（计算机应用技术专业论文）网络入侵检测系统的研究与剖析.pdf

西安建筑科技大学硕士论文 网络入侵检测系统的研究与剖析 专业：计算机应用技术 硕士生：林国庆 指导教师：李昌华副教授 摘要 随着网络技术的快速发展和网络应用环境的不断普及，网络安全问题日益突 出。在传统的加密和防火墙技术已经不能完全满足安全需求的同时，入侵检测技 术作为一种全新的安全手段，越来越显示出其重要性。 s n o r t 系统是一个典型的网络入侵检测系统，其若干设计原理和实现特点， 是目前多数商用入侵检测系统的研发基石。对s n o r t 系统的研究具有较强的学术 意义和较高的商业价值。 本文以s n o r t 系统为研究对象，剖析其源代码和规则，阐述系统的基本架构， 并探讨了s n o r t 系统的具体应用。首先，本文介绍了入侵检测技术的基本知识， 接着以程序流程图为主要形式描述了s n o r t 系统主体及各模块的工作流程，随后 分析了s n o r t 的一些典型规则，而后提出了一个具体的应用方案，最后探讨了在 i p v 4 向i p v 6 过渡期s n o r t 系统的改造。 关键词：入侵检测s n o r ts n o r t 源代码s n o r t 基本架构剖析s n o r t s n o r t 规则s n o r t 应用i p v 6 苎室壅竺型垫查兰塑主丝壅 t h es t u d ya n da n a l y s i so fan e t i n t r u s i o nd e t e c t i o n s y s t e m s p e c i a l i t y n a m e ： i n s t r u c t o r a p p l i c a t i o no fc o m p u t e rt e c h n o l o g y l i n g u o q i n g p r o f l i c h a n g h u a a b s t r a c t a l o n gw i t ht h ef a s td e v e l o p m e n to ft h en e t w o r kt e c h n o l o g ya n dt h e u n i v e r s a la p p l i c a t i o no ft h en e t w o r ke n v i r o n m e n t a l ，t h es a f ep r o b l e mi n n e t w o r kisi n c r e a s i n g l yo u t s t a n d i n g t h et r a d i t i o n a le n c r y p t i o nt e c h n i q u e sa n dt h ef i r ew a l lt e c h n i q u ec a n tm e e tt h ee x p e c t a t i o n sf u l l y a n d a sas a f em e a n s ，i n t r u s i o nd e t e c t i o nt e c h n i q u e sh a sd i s p l a y e di t si m p o r - r a n tr o l e t h es n o r ti sat y p i c a ln e ti n t r u s i o nd e t e c t i o ns y s t e m ，a n ds o m eo f d e s i g np r i n c j p l ea n dc h a r a c t e r i s t i c so fw h i c hi st h eb a s eo fm o s tp o p u l a r m e r c a n t j1ei n t r u s i o nd e t e c t i o ns y s t e m t h e r ea r es t r o n ga c a d e m i c a l l ya n d c o m m e f cia lv a l u et ot h er e s e a r c ho fs n o r t i nt h i st e x t ，w r i t e rr e g a r d ss n o r ta st h er e s e a r c ho b j e c t ，a n a l y z i n g i t ss o u r c ec o d ea n dr u l e s ，e x p o u n d i n gt h eb a s i cs t r u c t u r eo ft h es n o r t s y s t e m ，a n ds t u d y i n gt h et e c h n i q u ei na p p l i c a t i o no fs n o r t f i r s t ，t h e b a s i ck n o w l e d g eo fi n t r u s i o nd e t e c t i o ni si n t r o d u c e d t h e nt h ep r i n c i p a l p a r to fs n o r ta n dt h em o d u l eo fi t sw o r k i n gp r o c e s si sp r e s e n t e dw i t ht h e p r o c e d u r a lg r a p h ，a n dt h et y p i c a ls n o r tr u l e si sa n a l y z e d l a s t ，ac o n c r e t e a p p l ys c h e m ei sp u tf o r w a r da n dt h er e f o r mf r o mi p v 4t oi p v 6o fs n o r ti s d i s c u s s e d k e y w o r d s ： i n t r u s i o n d e t e c t i o n s t r u c t u r eo fs n o r t ，a n a l y z es n o r t s n o r t ，s o u r c e c o d e o f s n o r t ，b a s i c s n o r tr u l e s ，a p p li c a t i o no fs n o r t ，i p v 6 声明 x s 1 7 0 4 8 本人郑重声明我所呈交的论文是我个人在导师指导下 进行的研究工作及取得的研究成果。尽我所知，除了文中特 别加以标注和致谢的地方外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含本人或其他人在其它单位己 申请学位或为其它用途使用过的成果。与我一同工作的同志 对本研究所做的所有贡献均已在论文中作了明确的说明并 表示了致谢。 申请学位论文与资料若有不实之处，本人承担一切相关 责任。 论文作者签名：林j 耿 日期：2 p 畔辱i 弓问q 日 关于论文使用授权的说明 本人完全了解西安建筑科技大学有关保留、使用学位论 文的规定，即：学校有权保留送交论文的复印件，允许论文 被查阅和借阅；学校可以公布论文的全部或部分内容，可以 采用影印、缩印或者其它复制手段保存论文。 ( 保密的论文在论文解密后应遵守此规定) 论文作者签名：株驭翮签名：弼日期o 礞安建蕺； ；l 按次拳礞七谂衷 第一章绪论 本章首先介绍了典型的网络入侵检测系统s n o r t 的基本知识，阐述了s n o r t 的发展现状及研究意义，最后介绍了本文的研究成果和章节安排。 1 i1 网络安全与入侵检测 在信息化社会中，计算机通信网络在政治、军事、金融、商业、交通、电信、 文教等方面的作用日益增大。社会对计算机网络的依赖也日益增强。随着计算机 技术、数字通信技术、网络技术的发展，世界已经进入了数字化、信息化的时代。 计算机网络已由单个的局域网发展到目前的跨区域的、国际性的计算机网络。随 着网络的开放性、共享性及互联性的扩大，特别是i n t e r n e t 的出现，网络的重要 性和对社会的影响也越来越大。随着网络上各种新业务的兴起，比如电子商务、 电子现金、数字货币、网络银行等兴起，以及各种专用网的建设，使网络安全问 题显得越来越重要。 对于企业内部网来说，入侵的来源可能是多种多样的，比如说，它可能是企 业内部心怀不满的员工、网络黑客，甚至是竞争对手。攻击者可能窃听网络上的 信息，窃取用户的口令、数据库的信息，还可以篡改数据库的内容，伪造用户身 份，否认自己的签名。更为严重的是攻击者可以删除数据库的内容，摧毁网络的 节点，释放计算机病毒，直到整个企业网络陷入瘫痪。因此，能否成功阻止网络 黑客的入侵、保证计算机和网络系统的安全和正常运行便成为网络管理员所面临 的一个重要问题。 入侵检测技术是近2 0 年来出现的一种主动保护自己免受黑客攻击的新型网 络安全技术。什么是入侵检测呢? 简单地说，从系统运行过程中产生的或系统所 处理的各种数据中查找出威胁系统安全的因素，并对威胁做出相应的处理，就是 入侵检测。相应的软件或硬件称为入侵检测系统。入侵检测被认为是防火墙之后 的第二道安全闸门，它在不影响网络性能的情况下对网络进行监测，从而提供对 内部攻击、外部攻击和误操作的实时保护。而本文所研究的s n o r t 系统就是一个 典型的网络入侵检测系统。 i 2s n o r t 系统 1 2 is n o r t 系统简介 s n o r t 系统是一个以开放源代码的形式发行的网络入侵检测系统( n i d s ) ，由 m a r t i nr o e s c h 编写，并由遍布世界各地的众多程序员共同维护和升级。s n o r t 运行在l i b p c a p 库函数基础之上，系统代码遵循g n u g p l 协议。s n o r t 是一个轻量 级的网络入侵检测系统。所谓的轻量级是指在检测时尽可能低地影响网络的正常 操作，一个优秀的轻量级的n i d s 应该具备跨系统平台操作，对系统影响最小等特 征并且管理员能够在短时间内通过修改配置进行实时的安全响应，更为熏要的是 能够成为整体安全结构的重要成员。s n o r t 作为其典型范例，首先可以运行在多 种操作系统平台，例女n u n i x 系列和w i n d o w s9 x ( 需要l i b p c a pf o rw i n 3 2 的支 持) ，与很多商业产品相比，它对操作系统的依赖性比较低。其次用户可以根据 自己的需要及时在短时间内调整检测策略。就检测攻击的种类来说，s n o r t 检测 规则包括对缓冲区溢出，端口扫描和c g i 攻击等等。另# b s n o r t 还有回应入侵行为 i 礞囊臻鳙群热次学硬盘谂文 的辅助功能发送r s t 干n i c m pu n r e a c h 数据包向攻击方可以暂缓其对目标主机 的攻击，对于s n o r t 来说，实现该功能必然会降低检测的效率，尤其是在网络流 量特别大的时候。另外，s n o r t 还可以作为数据包嗅探器、数据包记录器使用。 1 2 2s n o r t 系统工作原理 s n o r t t 乍为一个基于网络的入侵检测系统( n i d s ) ，其工作原理为在基于共享 网络上检测原始的网络传输数据，通过分析捕获的数据包，匹配入侵行为的特征 或者从网络活动的角度检测异常行为，进而采取入侵的预警或记录。从检测模式 而言，s n o r t 褐于是误用检测( m i s u s ed e t e c t i o n ) ，即对已知攻击的特征模式进 行匹配。从本质上来说，s n o r t 是基于规则检测的入侵检测工具，即针对每一种 入侵行为，都提炼出它的特征值并按照规范写成检验规则，从而形成一个规则数 据库。其次将捕获得数据包按照规则库逐一匹配，若匹配成功，则认为该入侵行 为成立。 l - 2 3s n o r t 系统的特点 1 ) s n o r t 是一个轻量级的入侵检测系统 s n o r t 虽然功能强大，但是其代码极为简洁、短小，其源代码压缩包不到2 m 。 2 ) s n o r t 的可移植性很好 s n o r t 的跨平台性能极佳，目前已经支持l i n u x ，s o l a r i s ，b s d ，i r i x ，h p u x ，w i n d o w s 等系统。采用插入式检测引擎，可以作为标准的网络入侵检测系统、 主机入侵检测系统使用；与n e t f i l t e r 结合使用，可以作为网关i d s ( g a t e w a yi d s ，g i d s ) ；与n m a p 等系统指纹识别工具结合使用，可以作为基于目标的i d s ( t a r g e t b a s e di d s ) 。 3 ) s n o r t 的功能非常强大 s n o r t 具有实时流量分析和日志i p 网络数据包的能力。能够快速地检测网络 攻击，及时地发出报警。s n o r t 的报警机制很丰富，例如：s y s l o g 、用户指定的文 件、一个u n i x 套接字，还有使用s a m b a 协议向w i n d o w s 客户程序发出f i n p o p u p 消息。 利用x m l 插件，s n o r t 可以使用s n m l ( 简单网络标记语言，s i m p l en e t w o r km a r k u p1 a n g u a g e ) 把同志存放到一个文件或者适时报警。 s n o r t 能够进行协议分析，内容的搜索匹配。现在s n o r t 自 够分析的协议有 t c p 、u d p 、1 c m p 等。将来，可能提供对a r p 、i c r p 、g r e 、o s p f 、r i p 、i p x 等协议 的支持。它能够检测多种方式的攻击和探测，例如：缓冲区溢出、秘密端口扫描、 c g i 攻击、s m b 探测、探测操作系统指纹特征的企图等等。 s n o r t 的f | 志格式既可以是t c p d u m p 式的二进制格式，也可以解码成a s c i i 字 符形式，更加便于用户尤其是新手检查。使用数据库输出插件，s n o r t 可以把日 志记入数据库，当前支持的数据库包括：p o s t g r e s q l 、m y s q l 、o r a c l e 、任何t i n i x o d b c 数据库等。 使用t c p 流插件( t c p s t r e a m ) ，s n o r t 可以对t c p 包进行重组。s n o r t 能够对i p 包的内容进行匹配，但是对于t c p 攻击，如果攻击者使用一个程序，每次发送只 有一个字节的t c p 包，完全可以避开s n o r t 的模式匹配。而被攻击的主机的t c p 协 议栈会重组这些数据，将其送给在目标端口上监听的进程，从而使攻击包逃过s n o r t 的监视。使用t c p 流插件，可以对t c p 包进行缓冲，然后进行匹配，使s n o r t 具备了对付上面这种攻击的能力。 使用s p a d e ( s t a t i s t i c a lp a c k e ta n o m a l yd e t e c t i o ne n g i n e ) 插件，s n o r t 能够报告非正常的可疑包，从而对端口扫描进行有效的检测。 s n o r t 还有很强的系统防护能力。使用f l e x r e s p 功能，s n o r t 能够主动断开恶 醺囊建辘科技袁常顿士谂囊 意连接。 4 ) 扩展性能较好，对于新的攻击威胁反应迅速 作为一个轻量级的网络入侵检测系统，s n o r t 有足够的扩展能力。它使用一 种简单的规则描述语言。最基本的规则只是包含四个域：处理动作、协议、方向、 注意的端口。还有一些功能选项可以组合使用，实现更为复杂的功能。 s n o r t 支持插件，可以使用具有特定功能的报告、检测子系统插件对其功能 进行扩展。s n o r t 当前支持的插件包括：数据库日志输出插件、碎数据包检测插 件、端口扫描检测插件、h t t pu r in o r m a l i z a t i o n 插件、x m l 插件等。同时，它 支持多种格式的特征码规则输入方式，如数据库、x m l 等。 s n o r t 的规则语言非常简单，能够对新的网络攻击做出很快的反应。发现新 的攻击后，可以很快根据其特征码，写出检测规则。因为其规则语言简单，所以 很容易上手，节省人员的培训费用。 5 ) 多用途性 s n o r t 系统不但可以作为入侵检测系统，还可以作为数据包嗅探器、数据包 记录器使用。 6 ) 遵循公共通用许可证g p l s n o r t 遵循g p l ，所以任何企业、个人、组织都可以免费使用它作为自己的入 侵检测系统。 但是，s n o r t 系统也有很大的局限性，其系统结构决定了其检测规则只能使 用落后的简单模式匹配技术，适应目前不断出现的新的攻击方式的能力有限；并 且它在网络数据流量很大的时候容易产生漏报和误报，这对于目前的宽带潮流是 一个很大的缺点。 1 2 ，4s n o r t 系统的现状 1 发展现状 由于遍布世界各地的众多程序员共同维护和升级，目前s n o r t 系统的更新是 很快的，目前版本2 0 5 ，其系统结构日趋合理，功能不断增强，检测规则也不断 增新和完善，但系统的基本架构没有变。而且，自由软件开发人员陆续开发了众 多辅助性的软件。这些软件包括图形化的管理系统、日志分析工具、检测插件、 图形化的规则编写软件，以及规则自动升级软件等。对这些软件进行合理地选择、 集成，可以形成一套比较完善的网络入侵检测系统。 2 应用现状 s n o r t 作为自由软件，二次开发费用低廉，预算比较紧张的企业，目前广泛 的应用s n o r t 作为主要网络入侵检测系统。而且s n o r t 系统是非常典型的网络入侵 检测系统，它的体系结构是多数商用软件结构的基础，目前国内现有的大多数网 络入侵检测产品的设计模式都是以s n o r t 系统的基本架构为基础的，其检测方式 也多与s n o r t 系统类似。 3 研究意义及研究现状 1 ) 学术上的意义 作为典型的网络入侵检测系统，其系统架构和检测方式是非常有代表性的 对其源代码的彻底剖析和对其规则的分析是将来对通用入侵检测架构标准进一 步研究所必须要做的前期工作，对系统的详细分析也是将来对其功能进行升级革 新的前提。同时，研究s n o r t 系统对于改变国内目前入侵检测系统研发的落后局 面，也具有非常重要的意义。 2 ) 商业应用上的意义 硬寰建筑搴 较太学顿童谂襄 s n o r t 系统是自由软件，相对于昂贵的商业入侵检测系统，应用s n o r t 作为入 侵检测系统和对其进行专用性的二次开发的费用是非常低的。同时，它的强大功 能和多功能性对企业也具有很大吸引力。而且，国内目前多数的入侵检测系统都 是以s n o r t 系统的基本原理和结构为基础的。因此，对s n o r t 系统的研究无疑具有 很大的商业意义。 3 ) 对于保密工作的意义 如多数自由软件一样，s n o r t 系统是否含有未知的可能导致泄密的隐藏代码 同样需要搞清楚，这对于s n o r t 系统在机要国防方面的应用是非常重要的。彻底 的对整个s n o r t 系统进行解析是最好的方法。 目前国内对s n o r t 系统的研究取得了一定成果，而对s n o r t 系统基本架构的研 究尚处于起步阶段，对架构的研究仅限于系统的大体流程，对于各模块细节的研 究远远不够，还没有出现以详细流程图的形式对s n o r t 系统基本架构及的细致描 述。对于s n o r t 规则的研究也不彻底，缺乏细致的剖析。而本文以系统结构和规 则为主要研究对象，对其进行详细的剖析。 1 3本文研究成果及章节安排 1 3 1 本文主要研究成果 1 ) 细致的剖析了s n o r t 系统源代码，以系统流程图为主要形式描述了系统基 本架构和各模块工作流程。目前尚未发现国内有类似的工作。 2 ) 具体分析了s n o r t 的一些典型规则，对其特点进行了总结。 3 ) 结合实际提出了一个s n o r t 系统的典型应用方案。 4 ) 提出s n o r t 系统在i p v 4 向i p v 6 过渡阶段的相应改造方案。 1 3 2 章节安排 本文共分为六章，第一章为绪论，介绍了应用入侵检测技术的必要性，以及 s n o r t 系统的基本知识，阐述了s n o r t 系统的发展现状和研究意义，并列举了本文 的研究成果及内容安排。第二章介绍了入侵检测系统的基本原理。第三章为系统 结构分析，主要用流程图的形式细致的描述了整个s n o r t 系统的基本架构和各模 块工作流程。第四章为s n o r t 规则的分析与编写，具体的分析了s n o r t 系统一些具 有代表意义的规则实例，总结了s n o r t 规则的特点，并提出了编写s n o r t 规则所要 注意的一些问题。第五章为s n o r t 系统的应用实例，先阐述了s n o r t 作为入侵检测 系统与防火墙的配合问题，随后提出了一个典型应用方案。第六章为s n o r t 系统 适应i p v 4 向i p v 6 过渡的改造，提出了一个过渡时期的改造方案。最后是结束语， 阐述了本文的贡献和下一步研究的方向。 矗 藤蜜建簿瓣梭太学碗土谂文 第二章入侵检测系统 本章介绍了入侵检测系统的基本原理 入侵检测是指通过从计算机网络或计算机系统中的若干关键点收集信息并 对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的 迹象，同时做出响应。入侵检测系统( i d s ：i n t r u s i o nd e t e c t i o ns y s t e m ) 是实现 入侵检测功能的一系列的软件、硬件的组合。作为一种安全管理工具，它从不同 的系统资源收集信息，分析反映误用或异常行为模式的信息，对检测的行为做出 自动的反应，并报告检测过程的结果。入侵检测系统就其最基本的形式来讲，可以 说是一个分类器，它是根据系统的安全策略来对收集到的事件、状态信息进行分 类处理，从而判断出入侵和非入侵行为。 2 1 入侵检测系统的主要功能及构成 2 1 1 入侵检测系统的主要功能 监督并分析用户和系统的活动 检查系统配置和漏洞 检查关键系统和数据文件的完整性 识别代表已知攻击的活动模式 对反常行为模式的统计分析 对操作系统的校验管理，判断是否有破坏安全的用户活动。 对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统 ( 包括程序、文件和硬件设备等) 的任何变更，还能给网络安全策略的制订提供 指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易 地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需 求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络 连接、记录事件和报警等。 2 1 2 入侵检测系统的构成 入侵检测系统一般由信息收集模块、信息分析模块、用户接口组成。 1 信息收集 入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状 态和行为。而且，需要在计算机网络系统中的若干不同关键点( 不同网段和不同 主机) 收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就 是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可 疑行为或入侵的最好标识。 当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，很有 必要只利用所知道的真正的和精确的软件来报告这些信息。因为黑客经常替换软 件以搞混和移走这些信息，例如替换被程序调用的予程序、库和其它工具。黑客 对系统的修改可能使系统功能失常并看起来跟正常的一样，而实际上不是。例如， u n i x 系统的p s 指令可以被替换为一个不显示侵入过程的指令，或者是编辑器被替 换成一个读取不同于指定文件的文件( 黑客隐藏了初试文件并用另一版本代替) 。 这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应 5 一壁窭堡塑燮奎竺壁生垒查 具有相当强的坚固性，防止被篡改而收集到错误的信息。入侵检测利用的信息一 般来自以下四个方面： 1 ) 系统和网络日志文件 黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日 志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和 不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过 查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应 程序。日志文件中汜录了各种行为类型，每种类型又包含不同的信息，例如记录 “用户活动”类型的日志，就包含登录、用户i d 改变、用户对文件的访问、授权 和认证信息等内容。很显然地，对用户活动来讲，不正常的或不期望的行为就是 重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。 2 ) 目录和文件中的不期望的改变 网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私 有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变( 包括 修改、创建和删除) ，特别是那些正常情况下限制访问的，很可能就是一种入侵 产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件， 同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系 统日志文件。 3 ) 程序执行中的不期望行为 网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特 定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来 实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系 统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现， 操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输、 设备和其它进程，以及与网络间其它进程的通讯。一个进程出现了不期望的行为 可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解，从而导 致它失败，或者是以非用户或管理员意图的方式操作。 4 ) 物理形式的入侵信息 这包括两个方面的内容，一是未授权的对网络硬件连接；二是对物理资源的 未授权访问。黑客会想方设法去突破网络的周边防卫，如果他们能够在物理上访 问内部网，就能安装他们自己的设备和软件。依此，黑客就可以知道网上的由用 户加上去的不安全( 未授权) 设备，然后利用这些设备访问网络。例如，用户在 家里可能安装m o d e m 以访问远程办公室，与此同时黑客正在利用自动工具来识别 在公共电话线上的m o d e m ，如果一拨号访问流量经过了这些自动工具，那么这一 拨号访问就成为了威胁网络安全的后门。黑客就会利用这个后门来访问内部网， 从而越过了内部网络原有的防护措施，然后捕获网络流量，进而攻击其它系统， 并偷取敏感的私有信息等等。 2 信息分析 上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息， 般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两 种方法用于实时的入侵检测，而完整性分析则用于事后分析。 1 ) 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进 行比较，从而发现违背安全策略的行为。该过程可以很简单( 如通过字符串匹配 孽 礤蠢建翁科挟太学礞土谂囊 以寻找一个简单的条目或指令) ，也可以很复杂( 如利用正规的数学表达式来表 示安全状态的变化) 。一般来讲，种进攻模式可以用一个过程( 如执行条指 令) 或一个输出( 如获得权限) 来表示。该方法的一大优点是只需收集相关的数 据集合，显著减少系统负担，且技术己相当成熟。它与病毒防火墙采用的方法一 样，检、钡4 准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以 对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。 2 ) 统计分析 统计分析方法首先给系统对象( 如用户、文件、目录和设备等) 创建个统 计描述，统计正常使用时的一些测量属性( 如访问次数、操作失败次数和延时等) 。 测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值 范围之外时，就认为有入侵发生。例如，统计分析可能标识一个不正常行为，因 为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是 可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户 正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的 和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。 3 ) 完整性分析 完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的 内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性 分析利用强有力的加密机制，称为消息摘要函数( 例如m d 5 ) ，它能识别哪怕是微 小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成 功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处 理方式实现，不用于实时响应。尽管如此，完整性检测方法还应该是网络安全产 品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块， 对网络系统进行全面地扫描检查。 3 用户接口 入侵检测系统的用户接口使得用户容易观察系统的输出信号，并对系统行为 进行控制。 2 1 3 入侵检测系统的优缺点 入侵检测系统的优点在于： 提高了信息安全体系其它部分的完整性 提高了系统的监察能力 跟踪用户从进入到退出的所有活动或影响 识别并报告数据文件的改动 发现系统配置的错误，必要时予以更正 识别特定类型的攻击，并向相应人员报警，以作出防御反应 可使系统管理人员最新的版本升级添加到程序中 允许非专家人员从事系统安全工作 为信息安全策略的创建提供指导 同时入侵检测系统并不是无所不能的，它们无法弥补力量薄弱的识别和确认 机制，具体表现在： 在无人干预的情况下，无法执行对攻击的检查 无法感知公司安全策略的内容 一 不能弥补网络协议的漏洞 不能弥补由于系统提供信息的质量或完整性的问题 t 醺寰建筑群技太学硕士镌囊 它们不能分析网络繁忙时所有事务 它们不能总是对数据包级的攻击进行处理 它们不能应付现代网络的硬件及特性 2 2 入侵检测技术的分类 随着入侵检测技术的发展，到目前为止出现了很多入侵检测系统，不同的入 侵检测系统具有不同的特征。根据不同的分类标准，入侵检测系统可分为不同的 类别。对于入侵检测系统，要考虑的因素( 分类依据) 主要有：信息源、入侵、 事件生成、事件处理、检测方法等。下面就不同的分类依据及分类结果分别加以 介绍。 2 2 1 根据原始数据的来源 入侵检测系统要对其所监控的网络或主机的当前状态做出判断，并不是凭空 臆测，它需要以原始数据中包含的信息为基础，做出判断。按照原始数据的来源， 可以将入侵检测系统分为基于主机的入侵检测系统、基于网络的入侵检测系统和 基于应用的入侵检测系统。 1 ) 基于主机的入侵检测系统 主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和 f ：_ | 志文件来检测入侵。同志中包含发生在系统上的不寻常和不期望活动的证据， 这些证据可以指出有人正在入侵或己成功入侵了系统。通过查看日志文件，能够 发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。通常，基于主 机的i d s 可监测系统、事件和w i n d o w sn t 下的安全记录以及u n i x 环境下的系统记 录，从中发现可疑行为。当有文件发生变化时，i d s 将新的记录条目与攻击标记 相比较，看它们是否匹配。如果匹配，系统就会向管理员报警并向别的目标报告， 以采取措施。对关键系统文件和可执行文件的入侵检测的一个常用方法，是通过 定期检查校验和来进行的，以便发现意外的变化。反应的快慢与轮询间隔的频率 有直接的关系。此外，许多i d s 还监听主机端口的活动，并在特定端口被访问时 向管理员报警。 尽管基于主机的入侵检查系统不如基于网络的入侵检查系统快捷，但它确实 具有基于网络的系统无法比拟的优点。这些优点包括： 能确定攻击是否成功 主机是攻击的目的所在，所以基于主机的i d s 使用含有己发生的事件信息， 可以比基于网络的i d s 更加准确地判断攻击是否成功。就这一方面而言，基于主 机的i d s 与基于网络的i d s 互相补充，网络部分尽早提供针对攻击的警告，而主机 部分则可确定攻击是否成功。 监控粒度更细 基于主机的i d s ，监控的目标明确，视野集中，它可以检测一些基于网络的 i d s 不能检测的攻击。它可以很容易地监控系统的一些活动，如对敏感文件、目 录、程序或端口的存取。例如，基于主机的i d s 可以监督所有用户登录及退出登 录的情况，以及每位用户在连接到网络以后的行为。它还可监视通常只有管理员 才能实施的非正常行为。针对系统的一些活动，有时并不通过网络传输数据，有 时虽然通过网络传输数据但所传输的数据并不能提供足够多的信息，从而使得基 于网络的系统检测不到这些行为，或者检测到这个程度非常困难。 配置灵活 礞寰建筑秸接太学礤土谵囊 每个主机有其自己的基于主机的i d s ，用户可根据自己的实际情况对其进 行配置。 可用于加密的以及交换的环境 加密和交换设备加大了基于网络i d s 收集信息的难度，但由于基于主机的i d s 安装在要监控的主机上，根本不会受这些因素的影响。 对网络流量不敏感 基于主机的i d s 一般不会因为网络流量的增加而丢掉对网络行为的监视。 不需要额外的硬件 基于主机的入侵检测系统的主要缺点是：它会占用主机的资源，在服务器上 产生额外的负载：缺乏平台支持，可移植性差，因而应用范围受到严重限制。 在网络环境中，某些活动对于单个主机来说可能构不成入侵，但是对于整个 网络是入侵活动。例如“旋转门柄”攻击，入侵者企图登录到网络主机，他对每 台主机只试用一次用户i d 3 n 口令，并不穷尽搜索，如果不成功，便转向其他主机。 这种攻击方式，各主机上的入侵检测系统显然无法检测到，这就需要建立面向网 络的入侵检测系统。 2 ) 基于网络的入侵检测系统 主要用于实时监控网络关键路径的信息，它侦听网络上的所有数据包来采集 数据，分析可疑现象。基于网络的入侵检测系统使用原始网络数据包作为数据源。 基于网络的i d s 通常利用一个运行在混杂模式下网络的适配器来实时监视并分析 通过网络的所有通信业务，当然也可能采用其他特殊硬件获得原始网络包。 基于网络的i d s 有许多仅靠基于主机的入侵检测所无法提供的功能。实际上， 许多客户在最初使用i d s 时，都配置了基于网络的入侵检测。基于网络的检测有 以下优点： 监测速度快 基于网络的监测器通常能在微秒或秒级发现问题。而大多数基于主机的产品 则要依靠对最近几分钟内审计记录的分析。 隐蔽性好 一个网络上的监测器不像一个主机那样显眼和易被存取，因而也不那么容易 遭受攻击。基于网络的监视器不运行其他的应用程序，不提供网络服务，可以不 响应其他计算机，因此可以做得比较安全。 视野更宽 可以检测一些主机检测不到的攻击，如泪滴( t e a rd r o p ) 攻击，基于网络 的s y n 洪水等。还可以检测不成功的攻击和恶意企图。 较少的监测器 由于使用一个监测器就可以保护个共享的网段，所以你不需要很多的监测 器。相反地，如果基于主机，则在每个主机上都需要一个代理，这样的话，花费 昂贵，而且难于管理。但是，如果在个交换环境下，就需要特殊的配置。 攻击者不易转移证据。 基于网络的i d s 使用正在发生的网络通信进行实时攻击的检测。所以攻击者 无法转移汪据。被捕获的数据不仅包括攻击的方法，而且还包括可识别黑客身份 和对其进行起诉的信息。许多黑客都熟知审计记录，他们知道如何操纵这些文件 掩盖他们的作案痕迹，如何阻止需要这些信息的基于主机的系统去检测入侵。 操作系统无关性 基于网络的i d s 作为安全监测资源，与主机的操作系统无关。与之相比，基 西 囊穗簸群挂太学褫童论文 于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作，生成有 用的结果。 可以配置在专门的机器上，不会占用被保护的设备上的任何资源 基于网络的入侵检测系统的主要缺点是：只能监视本网段的活动，精确度不 高；在交换环境下难以配置：防入侵欺骗的能力较差；难以定位入侵者。 3 ) 基于应用( f i p p l i c a t i o n ) 的入侵检测系统 基于应用的入侵检测系统可以说是基于主机的入侵检测系统的一个特殊子 集，也可以说是基于主机入侵检测系统实现的进一步的细化，所以其特性、优缺 点与基于主机的i d s 基本相同。主要特征是使用监控传感器在应用层收集信息。 由于这种技术可以更准确地监控用户某应用的行为，所以这种技术在日盏流行 的电子商务中也越来越受到注意。它监控在某个软件应用程序中发生的活动，信 息来源主要是应用程序的日志。它监控的内容更为具体，相应的监控的对象更为 狭窄。 这三种入侵检测系统具有互补性，基于网络的入侵检测能够客观地反映网络 活动，特别是能够监视到系统审计的盲区；而基于主机的和基于应用的入侵检测 能够更加精确地监视系统中的各种活动。实际系统大多是这三种系统的混合体。 2 2 2 根据检测原理进行分类 传统的观点根据入侵行为的属性将其分为异常和误用两种，然后分别对其建 立异常检测模型和误用检测模型。异常入侵检测是指能够根据异常行为和使用计 算机资源的情况检测出来的入侵。异常入侵检测试图用定量的方式描述可以接受 的行为特征，以区分非正常的、潜在的入侵行为。a n d e r s o n 做了如何通过识别“异 常”行为来检测入侵的早期工作。他提出了一个威胁模型，将威胁分为外部闯入、 内部渗透和不当行为三种类型，并使用这种分类方法开发了一个安全监视系统， 可检测用户的异常行为。误用入侵检测是指利用己知系统和应用软件的弱点攻击 模式来检测入侵。与异常入侵检测不同，误用入侵检测能直接检测不利的或不可 接受的行为，而异常入侵检测是检查出与正常行为相违背的行为。综上，可根据 系统所采用的检测模型，将入侵检测分为两类：异常检测和误用检测。 1 ) 异常检测 在异常检测中，观察到的不是已知的入侵行为，而是所研究的通信过程中的 异常现象，它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前， 首先必须建立统计概率模型，明确所观察对象的正常情况，然后决定在何种程度 上将一个行为标为“异常”，并如何做出具体决策。 2 ) 误用检测 在误用检测中，入侵过程模型及它在被观察系统中留下的踪迹是决策的基 础。所以，可事先定义某些特征的行为是非法的，然后将观察对象与之进行比较 以做出判别。误用检测基于已知的系统缺陷和入侵模式，故又称特征检测。它能 够准确地检测到某些特征的攻击，但却过度依赖事先定义好的安全策略，所以无 法检测系统未知的攻击行为，从而产生漏警。 2 2 3 根据体系结构分类 按照体系结构，i d s 可分为集中式、等级式和协作式三种。 1 ) 集中式 这种结构的i d s 可能有多个分布于不同主机上的审计程序，但只有一个中央 入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析 处理。但这种结构的i d s 在可伸缩性、可配置性方面存在致命缺陷。随着网络规 l 堪 蕊蜜建筑群拣友学颀士逾衰 模的增加，主机审计程序和服务器之间传送的数据量就会骤增，导致网络性能大 大降低。并且，一旦中央服务器出现故障，整个系统就会陷入瘫痪。根据各个主 机的不同需求配置服务器也非常复杂。 2 ) 等级式 在这种i d s 中，定义了若干个分等级的监控区域，每个i d s 负责一个区域，每 一级i d s 只负责所监控区的分析，然后将当地的分析结果传送给上一级i d s 。这种 结构也存在一些问题：首先，当网络拓扑结构改变时，区域分析结果的汇总机制 也需要做相应的调整；第二，这种结构的i d s 最后还是要把各地收集到的结果传 送到最高级的检测服务器进行全局分析，所以系统的安全性并没有实质性的改 进。 3 ) 协作式 将中央检测服务器的任务分配给多个基于主机或网络的i d s ，这些i d s 不分等 级，各司其职，负责监控当地主机或者网段的某些活动。所以，其可伸缩性、安 全性都得到了显著的提高，但维护成本却高了很多，并且增加了所监控主机的工 作负荷，如通信机制、审计开销、踪迹分析等，网络流量也增大。 2 3 入侵检测技术的发展方向 可以看到，在入侵检测技术发展的同时，入侵技术也在更新，一些黑客组织 已经将如何绕过i d s 或攻击i d s 系统作为研究重点。高速网络，尤其是交换技术的 发展以及通过加密信道的数据通信，使得通过共享网段侦听的网络数据采集方法 显得不足，而大量的通信量对数据分析也提出了新的要求。随着信息系统对一个 国家的社会生产与国民经济的影响越来越重要，信息战己逐步被各个国家重视， 信息战中的主要攻击“武器”之一就是网络的入侵技术，信息战的防御主要包括 “保护”、“检测”与“响应”，入侵检测则是其中“检测”与“响应”环节不可 缺少的部分。近年对入侵检测技术有几个主要发展方向： 1 ) 分布式入侵检测与通用入侵检测架构 传统的i d s 一般局限于单一的主机或网络架构，对异构系统及大规模的网络 的监测明显不足。同时不同的i d s 系统之间不能协同工作，为解决这一问题，需 要分布式入侵检测技术与通用入侵检测架构。 2 ) 应用层入侵检测 许多入侵的语义只有在应用层才能理解，而目前的i d s 仅能检测如w e b 之类的 通用协议，而不能处理如l o t u sn o t e s 、数据库系统等其他的应用系统。许多基于 客户、服务器结构与中间件技术及对象技术的大型应用，需要应用层的入侵检测 保护。 3 ) 智能的入侵检测 入侵方法越来越多样化与综合化，尽管已经有智能体、神经网络与遗传算法 在入侵检测领域应用研究，但是这只是一些尝试性的研究工作，需要对智能化的 d s 2 n 以进一步的研究以