（计算机软件与理论专业论文）基于petri网的层次型入侵检测系统.pdf

摘要 随着计算机网络的发展，针对网络的攻击日趋多样化，出现了从零碎而简单的攻击形式 发展而来的复杂攻击行为。在网络安全实践中，传统入侵检测面临两类漏报问题：第一类问 题是由于体系结构和检测方法的局限，复杂攻击行为不能被有效地检测，造成对复杂攻击的 漏报；第二类问题是由于工作在l p 层的入侵检测系统无法准确审计到达端系统的t c p 数据， 攻击者可以利用规避技术来逃避检测，导致漏报的发生。 本文主要针对这两种漏报问题展开研究，在分析网络攻击的描述理论基础上，明确了复 杂攻击相关概念，设计了一种基于有色p e t r i 网的层次化入侵检测模型来检测复杂攻击，同 时采用t c p 层入侵检测米限制规避技术对入侵检测系统的影响，从体系结构、攻击描述和 抗规避技术三个方面增强了入侵检测系统的检测能力，并将其应用到主动式防火墙系统中。 主要工作包括以下三部分： 1 ) 提出一种层次化入侵检测模型 本文研究使用有色p e c r i 网来建立复杂攻击的攻击模板，针对第一类漏报问题研究了攻 击模式和攻击分类，明确了复杂攻击的相关概念，提出一种具备复杂攻击检测能力的层次化 检测模型，深入探讨了该模型的基本原理及其层次化构建方法。 2 ) 设计实现一种基于有色p e t r i 网的入侵检测系统 在获得有色p e t r i 网描述的攻击模板后，探讨了将其转化成为入侵检测组件的方式，对 变迁与库所进行分类并给出了每一类有色p e t r i 网组件的实现方法；结合对现存的两种有色 p e t r i 网实现技术的分析，设计了一种将检测逻辑附着于变迁的实现方案和一个基于有色p e t r i 网的入侵检测原型系统，详细阐述了系统设计方案，详细分析了关键参量的选取，并给出系 统特性总结。最后，本文还研究了将原型系统集成到主动式防火墙中的方法，即安全联动的 实现技术。 3 ) 分析并实现了t c p 层入侵检测的相关支撑技术 针对第二类漏报问题，通过分析l i n u x 系统对i p 分片和t c p 数据流的重组方式，研究 了t c p 层数据分析的相关支撑技术，并将其运用到原型系统中。 关键字：网络安全入侵检测层次型入侵检测有色p e t r i 网 a b s t r a c t w i t ht h ei n n o v a t i o no fc o m p u t e rn e t w o r k t h e r ec o m e so u tc o m p l e xa t t a c k se v o l v e df r o m s i m p l ea n di n d i v i d u a lo n e s b u ti nt h en e t w o r ks e c u r i t yp r a c t i c e ，t r a d i t i o n a li d s ( i n t r u s i o n d e t e c t i o ns y s t e m ) b e c o m ec h a l l e n g e db yt w of a l s en e g a t i v ed r a w b a c k s o nt h eo u eh a n d ，l i m i t e d b yp r e s e n ti d sa r c h i t e c t u r ea n dd e t e c t i o nt e c h n i q u e s ，c o m p l e xa t t a c k sa r ep r o b a b l yh i d d e ni nt h e l a r g ea m o u n to fa l e r r sa n dc o u l dn o tb ed e t e c t e de f f e c t i v e l y o nt h eo t h e rh a n d ，i d sw h i c ha u d i t s t h ei pl a y e rt r a f f i c sc a l ln o tr e a s s e m b l et h ea p p l i c a t i o nl a y e rd a t ap r o p e r l ya n dc o u l db ee v a d e d b ys o p h i s t i c a t e da t t a c k e r s t h er e s e a r c hw o r ko ft h i st h e s i sc a l l i e so u ta c c o r d i n gt ot h e s et w op r o b l e m sa b o v e a t i e r a n a l y z i n gt h ed e s c r i p t i o nt h e o r yo fn e t w o r ka t t a c k s ，ah i e r a r c h i c a lj d ( i n t r u s i o nd e t e c t i o n ) m o d e l i s p r o p o s e d a n dw ee m p l o yd e t e c t i o nt e c h n i q u e sa tt c pl a y e rt o r e s t r i c tt h ee v a s i o nb y s o p h i s t i c a t e da t t a c k s i d sh a sb e e ne n h a n c e di nt h r e ew a y s ：a r c h i t e c t u r e ，a t t a c kd e s c r i p t i o nt h e o r y a n da n t i e v a s i o nt e c h n i q u e t h ep r o t o t y p es y s t e mw a si m p l e m e n t e da n da p p l i e di n a c t i v e f i r e w a l l ”p r o j e c t t h em a i nc o n t r i b u t i o n si n c l u d e ： l 、ah i e r a r c h i c a li dm o d e l t h i si n t r u s i o nd e t e c t i o nm o d e le m p l o y sc p n ( c o l o r e dp e t r in e t ) t oc o n s t r u c tc o m p l e xa t t a c k t e m p l a t e s t h ep r i n c i p l e so f t h em o d e la n di t sh i e r a r c h i c a l l yc o n s t r u c t i n gm e t h o da r ep r e s e n t e di n d e t a i l a sas o l u t i o nt ot h ef i r s tf a l s en e g a t i v ep r o b l e mp r e v i o u sm e n t i o n e d ，t h ea t t a c kp a t t e r n sa n d i t st a x o n o m ya r ed i s c u s s e d ，a n dah i e r a r c h i c a l1 dm o d e lt od e t e c tc o m p l e xa t t a c k si sd r e wi n d e t a i l 2 1c o l o r e dp e t r in e tb a s e d1 d s w i t ht h ea t t a c kt e m p l a t ed r e wb yc p nm o d e l ，t h et e c h n i q u e so ft r a n s m i t t i n gc p nt oi d s c o m p o n e n ti sd i s c u s s e d b a s e do nt h ea n a l y s i so ft w oa v a l l a b l ec p na u t o m a t at e c h n i q u e s ，t h i s t h e s i si m p l e m e n t e dac p nb a s e di d sp r o t o t y p e ，u s i n gt h et r a n s i t i o n st oe x p r e s sd e t e c t i o nl o g i c s t h i st h e s i sa l s od i s c u s s e sh o wt oc h o o s et h ek e yp a r a m e t e r s ，a n ds u m m a r i z e st h ec h a r a c t e r i s t i c so f t h i sp r o t o t y p es y s t e m 3 ) t h ei m p l e m e n t a t i o no f i n t r u s i o nd e t e c t i o na tt c pl a y e r t oc o u n t e r a c tt h es e c o n df a l s en e g a t i v ed r a w b a c k ，t h ei pd e f r a g m e n t a t i o na n dt c pf l o w r e a s s e m b l i n gc o m p o n e n ta r ed e v e l o p e db a s e do nt h ea n a l y s i so fl i n u xk e r n e lt c p i ps t a c k b e h a v i o r i ti sa l s od i s c u s s e dt h a th o wt oa p p l yt h i sd e t e c t i o nt e c h n i q u ei n t ot h ed e v e l o p m e n to f t h ep r o t o t y p es y s t e m k e yw o r d s ：n e t w o r ks e c u r i t y , i n t r u s i o nd e t e c t i o n ，h i e r a r c h i c a li n t r u s i o nd e t e c t i o n ， c o l o r e dp e t r jn e t i i l 东南大学学位论文 独创性声明及使用授权说明 学位论文独创性声明 本人声f 埘所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我 所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研 究成果，也不包含为获得东南大学或其它教育机构的学位或汪书而使用过的材料。与我一同 工作的同志对本研究所做的任何贡献均已在论文中作r 明确的说明并表示了谢意。 签名：显，盈i 二i 期：堑箜塾垒墨! 塑 二、关于学位论文使用授权说明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的复印什和 电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质沦文 的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权东南大学研究生院办理。 签名：蔓：盗导师签名：口期：彩蝴i 她 1 1 研究背景 第1 章引言 随着计算机网络的普及年u 技术的进步，i n t e m e t 已经逐渐成为一项基础设施井深刻地影 响了社会生活的各个方面。然而i n t e r n e t 是在开放、自由的基础上产生的缺乏严格的管理 体制来约束网络中的应用1 1 i ，在网络发展初期安全问题相对而肓被忽略了。1 9 8 8 年的m o r r i s 蠕虫事件标志着网络安全进入个新阶段，当时m o r r i s 为了验证s e n d m a i l 和f i n g e r d 这两个 u n i x 系统服务的安全漏洞，草率地把蠕虫商接鼍八i n t e m e t ，造成震惊世界的蠕虫事什”1 。 c e r t c c l ( c o m p u t e re m e r g e n c yr e s p o n s et e a mc o o r d i n a t i o nc e n t r e ，计算机紧急响戍小组 协调中心) 发布的报告表明近年来c e r t 处理的网络攻击事件数量呈逐年剧增趋势( 图1 - 1 ) 。 图1 1 ：c e r t 处理的安全事件统计2 网络安全技术中使用最为广泛的技术是防火墙，但防火墙只能阻截来自外部网的侵扰， 内部网络的安全还需要对内部网的进行有效的审计和管理来实现”】。入侵检测对网络和土机 行为进行审计，不但能够提供对内部网的审计功能【lj ，判断是否有9 目络入侵存在，而且管理 员可以根据入侵检测的反馈来判断当前的安全策略是否合适。c e r t c c 公布的报告表明， 网络攻击者的知识门槛越来越低，但他们的攻击手段却早现多样化、复杂化( 图1 - 2 ) 1 3 1 ， 单纯依靠身份鉴别和防火墙等访问控制设备的防护型网络安令系统已经不能满足安全需求， 入侵枪测技术得到了越来越广泛的重视。 c e r t c c ，最初称c e r t ，h t l p ：w w w c e r t o r g 2 h t t p ：v “v w c e r to r g s t a t s c e r t s t a t sh t m l ，该统汁2 0 0 5 年1 月发布原始数据截至2 0 0 4 年第一二季度 东南大学硬上学位论文 h i g h l o w 1 9 8 31 9 8 8 1 9 9 31 9 9 82 0 0 3 图1 2 ：c e r t 网络攻击趋势 1 2 国内外研究现状 1 2 1 入侵检测概念 传统意义上说，入侵检测( i d ，i n t r u s i o i nd e t e c t i o n ) 是对所有企图穿越被保护网络安 全边界的行为的识别”j 。虽然真正意义上的网络攻击到1 9 8 8 年m o r r i s 蠕虫事件后才山现， 但入侵检测的相关研究却开始较早：入侵检测的概念首先由3 a m e s a n d e r s o n i “丁1 9 8 0 年提 出，d o r o t h yd e n n i n g ”于1 9 8 7 年发表了第一个实用化的入侵检测模犁3 。根据 e t f i d w g 4 ( i n t e m e te m e r g e n c et a c kf o r c e i n t r u s i o nd e t e c t i o nw o l kg r o u p ) 的规范化t 作p ，入侵检 测系统( i e s ) 被定义为“由一个或多个传感器、分析器、管理器所组成，可自动分析系 统行为，检测安全事件的工具”。 图1 - 3 ：i d w g 入侵检测模型 3 h n p ：w w w s d l s r ic o m p r o g r m s i n l r u s i o n h i s t o r y h t m l # i d e s ，s p a 项日，编号6 1 6 9 7 0 4 i d w g 系l e t f 下属入侵检测t 作组，h t t p ：w w w i e f f o i r e , h l m l c h a r t e r s i d w g - c h a r t e r h t m l 2 响 应 第1 章g 言 1 2 2 入侵检测的分类 由于着眼点的不同，对入侵检测的分类方法很多，最常见的是从榆测对象和检测方法这 两个角度来对入侵检测进行分类1 3 1 埘】。 检测对象 根据检测对象的不同，可以将入侵检测划分成基于主机的入侵检测( h i d ，h o s t - b a s e d i n t r u s i o nd e t e c t i o n ) 、基于网络的入侵检测( n i d ，n e t w o r k b a s e di n t r u s i o nd e t e c t i o n ) 。 1 ) 基于丰机的入侵检测 基丁土机的入侵检测系统通常是安装在被重点检测的主机之r ，通过采集和分析被控土 机的系统口志、配置信息、校验和等数据发现潜在的安全事件。_ 丰机入侵检测具备深入系统 内部跟踪、对网络流量不敏感、无须添加额外设备等优点，但是也存在依赖土机审计能力、 无法柃测针对网络的攻击、计算耗费比较人的缺点。由于丰机入侵检测需要在端系统安装软 件，所以端系统用户的抵触和部署升级等问题也比较难解决。早期的入侵检测系统多是基于 星机的。 2 ) 基于网络的入侵检测 基于恻络的入侵检测最早由 h e b e r l e i n 于1 9 9 0 年提出，其数据源 自计算机网络，通常采片j 旁路侦听的方 式获取网络流量的镜像或者采样，不需 要在系统中添加额外的软什，其l 作对 正常的网络应用基本没有影响。一个进 行i p 数据包分析的网络入侵榆测系统 工作流程如图1 4 所示，该系统从咀太 网侦听设备获取网络流黾，通过调用报 p a c k e t 图1 1 4 ：简单网络入侵检测系统 文捕获设备( p c a p 或n i r 等) 抓获其中的1 p 层数据包，进行解码羽j 偏移量计算，然斤调用 规则匹配函数进行计算，倘若匹配成功则产生告警，否则就转入下一轮循环。这个单包分析 系统具有网络入侵榆测的全部特征：数据来自网络，存在个分析引擎，有告警输山( 被动 响应) 。附录c 给出了在前期研究中实现的一个单包分析器结构。 网络入侵检测傲采取旁路侦听的方式，具有检测范嗣大、不依赖于主机、不会破坏原 有安全政策的优势，与此同时也带米难以适应网络流量的b 迷增k 、存在规避方式和 需要增加特殊设备的问题。 5 p c a p ，一个跨平台网络数据捕获工具集，h t t p ：w w w p c a p o r g 6n i t ，n e l w o r ki n t e r f a c et a p ，s u n o s 下的网络数据捕获设备 3 东南人学硕士学位论文 检测方法 根据检测方法的不同，入侵检测可以划分为基于行为和基于知识两类，称作异常检测 ( a d ，a n o m a l yd e t e c t i o n ) 和误用检测( m d ，m i s u s ed e t e c t i o n ) 。 1 ) 异常检测 异常检测的工作建立在如下假设基础 上，即任何一种入侵行为都能够由于其偏离 止常或者( 客观上) 所期望的系统和用户活 动规律而被检测出米。描述止常( 合法、可 接受) 行为的模型则通过对收集的大量历史 活动资判进行分析得到。异常检测根据用户 的异常行为或对资源的异常访问来判断是否 发生入侵行为，不断将当前系统状态和已有 的合法行为模型作对比，如果发现当前系统 状态偏离，止常的模型则认为出现了入侵。 图1 5 ：异常和入侵 异常检测的虽人问题在于“异常”并不等于“入侵”，根据异常检测的通用原理我们町 以简单地将网络行为的全集进行划分如陶1 - 5 ，其中异常行为集合由偏左上方的椭吲表示， 而入侵行为集合由偏右下方的椭圆表示，则： 1 ) 异常行为集和入侵行为集的交集被称为正确接受集( t r u ep o s i t i v e s ) ： 2 ) 属异常行为集但不属于入侵行为集的元素构成了错误拒绝集( f a l s en e g a t i v e s ) ； 3 ) 属入侵行为集但不属于异常行为集的元素构成了错误接受集( f a l s ep o s i t i v e s ) ； 4 ) 不属于入侵行为集也不属丁异常行为集j j 勺元素构成了正确拒绝集( t r u e n e g a t i v e s ) 。 在实际麻用中，错误接受集在入侵行为集中所占的比率被称作漏报率，而错误拒绝集在 异常行为集中所占的比例被称作误报率。异常检测优势在于可以发现未知模式的攻击行为， 系统具备一定 适应能力，维护的 1 ：作量比较小；但是对网络的稳定性要求较高，随着网络 应埘的复女 性增加其误报率会人幅上升，并且可能被攻击者恶意训练。由丁：人工智能领域本 身发展逐渐缓慢异常检测的误撤问题足一个比较| 禾 难的入侵检测课题，也缺乏较实用的检 测模型，并且异常检测通常需要一定的训练期来构建正常行为模型，因此我们的研究没有选 择基于异常检测的技术路线。 2 ) 误用检测 误用检测又称滥用检测方法是指根据已知的攻出力式定义好入侵模式库，通过计算已知 模式足否出现来判断是否发生了入侵，即仟何不符合特定匹配条件( 检测规则) 的行为都是 合法的或可接受的( 哪怕其中包含隐蔽的入侵行为) 。模式匹配【1 4 1 现在成为入侵检测领域内 应用最广泛的检测手段和机制之一。存实际应用中模式旺配检测技术面对的问题主要有4 个：模式的提取模式的可调整性，增量匹配问题和优先级匹配问题( 住事件流对系统的处 理能j 乐力很犬的时候系统应该能够采取增量旺配的方式提高性能或者根据预设策略暂缓 低优先级事件规则的处理) 。 1 9 9 4 年k u m a r 等对误用检测模型进行了层次化分析【3 ”，提出误用检测模型可以分为信 4 第1 章引言 息层、匹配引擎层、规则层和决策层，其中每一层不依赖别的层次而存在。信息层封装审计 数据并向r 提供一个和被审计计算机系统的底层接1 5 ，当新的审计数据源出现时，例如网络 设备日志、网络报文或者系统网络服务只志等，可以集成到现有的误用检测系统框架中来。 规则层则提供一个独立于系统的检测规则的中间表达形式和一个独立于特定系统的虚拟机 以表达规m u 特征所处的1 二下文环境，不同的规则描述方法可以独立于系统构架被实现。匹配 引擎层封装r _ j 来匹配的不同算法，提供在信息层和规则层基础上进行检测运算的功能，这 样滥用检测系统就可以独立于特定的匹配算法，当新的匹醚机制庶用时可以集成到系统中 米。决策屡则封装了系统管理功能。 信息层匹配弓擎层规蜊层 审计数据f 、卜u1 匹配；擎 1 l 一 图1 6 ：误用检测通用模型 图1 - 6 描述，一个通用误用检测模型；这种检测方法的缺点在于系统表现取决于特征 库的选取( 自动或者手动) ，因而维护的工作量较大，但其检测的准确度很高，检测速度快 因而具有很好的实用性，而且每种检测结果都有己知攻击模式和可以预测的攻击后果( 权限 提升、信息泄漏等) ，有利于管理员采取措施或者制定自动响应政策，目前被广泛的应用于 工业领域。因此我们的研究也选择基于误用检测进行。 基于网络的误用检测 根据前面的分析，本文选择采用基于嘲络的误用检测技术作为研究的基础通过考察， 基于网络的误用检测可以从数据采集的角度分为3 类： 1 ) 单包入侵检测： 单包i d s 的结构如图1 4 和附录c 所示，系统通过r a w s o c k e t ( 原始奁接字) 【96 】或者 l i b p c a p7 等文件设备从网络中不断捕获i p 数据包8 ，简单判断i p 首部信息后选择对应的规则 链，然后考察该规则链中的各个规则对i p 负载( p a y l o a d ) 数据进行匹配处理，如果命中( h i t ) 则根据采取规则指定的响应动作。系统考察网络数据的单位是i p 包，其j 二作流程如附录c 所示。这种检测技术比较原始，不能检测分布在不同i p 包中的数据特 i f 的联合特征，也不 能检测和t c p 会话状态相关的规则。由于考察的空问限制在同一个i p 包范闸内，也很可能 由于别有用心的攻击者通过伪造攻击数据而产生误报，形成新的d o s 攻击源。由于不需要 维持数据或状态的缓存，单包检测系统的性能相对较高。 2 ) 多包联合入侵检测： 7 l i b p c a p ， 个开放源码的跨平台m 络数据包捕获晒数库，支持b p f ，h t t p ：w w w t c p d u m po r e , 8 很多文献小严格区分数据包和数据报等概念，本文以帧( f r a m e ) ，数据包( p a c k e t ) 和据文( s e g m e n t ) 来严格区分数据链路层，i p 层和t c p 层的不同数据单位，以流量( t r a f f i c ) 泛指网络数蜊。 东南大学顾士学位论文 多包联合检铡技术同样以i p 包为次检测的单位，并通过设置+ 啶的缓冲区存储过去 一段时间内系统的状态信息，比如隶属同t c p 会话的此前1 0 0 个事件，并在新命中事什 产生时榆索和前面缓冲的事竹之间关系，判断命中符合更高一层的规则。这种检测方式能够 判断分布在不同i p 包内的特征通过逻辑谓词连接的联合特征，可是无法检测人为分割在不 确1 p 数据色里面的t c p 层数据，例如住登录f t p 站点时，将“u s g rr o o t ”分两次发送变成 “l l s e fr ”+ “o o t ”，因而也，f ：能解决规避技术的挑战。这种检测技术具备啶程度的t c p 检 测能力，比如将登录f t p 的用户名和服务器反馈的登录成功与否信息联合起来考察，但不 能解决针对t c p i p 的规避问题。由丁l 规则的匹蹲己运算单位依然是i p 数据包，因此多包联合 检测系统的性能也比较高。 3 ) t c p 层入侵检测： 通常基于t c p 层的1 d s 按照一定的策略( 比如按照l i n u x 内核的t c p i p 实现方式) 从 原始数据中还原t c p 层的会话数据，并选择一定的时机( 例如会话结束时) 提交分析引擎 - 3 t 分析。这种i d s 可以对t c p 数据流中的网络服务原语进行分析，运用协议分析技术检 测特定的网络协议，例如t e l n e t ，f t p 和r s h 这种检测技术还原t c p 会话数据，使i d s 的检测空间扩艘到整个t c p 会话流，而且一定程度上避免，规避技术的影响，其难点在丁- 如何高效的缓冲t c p 会话数据和选择什么时机提交t c p 层数据到检测引擎。由于必须维持 t c p 会话的状态和数据，这种检测技术的计算量很大，性能不高，不适合于对强到达流网 络服务的检测。由于历史原冈和i n t e m e t 的开放性，t c p f i p 的实现方式并不统一，因此t c p 层入侵检测的最大问题在于其只能模仿其中一种策略进行t c p 数据的还原运算，和端系统 实际表现不能非常严格保持一致，但对j 二重点保护的特定网络系统有较好的抗规避效果。 随着技术的进步，r 述3 种入侵检测技术也在不断的发展。单包榆测系统可以通过协议 分析等手段进一步减少匹配的数据范围，也可以根据i p 负载中的t c p 报文首部信息( 例如 a c k 位) 进行简单的会话状态判断。多包联合检测技术则适合剥人流量网络进行分布式采集 和集中式检测。t c p 层入侵检测更多地被用于对特定环境的重点网络服务的审计。 1 2 3 入侵检测研究现状 方面 目前关于入侵检测的研究主要包括入侵检测体系结构、可替代检测技术和入侵响应这3 1 ) 入侵检羽l 体系结构：早期的入侵检测系统都娃单点式的，而没有考虑协同检测以及 j 其他安全设备的互通问题美m ) j h j 人学d a v i s 分校的c i d f 9 ( c o i f i i i i o i ii n t r u s i o r ld e t e c t i o n f r a m e w o r k ，通用入侵检测框架，【6 】) 研究探讨通用的入侵检测体系结构并引发j ，这个领 域的相关研究，目前有基于主机代理基于分布式网络传感器1 8 j ，基j 二移动代理1 9 等研究 方向。 2 ) 检测技术：关于检测技术的研究一直比较活跃，虽初的研究很多都是基于特征检测 ( s i g n a t u r e b a s e dd e t e c t i o n ) 的，因此各种高速匹配算法陆续出现【”l 。很多关于字符串匹 配卡门动机方面的成果对后期的入侵检测研究具有极大的指导意义。9 0 年代以来，各种入 9 c i d f ，h l t p ：w w w i s ie d u g o s d c i d f 6 第1 章一l 言 侵检测技术纷纷出现，检测算法的研究呈多样化趋势【1 1 1 。 数据挖掘( d a t am i n i n g ) ：一种从大量的实体数据中抽象出模型的处理技术，其发现潜 在知谚 的过程可用于建立入侵检测模型1 1 2 1 ，序列模式的挖掘和高效维护算法是目前研究的 重点。由于数据挖掘技术要求一定的训练期，并且运算耗费比较大，目前基于数据挖掘的入 侵检测还缺乏比较实用的高效算法。 免疫系统方法( i m m u n o l o g i c a tt e c h n o l o g y ) ：由美国新墨两哥大学提出的基于免疫系 统方法的入侵检测【1 3 】将生理免疫系统原理应用于系统保护机制中，其关键在于识别“自 我( s e l f ) ”和“非自我( n o n s e l f ) ”的能力，类似于免疫系统中决定实体无害利有害。该 方法具备很好的前景，但由于必须丁事先对“自我”有完整的描述，很难成为入侵检测的彻 底解决方案。 有色p e t r i 网( c o l o r e dp e t r in e t ，c p n ) ：这种检测方法用c p n 来描述榆测规则，采 用c p n 的推理机制，按照字符匹配的原理在离散事什流内旺配给定模式的事件序列。1 9 9 5 年k u m a r 在总结攻击模式的分类的基础上使用有色p e t r i 网给山了一个原型系统i5 1 ，首次将 有色p e t r i 网技术用于设计入侵检测的匹配引擎，但是基r 有色p e t r i 网的多模式匹配问题至 今仍没有得到很好的结果。此后荚国i o w a 大学的h e l m e r i ”i 从移动代理的角度进行研究也取 得了开创性的进展。这种检测方法最大的优势在丁有色p e t r i 网的描述能力很强【1 1 1 ，因而系 统的规则表达方式很灵活，检测的正确率高。 3 ) 入侵响应( i n t r u s i o nr e s p o n s e ) ：指能够阻i r 入侵行为、降低系统遭受的损失、甚 至对系统进行恢复的系统，其= 作方式可以分为主动响应和被动响应两人类”，前者指不通 过管理员直接对被攻击的目标系统采取有针对性的保护动作，后者则并不直接对被攻击目标 采取有针对性的动作【1 6 1 。这个领域内的研究主要从响应政策和响应机制两个角度进行。 1 2 4 已有i d s 的不足 本节介绍2 个试验，爿：由此引j f 5 对已有 d s 的两方面漏报问题的关注与分析，本文的 研究针对这两种漏报问题展开，侧最于分析解决第一类漏报问题。 复杂攻击的检测 通常有经验的攻击者会选择巾继攻击或者心受害主机做中继服务器来逃避入侵检测，其 原理都是通过远程控制技术利t j 中继土机向受害土机进行攻击，人为地将攻击的控制流和数 据流分裂到不同的时间和不同的卒问里面，使传统意义上的i d s 很难检测。f t p 服务由j 二 协议设计时专注丁开放性和使崩方便，所以常常被攻击者利用实施中继攻击，通常称做f t p b o u n c e 攻击。 f t pb o u n c e 攻击( 又称f t pr e l a y 攻击或f t p 反弹攻击) 针对f t p 协议1 3 8 本身的漏 洞进行，利用f t p 协议不审查p o r t 命令参数的漏洞将数据通过f t p 服务器上载( d u m p ) 到别的主机任意t c p 端口，可能造成权限提升，恶意扫描等后果。该类攻击可以将事先r 载到f t p 相关目录下的恶意脚本 二载到别的主机的网络端口上，形成信任关系的传递币】攻 东南大学顺士学位论文 击者权限的提升，也可以根据这种反射机制绕过防火墙进行连接试探，即网络扫描。关丁 f t pb o u n c e 的漏洞详细信息可以参考c e r t 的公告f 3 9 l 。由于该攻击利用r f c 9 5 9 规范的漏 洞，通过第三方去连接目标，这样不仅使追踪攻击者变得困难，并且能够避开基于网络地址 的访问限制，还能够绕过某些f t p 友好的防火墙【4 。f t pb o u n c e 这一类的攻击本质都是利 h 中问受害主机即f t p 服务器之连接别的主机特权端口，而r s h 作为远干呈脚本( r e m o t e s h e l l ) 服务至今仍被广泛川来维护系统，备份文件，具有一定代表性，因此本文选择f t p b o u n c et or s h 攻击实例。r s h 服务可以定制主机信任关系”，卜面观察通过f t p 服务的 p o r t 指令利用r s h 服务信任关系上载攻击脚本的攻击过程： m ；a x w u g r i d 9m a x w u lsk e r l e l v e r s i o n 2 哇 m a x w n g r i d 2m a x w n $ t e i n e t2 0 2 ，1 1 9 9 2 0 22 1 t r y i n g ：2 0 2 + 1 1 9 9 垒0 2 c o # m 删t 1 雠t o2 0 2 1 1 9 9 ：2 0 2 e s c a p ec h a r a c t e ri s l 2 2 0 一f i f e z i l l as e r v e rv e r s i o n0 8 9b e t a 2 2 0 一w r i t t e nb yt i mk o s s o t i m k o s s e x ，d e ) 2 2 0p l e a s ev i s i th t t p ：，8 0 u r a e f o 。g e n e t p r o j e e l s f i l e z i l l a u s 世rt e s t 3 3 1p a s s w o r d 唧i r e df o rt e s t p a s st e s t 2 0 0 5 2 3 0l o g g e do n t y p ej 1 2 0 0t y p es e tt o 芏 p o r t2 0 2 ，1 1 9 ，9 ，2 5 2 ，2 ，2 垒o op o r tc 捌州n a n ds u o o e s s f l r e t ra t t a o k s h 1 5 0o p e n i n gd a t ac h a n n e lf o rf i l et r a n s f e r 2 2 6t r a n s f e ro k q n i t 2 2 1g o o d b y e c o n n e c t i o nc l o s e db yf o r e i g nh o s t m a x w u g r i d 2m a x w u s 图1 7f t pb o u n c et or s h 攻击序列1 1 1 ) a 在通过扫描或其他手段获取b 、c 上开放的服务信息，包括f t p 和r s h 服务： 2 ) 事先在b 的f t p 服务器空r n j 内上传一个s h e l l 文件( 攻击脚本) ； 3 ) a 存b 上执行p o r t 指令，指定目标为c 的r s h 端口，b 返还指令成功信息； 4 ) b 发起向c 的特权端口( 这里以r s h 为例) 连接； 5 ) a br e t r 命令控制传输内辑为s h e l l 文什； 6 ) b - a 返同r e t r o k 信息，s h e l l 文什被上载到c 的r s h 端u ； 7 ) 山丁b 和c 具备信任关系，c 主机将执行s h e l l 文什，c 主机被攻击。 个简单的攻击s h e l l 文件的例子是“o r o o t o r o o t o r m f b o o t v m l i n u z 0 ”，该脚本的实 施会造成受害主机的内核链接被删除。为安全的模拟f t pb o u n c e 攻击，c 主机上运行 n e t c a t “，对t c p ：5 1 4 进行侦听，并将接受到的字符d m n p 剑屏幕上。 这一类攻击还包括f t pb o u n c et e l n e t ，f t pb o u n c ef t p ，f t pb o u n c e o o r t s c a n ， f t p _ b o u n c e _ h o s t s c a n 和利用j a v aa p p l e t 或者a c t i v e x 等w e b 应用结合f t p 协议来打丌防 伸通常u n i x 系统在e t c r h o s t s 文件记录f 占任关系；r s h 服务常用t c p 端口5 1 4 ”这罩的f f p 服务器为f i l e z i l l a 0 89 ， 个遵循g p l 的f t p 服务器，h n p ：s o u r c e f o r g e n e l p r o j e e t s f i l e z i l l a ”n e t c a t ，儿命令 ，t 具为n c ，u n i xr 4 , 境下的嘲络调试工具，常被黑窖用咀做中继服务来绕过防火墒或 逃避入侵检测th l t p ：n e t c a ts o u r c c f o r g e n e # 8 第1 章引言 火墙的访问控制等很多表现形式，其特点为是通过f t p 协议的漏洞通过f t p 服务器对第 者进行攻击，传统的简单分析的入侵检测系统很难完整重构整个攻击过稃。图1 - 7 显示了 通过控制台手t 进行f t p b o u n c e t o r s h 攻击的指令，其中p o r t 命令指定的上载端口号以 两个削逗号隔开的阿拉伯数字形式给出，如果这两个数字按顺序为x 和y ，则端口号为 ( x * 2 5 6 + y ) b c a b 十罕l 司 3s 2 b 一 | u 一! i ：- 三一4 二 | 时间 a 图1 8 ：f t pb o u n c et or s h 攻击序列图图1 9 ：f t pb o u n c et or s h 攻击示意图 这个攻击一共包含7 个步骤，其中可以通过网络数据分析来检测其中的步骤l 撕，而步 骤1 的形式并不固定可以是端几扫描或主机扫描等，步骤2 6 分布在两个t c p 会话空问 中， 2 ，3 ，s l a j p ：( 1 0 2 4 ) 一b i p ：2 1 平 4 ，s i s i p ：2 0 一c i p ：( r s h p o r t ) 。传统的i d s 无法 将这些不同仃点不同时刻信息保存下来综台分析，因而很难检测类似的复； 攻击。 本文研究的层次型入侵检测模型运用传统i d s 来发现可能属于复杂攻击某个步骤的行 为，再对传统i d s 输出进行基于p e t r i 网的匹配运算来检测复杂攻击。 规避入侵检测 在研究过程中，我们在不同的平台进行了模拟攻击试验，包括m sw i n d o w s x p 和r h l i n u x ( k2 4 ) ，s u s el i r m x8 和k n o p p i x 3 3 ，在使用系统缺省的t e l n e t 工具进行f t p 控制连接 的交互时，发现不同的系统会采取不同的数据传输方式。考察一次f t p 登录实例，用户账 号l i u 从2 0 2 1 1 9 9 2 0 2 系统为w i n d o w s x p 的主机登录到地址为2 0 2 1 1 9 9 8 ，在w i n d o w s2 0 0 0 平台上运行s e r v u4 0 的f t p 服务器通常方式为t e l n e t 到2 0 2 1 1 9 9 8 主机的2 l 端j ，待 连接建立后输入指令“u s e rl i u4p a s s “ q u i t ”。通过e t h e r e a l ”捕获的网络i p 包如 图1 1 0 ( 省略了部分信息) 。 ”这罩用+ 号代替叫史密码 ”e t h e r e a l ，皋于w i n p e a p 的州络嗅包器，遵循g p l ，h 柱d ：w w e i h e r c a lo r g 9 东南大学颤十学位论文 图1 - 1 0 ：e t h e r e a l 捕获的w i n d o w s x p 平台t e i n e t 报文 山蚓1 1 0 可以清晰地看出，“u s e rl i u ”整个命令行在输入回年符之前就1 1 经被输出至 t c p 会话t 1 、，进一步地观察数据包出现序列( 附录b ) 可以发现，在t e l n e t 客户端每产生一 个击键动作，就会有一个字节的数据被发送到f t p 服务器，不论是否为可硅示字符。1