（计算机软件与理论专业论文）保护web服务器的入侵检测技术研究.pdf

摘要 摘要 随着计算机网络的重要性日益增加，网络安全越来越受到人们的重视。 w e b 站点目益增加，w e b 的安全隐患也愈加显著。入侵检测系统作为必要 的防范措施和一种主动的信息安全保障措施，有效地弥补了访问控制、防 火墙和身份认证等传统安全防护技术的缺陷，能有效的检测到入侵企图和 入侵行为，而目前还没有针对保护w e b 服务器的入侵检测系统。本课题针 对保护w e b 服务器的入侵检测技术进行了研究，具有迫切的现实意义。 首先，应用基于规范的入侵检测技术来检测针对w 曲服务器漏洞的攻 击，并从两方面对该技术进行扩展，使其更适合保护w e b 服务器，弥补了 防火墙和传统的基于异常和误用检测技术的缺陷，具有准确性和实时性的 特点，满足保护w 曲服务器的要求。 其次，应用误用检测技术来检测脚本类型的攻击，采用决策树技术对 传统的规则分类方法进行了改进，显著提高了检测速度，实现了保护w e b 服务器的实时性特点。 再次，结合以上两种检测技术设计了保护w e b 服务器的入侵检测系统 模型w i d s ，并分别实现了w i d s 模型的u r l 检测引擎、安全规范检测引 擎、d o s 检测引擎，完成了系统的实验原型。 最后，本文采用网络实时在线数据以及d a r p a 的离线数据中针对w e b 的攻击数据进行了实验，结果表明：该系统不仅能准确检测到已知攻击还 能检测未知攻击，并在检测速度上有显著提高，符合保护w e b 服务器的要 求。 关键词入侵检测；基于规范的入侵检测；w e b 服务器；决策树；特权程序 系统调用 燕山大学工学硕士学位论文 a b s t r a c t p e o p l eb e g i nt op a yi n c r e a s i n g a t t e n t i o nt o c o m p u t e rn e t w o r ks e c u r i t y b e c a u s ec o m p u t e rn e t w o r k p l a y sm o r ea n dm o r ei m p o r t a n tr o l e si no u rs o c i e t ) w e bs e r v e r sa r es i g n i f i c a n t l y i m p r o v e di nq u a n t i t y a sw e l la st h e i rh i d d e n t r o u b l e s i ti st h u sc r i t i c a lt om a k ec o m p u t e rs y s t e mh i g h l yr o b u s ta n dr e l i a b l e i n t r u s i o nd e t e c t i o na c t sa st h ee f f e c t i v ec o m p l e m e n tt ot r a d i t i o n a lp r o t e c t i o n t e c h n i q u e ss u c h a sa c c e s sc o n t r o l ，f t r e w a l l ，a n di d e n t i t ya u t h e n t i c a t i o n i n t r u s i o n d e t e c t i o ni sc o n s i d e r e dt oh ea ne f f e c t i v et e c h n i q u et od e t e c ta t t a c k st h a tv i o l a t e t h es e c u r i t yp o l i c yo f s y s t e m s i tc a nd e t e c tt h es u c c e s s f u lb r e a c h e so fs e c u r i t y a sw e l la sm o n i t o ra t t e m p t st ob r e a c hs e c u r i t y t h e r ea r en oe f f e c t i v ei d s st o p r o t e c t w e bs e r v e r s b y n o w i t sc r i t i c a lt or e s e a r c hi n t r u s i o nd e t e c t i o n a p p r o a c h e si np r o t e c t i n gw e b s e r v e r s f i r s t l y i no r d e rt od e t e c tw e b - b a s e da t t a c k s ，s p e c i f i c a t i o n - b a s e di n t r u s i o n d e t e c t i o na p p r o a c hw a su s e dt od e t e c tv u l n e r a b i l i t i e sb a s e do nw e bs e r v e r s ， w h e r em a n u a l l ys p e c i f i e d p r o g r a mb e h a v i o r a ls p e c i f i c a t i o n s w e r eu s e da sa b a s i st od e t e c ta t t a c k s s p e c i f i c a t i o n - b a s e di n t r u s i o nd e t e c t i o nw e r ed e v e l o p e d i nt w oa s p e c t s ：f i r s t l y ，t h es p e c i f yo b j e c t sw e r ee x t e n df r o m p r i v i l e g e dp r o g r a m s t op r o t o c o l ；s e c o n d l y ，m i s u s es p e c i f i c a t i o n sw e r ea d d e dt oc a p t u r ef e a t u r e so f s p e c i f i ca t t a c k s s e c o n d l y , i no r d e rt op r o t e c t eu r la t t a c k s ，t h ea p p r o a c hc o m b i n e dt h e s t r e n g t h so f m i s u s ed e t e c t i o n t h et r a d i t i o n a ls i g n a t u r e - b a s e dm a t c h i n gm e t h o d w a si m p r o v e db yu s i n gd e c i s i o nt r e et e c h n i q u e ，t h es p e e do fd e t e c t i o np r o c e s s h a sb e e n s i g n i f i c a n t l yi m p r o v e d t h i r d l y , i nt h i sp a p e raw e b - b a s e di n t r u s i o nd e t e c t i o ns y s y t e mm o d e lw a s b u i l tt o a n a l y z e a n d p r o v e t h e v a l i d i t y o fo u rm e t h o d u r l d e t e c t o r , s p e c i f i c a t i o nd e t e c t o r , d o s d e t e c t o rw e r e i m p l e m e n t e d f i n a l l y ，t h ee x p e r i m e n t s i n c l u d e dt h ed a r p a l i n c o l nl a b so f f i i n e a b s t r a c t e v a l u a t i o nd a t a ，a sw e l la se x p e r i m e n t sc o n d u c t e du s i n go n l i n ew e b - b a s e da t t a c k d a t a t h e s ee x p e r i m e n t ss h o wt h a ta ne f f e c t i v ew e b - b a s e di d sc a i ld e t e c tk n o w n a sw e l la su n k n o w na t t a c k s t h e ya l s os h o wt h a tt h e s p e c i f i c a t i o n - b a s e d t e c h n i q u e sc a l l b ed e v e l o p e dw i t hm o d e s te f f o r t s t h es p e e do fd e t e c t i o nh a s b e e n s i g n i f i c a n t l yi m p r o v e d k e y w o r d si n t r u s i o nd e t e c t i o n ；s p e c i f i c a t i o n - b a s e d i n t r u s i o nd e t e c t i o n ；w e b s e r v e r ；d e c i s i o nt r e e s ；p r i v i l e g e dp r o g r a m ；s y s t e mc a l l i i i 第1 章绪论 1 1 引言 第1 章绪论 随着i n t e r n e t 规模不断扩大，i m e m e t 入网的主机数在飞速增长，截至 2 0 0 3 年1 月，i n t e r n e t 入网的主机数已经达到近1 7 2 亿台【l 】。社会对网络信 息系统的依赖也日益增强，网络信息系统在政治、军事、金融、商业、交 通、电信、文教等方面发挥越来越大的作用。各种网络系统以及有关软件 硬件系统的缺陷、各种系统管理方面的漏洞，带来了许多安全的隐患，出 现了许多严重的网络安全问题。目前，全世界每年由于信息系统的脆弱性 而导致的经济损失在逐年上升，安全问题也日益严重。根据美国设立在卡 内基梅隆大学的计算机紧急反应小组协调中, l ：, ( c o m p u t e re m e r g e n c y r e s p o n s et e a m c o o r d i n a t i o nc e n t e r ，c e r t c c ) 的统计数据表明，近年来 该机构所收到的安全事故逐年增加，近几年尤其显著：1 9 9 9 年事件数约为 1 万件，2 0 0 0 年为2 1 万件，2 0 0 1 年为5 3 万件，2 0 0 2 年达n 8 2 万件 2 1 。我国 国家计算机网络应急技术处理协调中心( n a t i o n a lc o m p e e rn e t w o r k e m e r g e n c yr e s p o n s e t e c h n i c a lt e a m c o o r d i n a t i o n c e n t e ro fc h i n a ， c n c e r t c c ) 2 0 0 4 年上半年网络安全事件报告见表1 1 所示。 表1 1c n c e r t c c 网络安全事件报告 t a b l e1 - 1c n c e r t c cn e t w o r k s e c u r i t ye v e n t sr e p o r t 月份攻击总数月份攻击总数 11 2 4 1 4 1 0 4 3 21 8 6 951 2 9 5 37 0 2 56j 1 5 7 总计1 3 6 3 0 接受来自国内外的网络安全事件报告总计1 3 6 3 0 件。与2 0 0 3 年上半年 4 6 7 5 件相比上升了将近3 倍，b l 2 0 0 3 年下半年8 6 3 9 件上升了近5 8 。安全 事件报告数量持续大幅增长【3 】。 燕山大学工学硕士学位论文 越来越多的公司、政府部门和许多个人都使用w e b 站点作为信息发 布和资源共享的平台，w 曲站点通常是一个公司或机构的发布板，常常和 其它计算机联系在一起，一旦w e b 服务器被攻破，可能殃及其它。w e b 应用日趋广泛，安全性也日益突出，面临的网络安全问题日益严峻，对入 侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的 安全已经成为刻不容缓的重要课题，尤其是保护w e b 服务器的安全问题 更加紧迫。 1 2w e b 服务器的安全性 w w w ( w o r l dw i d ew e b ) 是用于访问遍布于i n t e r n e t 上的相互链接在 一起的超文本的一种结构框架，是1 9 8 9 年以欧洲核子物理研究所的t i m b e r n e r s l e e 提案作为开始，于1 9 9 3 年构筑的，当时的w w w 比目前的简 单很多，可以使用美国国家超级计算应用中心m a t i o n a lc e n t e rf o r s u p e r c o m p u t i n ga p p l i c a t i o n ，n c s a ) 的浏览器m o s a i c ，它的出现是今日 i n t e r n e t 日益繁荣的技术基础【4 。 由于w w w 的开放性、灵活性以及跨平台性，使它得到了空前的应 用，w e b 服务器的数量也在迅速增长。据统计，仅a p a r c h e 服务器就由 1 9 9 6 年开始发展至2 0 0 3 年1 0 月已接近2 9 0 0 万台 5 】。 随着互联网的迅速普及和相关技术的不断发展，特别是近几年来，伴 随着w e b 站点数量的增加，以基于w e b 的方式在i n t e r n e t 上实现各种网 上作业，如电子商务、电子政务等已成为时代的潮流，体现了i n t e r n e t 未 来发展的方向和动力。 由于利用i n t e r n e t 从事商务活动，就意味着拥有廉价、便利、迅速和 庞大客户群，因此越来越多的商业机构依赖w e b 应用。w e b 应用是一个 运行于i n t e r n e t 和t c p i pi n t r a n e t 之上的基于c l i e n t s e r v e r 应用，具有双 向性。实现w e b 浏览、配置管理、内容发布等功能的软件异常复杂，其 中隐藏许多潜在的安全隐患，用户往往是偶然的和未经训练的，对安全风 险没有意识，更没有足够的防范工具和知识，所以w e b 服务器易于遭受 来自i n t e m e t 的攻击。根据美国系统网络安全协会发布的2 0 0 4 年度2 0 大 第1 章绪论 互联网安全漏洞数据显示，这些互联网安全漏洞分别由1 0 项最重大的 w i n d o w s 安全漏洞和1 0 项最重大的u n i x 及l i n u x 安全漏洞构成。w e b 服 务器和服务分别占据w i n d o w s 安全漏洞和u n i x 及l i n u x 安全漏洞的第一 和第二的位置垆j 。 w e b 的安全性涉及所有计算机与网络的安全性内容，同时还具有新的 挑战t 7 1 。w e b 应用的系统结构图如图1 1 所示。 图1 - 1w e b 应用的系统结构图 f i g 1 - 1s t r u c t u r eo f w e ba p p l i c a t i o n 由于w e b 服务器必须对外提供服务、具有固定并且公开的i p 地址和 域名，而且w e b 服务器一般放置在非军事区( d e m i l i t a r i z e dz o n e ，d m z ) ， 所以最容易受到攻击。攻击者发动攻击的技术要求有时并不高，甚至可以 通过简单地在u r l ( u n i f o r mr e s o u r c el o c a t o r ) 中直接输入数据，进行 b u f f e ro v e r f l o w s c o d ei n j e c t i o n , w o r ma t t a c k s 等攻击。对w e b 服务器进行 保护已成为迫在眉睫的问题。 w e b 服务的安全问题可分为两部分：一部分是传输中的安全问题，包 括数据防窃听和数据完整性等；另一部分是w e b 服务器端和客户端本身 3 燕山大学工学硕士学位论文 的安全性问题，包括应用层服务器漏洞和通常的脚本类型的攻击。前者可 以通过各种安全协议来加强其安全性；而后者，就需要通过防火墙和入侵 检钡, l j ( i n t r u s i o nd e t e c t i o n ) 技术来进行防范。 一般来说，防火墙的抗攻击性很强，可是它也不是不可攻破的。其实， 防火墙也是由软件和硬件组成的，在设计和实现上都不可避免地存在着缺 陷。对防火墙的探测攻击技术有：f i r e w a l k i n g 技术、h p i n g 。绕过防火墙 认证的攻击手法有：地址欺骗和t c p 序号协同攻击、i p 分片攻击、t c p i p 会话劫持、协议隧道攻击、干扰攻击、利用f t p p a s v 绕过防火墙认证的 攻击。因此单单依靠防火墙作为对w e b 服务器的保护是不充分的，需要 通过入侵检测技术来对其进行防范。 1 3 入侵检测的发展现状 入侵检测的核心问题在于如何对安全审计数据进行分析，以检测其中 是否包含入侵或异常行为的迹象。 入侵检测的研究最早可追溯到1 9 8 0 年4 月j a m e sp a n d e r s o n 的“计算 机安全威胁监控与监视”( c o m p m e rs e c u r i t y t h r e a t m o n i t o r i n g a n d s u r v e i l l a n c e ) 技术报告，在报告中他将计算机系统威胁分为外部渗透、内 部渗透和不法行为，并阐明精简审计的目标在于从安全审计跟踪数据中消 除冗余或无关的记录，提出了利用审计跟踪数据监视入侵活动的思想。这 份报告被公认为是入侵检测的开创性工作。 从1 9 8 4 年到1 9 8 6 年期间，美国乔治敦大学的d o r o t h yd e n n i n g 和 s r i c s l ( s t a n f o r dr e s e a r c hi n s t f f m e c o m p u t e rs c i e n c el a b o r a t o r y ) 的p e t e r n e u m a n n ，研究出i d e s ( i n t r u s i o n d e t e c t i o ne x p e r ts y s t e m ) ，它是第一个实 时入侵检测系统模型【引。从d e n n i n g 和n e u m a n n 提出具有划时代意义的 i d e s 系统至今，入侵检测系统已经经历了近2 0 年的发展历程，目前国外 著名的入侵检测研究机构包括s r i c s l ，p u r d u eu n i v e r s i t y 的c o a s t ( c o m p u t e r o p e r a t i o n s a u d i t a n ds e c u r i t y t e c h n o l o g y ) 研究小组，美国国家能 源部的l a w r e n c el i v e r m o r en a t i o n a ll a b o r a t o r y ，u cd a v i s 的c o m p n t e r s e c u r i t yl a b 等。入侵检测的研究，从早期的审计跟踪数据分析，到实时 4 第1 章绪论 入侵检测系统，到目前应用于大型网络的分布式检测系统，基本上己发展 成为具有一定规模和相应理论的研究领域。 d e n n i n g 提出的模型为构建入侵检测系统提供了一个通用的框架，对 入侵检测的发展起到至关重要的作用。图1 2 是i d e s 框架图。 图1 - 2i d e s 框架 f i g 1 - 2i d e s f o r m w o r k 9 0 年代初，加卅l 大学戴维斯分校的l tt h e b e r l e i n 等人开发出了 n s m ( n e t w o r ks e c u r i t ym o n i t o r ) ，该系统第一次直接将网络数据流作为审 计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种 主机【9 1 。入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于 网络的入侵检测系统和基于主机的入侵检测系统。 19 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d 建议使用自治代理( a u t o n o m o u s a g e u t s ) 以提高入侵检测系统的可伸缩性、可维护性、效率和容错性 1 0 】。 1 9 9 6 年加州大学戴维斯分校的研究人员提出基于图的入侵检测系统 ( g r a p h - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ，g r i d s ) ，该系统是针对网络协同 攻击所设计的入侵检测系统，使得用户对大规模自动或协同攻击的检测更 为便利1 1 “。 最早试图把基于主机和网络监视的方法集成在一起的分布式入侵检 图1 3d i d s 框架 f i g 1 - 3d i d s 丘a m e w o r k 1 9 9 8 年r o s sa n d e r s o n 和a b i d ak h a t t a k 将信息检索技术引进到入侵检 测技术中。w f o r r e s t 等将系统调用短序列分析技术运用到分布式入侵 检测领域，该研究对后续的数据挖掘、免疫方法提供了基础 1 3 1 4 】。 入侵检测系统按照检测方法来分类，传统上可分为异常检钡l j ( a n o m a l y d e t e c t i o n ) 、误用检钡, 1 ( m i s u s ed e t e c t i o n ) 。 基于误用检测技术常用的有简单模式匹配 1 5 , 1 6 】、专家系统 1 7 , 1 8 、状态 转换分析【1 9 、着色p e t r i 髓j ( c o l o r e dp e u in e t ) t 2 0 1 、n c o d e z 侵描述语言检测 模型【2 l 】等。 基于异常检测技术常用的有量化分析方法2 2 1 、统计分析方法 2 3 , 2 4 、 基于特征选择方法口5 1 、遗传方法等。 自2 0 世纪9 0 年代以来，研究人员提出了许多新的检测技术，从不同角 度来看待入侵检测的基本问题，可分别应用在异常检测和误用检测技术领 域。如n e wm e x i c o 大学的学者s t e v e na n d r e wh o f m e y r 提出计算机安全的 自免疫系统将免疫学应用于入侵检测技术 2 7 , 2 8 ，另外还有基于伪装的入 侵检测口9 1 、基于a g e i l t 的入侵检测m 32 1 、基于神经网络检测3 3 , 3 4 、基于机 器学习检测 3 ”、基于数据挖掘的检测 3 6 】等。 6 第1 章绪论 1 4 保护w e b 服务器的入侵检测技术的不足 为了检测针对w 曲服务器的攻击，目前多数的入侵检测系统都使用 误用检测技术，它必须维护一个庞大的特征库，如著名的入侵检测系统 s n o r t 的特征库中就有8 6 8 个用来检测基于w e b 的攻击，占总特征1 9 3 1 个的将近一半【3 7 1 。随着每天报告大量的系统和应用程序漏洞，难以做到 特征库的及时更新，因此基于误用检测技术的入侵检测系统不仅只能检测 己知攻击，还存在一定的漏警。 基于异常检测技术的入侵检测系统，通过大量历史数据对系统进行训 练，建立正常活动的特征文件。虽然阈值难于准确选择、误检率很高、不 能自动响应，但它能检测出以前未出现过的攻击 3 8 , 3 9 】。目前还没有有效的 基于异常入侵检测系统是针对保护w e b 服务器的。 入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、 外部攻击和误操作的实时保护，能够在网络系统受到危害之前拦截和响应 入侵，因此入侵检测已经成为不可缺少的网络安全技术。但是随着计算机 技术和网络攻击技术的发展，入侵检测技术的研究，尤其是在保护w 曲服 务器这样的应用层入侵检测技术的研究上仍将任重而道远。 1 5 本文研究的主要内容 w e b 应用日趋广泛，安全性也日益突出，本课题首先提出应用基于规 范的入侵检测技术来保护w e b 服务器的方法，用以检测针对应用层服务器 漏洞的攻击，并对该技术进行了扩展。然后采用误用检测技术来检测通常 的脚本类型攻击，并使用决策树技术对现有规则分类方法进行了改进。最 后建立了保护w e b 服务器的入侵检测系统模型，采用美国国防部高级研究 计划署( d e f e n c ea d v a n c e dr e s e r c hp r o j e c ta g e n c y ，d a r p a ) 攻击数据【4 o 】和 实时在线针对w e b 的攻击数据进行实验，得出检测结果。 本文共分六个部分： ( 1 ) 第1 章首先分析了课题的研究意义和研究背景，然后对国内外的研 究现状作了总体概述，指出了本文研究的主要内容和结构。 燕山大学工学硕士学位论文 ( 2 ) 第2 章详细分析了基于规范的入侵检测技术，给出了该技术的发展 趋势。 f 3 ) 第3 章在分析现有保护w e b 务器的入侵检测系统不足的基础上， 提出了应用基于规范的检测技术来检测针对w e b 务器漏洞的攻击。该章 首先分析了针对w e b 服务器的攻击类型，指出基于规范的检测技术应用在 保护w e b 服务器上的不足，进而论述了对该技术从两方面进行的扩展。 f 4 1 第4 章在第3 章的基础上，阐述了应用u r l 过滤技术来检测通常的 脚本类型的攻击，详细阐述了应用决策树技术对现有规则分类方法的改 进。 ( 5 ) 第5 章给出保护w e b 服务器的入侵检测系统模型。将主要应用基于 规范的检测技术来保护w e b 服务器的思想和改进u r l 过滤技术的思想加 以实现，详细阐述了各模块的功能。 ( 6 ) 第6 章通过实验对本文提出的技术进行验证。 f 7 1 结论。 第2 章基于规范的入侵检测技术分析 第2 章基于规范的入侵检测技术分析 误用检测只能检测已知攻击，异常检测虽然能检测未知攻击，但该方 法一直存在误警率高的问题。基于规范的入侵检测技术是介于两者之间的 一种入侵检测技术，能够克服二者的不足，本章将对此技术进行阐述。 2 1 基于规范的入侵检测技术 入侵检测通常分为异常检测和误用检测【4 l ，4 ”。误用检测模型是收集非 正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库 中的记录相匹配时，系统就认为这种行为是入侵。由于误用检测是通过将 收集到的信息与已知的攻击签名模式库进行比较，从而发现违背安全策略 的行为的，该方法类似于病毒检测系统，其检测的准确率和效率都比较高。 但由于其检测机理是对己知的入侵方法进行模式提取，对于未知的入侵方 法由于缺乏知识就不能进行有效的检测，所以不能检测未知的入侵行为， 也就是说漏警率比较高。对于不同的操作系统又由于其实现机制不同，对 其攻击的方法也不尽相同，很难定义出统一的模式库，所以与系统的相关 性很强，另外由于己知知识的局限，难以检测出内部人员的入侵行为，如 合法用户的泄漏。 异常检测模型首先总结正常操作应该具有的特征( 用户轮廓) ，当用户 活动与正常行为有重大偏离时即被认为是入侵。异常检测系统的效率取决 于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定 义，因此能有效检测未知的入侵，但是异常检测的假设是入侵者活动异常 于正常主体的活动( 如用户行为和系统资源使用情况等) ，建立正常活动的 “活动模式”，当主体的活动违反其统计规律时，认为可能是“入侵”行 为。例如：一个用户只在他工作时间使用计算机，一旦该用户在深夜使用 计算机则视为异常。这种方法虽然能检测未知攻击，但较难建立合理的“活 动模式”，有时异常并不意味着入侵，所以该方法一直存在误警率高的问 题f 4 3 1 。此外，确定“正常”行为特征轮廓和选取特征量都很困难，又由于 9 燕山大学工学硕士学位论文 需要实时地建立和更新系统或用户的特征轮廓，所以所需的计算量很大， 异常检测会消耗更多的系统资源。 由于人的行为的不确定性，所以很难准确描述攻击行为和正常行为， 也很难克服异常和误用的缺陷。而程序的行为则可以准确的描述，因此为 了克服异常和误用的不足，c a l v i nk o 在1 9 9 6 年提出了基于规范的入侵检 测技术，4 ”，这种技术首先定义与安全相关的程序的正常行为规范，背离 正常行为规范的程序则视为异常，在u n i x l i n u x 环境下，与安全相关的 程序指的就是特权程序。特权程序是指能够以r o o t 权限执行的程序，如 s e n d m a i l 年i j s y s l o g d 等。特权程序的主要行为包括：对系统文件的访问，相 应的系统调用的次序等。 基于程序行为来检测入侵与基于用户行为的不同仅仅在于建立的轮 廓是程序行为轮廓而不是用户行为轮廓。 系统被入侵最终是黑客通过调用操作系统的系统调用来达到的，尤其 是对文件的操作和网络的连接都是通过系统调用进行管理的，所以可以通 过系统调用来描述与安全相关的程序行为规范。系统调用发生在用户进程 通过特殊函数请求内核提供服务的时候，此时，用户进程被暂时挂起，内 核检验用户请求，尝试执行，并把结果反馈给用户进程，接着用户进程重 新启动。基于规范的入侵检测技术就是对特权程序行为进行监测，通过对 系统调用及其参数的描述，对特权程序的正常行为进行规范，检查当前主 体行为是否背离其安全规范，从而发现入侵。所以，该技术在检测到攻击 的同时，能及时做出响应，避免或减少损失。 基于规范的入侵检测技术是介于异常检测技术和误用检测技术之间 的入侵检测技术，由手工定义与安全相关的程序( 如特权程序) 的正常行为 的安全规范，并监视正在执行的程序，不需要维护大量的特征库，也无需 历史数据的训练，并且能检测已知和未知攻击，具有低误警率、漏警率的 优点。 基于规范的入侵检测技术中每一个特权程序的安全规范是根据程序 的功能和系统的安全策略编写的，记录一个或多个程序执行的有效操作。 由于程序在系统上的执行实际上是执行多个分布进程，因此基于规范 1 0 第2 章基于规范的入侵检测技术分析 的入侵检测技术的入侵检测系统监视的主体就是单个或一组分布进程、一 个或一组用户。与安全相关的程序( 特权程序) 行为主要包括： f 1 ) 系统文件的访问控制； 化) 系统调用的次序； ( 3 ) 并行程序进程的同步和多程序对共享数据的访问； ( 4 ) 竞争条件。 下面用一个实例对该技术加以说明： u n i x 中特权程序r d i s t ( r e m o t ef i l e d i s t r i b u t i o np r o g r a m ) 存在竞争条件 漏洞，能使黑客获得r o o t 权限，r d i s t 的作用是维护多个主机上的相同文 件副本。r d i s t 命令保存文件的所有者、组、模式和修改时间，也可能更 新正在运行的程序。当一个远程用户调用r d i s t 更新文件时，r d i s t 使用客 户一服务器方式进行文件的更新，r d i s t 调用服务器端程序r d i s t d 建立连接， r d i s t 是一个s e t u i d 程序，当r d i s t 更新文件时，r d i s t d 使用系统调用c h o w n 和c h m o d 处理符号连接的问题，也就是说存在能使非特权用户改变系统 文件权限的漏洞。假设用户u s e r l 更新文件f i l e l 时，r d i s t d 不直接覆盖f i l e l ， 而是建立一个临时文件，将新的数据写入临时文件，然后改变该临时文件 的o w n s h i p 和p e r m i s s i o n ，并将临时文件重命名为f i l e l 。如果u s e r l 在改 变文件的o w n s h i p 和p e r m i s s i o n 之前将临时文件符号链接至u b i n s h e l l ，那 么u s e r l 通过改变b i n s h e l l 的o w n s h i p 和p e r m i s s i o n 就可以获得r o o t 权限。 其正常运行和攻击过程的系统调用对照如表2 1 所示。 表2 - 1r d i s t 正常运行和攻击过程的系统调用 t a b l e2 - 1s y s t e mc a l ld o n eb yr d i s ta n dt h ea t t a c k e r 步骤r d i s t d 调用的系统调用入侵时调用的系统调用 0 e x e c v e ( u s r u u u r d i s t ”) 1 f d = c r e a t ( u s e r l r d i s t d 7 6 8 ”、 2 w r i t e ( f d ，) 3 c l o s e ( f d ) 4 r e n a m e ( “u s e r l r d i s t d 7 6 8 ”， u s e r l t e m ”) 燕山大学工学硕士学位论文 续表2 - 1 步骤r d i s t d 调用的系统调用 入侵时调用的系统调用 5s y m l i n k ( “b i n s h ”，“u s e r l r d i s t d 7 6 8 ”) ； 6 c h o w n ( “u s e r l r d i s t d 7 6 8 ”，o w n e r ) ； 7 c h r n o d ( u s e r l r d i s t d 7 6 8 “，p m o d e ) ； 8 r e n a m e ( u s e r l r d i s t d 7 6 8 ”，“u s e r l d a t a ) ； 其正常运行和攻击过程在审计记录中的对照如表2 2 所示。 表2 - 2r d i s t 在正常执行与遭到入侵时审计记录中的对照 t a b l e2 - 2a c o m p a r i s o no f t h e a u d i tr e c o r di nan o r m a le x e c u t i o na n da ni n t r u s i o n 正常执行的审计记录 入侵时的审计记录 事件路径 i n o d e 事件 路径i n o d e t r e a t u s e r l r d i s t d 7 6 8 5 3 4c r e a tu s e r l r d i s t d 7 6 8 5 3 4 “u s e r l r d i s t d 7 6 8 ”5 3 4 “u s e r l r d i s t d 7 6 8 ”5 3 4 e h m o d“u s e r l r d i s t d 7 6 8 ” 5 3 4e h m o d7 u s e r i r d i s t d 7 6 8 ”3 8 6 7 使用基于规范的入侵检测技术，可通过以下两种途径来检测r d i s t 攻 击： ( 1 ) r d i s t 正常运行和攻击过程的系统调用如表2 。l 所示，可以通过检查 r d i s t d 调用t r e a t 和c h o w n 系统调用之间( 4 、5 步) 临时文件的文件名是否被 更改，如果存在r e n a m e 和s y m l i n k 操作，则说明系统被入侵了，从而检 测出r d i s t 攻击。 ( 2 ) r d i s t 正常执行与遭到入侵时在审计记录中的系统调用及参数如表 2 2 所示，虽然正常执行和遭受攻击时r d i s t d 所调用的系统调用在系统的 审计记录中的序列相同，但可以通过检查c h m o d 和c h o w n 执行文件的 i n o d e 是否一致来检测是否发生入侵行为，如果i n o d e 不一致，则说明一 定发生入侵了。这是因为u n i x 为每个文件分配一个称为索引节点的号码 i n o d e ，可以将i n o d e 简单理解成一个是指向一个文件数据区的指针号码， 它永远指向本文件的具体存储位置，系统是通过索引节点( 而不是文件名) 来定位每一个文件，一个i n o d e 对应着系统中唯一的一片物理数据区，而 茎! 兰圣三塑翌堕全堡笙望! 茎查坌塑 位于两个不同物理数据区的文件必定分别对应着两个不同的i n o d e 号码。 2 2 基于规范的入侵检测技术发展趋势 1 9 9 6 年加州大学戴维斯分校的c a l v i nk o 提出基于规范的入侵检测技 术以来，1 9 9 7 年c a l v i nk o 又提出使用平行环境语法( p a r a l l e le n v i r o n m e n t g r a m m a r ，p eg r a m m a r ) 描述程序的安全规范1 4 ，1 9 9 8 年美国新墨西哥州 大学的f o r r e s t 将对正常程序的安全行为的描述发展成为对正在运行的程 序的行为的描述【4 ”，2 0 0 1 年p ，u p p u l u r i 等人提出使用行为模式描述语言 ( b e h a v i o rm o d e ls p e c i f i c a t i o nl a n g u a g e ，b m sl a n g u a g e ) 描述与安全相关 的系统正常行为【4 ”，2 0 0 3 年u cd a v i s 的研究人员成功将此方法应用于入 侵检测自动响应【4 9 】。2 0 0 3 年美国石溪大学研究人员将基于规范的入侵检 测技术应用于e m a i l 检测f 5 。 在基于规范的入侵检测中，特权程序的安全规范是手工编写的，在一 定程度上限制了该技术的普及，因此引入机器学习的方法自动生成安全规 范是非常必要的。 基于规范的入侵检测数据源来自于主机的审计记录，虽然对于检测加 密信息很有效，但是由于缺乏对网络数据的分析，对一些网络攻击的检测 无能为力，因此分析网络数据源能够弥补该技术自身的缺陷；基于规范的 入侵检测系统监测的对象是特权程序，而对于那些针对协议的攻击就束手 无策了，因此将安全规范的对象由特权程序扩展到协议，能够提高其检测 精度。 由于基于规范的检测技术具有检测的准确性和实时性，所以应用该技 术设计应用层的入侵检测系统，是基于规范的检测技术在应用领域的发展 趋势。因此对该技术的研究和应用一直是美国国防部资助的项目。 2 3 本章小结 误用检测技术对于不同的操作系统由于其实现机制不同，对其攻击的 方法也不尽相同，很难定义出统一的模式库，存在漏警率高的问题。 异常检测技术的“正常”行为特征轮廓、特征量的选取难度较大，虽 燕山火学工学硕士学位论文 然对于未知入侵行为的检测非常有效，但误警率很高，对系统的处理性能 要求会很高。 基于规范的入侵检测技术是介于异常检测技术和误用检测技术之间 的入侵检测技术，不需要维护大量的特征库，也无需历史数据的训练，并 且能检测已知和未知攻击，具有低误警率、漏警率的优点。能有效的应用 于设计应用层入侵检测系统，具有很好的发展前景。 1 4 第3 章扩展基于规范的入侵检测技术 第3 章扩展基于规范的入侵检测技术 在第2 章中详细阐述了基于规范的入侵检测技术，该技术不仅能检测 已知和未知攻击，还能降低误警及漏警率，能有效的应用于设计应用层入 侵检测系统。随着w e b 站点数量的日渐增加，对w e b 服务器的保护已追 在眉睫，本章引入了基于规范的入侵检测技术，并对其进行了扩展，使其 更适应于保护w e b 服务器。 3 1 入侵检测系统评价标准 目前，对w e b 服务器的攻击己使我们付出了高昂的代价，为了防范 针对w e b 服务器的攻击，作为防火墙的必要补充，入侵检测已成为了最 有效的技术。研究表明，一个能检测网络应用层攻击的有效的入侵检测系 统至少应该具备以下两个条件”l j ： n ) 检测的准确性系统管理员是不能忍受高漏警率的，因为高漏警 率等价于未检测出的攻击比率大，对于商业网站，遭受攻击就意味着金钱 的损失。而高误警率就是检测出的虚假攻击比率较高，高的误警率将会使 系统管理员无法相信入侵检测系统，使入侵检测系统失去使用价值； ( 2 ) 检测的实时性快速检测到攻击，能进行及时响应，就意味着减 少损失。 3 - 2 保护w e b 服务器的入侵检测技术分析 入侵检测系统根据其所分析的数据源不同可分为基于网络的和基于 主机的入侵检测系统。基于网络的入侵检测系统用于分析网络分组，而基 于主机的入侵检测处理计算机本身产生的数据(