（计算机应用技术专业论文）网络协同防御系统中nids的研究和实现.pdf

北京邮电大学顾匕研宄生论丘： 摘要： 在过去的几年里，因特网技术在全球范围内飞速发展，越来越多的企事业单 位和个人用户连接到了i n t e m e t 上，由于t c p i p 协议本身的安全性考虑不足， 网络安全问题也就越显突出。通常来讲，一般用户采用防火墙作为安全的第一道 防线，而防火墙仅能屏蔽从外部发起的攻击，不能够阻止从局域网内部发起的攻 击行为，并且随着攻击者攻击水平的提高，攻击手段的日趋多样，目前已有多种 可以绕过防火墙进行攻击的方法。所以网络的安全防护必须采用一种纵深的，灵 活多样的手段。在这种情况下，入侵检测系统也就成为了网络安全产品中新的热 点技术。 本文首先系统地讲述了网络安全的理论背景知识和入侵检测的基本概念，然 后对比了两种典型的入侵检测系统的优点和缺点，进而提出了一个综合的网络协 同防御系统的设计思想。描述了该系统的总体设计结构。然后，着重讲解了网络 入侵检测系统中传感器的设计和实现。对于其中的关键模块和关键技术进行了介 绍。最后一部分对于我们开发出的原型系统进行了实验验证和相关算法的性能分 析。 关键字： 网络安全，入侵检测，网络隔离，模式匹配，网络阻断，异常检测，误用检 测，主机检测，网络检测 a b s t r a c t ： i n t e r n e th a sb e e nd e v e l o p i n gr a p i d l yw o r l d w i d ei nt h ep a s t y e a r s m o r ea n d m o r ee n t e r p r i s e sa n du s e r sh a v eb e e nc o n n e c t e d t oi t i nt h em e a nt i m e ，n e t w o r ks e c u r i t yh a sb e c o m ev i t a i l y i m p o r t a n t ，f o r t h e d e s i g n e r s o ft c p i pd i dn o t p a y m o r e a t t e n t i o nt os e c u r i t ya n dr e s u l t e di nt h es e r i o u sd e f e c t so f i n t e m e ti t s e l f e n t e r p r i s e su s h a l l ye m p l o yf i r e w a l la st h e f i r s t1 i n eo fd e f e n c e f i r e w a l l ，h o w e v e r ，c a no n l yr e s i s t o u t s i d ea t t a c k s i tc a nn o tf i n di n t e r n a la t t a c k sw i t h i nt h e s a m es u b n e t i na d d i t i o n ，h a c k e r so f t e np l a yt r i c k st ob y p a s s f i r e w a l lw h e nt h e ya r em o r ea n dm o r es m a 【r ta n dh a v ee n o u g h e x p e r i e n c e s s ow e h a v et ob u i l ds e v e r a ls o l i d w e l l sf o r n e t w o r ks e c u r i t y t h u si n t r u s i o nd e t e c t i o nh a sb e c o m eah o t t o p i cc u r r e n t l y t h i st h e s i si n t r o d u c e st h eb a s i c k n o w l e d g e o fn e t w o r k s e c u r i t ya n di n t r u s i o nd e t e c t i o na t t h ef i r s tt w oc h a p t e r s a n dt h e na n a l y s e st h ea d v a n t a g e sa n dd i s a d v a n t a g e s o ft w o k i n d so ft y p i c a li n t r u s i o nd e t e c t i o ns y s t e m f u r t h e r m o r e ，w e p u tf o r w a r d an e wa r c h i t e c t u r eo fn e t w o r kc o o p e r a t i v ed e f e n c e 北京邮电人学顺七研究生论立 s y s t e m i no r d e rt o i m p r o v et h ee f f e c t i v e n e s so fi n t r u s i o n d e t e c t i o n f i r s t ，i td e s c r i b e st h ew h 0 1 ed e s i g no fo u rs y s t a m s e c o n d ，t h et h e s i sf o c u s e so nt h ed e s i g na n di m p l e m e n t a t i o n e fm e t w o r ks e n s o ro fi n t r u s i o nd e t e c t i o ns y s t e m t h i r d ，i t e x p l a i n ss o m ev i t a id e si g nm o d u l e sa n di m p o r t a n tt e c h n o i o g y i nt h ep r o c e s s e so fi m p l e m e n t a t i o n i na d d i t i o n ，i tg i v e ss o m e e x a m p l e so ft e s t i n gt h ep r o t o t y p ea n da n a l y s e st h ep e r f o r m a n c e o fm o d em e t c h i n ga r i t h m e t i ci nt h e1 a s t p a r t k e y w o r d s ： n e t w o r ks e c u r i t y ，i n t r u s i o nd e t e c t i o n ，n e t w o r ki s 0 1 a t i n g ， m o d e m a t c h i n g ， n e t w o r k i n t e r d i c t i o n ，a n o m a l y d e t e c t i o n ， m i s u s ed e t e c t i o n ，h o s t - b a s e d d e t e c t i o n ，n e t w o r k b a s e d d e t e c t i o n 2 北京邮l u 人学碳j + f i j f 究生论文 第一章网络安全的理论背景 1 1 网络安全的概念 1 1 1网络安全的基本观点 网络安全实际上是一个实践性很强的技术领域，在这里大多数的理论知识基 本上是实践经验的汇集。所以，如果非要给出一个通用化的定义是非常困难的， 甚至也很难给出一个安全与否的准则。 在网络安全的范畴内，网络并不是简单的物理的网络，它主要包含以下三个 方面的基本要素：( 参考参考文献7 的第2 9 页) 数据：包括在网络上传输的数据与端系统中的数据。 关系：网络作为交流的重要手段，涉及到通信各方信赖关系的建立与维 护，这往往也是攻击者比较感兴趣的一个方面。 能力：包括网络系统的传输能力与端系统的处理能力，前者意味着网络 连接能力的充分运用，而后者则意味着数据处理能力和服务提供能力等。 网络安全的意义，就在于为以上三个要素提供保护，保证这三者能够为所应 为，为合适的人服务，而且只为合适的人服务。因此，网络安全也就包含三个基 本方面：数据保护：( 信赖) 关系保护：能力保护。 11 2 各个层次的安全性 安全包括五个基本要素：机密性、完整性、可用性、可控性与可审查性。 机密性：确保信息不暴露给未授权的实体或进程。 完整性：只有得到允许的人才能修改数据，并且能够判断出数据是否已被篡 改。 可用性：得到授权的实体在需要时即可访问数据，即攻击者不能占用所有的 资源而阻碍授权者的工作。 可控性：可以控制授权范围内的信息流向及行为方式。 可审查性：对出现的网络安全问题提供调查的依据和手段。 对于网络安全来说，安全性的体系结构可以分为五个层次： 网络层的安全性 系统层的安全性 用户层的安全性 应用层的安全性 数据层的安全性 系统层的安全性体现在防病毒、风险控制、安全性审计等方面。用户层的安 全性体现在用户和用户组的管理、单次登录、身份验证等方面。应用层的安全性 体现在权限控制和授权等方面；数据层的安全| 性体现在加密技术上。见下图。 ( 参考参考文献8 的第6 9 页) 北京邮电大学硕：仁研咒生论史 数据层 应用层 加密 访问控籼i 授权 用户层用户组管理l 单机登录l 鉴权 系统层反病毒l 风险评估1 人侵柱溯l 审计分析 网络层防火墙l 通信安全 图1 - 1 网络系统安全体系结构 1 1 2 1 网络层的安全性 网络层的安全性问题核心在于网络是否得到控制。在某一个严格要求保密的 网络上，网络层必须提供透明的加密信道以保证数据传输的安全。通过路由器和 拨号服务器能够实现i p 层的加密信道，多数路由设备都具备这样的功能。但是， 加密i p 信道存在如下问题：一是加密算法依赖原厂商：二是不同设备厂商采用 的标准不一致，彼此之间没有互操作性。如果采用的网络互联设备不一致，就很 难建立统一的加密信道：三是信道加密会使网络设备的性能大幅度下降。 在网络层建立的i p 通道之上，必须采用安全机制提供应用层的可靠相互访 问。如果没有这个机制，只有加密i p 信道，应用层的安全仍然得不到保障。因 特网的边界上，能常使用防火墙，防火墙用i p 包过滤和应用代理方式来实现安 全连接。一种简单有效的方法是在路由器上采用i p 包过滤技术，由硬件实现， 效率相当高。防火墙建立在边界安全的基础上，对来自内部网攻击的防护能力很 弱，因此网络安全的另一个重要的环节是网络安全漏洞及入侵的检测和监控。通 过安全检测监控手段，可以及时发现网络存在的漏洞或恶意的攻击。更加重要 的是，安全检测工具可以提高网络攻击的敏感性，从而实现动态和实时的安全控 制。 1 1 2 2 系统层的安全性 在系统安全性问题中，主要考虑的问题有两个：一是病毒对于网络的威胁： 二是黑客对于网络的破坏和入侵。 病毒的主要传播途径已由过去的软盘、光盘等存储介质变成了网络，多数病 毒不仅能够直接感染网络上的计算机，也能够利用自身在网络上进行复制和传 播。同时，电子邮件、文件传输( f t p ) 以及网络页面中的恶意j a v a 小程序和 a c t i v e x 控件，甚至文档文件都能够携带对网络和系统有相当的破坏作用的病 毒。这些病毒在网络上传播和破坏的多种途径和手段，使得网络环境中的防病毒 工作变得更加复杂，网络防病毒工具必须能够针对网络中各个可能的病毒入口来 进行防范。 对于网络黑客而言，他们的主要目的在于窃取数据和非法修改系统，其手段 之一是窃取合法用户的口令，在合法身份的掩护下进行非法操作：手段之二是利 用网络操作系统中某些合法但不为系统管理员和用户熟知的操作指令。例如在 u n i x 系统的缺省安装过程中，会自动安装大多数系统指令，据统计，其中大概 有约3 0 0 个指令是大多数用户所根本不会使用的，但这些指令往往会被黑客所利 4 北京邮l 乜大学顺卜研究生论文 用。要弥补这些漏洞，需要使用专门的系统风险评估工具，来帮助系统管理员找 出哪些指令是不应该安装的，哪些指令是应该缩小其用户使用权限的。在完成了 这些工作之后，操作系统自身的安全性问题就会在一定程度上得到保障。 112 3 用户层的安全性 对于用户的安全性问题，需要考虑的是：是否只有那些真正被授权的用户才 能够使用系统中的资源和数据。首先需要做的是应该对用户进行分组管理，并且 这种分组管理应该是针对安全性问题而考虑的分组。也就是说，应该根据不同的 安全级别将用户分为若干等级，每一等级的用户只能访问与其等级相对应的系统 资源和数据。其次应该考虑的是强有力的身份认证，其目的是确保用户的密码不 会被其他人所猜测到。在大型的应用系统之中，有时会存在多重的登录认证的体 系，用户如需进入最高层的应用，往往需要多次输入多个不同的密码，如果管理 体系不够严格，多重密码的存在也会造成安全问题上的漏洞。所以在某些先进的 登录系统中，用户只需要输入一个密码，系统就能够自动识别用户的安全级别， 从而使用户进入不同的应用层次。这种单一登录体系要比多重登录体系能够提供 更大的系统安全性。 1 1 _ 2 4 应用程序的安全性 用户可能分布在网络上的任何接入点，所以身份认证技术必须采用针对用户 的认证方式，而不能针对地址或会话。为了便于管理，需要采用集中式管理的访 问控制手段。 网络层( 传输层) 的安全协议允许为主机( 进程) 之间的数据通道增加安全 属性。本质上，这意味着真正的数据通道还是建立在主机或进程之间，但不可能 区分在同一通道上传输的每个具体文件的安全性要求。比如说，如果一个主机与 另一个主机之间建立起一条安全的i p 通道，那么所有在这条通道上运行的i p 包 就都要自动地被加密。同样，如果一个进程和另一个进程之间通过传输层安全协 议建立起了一条安全的数据通道，那么两个进程间传输的所有消息就都要自动地 被加密。 如果确实想要区分每个具体文件不同的安全性要求，那就必须借助于应用层 的安全性。提供应用层的安全服务实际上是最灵活地处理单个文件安全性的手 段。例如一个电子邮件系统可能需要对发出的信件的个别段加上数据签名。低层 的协议提供的安全功能一般不会知道发出信件的段落结构，从而不可能知道该对 哪一部分进行签名。只有应用层是唯一能够提供这种安全服务的层次。 一般说来，在应用层提供安全服务有几种可能的做法，第一个想到的做法大 概就是对每个应用( 包括应用协议) 分别进行修改。一些重要的t c p i p 应用已 经这样做了。在r f c1 4 2 1 至1 4 2 4 中，i e t f 规定了使用强化邮件( p e m ) 来为 基于s m t p 的电子邮件系统提供安全服务。 1 1 2 5 数据的安全性 在数据的保存过程中，机密的数据即使处于安全的空间，也要对其进行加密 处理，这样万一数据失窃，偷盗者( 如网络黑客) 也读不懂其中的内容。这是一 种比较被动的安全手段，但往往能够收到较好的效果。 1 1 3p d r 模型 乾糸蛳l 毡l = 攀颁 一研究生论文 p d r 模型最早由i s s 公司提出，聪来出现了很多变种。在本文罩介绍的p d r 模型可以称为p p d r 模擞，包括策略( p o l i c y ) 、防护( p r o t e c t i o n ) 、检测( d e t e c t i o n ) 、 响应( r e s p o n s e ) 。它们的关系如下图辑示。( 参考参考文献7 的籀3 4 页) 图1 2p d r 模型示意图 上图缀然是一个平面的循环，但嶷际上是一个螺旋上升的过程。经过了一个 p d r 循环之后，系统进行防护的水平必然是提高的。策略是这个模型的核心， 在具体的交施过程孛，策蜷意喙羞瞬缌安全要达到的嚣挺，它决定了冬黏措施豹 实施强度。因为遥求安众是要付出代徐的，一觳会赣毪焉户使麓静舒逶度，逐蠢 整个网络系统的运行憾能，因此策略的制定要按照需要来进行制定。入侵检测就 是p d r 模型中的检测部分，它的作用在于承接防护和响应的过程。 1 2 圈络安全戆关键技零 近几牮来，i n t e r n e t 技术日趋成熬使得企业数据两络正迅遽地从以封闭溅的 专线、专网为特征的第= 代技术转向以i n t e r n e t 强联网技术为基础的第三代企 业信息网络。然而，作为全球使用范围最大的信憋网，i n t e r n e t 自身协议的开 放牲虽然缀大遮方便了器秘计算祝联嘲，糍宽了炎瀛共享，却由予在晕颠网终携 议设计上对安全闻题的忽褫，戳及程经羯和警毽上静阉莲，逐灏侵i n t e r n e t 蠡 身的安全疑到严重威胁，安全事故屡有发生。在t c p i p 协议黹遍应用的今天， 要彻底改变这网络的现状是不可能的。我们只有用些其他的方法来弥补这然漏 洞。( 参考参考文献2 的第6 3 7 4 页) 1 2 1 防火墙 防火墙是在最近的几年里发展超米的一种重瑟的安全技术，其特征是通过在 网络边界上建立网络邋信监控系统，达到保障网络安全的目的。防火墙型安全保 薅技术是缓设旋保护嬲络其毒明确定义躲迭雾彝黢务，蒡豆题终爱全豹藏胁仅来 自外部网络，进而通j 建滚溅、限裁、爨改跨越防火墙的数摆流，尽可髓遣对终郁 网络屏蔽被保护网络的信息、结构，实现对网络的安全保护。 防火墙技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络蜜全 的一静手段。它采用适警技术在披保护网络周边建立起屏障来分隔被保护网络与 外部鼹终。它疑保护熬瓣蒙应是网络中有明确闲仑迭秀懿一令予疆。它豹薅蕊对 象是来自外部攻击。由此可见，防火墙技术最适合于在企业专阐中使用，特剐是 在企业专网与公用网络亘连时使用。 l 。2 ，2 热寮垄弱终安全技零 以数据加密和用户确认为基础的开放型安全保障技术是普遍适用的，是对网 络服务影响较小的一种途径，并可塑成为网络安全问题的最终的体化解决方 法。这一类技术的特在怒利用现代的数摄加密技术泉保护网络系统中包括用户数 器在内载鼹蠢数据滤。灵蠢摇定鬟用户线羁络设冬才能够瓣译数糖，跌嚣在不对 网络环境作特殊要求的前提下从根本上解决网络安全的两大要求：网络服务的可 用性和信息的完整性。这类技术一般不需要特殊的网络拓扑结构的支持，因而实 施代价主骤体现在软件的歼发和系统运行维护等方颟。这类方法在数据传输过程 中不对爨经逑豹网络爨镪弱安全程凄终要求，因焉不会受鞠终瞧辕路径嚣影蛹， 驮而真正寨现网络逼僚j 童程的端到端的安全傈障。强前己经有了籀当数量斡良不 同方法实施的这一类安念保障系统。但是由于种种原因，数据加密技术还未在世 界范围内的i n t e r n e t 网络上大规模使用，目前以这途径实现的系统大多局限在 应用软件鼷次。数据加密技术在网终屡次上应用幂曩实现豹网络一般相对规模鞍 小，限割了以忿佟为蒸礁鹤全瑟茨阚络安全簿决方寨蠡冬产生。 数据加密技术可以分为三类，即对称型加密、不对称型加密和不可逆加密。 对称烈加密使用单个密钥对数据进行加密或解密，其特点是计算量小、加密 效率高。假是此类算法程分布式系统上使用较为困难，主要是密铜管理困难，使 爱藏本较褰，保安洼慈瞧不易镶 歪。这类算法豹代装是在诗冀瓤专弱系统孛_ 广泛 使用酶d e s ( 数据鸯鞋密标准) 算法，褥i d e a ( 萤际数据加密算法) 。 不对称型加密算法也称公用密钥簿法，其特点是有二个密钥：即公用密钥和 私有密钥，公用密钥用于对数据进行加密，私有密锏用于对加密后的数据( 密文) 进行解密。只寿二者攒粼使用才能究成加密帮解鬻麴全过程。幽予不对豫算法潮 有两个鬻锈，它特羽逶瓣子努毒式系统中懿数据麴密，在i n t e m e t 孛褥虱了广泛 的应用。其中公用密钥在网上公布，发送方在网络上获得接收方的公用密匙，并 用其为所疆发送给接收方的数据加密。而用于解密的相应私有密钥则由数据的收 信方妥善保管，在接收到发送方所发来的密文后嗣其进行解密，从而获得明文。 不对懿麴塞靛另一翔法稼为“数字签名( d i g i t a ls i g n a t u r e ) ”，帮数据发遂方 使用其私脊密钥对数拯的校验和( c h e c ks u m ) 或其他与鼗据内容有关鸵变爨送 行加密，而数据接收方则用相应的公用密钥解读“数字签名”，并将解读结果用 于对数据兜整性的检验，同时确认发邀方的身份。在网络系统中得到应用的不澍 称鸯霾密算法套r s a 算法和美国国家标准蜀提出的d s a 算法( d i g i t a ls i g n a t u r e a l g o r i t h m ) 。不对豫热寮法在霹络审疲建对需注意麓阀题是絮鳄管理窝确认公焉 密钥的合法性。 不可遒加密算法的特征是加密过程不需要密铜，并且经过加密的数据无法被 解密，只肖同样的输入数据经过同样的不可逆加密算法才能褥到相同的加密数 据。不可遂鸯蠢密葵法不存在密锈傈警秘分发目逶，邋含在分毒裁潮终系统上袋建， 但是其加密计算工作爨相当可观，所以通常用于数据量有限的情形下的加密，如 计算机系统中的口令就是利用不可逆算法加密的。近来随着计算机系统性能的不 断改善，不可逆加密的应用逐渐增加。在计算机网络中应用较多的有r s a 公司 发明静m d 5 雾法霸由受国国家标熬爆建议静可纛不可逆热整标准( s h s ：s e c u r e h a s hs t a n d a r d ) 。 加密技术用在网络安全方面通常有两种形式，即面向网络域面向应用服务。 面向网络的服务通常工作在网络层或传输层，使用经过加密的数据包传送、 认证网终鼹由及其他网络协议所需的信息，从丽保证网络的机密性和完整性不受 损害；京潮终层上实凌豹热密援拳怼予溺终痤嗣蒺豹瘸户逯零楚透鹈夔。鼗矮， 北京螂 也大学碟 1 秘究生捷文 通过适当的密钥管理机制，f 吏用这一方法还可以在公用的互连网络上建立虚拟挚 用网络，并保障虚拟专用闻上信息的安全性。 面向应用服务的加密技术，则是联髓较为流行的捆密技术的使矧方法，例如 镬鬻k e r b e r o s 骚务夔t e l n e t 、n f s 、r l o g i n 等，以及霜 蕈电子溱搏粕密魏p e m ( p r i v a c ye n h a n c e dm a i l ) 和p g p ( p r e t t yg o o dp r i v a c y ) 。这一粪细密技术的优 点在于实现相对较为简单，不需要对电子信息( 数据包) 所经过的网络的安全性 能提出特殊溪求，为电予邮件实现了端到端的安全保障。 1 ，2 3 添溺掏箍技术 漏洞扫描是自动检测远端或本地主机安全脆弱点的技术。它惫询t c p i p 端 口，并记录目标的响应，收集关于某热特定项目的肖用信息，如正在进行的服务， 拥有这些服务的用户，怒西支持匿名鼗录，是否有巢些网络服务需要鉴别等。漏 瀛扫捶疆露楚一个强大熬王其，它可以臻袭爻毒诗浚集秘步的数攥，哥潋袋速媳 在大范围内发现已知的脆弱点，为网络风险评估掇供数据。 早期的捆描程序是专门为u n i x 系统编写的，随后情况就发生了变化。现在 很多操作系统都支持t c p i p ，因此，几乎每一种平台上都出现了扫描程序。扫 攒程序对爨麓i n t e m e t 安全发挥了很大躲髂用。 在柽褥一个魂蠢的平台上都毒死嚣个熬辩酶安众脆弱点。人工溺试蕈台主瓤 的这些脆弱点要花几天的时间。而掴描程序可在程很短的时间内就解决这些问 题。扫描程序开发者利用可得到的常用攻击方法，并把它们集成副整个扫描中。 输出的结粜掇式统一，容易参考和分析。有些扫描程序还可以根据其所带的专浆 系绞数据露绘窭具髂夔浚遴建议。 目前醴i 有的扫描程膨产品大约有几十种，有的恢捷小巧，熊够很好地实现菜 个单一功能：有的功能究善，界面友好。至今仍然被广泛使用的搦描程序有n s s 、 s t r o b e ，s a t a n ，b a l l i s t a ，j a k a l ，i d e n t t c p s c a n ，o g r e ，w e b t r e n d ss e c u r i t ys c a n n e r ， e o n n 嚣c t 、f s p s c a n 、x s c a n 、i s s 等。 1 2 4 入橙检测技术 近年来，人们发现双从防御的角度构造安全系统是不够的。因此，人们开始 寻求其他逡经来静充保护髓络的安全，从两出现了系统脆弱性评估及入侵检测的 舔突顼嚣。入侵检测霹被定义惫怼诗舞撬帮鬻终炎溅上熬恶意蕊麓毒亍隽送嚣谈爨 和响应的处理过程。它不仅检测来自外部的入侵行为，同时也检测内部用户的未 授权活动。 从2 0 世纪8 0 年代初开始，国外就有一些研究机构及学校着手系统脆弱憔分 类熬研究。遮会骚究一方嚣是因为i n t e m e t 戆遮速发震，雯一方嚣是嚣秀入嫒埝 测技术的辩起。系统腱弱往鲍研究蠢祷仍不禳成熟，因为系统脆弱性的涵盏瑟缀 广，而且谶在不断地增加，对于脆弱悭的分类也套绷新的漏洞被发现而相应地发 展补充。嬲外，针对不同的目的也要求分类方法脊所差别。而对于入侵检测的研 究来说，从早期豹审计跟踪数握分析，到实时入侵梭测系统，到魑蔚应用于大型 网络秘分程式系统，鏊零上毫发展成蒸有一定蕊壤鼹穗应理论鹣实焉仡接零。 从具体的检测方法上，可以将检测系统分为蒸于行为的和熬予知识的两炎。 基于行为的检测是指根据使用者的彳予为或资源使用状况的正常程度来判断嫩否 发生入侵，丽不依赖于舆体行为是否出现来检测。即建立被检测系统正常行为的 模式疼，势逶遘与当戆行建进行比较寒寻我穰离摸式痒豹异鬻行为。霸翔一般佳 北京邮i 乜大学顺i z f , j f 究生论文 用计算机的用户都有一定的键入速度如果有一天他的键入速度突然变快，则被 认为是异常行为，有可能是某入侵者在使用其帐户。基于行为的检测也被称为异 常检测( a n o m a l yd e t e c t i o n ) 。基于知识的检测指运用已知攻击方法，根据已定 义好的攻击模式，通过判断这些攻击模式是否出现来判断。因为很大一部分攻击 行为是利用了系统的脆弱性，通过分析攻击过程的特征、条件、排列以及事件间 关系，具体描述入侵行为的迹象。这些迹象不仅对分析己经发生的入侵行为有帮 助而且对即将发生的入侵也有警戒作用，因为只要部分满足这些入侵迹象就意 味着可能有入侵发生。基于知识的检测也被称为误用检测( m i s u s ed e t e c t i o n ) 。 根据检测系统所分析的原始数据不同，可将入侵检测分为来自系统日志( 基 于主机) 和网络数据包( 基于网络) 两种。操作系统的同志文件中包含了详细的 用户信息和系统调用数据，从中可分析系统是否被侵入以及侵入者留下的痕迹等 审计信息。随着i n t e m e t 的推广，网络数据包逐渐成为有效且直接的检测数据源， 因为数据包中同样也含有用户信息。入侵检测的早期研究主要集中在主机系统的 日志文件分析上。因为用户对象局限于本地用户，随着分布式大型网络的推广， 用户可随机地从不同客户机上登录，主机间也经常需要交换信息。尤其是i n t e m e t 的广泛应用，据统计入侵行为大多数发生在网络上。这样就使入侵检测的对象范 围也扩大至整个网络。 在现有的实用系统中，还可根据系统运行特性分为实时检测和周期性检测， 以及根据检测到入侵行为后是否采取相应措施而分为主动型和被动型。 北京邮电人学硕 研究生论文 第二章入侵检测的概述和论文意义 2 1 入侵检测的相关概念 1 入侵检测的定义 对( 网络) 系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻 击结果，以保证系统资源的机密性、完整性与可用性。 2 入侵检测的基本结构( 参考参考文献1 8 的第2 3 3 4 页) 图2 - 1 通用入侵检测系统结构图 数据提取模块的作用在于为系统提供数据，数据的来源可以是主机上的日志 信息、变动信息，也可以是网络上的数据信息，甚至是流量变化等数据源。数据 提取模块在获得数据之后，需要对数据进行简单的处理，如：过滤、数据格式的 标准化等，然后将经过处理的数据交给数据分析模块。 数据分析模块的作用在于对数据进行深入的分析，发现攻击并根据分析的结 果产生事件，传递结果给处理模块。数据分析的方式多种多样，可以简单到对某 种行为的计数，比如一定时间内某个特定用户登录失败的次数，或者某种特定类 型的报文的出现次数) ，也可以是一个复杂的专家系统。该模块是一个入侵检测 系统的核心。 结果处理模块的作用在于告警和反应。从非技术的角度来说，结果处理模块 的告警是通知管理员。从技术角度来说，结果处理模块的作用是相当于p d r 模 型中的反应部分。 2 2 入侵检测系统的分类 入侵检测系统是用以进行入侵检测的计算机软件和硬件的集合。根据信息源 的不同，可以将入侵检测系统分为基于主机型和基于网络型两类。 2 - 2 1 基于主机的入侵检测系统 直到1 9 9 0 年，入侵检测系统都是以基于主机型为主。因为在那之前，计算 机网络应用还不普及，网络入侵事件也较少发生。这类系统的信息源主要是操作 系统审计踪迹数据和其他以主机为中心的信息。 基于主机的i d s 可检测系统、事件和w i n d o wn t 下的安全记录以及u n i x 环境下的系统记录。当有文件被修改时，i d s 将新的记录条目与已知的攻击特征 相比较，看他们是否匹配。如匹配，就会向系统管理员报警或者做出适当的响应。 基于主机的i d s 在发展的过程中融入了其他技术。检测对关键系统文件和 北京邮t b 大学硕l 研究生论文 r 执行文件的入侵的一个常用方法，是通过定期检查文件的校验和来进行的，以 便发现异常的变化。反应的快慢取决于轮询问隔时间的长短。许多产品都是监听 端 1 的活动，并在特定端口被访问时向管理员报警。这类检测方法将基于网络的 入侵检测基本方法融入到基于主机的检测环境中。 2 22 基于网络的入侵检测系统 基于网络的入侵检测系统以网络包作为分析数据源。它通常利用一个工作在 混杂模式下的网卡来实时监视并分析通过网络的数据流。他的分析模块通常使用 模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为，i d s 的响 应模块就做出适当的响应，比如报警、切断相关用户的网络连接等。不同入侵检 测系统在实现时采用的响应方式也可能不同，但通常都包括通知管理员、切断连 接、记录相关的信息以提供必要的法律依据等。 2 2 3 基于主机和基于网络的入侵检测系统的集成 许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入 侵检测系统。这两种系统在很大程度上是互补的。 基于主机的入侵检测系统有如下优点： 可以很容易的检测到一些网络型系统不易发现的入侵行为，如对系统文 件、目录、程序或端口的存取，改变文件权限等。 不需要增加专门的硬件平台。 效率高。 对网路流量不敏感，一般不会因为网络流量的增加而丢掉对网络行为的 监视。 适用于信息被加密的情形和使用交换机的网络环境。 能够确定入侵是否已经对系统造成了破坏，因为基于主机的i d s 使用含 有已发生事件信息，他们可以比基于网络的i d s 更加准确的判断入侵是 否成功，在这一点上，它是对基于网络的i d s 的补充，网络部分可以尽 早提供警告，主机部分可以确定入侵是否影响了受保护的系统。 同样，基于网络的i d s 有许多功能仅靠基于主机的入侵检测方法是无法提供 的。实际上，许多客户在最初使用i d s 的时候，都配置了基于网络的入侵检测。 基于网络的检测有以下这些优点。 反应速度快。基于网络的监测器通常能做到近乎实时检测，甚至可以在 攻击者进入网络之前及时发现并制止。而大多数基于主机的产品则要依 靠对最近几分钟内的审计记录来分析。 系统本身的隐蔽性好。一个网络上的监测器不像一个主机那样显眼和易 被存取，因而入侵检测系统本身不那么容易遭受攻击。基于网络的监视 器不运行其他的应用程序，不提供网络服务，可以不响应其他的计算机。 因此可以做得比较安全。 需要的设备少由于使用一个监测器就可以保护一个共享的网段，所以 你不需要很多的监测器，而基于主机的系统则需要在每个受保护的主机 上都安装。 攻击者不易转移证据许多黑客都熟知操作系统的审计记录，知道如何 操纵这些文件以掩盖其作案踪迹。基于网络的i d s 使用正在发生的网络 通讯进行实时入侵检测。所以攻击者无法转移证据。被捕获的数据包的 北京i ；| f f 电夫掌鼷i 姘究生硷曼 反馈信息不汉包括攻击的方法，而目还包括可识别黑客身份和对其进行 起诉的信息。 操 乍系统无关性基于网络的1 d s 作为安全监测资源，与受保护系统中 主援戆搡撂系绫燹关。稳毙之下，基于主蔽麴系统必须在特定数、没鹰 遭到破坏的操作系统中才能正常工作。 占用资源少不占用受保护系统的任何资源。 下图展示了为一个中等规模的机构设置的防御系统的入侵检测解决方案。 外网 强2 - 2 一个入侵埝溅系统楚簿决方案魏示意图 ( 其中，h i d s ：基于主机的i d s ：n i d s ：基于两络斡i d s ) 在防火墙之外的检测器来自外部i n t e m e t 的攻搿。d n s 、e m a i l 和w e b 服务 器经零是玻蠢豹蓦标，德是毡艇又必须与姊部弼络交互，不可缝对其进行全部瓣 蔽，因诧寂当在各个罪务器上安装鏊予主祝的入侵系统，其检溅缭栗遣要商分耩 员控制台报告。由此不雅看出，即便怒小规模的功能性机构，也常常需要基于主 机和基于网络的两种入侵检测能力的综合运用的。 2 3a 侵捡凋黎瑗菰窝发蓑趋势 2 3 1 现有入侵检测系统面临的问题 近年张，入侵检测技术成为了信息安全的一个十分热点的研究领域。国外不 仅已经在理谂骚究方露敬褥了翅当豹戏票，蠢虽已鸯死令亵韭入矮检测系绞润 篷。镶如，逡行于w i n d o w $ 系统上酶r e a l s e c u r e ( i s s 公司) 、n e t p r o w l e r ( a x e n t 公司) 和落行于u n i x 系统上的n f r ( n f r 公司) 、n e t r a n g e r ( c i s c o 公司) 等 等。相比之下，国内在遮一领域的研究还较为迟缓。 裁现裔瓣入侵检测系统两言，无论是基于网络溅还是基于主枫塑的系统都有 英露隈惶。隧藿网络技拳鹣飞速发震、网络速度酶不攀据裹、黑鬻攻击手法越来 越复杂多样，网络入侵稔测系统面临满许多问题。 1 基于网络的入侵检测系统局限性 需要监测的信息量太大。随着网络速度的不断提升，网络裂入侵检测系统鬻 监季雯躅缮上瑟套懿数据毽莠且不影暖弼终洼裁，这是臻难达爨豹。现今敢i d s 2 够一 五 翩鐾 鲺羞 l 毛京熬电走学娥磷究童辘戈 产晶在t o m b p s 的流量下可以可靠的运行，假怒当流爨掇黼到5 0 、甚至 l o o i v l b p s 时，娶对所商的数撼电避 亍分板则会擞褥有些力不从心。 不麓豁测簸有懿倍感滚。这鸯多静爨嚣，毙懿不髓谖烈鼗蛰议、i d s 数簿等。 魏努，现在诲多公司辩鲶谴麓交换技戥轰瓣，蠹于交换撬不怒蕉臻广撵方式 工俸，阂此要采蕊蕊肖的数据彀鞍滚。虽然可以後用其诵试端| = l ( s p a n p o r t ) 来采熊数据，但是会盟著降低网络速度，这与采用高速变换机的初衰不符。 l d s 爨蹙数障。巍l d s 本鸯出现故障时( 跑鲡圜系统崩溃或浚刘拒终服务玻 毒) ，它便失去了对潮络籍惠流鹩濂援，势嚣不缝蘧氯孛夹羧裁套。一静瓣 凌办滚楚i d s 放簿辩窃羝秘终连接，踅注瑟主橇鳖i d s 蹩霹行，毽罴，辩予 网络型i d s ，受影响的将是簧该i d s 保护的整个网段上的用户。 不能检测有些类烈的攻击。现霄的大多数网络燃入侵检测系统都是递进分栋 臻获翻躲摹令数攥斑寒谖爨羧责嚣麓，这霹鸯熬类銎豹竣毒楚无疑为力瓣。 攒舞一耱联皴e v a s i o na t t a c k 魏羧毒手段，玫毒者游字孝誊 率”g e t c g i b 黼壤 f 分割成”g e t c g l 。”和”b i n p h f ”两个串，著分涮放在 两个数据包中发送，丽入侵检测系缆要搜索的攻击特征帛 楚”g e 瓢c g l 转烈艘娃p 。蛩捻测聚绞分别辩耀个数据惫遴行梭测时，它藏不 会发琨雾鬻，嚣豸嚣檬蓉统豹褥议较侮会耋耨缝装送耀曩、氇。予是找表蘩转琰 鸯褥，鬣懿字符枣”g e t c g i - b i n p h f ”藏矮穰袈避了久侵徐溺鬈统。当然，检 测祭统也可以采用解析协议，恢麓数据流的办法来解决此间蹶。但是在商速 嘲络环撬下，势必谶成i d s 的懿旖过重。 瑟惫锩怒采黧燕密方藏簧羧。这耱暹蓬瘦羯屡遴摇攘密转麓熬方式冒戮瓣邋 灭疆黢浏系统藏狻蠢。 误报警率太高。疆裔的入後稔溅系统，绝大多数的误撤餐率嚣菲常禽。溅论 分析也寝明这种浠谈撤率难以克服。过多的误报警会使系统静理员滕瘸丽忽 援了冀实麓投繁，德一点甚懋已经梭诲多罴客艨琴l 用。 2 ，鏊子圭拳趸的入撬检测懿竭羧瞧 蒸予主秘的入侵稔濑霹| 三i 尧糖基予阏络鼙灭稷稔溯静上述许多不足，正怒瓣 为如此，许多人把撼于童机的入侵检测系统也称做篇二代入侵检测系统。恒是它 也同样具露皇身的鲻5 鞋| 黢，铡如它舄掇作系统联黎紧密，要求殍发者对搽伶聚统 霄稳警鹣了解。嚣簧隽不疑羲搽稼系绞开发窭不瓣姻久缦羧涎系统，这瓷裁遮藏 歹较臀开淡黪工露爨缀大。煲癸，宅本夤熬疆渗设诗连要我潮络溅入餐梭灏系筑 更加复杂铸等。 2 3 2 瓣内羚懿磷炎动态 嚣蓠霹予丸覆羧测鹣璜究热煮主器鬃孛巍羽终羧氆攘凌懿囊动建立、入稷援 铡分聿斤方法颤及入後豌寝技术三个方藤。 参考参考文献2 0 鹊第1 1 1 2 节) 1 网络玻潞模式的自动建立 在网络攻爨模式的建立方瑟，研究入受稍赡爱提爨了瘸艘击楗、鼹数摆 擦箍镣建立竣爨穰黧翡方法，曩撼主要繁串巍魏籍鑫韵建立模鍪土嚣，瓣麓 裁夔翘终玫毒手敬憨楚在幂蘩穗狻发臻，天z 建立关予凝熬蔽毒手裁蕊模型 不仅佼务繁重，而且时间上总是滞后的。 2 入侵棱测分析方法 越分辑方法的磷究，圭黉集中在谟鬻梭测粒舅露梭瓣爨个方嚣。暴髂潦 瀵，烹装毒燕下一然搜零： 北京邮叱大学坝f ：f i f f 究生论文 状态转换方法 执行误用检测的状态转换方法，允许使用最优模式匹配技巧来结构 化误用检测问题。他们的速度和灵活性使得他们具有强有力的检测能力。 状态转换方法使用系统状态和状态转换表达式来描述和检测已知入侵。 实现入侵检测状态转换有3 个主要的方法，他们是语言或应用编程接口 ( a p i ) 、状态转换的特征、有色皮氏网络( c p - - n e t s ) 和状态转换分析。 用于批模式分析的信息检索 当前的大多数入侵检测是基于事件数据的实时收集和分析，还有一 些方法，他们涉及审计数据档案工作、搜寻感兴趣的活动模式，或者提 供涉及特定用户的活动的能力。c a m b r i d g e 大学的r o s sa n d e r s o n 和 a h a t t a k 提出，在发现新攻击的入侵检测系统和在攻击被证实后，允许安 全管理者找到攻击证据的系统间进行一个功能的分离。为此他们提出使 用信息检索( i r ，i n f o r m a t i o nr e t r i e v a l ) 技术。i r 技术现在被广泛的应 用于搜索引擎上。i r 系统使用反向文件作为索引，允许高效的搜寻关键 字或关键字组合。因为这些系统依靠索引，而不是机器学习去发现数据 模式，所以不同于数据挖掘。 量化分析 这是最常用的异常检测方法，其检测规则和属性以数值形式表示。 例如域值检测、启发式域值检测、基于目标的集成检测等都是比较通用 的量化分析方法。 基于神经网络的攻击检测技术 基于审计统计数据的攻击检测系统，具有一些天生的弱点，因为用 户的行为可以是非常复杂的，所以想要准确匹配一个用户的历史行为和 当前的行为是相当的困难的。错发的警报往往来自于对审计数据的统计 算法所基于的不准确或不贴切的假设。s r i 研究小组利用神经网络技术 来进行攻击检测。 目前，有人提出用神经网络技术作为基于传统统计技术的攻击检测 方法的改进方向，但尚不十分成熟，所以传统的统计方法仍将继续发挥 作用，也仍然能为发现用户的异常行为提供相当有参考价值的信息。 基于专家系统的攻击检测技术 进行安全检测工作自动化的另外一个值得重视的研究方向就是基于 专家系统的攻击检测技术，即根据安全专家对可能行为的分析经验来形 成套推理规则，然后再在此基础之上构成相应的专家系统。由此专家 系统自动进行对所涉及的攻击进行的分析工作。 所谓专家系统是基于一套由专家经验事先定义的规则的推理系统。 例如，在数分钟之内某个用户连续进行登录，且失败超过三次就可以被 认为是一种攻击行为。同时应当说明的是基于规则的专家系统或推理系 统也有其局限性，因为作为这类系统的基础的推理规则一般都是根据已 知的安全漏洞进行的安排和策划的，而对系统的最危险的威胁则主要是 来自未知的安全漏洞。实现一个基于规则的专家系统是一个知识工程问 题，而且其功能应当能够随着经验的积累而利用其自学习能力进行规则 的扩充和修正。 基于模型推理的攻击检测技术 攻击者在入侵一个系统时往往采用一定的行为程序，如猜测口令的 北京船电大学顺 j 研究生论文 程序，这种行为程序构成了某种具有一定行为特征的模型，根据这种模 型所代表的攻击意图的行为特征，可以实时地检测出恶意地攻击企图， 尽管攻击者并不一定都是恶意的。用基于模型地推理方法人们能够为某 些行为建立特定地模型，从而能够监视具有特定行为特征地某些活动。 根据假设的攻击脚本，这种系统就能检测出非法的用户行为。一般为了 准确判断，要为不同的入侵者和不同的系统建立特定的攻击脚本。 当有证据表明某种特定的攻击模型发生时，系统应当收集其他证据 来证实或者否定攻击的真实以尽可能的避免错报。此外还有统计度量 方法、非参统计度量方法、遗传算法、基于代理检测和数据挖掘等的分 析方法。 3 响应技术 响应技术包含主动响应和被动响应两种类型。目前对响应技术的研究主 要集中在主动响应上面，包括对入侵者采取反击行动，在