（计算机应用技术专业论文）数据挖掘在入侵检测安全审计中的应用研究.pdf

山东科技大学颁十学位论文 摘要 摘要 入侵检测系统是指能够自动识别计算机系统内入侵行为的系统，它可以检 测出内部用户或外部入侵者的非授权使用、误用和入侵等异常行为模式，保护计 算机系统的安全。其关键和核心内容是进行网络安全审计。网络安全审计的目的 是实时地、不间断地监视整个网络系统以及应用程序的运行状态，及时发现系统 中可疑的、违规的或危险的行为，进行报警和采取阻断措施，并留下记录，但最 前在安全审计过程中普遍存在着检测准确率低和自适应性差等问题。为了解决这 些问题，提出入侵检测系统与防火墙和蜜罐协作，共同提高工作效率。因为各个 系统之闯的联动稻信息共事，以及傩重点不同的任务配合，可以缩短处理对阃， 提高系统运行效率。然后提出深度挖掘的概念，是在系统异常阈值被触发或蜜罐 被攻击时，充分利用系统资源，进行多层次和多算法的数据挖掘，发现未知的入 侵和攻击手段。本文将前面的两种设计概念应用到入侵检弱安全审计设计中，并 且找出数据挖掘和网络安全审计在技术上的结合点，建立基于数据挖掘的入侵检 测安全审计模型，改进了现有设计。 关键词：网络安全，入侵检测系统，安全审计，数据挖掘 山东科技大学硕士学位论文 摘要 a b s t r a c t i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) i sa na u t o m a t e ds y s t e mf o rt h ed e t e c t i o no f i n t r u s i o n si nc o m p u t e rs y s t e m t h em a i ng o a lo fi d si st od e t e c tu n a u t h o r i z e du s e ， m i s u s ea n di m r u d i n gc o m p u t e rs y s t e m sb yb o t hs y s t e mi n s i d e r sa n de x t e r n a li n t r u d e r s t h ek e yc o n t e n to fi n t r u s i o nd e t e c t i o ni sn e t w o r ks e c u r i t ya u d i t ，a n dt h ep u r p o s eo f n e t w o r ks e c u r i t ya u d i ti st om o n i t o rt h ew h o l en e t w o r ka n dr u n n i n gs t a t u so f a p p l i c a t i o n si nr e a lt i m e ，t od e t e c tt h es u s p i c i o u so rd a n g e r o u sb e h a v i o r si nt i m e ，t o 百v ea l a r m sa n dt a k em e a s u r e st oo b s t r u c tt h o s eb e h a v i o r s ，a n dt ot a k er e c o r d so f t h e s e c u r i t ya u d i t h o w e v e r , t h e r ea t es o m ep r o b l e m si nt h ep r o c e s so fn e t w o r ks e c u r i t y a u d i ts u c ha sl o wr a t eo fa c c u r a c ya n dp o o rs e l f - a d a p t a b i l i t y i no r d e rt os o l v et h e s e p r o b l e m s ，i nt h i ss c h e m eit a k ei d st oc o o p e r a t ew i t hf i r e w a l la n dh o n e y p o tf o r w o r k i n gm o r ee f f i c i e n t l y b e c a u s ec o o p e r a t i o na n di n f o r m a t i o ns h a r eb e t w e e ne a c h s y s t e ma n dt h e i rs a n l eg o a l ，c a ns h o r t e np r o c e s s i o nt i m ea n de n h a n c es y s t e mw o r k i n g e f f i c i e n c y a n o t h e rd e e p m i n i n gc o n c e p ti st op e r f o r mm u t i l a y e ra n dm u t i a l g o r i s m d a t am i n i n gf o rf i n d i n gu n k n o w ni n t r u s i o na n da t t a c kw a y sw i mu t i l i z i n gs y s t e m r e s o u r c es u f f i c i e n t l y it a k et h i st w oc o n c e p t si n t od e s i g no fi ds e c u r i t ya u d i t ，a n di s y n c r e t i z ed a t am i n i n ga n dn e t w o r ks e c u r i t ya u d i ts h a r a b l et e c h n o l o g y ，e s t a b l i s hi d s e c u r i t ya u d i tm o d e lb a s e do nd mp r i n c i p l eb yi m p r o v i n gc o m e m p o r a r yd e s i g n ， k e yw o r d s ：n e t w o r ks e c u r i t y , i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) ，s e c u r i t ya u d i t ， d a t am i n i n g 声明 本人呈交给山东科技大学的这篇硕士学位论文，除了所列参考文献和世所 公认的文献外，全部是本人在导师指导下的研究成果。该论文资料尚没有呈交 于其它任何学术机关作鉴定。 硕士生签名： 日期： a f f i r m a t i o n 张超 id e c l a r et h a tt h i sd i s s e r t a t i o n ，s u b m i t t e di nf u l f i l l m e n to ft h er e q u i r e m e n t s f o rt h ea w a r do fm a s t e ro fp h i l o s o p h yi ns h a n d o n gu n i v e r s i t yo fs c i e n c ea n d t e c h n o l o g y , i sw h o l l ym yo w uw o r ku n i e s sr e f e r e n c e do fa c k n o w l e d g e t h e d o c u m e n th a sn o tb e e ns u b m i t t e df o rq u a l i f i c a t i o na ta n yo t h e ra c a d e m i c i n s t i t u t e s i g n a t u r e ：张超 0 8 钯：彭 山东科技大学硕士学位i 仑文绪论 1 绪论 1 1 课题背景 信息社会的到来，给全球带来了技术和经济飞速发展的契机。随着网络技术和网络 规模的不断发展，越来越多的政府机构、企业和个人开始使用讨算机互联网，特别是近 几年随着宽带技术的发展，网络给人们提供了极大的便利，因此网络得到了越来越广泛 的应用。我国互联网发展也取得了令人瞩目的成绩。2 0 0 4 年底，我国上网用户已经达到 9 4 0 0 万，上网计算机达到4 1 6 0 万台，大约是7 年前数量的1 0 0 倍，可见我国互联网的 影响已经逐渐渗透到我国国民经济的各个领域和人民生活的各个方面。 4 0 0 0 万一一 3 0 0 0 万一一 2 0 0 0 万一 1 0 0 0 万 2 9 95 4 27 47 一口 4 1 6 0 万 n 1 061 261 261 2 61 2 61 2 61 261 2 年 1 9 9 71 9 9 8 1 9 9 92 0 0 02 0 0 12 0 0 2 2 0 0 3 2 0 0 4 图11 我国上网计算机总数 f i g 1 1 s u mo fc o m p u t e r so l lii i l ei nc h i n a 2 0 0 5 年我国将建成覆盖全国主要城市的世界最大规模i p v 6 基础设施，这就是正在 实施的下一代互联网示范工程项目，届时丰富多彩的下一代网络应用会从应用示范迅速 走向商用推广。随着互联网应用的不断创新与发展，信息与网络安全也面临着前所未有 的严峻形势，网络安全领域所面临的挑战目益严峻。在我们享受网络资源所带来的巨大 利益的同时，针对网络和计算机系统的攻击和入侵变得越来越普遍，攻击手法也越来越 复杂。尽管这些攻击方式各有不同，有的是针对计算机系统和软件的漏洞，有的是针对 网络系统本身的安全缺陷，但是这些攻击或多或少对网络和主机的正常使用造成了破坏a 同时黑客入侵、信息泄露、篡改及不良信息传播等网络信息安全问题也日益突出，并危 及社会的正常运转。网络安全问题不仅给广大网络用户带来了不便，甚至影响到我国信 伢吲吲饼豳胤尉豳辨刚日瓣圈骨豳辫触牌豳翌i一时弼博煳燃材圉姗噍掺壤鹾巨瑾一：舢酋鳞酉 _ - 一 1拼副 - 一 一 一一眦刚皿圜 丽囡 一 一瑚囵 一 一 _ 生墨型塾查兰堡主堂堡丝塞 塑望 息化建设的进一步深化，威胁到国家的信息安全和经济发展。因而，保障计算机系统、 网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。 伴随着网络上信息共享程度的逐步提高，信息安全问题及其对经济发展、国家安全 和社会稳定的重大影响正日益突现出来，受到越来越多国家的关注。美国己把信息争夺 弓对抗作为因家之问的竞争的重要方式，并且在信息安全领域投入巨资，拥有相当规模 的信息安全产业，目标是为全球性市场建立一个开放的和通用的安全体系结构，为推广 电子商贸提供所需的关键技术和法律依据，从而增强本国与其他国家商业竞争能力。我 国科技发展战略从以跟踪模仿为主，向以自主创新和实现技术跨越发展为主的转变，信 息安全与电子政务及电子金融被列为“十五”期间科技部组织实旋的十二个国家重大科 技专项之一。 我国已经开发出各种各样的信息安全应用系统和产品，但是一个菲常现实的问题是 信息安全问题和信息犯罪仍在不断困扰着信息领域的各个方面。国家计算机网络应急技 术处理协调中心仅2 0 0 4 年上半年就接到1 3 6 3 0 起网络安全事件报告，如下表所示： 表1 12 0 0 4 年上半年我国计算机弼络安全事件统计报告 t a b l e1 。1c e r ts t a t i s t i c sr e p o r to ne a r l yh a l fy e a ro f2 0 0 4 婀页 网络 拒绝 网页 主机垃圾 月份蠕虫恶意木马诈骗服务篡改扫描入侵邮件其他总计 代码攻击 1 月 1 3 019 1 72 21 4 32 8 1 2 4 l 2 月6 l 41 7 6 335 43 51 8 6 9 3 月 7 l2l2 26 8 4 1 1 1 6 3 57 0 2 5 4 月 6 l2 2 0 8 5 1 31 3 3 2 61 0 4 3 5 月 3 1l241 0 4 2l1 7 44 01 2 9 5 6 月1 7 2 “lt o9 9 ll o o2 51 1 5 7 统计1 9 7 3 22 055 61 2 4 0 62 9 7 2 3 1 8 91 3 6 3 0 信息安全在计算机发展的早期是指面向数据的安全。互联网出现之后，其内涵又扩 展到面向使耀者的安全，即鉴定、授权、访闷控制、抗否认性以及个人隐私等。信息安 全问题是指信息的完整性、保密性和可用性的保护。信息技术人员逐渐认识到：构成信息 系统的各个层次上的软件系统和硬件系统部需要具备一定的安全防护功能，它们相互配 合，才能保证信息系统整体上的安全。上层软件系统的安全依赖于底层软件提供的安全 支持，作为底层的系统软件，操作系统提供的安全机制是整个网络安全系统的根本。没 有操作系统提供的安全保证，整个计算机系统的安全性就无法得到根本保障。 2 些蔓型丝查兰堡! ：兰垒矍兰一一一一 堕堡 网络信息安全问题的解决与否将直接影响到信息高速公路的成败。网络安全技术就 是在这样的背景卜| 提出的 = i 的是保障网络服务的可用性以及网络信息的完整性与保密 性。h 前嘲络信息安全问题主要依靠加密、防火墙、入侵检测、防病毒、灾难恢复等安 全技术和措麓加以解决，安全策略是如何有效配置和集成这些技术手段，更加有效地保 障网络信息安全。在这些安全技术中，入侵检测是一种动态的实时安全监控技术，是网 绍安全领域中的新技术。它的主要功能是对入侵行为的及时发现和反应，利用入侵者留 下的痕迹( 如试图登录的失败记录、异常网络流量等) 来有效地发现来自外部或内部的非 法入侵；同时能够对入侵及时响应，包括断开非法连接、报警等措施。 1 2 课题内容 1 2 1 研究目标 通过对现有的网络安全技术的分析和研究，利用各种技术手段的优点，提出入侵检 测系统与防火墙和蜜罐相互1 办作，共同提高工作效率。因为各个系统之间的联动和信息 共享，以及侧重点的不同的任务配合，可以实现信息共享，同时缩短处理时间，提高系 统运行效率。并且入侵检测安全审计可以和各类操作系统从深层次结合从而保障网络 服务系统免受攻击或入侵。本文又提出深度挖搁的概念，是在系统异常检测阈值被触发 或蜜罐被攻击时，充分利用系统资源，进行多层次和多算法的数据挖掘，发现束知的入 侵或攻击手段。 在分析现有的入侵检测系统的优缺点基础上，研究数据挖捌技术应用在网络安全审 计过程中存在的不足，本文将前段的两种设计概念应用到入侵检测安全审计系统设计中， 找出数据挖掘和网络安金审计在技术上的结合点，建立基十数据挖掘的入侵检测安全审 计模型。 1 2 2 研究内容 信息系统安全包含多方面的内容。一般地可以认为，信息系统安全包括计算机系统 安全和通信安全两大部份。作为一种能够及时发现并报告系统中存在的非授权使用或异 常现象的技术，入侵检测在维护网络安全方面起到了非常重要的作用。其本质就是通过 对网络安全审计数据进行分析从而发现网络中存在的入侵现象，也就是说，网络安全审 计是入侵检测技术中的核心内容。目前的安全审计系统时以高教地实现安全审计数据的 输入、查询、统计等功能，但无法发现数据中存在的关联、关系和规则，无法根据现有 输入、查询、统计等功能，但无法发现数据中存在的关联、关系和规则，无法根据现有 ! 生型堡查兰堡圭堂竺丝墨； 堕堡 的数据预测未来的发展趋势，缺乏挖掘数据背后隐藏知识的手段。如何在大量的审计数 据中提取出具有代表性的系统特征模式，并对程序或用户行为做出描述，是实现审计系 统高效运行的关键。 数据挖掘作为种从大量数据中发现有用模式的一种新兴知识发现技术，在特征和 规则的提取方面有较大的优势。一些试验表明，将数据挖掘技术应用于网络安全审计技 术中可以提高检测入侵行为的能力。在一定程度上解决目前基于模式遥配的入侵检测系 统中存在的自适应性差及不能发现未知入侵模式的问题。 本文尝试将数据挖掘技术应用于网络安全审计领域，利用数据挖掘中的关联分析、 序列模式分析和聚类技术等方法提取与安全有关的系统特征属性，并根据系统特征属性 生成安全事件的分类模型，用于对安全事件的自动鉴别。目的是要建立一套基于数据挖 掘的网络安全审计模型，在这个模型中包括了针对安全事件的数据采集、数据预处理、 数据挖掘等一系列过程。安全审计的效果好坏将直接影响到我们能否及时和准确地发现 入侵或异常。然而，操作系统的日益复杂化和网络数据流量的急剧膨胀，导致了安全审 计数据同样以惊人的速度递增。激增的数据背后隐藏着许多重要的信息，人们希望能够 对其进行更高抽象层次的分析，以便更好地利用这些数据。 为了对审计数据进行全面、高速和准确地分析，需要利用数据挖掘等方法来处理安 全事件数据，从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息，抽象出 有利于进行判断和比较的特征模型并用相应的算法由计算机判断出当前网络行为的性 质。t c s e c ，c c 和我国信息系统安全保护等级划分准则标准中，安全审计是安全操作 系统的重要组成部分，所以本文的工作主要是研究和设计入侵检测系统中的安全审计子 系统以及基于数据挖掘的入侵检测安全审计技术，二者结合起来，设计符合国家标准中 信息系统安全审计功能要求的入侵检测系统。 1 3 课题意义 随着计算机网络的迅猛发展和广泛应用，其在军事、金融、商业、通讯等各方面的 作用日益扩大，社会对网络的依赖性也日益增强。在人们进行资源共享的同时，也感受 到信息安全问题日益突出，当今网络犯罪日益严重，网络安全问题已经引起国家机关 企业以及个人用户的充分重视。保障网络信息系统安全已成为国家与国防安全的重要组 成部分；随着各种网络攻击手段的复杂化、智能化，单纯依赖防火墙，加密技术等静态 4 皂查型垫= 苎兰堡主兰壁堡墨 堡笙 防御手段已难以胜任网络安全的需要。首先，它们都属于静态安全技术范畴，不能主动 发现和跟踪入侵者；其次，防火墙不能阻止来自于内部的袭击，而入侵检测技术是继防 火墙等传统安全保护措施后的新一代网络安全保障技术，作为一种积极主动的安全防护 技术，它有效地补充和完善了其他安全技术和手段，提高了信息安全基础结构的完整性。 入侵检测系统监视和分析底层的操作系统运行状态，对引算机和网络资源上的恶意入侵 行为进行识别和响应，是安全防御体系的一个重要组成部分，所以针对入侵检测方法和 技术的研究工作已经引起越来越多的重视。 没有网络信息安全，就没有完全意义上的国家安全，也没有经济安全和军事安全。 如何争取在信息社会的竞争中取得主动权，保护国家信息安全，是刻不容缓的研究课题。 综上所述，致力于入侵检测技术的研究具有非常重要的社会意义和现实意义。本文的内 容主要是对数据挖掘在入侵检测中的应用进行研究，以此为基础提出了基于数据挖掘的 入侵检测安全审计系统模型。针对当前入侵检测系统存在的不足尝试改进，提出对后续 研究和产品开发工作具有建设性和借鉴意义的入侵检测模型，解决当前入侵检测模型建 模代价高、可扩展性差的问题。 计算机软件安全包括操作系统的安全和应用软件的安全两部分。计算机系统的上层 应用软件依赖于下层软件，而操作系统处于系统的最底层，是所有软件的基础，建立在 操作系统之上的各个层次的应用软件都依赖于操作系统提供的基本功能，其中包括安全 机制，比如操作系统内部实施的非自主访问控制、可信路径、保护路径等机制是应用层 软件进行数据加密、身份鉴别、访问控制必不可少的基础。并且审计子系统的一部分数 据来源是从操作系统的系统日志获得，所以入侵检测系统需要紧密结合支持其运行的操 作系统。 目前国际上对于将数据挖掘技术运用于网络安全审计的研究很活跃，而且这些研究 在美国多数得到了美国国防部高级研究计划署、国家自然科学基金的支持。我国在这一 方面的研究也处于蓬勃发展时期，但是将数据挖掘技术运用于入侵检测安全审计的研究， 总体上处于初级阶段，大部分工作都着重于理论探讨和试验阶段。本人设计的网络入侵 检测安全审计系统应用了数据挖掘技术，原因在于数据挖掘能够仅仅从安全审计数据本 身的数值规律中发现异常而发现入侵行为，从而具有自适应的特点，本文将验证这种思 路的可行性。利用数据挖掘技术可以在一定程度上解决现有入侵检测产品存在的不足， 提高入侵检测安全审计的准确率和自适应能力，使其对审计数据的分析更加全面和准确， 从而成功地发现入侵行为。 5 山东科技大学硕上学位论文 绪论 1 4 本文结构 绪论首先介绍了信息安全问题及其对经济发展、国家安全和社会稳定的重大影响。 分析当前计算机网络系统的安全形势以及现有网络安全技术的技术特点，提出了数据挖 掘技术应用在入侵检测安全审计系统的研究思路。 第二章分析了网络安全的威胁及安全防护技术，对比现有的入侵检测系统的优缺 点。从信息共享和技术集成的角度出发，提出入侵检测系统与防火墙和蜜罐的紧密结合， 从而提高工作效率。然后分析了现有入侵检测安全审计系统的功能特点，论述了数据挖 掘技术应用在入侵检测系统中可以改进现有的安全审计技术。 第三章从网络安全机制的角度出发分析各种技术标准，由于安全审计子系统是入侵 检测系统的核心组成部分，安全审计功能的执行效率将直接影响到我们能番及时和准确 地发现入侵或异常。所以设计符合标准的安全审计模块成为改进入侵检测系统的出发点。 第四章具体地阐述数据挖掘技术应用在入侵检测安全审计中的必要性，然后给出一 些具体的算法验证数据挖掘应用到入侵检测系统中的可行性。最后给出基于数据挖掘的 入侵检测系统的设计方案。 总结：入侵检测技术与防火墙和蜜罐技术相结合，为计算机网络提供了更完善的保 护机制，因为只有通过各个系统的分工和协作才能提高运行效率。入侵检测技术正是通 过对计算机网络和主机系统中的关键信息进行实时采集和分析，从而判断出是否存在非 法用户入侵和合法用户滥用资源的行为，并做出适当反应的网络安全技术。数据挖掘技 术应用在入侵检测安全审计中可以提高系统数据处理能力，更加有效地实现信息系统的 安全目标。 6 山东科技大学礤士学位论文 入侵检测系统 2 入侵检测系统 2 1 网络安全所面对的主要威胁 攻击和入侵是危及计算机安全的两个重要方面。攻击是指通过某种手段使被攻击的 计算机无法正常工作，入侵是指通过某种手段非法控制计算机获取某些资料或利用其 从事某些非法活动。常见的攻击手法有恶意代码攻击、非法数据包攻击、d d o s 分布式拒 绝服务攻击等。下图描述了各类威胁及后果： 亨虿 r 一r l 资源耗尽il 截获修改 【，j 【，、一j 图2 2 典型的潜在威胁及其后果 f i g 2 2t y p i c a lp o t e n t i a lt h r e a t sa n dc o n s e q u e n c e s 常见的入侵方法有口令猜解、嗅探器窃取密码、缓冲区溢出和使用t r o j a n 木马等。 口令猜解：口令猜解可用于几乎所有需要口令的地方，包括f t p ，e m a i l ，t e l n e t 远 程登录等。主要可分为两釉，一种是弱口令扫描，主要针对大范围的主机进行扫描，利 用常见的简单口令进行尝试。另一种是暴力破解，主要针对特定主机和特定用户进行。 根据口令的来源可分为字典攻击和穷举法两种。字典攻击使用由单词和常用的字符串组 成的字典来取得口令，穷举法则自动生成所选字符的所有组合逐一尝试。对于强壮的口 令，暴力破解是很难奏效的。 嗅探器( s n i f f e r ) ：现在人们谈到黑客玫击，一般所指的都是以主动方式进行的，例 如利用漏洞或者猜测系统密妈的方式对系统进行攻击。其实还有一类被动攻击方式往往 为大家所忽视，那就是利用s n i f f e r 进行嗅探攻击。使用这种工具，可以髓视网络的状 态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可 以使用网络监听的方式来遴行攻击。将网络接口设置在监听模式，便可以将网上传输的 源源不断的信息截获。工作原理是：在麸享式局域网中，数据包采用广播形式发送，任 坐奎型垫查兰堡主鲎垡丝塞 垒堡丝型墨丝 何一台主机都可以接收到同一集线器( h u b ) 上的主机收发的信息。正常情况下，主机网 卡分析数据包的地址。如果不是发给自己的则丢弃。但在网卡设置在混杂模式的情况下， 则可以接收发给其他主机的数据包。嗅探器可以对其进行分析，分离出有用信息，比如 服务器的登录口令等。嗅探器通常用于在攻陷了目标网络中的一台主机后实施进一步的 控制，使其成为被操纵的傀儡机。 缓冲区溢出攻击：许多网络病毒利用系统漏洞进行攻击，如危害极大的冲击波利用 系统的r p c 接口中的缓冲区溢出漏洞，导致r p c 服务崩溃。震荡波利用系统的l s a s s 服 务中的缓冲区溢出漏洞。缓冲区溢出攻击是一种相当常见且有效的入侵手法，原因是许 多系统程序和应用程序都是用c 语言编写的，c 语言并不检查缓冲区边界，如果用户输 入的数据长度超过了缓冲区长度，就会覆盖其他数据区。假如程序的返回地址被覆盖就 会导致程序不能正常返回。黑客可以在输入数据中插入自己的指令，使得覆盖后的返回 地址恰好指向这些指令，就可以使这些指令被执行。缓冲区溢出的原理是通过往程序的 缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执 行其它指令，以达到攻击的目的。造成缓冲区溢出的根本原因是程序中缺少错误检钡4 。 例如下面程序： v o i df u n c t i o n ( c h a r * s t r ) c h a rb u f f e r 1 6 ： s t r c p y ( b u f f e r ，s t r ) ： ) 上面的s t r c p y ( 1 直接把s t r 中的内容拷贝到缓冲区中。这样只要s t r 的长度? k 于1 6 ， 就会造成缓冲区的溢出，使程序运行出错。存在像s t r c p y 这样的问题的标准函数还有 s t r c a t ( ) ，s p n n t f ( ) ，v s p r i n t f ( ) ，g e t s ( ) ，s c a n f ( ) 等。当然，随便往缓冲区中填充数据会造 成它溢出，一般只会出现“分段错误”( s e g m e n t a t i o n f a u l t ) ，而不能达到攻击的目的。 最常见的手段是通过制造缓冲区溢出使程序运行一个用户s h e ll ，再通过s h e ll 执行其它 命令。如果该程序属于r o o t 。攻击者就获得了一个有r o o t 权限的s h e l l ，可以对系统进行 任意操作了。缓冲区溢出攻击之所以成为一种常见安全攻击手段，其原因在于缓冲区溢 出漏洞太普遍了，并且易于实现。而且这种漏洞给予了攻击者他所想要的一切；植入并 且执行攻击代码。被植入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程序，从而 得到被攻击主机的控制权。 t r o j a n 木马：是目前网络信息安全的最大威胁，由于它有很强的隐蔽性，很容易被 8 当奎型塾查兰璧主竺垡丝兰垒矍丝型墨竺 安全防护系统所忽略。木马实际上是一个网络客户服务程序，同样可以分为服务器端和 客户端两部分。在功能上和一般的远程管理监控程序很相似，唯一不同的是它的隐蔽性。 木马程序的服务器端通常成为被控制端客户端通常成为控制端。黑客通过各种方式使 受害者下载并运行木马，然后就可以完全控制对方的计算机，可以查看对方的文件、屏 幕，破坏对方的系统。本马通常会打开一个端口进行监听，等待控制端的连接。由于木 马的隐蔽性，它的传播范围远远大于病毒。因此它也上了杀毒软件的黑名单，为了逃避 杀毒软件的检查，并使自己更加隐蔽，木马的编制技术也越来越先进。进程隐藏方面有 了大的改进，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入d l l 线程。像 无进程、插入服务、多线程等新技术逐渐被采用。现在试图盗取网上银行账号、密码的 木马已经泛滥成灾。 2 2 计算机网络安全的目标 安全的概念并没有统一的定义，但其基本含义可以解释为：客观上不存在威胁，主 观上不存在恐惧。信息安全的目标就是保护有可能被侵犯或破坏的机密信息不被外界非 法操作者控制。所以网络安全的目的是研究如何保障计算机网络的信息资源和系统资源 的安全。其中信息安全是最终目的，保障计算机网络系统资源的安全是必要条件。 2 2 1 信息系统安全评价标准 安全评价是衡量安全产品安全性的重要手段，安全评价标准是开发、评价和选择安 全产品的重要依据。一个正确的安全评价标准的制定可以引导安全产品的发展方向，促 进安全产品的改善和进步。计算技术和互联网的飞速发展带来了计算环境的巨大变化， 技术的进步在为人们提供更大的应用潜力的同时，也带来了新的、更大的安全挑战。应 用环境的变化导致安全环境和安全问题的变化，相应地要求安全产品和安全产品的评价 标准也要随之变化。 美国国防部于1 9 8 5 年正式公布了可信计算机系统评估准则( t c s e c ) ，是大家所公认的 第一个正式的计算机信息系统评估标准，具有划时代的意义，是c c 标准的制定基础，所以 很多操作系统的设计都遵循其指导思想。 t c s e c 确定的基本安全目标是安全系统利用一定的安全特征对信息的访问进行控 制，使得只有授权用户或由他启动的进程才能读、写、创建或删除信息。t c s e c 强调信息 的保密性，根据这个安全目标提出六个方面的基本安全要求，即安全策略( p o l i c y ) 、客 生壅型垫奎兰堡圭茎堡丝兰 盔壁建塑墨竺 体安全标记( m a r k i n g ) 、主体身份标识( i d e n t i f i c 韪t i o n ) 、可追踪性( a c c o u n t a b i l i 妫、安全保证 ( a s s u r a n c e ) 、持续保护( c o n t i n u o u sp r o t e c t i o n ) 。t c s e c 将安全保护评价标准分成d 、c 、b 、a 四个等级，共有d 、c l 、c 2 、b l 、b 2 、b 3 、a 1 、超a l 共八个级别，它们对于安全功能的要 求逐级增强。 随着t c s e c 的应用，软件开发者发现按照这个标准开发和评价产品的难度和投入是 不可低估的而且用户反映该标准指定的安全功能针对的并不是他们实际应用中迫切需 要解决的问题。9 0 年代初，美国看到t c s e c 的不足，制定了联邦标准草案，但很快就放弃 了，转而与加拿大和欧亳l l 国家等联合制定c c 标准。1 9 9 9 年7 月，c c 标准被国际标准化组织 确立为国际标准i s 0 1 5 4 0 8 。c c 标准将评估过程分为“功能”和“保证”两部分。c c 标 准确立后，安全产品的评价均按c c 标准进行。 2 。2 2 网络安全定义 国际标准化组织i s o 将“计算机安全”定义为：“为数据处理系统建立和采取的技 术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、 更改和泄露。”我国公安部计算机管理监察司的定义是“计算机安全是指计算机信息系统 资源和信息资源不受自然和人为有害因素的威胁和危害。”因此网络安全的目标包括： ( 1 ) 网络信息的完整性( i n t e g r i t y ) ：网络服务必须保证服务者提供的信息内容不能 被菲授权篡改，它是对信息的准确性和可靠性的评价指标。 ( 2 ) 网络服务的可用性( a v a i l a b i l i t y ) ：在运营期间内，网络服务必须是可用的，如 抵御拒绝服务攻击。 ( 3 ) 网络信息豹保密性( c o n f i d e n t i a li t y ) ：网络服务要求能防止敏感服务信息泄露， 并且只有在授权的条件下，才能获得服务信息。 ( 4 ) 网络运行的可控性( c o n t r o l l a b i l i t y ) ：网络管理的可控性包括网络运行的物理 的可控性和逻辑或配置的可控性等，能够有效地控制网络用户的行为及信息的传播范围。 ( 5 ) 网络信息的不可否认性( n o r e p u d i a t i o n ) ：用户不能否认消息或文件来源地，也 不能否认接收了信息或文件，是实现网络监管的先决条件，在法律上提供对违法行为的 有效凭证。 2 2 3 多展网络安金防护 通过在网络和主机上部署的各种网络安全工具相互配合使用，层层设防，使用户系 统和各种重要数据从网络、主机多个层次得到保护，从而构建起全方位的防御屏障。相 比一般的安全工具或解决方案，这种多层次、综合性的安全防护体系能够将各种安全产 1 0 山东科技大学硕士学位论文 入侵检测系统 品的特点和功能优势甄补，从而达到更好的安全防护效果。 入侵者 网络系统 i i l i 一塑塑塑： 图2 1 多层网络安全防护 f i g ，2 1m u l t l a y e rn c t w o r ts e c u r i t yp r o t e c t i o n ( 1 ) 加密( e n c r y p t ) 加密技术分为两类：对称加密体系和非对称加密体系。( 1 ) 对称加密：又称密钥加 密，它采用对称密码编码技术，对信息加密和解密使用相同的密钥，即加密密钥也是解 密密钥，保密性主要取决于密钥的安全性；( 2 ) 非对称加密：在非对称加密体系中，密钥 被分解为公开密钥( p u b l i c k e y ) 和私有密钥( p r i v a t e k e y ) ，公开密钥与私有密钥必须配对 使用，因为加密和解密使用的是两个不同的密钥，因此这种算法叫作非对称加密算法， 也称为公钥加密。 公开钥体系结构( p k i ) ：在开放型大型互联网络的应用环境中，已经建立的是公开 钥体系结构。基于公开钥体系的加密系统是按对生成公开钥和私钥，实际应用中，公开 钥是以证书性质存放的。为了管理好公开钥即证书的分发，建立认证机构体系c a 。它们 是指一些受法律承认的可信任的权威机构，负责发放和管理电子证书，使网上通讯的各 方能互相确认身份。它的基本功能有：接收注册请求，处理、批准或拒绝请求，颁发证 书等。 加密技术依赖算法破解难度。一直在国际上广泛应用的两大密码算法m d 5 、s h a i ， 宣布被中国专家山东大学信息安全所所长王小云破解。她的研究成果表明了从理论上讲 电子签名可以伪造，必须及时添加限制条件，或者重新选用更为安全的密码标准，以保 证电子商务的安全。随后国际密码学家l e n s t r a 利用王小云提供的m d 5 碰撞，伪造了符 合x 5 0 9 标准的数字证书，这说明密码的破解可以导致实际的攻击。 ( 2 ) 防火墙( f i r e w a l l ) 防火墙是一种网络隔离控制技术，在某个机构的网络和不安全的网络之间设置障碍， 坐堡登塾查兰婴主兰垡堡苎 垒堡丝塑墨竺 阻止对信息、资源的非法访问，也可以阻止机密信息从公司内部网络上被非法获取。换 言之，防火墙是一道门槛，控制进、出两个方向的通信。通过限制与网络或某一特定区 域的通信，以达到防止非法用户侵j e i n t e r n e t 和公用网络的目的。防火墙是种被动防卫 技术，由于它假设了网络的边界和服务，对内部的非法访问难以有效地控制。 ( 3 ) v p n ( v i r t u a lp r i v a t en e t w o r k i n g 即虚拟专用网，是将物理上分布在不同地点的专用网络，通过不可信任的公共网络 构造成逻辑上可以信任的虚拟子网，进行安全的通信。因为是在公共网络上搭建起来的、 逻辑上属于自己的专用安全通道，所以加上了虚拟一词。v p n 利用了加密信道技术，它 是利用公共网络( 如i n t e m e t ) 的数据传输能力，借助相关安全技术和手段实现的，能够提 供可靠、可控的保密数据通信的安全通道。 ( 4 ) 入侵检测( i n t r u s i o n d e t e c t i o n ) 入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补 充，它通过对计算机网络或计算机系统中若干关键点收集信息茹对其进行分析，从中发 现网络或系统中是否有违反安全策略的行为和被攻击的迹象。所以它能够帮助系统对付 网络攻击，扩展了系统管理员的安全管理能力( 包括安全审计、监视、攻击识别和响应) ， 提高了信息安全基础结构的完整性。近年来，i d s 在网络中的应用逐渐增多起来。在很 多对安全等级要求很高的证券、金融以及电信的网络中，已经部署了i d s 。随着企业网 络结构的不断扩大和日益复杂，由内部员工违规引起的安全问题变得突出起来，防火墙、 防病毒等常规的安全手段只能对付外部入侵，而对于内部违规行为却无能为力，而i d s 可以审计跟踪内部违反安全策略的行为。进行入侵检测的软件与硬件的组合便是入侵检 测系统( i n t r u s i o n d e t e c t i o n s y s t e m ，i d s ) ，它可以将收集到的数据进行分析，并得出有 用的结果。一个合格的入侵检测系统能简化管理员的工作，保障网络安全的运行。 ( 4 ) 蜜罐技术( h o n e y p o t ) 蜜罐系统，也称诱骗系统( d e f r a u d ) ，是一个包含漏洞的系统，通过模拟一个或多 个易受攻击的主机，给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要完成， 因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖延攻击者对其真正目 标的攻击，让攻击者在蜜罐上浪费时间。蜜罐最初的目的之一是为起诉恶意黑客搜集证 据，这看起来有“诱捕”的感觉。它的发展成果之一是虚拟蜜网。虚拟计算机网络运行 在使用虚拟计算机系统的单一机器之上。虚拟系统能够在单一主机系统上运行几台虚拟 计算机。所以虚拟的蜜网降低了机器占用空间以及管理蜜罐的难度。它的缺陷是只能监 1 2 坐壅型苎查兰堡主兰壁堡兰 垒堡堡塑墨鉴 视和分析针对蜜罐的攻击行为；蜜罐技术不能壹接监控有真正漏洞的信息系统；没有入 侵检测系统的配合，单纯部署蜜罐系统会带来一定的安全风险，因为其系统一旦被攻破， 会成为入侵者的傀儡机。 2 3 入侵检测的概念 网络安全的目标是在网络发展的过程中依据客观情况逐渐发展起来的。计算机安全 始于2 0 世纪6 0 年代末期，随着网络应用的发展，网络安全入侵检测系统自2 0 世纪8 0 年代早期被提出以来，经过2 0 多年的不断发展，从最初的一种有价值的研究想法和单纯 的理论模型，迅速发展成种类繁多的各种实际原型系统，并且在近l o 年内涌现出许多商 用入侵检测系统产品，成为计算机网络安全防护领域内最重要的安全技术之一。 2 3 1 入侵检测的概念 美国国家安全通信委员会( n s t a c ) 下属的入侵检测小组在1 9 9 7 年给出的关于“入 侵检测( i n t r u s i o nd e t e c t i o n ) ”的定义是：入侵检测是对企图入侵、正在进行的入侵或 者已经发生的入侵进行识别的过程。所以能够识别针对计算机或网络资源的恶意和行为， 并对此做出反应的过程的系统或软硬件结合的系统，都可称为入侵检测系统。入侵检测 系统( i n t r u s i o nd e t e c t i o ns y s t e m ) 能够检铡未授权对象( 入或程序) 针对系统的入侵企 图或行为，同时监测授权对象对系统资源的非法操作。入侵检测系统至少包括三个部分： 信息的收集和预处理，数据分析以及响应系统。 2 3 2 动态的计算机网络安全模型 动态网络安全防御系统是以入侵响应为基础，它改变了原先静态的防御方式，变成 了一种根据网络环境的变化进行动态选择响应措施、更改策略。p p d r ( p o l i c y p r o t e c t d e t e c t r e s p o n s e ) 与p d r r ( p r o t e c t d e t e c t r e a c t r e s t o r e ) 等动态网络防 御体系模型，强调网络系统在受到攻击的情况下，网络系统的稳定运行能力。 p p d r 模型包括4 个部分：p o l i c y ( 安全策略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检测) 和 r e s p o n s e ( 响应) ，它们的关系下图所示。p p d r 模型的思想是在整体安全策略( p o l i c y ) 的 控制和指导下，在综合运用防护工具( p r o t e c t i o n ，如防火墙、入侵检测等系统和加密等 手段) 的基础上，利用检测工具( d e t e c t i o n ) 了解和评估系统当前的安全状态，然后通过 适当的响应( r e s p o n s e ) 措施将系统调整到比较安全和风险最低的状态。防护、检测和响 应组成了一个完整的、动态的安全循环。它的指导思想比静态安全方案有了突破性的提 山东科技大学硕士学位论文 垒堡丝翌至丝 它的作用在于连接 高。入侵检测技术就是实现p p d r 模型中的检测部分的主要技术手段， 防护和响应的过程，是p p d r 模型的关键环节。 r露sp。n：一e。ec。；。n 图2 3p d r r 模型 f i g 2 3 p p r rm o d e l 入侵检测是对计算机网络系统的运行状态进行监视，发现各种入侵企图、入侵行为 和入侵结果，以保证系统资源的机密性、完整性与可用性。入侵检测技术通过对计算机 网络或计算机系统中的若干关键点收集信息并对其进行分析，从而发现网络或系统中是 否有违反安全策略的行为和被攻击的迹象。入侵检测系统收集到的源数据一般是连续的 纪录，他们反映了特定的操作和系统运行状态。 入侵检测是一种主动的网络安全防御措施，它不仅可以通过监测网络实现对内部 攻击、外部攻击和误操作的实时保护，有效地弥补防火墙的不