（计算机软件与理论专业论文）基于snmp的分布式分层入侵检测模型的研究与实现.pdf

北京交通大学硕士研究生学位论文 y5 8 6 2 i 7 摘要 当网 络的开放成为必要， 当网络规模的快速增长成为趋势， 网络管理 和网 络安全将不再是两个孤立领域。 向 对方渗透、 相互融合成为二者未来 的发展方向 之一。 本论文从入侵检测系统入手， 探讨入侵检测与网络管理 相结合的必要性，试图在两个领域的融合上做一些研究性工作。 简单网络管理协议 ( s n mp )是业界事实上的网络管理标准，因此， 我们选用 s n mp作为网管协议。一方面，s n m p作为入侵检测系统的网 络管理工具， 为系统对设备的控制和自 动响应提供方便; 另一方面， 通过 共享s n mp 的管理信息库 ( ni b ) ， 入侵检测系统能实施有效的安全检测 策略，发现网络中的违法行为。 为了能从基于统计量的mi b数据源中发现攻击行为，我们提出系统 特征状态分析 ( s c s a )技术。与其它检测方法不同，s c s a从攻击产生 的结果着手，在 mi b统计量上建立特征规则，从而准确发现针对协议栈 的攻击。 s c s a是一种结合概率统计方法的特征分析技术， 它为入侵检测 与网络管理的结合提供了新的思路，是本文的创新成果。 在 s c s a的 基础上，论文又提出 针对大型网络的i d s模型 基于 s n m p 的分布式分层入侵检测模型。 模型采用网 络的分层架构和入侵检测 的分布式检测架构， 两种架构独立而互补， 不仅能扩大检测范围而且能对 网络实行有效管理。这也是本论文的研究成果。 论文的另一个工作重点是 i d s模型中的关键组件网络管理系统 代理 ( n m s a g e n t ) . n ms a g e n t 是s c s a技术的实现， 是本人工作 的主要内容。 因 此， 论文的后半部分详细讨论该组件的设计和实现， 并用 一系列实验来证明它在入侵检测和网 络管理两方面的可行性和有效性。 关键词:入侵检测系统，简单网络管理协议，管理信息库， 系统特征状 态分析技术， 基于s n np的分布式分层入侵检测系统，网络管理代理 未 经作 者、 导 师 简 惫 勿 全 文 公 布 北京交通大学硕士研究生学位论文 abs tract wit h t h e o p e n i n g o f t h e n e t w o r k a n d t h e e x p a n d i n g o f t h e n e t w o r k s c a l e , n e t w o r k m a n a g e m e n t a n d s e c u ri ty w i l l b e n o l o n g e r t w o i s o l a t e d fi e l d s , a n d t h e i r i n t e g r a t i o n w i l l b e t h e t e n d e n c y o f t h e f u t u r e d e v e l o p m e n t . b e g i n n i n g w i t h t h e i n t r u s i o n d e t e c t i o n s y s t e m ( i d s ) , t h e t h e s i s d i s c u s s e s t h e n e c e s s a r i ty a n d p o s s i b i li t y t o c o m b i n e t h e i n t r u s i o n d e t e c t i o n a n d n e t w o r k m a n a g e m e n t , t r y i n g t o d o s o m e r e s e a c h w o r k i n t h i s fi e l d . s i m p l e n e t w o r k m a n a g e m e n t p ro t o c o l ( s n m p ) i s t h e d e f a c t o n e t w o r k ma n a g e m e n t s t a n d a r d i n t h i s fi e l d . o n o n e h a n d , as t h e n e t w o r k m a n a g e m e n t t o o l o f t h e ids , i t p r o v i d e s c o n v i n e n c e f o r t h e a u t o a n s w e r a n d t h e c o n tr o l o f t h e d e v i c e ; o n t h e o th e r h a n d , b y s h a r i n g t h e ma n a g e m e n t i n f o r m a t i o n b a s e ( mi b ) , i d s c a n e ff e c t i v e l y p e r f o r m t h e s e c u r i ty d e t e c t i v e s tr a t e g y a n d t h e n d i s c o v e r t h e a t t a c k s i n t h e n e t w o r k . i n o r d e r t o d i s c o v e r t h e a t t a c k s fr o m mi b b ase d o n t h e s t a t i s t i c s , t h e t e c h n o l o g y o f s y s t e m c h a r a c t e ri s t i c s t a t e a n a l y s i s ( s c s a ) i s p u t f o r w a r d i n t h i s t h e s i s . d i ff e r e n t fr o m o t h e r d e t e c t i v e m e t h o d s , i t b e g i n s w i t h t h e c o n s e q u e n c e o f t h e a t t a c k a n d s e t s f e a t u r e r e g u l a t i o n s b as e d o n t h e mi b s t a t i s t i c s , t h u s d i s c o v e r i n g t h e a t t a c k t a r g e t e d a t t h e p r o t o c o l s t a c k . i t p r o v i d e s a n e w i n s i g h t i n t o t h e c o m b i n a t i o n o f t h e i n t r u s i v e d e t e c t i o n a n d n e t w o r k m a n a g e m e n t , w h i c h i s a n i n n o v a t i v e i d e a i n t h i s t h e s i s . o n t h e b as i s o f s c s a , t h e t h e s i s a l s o p r o p o s e s s n mp - b as e d d i s t r i b u t e d l a y e r i n g i n t r u s i o n d e t e c t i o n mo d e l ( s d l i d m) . i t c o m b in e s t h e l a y e r i n g a r c h i t e c t u r e o f t h e n e t wo r k a n d t h e d i s t r i b u t e d a r c h i t e c t u r e o f t h e i n t r u s i o n d e t e c t i o n . a s b o t h a re i n d e p e n d e n t a n d c o m p l e m e n t a ry t h e m o d e l c a n n o t o n l y e x t e n d t h e d e t e c t i v e r a n g e ,b u t c a n a l s o m a n a g e t h e n e t w o r k m o r e e ff e c t i v e l y . d l id s m i s a n t h e r e m p h a s i s o f t h i s p a p e r . a n o t h e r i m p o r ta n t a s p e c t i s t h e k e y c o m p o n e n t o f t h e i d s m o d e l - - n e t w o r k m a n a g e m e n t s y s t e m a g e n t ( n ms a g e n t ) . a s t h e i m p l e m e n t a t io n o f t h e s c s a , t h e l a t t e r p a rt o f t h e t h e s i s m a i n l y d i s c u s s e s t h e d e s i g n a n d i m p l e m e n t a t i o n o f t h e c o m p o n e n t a n d t h e n p ro v e s i t s f e a s i b i l i ty a n d e ff e c t i v e n e s s i n t h e i n t r u s i o n d e t e c t i o n a n d n e t w o r k m a n a g e m e n t w i t h a s e r i e d o f e x p e ri m e n t s . k e y wo r d s : i d s , s n m只 mi b , s c s a , s d l i d m, n ms a g e n t 北京交通大学硕士研究生学位论文 第一章 引言 1 . 1网络安全背景 网络的高速发展加速信息时代的来临。 为了满足人们娱乐、 通信等种 种需求， 大量的网 络应用服务被不断开发出 来， 普及到日 常生活的方方面 面。 人们越来越多的依赖于网络。 但是， 应该看到， 在人们尽情享用网络 所带来的种种利益的同时，网络的安全问题却也不断凸现。 众所周知，现有网络是一个开放性的t c p网络。t c p协议是目 前最 为广泛使用的协议，也是事实上的网络标准。最初设计t c p / i p协议的目 的是为了网络设备的互联通信。 协议建立在完全信任的环境下， 彼此间有 很多假定的信任关系， 没有对安全问题引起足够重视。 然而，当互联网把 触角伸向世界的每一个角落时， 所有接触到网络的人都成为近在咫尺的邻 居。 虽然我们可以信任身边的朋友， 但是我们不能保证每个接触网络的人 都抱有善良的目的。 其中更不排除许多纯粹为了兴趣而不停寻找系统致命 弱点的 年青人。网 络攻击入侵事件时时发生。 据美国g e n e r a l a c c o u n t i n g o ff i c e ( g a o )的 报告， 在 1 9 9 5 -1 9 9 6 年，有2 5 0 0 0 次对美国 政府机关 计算机系统的入侵， 至少有1 0 个关系到9 8 %的政府预算的主要部门，而 其中 仅1 % - 4 % 的 入侵被 检测出， 有报告的 只 有1 % 。 在s p a ff o r d 报告中 显示:信息窃贼在过去 5 年中以2 5 0 %速度增长;9 9 %的大公司都发生过 大的入侵事件;电信与计算机欺诈行为共造成 1 00亿美元的损失。 网络的安全问题不容忽视。 为什么不堵住这些安全隐患呢?网络不是 固定不变的， 计算机系统也在不断更新换代， 旧的漏洞刚被堵住， 新的弱 点又被发现。 有人统计， 系统漏洞被发现和利用的速度远远超过了关于计 算机能力发展的摩尔定律。因此，想一劳永逸解决安全问题是不现实的。 安全问题需要人们不断地引起重视，做好一切准备，任重而道远。 1 . 2网络安全技术 随着人们对网络安全的不断认识， 各种网络安全技术被提出 来。 这些 技术有效遏制入侵攻击， 对互联网的蓬勃发展起到积极的推动作用。 目 前， 网络安全技术主要有:加密技术，v p n技术，访问控制技术，外部网安 全技术等。下面简要介绍各种安全技术: 北京交通大学硕士研究生学位论文 i . 加密技术 加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全 性来实现网络系统的安全， 而是通过对网络数据的加密来保障网络的安全 可靠性。 数据加密技术可以分为三类，即对称型加密、不对称型加密和不 可逆加密。 其中不可逆加密算法不存在密钥保管和分发问题， 适用于分布式网络 系统， 但是其加密计算量相当可观， 所以通常用于数据量有限的情形下使 用。 计算机系统中的口令就是利用不可逆加密算法加密的。 近年来， 随着 计算机系统性能的不断提高， 不可逆加密算法的应用逐渐增加， 常用的如 r s a公司的md 5 和美国国家标准局的s h s . 2 . v p n技术 v p n ( 虚拟专网 ) 技术的核心是采用隧道技术， 将企业专网的 数据加密 封装后， 透过虚拟的公网隧道进行传输，从而防止敏感数据的被窃。 v p n 可以在i n t e me t 、 服务提供商的i p . 帧中继或a t m网上建立。 企业通过公 网建立 v p n ，就如同通过自己的专用网建立内部网一样，享有较高的安 全性、 优先性、 可靠性和可管理性， 而其建立周期、 投入资金和维护费用 却大大降低，同时还为移动计算提供了可能。因此， v p n技术一经推出， 便红遍全球。 但应该指出的是，目 前v p n技术的许多核心协议，如l 2 t p . i p s e c 等，都还未形成通用标准。这就使得不同的v p n服务提供商之间、v p n 设备之间的互操作性成为问题。因此，企业在 v p n建网选型时，一定要 慎重选择 v p n服务提供商和v p n设备。 3 . 访问控制技术 对于从外部拨号访问总部内部网的用户， 由于使用公共电话网进行数 据传输所带来的风险， 必须更加严格控制其安全性。 一种常见的做法是采 用身份认证技术， 对拨号用户的身份进行验证并记录完备的登录日志。 较 常用的身份认证技术，有 c i s c 。公司提出的 t a c a c s +以及业界标准的 r adi us . 4 . 外部网安全 我们所说的外部网建设，通常指与i n t e m e t 的互联及与外部企业用户 的互联两种。 无论哪一种外部网， 都普遍采用基于t c p / i p 的i n t e m e t 协议 族。 i n t e m e t 协议族自 身的开放性极大地方便了各种计算机的组网 和互联， 并直接推动了网络技术的迅猛发展。 但是， 由于在早期网络协议设计上对 安全问题的忽视，以及 i n t e rne t 在使用和管理上的无政府状态，逐渐使 i n t e m e t 自 身的安全受到威胁，黑客事件频频发生。 对外部网安全的威胁主要表现在: 非授权访问、冒充合法用户、 破坏 数据完整性、干扰系统正常运行、传播病毒、线路窃听等。 外部网安全解决办法主要依靠防火墙技术、 入侵检测技术和网络防病 北京交通大学硕士研究生学位论文 毒技术。 在实际的外部网安全设计中， 往往采取上述三种技术( 即防火墙、 入侵检测、网 络防病毒) 相结合的 方法。 1 3入侵检侧系统 入侵检测， 顾名思义，就是对入侵行为的发现。 它通过对计算机网络 和计算机系统中的若千关键点收集信息并对其进行分析， 从而发现网络或 系统中是否 有违反安全策略的 行为和被攻击的痕迹。 i d s 通常架设在网 络 重要节点与主机系统之上， 可检测网络流量与内容， 或者分析网络内的信 息流动。 当发现可疑活动时， i d s 会根据使用者事前设定好的策略发出 警 示，并调动其它相关的网络设备来阻断可能发生的攻击。 i d s 与扫描器不同。 系统扫描器是根据攻击特征数据库来扫描系统漏 洞， 它更关注配置上的漏洞而不是当前进出主机的流量。 在遭受攻击的主 机上，即使正在运行着扫描程序，也无法识别攻击。 i d s 扫描当前的网络 和主机的活动， 监视并记录网络流量等信息， 根据定义好的规则来过滤从 主机网卡到网线上的流量， 提供实时报警。 网络扫描器检测主机上先前设 置的漏洞，而 i d s监视和记录网络流量。如果在同一台主机上运行 i d s 和网络扫描器的话，配置合理的i d s 会发出许多赘报。. i d s 同防火墙技术也不同。 两者互为补充， 共同构成一个层次型的安 全体系。防火墙安放在网络的边缘， 把内网和外网隔离开， 根据预先定义 的规则允许网络信息的交互。 但是，防火墙被固定住了， 而入侵则是千变 万化的。 入侵者往往可以 通过某种方法绕过防火墙进入内部网络， 使内部 主机完全暴露在攻击之下。 另外， 很多攻击或入侵同正常的网络访问行为 交融在一起， 防火墙对此束手无策。 而i d s 则配置在防火墙的后面， 为网 络提供新的防护层。 网络技术不断更新，网络入侵攻击技术也突飞猛进。 相应地， 为了适 应新环境， 应付新的安全问题， 入侵检测系统也在不断发展。 大致有以下 三个方向: 分布式入侵检测:第一层含义，即针对分布式网络攻击的检测方法; 第二层含义即使用分布式的方法来检测分布式的攻击， 其中的关键技术为 检测信息的协同处理与入侵攻击的全局信息的提取。 智能化入侵检测: 即使用智能化的方法与手段来进行入侵检测。 所谓 的智能方法， 现阶段常用的有神经网络， 遗传算法， 模糊技术，免疫原理 等等，这些方法用于入侵特征的辨识和泛化。 与网络管理相融合: 未来的入侵检测将会融合网络管理的概念，形 成入侵检测，网络管理，网络监视三位一体的工具。 这种强大的入侵检测 软件极大地方便了网络的管理， 其实时报警的优势为网络安全增加了又一 北京交通大学硕士研究生学位论文 道屏障。 1 .4研究内容 1 . 4 . 1论文完成的主要任务 1 .研究入侵检侧的现状及发展 研究入侵检测系统的 演化历程; 研究当前入侵检测的分类方法; 研究 入侵检测系统所采用的各种技术。 2 .研究简单网络管理 ( s n mp )协议，分析n m 库 研究 s n mp管理体系结构;分析网络管理发展趋势:分析标准 mi b 库的信息。 3 .研究网络攻击 研究各种网 络攻击， 包括攻击的手段、 相应的系统漏洞、 攻击对系统 的影响等。 4 .开发监控工具 为了 测试n ms a g e n t ，我们开发了用于监视目 标系统mi b库的监 视工具一n e t s e e 。该工具能进行网络发现，并提供网络控制平台。 5 .设计并实现组件n ms a g e n t n ms a g e n t是基于 s n mp的分布式分层入侵检测模型中的关键组 件， 是我们提出的系统特征分析技术的实现。 论文详细分析了该系统的设 计思想和实现架构，并用多个实验来验证了系统的可行性。 对1 . 4 .2论文的主要成果 命 提出系统特征状态分析 ( s c s a )技术 s c s a技术是为分析 s n m p m i b而提出来的一种入侵检测方法。 s c s a从攻击对系统造成的影响入手， 分析系统的状态机， 从中找出攻击 特征， 并归纳为规则。 s c s a是一种结合了概率统计方法的特征分析技术。 n ms a g e n t 是s c s a的实现。 通过实验证明，s c s a能准确检测针对协 议栈的拒绝服务攻击。 命 提出基于s n mp的分布式分层入侵检测模型 ( s d l i d m) 无论是网络管理系统， 还是入侵检测系统都在向 分布式和分层管理方 向发展。我们综合两方面的优势，提出了 s d l i d m模型，把网络管理和 入侵检测有效地融合在一起。 通过该模型，管理员一方面可以 发现更多、 更新的入侵攻击，另一方面，也能对网络实施有效管理，当攻击发生时， 能够及时采取响应措施。 北京交通大学硕士研究生学位论文 1 . 5论文组织安排 论文共分成六部分。各部分内容安排如下: 第一章:绪论 介绍网络安全的背景， 相关的安全技术， 入侵检测系统的发展趋势等。 简述论文所完成的任务和研究成果。 第二章:入侵检测与网络管理的结合 分析入侵检测的归类与相关技术，介绍简单网络管理协议 ( s n mp ) , 探讨二者结合的必要性，并介绍当前s n mp 在入侵检测中的应用。 第三章: 基于nw的分布式分层入侵检侧模型 分析模型的设计思想，分析模型的体系架构，对关键组件进行说明。 另外就模型中存在的相关问题进行探论。 第四章:系统特征状态分析技术 分析当前入侵检测系统的局限和状态检测相关的技术。 介绍系统特征 状态分析技术，并用s y n - f l o o d攻击的检测来举例说明该技术的应用。 第五章:n ms a g e n t的设计与实现 介绍n ms a g e n t的设计思想。按照软件设计的要求， 对系统的功 能需求，体系结构，模块实现等做了详细分析。 第六章:n ms a g e n t系统侧试 对n ms a g e n t的入侵检测和网络管理两方面进行可行性测试。 北京交通大学硕士研究生学位论文 第二章 入侵检测与网络管理的结合 入侵检测系统 ( i d s )是网络安全体系的重要组成部分。它基于主动 策略， 是发现外部攻击和入侵的 有效方法。 随着网络环境的不断变化， i d s 也在不断完善和发展， 与网络管理的融合就是一个发展方向。 本章从理论 着手，分析二者结合的可能性。 2 . 1 入侵检侧 入侵检测的概念是在 1 9 8 0 年由j a m e s p . a n d e r s o n 提出来的。他在为 美国空军所做的一份技术报告中第一次详细阐述了入侵检测的概念。 他把 入侵尝试( i n t r u s i o n a tt e m p t ) 或威胁( t h r e a t ) 定 义为 潜在的、 有预谋的、 未经授权的访问信息、 操作信息、 致使系统不可靠或无法使用的企图。 他 提出审计追踪可用于监视入侵威胁。自 那以后， 人们就开始孜孜不倦地投 入到对入侵检测的研究中来。2 0多年的时间过去了，入侵检测领域百花 齐放， 各种新兴的技术不断融合进来， 如神经网络， 免疫系统， 协议分析 等等。入侵检测成为安全体系中不可或缺的一部分。 2 . 1 . 1入侵检侧系统的分类 入侵检测系统一般可以分为基于主机的h ms ， 基于网络的n i d s和 分布式的 d ms . h ms的原理类似于计算机防病毒软件或是网络管理软 件。 它们在所有的被监控主机上安装代理， 用特定的管理控制系统汇报工 作。 n i d s 通过在网络上布置监听器，分析网段内的流量，用特征匹配等 方法来检测入侵。d ms 是h i d s 和n i d s的结合。它在整个大系统中根 据不同的环境， 采用不同的i d s ， 然后对各种信息进行融合， 在更高的层 面上判断入侵。 2 . 1 . 1 . 1基于主机的r i d s 在网络攻击中， d n s , e ma i l 和we b服务器是多数网络攻击的目 标， 大约占全部网络攻击事件的 1 / 3以上。所以应当在各个服务器上安装 h i d s 。检测结果应及时向管理员汇报，以便采取相应措施。 h i d s 最大的好处就在于能根据受保护站点的实际情况进行针对性的 北京交通大学硕士研究生学位论文 定 制， 使其有效工作，误警率低。典型的 如 w e b服务 器入侵检测系统。 它相当于一套复杂的过滤设备， 使用攻击字符串列表来对w e b 服务器( 单 个或多个) 进行监视，可以发现针对w e b 服务器的已 知的各种可能攻击。 这样的i d s 在工作时， 即使有一些误警事件也关系不大， 因为这样可以 通 告管理员在 w e b服务器上运行了哪些脆弱的服务，从而采取打补丁或升 级应用程序的对策。管理员甚至还可以自己 编写或升级这样的i d s . h i d s的工作原理如图2 . 1 所示。它以 计算机系统作为目 标环境，不 分析网络数据包， 只考虑系统局部范围的用户。 使用监测器筛选系统的审 计记录、系统日 志、用户的位置和行为、c p u和v o及内 存的使用情况、 文件系统的变化、 应用程序中的攻击标志， 再由分析器分析这些信息， 并 向 控制器提交报告。 一旦发现违规操作或者攻击行为， 则班d s 根据预定 的策略进行处理，并进行记录。 配置系统库 攻击模式库入侵检测器应急措施 月 审- 主机系统 图2 . 1 基于主机的入侵检测系统 h i d s 将检测模块驻留在被保护系统上，通过提取被保护系统的运行 数据并进行分析来实现入侵检测。h i d s具有检测效率高，分析代价小， 分析速度快等特点， 能够迅速并准确定位攻击者， 并可以结合操作系统和 应用程序的行为特征对入侵进行进一步分析。 h i d s 存在以下问题: 首先它在一定程度上依赖于系统的 可靠性， 它要求系统本身应该具有 基本的安全功能并具有合理的设置，然后才能提取入侵信息; 其次， 即使进行了正确的安全设置， 对操作系统熟悉的攻击者仍然有 可能完成入侵行为， 并在入侵结束后及时地在日志系统中抹去相关的入侵 信息。 再者， 基本安全系统提供的日 志信息也是有限的， 相对于庞大的入侵 方法来说， 只是杯水车薪， 很多入侵手段和攻击结果不能在日志系统中得 到反应。 北京交通大学硕士研究生学位论文 2 . 1 . 1 . 2基于网络的n i d s n i d s放置在比较重要的网段内，监视网段中的各种数据包。对每一 个数据包或可疑的数据包进行特征匹配。 如果数据包与系统内置的某些规 则吻合， n i d s 就会发出警报甚至直接切断网络连接。目 前，大部分入侵 检测产品是基于网络的。 值得一提的是， 在网 络入侵检侧系统中， 有多个 久负盛名的开放源码软件， 它们是s n o rt , n f r , s h a d o w等， 其中s n o r t 的 社区 ( h tt p :/ / w w w .s n o r t .o r g ) 非常活 跃， 其入侵特征更新 速度与 研发的 进展己 超过了大部分商品化产品。 n i d s能检测来自 网络的攻击和超过授权的非法访问。 n i d s不需要 改变服务器等主机配置。由 于它不会在业务系统的主机中安装额外的软 件，从而不会影响这些机器的c p u , u o与磁盘等资源的使用，不会影响 业务系统的 性能。 由 于n i d s 不会成为系统中的 关键路径， 对网 络性能也 同样没有影响。 布署一个n i d s 的 风险比h i d s 的风险少得多。n i d s 近 年内 有向 硬件设备发展的趋势， 安装这样的一个n i d s 非常方便， 只需将 定制的设备接上电源，做很少一些配置，然后连到网络上即可。 n i d s 只监测它直接相连的网段内 通信数据，在交换式以 太网环境中 则监测范围将会更加缩小。 而对整个网络安装多台n i d s 的传感器会使成 本大大增加。n i d s 通常采用特征检测法， 可以检测出普通的攻击， 而很 难实现一些复杂的需要大量计算与分析时间的攻击检测。 n i d s 处理加密的会话过程较困 难， 目 前通过加密通道的攻击尚不多， 但随着e m 的普及，这个问题会越来越突出。 2 .1 . 1 .3分布式入侵检侧系统 ( d i d s ) 网络入侵检测的核心部分是数据分析过程。 通过对网 络通讯、 主机状 态的实时分析， 找出系统异常和攻击特征。 以往的 检测系统都是基于中心 式的数据处理机制， 信息通过网 络上的几个节点收集并汇总到中心进行分 析。 在早期的网络环境中， 由于网 络规模小， 层次简单， 网 络通讯速度慢， 因此可以做到信息实时中心处理方法。 随着高速网络的发展， 网络范围的 拓宽， 各种分布式网 络技术、网 络服务的发展， 使原来的n i d s 很难适应 现在的状况。因此有必要把检测分析过程实现分布化。 集中式检测结构实现相对比较容易。如图 2 .2所示，系统通过 n个 s e n s e r 收集数据， 经过过滤和简单处理后， 数据再通过网络传输到监测器。 由图中可以看到，系统存在一个通讯和计算的瓶颈。 北京交通大学硕士研究生学位论文 s e n s o r l s e n s o r 2s e n so r 3 图2 .2集中式检测 在分布式结构中， n 个监测器分布在网络环境中， 直接接收s e n s o r 的 数据， 有效利用各主机的资源， 消除了集中式检测的 运算瓶颈和安全隐患。 同时由 于大量的数据用不着在网络中传输，大大降低了网络带宽的占 用， 提高了系统的运行效率。 在安全性上， 由于各监测器分布、 独立进行探侧， 任何一个主机遭到攻击都不影响其它部分的正常运行， 增加了系统的鲁棒 性。 分布式入侵检测系统在充分利用系统资源的同时， 还可以实现对分布 式攻击等复杂网络行为的检测。 但分布式系统结构存在设计复杂， 各检测 器之间如何协作，如何共享知识库等问题。 s e n s o r l s e n s o r 2 s e n s o r 3 图2 .3分布式检测 2 . 1 .2 入侵检测采用的技术 入侵检测从提出到现在已经有二十几年的历史。 期间， 为了更有效地 检测入侵攻击， 人们把众多学科的知识引入到入侵检测的领域， 如神经网 北京交通大学硕士研究生学位论文 络、 医学上的免疫系统等等。 这些思想的融入给入侵检测带来了百花齐放 的局面， 为其发展做出了重要的贡献。 这里， 我们将对这些技术做简单介 绍- 2 . 1 . 2 . 1基于概率统计的检测 概率统计是入侵检测最基本的检测形式之一。 其目 标就是记录每个异 常事件的发生， 然后检测事件发生的概率是否超出了合理的范围。 根据事 先的假定， 当事件在短时间内发生的数量超出了一定的范围时， 则系统被 认为受到入侵攻击。 一旦某个统计量超出了规定的闽值， 则i d s 将发出警 报， 通过各种可能的方式报告给管理员。 实现一个基于概率统计的检测器时，最大的困难来自 于两点:第一， 怎么确定统计量; 第二， 如何确定每个统计量的阐值。 前者是对检测范围 的描述，后者确定检测标准。 概率统计的 检测方法很有局限性， 一般只能作为i d s 的子模块来丰富 检测手段。 本节将讨论一个典型的统计模型下一代实时入侵检测专家 系统( h i d e s ) . n i d e s驻留在被监控主机上。它监视用户行为，并且可以自 适应地 学习用户对象的正常行为模式。 当出现了与预期偏离较大的行为时， 它会 把这些行为标记为入侵。 根据每个用户的正常行为， n i d e s为每一个用户建立一个用户特征 表。 系统周期性的收集用户行为的相关信息。 然后通过比较当前收集的特 征和以前存储的特征， 判断是否出现异常的行为。 用户特征表需要不断更 新，以适应用户的行为变化要求。 n i d e s 给出了一个特征表结构: 变量名，行为描述， 例外情况，资源使用，周期， 类型，闽 值，主 体，客体，值 其中变量名， 主体， 客体唯一确定单个特征。 i d s 系统在计算机系统 中用不同方法来周期性的检测这些变量的值。假如系统中有 n个变量需 要检测，则 s 1 , s 2 . . . s n分别代表这些变量当前的值。全局变量 t代表用 户行为的异常程度。 其中a ， 表示每一特征的权值。 m = a , s l 2 十 a 2 s 2 2 十 a 3 s 3 2 + 十 a n s n 2 a i o 概率统计模型的 优越性在于所应用的概率理论非常成熟， 并且对未知 的入侵攻击也有一定的检测能力。 但是，它的特点也是明显的。首先， 用 户的 行为行为是复杂的， 想要准确刻画用户行为非常困难。 其次， 统计的 检测对入侵行为的先后次序不敏感， 完全依靠概率很可能漏掉那些行为间 有关联的入侵活动。再者，判断入侵的阐值很难确定，通常是个经验值， 阐值高则误报增加，闭值低则粒度太低，很多攻击检测不到。 北京交通大学硕士研究生学位论文 2 . 1 . 2 . 2基于神经网 络的检测 基于神经网 络的检测技术基本思想是用一系列信息单元训练神经单 元， 在给定输入后，就能预测出输出结果。 它是对基于概率统计的检测技 术的改进， 主要克服传统的统计分析技术中的一些问题: ( 1 ) 难于表达变 量之间的 非线性关系。 ( 2 ) 难于建立确切的统计分布。 统计方法基本上是 依赖对用户行为的主观假设， 如偏差的高斯分布， 错误普报通常是由 这些 假设所导致。 ( 3 ) 难于普遍实施。 适用于某一类用户的检测措施一般无法 适用于另一类用户。 ( 4 ) 实现方法比较昂贵。 基于统计的算法对不同类型 的用户不具有自 适应性， 算法比 较复杂庞大， 算法实现上昂 贵， 而神经网 络技术实现的代价较小。 ( 5 ) 系统臃肿难于剪裁。由于网络系统是具有大 量用户的计算机系统，要保留大量的用户行为信息， 导致系统臃肿， 难于 剪裁。 基于神经网络的技术能把实时检测到的信息有效地加以处理做出攻 击可行性的判断。不过这种技术现在还不成熟。 基于神经网络的模块:当前命令和刚过去的 w个命令组成了网络的 输入， 其中w是神经网络预测下一个命令时所包含的过去命令集的大小。 根据用户代表性命令序列训练网络后，该网络就形成了相应的用户特征 表， 网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程 度。 这种方法的优点在于能够更好地处理原始数据的随机特性， 即不需要 对这些数据做任何统计假设， 并有较好的抗干扰能力。 缺点在于网络的拓 扑结构以 及各元素的 权重很难确定，命令窗口的大小 w也很难选取。窗 口 太大，网络降低效率;窗口 太小，网络输出不好。 2 . 1 . 2 3基于专家系统的检侧 基于专家系统的检测技术是根据安全专家对可疑行为的分析经验形 成一套推理规则， 构成专家系统， 由专家系统自 动地对所涉及的异常行为 进行分析和处理。 这种方法具有其局限性，由于推理规则一般都是建立在 己知的安全漏洞和知识之上， 但对系统最大的威胁是未知的安全漏洞和攻 击方法。 这样就需要系统具有自 学习能力， 对规则进行扩充和修正。 推理 机制使得能发现一些新的漏洞和规则， 整个系统的自 适应性比 较强。 但推 理系统和谓词演算的可计算性还不成熟。 在具体实现过程中， 专家系统主要面临问题:( 1 ) 全面性问题。 很难 从各种入侵手段中抽象出全面的规则化知识; ( 2 ) 效率问题。 需要处理的 北京交通大学硕士研究生学位论文 数据量大，而且在大型系统上很难获得实时连续的审计数据。 2 . 1 . 2 . 4基于模型推理的检测 基于模型推理的检测技术是根据入侵的行为程序建立具有一定行为 特征的模型， 根据这些模型所代表的攻击意图特征， 实时检测恶意的异常 行为。 用这种方法可以为某些行为建立特定的模型， 从而能够监视具有特 定行为特征的一类活动， 根据假设的攻击脚本， 系统能够检测到非法的用 户行为。 当 证据表明 某特定的 模型发生时， 系统应收集其他证据进行证实。 模型推理方法的优越性有对不确定性的推理有合理的数学理论基础， 同时决策器的使用使攻击脚本可以与审计记录的上下文无关。 这种方法由 于首先按脚本类型检测相应类型是否出 现， 然后在检测具体事件。 不过存 在一些问题: 建立模型时的工作量比其他方法大， 在系统实现时， 决策器 如何有效地翻译攻击脚本是个问题。 2 . 1 . 2 . 5基于免疫的检侧 基于免疫的检测技术是把自 然免疫系统的某些特性运用到网络安全 系统中， 使整个系统具有适应性、自 我调节性和可扩展性。 人的免疫系统 成功保护了人体不受各种抗原和组织的侵害， 这个重要特性吸引了许多计 算机安全专家和人工智能专家的关注。 通过对免疫系统的研究， 计算机专 家提出了计算机免疫系统。 在许多传统的网络安全系统中， 每个目 标都将 它的系统日 志和收集的信息传送给相应的服务器， 然后由服务器来做整体 分析， 判断是否发生了入侵。 在大规模网络中造成网络通信量极大， 有时 会阻塞网络。 基于免疫的计算机入侵检测系统运用免疫的多层性、 分布性 和多样性等特点设置动态代理，实现实时的分层检测和响应机制。 2 .2简单网 络管理协议( s n mp ) 作为信息时代传递信息的基本媒介， 网络发展的速度远远超过我们的 想象。 但是， 应该注意到，网络的发展不是一跋而就， 而是日 积月累的结 果。 网络运营商会权衡各种利益， 采取不同的网络技术来搭建网络; 另外， 不同网络设备制造商所生产的网 络产品也不完全兼容， 具有各自的 特点和 接口。 这就造成网络的复杂性和异构性日 益加大。因此， 如果没有一个高 效的管理系统对网络进行管理， 则网络很难为用户提供满意的服务。 简单 网络管理协议 ( s n mp )是由 i e t f定义的一套网络管理协议。s n mp面 北京交通大学硕士研究生学位论文 向t c p / i p网络，是事实上的网络管理标准。本节主要介绍s n mp的模型 结构。 2 .2 . 1 s n mp 参考模型 s n mp 的参考模型如图 网络协议，网络管理进程， 网络管理者 用 户界 面 2 .4 所示。 它主要由4 个部件构成: 互联网络， 被管网络实体。 被管网络实体 网 络管理应用代 -n 一 一生 11nms mismis u d p u d p i p i p 匕厂 一a t -m ii 图2 .4 s n m p 参考模型 在 s n m p参考模型中， 互联网 络是采用相同 协议、 通过网关相连的 一个或多个网络集合。 如果网络编址方案正确， 并且采用相同的标准化网 络协议，则任意两点间都可以相互通信。采用 s n mp时，网络协议主要 是指 t c p / i p 协议。 网络管理进程通过网络协议和 s n mp协议与网络中的被管理实体通 信。 它有四个主要部件:网络管理站 ( n ms ) ，网络管理站的mi b和数据 库，网络管理应用程序和网络管理用户界面。 n ms是监控代理进程的处 理实体，代理进程在互联网中也是起着管理作用的。n ms的管理信息库 中 含有本共同体中所有代理m i b的主清单。网络管理程序将s n m p 数据 转化为网络管理用户可用的信息，端用户通过用户界面来使用n ms 管理 设备。 被管理网络实体是含有代理进程的网络设备，它也要用网络协议和 s n m p 协议在互联网上与网络管理进程的n ms 通信。被管理网络实体包 含两个关键部件:代理进程、代理进程的mi b . 代理进程是处理实体，从所在共同体中的n ms 接收请求，如果请求 合法就处理， 并做出适当的响应。 代理进程也可以 配置成发送陷阱( t r a p ) 报文，以报告预定的异步事件。 代理进程利用操作支持例程操控本地数据 结构，以便提取和配置它所控制的各个mi b对象。 代理进程的管理信息库是它所关心的变量的集合， 构成特定代理之管 北京交通大学硕士研究生学位论文 理信息库的mi b组成取决于该设备的功能和所要管理的资源。 2 .2 . 2管理信息结构 ( s a r) s mi 是管理信息库中的对象定义和编码的基础， 是对公共结构和一般 类型的描述。 它组织名称并描述信息， 以 便对被管实体进行逻辑访问。 s m i 定义的对象有三个基本的属性: 名称， 语句和编码机制。 名字就是对象标 识 ( o i d ) ，专门 用于标识对象。语句定义数据类型，也就是采用 a s n . 1 来对对象结构的形式化定义，包括语法类型，访问模式，状态，名值等。 编码机制描述与被管理对象相关的信息是如何被编码以用于机器间的传 输的，, s mi 采用b e r 机制。 本小节将讨论s mi 的相关方面的内 容。 a s n . 1 对象与类型 a s n . 1 处于表示层， 是一种形式化的语言。 它能提供统一的网 络数据 表示， 通 常 用于 定 义 应 用 数据的 抽 象 语 法和 应 用 层 协 议数 据单 元的 结 构。 a s n . 1 使用一些特定的术语定义它的 过程， 其中 包括类型定义、 赋值、 宏 定义和模块定义等。 为了保持简单性，s mi 采用了a s n . 1 数据类型的子集。它们被划分 为两个范畴，原始类型和结构类型。s mi 用这些数据类型来定义 m i b , 每一个mi b就代表一个被管理对象。比如: t c p i n s e g s o b j e c t t y p e s y nt ax co u n t e r a c c e s s rea d - o n l y s t a