（计算机应用技术专业论文）网络入侵检测及主动响应策略的研究.pdf

武汉理： 大学硕士学位论文 摘要 全球信息化进程的迅速发展计算机网络可谓功不可没，在人们越来越依赖 计算机网络的同时，网络安全问题也日益突出，各种恶性攻击及安全事件层出 不穷。入侵检测作为安全防护的一项重要手段，为我们提供了及时发现入侵企 图、行为和结果的能力。而入侵响应则根据检测的结果实施抑制、阻止、根除 恶意攻击带来的影响。目前入侵检测系统已经较为成熟，出现了很多优秀的产 品，但是在入侵响应方面的研究还比较有限，本文在查阅大量文献，学习前人 优秀成果的基础上，对入侵主动响应策略及基于入侵检测的自动响应进行了深 入研究。 本文首先讨论了入侵检测的相关理论和技术，包括入侵检测的基本概念、 通用检测模型、常见分类、异常检测和误用检测的原理和具体检测技术，分析 了各种技术的优、缺点。另外还阐述了网络入侵检测系统的实际应用情况。接 下来重点对入侵响应进行了研究，介绍了被动响应与主动响应的相关概念；分 析了常见的主动响应技术、讨论了自动响应的特点及局限性，提出了相应的改 进建议，对入侵响应成本进行了分析。事件分类是事件响应的基础，文中讨论 了入侵事件的分类方法，结合事件响应方法学提出了一个面向响应的多维入侵 事件分类模型，模型中使用了时间、攻击技术、漏洞类型、攻击结果和攻击目 标五种属性共同描述入侵事件。然后结合该模型和成本分析方法给出了个响 应决策模型。 最后实现了一个基于l i n u x 的入侵自动响应系统，与传统入侵检测系统被 动监听网络数据包的机制不同，该系统能够实时截获数据，对其进行入侵检测 并根据检测及成本分析的结果进行入侵响应。实现了对网络数据的实时过滤并 且能够结合具体的防护目标进行响应成本分析。该系统构建在l i n u x 网桥、 n e t f i l t e r 框架和s n o r t 检测引擎之上，网桥负责在防护目标和外部网络之间转 发数据，n e t f i l t e r 负责向检n o i 擎提交原始数据包及实施响应动作，检测引擎 负责对数据包的检测。整个系统包括四个主要模块：数据捕获模块、检测模块、 响应模块和管理模块，开发环境为r e d h a tl i n u x 9 0 、c 语言、l i b i p q 、l i b n e t 、 l i b p c a p 库。借助s n o r t 的入侵检测能力和n e t f i l t e r 框架，系统基本上达到了 数据包级的入侵隔离。 关键字：入侵检测、主动响应、响应策略、自动响应系统 武汉理工大学硕士学位论文 a b s t r a c t t h cc o m p u t e rn e t w o r kh a sp l a y e da l l i m p o r t a n t r o l ei nt h ef a s t d e v e l o p i n g p r o c e s so fg l o b a li n f o r m a t i o n b a s e d a n dt h en e t w o r k i n gs e c u r i t yp r o b l e mb e c o m e m o r es e r i o u sw h i l e p e o p l er e l yo nc o m p u t e rn e t w o r k m o r ea n dm o r e ，v a r i o u sk i n d so f m a l i g n a n ta t t a c ka n dt h es e c u r i t yi n c i d e n te m e r g ei n a ne n d l e s ss t r e a m i n t r u s i o n d e t e c t i o na sa ni m p o r t a n tm e a n so fs a f ep r o t e c t i o no f f e rt h ea b i l i t yt od e t e c ti n t r u s i o n a t t e m p t i n g ，b e h a v i o ra n d r e s u l ti nt i m ef o ru s i n t r u s i o nr e s p o n s ec a l ll i m i t ，b l o c ka n d e r a d i c a t et h ed a m a g ef r o mi n t r u s i o na c c o r d i n gt ot h er e s u l td e t e c t e d i ti sa l r e a d y q u i t er i p et oi n t r u s i o nd e t e c t i o ns y s t e m a tp r e s e n ta n dal o to f o u t s t a n d i n gp r o d u c t s h a v ea p p e a r e d b u tt h er e s e a r c hi ni n t r u s i o nr e s p o n s ei ss t i l lr e l a t i v e l yl i m i t e d w e c o n s u l t e dal a r g en u m b e ro fd o c u m e n t sa n ds t u d i e do nt h ef o u n d a t i o no fo t h e r s o u t s t a n d i n ga c h i e v e m e n t st oc o m p o s e t h i st h e s i sw h i c hi sa b o u t r e s e a r c h i n g o fa c t i v e r e s p o n s ep o l i c ya n da u t o m a t i cr e s p o n s eb a s e d o ni n t r u s i o nd e t e c t i o n a t f i r s t ，t h er e l e v a n tt h e o r i e sa n dt e c h n o l o g yo f i n t r u s i o nd e t e c t i o nb ed i s c u s s e di n t h i s t h e s i s ，i n c l u d i n g t h eb a s i c c o n c e p t i o n s ，d e t e c t i o nm o d e l s ，c l a s s i f i c a t i o n s c o m m o n l y , t h ep r i n c i p l ea n dt e c h n o l o g yo fa n o m a l yd e t e c t i o na n dm i s u s ed e t e c t i o n w ed i s c u s st h e a d v a n t a g e a n d s h o r t c o m i n g o ft h e s e t e c h n o l o g ys u b s e q u e n t l y a d d i t i o n a l l y , t h ea p p l i c a t i o no fn e t w o r ki n t r u s i o nd e t e c t i o ns y s t e mi nr e a l i t y h a s a l s ob e e n e x p l a i n e d a n d t h e nt h en e x tf o c u s e d p o i n t i si n t r u s i o n r e s p o n s e r e s e a r c h i n g i nt h i sc h a p t e r , w ei n t r o d u c et h er e l e v a n tc o n c e p t i o no fp a s s i v er e s p o n s e a n da c t i v er e s p o n s ea n da n a l y z ec o m m o na c t i v er e s p o n s et e c h n o l o g y , d i s c u s st h e c h a r a c t e r i s t i ca n dl i m i t a t i o no fa u t o m a t i cr e s p o n s et e c h n o l o g yt h e np u tf o r w a r dt h e c o r r e s p o n d i n gi m p r o v e m e n ts u g g e s t i o na n dw ea n a l y z et h er e s p o n s ec o s t i n t r u s i o n e v e n tc l a s s i f i c a t i o ni st h ef o u n d a t i o no ft h ei n t r u s i o nr e s p o n s e 。i nt h i st h e s i s ，w e a l s od i s c u s st h e c a t e g o r i s e d m e t h o do ft h ei n t r u s i o ne v e n ta n d p r o p o s e a m u l t i d i m e n s i o nr e s p o n s e - - o r i e n t e di n t r u s i o ne v e n tc l a s s i f i c a t i o nm o d e lb a s e do nt h e i n c i d e n tr e s p o n s em e t h o d o l o g y t h em o d e lu s et i m e a t t a c kt e c h n o l o g y , w e a k n e s s t y p e ，a t t a c kr e s u l ta n da t t a c ko b j e c tt o d e s c r i b ea i li n t r u s i o ne v e n t a n dt h e nw e c o m b i n et h em o d e la n dr e s p o n s ec o s tm e t h o dt ob u i l dar e s p o n s ep o l i c y m a k i n g m o d e l f i n a l l y , w ei m p l e m e n ta na u t o m a t i ci n t r u s i o nr e s p o n s es y s t e mb a s e do n l i n u x i ti s 武汉理工大学硕士学位论文 d i f f e r e n tt o p a s s i v e m o n i t o rm e c h a n i s m so ft r a d i t i o n a li d s ，t h i ss y s t e m c a n i n t e r c e p tp a c k e ti n r e a lt i m e a n dt h e nd e t e c ti n t r u s i o n s ，r e s p o n da c c o r d i n gt o t h er e s u l t so fi n t r u s i o nd e t e c t i o na n dc o s ta n a l y s i sa tt h ee n d t h i ss y s t e mr e a l i z e p a c k e tf i l t e ra n dt h er e s p o n s ec o s ta n a l y s i sw i t h t h eo b j e c tw h i c hs h o u l db ep r o t e c t e d t h i ss y s t e mb u i l do nt h el i n u x b r i d g e ，n e t f i l t e rf l a m ea n ds n o r td e t e c t i o n e n g i n e l i n u xb r i d g e t r a n s m i t st h ed a t ab e t w e e nt h eh o m en e ta n de x t r a n e t n e t f i l t e rs u b m i t so r i g i n a ld a t at od e t e c t i o ne n g i n ea n de x e c u t et h er e s p o n s ea c t i o n d e t e c t i o ne n g i n e i n s p e c t st h ep a c k e t t h ew h o l es y s t e mi n c l u d e sf o u rm o d u l e s ： d a t ac a p t u r em o d u l e ，d e t e c t i o nm o d u l e ，r e s p o n s em o d u l ea n dm a n a g e m e n tm o d u l e 1 1 1 e d e v e l o pe n v i r o n m e n ti sr e d h a tl i n u x 9 0 ，c ，l i b i p q ，l i b n e t ，l i b p c a p t h e s y s t e mh a sr e a c h e dt h ed a t a g r a ml e v e li n t r u s i o ni s o l a t i o nb a s i c a l l yb y t h es u p p o r to f s n o r td e t e c t i o ne n g i n ea n dn e t f i l t e rf r a m e k e y w o r d s ：i n t r u s i o nd e t e c t i o n ，a c t i v er e s p o n s e ，r e s p o n s ep o l i c y ，a u t o m a t i c r e s p o n s es y s t e m 武汉理1 火学硕士学位论文 第1 章绪论 1 1 课题研究的目的和意义 自i 9 6 9 年美国国防高级研究计划局( d a r p a ) 建立第一个分组交换网 a r p a r n e t 起，历经数十年发展，计算机网络完成了从单一，专用化向复杂丽普 及化的转变。以f n t e r n e t 为代表的计算机网络已经深入到人们工作，生活的各 个方面，为我们创造了巨大的价值，可以说计算机网络已经成为现代生活中不 可或缺的重要工具。与此同时，网络安全问题也日益突出，一次网络瘫痪带来 的损失可能是十分严重的，例如2 0 0 0 年y a h o o ，e b a y 等一系列知名网站被入侵 以及近期层出不穷的蠕虫病毒造成的网络拥塞。如何保证网络的安全使用一直 是人们关心和研究的问题。 网络安全包含以下三个基本方面： _ 数据保护：对网络中的数据的机密性和完整性进行保护。 _ 信赖关系保护：对通信双方的信赖关系进行保护，包括身份鉴别， 建立维护信赖关系。 _ 能力保护：对网络系统的传输功能及端系统处理功能的保护，包括 网络连接的维护，网络设备数据处理能力及提供服务能力的维护。 而网络的安全威胁主要来自这几个方面： ( 1 ) 人为的无意失误 ( 2 ) 人为的恶意攻击 ( 3 ) 软件系统本身的设计缺陷 显然，恶意攻击造成的危害最大，攻击的手段多种多样，入侵者通过社会 工程、身份冒充、物理攻击、数据攻击等手段来达到非法获取权限、盗窃数据、 拒绝服务的目的。通常技术性的入侵一个系统需要经过这样几个步骤： ( 1 ) 漏洞扫描，收集信息：对欲攻击目标进行侦察，完成对系统环境、 网络拓扑等的信息收集，试图发现可以利用的软件漏洞，最常见的 收集方式就是端口扫描。 ( 2 ) 利用漏洞，实旋入侵：一旦发现漏洞，入侵者便可以实施入侵行为， 武汉理上大学硕十学位论文 处于不同的目的，所使用的手段也不同，例如使用缓冲区溢出获取 管理员权限，使用地址伪装来建立信赖关系，操纵傀儡主机对目标 进行拒绝服务攻击等。 ( 3 ) 完成攻击，清理现场：达到攻击目的后，入侵者往往要清除入侵痕 迹同时安放后门程序，为下一次入侵提供方便。 检测和防范各种恶意攻击是网络安全关注的重点。目前的安全手段主要有： 加密及协议的安全设计，访闻控制，入侵预防和灾难恢复等。基于上述技术的 安全产品主要有：各种加密解密算法如d e s ，s h a 等、安全协议及规范如i p s e c ， i s o l 7 7 9 9 等、各类防火墙产品和入侵检测系统等。网络入侵检测通过对计算机 网络的若干关键点收集信息并进行分析的方式来发现是否有恶意攻击发生。入 侵响应是在检测的基础上对入侵行为做出反应，例如报警、日志记录、断开网 络连接等从而达到阻止入侵进一步进行的目的。入侵检测作为增强网络安全性 的一种重要手段，近年来得到了广泛关注，包括检测理论的研究和检测产品的 开发。相比之下，在入侵响应方面的研究起步较晚，如何在发现入侵后尽快尽 好的做出响应对于保障网络的正常使用有着十分重要的意义。 1 2 国内外研究现状及动态 j a m e sp a n d e r s o n 在1 9 8 0 年4 月做的题为 c o m p u t e rs e c u r i t yt h r e a t m o n i t o r i n ga n ds u r v e i l l a n c e 的报告被认为是入侵检测的开山之作。在该 报告中入侵检测的概念被第一次提出，同时还提出了利用审计跟踪数据监视入 侵活动的思想“3 。1 9 8 5 年由s r i 的l u n tt e r e s a 等人开发出了i d e s ( i n t r u s i o l l d e t e c t i o ne x p e r ts y s t e m s ) 原型系统，这是第一个结合了异常统计和误用检 测的系统，对于入侵检测研究意义非凡。1 。1 9 8 9 年加州大学d a v i s 分校的学生 t o d dh e b e r l i e n 发表的一篇论文an e t w o r ks e c u r i t ym o n i t o r ) 中首次提到 基于捕获t c p i p 分组并进行异常检测的思想仁1 ，这标志着网络入侵检测的诞生。 进入2 0 世纪9 0 年代以后，关于入侵检测的研究蓬勃发展，开始涌现出象a a f i d 、 g r i d s 、e m e r a l d 等能够用于大规模网络入侵检测的优秀系统。并且，在检测理 论上，神经网络、数据挖掘、遗传免疫学、状态转换分析等方法也被引入，使 得入侵检测达到了一个新的高度。目前已经有一批较为成熟的商用产品出现， 其中以n f r 、i s s 、n a i 、c i s c o 公司的产品为代表，这表示入侵检测进入实际应 用阶段。 2 武汉理工大学硕士学位论文 相对于入侵检测，在入侵响应方面的研究起步较晚。对入侵响应的研究目 前主要集中在两个方面：响应政策和响应机制。“”其中前者是体系结构、政策、 标准的层次上的研究，后者主要指技术层面。入侵响应从响应方式上主要分为 被动响应和主动响应。被动响应包括日志记录、告警提示等方式。主动响应则 是对入侵行为做出反应，包括阻断攻击源，对攻击源的反击，引诱系统等等。 与主动响应相关的研究成果有：i d i p ( 入侵检测与隔离协议) “、基于代理的响 应系统a a i r s 5 1 、基于主动网络( a c t i v en e t w o r k ) 的响应系统“1 等。其中i d i p 是由美国国防部高级研究计划局d a r p a 资助的一项关于i d s 和其它网络部件( 防 火墙、路由器等) 联动通用标准的研究。大多数商业入侵检测系统中的响应部 分仍然以被动响应为主。更深层次的入侵响应往往是通过另外单独的系统来完 成的，例如“蜜罐”系统、“黑洞”系统、故障恢复等。 另外，在官方和民间还成立了一些相关的研究机构，典型的有： c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 、i d w g ( i n t r u s i o nd e t e c t i o n w o r k i n gg r o u p ) 这两个组织置力于入侵检测系统的标准化工作；h o n e y n e t 项目 组利用欺骗网进行入侵检测及响应的研究；由卡内基梅隆大学( s e i ) 成立的计算 机事件响应协调中心( c c e r t c c ) 和美国能源部、劳伦斯利物浦国家实验室成 立的计算机安全事件咨询小组( c i a c ) 是两个较为著名的事件应急响应组，为 全球的i n t e r n e t 团体服务。国内的安全响应组织为中国教育和科研计算机网紧 急响应组( c c e r t ) ，主要由各科研院校的网络安全机构组成。另外国内的安全 厂商有绿盟科技、启明星辰、天融信等。 1 3 课题研究工作及论文主要内容 本课题主要是在已有入侵检测系统的基础上对入侵响应进行研究，重点在 于主动响应策略及自动响应。具体来说，论文主要包括这么一些内容：对入侵 检测的相关介绍：对入侵响应的理论及主动响应技术、自动响应作了介绍，并 分析了各自的特点及不足之处：在前人研究的基础上提出了一个面向响应的入 侵事件分类模型；介绍了一种响应成本分析的方法；然后结合事件分类和成本 分析给出了一个响应决策的模型，借助该模型探讨了在主动响应策略制定方面 的一些思路。最后讨论了基于l i n u x 的自动响应系统的实现。本文各章节的安 排如下： 武汉理j l 大学硕士学位论文 第一章，相关背景介绍，研究现状及动态，阐述本文主要内容。 第二章，详细介绍了入侵检测技术，包括基本概念、分类方法、两种基本 的检测理论及各典型方法分析，最后介绍了网络入侵检测系统的 概念及实际应用。 第三章，入侵响应及主动响应研究，首先介绍了基本概念，再讨论了入侵 事件的分类，在前人工作的基础上提出了一个面向响应的分类模 型；主动响应技术的介绍，包括对自动响应方法的局限的分析， 讨论了响应成本的计算，最后综合前面的内容讨论了主动响应决 策的制定。 第四章，基于l i n u x 的自动入侵响应系统的实现。包括体系结构、技术路 线、入侵检测引擎的分析、响应系统各模块的设计。 第五章， 结束语，对整个论文工作的总结及对入侵检测、响应的前景展望。 4 武汉理工大学硕士学位论文 第2 章入侵检测技术综述 在本章中，首先介绍了入侵检测的基本概念及相关的检测理论。然后对网络 入侵检测系统进行分析，包括系统的工作原理、体系结构、实际应用等。 2 1 入侵检测的基本概念 计算机安全包括这样几个方面： ( 1 ) 机密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。 ( 2 ) 完整性：数据未经授权不能进行改变的特性。卸信息在存储或传输过程中保 持不被修改、不被破坏和丢失的特性。 ( 3 ) 可用性：可被授权实体访问并按需求使用的特性。即经过授权的用户可以得 到系统资源，并且能享受系统所提供的服务。 ( 4 ) 可控性：对信息的传播及内容具有控制能力。 ( 5 ) 可靠性：可靠性是指对信息完整性的依赖程度，也是对信息安全系统完整性 的依赖程度。 入侵( i n t r u s i o n ) 指的就是试图破坏计算机机密性，完整性，可用性或可控 性的活动集合。入侵活动包括非授权用户试图存取数据，处理数据，或者妨碍 计算机的正常运行。入侵检测( i n t r u s i o nd e t e c t i o n ) 就是对企图入侵、正在进 行的入侵或已经发生的入侵进行识别的过程。而从网络或计算机系统中收集信 息进行入侵检测的系统被称为入侵检测系统( i d si n t r u s i o nd e t e c t i o n s y s t e m ) 。d o r o t h yd e n n i n g 在1 9 8 6 年提出了一个通用入侵检测的基础模型，如 图2 1 。 活动记景 图2 - 1 通用入侵检测模型 5 日规m 0 修改 武汉理一r 大学硕士学位论文 该模型的三个主要的部件是事件产生器( e v e n tg e n e r a t o r ) ，活动记录器 ( a c t i v i t yp r o f i l e ) 和规则集( r u l es e t ) 。事件产生器是模型中提供活动信 息的部分。活动记录器保存监视中的系统和网络的状态。当事件在数据源中出 现时，就改变了活动记录器中的变量。规则集是一个普通的核查事件和状态的 检查器引擎，它使用模型，规则，模式和统计结果来对入侵行为进行判断。此 外，反馈也是模型的一个重要组成部分。现有的事件会引发系统的规则学习以 加入新的规则或者修改规则。系统的三个子系统是独立的，可以分布在不同的 计算机上运行。目前的大多数入侵检测产品的结构体系都是符合该模型的，在 此之后c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 工作组公布的入侵检测 模型也继承了该模型的思想，c l d f 模型如图2 2 。1 。 图2 - 2c i d f 模型 c i d f 模型的特点有：各部件之间都使用通用入侵检测对象( g e n e r a l i z e d i n t r u s i o nd e t e c t i o no b j e c t sg i d o s ) 进行信息交换，并提供了一套描述语言 c i s l ( c o m m o ni n t r u s i o ns p e c i f i c a t i o nl a n g u a g e ) 及相应的开发a p i ，制定了 一套组件之间的通信机制。这些意昧着只要是符合该规范的入侵检测系统都使 用兼容的输入输出，使得不同类型之间的i d s 交互成为可能。 2 2 入侵检测系统的分类 ( 一) 根据数据源的不同，入侵检测系统主要分成：基于主机的入侵检测系统 ( h i d s ) 和基于网络的入侵检测系统( n i d s ) 及混合入侵检测系统。 h i d s 保护的目标是主机，它往往通过监视主机端的用户行为、系统日志、应 用程序日志及系统调用来收集信息。主机入侵检测的优点在于信息来源准确广 泛，能够充分利用操作系统提供的功能，容易定义正常行为，结合异常分析可 以有较好的检测效果。缺点在于需要为不同操作系统平台各自开发程序、会造 6 武汉理- 人学硕士学位论文 成所在主机性能下降、安装数量众多等。 n i d s 保护的其所在整个网段，它的数据源就是网络上的数据包。通过对截获 数据的分析来发现是否有恶意入侵行为发生。它的优点是独立于平台、不会给 网络造成额外负担，容易部署等。但是由于n i d s 被动监听的工作原理使得入侵 者有可能绕过或欺骗检测系统，同时在入侵响应方面也处于被动的状态。另外， 对加密数据的分析仍然是n i d s 的一个薄弱环节。 混合型入侵检测系统综合了上述两类入侵检测系统的特点，既监视主机数据 也监视主机数据。混合型检测系统往往是分布式的，有一部分传感器( 或称为 代理) 驻留在主机上收集信息，另一部分则部署在网络中，它们都由中央控制 台管理，将收集到的信息发往控制台进行处理。 ( 二) 根据检测原理的不同，可以分为基于异常的入侵检测( a n o m a l yd e t e c i o n ) 和基于误用的入侵检测( m i s u s ed e t e c t i o n ) 。具体基于这两种思想的检测技术 将在下一小节介绍。 异常检测的思路是根据用户的异常行为或者对资源的异常存取来判断是否 发生入侵事件。它首先总结正常操作所具有的特征，并把用户的当前行为的统 计报告与j 下常行为进行比较，来寻找偏离正常值的异常行为。如果报告表明当 前行为背离正常值超过了一定范围，那么检测系统就会将这样的活动视为入侵。 基于异常检测的方法具有如下的优点，在没有详细的特定知识条件下，可以检 测出攻击发生的症状，从而产生的信息可以作为误用检测器的特征输入信息。 但是，由于不可预测的用户行为和网络，基于异常检测的方法可能产生大量的 误警信息。 误用检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活 动是否符合这些模式。特征检测可以将已有的入侵方法检查出来，但对新的入 侵方法无能为力。这种检测技术的难点在于如何设计模式既能够表达“入侵” 现象又不会将正常的活动包含进来。在目前的商业产品中特征检测最通常的形 式是将每一个攻击事件的模式定为一个独立的特征，这种专家特征库的关键在 于攻击特征库的维护和攻击特征匹配搜索。 ( 三) 根据部署方式，可以分为集中式i d s 和分布式i d s 。 集中式是指系统的各模块包括数据收集与分析响应模块都集中在一台主机上 运行，它适用于网络环境较为简单的条件下。 分布式i d s 的各个模块是分布在网络的不同主机或边界上，它们可能是按照 7 武汉理：r 大学硕士学位论文 严格的层次划分来部署，信息按层次结构传递，最后分析结果由中央控制台汇 总；也有可能各模块作为独立的实体运行，各司其职并可互相协作。 ( 四) 根据数据分析发生的时间不同，可分为实时分析i d s 和非实时分析i d s 。 实时分析即指在数据产生或发生改变的同时进行检测，能够及时的发现可疑 行为，一般用于网络数据的实时分析，对系统的性能要求较高。 非实时分析是在数据或行为发生后对其进行分析，比如系统日志、文件完整 性检查等。它要求对数据进行全面的审计。 以上是从不同角度出发对入侵检测系统作的大致的分类，而入侵检测系统的 核心就在于检测分析，影响检测的就是该系统采用的检测原理和方法。下面对 常用的检测方法进行讨论。 2 3 基于异常的入侵检测 异常入侵检测通常需要考虑以下几个方面： 异常检测认为用户的行为具有一定的规律性，系统首先得学习用户的正常行 为，如何选择、获取数据是第一步，并且选择哪些数据来反映用户行为，并 且能够方便的获取和处理。 一如何通过获得的数据规定用户的正常行为特征，如何能够既学习用户新的行 为又有效的判断出用户行为的异常。 _ 考虑学习过程的时间长短，用户行为学习的时效性等问题。 各种不同的异常检测技术就是用来解决上述问题的。 2 3 1 统计学方法的异常检测 统计学方法是在异常检测中经常使用的，即使用统计学方法发现用户行为 中的内在规律并以此来捕捉到可疑的、可能导致安全问题的活动。常用的统计 学模型有： ( 1 ) 操作模型：该模型假设异常可通过测量结果与一些固定指标相比较得到， 固定指标可以根据经验值或一段时间内的统计平均得到，举例来 说，在短时间内的多次失败的登录很可能是口令尝试攻击。 ( 2 ) 方差：计算参数的方差，设定其置信区间，当测量值超过置信区i 目的范围 时表明有可能是异常。 ( 3 ) 多元模型：操作模型的扩展，通过同时分析多个参数实现检测。 8 武汉理1 一火学硕士学位论文 ( 4 ) 马尔柯夫过程模型：将每种类型的事件定义为系统状态，用状态转移矩 阵来表示状态的变化，若对应于发生事件的状态矩阵中转移概率 较小，则该事件可能是异常事件。 ( 5 ) 时间序列分析：将事件计数与资源耗用根据时间排成序列，如果一个新 事件在该时间发生的概率较低，则该事件可能是入侵。 用来描述用户行为的指标一般包括以下几种： a 活动强度指标：用来衡量用户活动的频率，如一分钟内用户产生的审计 记录数。 b 审计记录一分布情况指标：用来衡量最近审计记录中所有活动类型的分布 情况，如某个用户的文件存取与i 0 活动的分布情况。 c 类别指标：用来在不同类别里面衡量某一活动的分布情况，如来自不同 物理位置的l o g i n 命令的相对频率，或系统中每个邮件服务器，编译器， s h e l l ，编辑器的相对使用频率。 d 序数指标：用数值来表示活动情况，如某一用户对c p u 和i o 的使用总 值。 统计方法的优点是可以利用相对成熟的统计理论成果。但使用统计方法的一个 主要缺点是入侵者可以“训练”该i d s 使得它把异常逐渐当作正常。另一个缺 点是难以确定合适的阀值。另外，有些行为难以用纯统计的方法来建模。 2 3 2 神经网络 神经网络的特点是具有自适应学习能力，使用它来学习用户的行为，l k , 女n 说 获取用户的命令行日志作为神经网络的输入集，经过一段时间的训练神经网络 已经可以标识出这个用户，并且可以模仿该用户的行为来预测下一组命令。当 新的一组数据到来时如果与神经网络所预测的结果有很大差异则表示可能有异 常行为发生。该方法最大缺点是不能检测神经网络输入集以外的入侵事件，因 为它不满足神经网络的输入事件。 2 3 3 数据挖掘 用户行为日志信息或网络流量的数据量通常是很大的，如何从大量数据中提 取出一组指标来表示用户行为以此进行异常检测，数据挖掘就是一种可行的技 术。数据挖掘方法自适应地从训练数据中自动发现正常模式，在文献。3 中介绍了 两种用于异常检测中审计数据收集、特征选取以及离线分析的数据挖掘方法， 即关联规则和频繁事件挖掘。关联规则说明了不同特征之间的关系，而频繁事 武汉理 ：大学硕士学位论文 件则代表了在事件序列中重复出现的序列模式。采用数据挖掘方法对入侵检测 问题进行研究需要涉及到机器学习、统计学、人工智能、数据库以及可视化技 术等方面的知识，同时还需要更加关注特征及实例数目的扩展性问题，以及如 何处理大型的、异构的数据。另外，由于数据挖掘方法往往是针对特定领域的 问题及数据源进行分析处理，因此如何将提高数据挖掘算法对不同问题的适应 性也是值得考虑的问题。 2 3 4 免疫学遗传算法 生物体的免疫系统对外源性抗原异物的识别主要是根据肽链( 一种蛋白质 片段) ，通过匹配和判断，杀伤异常突变细胞。“”作为一个信息处理系统，免疫 系统具有以下特征； 1 s e l f n o n s e l f 识别：识别系统中正常非正常模式； 2 噪声容忍( 非完美匹配) ：能够在噪声环境中进行识别： 3 分布式结构：使系统具有很好的鲁棒性； 4 增强学习：免疫系统具有学习能力： 5 免疫记忆能力一有助于免疫系统加速二次免疫应答。 生物体免疫系统最基本的功能是s e f n o n s e l f 识别能力。机体连续不断地产生 称作抗体的检测器细胞，并且将其分布到整个机体中。这些分布式的抗原监视 所有的活性细胞，试图检测出入侵机体的n o n s e l f 细胞，也就是抗原将免疫 学应用于入侵检测需要三个步骤：定义s e l f 、生成检测器和监视入侵。在第一 个阶段，定义系统正常模式为s e l f 。在第二阶段，根据前面生成的s e l f 模式生 成一定数目的随机模式( 抗原) ，如果随机生成的模式匹配了任何s e l f 模式， 则该随机模式将不能成为检测器。在监视阶段，如果检测器匹配任何新出现的 模式，则被匹配的模式反应了系统可能正在被入侵。如果借鉴免疫系统中学习 和记忆的机制，就可以在检测器生成阶段和入侵监视阶段使检测器进化，提高 检测器的生成效率以及检测效率，这就需要采用遗传算法。 2 4 基于误用的入侵检测 误用是英文m i s u s e 的直译，在入侵检测中，误用的含义就是可以被相应方 式或模型表示的可能造成安全问题的行为。误用检测就是与已知的威胁模型进 行匹配的过程。对于误用检测系统需要考虑的问题有： 1 0 武汉理： 大学硕士学位论文 一如何全面描述入侵行为特征，包括描述入侵的变种行为。 一如何排除其它具有干扰性质的行为，减少误报率。 如何实现高效率的模式匹配。 下面讨论常用的误用检测类型。 2 4 1 专家系统 专家系统是以专家的经验性知识为基础建立的，以知识库和推理机为中心的 智能软件系统结构。在基于专家系统的入侵检测中，将入侵行为编码成专家系 统的规则。每个规则具有“i f 条件t h e n 动作”的形式；其中条件为审计已录 中某个域上的限制条件，动作表示规则被触发时入侵检测系统所采取的处理动 作，该动作可以是一些新事实的断言或者是提高某个用户的可疑度。这些规则 可以识别单个的可审计事件也可以识别表示一个入侵行为的一系列事件。专家 系统可以自动地解释系统的审计记录并判断他们是否满足描述入侵行为的规 则。 专家系统面临的问题有： ( 1 ) 数据顺序的问题，如何获取实时连续的审计数据。在i f 部分的规则通 常认为是无序的，而且这些规则元素可以使用逻辑操作连接( a n d ，o r ) ，这种 表示方法很难准确描述某些具有时间顺序的入侵行为。 ( 2 ) 专家对规则归纳的水平高低直接影响到专家系统的检测水平。 ( 3 ) 规则库的可维护性，通常规则库的维护是件困难的事情，添加或删除一 条规则都需要考虑到对其它规则的影响。 目前，基于专家系统的入侵检测多用于研究目的，比较著名的有s r i 公司 开发的n i d e s 。 2 4 2 状态转换分析 状态转换分析的基本思想是攻击看成一个连续的、分步骤的并且各个步骤之 间有定关联的过程，这些过程会使系统由初始状态转换到某个危及系统安全 的状态，如果发现系统的状态发生了转换并且是向危险方向的转换，那么可以 认定当前正在发生入侵，应着重分析在这两个状态之间引起状态迁移的关键活 动。可以用类似有限状态机的状态迁移图来描述状态间的迁移信息。 以s y n f l o o d i n g 攻击为例，该种攻击方式利用建立t c p 连接需要三路握手，在 短时间内向目标主机发送大量s y n 连接请求，当目标主机返回s y n a c k 包等待 连接时却不发送a c k 包回应，使得网络连接资源被大量消耗，导致目标的拒绝 武汉理工大学硕士学位论文 服务。图2 - 3 是s y n f l o o d i n g 的状态转换图。 图2 - 3s y n f l o o d i n g 状态转换图 a 为初始状态，d 为s y n f l o o d i n g 发生状态，状态转换函数为( x ，y ，z ) 。其中x 为系统送出或接收数据包，y 为是否为s y n 包，2 为是否为a c k 包。由初始状态 起若接收到包且为s y n 请求包的话，状态由a 一 b 。这时目标般回应s y n a c k 包，这时状态由b - c 。最后是否会由c - d 则需要再计算在时间t 内发生的h 个 连接数，若h t = q 大于一个阀值s 来判断。若q s 则获态发生转换，t 和s 是 由管理者凭经验自行设定。 2 4 3 模式匹配 s a n d e e pk u m a r 在19 9 4 年提出了一个基于模式匹配的入侵检测模型，目前模 式匹配已经成为应用最广泛的检测手段之一。在该模型中k u m a r 提出了入侵特 征( i n t r u s i o ns i g n a t u r e ) 的层次性概念，即根据底层的审计事件提取出高层的 事件，由高层事件构成入侵特征，并按照高层事件之间的结构关系划分入侵信 号的抽象层次并对其进行分类。这里入侵特征被分为四个层次，每一层对应相 应的匹配模式n “。 ( 1 ) 存在( e x i s t e n e e ) 该层次的特征表明只要存在一种这样的审计事件就足以证明发生了入侵 行为或企图，它所对应的匹配模式称为存在模式( e x i s t e n c ep a t t e r n ) 。存在模 式往往是基于系统的某些状态的，比如特殊文件的特殊权限、用户的权限、文 件内容的格式等。当入侵者改动了上述的审计数据时，通过主动进行存在模式 检查将能迅速发现攻击行为。 ( 2 ) 序列( s e q u e n c e ) 有些入侵是由一些按照一定顺序发生的事件组成的，这一组顺序事件我们称 之为序列。其对应的匹配模式是序列模式( s e q u e n c ep a t t e r n ) 。序列模式关注 三个方面，即事件、间隔和持续时间。事件即审计数据：事件之间的间隔可以 记为x ，即下一个事件发生的时间将在大于x 一，小于x + 的区间内；持 续时间指事件存在和发生的时间。 ( 3 ) 规则表示( r e g u l a re x p r e s s i o n s ) 武汉理一 大学硕士学位论文 规则表示模式( r ep a t t e r n s ) 是指使用规则表达式来构造匹配模式，规则表 达式由用a n d 逻辑操作符连接的一些描述事件的原语构成。该种匹配模式通常 适用于描述那些由一组无时间顺序的相关活动组成的入侵行为。 ( 4 ) 其它 不能归类到上面三类的入侵特征都属于其它。而其它模式( o t h e rp a t t e r n s ) 包括的类型有： 包含内部否定的模式。上面描述的都是符合某种条件的攻击，而也有的攻击 是在不满足某个条件下发生的，模式表示可以是a b 己。 包含归纳选择的模式。例如在x 个条件中满足y 个便构成匹配。 上面介绍的四类匹配模式是层次包含的关系，后者包含前者，如图2 -