（计算机软件与理论专业论文）在linux26内核版本中构建基于主机的入侵检测系统.pdf

摘要 摘要 随着h n c m e t 在全球的普及和发展，入侵检测系统j 下在成为网络安全体系中 不可或缺的重要组成部分。本文的目标是在l i n m 【2 6 系列内核的环境下，构造 基于主机的入侵检测系统。系统采用针对特定进程的系统调用及相关的进程信 息为数据源，以系统调用短序列和最大似然系统调用短序列为匹配模型。当检 测到异常时，系统将能自动以系统调用延迟、调整进程调度优先级、中止进程、 屏幕打印警告信息等方式做出自动反馈。本文的所有工作都是基于i 3 8 6 体系结 构。 本文的研究内容主要包括： ( 1 ) 针对l i i l l l ) 【2 6 系列内核，提出了一整套系统调用及相关进程信息的截获 方法。由于最新版本内核在系统调用实现方式上的变化，已有的系统调用截获 技术已经无法获取到所需的系统调用数据。本文提出的方法能够做到高效地获 取8 0 中断或s y s e n t e r 指令两种方式所引发的全部系统调用的信息。 ( 2 ) 介绍了如何实现一个快速而准确的数据分析算法，作为我们入侵检测系 统的数据分析引擎。该算法兼顾了分析的准确性和计算时的c p u 消耗，能够帮 助我们提高入侵检测系统的实时性。 ( 3 ) 提出并实现了一整套入侵检测结果的响应方案。该方案能够自主且灵活 地对检测结果做出适当的反馈，且尽量保证当检测出现误报时的错误响应代价 不致过大。 本文深入探讨并实现了在l i n l l ) 【2 6 内核版本中构建基于主机的入侵检测系 统的一些关键技术，并对系统本身做了比较全面的介绍。本文所做的工作对于 实现具体的实时入侵检测系统具有一定的参考价值。 关键词：入侵检测l i n u x 系统调用 a b s n a c t a b s t r a c t 晰t i lt i l ep 删i n ga 1 1 dd e v e l o p i n go fi n t e n l c ti nt t l ew o r l d ，t h e 印p l i c a t i o i l so f i n 仇塔i o nd e t e c t i o ns y 咖mb e c o m ea i le s s e m i a lp a r to fn c t 、v o r k c u r i t ys y 蛐e m m t l l i sp a p ah 0 s tb 髂e di n 吣i o nd 融e c t i o ns y s t e m ( h i d s ) o nl m u 】( 2 6k e n l e ii s i 时o “c e d 锄di m p l e m e m e d t h eh i d su s e s s y s t e mc a l i sa n ds o m er e l a t e d h f 0 硼a t i o no f 西v 钮p m c e s s e sa si t ss o u r c ed a l a t h em a x i m 哪l i k e l i h o o ds l 斌 s y s t e mc a l ls e q u e n c e 粕dt h es i i i l p l es h o r ts y s t e mc a us e q u e n c ea r cu s e da sm a t c h j n g m o d c l so fh i d s w h e na b n o r n l a l q u e n c e sa r ed e t e c t e d ，t i l eh i d sc a i la _ u t o m a t i c a l l y t a k es o m er e s p o i l s em e a s u r es u c ha ss y s t e mc a l ld e l a y i n d e c r e a s i n gt 1 1 ep r i o r i t yo f a ：b n o 加1 a lp r o c e s s e s ，k i l l i n gp r o c e s s0 rp r i n t i n gw 锄i n gm e s s a g e0 nt l l ec 0 船0 1 e a n t h ew o r ko f “sp a p e ri sb a s e do nm ei 3 8 6a r c h i t e c t u r e t h em a i nc o n t c m so f t h i sp 印e ra r ea sf o l l o w i l l g ： as e t l i n u xk e m e lm o d u l e s ( l k m ) t o 蛹a c ks y s t e mc a l l sb 勰e do nl i i i l l ) 【2 6 k e m e l i sd e s i g n e d b e c a l l s eo fc h a l l g e so nh o wt oi f n p l e m e ms y s t c 瓶c a l l s ，o r i 西n a l t e c i l i l o l o g i e sc 锄th o o ko ns y s t e mc a l l sa n yl o n g e r an e wm e t t l o di si n 订o d u c e dt o i n t e r c e p ta l i 玉【i n d so f k e m e l 仃印s ，w h e t h e rt h e y 勰i m p l e m e n t e d b yi n t0 x 8 0o r s y s e n l 脚： a ne m c i e md a t aa n a i y z i n ge n g i n ei si n t r o d u c e d n ea l g 鲥t l l mo f m e c n g i n ec a l i h e l p l l st oi m p r o v et h er e a l t i m ep e r f o n l l a i l c eo fo u rh i d s ，b ym o r ca c c l l r a t e l y c c 旺i p m i n ga n dl e s sc p u t i m ec o n s u m p t i o n as o l u t i o no nh o wt or e 印o l l s et o 吐l cr e s u l t so fo l l rh i d si si i l l p l e m e m e d t h e r e s p o i l s ea c t i o ni se f f i c i e n ta l l dc a i lw o r k 晰ml i 砌ep c r s o ni n t e m c t i o n w h e n0 u r s y s t e mm a k e sa 岍0 n gd e c i s i o n ，t h er e s p o n s e 舢) d u l ec a l l 蛐出e “sb e s tt or e d u c et l l e c o s to nt h ed e t e c t e dc o m p u t e l t h i sp a p e rd i s c u s s e ss o m ek e yt e c h n o l o 百e so nh o wt 0i m p l 锄e mah i d so n l m u x2 6k e m e i ，a 1 1 dp r e s e n t st l l ee m i r es y s t e mt h o r o u g h l y t 1 1 i sp a p e r sw o r kh 嬲 s o m ev a l u ef 研i m p l e m e n t a _ t i o no f ar e a l t i m ei 1 1 仃u s i o nd e t e c t i o ns y s t e m k c 唧o r d s ：h l t m s i o nd e t e c t i o n ，l i n l l ) 【，s y s t e mc a i l l i 南开大学学位论文版权使用授权书 本人完全了解南开大学关于收集、保存、使用学位论文的规定， 同意如下各项内容：按照学校要求提交学位论文的印刷本和电子版 本；学校有权保存学位论文的印刷本和电子版，并采用影印、缩印、 扫描、数字化或其它手段保存论文；学校有权提供目录检索以及提供 本学位论文全文或者部分的阅览服务；学校有权按有关规定向国家有 关部门或者机构送交论文的复印件和电子版；在不以赢利为目的的前 提下，学校可以适当复制论文的部分或全部内容用于学术活动。 学位论文作者签名：曰鳢、 饷绰孓月引日 经指导教师同意，本学位论文属于保密，在年解密后适用 本授权书。 指导教师签名：学位论文作者签名： 解密时间：年月日 各密级的最长保密年限及书写格式规定如下： 南开大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，进行研究工作 所取得的成果。除文中已经注明引用的内容外，本学位论文的研究成果不包含 任何他人创作的、已公开发表或者没有公开发表的作品的内容。对本论文所涉 及的研究工作做出贡献的其他个人和集体，均己在文中以明确方式标明。本学 位论文原创性声明的法律责任由本人承担。 学位论文作者签名： 留躲 咖6 年s 月5 1 日 第一章绪论 第一章绪论 第一节网络发展现状及面临的安全问题 随着信息技术的发展，计算机通信网络在政治，军事，经济、工业、商业、 交通、电信，文教等方面的作用日益增大，社会对计算机通信网络的依赖也日 益增强。但是，网络的开放性，尤其是i n t e m e t 的跨国界性，使网络从发展伊始 就面临着巨大的安全风险。随着网络规模呈几何级数的递增，网络安全事件的 发生也有了很大程度的提高。 c n c e r ：i 佗c 刚刚给出了2 0 0 5 年的网络安全报告i “。c n c e r l c c 是接收 国内网络安全事件报告的重要机构，同时作为国际应急组织f i r s t 和亚太地区 应急组织a p c e r t 的成员，c n c e r l y c c 负责接收国际网络安全事件报告。2 0 0 5 年，c n c e r t c c 共收到国内外通过应急热线、网站、电子邮件等报告的网络 安全事件1 2 万多件，平均每月l 万多件。 2 0 0 6 年3 月7 日，s y m 粕o e c 发布了第九期i n t c n l e ts e c l l r i t yn 鹋a tr e p o r t 翻。这份报告统计了全球2 0 0 5 年7 月至1 2 月的网络安全事件报告显示，在攻 击来源国家排名中，中国整体的增加量非常迅速，较0 5 年上半年增长1 5 3 ， 比全球平均增长率高出7 2 个百分点，成为仅次于美国的高攻击来源国家。攻击 来源并不能说明真正的攻击者就在中国，而是中国有更多的安全漏洞被他人利 用。据报告显示，中国受攻击者远程控制的计算机数量增加最多，增长率高达 3 7 ，比全球平均增长率高出2 4 个百分点。这就意味着中国有更多的计算机受 到他人的控制，不仅自身安全收到攻击，还可以被用来作为网络犯罪的工具。 这说明，中国的计算机或服务器越来越受到国外黑客的关注，他们开始喜欢控 制中国的主机并发起网络攻击。进一步，这更说明了国人的网络安全意识较差， 对自己维护的计算机所采取的安全措施相对薄弱，因此很容易被他人利用作为 攻击源。 网络安全事件给全球带来的经济损失更是高度增长。单就网络欺诈这一类 的安全事件，美国n i f w i c ( n a t i o n a li n t e 吼f r a ：l i dw a t c h 姗f o m 斌i o nc e n t 们的统 计数据p l 显示，2 0 0 5 年美国由网络欺准造成的总损失己高达1 3 8 6 3 万美元 第一章绪论 表1 l2 0 0 5 年美国网络欺诈造成的损失统计 2 0 0 4 年2 0 0 5 年 总损失( 万美元) 5 7 8 71 3 8 6 3 增长率 1 3 9 6 平均损失( 美元) 8 9 51 9 1 7 增长率 1 1 4 2 第二节安全问题的产生来源 网络安全隐患主要束自于如下四个方面1 4 】： ( 1 ) 网络的飞速发展 在网络不断发展的过程中，不断会有新的网络服务提供商加入，网络的开 放性和互联性也会不断地增加，而这些新加入的环节又增加了系统的复杂性， 引发了网络的不安定性。 ( 2 1 网络的复杂性 计算机网络本身是一个由众多环节构成的复杂系统。在各个环节中，由于 市场利润、技术投入、产品成本、技术规范等等问题，不同供应商所能提供的 安全性不尽相同。由于木桶效应，使得整个系统的安全程度被限制在安全程度 最低的那个环节上。 ( 3 ) 软件质量问题 软件质量难以评估是软件的一个特性。一个即使是正常运行了很长时间的 软件，也会在特定的情况下出现漏洞。现代网络己经是软件驱动的发展模式， 对软件的更大依赖性加大了软件质量对网络安全的负面影响。同时，市场的激 烈竞争，促使商家需要更快地推出产品，软件的快速开发也增大了遗留更多隐 患的可能性。 ( 4 ) 其它非技术因素 这包括技术员在网络配置管理上的疏忽或错误，网络实际运行效益和安全 投入成本间的平衡抉择，网络用户的安全管理缺陷等等。 由于存在众多的安全威胁和安全隐患，能否成功阻止网络黑客的入侵，保 证计算机和网络系统的安全和正常运行便成为网络管理员所面临的一个重要问 第一章绪论 题。 第三节网络安全技术 安全是网络赖以生存的保障，只有安全得到保障，网络才能实现自身的价 值。网络安全技术随着网络实践的发展而发展，涉及的技术面非常广，主要的 技术【5 】有如下几种： ( 1 ) 物理安全策略 物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体 和通信链路免受自然灾害、人为破坏和搭线攻击：确保计算机系统有一个良好 的电磁兼容工作环境；建立完备的安全管理制度，防止非法进入计算机控制室 和各种偷窃、破坏活动的发生。 ( 2 ) 认证 目前，常见的攻击有8 0 发生在网络内部而不是外部，其解决方法为采用 网络的鉴别、授权和管理系统，即认证系统。内部网的管理和访问控制，相对 外部的隔离来讲要复杂得多，因为外部网的隔离，基本上是禁止和放行，是一 种粗粒度的访问控制。内部网中对合法用户进行认证可以防止非法用户获得对 公司信息系统的访问，对合法用户进行认证还可以防止合法用户访问无权访问 的信息。常用的一些认证方式包括：身份认证、报文认证、访问授权、数字签 名等。 ( 3 ) 数据加密 数据加密是网络安全中采用的最基本的安全技术，目的是保护数据、文件、 口令以及其它信息在网上安全传输，防止窃听。网络中的数据加密，除了选择 加密算法和密钥外，主要问题是加密的方式以及实现加密的网络协议层次和密 钥的分配和管理。 按照收发双方密钥是否相同，可以将这些加密算法分为私钥加密和公钥加 密。私钥加密又称对称密钥加密，因为用来加密信息的密钥就是解密信息所使 用的密钥。公钥加密使用两个密钥，一个用于加密信息，另一个用于解密信息。 公钥加密系统的缺点是对计算资源的需求较高，因而比私钥加密系统的速度慢 得多，不过若将两者结合起来，就可以得到一个复杂而有效的系统。 ( 4 ) 防火墙技术 第一章绪论 防火墙是置于内部局域网与i n t e m c t 之间的安全屏障，是内部局域网与 i m e m e t 之间交换信息的唯一出入口，通过安全策略限制局域网外的用户对内部 网络的访问以及内部网络用户对外界的访问，从而达到对网络进行保护的目的。 它也是网络访问控制设备，用于拒绝除了明确允许通过之外的所有通信数据， 它不同于只会确定网络信息传输方向的简单路由器，而是在网络传输通过相关 的访问站点时对其实施一整套访问策略的一个或一组系统。 ( 5 ) 虚拟专用网( v p n ) 技术 v p n 是保证网络安全的技术之一，它的目的是在公共网络中建立一个私有 专用网络，数据通过建立好的虚拟安全通道在公共网络中传播。用以在公共通 信网络上构建v p n 有两种主流的机制，这两种机制为路由过滤技术和隧道技 术。目前v p n 主要采用了如下四项技术来保障安全：隧道技术( t u 衄e l i l l g ) 、 加解密技术( e n c r y p t i o n & d e c r y p t i o n ) 、密钥管理技术( k e ym a l l a g e m e n t ) 和使用 者与设备身份认证技术( a u 也e m i c a t i o n ) 。 ( 6 ) 反病毒技术 计算机病毒是一小段具有极强破坏性的恶意代码，它可以将自身纳入其它 程序中，以此来进行隐蔽、复制和传播，从而破坏用户的文件、数据甚至硬件。 从广义上讲，它还包括逻辑炸弹、特洛伊木马和系统陷阱等。计算机病毒的主 要传播途径有：文件传输、软盘拷贝，及电子邮件等。网络反病毒技术主要包括 检测病毒、隔离病毒和查杀病毒。 ( 7 ) 入侵容忍技术1 6 1 ( i n t l l l s i o nt o l e r a i l t ) 入侵容忍技术要求即使在面临入侵时，仍然能够保持关键信息的安全和关 键服务的继续，而不将检测和隔离攻击作为首要任务。它结合密码技术、容错 计算技术和网络安全技术，着跟于入侵绝对存在的情况下，通过提供时间、空 间的数据冗余以及资源的重构束提高服务的质量，确保系统的安全性。 ( 8 ) 入侵检测技术 入侵检测系统是计算机系统访问控制和防火墙等安全防护措施之后的又一 道安全屏障，它在不影响系统性能的前提下。对系统的入侵和运行实行监测， 提高系统主动的安全防护能力。入侵检测系统以其在信息系统安全方面的重要 作用，受到人们的广泛关注。实用且效果好的入侵检测系统对于加强信息系统 的安全具有重要的意义。本文将在第二章具体介绍入侵检测技术。 4 第一章绪论 第四节本文结构 本文共分为五章，各部分的内容如下： 第一章主要介绍了课题提出的背景，安全问题的产生来源，现有的安全技 术等。 第二章介绍了入侵检测相关的背景知识、研究现状、发展趋势等，并简单 描述了入侵的原理和几种常见的攻击手段。 第三章详细介绍本课题研究过程中需要涉及到的一些关键技术点。这些技 术点包括：系统调用短序列分析和匹配方法、l k m 技术及内核编程、l i 删x 2 6 系列内核在系统调用方面的改动等。 第四章介绍了如何在l i n u x 2 6 系列内核中构造并实现一个完整的入侵检测 系统，包括采集、分析和响应三个主要模块。 第五章是对全文的工作总结，并在最后提出了对未来工作的一些展望。 第二二章网络入侵和入侵检测 第二章网络入侵和入侵检测 第一节网络入侵 2 1 ，l 网络入侵的概念 入侵是所有试图破坏网络信息的完整性、保密性和可用性的行为们。入侵行 为企图暗中破环系统的安全措施以达到访问非法信息、改变系统行为和破坏系 统可用性的目的。入侵是个广义的概念，不仅包括发起攻击的人( 如恶意的黑 客) 取得超出合法范围的系统控制权，也包括收集漏洞信息，拒绝向合法用户 提供服务等行为。 入侵行为主要有以下几种”3 ： ( 1 ) 外部渗透 指既未被授权使用计算机，又未被授权使用数据或程序资源的入侵。 ( 2 ) 内部渗透 指虽被授权使用计算机，但是未被授权使用数据或程序资源的入侵。 ( 3 ) 不法使用 指利用授权使用计算机、数据和程序资源的合法用户身份的入侵。 入侵的发生经常是综合了上述几类的入侵行为的特点，几种入侵行为，并 非静止不变，而是可以相互转变，互为因果的。例如，入侵者通过外部渗透获 取了某用户的账号和密码，然后利用该用户的账号进行内部渗透；同样，内部 渗透也可以转变为不法使用。 2 1 2 入侵原理 入侵之所以会发生，在于它总是能够利用系统中存在的弱点。这些弱点可 能是不合理的网络规划或设计所造成的，也有的是系统或软件开发过程中遗留 下来的b u g ，还有的是人为的安全疏忽造成系统口令失窃、明文通讯信息被监 听等等。 ( 1 ) 网络协议的缺陷唧 许多在网络上运行的协议，如t c p i p 、a r p 、s m t p 等，设计时都存在着 一些问题，直接或1 1 日j 接地导致被一些入侵行为所利用。例如t c p 建立连接时采 6 第一二章网络入侵和入侵检测 用的三次握手机制提供了比其它协议更安全的措施，但攻击者却可以通过发送 伪造的数据包来迷惑目标主机。 ( 2 ) 系统或软件设计中的漏洞 由于人为的失误，操作系统或应用软件在开发时就会具有一些弱点和漏洞。 这些由于程序设计和规划人员的错误程序编制，粗心的源代码审核，无心的副 效应或一些不适当的绑定造成的缺陷造成了系统潜在着种种安全隐患。 ( 3 ) 人为的失误或疏忽 人为造成的安全隐患主要表现在网络管理人员的玩忽职守、麻痹大意以及 由于缺乏经验而造成的各种错误设置。人为的疏忽容易造成敏感或机密数据如 账号、口令的遗失与泄漏：责任上的懒散则有可能表现为对安全问题的态度不 积极，例如有些不需要提供的端口或服务被随意开放着，或者对假称来自社会 工程方面的恶意刺探缺乏警惕等等。 2 1 3 入侵过程概述 入侵的手段可以说是五花八门，针对不同的漏洞，入侵手段过程差异很大。 有的入侵行为非常简单，只需要向网络中发送一些精心构造的数据包就可以完 成攻击，某些拒绝服务攻击就是这样；而有的入侵行为过程复杂，需要逐步提 高自己对系统的访问权限，最终达到入侵的目的。一般地，网络入侵由以下几 部分组成：、 ( 1 ) 获取目标系统的信息 所要获取的信息包括操作系统的类型、版本、安装过哪些补丁、正在运行 的服务和版本以及网络拓扑等信息。 ( 2 ) 获得对系统访问的权力 包括获得读写文件、运行程序的权力等。 ( 3 ) 获得系统超级用户的权力 利用对系统访问的权力和系统的漏洞，入侵者就可以任意修改文件、运行 程序、抹去入侵的痕迹，窃取资料并留下下次入侵的缺口，或者干脆毁坏整个 系统。 2 1 4 入侵攻击手段 所有的系统程序和应用程序都会有漏洞，甚至网络协议和网络体系也存在 7 第二章网络入侵和入侵检测 着各种设计问题。入侵者正是利用这些系统和网络存在的漏洞进行不同手段的 攻击，常用的攻击手段有以下几种： n ) 网络探测 网络探测指对计算机网络或d n s 服务器进行扫描，获取有效m 地址、活 动端口号、主机操作系统类型和安全弱点的攻击方式。通过选择扫描远程t c p 月口 不同的端口的服务，记录目标给予的回答，可以搜集到很多关于目标主机的有 用信息，如端口信息、主机地址、主机用户信息( 如用户的全名、使用的终端、 空闲及登录时间、登录处等) ，可以不留痕迹地发现远程服务器的各种t c p 端 口的分配及提供的服务和它们的软件版本等信息，可以知道是否能用匿名登陆， 是否有可写的f t p 目录，能了解到主机所存在的各种安全问题。 ( 2 ) 监听 获取在网络上传输的信息叫做网络监听f 1 0 1 。在网络中，当信息进行传播的 时候，利用工具将网络接口设置成监听的模式，便可将网络中正在传播的信息 截获。网络监听在网络中的任何一个位置模式下都可以进行。 ( 3 ) 解码类攻击 通过各种方法获取存储着系统账号和密码的文件，然后用口令猜测程序和 字典破译用户账号和密码。 ( 4 ) 缓冲区溢出 缓冲区溢出】是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区 本身的容量，溢出的数掘覆盖了合法数据。攻击者用自己精心设计的s h e l i c o d e 指 令覆盖合法程序后，只要这些指令被执行，攻击者就拥有了系统的控制权。 缓冲溢出攻击奏效的原因在于：一些操作系统中栈具有可执行性，存储管 理模块检测不出程序计数器指向栈中数据的错误，导致栈中数据可以作为指令 来执行；c 语言对缓冲区和数组没有进行边界检查，这在提高程序运行效率的 同时也使得程序面临着缓冲区溢出的危险；u m x 系统通过s u i d 临时给予一般用 户超级用户的权限，使他们有权访问属主为r o o t 的些文件。缓冲区溢出攻击 正是利用上述三点来实施的。一 一次缓冲区溢出攻击一般分为： 1 ) 攻击代码植入目标程序。 2 ) 攻击代码写入缓冲区使之溢出进而覆盖邻近的数据区( 主要为返回地址 和帧指针) ，抢夺系统控制权并执行攻击代码。 8 第二章网络入侵和入侵检测 ( 5 ) 口欺骗 i p 欺骗技术就是伪造某台主机的i p 地址的技术。通过i p 地址的伪装使得某 台主机能伪装成另外的一台主机，而这台主机往往具有某种特权或者被另外的 主机所信任。入侵者可以自称为来自内部地址，当目标主机利用基于口地址的 验证来控制对目标系统中的用户访问时，这些小诡计甚至可以获得特权和普通 用户的权限。即使设置了防火墙，如果没有配置对本地域中的资源i p 包地址的 过滤，这种欺骗技术仍然可以奏效。 ( 6 ) 拒绝服务( d e n i a lo fs e r v i c e ) 和分布式拒绝服务( d i g t r i b u t ed e n j a l o f s e r v i c e ) 攻击 拒绝服务是以计算机或网络无法提供正常的服务为目的的攻击。最常见的 d o s 攻击是洪流攻击，它以极大的通信量冲击网络，使得所有可用网络资源都 被消耗殆尽，最后导致合法的用户请求无法通过：或用大量的连接请求冲击计 算机主机，使得所有可用的系统资源被消耗殆尽。最终主机无法再处理合法用 户的请求。 分布式拒绝服务攻击指借助于客户朋艮务器技术，将多个计算机联合起来作 为攻击平台，对一个或多个目标发动d o s 攻击，从而成倍地提高拒绝服务攻击 的威力。d d o s 攻击发动时，攻击者通过主控程序向安装在其他主机上的代理 程序发出指令，代理程序收到指令后立刻发动攻击。这样集中相当数目主机进 行攻击的方法能造成更为巨大的影响。 ( 7 ) 特洛伊木马 特洛伊木马最典型的做法就是把一个能帮助黑客完成某一特定动作的程序 依附在某一合法用户的正常程序中，改变合法用户的程序代码。一旦用户触发 该程序，那么依附在内的黑客指令程序同时被激活，这些代码往往能完成黑客 指定的任务。由于这种入侵法需要黑客有很好的编程经验，较难掌握。但正是 因为其复杂性，一般的系统管理员很难发现。 ( 8 ) 蠕虫和病毒 计算机病毒是一种程序，有时是有破坏性的( 但并不总是这样) 。蠕虫和病 毒都是可以自我复制的恶意代码，二者在原理上属于同一类技术，但是在实际 使用时采用的具体技术和需要的宿主环境却并不完全相同。 9 第一二章网络入侵和入侵检测 第二节入侵检测 当越来越多的公司将其核心业务向互联网转移的时候，网络安全作为一个 无法回避的问题呈现在人们面前。传统上，公司多采用防火墙作为确保其网络 安全的第一道防线。随着攻击者相关知识的日趋成熟，攻击工具与入侵手法的 日趋复杂，单纯的防火墙己经无法满足对系统安全高度敏感部门的需要，网络 防卫必须采用一种纵深而多样的手段。与此同时，当今的网络环境也变得越来 越复杂，各式各样的复杂的设备，需要不断升级、补漏的系统使得网络管理员 的工作不断加重，不经意的疏忽便有可能造成安全的重大隐患。在这种环境下， 入侵检测系统成为了安全市场上新的热点，不仅越来越多地受到人们的关注， 而且已经开始在各种不同的环境中发挥其关键作用。 2 2 1 入侵检测概念 入侵检测是识别计算机系统的非授权使用和滥用使用权的过程，为此目的 所研制的系统就称为入侵检测系统( i d s ) 【眩】。 具体说来，入侵检测系统的主要功能有： 从系统的不同环节收集信息 妥善保存好收集到的信息，分析信息，寻找入侵活动的特征 根据数据分析的结果，自动对怀疑为入侵的行为做出响应 记录并报告检测过程 除此以外，一些入侵检测系统还会具有如下功能： 检查系统配置和漏洞 评估系统关键资源和数据文件的完整性 协助操作系统进行同志管理，并识别违反安全策略的用户活动 2 2 2 通用入侵检测框架c i d f - 通用入侵检测框架l ”1 ( c o m m o ni 曲1 l s i o nd e o e c t i o nf 姗e w o r k ，c i d f ) ，是由 美国国防高级研究项目部( d a r p a ) 在1 9 9 7 年提出的，它所要实现的目标有： 设计一套开放的入侵检测框架标准，该标准应独立于实现语言和网络协 议。 通过实现协作性标准和应用程序接口，来统一实现和管理i d s 0 第二章网络入侵和入侵检测 入侵检测和网络管理能够共享组成入侵检测系统的事件、分析数据库和 回应组件 入侵检测和网络管理能够共享审计记录、报告信息和入侵模式信息等 c d f 结构由五个组件组成：控制台( 管理服务器) 组件、事件组件、数据 库组件、分析组件、响应组件( 如图) ，这些组件是大多数入侵检测系统所共同 具有的通用组件。 图2 1c i d f 结构图 控制台组件( c o i l s o l e ) ：提供对上述各组件的消息管理和安全控制。 事件组件( e v e m b o x ) ：收集或过滤事件数据的程序或模块，是将有关事件的 信息提供给该系统的其它部分。“事件”可以是复杂的事件，或者是低层网络协 议事件，它不一定是入侵中的事件或入侵本身。e v e n t - b o x 是i d s 的感知部件， 也就是说如果没有e v e m b o x 的输入，入侵检测系统就会因缺乏信息来源而无法 得出有关安全事件的任何结论。 数据库组件( d a t a b 勰e b o x ) ：存储由事件组件和分析组件传递来的数据信息， 包括已处理的和未处理过的信息，并提供检索和查询服务。 分析组件( a m a l y s i s b o x ) ：对来自事件发生器的输入进行分析，并产生警报 信息。入侵探测研究的大部分工作在于探讨出新的分析方法，以便从事件流中 抽取相关信息。 响应组件( r 船p 0 雠b o x ) ：响应组件根据分析组件提供的警报来对攻击做出 反应。一些入侵探测系统只设计了报警功能，大多数入侵探测系统已经配备有 某种形式的对抗能力，其对抗形式从关闭t c p 连接直至修改路由器的过滤表等 等。 2 2 3 发展历史 第- 二章网络入侵和入侵检测 1 9 8 0 年4 月，j a m e sa n d e r s o n 为美国空军作了份题为c o m p u t e r s c c l i r i t y1 1 鹏a tm o i l i t o m g 柚ds u r v e i l l a n c e ( 计算机安全威胁监控与监视【14 】) 的 技术报告，这份报告被公认为入侵检测技术的开山鼻祖。文中首次引入了入侵 检测的概念，并提出了种对计算机系统风险和威胁的分类方法。他将威胁分 为外部渗透，内部渗透和不法行为三种。同时，还提出了利用系统的审计记录 检查入侵企图的方法。这篇文章提出在审计记录中包含着许多关键信息，这些 信息对跟踪误用行为和理解用户行为有很大的帮助。 从1 9 8 4 年到1 9 8 6 年，d o r o t h yd e n n i n g 和p e t e r n e u 黝蛐研究并发展了一个 实时入侵检测系统模型，命名为i d e s 【i 习( 入侵检测专家系统) 。该模型由六个 部分组成：主体、对象、审计记录、轮廓特征、异常记录、活动规则。它独立 于特定的系统平台、应用环境、系统弱点以及入侵类型。此系统的检测目标正 式从分析设计跟踪数据和构建基于用户行为描述文件开始。这是一个基于规则 的专家系统模型，采用与系统平台和应用环境无关的设计，针对已知的系统漏 洞和恶意行为进行检测，为构建入侵检测系统提供了一个通用的框架提出了反 常活动和计算机不j 下当使用之间的相关性。在此系统中，反常活动被定义为统 计意义上的“稀少和不寻常”。该假设是许多8 0 年代的入侵检测研究和系统原型 的基础。d e 肌i n g 于1 9 8 7 年发表的关于这个问题的论文i 旧，被认为是另一篇入 侵检测的开山之作。 1 9 8 8 年，美国空军、国家安全局和能源部共同资助空军密码支持中心、劳 伦斯利弗摩尔国家实验室、加州大学戴维斯分校、h a y s t a c k 实验室，开展对分布 式入侵检测系统( d i d s ) 的研究【1 7 】。d i d s 是分布式入侵检测系统历史上的一个 里程碑般的产品，它的检测模型采用了分层结构，包括数据、事件、主体、上 下文、威胁和安全状态。 1 9 9 0 年，加州大学戴维斯泠授的lt h e b e r l e i n 等人开发出了n s m 系统。 该系统第一次将网络流作为审计数据的来源，因而可以在不将审计数据转换成 统一格式的情况下监控异种主机。入侵检测系统正式分化成两个主要的类别： 基于网络的入侵检测系统和基于主机的入侵检测系统。 1 9 9 4 年a s i m 项目的丌发人员组建成商业公司w h e e l g r o u p 他们推出的i d s 产品取名n e t r 丑n g e r ，此产品是网络实时入侵检测系统的第一款商业化产品。 n e t r a n g e r 是针对企业而设计，以其高性能和高价格闻名。 1 9 9 6 年g r j d s ( 研a p h b a s ei n t r u s i o nd e t e c t i o ns y s t e m ) 的设计和实现大大弥 第二章网络入侵和入侵检测 补了绝大多数入侵检测系统伸缩性不足的问题，使得对大规模自动或协同攻击 的监测更为便利。 从2 0 世纪8 0 年代到现在，对入侵检测系统的研发工作呈现出百家争鸣 的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。目前，s m ，c s l 、 普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、 新墨西哥大学等机构在这些方面的研究代表了当前的最高水平。 目前各种i d s 研究项目和商业产品的数量极为庞大，下面简要介绍两个开 放源码的入侵检测系统：s n o n ( 1 8 1 和a a f i d 【嘲。 s n o r t 是一种运行于单机的基于不正当行为检测的网络入侵检测系统。它通 过l i b p c 印获取网络包，并进行协议分析。s n o n 根据入侵描述对网络数据进行匹 配和搜索，能够监测到多种网络工具与侦查，包括：缓冲区溢出攻击、端口扫 描、c o i 攻击、s m b 攻击等，并同时提供了多种攻击响应方式。对于最新的攻 击方法，使用s n o r t 的入侵描述语言能够快速方便地写出新攻击的描述，从而使 s n 叫能够检测出这种攻击。 a a f i d ( a u t o n o m o 嵋a g e n t sf o ri n 加l s i o nd e t e c t i o n ) 是一种分布式体系结构 的，基于主机的i d s ，通过多个简单的独立的实体代理( a g e m ) ，检测异常活动。 a a f i d 的特色是其具有一定的灵活性，健壮性。首先a g e n t 可以很容易地安装、 删除、升级，而对系统功能没有显著影响；其次，部分a g e m 的失败不会使整个 i d s 失效。a a f i d 支持异构的a g e n t ，a g e m 可以采用不同类型的入侵检测方法， 这种多样性可以增加检测的成功率。 2 2 4 入侵检测系统分类 入侵检测根据着眼点的不同，可以分成不同的类型【冽【2 l 】。一般主要按照信 息来源和数据分析手段和工作方式来分类。 ( 1 ) 按照不同的信息来源分类 根据信息源的不同，可分为基于网络的入侵检测和基于主机的入侵检测系 统两类。 1 ) 基于网络的入侵检测系统( n i d s ) 基于网络的入侵检测系统使用网络数据包为数掘源，通常利用一个运行在 混淆模式下的网络适配器来实时监视并分析通过网络的所有通信业务。它的攻 击辨识模块通常采用4 种常用技术来识别攻击标志： 第二章网络入侵和入侵检测 模式、表达式或字节匹配： 频率或穿越阈值； 低级事件的相关性； 统计学意义上的非常规现象检测。 一旦检测到攻击行为，i d s 的响应模块就提供多种选项以通知、报警并对 攻击采取相应的反应。 n i d s 主要优点： 部署简单( 成本低) n i d s 允许部署在一个或多个关键访问点来检查所有经过的网络通信，不需 要在每台主机上进行安装，大大减少了安全和管理的复杂性。 入侵证据转移困难 使用活动的网络通信进行实时攻击检测，因此攻击者难以转移证据。 实时检测和响应一 一旦发生恶意访问或攻击，n i d s 可以根据预先定义的参数及时采取相应的 行动，从而将入侵活动对系统的破坏降到最低。 能够检测未成功的攻击企图 放在防火墙外的n i d s 可以检测到试图利用防火墙后资源的攻击。 对部署环境的依赖较小 n i d s 并不依赖主机的操作系统作为检测资源，而通常情况下，基于主机的 入侵检测系统需要特定的操作系统才能发挥作用。 2 ) 基于主机的入侵检测系统( h i d s ) 基于主机的入侵检测出现在上世纪8 0 年代初期，它使用验证记录。随着自 动化程度提高，h i d s 可监测系统、事件和w i n d o w sn t 下的安全记录以及u n i x 环境下的系统记录。当有文件发生变化时，i d s 将新的记录条目与攻击标记相比 较，看它们是否匹配。如果匹配，系统就会向管理员报警并向别的目标报告， 以采取措施。 h i d s 主要优点： 能够监视系统的特定活动 h i d s 监视用户和访问文件的活动，包括文件访问，改变文件权限，试图建 立新的可执行文件或者试图访问特殊的设备。 可以检测一些复杂的网络环境中的攻击 1 4 第二章网络入侵和入侵检测 h i d s 驻留在网络中的各种主机上，可以克服基于n i d s 在交换和加密环境 中面临的一些困难 检测和结果的响应可以接近实时 新的基于主机的检测技术已经能够提供近实时的检测和应答，当任何日志文 件发生变化时，h i d s 都可以从操作系统及时接收一个中断，这样就大大减少了 攻击识别和应答之间的时日j 。 硬件开销小 基于主机的检测驻留在现有的网络基础设施上，包括文件服务器、w 曲服务 器和其他的共享资源等。这减少了h i d s 的实施成本，不需要增加新硬件，所以 也减少了以后维护和管理这些硬件设备的负担。 以上两种i d s 有各自的优势，都能发现对方无法检测到的一些入侵行为 例如如果黑客是从某个重要服务器的控制台( 键盘) 所直接发动的攻击，该次 攻击并不经过网络，因此就无法通过n i d s 检测到，只能通过使用h i d s 来检测。 n i d s 通过检查所有的包首标( h e a d e r ) 和包内数据来进行检测，而h i d s 并不再 数据报的层次开始检测。许多拒绝服务攻击和碎片攻击，只能通过查看它们通 过网络传输时的包头才能识别。基于网络的i d s 可以研究负载的内容，查找特 定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的i d s 迅速识别。 而基于主机的系统无法看到负载，因此也无法识别嵌入式的负载攻击，联合使 用这两种方式能够达到更好的检测效果。可以使用n 1 d s 提供早期报警，而使 用h i d s 来验证攻击是否取得成功。在入侵检测系统的实现过程中，通过这两 种检测技术的集成，可以提供统一的攻击签名、检测、报告和事件关联功能。 ( 2 ) 按照数据分析手段分类 根据i d s 所采用的数据分析手段的不同，可以分为滥用( m i s u s e ) 入侵检测和 异常( a m o m a l y ) 入侵检测。 滥用入侵检测通过分析各种类型的攻击手段，从而找出可能的攻击特征集 合，最终达到鉴别入侵行为的目的。滥用入侵检测利用这些特征集合或者是对 应的规则集合，对当前的数据来源进行各种处理后，再进行特征匹配或者规则 匹配工作，如果发现满足条件的匹配，则认为发生了一次攻击行为。 异常入侵检测系统认为，通过观察当前活动与历史正常的活动情况之间的 差异，可以分辨系统状态的正常或者是异常。异常入侵检测通常都会建立一个 关于系统正常活动的状态模型并不断进行更新，然后将用户当前的活动情况与 5 第二章网络入侵和入侵检测 这个正常的模型进行对比，如果发现了超过设定阈值的差异程度，这指示发现 了非法攻击行为。 比较而言，滥用入侵检测比异常入侵检测具备更好的确定解释能力，即明 确指示当前发生的攻击手段类型，因而在诸多商用系统中得到广泛应用。另一 方面，滥用入侵检测具备较高的检测率和较低的虚警率，开发规则库和特征集 合相对于建立系统正常模型而言，也要更方便、更容易。滥用检测的主要缺点 在于一般只能检测到已知的攻击模式，模式库只有不断更新才能检测到新的攻 击方法。而异常检测的优点是可以检测到未知的入侵行为，尽管可能无法明确 指示是何种类型。 ( 3 ) 按照工作方式分类 从工作方式来看，入侵检测通常分为：离线检测和在线检测。 离线检测是一种非实时工作的系统，在事件发生后分析审计事件，从中检 查入侵事件。这类系统的成本低，可以分析大量事件，调查长期的情况，有利 于其它方法建立模型。但由于是在事后进行，不能对系统提供及时的保护。而 且很多入侵在完成后都将审计事件去掉，使其无法审计。 在线检测对网络数据包或主机的审计事件进行实时分析，可以快速反应， 保护系统的安全；但在系统规模较大时。难以保证实时性。 基于以上的分类方法，本文所要构建的入侵检测系统属于基于主机的、在 线、异常入侵检测系统。 2 2 5 研究现状 基于主机的入侵检测系统是入侵检测系统的重要类型，在计算机系统的防 护中具有重要的作用。现行基于主机的入侵检测系统的问题主要表现为： ( 1 ) 信息源数据非常多，分析起来比较困难。 入侵检测系统的信息源，主要包括操作系统和应用程序的审计机制等所提 供的审计数据。这些数据非常多，且具有很强的动态特性。因此，从这些数据 中提取用户行为模式的分析工作非常复杂，要得到较为准确的用户行为模式， 需要对这些数据进行大量的学