 一 -一一一 2 华 中 科 技 大 学 硕 士 学 位 论 文 还有:n a i 公司的 c y b e r c o p m o n i t o r , a x e n t 公司的n e t p r o w l e r , c i s c o公司的 n e tr a n g e r , c a公 司的s e s s io n w a ll - 3 等。 国内 的 该 类 产品 较少， 但发 展 较 快， 己 有总 参北方所、中 科网 威、启明星辰等公司推出 产品 s v 但是s n o rt是目 前比 较出色的源代码公开的 入侵检测系统。 它基于l i b p c a p 的数据 包嗅探器， 并可以作为一个轻量级的网 络入侵检测系统 ( n i d s ) 。所谓的轻量级是指 在检测时尽可能低地影响网络的正常操作， 一个优秀的轻量级的n i d s 应该具备跨系 统平台操作、 对系统影响最小等特征， 并且管理员能够在短时间内 通过修改配置实现 实时的安全响应， 更为重要的是能够成为整体安全结构的重要成员、 s n o rt作为其典型 范例，首先可以运行在多种操作系统平台，例如 u n i x系列和 wi n d o w s 系列上，与 很多商业产品相比， 它对操作系统的依赖性比较低、 其次用户可以根据自己的需要及 时在短时间内调整检测策略。 s n o r t 是一个开放源代码软件， 可以帮助中小网络的系统 管理员有效地监视网络流量和检测入侵行为。 目 前国内 外对s n o rt的研究越来越多， s n o rt现在已 经发展到了2 .0 版本，而且还 在不断的完善中。 1 .3 本文结构安排 本文主要做的研究工作主要有以下三点: 功 首先介绍了i d s的起源、分类比较和系统模型， 在此基础上分析了i d s的 研 究现状和不足和讨论了i d s的发展趋势，最后给出了存储i d s 和n d mp之间的联系 以及s n o rt与其他工具的比较。 2 ) 对s n o r t 的工作模式、系统架构以 及规则进行了 详细的分析处理。 3 )在分析了 s n o rt的规则匹配的过程以及算法的基础上，提出了一种提高 s n o r t 规则匹配速度的方法，并进行了性能测试。 华 中 科 技 大 学 硕 士 学 位 论 文 2 入侵检测系统( i d s ) 的 研究 i d s的起源 入侵检测( i n t r u s i o n d e t e c t i o n ) 从最初实验室里的 研究课题到目 前的商业产品，己 2 0 多年的 发展历 史 1 2 1 ， 可 分为 两 个阶 段: 1有 2.经 1 ) 安全审 计( s e c u r i t y a u d i t ) : 审计 定 义为 系统中 发生 事件的 记录和分析 处理过程。 与 系 统日 志 ( lo g ) 相比， 审 计 更 关 注安 全问 题。 根 据美国国 防 部 ( d o d ) “ 可 信计 算机 系 统评估 标准” ( t c s e c ) 橘 皮书规定， 审计机 制 ( a u d i t m e c h a n i s m ) 应作为c 2 或c 2 以 上 安全级别的计 算机系统必须具备的安全机制， 其功能包括: 能够记录系统被访问的过 程以及系统保护机制的运行; 能够发现试图绕过保护机制的行为; 能够及时发现用户 身份的跃迁; 能够报告并阻碍绕过保护机制的行为并记录相关过程， 为灾难恢复提供 信息; 2 ) i d s的诞生:在 i d 的发展史上有几个里程碑:1 9 8 0年，a n d e r s o n在报告 c o m p u t e r s e c u r it y t h r e a t m o n it o r in g a n d s u r v e il la n c e ”中 提出 必 须改 变 现有的 系 统 审计机制，以 便为专职系统安全人员提供安全信息，此文被认为是有关i d的最早论 述;1 9 8 4 - 1 9 8 6 年， d o r o t h y d e n n i n g 和p e t e r n e u m a n n 联合开发了 一个实时入侵检测 系 统一 i d e s ( i n t r u s i o n d e t e c t i o n e x p e r t s y s t e m ) , i d e s 采用异常 检测和专 家系统的 混合 结 构， d e n n i n g 1 9 8 6 年的 论文“ a n i n t ru s i o n d e t e c t i o n m o d e l ” 亦被公 认为i d 领域的 另一篇开山 之作;受 a n d e r s o n 和i d e s 的影响， 在2 0 世纪8 0 年代出现了 大量的i d 原型系统. 如: a u d i t a n a l y s i s p r o j e c t . d i s c o v e ry , h a y s t a c k , m i d a s . n a d i r . n s m, wi s d o m a n d s e n s e e t c . 商业化的i d s 直到2 0 世纪8 0 年代后期才出 现，比如目 前较有 影响的i s s 公司是在1 9 9 4 年成立的 1 3 1 2 . 2 2 . 2 . 1 i ds的分析 i d s 的 定义及主要功能 入侵检测就是检测任何企图损害系统保密性、 完整性或可用性的行为的一种网络 安全技术1 4 1 。 它通过对运行系统的 状态和活动的 监视， 找出异常或误用的行为， 根据 所定义的安全策略， 分析出非授权的网络访问和恶意的行为， 迅速发现入侵行为和企 华中科技大学硕士学位论文 2 入侵检测系统o d s ) 的研究 2 1i d s 的起源 入侵检钡g ( i n t r u s i o nd e t e c t i o n ) 从最初实验室里的研究课题到目前的商业产品，已 经有2 0 多年的发展历史 1 2 】，可分为两个阶段： 1 ) 安全审计( s e c u r i t y a u d i t ) ：审计定义为系统中发生事件的记录和分析处理过程。 与系统日志( 1 0 9 ) 相比，审计更关注安全问题。根据美国国防部( d o d ) “可信计算机系 统评估标准”( t c s e c ) 橘皮书规定，审计机f f 【j ( a u d i t m e c h a n i s m ) 应作为c 2 或c 2 以上 安全级别的计算机系统必须具备的安全机制，其功能包括：能够记录系统被访问的过 程以及系统保护机制的运行；能够发现试图绕过保护机制的行为；能够及时发现用户 身份的跃迁；能够报告并阻碍绕过保护机制的行为并记录相关过程，为灾难恢复提供 信息； 2 ) i d s 的诞生：在i d 的发展史上有几个里程碑：1 9 8 0 年，a n d e r s o n 在报告 “c o m p u t e rs e c u r i t yt h r e a tm o n i t o n n ga n ds u r v e i l l a n c e ”中提出必须改变现有的系统 审计机制，以便为专职系统安全人员提供安全信息，此文被认为是有关i d 的最早论 述；1 9 8 4 1 9 8 6 年，d o r o t h yd e n n i n g 和p e t e rn e u m a n n 联合开发了一个实时入侵检测 系统一i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) ，i d e s 采用异常检测和专家系统的混合 结构，d e n n i n g1 9 8 6 年的论文“a ni n t r u s i o nd e t e c t i o nm o d e l ”亦被公认为i d 领域的 另篇开山之作；受a n d e r s o n 和i d e s 的影响，在2 0 世纪8 0 年代出现了大量的i d 原型系统。如：a u d i t a n a l y s i sp r o j e c t 、d i s c o v e r y 、h a y s t a c k 、m i d a s 、n a d i r 、n s m 、 w i s d o ma n ds e n s ee t c 商业化的i d s 直到2 0 世纪8 0 年代后期才出现，比如目前较有 影响的i s s 公司是在1 9 9 4 年成立的 1 。 2 2 i d s 的分析 2 2 1i d s 的定义及主要功能 入侵检测就是检测任何企图损害系统保密性、完整性或可用性的行为的一种网络 安全技术“j 。它通过对运行系统的状态和活动的监视，找出异常或误用的行为，根据 所定义的安全策略，分析出非授权的网络访问和恶意的行为，迅速发现入侵行为和企 华中科技大学硕士学位论文 图，为入侵防范提供有效的手段。 入侵检测系统( i d s ：i n t r u s i o nd e t e c t i o ns y s t e m ) 就是一段执行异常或误用检测的程 序。i d s 不间断的运行，通过检查特定攻击模式、独立实践、配置问题、欺骗程序、 存在缺陷的程序版本和其他黑客可能利用的漏洞来监控与安全有关的活动。图2 1 是 一个简单的入侵检测系统 1 5 j 。 图2 1 一个简单的入侵检测系统示意图 i d s 检查的两大主要数据源是网络数据和系统数据。网络数据源的获得通常以任 一模式激活一个网络适配器来得到网络传输。传统系统数据源是操作系统内核产生的 审计记录。一般情况下，审计日志中含有大量跟踪用户活动的信息，但即使如此，也 无法获得系统活动的全部情况，i d s 需要自己的积极的审计系统。具体说来，入侵检 测系统的主要功能有： 1 ) 监测并分析用户和系统的活动； 2 ) 核查系统配置和漏洞； 华中科技大学硕士学位论文 3 ) 评估系统关键资源和数据文件的完整性； 4 ) 识别已知的攻击行为： 5 ) 统计分析异常行为； 6 ) 操作系统日志管理，并识别违反安全策略的用户活动。 2 2 2i d s 的分类和比较 根据检测的对象，i d s 通常分为基于主机的i d s ( h i d s ) 和基于网络的i d s ( n i d s ) 。 根据检测所用的分析方法，可以分为误用检测型( m i s u s ed e t e c t i o n ) 和异常检测型 ( a n o m a l yd e t e c t i o n ) 1 7 1 。 1 ) 基于主机的入侵检测系统( r o d s ) 基于主机的入侵检测，是根据主机系统的系统日志和审计记录来进行检测分析， 通过对系统日志和审计记录不问断的监视和分析来发现攻击。它的主要目的是在事件 发生后提供足够的分析来阻止进一步的攻击，反应的时间依赖于定期检测的时间间 隔，实时性没有n i d s 好。 h i d s 的优点有： ( 1 ) 能够监视特定的系统行为。例如所有的用户登录和退出，甚至用户所做的 所有操作，审计系统在日志里记录的策略改变等。 ( 2 ) 能够确定攻击是否成功。由于h i d s 使用含有已发生事件的信息，它们可 以比n i d s 更加准确地判断攻击是否成功。 ( 3 ) 有些攻击在网络的数据流中很难发现，或者根本没有通过网络在本地进行。 这时n i d s 将无能为力，只能借助于i - r d s 。 其缺点是依赖于特定的主机和审计系统，而且通常需要在很多的主机上安装 h i d s 系统。 2 ) 基于网络的入侵检测系统f n m s ) 基于网络的入侵检测系统，是使用原始网络包作为数据源。n i d s 通常使用报文 的模式匹配或模式匹配序列来定义规则，检测时将监听到的报文与规则进行比较，根 据比较的结果来判断是否有非正常的网络行为。它的攻击辨识模块通常有：模式、表 达式或字节匹配、频率或穿越阈值、低级事件的相关性以及统计学意义上的非常规现 象检测等。 n i d s 的优点有： 华中科技大学硕士学位论文 ( 1 ) 拥有较低的成本。 ( 2 ) 能够检测到h i d s 无法检测的入侵，如n i d s 能够检查数据包的头部而发现 非法的攻击。 ( 3 ) 入侵对象不容易销毁证据，被截取的数据不仅包括入侵的方法，还包括可以 定位入侵对象的信息。 ( 4 ) 能够作到实时检测和响应，一旦发现入侵行为就立即中止攻击。 ( 5 ) 可以检测到未成功的入侵。 ( 6 ) n i d s 不依赖于被保护主机的操作系统。 3 ) 误用检测型( m i s u s ed e t e c t i o n ) 误用检测型主要通过攻击模式和攻击签名的形式来表达入侵行为，通过对已知系 统缺陷漏洞和己知的入侵攻击手段来判断系统是否有入侵活动，其根据静态的已知的 签名集合来拦截网络中的数据流，如果发现某个数据包的特性与某个签名匹配，那么 就确定发现了入侵行为。用于误用检测系统的技术有专家系统、特征分析方法、p e t r i 网以及状态转移分析等。 误用检测技术的优点是能够有针对性地来构造有效的入侵检测系统，其准确度高， 但它只能检测已知的入侵行为，不能检测未知的入侵行为，也不能检测己知入侵行为 的变种。误用检测技术的关键是入侵行为的表达、攻击签名的构造等。 4 ) 异常检测型( a n o m a l yd e t e c t i o n ) 异常检测技术是利用统计的方法来检测系统的异常行为，它比误用检测采用了更 多的统计分析技术，其需要建立目标系统及其用户的正常活动模型，然后根据此模型 对系统和用户的实际活动进行审计，来判断是否对系统产生了入侵行为。用于异常入 侵检测系统的技术有统计分析，神经网络等。 异常检测技术的优点是能够对未知的入侵行为迸行预报，缺点是存在较大的误 报。所以对用户行为的建模是否准确以及对系统特征量的选择是否恰当，就显得很重 要了。 2 2 3 入侵分析技术 入侵分析的任务就是在提取到的庞大的数据中找到入侵的痕迹。提取到的数据作 为信息输入到检测系统之中，检测系统对其进行分析和处理，从而得到网络入侵的判 断。一方面入侵检测系统需要尽可能多地提取数据以获得足够的入侵证据，而另一方 华中科技大学硕士学位论文 面由于入侵行为的千变万化而导致判定入侵的规则越来越复杂。为了保证入侵检测的 效率和满足实时性的要求，入侵分析必须在系统的性能和检测能力之间进行权衡，合 理地设计分析策略，并且可能要牺牲一部分检测能力来保证系统可靠、稳定地运行并 具有较快的响应速度。 分析策略是入侵分析的核心，系统检测能力很大程度上取决于分析策略。在实现 上，分析策略通常定义为一些完全独立的检测规则。正如上面分析的，入侵检测可分 为异常检测( a n o m a l yd e t e c t i o n ) 和误用检测( m i s u s ed e t e c t i o n ) ，相应地入侵分析按 照其检测规则可以分为两种类型i l s 】： 1 ) 基于统计的检测 这种分析规则认为入侵行为应该符合统计规律，可以通过对统计量的偏差进行异 常检查来检测出不正常行为。在假设用户操作正常情况下，通过观察历史数据或声明 期望值为每个变量建立基值。它静态分析用户当前行为参数，并与用户历史行为( 基 值) 进行比较。入侵定义为任何与基值相比有不可接受的偏差，例如：系统可以认为 一次密码尝试失败并不算是入侵行为，因为可能是合法用户输入失误，但是如果一分 钟内有8 次以上同样的操作就不可能完全是输入失误了，可以认定是入侵行为。因此 组成分析策略的检测规则就是表示行为频度的阐值，通过检测出行为并统计其数量和 频度就可以发现入侵。 2 ) 基于规则的检测 这种分析规则认为入侵行为是可以用特征代码来标识的。利用人工智能的方法， 定义已知攻击手段的入侵模式，将它们抽象成一条条推理规则，然后对所有网络活动 进行特征提取，观察能与模式匹配的事件数据，从而发现入侵比如说，对于尝试账 号的入侵，虽然合法用户登录和入侵尝试的操作过程是一样的，但返回结果是不同的， 入侵者返回是尝试失败的报文。因此只要提取尝试失败的报文的关键字段或位组作为 特征的代码，将它定义为检测规则，就可以用来检测该类入侵行为。这样，分析策略 就由若干条检测规则构成。每条检测规则就是一个特征代码，通过将数据与特征代码 比较的方式来发现入侵。模式匹配引擎可以是有限状态机模型、判定树，还有专家系 统、神经网络、混沌分类系统或可能性推理型等大量模式匹配技术。 这两种检测规则各有其适用范围，不同的入侵行为可能适应于不同的规则。基于 规则的入侵检测具有易于扩充和判断准确的优点，但它只能对已知的攻击手段进行检 测；基于统计的入侵检测对未知攻击手段有限，还有它的自习特性也使得攻击者可以 华中科技大学硕士学位论文 使用一系列特定的训练样本来人为训练检测系统，使其误认为进行的是正常的网络活 动。就系统实现而言，由于基于统计的检测规则的入侵分析需要保存更多的检测状态 和上下关系而需要消耗更多的系统资源，实现难度相对较大。 基于网络的入侵检测通常采用基于规则的入侵检测。它使用报文的模式匹配或模 式匹配序列来定义规则，检测时将监听到的报文与模式匹配序列进行比较。根据比较 的结果来判断是否有非正常的网络行为。因此，一个入侵行为能不能被检测出来主要 就看该入侵行为的过程或其关键特征能不能映射到基于网络报文的匹配模式序列上 去。有的入侵行为很容易映射，如d 心欺骗，但有的入侵行为是很难映射的，如从 网络上下载病毒。对于有的入侵行为，即使理论上可以进行映射，但是在实现上是不 可行的。比如：有的网络行为需要经过非常复杂的步骤或较长的过程才能表现其入侵 特性，这样的行为具有非常庞大的模式匹配序列，需要综合大量的数据报文来进行匹 配，在实际上是不可行的。而有的入侵行为出于需要进行多层协议分析或有较强的上 下文关系。因而，在实现上通常将两种检测规则结合使用使系统性能有所改善。 两种检测技术的方法所得出的结论有非常大差异。基于规则的检测技术的核心是 维护一个知识库。对于已知的攻击，它可以详细、准确的报告出攻击类型，但是对未 知攻击却效果有限，而且知识库必须不断更新。基于统计的检测技术则无法准确判别 攻击的手法，但它可以( 至少在理论上可以) 判别更广泛、甚至未发觉的攻击。 2 2 4 入侵检测系统模型 目前大部分的入侵检测系统都是独立研究与开发的，不同系统之间缺乏互操作性 和互用性。一个入侵检测系统的模块无法与另一个入侵检测系统的模块进行数据共 享，在同一台主机上两个不同的入侵检测系统无法共存，为了验证或改进某个部分的 功能就必须重新构建整个入侵检测系统而无法重用现有的系统和构件，于是对入侵检 测系统的标准提出了要求。c i d f 1 9 , 2 0 1 ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 是为了 解决上面的问题而提出的入侵检测的框架。c i d f 阐述了一个入侵检测系统的通用模 型。 图2 2 是一个通用入侵检测模型示意图。因为两种常用检测方法各有优劣，所以 比较完整的i d s 应该是二者的结合体。各部分的关系如图2 2 所示。上面分析的两种 检测技术所关心的数据各有侧重，所以即使对来自同一数据源的信息也会有不同的采 集重点和处理方式，同时为了提高检测结果的准确性，数据源在提交数据之前需要预 处理，去掉无用和干扰数据，这样也能提高检测的效率：对于误用检测，需要为模式 华中科技大学硕士学位论文 匹配机准备好入侵的签名库( 或称模式库) 。目前关于入侵模式的提取和编制还没有统 一的标准，一般都由有经验的安全技术人员手工完成：而对于异常检测，则首先利用 收集的数据，采取一定的统计方法建立相应的系统剖析模型，作为系统正常运行的参 考基准，这个过程由系统的剖析引擎完成。异常检测器则不断地计算相应统计量的变 化情况，一旦系统偏移参考基准超过许可范围，就认为系统发生异常；优秀的i d s 都 应具有周到、完备的响应和恢复机制，以便必要时采取果断措施，终止入侵行为，启 动灾难恢复系统，力争将损失减少到最小；各个部分工作时产生的所有记录都应存入 系统的审计数据库中，方便系统管理员进一步研究和解决问题：另外，准确的时钟也 是保障系统正常工作的前提。 图2 2 通用入侵检测模型示意图 2 2 5i d s 在网络中的位置 当实际使用i d s 检测系统的时候，首先面临的问题就是决定应该在系统的什么位 置安装检测和分析入侵行为用的感应器( s e n s o r ) 或检测引擎( e n g i n e ) 。对于基于主机的 i d s ，一般来说直接将检测代理安装在受监控的主机系统上。对于基于网络的i d s ， 情况稍微复杂，下面以一常见的网络拓扑结构来分析i d s 检测引擎应该位于网络中的 哪些位置1 2 “，如图2 3 所示。 华中科技大学硕士学位论文 幽2 3i d s 安放位置不意图 位置l ：感应器1 位于防火墙的外侧一非系统信任域，它将负责检测来自外部的 所有入侵企图( 这可能产生大量的报告) 。通过分析这些攻击将完善系统并决定要不要 在系统内部部署i d s 。对于一个配置合理的防火墙来说，这些攻击企图不会带来严重 的问题，因为只有进入内部网络的攻击才会对系统造成真正损失。 位置2 ：很多站点都把对外提供服务的服务器单独放在一个隔离的区域，通常称 为d m z - - 非军事化区。在此放置一个检测引擎是非常必要的，因为这里提供的很多 服务都是黑客乐于攻击的目标。 位置3 ：这里应该是最重要最应该放置检测引擎的地方。对于那些已经透过系统 边缘防护，进入内部网络准备进行恶意攻击的黑客，这里正是利用i d s 系统及时发现 并做出反应的最佳时机和地点。 位置4 和5 ：这两个位置也不容忽略，虽然它们的重要性比不上位置3 ，但经验 显示问题往往来自内部：内部人员随意使用m o d e m ，一个口令选择不当的用户账号 等都会给安全管理员带来不小的麻烦。 2 3 i d s 的研究现状与不足 2 3 1i d s 研究现状 入侵检测系统的研究仍是当前网络安全研究的一个比较新的领域，入侵检测系统 作为主动防护系统是构成网络安全测防体系的主要方面之一。国外在i d s 方面的研究 n 华中科技大学硕士学位论文 较早，而我国在这方面的研究相对较晚，虽然在近几年取得了迅速的发展但与国外还 存在很大的差距。 入侵检测过程是一个检测系统与入侵攻击者之间对抗的决策分析过程，其技术基 础是基于知识和冗余推理方法的信息融台技术，而大部分工作是通过模式匹配、数据 挖掘、特征选取以及机器学习等方法对数据进行分类处理f 2 2 1 。下面将对这些技术作进 一步说明。 1 ) 基于神经网络的入侵检测技术 基于神经网络的入侵检测技术是近几年来的研究热点之一。该入侵检测技术的关 键在于检测前要用入侵样本进行训练以使其具备对某些入侵行为进行分类的能力从 而能够正确“认识”各种入侵行为。采用神经网络的检测模型具有高维性、广泛互联 性以及自适应性等优点 2 3 1 。j b o n i f a c i o 等人通过使用m l p 神经网络分析数据包与入 侵签名匹配的结果得到了较高的正确率。在后来的研究中很多学者还提出了很多改进 算法使基于神经网络的入侵检测系统的正确率也有很大的提高。 2 ) 基于专家系统的入侵检测技术 入侵检测的另外一个值得重视的研究方向就是基于专家系统的入侵检测技术。即 根据安全专家对可疑行为的分析经验来形成一套推理规则，然后再在此基础之上构成 相应的专家系统。倒如，在数分钟之内某个用户连续进行登录，而且失败超过三次就 可以被认为是一次攻击行为。同时应当说明的是基于规则的专家系统或推理系统也有 其局限性。因为作为这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安 排和策划的，而对系统最危险的威胁则主要是来自未知的安全漏洞且其功能又要求能 够随着经验的积累而利用其自学能力进行对规则的扩充和修正。但是专家系统对历史 数据的依赖性总的来说比较小。因此系统的适应性比较强可以较灵活地适应安全策略 和检测的要求。 3 ) 基于a g e n t s 的分布式入侵检测技术 基于a g e n t s 的分布式入侵检测技术是目前大型网络安全可移动性的语言和结构， 是一种新的网络通信技术同时又是一种入侵检测技术。可移动代理技术通常是一种代 表用户或其它程序的软件模块在需要的时候能够主动地或被动地从一个网络节点迁 移到另一个节点。相对于传统的c s 模式可移动代理技术为分布式入侵检测提供了 一种更有效更灵活的模式，并且具有交互式异步处理减少网络流量等优点1 2 ”。 4 ) 基于模型推理的入侵检测技术 华中科技大学硕士学位论文 攻击者在攻击一个系统时往往采用一定的行为程序。如猜测口令的程序，这种行 为程序构成了某种具有一定行为特征的模型。根据这种模型所代表的攻击意图的行为 特征，可以实时地检测出恶意的攻击企图。用基于模型推理的入侵检测技术，人们能 够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些话动。有时为 了准确判断，要为不同的入侵行为和不同系统建立特定的入侵检测脚本，根据假设的 入侵检测脚本，这种系统通常可以检测出入侵行为。 2 3 2i d s 的不足 入侵检测系统作为网络安全防护的重要手段还存在很多问题，有待于进一步深入 研究和不断完善。 从性能上讲入侵检测系统面临的一个矛盾就是系统性能与功能的折衷，即对数据 进行全面复杂的检验构成了对系统实时性要求很大的挑战。 从技术上讲，入侵检测系统存在一些急于解决的问题，主要表现在下面几个方面： 1 ) i d s 系统本身还在迅速发展和变化，远未成熟 目前，绝大多数的商业i d s 的工作原理和病毒检测相似，自身带有一定规模和数 量的入侵特征模式库，可以定期更新。这种方式有很多弱点：不灵活，仅对已知的攻 击手段有效；同时特征模式库的提取和更新依赖于手工方式，维护不易。而具有自适 应能力、能自我学习的i d s 系统还远未成熟，i d s 技术在理论上还有待突破。所以i d s 领域当前正处在不断发育成长的幼年时期。 2 ) 现有i d s 系统错报或虚警橛率偏高，严重干扰了结果 如果i d s 系统对原本不是攻击的事件产生了错误的警报，则假的警报一般称为虚 警( f a l s ep o s i t i v e ) 。通常这些错报会干扰管理员的注意力，产生两种后果：( 1 ) 忽略报 警，这样做的结果和安装i d s 系统的初衷相背；( 2 ) 重新调整临界i a 值，使系统对 虚报的事件不再敏感，但这样做之后一旦有真的相关攻击事件发生，i d s 将不再报警， 这同样损失了i d s 的功效。 3 ) 事件响应与恢复机制不完善 这一部分对i d s 非常必要，但目前几乎都被忽略，即使有，相当有限的响应和恢 复功能还远不能满足人们的期望和要求。 4 ) i d s 与其他安全技术的协作性不够 如今，网络系统中往往采用很多其他的安全技术，如防火墙、身份认证系统、网 1 3 华中科技大