（计算机软件与理论专业论文）基于生物免疫原理的分布式ids应用研究.pdf

南京邮电大学硕士研究生学位论文摘要 摘要 近年来，基于生物免疫原理的入侵检测技术受到研究人员的普遍关注。生物免疫系统 承担着与入侵检测系统类似的任务，有效地保护了生物体，使之免受外来侵害。因而，研 究如何将生物免疫原理应用于入侵检测系统，具有重要的理论价值和实际意义。 论文介绍入侵检测技术发展的现状，分析了入侵检测技术的基本概念和原理，通过对 比生物免疫的基本原理及其特点，得出将生物免疫原理应用于分布式入侵检测系统的可行 性和优势。 模仿生物免疫原理，给出了一个分布式入侵检测模型，并从数据包捕获、协议分析、 检测器生成等方面阐述了相应的实现思想。论文的创新点在于重点讨论了否定选择算法， 分析了检测器生成过程中产生冗余的原因，给出了相应的解决方案。 所给出的基于生物免疫原理的分布式入侵检测技术具有较好的自适应性、动态防护 性、记忆性和多层保护等特点，有效改善了入侵检测的检测效率。 关键词：入侵检测系统，检测器，网络安全，否定选择算法 南京邮电大学硕士研究生学位论文a b s t r a c t a b s t r a c t r e c e n t l y , t h ei n t r u s i o nd e t e c t i o nt e c h n o l o g yb a s e d o nb i o l o g yi m m u n et h e o r ys h o w ng r e a t a t t e n t i o nb yt h er e s e a r c h e r s b e c a u s eb i o l o g yi m m u n es y s t e mh a st h es i m i l a ra b i l i t yi l l si n t r u s i o n d e t e c t i o ns y s t e ma n dp r o t e c tt h eo r g a n i s mw o r ki ng e a r , i ti sv a l u a b l ei nt h e o r yt os o m ee x t e n t a n di m p o r t a n ti np r a c t i c es i g n i f i c a n c ef o r t h er e s e a r c h e r st oa p p l yt h eb i o l o g yi m m u n et h e r o yo n i n t r u s i o nd e t e c t i o n t h et h e s i sa n a l y z e st h em e c h a n i s mo fi n t r u s i o ns y s t e mb a s eo nt h ed e v e l o p m e n to f i n t r u s i o nd e t e c t i o nt e c h n o l o g y t h ep o s s i b i l i t ya n dt h ea d v a n t a g eo fa p p l y i n gi m m u n et h e o r yt o i n t r u s i o nd e t e c t i o na leg i v e nt h r o n gc o n t r a s t i n gt h es i m i l a r i t i e sa n dd i f f e r e n c e sb e t w e e nt h e b i o l o g yi m m u n ea n di n t r u s i o nd e t e c t i o n ad i s t r i b u t e di n t r u s i o n d e t e c t i o nm o d e li sg i v e nb yi m i t a t i n gt h et h e o r yo fb i o l o g yi m m u n e t h et e c h n o l o g yo fp a c k e tc o l l e c t i o n 、p r o t o c o la n a l y s i s 、d e t e c t o rc r e a t a t i o na r ed i s c u s s e d r e s p e c t i v e l y t h ei n n o v a t i o no ft h ea r t i c l ei san e wr e s e a r c ho fn e g a t i v es e l e c t i o na l g o r i t h m ， a n a l y s e st h ec a u s eo fd e t e c t o rr e d u n d a n c ea n dt h er e f e r e n t i a ls e t t l i n gp r o j e c ti sg i v e n s u c hi n t r u s i o nd e t e c t i o nt e c h n o l o g yb a s e do ni m m u n ep r i n c i p l ei so fa d a p t a b i l i t ya n d d y n a m i cd e f e n s i v ea n dm u l t i p l el a y e r ss a f e g u a r d ，c o m p l e t e st h ei n t r u s i o nd e t e c t i o n se f f i c i e n t l y k e y w o r d s ： i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) ，d e t e c t o r , n e t w o r ks e c u r i t y , n e g a t i v es e l e c t i o na l g o r i t h m 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名：墨多 期：07-e1 年f 乙 研究生签名：9 刍2 期： 竺：! 乙 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电大学研究生部办理。 研究生签名易易、导师研究生签名：v ，、导师签名：脸日期她 南京邮电大学硕士研究生学位论文第l 章绪论 1 1 网络安全的基本概念 1 1 1 网络安全的基本观点 第1 章绪论 网络安全对应的英文是n e t w o r ks e c u r i t y 。在很多场合，s e c u r i t y 和s a f e t y 的中文译法 都为“安全”，但是这两者其实是有区别的，s a f e t y 更侧重于物理实体上的安全。 迄今在网络安全领域所进行的研究主要集中在计算机网络，但是随着三网( 计算机 网、电信网和有线电视网) 合一趋势的逐渐明朗，网络安全研究的应用领域也逐渐扩大。 网络安全的范畴内，网络并不是物理的网络，它包含以下三个基本要素： ( 1 ) 数据：包括网络上传输的数据与端系统中数据。从本质上说这些电子意义上的数 据都是o 、l 比特的组合，但是经过特定的程序产生和处理之后，它们就有了多种多样的 语义学上的意义。 ( 2 ) 关系：网络作为交流的重要手段，涉及到通信各方信赖关系的建立与维护，这也 是攻击者比较感兴趣的一个方面，因为信赖关系的窃取就意味着能力和数据访问权利的获 取，进而可以转化为物理意义上的财富。 ( 3 ) 能力：包括网络系统的传输能力与端系统的处理能力，前者意味着网络连接能力 的充分运用，而后者则意味着数据处理能力和服务提供能力等等。 网络安全的意义，就是在于为以上三个要素提供保护，保证这三者能够为合适的入服 务，而且只为合适的人服务。相应的，网络安全也就包含以下三个基本方面： ( 1 ) 数据保护：包括数据的机密性保护和完整性保护，这主要针对数据窃取、数据篡 改等攻击，其基本的手段包括加密和访问控制。这方面的理论比较完备( 主要是加密体制 的建立和加密算法的运用) ，实现手段也比较完善。 ( 2 ) ( 信赖) 关系保护：包括身份鉴别与安全的建立、维护信赖关系，主要针对网络 身份冒充、连接截取等攻击，基本的手段包括加密与协议的安全设计。相对来说这方面的 理论也比较完备，但在实现手段上会有一些漏洞。 ( 3 ) 能力保护：包括对网络系统的传输功能与端系统的处理功能的保护，主要针对拒 绝服务、远程权利获取等攻击。这方面的理论基本上是实践经验的总结，运用的手段也基 l 南京邮电大学硕士研究生学位论文第l 章绪论 本上是试验性的。能力保护相关的工作是入侵检测系统发挥作用之处。 为了达到以上三个目的，在实践经验和一些理论研究的基础上，提出了一些安全模型， 其中比较有代表性的就是p d r 模型。 ， 1 1 2p d r 安全模型 p d r 模型也可以称为p p d r 模型，或者p 2 d r ，包括策略( p o l i c y ) 、防护( p r o t e c t i o n ) 、 检测( d e t e c t i o n ) 、响应( r e s p o n s e ) 【l 】，它们的关系如图1 1 所示。 图1 1p 2 d r 模型示意图 该模型最早由美国互联网安全系统有限公司( i n t e r a c ts e c u r i t ys y s t e m s ，i s s ) 提出， 后来出现了很多变种，包括i s s 公司自己也将其改换为p a d i m e e ，包括策略( p o l i c y ) 、 评估( a s s e s s m e n t ) 、设计( d e s i g n ) 、执行( i m p l e m e n t a t i o n ) 、管理( m a n a g e m e n t ) 、紧急 响应( e m e r g e n c yr e s p o n s e ) 、教育( e d u c a t i o n ) 等七个方面。经过简单的分析可以看出， 这些变化更多的是一种商业策略的反映，其实质并没有发生变化。 需要注意的是图1 1 中虽然是一个平面的循环，但实际上是一个螺旋上升的过程，经 过一个p d r 循环之后，防护的水平得到一定的提高。 策略是这个模型的核心，在具体的实施过程中，策略意味着网络安全要达到的目标， 它决定了各种措施的强度。因为追求安全是要付出代价的，一般会牺牲用户使用的舒适度， 还有整个网络系统的运行性能，因此策略的制定要按照需要进行。 在制定好策略之后，网络安全的其它几个方面就要围绕着策略进行。以下将按照p d r 的顺序进行介绍。 ( 1 ) 防护 一般而言，防护是安全的第一步，它的基础是检测与响应的结果，具体包括： 南京邮电大学硕士研究生学位论文 第l 章绪论 安全规章的制定：在安全策略的基础上制定安全细则。 系统的安全配置：针对现有网络环境的系统配置，安装各种必要的补丁软件，并 对系统进行仔细的配置，以达到安全策略规定的安全级别。 安全措施的采用：安装防火墙软件或设备、v p n 软件或设备。 ( 2 ) 检测 采用了各种安全防护措施并不意味着网络系统的安全性就得n t 安全的保障，网络的 状况是动态变化的，而各种软件系统的漏洞层出不穷，都需要采取有效的手段对网络的运 行进行监控。 防护相对于攻击来说总是滞后的，一种漏洞的发现或者攻击手段的发明与相应的防护 手段在采用之前，总会有一个时间差，检测就是弥补这个时间差的必要手段。 检测的作用包括： 异常监视：发现系统的异常情况如重要文件的修改、不正常的登录。 模式发现：对已知的攻击模式进行发现。 ( 3 ) 响应 在发现了攻击企图或攻击之后，需要系统及时地进行反应，这包括： 报告：无论系统的自动化程度多高，都需要让管理员知道是否有入侵发生。 记录：必须将所有的情况记录下来，包括入侵的各个细节以及系统的反应。 反应：进行响应的处理以阻止进一步的入侵。 恢复：清除入侵造成的影响，使系统恢复正常运行。 如果把响应所包含的告知与取证等非技术因素剔除，实际上响应就意味着进一步的防 护。 1 1 3 入侵检测在p d r 模型中的位置与作用 入侵检测就是p d r 模型中的检测，它的作用在于承接防护和响应的过程。入侵检测 是p d r 模型作为一个动态安全模型的关键所在，可以说提出p d r 模型的原因就是入侵检 测技术。 网络安全近几年的热点发展过程基本上是按照以下顺序进行： 防火墙技术的研究：在网络边界保卫内部网。 v p n 技术的研究：连接分散的内部网，完成内部网外延的扩大，与防火墙技术结 南京邮电大学硕士研究生学位论文第l 章绪论 合比较紧密。 认证p k i 技术的研究：进一步扩大内部网的外延，同时建立广义的信任关系。 入侵检测技术的研究。 可以看出，除了入侵检测技术，其它几项都是立足于防。从这个发展趋势可以看出， 在不断加强防护的同时，人们已经越来越意识到只有防护是不够的，近两年频繁的网络攻 击事件也证明了这个观点。 如果与真实世界相比拟的话，防火墙等技术就像一个大楼的安防系统，虽然它可能很 先进也很完备，但是仍然需要与监视系统结合来进行，仍然需要不断的检查大楼包括安防 系统本身。 网络安全也是如此，在设计现有防护系统的时候，只可能考虑到已知的安全威胁与有 限范围内的未知安全威胁。防护技术只能做到尽量阻止攻击企图的得逞或者延缓这个过 程，而不能阻止各种攻击事件的发生。更何况在安全系统的实现过程中，还有可能留下或 多或少的漏洞，这些都需要在运行过程中通过检测手段的引入来加以弥补。 1 2 国内外研究现状 网络安全已经引起了国际学术和工程界，包括计算机科学和工程、数学、控制工程、 通信工程等学科领域专家学者的极大关注。入侵检测技术是8 0 年代提出的。目前，许多 入侵检测系统已广泛的运用于各个部门。 生物体的自然免疫系统在抵抗病毒和细菌等病原体的入侵方面担当着与入侵检测系 统类似的任务。虽然生物体在生存期间会遇到来自体外的各种病原体的侵袭以及体内癌变 等挑战，但生物免疫系统能够比较圆满地完成检测异常、保护生物体正常工作的任务【2 】，目 前已有的入侵检测系统性能上还远不能满足当前社会的需要，而自然免疫机理为设计高性 能的入侵检测系统提供了新的思路1 3 】实验表明，此方法能够提高系统的检测效率，而不会 降低检测模型的其他效能。 目前，国际上对基于免疫原理的入侵检测技术的研究主要有f o r r e s t 等设计的人工免 疫系统 2 1 ，k i m 等提出的针对网络入侵检测的人工免疫系统模型【3 】，以及d a s g u p t a 从检测 器生成的角度对免疫原理进行的研究1 4 】。其中f o r r e s t ，h o f m e y r 等人提出了a r t i s 的框架并 最终实现了一个轻量级的入侵检测系统l i s y s 5 】1 6 】，k i m 提出了一个网络入侵检测的概念 框架【7 1 。他们的研究从不同的方面和不同程度地改进了入侵检测的功能，加快了入侵检测 4 南京邮电大学硕士研究生学位论文第l 章绪论 技术的发展速度，但仍存在不少缺点：它们大多存在误报率和漏报率高的现象，呈现出比 较低的检测性能，还远不能满足人们要求快速准确地检测不断变化的大量入侵的需求1 8 1 。 国内对基于免疫机制的网络安全技术的研究还刚起步不久，成型的技术成果还不是很 多，最早开始该领域研究的是中国科学技术大学的王熙法教授，他所带领的研究小组目前 已经取得了一定的成果。四川大学李涛教授所写的计算机免疫学的出版，极大推动了 国内学者在该领域的研究热情。 总之，借鉴高性能的自然免疫系统的免疫原理，对于研究出具备类似免疫系统的具有 自适应性、动态防护性、多层保护、分布式的等优良特性的高性能入侵检测系统，具有一 定的理论价值和很重要的实际意义。 1 3 论文的工作 论文首先对网络安全、入侵检测系统、生物免疫系统以及基于生物免疫原理的分布式 入侵检测系统进行分析研究。针对检测器生成算法的不足作了改进。本文的主要工作如下： ( 1 ) 分析了网络安全、入侵检测技术、基于免疫的网络入侵检测。 ( 2 ) 研究了生物免疫系统。包括免疫应答、特异识别、自体耐受、否定选择、克隆 选择、自体与非自体识别等免疫系统机制，免疫系统的组成结构，免疫细胞以及免疫系统 的特征。 ( 3 ) 分析探讨了基于免疫机制的网络入侵检测理论。包括自体集的定义，生成规则， h a m m i n g 匹配规则、r 连续位匹配规则，r - c h u n k s 匹配规则，否定检测模式以及可能影响 系统性能的一些因素等。 ( 4 ) 给出了一种基于生物免疫原理的分布式入侵检测模型。模型结合分布式思想和 检测器生命周期的概念，有效地实现检测器的动态更新；重点研究了否定选择算法中检测 器集的生成算法，针对检测器生成过程中的冗余问题，并结合高频变异和低频变异思想， 给出新的一种新的检测器生成算法模型，并通过实验验证了改进算法的有效性，这也是本 文的创新点所在。 最后对整个研究工作进行了总结，并针对目前的情况指出了下一步工作的研究方向。 1 4 论文组织结构 论文研究重点放在以下几个方面：入侵检测系统，生物免疫原理，分布式入侵监测系 5 南京邮电大学硕士研究生学位论文第l 章绪论 统模块中免疫原理的应用。 论文的章节安排如下： 第l 章绪论。主要介绍网络安全的基本知识，引出入侵检测。介绍课题的研究背景 和意义。 第2 章入侵检测系统。解释i d s 的基本概念和作用；介绍i d s 的发展；描述了i d s 的原理及其标准化；重点介绍了i d s 的各种分类。 第3 章生物免疫系统。介绍了生物免疫的基本概念、生物免疫系统的组成、免疫系 统的的层次结构、免疫系统的特征；重点讨论了免疫系统免疫机制，免疫算法和免疫系统 与入侵检测系统三个方面的知识；最后介绍了免疫原理在分布式入侵检测系统( d i s t m b e d i n t r u s i o nd e t e c t i o ns y s t e m ，) 中的应用。 第4 章免疫原理在d i d s 中的应用。建立了一个完整的基于生物免疫技术的模型， 并介绍了该的体系结构及模型中各模块的工作过程。分析了模型中各模块所涉及的关键技 术：通过对选择算法的改进并结合变异算法原理，给出一个新型检测器生成算法模型，并 通过实验对结果进行了分析。 第5 章总结和展望。对论文的论述进行总结，并对研究课题提出了进一步的展望。 6 南京邮电大学硕士研究生学位论文 第2 章入侵检测系统 第2 章入侵检测系统 随着计算机网络的发展，在当前复杂的网络应用环境下，安全问题变得日益突出。于 是，网络用户开始采用多种多样的网络安全产品来维护网络的安全。人们发现，目前市场 上流行的防火墙和防病毒技术侧重于静态防范，并不能全面保障安全。而入侵检测系统作 为一项主动防御技术，可以弥补防火墙和防病毒系统的不足，因而开始受到人们的重视。 2 1i d s 的基本概念和作用 2 1 1id s 的基本概念 入侵，是指任何试图危及计算机资源的完整性、机密性或可用性的活动集合。而入侵 检测是对入侵行为的发觉。它通过从计算机网络或系统中的若干关键点收集信息，并对这 些信息进行分析，从而发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 9 1 1 0 1 o i d s 是一项新的网络安全技术，目前已受到各界的广泛关注，它的出现是对原有安全 性系统的一个重要补充。入侵检测系统收集计算机网络或者计算机系统中的若干关键点的 信息，并对这些信息加以分析，从中发现网络或系统中是否有违反安全策略的行为和被攻 击的迹象，并做出安全响应。 2 1 2id s 的作用 在网络安全体系中，i d s 是通过数据和行为模式判断其是否有效的系统，如图2 1 所 示。防火墙就像一道门，可以阻断一类人群的进入，但无法阻止同一类人群中的破坏分子， 也不能阻止内部的破坏分子；访问控制系统可以不让低级权限的人作越权工作，但无法保 证高级权限的人做破坏工作，也无法阻止低级权限的人通过非法行为获得高级权限；漏洞 扫描系统可以发现系统和网络存在的漏洞，但无法对系统进行实时扫描。 7 南京邮电大学硕士研究生学位论文 第2 章入侵检测系统 图2 1i d s 的作用 i d s 的作用和功能如下： 监控、分析用户和系统的活动； 审计系统的配置和弱点； 评估关键系统和数据文件的完整性； 识别攻击的活动模式； 对异常活动进行统计分析； 操作系统审计跟踪管理，识别违反政策的用户活动。 i d s 的优点如下： 提高信息安全构造的其它部分的完整性； 提高系统的监控； 从入口点到出口点跟踪用户的活动。识别和汇报数据文件的变化： 侦测并纠正系统配制错误； 识别特殊攻击类型，并向管理人员发出警报，进行防御。 i d s 的缺点如下： 不能弥补差的认证机制； 如果没有人的干预，不能管理攻击调查； 不能知道安全策略的内容； 不能够弥补网络协议上的弱点； 不能弥补系统提供质量或完整性的问题： 不能够分析一个堵塞的网络。 对一个成功的i d s 来讲，它不但可以使系统管理员时刻了解网络系统( 包括程序、文 件和硬件设备等) 的任何变更，还能给网络安全策略的制定提供指南。更为重要的是，它 应根据网络威胁、系统构造和安全需求的改变而改变。i d s 在发现入侵后，会及时做出响 r 南京邮电大学硕士研究生学位论文第2 章入侵检测系统 应，包括切断网络连接、记录事件和报警等。 2 2i d s 的原理与构成 图2 2 是i d s 的基本原理图。i d s 通过检测受保护系统的状态和活动，采用误用检测 或异常检测的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的 手段。 图2 2i d s 基本原理图 入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法，它所基于的重要 的前提是：非法行为和合法行为是可区分的。也就是说，可以通过提取行为的模式特征来 分析判断该行为的性质。一个基本的i d s 需要解决两个问题：一是如何充分并可靠的提取 描述性为特征的数据；二是如何根据特征数据，高效并准确地判断行为的性质。 从系统构成看，i d s 至少包括数据提取、入侵分析、响应处理3 个部分；另外，还可 能结合安全知识库、数据存储等功能模块，提供更为完善的安全检测及数据分析功能，如 图2 3 所示。 。 图2 3i d s 系统构成 9 南京邮电大学硕士研究生学位论文第2 章入侵检测系统 对图2 - 3 中各模块的具体分析如下： 数据提取模块是i d s 的数据采集器，在系统中居于基础地位。数据提取模块负责提取 反映受保护系统运行状态的数据，并完成数据的过滤和预处理工作，为入侵分析模块和数 据存储模块提供原始的安全审计事件数据，是i d s 的数据采集器。数据提取模块的输入数 据流包括任何可能包含入侵行为线索的系统数据，如网络数据包、日志文件和系统调用等， 数据提取模块将这些数据收集起来，然后发送到入侵分析模块进行处理。 入侵分析模块负责从一个和多个数据提取模块处接受信息，并通过分析来确定是否发 生了非法入侵活动，并将结果传递给结果处理模块。该模块的输出为标识入侵行为是否发 生的指示信号，例如一个告警信号。该指示信号中还可能包括相关的证据信息。另外，分 析模块还能够提供关于可能的反应措施的相关信息。入侵分析模块是i d s 的核心。 响应处理模块的作用在于告警与反应，这实际上与p d r 模型的r 有所重叠。从技术 角度来说，两者的功能很难划分，也可以将结果处理的反应功能归结为r 的一部分。 知识库模块主要负责存储和记载现有的知识和已知的历史行为。对于误用检测分析引 擎，该模块是建立在对过去各种已知网络入侵方法和系统缺陷知识的积累之上，分析引擎 将收集到的网络活动信息与该模式库中的知识进行匹配，如果发现有符合条件的线索就会 触发警报。而对于异常检测，知识库中记载的则是用户和网络行为处于正常情况的一个范 围，分行引擎将收集到的当前的系统和用户的行为与知识库匹配，如果发现当前状态偏离 了正常的模型状态，就给出警报信号。 数据存储模块为知识库的更新提供了干净的数据源。传感器在将采集来的数据交给分 析引擎处理的同时，将这些数据存入数据存储模块，分析引擎完成分析以后，如果断定没 有发生入侵，则可以将这些干净的数据提取出来，更新知识库。 用户接口模块使用户易于观察i d s 的输出信号，并对入侵行为做出主动或被动的响 应。 2 3i d s 的通用模型 1 9 8 7 年，d o r o t h ye d e n n i n g 提出了i d s 的通用模型1 1 1 1 ，首次将i d s 作为一种计算机 安全防御措施提出，如图2 4 所示。 1 0 南京邮电大学硕士研究生学位论文 第2 章入侵检测系统 图2 4d e n n i n g 模型 图2 4 所示模型包括6 个主要的部分： ( 1 ) 主体：系统操作中的主动发起者，是目标系统上活动的实体，例如计算机操作系 统中的进程和服务连接等。 ( 2 ) 对象：系统所管理的资源，包括系统文件、设备、命令等。 ( 3 ) 审计记录：审计记录是主体对对象的实施操作时，系统产生的数据，如用户注册、 命令执行和文件访问等。审计记录时格式为 构成的六元组。其中，s u b j e c t 是活动的发起者；a c t i o n ，是 主体对目标实施的操作，对操作系统而言，这些操作包括读、写、登录、退出等；o b j e c t ， 是活动的承受者；e x c e p t i o n c o n d i t i o n ，是指系统对主体的异常的活动( a c t i o n ) 的报告，如 违反系统读写权限；r e s o u r c e u s a g e ，指的是系统的资源消耗情况，如c p u 、内存使用率 等；t i m e s t a m p ，指活动发生时间。 ( 4 ) 活动档案：即系统正常行为模型，保存系统正常活动的相关信息。 ( 5 ) 异常记录：由 组成。表示异常事件的发生情况。 ( 6 ) 活动规则：一组根据产生的异常记录来判断入侵是否发生的规则集合。一般采用 系统的正常活动模型为准则，根据专家系统或统计方法对审计记录进行分析和处理，如果 确实发生入侵，将进行相应的处理。 继d e n n i n g 于1 9 8 7 年提出上述的通用的入侵检测模型后，i d e s 和它的后继版本 n i d e s 都基于d e n n i n g 模型，早期的i d s 多采用d e n n i n g 模型来实现。 南京邮电大学硕士研究生学位论文第2 章入侵检测系统 2 4i d s 的分类 2 4 1 根据信息源分类 9 0 年代是i d s 发展的分水岭。随着n s m 的提出，i d s 从此分为基于主机的入侵检测 系统和基于网络的入侵检测系统两大阵营。根据i d s 信息数据来源的不同，可以将i d s 分 为3 类：基于主机的i d s 、基于网络的i d s ，混合型i d s t l 2 】【1 3 】【1 4 1 1 1 5 】1 1 6 1 1 ) 基于主机的i d s 基于主机的i d s ( h o s t b a s e di d s ，h i d s ) 获取的数据来自所保护的主机。基于主机 的入侵检测产品，通常是安装在被重点检测的主机之上，主要对该主机的网络实时连接以 及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑，h i d s 就会采取措施。 h i d s 的优点是： h i d s 对分析“可能的攻击”非常有用。举例来说，有时候它除了指出入侵者执行一 些“危险的命令”外，还能分辨出入侵者干了什么事：他们运行了什么程序，打开了哪些 文件，执行了哪些系统调用。主机入侵检测系统与网络入侵系统相比通常能够提供更详尽 的相关信息。 h i d s 通常情况下比网络入侵检测系统误报率要低，因为检测在主机上运行的命令序 列比检测网络流更简单，系统的复杂性也小得多；主机入侵检测系统可以部署在那些不需 要广泛的入侵检测、传感器与控制台之间的通信带宽不足的情况下。主机入侵检测系统在 不使用诸如“停止服务 、“注销用户 等响应方法时风险较小。 h i d s 的弱点： h i d s 安装在我们需要保护的设备上。举例来说，当一个数据库服务器要保护时，就 要在数据库服务器上安装入侵检测系统，这会降低应用系统的效率。此外，它也会带来一 些额外的安全问题，安装了主机入侵检测系统后，将本不允许安全管理员有权利访问的服 务器变成了他可以访问的了。 h i d s 的另一个问题是它依赖于服务器固有的日志与监视能力。如果服务器没有配置 日志功能，则必需重新配置，这将会给运行中的业务系统带来不可预见的性能影响。 全面部署h i d s 代价较大，企业中很难将所有主机用h i d s 保护，只能选择部分主机 进行保护。那些未安装h i d s 的机器将成为保护的盲点，入侵者可利用这些机器达到攻击 目标。 1 2 南京邮电大学硕士研究生学位论文 第2 章入侵检测系统 2 ) 基于网络的i d s 基于网络的 d s ( n e t w o r k b a s e di d s ，n i d s ) 获取的数据是所保护网络上传输的数据 包，保护的目标是网络的运行。基于n i d s 的产品放置在比较重要的网段内，不停的监视 网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品 内置的某些规则吻合，n i d s 就会发出警报甚至直接切断网络连接。目前，大部分入侵检 测产品是基于网络的。 n i d s 的优点如下： n i d s 能够检测来自网络的攻击，它能够检测到超过授权的非法访问。一个n i d s 不 需要改变服务器等主机配置。由于它不会在业务系统的主机中安装额外的软件，从而不会 影响这些机器的c p u 、i o 与磁盘等资源的使用，不会影响业务系统的性能。 由于n i d s 不象路由器、防火墙等关键设备方式工作，它不会成为系统中的关键路径。 n i d s 发生故障不会影响正常业务的运行。布置一个n i d s 的风险比h d s 的风险小的多。 n i d s 近年来有向专门设备发展的趋势，安装这样的一个n i d s 非常方便，只需将定 制的设备接上电源，做很少一些配置，将其连到网络上即可。 但n i d s 也有如下弱点： n i d s 只检查它直接连接网段的通信，不能检测在不同网段的网络包。但是安装多台 n i d s 的传感器会使部属整个系统的成本大大增加。 n i d s 为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很 难实现一些复杂的需要大量计算与分析时间的攻击检测。 n i d s 可能会将大量的数据传回分析系统中。在一些系统中监听特定的数据包会产生 大量的分析数据流量。一些系统在实现时采用一定方法来减少回传的数据量，对入侵判断 的决策由传感器实现，而中央控制台成为状态显示与通信中心，不再成为入侵行为分析器。 这样的系统中的传感器协同工作能力弱。 n i d s 处理加密的会话过程较困难，目前通过加密通道的攻击尚不多，但随着i p v 6 的 普及，这个问题会越来越突出。 3 ) 混合型i d s 混合入侵检测系统( h y b r i di d s ) 提供了对基于主机和网络的入侵检测设备的管理和 警告，混合入侵检测在逻辑上实现了网络和主机的互补中央入侵检测管理。一般来说， 混合型入侵检测一般也是分布式的。是第一个将基于主机和基于网络的检测方法集成在一 起的系统。 1 3 南京邮电大学硕士研究生学位论文第2 章入侵检测系统 2 4 2 根据分析方法分类 入侵检测根据数据分析方法分为两类：异常入侵检测和误用入侵检测。近年也有些新 的方法不属于以上两大范畴，论文将它们归纳到其它检测方案中讨论。误用检测搜索审计 事件数据，察看其中是否存在预先定义的误用模式；异常检测提取正常模式审计数据的数 学特征，检查事件数据中是否存在与之相违背的异常模式。下面做详细的讨论。 ( 一) 异常入侵检测 异常入侵检测( a n o m a l yd e t e c t i o n ) 又称为基于行为的检测。异常检测是指根据使用 者的行为或资源使用状况的正常程度来判断是否入侵。 异常检测的关键问题在于正常使用模式的建立以及如何利用该模式对当前的系统用 户行为进行比较，从而判断出于正常模式的偏离程度。“模式 通常使用一组系统的度量 来定义。所谓“度量 ，则是系统用户行为在特定方面的衡量标准。每个度量都对应于一 个门限值或相关的变动范围。 异常检测基于这样个假设：无论是程序的执行还是用户的行为，在系统特性上都呈 现出紧密的相关性。例如，某些特权程序总是访问特定目录下的系统文件，程序员则经常 编辑和编译c 程序。这些带有强一致性的行为特征正是我们希望发掘出的行为模式的组成 部分。 对于异常检测系统来说，系统用户的正常模式应该是不断修正和更新的。检测器所 使用的度量也需要不断完善，因为我们不能保证使用当前所定义的度量可以表示出所有的 异常行为模式。针对这一问题，需要进行大量的研究工作，检查异常检测系统是否具有检 测所有攻击行为的能力，从而为目标系统提供强健的安全防护机制。 基于行为的检测与系统相对无关，通用性较强，它甚至可能检测出以前未出现过的攻 击方法，不象基于知识的检测那样受已知脆弱性的限制。 但是，因为入侵检测系统不可能对整个系统内的所有用户行为进行全面的描述，况且 每个用户的行为是经常改变的，所以它的主要缺陷在于误检率很高。尤其在用户数目众多， 或工作目的经常改变的环境中。其次由于统计简表不断更新，入侵者如果知道某系统在检 测器的监视之下，他们就能慢慢的训练检测系统，以至于最初认为是异常的行为经过一段 时间训练后也可能认为是正常的了。 基于行为的检测方法大致有概率统计方法、神经网络方法。 ( 二) 误用入侵检测 1 4 南京邮电大学硕士研究生学位论文第2 章入侵检测系统 误用入侵检测又称为基于知识的检测。误用检测是指运用已知攻击方法，根据已定义 好的入侵模式，通过判断这些入侵模式是否出现来检测。 误用检测对系统事件的检查基于这样一个问题：系统行为是否代表着特定的攻击模 式? 首先对表示特定入侵的行为模式进行编码，建立误用模式库，然后对实际检测过中得 到的审计数据进行过滤，检查是否包含入侵行为的标识。执行误用检测，需要具备以下几 个条件： ( 1 ) 了解误用行为模式的组成部分； ( 2 ) 完备的检测规则库； ( 3 ) 可信的用户行为记录； ( 4 ) 可靠的行为记录分析技术。 因为有很大一部分的入侵是利用了系统的脆弱性，所以通过分析入侵过程的特征、条 件、排列、以及事件间的关系就能具体描述入侵行为的迹象。这种方法由于依据具体特征 库进行判断，所以检测准确度很高，并且因为检测结果有明确的参照，也为系统管理员做 出了相应措施提供方便。 主要缺陷在于对具体系统的依赖性太强，不但系统移植性不好，维护工作量大，而且 将具体入侵手段抽象成知识也很困难。检测范围受已知知识的局限，尤其是难以检测出内 部人员的入侵行为，如合法用户的泄漏，因为这些入侵行为并没有利用系统脆弱性。当出 现针对新漏洞的攻击手段或针对旧漏洞的新攻击方式时，需要人工或其他机器学习系统得 出新攻击的特征模式，添加到误用模式库中，才能使系统具备检测新的攻击手段的能力， 如同市场上众多的杀毒软件一样，需要不断的、及时的升级，才能保证系统检测能力的完 备性。 基于知识的检测方法大致有简单模式匹配、专家系统、模型推理、状态转换法等等。 ( 三) 其它检测方法 最近出现的一些入侵检测方法不属于误用检测也不属于异常检测的范围。它们可以用 于上述两类检测。这些检测方法包括免疫系统方法，遗传算法，基于代理检测和数据挖掘 等等。 免疫方法是模拟生物免疫系统，建立人工免疫系统，达到入侵检测目的方法，是本文研 究的重点内容。 南京邮电大学硕士研究生学位论文第2 章入侵检测系统 2 4 3 根据响应的类型分类 入侵检测的响应可以分为主动响应和被动响应两种类型。在主动响应中，系统( 自动 的或以用户设置的方式) 阻断攻击过程或以其他方式影响攻击过程；而在被动响应过程中， 系统只报告和记录发生的事件。主动响应和被动响应并不是相互对立的。不管是否采用其 它响应方式，入侵检测系统始终应该记录检测结果。 要把入侵检测包含在站点的安全体系中，就需要决定应该激活哪些入侵检测响应和采 取哪些相应的措施，这是一个基本的问题，下面将着重讨论。 ( 一) 主动响应 主动响应包括基于一个检测到的入侵所采取的措施。主动响应有两种形式，一种是用 户驱动，另一种是系统自动驱动。对于主动响应来说，可以选择的措施归为下列几类：针对 入侵者采取的措施、修正系统和收集更详细的信息。 ( 1 ) 针对入侵者采取的措施 这是最具有侵略性的形式，即追踪入侵者实施攻击的发起地并采取措施以禁用入侵者 的机器或网络连接。“针对入侵者采取的措施 虽然在某些环境里是常用的，但它并不是 唯一的主动响应。而且，由于它很可能会牵涉到法律责任和其它一些实际问题，所以这种 方式并不应该成为用户最通用的主动响应。 ( 2 ) 修正系统 主动响应的另一种措施修正系统。虽然这类对入侵的响应与其他方法相比更为缓和， 并且不太吸引人，但它经常是最佳的响应配置。修正系统以弥补因其攻击的缺陷，这个观 点与许多研究者对关键系统持有的看法是一致的。 这种为保护自身设备而装备的“自疗”系统类似于生物体的免疫系统，可以辨认出问 题所在并将引起问题的部分隔离起来。产生合适的响应对于鉴定问题所在也是很有帮助 的。这类响应也可以改变分析引擎的一些参数设置和操作方式( 例如提高敏感级别) 。也 可以通过添加规则，如提高某类攻击的可以级别或扩大监控范围，来改变专家系统，从而 达到在更好粒度层次上收集信息的目的。这种策略类似于在实施过程控制系统中利用当前 系统进程的结果来调整和优化以后的进程。 ( 3 ) 收集更详细的信息 主动响应的第三种措施是收集更详细的信息。当被保护的系统关系重大而且当事人要 求法律赔偿时，这种措施就很有价值。有时，这种记录开志的响应与专用的服务器结合起 1 6 南京邮电大学硕士研究生学位论文 第2 章入侵检测系统 来使用，作为可以将入侵者转移的环境来安置。专用服务器在这里是指诱骗系统，它有很 多名称，最常见的是“h o n e yp o t s ”( 蜜罐) 、“d e c o y s ”( 鸟饵) 或“f i s h b o w l s ( 玻璃鱼缸) 。 这些服务器可以模拟关键系统的文件系统和其他系统特征，引诱攻击者进入，记录下攻击 者的行为，从而获得关于攻击者的详细信息，作为进一步采取法律措施的证据。 例如，鸟饵服务器对收集入侵者的威胁信息或者收集证据来采取法律措施的安全管理 人员来说是很有价值的。使用一个鸟饵服务器不必让实际系统内容冒损坏或泄露的风险就 可以让一个入侵的受害者辨别入侵者的意图，记录入侵者行动的广泛信息。这种信息还可 以用来构造自定义的检测机制。 这种方法对于必须在危险环境中运行的系统或面临大量攻击的系统尤其有用。如政府 的w 曲服务器或高收入的电子商务站点。 ( - - ) 被动响应 被动响应是指为用户提供信息，由用户决定接下来应该采取什么措施。在早期的i d s ， 响应多数都是被动响应。被动响应很重要，在很多种情况下还作为系统的唯一响应形式而 存在。 大多数i d s 提供以多种形式生成警报的响应方式。这种机动性使用户可以定制适合自 己的系统运行过程的警报，其详细讨论如下文。 ( 1 ) 警报显示屏 i d s 提供的最常见的警报和通知是显示在屏幕上的警告信息或窗口。这个警报和消息 出现在i d s 的控制台上，或根据用户在i d s 安装时的定义而出现在其它部件上。不同的系 统提供不同级别的警告消息和内容细节，从最简单的“发生一次入侵 到概述问题来源的 审计记录、攻击目标、入侵的显示状态以及攻击是否成功等信息。在一些系统中警报消息 的内容还可以自己定义。 ( 2 ) 警报和警告的远程通报+ 运行2 4 小时监视系统的机构使用要另一种警报警告方式。入侵检测系统通过寻呼机 或移动电话给系统管理员和安全管理员发送警报和警告消息。电子邮件消息是另一种通报 方式，但是这种方法在持续攻击的情况下不推荐使用，因为攻击者可以获取电子邮件消息 甚至阻断该消息。在某些情况下，通报措施让用户可以配置更多的信息或警报代码。 ( 3 ) s n m p 陷阱( t r a p ) 和插件 有些入侵检测系统被设计成与网络管理工具一起协同运作。这些系统可以更好的利用 网络管理的基础设备，在网络管理控制台上发送和显示警报警告。一些产品利用简单网络 1 7 南京邮电大学硕士研究生学位论文 第2 章入侵检测系统 管理协议( s i m p l en e t w o r km a n a g e m e n tp r o t o c o l ，s n m p ) 的消息或陷阱作为一种警报方式。 这种警报方式目前在一些商业产品中提供。这个结合可以带来几个好处，包括利用普 通通信信道的功能、提供适应当时网络环境的主动响应。此外，s n m p 陷阱让用户可以将 响应检测到的问题的处理工作转移到接受陷阱