（计算机应用技术专业论文）网络入侵检测系统的知识库构架与研究.pdf

摘要 摘要 随着网络和其它信息技术的广泛应用，网络系统的安全变得至关重要。入侵 检测系统是保护网络系统安全的关键技术和重要手段，是网络安全领域的研究热 点。发展到现在，对入侵检测的研究已不再局限于检测算法和数据挖掘，入侵知 识库日渐受到人们的关注，成为新的研究热点。本文研究的知识库不但可以为基 于专家系统的入侵检测系统提供知识载体和管理机制，而且可以支持数据挖掘技 术，引导搜索方向，优化挖掘过程。 论文首先分析了现阶段入侵检测知识表达的研究现状，进而提出了对攻击知 识表达模型的需求；分析了入侵检测领域知识的特点，探讨了攻击知识的表示方 法，提出了对象知识的抽象结构和基于面向对象的攻击知识表达模型，并采用 j a v a 语言实现了攻击知识的表达。在此基础上，论文对网络入侵检测系统 ( n i d s ) 的知识库设计进行了分析和研究，对n i d s 的知识库进行构架。该知识库 以面向对象知识表达模型为基础，以规则库和方法库为核心，融入了层次知识库 的设计思想，通过事件处理引擎调配知识库中的规则库和方法库，协同知识库与 数据库的通信。论文最后探讨了n i d s 知识库的实现方式和自动更新方法，设计 了单事件和关联事件的描述语言并给出可行的规则库实现方案。本文就网络入侵 检测系统的攻击知识表达和知识库构架做了研究和探讨，所提出的知识表达模型 能正确有效的描述组合、分布式攻击等复杂的攻击知识，所设计的知识库模型和 实现方案体现了良好的知识管理机制，具有检测效率高、自适应等特点，以期对 网络入侵检测系统智能化提供参考和帮助。 关键字：入侵检测，知识库，知识表示，攻击知识，面向对象 童三些奎耋三耋堡圭兰堡兰兰 a b s t r a c t 、i t ht h ee x t e l l s i v ea p p l i c a t i o n so f t h en e t 、v o r ka 1 1 do t h e ri n f o r m a t i o nt e c h n 0 1 0 9 i e s ， t h cs e c l l r i t yo fn e t w o r ks y s t e m sl l a sb e c o m ec r i t i c a l i m r u s i o nd e t e c t i o ns y s t e mi st h c k e yt e c h n o l o g i e st op m t e c tn e t w o r ks y s t e m ss e c 嘶t ya n di si m p o r t a r i fw a yo fn e t w o r k s e c u r i t y ，b e i n gah o t a r e ao f r e s e a r c ha n dd e v e l o p m e n t u pt on o w ，r e s e a r c h m gt e s t i i l g o fi n t r u s i o ni sn ol o n g e rc o 血n e dt od a t ad e t e c t i o na l g o r i i h m sa n dd a t am i i l 血g ，t h e k n o w l e d g eb a s eo fi m m s i o ns y s t e mi sg r e a t l yc o n c e m e d ，b c c o m m gan c w r e s e a r c hh o t s p o t f 0 ri n t r u s i o nd e t e c t i o ns y s t e mb a s e do ne x p e r ts y s t e m s ，t h ek n o w l e d g eb a s en o t o i l 】yc a np r o v i d ek n o w l e d g ec a r r i e ra n dm a n a g e m e n tm e c h a 血s m ，b u ta l s oc a i ls u p p o r t d a t am i l l i n gt e c l l l l i q u e s ，g u i d es e a r c hd i r e c t i o n ，a n do p t 沛i z et h em 血i 1 1 9p r o c e s s t h i sp a p e r 血s ta n a l y z e st h es t m l so f k n o w l e d g ed e s c r i p t i o nr e s e a r c h mt h ei d sa t t h i ss t a g e ，t h e np u tf o n v a r dt ot h er e q u e s to fa t t a c k sp r e s e m a t i o nm o d e l s ；a n a l y z e st h e k n o w l e d g ec h a r a c t e r i s t i c s o fi n t r u s i o n f i e l d ，e x p l o r et h ek n o w l e d g et h a ta t t a c k m e t h o d s ；p u tf b n v a r dt ot h ca b s t r a c tk n o w l e d g es t l c t l l r e sa n dk n o w l e d g e - b a s e d o b j e c t o r i e n t e da n a c ke x p r e s s e dm o d e l s ，a n dt h er e a l i z a t i o no fa na 仕a c ku s m gj a v a l a l l g u a g et oe x p r e s sk n o w k d g e o nt h e s eb a s i s ，t h cp 印c rs t u d i e sa n da i l a l y z e st h e d e s i g no fk n o w l e d g eb a s eo fn e t w o r ki n t n l s i o nd e t e c t i o ns y s t e m ( n i d s ) ；锄dd i s c u s s t h e 丘锄e w o r ko fk n o w l e 旭e b a s ef o rn i d s t h ek n o w l e d g e b a s eb a s e do nt h e o b j e c t o r i e m e dk n o w l c d g ep r e s c m a t i o nr i l o d e l s ，l cr u l e s 锄dm e t h o d s 旬rt h cc o r eo f t h ed e s 远n ，c o n c e p t si n t oak i l o w l e d g eb a s e l e v e l ，d 印l o y t h em l e sa n dr n e t h o d s t h m u 曲i n c i d e n tm a n a g e m e n te n g i i l e ，i nc o n j u n c t i o nw i l ht h ek n o w l e 电eb a s ea n d d a t a b a s ec o n l i i m n i c a t i o n s f 访a 1 1 y ，t h ep a p e re x p l o r e dw a y st oa c h i e v et h ek n o w l e d g e b a s ea 1 1 di t su p d a t ea u t o m a t i c a l l ym e t h o d s ，d e s i g nas i i l g l ee v e ma i l dr e l a t e de v e m s d e s c r i b e d1 a n g u a g e ，锄dm a k e 诧a s i b l ea c h i e v e m e mp r o 酣l m m eo ft h er u l e sb a s e t h e p a p e rh a ss t u d i e da n dr e s e a r c h e dt h ea t t a c kl 【1 1 0 w 】e d g ee x p r e s s i o na n dt h ek n o w l e d g e b a s eo ft h en i d s ，t h ep r o p 0 s e dm o d e lc a ne x p r e s sc o m p l e xa t t a c k sa n dd i s t r i b u t e d a t t a c k sc o r r e c t l ya n de 脏c t i v c l y ；t h ck n o w l e d g eb a s em o d e la n dp r o g r a i l l m co f a c l l i e v e m e mp r o p o s e de m b o d i c sag o o dk n o w k d g er m n a g e m e mm e c h a n j s ma n dw i t h t t d e t e d i o ne 伍c i e n t 趾da d a p t i v cc t e r i s t i c s i ti sh o p e dt h a tt h i sp 印e rc a np m v i d e r e f e r e r l c ea n di l l u m i n a t i o n 南ri n t e l l i g e mn e t w o r ki n t n l s i o nd e t e c t i o ns y s t e m sr e s c a r c h k e y w o r d s ：i n t m s i o nd e t e c t i o l l ，k n o w l e d g e b a s e ，k j l o w k d g ep r e s e 皿l t i o n ，a t t a c k k n o w l e d g e ，o b j e c to r i e m e d i i i 1 1 研究的背景和意义 第一章绪论 随着全球网络技术的广泛应用和网络经济的不断发展，网络安全问题也日益 突出，这给网络本身以及基于网络的信息系统带来了巨大的威胁，i n t e r n e t 的 安全问题日益严重并已成为全世界关注的焦点问题。从c e r t 上的2 0 0 5 年网络安 全工作报告 1 中可以看到，2 1 世纪以来全球安全事件的数目呈显著上升趋势， 近年的形势更为严峻。2 0 0 5 年，c n c 职t c c 共收到国内外通过应急热线、网 站、电子邮件等报告的网络安全事件1 2 万多件，平均每月l 万多件，每月的具 体事件报告数量见下图卜l 所示。( 需要说明的是，在2 0 0 5 年收到的事件报告 中约9 3 为扫描类网络安全事件，除扫描外的国内外网络安全事件报告共9 1 1 2 件。) 图卜1 网络安全事件月度统计表 f i g u r el 一1n e t w o r ks e c u r i t yi n c i d e n t sm o n t h l ys t a t i s t i c s 广东工业大学工学硕士学位论文 2 0 0 5 年c n c e r t c c 接收的无论是非扫描类还是扫描类事件报告，与2 0 0 4 年 相比，数量都增长了一倍左右。与2 0 0 3 年相比，0 4 年和0 5 年事件报告数量的 增长更加明显。2 0 0 3 年至2 0 0 5 年事件报告数量比较情况如下图卜2 所示： 图卜22 0 0 3 年至2 0 0 5 年事件报告数量比较表m f i g u r el 一2ac o m p a r a t i v et a b l eo ft h en u m b e ro fi n c i d e n t sr e p o r t sf r o m2 0 0 3 t o2 0 0 5 从上面的数据我们可以看到，由于网络自身的缺陷以及技术的尚未完善，网 络安全事件越显突出，所造成的经济损失可想而知，网络安全已成为社会关注的 热点。 在网络安全防范技术中，传统的操作系统加固技术和防火墙技术等都是属于 静态安全防御技术，这些方法虽然可以部分地解决系统的安全问题，但是对于复 杂多变的入侵手段缺乏主动的响应。防火墙作为目前采用的安全技术虽然能在内 外网之间提供安全的网络保护，公司也一般采用防火墙作为安全的第一道防线。 但随着攻击技术的日趋成熟，攻击工具与手法的同趋复杂多样，单纯的防火墙策 略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深 第一章绪论 的、多样的手段。与此同时，当今的网络环境也变得越来越复杂，各式各样的复 杂的设备中需要不断升级、补漏的系统使得网络管理员的工作不断加重，不经意 的疏忽即有可能造成重大的安全隐患。在这种环境下，入侵检测系统成了安全市 场上新的热点，不仅受到人们越来越多的关注，而且已经开始在各种不同的环境 中发挥其重要作用。 入侵检测是安全保护体系中的一个重要的组成部分。但是传统的建立入侵检 测系统的方法总的来说有几点不足：系统建立的速度慢、更新代价高，而且难以 与新的检测模型相结合。面对日益更新的网络设施和层出不穷的攻击方法，目前 的入侵检测系统显得缺乏有效性、适应性和可扩展性。为解决这些问题，今后的 入侵检测技术大致朝下述三个方向发展： 分布式入侵检测：其第一层含义是针对分布式网络的攻击的检测方法；第二 层含义是使用分布式的方法来实现对分布式攻击的检测，其中的关键技术为检测 信息的协同处理与入侵攻击的全局信息的提取。 智能化入侵检测：即使用智能化的方法与手段来进行入侵检测。所谓的智能 化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这 些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统 也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断 升级与扩展，使设计的入侵检测系统防范能力不断增强，应该具有更广泛的应用 前景。总的来说，该方向较为一致的解决方案应为入侵检测系统与具有智能检测 功能的检测软件或模块的结合使用。 全面的安全防御方案：即使用安全工程风险管理的思想与方法来处理网络安 全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、 防火墙、病毒防护、入侵检测等多方位对所关注的网络作全面的评估，然后提出 可行的全面解决方案。 本人将从第二个方面进行研究，利用知识工程技术，对领域知识进行结构化 描述，优化攻击知识库，完善知识库的实用性、可复用性和可扩展性，通过知识 库的智能升级与扩展，实现智能化入侵检测。 广东工业大学工学硕士学位论文 1 2 研究的内容和目的 本文的研究目的为：利用面向对象技术和知识工程技术，对攻击知识进行结 构化形式化描述，构建基于攻击知识模型的攻击知识库，为智能入侵检测提供参 考。 本文的研究内容主要包括以下方面：分析了目前入侵检测技术的研究现状， 着重研究了知识库技术在入侵检测系统的应用；采用面向对象技术对攻击知识进 行结构化描述：给出抽象结构和关系模型；设计了基于知识库的网络入侵检测系 统的体系结构和n i d s 的知识库和数据库的总体架构；最后提出知识库的分层设计 思想和及其规则库的实现方案。 1 3 论文的结构和章节安排 本文章节组织如下： 第二章分析了入侵检测系统的发展现状，详细介绍了入侵检测系统的重要 性、分类、存在问题和发展趋势。 第三章分析了知识表达方法和知识库的实现方法。 第四章是本文的核心之一，分析了知识表达的多种方法，结合入侵检测系统 中攻击知识的特点，提出了面向对象的攻击知识表达模型，给出攻击知识的抽象 结构，详细阐述了表达模型的语法结构，相关运算以及关系模型，并通过实例说 明攻击知识对象的描述。 第五章是对入侵知识库的研究，结合实例一蓝盾网络入侵检测系统，给出系 统的体系结构以及知识库与数据库在系统中的交互机制，并对知识库进行了分层 发计，提出基于攻击知识模型的规则库的设计和实现方案。最后给出了知识库更 新方法的设想和对入侵知识库的展望。 第二章入侵检测系统 第二章入侵检测系统 入侵检测系统i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 就是对网络或操作系统上 的可疑行为做出策略反应，及时切断入侵源，记录并通过各种途径通知网络管理 员，最大限度地保障系统安全。同时它也是防火墙的合理补充，帮助系统对付网 络攻击，扩展系统管理员的安全管理能力( 包括安全审计、监视、攻击识别和响 应) ，提高信息安全基础结构的完整性，被认为是防火墙之后的第二道安全闸 门。它在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外 部攻击和误操作的实时保护，最大限度地保障系统安全。它在网络安全技术中起 到了不可替代的作用，是安全防御体系的一个重要组成部分。 2 1 入侵检测系统的必要性 传统的信息安全技术主要集中在系统自身的加固和防护上，主要使用以下几 种安全机制： 认证机制。认证是通过交换信息的方式来确认实体身份。常见的技术有 口令机制、密码技术、提取实体特征等。 防火墙。防火墙技术是内部网最重要的安全技术之一，其主要功能就是 控制对受保护网络的非法访问，它通过监视、限制、更改通过网络的数 据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危 险站点，用以防范外对内、内对外的非法访问。 加密技术。加密是一种在网络环境下对抗信息窃取，防止信息被非法读 取的行之有效的安全机制。 访问控制。访问控制机制是按照事先定义的规则决定主体对客体的访问 是否合法。它能拒绝一个试图非法使用未授权资源的请求。 然而这些技术存在以下问题： 弱口令。弱口令容易被破解，访问控制就不能阻止受到危险的授权用户 的信息丢失或破坏。 广东工业大学工学硕士学位论文 认证机制本身存在一定的问题。黑客可利用其缺陷，绕过认证系统进行 非法操作。 防火墙的包过滤规则和访问控制规则的配置复杂，容易造成安全漏洞。 防火墙难以解决内部网控制内部人员的安全问题。而根据权威部门统计 结果表明，网络上的安全攻击事件有7 0 以上来自内部攻击。 防火墙的安全控制主要是基于i p 地址的，难以为用户在防火墙内外提供 一致的安全策略。许多防火墙对用户的安全控制主要是基于用户所用机 器的i p 地址而不是用户身份，这样就很难为同一用户在防火墙内外提供 一致的安全控制策略，限制了企业网的物理范围。 合法的用户在通过身份验证后，可在权利范围内执行恶意代码，破坏系 统资源。 无法记录用户行为模型或网络通信流量，而这些数据能够帮助安全管理 员更好的了解和修改系统的安全漏洞。 基于上述几类问题的解决难度，一个实用的方法是建立比较容易实现的安全 防御系统，并能按照定的安全策略建立相应的安全辅助系统。i d s 可以实现这 样的功能，就目前系统安全状况而言，系统随时存在被攻击的可能性。如果系统 遭到攻击，只要尽可能检测到，然后采取防御措旖就防止入侵事件的发生。入侵 检测作为安全技术，其主要功能有：监测并分析用户和系统的活动；核查系 统配置和漏洞；评估系统关键资源和数据文件的完整性；识别已知的攻击行 为；统计分析异常行为；操作系统日志管理，并识别违反安全策略的用户活 动。 2 2 入侵检测系统模型 d o r o t h yd e n n i n g 在1 9 8 6 年发表了a ni n t r u s i o nd e t e c t i o nm o d e l ”的文 章，最早提出了一个通用的入侵检测专家系统框架“1 ，简称为i d e s ( 见图2 一1 ) 。 i d e s 模型把系统操作中的主动发起者和系统所管理的资源分别称为主体和客 体；主体对客体实旋操作时，系统产生的数据用规定格式的审计数据来描述；观 测到的主体对客体的活动行为特征用随机变量和统计模型来描述，构成系统轮 6 第二章入侵检测系统 廓，其中在特定的系统度量中可以采用的统计模型包括：操作模型、均值与标准 偏差模型、多元模型、马尔可夫过程模型四种类型；系统轮廓能够动态更新，并 且检查异常行为。 母( 垂 臣 厂蠹订审计数据 l 一r l 实时消息 【 渤。严厂丢嘉1 型誓际碉 系统轮廓f 竺! 兰! ；= | 攻击状态l o 一1 1 一l _ _ 图2 一li d e s 模型 f i g u r e2 1i d e sm o d e l 可见，d e n n i n g 提出的i d e s 模型实际上是一个基于规则模式匹配的系统，它 主要依靠分析主机的审计记录，因此在网络环境中存在一定的局限性。第一，它 没有包含已知系统漏洞或攻击方法的知识，而这些知识在许多情况下是非常有用 的信息。第二，i d e s 模型没法准确描述网络攻击行为，如远程泪滴t e a r d r o p 攻 击。第三，i d e s 模型最多只能保护单一的主机，然而网络入侵攻击的目标是多 样的，而且攻击常常是互相关联的，i d e s 无法判断出隐藏的攻击活动。第四， 由于网络攻击行为的复杂性，一些攻击者通过协作方式挖掘系统弱点，例如通过 w w w 服务器的配置弱点获取敏感的口令文件。i d e s 模型无法描述攻击者的操作过 程，从而不利于系统对复杂行为的判别。第五，i d e s 模型的不容易扩展，也不 容易与其他的安全模型交互。总之，入侵检测模型要随着网络技术和入侵技术而 变化，不仅仅要满足检测的要求，还需要具有可扩充的数据结构和可扩充的模型 结构。 为了提高i d s 产品、组件及与其他安全产品之间的互操作性，美国国防高级 研究计划署( d a r p a ) 提出了公共入侵检测框架( c i d f ) 的研究项目。1 。c i d f 在 i d e s 模型的基础上提出了一个通用模型，将入侵检测系统分为四个基本组件： 事件产生器、事件分析器、响应单元和事件数据库。 c i d f 模型中i d s 需要分析的数据统称为事件，它可以是网络中的数据包，也 广东工业大学工学硕士学位论文 可以是从系统日志或其他途径得到的信息。下图中的四个组件只是逻辑实体，一 个组件可能是某台计算机上的一个进程甚至线程，也可能是多个计算机上的多个 进程，它们以统一入侵检测对象( g i d 0 ) 格式进行数据交换。g i d o 是对事件进行 编码的标准通用格式( 由c i d f 描述语言c o m m o ni n t r u s i o ns p e c i f i c a t i o n l a n g u a g e 简称c i s l 定义) ，它可以是发生在系统中的审计事件，也可以是对审 计事件的分析结果。 ( 2 ) ( 3 ) ( 4 ) 图2 2c i d f 模型 f i g u r e2 2c i d fm o d e l 事件产生器：事件产生器的任务是从入侵检测系统之外的计算环境 中收集事件，并将这些事件传送给其他组件。 事件分析器：事件分析器分析从其他组件收到的事件，并将产生的 新数据再传送给其他组件。分析器可以是一个轮廓描述工具，统计 性地检查现在的事件是否可能与以前某个事件来自同一个时间序列 ；也可以是一个特征检测工具，用于在一个事件序列中检查是否有 已知地滥用攻击特征：此外，事件分析器还可以是一个相关器，观 察事件之间的关系，将有联系的事件放到一起，以利于以后的进一 步分析。 事件数据库：用来存储事件，供系统查询及调用。 响应单元：响应单元处理收到的事件，并根据事件采取相应的措 第二章入侵检测系统 施，如结束相关进程、将链接复位、修改文件权限等。 c i d f 模型的提出是入侵检测系统走向标准化的重要一步，由于c i d f 模型通 信机制的复杂性和模型实用性问题，c i d f 还没有成为正式的标准，也没有一个 商业i d s 产品完全遵循该规范。随着入侵检测技术的发展和网络安全系统中新的 需求的出现以及各种i d s 、其他安全产品的互操作和协同工作的迫切需要，入侵 检测系统的标准化和扩展性问题是亟待解决的。 2 3 入侵检测系统的分类 随着入侵检测技术的发展，现在已经出现了很多入侵检测产品，我们根据不 同的标准和因素将i d s 分类，考虑的因素包括：事件采集的来源、体系结构、 事件分析方法、入侵检测响应方式等。 2 3 1 根据事件采集来源分类 按照事件采集的原始数据的来源，可以将入侵检测系统分为基于主机的i d s ( 眦d s ) 、基于网络的i d s ( n i d s ) 。 ( 1 ) 主机型入侵检测系统往往以系统日志、应用程序臼志等作为数据源，当 然也可以通过其他手段( 如监督系统调用) ，从所在的主机收集信息进行分析。 主机型入侵检测系统保护的一般是宿主所在的系统，比如运行关键应用的服务 器。h i d s 的主要优点如下： 1 ) 能确定攻击是否成功。主机是攻击的目的所在，所以基于主机的i d s 使用含 有已发生的事件信息，可以比基于网络的i d s 更加准确地判断攻击是否成 功。就这一方面而言，基于主机的i d s 与基于网络的i d s 互相补充，网络部 分可尽早提供针对攻击的警告，而主机部分则可确定攻击是否成功。 2 ) 监控粒度更细。基于主机的i d s 监控的目标明确、视野集中。它可以很容易 地监控系统的些活动，如对敏感文件、目录、程序或端口的存取，而这些 很难被n i d s 监测。 3 ) 配置灵活。每一个主机有其自身基于主机的i d s ，用户可根据自己的实际情 广东工业大学工学硕士学位论文 况对其进行配置。 4 ) 可用于加密的以及交换的环境。 5 ) 对网络流量不敏感。 6 ) 不需要额外的硬件。 其主要缺点是：它会占用宿主机的资源，影响宿主机的运行性能，特别是当 宿主机是服务器的情况；另外，它通常无法对网络环境下发生的大量攻击行为做 出及时的反应；并且严重依赖于特定的系统平台，可移植性差，因而应用范围受 到严重限伟0 。 ( 2 ) 网络型入侵检测系统的数据源则是网络上的数据包。一般网络型入侵 检测系统担负着保护整个网段的任务。基于网络数据的入侵检测系统有许多优 点： 1 ) 操作系统无关性。基于网络的i d s 作为安全检测资源，与主机的操作系统无 关。由于所有的网络都遵循着统一的协议标准，所以基于网络的数据源是最 为通用的数据源。n i d s 具有移植性好的特点，可以提供对网络通用的保护而 无需考虑基于异构主机的不同架构。 2 ) 视野更宽。能检测许多基于主机的系统检测不到的攻击，特别是通过网络发 动的、通过低层协议和通过内嵌在有效负载中进行的攻击，而且比基于主机 的系统更可靠。因为它是在数据包协议头和有效载荷内容中寻找会导致各 种攻击的特征、命令和语法，而且通过对网络数据结合高层协议解析可以恢 复几乎所有的网络协议访问记录，而许多入侵在系统日志文件和系统审计文 件中可能根本没有任何踪迹或异常。 3 ) 基于网络的监测系统容易安装和配置，成本很低，也相对较为容易实现。 4 ) 检测速度快。基于网络的监测器通常能在微秒或秒级发现问题。而大多数基 于主机的产品则要依靠对最近几分钟内审计记录的分析。因此基于网络的入 侵检测系统具有比基于主机的入侵检测系统更好的实时特性。 5 ) 基于网络的入侵检测系统不需要配置在被监视的主机上，因而对受保护的主 机和网络系统的性能影响很小或几乎没有影响，并且无需对原来的系统和结 构进行改动。 第二章入侵检测系统 6 ) 隐蔽性好。网络监听引擎无论对网络用户还是对入侵者都是透明的，因此， 可以降低检测系统本身遭受攻击的可能性。而且，引擎使用的是当时的网络 流量，一旦被捕获就不会被删除。攻击和有助于识别入侵者的信息被内嵌在 包数据中，这些可能会被需要作为诉讼的证据。而基于主机的入侵检测系统 有时会遇到的一个问题就是入侵者熟悉大多数的系统日志文件，而通常这是 他们瞄向的第一个地方以掩盖其踪迹。 7 ) 较少的监测器。由于使用一个检测器就可以保护一个共享的网段，所以不需 要很多的监测器。相反地，如果基于主机，则在每个主机上都需要一个代 理，这样花费昂贵，而且难以管理。 其主要缺点是：只能监视本网段的活动，精确度不高；在交换环境下难以配 置：防入侵欺骗的能力较差；难以定位入侵者。 2 3 2 根据体系结构分类 按照体系结构，i d s 可分为集中式和分布式两种。 ( 1 ) 集中式。这种结构的i d s 可能有多个分布于不同主机上的审计程序，但只有 一个中央入侵检测服务器，审计程序把当地收集到的数据踪迹发送给中央服务器 进行分析处理。这种结构的i d s 在可伸缩性、可配置性方面存在致命缺陷：随 着网络规模的增加，主机审计程序和服务器之间传送的数据量就会骤增，导致网 络性能大大降低；系统安全性脆弱，一旦中央服务器出现故障，整个系统就会 陷入瘫痪；根据各个主机不同需求配置服务器也非常复杂。 ( 2 ) 分布式。分布式入侵检测系统( d i d s ) ，将基于主机和基于网络的检测方法集 成到一起，对数据进行分布式监视、集中式分析。它将中央检测服务器的任务分 配给多个基于主机的i d s ，这些i d s 不分等级，各司其职，负责监控当地主机的 某些活动。所以，其可伸缩性、安全性都得到了显著的提高，但维护成本却高了 很多，并且增加了所监控主机的工作负荷，如通信机制、审计开销、踪迹分析 等。 广东工业大学工学硕士学位论文 2 3 3 根据系统所采用的检测模型分类 根据所采用的检测模型，i d s 可分为异常检测和误用检测两种。 ( 1 ) 异常检测 异常入侵检测是指为所监测的系统建立一个正常情况下的描述文件，任何违 反该描述的事件的发生都被认为是可疑的，即观测活动偏离正常系统使用方式的 程度。异常检测分为静态异常检测和动态异常检测两种。静态异常检测在检测前 先保留一份系统静态部分的拷贝或特征表示，在检测时，如果发现系统的静态部 分与特征之间有偏差，则表明系统受到了攻击。动态异常检测的对象是用户行为 或系统行为，一般采用基于统计的方法，其最大的优点就是可以“学习”用户的 使用习惯，从而具有较高的入侵检出率与可用性。常用的异常检测有以下5 种： 1 ) 操作模型( o p e r a t i o n a l i o d e l ) ，该模型假设异常可通过测量结果与一些固 定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均值得 到，如在短时间内的多次失败的登录很有可能是口令尝试攻击； 2 ) 均值与标准偏差模型( m e a na n ds t a n d a r dd e v i a t i o nm o d e l ) ，计算参数的方 差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常； 3 ) 多元模型( m u l t i v a r i a t em o d e l ) ，操作模型的扩展，通过同时分析多个参数 实现检测； 4 ) 马尔柯夫过程模型( m a r k o vp r o c e s sm o d e l ) ，将每种类型的事件定义为系统 状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵 该转移的概率较小则可能是异常事件； 5 ) 时间序列分析( t i i i l es e r i e sa n a l y s i s ) ，将事件计数与资源耗用根据时间排 成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。 ( 2 ) 误用入侵检测 误用入侵检测是对已知系统和应用软件的弱点进行入侵建模，从而对观测到 的用户行为和资源使用情况进行模式匹配而达到检测的目的。误用入侵检测的主 要假设是入侵活动能够被精确地按照某种方式进行编码并可以识别基于同一弱点 第二章入侵检测系统 进行攻击的入侵方法的变种。误用检测通过对确知决策规则编程实现，可以分为 以下三种： 状态建模：它将入侵行为表示成许多个不同的状态。如果在观察某个可疑行 为期间，所有状态都存在，则判定为恶意入侵。 专家系统：将安全专家的知识表示成规则知识库，然后用推理算法检测入 侵。用专家系统对入侵进行检测，经常是针对有特征的入侵行为。这种方法 能把系统的控制推理从问题解决的描述中分离出去。专家系统的检测能力强 大，灵活性也很高。但不足之处是不能处理不确定性，没有提供对连续有序 数据的任何处理；计算成本较高，通常以降低效率为代价：另外建立一个完 备的知识库对于一个大型网络系统往往是不可能的，且如何根据审计记录中 的事件提取状态行为与语言环境也是比较困难的。 模式匹配：模式匹配就是将收集到的信息与己知的网络入侵和系统误用模式 数据库进行比较，从而发现违背安全策略的行为。该方法的主要优点是只需 收集相关的数据集合，减少系统负担。它与病毒防火墙采用的方法一样，检 测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对 付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。 误用检测能够准确地检测到某些特征的攻击，但却过度依赖事先定义好的安 全策略，检测范围受已知知识的局限，所以无法检测系统未知的攻击行为，从而 产生漏警。另外，其对具体系统的依赖性较强，因此移植性不好，维护工作量 大。 2 4 入侵检测系统技术的发展现状 对入侵检测的研究最早可追溯到2 0 世纪8 0 年代，但受到重视和快速发展 还是在i n t e r n e t 兴起之后。 1 9 8 0 年，j a m e sa d e r s o n 首先提出了入侵检测的概念，他将入侵划分为外部 闯入、内部授权用户的越权使用和滥用三种类型，并提出用审计追踪来监视入侵 威胁。1 9 8 6 年，为检测用户对数据库的异常访问，在i b m 主机上用c o b 0 1 开发的 d i s c o v e r y 系统称为最早的基于主机的i d s 雏形之一。1 9 8 7 年，d e n n i n g 提出 广东工业大学工学硕士学位论文 了一个经典的入侵检测模型，首次将入侵检测的概念作为一种计算机系统的安全 防御措施提出。1 9 8 8 年，t e r e s a l u n t 等人改进了d e n n i n g 提出的入侵检测模 型，并创建了i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) ，提出了与平台无关 的实时检测思想。同年，美国军方和政府为u n i s y s 大型主机开发了h a y s t a c k 系统，为m u l t i c s 主机开发了m i d a s 。1 9 8 9 年，l o s a l a m o s 美国国家实验室开 发了w s ( w i s d o ma n ds e n s e )， p 1 a n n i n gr e s e a r c h 公司开发了 i s o a ( i n f o r r n a t i o ns e c u r i t yo f f i c e r s a s s i s t a n t ) 。 1 9 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d 建议在i d s 中使用自治代理 ( a u t o n o m o u s a g e n t s ) 来提高i d s 的可伸缩性、可维护性、效率和容错性。1 9 9 5 年，i d e s 的完善版本n i d e s ( n e x t g e n e r a t i o ni n t r u s i o nd e t e c t i o ns y s t e m ) 实现了可以检测多个主机上的入侵。1 9 9 6 年，g r i d s ( g r a p h - b a s e di n t r u s i o n d e t e c t i o ns y s t e m ) 的设计和实现使得对大规模自动协同攻击的检测更为便利。 同年，f o r r e s t 将免疫原理运用到分布式入侵检测领域。此后，在i d s 中还出 现了遗传算法、遗传编程的运用。 1 9 9 8 年，r o s sa n d e r s o n 和a b i d ak h a t t a k 将信息检索技术引进了入侵检测 领域。同年，w l e e 提出和实现了在c i d f ( c o m m o ni n t r u s i o n d e t e c t i o n f r a m e w o r k ) 上实现多级i d s ，并运用数据挖掘技术对审计数据进行处理。近年 c h e u n g 、s t e v e n 等人又提出了入侵容忍( i n t r u s i o nt 0 1 e r a n c e ) 的概念，在i d s 中引入了容错技术。而最近有学者提出了入侵免疫系统概念，在i d s 中引入了免 疫机制和免疫算法，但尚处于起步阶段。总的来说，入侵检测发展到今天，不断地 融入各种新技术，使入侵检测系统逐渐地趋向完善，但面对层出不穷、变化多端 的攻击仍然显得十分不成熟。 2 5 入侵检测技术存在的问题及其发展趋势 随着攻击者知识的不断增加和攻击工具的日趋成熟多样化，攻击技术亦越来 越复杂细致。现在攻击的种类正在明显的增加，且其诡辩性和复杂性亦得到了加 强，许多攻击行为己经不再需要“用户界面友好”和深入的技术知识来发起攻 击，而是更多的使用多组攻击者，共同完成一个攻击目标。这种组合攻击的趋势 1 4 薹三薹全堡丝兰! 重竺 正在上升，文献 2 中详细描述了该趋势，并作了比较，如下图2 3 所示： ，一： 1 5 2 0 0 0 图2 3 攻击精密性和入侵技术知识的比较“1 f i g l i r e2 - 3a n a c ks o p h i s t i c a t i o nv s i r l t n j d e rt e c h n j c a lk i o w l c d g e ”1 通过分析，可以归纳出现今攻击技术的发展现状主要有以下方面： 1 )入侵手段的综合化与复杂化。由于网络防范技术的多重化，攻击的难度增 加，使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段，以保证 入侵的成功几率。 2 ) 入侵主体的隐蔽化。通过一定的技术，可掩盖入侵主体的源地址及主机位 置，对于被攻击对象攻击的主体是无法直接确定的。 3 ) 入侵技术的分布化。以往常用的入侵与攻击行为往往由单机执行，由于防范 技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务( 叻o s ) 在很短 时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常 通信无差异，所以在攻击发动的初期不易被确认。 4 ) 攻击的对象转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为 却发生了策略性的改变，由攻击网络改为攻击网络的防护系统。攻击者详细 广东工业大学工学硕士学位论文 地分析了i d s 的审计方式、特征描述、通信模式找出ids 的弱点，然后加 以攻击。 5 ) 恶意信息采用加密的方法传输。入侵检测系统通过匹配网络数据包发现攻击 行为，其往往假设攻击信息是通过明文传输的，因此对信息的稍加改变便可 能骗过i d s 的检测，使i d s 大量的误报和漏报。 面对上述严峻的攻击现状，i d s 存在的问题更加突出了，主要表现在： 1 ) 广泛接受的术语和概念框架的缺乏。目前入侵检测系统的厂家基本处于各自 为战的情况，标准的缺乏使得其问的互通几乎不可能。 2 ) 客观的测试与评估信息的缺乏。目前越来越多的机构开始进行入侵检测技术 的深入研究，每年都会有很多新的入侵检测系统问世。但目前还没有比较成 熟的测试手段和评价标准，难以对i d s 进行客观的测试和评估。 3 ) 大量的误报和漏报。攻击特征库难以及时更新，系统运行阈值设置的经验性 以及伪装或变形的网络攻击等多种原因造成系统大量漏报和误报。 4 ) 入侵检测系统的互动性能低。在大型网络中，网络的不同部分可能使用了多 种入侵检测系统，甚至还有防火墙、漏洞扫描等其他类别的安全设备，这些 入侵检测系统之间以及i d s 和其他安全组件之问缺乏交换信息，很难共同协 作来发现攻击、作出响应并阻止攻击。 5 ) 被动分析与主动发现的矛盾。入侵检测系统是采取被动监听的方式发现网络 问题，无法主动发现网络中的安全隐患和故障。 6 ) i d s 自身的安全性。和其他系统一样，i d s 本身也往往存在安全漏洞。若对 i d s 攻击成功，则直接导致其报警失灵，入侵者在其后所作的行为将无法被 记录。 为了更好的应对不断更新、复杂多变的攻击手段，完善自身功能，今后的入 侵检测技术大致朝下述三个方向发展： 分布式入侵检测：其第一层含义是针对分布式网络的攻击的检测方法；第二 层含义是使用分布式的方法来实现对分布式攻击的检测，其中的关键技术为检测 信息的协同处理与入侵攻击的全局信息的提取。 智能化入侵检测：即使用智能化的方法与手段来进行入侵检测。所谓的智能 第二章入侵检测系统 化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这 些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统 也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断 升级与扩展，使设计的入侵检测系统防范能力不断增强，应该具有更广泛的应用 前景。总的来说，该方向较为一致的解决方案应为入侵检测系统与具有智能检测 功能的检测软件或模块的结合使用。 全面的安全防御方案：即使用安全工程风险管理的思想与方法来处理网络安 全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道