（计算机系统结构专业论文）入侵检测系统在路由器上的研究与实现.pdf

上海交通大学 学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下 独立进行研究工作所取得的成果。除文中已经注明引用的内容外， 本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。 对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式 标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：浆籼 日期：知移年t r i 珥日 上海交通大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定， 同意学校保留并向国家有关部门或机构送交论文的复印件和电子 版，允许论文被查阅和借阅。本人授权上海交通大学可以将本学位 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印或扫描等复制手段保存和汇编本学位论文。 保密囱，在上年解密后适用本授权书。 本学位论文属于 不保密口。 ( 请在以上方框内打“”) 学位论文作者签名：球弛 日期：娜年2 月斟日 指导教师签名： 嗍彬踢哕 入侵检测系统在路由器上的研究与实现 摘要 入侵检测系统作为一种有效的网络安全机制和手段，在互联网安 全日益受到重视的今天得到了越来越多的普及。许多研究机构和安全 产品厂商都纷纷推出了自己的入侵检测产品，入侵检测技术也日新月 异，其中采用签名库特征匹配进行入侵检测是应用较早也是最常用的 技术之一。作为网间互联的关键设备路由器，有关在其上实施入侵检 测方案的研究却仍处于起步阶段，特别是在国内，还没有真正成熟的 应用入侵检测系统的路由器产品。实际上，利用路由器所处网络位置 的优势，在其上加载入侵检测系统不仅可以有效提高网络安全性能， 降低网络安全成本，而且在增强网络数据传输的安全性、保证网络安 全可靠的同时，提高了路由器的市场价值。对此，本文对在路由器上 设计实现基于签名库特征匹配的入侵检测系统进行了有益的尝试。 本文首先分析了互联网的安全现状，给出了互联网的安全对策和 目标，并从互联网的安全分层和拓扑模型入手，引出了互联网安全体 系结构中的一项重要的安全技术一入侵检测。接着，文章又研究了现 有的入侵检测技术，并对不同的检测技术和入侵检测系统进行了分 类，详细地讨论了各种技术的优缺点。并提出了评价入侵检测系统的 主要测度指标，指出入侵检测系统的虚警率、检测率及其与检测系统 报警可信度之间的关系。随后，文章对路由器当前的安全现状进行了 上海交通大学硕士学位论文 阐述，提出了在路由器上实现入侵检测系统的重要性及其相应的设计 目标。在分析了路由器软件体系结构的基础上，给出了入侵检测系统 具体的设计方案并将其实现。在设计实现的过程中，主要针对数据预 处理、入侵检测方法的选择以及响应策略这三方面进行了详细的解 释。作为路由器入侵检测系统不可或缺的配置和维护，文章也给出了 相应的分析。并指出在路由器上分析、设计及实现入侵检测时也应关 注其检测性能：即提高检测率，降低虚警率。 文章还指出如果想真正提高网络的安全性能，必须从多方面考虑， 将各种安全机制有效结合。对路由器安全也是如此，必须将加强用户 管理、安全配置及入侵检测等各种安全措施有效集成起来，采用多方 位防御，才能真正提高网络动态安全。 本文最后对将来路由器入侵检测技术的发展也进行了探讨性研 究，提出了在路由器入侵检测系统上应用黑客追踪定位技术的设想， 充分利用路由器在各方面的有利因素。当遭遇网络入侵时，积极主动 出击，找出攻击源，避免系统再遭受更进一步的侵害。 关键词：入侵检测系统，路由器，报警，a c l ，检测率，虚警率 上海交通大学硕士学位论文 r e s e a r c h i n ga n di m p l e m e n t i n gi d so nr o u t e r a b s t r a c t t o d a y , w i t hm o r ea n dm o r ep e o p l ef o c u s i n go ni n t e m e ts e c u r i t y , i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) h a sb e c o m eo n eo ft h em o s te f f e c t i v e n e t w o r ks e c u r i t ym e a n s i th a sb e e nm o r ep o p u l a rt h a ne v e r m a n y r e s e a r c hi n s t i t u t e sa n dm a n u f a c t u r e r sh a v eo w n e dt h e i rp r o d u c t s a m o n gt h e m ，u s i n gs i g n a t u r em a t c h i n gt od e t e c ti n t r u s i o n si s a ne a r l y a n dc o m m o nm e t h o d a st h ek e yn e t w o r kd e v i c e ，r o u t e ra l s on e e d s p r o t e c t i o no fi d s b u tt h e r ei so n l yaf e wm a t u r e r o u t e rp r o d u c t so n w h i c hh a sb e e ni m p l e m e n t e di d s ，e s p e c i a l l yi nc h i n a i nf a c t ，t h e i m p l e m e n t a t i o no fi d so nr o u t e ri sag o o dw a yt oe n h a n c et h en e t w o r k s e c u r i t y , w h i c hc a l lb o t hr e d u c et h en e t w o r ks e c u r i t yc o s t sa n dm a k e r o u t e rm o r ev a l u a b l e t h e r e f o r e ，t h i sp a p e rg i v e sa na t t e m p tt oi m p l e m e n t i d so no u rr o u t e ra d o p t i n gs i g n a t u r e m a t c h i n gt e c h n i q u e i nt h eb e g i n n i n g ，t h et h e s i sa n a l y z e st h es e c u r i t ) ，a c t u a l i t i e so ft h e n e t w o r k ，a n dp r e s e n mt h ec o u n t e r m e a s u r eo ft h ei n t e r n e ts e c u r i t y a f t e r i n t r o d u c e st h el a y e rm o d e la n dt o p o l o g ym o d e lo fi n t e r n e ts e c u r i t y , i t m a k e sm e n t i o no ft h ei d l s o nt h eb a s i so ft h es t u d yo fn o w a d a y s i n t r u s i o nd e t e c t i o nt e c h n i q u e s ，t h ep a p e rc l a s s i f i e st h e ma n dd i s c u s s e st h e a d v a n t a g e sa n dd i s a d v a n t a g e sa b o u tt h e m a n di tp u t sf o r w a r dt h et a r g e t 上海交通大学硕士学位论文 a b o u th o wt oi m p l e m e n ti d so nr o u t e r , w h i c hi ss u c ha ne m b e d d e d d e v i c et h a ti tr e q u i r e sm o r es y s t e mc o s t s p a r t i c u l a r l y , t h et h e s i sa n a l y z e s t h r e e i m p o r t a n tq u e s t i o n s o fi d sa t l e n g t h ，i n c l u d i n g d a t a p r e m a n a g e m e n t s ，i n t r u s i o nd e t e c t i o nm e t h o d sa n dr e s p o n s em e c h a n i s m s b e s i d e s ，i ta l s od i s c u s s e st h ec o n f i g u r a t i o n ，t h em a i n t e n a n c ea n dt h e p e r f o r m a n c ea n a l y s i so ft h ei d so no u rr o u t e r i fw ew a n tt os t r e n g t h e nt h en e t w o r ks e c u r i t y , w em u s tm a k eg o o d u s eo fm a n ys e c u r i t ym e a n s i no r d e rt om a k er o u t e rm o r es e c u r e ，w e n e e di n t e g r a t ee v e r ys e c u r i t yt e c h n i q u e ，i n c l u d i n gs e c u r i t yc o n f i g u r a t i o n ， a u t h e n t i c a t i o n i d sa n ds oo n a tl a s t ，t h et h e s i sd i s c u s s e sn e wt e c h n i q u e sa b o u tt h ei d so nr o u t e r i t i sa b o u th o wt ot r a c kh a c k e r sa n df i n dt h e m w h e nf a c e dw i t hi n t r u s i o n s ， i n s t e a dt or e s i s tp a s s i v e l ya n ym o r e ，t h ei d so nr o u t e rs h o u l db e a tb a c k a c t i v e l yt oa v o i dm o r ed a m a g ei nt h ef u t u r e k e yw o r d s ：i n t r u s i o nd e t e c t i o ns y s t e m ，r o u t e ga l a r m ，a c c e s sc o n t r o l l i s t ，p r o b a b i l i t yo fd e t e c t i o n ，f a l s ed e t e c t i v e 上海交通大学硕士学位论文 第一章引言 本章首先介绍了互联网的安全现状，给出了相应的网络安全对策，并分析设 定了互联网的安全目标以及安全体系。指明入侵检测技术是一种有效的网络安全 技术。 1 1 互联网安全现状 计算机网络已成为信息社会最重要的基础设施之。人们的日常工作、生活 和学习已与计算机和网络紧密地联系在一起。随着计算机网络重要性的不断提 高，人们对计算机网络的安全性也提出了更高的要求。但由于网络规模的不断扩 大、复杂度不断增加，各种网络攻击手段和病毒的快速传播等因素，使得网络安 全也面临着更大的挑战。据美国f b i 统计：全球平均每2 0 秒就发生起i n t e r n c t 计算机系统被入侵事件。图1 1 为美国c e r t 对近年来网络攻击数目的统计，从 中可清楚地看出网络攻击数目的增长趋势。 1 0 8 8 1 9 8 9 1 9 9 0 1 9 9 1 1 9 9 2 9 9 3 1 9 9 4 1 9 9 5 1 9 9 6 1 9 9 7 1 9 9 8 1 9 9 9 2 0 0 0 2 0 0 1 图l - 1c e r t 统计数据：i n t c r n e t 攻击增长趋势 f i g l 1t h es l a t i c so f c e r t ：t h et r e n do f a t t a c ko f i n t e r n e t 一般认为，网络系统的安全威胁主要来自于黑客( h a c k e r ) 的攻击、病毒 ( v i r u s ) 、授权用户对系统的滥用、网络间谍活动和信息战争这几个方面。 黑客 近几年来黑客攻击的数量以每年1 0 倍的速度增长。攻击的对象几乎包括了 所有接入网络的计算机系统，包括政府、军方、和商业的计算机系统以及个人计 算机系统。攻击的目标从耗费系统和网络资源，到篡改数据，再到盗取机密信息 图湖豳豳黝豳圈豳图豳副副翠唰甲翠唪平平 一一 【-，。l o 0 o 口 o o 0 口 d 0 d o 6 o 0 d 0 o o m o 5 4 3 2 1 n芒。口翟一扫trb9s p e 七o d 叱 上海交通大学硕j _ 学位论文 等十分广泛。通过使用计算机网络，黑客可以从远程对目标系统发动攻击，并采 取多种措施隐藏自己的真实身份；各种攻击知识和攻击工具的广泛传播使得许多 人不需要很高深的专业知识，就可以随意发动攻击。所有这些因素都是导致网络 攻击事件急剧增长的重要原因口1 。 图1 2 对比了攻击的复杂度和攻击者需要的专业知识的关系。可以看到，虽 然攻击的复杂度大幅增加，但攻击者需要的专业知识却不断减少。 病毒 计算机病毒给计算机和网络系统带来了巨大的危窖。1 9 8 3 年美国科学家f r e d c o h e n 首先证实病毒的存在。目前病毒已从最初的以物理介质作为载体进行传播 发展变为以网络为媒介进行传播，这使得病毒传播的速度和范围急剧增大。由于 病毒的机理不断演变，检测和消除这些病毒都相当困难。随着网络的普及与应用， 病毒已成为计算机和网络发展的巨大危害之一。 授权用户对系统的滥用 由于授权用户能够进入系统内部，从而避免了系统周边安全措施的监测。同 时，授权用户对系统的安全机制和漏洞更为熟悉和了解，并已得到系统的信任， 所以能够采取更为隐蔽的攻击，并消除有关证据。相对于来自系统外部的攻击， 授权用户的滥用则更加难以预防和检测，其危害也往往更加严重。 信息战争 网络已成为信息时代的最重要的社会基础设施之一，具有重要的战略地位。 1 9 8 8 年著名的“i n t e m e t 蠕虫事件”和计算机系统y 2 k 问题、干禧年之际黑客利 用分布式拒绝服务方法攻击大型网站，导致网络服务瘫痪，使人们充分认识到网 络攻击的破坏性。由于信息系统安全的独特性，人们已将其用于军事对抗领域。 1 2 互联网安全对策 针对计算机网络的安全问题，人们纷纷提出了各种安全对策，包括访问权限 控制、v p n 、防火墙等等，入侵检测技术也应运而生。入侵检测主要是通过监控 网络、系统的状态、行为以及使用情况，来检测系统用户的越权行为以及系统外 部的入侵者利用系统的安全缺陷对系统进行入侵的企图或行为。和传统的预防性 安全机制相比，入侵检测是一种事后处理方案。入侵检测是对传统计算机安全机 制的一种补充，它的开发和应用增大了网络与系统安全的保护强度与程度，已成 为目前网络安全工具的主流。许多研发机构和安全厂商也都推出了相应的产品。 我们也应该认识到，尽管对计算机安全的研究已经取得了很大的进展，但现 有的各种安全防御机制仍有很多自己无法克服的局限性。因此，针对网络的安全 不能只依靠单一的安全防御技术和防御机制。只有通过在对网络安全防御体系和 上海交通大学硕士学位论文 各种安全技术的研究的基础上，指定具体的详细的系统安全策略，通过设立多道 安全防线、集成各种可靠的安全机制( 例如入侵检测、防火墙、访问控制、认证 机制等等) ，建立完善的多层安全防御体系，才能够真正有效的抵御来自系统内、 外的入侵攻击，达到维护网络系统安全的目的。 1 3 互联网安全目标 为了有效的保护互联网安全，人们对互联网安全目标提出了五要素，分别是： 保密性、完整性、真实性、防止抵赖、资源访问控制和用户授权。 ( 1 ) 保密性( c o n f i d e n t i a l i t y ) 所谓保密性是指保护信息不被未经授权的实体所访问。这是人们谈到网络安 全性时最常想到的内容，保密性一般是通过各种加密算法来实现。 ( 2 ) 完整性( i n t e g r i t y ) 所谓完整性是指提供数据未被修改的保证。完整性是通过数字签名技术实现 的。 ( 3 ) 真实性( a u t h e n t i c a t i o n ) 保证原始数据的真实性可以通过身份认证来实现。从简单认证( s i m p l e a u t h e n t i c a t i o n ) 到强认证( s t r o n g a u t l l e n t i c a t i o n ) 现在有各种各样的认证技术和 算法，最新的身份认证技术已经开始使用生物技术，包括指纹、语音、虹膜扫描 等。而且信息的真实性实际上是通过数字签名与数据完整性同时实现的。实际上， 如果在验证数据完整性之前无法验证发送者的身份，完整性是不可靠的。 ( 4 ) 防止抵赖( n o n r e l ) u d i a t i o n ) 所谓防止抵赖是指当用户对某部分信息进行了签字确认之后，其确认签字就 具备了使其不得抵赖的效力。这一效力在传统的基于纸张纪录的社会活动中。已 经由各国的法律制度予以保证，在i n t e m e t 中签名是通过数字签名技术实现的， 这一签名的可靠性在技术上已不存在问题，关键是各国政府对其法律地位的确认 还是个不统的时间进程。 ( 5 ) 资源的访问控制和用户的授权( r e s o u r c ea c c e s sc o n t r o la n du s e r a u t h o r i z a t i o n ) 资源的访问控制和用户的授权实际上必须建立在完成了用户身份认证的基 础上。完整的体系应当为每个资源对象和用户对象建立全局的i d ，然后在资源 和用户之间建立不同权限的访闯关系映射，譬如对每个资源对象建立访问控制列 表，对每个用户建立授权列表等等。 上海交通大学硕上学位论文 1 4 互联网安全体系 1 4 1 分层模型 目前互联网的骨干协议都是以t c p i p 为参考模型，完整的t c p i p 参考模型 可以分为四层：链路层、网络层、传输层和应用层，从中可以划分我们的网络安 全模型的分层结构，如图1 2 图所示。 z ； 可 - - 1 力 勺 罩 -口 督 亘习 三习 三 区l 三 三 i pv 4i p s e cs s l应用层安全 应用层 传输层 网络层 图1 - 2 互联网安全体系 f i g u r e l - 2l a y e r e dm o d e lo f t h ei n t e m e ts e c u r i t ya r c h i t e c t u r e 针对链路层，可以采用在链路级进行数据加密以及用户认证等方式，在使用 链路之前，必须对点到点线上的对端用户进行身份认证，在点到点线路上的分组 在离开一台机器时须被编上密码，到达另一台时再解开。所有的细节都能在链路 层处理，高层对所发生的事一无所知。几年前国内很多通信研究所推出的x 2 5 加密，帧中继( f r a m er e l a y ) 加密接入设备的设计就是处于这种层次。在链路 层通过加密和认证的方式保证安全的优点在于能够在最底层解决安全问题，协议 兼容性最好，硬件处理效率高，其缺点则是在分组经过多个路由器时不适用，而 且现有一些系统提供的专有技术标准不统一，不同设备之间互联就会存在问题， 仅适用于同一个系统采用同一个厂商的产品的场合，如部队、公安等，市场比较 窄。 针对网络层，可以采用入侵检测技术将针对该层的入侵攻击检测出来，也可 采用v p n 技术。采用入侵检测技术须先对已有的网络层攻击进行详细的了解与 分析，然后制定相应的应对策略，可以有效提高网络层的安全性。采用v p n 即 使用隧道技术重新封装原有的i p 数据包进行加密，随着t c p i p 网络安全问题的 目益突出，i e t f 借鉴了i p v 6 中的安全机制，设计了适用于i p v 4 的i p s e c 协议族， 这个正在不断发展的协议族能够兼容i p 网络上的各种协议，它对i p 层以上的协 议是透明的，保证i p 网络路径上的安全，但是对于终端的安全不予保障，目前 上海交通大学硕上学位论文 这一协议已经成为虚拟专用网络( v p n ) 的工业标准。 在t c m p 分层中，在应用层与传输层之间存在一个套接字接口( s o c k e t ) ， 这组向应用程序提供系统网络服务的a p i 自从最早出现在b s du n i x 以来，就 与t c p i p 同步发展，成为各种平台包括w i n d o w s 上标准编程接口，从某种意义 上讲，许多程序员把它视作套接字层，这也是n e t s e a p e 的安全套接字层( s e c u r e s o c k e tl a y e r ：s s l ) 的命名由来。s s l ，目前已被i e t f 标准化为t l s ，采用了 基于会话的服务器认证、客户端认证、加密、x 5 0 9 证书等技术，由于发展比i p s e c 早很多，是目前使用最广泛的网络安全技术之一，在基于w w w 的电子商务中 获得了广泛应用。 应用层安全技术出现的最早，例如针对t e l n e t 的s s h ，针对电子邮件的p g p ( 及其后来标准化的s m i m e ) ，针对电子商务的s e t ，这些协议或技术的特点 是专门针对某一类应用提供了完善的安全机制，缺点是应用面较窄。 针对t c p i p 协议分层的特点，为了在开放的t c p i p 网络上实现安全机制， 必须对应用层、t c p 层、i p 层以及数据链路层每一层的安全漏洞与现状进行详 细的了解与分析，对每一层都制定相应的完善的安全防御机制，并将这些机制有 效的结合在一起。对这些安全机制的研究以及如何把这些安全机制合理地组织起 来提供一套完整的安全机制，针对入侵检测系统i d s 的研究就是一种尝试和探 索。 1 4 2 拓扑模型 按照各种网络安全技术的应用点的位置，我们可以提出如下的网络安全架构 图1 - 3 互联网安全架构之拓扑模型 f i g u r e i 3t o p o l o g i c a lm o d e lo f t h ei n t e m e ts e c u r i t y a r c h i t e c t u r e 上海交通大学硕士学位论文 的拓扑模型，如上图1 3 所示。 在这种模型中，网络安全架构分为内部网络、网络边界、外部网络三个安全 部分： 内部网络安全 主要考虑内部用户的授权和资源的访问控制，检测权限滥用和泄密的情况， 采用的技术包括位于主机的入侵检测系统和分布于局域网的入侵检测系统。 边界网络安全 主要目的是保护内部网络不受来自外部网络的非法访问，一般在网络边界上 设置边界设备，如防火墙、代理服务器等。 外部网络安全 保护用户在公共的互联网上通信时的安全，可以利用入侵检测技术对每一个 外部到来的数据包进行检测分析，确保网络通信的安全性。并可n k 身份认证机 制保证外部用户的合法性。 1 5 互联网安全技术一入侵检测系统 1 5 1 基本概念 a d e n r s o n 在8 0 年代早期就使用了“威胁”这一术语，将入侵企图或威胁定 义为“未经授权蓄意尝试访问信息，窜改信息，使系统不可用或不可靠”。他还 将入侵者分为两类嗍：外部入侵者，一般指系统中的非法用户，如常说的黑客； 内部入侵者，有越权使用系统资源行为的内部合法用户。h e a d y 也将入侵定义为 “有关试图破坏资源的完整性、保密性、可用性的行为的集合”| 3 4 】。s m a h a 从分 类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服 务、恶意使用6 种类型f 3 3 】。综上所述，可以将入侵行为定义为对系统资源的非授 权使用，入侵行为可以造成系统数据的丢失和破坏、或者甚至会造成系统拒绝对 合法用户服务等后果。 可以看出，入侵行为的定义与入侵的结果，即成功与否无关，在本论文中， 入侵和攻击两个术语交替使用。 与入侵的定义相对应，我们将入侵检测定义为识别企图破坏计算机资源的完 整性、保密性和可用性的行为。入侵检测的目标就是通过检查操作系统的审计数 据或网络数据包信息来检测系统中违背安全策略或危及系统安全的行为或活动， 从而保护信息系统的资源不受拒绝服务攻击、防止系统数据的泄露、篡改和破坏。 关于入侵检测技术的研究，涉及到计算机、网络以及安全等多个领域的知识。目 前，最基本的入侵检测方法主要是基于已知入侵行为模式、基于通信业务分析以 上海交通大学硕士学位论文 及基于系统状态( 或行为) 统计异常性的检测。我们将在第二章对现有的入侵检 测技术和基本模型进行分类讨论，并给出相应的分析。 1 5 2 入侵检测系统 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ) 就是能够通过分析系统安全相关 数据来检测入侵活动的系统。一般来说，入侵检测系统在功能结构上基本一致， 均由数据采集、数据分析以及用户界面等几个功能模块组成，只是具体的入侵检 测系统在分析数据的方法、采集数据以及采集数据的类型等方面有所不同。面对 入侵攻击的技术、手段持续变化的状况，入侵检测系统必须能够维护一些与检测 系统的分析技术相关的信息，以使检测系统能够确保检测出对系统具有威胁的恶 意事件。这类信息一般包括嗍： 系统、用户以及进程行为的正常或异常的特征轮廓； 标识可疑事件的字符串，包括：关于已知攻击和入侵的特征签名； 激活针对各种系统异常情况以及攻击行为采取响应所需的信息。 这些信息以安全的方法提供给用户的i d s 系统，有些信息还要定期地升级。 d e n n i n g 在1 9 8 6 年提出的基于主机系统的主体特征轮廓、系统对象、审计日 志、异常记录以及活动规则等的检测系统模型【1 1 1 是最典型的系统设计模型。具体 实现时，多采用基于规则的模式匹配算法，通过系统运行特征与主体特征轮廓的 匹配程度来检测在系统登录、程序执行以及文件存取时的入侵攻击或资源滥用， 此模型结构见图t - 4 。这种设计模型在许多早期基于主机的监测系统中得到 a u d i tt r a i l n e t w o r kp a c k e t a p p l i c a t i o nt r a i l s ( 1 j e v e n tg e n e r a t o r ( 2 ) = = 灏裂 a c t i v i t yp r o f i l e “) r u i es e t ， g e n e r a t e o 皿a l yr e c o r d ( e g e n e r a t 87 8 1 p r o 、f i l e c 1 0 c k ( 1 ) 审计记录网络报文 应用程序记录 ( 2 ) 事件产生器 ( 3 ) 增添或修改 1 f y ( 4 ) 活动记录 ( 5 ) 更新 ( 6 ) 匹配 ( 7 ) 规则集 ( 8 ) 动态产生记录 ( 9 ) 时钟 图1 - 4d e n n i n g 入侵检测模型 f i g1 - 4t h em o d e lo f d e n n i n g si n v a d e 了广泛的应用，诸如：i d e s ( i n t r u s i o n - d e t e c t i o ne x p e r ts y s t e m ) 2 ”、n i d e s ( n e x t g e n e r a t i o nr e a l t i m ei d e s ) 哪4 1 1 2 0 1 3 7 、w & s ( w i s d o m & s e n s e ) 、h a y s t a c k t “、 d a d i r ( n e t w o r k a n o m a l y d e t e c t i o na n d i n t r u s i o n r e p o r t e r ) t s l 等。目前的各种入侵 检测技术及其体系结构都是在此基础上的扩展和细化。 随着网络安全问题的日益突出，针对网络入侵检测技术和系统的研究、开发 上海交通大学硕士学位论文 也逐渐得到业内的广泛关注和重视。h e b e r l e i n 等利用d e n n i n g 的模型设计的n s m ( n e t w o r ks e e u r i t ym o n i t o r ) 系统能够在以太网中通过网络业务分析进行入侵检 测，d i d s t ”l 贝0 是对n s m 的发展，把网络中主机系统的审计机制收集到的事件数 据通过网络进行综合处理。但数据分析仍是局限在单链路的局域网中，而且事件 的处理是集中式的。目前，基于网络的入侵检测系统已逐步扩大到能够检测大型 的、具有复杂拓扑结构的网络中的入侵行为。 网络以及相应的入侵攻击技术的日益复杂化，也使得利用单一机制的监测系 统无法有效地检测系统中的入侵行为。如何对来自网络中各种安全监控器、探测 器、系统管理员以及其他网络安全机制的各种安全相关信息和报警数据进行分析 融合，以有效提高网络入侵检测系统的可靠性，是网络入侵检测领域中亟待解决 的问题。 1 6 本文的主要内容和作者的主要工作 随着网络应用的普及与发展，面向网络特别是大规模网络的入侵检测技术的 研究，已成为当前入侵检测领域研究的重点。现在许多相关的研究机构和厂商都 纷纷推出了自己的网络安全产品，特别是一些路由器厂商，也在自己相应的路由 器产品上构建了入侵检测系统。国外的如c i s c o 已推出了n e t r a n g e r ，它一直是 我们见到的表现最好的入侵检测系统之一。国内的路由器生产厂家如迈普等也推 出了安全路由器系列产品，但其在该领域的研究仍只处于起步阶段。在路由器上 加载入侵检测系统，可以加强网络通信的数据安全，提高路由器本身的价值，使 其在路由器市场上更具有竞争性。本文主要针对如何在路由器上构建入侵检测系 统给出了具体的设计方案并将其实现，在实现过程中，主要针对数据整理、入侵 检测方法的选择以及响应策略等几个方面进行了分析。 全文共分五章，其余章节安排如下： 第二章对现有各种入侵检测技术进行了分类分析讨论，给出了各自的优缺 点，并提出了测试入侵检测系统性能的主要指标，指出入侵检测系统必须有效提 高自身的检测率，降低漏报率和误报率； 第四章分析了如何实现路由器上的入侵检测系统，分别从最初的数据获取、 数据整理到入侵检测方法的实现以及最后的入侵检测系统的响应等各个方面进 行了阐述，针对入侵检测方法的实现分别针对单报文检测、流检测和端口扫描检 测三部分做了相关描述。并给出了该入侵检测系统的相关性能分析。 第五章更深一层地讨论了网络动态安全技术，并对未来的网络安全提出了一 些展望，即黑客追踪技术，指明网络安全技术应不再仅仅局限于被动地防范攻击， 更应主动出击追踪发现黑客，避免系统受到更多的危害。 上海交通大学硕士学位论文 第二章入侵检测系统研究 本章首先介绍了现有的入侵检测技术及其分类，并对不同的检测技术和入侵 检测系统进行了分析研究，详细地讨论了各种技术的优缺点。随后又分析了入侵 检测系统的虚警率，检测率及其与检测系统报警可信度之间的关系，提出了评价 入侵检测系统的主要测度指标。 2 1 入侵检测系统分类唧 对入侵检测系统分类可以有多个分类准则。根据检测方法的不同，可以将入 侵检测分为基于行为的和基于知识的，也即异常检测和误用检测。根据数据来源 和目标系统类型的不同，可以分为基于主机的入侵检测和基于网络的入侵检测。 根据体系结构的不同，可以分为集中式入侵检测系统和层次式和分布式入侵检测 系统。 2 1 1 基于异常的入侵检测 基于异常的入侵检测( a n o m a l yd e t e c t i o n ) 主要通过为用户、进程或网络流 量等处于正常状态时的系统特征建立参考模型( p r o f i l e ) ，然后统计分析系统当 前的行为特征，如果系统当前行为特征同己建立的正常行为模型比较存在较大偏 差，则认为发生异常。当系统的行为特征改变时，对应的正常行为特征轮廓也相 应改变。 异常检测的优点在于不需要获取攻击的特征。它既可以检测已知攻击，也可 以检测未知的各种攻击，并可以使用户模型随用户行为的改变而自动更新。 异常检测方法的主要缺点在于： 检测错误率较高； 攻击者可以通过渐进的方式改变用户模型，使得系统的正常特征模型已 偏离； 无法识别攻击的类型，因此难以采取具体的相应措施来阻止攻击。 2 1 。2 基于滥用的入侵检测 滥用检测( m i s u s e d e t e c t i o n ) 也可称为基于签名的入侵检测。滥用检测要首 上海交通大学硕士学位论文 先通过收集已有的入侵攻击和系统缺陷的相关知识来构成攻击的知识( 也称为攻 击签名) 库，然后将用户的当前行为依次同库中的各种攻击签名( a t t a c k s i g n a t u r e ) 进行比较，如果匹配，则可以确定发生入侵行为。系统中任何不能明 确地认为是攻击的行为，都可认为是系统的正常行为。因此，滥用检测具有很好 的检测精确度，但是其检测完备性则依赖于对知识库的不断更新与补充。 使用滥用检测可以避免系统以后再遭受同样的入侵而且能够识别攻击的类 型，以快速采取相应措施来阻止攻击。缺点在于它只能根据已知的入侵序列和系 统缺陷的模式来检测系统中的可疑行为，在面对新的攻击行为时则无能为力。而 且难以检测攻击的各种变形，需要不断地更新攻击签名库。这不仅是一个耗时的 工作，而且关于攻击的知识很大程度上依赖于系统的运行环境( 例如操作系统、 软件版本、硬件平台等) 。 异常检测和滥用检测这两种检测方法各有特色，将二者结合起来可以有效的 提高入侵检测系统的精确度，因此许多入侵检测系统都同时分别支持这两种检测 方法 t l 。 2 1 3 基于主机的入侵检测 基于主机的入侵检测( h o s t b a s e di n t r u s i o nd e t e c t i o n ) 系统通过监测和分析 如下信息来检测入侵行为f l l l1 1 9 ： 主机的审计数据、系统日志； 主机进程的行为如c p u 利用率、i o 操作等； 用户行为特征如登陆时间、敲键频率、敲键错误率、键入的命令等； 进程的系统调用序列【”】。 基于主机的入侵检测通过全面地监测主机的状态和用户的操作，可以检测主 机、进程或用户的异常行为，并发送报警信息和采取相应措施来阻止攻击。 基于主机的入侵检测的缺点主要在于： 受操作系统平台的约束，可移植性差； 需要在每个被检测的主机上安装入侵检测系统，难以配置和管理； 无法检测网络攻击如d o s ，端口扫描等； 当系统受到攻击时，系统的审计数据很有可能被修改。 针对最后一条缺点，基于主机的入侵检测系统必须满足一个重要的实时性条 件：检测系统必须在攻击者接管机器并暗中破坏系统审计数据或入侵检测系统以 前完成对审计数据的分析、产生报警并采取相应的措施。 2 1 4 基于网络的入侵检测 基于网络的入侵检测( n e t w o r k b a s e di n t r u s i o nd e t e c t i o n ) 通过监测网络中的 上海交通大学硕士学位论文 所有报文，并分析报文的内容、统计报文的流量特征来检测各种攻击行为。基于 网络的入侵检测要对擐文进行如下多种分析： 单报文分析 通过检查报文的校验和、源端口和目的端口的内容等，可以检测l a n d 等攻 击。 报文重组 对i p 分片进行重组，是进行会话内容分析的基础，同时也可以检测针对i p 报文重组过程进行的攻击如p i n go fd e a t h ，和利用i p 分片机制来逃避i d s 检测 或穿透防火墙的企图1 3 “。 会话内容分析 对基于网络的会话内容进行分析，是检测堆栈溢出、口令猜测等攻击的主 要手段。通过会话内容检测攻击的主要方式是字符串匹配。 相关性分析 近年来，网络攻击逐渐向分布、协同式发展，如分布式端口扫描等，它可以 降低单个主机活动的强度，从而达到逃避i d s 检测的目的。只有对来自多个i p 地址的报文进行相关性分析，才能够检测这种类型的攻击。 统计分析 通过对网络报文到达建立模型，或统计网络流量强度、服务分布，或对异常 报文统计进行统计，可以检测各种d o s 、d d o s 攻击。 基于网络的入侵检测与被检测的系统平台无关，它具有实时性高，在一个i p 子网只需要安装一个检测节点，就可以对整个子网进行监测以及不会对网络通信 产生影响等优点。 2 i 5 基于应用的入侵检测 表2 - 1 入侵检测系统分类 t a b l e 2 - 1t h ec l a s so f t h ei n t r u s i o nd e t e c t i o ns y s t e m 分类依据入侵检测系统类别 基于异常检测的入侵检测系统 检测方法 基于误用检测的入侵检测系统 入 基于主机的入侵检测系统 侵 信息源基于网络的入侵检测系统 检 基于应用的入侵检测系统 测 系 集中式入侵检测系统 统 体系结构层次式入侵检测系统 对等式入侵检测系统 主动式入侵检测系统 响应方式 被动式入侵检测系统 上海交通大学硕士学位论文 基于应用的入侵检测( a p p l i c a t i o n b a s e di n t r u s i o nd e t e c t i o n ) 也有多种分类方 式，根据能否采取措施阻止攻击可以将入侵检测分为主动入侵检测系统和被动入 侵检测系统；根据入侵检测系统的结构可分为集中式入侵检测系统、层次式入侵 检测系统和对等式入侵检测系统；也可以针对特定的服务程序进行入侵检测，如 针对w w ws e r v e r 进行检测，对数据库服务器进行检测等；也可以根据入侵检 测系统采用的检测方法对其进行分类，具体方法可参考文献【7 】。 综上所述，入侵检测系统的分类方式可参考表2 1 。 2 2 入侵检测的方法 2 2 1 基于统计的检测方法 统计方法是异常检测的主要方法之一，它在基于主机和基于网络的入侵检测 系统中都有应用。 n i d e s ( n e x tg e n e r a t i o nr e a l - t i m ei n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) 就是一 个基于统计的异常检测系统【勰1 。n i d e s 从系统日志中提取各种信息如文件访问、 c p u 利用率等，根据不同的类型对其进行统计，计算每种类型的q i 值，然后对 q i 值进行归一化处理，将q i 值转化为s i ，最后计算得到一个总的表示系统活动 正常程度的值t 2 ： i 丁2 ：二y s ?( 2 1 ) k 笥。 如果t 2 的值大于设定的阈值，则可判定系统活动发生异常。 不同统计类型的q 值计算如下： 强度特性( i n t e n s i t ym e a s u r e s ) 强度特性由曰志记录之间的时间间隔表示。设第n 个记录产生时的强度为 q n ，则第n + 1 个记录对应的强度计算方式为： q + l = 1 + 2 一“q ( 2 2 ) 式中f 为衰减因子，t 为第n 个记录和第n + 1 个记录之间的时间差。 分布特性( d i s t r i b u t i o nm e a s u r e s ) 以直方图( h i s t o g r a m ) 方式表示不同类型的审计或日志信息在总的日志信息 中的分布。 定义采样大小n r 为： m = 2 呻刮 ( 2 3 ) 上海交通大学硕士学位论文 式中r 为衰减因子。 设g m ，n 表示第n 个记录产生时类型为1 1 1 的记录的分布统计，则 g 。，= 2 - g 一l + l ( n ，m ) ， ( 2 4 ) 上式中i ( n ，m ) 表示第n 个记录的类型是否为m 。 设f m ，n 表示长期的统计分布，w j ，n l 表示在某天j 产生的类型为m 的记录数， w j 表示在第j 天生成的记录总数，则 厶= 古聆2 4 n 一，j 既 ( 2 5 ) v 1 = l 圪，= m i n ( o o l ，厶。f 1 一厶。力， ( 2 6 ) 则分布特性的q 值为： 蜴= r ，一厶，2 ，。 ( 2 7 ) 类别特性( c a t e g o r i c a lm e a s u r e s ) 如用户访问的文件命、登录的远程计算机的名称等。 类别统计异常度的计算和分布特性异常度的计算完全类似，计算每种类别 ( 如文件名) 的分布特性统计( 式2 5 ) ，再根据式2 7 计算类别特性的q 值。 计量特性( c o u n t i