（计算机应用技术专业论文）滥用入侵检测系统中入侵表示的研究.pdf

中英文摘要 摘要 由于误报率低并且报警结论明确，滥用检测一直是实践中入侵检测系统( i d s ) 主要采 取的技术。同时，面对现实中越来越多的多阶段入侵，人们的共识是将多阶段入侵视为由多 个行为组成、持续一段时间且分布在一定空间范围的过程，提炼入侵作用在系统各阶段、各 层面上的特征细节，然后在滥用检测的框架下进行检测。因此在入侵的新形势下，滥用检测 必将发挥更加重要的作用。 描述是检测的前提，滥用检测的效果严重依赖于规则库的质量。只要规则库不完备，i d s 就一定会漏报；只要规则不精确，1 d s 就一定会误报。然而，目前规则库的建立主要依赖人 类专家的经验，从入侵特征的抽取、编码到实现的每一步都可能引入有效性的缺失，存在正 确性和完备性难以保证、以及维护成本高的缺点。随着新攻击的不断涌现，而且新攻击多数 表现为多阶段复杂攻击，完全依赖人工保证规则库的有效性将变得越来越困难，从而对其进 行系统研究并开发有助于提高它的质量的方法和工具成为非常现实而迫切的需求。 因此本论文对滥用i d s 中入侵表示问题进行研究，全面分析了引起规则库有效性缺失 的原因，探索了限制这种缺失的可能方法和工具，目标是提高规则库的质量，并以此来提高 滥用i d s 的检测精度。本论文从四个方面展开了研究：入侵表示的分类和比较、检测语言 模型、入侵检测规则的冲突检查以及滥用i d s 的评估方法。 论文首先对入侵表示的一般性质和需求进行研究，通过对现有的入侵表示技术进行分类 和比较，目的是回答“对特定的应用需求，什么样的入侵表示技术更合适? 进一步地说，如 果现有的入侵表示技术都不理想，那么存在的问题以及可能的优化方向是什么? ”这样的问 题。本文从两个层次进行分类和比较，首先按照本体约束( 这是入侵表示最本质的属性，与 观察入侵的角度和方式有关) 将入侵表示技术分成行为规则、行为的因果关系、行为的扩散 性、行为的无目的性和系统状态模式6 个大类。通过对本体约束的比较，揭示了行为规则本 体约束的普适性以及在面临网络环境和多阶段入侵时使用不便的缺点，指明了入侵表示技术 的研究方向。本文进一步对行为规则类的对象( 统称检测语言，是入侵表示领域的主要成果， 并且数量上具有了一定规模) 进一步细分和比较，提出了由表达能力、表示简洁性和检测强 度3 个测度组成的评估方法，使得至少在这3 个方面可对检测语言进行准确的定量的比较。 理想的检测语言是在每个方面最优，但实际上很难做到，设计者通常要针对应用有所取舍， 但本文没有考虑这个问题。 基于传统检测语言在面临网络环境和多阶段入侵时表现出的缺点，本文将面向对象的系 统分析和设计方法引入检测语言，提出一种基于对象的检测语言模型o b d l ( o b j e c tb a s e d d e t e c t i o nl a n g u a g e ) 。利用0 b d l ，人类专家在抽取和描述入侵特征的过程中，能够充分地、 自由地运用抽象，因此入侵特征可以以最符合人类思维模式的形态存在，不仅容易理解而且 能够提高入侵特征的通用性，使滥用i d s 具备一定的检测入侵变型的能力。本文详细介绍了 o b d l 的基本原理，给出了o b d l 的抽象语法，最后给出了o b d l 的实现模型种扩展的 不确定性有穷自动机e n f a ，以及将陈述性的0 b d l 特征变换成e n f a 的算法。 由于入侵特征的抽取和表示主要由人类专家手工进行，无论专家们如何小心谨慎、检测 语言的设计如何巧妙，错误总是在所难免。为此，提出一种面向单事件特征的冲突检查方法， 它能够发现同一事件同时匹配两条或多条入侵检测规则的冲突现象。冲突导致检测结果的不 确定性。对s n o r t 规则库的实验表明：冲突在规则库中是实际存在的，而且以交叉冲突为主， 这与人类思维的局限性有关。虽然仅从规则之间的形式冲突，无法直接推断入侵检测规则的 完备性和精确性，但它至少为安全专家有目的地检查规则质量提供有价值的参考。 中英文摘要 由于入侵表示与实现它的i n s 是紧耦合的，使得即使在检测语言、安全专家和形式检查 的多方努力下入侵检测规则正确无误，仍不代表i d s 就得到期望的检测结果，这与滥用i d s 的实现质量有关，因此最后研究评估滥用i d s 实现质量的方法。从滥用i d s 的原理出发， 本文分析了目前评估方法在应用于滥用i d s 时存在的问题，提出对规则库和i d s 实现分别 评估的原则，重点研究了i d s 实现的测度选取，并分类讨论了测度计算的总体思路。在此 基础上，本文给出了面向滥用i d s 实现的评估系统的实现模型，并实现了一个评估原型系 统。尽管在实现中做了简化，但原型系统基本保持了评估方法的思想，目前它可以用于基于 单报文分析的入侵检测系统的性能评测。利用原型系统对所在实验室的i d s 和s n o r t 的实验 表明：本文方法能够更真实地反映出滥用i d s 的质量，具有很好的实用性。 关键字：入侵特征，入侵表示，滥用检测，入侵检测系统 中英文摘要 a b s t r a c t b e c a u s et h em i s u s e - b a s e di n t r u s i o nd e t e c t i o ns y s t e m s ( i d s s ) g a i ti d e n t i f ya t t a c k sw i t h a c c e p t a b l ea c c u r a c ya n dt e n dt op r o d u c ef e w e rf a l s ea l a r m st h a na n o m a l y b a s e dc o u s i n s ，n e a r l ya l l c o m m e r c i a ls y s t e m sa n dm o s td e p l o y e di n s t a l l a t i o n su m i s u s ed e t e c t i o na p p r o a c h m e a n w h i l e , m u s tt o d a y ss e r i o u sa t t a c k sa r ec o m p l e xm u l t i s t a g es c e n a r i o s i ti sw e l l k n o w nt o d e n t f yt h e s e c o m p o u n da t t a c k sb ym i s u s ed e t e c t i o na p p r o a c ht h r o u g he x t r a c t i n gt h es i g n a t u r eo f e a c hp h a s e a n dc o r r e l a t i n gt h e m m i s u s e - b e s e da p p r o a c hw i l lp l a ya nm o r ei m p o r t a n tr o l ei ni n t r u s i o n d e t e c t i o na r e a o n ep r o b l e mw i t hm i s u s e - b a s e dd e t e c t i o ns y s t e m si st h a tt h e i ra b i l i t yt or e l i a b l yd e t e c t a t t a c k si ss t r o n g l ya f f e c t e db yt h eq u a l i t yo f t h e i rr u l eb a s e s i f t h er u l eb a s ei s n tc o m p l e t et h ei d s w i l lg e n e r a t ef a l s en e g a t i v e s ，a n di ft h er u l eb a s ei s n ta c c u r a t et h e1 d sw i l lg e n e r a t ef a l s e p o s i t i v e s u n f o r t u n a t e l y , t h er o l eb a s ei sm a n u a l l yb u i l tb yh u m a ne x p e r t s a sac o n s e q u e n c e , e v e r yp h a s eo fi n t r u s i o nr e p r e s e n t a t i o n ，f o re x a m p l ec r e a t i n ga l la b s t r a c ts i g n a t u r e , c o d i n gi tw i t h d e t e c t i o nl a n g u a g e ，p o s s i b l yr e s u l t si nt h ed e g r a d a t i o no fr u l eb a s e sq u a l i t y t h e r e f o r e ，m a n u a l l y w r i t i n gg o o di n t r u s i o nd e t e c t i o nr u l e s i sh a r da n dr e s o l z r c e i n t e n s i v e a sn e wa t t a c k sa r e c o n t i n u o u s l yo c c u r r i n ga n dm o s to f t h e ma r em u l t i - p h a s eo n e s ，i tb e c o m e sm o r ea n dm o r ed i f f i c u l t t om a n u a l l ya s s u r et h eq u a i l t yo fr o l eb a s e s oi ti sr e a l i s t i ca n du r g e n tt os y s t e m a t i c a l l ys t u d y i n t r u s i o nr e p r e s e n t a t i o na n dt od e v e l o pa p p r o a c h e sa n dt o o l st h a ta i dt oi m p r o v i n gt h eq u a l i t yo f r u l eb a s e s ot h i sp a p e rs t u d i e st h ei n t r u s i o nr e p r e s e n t a t i o np r o b l e mi nm i s u s e - b a s e di d s s t h ep a p e r s y s t e m a t i c a l l ya n a l y z e st h ea s p e c t st h a tc a u s et h ed e g r a d a t i o no fr o l eb a s e sq u a l i t y , e x p l o r e s v a r i o u sa p p r o a c h e sa n dt o o l st or e s i s tt h i sd e g r a d a t i o n o u ra i mi st oi m p r o v et h eq u a l i t yo fr o l e b a s e 拈t oi m p r o v em i s u s e b a s e di d s s sd e t e c t i o np r e c i s i o n t h ep a p e rf o c u s e so n4p r o b l e m s ： t h ec l a s s i f i c a t i o na n dc o m p a r i s o no fi n t r u s i o nr e p r e s e n t a t i o n s ，t h em o d e lo fd e t e c t i o nl a n g u a g e ， t h ec o n f l i c td e t e c t i o no f i n t r u s i o nd e t e c t i o nr o l e s ，a n dt h ea p p r o a c ht oe v a l u a t em i s u s e b a s e di d s s f i r s t ，v a r i o u si n t r u s i o nr e p r e s e n t a t i o n sa r ec l a s s i f i e da n dc o m p a r e ds oa st oa n s w e rt h e q u e s t i o n “w h i c ho n eo fe x i s t i n gr e p r e s e n t a t i o n si sb e t t e rf o rd e s c r i b i n gi n t r u s i o ns i g a a t u r e s ? - o r c a nw ef i n da ni d e a lr e p r e s e n t a t i o nt e c h n o l o g yt of a c i l i t a t ee x t r a c t i n g , s h a r i n g , a n de x c h a n g i n g i n t r u s i o ns i g n a t u r e s ? ”t h i sp a p e ra n s w e r st h i sq u e s t i o nt h r o u g ht w ow o r k s t h ef i r s to n ei st o c l a s s i f yv a r i o u sr e p r e s e n t a t i o n si n t o6c l a s s e sc o m p o s e do fb e h a v i o rp a t t e r n , c a u s a lr e l a t i o n b e t w e e nb e h a v i o r s ，p r o p a g a t i n g , a i m l e s s ，s y s t e ms t a t ea n db e h a v i o rp a t t e r n ，s y s t e ms t a t ep a t t e r n t h es t a n d a r dt oc l a s s i f yi s o n t o l o g i c a lc o m m i t m e n tw h i c hi st h em o s te a s e n t i a ln a t u r eo f k n o w l e d g er e p r e s e n t a t i o n t h ec o m p a r i s o nt ot h e s eo n t o k g i c a lc o m m i t m e n t sr e v e a l st h a tt h e v i e w p o i n to fb e h a v i o rp a t t e mi sa d a p t a b l eb u ti n c o n v e n i e n tw h e na p p l i e dt oc o m p o u n da t t a c k s ， t l l j si m p l i e st h er e s e a r c hd i r e c t i o n t h e l lc l a s s i f i c a t i o np r o c e e d si nm i n o ra s p e c t si ns e c o n dw o r k t h i sp a p e ro n l yd o e ss of o rt h ec l a s so fb e h a v i o rp a t t e r n b e c a u s et h e r ea r cm a n ye l e m e n t si nt h i s c l a s s t h e s ee l e m e n t sa r ea l ln a m e di n t r u s i o nd e t e c t i o nl a n g u a g e s a ne v a l u a t i o nm e t h o di s p r o p o s e df o ri n t r u s i o nd e t e c t i o nl a n g u a g e sw i t ht h r e em e t r i c s ：e x p r e s s i b i l i t y ，r e p r e s e n t a t i o n a l s u c c i n c t n e s sa n dd e t e c t i o ni n t e n s i t y t h e r e f o r e ，v a r i o u si n t r u s i o nd e t e c t i o nl a n g u a g e se a r lb e a c c u r a t e l yc o m p a r e di nt h r e ea s p e c t sa tl e a s t a ni d e a ld e t e c t i o nl a n g u a g es h o u l db eb e s ti ne v e r y a s p e c t , b u ti ti sd i f f i c u l t t h ed e s i g n e ro fd e t e c t i o nl a n g u a g e sp o s s i b l yf o c u s e ss o m et h i n g sa n d 1 1 1 中英文摘要 i g n o r e so t h e r s ，b u tt h i sp a p e rd o e s n tc o n s i d e rh o wt ot r a d eo f f a c c o r d i n gt ot h es h o r t a g eo fc u r r e n ti n t r u s i o nd e t e c t i o nl a n g u a g e sw h e na p p l i e df o r m u l t i p h a s ei n t r u s i o n s ，t h i sp a p e ra p p l i e so b j e c to r i e n t e dm e t h o dt ot h ed e s i g no fd e t e c t i o n l a n g u a g e ，p r e s e n t sa l lo b j e c to r i e n t e dd e t e c t i o nl a n g u a g e ( o b d l ) o b d la l l o w sh u m a ne x p e r t st o f r e e l yu s ea b s t r a c t i o nw h e ne x t r a c t i n ga n dd e s c r i b i n gi n t r u s i o ns i g n a t u r e s f o rt h er e a s o n ，i ti s e a s i e rt od e r i v em o r eg e n e r a la n dm o r eu n d e r s t a n d a b l ei n t r u s i o ns i g n a t u r e sb yo b d lt h a nb y o t h e r s e n d o w i n gi d sw i t ht h ea b i l i t yt od e t e c ts o m eu n k n o w ni n t r u s i o n s 1 1 1 i sp a p e re x p l a i n st h e p r i m a r yp r i n c i p l e so fo b d li nd e t a i l ，p r o p o s e sa na b s t r a c ts y n t a xf o ro b d l a tl a s tt h ep a p e r p r e s e n t st h er e a l i z a t i o nm o d e lo fo b d lw h i c hi sak i n do fn o n - d e t e r m i n i s t i cf i n i t ea u t o m a t o n ( e n f a ) 。a n di n t r o d u e e sh o wt ot r a n $ f o 咖ad e c l a r a t i v eo b d ls i g n a t u r ei n t oa no p e r a t i o n a l e n f a b e c a u s es i g n a t u r e sa r em a i n l ye x t r a c t e da n dr e p r e s e n t e db yh u m a ne x p e r t sm a n u a l l y , e r r o r s a l ei n e v i t a b l eh o w e v e rc a r e f u l l yt h ee x p e r th a n d l e sa n dh o w e v e r s k i l l f u l l yt h ed e t e c t i o nl a n g u a g e s a l ed e s i g n e d 1 1 1 i sp a p e rp r o p o s e sac o n f l i c td e t e c t i o nm e t h o df o rs i n g l e - e v e n ts i g n a t h ef a c t t h a ti n p u te v e n tm a t c h e sm o r et h a no n er u l eo f i n t r u s i o nr u l eb a s ei ui d si sc o n s i d e r e da sc o n f l i c t , c o n f l i c tp o t e n t i a l l yc r e a t e sf a l s ep o s i t i v ea n df a l s en e g a t i v e a n dr e d u c e sd e t e c t i o ne f f i c i e n c y t h e a n a l y s i so fs n o r tr u l eb a s es h o w st h a tc o n f l i c t se x i s ti nr u l eb a s ea n dm o s to ft h e ma r ec r o s s c o n f l i c t s a l t h o u g hp e o p l ec a n tr e a s o no u tt h ec o n c l u s i o na b o u tc o r r e c t n e s sa n dc o m p l e t e n e s so f r u l eb a s eb yc o n f l i c td i c t i o ni t s e l f , i th e l p sh u m a ne x p e r t sc h e c k i n ga n da d j u s t i n gr u l e sa tl e a s t a tl a s tt h i sp a p e rs t u d i e sh o wt oe v a l u a t em i s u s e - b a s e di d s a c c o r d i n gt ot h ep r i n t i p l eo f m i s u s e - b a s e d1 d s ，t h i sp a p e ra n a l y z e st h es h o r t a g eo f e x i s t i n ge v a l u a t i o nm e t h o d sw h e na p p l i e d t om i s u s e - b a s e di d s ，s u g g e s t st oe v a l u a t er u l eb a s ea n di d si m p l e m e n t a t i o nr e s p e c t i v e l y , a n d p r e s e n t sa ne v a l u a t i o nm e t h o df o ri d si m p l e m e n t a t i o n t h i sp a p e rf o c u s e so nt h ed e f i n i t i o no f m e t r i c s a d d i t i o n a l l y , i ta l s oi n t r o d u c e sh o wt oc a l c u l a t et h ev a l u eo fm e t r i c s t h e n , t h ep a p e r p r e s e n t st h er e a l i z a t i o nm o d e lo fe v a l u a t i o ns y s t e m a n dap r o t o t y p ei si m p l e m e n t e d n l e e x p e r i m e n tc o m p a r i n gs n o r tw i t ht h e1 d sd e v e l o p e db ya u t h o r sl a bu s i n gt h ep r o t o t y p es h o w s t h a tt h i sn e wm e t h o dc a l le v a l u a t et h ec a p a c i t yb e t t e rf o rm i s u s e b a s 酣l d s s k e y w o r d ： i n t r u s i o n s i g n a t u r e ，i n t r u s i o nr e p r e s e n t a t i o n , m i s u s e - b a s e dd e t e c t i o n ，i n t r u s i o nd e t e c t i o n s y s t e m 东南大学博士学位论文 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得东南大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 己在论文中作了明确的说明并表示了谢意。 研究生签名：丕4 ：兰! 至h 期：圣翌兰j 3 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位 论文的复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人 电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文外，允许论 文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分内容。论文的公布( 包 括刊登) 授权东南大学研究生院办理。 1，l 研究生签名：拉幺! 呈导师签名：丝日期：州p 弓 第一章绪论 第一章绪论 本章主要介绍论文研究的背景和意义，简要说明入侵检测系统的有关概念并阐明入侵检 测的研究现状，明确论文的研究对象和主要研究内容，最后介绍论文的内容组织情况。 1 1 互联网的安全威胁 l o d i n 将计算机入侵定义为：试图摧毁资源完整性、机密性和可用性的一组行为”1 。他 同时提到：入侵是试图以与安全政策相背离的方式闯进或误用一个系统的人或代理的行为。 s u n d a r a m 使用“威胁”一词，表达了相近的含义：入侵威胁是蓄意未经授权地访问、 操作或使系统失效的潜在可能性。 从定义看，只要是违背安全政策的行为都可以称为入侵( 在本文中，“入侵”和“攻击” 作为同义词使用) 。下面是一些典型的入侵情形： 一个雇员偷看老板的雇员记录； 一个用户利用文件服务器程序的漏洞查看、修改其他用户的文件； 普通用户利用特权程序的漏洞获得超户权； 入侵者运行一个仿真的登录程序( 木马程序) 骗取其他用户的口令信息； 入侵者向攻击目标连续地发起建立t c p 连接的请求却不响应，从而耗尽了目标主机的连 接队列，导致目标不能服务于正常请求。 入侵的危害显而易见，如果不能有效地遏制入侵，久而久之必然危及人们对计算机系统 和网络的信任。入侵不是新问题，但是它真正得到重视，并且导致网络安全在技术上有比较 大的发展是在1 9 8 8 年爆发m o r r i s 蠕虫之后，该蠕虫导致了网络中6 0 0 0 台计算机被感染， 几十个重要的大学校园网、美国官方的研究机构和商业公司的网络受到影响，并被迫与 i n t e r n e t 断开，直接经济损失在5 0 0 万美元以上， 间接经济损失最高估计为3 亿美元。 根据计算机紧急事件响应小组( c e r t ) 报告p 1 ：2 0 0 0 年的安全事件数是2 1 7 5 6 件，2 0 0 1 年是5 2 6 8 5 件，2 0 0 2 年是8 2 0 9 4 件，2 0 0 3 年达到1 3 7 ，5 2 9 起，几乎逐年增加近一倍。按照 c e r t 的观点，互联网上的入侵已经是一件稀松平常的事情，使得安全事件数对评估入侵的 范甬和影响失去了意义，因此从2 0 0 4 年开始，c e r t 就不再报告安全事件数。可见，随着网 络的发展，尤其是i n t e r n e t 的发展，入侵问题变得非常特出，这是因为： 一切都在网上。为了管理的有效性，越来越多的企业将关键信息存放到网络上。一方面， 攻击带来的损失变得难以承受；另一方面，难免吸引来自世界各地的罪恶企图。 防火墙和v p n 不足以提供完全的安全保障。正确的防火墙政策大大减少了网络暴露的 可能性。但黑客总能找到方法突破网络边界，如基于e m a i l 的特洛伊木马、利用隧道越 过防火墙政策等。尤其是防火墙和v p n 无法限制企业内部的滥用。 漏洞数量大大增加。软件在设计、实现和配置的任何环节几乎都无法避免漏洞，特别是 对那些几百万甚至上千万源代码的程序，而且i n t e r n e t 中的应用数量巨大而不受约束。 下面是c e r t 报告的每年发现的漏洞数。 表1 - 1c e r t 发布的2 0 0 0 2 0 0 6 漏洞数 f 年份2 0 0 0 2 0 0 l 2 0 0 2 2 0 0 32 0 0 42 0 0 52 0 0 6 l 漏洞数 1 0 9 02 4 3 74 1 2 93 7 8 43 7 8 0 5 9 9 08 0 6 4 东南大学博士学位论文 黑客越来越技术化。黑客能够利用端口扫描器不断尝试目的主机的端口，建立活动端口 列表，现代的端口扫描器能够识别操作系统类型以及应用软件的版本从而了解目标的漏 洞情况。几年前爆发的s a d m i n d l l s 蠕虫、c o d e r e d 蠕虫、n i i i l d a 蠕虫、近年的震荡波 蠕虫、魔鬼波蠕虫等攻击综合使用了多种网络入侵技术，是一种大规模、分布式的攻击 方式。具有自动繁殖和传播的特性。这些蠕虫一旦感染了网络中的某台主机，就会迅速 传染与其相连的其它主机，使得大量主机瘫痪；还会造成网络信道的堵塞，使合法用户 无法上网；一些蠕虫还会利用网络基础设施的漏洞进行攻击，使其瘫痪或为非法用户所 控制。 下面是一些知名的入侵案例； 2 0 0 0 年2 月，美国的y a h o o 、c n n 、a m a z o n 等多家著名商业网站遭到历史上最大规模的 分布式拒绝服务攻击( d i s t r i b u t e dd e n i a lo fs e r v i c e 。d d o s ) 。黑客在多台计算机上集中 使用大量的电子请求来堵塞服务器，使这些网站一度陷入瘫痪。据统计，这次攻击事件所造 成的经济损失在l o 亿美元以上。 2 0 0 2 年l o 月，i n t e r n e t 的1 3 台根域名服务器受到分布式拒绝服务攻击，有9 台因此 而一度中止服务。 2 0 0 3 年1 月2 5 日，互联网遭遇了蠕虫王攻击事件。蠕虫王病毒体短小，却具有极强的 传播性，它利用m i c r o s o f ts q ls e r v e r 的漏洞进行传播。由于m i c r o s o f ts o ls e r v e r 在世 界范围内都很普及，囡此此次病毒攻击导致全球范围内的互联网瘫痪，成为继红色代码、尼 姆达，求职信病毒后又一起极速病毒传播案例。 在我国，网络信息安全形势也非常严峻。 2 0 0 1 年2 月，北京电信发展公司、北京移动、北京寻呼、中国地图出版社、通港网络 等4 0 余家网站同时被黑客攻击，并一度无法正常运作。 2 0 0 3 年1 月的s o l 杀手蠕虫事件中，中国有西万多台数据库服务器受到影响，某骨干 网的国际出入口曾基本瘫痪。3 月份出现的红色代码蠕虫f 变种在中国互联网扩散达十多万 次。8 月份的冲击波蠕虫则感染了近两百万台主机。 2 0 0 4 年5 1 黄金周期间，互联网爆发震荡波( w o r m s a s s e r ) 病毒，中招后的系统开启1 2 8 个线程攻击其他网上用户，造成机器运行缓慢、网络堵塞，并让系统不停地进行倒计时重启。 从4 月3 0 日起剑5 月9 日晨7 点，国家计算机网络应急技术处理协调中心c n c e r t c c 抽样 检测到该蠕虫在中国传播累计达2 4 7 万多次，共造成8 4 万台主机感染。 2 0 0 6 年8 月1 4 日、1 7 日，c n c e r t c c 两次发布公告，宣布m o e b o t 蠕虫( 亦称w a r g b o t 、 魔鬼波、魔波蠕虫) 于8 月1 3 日在我国爆发。截止到8 月1 8 日晚，根据c n c e r t c c 通过网 络安全监测平台获得的最新数据，全球有超过1 0 5 万台主机被感染，中国内地被感染主机超 过1 2 万台，中国全境被感染主机超过1 7 万台，成为自2 0 0 4 年的震荡波蠕虫之后发生的最 大起蠕虫攻击事件。 事实上，一项研究表明：我国正成为网络攻击最大的受害国之一。2 0 0 6 年下半年，全 球平均每天有约6 4 万台计算机受到恶意程序影响，其中有2 6 在中国，这一比例高于其 他任何国家。根据c n c e r t c c 发布的“2 0 0 6 年网络安全工作报告”】，2 0 0 6 年仅c n c e r t c c 每天所捕获的新的漏洞攻击型恶意代码数量就达到9 6 个，平均每天捕获次数高达3 0 6 9 次。 这些安全威胁主要分布在以下方面： 在木马方面，2 0 0 6 年c n c e r t c c 抽样监测发现我国大陆地区约4 5 万个i p 地址的主机 被植入木马，与去年同期相比增长倍。2 0 0 7 年c n c e r t c c 加强了对木马活动的监测， 发现0 7 年一季度我国大陆5 2 万余个i p 地址的计算机被境外4 万多个地址的主机用木 马进行秘密控制。 2 第一章绪论 在僵尸网络方面，0 6 年c n c e 盯c c 抽样监测发现我国大陆地区约有1 千多万个i p 地址 的主机被植入僵尸程序，这些计算机被来自境外的约1 6 万个i p 所控制，和木马的情 况一样，控制方主要来自美国、韩国和中国台湾。 在网站页面被篡改方面，0 6 年c n c e r t c c 监测到中国大陆被篡改网站总数达到2 4 4 7 7 个，与去年同期相比增长接近一倍，其中g o v 网站被篡改数量为3 8 3 1 个，占整个大陆 地区被篡改网站的1 6 5 。 根据c n c e r t c c 预测，2 0 0 7 年，针对终端系统漏洞的零日攻击和利用网络攻击获取经 济利益将成为趋势。其中以僵尸网络和间谍软件为代表的恶意代码、以敲诈勒索为目的的分 布式拒绝服务攻击、以网络仿冒和网址嫁接以及网络劫持等方式进行的在线身份窃取类事件 将会继续增加，针对p 2 p 、及时通信等新型网络应用的安全攻击将会迅速发展，网站被篡改 事件将持续在高位徘徊，这些问题将导致网络安全事件数量整体仍呈上升趋势。 1 2 入侵检测 常用的安全保障手段包括防火墙和入侵检测系统( i n t r u s i o n d e t e c t i o n s y s t e m ，i d s ) 。 防火墙通常布置在内网和外网的边界，它决定哪些内部服务可以被外部访问；外界的哪 些人可以访问内部的哪些服务；以及内部人员可以访问哪些外部服务。由于所有来自和去往 i n t e r n e t 的信息都必须经过防火墙接受检查，所以防火墙可以有效地对安全边界内的系统 提供保障。目前的防火墙有明显的局限性：主要提供对网络边缘的防卫，难以防范网络内 部攻击，而据权威部门统计，网络上的攻击行为有3 0 以上是内部攻击；o 一般只能实现 粗粒度的访问控制；0 自身易出现安全漏洞。 入侵检测是一种积极主动的安全防护技术，它提供对内部攻击、外部攻击和误操作的实 时监控，能够在系统被危害之前拦截和响应入侵，因此具有防火墙所不能代替的作用。一个 现实的安全保障体系由入侵防范、入侵检测及响应组成，入侵防范试图通过访问控制技术将 入侵与目标隔离：入侵检测则对目标进行监测以发现越过安全边界的恶意行为；响应则通过 进一步收集信息以准确地了解系统中发生的情况，阻断并修复入侵。入侵检测是其中重要一 环。 按照e r i em a i w a l d 的定义p j ，入侵检测是对计算机网络和系统中的行为进行监测以发现 违背安全政策的行为的机制或实践活动。入侵检测系统是进行入侵检测的软件和硬件的组 合。 1 2 1入侵检测系统的通用模型 无论采用何种入侵检测方式，都要对原始数据源进行分析，并且生成出检测的结果，这 使得入侵检测系统可以采用相对一致的逻辑模块加以表示。这些逻辑模块在入侵检测系统中 被称为组件。i e t f 的i d w g 工作组将入侵检测系统的组件关系定义如图卜1 1 6 j 。 图中的逻辑成分包括： 数据源( d a t as o u r c e ) 数据源中所包含的就是原始数据( r a wd a t a ) ，是未经过加工的、用于发现非授权和意外 活动的原始信息。通常包括主机数据和网络数据，主机数据指来自主机上的各种审计记录和 日志文件，一般较容易获取；网络数据一般指网络上传输的数据包，通常采用网络监听的方 式得到。 东南大学博士学位论文 图卜1i e t f i d w 6 的i d s 总体框架模型 感应器采集器( s e n s o r ) 用于从数据源( d a t as o u r c e ) 收集数据的组件。数据源不同，感应器的工作方式也不同。 例如，对基于网络的入侵检测系统，感应器一般是从信道获取网络报文的设备；但是如果 i d s 建立在日志分析的基础上，感应器则表现为日志翻译工具或日志收集工具；如果i d s 基 于系统调用，那么感应器就是截取系统调用序列的程序。 分析器( a n a l y z e r ) 用于分析感应器( s e n s o r ) 收集的数据的组件。依据使用算法不同，分析器有基于滥用检 测的分析器和基于异常检测的分析器的区别。 管理器( m a n a g e r ) 用于帮助安全管理员进行系统管理的组件，典型的管理功能包括感应器配置、分析器配 置、事件查看管理、数据综合和报告等功能。 操作者( o p e r a t o r ) 基本的入侵检测系统管理员。操作者通过查看入侵检测系统的输出，产生或建议进一步 的行动。 管理员( a d m i n i s t r a t o r ) 负责系统日常维护和安全管理的人，该人可能是也可能不是查看入侵检测系统输出的 人。在某些组织中管理员是一个网络和系统管理小组，在另一些组织中，管理员是一个独立 的职位。 在这些组件之闻传送的是信息流或数据流，这些信息或数据包括： 活动( a c t i v i t y ) 活动就是数据源中被认为是独立的、被感兴趣的现象。i i ) w g 对活动的解释抽象晦涩， 也没有得到广泛引用。本论文使用审计记录( a u d i tr e c o r d ) 术语引用数据源的基本单元。依 赖于数据源的类型，一个审计记录可能是一个网络报文、一个用户命令或个系统调用。 事件( e v e n t ) 感应器从数据源中分析出来