（计算机软件与理论专业论文）构建基于snort的局域网入侵检测系统.pdf

摘要 随着计算机网络和应川的迅猛发展，特别是电子银行、电子商务的兴起，网络安全问题 也日益突出起米。同样，局域网的安全也是当前各部i 、j 面临的一个主要问题，从事该项研究 具有重要的理论意义和j 泛的戍川前景。入侵检测( i d s ) 是网络安全体系中新兴的一i j 技 术，它是一种主动的防御技术，也是网络安全所关注的焦点。i i ) s 是防火墙的重要补充，其 基本功能是监视内部网络的流量，并对识别剑的重要攻击特征或异常行为进行警报，监视米 白内部网络的对防火墙和其它主机的攻击。 本文提山了在使川基丁开放源代码软1 ；，i ：的局域网环境中使川防火墙+ 入侵检测系统的局 域网网络安全策略，并刖著名的网络入侵检测系统s n o r tn i d s j i 以实现。文章还深入研究了 入侵检测的相关技术，对开放源代码的网络入侵检测系统s n o r t 进行了研究，并对其检测模 型，检测原理、检测引擎l ：作流样、系统整体架构以及系统插什机制等方面进行了深入分析， 在此基础上针对s n o r t 系统模式匹配算法利日忐警报文件的不足之处进行了以卜两方面的研 究利改进。首先，在研究经典b m 算法及其改进算法的基础上提山了基丁特征的模式匹配算法， 提高了入侵检测的效率和速度，满足了高速网络对入侵检测系统的要求。其次，设计和实现 了日忠报警管理系统，该系统采刖数据库中间 ；，i ：技术，屏敲了不同数据库之间的筹异，具有 良好的可移植性，同时提供了布匐、分析、统计等功能，提高了网络管理员对日忐警报的分 析和监控能力。 关键词：网络安全：入侵检测；检测系统；s n o r t ；模式匹配 3 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fc o m p u t e rn e t w o r ka n di t sa p p l i c a t i o n s ，e s p e c i a l l yt h e e x t e n s i v eu s eo fe l e c t r o n i cb a n ka n de l e c t r o n i cc o m m e r c e ，n e t w o r ks e c u r i t yb e c o m e sam o r ea n d m o r ei m p o r t a n ti s s u e a tt h es a m et i m e ，l o c a la r e an e t w o r k ss e c u r i t yi sa l s oas u b j e c tm a t t e r w h i c ht h ec u r r e n tv a r i o u sd e p a r t m e n t sf a c e ，i se n g a g e di nt h i sr e s e a r c ht oh a v et h ei m p o r t a n t t h e o r y s i g n i f i c a n c ea n d t h ew i d e s p r e a da p p l i c a t i o np r o s p e c t t h ei n t r u s i o nd e t e c t i o ni si nt h e n e t w o r ks e c u r i t ys y s t e ma ne m e r g i n gt e c h n o l o g y , i ti so n ek i n do fi n i t i a t i v ed e f e n s et e c h n o l o g y ，i s a l s ot h ef o c a lp o i n tw h i c ht h en e t w o r ks e c u r i t yp a y sa t t e n t i o n i d si sa ni m p o r t a n tc o m p l e m e n to f f i r e w a l l ，t h eb a s i cf u n c t i o ni sm o n i t o r st h ef l u xo fi n t e r n a ln e t w o r k ，a n dt ot h ei m p o r t a n ta t t a c k c h a r a c t e r i s t i cw h i c ho rt h ed e v i a n tb e h a v i o u rd i s t i n g u i s h e sc a r r yo nt h ew a r n i n g ，s u r v e i l l a n c e f l o r ai n t e r n a ln e t w o r kt of i r e w a l la n do t h e rm a i ne n g i n e sa t t a c k t h i sa r t i c l ep r e s e n t san e t w o r ks e c u r i t ys t r a t e g y ，w h i c hi sf o u n d e do nf i r e w a l la n di d sf o rc a m p u sn e t w o r kt h a ti sb a s e do no p e ns o u r c ec o d es o f t w a r e t h es t r a t e g yi si m p l e m e n t e dw i t ht h e s u p p o r to fs n o r tn i d s ，af a m o u sn e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m a n dt h ea r t i c l ea l s od e e p r e s e a r c hi n v a s i o nd e t e c t i o ns y s t e mc o r r e l a t i o nt e c h n i q u e ，h a sc o n d u c t e dt h er e s e a r c ht oo p e n i n g s o u r c ec o d e sn e t w o r ki n v a s i o ne x a m i n a t i o ns y s t e ms n o r t ，a n dt oi t se x a m i n a t i o nm o d e l ，t h e e x a m i n a t i o np r i n c i p l e ，e x a m i n a t i o n e n g i n ea s p e c t s a n ds oo nw o r kf l o w ，s y s t e mo v e r a l l c o n s t r u c t i o na sw e l la ss y s t e mp l u g - i nu n i tm e c h a n i s mh a sc a r r i e do nt h et h o r o u g ha n a l y s i s ，o n t h i sb a s i sh a sc o n d u c t e dt h ef o l l o w i n gt w oa s p e c tr e s e a r c ha n dt h ei m p r o v e m e n ti nv i e wo ft h e s n o r ts y s t e mm o d e lm a t c h i n ga l g o r i t h ma n dt h ed i a r yw a r n i n gd o c u m e n t sd e f i c i e n c y f i r s t ，b a s e d o nt h ec l a s s i c sb ma l g o r i t h ma n di nt h e i m p r o v e m e n ta l g o r i t h m ，p r o p o s e db a s e do nt h e c h a r a c t e r i s t i cp a t t e r nm a t c h i n ga l g o r i t h m ，r a i s e dt h ei n t r u s i o nd e t e c t i o n se f f i c i e n c ya n dt h es p e e d ， m e e tt h er e q u e s to ft h eh i g hs p e e dn e t w o r kt ot h ei n t r u s i o nd e t e c t i o ns y s t e m s n e x t ，d e s i g n e da n d h a sr e a l i z e dt h ed i a r yw a r n i n gm a n a g e m e n ts y s t e m ，t h i ss y s t e mu s e dt h ed a t a b a s em i d d l e w a r e t e c h n o l o g y ，h a ss h i e l d e dt h ed i f e r e n c eb e t w e e nt h ed i f f e r e n td a t a b a s e ，h a st h eg o o dp r o b a b i l i t y , a tt h es a m et i m eh a sp r o v i d e df u n c t i o no fi n q u i r y ，a n a l y s i s ，s t a t i s t i c sa n ds oo n ，e n h a n c e dt h e n e t w o r ka d m i n i s t r a t o r sa b i l i t yt oa n a l y z et h ed i a r yw a r n i n g k e yw o r d ：n e t w o r ks e c u r i t y ；d e t e c t i o ns y s t e m ；i n t r u s i o nd e t e c t i o n ；s n o r t ；p a t t e n rm a t c h 4 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本 论文不包含任何其他个人或集体已经发表或撰写过的科研成果。 对本文的研究曾做出重要贡献的个人和集体，均已在文中以明确 方式标明。本人完全意识到本声明的法律责任由本人承担。 论文作者签名：已辱驻基 日 关于学位论文使用授权的声明 本人完全了解贵州大学有关保留、使用学位论文的规定，同 意学校保留或向国家有关部门或机构送交论文的复印件和电子 版，允许论文被查阅和借阅；本人授权贵州大学可以将本学位论 文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印或其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：守纽! 工奎导师签名： 呷产po 第1 章绪论 1 1 课题提出的背景 当今社会，随着网络技术的迅猛发展，许多政府部i j 、公司、学校、企事业单位陆续组 建了白己的局域网，将各个办公点连接起来，创建了一个快速、方便的内部信息交流平台。 值得旨定的是，局域网的建立给单位的运作利管理带来了前所未有的高效和快捷，成为了推 动单位信息化发展的巨人动力。不过，高速的交换技术、灵活的网络互联方案实施的同时也 为局域网的安全带米了风险，原米由单个计算机引发的安全事故，可能会通过局域网传播到 其他计算机系统，导致更人范围的危害和损火。另外，加上缺乏有效的安全控制机制和对 i n t e r n e t 安全策略认识的不足，局域网止在面临米臼外部网络的恶意攻击利病毒感染，即使 是偶然性的破坏也是极具破坏性并且难以防范的，并且这些风险止在日蕊严重。客观地说， 没有任何一个网络能够避免安全困扰，但是面对各种各样的安全威胁，如何止确分析网络安 全的需求，制定符合白己网络特点的强有力的安全策略，已是我们所面临的严峻问题。所 以，针对局域网中存在的诸多安全隐患，我们必须要认真考虑，采取相应的安全措施。 1 2 局域网系统简介 局域网( l o c a l a r e an e t w o r k ) ，简称l 州，是指在某一区域内由多台计箨机互联成的计 算机组。“某一区域”指的是同一办公室、同一建筑物、同一公司平同一! 学校等，一般是方 圆儿千米以内。局域网可以实现文件管理、应川软件共享、打印机共享、扫描仪共享、i ：作 组内的日程安排、电子邮什和传真通信服务等功能。局域网是封闭型的，可以由办公室内的 两台计算机组成，也可以由一个公司内的上千台计算机组成。 1 2 1 局域网所提供的服务 w e b h & 务：在局域网中建立白己的w e b h 臣务器，不仅让内部人员而且能让外界通过浏览单 位的w e b 站点，了解单位的各方面信息。另一方面，单位的职：i ：也能通过局域网访问i n t e r n e t 中的w e b 资源。 m a i l 服务：在局域网中建立白己的的m a i l h h 务器，为每个局域网川户提供邮箱及电子邮 件服务。 f t p h h 务：在局域网中建立白己的f t p 服务器，为局域网j h j 户提供常川软件、办公资源的 卜载、个人w e b h h 务器空间的管理等服务。 d n s h h 务：对局域网中的主机进行域名解析，并与其它c e m e t i n t e m e t d n s 服务器通信。 其它附加服务：如基于局域网的办公平台、教学平台、管理平台，基于局域网的网络数 据库检索平台、b b s h 艮务等。 1 2 2 局域网系统架构图 工作组级交换机7 i p t a b l e s 防火墙l a y e r 3 交换机 一一一子网1 i c e 7 r b l e t j 譬i | | | | l 。痧“_ - i 、i i i j 绷? ； 罄0 、_ 溯淄r i ；r “_ t ? 矿。 一一。 ：、，j s q u i d + s 戤o c k s 代理| 工作菇蒜前子阿n ! 、，一一猷量。f 羊圈n 代理 | 工作组级交换机。一1 ， ， 7 + 胄域网中的服务群、 1 圆圈虱目，j ， 一， ， 5 图1 1 基丁开放源代码的局域网架构 1 。3 局域网安全现状综合分析 当前局域网所面临的安全风险土要有以下儿种： ( 1 ) 物理安全风险 物理安全风险主要是指地震、水灾、火灾、雷击等白然灾害；电源故障；人为操作火误 或错误；设备被盗、被毁；电磁干扰，以及机房环境及报警系统、安全意识等。它是整个网 络系统安全的前提。由于局域网的物理跨度不人，只要制定健全的安全管理制度，做好备份， 并且加强网络改备雨l 机房的管理，这些风险是可以避免的。 ( 2 ) 管理的安全风险 管理的安全风险主要是由丁网管人员责权不明、管理混乱以及安全管理制度不健全、缺 乏可操作性等造成。责权不明、管理混乱，使得一些员1 ：或管理员随便让一些1 卜本地员i ：， 甚至外米人员进入机房重地，或者员i ：有意无意泄漏他们所知道的一些重要信息，而管理上 却没有相府制度爿约束。当网络i l l 现攻击行为，或网络受剑其它些安全威胁时( 如内部人 员的违规操作等) ，无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无 法提供攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审夯性。所以，建立全 新网络安全机制，必须深刻理解网络，并能提供直接的解决方案，冈此，最可行的做法是管 理制度和管理解决方案的结合。 ( 3 ) 系统的安全风险 所谓系统的安全，是指辂个局域网操作系统、网络便什平台是否可靠，且值得信任。对 丁局域网川户米说，恐怕没有绝对安全的操作系统可以选择。无论是m i c r o s o f t 的w i n d o w s ， 还是其他任何商刖操作系统，其开发厂商必然有其后门( b a c k d o o r ) ，但是，我们可以对 现有的操作平台进行安全配置，对操作和访问权限进行严格控制，提高系统的安全性。冈此， 不但要选川尽可能可靠的操作系统利硬什平台。而且，必须加强登录过程的认证( 特别是对 登陆服务器主机之前的认证) ，确保j j 户的合法性，其次应该严格限制登录者的操作权限， 将其完成的操作限制在最小的范围内。 ( d ) 应川的安全风险 廊川的安全跟具体的应川科序有关，它涉及了很多方面，比如麻h j 系统是安全动态的、 不断变化的。应川的安全涉及面很广，以目前i n t e r n e t 上廊川最为广泛的q q 系统米说，其解 决方案有儿十种，但其系统内部的编码，甚至编译器导致的漏洞是很少有人能够发现的，冈 此一套详尽的测试软件是相当必须的。但是戍刖系统在不断发展，且应川类型是不断增加的， 其结果是安全漏洞也在不断增加，且隐藏越米越深。冈此，保证应川系统的安全也是一个随 网络发展不断完善的过程。 ( 5 ) 恶意代码 也称不必要代码( u n w a n t e dc o d e ) ，是指没有作川却会带米危险的代码，一个最安全的 定义是把所有不必要的代码都石作是恶意的，不必要代码比恶意代码具有更宽泛的含义，包 括所有可能与某个组织安全策略相冲突的软什。 ( 6 ) 计算机病毒 计算机病毒( c o m p u t e rv i r u s ) 在中华人比共和国计算机信息系统安全保护条例中被 明确定义，病毒“指编制或者在计算机程序中插入的破上1 i 计算机功能或者破m i 数据，影响计 算机使川并且能够臼我复制的一组计算机指令或者程序代码”。根据病毒存在的媒体，病毒 可以划分为网络病毒，文件病毒，引导啊! 病毒。网络病毒通过计算机网络传播感染网络中的 可执行文什，文什病毒感染计算机中的文件( 如：c o m ，e x e ，d o c 等) ，引导型病毒感染 启动扇区( b o o t ) 和硬盘的系统引导扇区( m b r ) ，还有这三种情况的混合型，例如：多型病 6 毒( 文什平引导型) 感染文什和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它 们使川1 卜常规的办法侵入系统，同时使川了加密和i 变形算法。计算机病毒一直是计算机安全 的主要威胁。 ( 7 ) 黑客攻击 黑客攻击手段可分为1 卜破纠i 性攻击和破坏性攻击两类。1 卜破坏性攻击一般是为了扰乱系 统的运行，并不盗窃系统资料，通常采h j 拒绝服务攻击或信息炸弹；破坏性攻击是以侵入他 人电脑系统、盗窃系统保密信息、破上1 i 目标系统的数据为目的。黑客常川的攻击手段有以。卜 四种： 后门程序 由丁科序员设计一些功能复杂的稃序时，一般采川模块化的程序设计思想，将整个项目 分割为多个功能模块，分别进行设计、调试，这时的后fj 就是一个模块的秘密入口。在稃序 开发阶段，后fj 便于测试、更故和增强模块功能。正常情况卜 ，完成设计之后需要去掉各个 模块的后fj ，不过有时由丁疏忽或者其他原冈( 如将其留在科序中，便丁日后访问、测试或 维护) 后| j 没有去掉，一些别有刖心的人会利川穷举搜索法发现并利川这些后门，然后进入 系统并发动攻击。 信息炸弹 信息炸弹是指使川一些特殊。i ：具软什，短时间内向目标服务器发送人量超山系统负荷的 信息，造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。比如向朱打补j 的w i n d o w s 9 5 系统发送特定组合的u d p 数据包，会导致目标系统死机或重启；向某型号的路由器发送 特定数据包致使路由器夕匕机；向某人的电子邮彳，i ：发送人量的垃圾邮什将此邮箱“撑爆”等。 目前常见的信息炸弹有邮什炸弹、逻辑炸弹等。 拒绝服务 拒绝服务义叫分布式d o s 攻击，它是使刖超出被攻击目标处理能力的人量数据包消耗 系统可川系统、带宽资源，最后致使网络服务瘫痪的一种攻击手段。作为攻击者，首先需要 通过常规的黑客手段侵入并控制某个网站，然后在服务器上安装并启动一个可由攻击者发出 的特殊指令来控制进程，攻击者把攻击对象的i p 地卅作为指令卜达给进程的时候，这些进程 就开始对目标主机发起攻击。这种方式可以集中人量的网络服务器带宽，对某个特定目标实 施攻击，冈而威力巨人，顷刻之间就可以使被攻击目标带宽资源耗尽，导致服务器瘫痪。比 如1 9 9 9 年美国明尼苏达人学遭到的黑客攻m 就属丁- 这种方式。 网络监听 网络监听是一种监视网络状态、数据流以及网络上传输信息的管理一i ：具，它可以将网络 接口设置在监听模式，并且可以截获网上传输的信息，也就是说，当黑客登录网络主机并取 得超级川户权限后，若要登录其他土机，使川网络监听可以有效地截获网上的数据，这是黑 客使刚最多的方法，但是，网络监听只能应用丁物理上近接丁同网段的主机，通常被州做 获取川户口令。 1 4 当前局域网中采用的主要安全技术 1 。4 。1 防火墙技术简介 当前住局域网中采川的网络安全技术土要是防火墙技术，防火墒分为包过滤和代理服务 器两人类刑。包过滤一般指i p 包过滤，其1 ：作在o s - r m 的第二层( 网络层) 雨i 第四层( 运输 层) ，它基于t c p 检查或u d p 包信息做山处理，即针对数据包的源i p 地址、目的i p 地址、t c p u d p 源端口平i i t c p u d p 目的端口，对数据包进行通过阻断处理。代理服务器则根据软1 i ，| ：应川米过 滤和传送服务连接( 如f t p 利h t t p ) ，其i ：作在o s i - r m 的第七层即席h j 层。包过滤方式和代理 服务器方式相比，包过滤方式具有使川简单羽l 灵活，数据包通过阻断的速度快。但也存在 7 一些弱点，包过滤规则难丁设置且不易进行止确性验证，往往需要反复进行防火墙规则的测 试，对网络包的检查不像代理服务器那样深入，在规则极复杂的情况卜容易出现错误的规则 配置等。但是代理服务器为了处理网络数据包需要更多的系统资源，结果是代理服务器响应 请求时有时很慢，尤其是配置比较低的服务器。所以在网络中混合使川代理服务器和包过滤 器是网络安全中常见的选择，包过滤器丰 ! 截和过滤网络通信的人部分，而代理服务器只检布 某种通信类型。 1 4 2 局域网中采用的防火墙安全策略 在局域网中使川开放源代码的白由软件作为防火墒是一种很好的选择。 ( 1 ) 包过滤防火墒软件采川l i n u x 操作系统卜的i p t a b l e s i p t a b l e 是一个功能强人的软什，有可能会成为防火墙的标准。在新的版本中还提了日 志功能，i p t a b l e s 的增强功能还包括增加了两个表n a t 和m a n g l e 及其相应的默认链。使 用l i n u x 操作系统卜的i p t a b l e s 作为包过滤防火墒，需要在l i n u x 上安装两块或两块以上 的网卡，另外需启川l i n u x 的i p 转发功能，在r e d h a tl i n u x 系统中只需将p r o c s y s , n e t i p v 4 i p f o r w a r d 文件的内容置为“l ”即可。 ( 2 ) 代理服务器使川性能卓越的s q u i d 代理+ s o c k s 代理 s q u i d 代理服务器的性能儿乎是所有代理服务器软件中最好的。但s q u i d 只支持卜列协 议的代理： h t t p f t p s e c u r es o c k e t sl a y e r ( 安全套接层，s s l ) w i d ea l e ai n f o r m a t i o ns e r v e r ( j 。域网信息服务器，w a i s ) g o p h e r s q u i d 不支持使h ju d p 协议的客户端程序，冈此它不能川丁支持视频会议、新闻组、 r e a l a u d i o 或视频游戏的协议，冈此为了使局域网川户能使h ji n t e r n e t 中的u d p 协议的服 务如聊天服务、在线视频服务，需要安装s o c k s 代理，s o c k s 代理是一种在“防火墙上钻孔” 的常川稃序，它是使川一种特殊的a p i ( 麻川程序接口) ，让客户机和服务器进行对话， 客户将数据包提交给服务器，服务器代替客户机器与网络进行对话，并且返同结果。由丁透 明地支持u d p 代理，s o c k s 程序经常被州来让防火墙内的机器( 例如局域网中的客户机) 使川i c q 等聊天程序。 以上所述的局域网所采川的防火墙安全技术的原理可以川图卜2 所示。 启用了路由功能的 l i n u x 主机 ，一。一、 r o u t e r豫。厂”、 ：、? e r n e 。t ， 5 蝤馐+ 、局堋，； 包过滤姊火墙i p t a b 1 e s s q u i d + s o c k s 5 代理m 匿务器 图1 2 基于开放源码软件的防火墙安全技术 1 4 3 使用ip t a bie s + s q uid + s o c k s 作为防火墙策略的脆弱性 基丁i p t a b l e s + s q u i d + s o c k s 代理的网络安全技术有卜面的一些缺点和不足： ( 1 ) 灵活性和功能性较差。w e b 服务器、f t p 服务器、d n s 服务器、m a i l 服务器安装 在防火墙后面时必须使用端口转发或者反向的n a t 服务。 ( 2 ) 由于t c p i p 的实现，数据包可能会在你注意不到的地方穿过，而过分严格的过滤策 8 略义会影响局域网用户的止常使朋。 ( 3 ) 虽然i p t a b l e s 防火墙有日志功能，但是你可能不知道黑客已经攻击了你的网络，除 非你仔细监视防火墒日忠，但这种方法费时义乏力，而且要借助丁- 第三方稗序。 ( d ) 防火墙提供了处理进出通信的集中点，冈此防火墙无法防御局域网内部川户对w e b 、 f t p 、d n s 、m a l l 等服务器发起的攻击，冈为局域网内部的网络流量并没有经过防火墙。 ( 5 ) 探测和测试防火墙的配置时有很人的凼难。例如i r a b l e s 不能探测和阻碍黑客的端口 扫描行为。 ( 6 ) 如果防火墙被黑客攻陷，则整个局域网就会敞开人i 、j ，而且如果一个黑客能够以某 种方式禁j ：防火墙主机，则整个局域网将拒绝全部i n t e r n e t 服务。 冈此迫切需要采取某种技术米对防火墙进行补充。 1 5 入侵检测系统+ 防火墙的局域网安全策略 不可否认，防火墙是保证局域网安全的最基本方式。防火墒可以按照需要米阻断或允许 网络通信。入侵检测系统i d s 不能充当防火墙的替代品。i d s 技术不是川米解决这些问题 的。l d s 的基本功能是监视内部网络的流鼙，并对识别到的重要攻击特征进行警报。但是i d s 的确能作为防火墙的补充，冈为它能帮助监视内部网络的流量。有时在防火墙之外或者在 d m z ( d e m i l i t a r i z dz o n e ，1 卜军事区) 里面放置i d s 是很不错的，这样你就能了解对防火墙进 行攻击的情况。但是，在这种情况卜，i d s 并不是替代防火墒的作川，而是作为入侵检测设 备使刚。最普遍的一种策略是在的防火墒遭受攻击时止i d s 重新配置防火墙。例如i d s 利 防火墙通信并让它臼动地关掉端口或禁j ：主机。但是这个功能在开放源代码的防火墒产晶 i p t a b l e s 里是没有的，州户可以编写脚本米实现这个功能。防火墙是减少扫描威胁的最有效 的方式。i d s 可以帮助探测和阻碍主机扫描。但是i d s 主要是监控内部网络传输，而不能作 为防火墒来保护网络。这是冈为防火墙作为集中点，能够拦截或允许进出通信。有防火墙的 地方，可以有效地使川一个系统去保护上白个其它系统免受扫描、嗅探雨ld o s ( d e n i a lo f s e r v i c e ，拒绝服务攻击) 攻击。可以将i d s 安装在一台独立的网络主机上，这样也不消耗 防火墙的系统资源，i d s 主机可以向防火墙发送随机的p i n g 命令，以测试其是否启动，并 能够通知系统管理员主机是否停机。另外i d s 也可以监视与i p t a b l e s 和l i n u x 内核有关的 错误报告，记录当前的这些变化可以帮助系统管理员一口发现问题快速升级系统。 冈此为了保证局域网的安全，采川i d s + 防火墙的网络安全技术是最好的策略，冈为它 不仅可以保护局域网免受外界攻击，也可以对局域网内部的网络通信进行检测，并发出警报 或采取相应的主动行为。 1 6 入侵检测系统+ 防火墙网络安全策略的架构 局域网环境中防火墙+ 入侵检测的网络安全架构如图1 3 所示： 轴睹t l，、l 。 罩霸s一；， ，”、一”、 ， 、 、 融麓葬骊户 广 ”、 一 。 幽1 3 防火墙+ 入侵检测系统的局域网安全架构 9 在此架构中，防火墙采川如前所述的启川了路由功能的l i n u x 主机，并安装了包过滤防 火墙i p t a b l e 软件加上应川层代理软f l s q u i d 利s o c k s 。入侵检测系统是采j 1 j 了基丁w i n d o w s 操作系统卜的s n o r t 。同时，为了对入侵检测数据进行更加方便有效的监视利分析，在网络 中还安装了一台带有日忠报警管理系统的主机，该系统采川数据库中间1 ；，| ：技术，屏敝了不同 数据库之间的差异，具有良好的可移植性，提高了网络管理员对日忠警报的分析和监控能力。 1 7 本文的模拟实验环境 为了模拟局域网环境中防火墙币i i i d s 的部署，建立如图1 4 的实验环境。 1 9 2 t 6 8 0 5 0 安t s a o r t 的主祝 c | | | fi n d w sx p 系统) i 刘1 4 模拟实验环境 主机a 、b 、c 均为w i n d o w sx p 揲作系统，其中主机a 安装了s n o r t 及其相关附什，主机b 安装了日忠报警管理系统，土机c 安装了各种i n t e r n e t n 务器软件如：f t p 、w w w 、t e l n e t 、 s e n d m a i l 、d n ss e r v e r 等，川丁模拟被攻击主机。防火墙的设置是为了让i d s 测试防火墙后面 的士机对内部网络的攻击和扫描。 1 8 对入侵检测系统性能研究的必要性 入侵检测系统是一个很特殊的应川系统，它对实时性要求很高，特别是针对高速的网络 环境。就目前来说，局域网环境中一般都是l o o m b p s 或1 0 0 0 m b p s 的带宽，但如果i d s 的检测速 度跟不上网络数据的传输速度，那么i d s 就会漏掉其中的部分数据包，从而导致漏报而影响 系统的准确性和有效性，甚至会造成对网络系统的d o s ( d e n i a lo fs e r v i c e 拒绝服务) 攻击。 在i d s 中截获的每一个数据包，并分析、匹配其中是否具有某种攻m 的特征需要花费人麓的 时间和系统资源，冈此人部分现有的i d s 只有儿十兆的检测速度，但是随着百兆、千兆网络 在局域网中的人餐应川，i d s 技术的发展速度己经落后于网络速度的发展。目前，根据国外权 威机构近来发布的入侵检测产晶评测报告，目前主流的入侵检测系统人都存在以卜儿个问 题： ( 1 ) 存在过多的报警信息，即使在没有直接针对入侵检测系统本身的恶意攻击时，入侵 检测系统也会发山大量报警，这种警报容易给网络管理员的管理i ：作带米很人压力，迫使管 理员去分析这些警报的真伪 ( 2 ) 入侵检测系统自身的抗强力攻击能力差。一般，入侵检测系统的智能分析能力越强， 处理越复杂，抗强力攻击的能力就越著。目前入侵检测系统的设计趋势是，越米越多地追踪 和分析网络数据流状态，使系统的智能分析能力得到提高，但由此引起的弊端是系统的健壮 性被削弱，并且，对高带宽网络的适应能力有所一卜降。 ( 3 ) 缺乏检测高水平攻击者的有效手段。现有的入侵检测系统一般都没定了阀值，只要 攻击者将网络探测、攻击速度和频率控制在阀值之卜，入侵检测系统就不会报警。 1 0 ，：，、 ( d ) 网络速度的人幅度提升，对网络入侵检测系统的检测算法、检测速度和效率也提山 了一个严峻的挑战。 所以，研究网络入侵检测系统的性能具有1 卜常重要的现实意义，冈为提高i d s 系统的性 能，不仅可以减少漏报、误报，而且还可以提高系统的安全性和准确性，减少对土机资源和 网络系统资源、带宽的- i 川。 第2 章入侵检测技术概述 在当今的局域网应h j 环境中安全是其面临的重人问题。目前已经存在一些保护网络架 构及通信安全的方法，例如防火墙、虚拟专川网( v p n ) 、数据加密等。而随着网络环境的 越加复杂，硬什设备需要不断升级、操作系统需要不断补漏平更新，网络管理员的l ：作强度 随之不断加重，不经意的疏忽就可能造成重人的安全隐患。与此同时，随着攻击者知识的日 趋成熟，攻击一i ：具雨i 手法的日趋复杂多样，单纯的防火墒策略已经无法满足对安全高度敏感 的部l j 的需要，所以，网络的防甲必须采川一种纵深的、多样的手段。在这种情况卜，入侵 检测系统成为了安全市场上的新热点，不仅受到人彳f j 高度的关注，而且己经开始在各种不同 的环境中发扦其关键作用。 本章土耍对入侵检测系统的历史利入侵检测的定义、分类、模型进行简单介纠。 2 1 入侵检测技术的发展过程 2 1 1 入侵检测的概念 入侵检测是指住特定的网络环境中发现利识别木经授权的或恶意的攻击和入侵，并对此 做出反应的过程。入侵检测系统( i d s ) 是一套运川入侵检测技术对计算机或者网络资源进行 实时检测的系统+ l ：具。i d s 一方面检测未经授权的对象对系统的入侵，另一方面还监视授权 对象对系统的1 卜法操作。从功能逻辑上米讲，入侵检测系统由探测器( s e n s o r ) ，分析器 ( a n a l y z e r ) 和川户接口( u s e ri n t e r f a c e ) 组成。 ( j ) 探测器( s e n s o r ) 主要负责收集数据。探测器的输入数据流包括任何可能包含入侵行为线索的系统数据， 比如说网络数据包、日忠文什和系统调川记录笛。探洲器将这些数据收集起米，然后发送剑 分析器进行处理。 ( 2 ) 分析器( a n a l y z e r ) 分析器义称为检测引擎( d e t e c t i o n en g i n e ) ，它负责从一个或者多个探测器处接受信 息，并通过分析米确定是否发生了1 卜法入侵检测活动。分析器f f l i q 的输山为标识入侵行为是 否发生的指示信号，例如一个警告信号。该指示信号还可能包括相关的证据信息。另外，分 析器宝h t i - 还能够提供关丁可能的反戍措施的相大信息。 ( 3 ) 川户接口( s e r i n t e r f a c e ) 入侵检测系统的圳户接口使得川户易丁观察系统的输出信号，并对系统行为进行控制。 在某些系统中，圳户接口义被称为“管理器”、“控制器”、或者“控制台”等。 2 1 2 入侵检测的发展历史 从实验室原型御f 究剑推山商业化产品、走向市场，f 获得广泛认同，入侵检测系统( i d s ) 已经走过了二十多年的风雨历程。 ( 1 ) 概念提山阶段 1 9 8 0 年4 月，j a m e sa n d e r s o n 为美国空军做了一份题目为 c o m p u t e r s ec u r l t y t h r e a t m o n i t o r i n ga n ds u r v e i l l a n c e ( 计算机安全威胁监控与监视 的技术报告，第一次详细阐 述了入侵检测的概念。他提出了一种对计算机系统风险雨l 威胁的分类方法，并将威胁分为外 部渗透、内部渗透和不法行为三种，还提出了利川审计跟踪数据监视入侵活动的思想。这份 报告被认为是入侵检测的开山之作。 ( 2 ) 模7 性发展阶段 从1 9 8 4 年到1 9 8 6 年，乔治敦人学的d o r o t h yd e n n i n g 平l i s r i c s 以s r i 公司计算机科学实验 室) 的p e t e rn e u m a n n 研究山了一个实时入侵检测系统模刑，取名为i d e s ( 入侵检测专家模 型) 。该模型有八个部分组成：主体、对象、审计记录、轮廓特征、异常记录、活动规则。它 1 2 独立丁特定的系统平台、府川环境、系统弱点以及入侵检测类型，为构建入侵检测系统提供 了一个通川的框架。1 9 8 8 年，s r i c s l 的t e r e s al u n t 等人改进了d o r o t h yd e n n i n g 的入侵检测 模型，并开发出了一个i d e s 。该系统包括一个异常检测器和一个专家系统，分别刚语统计异 常模型的建立雨i 基丁规则的特征分析检测。 ( 3 ) 研究开发阶段 a n d e r s o n 关_ 丁i d e s 的。i ：作和报告导致了随后1 0 年中一系列原刑的研究。在上个世纪8 0 年代，先后出来了a u d i ta n a l y s i s ，t r a c t o ra p p l l e ds c i e n e 。公司的h a y s t a c k 。n c s c ( 关 国国家计算机安全中心) 的m i d a s ( 入侵检测雨| 手艮警系统) 、l o s a l a m o s 国家实验室计算机部门 开发的n a d i r ( 国家审计执行官和i 入侵报告者) 、加利福尼弧人学d a v i s 分校的n s m ( 网络系统 监视器) 等等在这些系统的开发过程中，检测策略从开始的基丁土机的检测扩展到了网络环 境中，山现了基- 丁- 网络的入侵检测系统，也同时出现了d i d s 份布式入侵检测系统，第一次试图 把墓丁主机和基丁网络的监视方法集成在了一起。 ( d ) 成熟发展阶段 1 9 9 0 年是入侵检测系统发展史上的一个分水岭。这一年，加州人学戴维斯分校的l t h e b e r l e i n 等人开发出了n s m ( n e t w o r ks e c u r i t ym o n i t o r ) 。该系统第一次直接将网络流作为审 计数据米源，冈而可以在不将审计数据转换成为统一格式的情况卜监控异种主机。从此之后， 入侵检测系统发展史翻开新的一页，两人阵营止式形成：基丁网络的i d s 和i 基丁| 主机的i d s 。 1 9 8 8 年的莫里斯( m o r r i s ) 蠕虫事件发生后，网络安全才真止引起了军方、学术界和企业 的高度重视。美国空军、国家安全局和能源部共同资助恐俱密码支持中心、劳伦斯利弗摩尔 国家实验室、加州人学戴维斯分校、h a y s t a c k 实验室，开展对分布式入侵检测系统( r i d s ) 的研究，将基丁主机和i 基丁网络的检测方法集成剑一起。 d i d s 是分布式入侵检测系统历史上一个里程碑式的产品，它的检测模刑采川了分层结 构，包括数据、事1 ：，i ：、主体、上卜文、威胁、安全状态等6 层。从2 0 世纪9 0 年代剑现在，入 侵检测系统的研究在智能化和分布式两个方向取得了长足的进展。 2 2 入侵检测技术的分类 2 2 1 根据检测引擎使用的分析方法分类 根据检测引擎使川的分析方法，入侵检测主要可以分为两类：异常检测( a b n o r m a l d e t e c t i o n ) 利误川检测( m i s u s ed e t e c t i o n ) 。 ( 1 ) 异常检洲( a b n o r m a ld e t e c t i o n ) 异常检测也被称为基丁行为的检测。它是建立在如。卜- 的假设基础上的，即任何一种入侵 检测行为都能由丁偏离止常或者所期望的系统利川户的活动而被检测出米。描述止常或合法 活动的模删是从过之通过各种渠道收集剑的人昔历史活动资料的分析中得山来的。入侵检测 系统将它与当前的活动情况进行对比，如果发现当前状态偏离了止常的模型状态，则系统就 发出瞥报信号，这就是说，任何不符合以往活动规律的行为都将被视为入侵行为。闪此，异 常检测系统的检测完整性很高，但是要保证它具有很高的止确性却很凼雉。此类检测技 术的优点在丁它能够发现任何企图发掘、试探系统最新和米知漏洞的行为，同时在某中科度 上，他较少依赖丁特定的操作系统环境。另外合法川户超越权限的违法行为的检测能力人人 加强。较高的虚警率是此种方法的主要缺陷，冈为信息系统所有的止常活动并不一定住学 习建模阶段就被全部了解。另外，系统的活动行为是不断变化的，这就需要不断的在线学习。 该过程可能带米两种后果，其一是在此学习阶段，入侵检测系统无法止常i ：作，否则生成额 外的虚假警告信号。还有一种可能是，在学习阶段，信息系统止遭受着非法的入侵攻击，带 来的斤果是，入侵检测系统的学习结果中包含了相关入侵检洲行为的信息，这样系统将往以 后无法检测山该种行为的入侵行为。 1 3 异常检测方法主要有以卜儿种。 统计分析( s t a ris t i c sa n a l y s is ) 概率统计方法是基丁行为的入侵检测中