（计算机应用技术专业论文）网络入侵检测系统的实现与改进.pdf

网络入侵检测系统的实现与改进捅矍随着计算机网络在人们生活中的广泛应用，由网络安全引发的各种问题也越来越普遍，入侵攻击、拒绝服务攻击、网络资源滥用等威胁，为计算机互连网带来了很多负面的影响，尤其1 9 9 3 年1 1 l t e m e t i n t r a n e t 技术的日益成熟，网络安全技术的研究变的越来越重要，甚至成了各种网络服务和应用进一步发展所需要解决的关键问题。网络安全防御有多种技术，包括防火墙、认证、加密等手段，但是这些被动的防御措施可能会被绕过，而一旦这些防御措施在绕过，系统将全面暴露在攻击之下，因此作为一种主动防御措施，入侵检测应运而生。并且在若干年的时间里就有了巨大的发展，部署方式上从主机i d s ，n d s 走向两个结合的分布式智能代理( a g e n t ) 发展；检测算法从最初的模式匹配，到现在的神经网络：入侵检测及数据挖掘、i i d s ( 智能化入侵检测) 、遗产算法等；响应方式从单一的报警发展到更多种类更主动的主动防御、多部件连动：数据来源也从简单的网络数据包和系统日志走向数据融合。就目前的形式而言，入侵检测系统碰到了许多问题，有些问题，比如i d s系统评估和入侵模式特征的准确性等，已经成为了i d s 技术进一步发展的瓶颈。但挑战和困难也是机遇，一个体系正是在不断暴露问题、解决问题的同时发展的。相信这些问题也必然会解决，从而使入侵检测系统将获得更大的发展。通过在研究生阶段的学习，个人根据实验条件和目前的实际应用情况，构建了一套符合c i d f ( 国际通用入侵检测系统框架) 的入侵检测系统，将蜜罐系统加入其中。针对现有i d s 响应模块的缺点和口s 处理方式对网络的影响，我通过对规则库的修改处理配合连动防护，对报警机制进行了一些改进。并通过实验对系统进行了验证，显示运行效果良好。同时检验中也发现了该改进措施中不足的地方。最后文章提出了一种试图解决入侵检测系统响应模块问题的思路。关键词：网络安全、i d s ( 入侵检测) 、c f 、响应、连动、密罐网络入侵检测系统的实现与改进a b s t r a c tw i t ht h ec o m p u t e rn e t w o r ku db r o a d l yi 1 1p e o p l e sl j v e s ，t h ep m b l e m sc a u s e db yt h en e t w o r ks e c u r i t ya r em o r ea n dm o r cp r e v a l e n i t h ec o m p u i e rs u f c e r sf m mm en e g a t j v ee f i b c to ft h ei n v a s i o na t t a c k ，d o s e n i a lo fs e r v i c e ) a 1 1 dn e 押o r kr e s o u r c em i s u s e ，e t e s p e c i a l ly ，s i n c e1 9 9 3 ，t h ei e c h n i q u eo fh l e m e t ，1 n i r a n e ti sm a i u f e dq u i c k l y s ot h e 曲l d yf o rt 1 1 et e c h n i q u eo fn e t w o r ks e c u r i t yb e c o m e sm o r c 强dm o r ei m p o n a n t ，e v e ni th a sb e e t h ek e yp r o b j e mf o rt h ef u r t h e rd e v e l o p m e n lo f v a r i a nn e t w o r k r v i c ca n da p p l i c a t i o n t h e r ea r em a n yt e c h n i q u e sf o rd e f e n c eo fo n l i i l es e c u r i t y ，i n c l u d i n gt h ef i r ew “l ，a u t h e n t i c “o na n d 曲c r y p t i o n b u t ，a l lt h c s ep a s s i v ed e f e n c e sm e a s u i e sc a na l w 州sb es t e e rd e a io f ，a n di ft h i sh a p p e n e d ，t 1 1 es y s t e mw i l lb eo p e n 酣i nt h ea t t a c k i n g s o ，a sa ni n i l i a t i v ed e f e n c em e a s u r e ，t h ei n v a s i o ne x a m i n a t i o ne m e r g ea st h et i m e sr e q u i r e t h et e c h n i q u eo fi n v a s i o ne x a m i n 撕o nh 船m a d eg f e a tp r o g f e s si nr e c c ty e a r s i t sd i t r i b u t e dm o d eh a sm nt od i s t r i b u t e di n t e l l i g e n la g 蛐tw b i c hc o n l b i n c st l l e s 柚dn m s ；e x a m i n a t i o na l g o r i t h mw a st h e 舢) d em a t c h i l l g ，b u tn o w i th a s 舢t oi h en e r v en e t w o r k ( n n ) ，t h ei n v a s i o ne x a m i n a t i o na n dt h ed a t am i n i n i i d s 柚di n h e f i t a 玎c ea 1 9 0 r i t l l r n ；1 1 l er e s p o n m o d ei sa l s od e v e l o p t e df r o mt h es i n g l eg i v i n g 柚a l a r mt om o r ec a l e g o r i e s 卸d 删) r ea c 廿v ci i l i t i a t i v ed e f e n c ea n dr e l a i i o no fo t h e rm e a s u r c ；t h es o u t c eo fd a t ai sd e v e l o p t e df r o ms i m p l e 北t w o r kd a t ap a c k a g ea n ds y s t e mt r a c et ot h ed a t am e l g i n g 1 n1 i g h to fc u e ms t a t u s ，t l l e r ea r e 胁n yp m b l e m sa b o u ti n v a s i o ne x a m i i l a t i o ns y s i e m ，i n c l u d i n gl h ee v a l u a t i o nt ol d ss y s t e m 锄dt l i ev e r a c i t yo fi v 勰i 叫m o d ec b a r a c t e r i s 廿c ，w h i c hh a sb e e ni h ed e v e l o p t i gb o t t l e n e c kf o rt l l et e d m j q 眦o fm s b u tt h ec h a l l 即g ea n dd i f f i c u l t yi st h eo p p o n u n i t ya im es a m en 腓，b e c a u s eas y s t e mg e tt l l ed e v e l 叩m e n tf m mt l l ep r o b l e m sa n dh o wt os o l v et h ep m b l e m s w 宅c 柚b e u e v et h a tt l l ei n v 鹊i o ne x a m i a t i o ns y s t e mw i l lg e tm o r eg r e a tp m g r e s sw i t hl h es o l v i n gt ot l l e s ep m b l e m s i nm yp o s t g m d u a t es t i l d y a c c o r d i l l gf o 山ee x p e f i m e n t a t i o nc o n d i t i o na n dp r a c t i c e 叩p l i c a t i o ns i t u a “o n ，is t r u c t u r eai n t m s i o nd e l e c l i o ns y s l e m ，w 血i c hf o l l o w st h ec i d f 柚di n c l u d e st h eh o n e y p o t i nl i g h to ft h ed i s a d v a n t a g eo ft h ei d sa l a r mr e s p o n s em o d u l ea n dt h ei m p r e s s i o nt on e l w o f ko “b em a n a g e m e n tm e a l l s0 fi p s ，jg c tt h ed j s a d v a n i a g eh o ml h em e a n sb ym o d i f y i n gt h er u l e 由a s ea n dr e l a d o n a lp r o t e c t i o n ，i n l p f o v i n gt h ca l a 册d i s c i p l i n e b yt h ee x a r n j n gt h es y s t e mi sp r o v e dl o 、v o r ka l lr j g h i b u t ，s a m eq u e s n i sf o u n dt o o a tl a s tan o t i o ni sb m u g h to u tt os o l v e st h en s p o n s em o d u l ep r o b l e m so fi i l v 拈i o ne x a m i n a t i o ns y s t e m 】( e yw o r d s ：n e t w o r ks e c i l r i t yl d s ( i n t 兀l s i o nd e t e c t i o ns y s t e m )c l d fr e s p o n s er e h t i o nr e s p o n s eh o n e y p o lh郑重声明y9 7 53本人的学位论文是在导师指导下独立撰写并完成的，学位论文没有剽窃、抄袭等违反学术道德、学术规范的侵权行为，否则，本人愿意承担由此产生的一切法律责任和法律后果，特此郑重声明。c 蚴：f 昶锦叩呻孑年5 。月) 7 h刚络入侵检测系统的实现与改进1 1 、选题的意义第一章绪论入侵检测技术是随着网络技术和信息安全技术的发展而诞生、发展的：计算机网络的普及为人们带来工作、生活的巨大便利，目前的时代已经不能离开计算机网络，但伴随着网络带来的便利，网络同时为人类带来了信息安全的难题。如何尽可能的利用网络的服务，而减少因网络信息安全方面的损失是一个很重要的课题。自从网络诞生以来，攻击一直存在，而且随着网络技术的发展和普及，攻击手段和方式也在不断的发展中，目前大家所持的观点是，网络世界中没有绝对的安全，也就是说不可能完全消除安全漏洞、不可能消灭所有的攻击。计算机安全作为计算机科学中一个越来越重要的分支，其目的在于应对不断发展的攻击威胁，提高计算机的安全性能，尽可能的减少攻击、和攻击带来的损失。传统的安全系统，采取被动的网络安全防御技术( 一般为访问控制) ，例如采用防火墙、认证技术和加密等方法，被动的防御技术的缺陷是一旦这些系统被绕过或者认证口令被泄露，那么一个滥用权利者将获得未授权的访问，从而造成巨大的损失和系统运行的崩溃。入侵检测系统就是为了弥补传统被动防御技术的弱点而产生的，并且随着自身的不断发展衍生出一系列的新的形式。比如，构架模型从集中式向分布式发展，检测技术从最初简单的协议分析、规则匹配向神经网络、遗传算法、智能化检测发展，响应方式从被动的报警到主动的连动，自动阻断等。在阅读和学习大量网络安全有关的文献资料后，个人选择基于网络的入侵检测作为自己的研究课题，希望能在入侵检测方面做些有意义的工作，同时为今后进一步研究计算机网络打个好基础。1 2 、研究工作概述个人研究工作的基本内容包括：根据目前入侵检测的发展情况和现有设备，构建一套简单的入侵检测系统，实现与防火墙的连动，把蜜罐系统加入其中，对预警策略做了简单的改进，并通过实验验证了其可行性和作用，已经确定了下一步继续研究的方向。网络入侵检测系统的实现与改进1 3 、章节安排第1 章对课题的背景和研究内容进行简略的描述。第2 章介绍入侵的手段、一般模式和现有的安全防御技术的简单知识，例如认汪技术，访问控制技术，数据完整性技术，加密技术等等。第3 章对目前入侵检测技术发展历程，以及发展的方向和目前的水平进行了晚明，对入侵检测中比较重要的模型框架进行了详述。第4 章利用现有的环境构建一套入侵检测系统，将蜜罐引入系统中，对入侵响应模块做简单的改进，并利用现有条件对系统和改进进行检验第5 章对全文进行总结，提出解决响应模块问题的构想。并提出下一步学习和研究的方向、目标。网络入侵检测系统的实现与改进第二章网络安全威胁与防御自从网络诞生以来，攻击一直存在，而且随着网络技术的发展和普及，攻击手段和方式也在不断的发展中，目前大家所持的观点是，网络世界中没有绝对的安全，也就是说不可能完全消除安全漏洞、不可能消灭所有的攻击。计算机安全作为计算机科学中一个越来越重要的分支，其目的在于应对不断发展的攻击威胁，提高计算机的安全性能，尽可能的减少攻击、和攻击带来的损失。网络安全的现状和危机已经无须冗述，每天都有无数攻击事件被报道，而事实上是每报道一起攻击事件，就有6 到7 件攻击被忽略。2 1 、主要入侵手段做好网络安全防御的最基本前提是了解敌人，了解黑客，以下就简单的介绍些目前最常见的网络入侵技术：l 、网络扫描：在i n t e r n e t 上进行广泛搜索，以找出特定计算机或软件中的弱点。2 、网络嗅探程序：查看通过i n t e r n e t 的数据包，以捕获口令或全部内容。通过安装侦听器程序来监视网络数据流，从而获取连接网络系统时用户键入的用户名和口令。3 、拒绝服务：通过反复向某个w e b 站点的设备发送过多的信息请求，黑客可以有效地堵塞该站点上的系统，导致无法完成应有的网络服务项目( 例如电子邮件系统或联机功能) ，称为“拒绝服务”问题。4 、欺骗用户：伪造电子邮件地址或w e b 页地址，从用户处骗得口令、信用卡号码等。欺骗是用来骗取目标系统，使之认为信息是来自或发向其所相信的人的过程。欺骗可在i p 层及之上发生( 地址解析欺骗、i p 源地址欺骗、电子邮件欺骗等) 。当一台主机的i p 地址假定为有效，并为t c p 和u d p 服务所相信。利用i p 地址的源路由，一个攻击者的主机可以被伪装成一个被信任的主机或客户。5 、特洛伊木马：一种用户很难察觉到的程序，其中含有可利用一些软件中已知弱点的指令。6 、后门：为防原来的进入点被探测到，留几个隐藏的路径以方便再次进入。7 、恶意小程序：微型程序，修改硬盘上的文件，发送虚假电子邮件或窃取口令。8 、竞争拨号程序：能自动拨成千上万个电话号码以寻找进入调制解调器连接的路径。逻辑炸弹计算机程序中的一条指令，能触发恶意操作。网络入侵检测系统的实现与改进9 、缓冲器溢出：向目标主机内存缓冲区发送超过缓存上限的数据，以摧毁计算机控制系统或获得计算机控制权。1 0 、口令破译：用软件猜出口令。通常的做法是通过监视通信信道上的口令数据包，破解口令的加密形式。1 l 、社交工程：与公司雇员谈话，套出有价值的信息，属于非技术因素。2 2 、入侵的一般步骤和模式了解主要的入侵技术后，我们将了解一下黑客入侵的一般模式和步骤，以下是简单的介绍：1 、隐藏黑客的位置典型的黑客会使用如下技术隐藏他们真实的i p 地址：利用被侵入的主机作为跳板；在安装w i n d o w s 的计算机内利用w i n g a t e 软件作为跳板；利用配置不当的p r o x y 作为跳板，更老练的黑客会使用电话转接技术隐蔽自己。他们常用的手法有是利用8 0 0 号电话的私人转接服务联接i s p ，然后再盗用他人的账号e 网：通过电话联接一台主机，再经由主机进入i n t e r n e t 。使用这种在电话网络上的“三级跳”方式进入i n t e r n e t 使黑客难以跟踪。理论上，黑客可能来自世界任何一个角落。如果黑客使用8 0 0 号拨号上网，他更不用担心上网费用。2 、网络探测和资料收集黑客利用以下的手段得知位于i n t e r n e t 和i n t r a n e t 的主机名。使用n s l o o k u p 程序的l s 命令；通过访问公司主页找到其他主机；阅读f t p服务器上的文挡；联接至m a i l s e r v e r 并发送e x p n 请求；f i n g e r 外部主机上的用户名；在寻找漏洞之前，黑客会试图搜集足够的信息以勾勒出整个网络的布局。利用上述操作得到的信息，黑客很容易列出所有的主机，并猜测它们之间的关系。3 、找出被信任的主机黑客总是寻找那些被信任的主机。这些主机可能是管理员使用的机器，或是一台被认为是很安全的服务器。一般会检查所有运行n f s d 或m o u n t d 的主机的n f s 输出。往往这些主机的一些关键目录( 如u s r b i n 、e t c 和h o m e ) 可以被那台被信任的主机m o u n t 。发f i n g e rd a e m o n 也可以被用来寻找被信任的主机和用户，因为用户经常从某台特定的主机上登录。黑客还会检查其他方式的信任关系。比如利用c g i 的漏洞，读取e t c h o s t s a l l o w 文件等等。分析完上述的各种检查结果，就可以大致了解主机问的信任关系。下一步，4，网络入侵检测系统的实现与改进黑客将探测这些被信任的主机哪些存在漏洞可以被远程侵入侵，找出有漏洞的网络成员。当黑客得到网络内外部主机的清单后，他就可以用一些l i n u x 扫描器程序寻找这些主机的漏洞。黑客一般寻找网络速度很快的l i n u x 主机运行这些扫描程序。所有的这些扫描程序都会进行下列检查：t c p 端口扫描；r p c 服务列表；n f s 输出列表；共享( 如s a m b a 、n e t b i o x )列表：缺省账号检查：s e n d m a i l 、i m a p 、p o p 3 、r p cs t a t u s 和r p cm o u n t d 有缺陷版本检测。进行完这些扫描，黑客对哪些主机可以入侵已经有了足够的了解。如果路由器兼容s n m p 协议，有经验的黑客还会采用攻击性的s n m p 扫描程序进行尝试，或者使用“强力”程序去猜测这些设备的公共和私有c o 舢u n i t ys t r i n g s 。5 、利用漏洞当黑客找到了所有被信任的外部主机，也已经找到了外部主机所有可能存在的漏洞。下一步就是着手入侵主机。黑客会选择一台被信任的外部主机进行尝试。一旦成功侵入，黑客将从这里出发，设法进入公司内部的网络。但这种方法是否成功要看公司内部主机和外部主机间的过滤策略了。攻击外部主机时，黑客一般是运行某个程序，利用外部主机上运行的有漏洞的d a e m o n 窃取控制权。有漏洞的d a e m o n 包括s e n d m a i l 、i m a p 、p o p 3 各个漏洞的版本，以及r p c 服务中诸如s t a t d 、【o u n t d 、p c n f s d 等。有时，那些攻击程序必须在与被攻击主机相同的平台上进行编译。6 、获得控制权黑客利用d a e m o n 的漏洞进入系统后会做两件事：清除记录和留下后门。首先会安装一些后门程序，以便以后可以不被察觉地再次进入系统。大多数后门程序是预先编译好的，只需要想办法修改时间和权限就可以使用，甚至于新文件的大小都和原有文件一样。黑客一般会使用r c p 传递这些文件，以便不留下f t p 记录。一旦确认自己是安全的，黑客就开始侵袭整个内部网。7 窃取网络资源和特权黑客找到攻击目标后，会继续下一步的攻击，步骤如下：( 1 ) 下载敏感信息如果黑客的目的是从某机构内部的f t p 或w w w 服务器上下载敏感信息，他可以利用已经被侵入的某台外部主机轻而易举地得到这些资料。网络入侵检测系统的实现与改进( 2 ) 攻击其他被信任的主机和网络大多数的黑客仅仅为了探测内部网上的主机并取得控制权，只有那些“雄心勃勃”的黑客，为了控制整个网络才会安装特洛伊木马和后门程序，并清除记录。那些希望从关键服务器上下载数据的黑客，常常不会满足于以一种方式进入关键服务器。他们会费尽心机找出被关键服务器信任的主机，安排好几条备用通道。( 3 ) 安装s n i f f e r在内部网上，黑客要想迅速获得大量的账号( 包括用户名和密码) ，最为有效的手段是使用“s n i f f e r ”程序。黑客会使用上面各节提到的方法，获得系统的控制权并留下再次侵入的后门，以保证s n i f f e r 能够执行。( 4 ) 瘫痪网络如果黑客已经侵入了运行数据库、网络操作系统等关键应用程序的服务器，使网络瘫痪一段时间是轻而易举的事。如果黑客已经进入了内部网，他可以利用许多路由器的弱点重新启动、甚至关闭路由器。如果他们能够找到最关键的几个路由器的漏洞，则可以使整个局域网彻底瘫痪一段时间。2 3 、主要的安全防御技术近年来研究较多的主要是防电磁泄漏、密码、防火墙、身份识别、访问控制、数字签名、网上监控、内容审查、入侵检测、审计跟踪等安全技术。1 、防电磁泄漏技术构成信息网络系统的设备在运行时能通过地线、电源线、信号线等产生电磁泄漏。如果泄漏的电磁信号被接收下来，经过提取处理，可恢复出原信息。为防止电磁泄漏造成信息泄密，近年来世界各国都在研制防电磁泄漏的技术，统称为t e m p e s t 技术。主要包括两方面内容：一是抑制和屏蔽技术；二是干扰防护技术。2 、密码技术密码技术分为对称密钥和非对称密钥密码两种。对称密钥密码技术要求加密解密双方都拥有相同的密钥，而非对称密钥密码( 又称公钥密码) 技术是双方拥有不同的密钥。3 、防火墙技术“防火墙”在计算机安全领域是指用来保护内部网络不受来自外部的非法或非授权侵入的逻辑装置。“防火墙”种类很多，大致可为分两大类：一类是包过滤型，另一类是代理服务型。防火墙技术的核心思想是在不安全的网间网环境中构造一个相对安全的网络入侵检测系统的实现与改进子网环境。目前防火墙技术的实现主要有两种手段：一种是基于包过滤技术，一种是基于代理技术。4 、身份识别技术当前用于身份识别的技术方法主要有四种，一是利用用户身份、口令、密钥等技术措施进行身份识别；二是利用用户体貌特征、指纹、签字等技术措施进行身份识别：三是利用用户持有的证件，如光卡、磁卡等进行身份识别；四是多种方法交互使用进行身份识别。5 、访问控制技术目前对系统内部用户非授权的访问控制主要有两种类型，即任意访问控制和强制访问控制。任意访问控制，指用户可以随意在系统中规定访问对象，通常包括目录式访问控制，访问控制表，访问控制矩阵和面向过程的访问控制等方式；强制访问控制，指用户和文件都有固定的安全属性，由系统管理员按照严格程序设置，不允许用户修改。如果系统设置的用户安全属性不允许用户访问某个文件，那么不论用户是否是该文件的拥有者都不能进行访问。6 、数字签名技术数字签名技术是解决网络通信中发生否认、伪造、冒充、篡改等问题的安全技术。实现数字签名的方法很多，比如利用公开密钥实现的数字签名方法等。7 、入侵检测技术在此不在详细讲述。8 、风险分析技术风险分析是安全管理的重要部分，主要包括两个方面内容，静态分析和动态分析。静态分析，即系统设计前的风险分析和系统试运行前的风险分析；动态分析，即系统运行期间的风险分析和系统运行后的风险分析。9 、审计跟踪技术审计跟踪是运用操作系统、数据库管理系统、网络管理系统提供的审计模块的功能或其它专门程序，对系统的使用情况建立日志记录，以便实时地监控、报警或事后分析、统计、报告，是一种通过事后追查来保证系统安全的技术手段。从系统部件功能看，可分为操作系统审计跟踪、数据库审计跟踪、网络审计跟踪三种：从角色要求看，可分为系统操作审计、服务审计、通信审计、故障审计和事件审计等五类；从安全强度要求看，可分为自主型安全控制审计和强制性安全控制审计等两类。网络入侵检测系统的实现与改进第三章入侵检测( 1d s )3 1 、入侵检测系统的诞生和发展早在1 9 8 0 年，j a f l l e sa n d e r s o n 就在一篇文章c o m p u t e rs e c u r i t yt h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e 里引入了入侵检测这个概念。从此，i d s 就开始了它特殊的发展道路，而i d s 技术领域中的一些里程碑事件将入侵检测一直引领到今天。了解入侵检测系统的发展对我们理解i d s 技术有很大的帮助。j 硼e sa n d e r s o n 最早在这篇文章中提出了一个很有用的概念即审计跟踪包含了一些关键信息，这些信息对跟踪误用行为和理解用户行为很有帮助。随着这片文章的发表，误用检测和特定用户事件的概念得到融合。他对审计数据的独到见解和审计数据的重要性导致每个操作系统的审计子系统都有很大的改善。a n d e r s o n 的想法为以后的入侵检测的设计和发展奠定了基础。可以说，他的工作总体上勾画了i d s 的轮廓，也开了基于主机的入侵检测的先河。但是，审计跟踪并不能发现“伪装者”，即一旦用户口令被盗用，就毫无办法。因此a n d e r s o n提出可以根据用户行为的一些统计分析来判定系统的不正常使用模式，从而发现“伪装者”。这个艨胧的想法在下一个里程碑式的i d e s 项目中实现了。1 9 8 3 年，d o r o t h yd e n n i n g 博士开始给政府作一个工程项目，这个项目致力于入侵检测的研究。他们的目标是分析从政府主机来的审计数据并且针对用户的行为建立用户轮廓文件。她首先提出了一个实时入侵检测系统模型，它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。它的划时代意义在于提出了反常活动和计算机不正之间的相关性。按照这个思路，利用审计记录建立用户或者用户组活动的特性，通过与当前会话的审计数据进行比较，从而发现异常。例如，特征可以是特定资源被使用的数量和相关事件之间的时间长度等。该方法的优点是：无需了解入侵者所使用的特定机制，就可以检测入侵。但存在的问题包括：特征的不确定性难以准确判断异常；有耐心的攻击者可以逐渐更改行为特征导致检测失败等等。针对这个情况，当时提出了第二种工作原理：利用专家系统和既定规则，查找活动中的已知攻击，这个方法可以准确地描述异常行为，进行匹配，从而发现入侵行为。前一种方法后来被称作异常检测( a n o m a l yd e t e c t i o n ) ，后一种方法则称作误用检测( m i s u s ed e t e c t i o n ) 。年之后，d e n n i n g 提出的模型就在入侵检测专家系统( i n t r u s i ( ) nd e t e c t i o ne x p e r ts y s t e m ，i d e s ) 原型中实现了，浚系统由s r ii n t e r n a t j o n a l网络入侵检测系统的实现与改进公司开发。d e n n i n g 博士结合她的的研究工作，在1 9 8 7 年发表了一篇关键的文章a ni n t r u s i o nd e t e c t i o nm o d e l ，这篇文章被认为是入侵检测的另一篇开l 【i之作。文章里的观点和假设成为8 0 年代入侵检测研究和系统原型设计的基础。而同一时刻，在加州大学的d a v i sl a w r e n c el i v e r m o r e 实验室也取得了一些重大进展。1 9 8 8 年，l a w r e n c el i v e 珈o r e 实验室的h a y s t a c k 项目组为美国空军部门开发了一个入侵检测系统。h a y s t a c k 以“特征”集合来描述系统审计跟踪数据中的信息。特征可以是会话持续时间、打开文件数和会话中创建的子进程数等等。它对系统活动中的异常检测分为两个阶段，第一阶段是对每个会话的特征数目进行统计，判断是否有异常行为；第二阶段采用排序检验预测会话的趋势。这样可以检测一段时间内偏离正常的行为。h a y s t a c k 的进展，和s r i 的d e n n i n g 博士的工作，极大的促进了基于主机的入侵检测技术的发展，也推动了入侵检测技术的发展。直到1 9 9 0 年以前，入侵检测系统大都是基于主机的，他们对于活动性的检查局限于操作系统审计跟踪数据以及其他以主机为中心的信息源。但此时由于i n t e r n e t 的发展以及通信和计算带宽的增加，系统的互联性已经有了明显的提高。特别是1 9 8 8 年i n t e r n e t 蠕虫事件之后，网络安全引起了军方、学术界和企业界的高度重视。这时n s m 横空出世，成为入侵检测历史上另一个具有重要意义的里程碑。1 9 9 0 年，u cd a v i s 的t o d dh e b e r l e i n 开发了第一个网络入侵检测系统n s m ，首次引入了网络入侵检测的概念。这是i d s 第一次监视网络数据流并把它作为主要分析数据来源，并试图将入侵检测系统扩展到异种网络环境。这一新的认识激发了人们对网络入侵检测的兴趣，并促使商业和学术界研究开发资助的显著提高。h e b e r l e i n 的贡献还在于提出了d i d s ，他结合h a y s t a c k 的研究成果，首次引入了混合入侵检测的概念。d i d s 是一个大规模的合作开发，它第次尝试将主机入侵检测和网络入侵检测的能力集成，以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络问的入侵。在大型网络互联环境下跟踪网络用户和文件一直是一个棘手的问题，但是这很关键，因为入侵者通常会利用计算机系统的互联来隐藏自己真实的身份和地址，一次分布式攻击往往是每个阶段从不同系统发起攻击的组合结果，d i d s是第一个具有此类攻击识别能力的入侵检测系统。h a y s t a c k 和n s m 的引入在i d s 领域掀起了一场革命，也迎来了i d s 蓬勃发展的春天，将i d s 带入了商业化运作。在随后的时间了，入侵检测系统迎来了发展的黄金时期，各种各样的模型相继被提出，这包括了p o r r a d 和1 1 9 u n 的u s t a t 、e m e r a l d ；s k u m a r 的i d i o t 原9网络入侵检测系统的实现与改进型系统，l o sa l 鲫o s 的b r o 系统等等。3 2 、p 2 d r 模型介绍p 2 d r 模型是可适应网络安全理论或称为动态信息安全理论的主要模型。p 2 d r 模型是由i i s 公司在t c s e c 模型的基础上提出的，目前被普遍采用。p 2 d r 模型包含四个主要部分：p o l i c y ( 安全策略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检测) 和r e s p o n s e ( 响应) 。防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环，在安全策略的整体指导下保证信息系统的安全。从而将系统调整到一个“最安全”和“风险最低”的状态。图3 1p 2 d r 模型入侵检测就是该模型中的检测，它的作用是用于承接防护和响应的过程，由模型可以知道，检测技术是该模型的基础，入侵检测不同于其他网络安全技术的根本也就在于此，相对于防火墙、v p n ( v i r t u a lp r i v a t en e t w o r k 虚拟专网)等防御技术而言，入侵检测的主动性更强。其它的安全防御技术如同一道道上锁的大门，没有钥匙( 身份确认) 就不能进入，但是对于假冒( i p 欺骗) 或者设法取得身份( 口令破解或者会话劫持) 者，以及越权访问的，没有一个实时的监控系统存在是不安全的，入侵检测就是这个实时的监控者。3 3 、入侵检测基础及其技术3 3 1 、入侵检测的概念和作用：入侵检测的概念有许多不同的表述，但是其基本的意思是一致的，简单的说：入侵检测就是对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性的过程。1 0嘲络入侵检测系统的实现与改进优点局限性防火墙可简化网络管理，产品成熟无法处理网络内部的攻击误报警，缓慢攻击，新的攻i d s实时监控网络安全状态击模式简单可操作，帮助系统管理员s c a n n e r和安全服务人员解决实际问并不能真正扫描漏洞题v p n保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件，产品成熟功能单一表3 1 入侵检测和其它防御技术的优缺点从表格可以看出入侵检测的真实概念和作用，其作用就是传统防御技术的一个补充，曾经一度夸大的入侵检测的作用其实对该技术的发展起了很坏的影响，早期的入侵检测一直是单打独斗，在走过很多的弯路后，该技术才真正走向联合防御，发挥其应有的作用。3 3 2 、入侵检测的分类：入侵检测系统按照其数据来源来看，可以分为两类：基于主机的入侵检测系统，基于主机的入侵检测系统一般主要使用操作系统的审计跟踪日志作为输入，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息。其所收集的信息集中在系统调用和应用层审计上，试图从日志判断滥用和入侵事件的线索。另外一类是基于网络的入侵检测系统，基于网络的入侵检测系统在通过在计算机网络中的某些点被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中获取有用的信息，再与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。入侵检测系统按照其采用的方法来看，可以分为两类：一异常( a n o l i 】a l y ) 入侵检测，也被称为基于行为的检测，指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测。这种入侵检测基于统计方法，使用系统或用户的活动轮廓来检测入侵活动。审计系统实时的检测用户对系统的使用情况，根据系统内部保存的用户行为概率统计模型进行检测，当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用户的行为。系统要根据每个用户以前的历史行为，生成每个用户的历史行为记录库，当用户改变他们的行为习惯时，这种异常就会被检测出柬。- 误用( m i s u s e r ) 入侵检测，误用( m i s l 埚e r ) 入侵检测也被称为基于模网络入侵检测系统的实现与改进型推理( 或者知识) 的入侵检测，是根据入侵者在进行入侵时所执行的某些行为程序的特征，建立一种入侵行为模型，根据这种行为模型所代表的入侵意图的行为特征来判断用户执行的操作是否是属于入侵行为。当然这种方法也是建立在对当前已知的入侵行为程序的基础之上的，对未知的入侵方法所执行的行为程序的模型识别需要进一步的学习和扩展。根据时效性可将入侵检测分为：脱机分析，又称为延时分析指行为发生后，对产生的数据进行分析；联机分析，又称为实时分析，指在数据产生的同时或者发生改变时进行分析3 3 3 、入侵检测技术对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。在分析数据时，存在着两种模式：基于行为的检测和基于知识的检测，这两种模式分别对应着异常入侵检测和误用入侵检测。l 、误用入侵检测技术主要是通过某种方式预先定义入侵行为，然后监视系统的运行，并从中找出符合预先定义规则的入侵行为。误用入侵检测系统是假设入侵者活动可以用种模式来表示，系统的目标是检测主体活动是否符合这些模式。误用检测的关键在于特征信息库的升级和特征的匹配搜索，就是要不断更新特征库。但是，它的特征库中只存储了当前已知的攻击模式和系统脆弱性，对新攻击却无能为力( 完整性差) 。误用检测的难点在于如何设计模式既表达入侵又不会将正常的活动包含进来。这种检测技术也被称为基于知识( 模型推理) 的入侵检测。目前的误用入侵检测技术大体上可阻分为四种。( 1 ) 专家系统基于专家系统的入侵检测是一种对多目标系统的用户活动实施监控的全方位检测方法。它包含了描述攻击的一组规则，这组规则是积累安全专家对入侵行为的分析经验形成的，规则以过去的入侵、系统已知的弱点、安全政策为依据。被保护系统的审计事件被翻译成专家系统中的事实，推理机使用这些规则和事实得出结论。专家系统技术除了基于知识方法的缺点外，还有以下局限性：对攻击知识的提取很困难( 属于知识工程问题) ；所需处理的数据量过大，效率不高。( 2 ) 模型推理系统模型推理检测系统主要通过构建一些误用的模型，在此基础上建立个各种攻击的数据库，对某些行为进行监视，并推理是否发生入侵行为。它在处理不确1 2网络入侵检测系统的实现与改进定性和预防性方面比专家系统较强，但也存在解释工作量很大、模型的维护较难和适用面较窄等缺陷。( 3 ) 模式匹配系统模式匹配检测系统是k u m a r 在1 9 9 5 年提出的，它的一大优点是只需收集相关的数据集合，显著减少系统的负担，且技术已经相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率相当高。该方法存在的弱点是需要不断升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。简单模式匹配的特点是原理简单、扩展性好、检测效率高、可以实时检测，但是误报率高，而且在性能上存在很大问题。著名的s n o r t 就是采用了这种检测手段。寻求高效的模式匹配算法是当今的一大难题。( 4 ) 状态转换分析系统状态转换分析法允许使用最优模式匹配进行结构化误用检测，速度快，灵活性高。状态转换分析法使用系统状态和状态转换分析表达式描述和检测已知入侵，构成特定攻击模式的特征行为序列。基于状态的特征检测可以使攻击行为在尚未达到侵入状态之前被检测到，从而及时采取相应措施阻止攻击行为。但是，状态转换分析系统是属于研究性质的原型系统，不善于分析过分复杂的事件，而且不能检测与系统状态无关的入侵，实际应用时必须与其他检测器协同工作。误用检测的优缺点：其优缺点也很明显，异常检测需要不断的更新知识库，这有点类似于病毒防治软件，异常检钡4 相对的说误报率比较低，但漏报率比较高，因为是基于知识的，所以比较容易被绕过和攻击，而且对于全新的入侵方式，异常检测技术无能为力。1 忑n、图3 2 误用检测的基本模型2 、异常检测技术异常检测技术的假设前提是：正常的网络活动有一定的模式，而所有的入侵网络入侵检测系统的实现与改进行为是异常活动的子集，入侵行为可以通过使用者的行为或者资源的异常反映出来，而不是依据具体的行为。所有的异常检测系统都有一个闽值，超过阈值的活动被定义为入侵，反之被视为合法的活动。常见的异常检测技术可以分为3 种，以下是简单的介绍。( 1 ) 概率统计方法统计分析方法首先给系统对象( 如用户、文件、目录和设备等) 创建一个统计描述，统计正常使用时的一些测量属性( 如访问次数、操作失败次数和延时等)测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值( 阀值) 范围之外时，就认为有入侵发生。目前常用的基于概率统计的入侵检测模型共有5 种：操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击：方差模型，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；多元模型，操作模型的扩展，通过同时分析多个参数实现检测；马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。这些模型的优点是，统计技术已经非常成熟，为模型实现提供了方便和依据，但缺点同样明显，因为统计检测对事件发生的次序不敏感，也就是说，完全依靠统计理论可能漏检那些彼此关联事件的入侵行为，再一个明显的问题是阈值的判断没有一个统一的标准，阈值如果定的比较高，就容易出现大量的误报，如果定的比较低，就会漏过一些入侵行为。( 2 ) 神经网络方法基于神经网络入侵检测方法是训练神经网络连续的信息单元，信息单元指的是命令，这样经过一段时间的训练后，系统将能够预测到输出。其用于检测的神经网络模块是这样工作的：当前命令和刚过去的w 个命令构成了网络的输入，用户执行过的命令被神经网络使用来预测用户输入的下一个命令，w 是系统预测下一个命令时包含的过去命令集的大小，当神经网络被训i 练成预测用户输入命令序列集合，则神经网络就构成用户的轮廓框架，也就是神经网络检测的特征表，当预测与实际的网络输入存在差异时，其差异度在一定程度上1 4网络入侵检测系统的实现与改进反映了用户的异常程度。也就是说当用这个神经网络预测不出某用户正确的后继命令，即在某种程度上表明了用户行为与其轮廓框架的偏离，这时有异常事件发生，以此就能进行异常入侵检测。l s预