（计算机科学与技术专业论文）支持高精度告警的网络入侵检测系统的设计与实现.pdf

北京邮电大学硕士学位论文 支持高精度告警的入侵检测系统的设计与实现 支持高精度告警的 入侵检测系统的设计与实现 摘要 随着漏洞的频繁出现和网络攻击事件的不断发生，网络安全问题 日益成为人们关注的焦点。多种网络防御技术被提出并应用于网络管 理体系中，起到了一定的积极作用。入侵检测系统就是其中一个较为 有成效的重要部分。 入侵检测概念白1 9 8 0 年提出以来，在体系结构、检测效率、检 测技术等方面取得了多项突破性的进展，以满足于高速网络及对大量 的告警信息的统计和分析要求。然而，另一方面，入侵检测在可用性、 易用性方面还存在着较大的问题，其中一个原因就在于其告警信息过 于简单，用户难以对攻击的特点有全面清晰的认识，从而给入侵检测 系统的普及和推广带来了困难。基于以上原因，本论文在对网络攻击 进行有效分类的基础上，提出了一种支持高精度告警的入侵检测系 统，使得入侵检测系统能够将网络攻击的主要特征反馈给用户，从而 让用户能够准确全面的了解攻击，及时采取相应的防范措施。 本论文首先介绍了高精度告警概念提出的背景和意义。接着，介 绍了攻击分类体系的形成过程，并对各个属性的内容用表格的形式进 行了详细描述。在第三部分，本文对典型的入侵检测系统s n o r t 进行 了结构层面的分析，并重点介绍了其独特的插件机制。第四部分具体 介绍了支持高精度告警的入侵检测系统的设计与实现的过程。最后， 本文指出了系统尚未解决的一些问题，并提出一些改进的建议。 关键词：入侵检测系统；高精度；告警；s n o r t ；插件 北京邮电人学硕士学位论文 支持高精度告警的入侵检测系统的设计与实现 t h ed e s i g na n di m p l e m e n t i o no fi d s ：s u p p o r t i n gh i g h p r i c i s ea l e r t a b s t r a c t w i t h f r e q u e n te m e r g e n c e o fs o f t w a r e v u l n e r a b i l i t y a n di n t e r n e t a t t a c ke v e n t ，n e t w o r ks e c u r i t yb e c o m e sas e r i o u sm a t t e rt h a tp e o p l ei s p a y i n g c l o s ea t t e n t i o nt o d a yb yd a y p e o p l eh a v ep r o p o s e dal o t o f n e t w o r k d e f e n d i n gt e c h n o l o g i e s ，w h i c h a r e a p p l i e d t ot h en e t w o r k m a n a g e m e n ts y s t e ma n dp l a y a na c t i v er o l ei ni t i n t r u s i o nd e t e c t i o n s y s t e m ( i d s ) i s o n eo ft h e i rc o m p a r a t i v e l ye f f e c t i v ei m p o r t a n t p a r t s s i n c et h ec o n c e p to fi n t r u s i o nd e t e c t i o n ( i d ) w a sb r o u g h tf o r w a r d i nt h ey e a ro f1 9 8 0 ，i th a sm a d eal o to f b r e a k t h r o u g hp r o g r e s si nm a n y a s p e c t s ，s u c h a s s y s t e ms t r u c t u r e ，d e t e c t i o ne f f i c i e n c y , d e t e c t i o n t e c h n i q u e ，e t c ，i no r d e rt om e e tt h ei n c r e a s i n g l yh i g h s p e e dn e t w o r ka n d t h ed e m a n dt os t a t i s t i c so fa l a r g en u m b e r o fa l e r ti n f o r m a t i o n h o w e v e r ， t h e r es t i l ll i es o m ep r o b l e m si ni d s ，o fw h i c hac r i t i c a lo n ei st h ea l e r t i n f o r m a t i o ns e e m st o os i m p l e ，a n dt h eu s e r sa r eh a r d l yt ok n o wt h ek e y p o i n to fn e t w o r ka t t a c k ，w h i c hm a k e si t d i f f i c u l tf o rt h ed e v e l o p i n go f i d s b a s e do nt h ec l a s s i f i c a t i o no fn e t w o r k a t t a c k ，an e w k i n do fi d sh a s b e e n i m p l e m e ：n t e d t h en e w i d sc a n p r o v i d eh i g h p r e c i s ea l e r tm e s s a g e s a n d s u p p l y t h em a i nc h a r a c t e r i s t i c st ou s e r t h e nt h e u s e r sc a n i m m e d i a t e l yg e tt ok n o w t h et o t a la s p e c t so ft h en e t w o r ka t t a c ka n dt a k e t h ec o r r e s p o n d i n g p r e c a u t i o n a r ym e a s u r e s i nt i m e 3 ! 堕堕皇奎堂塑主! ! 焦堡苎 塞堑壹塑堕宣篁壁垒堡竺型至竺塑堡生量塞垫 t h i st h e - s i sf i r s t i n t r o d u c e dt h e b a c k g r o u n d a n d s i g n i f i c a n c e o f h i g h l yp r e c i s ea l e r r ，a n dt h e nr e p o r t e dt h ec l a s s i f i c a t i o ns t r u c t u r eo f n e t w o r ka t t a c k t h el a t t e r p a r td e s c r i b e di nd e t a i lt h ec o n t e n to fe a c h a t t r i b u t eo fa t t a c k i nt h et h i r dp a r t ，t h et h e s i sc a r r i e do nt h ea n a l y s i so f t h es t r u c t u r ea s p e c tt o t y p i c a li d ss n o r t ，a n di n t r o d u c e di t su n i q u e p l u g i n m e c h a n i s m e s p e c i a l l y t h ef o u r t hp a r tr e p o r t e dh o wt h ei d ss u p p o r t i n g h i g h p r e c i s e a l e r ti s i m p l e m e n t e d a n df i n a l l y , t h et h e s i s p o i n t e do u t s o m e p r o b l e m st h a tt h es y s t e mh a dn o ts o l v e dy e t ，a n dp u tf o r w a r ds o m e i m p r o v e ds u g g e s t i o n s k e y w o r d s ：i d s ；h i g h l y p r e c i s e ；a l e r t ；s n o r t ；p l u g i n s 声明 独创性( 或创新。陛) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中 不包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或 其他教育机构拘学位或证书而使用过的材料。与我同工作的同志对本研究所 做的任何贡献：啕已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 型墅垒丕 日期：塑：三：丝 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权 保留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅 和借阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印 或其它复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密 论文注释：本学 本人签名： 导师签名： ，适用本授权书。 日期：至堕：i ：缓 日期：五盟：j ：圣 北京邮电大学硕上学位论文 支持高精度告警的入侵检测系统的设计与实现 1 1 背景 第1 章绪论 随着计算机网络技术的快速发展和网络的迅速普及，计算机在人们的 ：作和 生活中发挥越来越重要的作用。为了快速获取信息、发布信息和交流信息，各种 机构、企事业单位都连入因特网；无数的个体为了快速方便地学习、搜集信息、 与他人交流和休闲娱乐，也纷纷将主机加入因特网。网络使得世界在变小，网络 己经使包括个人、企业与政府等在内的全社会信息共享成为现实。 互联网给人们的工作和生活带来了无穷的便利，这是在多年以前人们难以想 象的。然而，随着网络规模的扩大和黑客技术的不断发展，网络与信息安全问题 日益成为人们关注的焦点。近几年，越来越多的攻击工具和攻击手段被用来攻击 网络中的主机或某一局部网络，入侵和攻击的案例日益增多。各种攻击行为影响 了人们的日常工作，也给信息安全带来了严峻的挑战。 因此，研究人员制定和研究了多种安全策略，如加密算法、物理隔离、身份 认证和识别( it 受a ) 、防火墙、访问控制等，以提高网络和系统的安全性。然而， 这些并不能够完全的抵御入侵，原因有如下几点： ( 1 ) 仅有防火墙的防护措施是不够的。因为防火墙只是对外部网络和内部网络之 间的数据进行检查，然而并不是所有的访问都需要经过防火墙。此外，安全 威胁也可能来自网络内部，对于这样的情况，防火墙就无能为力了。 ( 2 ) 许多有各种安全缺陷的软件产品存在于网络的各个角落，很容易被黑客利用 于闯入系统窃取保密信息或造成系统拒绝服务。 ( 3 ) 一些网络管理用户缺乏安全意识，从而导致其口令设置过于简单或管理不 善，易被攻破。 ( 4 ) i p v 4 在设计上对安全考虑不足，存在许多协议漏洞，使得路由攻击、a r p 欺骗、i p 欺骗和多种拒绝服务攻击不可避免。而且，不少应用层协议( 如 p o p 3 、f t p 等) 采用明文传送认证口令，容易被窃听。 因此，作为传统计算机安全机制的重要补充，入侵检测系统r i n t r u s i o n d e t e c t i o ns y s t e m ，简称i d s ) 日益成为网络与信息安全防护体系的重要组成部 分。自1 9 8 0 年被提出以来，i d s 在这2 0 多年间得到了较快的发展。特别是近 几年，由于非法入侵不断增多，网络与信息安全问题变得越来越突出。i d s 作 为一种主动防御技术，越来越受到人们的关注【1 1 。 北京邮电大学硕七学位论文 支持高精度告警的入侵检测系统的设计与实现 1 2 入侵检测和入侵检测系统 1 2 1 入侵检测系统的l l t , 念 入侵检测是检测计算机网络和系统以发现违反安全策略的过程【2 】，其分析方 法可归纳为两类：异常检测( a n o m a l yd e t e c t i o n ) 和误用检测( m i s u s e d e t e c t i o n ) 。 异常检测主要搜索稀少的、不经常发生的事件，一般使用统计方法，通过分 析系统事件流来发现异常事件，常用技术有d e n n i n g 的原始模型 3 j 、量化分析、 基于规则的方法以及神经网络等； 误用检测则主要搜索异常行为的信息，即搜索与已知攻击相匹配的活动模式 或与安全策略冲突的事件。常用技术如产品专家系统、状态转换方法、基于模 型的方法和用于批模式分析的信息检索方法等。 将这两种分析方法结合起来，能够获得更好的性能。异常检测引擎可以使系 统检测新的、未知的攻击或者其他情况。误用检测引擎则能够防止耐心的攻击者 通过逐步改变行为模式而使得异常检测引擎认为该行为合法，从而保护了异常检 测的完整性【2 。 入侵检测系统用于监视并分析计算机系统和网络中传递的信息，从中发现来 自网络外部的攻击行为和网络内部的违规行为 5 。具体来说，入侵检测系统主要 实现如下功能【6 】： ( 1 ) 检测并分析用户和系统行为； ( 2 ) 审计系统配置及漏洞； ( 3 ) 评估关键系统和数据文件的完整性； “) 对已知攻击的活动模式的识别； ( 5 ) 异常活动模式的统计性分析； ( 6 ) 操作系统审计过程管理，并识别用户违反安全策略的行为； 1 2 2 入侵检测系统的分类 入侵检测系统有多种分类方法。按照分析数据的来源，可将入侵检测系统分 为两类：基于主机的入侵检测系统( h i d s ) 和基于网络的入侵检测系统( n i d s ) ”j 。h i d s 位于某台主机之中，用于保护关键的应用服务器，它以该主机的系统 日志等作为数据源，并对该主机的进出数据流、系统的完整性以及可疑的进程进 行检测；n i d s 主要以从网络中收集到的流量为数据源，通过模式的匹配与分 析来确定是否存在攻击行为。 按照控制策略分类，还可以将入侵检测系统分为集中式i d s 和分布式i d s 。 其中，集中式i d s 设置个中央节点，各采集器则将网络数据包都发送到该中 北京邮电大学硕士学位论文支持高精度告警的入侵检测系统的设计与实现 央节点进行处理；此时，中央节点成了网络处理能力的瓶颈，而且容易受到攻击 者的控制。分布式i d s 有多个处理器，对网络数据包进行分层、分布式处理。该 i d s 有效的解决了集中式i d s 的问题，但是通信过程的数据传输效率、保密安 全性等新问题尚未得到很好的解决。 1 2 3 入侵检测系统的标准化工作 为解决入侵检测系统之间的互操作性，以及有利于对i d s 进行测试和评价， 国际上的一些研究组织开展了i d s 的标准化工作，主要包括c i d f ( c o r n m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k ) 和i d w g ( i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ) 。下 面主要对c i d f 的标准化工作进行介绍。 c i d f 的标准化工作侧重于i d s 之间的合作，因此它把重点放在了不同组 件之间的通信语言的标准化e 。c i d f 提出了一个通用的入侵检测框架，并进 行了各个组件之间通信协议和a p i 的标准化，从而达到不同i d s 组件之间的通 信和管理。 在c i d f 定义的入侵检测框架中，它将一个入侵检测系统划分为四个相对 独立的组件：事件产生器( e v e n tg e n e r a t o r s ) 、事件分析器( e v e n ta n a l y z e r s ) 、响 应单元( r e s p o n s eu n i t s ) 、事件数据库( e v e md a t a b a s e s ) 。所有四个部件所交换数 据的形式都是通用入侵检测对象( g e n e r a l i z e d i n t r u s i o nd e t e c t i o no b j e c t s ( g i d o s ) ) ， 并使用公共入侵规范语言( c o m m o n i n t r o s i o ns p e c i f i c a t i o nl a n g u a g e ( c i s l ) ) 表 示。该框架的架构图描述如图1 - 1 所示。 事 反 图1 - 1 c i d f 架构图”1 c i d f 将i d s 需要分析的数据统称为事件( e v e n t ) ，它可以是网络中的数据 包，也可以是从系统日志等其他途径得到的信息。 事件产生器从整个计算环境中获得事件，并把事件转化成标准的格式以便系 统其他部分使用；事件分析器分析输入的格式化后的事件，进行真正意义上的入 侵检测，并产生新的g i d o s ( 分析结果) ，这些新的g i d o s 可以被看作是输入 事件的总结或综合，或是一个告警；响应单元则是按照输入的g i d o s 做出反应 的功能单元，它可以进行切断连接、改变文件属性等措施，也可以只是简单发出 北京邮电大学硕士学位论文 支持高精度告警的入侵检测系统的设计与实现 告警；事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数 据库，也可以是简单的文本文件。 c 1 d f 从组件的通信着手，完成了一系列的标准化工作，包括组件问的通信 协议、组件问统一的语言c i s l 、通信a p 等。可以说，如果完全按c i d f 的 标准进行开发，能够达到异构组件间的通信和管理8 1 。 1 3 入侵检测系统存在的问题 目前，尽管i d s 得到广泛的应用，而且标准化工作正在迅速的进行着。但 在技术上还存在着很多需要解决的问题。其主要表现在如下几个方面：1 2 1 9 1 ( 1 ) 层次结构不合理导致性能瓶颈。 当前许多i d s 采用的是集中统一收集和分析数据的体系结构，而还有一些 i d s 则是用多种标准从被监视的多个分布式主机上收集分散的数据，但这些数据 仍要由一一台完全独立的机器集中分析处理。该体系结构容易造成单点失效、可扩 展性较差、i d s 重新配置或增加功能困难等问题，也是导致多数i d s 处理效率低 下的主要原因之一。 ( 2 ) 检测速度欠缺提高了i d s 的不可靠性。 近几年来，网络速度得到了飞速发展，大量网络技术如a t m 、千兆以太网、 g 比特光纤网等近年不断出现，而且随着网络的普及程度越来越高，数据量不 断增大。这些都对i d s 的检测速度提出了很高的要求和挑战。较低的入侵检测 速度势必会造成数据包的丢弃，而数据流的不完整也将提高误报和漏报率，进而 影响了i d s 的可靠性。 ( 3 ) i d s 自身的健壮性较差。 攻击者为了获得攻击的效果，需要避过i d s 的检测，或者甚至对i d s 进行 攻击，使其失去响应。目前对i d s 的攻击主要有两种方法。第一种方法是使得 i d s 不断产生告警信息而停止响应。如2 0 0 1 年3 月，c o r e t e z g i o v a n n i 编写的s t i c k 使得i s s 和s n o r t 造成了3 0 秒以上的停顿。它读取s n o r t 的规则，然后按照s n o r t 的规则封装数据包，从而使得i d s 不停的进行告警，失去反应甚至产生崩溃现象。 第二种方法是通过填满i d s 的硬盘空问而造成告警信息的丢失，从而使得i d s 失去了其存在的意义。 ( 4 ) 标准化程度低，互操作性差。 虽然标准化组织c i d f 和i d w g 都完成了一定的工作，但是，现在各i d s j e 京邮电大学硕士学位论文支持高精度告警的入侵检测系统的设计与实现 主要厂商几乎都没有支持当前的标准，封闭的a p i 使得各i d s 之间几乎不能 够进行互操作。较低的标准性水平也给i d s 的评测以及用户的选择造成了大量的 困难。 ( 5 ) 误报率和漏报率较高。 误报是指i d s 对正常的流量进行了告警，从而导致用户做出错误的反应； 较高的误报率不仅会增加用户的负担，容易造成真正攻击的逃避，而且会使得 i d s 的告警目志填满，并可能失去响应。漏报是指i d s 没有检测出需要处理的 异常数据包；漏报是入侵检测最致命的弱点，如果检测不到攻击，那它就不能够 承担用户的信任。按照许多专家的估计，目前系统管理员大概需要花2 0 左右的 时间来处理每日的误报。而漏报现象也是非常严重的，尤其在千兆网络环境中。 一方面，某些黑客会采用新的攻击方式，将传送的信息进行拆分，伪装成正常的 信息发送，致使i d s 检测不到它；另一方面，在千兆的流量下，对每一个信息包 进行检测且必须保持较高的速率，同样是非常困难的。 ( 6 ) 告警信息的可读性较差。 当前告警输出对象已经呈现出多样化的趋势，有文件、s y s l o g 、 u n i x s o c k e t 、数据库等。然而，告警信息的格式倾向于帮助分析程序进行大规模告警 信息的统计工作，即使用形式化语言对网络异常数据和较少的攻击信息进行表 示，如a c i d ( a n a l y s i sc o n s o l ef o ri n t r u s i o nd a t a b a s e s ) 等分析工具能够对s n o r t 的告警数据进行批量的分析，挖掘，发现潜在的攻击倾向，以有助于合理而有效 的对s n o r t 进行配置。然而，这种告警信息格式的可读性却并不能令人满意。由 于告警信息中缺少攻击的具体信息，用户很难立即从中发现该攻击对本地网络的 影响程度和影响范围，这严重影响了i d s 的可用性和普及能力。 1 4 国内外入侵检测技术的研究情况 针对上述这些问题，国内外从各角度开展了广泛的研究，工作主要集中在以 下几个方面： ( 1 ) 提高检索效率，以适应高速的网络。 在这方面有s u nw u 和m a n b e r 提出的基于过滤思想的多模式匹配算 法1 1 0 ，m i k e f i s k 和g e o r g ev a r g h e s e 在b m 的基础上提出的s e t w i s e b o y e r - m o o r e h o t s p o o la l g o r i t h m 1 ，这些算法将模式匹配并行化，极大提高了匹 配速度。袁华鹏等提出对攻击模式的子模式进行分级定义的想法，并对不同的模 式采用不同的匹配方法m 1 ：任晓峰等则通过实验表明了通过动态调整规则匹配顺 北京邮电大学硕士学位论文支持高精度告警的入侵检测系统的设计与实现 序能够提高深度检索速度u ”； ( 2 ) 改进检测方法，减少误报和漏报。 当前许多i d s 产品，如s n o r t 、l i n k t r u s t ”。 d s 、n e t e y ei d s 等，都采用 了各种新的协议检测方法来降低其误报率和漏报率，如：1 p 碎片重组、t c p 会 话跟踪、t c p 流汇聚、协议分析、特征检测、关联分析等。 ( 3 ) 改进行为抽象方法，提高i d s 智能化。 如刘美兰等提出将神经网络运用于i d s 中，使得i d s 具有自学习的能力， 提高系统的处理速度【1 4 】。 ( 4 ) 部署大规模分布式i d s ，适应大规模网络中对入侵的检测与防范。 在这方面，负载均衡的方法被提出并应用于i d s ，以解决带宽和检测速度之 间的矛盾；同时，一些分布式的思想运用到i d s 以增强其移动性能，如张仕山 等提出了一种基于加强安全机制的移动智能体的入侵检测系统，通过移动代理来 解决检测体之间的通信问题h 。 ( 5 ) 使用联动技术，建立全方位的网络防御体系。 通过构建统一的安全开放平台，将入侵检测和防火墙、防病毒、安全审计、 身份认证、v p n 等多种不同的网络安全产品在技术层面进行有机集成，以实现 最大程度和最快效果的安全保证。 以上讨论可以看出，以往研究所考虑的问题主要集中在提高i d s 的性能、检 测效果以及优化体系结构等方面，即，使得i d s 能够适应网络带宽的高速发展， 以及降低误报率和漏报率。在这些方面，国内外的进展是迅速的，也取得了大量 惊人的成果，并及时的运用到了系统中，取得了一定的效果。 1 5 论文的主要内容与结构安排 目前， i d s 在可用性方面的进展没有受到开发者的关注，然而这却正是用 户最关心的问题。该问题主要表现在：告警信息中对攻击的描述较少，提供给用 户的有用信息只有数据包中各层协议的解析数据。用户必须熟悉多种网络协议， 才能够清晰的了解告警信息所表明的攻击，以及该攻击可能造成的危害，从而对 防御策略的选择产生了一定的影响。攻击者往往利用了i d s 的这一弱点，在实 施攻击行动以前首先发送大量能引发告警的攻击包。这样，即使i d s 对真实 的攻击进行告警用户也难以快速的从大量的告警发现攻击。 为此，本文提出了一种支持高精度告警的入侵检测系统，以解决这一问题。 北京邮电大学硕十学位论文 支持高精度告警的入侵检测系统的设计与实现 该系统将网络攻击的主要特征反馈给用户，从而让用户能够准确全面的了解攻 击，及时采取相应的防范措旌。 在后续章节，本文将详细描述支持高精度告警的入侵检测系统的设计与实现 的过程。章节结构安排如下： 第+ 章，绪论。介绍设计入侵检测系统的概念以及国内外研究情况，继而引 出高精度告警的概念。 第二章，攻击分类思想介绍。介绍了攻击分类体系的形成过程，并对各个属 性的内容用表格的形式进行了详细描述。 第三章，网络入侵检测系统s n o r t 介绍。分别从使用和开发两个层面对开放 源代码的入侵检测系统s n o r t 进行分析，并重点剖析了s n o r t 的插件机制。 第四章，进行支持高精度告警的入侵检测系统的设计和实现。设计程序的实 现方法、配置：件格式、框架以及每个模块的实现方法。 第五章，结束语。指出本文中完成的工作，并指出目前系统中存在的一些不 足之处和需要改进的部分，并提出了一些改进的方向。 参考文献 1 褚永刚，杨义先入侵检测系统的技术发展趋势 h t t p ：w w w c 1 1 4 u e t t e c h n i c t e c h n i c r e a d a s p ? a r t i c l e i d = 5 1 6 5 & b o a r d c o d e = t e s t 2 0 0 3 ，1 0 2 l ( 2 r e b e c c ag u f l e yb a c e 入侵检测北京：人民邮电出版社2 0 0 1 1 5 2 6 3 】d o r o t h ye d e n n i n ga ni n t r u s i o nd e t e c t i o nm o d e l i e e et r a n ss o f t w a r e e n g1 9 8 7 ，s e l 3 ( 2 ) ：2 2 2 2 3 2 4 张仕山，庄镇泉，狄晓龙基于移动智能体的入侵检测系统，计算机应用研 究，2 0 0 3 ，2 0 ( 3 ) ：6 3 6 7 5 】任晓峰，董占球基于网络的入侵检测系统弱点分析计算机工程与科学 2 0 0 2 ，2 4 ( 0 6 ) ：2 0 - 2 2 ，3 1 1 6 1 r e b e c c a g u r l e yb a c e a n i n t r o d u c t i o nt oi n t r u s i o nd e t e c t i o na s s e s s m e n t f o rs y s t e ma n dn e t w o r k s e c u r i t ym a n a g e m e n t t h es e c u r i t ya s s u r a n c ec o m p a n y 1 9 9 8 【7 】刘春颂，杨寿保，杜滨基于网络的入侵检测系统及其实现计算机应用， 2 0 0 3 2 3 ( 0 2 ) ：2 8 3 l 8 】韩东海，王超，李群入侵检测系统实例剖析北京：清华大学出版社， 2 0 0 2 4 2 【9 】wj a n s e n ，pm e l l ，tk a r y g i a n n i s m o b i l ea g e n t si ni n t r u s i o nd e t e c t i o na n d 北京邮电大学硕士学位沦文支持高精度告警的入侵检测系统的设计与实现 r e s p o n s e h t t p ：c i t e s e e r n j n e c c o m j a n s e n 9 9 a p p l y i n g h t m l 2 0 0 1 1 0 2 3 1 0 s u nw u a n du d im a n b e r - af a s ta l g o r i t h mf o r m u l t i p a t t e r ns e a r c h i n g t e c h r e p t r 9 4 1 7 ，d e p a r t m e n t o f c o m p u t e rs c i e n c e u n i v e r s i t yo f a f i z o n a 1 9 9 4 5 1 1 m i k ef i s k ，, g e o r g ev a r g h e s e a na n a l y s i so ff a s ts t r i n gm a t c h i n ga p p l i e dt o c o n t e n t b a s e d f o r w a r d i n g a n di n t r u s i o nd e t e c t i o n t e c h n i c a l r e p o r t c s 2 0 0 1 0 6 7 0 ( u p d a t e dv e r s i o n ) ，u n i v e r s i t y o fc a l i f o r n i a s a n d i e g o ，2 0 0 2 1 2 袁华鹏，蔡军，葛家翔用多模式匹配的方法设计基于网络的i d s 计算机工 程，2 0 0 2 ，2 8 ( 2 ) ：1 5 2 1 5 4 【1 3 】任晓峰，董与球提高s n o r t 规则匹配速度方法的研究与实现，计算机应用， 2 0 0 3 ，2 3 ( 4 ) ：5 9 6 1 1 4 】刘美兰，姚京松神经网络在入侵检测系统中的应用，计算机工程与应用， 1 9 9 9 ，f 6 ) ：3 7 3 8 ，4 2 8 北京邮电大学硕士学位论文支持高精度告警的入侵检测系统的设计与实现 2 1 必要性 第2 章网络攻击行为分类技术研究 从第一章对入侵检测系统的分析可知，入侵检测系统提供给用户的告警信息 中一般只包含攻击的简单名称描述以及用等级描述的攻击危害程度，如严重、中 等、一般等等。用户通过这些描述，并不能直接了解到该攻击各方面的特点。 基于以上原因，本文认为，在告警信息中增加攻击的详细描述，能够提高i d s 的可用性。这样，用户从告警信息中就能够得到该攻击的大致特征，并能采取针 对性的防御措施。 然而，不同层次、不同研究领域的网络安全管理员对攻击特征的理解并不完 全相同。如：在国家网络安全的立场上，人们更多的关注传播性比较强的攻击， 解决如何有效抑制其扩散的问题；在主机安全的立场上，人们关心的是攻击结果 和破坏强度，咀有效的保护主机和关键数据的安全；在产品开发的立场上，除了 需要关心攻击结果以外，人们还关心攻击入口、平台、目标以及攻击所利用的漏 洞等攻击特性，进而有效的进行检测和防御攻击，提高安全系统和产品防御能力。 从以上分析可以看出，在对攻击信息进行描述的过程中，需要涵盖攻击各个 方面的特征。而对攻击进行分类，正是解决这一问题的一种方案。这就要求分类 必须能够涵盖攻击各个方面的特征，进而提取出攻击最基本的属性。 2 2 国内外攻击分类方法研究 在阅读大量的分类体系研究的文章过程中，本文发现，以往的分类方法由于 存在较强的目的性，在分类原则上存在一定的局限性和不一致性，从而使得其分 类结果产生了片面性，不能够作为攻击属性描述的依据。 因此，为了有效的衡量一个攻击分类的研究，著名的安全专家a m o r o s o 提 出了一些有益的建议，他认为攻击分类的理想结果应该具有如下6 大特征【“： ( 1 ) 互斥性：各类别之间不应有重叠。 ( 2 ) 完备性：所有可能的攻击都应属于这些类别中的某一类。 ( 3 ) 无二义性：类别划分清晰、明确，不会因人而异。 ( 4 ) 可重复性：不同人重复分类的过程，得出的分类结果一致。 ( 5 ) 可接受性：分类符合逻辑和直觉，能得到广泛的认同。 ( 6 ) 有用性：分类对于该领域的深入研究有实用价值。 在实际的工作中，开展分类研究主要是服务于最终的工作目标，重点考虑其 北京邮电大学硕士学位论文 支持高精度告警的入侵检测系统的设计与实现 有用性原则，虽然攻击分类结果很难满足以上6 个理想的特征，但这些特征对 于指导攻击分类研究工作方面还是有一定的借鉴意义，即需要满足无二义性、可 接受性和有用性原则。 研究国内外攻击分类方法，对了解分类历史情况，掌握最新分类体系，把握 分类方向，提出分类思想，确定分类原则，明确分类标准，借鉴分类成果等方面 都有十分重要的作用。本文在收集、分析国内外l o 多种攻击分类方法基础上， 系统的分析了各种攻击分类方法，理出了攻击分类方法发展的脉络，并将其归为 三类，即经验列表分类方法、单一属性分类方法、多个属性分类方法。 在对国内外攻击分类方法的研究过程中得出，提取多个属性对攻击的过程进 行描述的分类方法是目前攻击分类采用的主要方法，这种方法使得人们在分类方 法、攻击过程等研究方面逐渐深入，其实用性和分类的指导意义也逐渐得到提高， 这就为本文建立的新的分类体系，提供了很高的参考价值。 2 3 攻击分类思想描述 在攻击分类和攻击属性的提取问题上，本文认为：攻击是一个过程而不是一 个作用点。因此，想要全面的了解攻击，只获得其静态的属性是远远不够的，需 要将攻击过程分解成相互关鞋的几个独立阶段，并对每个阶段的属性进行独立的 描述，才能较准确、全面地体现出攻击过程的各个阶段的技术特点1 2 1 。在此思路 的指导下，本文提出了基于攻击生命周期的网络攻击分类体系框架，具体如下： 整个攻击过程分为三个阶段：起始阶段、作用阶段、结果阶段。首先是起始 阶段，攻击者需要收集目标系统信息，如目标系统的平台类型、攻击入口以及各 种漏洞信息，以获取实施攻击的基本条件：在此基础上，攻击者进入了攻击的第 二阶段，即，作用阶段，他可以利用各种手段对目标系统实施攻击，并且需要考 虑具体的攻击目标即攻击点；最后是结果阶段，攻击者对目标的攻击产生了影响， 主要体现在攻击结果、攻击的破坏程度、是否具有后续攻击表现等三个方面。 至此，本文提取出了攻击的平台相关性、漏洞相关性、攻击入口、攻击点、 攻击结果，破坏强度、传播性等7 项基本属性。其分类体系框架如表2 - 1 ： 北京邮电大学硕士学位论文 支持高精度告警的入侵检测系统的设计与实现 表2 1 基于生命周期的攻击分类体系框架 超雅黔鼹 i = 一 1 嘲酿赫i 蓑i 0j 鳝慕西渡 平台相关性涵日萄骥瞌? j| 鼍i 每媾睽皆爹 喾骥馘囊 “谣锚罐 。灏蝴麟? 10 _ 融 强设计漏洞用户接口帐户获取信息帐户强强 强 弱实现漏洞网络协议接f j文件修改信息文件弱 由 强 无配置漏洞网络管理接口进程拒绝服务进程 无 弱 强 无设备接口网络 利用服务网络 弱 内存升级权限内存强 2 4 攻击属性描述 下面按照攻击的生命周期顺序对上述攻击属性进行详细描述。 2 4 1 平台相关性 大部分攻击都是针对特定的操作系统平台发起的，进而表现出攻击与目标操 作系统平台有很强的相关性，如s l a m m e r 等许多攻击都只能针对w i n 2 0 0 0 平台进行，而s y nf l o o d 攻击，则可以针对多个平台进行。 从这个意义上，本文提取出了攻击的平台相关性，以表明一个攻击与操作系 统平台之间的相关程度。它分为三个等级，无、弱、强。其具体含义见表2 2 描 述。 表2 - 2 平台相关性 穆序譬睁嘉麟 鬻蕊薰! 攀 辩。誊 潮淄目$ 瓣二?i 碧溅蠢 j 0 警。妒磷辫圆糍嘲j 鬈曩+ 一 。x 攻击与任何一类攻击目标冲击波病毒仅对 1 无 平台之间不存在相关性w i n d o w s 平台起作用 攻击与攻击目标平台类型针对b i n d 的攻击往往对 2弱 之间存在一对多的关系l i n u x 和u n i x 产生威胁。 攻击与攻击目标平台类型针对t c p i p 协议族发起 3强 之间存在一对一的关系 的攻击，如s y n f l o o d 攻击 备注：一类目标平台类型指的是相同内核或者同一个厂商的操作系统，如 w i n d o w s ，l i n u x ，s o l a r i s 等。 北京邮电大学硕士学位论文 支持高精度告警的入侵检测系统的设计与实现 2 42渭洞相关性 按照m a t tb i s h o p 的定义，计算机系统和程序中的使得用户的做法与安全策 略相冲突的错误就是漏洞。从攻击的角度来看，攻击者利用这些漏洞，能够很方 便的突破目标系统的防御体系，进而获取更高级别的权限，并控制目标系统；从 防御的角度来看，了解了每一种攻击和漏洞的相关程度，能够为用户提供多种防 御手段，并指导用户进行最合适的防御，如通过配置漏洞而引发的各种攻击，通 过对系统的安全配置以进行更好的防御，对一些经常发生攻击的服务，只要用户 不需要，最好不要安装这些服务。 经过实例的分析和前人的经验，本文将漏洞具体分为设计漏洞、实现漏洞、 配置漏洞、无漏洞等4 类。其具体含义见表2 4 描述。 表2 4 漏洞相关性 程序中的撮漏 数值表示。斓瓣牲。蠢j i 磐j 。i i i ； 枢关攻击 。 n* 、 攻击者不利用漏洞而通d d o s ( 从不同的主机向 1 无漏洞过正常的通信渠道来达同一个目标不断发送数 到其攻击的目的据包，使其停止响应) 一 由于在设计阶段或者规t c p 的三次握手功能缺 2设计漏洞范定义过程中考虑不全陷使得操作系统易受到 面而导致的设计缺陷s y n f l o o d 攻击 由于程序员在编码过程缓冲区溢出漏洞利用了 3实现漏洞中缺乏安全方面的意识程序中对字符串相关函 而产生的程序缺陷。数的不安全用法。 管理人员在对系统或者超级管理员密码设置为 网络进行配置时缺乏安空或密码强度不够。 4配置漏洞 全意识或者对系统不了d e l o d e r 攻击正是利 解而采用了错误的方案用这一漏洞 2 4 3攻击入口 从操作系统的角度来看，计算机一般有用户接口、网络协议接口、网络管理 接口、设备接口等四个接口。从分析总结攻击例子的过程中本文发现，所有的攻 击都是从这四个接口进入系统的，正是因为这四个接口的存在，攻击才有可能发 生。从攻击的角度上来讲，为有效的发起攻击，寻找进入目标系统内部的“门户”， 是攻击者首先要解决的一个问题；从防御的角度上讲，如何在入口一级进行有效 防御也是极其重要的。一个攻击不管其危害程度有多大，只要它进入不了目标系 统，它就无法对其产生影响。 北京邮电人学硕士学位论文 支持高精度告警的入侵检测系统的设计与实现 因此，本文提取了攻击入口作为攻击信息的属性之一，表示系统与外界进行 信息交换的接口。其具体含义见表2 - 3 描述。 表2 - 3 攻击入口 程序中的 “攻击入膝。 囊畿足曩 爪口实例 数值表示 操作系统上安装的应用服i p 层以上协议( 不 1用户接口务提供的与外界进行交互含i p 层) 提供的服 的接口务，如w e b 、f t p 等； 操作系统能够与外界进行i p 层以下协议( 包含 2协议接口 网络通信所提供的接口i p 层) 提供的服务 操作系统增加网络管理功 3网管接口 能时，所涉及的网络管理s n m p 的管理模块 和配置模块与外界的接口 操作系统与各外围设备之 4 设备接口外围设备驱动程序 间进行通信所提供的接口 2 4 4 攻击点 在成功进入了目标系统之后，攻击者必定会对目标系统中的某些部分产生影 响，以实现其攻击的目的。从对攻击实例的分析中得出，不同攻击者的攻击目标 会有所不同。有些攻击针对网络，使网络瘫痪或性能降低，如s l a m m e r 攻击： 有些是攻击系统中的信息，如扫描攻击；而有些攻击则体现在对文件系统的操作 上，如对文件的读取、执行等，较为典型的例子就是u n i c o d e 攻击。为此， 本文将通过攻击能够对目标系统造成直接或间接影响的“点”定义为攻击点。