（计算机应用技术专业论文）基于混合入侵检测技术的网络入侵检测系统研究.pdf

基于混合入侵检测技术的网络入侵检测系统研究 摘要 随着计算机网络的日益普及，信息安全已经成为一个急待解决的世界性问 题。传统的安全保护技术采用认证、授权、访问控制和加密等机制，这不能阻 止利用计算机软硬件系统的缺陷非法闯入计算机系统的行为，而对于针对程序 设计的缺陷发起的攻击和通过加密通道的攻击，目前的防火墙技术也无能为力。 入侵检测技术是一种重要的动态安全防护技术，已经成为计算机科学与技术的 一个重要研究领域。 入侵检测系统是以数据分析为核心的采用主动防御策略的安全系统，已经 成为保护网络安全的一道重要屏障。入侵检测作为一种主动的信息安全保障措 施，有效地弥补了传统安全防护技术的缺陷。数据挖掘作为数据分析的有效手 段自然被引入到入侵检测系统的构建当中。 基于网络的异常检测的优点是可以检测出新的攻击以及其高检测率，而它 的缺点是虚警率很高，导致真正的攻击淹没在大量的虚警之中，从而使入侵检 测系统失去作用。基于网络的误用检测的优点是虚警率低，而它的缺点是不能 检测出新的攻击，因此当攻击者使用新的攻击手段进行攻击时，入侵检测系统 就会失去作用。 本文在总结异常检测和误用检测的特点的基础之上，结合其优点，并克服 其缺点，提出了基于混合入侵检测技术的网络入侵检测系统模型。对于同一行 为，异常检测结果和误用检测结果不总是一样的，本文的跟踪算法有效地解决 了异常检测结果与误用检测结果不致的问题。本文采用了序列模式挖掘方法 建立正常行为轮廓库以及入侵规则库，并采用了模式匹配的方法实现异常检测 引擎和误用检测引擎。最后通过对实验结果的分析与比较，表明了本文提出的 混合检测模型较基于单一入侵检测技术的模型相比，具有更好的检测效果。 关键词：混合检测；跟踪；序列模式；模式匹配 r e s e a r c ho fn e t w o r ki n t r u s i o nd e t e c t i o ns y s t e mb a s e do n h y b r i di n t r u s i o nd e t e c t i o nt e c h n i q u e a b s t r a c t w i t ht h ep o p u l a r i t yo fc o m p u t e rn e t w o r k ，t h ei n f o r m a t i o ns e c u r i t yb e c o m e s o n eo ft h ew o r l d w i d et o u g h e s tp r o b l e m s t r a d i t i o n a lt y p eo fs e c u r i t yt e c h n o l o g y s u c ha ss a f e t yc e r t i f i c a t i o n ，a u t h o r i z a t i o n ，a c c e s sc o n t r o l ，a n de n c r y p t i o n ，c a nn o t p r e v e n tt h ei l l e g a li n t r u s i o nb e h a v i o ri m p o s e do nt h ed e f e c t so fs o f t w a r ea n dh a r d w a r eo fc o m p u t e rs y s t e m s t h ec u r r e n tf i r e w a l ld o e s1 i t t l et oi s o l a t et h ea t t a c k st h a t a i ma tt h ed e s i g nf l a w si nt h ep r o c e d u r e sa n dm a k eu s eo ft h ec h a n n e le n c r y p t i o n i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) i sa n i m p o r t a n td y n a m i cs e c u r i t yp r o t e c t i o n t e c h n i q u e ，a n di ti sa ni m p o r t a n tr e s e a r c hd o m a i no fc o m p u t e rs c i e n c ea n d t e c h n i q u e i n t r u s i o nd e t e c t i o nh a sb e c o m eas t r o n gb a r r i e rt od e f e n dn e ti n t r u s i o n b e c a u s eo fi n i t i a t i v er e c o v e r ys t r a t e g yo ff o c u s i n go nd a t aa n a l y z i n g a sak i n do f a c t i v em e a s u r eo fi n f o r m a t i o na s s u r a n c e ，i n t r u s i o nd e t e c t i o na c t sa st h ee f f e c t i v e c o m p l e m e n t t ot r a d i t i o n a l p r o t e c t i o nt e c h n i q u e s d a t am i n i n g ，a n e f f e c t i v e t e c h n i q u ei nd a t aa n a l y z i n g ，i sn a t u r a l l ya p p l i e di ni n t r u s i o nd e t e c t i o n t h ea d v a n t a g eo fa n o m a l yd e t e c t i o nb a s e do nn e t w o r ki st h a ti tc a nd e t e c tn e w a t t a c k sa n di t sd e t e c t i o nr a t ei sh i g h b u tt h ed i s a d v a n t a g ei si t sh i g hf a l s ep o s i t i v e a l a r mr a t e ，w h i c hm a k e sr e a la t t a c k sb ei m m e r s e di nm a n yf a l s ea l a r m sa n dt h e n m a k e si d sl o s ei t sf u n c t i o n t h ea d v a n t a g eo fm i s u s ed e t e c t i o nb a s e do nn e t w o r ki s i t sl o wf a l s ep o s i t i v ea l a r mr a t e b u tt h ed i s a d v a n t a g ei st h a ti tc a nn o td e t e c tn e w a t t a c k s ，w h i c hm a k e si d sl o s ei t sf u n c t i o nw h e nh a c k e ra t t a c k so b j e c t i v es y s t e m w i t hn e wm e a n s t h i st h e s i ss u m m a r i z e dt h e a d v a n t a g e s a n dd i s a d v a n t a g e so fa n o m a l y d e t e c t i o na n dm i s u s ed e t e c t i o n ，c o m b i n e dt h ea d v a n t a g e so ft h e ma n do v e r c a m et h e s h o r t c o m i n g so ft h e ma n dt h e np r o p o s e dt h en e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m m o d e lb a s e do nh y b r i di n t r u s i o nd e t e c t i o nt e c h n i q u e t h er e s u l t so fa n o m a l y d e t e c t i o na n dm i s u s ed e t e c t i o na r en o ta l w a y ss a m ef o ro n ea c t i o n t h et r a c k i n g a l g o r i t h mi nt h et h e s i se f f e c t i v e l ys o l v e st h ep r o b l e mt h a tt h er e s u l t so fa n o m a l y d e t e c t i o na n dm i s u s ed e t e c t i o na r en o ts a m ee n t i r e l y i nt h em o d e l t h en o r m a l b e h a v i o rp r o f i l e sa n di n t r u s i o nr u l e sa r ee s t a b l i s h e dt h r o u g hp a t t e r nm i n i n ga n d a n o m a l yd e t e c t i o ne n g i n ea n dm i s u s ed e t e c t i o ne n g i n ea r er e a l i z e dt h r o u g hp a t t e r n m a t c h i n g a c c o r dt ot h ea n a l y s i sa n dc o m p a r i s o no ft h ee x p e r i m e n t a lr e s u l t s ，i ti s k n o w nt h a tt h em o d e 】i nt h i st h e s i si sb e t t e rt h a nam o d e lb a s e d0 1 1as i n g l e i n t r u s i o nd e t e c t i o nt e c h n o l o g y k e y w o r d s ：h y b r i dd e t e c t i o n ；t r a c k i n g ；p a t t e r nm i n i n g ；p a t t e r nm a t c h i n g 插图清单 图2 1 入侵检测系统总体模块图6 图2 2 入侵检测系统与其他网络安全系统的差别9 图2 3 数据库中知识发现的过程1 5 图3 1c i d f 体系结构2 1 图3 2 混合入侵检测系统功能模块2 2 图3 3 混合检测模块2 3 图3 4 算法流程图3 0 表格清单 3 1 序列数据库2 6 3 2 投影数据库和序列模式2 7 3 3 可疑行为登记结点2 9 4 1l i s t f i l e 3 3 4 2i d e n t i f i c a t i o n 1 i s t 3 3 4 3 应用层以下网络数据包头特征3 6 4 4f t p 属性特征3 7 4 5f t p 内部常用命令及参数3 7 4 6 常见f t p 服务器返回信息3 7 4 7t e l n e t 属性特征3 8 4 8t e l n e t 会话记录的敏感信息3 9 4 9h t t p 访问记录特征属性3 9 4 1 0h t t p3 位返回码3 9 4 1 1 异常检测结果4 1 4 1 2 误用检测结果4 2 4 1 3 混合入侵检测结果4 2 4 1 4 三种入侵检测的检测率比较4 3 4 15 三种入侵检测的虚警率比较4 3 4 1 6 混合检测相对异常检测的检测率和虚警率下降比率表4 4 4 1 7 混合检测相对误用检测的检测率和虚警率上升比率表4 4表表表表表表表表表表表表表表表表表表表表 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所 知，除了文中特别加以标志和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果， 也不包含为获得金世王些态堂 a - z 他教育机构的学位或证书而使用过的材料。与我一同工作 的同志对本研究所做的任何贡献均已在论i c 9 作7 明确的说明并表示谢意。 学位论文作者签字：罗铼签字日期：冲嘲明 学位论文版权使用授权书 本学位论文作者完全了解金胆王些态堂有关保留、使用学位论文的规定，有权保留并向 国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅或借阅。本人授权金a 墨王些太 兰l 可以将学位论文的全部或部分论文内容编入有关数据库进行检索，可以采用影印、缩印或扫 描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文者签名： 矽棼 导师签名： 签字日期：砷年蝴以日 签字日 学位论文作者毕业后去向： 二作单位： 通讯地址： 年d 蜩护阳 电话： 邮编： 致谢 本论文是在我的导师叶震老师的悉心指导下完成的。在本文写作期间，叶 老师给予了我很多建设性的指导和建议，并多次对文稿进行了悉心的审阅，使 我能顺利的完成论文和学业。在此，我谨以最诚挚的心情向叶老师表示衷心的 感谢。 向所有在我读研期间给予我无私帮助的老师们表示深深的谢意，向参与本 论文评审和答辩的老师致敬，感谢他们所付出的辛勤劳动。 感谢实验室的兄弟姐妹以及同学们在我论文写作期间给予我的帮助。与他 们共度的这段学习时光充实而快乐，是我一生中最难忘的回忆。 在此，我还要特别感谢我的父母、姐姐、妹妹和弟弟，在我忙于学业、研 究和准备论文的时候，是他们给予我最有力的支持。当我在学习、生活上遇到 困难和挫折时，他们总能在精神上给我以安慰，使我在学业上更努力，生活上 更安定，精神上更坚强。 感谢我的家人及朋友对我的支持和帮助，以及他们为我所做的一切。 最后再次衷心的感谢所有关心和帮助过我的老师和同学们。 作者：尹才荣 2 0 0 9 年3 月31 日 第一章绪论 1 1 研究背景 随着计算机技术和网络通信技术的迅猛发展，互联网( i n t e r n e t ) 由于其本身 的开放性，共享性，以及互联性，得到了快速发展，目前互联网络已经发展到 社会的各行各业，尤其是近年来网络上各种新业务的兴起，如网络银行、电子 商务，电子政务的快速发展，使得网络的重要性及其对社会的影响也越来越大， 网络与人们的日常生活密不可分。网络正在给人们的生活和工作带来便利，使 人们的生活更加丰富，工作更加高效和舒适。然而，随着人类社会对网络的依 赖日益增强，人们在享受网络带来的各种益处的同时，如何能够保证计算机网 络的正常、安全、平稳地运转，成为一个很重要的问题。 目前，计算机网络的安全已成为一个国际化的问题，据统计，几乎每2 0 秒全球就有一起黑客事件发生，仅美国每年所造成的经济损失就超过1o o 亿美 元。信息窃贼在过去5 年中以2 5 0 速度增长，9 9 的大公司都发生过大的入侵 事件。世界著名的商业网站，如y a h o o ，b u y , e b a y , a m a z o n ，c n n 都曾被黑客入 侵，造成巨大的经济损失。甚至连专门从事网络安全的r s a 网站也受到黑客的 攻击【l - 2 】。 在我国，计算机网络安全状况也丝毫不容乐观，据经济专刊华尔街日报 2 0 0 2 年3 月18 日的报道，中国已成为继美国和韩国后的世界上黑客活动最多 的国家 3 】。我国2 0 0 6 年全国信息网络安全状况调查分析报告显示：2 0 0 5 年5 月至2 0 0 6 年5 月，在13 8 2 4 家被调查单位中，信息网络接入互联网的达到8 5 。 在这些被调查单位中有5 4 的被调查单位发生过信息网络安全事件，比去年上 升5 ，其中发生过3 次以上的占2 2 ，比去年上升7 【4 1 。 对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设 施的安全已经成为刻不容缓的重要课题。 相对于传统的破坏手段而言，网络入侵具有以下特点：第一，网络入侵不 受时间和空间的限制。入侵者可以在任意时刻通过任意一个网络节点向另一个 网络节点发动攻击，而不必考虑这两个节点实际地理位置之间的距离远近，这 就使大规模的分布式入侵成为可能。比如，已经困扰国际安全界多年的d o s 入 侵；第二，随着网络速度的不断提升，网络中正常传输的数据量也飞速增加， 而入侵数据往往混杂在大量正常的网络活动之中，很难有一种有效的手段将其 分辨出来；第三，入侵手段复杂多样，阶段式、分布式等新的入侵手段的出现， 使得入侵活动更具有隐蔽性和欺骗性；第四，与传统的破坏手段相比，网络入 侵具有更大的危害性。 网络安全涉及到网络的方方面面，是一个系统的知识结构。目前解决网络 安全采取的主要技术手段有防火墙、安全路由器、身份认证系统等，这些安全 产品大多数属于静态安全技术的范畴，静态安全技术对防止系统非法入侵起到 了一定的作用。但是它们对于应用层的后门，内部用户的越权操作等导致的攻 击却无能为力。另外，由于防火墙的位置处在网络中的明处，自身的设计缺陷 也难免会暴露给众多的攻击者，所以仅仅凭借防火墙是难以抵御多种多样层出 不穷的攻击的。因此，从安全管理角度来说，仅有防御是不够的，为了保证计 算机网络系统的安全，还应采用动态策略。需要有一种能够及时发现并报告系 统中非法攻击的技术。入侵检测( i n t r u s i o nd e t e c t i o n ) ) 技术就是这样一种动态 策略，它能主动寻找入侵信号，给网络系统提供对外部攻击、内部攻击和误操 作的安全保护。因此，入侵检测技术的研究和应用能够弥补传统网络安全保护 措施的不足，增强网络系统的安全性。 1 2入侵检测系统的发展概况 1 2 1 入侵检测的发展历史 入侵检测技术肇始于19 8 0 年4 月j a m e sp a n d e r s o n 为美国空军做的一份 题为c o m p u t e rs e c u r i t yt h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ) ) 的技术报告，在报 告中，他首次提出了入侵检测的概念，将入侵尝试( i n t r u s i o na t t e m p t ) 或威胁 ( t h r e a t ) 定义为：潜在的有预谋未经授权访问信息、操作信息、致使系统不可靠 或无法使用的企图。以此为标志，国外一些机构在8 0 年代就开展了基础研究工 作。此后的2 0 多年间，入侵检测技术到了很大发展。美国将这一领域作为计算 机安全技术的研究重点，实施了如下一代入侵检测专家系统n i d e s ( n e x t g e n e r a t i o n i n t r u s i o nd e t e c t i o n e x p e r ts y s t e m ) 、分布式入侵检测系统 d i d s ( d i s t r i b u t e di d s ) 、网络入侵检测器n i d ( n e t w o r k si n t r u s i o nd e t e c t o r ) 、 e m e r a l d ( e v e n tm o n i t o r i n ge n a b l i n gr e s p o n s e s t oa n o m a l o u sl i v e d i s t u r b a n c e s ) 等研究计划。我国也将信息安全技术列为重点发展方向，得到了 8 6 3 等项目的重点支持。 从1 9 8 4 年到1 9 8 6 年，乔治敦大学的d o r o t h yd e n n i n g 和s r i c s l ( s r i 公 司计算机科学实验室) 的p e t e rn e u m a n n 研究出了一个实时i d s 模型i d e s ，为 构建i d s 提供了一个通用的框架【5 】。 1 9 8 8 年的莫里斯蠕虫事件发生之后，网络安全才真正引起了军方、学术界 和企业的高度重视。导致了许多i d s 系统的研究开发。其中d i d s ( 分布式入侵 检测系统) 是入侵检测系统发展历史上的一个里程碑，它的检测模型采用了分 层结构。 1 9 9 0 年是入侵检测系统发展史上的个分水岭。这一年，加州大学戴维斯 分校的l t h e b e r l e i n 等人开发出t n s m ( n e t w o r ks e c u r i t ym o n i t o r ) ，该系统第 一次直接将网络流作为审计数据来源。从此之后，入侵检测技术的两大领域正 式形成：基于网络的i d s 和基于主机的i d s 6 l 。 19 91 年，n a d i r ( n e t w o r ka n o m a l yd e t e c t i o na n di n t r u s i o nr e p o r t e r ) 与 2 d i d s ( d i s t r i b u t ei n t r u s i o nd e t e c t i o ns y s t e m ) 提出了收集和合并处理来自多个主 机的审计信息以检测一系列主机的协同攻击。 1 9 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d 建议使用自治代理( a u t o n o m o u s a g e n t s ) 以便提高i d s 的可伸缩性、可维护性、效率和容错性，该理念非常符合 正在进行的计算机科学其他领域( 如软件代理，s o f t w a r ea g e n t ) 的研究。 l9 9 5 年开发了i d e s 完善后的版本n i d e s ( n e x t g e n e r a t i o ni n t r u s i o n d e t e c t i o ns y s t e m ) 可以检测多个主机上的入侵。 19 9 6 年g r i d s ( g r a p h b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) 的设计和实现，使得 对大规模自动或协同攻击的检测更为便利，这些攻击有时甚至可能跨过多个管 理领域。同年，w l e e 提出了和实现了在c i d f ( c o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ) 上实现多极i d s ，并运用数据挖掘技术对审计数据进行处理。 2 0 0 0 年，普渡大学的d i e g oz a m b o n i 和e s p a f f o r d 提出了入侵检测的自治 代理结构，并实现了原型系统a f f i d 系统。 从2 0 世纪9 0 年代到现在，对入侵检测系统的研究工作已呈现出百花争鸣 的繁荣局面，并在智能化和分布式两个方面取得了长足的进展。 1 2 2 入侵检测系统的研究现状 从9 0 年代开始有了一些针对具体入侵行为或具体的入侵过程进行的入侵 测的研究和系统，9 4 年以后逐渐出现一些入侵检测的产品，其中比较有代表性 的产品有i s s ( i n t e r n e ts e c u r i t ys y s t e m ) 公司的r e a l s e c u r e ，n a i ( n e t w o r k a s s o c i a t e s ) 公司的c y b e r c o p 和c i s c o 公司的n e t r a n g e r 。现在入侵检测系统已经 成为网络安全中一个重要的研究方向而越来越受到重视。 国内对i d s 的研究目前是一个热点，公安部三所最新公布的国内已获得安 全认证的i d s 系统有：思科系统网络技术有限公司的c i s c oi d s4 2 3 0 ，北京启 明星辰信息技术有限公司的天闻黑客入侵检测与预警系统v 5 5 ，中联绿盟信息 技术有限公司的绿盟冰之眼入侵检测系统n i d s 一2 0 0 等共有3 4 个之多。 武汉大学软件工程国家重点实验室提出了基于分布式数据挖掘的入侵检测 系统框架，该系统以基于关联规则方法的分布式数据挖掘技术为核心，实现了 规则库的自动生成和更新，并能有效检测大规模的协同攻击，但他们并未实现 其原型系统。 目前，从体系结构上来说，基于自治代理、机器学习、分布协作的i d s 还 远远达不到理想的效果，真正得到商业应用的技术除了一些基于主机的异常检 测外，最多的是基于特征值的模式匹配等相对成熟的技术。 i d s 虽然历经2 0 多年的发展，但仍然是一种比较新的技术，尤其是在国内， 它的兴起只是近几年的事情。当前对i d s 的研究主要集中在建立不同环境下的 系统体系结构和应用新的入侵检测技术到入侵检测系统中。 从性能上讲入侵检测系统面临的一个矛盾就是系统性能与功能的折衷，即 对数据进行全面复杂的检验构成了对系统实时性要求很大的挑战。 从技术上讲，入侵检测系统存在一些急待解决的问题，主要表现在下面几 个方面： ( 1 ) i d s 系统本身还在迅速发展和变化，远未成熟。 目前，绝大多数的商业i d s 的工作原理和病毒检测相似，自身带有一定规 模和数量的入侵特征模式库，可以定期更新。这种方式有很多弱点：不灵活， 仅对已知的攻击手段有效；同时特征模式库的提取和更新依赖于手工方式，维 护不易。而具有自适应能力、能自我学习的i d s 系统还远未成熟，i d s 技术在 理论上还有待突破。所以i d s 领域当前正处在不断发育成长的幼年时期。 ( 2 ) 现有i d s 系统错报或虚警概率偏高，严重干扰了结果。 如果i d s 系统对原本不是攻击的事件产生了错误的警报，则假的警报一般 称为虚警( f a l s ep o s i t i v e ) 。通常这些错报会干扰管理员的注意力，产生两种后 果： 忽略报警，这样做的结果和安装i d s 系统的初衷相背； 重新调整临界i a 值，使系统对虚报的事件不再敏感，但这样做之后一 旦有真的相关攻击事件发生，i d s 将不再报警，这同样损失了i d s 的功效。 ( 3 ) 事件h 向应与恢复机制不够完善。 这一部分对i d s 非常必要，但目前几乎都被忽略，即使有，相当有限的响 应和恢复功能还远不能满足人们的期望和要求。 ( 4 ) i d s 与其他安全技术的协作性不够。 1 3 本文组织结构 本文由五章组成： 第一章主要介绍了课题的研究背景以及入侵检测的发展历史和研究现 状，最后简要给出了文章的组织结构。 。 第二章系统介绍了入侵检测的相关知识，包括入侵检测系统的体系结构， 入侵检测系统的功能，入侵检测技术，评价入侵检测系统性能的指标，以及入 侵检测的发展方向和研究热点。介绍了数据挖掘的相关概念，及其算法在入侵 检测中的应用。 第三章给出了本文的核心部分：混合检测、跟踪算法。为了实现混合入 侵检测系统模型，详细阐述了混合入侵检测系统的各个组成部分：用序列模式 挖掘算法( p r e f i x s p a n ) 实现训练模块；用模式匹配算法( b m ) 实现入侵检测 引擎，用跟踪算法实现对可疑行为的跟踪。而预处理模块将在第四章4 2 中详 述。 第四章在详细阐述了实验数据来源与实验环境以及实验数据的预处理之 4 后，通过对实验结果的分析与比较，表明了混合检测优于异常检测和误用检测， 从而表明了本文的创新是有效的。 第五章对已有工作进行了总结，并对下一步的工作进行了展望。 第二章入侵检测系统概论 网络安全技术发展到今天，除了防火墙和杀毒系统的防护，入侵检测技术 也成为抵御黑客攻击的有效方式。入侵检测技术是为保证计算机系统的安全而 设计和配置的种能够及时发现并报告系统中未授权行为或异常现象的技术， 是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测被认为是防 火墙之后的第二道安全闸门。入侵检测系统( i d s ) 主要用来监视和分析用户及系 统的活动，可以识别反映已知进攻的活动模式并通过不同的形式来报警。下面， 详细讲述入侵检测的相关概念和相关知识。 2 1入侵检测系统的体系结构 般的入侵检测系统由三个模块组成：数据采集模块，分析模块，响应模 块。他们之间的关系如图2 1 所示。 用户网络 图2 1 入侵检测系统总体模块图 入侵检测系统检测入侵的一般过程是，由数据采集模块采集用户系统的相 关数据，经数据预处理后交与分析模块，分析模块采用相应的分析方法对提交 的数据进行分析以判断是否有入侵发生，并将分析结果交于响应模块处理，响 应模块根据该信息决定进行什么样的响应。 对于数据采集模块，根据监视对象的不同可将入侵检测系统分为三类：基 于主机的入侵检测系统( h i d s ) ，基于网络的入侵检测系统( n i d s ) ，基于主机和 网络的入侵检测系统( h n i d s ) t 7 母】。 2 1 1基于主机的入侵检测系统( h i d s ) 主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录 和日志文件来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证 据，这些证据可以指出有人正在入侵或己成功入侵了系统。通过查看日志文件， 能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。通常， 基于主机的i d s 可监测系统、事件和w i n d o w sn t 下的安全记录以及u n i x 环 6 境下的系统记录，从中发现可疑行为。当有文件发生变化时，i d s 将新的记录 条目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警 并向别的目标报告，以采取措施。对关键系统文件和可执行文件的入侵检测的 一个常用方法，是通过定期检查校验和来进行的，以便发现意外的变化。反应 的快慢与轮询间隔的频率有直接的关系。此外，许多i d s 还监听主机端口的活 动，并在特定端口被访问时向管理员报警【1 0 。1 。 尽管基于主机的入侵检测系统不如基于网络的入侵检测系统快捷，但它确 实具有基于网络的系统无法比拟的优点。这些优点包括： ( 1 ) 能确定攻击是否成功 主机是攻击的目的所在，所以基于丰机的i d s 使用含有己发生的事件信息， 可以比基于网络的i d s 更加准确地判断攻击是否成功。就这一方面而言，基于 主机的i d s 与基于网络的i d s 瓦相补充，网络部分尽早提供针对攻击的警告， 而主机部分则可确定攻击是否成功。 ( 2 ) 监控粒度更细 基于主机的i d s ，监控的目标明确，视野集中，它可以检测一些基于网络 的i d s 不能检测的攻击。它可以很容易地监控系统的一些活动，如对敏感文件、 目录、程序或端口的存取。例如，基于主机的i d s 可以监督所有用户登录及退 出登录的情况，以及每位用户在连接到网络以后的行为。它还可监视通常只有 管理员才能实施的非正常行为。针对系统的一些活动，有时并不通过网络传输 数据，有时虽然通过网络传输数据但所传输的数据并不能提供足够多的信息， 从而使得基于网络的系统检测不到这些行为，或者检测到这个程度非常困难。 ( 3 ) 配置灵活 每一个主机有其自己的基于主机的i d s ，用户可根据自己的实际情况对其 进行配置。 ( 4 ) 可用于加密的以及交换的环境 加密和交换设备加大了基于网络i d s 收集信息的难度，但由于基于主机的 i d s 安装在要监控的主机上，根本不会受这些因素的影响。 ( 5 ) 对网络流量不敏感 基于主机的i d s 一般不会因为网络流量的增加而丢掉对网络行为的监视。 ( 6 ) 不需要额外的硬件 基于主机的入侵检测系统的主要缺点是：它会占用主机的资源，在服务器 上产生额外的负载；缺乏平台支持，可移植性差，因而应用范围受到严重限制。 在网络环境中，某些活动对于单个主机来说可能构不成入侵，但是对于整 个网络是入侵活动。例如“旋转门柄”攻击，入侵者企图登录到网络主机，他 对每台主机只试用一次用i d 和口令，并不穷尽搜索，如果不成功，便转向其 他主机。这种攻击方式，各主机上的入侵检测系统显然无法检测到，这就需要 7 建立面向网络的入侵检测系统。 2 1 2 基于网络的入侵检测系统( n i d s ) 主要用于实时监控网络关键路径的信息，它侦听网络上的所有数据包来采 集数据，分析可疑现象。基于网络的入侵检测系统使用原始网络数据包作为数 据源。基于网络的i d s 通常利用一个运行在混杂模式下网络的适配器来实时监 视并分析通过网络的所有通信业务，当然也可能采用其他特殊硬件获得原始网 络包。基于网络的i d s 有许多仅靠基于主机的入侵检测所无法提供的功能。实 际上，许多客户在最初使用i d s 时，都配置了基于网络的入侵检测系统。基于 网络的检测系统有以下优点： ( 1 ) 监测速度快 基于网络的监测器通常能在微秒或秒级发现问题。而大多数基于_ 丰机的产 品则要依靠对最近几分钟内审计记录的分析。 ( 2 ) 隐蔽性好 个网络上的监侧器不像一个丰机那样显眼和易被存取，因而也不那么容 易遭受攻击。基于网络的监视器不运行其他的应用程序，不提供网络服务，可 以不响应其他计算机，因此可以做得比较安全。 ( 3 ) 视野更宽 可以检测一些主机检测不到的攻击，如泪滴( t e a rd r o p ) 攻击f1 列，基于网 络的s y n 洪水等。还可以检测不成功的攻击和恶意企图。 ( 4 ) 较少的监测器 由于使用一个监测器就可以保护一个共享的网段，所以你不需要很多的监 测器。相反地，如果基于主机，则在每个主机上都需要一个代理，这样的话， 花费昂贵，而且难于管理。但是，如果在一个交换环境下，就需要特殊的配置。 ( 5 ) 攻击者不易转移证据 基于网络的i d s 使用正在发生的网络通信进行实时攻击的检测。所以攻击 者无法转移证据。被捕获的数据不仅包括攻击的方法，而且还包括可识别黑客 身份和对其进行起诉的信息。许多黑客都熟知审计记录，他们知道如何操纵这 些文件掩盖他们的作案痕迹，如何阻止需要这些信息的基于主机的系统去检测 入侵。 ( 6 ) 操作系统无关性 基于网络的i d s 作为安全监测资源，与主机的操作系统无关。与之相比， 基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作，生 成有用的结果。 ( 7 ) 可以配置在专门的机器上，不会占用被保护的设备上的任何资源 基于网络的入侵检测系统的主要缺点是：只能监视本网段的活动，精确度 不高；在交换环境下难以配置；防入侵欺骗的能力较差；难以定位入侵者。 2 1 3基于主机和网络的入侵检测系统( h n i d s ) 基于网络和基于主机的i d s 系统都能发现对方无法检测到的一些入侵行 为，它们有各自的优点，并且互为补充。所以一种真正有效的入侵检测系统应 该是将二者结合起来，以提供更加有效的入侵检测和保护措施。h n i d s 就是综 合了h i d s 和n i d s 两种结构特点的入侵检测系统，既可发现网络中的攻击信 息，也可从系统日志中发现异常情况。 2 2入侵检测系统的功能 形象地说，入侵检测系统就是网络摄像机，能够捕获并记录网络上的所有 数据，同时它也是智能摄像机，能够分析网络数据并提炼出可疑的、异常的网 络数据，它还是x 光摄像机，能够穿透一些巧妙的伪装，抓住实际的内容。此 外，它还是保安员的摄像机，能够对入侵行为自动地进行反击，如阻断连接。 在网络安全体系中，入侵检测系统是唯一一个通过数据和行为模式判断其是否 有效的系统，如图2 2 所示，防火墙就像一道门，可以阻止一类人群的进入， 但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子：访问控制 系统可以不让低级权限的人作越权工作，但无法保证高级权限的人做破坏工作， 也无法阻止低级权限的人通过非法行为获得高级权限；漏洞扫描系统可以发现 系统和网络存在的漏洞，但无法对系统进行实时扫描。 图2 2 入侵检测系统与其他网络安全系统的著别 入侵检测系统的作用和功能如下【1 3 】： ( 1 ) 监控、分析用户和系统活动。 ( 2 ) 审计系统的配置和弱点。 ( 3 ) 评估关键系统和数据文件的完整性。 9 ( 4 ) 识别攻击的活动模式。 ( 5 ) 对异常活动进行统计分析。 ( 6 ) 操作系统审计跟踪管理，识别违反政策的用户活动。 入侵检测系统的优点如下： ( 1 ) 提高信息安全构造的其他部分的完整性。 ( 2 ) 提高系统的监控。 ( 3 ) 从入口点到出口点跟踪用户的活动。 ( 4 ) 识别和汇报数据文件的变化。 ( 5 ) 侦察并纠正系统配置错误。 ( 6 ) 识别特殊攻击类型，并向管理人员发出警报，进行防御。 入侵检测系统的缺点如下： ( 1 ) 不能弥补差的认证机制。 ( 2 ) 如果没有人的干预，不能管理攻击调查。 ( 3 ) 不能知道安全策略的内容。 ( 4 ) 不能弥补系统提供质量或完整性的问题。 ( 5 ) 不能分析一个堵塞的网络。 ( 6 ) 不能处理有关p a c k e t l e v e l 的攻击。 对一个成功的入侵检测系统来讲，它不但可以帮助系统管理员时刻了解网 络系统( 包括程序、文件和硬件设备等) 的任何变更，还能给网络安全策略的制 定提供指南。更为重要的是，它的管理配置应该简单，从而使非专业人员非常 容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和 安全需求的改变而改变。入侵检测系统在发现入侵后，会及时做出响应，包括 切断网络连接、记录事件和报警等。 2 3 入侵检测技术 从数据分析手段看，入侵检测通常可以分为基本的两类【1 4 】：误用( m i s u s e ) 入侵检测和异常( a n o m a l y ) 入侵检测。对于采用“滥用”还是“误用来解释英 文原词( m i s u s e ) ，作者倾向于采用后者。由于误用检测和异常检测都有各自的 优缺点，因此，在克服两者的缺点而结合两者的优点的基础之上，提出了混合 入侵检测。 2 3 1 误用检测 误用入侵检测的技术基础是分析各种类型的攻击手段，并找出可能的攻击 特征集合。误用入侵检测利用这些特征集合或者是对应的规则集合，对当前的 数据来源进行各种处理后，再进行特征匹配或者规则匹配工作，如果发现满足 条件的匹配，则指示发生了一次攻击行为。误用入侵检测主要采用了以下的一 l o 些技术【1 5 】： ( 1 ) 表达式匹配( e x p r e s s i o nm a t c h i n g ) 。最简单、最通用的一种误用检测 方法是：遍历事件流中是否已存在定义好的模式，如果定义事件为正常模式， 若在事件流中找到能匹配的模式，就可以确定此行为正常行为，反之，则为入 侵行为。该方法的特点是：原理简单、扩展性好、检测效率高，可以实时检测， 但只能适用于简单的攻击方法，而且该方法的误报率高。随着网络的传输速度 的提高，目前需要解决的是快速匹配的问题，现在常用的s n o r t 【16 】系统和大部 分商用系统就采用的是表达式匹配的技术。 ( 2 ) 使用语言分析( d e d i c a t e dl a n g u a g ea n a l y s i s ) 。许多i d s 使用各自定义 的语言描述入侵特征。通常，每种语言表达式的形式都不同，但各种语言对攻 击场景的分析匹配过程都有很大的弹性。当输入数据触发了分析、过滤程序并 引起内部报警机制，则认定该行为为入侵行为。一个设计良好的分析语言应该 可以模拟任何由其它分析语言所编写的特征规则。 ( 3 ) 状态转移分析( s t a t et r a n s i t i o na n a l y s i s ) 。状态转移分析是一种针对入 侵及其渗透过程的图形化表示方法。它把攻击模式设计为状态和状态转移的网 络。使用有限状态机( f i n i t es t a t em a c h i n e ) 的模型来表示入侵的过程。该方法将 每个事件都作为有限状态机的实例。其中入侵过程由一系列的导致系统从初始 状态到入侵状态的行为组成。初始状态指入侵前系统的状态，入侵状态当然指 入侵后系统的状态。在有限状态机中，方框表示每