（计算机软件与理论专业论文）一种基于协议分析技术的混合型入侵检测系统的研究.pdf

原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究所取得的成果。除文中已经注明引用的内容外，本论文不 包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研 究作出重要贡献的个人和集体，均已在文中以明确方式标明。本声明 的法律责任由本人承担。 论文作者签名：k ! b 醇 日期：圣鲤星! 盘扩 关于学位论文使用授权的声明 本人同意学校保留或向国家有关部门或机构送交论文的印刷件 和电子版，允许论文被查阅和借阅；本人授权山东大学可以将本学位 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩 印或其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：搬导师签名：亘垃日期：2 塑星丝旷 山东大学硕士学位论文 中文摘要 网络安全问题已经对计算机网络的应用、管理和发展构成了严重的威胁，网络入侵 事件频繁发生，给用户带来了无法估量的损失。为了保障系统的安全性，仅仅做好安全 防御工作是不够的，入侵检测系统应运而生，它是继防火墙、数据加密、访问控制等传 统安全防护措施之后的新一代安全保障技术；它不仅可以检测到来自外部的入侵行为， 同时也监督内部用户的未授权活动，是一种主动的网络安全防护技术。 随着大量高速网络技术的出现，网络入侵检测系统正面临着巨大的挑战：如何保证 系统及时、高效地处理、分析大量的数据包，减少甚至避免丢包现象的发生，提高i d s 自身抗攻击的能力，尽量降低误报率和漏报率，以及如何提高i d s 系统的效率等等。虽 然有众多研究人员潜心研究多年，但这些问题仍然没有得到彻底解决。 本文针对入侵检测技术领域中存在的以上诸多问题，研究和分析了入侵检测的相关 背景知识、技术发展以及相关的协议框架，主要论述了基于协议分析技术的混合型入侵 检测系统。 本文的主要工作如下： 1 ) 综合主机检测器和网络检测器的分布式入侵检测系统体系结构的设计，同时分 析来自主机的审计记录，系统日志以及网络原始数据流，更加全面地检测系统的各种入 侵攻击现象。在这种体系结构中，底层可以独立地完成相应的入侵检测，可以避免集中 式检测时数据包处理效率低下的问题，减轻了主控系统的负担；各个检测子系统独立运 行，互不影响，避免了单点失效问题；可灵活部署，可扩展性很好；主控系统从全局对 整个系统的运行进行监控，检测针对整个系统的更加复杂的攻击入侵，主控系统失效不 会影响其下层各个子系统的入侵检测，某一个子系统失效也不会影响其他子系统和主控 系统的运行。 2 ) 可移植的高效的分布式网络数据包采集器的设计与实现，用分布式数据包捕获 取代传统的集中式数据收集，提高了数据收集的效率。 3 ) 分布式n i d s 子系统的设计与实现，利用基于应用的负载均衡分发技术来进行协 议分流，将协议解析后的数据包以应用为单位分配到不同的入侵检测分析引擎进行入侵 检测。 协议分析引擎的设计与实现，完成了i p 分片重组以及t c p 流重组，利用协议分 s 山东大学硕士学位论文 析技术来提高数据包解析效率，提高了检测效率。 分布式入侵检测分析引擎的设计与实现。在协议解析基础上对网络数据流进行分 布式入侵检测。首先改进了基于应用的负载均衡分发算法，对其处理流程进行了改进， 增加了算法所能处理的数据范围，提出了基于应用根据u d p 数据包所属协议类型为其分 配检测引擎进行入侵检测的思想；以t c p 连接事件的建立过程为参考，提出了建立u d p “连接事件”的思想；并且根据数据包所属协议类型及其实现特点，分别设计了t c p 连 接事件和u d p “连接事件 的建立流程和入侵检测流程。 系统检测流程的改进：数据包在由负载均衡分发器分发到各入侵检测分析引擎进 行入侵检测的同时，系统利用方差分析算法进行异常数据流的检测。分配到各个入侵检 测分析引擎的数据包，首先进行数据包合法性检查，然后根据其所属协议类型分别建立 t c p 连接事件和u d p “连接事件 ，然后根据我们设计的t c p 和u d p “连接事件”的建 立和入侵检测流程，运用各种异常和误用检测技术，进一步检测是否存在包含网络连接 中的各种入侵攻击现象。 4 ) h i d s 子系统的设计。本系统中我们提出了在h i d s 中分析到达本机的原始数据 流的检测思想，提高了h i d s 检测子系统的应用范围，实时性和效率。 5 ) 主控系统的设计与实现。底层各个入侵检测分析引擎将检测到的入侵数据格式 化后送到主控模块，主控模块运用相关算法进一步检测针对整个系统的各种入侵现象。 最后在局域网环境下作了相应的实验。并对实现结果进行了分析对比，证明了系统 的高效性。 6 关键词：网络安全入侵检测协议分析入侵事件分布式入侵检测系统 山东大学硕士学位论文 a b s t r a c t t h ep r o b l e mo fn e t w o r ks e c u r i t yh a sb e c , o m eag r e a tt h r e a tt ot h ea p p l i c a t i o n ， m a n a g e m e n ta n dd e v e l o p m e n to fc o m p u t e rn e t w o r k ；t h em o r ef r e q u e n tt h eo c c u r r e n c eo f n e t w o r ki n t r u s i o n , t h em o r el o s so fp e o p l ea n do u rs o c i e t y u n d e rs u c hc i r c u m s t a n c e s ， i n t r u s i o nd e t e c t i o ns y s t e me m e r g e sa st h et i m e sr e q u i r e , w h i c hi san e wk i n do fs e c u r i t y s a f e g u a r dt e c h n o l o g ya f t e rt h ea p p l i c a t i o no fc o n v e n t i o n a ln e t w o r kd e f e n d a b l et e c h n o l o g i e s s u c ha sf i r e w a l l ，d a t ae n c r y p t i o n ，a c c e s s i n gc o n t r o le t c i n t r u s i o nd e t e c t i o nt e c h n o l o g ya c t s 硒 al 【i n do fa c t i v en e t w o r kd e f e n d a b l et e c h n o l o g y , w h i c hp r o v i d e so u rs y s t e mw i t hr e a l - t i m e p r o t e c t i o na g a i n s ti n n e ra t t a c k s ，o u t e ra t t a c k sa n dm i s u s eo fo p e r a t i o n i tc a nn o to n l yd e t e c t i n t r u s i o n sf r o mt h ee x t e r n a l s ，b u ta l s os u p e r v i s et h eu n a u t h o r i z e do p e r a t i o n so ft h ei n n e r u 翻r s 、i t i lt h ee m e r g e n c eo fh i i g hb a n d w i d t hn e t w o r kt e c h n o l o g i e s ，i d si sn o wf a c i n g t r e m e n d o u sc h a l l e n g e s ：h o wt oa s s u r et h a tt h ei d sp r o c e s sa n da n a l y z el a r g en u m b e r so f d a t ap a c k e t st i m e l ya n de f f i c i e n t l y ；h o wt or e d u c eo ra v o i dt h el o s so fd a t ap a c k e t s ；h o wt o i n c r e a s et h es e l f - d e f e n d i n go ft h ei d sa g a i n s ta t t a c k s ；h o wt oi m p r o v et h ea c c u r a c ya n d e f f i c i e n c yo fo u rs y s t e ma tt h es a m et i m e t h e s ea r et h ep r o b l e m sr e m a i n i n gs o l v i n gi nt h e f i e l do f t h ei d s t h i sa r t i c l em a i n l yd i s c o u r s e du p o nt h ed e s i g na n dr e a l i z a t i o no fak i n do fi n t r u s i o n d e t e c t i o ns y s t e mb a s e do np r o t o c o l a n a l y s i sb yw a y so fs t u d y i n ga n da n a l y z i n gt h e c o r r e l a t i v eb a c k g r o u n d ，i n t r u s i o nd e t e c t i o nt e c h n o l o g i e sa n dt h ep r o t o c o la n a l y s i so fi n t r u s i o n d e t e c t i o n ，w h i c ha i m sa tt h es e t t l i n go ft h ep r o b l e m so fl d sm e n t i o n e da b o v e t h em a i nw o r ko f t h i sa r t i c l ei s 鲢f o l l o w i n g s ： 1 ) d e s i g no ff r a m e w o r ko ft h ed i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ，i n t ow h i c h i n t e g r a t e db o t hh i d sa n dn i d s ，a n a l y z i n gn o to n l ya u d i tl o ga n ds y s t e ml o g , b u ta l s or a w n e t w o r kd a t af l o w ；t h i sk i n do ff r a m e w o r kc a nd e t e c ta 1 1 a r o u n di n t r u s i o n sa n da t t a c k sa g a i n s t o u rs y s t e m i nt h i ss y s t e m ，t h es u b s y s t e m so ft h el o w e rl a y e rc o u l df i n i s hi t sd e t e c t i n gt a s k s i n d e p e n d e n t l y , w h i c hc o u l dn o to n l ya v o i dt h el o wd e t e c t i n ge f f i c i e n c yo fc e n t r a l i z e ds y s t e m s , b u ta l s ol i g h t e nl o a d so ft h em a i n - c o n t r 0 1 s u b s y s t e m t h eu n a t t a c h e dr u n n i n go fe a c h s u b s y s t e mc o u l de l i m i n a t et h ep r o b l e mo fs i n g l e - p o i n tl a p s e t h ea d d i n go fn e wh i d s 7 山东大学硕士学位论文 s u b s y s t e mo rn i d ss u b s y s t e mn e e d sj u s tar e g i s t e rt ot h em a i n - c o n t r o l - s u b s y s t e m ，w h i c h s h o w s t h ef l e x i b l e d e p l o y m e n t a n d g o o de x p a n s i b i l i t y o ft h e s y s t e m t h e m a i n c o n t r o l - s u b s y s t e mm o n i t o r sa n dc o n t r o l st h er u n n i n go ft h ew h o l es y s t e mg l o b a l l y , d e t e c t i n ga l ls o r t so fm o r ec o m p l i c a t e di n t r u s i o n sa n da t t a c k s ；t h ei n v a l i d a t i o no ft h e m a i n c o n t r o l - s u b s y s t e mw i l ln o ti n f l u e n c et h ef u n c t i o n so ft h el o w e rl a y e r s ，s od o e st h e i n v a l i d a t i o no f o n eo f t h es u b s y s t e m so f t h el o w e rl a y e r s 2 ) t h ed e s i g na n da c c o m p l i s h m e n to f 锄e f f i c i e n ta n dt r a n s p l a n t a b l ed i s t r i b u t e d d a t a - c a p t u r i n g - c a t c h e r t h er e p l a c e m e n to fc e n t r a l i z e dd a t ac a p t u r i n gw i t hd i s t r i b u t e dd a t a c a p t u r i n gi n c r e a s e st h ee f f i c i e n c yo fd a t a - c o l l e c t i n ga l o t 3 ) t h ed e s i g na n dr e a l i z a t i o no ft h ed i s t r i b u t e dn e t w o r ki n t r u s i o nd e t e c t i o ns u b s y s t e m ， w h i c hu t i l i z e dl o a db a l a n c et e c h n o l o g yb a s e do nt y p e so fa p p l i c a t i o np r o t o c o ll a y e r , s e n d i n g am a s so fn e t w o r kp a c k e t st h a th a db e e np r o t o c o l - a n a l y z e dt od i f f e r e n ti n t r u s i o nd e t e c t i o n e n g i n e st oi m p r o v ed e t e c t i o ne f f i c i e n c ya n ds o l v et h eb o t t l e n e c ko fc e n t r a l i z e dd e t e c t i o n s y s t e m q t h ed e s i g na n dr e a l i z a t i o no fp r o t o c o la n a l y s i sm o d u l e ，i pf r a g m e n tr e c o m b i n a t i o n a n dt c pf l o wr e c o m b i n a t i o n t h ei m p r o v e m e n to fd a t ap a c k e ta n a l y s i sb yp r o t o c o la n a l y s i s l e a d st ot h ei n c r e a g go fd e t e c t i o ne f f i c i e n c y t h ed e s i g na n dr e a l i z a t i o no ft h ed i s t r i b u t e di n t r u s i o nd e t e c t i o ne n g i n e ，w h i c hd e t e c t s i n t r u s i o ni nad i s t r i b u t e dw a yu s i n gp r o t o c o la n a l y s i st e c h n o l o g ya n do t h e ra d v a n c e d t e c h n o l o g i e s f i r s t l y , t h eb e t t e r m e n to fl o a db a l a n c ea r i t h m e t i cb a s e do nt y p e so fa p p l i c a t i o n p r o t o c o ll a y e rw a sd o n eb ya d d i n gn e wd a t ao fn e wp r o t o c o lt y p e sa n di m p r o v i n gt h e d i s p o s a lf l o wo ft h ea r i t h m e t i c ，b r i n g i n gf o r w a r dt h ei d e ao fs e n d i n gu d p d a t ap a c k e t st o d i f f e r e n td e t e c t i o ne n g i n e sb a s e do nt h e i rt y p e so fa p p l i c a t i o np r o t o c o l l a y e r ；s e c o n d l y , a c c o r d i n gt o t h ee s t a b l i s h m e n to ft c pc o n n e c t i o ne v e n t ，t h ee s t a b l i s h m e n to fu d p c o n n e c t i o ne v e n t i sp u tf o r w a r di nt h i sa r t i c l e ；t h i r d l y , t h ee s t a b l i s h m e n tf l o wa n di n t r u s i o n d e t e c t i o nf l o wo fb o t ht c pc o n n e c t i o ne v e n ta n du d p c o n n e c t i o ne v e n t w e r ef r a m e d a c c o r d i n gt od i f f e r e n tp r o t o c o lt y p e so fd a t ap a c k e t sa n dd i f f e r e n tc h a r a c t e r i s t i c so ft h e i r r e a l i z a t i o n t h ea m e l i o r a t i o no fi n t r u s i o nd e t e c t i o nf l o wo ft h es y s t e m t h ev a r i a n c ea n a l y s i s a r i t h m e t i ci su s e dt od e t e c ta b n o r m a ld a t af l o wo ft h es y s t e mw h i l ed a t ap a c k e t sa r cs e n tt o d i f f e r e n ti n t r u s i o nd e t e c t i o ne n g i n e sb yl o a db a l a n c et e c h n o l o g yb a s e d0 1 1t y p e so ft h e 8 山东大学硕士学位论文 a p p l i c a t i o np r o t o c o ll a y e r f o re v e r yp a c k e ts e n tt oo n eo ft h ed e t e c t i o ne n g i n e s ，v a l i d i t yo fa s i n g l ep a c k e ti sf i r s t l yt e s t e d ，a n dt h e nt c pc o n n e c t i o ne v e n to ru d p c o n n e c t i o ne v e n t i s b u i l tb a s e do nt h ep a c k e t sp r o t o c o lt y p e s ，a f t e r w a r d st h ed e t e c t i o no fp o t e n t i a la n dm o r e c o m p l i c a t e di n t r u s i o n sa n da t t a c k sa r cd o n ee x e r t i n gs o m em i s u s ea n da n o m a l yd e t e c t i o n t e c h n o l o g i e sa c c o r d i n gt ot h ee s t a b l i s h m e n tf l o wa n di n t r u s i o nd e t e c t i o nf l o wm e n t i o n e d a b o v e 4 ) t h ed e s i g na n dr e a l i z a t i o no fh o s ti n t r u s i o nd e t e c t i o ns u b s y s t e m i nt h i sa r t i c l ew e b r i n gf o r w a r dt h em e t h o do fd e t e c t i n gr a wn e t w o r kd a t af l o ww i t ht h ed e s t i n a t i o ni pa d d r e s s e q u a lt oi po ft h i sh o s t , w h i c hi m p r o v e dt h ed e t e c t i o ns c o p e ，r e a l - t i m e ，e f f i c i e n c yo ft h e h i d ss u b s y s t e m 5 ) t h ed e s i g na n dr e a l i z a t i o no ft h em a i nc o n t r o ls y s t e m a f t e ri n t r u s i o nd e t e c t i o n e n g i n e so ft h el o w e rl a y e r ss e n dt h ef o r m a t t e di n t r u s i o nd a t at ot h em a i nc o n t r o lm o d u l e ，i t u s e sc o r r e l a t i v ed e t e c t i o na r i t h m e t i ct oc h e c ki ft h e r ew e r ei n t r u s i o n sa n da t t a c ka i m i n ga t t h ew h o l es y s t e m f i n a l l y , s o m ee x p e r i m e n t sw e r ed o n ei nt h el a na n dt h ea n a l y s i sa n d c o m p a r i n gw e r ed o n ea c c o r d i n gt od i f f e r e n te x p e r i m e n tr e s u l t s k 眄w o r d s ：n e t w o r ks e c u r i t y i n t r u s i o nd e t e c t i o n p r o t o c o la n a l y s i s i n t r u s i o n e v e n td i d s 9 山东大学硕士学位论文 第一章绪论 1 1 论文的选题背景、依据及意义 随着网络技术的飞速发展，信息技术日益深入人们的日常生活，给人们带来很大 便利的同时，也带来一个不容忽视的问题，那就是网络安全，特别是针对计算机以及 基础网络设施的攻击行为，对政府机构信息化的实施、以及电子商务的实施，带来的 很大的损失。 从2 0 0 6 年底到2 0 0 7 年初，“熊猫烧香一在短短时间内通过网络传播全国，数百 万台电脑中毒。据不完全统计，仅1 2 月份至今，变种数已达9 0 多个，个人用户感染 熊猫烧香的已经高达几百万，企业用户感染数还在继续上升。 据统计，全世界由于信息系统的脆弱性而导致的经济损失，每年达数十亿美元， 并且逐年上升。现在平均每2 0 秒就发生一次入侵计算机互联网的事件：互联网的防 火墙，超过1 3 曾被攻破。 i b m 全球企业安全指数显示，诸如垃圾邮件或电脑病毒等无利可图的恶行，的确 已有减少，然而窃取资料库的问题却日益恶化。仅0 5 年上半全球就发生2 3 7 亿件以 上的网络攻击事件，政府机关成为黑客的首要目标，遭到攻击次数超过5 ，4 0 0 万次； 其次是制造业，逾3 ，6 0 0 万次。数量如此惊人的网络犯罪事件，呈现出一个明显的趋 势：这些针对特定人士或公司发动的攻击，主要是为了窃取机密资料。 由此可见，计算机网络入侵事件发生得越来越频繁，其破坏性也越来越大，不仅 给社会和人们带来难以估量的经济损失，同时也向我们敲响了网络安全的警钟。传统 的网络安全手段防火墙已经不能解决这个问题。首先，防火墙难于防内，它很难控制 来自网络内部的安全问题。来自外部和内部的众多攻击令企业网络的管理者头痛不 已，而来自企业内部的攻击较之来自外部的攻击更加易于实施和更加难以防范。内部 人员对企业网络的资源情况和安全现状更为了解，并且已有一定的网络使用权限，这 使他们在进行攻击行为时较外部攻击者更加的得心应手，造成的破坏性往往也更大。 其次防火墙难于管理和配置，容易造成安全漏洞，有很多入侵发生在防火墙配置不当 的情况下。 入侵检测技术作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击 i o 山东大学硕士学位论文 皇置皇皇舅舅皇量置皇置喜皇暑皇量鼍昌罾鼍鲁量曼i i i i i 一一一_ i i 和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测技术已经 成为安全市场上新的热点，是动态网络安全中必不可少的核心技术之一，入侵检测技 术的研究在过去的二十多年中取得了较大的进步，并开始在各种不同的环境中发挥关 键的作用。 1 2 论文各章内容简介 本文各章主要内容如下所示： 第一章论文的选题背景、依据和意义，论文各章内容简介，以及本文的主要研 究工作。 第二章主要介绍了入侵检测系统的定义和分类，对两种常用的入侵检测技术做 了说明和比较，介绍了一般入侵检测系统的基本结构，总结了现阶段入侵检测技术存 在的主要问题。 第三章主要是基于协议分析技术的混合型入侵检测系统的设计与实现。首先阐 述了入侵检测系统设计的总体原则，提出了分布式入侵检测系统的体系结构；然后介 绍了分布式n i d s 予系统的设计与实现，h i d s 子系统的设计；最后是系统其他模块的 设计，其中包括主控系统，通信模块，存储子系统以及入侵响应子系统等模块。 第四章主要介绍了“基于协议分析技术的混合型入侵检测系统 在网络中的部 署，以及系统在局域网中的实验测试。 1 3 本文的主要研究工作 1 ) 综合主机检测器和网络检测器的分布式入侵检测系统体系结构的设计，同时 分析来自主机的审计记录，系统日志以及网络原始数据流，更加全面系统的检测系统 的各种入侵攻击现象。在这种体系结构中，底层可以独立地完成相应的入侵检测，可 以避免集中检测中数据包处理效率低下的问题，减轻了主控系统的负担；各个检测子 系统不影响彼此的运行，避免了单点失效问题；可灵活部署，可扩展性很好；主控系 统从全局对整个系统的运行进行监控，检测针对系统的更加复杂的攻击手段，丰控系 统失效不会影响其下层各个子系统的入侵检测，某一个子系统失效也不会影响其他子 系统和主控系统的运行。 2 ) 可移植的高效的分布式网络数据包采集器的设计与实现，用分布式数据包捕 山东大学硕士学位论文 获取代传统的集中式数据收集，提高了数据收集效率。 3 ) 分布式n i d s 系统的设计与实现，利用基于应用的负载均衡分发技术来进行协 议分流，将协议解析后的数据包以应用为单位分配到不同的入侵检测分析引擎进行入 侵检测。 协议分析引擎的设计与实现，完成了i p 分片重组以及t c p 流重组，利用协议 分析技术来提高数据包解析效率，提高检测效率。 分布式入侵检测分析引擎的设计与实现。在协议解析基础上对网络数据流进行 分布式入侵检测。首先改进了基于应用的负载均衡分发算法，对其处理流程进行了改 进，增加了算法中所能处理的数据范围，提出了基于应用根据u d p 数据包所属协议类 型为其分配检测引擎进行入侵检测的思想；以t c p 连接事件的建立过程为参考，提出 了建立u d p “连接事件”的思想；并且根据数据包所属协议类型及其实现特点，分别 d 设计了t c p 连接事件和u d p “连接事件”的建立流程和入侵检测流程。 系统检测流程的改进：数据包在由负载均衡分发器分配到各入侵检测分析引擎 进行入侵检测的同时，系统利用方差分析算法进行异常数据流的检测。分配到各个入 侵检测分析引擎的数据包，首先进行数据包合法性检查，然后根据其所属协议类型分 别建立t c p 连接事件和u d p “连接事件 ，然后根据我们设计的t c p 和u d p “连接事件” 的建立和入侵检测流程，运用各种异常和误用检测技术，进一步检测是否存在包含网 络连接中的各种网络入侵现象。 4 ) h i d s 子系统的设计。本系统中提出了在h i d s 中分析到达本机的原始数据流的 检测思想，提高了h i d s 检测的实时性和效率。 5 ) 丰控系统的设计。底层各个入侵检测分析引擎将检测到的入侵数据格式化后 送到主控模块，丰控模块运用相关算法进一步检测针对整个系统的各种入侵现象。 1 2 山东大学硕士学位论文 第二章入侵检测系统简介 2 1 网络入侵过程概述 入侵是指所有企图危及到网络资源的机密性、完整性的行为。入侵不仅包括被发 起攻击的人取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问等 对计算机系统造成危害的行为。入侵行为既有来自外部的，也有来自内部的，归结起 来，主要有以下几种： l 、外部渗透 指的是既未被授权使用计算机又未被使用数据或程序资源的渗透。 2 、内部渗透 指的是虽被授权使用计算机但是未被授权使用数据或程序资源的渗透。 3 、不法使用 指的是利用授权使用计算机、数据和程序资源的合法用户身份的渗透。 另外，这几种入侵行为，并非相互独立的，常常被综合使用，相互转换的。例如， 入侵者通过外部渗透获取了某用户的帐号和密码，然后利用该用户的帐号进行内部渗 透；同样，内部渗透也可以转变成为不法使用。 一个典型的黑客网络攻击过程如图2 1 所示。 1 3 山东大学硕士学位论文 图2 一l 黑客入侵行为模型图 通过研究分析，我们可以得出，一次完整的攻击过程主要包括三个阶段： 第一阶段是获取系统访问权前的攻击过程：确定攻击目标并收集目标信息，一旦 获得了系统的访问权，攻击就已经成功了一半。 第二阶段是获得系统控制权的攻击过程：扫描并分析系统，获得系统的控制权。 此时，管理员已经很难阻止攻击者的破坏活动，但可以尽早地采取一些补救措施，如 备份、关闭网络连接、关机等。 第三阶段是获得系统访问权或控制权之后的攻击活动：这一阶段中的活动只是有 经验攻击者的例行公事。 2 2 几种常用的入侵方式分析 1 i p 欺骗 i p 欺骗( i ps p o o f i n g ) 就是对所发送数据包的地址字段进行修改，伪造源主机i p 地址，因为路由器一般只根据目的地址转发数据，同时t c p i p 协议也缺乏对源i p 地 址的认证。i p 欺骗主要目的就是隐藏入侵者的位置，另一方面原因是因为一些网络服 务利用基于i p 地址的验证来控制用户对目标系统的访问，入侵者可以利用发送带有 1 4 山东大学硕士学位论文 假冒的源i p 地址的数据包伪装成被目标主机所信任的一台主机，从而获得对目标主 机未授权的访问。入侵者还常利用被侵入的主机作为跳板，隐藏它们真实的i p 地址。 防范i p 欺骗的方法有源地址返回路径确认、采用网络入口过滤( r f c2 8 2 7 ) 、将m a c 地址与i p 地址绑定等。 2 缓冲区溢出攻击 缓冲区溢出攻击基于这样的思想来实施攻击：通过向程序的缓冲区写超出其长度 的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它的指令，如 果这些指令是放在有r o o t 权限的内存中，那么一旦这些指令得到了运行，黑客就以 r o o t 权限控制了系统，达到入侵的目的。 缓冲区溢出的一般攻击步骤为：在程序的地址空间里安排适当的代码，然后通过 适当的地址初始化寄存器和存储器，让程序跳到黑客安排的地址空间中执行( 如：函数 指针或长跳转缓冲区等) 。 3 拒绝服务和分布式拒绝服务攻击 拒绝服务( d o s ) 的攻击方式有很多种，最基本的d o s 攻击就是利用合理的服务请 求来占用过多的服务资源，使系统所提供的服务崩溃，从而使合法用户无法得到服务 的响应，如p i n go fd e a t h ，s y nt e a r d r o p ，w i n n u k e ，t f n 2 k ，t r i n o o 等。常见的d o s 攻击方式有消耗c p u 的资源、耗尽存储资源、耗尽网络带宽。 分布式拒绝服务攻击采用了一种比较特别的体系结构，从许多分布的主机同时攻 击一个目标，从而导致目标瘫痪，简称d d o s ( d i s t r i b u t e dd e n i a lo fs e r v i c e ) 。常 见的d d o s 攻击有：t r i n o o ，t f n ，t f n 2 k ，b l i t z n e t ，f a p i ，s h a f t ，t r a n k 攻击等。 d d o s 攻击步骤如下： 1 ) 探测扫描大量主机以找到可以入侵的脆弱主机。 2 ) 入侵有安全漏洞的主机并获取控制权。 3 ) 在每台被入侵的主机上安装攻击程序。 整个过程都是自动化的，在短时间内就可以入侵数千台主机。在控制了足够多的 主机之后，从中选择一台作为管理机，安装攻击主程序一到指定逻辑状态后，该管理 机指挥所有被控制机对目标发起攻击，造成目标机瘫痪。 高速广泛连接的网络给用户带来了方便，也为d o s 和d d o s 攻击创造了极为有利 的条件。在低速网中，黑客占领攻击用的代理机时，总是会优先考虑离目标网络距离 近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是 以g 为级别的，这使得攻击可以从更远的地方发起，攻击者的代理机位置可以分布在 1 5 山东大学硕士学位论文 更大的范围，选择起来更灵活了。对于大规模的d d o s 攻击，由于目前的i n t e r n e t 中 的体系结构中缺乏全网的快速协同防御制的支持，所以很难防范，往往要联系上级网 络运营商进行控制处理。 4 碎片攻击 碎片攻击实际上是利用数据包分段进行攻击，按照协议来分，主要有两大类：i p 数据分片攻击和t c p u d p 数据分片攻击。 i p 数据包最大可达6 4 k b ，而某些网络的最大传输单元( m t u ) 可能相对较小。大于 网络m t u 的i p 数据包必须分段传送，在接收方重新组装。大多数的防火墙、i i ) s 系统 都没有重新组合i p 数据报的能力。碎片攻击就是利用一些自动分段的工具( 如 f r a g r o u t e ) 将单个i p 数据包拆分成多个小数据包以避开i d s 的检测。根据r f c7 9 1 描述的分段重组算法，如果两个相邻有重叠部分，允许用后一个分段中的数据覆盖前 一个分段中重叠的部分。因此，入侵者可将包含一个t c p 包的i p 数据包分段后，在 t c p 报头所在的部分产生重叠，第一个分段中有关t c p 头的部分与前一个分段不一致， 第一个分段可能并不表示是一个连接请求，而重组后的数据包却可能表示一个t c p 连 接请求。另外，入侵者还可以通过发送一连串的i p 分段来进行分段超限( f r a g m e n t o v e r r u n ) 攻击。 同样，大于网络m t u 的t c p u d p 数据段在传送前也必须分段传送，然后在接收方 重新组装。因此，入侵者可以将具有入侵语义的t c p u d p 数据段分解成若干个小的i p 数据包，并且以乱序的方式发送给目标系统，这样，一些基于简单包过滤方式的入侵 检测系统就根本无法识别这个入侵的企图。 要防范碎片攻击，i d s 系统必须进行i p 数据包的重组，在重组的过程中检查相邻 分段之间是否有重叠，重叠部分是否处于敏感数据区，组装后是否会超过6 5 5 3 5 字节 等。需要对t c p u d p 数据段进行重组，审计i p 分段头中的标识字段、分段长度、分 段偏移值、t c p 头、u d p 头等，以数据流的方式提取应用层数据并检测。 5 木马程序攻击 特洛依木马是一种欺骗程序，提供某些功能作为诱饵，背地里做一些事，当目标 计算机启动时，木马程序随之启动，然后在某一特定的端口监听，在通过监听端口收 到命令后，木马程序根据命令在目标计算机上执行一些操作，如传送或删除文件，窃 取口令，重新启动计算机等。常见的特洛伊木马程序有：b o n e t s p y ，n e t b u s 等。 1 6 6 后门攻击 后门指入侵者躲过日志，使自己重返被入侵系统的技术。后门种类很多，常见的 山东大学硕士学位论文 i l 有：调试后门、管理后门、l o g i n 后门、服务后门、文件系统后门、内核后门、b o o b 后门、t c ps h e l l 后门等。 对于以上介绍的几种网络入侵方式，可以采用以下四类检测方式： ( 1 ) 检查单i p 包首部( 包括t c p ，i d p 首部) 即可发觉的攻击：如w i n n u k e ，p i n go f d e a t h ，l a n d ，s o u r c er o u n t i n g 等。 ( 2 ) 检查单i p 包，但同时要检查数据段信息才能发觉的攻击：如利用c g i 漏洞和 大量的b u f f e ro v e r f l o w 攻击。易于觉察，最好设为选用，由用户在性能、安全两者 之间进行折中。 ( 3 ) 通过检测发生频率才能发觉的攻击：如扫描，s y nf l o o d ，s m u r f 等。需要维持 一个额外的状态信息表，因为结论是通过统计得来的，有误判漏判的可能。 ( 4 ) 利用分片进行的攻击：如t e a d r o p ，n e s t e a ，j o l t 等。此类攻击利用了分片组 装算法存在的各种漏洞。分片不但可用来进行进攻，还可用来躲避对没有实现分片重 组的i d s 系统的检测。 2 3 入侵检测的定义以及研究的内容 入侵检测系统i d s ( i n t