（计算机软件与理论专业论文）基于智能的分布式网络入侵检测系统.pdf

基于智能的分布式网络入侵检铡系统 摘要 随着计算机网络技术的发展和应用的广泛，网络入侵事件发生的越来越频 繁，造成的危害也越来越严重，网络安全问题臼益突出。因此，入侵检测已经成 为网络安全领域研究与开发的新热点。网络入侵检测系统是当前确保系统或网络 资源完整性和可获得性的最重要的工具之一，其主要任务是识别和围堵各种各样 基于网络的入侵攻击。 本文首先从数据来源、数据处理周期、数据收集和分析、入侵检测方法、系 统运行平台等七个方面对当前较具有影响力的2 4 种入侵检测系统或原型进行了 详细的比较，分析了现有入侵检测系统在系统平台的异构性、系统检测方法的效 率、入侵数据分析的智能性、面临新的入侵方法时的适应性和网络配置发生变化 时的可扩展性等方面的不足和问题。 针对这些不足和问题，本文提出了一个新的网络入侵检测系统模型。该模型 结合专家系统和数据挖掘两种智能信息处理技术，以增强模型分析的智能性和对 新入侵的适应性。专家系统技术用于误用入侵的检测，具有实时性好、检测结果 准确率高等优点，弥补了数据挖掘技术实时性较差的缺点。而利用数据挖掘技术 能够自动提取模式的特点进行异常检测，能够自动发现未知模式的入侵，降低了 专家系统对知识库中规则的依赖性。 该模型扩展了现有网络入侵检测系统分布性的概念，不但具有数据收集和数 据分析的分布性，还具有入侵检测方法的分布性。这种分布性能够很好地平衡系 统负载，明显地减少大型网络入侵检测系统中分散的检测点与管理点之间的通信 量，显著提高系统运行效率。同时该模型还充分利用、c o r b a 技术的运行平台， 实现语言无关性和面向对象的特点，具有很好网络环境异构性、可扩展性、分布 性和安全性。 在这个模型的基础之上，实现了一个基于智能的网络入侵检测系统斟i d s ( i n t e l l j g e n t t w o r kh l 伽】s i o nd 咖c t i o ns y s t e m ) 。论文详细讨论了该模型的体系 结构、通信模型和对象模型，给出了系统中关键对象的i d l 描述和关键处理过 程的时序图。并分别研究了利用专家系统和数据挖掘技术实现入侵检测的关键闯 西北大学计算机科学乐硬士研究生举位论文 基于智能的分布式网络入侵检测系统 题，例如入侵特征的规则描述、数据挖掘建立的三种模型以及模型可用性的评估 等。 i n i d s 系统结构清晰，智能性、可扩展性和异构性好，对于目前复杂的网络 结构具有良好的应用前景。 本文以我们承担的“国家信息关防与网络安全持续发展项目”) d 【) ( ( 绝 密) 为背景完成，作者参与项目分析、设计、实现和测试等全过程。该项目已于 2 0 0 2 年1 2 月顺利通过了国家网络安全管理中心的严格测试和验收。 关键字：网络入侵检测系统、智能、分布式系统、数据挖掘、专家系统、c o i m a 西北大学计算机科学系硬士研究生学位论文 茎王塑壁竺坌塑茎婴堑叁堡堡型墨堕 a b s t r a c t w i 也也e r a p i dd e v e l o p m e n t a n d 、i d ea p p l i c a 【t i o no f c o m p u t 盯n e t 、o r k s ，n e t w o r k i n n l l s i o nh a p p e n sm o r ea n dm o r e 舶q u e m l ya 1 1 dc 邮em o r eh a 珊，a i l dn e 咐o r k s e c u r i t ya r et h e nm o r e 锄dm o r es e r i o l l s t h e r e f o r e ，n e t w o r ki n t m s i o nd e t e c t i o n b e c o m e sar e s e a r c ha n dd e v e l o p m e n th o ts p o ti n 埘加r ks e c u r i 够a 工l dn 咖o r k i n 仃i l s i o nd e t e c t i o ns y s t e m ( n i d s ) i so n co f t h em o s ti i 印o n a n tt o o l st og l l a r a n t e et h e i i l t e g i i t ) r a i l da v a i l a _ b i l i t ) ro fs y s t e m sa n dn e “m r kr e s o u r c e s ，w h o s em a i nt a s kd e a l s 诵t 1 1i d e 埘f i c a 士i o n 姐d p r e v 吼t i o no f n e 呻0 r k - b a d a n k s a f t 髓c o m p a r i n g ；n d e t a i lm ec u r r e m p o p 砒甜2 4 i d s so ri d s p r o t 哟，p e s 矗o m 也e a s p e c t so fm e 孕a m d a r i 锁m 劬o d s ，a n dt i i i l e o fd e t e c t i o n ，d a t a - c o l l e c t i o n ，a n d d a i a p r o c e s s h g ，w e 丘n d o mt h ep r o _ b l e m si i l 也em o s to f 血e 叫旺e mi d s s 也a t t h e y a r e g e n e r a l l yp l a t f b r md e p e n d e m ，i 1 1 e 街c i e m i nd e t e c d o n m e t l l o d s ，l ki m e l i i g e mi i ld a t a a i l a l y s i s ，i n c x t e 璐i b l e 鹤也e n e 似，o r kc o n f i g 删o n s c l l 习m g e d o r u p g r a d e d ，a 工l d i n a d a p t i v ew h t l l en e w 砒【km e t l l o d se m e 唱e a c c o r d i l l gt o 也e w e a kp o i n t s ，t h et l l e s i sp i d p o san e wn i d s 删t e c t u r c ， a n da i d c s c r i b e st h ed c s i 弘姐dc 0 i l s 咖c t i o no f 髓e x p e r i m e n t a in i d sc a l l e d 跗i d s ( i n t c l l i g e mn e 咖r k i n t 眦i o nd c c 吐s y s t e m ) ，w h i c hp e r f b 姗sar c a l - t i m ea 1 1 a l y s i s o np a c k e t 口a 佑cs n i 岱巴do 西也en e 嘶r ks e 鲫舱n t1 1 s i n g 姐a p p r o p d a t em i xo f e x p e n s y s t e mf o rm i s u i n 帆l s i o n 锄d 加m i i l i l l gt e c i l l l o l o g yf o r 蛐o m a l yi i l 仃u s i o n t h e f i r s t 舳r v i v a l t e s tap 盯融h 嬲t 0p 勰s i s t h ee x p e r ts y g c e m ，州c h i sb 硒e d o nt l l ew e l l 虹o w na t 协c ks i i l 韶n t u r e s t h es 仃e n g 1 1o f t l l i sm e t h o di st l l ee 丘b c t i v e n e s s ， t l l es p e e d 锄d p r e c i s i o n i l ld 鼬e c t i o n t h i sm a k e s u p t h el o w e r a i 缸ep 晌n n a n c e o fd a t ah 凼i i i l gw h e r e 也es e c o n dt e s tl l a p p e 璐d mc 锄她t o m a t i c a l i y 麟打a c tt h e s i 印a l t 聃s 锄df b a n 聃s 谢t i l o u th u m 髓i n l ：e r = f e r e e nc 觚b em e d i i lu n k n o 帅a n a c k d e t e c t i o n 锄dd e c r e a s el h ed e 懈l d c n c eo f e so nt i l ed e t e c t i o nn l l e t h en c wa r c l l i t e c t i l 坞a l s oe x t e n d st h ec o n c 印t i o no f d i s 廿i b u t i o no fn i d s s i t s d i s 砸b u t i o ni ss h o 、e dn o to n l yo nd a t a - c o l l e c t i o n 姐dd a t a 锄a l y s i s ，b u ta l s oo n 西北大学计算帆科学纛赣出孵，垒拳证论室 茎王塑壁盟坌查茎塑堑垒堡垫型墨堑 d e t c c t i o nm e 出o d t h i si r m o v a t i o nc a l l 缈a t l yb a l a n c e t l i e1 0 a do fs y s t e ma n d d r a m a t i c a l l vd e c r e a s e 也ec o m m u l l i c a t i o nb e t w n t l l ed i s 砸b u t e dc h e c k p o i n t si nm e d e t e c t e dn e t w o r ka n dt h ec e i l 由r a lm a n a g e m e mp o i n t f u m 他曲o r e ，t l l i sa r c l l i t e c t i l r ei s f a v o r a b l et 0c o n s 协l c tah e t e r o g e n e o u sa i l de x t e n s i b l ed i s t r i b m e dn i d sb e c a u s ei t l n j l i z e st l l eo b j e c t - o r i e n t e d ，l a n g u a g e 锄dp l a 曲mi n d 印e n d e mf e a t u r e so f c o r b a t h ek e y i s s u e s o f m e i n i d s i m p l e m e n t a t i o n 眦心e s t i g a ：c e d i n d 铽l i i l 也e 丘n a l m r e ec h a p t e 碍o f 也et l l e s i s ，i n c l u d i n gt h ec 0 衄u i l i c a t i o nm o d e l ，c l a s sd i a g r a m ，i d l d e s c r i p t i o na n ds e q u c ed i a g r a mo f k e yp r o c e s s e s a n d t h ed e t a i l s 西b o u th o wt ou s e e s 强dd mt oc n l l s 咖c ta i lm sa r ed i s c u s s c dd e 印l y ，s u c h 勰n 1 1 ed e s 谢p t j o no f s i 孕l a l ：i l r e _ b 醛e di 1 1 _ m l s i o 玛b i l i l d i n gt h ec l 嚣sm o d e l ，c l u 咖r i n gm o d e l 髓d 舔s o c i a t i o n n 王i e sa n dt l i e i re v a i u a t i o 璐 i n i d si s i n t c l l i g t i nd e t e c t i o n ，e m 璐i b l c i n 咖蛐| r e ，a d a p t i v ei nn e w 觚i o n 锄d h e t e r o g e n e o l l si 芏lp l a t f o m o 叫【p e r i m 锄临s h o w 也a t i th 船p r o m i s i n g 印p l i c a t i o n s 缸c o r n p l e x i m e r c o 皿e 曲耐n e 懈，o r k s k e y w o r d ：n e 柳o r ki n t m s i o nd e t e c t i o ns y s t e m ( n i d s ) ，a n m c i a li n t e l i i g e n t ， d i s t r i b u t e ds y s t e m ，d a t a m i n i g e x p e r ts y s t e m ，c o r b a 西北大擎计算机科学纛骠毒磷瓣裳攀位论吏 独创性声明 s 2 s 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得 的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得 鱼盎叁鲎 或 其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究 所做的任何贡献已在论文中作了明确的说明并表示致谢。 学位论文作者签名：吴峰务南学位论文作者签名：天黼 签名日期：如吗年易月，日 基于智能的分布式网络入侵检测系统 1 1 研究的背景和意义 第一章前言 随着计算机网络特别是i n t e r n e t 的广泛应用，我们的生活和工作都出现了 前所未有的便利。但不是所有在网络上传输的信息都是有益的，也不是所有网络 资源的使用者都是善意的。网络在为合法用户提供方便快捷的服务的同时，也为 黑客提供了可乘之机。 越来越多的网络系统和基于网络的信息系统正在受到黑客入侵和攻击的威 胁。2 0 0 1 年在美国计算机安全协会每年举行的“计算机犯罪与安全调查”中，1 8 6 个被调查对象中仅因为安全问题就有3 7 8 亿美元的财政损失，与2 0 0 0 年2 4 9 个被调查对象共有2 6 5 亿美元损失相比有了极大的增长。而与此相关的一些无 形资产的损失，比如公众的信任度、公司信誉，都是无法衡量的“1 。 如何防止和检测网络入侵，有效保护这些资源，已成为当前网络领域研究和 开发的热点。 传统确保计算机或网络系统安全的方法是构造一个保护层，例如防火墙。外 来访问必须得到防火墙的认证鉴别。它曾被认为是保护网络资源最有效的方法。 但是黑客穿透防火墙的手段不断翻新，另外，很多攻击源于网络内部，使得这样 一个预防外部攻击的措旄失效。因此，入侵检测系统作为第二道防线出现了。入 侵检测系统就像是一个防盗系统，它能够在攻击到来的时发出警报，提醒并帮助 管理者增加或修改安全策略。 当前大多数商业入侵检测系统是基于特征的，也就是说它们只能对已知的攻 击类型进行检测。当攻击方式变化时，这种方式就表现出灵活性、扩充性和适应 性差的缺点。与此同时，目前的网络入侵与攻击方式越来越隐蔽，且趋于多样性 和分布化。此外，入侵检测系统也需要适应互连网络异构性和分布性等新特性。 因此，研究利用分布计算技术和智能技术，实现一种可自主发现攻击的大型分布 式网络入侵检测系统是有意义的，也是迫切需要的。 西北大学计算机科学系硕士研究生学位论文 基于智能的分布式网络入侵检测系统 1 2目的和内容 本文针对现有入侵检测系统的不足，探索将c o r b a 技术、人工智能和入侵检 测技术结合起来，构造一个具有智能性的大型分布式网络入侵检测系统的可行 性，设计并实现一个专家系统与数据挖掘相结合的、扩展性和适应性较强、准确 率较高的智能分布式网络入侵检测系统。 具体研究内容主要包括如下四个方面： 1 对当前较具有影响力的2 4 种入侵检测系统或原型，从数据来源、数据处 理周期、数据收集和分析、入侵检测方法、系统运行平台等七个方面进行了详细 的比较，分析和总结了其中的主要问题和不足。 2 分析了将分布计算技术、专家系统技术和数据挖掘技术引入入侵检测系 统的必要性和可行性，讨论了将这三种技术与入侵检测系统相结合的技术方案。 3 设计了一个高效、准确、可扩展和适应性较强的智能型分布式网络入侵 检测系统的模型，对模型的结构、组成、通信方式和处理时序等进行了分析讨论， 论述了实现的可行性。 4 实现了一个实时性强、准确性和效率高的基于专家系统的误用入侵检测 子系统和一个基于数据挖掘的、能自主发现新攻击模式的异常入侵检测子系统。 分析了系统实现中的关键技术问题，讨论了具体的解决方法。 1 3 论文的结构和章节安排 文章是这样组织的：第二章主要介绍入侵检测系统的概念以及对当前较为流 行的2 4 个入侵检测系统或原型进行归纳总结。第三章主要介绍c o r b a 、专家系 统和数据挖掘的基本概念、基本技术、基本算法，并讨论与网络入侵检测系统结 合的优势。第四章针对第二章提出的现有系统的不足，以及误用与异常两类攻击 的不同，提出一个新的系统模型，并讨论其可行性。第五章讨论基于规则的误用 入侵检测专家子系统。主要包括子系统结构、检测算法及检测规则。第六章主要 讨论如何将数据挖掘思想运用在网络入侵检测系统中、如何利用数据挖掘中的关 西北大学计算机科学系硬士研究生学位论文 基于智能的分布式网络入侵检测系统 联规则、分类和聚类算法实现对异常入侵的检测。同时对从数据挖掘方法中得到 的模型，例如决策树、聚类模型和关联规则进行评估，从而总结出数据挖掘方法 在网络入侵检测系统中的可行性。第七章对所做的工作进行了总结并探讨了进一 步应开展的工作。 西北大学计算机科学幕瑷士研巍生攀位论j 3 基于智能的分布式网络入侵检测系统 第二章入侵检测系统 入侵脚( h l 乜u s i o n ) 是指试图破坏一个资源的完整性、机密性和可获得性的 活动集合。因此入侵检测【3 】( i n 仃1 l s i o nd e t e c t i o n ) 技术就是一种能够检测出违反 已定义的安全策略的行为的技术。它能够加强系统的安全性，同时提高系统抵抗 外部和内部攻击的防御力。所谓安全策略( s e c l l r i t yp o l i c y ) 是一个规则集合，它规 定了用户访问系统或网络资源时哪些操作是允许的，哪些操作是禁止的。 入侵检测系统【3 】( i n l n s i o nd e t e c t i o ns y s t e m ，简称i d s ) 就是执行入侵检测 任务的系统，并在入侵出现时发出警报。 2 1 入侵检测系统的必要性 传统的信息安全技术主要集中在系统自身的加固和防护上，主要使用以下几 种安全机制： 认证机制。认证通过交换信息的方式来确认实体身份。常见的技术有口 令机制、密码技术、提取实体特征等。 防火墙。防火墙技术是内部网最重要的安全技术之一，其主要功能就是 控制对受保护网络的非法访问，它通过监视、限制、更改通过网络的数 据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危 险站点，用以防范外对内、内对外的非法访问。 加密技术。加密是一种在网络环境下对抗信息窃取，防止信息被非法 读取的行之有效的安全机制。 访问控制a 访问控制机制是按照事先定义的规则决定主体对客体的访问 是否合法。它能拒绝一个试图非法使用未授权资源的请求。 然而这些技术存在以下问题： 弱口令。弱口令易被破解，那么访问控制就不能阻止受到危害的授权用 户的信息丢失或破坏。 认证机制本身存在一定的问题黑客可利用其缺陷，绕过认证系统进行 非法操作。 西北大学计算机科攀系硬士研究生学位论文 4 基于智能的分布式网络入侵检测系统 防火墙的包过滤规则和访问控制规则的配置复杂，易造成安全漏洞。 防火墙难于解决内部网控制内部人员的安全问题。而据权威部门统计结 果表明，网络上的安全攻击事件有7 0 以上来自内部攻击。 防火墙的安全控制主要是基于i p 地址的，难于为用户在防火墙内外提 供一致的安全策略。许多防火墙对用户的安全控制主要是基于用户所用 机器的i p 地址而不是用户身份，这样就很难为同一用户在防火墙内外 提供一致的安全控制策略，限制了企业网的物理范围。 合法的用户在通过身份验证后，可在权利范围内执行恶意代码，破坏系 统资源。 无法记录用户行为模式或网络通信流量，而这些数据能够帮助安全管理 员更好的了解和修改系统的安全漏洞。 基于上述几类问题的解决难度，一个实用的方法是建立比较容易实现的安全 系统，同时按照一定的安全策略建立相应的安全辅助系统。i d s 就是这样一类系 统。就目前系统安全状况而言，系统随时存在被攻击的可能性。如果系统遭到攻 击，只要尽可能检测到，然后采取适当的处理措施，就能一定程度上减轻可能产 生的危害。i d s 一般不是采取预防的措施以防止入侵事件的发生，入侵检测作为 安全技术其作用在于：( 1 ) 识别入侵者；( 2 ) 识别入侵行为；( 3 ) 检测和监视已成功 的安全突破；( 4 ) 为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大。 因此，入侵检测作为现有安全技术的补充是非常必要的。 2 2 入侵检测系统 2 2 1 入侵检测系统模型 一个通用的i d s 模型【2 0 1 将入侵检测系统分为四个基本组件：事件产生器、 事件分析器、响应单元和事件数据库。 在这个模型中，事件产生器、事件分析器和响应单元通常以应用程序的形式 出现，而事件数据库则往往是文件或数据流的形式。很多i d s 产品都用数据收 集部分、数据分析部分和控制台部分三个术语来分别代替事件产生器、事件分析 器和响应单元。 西北大学计算机科攀蓑壤士研究生拳位论文5 基于智能的分布式网络入侵检测系统 i d s 将需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从 系统日志或其它途径得到的信息。 以上四个组件只是逻辑实体，一个组件可能是某台计算机上的一个进程甚至 线程，也可能是多个计算机上的多个进程。 1 事件产生器：事件产生器的任务是从入侵检测系统之外的计算环境中收集 事件，并将这些事件传送给其它组件。 2 事件分析器：事件分析器分析从其它组件收到的事件，并将产生的新数据 再传送给其它组件。分析器可以是一个轮廓描述工具，统计性地检查现在的事件 是否可能与以前某个事件来自同一个时间序列；也可以是一个特征检测工具，用 于在一个事件序列中检查是否有已知的滥用攻击特征；此外，事件分析器还可以 是一个相关器，观察事件之间的关系，将有联系的事件放到一起，以利于以后的 进一步分析。 3 事件数据库：用来存储事件，以备系统需要的时候使用。 4 响应单元：响应单元处理收到的事件，并据此采取相应的措施，如杀死相 关进程、将链接复位、修改文件权限等。 2 2 2 入侵检测系统分类 入侵检测系统按照功能和操作特点可进行如下分类跚，见图2 1 ： 图2 1 入侵检测系统的分类 西北大学计算机科学秉磺士蕲襄豢紫健稔变 6 基于智能的分布式网络入侵检测系统 检测方法。入侵可分为尝试性闯入、伪装攻击、安全控制系统渗透、 泄漏、拒绝服务和恶意使用六种主要的类型【2 9 】。其中第一、二、六种可以通过 异常行为和违反安全限制来检测；第四、五种可以通过用户异常使用系统资源来 检测；第三种可通过发现某种特定的动作模式来检测。 因此，入侵检测就可分为基于知识的模式检测技术( 即误用检测技术) 和基 于行为的入侵检测技术( 即异常检测技术) 两种形式。 误用检测是检测具有明确攻击模式的入侵活动。这些入侵通常利用了操作系 统、应用软件或网络协议的弱点和缺陷。一般通过分析入侵的特征、条件、排列 以及事件间关系，可事先准确具体地描述入侵行为的模式，通过判断这些模式是 否出现来检测入侵活动。 异常检测是通过将过去观察到的正常行为与受到攻击时的行为进行比较，根 据使用者的异常行为或资源的异常使用状况来判断是否发生入侵活动。 两者最大的区别在于误用检澳i 提取的是入侵活动的特征，而异常检测提取的 是正常活动的特征。 数据来源。基于应用的d s 从应用程序中收集数据并检测入侵。例如 w e b 服务器、数据库服务器的日志；基于主机的d s ( 珈d s ) 收集的是其运行 主机的信息，例如c p u 、内存使用率，文件的访问控制等；基于网络的i d s ( n i d s ) 的数据主要来自于其所在局域网上传输的所有数据。 入侵响应。如果m s 在检测出入侵后，能够自动重新配置防火墙、关闭 适当的服务或反击入侵者，那么这种d s 就被称为主动响应。若i d s 仅是检测 到入侵后给出警报或记录日志，那么就是被动响应。 数据分析周期。实时的i d s 在一边收集数据的同时就对数据进行分析， 而基于周期的d s 将收集到的信息先存储起来，每隔一端时间分析处理一次。 数据处理地点a 将多个数据源得到的数据汇总到一个地方进行分析处理， 这种方式成为集中式处理，与之相反则称为分布式处理。 数据收集地点。若i d s 有多个数据来源，则是分布的，否则是集中的。 运行平台。若i d s 可运行在任何平台上，则是异构的，否则是同构的。 西北大学计算机科学系颈士研究生学位论文 7 基于智能的分布式网络入侵检测系统 2 3 误用入侵检测 误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击，并可 以通过捕获及重新整理攻击，确认入侵活动是基于同一弱点进行攻击的入侵方法 或其变种。 误用入侵的检测通常是通过“编程( p r o g r a 姗e d ) ”方式实现的。“编程”是 正常研秣好跚玫击 指由系统实现者告诉i d s 各种攻击的特征，也 客户 l 诣毒户斛i ( 1 ) 1 c p 蜘 - - - - - - - - - - + ( 日 i - - - - - - - 一 僻蜘眦 ( 3 ) - - - - 僻腻 蚺 墼 ( 2 ) 一 豫铷描 9 盼- 帅 甜 甜 + - ii h 图2 - 2s y n 洪水攻击示意图 就是说系统实现者第一步需要抽象出入侵的 特征。例如s y n 洪水拒绝服务攻击。这种攻击 的目的是利用三次握手协议的漏洞，阻止受攻 击者在特定端口接收新的t c p 链接请求。在每 个t c p 链接建立时，都要发送一个带s y n 标记的 数据包，如果在服务器端发送应答包后，客户 端不发出确认，服务器会等到请求超时。如果 大量的带s | f n 标记的数据包发到服务器端后都没有应答，会使服务器端的t c p 资源 迅速枯竭，导致正常的链接不能进入，甚至会导致服务器系统崩溃。t c p 资源迅 速枯竭是因为t c p i p 堆栈只有有限数量的内存缓冲区用于创建链接，所以只能 等待从有限数量的计算机发来的a c k 消息。s y n 洪水攻击的特征可以抽象为在很短 时间内有大量处于半打开状态的t c p 链接请求。与此类似，所有的误用攻击都可 通过对攻击方式的分析，提取特征。检测的第二步是用计算机语言表述出提取的 特征。 常用的方法有以下几种： 状态模型( s t a t e m o d e l i n g ) 。状态模型是将入侵的过程分解为不同的 状态。状态之间有前后时间顺序。一般可用“状态转换”和“p e t r i 网” 两种方式来实现。 基于规则专家系统( r u l e _ b a s e d e x p e r ts y s t e m ) 。该检测技术是根 据安全专家对各种攻击进行分析，形成一套规则。系统可以自动的对输 入数据按照规则进行推理分析。 串匹配( s t r i n g t c h i n g ) 。对系统之间传输的文本信息或命令进行子 串匹配，检查其中是否包含敏感信息。这种方法简单、容易理解。 西北大学计算机科拳_ 系硬士研究生学位论文8 基于智能的分布式网络入侵检测系统 从上面的讨论中应注意到攻击特征在误用检测中的重要性。误用攻击检测仅 关心审计数据是否和特征匹配，而不考虑正常模式的特征。因此攻击特征描述的 越精确，检测的正确率就会越高。这种检测方法的缺点是对攻击特征的依赖。它 只能检测出已定义的攻击，对于未定义的或无法提取规则的攻击就束手无策了。 2 4 异常入侵检测 与误用入侵检测不同，异常入侵检测不是针对已知特征的攻击，而是通信中 的异常状况。因此，异常入侵检测首先必须了解什么是许可的正常活动。只有定 义了正常模式，才能判别出异常。因此异常检测是通过观测一组测量值的偏离度 来预测用户行为的变化，然后作出决策判断的检测技术。 例如一个计算机系统的每个用户都有执行某些任务的权限，而且所执行的任 务不会经常变化。比如说一个程序员的工作通常是编写、编译、运行和调试程序； 秘书的工作通常是编写、打印文档和发送邮件；而系统管理员的工作通常是运行 管理工具、查看系统日志。所以可为每一个用户定义一个操作集合，称之为用户 轮廓( p r o f i l e ) 。它是对用户正常活动的描述。若用户当前动作与他的轮廓不匹 配，出现差别时，这种差别就是一种异常，就可能预示着一种入侵。 异常检测通常使用以下的方法： 自学习系统( s e l f _ l e a r n i n gs y s t e m ) 。自学习系统通过收集大量数据对检测 目标的正常状态进行学习，建立正常状态的模型。 1 ) 非时间序列。常见的两种方式是“规则建模”和“描述性统计”。规则建 模是系统通过学习，从训练数据中总结出能够描述系统正常行为的一套规 则。检测时，系统应用这些规则，如果发现观察数据和规则相差很大时， 就产生警报。“描述性统计”方法是根据一些系统参数，例如c p u 的使用 率等，创建一个简单的、描述性的单一统计模型，再相对统计模型对观察 数据创建一个距离向量。当距离超过一定范围时，系统就报警。 2 ) 时间序列。这种方法在用训练数据建模时要考虑到时间上的先后顺序。神 经网络就是一个很好的例子。该检测技术主要从系统或程序的正常执行轨 迹或其遭受入侵攻击时的执行轨迹中提取正常调用子序列或标示已知入 侵的系统调用予序列，将它们作为训练数据，构造相应的基于多层感知器 西北大学计算机科学最飘士研究生学位论文9 基于智能的分布式网络入侵检测系统 的神经网络分类器，通过监控关键程序的执行情况，来判断程序是否受到 已知或未知的入侵攻击。基于神经网络的入侵检测技术在进行入侵检测识 别前要用入侵样本进行训练，以使其具备对某些入侵行为进行分类的能 力，从而能够正确“认识”各种入侵行为。该学习过程主要是改变神经元 之间的连接权值，以便将有关入侵行为的信息存储到神经网络中，一旦基 于神经网络的检测模型学习完成之后，就可以识别入侵了。采用神经网络 的检测模型具有高维性、广泛互连性以及自适应性等优点。 “编程”。原理上与误用检测的“编程”方式有相同，不同的是系统实现者需 要先为检测目标抽象出反应正常状态的模型。 1 ) 描述性统计。基于此种方式的i d s 一般需要收集一些系统参数，并对参数 进行统计，用统计的结果来区分异常和正常状态。这些参数可以是不成功 登陆系统的次数、网络链接的数量、实施错误命令的次数等。通常可通过 简单统计、规则匹配或设定阀值的方法来检测。 2 ) 默认拒绝。其思想是将系统所有许可的行为转化为不同的状态序列，任何 与规定状态序列不相符的操作都认为是异常。“连续状态模型”方法就充 分体现了这种思想。 综上所述，异常入侵检测的关键是对正常模式的描述，凡是违背正常模式的 行为都有可能是异常。但是并非所有的异常都属于入侵。理想状况是异常活动集 与入侵活动集等同。因此还需人工辅助鉴别，这也是异常检测的不足之处。自学 习方法在异常检测中得到了广泛的应用。主要是因为与异常状态相比，正常状态 繁多，不可能人工描述所有情况，因此需要借助人工智能，从数据中自动建立模 型。实现盼重点就转化为对训练数据的选择。训练数据必须正确全面，能够反应 所有的正常情况，这样才能减少误报率。 2 5 入侵检测系统的研究现状 对网络基础设施的攻击严重的干扰和破坏了大规模的信息服务，使得国家的 防御和经济受到极大的损失。虽然网络协议、操作系统和应用程序的设计者、实 现者，以及系统管理员一直努力在提高整个计算机系统的安全性，但是还是应该 谨慎的认为攻击一定会出现，甚至还可能获得成功。因此，为了保护重要的信息 西北大学计算机科学系硕士磷宄生学位论文 和资源，需要借助入侵检测系统自动检测和响应这些攻击。 如何高效的、准确的检测入侵并追踪入侵者，以及如何提高入侵检测系统本 身的适应性和扩展性一直是国内外研究的热点。作为一个入侵检测的研究项目， 有必要对当前较为流行的、有创新性的入侵检测系统或原型作一个充分的总结和 归纳。 按照入侵检测系统的特征，对1 9 8 8 年到现在的共2 4 个入侵检测系统作如下 分类 发布数据分数据响应数据数据运行 检测方法 系统名称 误 时间析周期来源方式分析收集平台 异常 用 自统 h a y s 诅c k 1 9 8 8 周期主机被动集中集中同构专 编连 m i d a s1 9 8 8 实时 主机被动集中 集中同构编连专 i d e s1 9 8 8 实时 主机被动集中分布 同构自统 w & s1 9 8 9 实时主机被动集中集中同构自规 c o m p m e r 1 9 9 0 周期主机被动集中集中同构编阀 w a t c h n s m1 9 9 0 实时网络被动集中集中同构编规 由 n a d i r1 9 9 1 周期主机被动集中分布同构编连专 h y p e 州e w 1 9 9 2 实时主机被动集中集中同构编神 d i d s1 9 9 2 实时主机，网络被动分布分布同构专 a s a x1 9 9 2 实时主机被动集中集中同构专 u s t a t1 9 9 3 实时主机被动集中集中同构态 d p e m1 9 9 4 周期主机被动分布分布同构编连 d i o t1 9 9 4 实时主机被动集中集中 同构 p n i d e s1 9 9 5实时主机被动 集中分布同构 自统专 g r i d s1 9 9 6 周期主机，网络被动分布分布 专 c s m1 9 9 6 实时主机主动分布分布 同构 j 岫1 9 9 6 实时主机主动集中集中同构编连 j i n 1 9 9 7 周期主机被动分布分布专 e m e r a l d1 9 9 7 实时主机，网络主动分布分布 同构自统专 b r o1 9 9 8 实时网络主动集中集中 同构编连专 a a f i d1 9 9 8 实时主机网络被动分布分布 砌p i ，e r1 9 9 9 周期主机，网络被动集中集中 挖挖 m a d a m2 0 0 0 周期主机网络被动分布集中挖 挖 s n o r t2 0 0 l 实时网络被动集中集中异构专 表一现有入侵检测系统分类表 表中检测方法为缩写，其中“自统”表示自学习统计方法“自规”表示自学习规则建模、“编连”表示编 程连续状态方法、“编神”表示鳊程神经网络、“编阀”表示编程设定阀值、“编规”表示编程规则匹配、“串” 表示串匹配、“专”表示专家系统、“p ”表示p c 矾网、“挖”表示数据挖掘 西北大拳计算帆科举篆暖士研兜生学位论文 基于智能的分布式网络入侵检测系统 从分析中可能得到如下结论： 1 )检测方式越来越趋向于实时性。只有这样才能及时有效的对资源 进行保护。 2 )体系结构越来越分布化。首先，审计数据收集的分布扩展了i d s 检测的范围，提高系统利用率；其次审计数据分析的分布增强i d s 的健壮 性和容错性，不易产生单点故障。 3 )入侵检测越来越智能化。1 9 9 8 年前的入侵检测系统都是基于简 单的数据统计和规则推理，从1 9 9 9 年起数据挖掘方法引入入侵检测，使得 i d s 可以在对审计数据进行分析的基础上，自动抽取建立数据模型，有很强 的自适应性。 4 )i d s 越来越注重对网络入侵的检测。在2 4 个l d s 中，针对主机 入侵检测的d s 的研究较为完善，而网络入侵检测较为薄弱。 5 ) 响应方式仍保持被动。因为入侵检钡8 系统不可避免的存在误报 率，不能仅根据报警贸然采取措施。例如攻击者常常使用i p 地址欺骗，贸 然的限制攻击方p 地址反而会被黑客利用。因此需人工加以辅助。 6 ) i d s 系统运行平台受到限制。大多数d s 系统不具有异构性，这 样就会降低系统的可用性。 因此，研究并实现个具有智能性、分布性、异构性和对新入侵有很好适应 性的网络入侵检测系统是有意义的。 2 6 小结 由于现有安全防护措旅的不足，入侵检测系统成为一种重要的防御措施。本 章首先介绍了入侵检测系统的基本概念，然后详细讨论了误用和异常两种入侵检 测方法的实现策略，最后对现有的2 4 种入侵检测系统进行分析比较，总结出现 有入侵系统的欠缺之处。本文的目的就是通过与其他技术的结合，增强现有系统 的智能性、分布性、异构性和对新入侵的适应性，为入侵检测系统的开发进行既 有学术价值又有实用价值的积极探索。 西北大学计算帆科学系壤士研究生学位论文 基于智能的分布式网络入侵检测系统 3 1c o r b a 第三章c o r b a 、专家系统和数据挖掘 在网络成为用户的普遍需求后，分布式计算也逐渐成为新的研究热点。简单 的说，分布式计算是两个或多个软件相互共享信息。这些软件既可以在同一台计 算机上运行，也可以在通过网络连接起来的几台不同的计算机上运行。分布式计 算可以通过稀有资源共享、平衡计算负载和将应用程序放在最符合需要的计算机 上运行等方法提高计算资源的使用率。 对分布式计算来说，要解决的关键问题是分布式环境下的异构问题。 硬件平台的异构性：i b m 主机、u n i x 工作站、p c 机等。 操作系统的异构性：各种版本的u n i x 、m i c r o s o f tw i n d o w s 、i b mo s 2 、 m a c i n t o s h 等。 开发语言的异构性：c 、c + + 、j a v a 、d e l p h i 等。 网络平台的异构性：e t h e r n e t 、f 叩i 、a t m 和t c p i p 、i p x s p x 等。 在这样的异构环境下实现信息和软件资源的共享是非常困难的。因此构造和 集成异构环境下的分布式应用需要一个优良的支撑平台。 c o r 队( c o 咖o no b j e c tr e q u e s tb r o k e ra r c h i t e c t u r ，公共对象请求代理 体系结构) 能够很好的解决这个问题。c o r b a 是由o m g ( o b j e c tm a n a g e m e n tg r o u p ， 对象管理组织) 提出的应用软件体系结构和对象技术规范，其核心是一套标准的 语言、接口和协议，以支持异构分布应用程序间的互操作性及独立于平台和编程 语言的对象重用- 也就是说它是在不同平台、不同语言之间实现对象通信的模型， 为分布式应用环境下对象资源共享、代码重用、可移植和对象问相互访问建立了 通用标准，同样也为在大量硬件、软件之间实现互操作提供了良好的解决方案。 i 因此与传统的r p c 、d c 伽和蹦i 相比，基于c o r b a 开发的应用系统在网络实现中 具有更大的优势。 3 1 1c o r b a 体系结构 从体系结构上看，c o r b a 由五部分组成【射。 西北大学计算机科学摹硕士研宄生譬位论文 基于智能的分布式网络入侵检测系统 图3 1c 0 i m a 体系结构 1 ) 对象请求代理( o r b ) 。它是c o r b a 的核心。保证在分布式异构环境中， 透明地向对象发送和接收请求，帮助实现应用组件之间的互操作。0 i m 是支持 c o r b a 构件相互作用的“软总线”( s o m ”黜b l l s ) ，服务性构件可以向它登记注 册，当客户性对象需要某种服务时，可以向它发出请求，o i m 负责搜索已在其“注 册登记”了的服务性对象，找到后启动该服务，传送请求给该服务性对象，并将 结果传送回给客户性对象。 2 ) 对象服务( o b j e c ts e r v i s ) 。这是一些最有可能被用来支持分布式对象 环境下构造应用的标准化组件，目前已通过的公共对象服务包括命名服务 ( 卜戤n i i l gs e 州c c ) 、安全服务( s e c u d t ys e r v i c e ) 、事件服务( e v e n ts e r v i c e ) 、 时钟服务( t i m es e n r i c e ) 、生命周期服务( l i f ec y c l es e i c e ) 。 3 ) 公共设旖( c o i m o n f i h 雠s ) 。它是比公共对象服务粒度更大的可重用 的构件块，它主要用来帮助构造跨多个应用域的应用程序，典型的公共设旌包括 用户接口、信息管理、系统管理和任务管理等。 4 ) 应用对象( p p l i c a l i o b j e c t s ) 。是指供货商或用户借助0 r b 、公共对 象服务及公共设旋而开发的特定产品，它不在c 0 妯a 体系结构中实行标准化。 5 ) 领域接口(