（计算机应用技术专业论文）基于企业网的nids的应用研究.pdf

摘要 本论文对入侵检测研究现状进行了总结，对入侵检测的主要技术、方法、体 系结构进行了深入的分析，提出了入侵检测技术面临的问题和研究发展趋势，并 对入侵检测技术的主要技术难点进行了研究和实践。 总结归纳了i d s 的理论框架，以构建一个统一的i d s 研究基础。首先说明了 入侵检测的必要性，并给出了入侵检测系统的概念和模型，详述了多种入侵检测 方法及体系结构。此外，对有关入侵检测技术的发展原因、发展现状和发展方向 也作了描述。 阐述了数据采集的原理。由于是基于w i n d o w s 操作系统下的研究，采用的是 w i n p c a p 库函数实现的数据包的捕获，针对w i n p c a p 的有关函数和数据结构进行 了介绍。重点阐述了网络数据包的捕获程序，并输出了实验结果。 分析了t c p i p 的四层模型、数据报的解析过程以及i p 、t c p 等协议的格式 和数据结构。并详细叙述了数据分析的原理、模块设计、程序实现。 在模式匹配算法上介绍了经典的b m 算法，叙述了他们的工作原理，由于这 些算法上都已很难再改进，为此，根据模式匹配算法的思想，编写一种新算法， 新算法依旧遵循模式匹配算法的工作原理，只是在匹配方向和速度上作优化和提 高，本文给出了它的算法实现和测试。 在测试中发现一些问题和不足，为了解决这些问题本文提出对i d s 模型进行 改进，改进后的模型是以一个干路中央控制机为核心和多个支路检测终端为辅助 共同来检测内部网络和外部网络的攻击，而且和防火墙结合起来实现联动响应， 并对外提供一些接口以便以后的系统扩展和集成。改进后的模型特点是将特征匹 配的精确性、快速性和数据挖掘技术结合起来，并具有一定的自学能力，既能发 现已知的特征攻击，又能发现隐藏在数据深处的潜在的攻击。 最后是结论，并介绍了今后需要进一步完善的工作。 关键字：入侵检测，入侵检测系统，协议分析，n i d s ，模式匹配，b m 算法 a b s t r a c t t h i sa r t i c l ei st os u m u pt h er e s e a r c hs t a t u so fi n t r u s i o nd e t e c t i o n ，t oh a v ead e e p a n a l y s i so ft h em a i ni n t r u s i o nd e t e c t i o nt e c h n o l o g y , m e t h o d s ，s t r u c t u r e ；t op r e s e n tt h e p r o b l e m sw h i c hi n t r u s i o nd e t e c t i o nt e c h n o l o g yf a c ew i t ha n dt r e n d so fr e s e a r c h d e v e l o p m e n t , a n df o r t h em a i nt e c h n i c a ld i f f i c u l t i e so ft h ei n t r u s i o nd e t e c t i o n t e c h n o l o g yi st op u ti n t or e s e a r c ha n dp r a c t i c e g e n e r a l i z i n gt h et h e o r e t i c a lf r a m e w o r ko fi d si st oc r e a t eau n i f l e di d sr e s e a r c h b a s e a sb e g i n n i n g , d e m o n s t r a t i n gt h en e c e s s i t yo ft h ei n t r u s i o nd e t e c t i o n ，a n d p r o v i d i n gt h ec o n c e p t sa n dm o d e l so ft h ei n t r u s i o nd e t e c t i o ns y s t e m s ，d e t a i l i n ga v a r i e t yo fm e t h o d sa n da r c h i t e c t u r eo fi n t r u s i o nt e s t i n g i na d d i t i o n ，r e l a t e dt ot h e i n t r u s i o nd e t e c t i o nt e c h n o l o g yd e s c r i b i n gt h ed e v e l o p m e n tr e a s o n s ，d e v e l o p m e n t s t a t u sa n dd e v e l o p m e n td i r e c t i o n e l a b o r a t i n gt h ep r i n c i p l eo fd a t ac a p t u r e 。腑a l s oi n t r o d u c ef u n c t i o n sa n dd a t a s t r u c t u r e so f 绛铴p c a pb e c a u s ed a t ap a c k e t sa r ec a p t u r e db yf u n c t i o n so fw i n p c a pi n t h ew i n d o w so s w ep r i m a r yi l l u s t r a t et h ea p p l i c a t i o nc a p t u r e dn e t w o r kd a t ap a c k e t s ， a n dp r i n to u tt h er e s u l to fo u re x p e r i m e n t w eb r i e f l yi n t r o d u c et h ef o u rl a y e rm o d e l so ft c p md a t ap a c k e t sa n a l y s i s p r o c e s s ，t c p 口p r o t o c o lf o r me t c a n dd a t as t r u c t u r e s h a v i n gas t a t e m e n to fd a t a a n a l y s i sp r i n c i p l e 、m o d u l ed e s i g n 、p r o g r a m i n er e a l i z a t i o ni nd e t a i l w r ei n t r o d u c ec l a s s i c a lb ma l g o r i t h ma b o u tp a t t e r nm a t c h i n g ，a n di t sp r i n c i p l e ， w ew i l lp r o g r a man e wa l g o r i t h ma c c o r d i n gt ot h ei d e aa n dt h ep r i n c i p l eo fp a t t e r n m a t c h i n ga l g o r i t h mb e c a u s et h eb ma l g o r i t h mi sh a r dt oi m p r o v e ，t h en e wa l g o r i t h m w i l lb ei m p r o v e di nd i r e c t i o na n ds p e e do fp a t t e r nm a t c h i n g , w ea l s ot e s t e dt h en e w a l g o r i t h ma n da n a l y z e dt h er e s u l t w ef o u n ds o m eq u e s t i o na n dd e f e c t ，i no r d e rt or e s o l v et h e s e ，w ep r e s e n t i m p r o v i n gi d sm o d e l ，t h ea m e l i o r a t e dm o d e li sc o m p o s e do fap r i m a r yc e n t r a l c o n t r o lm a c h i n ea n dal o to fi n t r u s i o nd e t e c t i o nt e r m i n a l ，b o t ho ft h e md e t e c tt h e a t t a c ko fi n n e ra n do u t e r , a n dr e a l i z el i n k a g er e s p o n s et o g e t h e rw i t hf i r e w a l l ，a n d p r o v i d es o m ei n t e r f a c ef o rt h eu s i n gt oe x t e n da n di n t e g r a t e t h et r a i to ft h e a m e l i o r a t e dm o d e li sc o m b i n i n ga c c u r a c yo fp a t t e r nw i t hd a t am i n i n gt e c h n o l o g y , a n d c a p a b i l i t yo fs t u d yb yi t s e l f , w h i c hm a k ei d s n o tt od e t e c tk n o w nc h a r a c t e ra t t a c kb u t t of o u n ds e c r e tl a t e n c ya t t a c k i nt h ee n d 。w ec o n c l u d e do u rw o r k sa n dp r e s e n t e do u rp l a n si nt h ef u t u r e k e y w o r d s ：i n t r u s i o nd e t e c t i o n ，i n t r u s i o nd e t e c t i o ns y s t e m ，p r o t o c o la n a l y s i s ，p a t t e r n m a t c h i n g , b ma l g o r i t h m 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得云洼王些太堂或其他教育机构的学位或 证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示了谢意。 学位论文作者签名：了知伍多 签字日期：7 护存j 月l 珀 学位论文版权使用授权书 本学位论文作者完全了解丞洼王些太堂有关保留、使用学位论文的规定。 特授权云洼王些太堂可以将学位论文的全部或部分内容编入有关数据库进行 检索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学 校向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：彳毒铊豸 导师签名： 签字日期：矽净1 月萨 签字日期：办年z 月矽日 学位论文主要创新点 一、基于模式匹配算法的思想，给出新的模式匹配算法，采用双向匹配方式， 从而减少算法时间复杂度。 二、提出了一种以一个干路中央控制机为核心和多个支路检测终端为辅助的 入侵检测模型，实现了对入侵检测模型的改进。 第一章绪论 1 1 课题背景及意义 第一章绪论 随着计算机网络的广泛使用和网络之间信息传输量的急剧增长，一些企业、 机构和部门在得益于网络的同时，其网上传输的数据也遭到了不同程度的破坏， 数据的安全性和自身的利益受到了严重的威胁。 对于企业网来说，入侵的来源可能是多种多样的，比如况：它可能是企业内 部心怀不满的员工、网络黑客，甚至是竞争对手。攻击者可能窃听到的信息如： 用户的口令、数据库的信息，还可能篡改数据库的内容，伪造用户身份，否认自 己的签名。更为严霞的是，攻击者获得柑应的权限后可以删除数掘库的内容，破 坏网络的节点，释放计算机病毒，直到整个企业网络陷入瘫痪。因此，能否成功 阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行便成为网络管理 员所面临i 的一个重要问题。但是对网络、系统的安全保护变得越来越困难，这是 因为网络的迅速发展，使得网络的结构越来越复杂。其次，网络中众多的“黑客” 站点不仪提供了大量的系统缺陷信息及其攻击方法，而f i 还提供了人量易于使用 的系统漏洞扫描和攻击工具，攻击者不需要具备专门的系统知识就可以利用竹i 应 的入侵工具轻易攻入具有安全缺陷的系统。第三，目前对系统的攻击也1 仪仪是 那些年轻的“黑客”们山于好奇侵入系统的玩笑r 仁游戏，入侵行的背后甚至得到 一些 j f j - 足够系统资源、专业知 叭l 1 1 - 钉入侵经验的犯罪组织、竞争的对手甚至是敌 对的困家的支撑。一个健全的网络信息系统安全方案应该包括如下几方面的内 容：安全效用检验、安全审计、安全技术、安全教育与培训、安全结构与程序、 安全规则等。这是一个复杂的系统工程。安全是其中的一个重要环节。目前，常 用的安全技术像防火墙、防病毒软件、加密技术、用户认证、入侵检测系统等。 其中，防火墙和入侵检测是两种重要的、可以互为补充的安全技术，两者从不同 的角度，不同的层次实现了被保护的网络系统的安全。 1 2 网络安全的含义及目标 安全是指远离危险的状念或特性，为防范f n j 谍活动或蓄意破坏、犯罪、攻击 或逃跑而采取的措施。计算机安全是指为数据处理系统建立和采取的技术和管理 的安全保护，它保护计算机硬件、软件和数据不囚偶然和恶意的原因而遭到破坏、 第一章绪论 更改和泄漏。 从广义上说，计算机安全是指计算机的硬件、软件和数掂受到保护，不因 偶然和恶意的原因而遭到破坏、更改和泄漏，使系统持续正常运行。随着计算机 在各行各业的广泛应用，计算机安全越来越受到人们的重视。 计算机安全的内容包括物理安全和逻辑安全两方面。物理安全指系统设备及 相关设施受到物理保护，以免破坏、丢失等。逻辑安全是指计算机巾信息和数据 的安全，它存在于信息系统巾从信息的产生、信息的传输、信息的存储直至信息 的应用这一全部过程，主要包括软件安全、数据安全和运行安全。 随着i n t e m e t 的发展普及，上网单位和网上信息的应用同益增多，网络的重 要性及其对社会的影响越来越大，网络带来的安全问题也越来越显得突出。计算 机网络安全是指利用网络管理和控制技术，保证网络系统环境中数据的机密性、 完整性及可用性，即保护网上保存的和流动的数据，不被他人偷看、窃取和修改。 网络安全i u j 题的内容主要分为两大类：一是网络系统的安全，二是网络信息的安 全和机密性。它大致可包括以下4 个方面：网络实体安全，如计算机房的环境、 各种硬件设备及传输线路的安伞保障；软件安全，如网络系统不被非法侵入、应 用、复制以及不受病毒侵害；网络中的数据安全，即保护网络中的数掘不被非法 存取，使其保持完整；网络安全1 4 l 管理，包括计算机安全技术、安全管理、安全 审计、事件处王哩等。 总之，安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统， 它必须能够保护整个系统，使其免受任何形式的入侵。它一般应该具有以下几个 特征： 保密性( c o n f i d e n t i a l i t y ) 是指网络中的数据必须按奠 ： 数据棚有者的要求保证 有一定的秘密性，不会被未授权的笫三方非法获知。具有敏感性的秘密信息，其 他人只有得到 】有者的许可，才能够获得浚信息，网络系统必须能够防止信息的 非授权访问或泄露。 完整性( i n t e g r i t y ) 是指网络中信息的安全、精确与有效，不因人为的因素而 改变信息原有的内容、形式与流向，即不能被未授权的第三方修改。数据完整性 的内涵，即保证数据不被非法地改动和销毁，同样还包含系统完整性的内涵，即 保证系统以无害的方式按照预定的功能运行，不受有意的或者意外的非法操作所 破坏。信息的完整性是信息安全的基本要求，破坏信息的完整性是影响信息安全 的常用手段。 当前，运行于i n t e r n e t 上的协议( 如t c p i p ) 等，能够确保信息在数据包级别 的完整性，即做到了传输过程中不丢信息包，不重复接收信息包，但却无法制止 未授权第三方对信息包内部的修改。 2 第一章绪论 可，f j 性( a v a i l a b i l i t y ) 是指要保障网络资源无论在何时，无论经过何种处理， 只要需要即可使用，而不因系统故障或误操作等使资源丢失或妨碍对资源的使 用，使得网络服务不能得到及时的响应。另外，网络可用性还包括具有在某些不 正常条件下继续运行的能力。计算机病毒就常常破坏信息的可用性，使系统不能 正常运行，数据文件面目全非。 可控性( c o n t r o l l a b i l i t y ) 是指可以控制授权范围内的信息流向及行为方式，对 信息的访问、传播以及具体内容具有控制能力。同时它还要求系统审计针对信息 的访问，当计算机中的泄密现象被检测出后，计算机的安全系统必须能够保存足 够的信息以追踪和识别入侵攻击者，入侵者对此不能抵赖。 正确性( c o r r e c t n e s s ) 是指系统要尽量减少对事件的不正确削断所引起的虚警 ( f a l s ea l a r m s ) 现象，要有较高的可靠性。如果虚警率太高，则用户的合法行为会 经常被打断或者禁止。这样不仅使得系统的可用性降低，而且也会使合法用户对 系统失去信心。 1 3 研究现状 入侵检测技术是近2 0 年来出现的一种主动保护自己以免受黑客攻击的新型 网络安伞技术。入侵检测被认为是防火墙之后的第二道安全闸门，它在不影响网 络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实 时保护。 随着对入侵捡测研究的深入，入侵检测的使用方法与技术也不断的更新。在 原理l 主要有异常检测和洪用检测，前者主要应用异常检测，基于特征选择的异 常检测等，后者包括的方法主要有基于专家系统误用，基于状态迁移分析等方法。 从1 9 8 0 年d d e n n i n g 提出第一个入侵检测模型以来，不断有入侵检测模型与系 统被开发设计出来，主要有： ( 1 ) n s m ( n e t w o r ks e c u r i t ym o n i t o r ) ：加州大学戴维斯分校的l t h e b e r l e i n 等人丌发的n s m ( n e t w o r ks e c u r i t ym o n i t o r ) 。该系统第一次直接将网络 流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况 下监控各种主机。 ( 2 ) r e a l s e c u r e ：i s s 丌发的在w i n d o w sn t 下运行的分布式网络入侵检测系 统，被人们广泛使用。 ( 3 ) n e t s t a t ：u c s b 的可靠软件小组丌发的n e t s t a t ，将状态迁移技术扩 展到网络环境中，用状态图描述攻击过程。 ( 4 ) j i n a o l d s ：m c n c 和n o r t hc a r o l i n as t a t eu n i v e r s i t y 开发的j i n a o l d s ，通 3 第一章绪论 过一种方法能够分析路由和网络的管理协议的逻辑行为就能够觉察攻 击的状态，并集成了网络管理功能，使得它能够融合到现有的管理框架 作为容错管理扩充。 ( 5 ) a a f l d l 6 l ( a u t o n o m o u sa g e n t sf o ri n t r u s i o nd e t e c t i o n ) ：美图p u r d u e 大学 设计的a a f i d ( a u t o n o m o u sa g e n t sf o ri n t r u s i o nd e t e c t i o n ) ，该系统采用 分布式部件进行数据收集，各部件按层次的结构组织，在各自所在的主 机进行检测，相互之问交换信息，并在检测到入侵时采取响应。 目前还存在很多其他的入侵检测系统或模型，但大多数系统仍然存在各种各 样的问题，主要包括： ( 1 ) 缺乏有效性：当前大多数入侵检测产品中检测入侵的规则和模式以及统 计的特征往往是专家根据经验编写的，不能应对复杂的网络安全环境。 ( 2 ) 缺乏适应性：编写检测代码时，专家一般着眼于分析目前己知的系统漏 洞或攻击模式，对未知的攻击手段缺乏检测能力。 ( 3 ) 有限的扩展性：由于专家根据经验设计枪测模型，往往导致这样的模型 只针对某一特定的检测环境，原有的检测规则和检测模型一般很难修改 或与新的合并。 在用户的眼艰，这样的入侵检测系统就表现为漏报率或误报率较高，对专家 依赖太多，同时，为了准确的愉测到入侵，许多入侵检测系统应片j 了比较复杂的 算法，十分占用被检测系统的资源。在相关研究分析中我们发现，一个好的入侵 枪测系统的设计必须要着重解决以下几个方面的问题： ( 1 ) 合适的报警机制 现有的大多数入侵检测系统只有一个报警闽值或一个检测策略，而不管 监测对象处在什么样的网络环境中，这样导致网络环境有一点点的变动就会 引起大量的误报或漏报。较高的漏报与误报率降低了入侵检测系统的可信 度，从而使一些用户可能放弃使用入侵检测系统。 ( 2 ) 检测系统与被监测对象的资源利用的平衡 现在的入侵检测往往需要大量的数据分析，即使算法不复杂也是十分耗 费计算机资源的，何况为了提高入侵检测的精确度，使用的算法往往十分复 杂。 ( 3 ) 怎么样减少对专家的过分依赖，或对手工操作的依赖 现有的系统往往郜是由专家建立规则库，用户在使用的过程当中，隔一 段时n l j 就更新一次规则库。即使所有的己经出现的入侵可以检测出来，在更 新前却往往对一段时问比较新的入侵缺乏有效检测。 4 第一章绪论 1 4 论文的主要内容 论文的主要内容如下： ( 1 ) 第二章介绍入侵检测系统 介绍入侵检测的概念、系统构成、系统框架、检测方法、系统分类。 ( 2 ) 第三章基于企业网的n i d s 的概念设计 介绍了n i d s 的设汁目标、系统框架、工作流程、主要实现的功能。 ( 3 ) 第四章基于企业网的n i d s 实现 讲述了抓包机制、协议分析实现、模式匹配算法、规则设计及其响应模 块。 ( 4 ) 第：矗章系统评测与改进 主要讲述系统的模块测试与改进。 ( 5 ) 第六章结论与展望 最后，总结全文，指 n 了f 一步的研究内容。 第二章入侵检测系统 2 1 入侵检测 第二章入侵检测系统 入侵检测乜1 技术是近二十年来出现的一种主动保护计算机免受入侵者攻击 的新型网络安全技术。它一般是通过离线或在线的分析系统的审计数据，当发现 有入侵企图或入侵行为的时候，能够及时报告网络管理员，从而使管理员采取一 定的补救措施，如断丌连接，防止错误数据蔓延，向入侵者发出警告等。它能够 提供对内部攻击，外部攻击和误操作的实时检测，是网络安全技术极其重要的组 成部分。 2 1 1 入侵检测系统概述 所谓“入侵”其实是个广义的概念，不仅包括发起攻击的人取得超出合法范 围的系统控制权，也包括收集漏洞信息，造成拒绝服务访问等危害行为。入侵行 为不仅可以来自外部，同时咆可来自内部用户的未授权活动。 入侵捡测( i n t r u s i o nd e t e c t i o n ) 即通过收集计算机网络或计算机系统中的 若干关键点信息并对其进行分析，从而发现网络或系统中是否有违反安全策略的 行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统 ( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s 1 ) 。入侵检测系统的原理图2 一l 所示： 图2 1 入侵检测的原理图 第二：章入侵检测系统 入侵检测系统不但可使系统管理员时刻了解网络系统( 包括程序、文件和硬 件设备等) 的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点 是，它容易管理、配置简单，从而使非专业人员非常容易地获得网络安全。 而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改 变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事 件和报警等。具体柬说，入侵检测系统的主要功能有： 监测并分析用户和系统的活动； 核查系统配置和漏洞： 评估系统关键资源和数据文件的完整性： 识别己知的攻击行为； 统计分析异常行为； 操作系统日志管理，并谚 别违反安全策略的用户活动。 2 1 2 入侵检测的必要性 一个安全系统至少应该满足川户系统的机密性、完整性及可用性要求。但是 随着网络连接的迅速扩展，特别是i n t e r n e t 大范f f ；i 的开放以及金融领域网络的 接入，越来越多的系统遭到入侵攻击的威胁，这螳威胁大多足通过挖掘操作系统 和应用服务程序的弱点或者缺陷来实现的。 目前，对付破坏系统企图的理想方法是建立一个完全安全系统。但这样不仅 要求所有的刚，_ 能识别和认证白己，还要求用，- 采川各种各样的加密技术和访问 控制策略来保护数据。而从实际上看，这一点很难做剑，其原因如下： ( 1 ) 要将所有已安装的带安全缺陷的系统转换成安全系统足不现实的，即使 真i f 付诸于实践，也需要柑当长的时间； ( 2 ) 加密技术方法本身存在一定的问题，如密钥的生成、传输、分配和保存， 加密算法的安全性： ( 3 ) 访问控制和保护模型本身存在一定的问题； ( 4 ) 静态的安全控制措施不足以保护安全对象属性。通常，安全访问控制等 级与用户的使用效率成反比。在一个系统中，担保安全特性的静态方法 可能会过于简单、不充分，或者是系统过度地限制用户； ( 5 ) 安全系统易受内部用户滥用特权的攻击。一些安全技术( 如防火墙) 能够 防止一些外部攻击，对来自于内部的攻击就无能为力了。 在实践当中，建立完全安全系统是根本不可能的。现今的操作系统和应用程 序中不可能没有缺陷。基于上述几类问题的解决难度，一个实用的方法是建立比 7 第二章入侵检测系统 较容易实现的安全系统，同时按照一定的安全策略建立相应的安全系统，入侵检 测系统( i d s ) 就是这样一类系统。现在安全软件的丌发方式基本上就是按照这个 思路进行的。就目前系统安全状况而言，系统存在被攻击的可能性。如果系统遭 到攻击，只要尽可能的检测到，甚至是实时检测到，然后采取适当的处理措施， 就可以避免造成更大的损失。 入侵检测系统是防火墙之后的第二道安全闸门，是防火墙的重要补充，它在 不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和 误操作的实时检测。 入侵检测系统一般不是以采取预防的措施束防止入侵事件的发生，入侵检测 作为安全技术，其主要目的在于：第一，识别入侵者；第二，识别入侵行为；第 三，检测和监视己成功的安全突破；第四，为对抗入侵及时提供重要信息，阻止 事件的发生和事态的扩大。从这个角度看安全问题，入侵检测对于建立一个安全 系统来说是非常必要的，它可弥补传统安全保护措施的不足。 2 1 3 入侵检测原理 入侵检测本质上是一种电子数据处理( e l e c t r o n i cd a t ap r o c e s s ) 过程，按 照预先确定的方法对收集到的安全审计数据进行分析处理，根据分析结果做出系 统是否被入侵的结论收集到的数据一般是系统f 1 志或网络事件f i 志，预先确定的 方法即分析引擎采用的分析技术，一般是某种模式匹配技术或者统计学分析技 术，或杵足二者的结合。i d s 执行的主要功能包括：监视、分析用，、和系统活动； 识别已知的攻击模式，并做出响应；统计分析异常行为模式；评估重要系统和数 据文件的完整性。 入侵检测一般分为3 个步骤，依次为信息收集、数据分析、响应( 被动响应 和主动响应) ，i d s 一般由信息收集、数据分析、响应三个功能模块组成，分别 承担上述3 个步骤的任务。信息收集模块收集的内容包括系统、网络及用户活动 的状态和行为，入侵检测采用的数据源一般来自系统日志( 含操作系统审计记录、 操作系统系统日志、应用同志) 、目录以及文件的异常改变、程序执行中的异常 行为、网路数据包等几个方面数据分析模块是i d s 的核心，它完成对原始数据的 同步、整理、组织、分类，进行各种类型的细致分析，提取其中隐含的系统活动 特征或模式，用于i d s 判断是否有入侵行为发生。一般分为3 个阶段：构建分析 引擎、执行分析、利用反馈信息。 优化分析引擎。在构建分析引擎阶段，用收集到的训练数据经处理后建立一 个行为分类模型( 实质上是一个数据分类器) ，最后将模型保存在知识库中供实际 检测过程使用。在执行分析阶段，先将待检测的数据流预处理为格式化的事件记 8 第。二章入伎检测系统 录，然后利用模式匹配、统计分析和完整性分析等技术，将格式化的事件记录同 知识库中的内容相比较，将此事件记录分类为正常或异常，并根据预定的策略产 生响应。在优化分析引擎阶段，主要是更新入侵模式特征知识库以反映新攻击的 相关信息，或定期更新用户和系统行为的历史统计模式以反映用户和系统行为的 正常迁移，这一阶段实质是i d s 利用反馈信息优化分析引擎以适应环境的新变 化，这也体现了保障信息系统安全是一个动态的过程。 i d s 在发现入侵后应该根据预定的策略及时做出响应，包括切断网络连接、 记录事件和报警等响应，一般分为主动响应( 阻止攻击或者影响攻击进程) 和被动 响应( 记录和报告所检测出的入侵事件) 两种类型。主动响应由用户驱动或系统本 身自动执行，可对入侵者采取行动( 如断丌连接) 、修萨系统环境或收集有用信息； 被动响应则包括告警、设置s n m p ( 简单网络管理协议) 陷阱等。 信息收集模块、分析引擎和响应模块是相辅相成的，信息收集模块为分析引 擎提供原始数据，分析引擎执行实际的入侵或异常行为检测，并将结果提交给响 应模块，后者采取必要和适当的措旋，阻上l 进一步的入侵行为或恢复被损害的系 统。u 向应模块可以按照预定的策略反作用于信息收集模块和分忻引擎，例如可以 设置信息收集模块的过滤控制参数以屏蔽掉一些干扰数据，或嚣依据运行时数据 调整分析引擎的检测规则以适应新的环境。3 2 1 4 入侵检测系统框架 目前的入侵检测系统大部分是基于各自的需求独立设计和：发的，不同系统 之问缺乏操作性和互用性，这对入侵检测系统的发展造成了障碍，凶此 d a r p a ( t h ed e f e n s ea d v a n c e dr e s e a r c hp r o j e c t sa g e n c y ，美国国防部高级研究 计划局) 在1 9 9 7 年3 月丌始着手c l d f 。”3 ( c o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ，公共入侵检测框架) 标准的伟0 定。现在加州大学分校的安全实验室己 经按c i d f 标准，i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ，i n t e r n e t 工程任务 组) 成立了i d w g ( i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ，入侵检测工作组) 负责 建立i d e f ( i n t r u s i o nd e t e c t i o ne x c h a n g ef o r m a t ，入侵检测数据交换格式) 标 准，并提供支持该标准的工具，以更高效率地开发入侵检测系统。国内在这方面 的研究刚丌始起步，目前也己经开始着手入侵检测标准i d f ( i n t r u s i o n d e t e c t i o nf r a m e w o r k ，入侵检测框架) 的研究与制定。 c i d f 是一套规范，它定义了i d s 表达检测信息的标准语言以及i d s 组件之 间的通信协议。符合c i d f 规范的i d s 可以共享检测信息、相互通信、协同工作， 还可以与其它系统配合实施统一的配置响应和恢复策略。c i d f 的主要作用在于 集成各种i d s 使之协同工作，实现各i d s 之问的组件重用，所以c i d f 也是构建 9 第二章入侵检测系统 分伽式i d s 的基础。 c i d f 的规格文档山四部分组成，分别为： ( 1 ) 体系结构( t h ec o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r ka r c h i t e c t u r e ) ( 2 ) 规范语言( ac o m m o ni n t r u s i o ns p e c i f i c a t i o nl a n g u a g e ) ( 3 ) 内部通讯( c o m m u n i c a t i o ni n t h ec o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ) ( 4 ) 程序接口( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r ka p i s ) 其中体系结构阐述了一个标准的i d s 的通用模型：规范语言定义了一个用来 描述各种检测信息的标准语言：内部通讯定义了i d s 组件之间进行通信的标准协 议；程序接口提供了一整套标准的应用程序接口( a p i 函数) 。以下将分别对c i d f 的四个组成部分进行简要分析。 c i d f 的体系结构文档阐述了一个i d s 的通用模型。它将一个i d s 分为以下 五个组件，其体系结构如图2 - 2 所示： 图2 2 通j j 模犁体系结构 c i d f 的体系结构。” ( 1 ) 事件产生器( e v e n tg e n e r a t o r s ) ( 2 ) 事件分析器( e v e n ta n a l y z e r s ) ( 3 ) 事件数据库( e v e n td a t a b a s e s ) ( 4 ) 响应单元( r e s p o n s eu n it s ) ( 5 ) 目录服务器( d i r e c t o r ys e r v i c e s ) c i d f 将i d s 需要分析的数据统称为事件( e v e n t ) ，它可以是基于网络的i d s 从网络中提取的数据包，也可以是基于主机的i d s 从系统r 志等其它途径得到的 数据信息。 c l d f 组件之问是以通用入侵检测对象n 略( g e n e r a l iz e di n t r u s i o n d e t e c t i o no b j e c t s ，以下简称为g i d o ) 的形式交换数据的，一个g i d o 可以表示 在一些特定时刻发生的一些特定事件，也可以表示从一系列事件中得出的一些结 1 0 第二章入侵检测系统 论，还可以表示执行某个行动的指令。 c i d f 中的事件产生器负责从整个计算环境中获取市件，但它并不处理这些 事件，而是将事件转化为g i d o 标准格式提交给其它组件使用，显然事件产生器 是所有i d s 所需要的，同时也是可以重用的。c i d f 中的事件分析器接收g i d o ， 分析它们，然后以一个新的g i d o 形式返回分析结果。c i d f 中的事件数据库负责 g i d o 的存贮，它可以是复杂的数据库，也可以是简单的文本文件。c i d f 巾的响 应单元报据g i d o 做出反应，它可以是终止进程、切断连接、改变文件属性，也 可以只是简单的报警。 c i d f 将各组件之间的通信划分为三个层次结构：g i d o 层( g i d ol a y e r ) 、消 息层( m e s s a g el a y e r ) 和传输层( n e g o t i a t e dt r a n s p o r tl a y e r ) 。其中传输层不 属于c i d f 规范，它可以采用很多种现有的传输机制来实现。消息层负责对传输 的信息进行加密认证，然后将其可靠地从源传输到目的地，消息层不关心传输的 内容，它只负责建立一个可靠的传输通道。g i d o 层负责对传输信息的格式化， 正是囚为有了g i d o 这种统一的信息表达格式，彳使得各个i d s 之i 日j 的力：操作成 为i 叮能。 c i d f 也对各组件之间的信息传递格式、通信方法和标准a p i 进行了标准化。 在现有的i d s 中，经常用数据聚集部分、分析部分、响应部分和同志来分别代替 事件产；卜器、事件分析器、响应单元和事件数据库这些术语。 目前c i d f 还没有成为正式的标准，也没有一个商、l ki d s 产品完全遵循该规 范，但各种i d s 的结构模型具有很大的相似性，各厂商都在按照c 1 d f 进行信息 交换的标准化工作，有些产晶己经可以部分地支持c i d f 。可以预测，随管分布 式i d s 的发展，各种i d s 互操作和协同工作的迫切需要，各种【d s 必然遵循统一 的框架结构，c i d f 将成为事实上的i d s 的工业标准。 2 1 5 入侵的常用方法和特征 入侵攻击者常用的入侵方法如： ( 1 ) 利用系统的内部缺陷 在网络运行的许多协议中，有一些协议存在着安全漏洞。如 i c m p ( i n t e r n e tc o n t r o lm e s s a g ep r o t o c 0 1 ) 。这种协议很容易被拒绝服务 攻击所利用。i m a p ( i n t e r n e tm e s s a g ea c c e s sp r o t o c 0 1 ) 是网络上的另一种 常见协议，攻击者能够通过i m a p 和p o p 3 取得u n i x 系统下的根目录权限， 攻击者就可操纵系统在根目录下执行各种命令，获取敏感信息和超级用户的 权限。t c p i p 协议也可以被拒绝服务攻击所利用。典型的d d o s 攻击主要是 消耗系统的一项或多项资源，如c p u 、内存或磁盘空间等。其中最出名的是 第二章入侵检测系统 s y n f l o o d 服务，攻击者发出大量非法请求要求建立连接，建成大量空连接， 系统处于长久的等待状态，占用系统大量资源，合法的服务请求因超时而断 丌连接，使系统不能响应合法的服务请求。 ( 2 ) 缓冲区溢出 这是对系统安全危害较大的攻击手段。在许多系统中，应用程序和缓冲 区都不检查数据的特性，它允许接收仟意长度的数据，这可能造成系统的堆 栈或缓冲区溢出，造成系统的状态不稳定，攻击者可以通过合适的配置，取 得系统的权限。 ( 3 ) 利用系统管理工具和系统配置的漏洞 尤其是u n i x 系统，它的配置比较复杂，漏洞也容易产生，如目录、文 件的访问权限设置不严格，有可能引起用户或黑客的非法访问，而黑客有时 以合法用户的名义访问系统。 ( 4 ) 利用无效的体系设计和检测能力 网络体系结构的安全漏洞有时是致命的，内部网络通过路m 器、防火墙 与外部i n t e r n e t 相连，路山器、防火墙的精心配置可以有效地控制内外网 络的相互访问。然而嗍络设备连接上的漏洞有可能使有关过滤规则等访问控 制被屏蔽。许多系统中没有对安全管理和安全措施提 h 明确的要求，这使管 理员无法利川系统设备对安全进行维护。有效的管理应该扩充到系统代码的 设计与实现上，一些系统的c g i 程序有安全漏洞，这可导致系统会受剑d d o s 攻击或非授权访问敏感信息。 2 2 入侵检测的过程 相对于防火墙的被动防护而言，入侵检测是一种主动的网络安全防护措施。 它可以从系统内部和各种网络资源中主动收集信息，从中分析可能的网络入侵或 攻击。通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程 能做出实时响应，比如阻塞网络连接、记录事件和报警等，在网络系统受到危害 之协拦截和响应入侵，被认为是防火墙之后的第二道安全闸门。在不影响网络性 能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时 保护。从总体来说，入侵检测的工作流程可以大致分为以下几个步骤： ( 1 ) 从系统的不同环节收集信息； ( 2 ) 分析该信息，试图寻找入侵活动的特征； ( 3 ) 自动对检测到的行为做出响应； ( 4 ) 纪录并报告检测过程结果。 1 2 第二章入侵榆测系统 2 2 1 数据收集 入侵检测的第一步是信息收集，包括收集系统、网络数据及用户活动的状态 和行为。而且，需要在计算机网络系统中的若干不同关键点( 不同网段和不同主 机) 收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的囚素就是 从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑 行为或入侵的最好标识。 当然，入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，有必 要利用一些精确的软件来报告这些信息。因为黑客经常替换软件以搞混和移走这 些信息，例如替换被程序调用的子程序、库和其它工具。黑客对系统的修改可能 使系统功能失常并看起来跟正常的一样，而实际上不是。例如，u n i x