（计算机软件与理论专业论文）国防园区网管系统的设计和实现.pdf

摘要 随着i n t e r a c t 技术的发展和应用，计算机网络对人们工作和生活的影响越 来越大，如何实施有效的网络管理策略，提高网络的运行性能，保持良好的网 络运行效率，确保各项任务的顺利完成，是至关重要的。 针对园区网的实际需求，我们网络课题组研究开发了一个网络管理软件， 本论文的工作主要有以下两方面： 在安全管理模块中引入入侵检测系统 设计实现了适合本园区网的计费管理系统 入侵检测，作为信息安全保障中的一个重要环节，很好的弥补了访问控制、 身份认证等传统保护机制所不能解决的问题。本论文通过分析和总结入侵检测 系统的概念、功能、分类、结构，决定采用基于网络的异常检测系统的设 t 思 想来设计和实现入侵检测系统。 论文通过比较异常检测的常用方法。指出了利用数据挖掘算法的优势。并 对数据挖掘常用的方法进行了总结。论文在描述网络应用和用户行为时采用数 据挖掘技术从海量的网络数据中提取有用的规则，掏建了个摧述正常状态下 的网络应用和用户行为的规则集，这个规则集是用来判断网络应用和用户行为 是否正常的标准，论文根据这个标准分析当前网络连接的异常情况，梅可疑的 连接找出来。 在介绍了入侵检测系统之后，本论文在比较了传统的计费方法的基础上， 提出和实现了一种适合本园区网特点的基于代理服务器的计费管理系统。 i 关键字】： 网络管理、安全管理、网络计费系统、入侵检测、数据挖掘 a b s t r a c t w i t ht h ed e v e l o p m e n ta n d a p p l i c a t i o no fi n t e m e t ，c o m p u t e rn e t w o r k i sm a k i n g m o l ea n dm o r ei n f l u e n c eo np e o p l e sw o r ka n dl i f e i no r d e rt oa s s u r ee v e r yt a s kc a l l b ea c c o m p l i s h e ds u c c e s s f u l l ya n dk e e pt h en e t w o r ki n g o o dh e a l t h ，i ti s o fg r e a t i m p o r t a n c e h o wt ou s ea l lk i n d so ft e c h n o l o g i e st oi n c r e a s et h en e t w o r k s p e r f o r l t l a n c ea n di m p l e m e n tt h ee f f e c t i v en e t w o r km a n a g e m e n tp o l i c i e s t h ea r e a n e t w o r ks h o u l do f f e rf i n ea n df a i re n v i r o n m e n t t os a r i s f yt h ea c t u a ld e m a n d si nt h e d a i l yr u n n i n go fa r e an e t w o r k 。w ed e v e l o pan e t w o r km a n a g e m e n ts o f t w a r e 1 1 1 e m a i nw o r ko ft h ep a p e ri s ：i n t r u s i o nd e t e c t i o ns y s e t ma n dn e t w o r ka c c o u n t i n g s y s t e m i n t r u s i o nd e t e c t i o n ，a sa ne s s e n t i a l c o m p o n e n ti nt h ei n f o r m a t i o na s s u r a n c e f r a m e w o r k s e r i e st h ej s s u e si nw h i c ht r a d i t i o n a im e t h o d ss u c ha sa c c e s sc o n t r o la n d i d e n t i f i c a t i o na u t h e n t i c a t i o nc o u l d n tw o r k n l ei d so ft h ep a p e ri sn e t w o r k b a s e da n o m a l yd e t e c t i o ns y s t e m w i t ht h eh e l p o fd a t am i n i n gt e c h n o l o g y , w e b r i n gf o r w a r da m e a s u r et od e s c r i b et h en o r m a ls t a t e o ft h en e t w o r kt r a f f i ca n du s e rb e h a v i o ra n de x t r a c t i n gt h eu s e f u lr u l ef r o ml a r g e n e t w o r kd a t a s ow ec a ne s t a b l i s ht h ek n o w l e d g ew a r e h o u s ew h i c hd e s c r i b et h e n o r m a ls t a t eo ft h en e t w o r kt r a m ca n du s e rb e h a v i o r t h ek n o w l e d g ew a r e h o u s ec a n b et h es t a n d a r di no r d e rt o i u d g et h e n o r m a is t a t e w ec a nf i n dt h ed u b i t a b l e c o n n e c t i o n sa c c o r d i n gt oa c c o u n tt h es t a t ea n d a n o m l y i n s t a n c e so f c o n n e c t i o n s d a t a m i n d i n g a sw e c a l l ，w h i c hr e f e r st oe x t r a c t i n gi n t e r e s t e dk n o w l e d g ef r o m 】a r g ed a t a b a s eo rd a t aw a r e h o u s e t h en e t w o r ka c c o u n t i n gs y s t e mo ft h ep a p e rc o m p a r et h et r a d i t i o n a lm e t h o d s ， t h ed e s i g na n dr e a l i z a t i o no f n e t w o r k a c c o u n t i n gs y s t e m i sb a s e do n p r o x y f k e y w o r d s ： n e t w o r km a n a g e m e n t 、s e c u r i t y m a n a g e m e n t 、n e t w o r ka c c o u n t i n gs y t e m 、 i n t r u s i o nd e t e c t i o n 、d a t a m i n i n g 两北工业人学顾i ：论文 第1 章缋论 第1 章绪论 本章详细介绍了本文的研究背景，即目前网络管理中存在的若干问题。在 此背景下，提出了本文的研究课题，最后简要介绍了本文的组织结构。 1 1 研究背景 2 0 世纪9 0 年代，网络建设及应用突飞猛进，i n t e m e t 的用户不断增加，许 多单位都在建立自己的内部网络。网络的发展一方面为信息的交流、资源的共 享带来了方便，然而另一方面，许多网络经营管理机构或单位不得不付出极大 的人力、物力对网络进行管理，而且一个普遍的现象是众多单位采用人工分散 的管理方式，发现一个问题解决一个问题，许多统计工作都是手工进行，远不 能适应网络应用的需要。随着电子商务应用的普及，新型业务应用对网络性能 的要求越来越高，例如带宽、安全性和稳定性，所以网络管理也就越来越显地 重要。网络管理已经是保证计算机网络特别是大型计算机网络证常运行的关键。 1 1 1 网络管理的目的 网络管理的目的是多方面的，其中主要的三个目的是：降低费用、提高性 能和增强稳定性。 _ 降低费用。网络管理人员对网络的管理程度越高，将使得用于其上的 费用丌销越小。如果网络管理人员能迅速解决网络中的故障，并能根 据具体的情况对网络进行配置以达到高效，就能使网络用户可以将更 多的时问投入到自己的工作中，并减少由于网络的中断给他们带来的 不便。 一提高性能。提高性能确保网络以最佳状态运行。通过正确的管理，网 络可以维持在一个合适的规模，也可以进行趋势分析，预测网络规模 将以何种速度增长。 一增强稳定性。网络的稳定可靠至关重要，你必须能对网络的故障、负 载和需求作出预测，记录r 常信息用于今后的诊断，分析历史趋势， 西北工业人学顾士论文第1 章缔论 在网络故障对用户造成麻烦之前予以解决。这些都可以导致当机时间 减少，提供平滑无中断的服务，并使管理员可以迅速对网络故障进行 检测、隔离和排除。 1 1 2 网络管理的功能 一个完善的网络管理系统是计算机网络能够可靠而稳定运行的保证，出是 进行网络性能分析的依据。在网络管理系统中，主要包括五大功能模块：配置 管理、性能管理、故障管理、计费管理和安全管理，如图1 1 所示。 故障管理 救障数据 性能管理 请 求 重 配 性能数据 安全管理 悱 能 数 据 配置管理k 堂皇! 主一_ _ ；聂磊 请 求 重 配 图1 1 网管系统五大功能关系 配置管理的主要功能是允许网络管理者对网络组件的配置实施控制。管理 者可以改变配置以减轻拥塞、分离故障或满足用户的需要。配置管理提供了以 下进程：收集和传播有关资源当前状态的数据，本地发生的改变或由于没有预 计到的事件两引起的变化，通过标准化的济议通知给管理工具；设置并修改与 网络组件和o s i 层软件有关的参数；启动和关闭被管理对象：改变配置；将名 字与一个或一组对象联系起来。 性能管理的主要功能包括实时观察网络利用率、出错率的图表：指定时间 范围的观察性能数据：设置网络使用门限；发现超载部件；预测网络的发展趋 势，对网络性能进行长久的规划，完成网络设备的更新，避免网络饱和所引起 的低性能，对网络设备配爱进行调整，使网络整体流量趋于合理。 故障管理的主要功能是使得网管人员能够检测在网络通信中出现的问题， 包括用以检测、分离以及修复在任何网络组件中出现的异常操作机制。故障管 两北工业大学硕i ：论文 第l 帝绪论 理提供以下的进程：发现和报告失效，这些进程使得一个被管理系统能够使用 标准化的事件报告协议并通知它的管理者己检测到失效；记录接收到的事件报 告，然后对这个记录进行分析和处理：安排并执行诊断测试、失效跟踪以及启 动失效修正，这些进程可以作为对事件记录分析诊断的结果而被激活。 计费管理负责记录网络资源的使用情况和使用这些资源的代价，包括统计 已被使用的网络资源和估算用户应付的费用，计费管理还可设置网络资源的使 用计费限制，控制用户占用和使用过多的网络资源，计费管理还应具有对为了 实现某个特定的通信目标所引用的多个网络资源进行联合收费的能力。 网络安全性直接影响用户对网络系统的可信程度。网络安全问题主要包括 网络数据的私有性( 保护网络数据不被非法用户获取) 、授权控制( 防止非法 用户向网络上发送错误的信息) 和访问控制( 控制对网络资源的访问) 。与此 对应，网络安全管理主要包括授权管理( 分配权限给所请求的实体) 、访问控 制管理( 分配口令、进入或修改访问控制表) 、安全检查跟踪和事件处理、密 钥管理( 密钥分配) 等。 1 i 3 网络管理的模型 网络管理的基本模型如图1 2 所示。 管理命令 管理系统被管系统管理对象 管理者 管理协议 代理 命令厂、 m a n a g e ra g e n t 刊八 管理信息库 响应事僻 管理信息库 响蚧u m i bm i b + 弋 图1 2 网络管理基本模型 典型的网络管理系统采用管理者代理模型，由管理者、被管理者( 代理) 、 管理信息库和管理协议四部分组成。 管理者完成相应的管理工作，它实际是一台运行特殊管理软件( 管理进程) 的普通计算机，通常称为网管工作站。管理者可以自动或按照用户的规定去询 问被管理设备中的相关信息，或向被管理设备发出管理指令，以达对被管理设 堕! ! 三些盔兰堡生丝苎 兰! 至童坠 备进行监视和控制的目的。被管理者可以是主机、路出器、网桥等可与外界交 流状态信息的任何设备。被管理者运行代理进程，其功能是负责收集被管理设 备的信息，响应管理者发来的询问以及执行管理者发来的管理操作指令，还可 以根据用户设定的变量阈值在被管理设备出现问题时产生陷阱( t r a p ) ，向管理者 发出告警。网络中每个被管理的设备都具有一个或多个变量来描述其状态，这 些变量被存放在一个叫管理信息库m i b ( m a n a g e m e n ti n f o r m a t i o nb a s e ) 的数据 结构中。管理协议定义了谁应该记录什么信息及信息的确切格式，并通过它提 供的通信标准实现管理者和代理问的通信。代理对象的管理类似于管理者。l 代 理之l 叫的操作。 1 2 研究内容 园区网旨在为入园的单位提供良好、公平的网络运行环境，因此实施有效 的网络管理策略就显得尤为必要。针对园区网的实际需求，我们网络课题组研 究开发了一个网络管理软件，本论文的工作主要有以下两方面： - 在安全管理模块中引入入侵检测系统 - 设计实现了适合本园区网的计费管理系统 1 2 1 在安全管理模块中引入入侵检测系统 在安全技术发展的同时，新的入侵技术也在不断地出现。一个黑客曾经说 过：“防火墙的后面是天堂”，就是说现有的防护还不足以保证现有系统足够的 安全性，入侵检测技术就是在这样的背景下产生的。 入侵检测是对计算机网络或计算机系统中的若干关键点收集信息并对其进 行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 它能够在不影响网络性能的情况下能对网络进行检测，从而提供对内部攻击、 外部攻击和误操作的实时保护，被认为是防火墙之后的第二道安全闸门。 按照处理系统所采用的检测模型算法，入侵检测系统可以分为两类：误用 检测和异常检测。前者原理简单，但是只能发现已知的攻击，而异常检测是目 前入侵检测的主要研究方向，其特点是通过对系统异常行为的检测，可以发现 未知的攻击模式。 异常检测的检测方法主要有概率统计、数据挖掘、神经网络等方法。其中， 两北工业大学硕r 卜论文 第l 章绪论 数据挖掘是目前国际上数据库和信息决策领域的最前沿研究方向之一，研究的 主要目标是发展有关的方法论、理论和工具，以支持从大量数掘中提取有用的 和让人们感兴趣的知识和模式。 本文的入侵检测系统是采用基于网络的异常检测系统的设计思想。论文利 用数据挖掘技术的优势从海量的网络数据中提取有用的规则，从而构建一个描 述正常状态下的网络应用和用户行为的规则集。这个规则集是用来判断网络应 用和用户行为是否正常的标准，根据这个标准来分析当前网络连接的异常情况， 将可疑的连接找出来。 1 2 2 建立适合本园区网的计费管理系统 园区网中心担负着对园区网的管理和维护。其中计费管理是网络管理的主 要功能之一，它不仅要求记录网络资源的使用情况，还要利用它来监控网络的 数据流量，分析网络的使用情况及性能，从而合理分配和管理用户占用的网络 资源，保证网络高效、稳定、可靠地运行。 本论文的计费管理系统是在比较传统计费方法的基础上提出的适合本园区 网特点的基于代理服务器的计费系统。 1 3 论文组织结构 全文分为六章，每一章的内容如下所示： _ 第1 章：绪论。本章概述了本文研究的背景与内容，并介绍了本文的 组织结构。 一第2 章：入侵检测与网络安全。本章首先介绍了现有网络安全系统的 缺陷，指出了在安全系统中引入入侵检测系统的必要性。然后详细介 绍了入侵检测系统的定义，对入侵检测的检测方法和系统结构进行了 分类和比较，为展开研究提供了有效的参考。 一 第3 章：数据挖掘技术的相关知识。本章介绍了数据挖掘技术的基本 内容，包括它的结构、分类。并重点介绍了在入侵检测中经常用到的 一些数据挖掘方法。 一 第4 章：入侵检测系统设计与实现。本章首先介绍了基于网络的异常 检测系统的设计思想，然后基于这个思想对入侵检测系统进行了设计 两北工业大学硕士论文 第1 帝绪论 与实现。论文把入侵检测系统的实现分为规则学习模块、规则检测模 块两部分。在规则学习模块中，构建了一个描述斧常状态下的网络应 用和用户行为的规则集。在规则检测模块中，利用规则匹配算法分析 当前网络连接的异常情况，将可疑的连接找出来。 _ 第5 章：计费管理系统设计与实现。本章首先介绍了网络管理中计费 管理常用的解决方法，有基于路由器的计费和基于代理的计费两种。 然后，论文给出了适合本园区网络结构的计费管理系统的整体框架和 主要数据结构的设计。 一第6 章：结束语。本章首先总结了前面各个部分的内容，并将它们贯 穿成一个完整的系统，简要评价了论文的工作和贡献，然后发表了对 今后工作的一些看法。 西北工业人学倾一l 论文 第2 章入侵检测。_ 叫络立会 第2 章入侵检测与网络安全 本章首先介绍了现有网络安全系统的缺陷，指出了在安全系统中引入入侵 检测系统的必要性。然后详细介绍了入侵检测系统的定义，对入侵检测的检测 方法和系统结构进行了分类和比较，为展丌研究提供了有效的参考。 2 1 现有网络安全系统的缺陷 现代通信及信息技术的发展和应用给人们很多重要的启示，网络所具有的 先进性和革命性给人类的信息交流和共享带来了极大的方便。 但是与此同时，由于保护诸如涉及国家政治、军事、经济的情报以及个人 隐私的需要，信息技术的安全性，即信息系统以及信息的安全性越来越引起业 内人士的普遍关注。 2 1 1 安全隐患的客观存在 系统的脆弱性和黑客的大量存在始终是我们面临的安全隐患。 2 1 1 1 系统脆弱性的客观存在 由于人类对自然规律的认识以及实践的能力都有一定的局限性，目前提供 社会应用的电子信息系统在客观上都有许多不完善的地方，还有各种各样的脆 弱性存在。这些漏洞集中反映在操作系统和应用程序中。比如，w j n d o w s9 5 就 有两千多处b u g ，w i n d o w sn t 也有几十种b u g ，u n i x 也不例外。 关于系统脆弱性的报道，在风险公告和计算机应急响应小组的公告中大量 出现，不仅是原来没有设置信息安全防线的设备不可能提供安全保障，就是后 来丌发的所谓安全计算机操作系统、数据库、信息网络、防火墙等，人们在各 个环节上都找到了很多问题。 1 9 9 6 年，美国出现了两次大的互联网络瘫痪事件，人们丌始真正感受到信 息安全的巨大威胁。其中一次事件使6 0 0 万用户陷入瘫痪1 0 小时。另一次事件 是某家大公司的网络联机通信服务系统的主干网出现重大故障，造成4 0 万用户 被迫中断联络4 0 小时。互联网停机和服务局部中断现象也明显增加。 堕韭王兰兰查兰堡主堡苎 2 1 1 2 黑客的猖狂活动 第2 章入侵检测与恻络安全 近几年，国际互联网上的黑客事件层出不穷，越演越烈。i n t e r n e t 已经成 为具有一定经济条件和技术专长的行行色色的攻击者搞破坏的靶子。据信息 周刊调查表明，世界上有7 0 的企业因泄密而遭受损失，而这些泄密事件3 0 是黑客所为。金融时报则报道每2 0 秒有一个黑客事件发生。 2 1 2 传统网络安全技术和模型 从一开始，人们企图先构筑某种安全的系统模型，然后想方设法去实现。 著名的b e l 卜l a p a d u l a 安全操作系统模型虽已被广泛接受，但完整性模型( 如 b i b a 模型) 并没有受到人们足够重视，可靠性模型则更不用说。 人们依据考虑的安全模型制定了一系列的安全法则和评测标准用以构筑一 个相对稳固的安全系统。从美国国防部推动的可信计算机系统评价准则( t c s e c ) 阶段，到西欧四国联合推动的信息技术安全评价准则( i t s e c ) ，发展到六国七方 联合推动的信息技术通用安全评价准则( c c ) 阶段。虽然这些准则在很大程度给 人们提供了安全保护的策略，但“安全”永远只能是一个理论和相对的概念。 无论是安全模型，还是系统安全等级评估标准，人们主要从身份认证和访 问控制两个方面来保证系统的安全性。但是传统的身份认证技术，包括k e r b e r o s 技术，并不能抵制脆弱性口令、字典攻击、特洛伊木马、网络窥探器以及电磁 辐射等攻击手段。对于访问控制，入侵者也可以利用脆弱性程序或系统漏洞绕 过访问控制，或者提升用户权限，或者非法读写文件等。网络防火墙虽然为网 络服务提供了较好的身份认证和访问控制技术，可以防止许多常见的利用协议 漏洞、源路出、地址仿冒等多种攻击手段，并提供安全的数据通道，但是它对 于应用层的后门、设计缺陷、内部用户的越权操作等导致的攻击或窃取修改破 坏信息却无能为力，另外，由于防火墙的位置处在网络中的明处，自身的设计 缺陷也在所难免的暴露给众多的攻击者，因此仅仅凭借防火墙是难以抵御多种 多样的层出不穷的攻击的。 有关专家提出计算机系统安全的管理模型应该包括四部分，如图2 1 所示。 在这个模型中，构筑一个安全系统防御模块只是其中的一小部分。检测模 块用于发现各种违反安全规则的入侵检测行为。调查模块将检测模块所获得的 数据加以分析，并确认当前所发生的有关入侵企图。最后，事后分析模块分析 将来如何抵制类似入侵行为。在这以前，人们的注意力主要集中在防御模块上， 西北工业大学硕士论文 第2 章入侵检测与网络安全 现在检测模块已受到人们的重视。 2 2 入侵检测系统 图2 1 安全系统管理模型 本小节对入侵检测系统的概念、功能、分类、结构进行了全面的总结。 2 2 1 入侵检测系统综述 入侵检测( i n t r u s i o nd e t e c t i o n ) ，顾名思义，是对入侵行为的发觉。它 通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从 中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检 测的软件与硬件的组合便是入侵检钡4 系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称 i d s ) 。 与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将 得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的 简化管理员的工作，保证网络安全的运行。因此，入侵检测被认为是防火墙之 后的第二道安全闸门，在不影响网络性能的情况下能对网络进行检测，从而提 供对内部攻击、外部攻击和误操作的实时保护。 入侵检测系统的功能主要有： 检测并分析用户和系统的活动 核查系统配置和漏洞 评估系统关键资源和数据文件的完整性 识别已知的攻击行为 统计分析异常行为 操作系统同志管理，并识别违反安全策略的用户活动 有的入侵检测系统还有一些附加的特性，如自动安装系统补丁，设置诱骗 两北- 业大学倾上论文 第2 帝入侵捻测，刚络立伞 服务器记录入侵信息等。一个合格的入侵检测系统能大大的简化管理员的工作 使得管理员能够更容易的监视、审计网络系统，时刻了解网络系统的运行情况， 扩展了管理员的安全管理能力，从而保证网络系统的安全运行。 2 2 2 入侵检测系统的分类 入侵检测系统有许多不同的分类，一种分类是按照具体的检测方法进行分 类，分为基于行为的和基于知识的两大类。 基于行为的检测指根据使用者的行为或资源使用状况来判断是否遭到入 侵，而不依赖于具体行为是否出现来检测。即建立被检测系统正常行为的参考 库，并通过与当前行为比较来寻找偏离参考库的异常行为。例如：一般在白天 使用计算机的用户，如果他突然在午夜注册登录，则被认为是异常行为，有可 能某入侵者在使用。基于行为的检测也被称为异常检测( a n o m a l yd e t e c t i o n ) 。 基于知识的检测指运用已知攻击方法，根据己定义好的入侵模式，通过寻 找判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用系统的脆 弱性，通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵 行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助，而且对即将发 生的入侵也有警戒作用，因为只要部分满足这些入侵迹象就意味着可能有入侵 发生。基于知识的检测也被称为误用检测( m i s u s ed e t e c t i o n ) 。 另外一种分类是按照检测系统分析的原始数据来源进行分类，可分为来自 系统同志和网络数据包两大类。操作系统的同志文件中包含了详细的用户信息 和系统调用数据，从中可分析出系统是否被侵入以及侵入者留下的痕迹等审计 信息。随着互联网的推广，网络数据包逐渐成为有效且直接的检测数据源，因 为数据包也同样包含有用户信息。入侵检测的早期研究主要集中在主机系统的 同志文件分析上。因为用户对象局限于本地用户，随着分布式大型网络的推广， 用户可随机的从不同客户机上登录，主机间也经常需要交换信息。尤其是随着 i n t e r n e t 的广泛应用，入侵行为大多数发生在网络攻击上。这样使得入侵检测 的对象范围也扩大至整个网络。 在实用系统中，还可根据系统运行特性分为实时检测、周期检测两大类， 根据系统的拓扑结构分为单一型、层次型、协作型三大类，以及根据检测到入 侵行为后是否作出相应措施而分为主动型、被动型两大类等等。 2 2 2 1 异常检测 两北工业大学硕论文 第2 章入侵椅测与阔络安伞 基于行为的检测指根据使用者的行为或资源使用状况的正常程度来判断是 否入侵，而不依赖于具体行为是否出现来检测，也称为异常检测。 异常检测与系统相对无关，通用性强，它甚至可以检测出以前未出现过的 攻击方法，不象基于知识的检测那样受已知脆弱性的限制。但因为不可能对整 个系统内的所有用户行为进行全面的描述，况且每个用户行为是经常改变的， 所以它的主要缺陷在于误检率很高。尤其在用户数目众多，或工作目的经常改 变的环境中。其次由于统计表要不断更新，入侵者如果知道某系统在检测器的 监视之下，他们能慢慢的训练检测系统，以至于最仞认为是异常的行为，经一 段时间训练后也认为是正常的了，异常检测的检测方法大致分为以卜j l 种： 一概率统计方法 概率统计方法是异常检测中应用最早的一种方法。首先，检测器根据用户 对象的动作为每个用户都建立一个用户特征简表，通过比较当前特征与已存储 定型的以前特征，从而判断是否是异常行为。用户特征需要根据审计记录情况 不断加以更新。用来描述特征的变量类型有： 操作密度：度量操作执行的速率，用于检测长时间觉察不到的异常行为 审计记录分析：度量在最新记录中所有操作类型的分布 范畴尺度：度量在一定动作范畴内特定操作的分如情况 数值尺度：度量那些产生数值结果的操作，如c p u 使用量、i o 使用量 这些变量所记录的具体操作包括：c p u 的使用、i o 的使用、使用地点及时 间、邮件使用、编辑器使用、编译器使用、所创建、删除、访问或改变的目录 及文件、网络上活动等。 在s r i c s l 的入侵检测专家系统( i d e s ) 中给出来了一个特征简表的结构： 其中的变量名、主体、客体唯一确定了每一个特征简表，特征值由系统根 据审计数据周期性的产生，这个特征值是所有有悖于用户特征的异常程度值的 函数。 概率统计方法最大的优越性在于能应用成熟的概率统计理论。但是也有不 足之处，比如统计检测对事件发生的次序不敏感，也就是说，完全依靠统计理 论可能漏检那些利用彼此关联事件的入侵行为。比如定义入侵的闽值比较困难， 阈值太低则漏检率提高，阈值太高则误检率提高。 一数据挖掘方法 随着数据库技术的迅速发展以及数据库管理系统的广泛应用，人们积累的 数据越来越多。激增的数据背后隐藏着许多重要的信息，人们希望能够对其进 两北工业大学硕1 ：论文 第2 章入侵榆测与叫络安伞 行更高层次的分析，以便更好的利用这些数据。目前的数据库系统可以高效的 实现数据的录入、查询、统计等功能，但无法发现数据中存在的关系和规则， 无法根据现有的数据预测未来的发展趋势。缺乏挖掘数据背后隐藏的知识的手 段，导致了“数据爆炸但知识贫乏”的想象。 计算机技术的另一个领域一人工智能自1 9 5 6 年诞生后取得了重大进展。经 历了博弈时期、自然语言理解、知识工程等阶段，目前的研究热点是机器学习。 机器学习是用计算机模拟人类学习的一门科学，比较成熟的算法有神经网络、 遗传算法等。 用数据库管理系统来存储数据，用机器学习的方法来分析数据，挖掘大量 数据背后的知识，这两者的结合促进了数据库中的知识发现( k d d ) 的产生。数据 库中的知识发现，也可以称为数据挖掘，是从大量数据中提取出可信、新颖、 有效并能被人理解的模式的高级处理过程。 数据挖掘算法有很多，来自各个领域如统计、模式识别、机器学习、数据 库，下面介绍几个比较有用的概念。 分类：( c l a s s i f i c a t i o n ) 将一个数据集映射成预先定义好的几类。分类的概念是在已有数据的基础 上学会一个分类函数或构造出一个分类模型( 既我们通常所说的分类器 c l a s s i f i e r ) 。该函数或模型能够把数据库中的数据记录映射到给定类别中的其 中一个，从而可以应用于数据预测。要构造分类器，需要有一个训练样本数据 集作为输入。训练集( t r a i n i n g s e t ) 由一组数据库记录或元组构成，每个记录是 一个由有关字段值组成的特征向量，我们把这些字段称为属性( a t t r i b u t e ) ，把 用于分类的属性叫做标签( l a b e l ) ，标签属性也就是训练集的类别标记。标签属 性的类型必须是离散的，且标签属性的可能值的数目越少越好( 最好是两或三个 值) 。标签值的数目越少，构造出的分类器的错误率越低。一个具体的样本的形 式可以表示为( v l ，v 2 v n ：c ) ，其中v i 表示字段值，e 表示类别。 从训练集中自动的构造出分类器的算法叫做生成器。在生成分类器后，可 以利用它来对数据集中不包含标签属性的记录进行分类，标签属性的值也可以 用分类器来预测。 链接分析：( l i n ka n a l y s i s ) 决定数据库记录中各域之恻的关系。审计数据中各系统特征之问的关系可 用来作为构建用户正常使用模式的基础。 序列分析：( s e q u e n c ea n a l y s i s ) 模型化序列的模式。这类算法可以发现审计数据中的一些事件序列经常以 两北下业人学坝 ：论文 第2 章入侵f ：j _ 测j l 哪络矗伞 此序列出现。这些频繁发生的事件模式可使我们在构造入侵检测模型时把一段 时间内的某些统计值作为一个参量。 在入侵检测中使用分类模型的关键前提是要有“充足饷”训练数据，这些 数据应该覆盖所有可能的正常行为，以降低入侵检测的误报率。因此首先需要 一个审计数据的收集过程。在收集数据的过程中，应该有一个指示器指示是否 有新的正常的用户行为，如果再没有这种新的变化时，就可以停止收集过程了。 神经网络方法 神经网络方法应用于入侵检测是近几年j 发展起来的。这的神经网络足指 一种算法，用于学习两组信息集之间的关系，然后通过归纳得到输入输出对。 利用神经网络检测入侵的基本思想是用一系列信息单元( 命令) 训练神经单元， 这样在给定一组输入后，就可能预测输出。与统计理论相比，神经网络更好的 表达了变量间的非线性关系，并且能自动学习并更新。实验表明u n i x 系统管理 员的行为几乎全是可以预测的，对于一般用户，不可预测的行为也只占很少的 一部分。用于检测的神经网络模块结构大致是这样的：当前命令和刚过去的w 个命令组成了网络的输入，其中w 是神经网络预测下一个命令时所包含的过去 命令集的大小。根据用户的代表性命令序p o i j i 练网络后，该网络就形成了相应 用户的特征表，于是网络对下一事件的预测错误率在一定程度上反映了用户行 为的异常程度。 神经网络方法的优点是能更好的处理原始数据的随机特性，即不需要对这 些数据做任何统计假设，并且有较好的抗干扰能力。神经网络方法的缺点是网 络拓扑结构以及各元素的权重很难确定，命令窗口大小w 也难选取。窗口太小， 则网络输出不好，窗口太大，则网络会因为大量无关数据而降低效率。 2 2 2 2 误用检测 误用检测指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些 入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性，通 过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹 象。这种方法由于根据具体特征库进行判断，所以检测准确度很高，并且因为 结构有明确的参照，也为系统管理员作出相应措施提供了方便。主要缺陷在于 与具体系统依赖性太强，不但系统移植性不好，维护工作量大，并且将具体入 侵手段抽象成知识也很困难。并且检测范围受已知知识的局限，尤其是难以检 测出内部人员的入侵行为，如合法用户的泄露，因为这些入侵行为并没有利用 两北工业人学顺卜论文 第2 帝入侵榆删- 州络奠令 系统脆弱性。 误用检测主要有以下几类方法： 专家系统 专家系统是误用检测中运用最多的一种方法。通过将有关入侵的知识转化 成i f - t h e n 结构的规则，既构成入侵所要求的条件转化为i f 部分，将发现入侵 后采取的相应措施转化成t h e n 部分。当其中某个或某部分条件满足时，系统就 判断为入侵行为发生，然后采取相应的防御手段，或通知系统管理员，或直接 掐断服务连接。其中的i f - t h e n 结构构成了描述具体攻击的规则库，状态行为 及其语义环境可根据审计事件得到，推理机根据规则和行为完成判断工作。在 具体实现中，专家系统重要的问题是： 全面性问题 难以科学的从各种入侵手段中抽象出能规则化的知识，从审计数据中提取 产生式规则也不容易，尤其是审计数据有时并不能完全提供检测所需的信息， 而且对某个具体漏洞的应用方法可能千变力- 化，规则库并不一定包含所有可能。 效率问题 专家系统在运行时需要对所有审计数据进行分析，处理的数据量过大，在 大型系统上，如何获得实时连续的审计数据也是个问题。 因为这些缺陷，专家系统一般不用于商业产品中，运用较多的是特征分析。 象专家系统一样，特征分析也需要知道攻击行为的具体知识。但是，攻击方法 的语义描述不是被转化为检测规则，而是在审计记录中能直接找到信息形式。 例如，一个攻击序列被转化为一系列可能产生的审计事件，或者被转化为审计 记录的数据格式。这样就不象专家系统一样需要处理大量数掘，从而大量提高 了检测效率。这种方法的缺陷也和所有误用检测方法一样，即需要经常为新发 现的系统漏洞更新知识库。另外，由于对不同操作系统平台的具体攻击方法可 能不同，以及不同平台的审计方式也可能不同，所以对特征分析检测系统进行 构造和维护的工作量较大。 模型推理 模型推理是指通过入侵模型的结合推理出入侵行为是否出现。其中有关攻 击者行为的知识被描述为：攻击者目的，攻击者达到此目的的可能行为步骤， 以及对系统的特殊使用等。根据这些知识建立攻击脚本库，每一脚本都由一系 列攻击行为组成。检测时先将这些攻击脚本的子集看作系统正面临的攻击。然 后通过一个称为预测器的程序模块根据当前行为模式，产生下一个需要验证的 攻击脚本子集，并将它传给决策器。决策器收到信息后，根掘这些假设的攻击 两北_ 【业人学顾f ：论文 第2 帝入侵椅测j 叫络安令 行为在审计记录中的可能出现方式，将他们翻译成与特定系统匹配的审计记录 格式。然后在审计记录中寻找相应信息来确认或否认这些攻击。初始攻击脚本 子集的假设应满足易于在审计记录中识别，且出现频率很高。随着一些脚本被 确认的次数增多，另一些脚本被确认的次数减少，攻击脚本不断的得到更新。 模式推理方法的优越性是对不确定性的推理有合理的数学理论基础，同时 决策器使得攻击脚本可以与审计记录的上下文无关。另外，这种检测方法也减 少了需要处理的数据量，因为它首先按脚本类型检测相应类型是否出现，然后 再检测具体的事件。 模式推理方法的缺陷主要是创建入侵检测模型的工作量比别的方法要大， 在系统实现时决策器如何有效的翻译攻击脚本也是个问题。 状态转换分析 状态转换分析最早是由r k e m m e r e r 提出，即将状态转换图应用于入侵行为 的分析。状态转换法将入侵过程看作一个行为序列，这个行为序列导致系统从 初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状 态和被入侵状态，以及导致状念转换的转换条件，既导致系统进入被入侵状态 必须执行的操作( 特征事件) 。然后用状态转换图来表示每一个状念和特征事件， 这些事件被集中成于模型中，所以检测时不需要一个个的查找审计记录。但是， 状态转换是针对事件序列分析，所以不善于分析过分复杂的事件，而且不能检 测与系统状态无关的入侵。 p e t r i 网用于入侵行为分析是一种类似于状态分析的方法。利用p e t r i 网的 有利之处在于它能一般化、图形化的表达状态，并且简洁明了。虽然很复杂的 入侵特征能用p e t r i 网表达的很简单，但是对原始数据匹配时的计算量却很大。 2 2 2 3 基于主机的检测 在7 0 年代末，j i m a n d e r s o n 指出通过日志文件的某些信息，如多次登录失 败的记录或访问机密文件的记录等，就能分析出非法用户的登录企图，冒充合 法用户等简单入侵行为。在可信计算机评价准则( t c s e c ) 中规定了c 2 安全级以 上的操作系统必须具备审计功能，并记录相应的安全性r 志。在标准u n x i 系统 中，这些同志可根据系统管理员的设置来记录用户何时注册、从何处注册以及 要作什么，以及系统调用，程序运行结果等与安全性有关的操作信息。其中的 审计数据包括可查事件和可查信息。可查事件指从安全角度应该注意的用户行 为，例如认证和授权机制的使用，对象的增加删除，打印输出等。可查信息是 西北工业大学硕士论文 第2 章入侵检测与网络安全 与特定的可查事件相关的实际数据 一标识，事件类型，事件成功与否 主机日志的检测如图2 2 。 包括事件发生时间，产生事件的主体的唯 所增加、删除、访问的对象名称等。基于 闩志文件 图2 2 基于主机日志的检测 这种检测方法首先要求系统根据配置信息中设定的需要审计的事件，一旦 这事件发生，系统就将具体参数记录在日志文件中。检测系统则依据一定的算 法对日志文件中的审计数据进行分析，最后得出结果报告。 虽然在很多操作系统中都有审计记录功能，在u n i x 系统中，如 s y s l o g ，p s ，p s t a t ，v m s t a t ，g e t r l i m i t 等。同志文件为入侵检测系统提供了详尽 的有效数据，但是基于主机的检测有以下不足： 日志文件过于庞大 占用了大量存储空间。因为这个原因，很多管理员在系统设置配置时不允 许审计记录，或者不进行全面的审计。而对日志文件的大小进行估计比较困难， 所以在存储空间不够大的情况下容易导致系统负荷过大。另一方面也给检测分 析带来了难度，因为要从大量数据中快速的提取有用信息。 审计过程降低系统特性 一方面因为审计数据的产生和记录占用了一定的c p u 时阳j ，另一方面很多 基于系统r 志的检测系统需要将审计数据送到其它机器上，这就占用了大量系 统带宽。 同志文件本身容易被更改 有经验的入侵者成功进入系统后，会找到日志文件并更改，消除入侵迹象。 难以确定审计数据的更新周期 出于存储审计数据需要大量磁盘空阳j ，更新周期过长导致系统资源浪费， 过短则可能丢失有用信息。 难以实现实时检测 6 西北工业大学硕二匕论文 第2 章入侵检测与网络安伞 由于日志文件只有在事件发生后记录，所以如果仅仅采用日志匹配的方法 不可能做到实时检测。而采用同志分析从而预测的方法，在实现上比较困难， 而且误警率会很高。 2 2 2 4 基于网络的检测 任何一个网络适配器都具有收听其它数据包的功能，它首先检查每个数据 包的目的地地址，只有符合本机地址的包才向上一层传输。通过网络适配器， 就可以捕获同一子网上的所有数据包。而这些数据包应包含配置信息( 所有协 议、源、目的地址、名字等) ，以及运行数据( 如请求的高层协议等) ，这就为入 侵检测提供了必要的原始数据。 通常，将入侵检测系统放置在防火墙或网关后，象网络窥探器一样捕获所 有内传或外传的数据包。但它并不延误数据包的传送，因为它对数据包来说仅 仅是在监视。 这种方法的优点主要是几乎不影响系统吞吐量，也没必要存储额外数据， 容易实现实时检测，能在系统受到实际破坏之前就提出指示或警告。这种方法 的主要不足是无法检测加密的数据包，如果加解密的过程由防火墙束实现，就 可以不影响检测器的正常工作，无法检测系统级的入侵，例如通过远程命令创 建非法文件或提升用户权限。基于网络数据包的检测如图2 3 。 图2 3 基于网络数据包的检测 2 2 3 入侵检测系统的拓扑结构 从拓扑结构上看，入侵检测系统可以分为单一型、层次型、协作型三类。 2 2 3 1 单一型 这一类型的系统可能只有一台运行检测软件的主机，或由一台中央服务器 以及一些分布于其他主机的简单日志记录程序组成。所有的记录数据都必须送 两北工业大学硕士论文兰! 童垒堡塑型兰堕堑窒全 到中央服务器进行统一的分析处理。大部分现有的系统都属于这一类型。它存 在的问题是很明显的。首先，随着网络传