（计算机软件与理论专业论文）基于对等网络入侵检测系统共享的研究.pdf

摘要 摘要 随着信息技术、计算机技术特别是对等网络技术的蓬勃发展，网络资源共享进入了 一个崭新的时代。但是这种开放式网络体系结构的安全问题日益突出，为其大规模地应 用和发展带来了很大的局限性，给不怀好意的黑客带来很多入侵的机会。近几年来，入 侵攻击事件可谓是枚不胜举，而且技术和手段越来越新颖。入侵检测技术，这种主动保 护自己免受攻击的网络安全技术，进入了一个新的发展时期。作为防火墙的合理补充， 入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力( 包括安 全审计、监视、攻击识别和响应) ，提高了信息安全基础结构的完整性。 然而，以往的基于主机和b s 模式的入侵检测技术对于大规模的对等网络，似乎发 挥不了很大的作用和效益，尤其在变化多端的攻击手段面前，显得有点力不从心。在大 规模开放式对等网络的发展下，入侵检测技术面临着日益严重的挑战。入侵检测系统必 须有一个由以前的集中式处理过渡到分布式处理，由单一式结构过渡到通用模块设计的 转变。与此同时，对于对等网络，入侵检测技术必须要改变以前只拘泥于为一台机器服 务的各自为政、互不干涉的局面，而应该让各节点上的i d s 联合协作起来，共享检测信 息，共同对付入侵攻击行为，形成一个整体力量。 本文正是基于对等网络资源共享这个核心思想，提出了安装在对等网络各个对等 节点上的入侵检测系统共享检测信息、安全日志的思想以及各个节点共同防御对整个对 等网络的攻击和入侵的设计方案。另外，根据信息不对称性原理，初步建立了入侵检测 技术的信息不对称数学模型、博弈模型以及反击情形的数学模型。最后在s u n 公司的 j x t a 平台上设计了一个基于对等网络的入侵检测系统模型，并取得了预期的效果。 本文分为四大部分：第一部分介绍了当前的入侵检测技术和网络安全技术。第二部 分探讨了基于对等网络有关信息不对称性等几个方面问题。第三部分提出了基于对等网 络的入侵检测系统共享机制设计的方案。最后利用该方案设计了个应用实例，并分析 了其实现的不足之处和以后的发展方向。 关键字：i d s 、对等网络( p 2 p ) 、资源共享、信息不对称性、博弈理论、反击 华南理工大学工学硕士学位论文 a b s t r a c t w i t ht h ef l o u r i s h d e v e l o p m e n t o fi n f o r m a t i o nt e c h n o l o g y , c o m p u t e rt e c h n o l o g y , e s p e c i a l l yt h ep 2 pt e c h n o l o g y , n e t w o r kr e s o u r c es h a r ei sc o m i n gi n t o an e we r a b u tt h e s e c u r i t yo f t h i so p e nn e t w o r ks y s t e ms t r u c t u r eb r i n g si t s l a r g e s c a l ea p p l i c a t i o na n d d e v e l o p m e n tg r e a tl i m i t a t i o na n dg i v e st h ec a n t a n k e r o u sh a c k e r sg r e a tc h a n c e so fi n t r u s i o n i nt h er e c e n ty e a r s ，t h ei n c i d e n t so fi n t r u s i o na n da t t a c ka r eo u to fe s t i m a t i o na n dt h e t e c h n o l o g ya n dm e a n sb e c o m en o v e l i d s ，a sap o s i t i v en e t w o r ks e c u r et e c h n o l o g y , m e e t s i t sn e sd e v e l o p i n gc h a n c e a st h ef i r ew a l lc o m p l e m e n t ，i d st e c h n o l o g yc a nh e l pt oe x t e n d t h es e c u r i t ym a n a g e m e n ta b i l i t yo ft h ea d m i n i s t r a t o rs u c ha sa u d i t i n gs e c u r i t y ，m o n i t o r i n g ， r e c o g n i z i n ga n dr e s p o n d i n ga t t a c ka n di m p r o v et h ei n t e g r a l i t yo ft h ei n f o r m a t i o ns e c u r i t y b a s es t r u c t u r e h o w e v e r , t h ef o r m e ri d sb a s e do nh o s tm a c h i n ea n db sm o d e ld o n te x e r te n o u g h e f f e c tt os a t i s f yt h el a r g es c a l en e t w o r ka n dd o n tk e e pu pw i t ht h ev a r i a b l ea t t a c kt e c h n o l o g y d e v e l o p m e n t i d si sc o n f r o n t e dw i t ht h es e r i o u sc h a u e n g eu n d e rt h ed e v e l o p m e n to ft h el a r g e s c a l eo p e np 2 e t h e r es h o u l db ea c h a n g ef o ri d sf r o mt h ef o r m e rc e n t r a l i z e dm a n a g e m e n tt o d i s t r i b u t e dm a n a g e m e n t ，f r o ms i n g l es t r u c t u r et oc o m m o nm o d u l ed e s i g n i nt h em e a n w h i l e ， f o rp 2 p , i d st e c h n o l o g ys h o u l dc o m eo u to ft h ei s o l a t e dt h o u g h to fs e r v i n gas i n g l em a c h i n e a n ds h o u l du n i t ea n dc o l l a b o r a t et od e a lw i t ht h ea t t a c ka n di n t r u s i o na ss h a r i n gt h ed e t e c t i n g i n f o r m a t i o n b a s e do nt h ep 2 pc o r et h o u g h to fs h a r i n gi n f o r m a t i o na n dr e s o u r c e ，t h et h e s i sb r i n g s f o r w a r dad e s i g no fs h a r i n gt h ed e t e c t e di n f o r m a t i o na n ds e c u r i t yl o go fi d si n s t a l l i n gi nt h e n o d eo ft h ep 2 pa n dc o i l a b o r a t et od e f e n dt h ea t t a c ka n di n t r u s i o no nt h ew h o l en e t w o r k 。i n a d d i t i o n ，b a s eo nt h et h e o r yo fi n f o r m a t i o na s y m m e t r y ，w ee s t a b l i s ht h e a r i t h m e t i cm o d e la n d g a m et h e o r ym o d e lo fi d st e c h n o l o g y i n t h ee n d ，a ni n s t a n c eb a s e do nj x t ap l a t f o r m i m p l e m e n t e d ，w h i c hm a k e sa ne x p e c t a n te f f e c to fd i s t r i b u t e dc o m p u t i n gt a s km a n a g e m e n t t h e r ea r ef o u rp a r t si nt h i st h e s i s t h ef i r s to n ei n t r o d u c e sc u r r e n ti d st e c h n o l o g ya n d n e t w o r ks e c u r i t yt e c h n o l o g y t h es e c o n do n ef o c u s e so n af e wp r o b l e m ss u c ha si n f o r m a t i o n a s y m m e t r ya n dg a m et h e o r yo ni d s t h et h i r dp a r tb r i n g sf o r w a r dap r o j e c to ft h es h a r eo f i d sb a s e do np 2 et h el a s tp a r td e s i g n sa na p p l i c a t i o ni n s t a n c ea c c o r d i n gt ot h ep r o j e c ta n d a n a l y s i si t ss h o r t a g e sa n dd e v e l o p m e n ti nf u t u r e k e y w o r d ：i d s ；p 2 p ；r e s o u r c es h a r e ；i n f o r m a t i o na s y m m e t r y ；g a m et h e o r y ；a n t i a t t a c k i i 华南理工大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研 究所取得的研究成果。除了文中特别加以标注引用的内容外，本论文 不包含任何其他个人或集体己经发表或撰写的成果作品。对本文的研 究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完 全意识到本声明的法律后果由本人承担。 作者签名：彦名秀 日期：2 砂年z 月2 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定， 同意学校保留并向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查阅和借阅。本人授权华南理工大学可以将本学位论文的 全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫 描等复制手段保存和汇编本学位论文。 保密口，在年解密后适用本授权书。 本学位论文属于 不保密口。 ( 请在以上相应方框内打“”) 日期：2 p 噼多月2 日 日期：b 璁广年z 月日 第一章绪论 1 1 课题的学术背景 第一章绪论 随着计算机技术和i n t e r n e t 技术的发展以及社会信息化的普及，可以预见， 2 1 世纪将是一个信息化的网络世界，信息资源通过网络实现高度的共享、调度和 控制，得到了最大限度的利用，这给用户带来了极大的方便，但是同时也由于网 络的开放性和超越组织与国界以及信息系统脆弱性等特点，带来了信息安全隐患， 使信息技术面临着种种攻击和威胁安全的难题“”。现在，信息安全问题的内涵 伴随着网络技术的发展也正发生着根本的变化，从以前一般性的防卫和普通的防 范，变成了一种专门的领域，直至今天变成了无处不在普遍问题，计算机网络安 全不再是一个学术问题，已经随着网络的普及，和我们的切身利益息息相关了”3 。 在广泛的国际互联网上，黑客攻击事件频频发生，每年成倍的增长，而且技 术越来越新颖，手段越来越高明，从单一行动走向了群体化、甚至恐怖主义集团 化的复合型技术行为；计算机病毒更是防不胜防，从单一技术发展到了综合技术， 从危害软件目的发展到了毁坏硬件的严重后果“1 。二者传播速度惊人，受害面积惊 人，穿透深度惊人，造成的经济损失以几何型数量级增长。俗话说，魔高一尺， 道高一丈，尽管在网络安全的道路上还是路漫漫其修远兮，但是人们对网络攻击 危害的关注和网络安全的重视已是朝非夕比，各种网络安全技术也日新月异，快 速的发展，功能越来越强大，实用性能越来越高，技术也越来越成熟。其中进展 显著的是各种杀毒软件和防火墙的发展以及网络入侵检测技术的兴起。 现有的网络安全产品主要建立于被动防御的防火墙技术和主动的入侵检测技 术，具有以下几大特点”1 ： 1 ) 网络安全来源于安全策略与技术的多样化； 2 ) 网络的安全机制与技术要不断地变化； 3 ) 随着网络在社会各方面的延伸，进入网络的手段也越来越多。 可见网络安全技术是一个十分复杂的系统工程。而且网络本身也在不断的革 新，从以前的胖客户端的c s 模式到今天的瘦客户端的b s 模式，以及p 2 p 模式“1 。 p 2 p 模式主要是对i n t e r n e t 中信息、带宽和计算资源进行有效利用的技术。该技 术采用基于网络的计算模式，而不是过分依赖于中央控制节点。p 2 p 模式除了提高 信息发现、内容传递、和信息处理的性能之外，也可以增强计算系统的可靠性和 容错性。p 2 p 模式让用户可以直接连接到其他用户的计算机，进行文件共享与交换， 另外p 2 p 模式在深度搜索、分布计算、协同工作等方面也大有用途。然而p 2 p 模式 由于本身技术的不成熟带来安全性能的脆弱性严重地影响了其应用和发展。本文 华南理工大学工学硕士学位论文 将研究如何有效地改进p 2 p 模式安全技术，尤其是基于对等网络的入侵检测系统的 研究。 入侵检测作为一种主动式的网络安全手段，自上个世纪8 0 年代出现以来，在 网络安全和计算机保护中扮演了越来越重要的角色，近年来随着网络技术的发展 和网络安全形势的严峻性的加重，成为一个新的研究热点“。同时，p 2 p 安全问题 还没有得到有效地解决，但是其巨大的应用潜力已经被人们看好，其鲜明的共享 观念已经深入人心。因此本课题的研究背景可以概括以下几点： 1 ) 网络安全总体形势越来越严峻，黑客攻击现象层出不穷，而信息社会的发 展和计算机技术的普遍应用对网络安全的要求越来越高。这个矛盾亟待妥 善解决。 2 ) p 2 p 技术越来越受重视，但是对等网络的安全问题还没有得到有效地解决 3 ) p 2 p 的共享机制和通信实现已经比较成熟，但其在安全领域的研究和应用 却还在一个初步的阶段。 4 ) i d s 技术蓬勃发展，但是由于人工智能和规则库建立技术的限制，单个i d s 由于其本身采取的技术的缺陷，“误警”和“误滤”现象不可避免的存 在，尤其是规则库的更新更是复杂而又迟滞落后。 5 ) 信息技术发展迅速，并且已经比较成熟，但是入侵检测领域的信息不对称 理论和博弈理论的运用还没有建立起有效的模型，处于一种不和谐的状 况。 6 ) 网络安全与防护领域中已经引入了反击技术，但是反击技术仅仅局限于单 台机器的运用。建立一个有效的反击网络，来加强检测方和防护方的信息 优势，这方面的研究还不是很多，而且还存在很多技术问题亟待解决。 7 ) 目前的入侵检测系统还是处于“各人自扫门前雪，不管他人瓦上霜”这 样一个很不理想的应用情形，提高各个节点机器的整体网络安全意识对于 应付越来越严峻的安全形势，显得尤为需要，这其中还有很多技术问题需 要妥善加以解决。 1 2 课题的研究现状 随着网络技术的发展，网络环境变得越来越复杂，对于网络安全来说，单纯 的防火墙技术暴露出明显的不足和弱点，如无法解决安全后门问题：不能阻止网 络内部攻击( 调查发现，5 0 以上的攻击都来自内部) ：不能提供实时入侵检测 能力：对于很多病毒却束手无策等“。因此很多组织致力于提出更多更强大的主 动策略和方案来增强网络的安全性，其中一个比较有效的解决途径就是入侵检测。 入侵检测系统( i d s 一一i n t r u s i o nd e t e c t i o ns y s t e m ) 可以弥补防火墙的不足， 第一章绪论 为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据、跟踪入侵、 恢复或断开网络连接等”3 。这引发了人们对入侵检测技术研究和开发的热情。 目前国外一些研究机构已经开发出了应用于不同操作系统的几种典型的入侵 检测系统( i d s ) ，它们通常采用静态异常模型和规则误用模型来检测入侵【12 1 。这 些1 d s 基本是基于服务器或基于网络的。基于服务器的i d s 采用服务器操作系统 的检测序列作为主要输入源来检测侵入行为，而大多数基于网络的i d s 则以监控 网络故障作为检测机制，但有些则用基于服务器的检测模式和典型的i d s 静态异 常算法。早期的i d s 模型设计用来监控单一服务器，是基于主机的入侵检测系统； 然而近期的更多模型则集中用于监控通过网络互连的多服务器，是基于网络的侵 入检测系统。【5 】【8 】随着人工智能和模糊控制技术的发展，智能i d s 和基于移动代 理的i d s 也出现了，并且表现出了强大的生命力，很多公司和研究机构投入了大 量的人力和物力进行研究。 尽管目前的入侵检测系统的研究正开展得如火如荼，由于i d s 本身技术的局 限性，也就是模式识别和规则匹配技术的健壮性还欠成熟，还由于规则库的大量 开销和难于更新，单个i d s 的功能改善在五花八门的攻击面前显得很是捉襟见肘。 尤其是现代黑客技术，群体合作和群体攻击技术的应用，单个i d s 的防御保护更 是力不从心。所以，改善i d s 单打独斗的局面，是解决网络安全的迫切的需要， 然而目前在这方面的研究却仍然处于一个初步阶段，这也许和对等网络刚刚兴起 有很大的关系。 近年来，对等网络技术是一个蓬勃发展的研究热点，很多软件公司的程序爱好 者开发了许多基于p 2 p 技术的应用程序，并且受到了广大用户的青睐。然而，在 商业上，由于对等网络安全技术的不完善，很多公司却对p 2 p 技术持观望态度1 。 所以，能否解决好对等网络的安全问题，是一个亟待需要解决的事情。 由于入侵检测技术在网络安全防护中所起的作用至关重要，因此受到了广泛 的重视。但是，目前在这一领域的研究还有待于加强，随着检测技术的不断改进 和提高，结合对等网络的优势，将两者结合起来，将能构造出更加安全可靠的网 络防护体系，这是一个很值得研究的课题。 1 3 课题研究的目标及意义 近年来对等网络作为一种新的计算模式，其复苏和兴起彻底打破了传统的浏 览器服务器模式，对等网络中的每个节点的地位都是对等的。每个节点既充当服 务器，为其他节点提供服务，同时也享用其他节点提供的服务。p 2 p 应用主要有文件 共享、对等计算、协同工作、边界服务、分布式计算等等“。然而，尺有所短， 寸有所长，p 2 p 由于其本身技术的不完善带来了不容忽视的安全问题，并严重考验 3 华南理工大学工学硕士学位论文 着其发展前途。要是能够有效地将入侵检测技术运用到对等网络，p 2 p 的安全性能 将得到大大地改善。 然而，目前的入侵检测技术尽管引入了神经网络技术和人工智能技术，但是 其基本方法还停留在异常检测统计方法和误用检测方法上，这两种方法都存在不 同程度和层次的局限性。由于网络入侵技术的发展，入侵行为表现处不确定性、 复杂性、多样性等特点。网络应用的发展和网络模式的改变尤其是对等网络的兴 起，又给网络入侵检测研究带来了新的问题，如基于对等网络的入侵检测系统如 何适应高速网络流量的情况? 基于对等网络的入侵检测系统如何做到既减少数据 处理量和提高计算机速度，又能更加有效地检测到入侵行为，减少虚警情况的发 生，提高系统的健壮性? 怎样有效地表示计算机入侵通用模式和监测入侵的发生 过程? 如何构造一种有效的入侵过程描述语言并成为一个标准? 如此等等一系列 的问题等待着我们加以解决。 在p 2 p 和入侵检测技术蓬勃发展的今天，要是能够将两者有效地结合起来，取 长补短，给入侵检测技术提供一个更合适的新舞台，让其功能得到更好地展示， 并会给p 2 p 脆弱的安全性能一个莫大的鼓舞。本文将对此进行研究探讨。 1 4 课题研究的主要内容 从性能上讲，入侵检测系统面临的一个矛盾就是系统性能与功能的折衷，即 对数据进行全面复杂的检验和系统要求高标准的实时性的矛盾。从技术上讲，入 侵检测系统存在一些亟待解决的问题，主要表现在以下几个方面：“”7 1 ) 对“大规模的组合式、分布式的入侵攻击”的识别目前还没有较好的方 法和成熟的解决方案。从y a h o o 等著名i c p 的攻击事件中，我们了解到安 全问题日濒突出，攻击者的水平在不断地提高，加上同趋成熟多样的攻击 工具，以及越来越复杂的攻击手法，使入侵检测系统必须不断跟踪最新的 安全技术”“。 2 ) 网络入侵检测系统通过匹配网络数据包发现攻击行为，入侵检测系统往往 假设攻击信息是明文传输的，因此对信息的改变或重新编码就可能骗过入 侵检测系统的检测，因此字符串匹配的方法对于加密过的数据包就显得无 能为力。 3 ) 网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制，以 适应更多的环境的要求。 4 ) 对入侵检测系统的评价还没有客观的标准，标准的不统一使得入侵检测系 统之间不易互联。入侵检测系统是一项新兴技术，随着技术的发展和对新 攻击识别的增加，入侵检测系统需要不断的升级才能保证网络的安全性。 第一章绪论 5 ) 采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通 常可以与防火墙结合在一起工作，当入侵检测系统发现攻击行为时，过滤 掉所有来自攻击者的i p 数据包，当一个攻击者假冒大量不同的i p 进行模 拟攻击时，入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻 击的地址都过滤掉，于是造成新的拒绝服务访问。 6 ) 对i d s 自身的攻击。与其他系统一样，i d s 本身也存在安全漏洞，若对i d s 攻击成功，则导致报警失灵，入侵者在其后的行为将无法被记录，因此要 求系统应该采取多种安全防护手段。 7 ) 随着网络的带宽的不断增加，如何开发基于高速网络的检测器( 事件分析 器) 仍然存在很多技术上的困难。 入侵检测技术作为网络安全关键性预防检测技术，具有很多值得进一步深入 研究的方面，尤其是基于对等网络的入侵检测技术，有待于进一步完善，以为今 后的网络发展提供更有效的安全手段。因此，如何解决以下几个方面的问题，就 成了本课题的研究内容，为此展开的工作主要包括以下几个方面的问题： 1 ) 如何在一个大规模的异构网络环境中集成和处理来自分布在对等网络各处 的具有不同格式的各种相关信息? 2 ) 如何在相互合作但不完全互相信任的对等节点之间共享相关入侵的信息? 3 ) 如何管理对等域共同安全的合作进程以及如何保证在局部入侵检测系统失 效的情况下仍能维护整个对等网络的全局安全? 4 ) 如何发布消息让具有攻击行为的事件和节点在整个对等网络中曝光，如何 建立一个对等节点的信任机制? 5 ) 如何实时识别对等网络中具有攻击行为的节点? 怎样采取措施防止具有攻 击行为的节点迸一步造成危害? 也就是如何在造成损失之前及早发现入侵 活动? 6 ) 怎样减少入侵检测过程中“虚警”和“误滤”的发生频率，提高入侵检测 的正确率和健壮性? 7 ) 如何建立起一个有效的“反击”网络来应付攻击者，使得攻击者付出更为 昂贵的代价? 8 ) 如何建立起入侵检测领域的信息理论的数学模型，并用之于分析对等网络 的安全状况? 本文将尝试研究这几个方面的问题。 1 5 论文的体系结构 论文的第二章介绍网络安全和入侵检测系统，分析了一般入侵检测技术的功 华南理丁大学t 学硕士学位论文 能、需求特性、分类、原理、结构、模型，尤其是分析了i d s 的结构，并且展望 了其发展趋势。 第三章介绍了对等网络，初步建立了基于对等网络i d s 共享的信息不对称数 学模型、博弈模型和反击数学模型，并利用它们分析了实现i d s 共享的性能效果。 第四章阐述了基于对等网络的入侵检测系统共享实现的总体方案。 第五章讨论了入侵检测共享应用程序的实现方法与具体设计，即对等网络平 台的搭建及其共享机制的实现。 第六章给出一个具体的试验模型，并根据其运行情况作出分析，得出了论文 的结论。 1 6 本章小结 本章主要阐述了课题的背景，研究的目标及其意义，介绍了入侵检测系统和 对等网络的发展情况和研究现状，从而指出了本课题研究的必要性。另外本章还 制定了课题研究的主要内容，最后说明了论文的体系结构。 第二章入侵检测系统 第二章入侵检测系统 2 1 网络安全与黑客攻击 计算机网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、 信息安全技术、应用数学、数论、信息论等多种学科的综合性学科，是指利用网 络管理控制和技术措施，保证在一个网络环境里，信息数据的安全性、完整性及 可使用性受到保护1 1 7 1 。这样，就要求网络中的网络系统软件、应用软件和数据库 系统具有一定的安全保护功能，并保证网络部件如网络终端、调制解调器、数据 链路的功能仅仅能被那些被授权的人能够访问。正是因为此目的就出现防火墙技 术和入侵检测技术，本文着重讨论入侵检测的网络安全技术，首先来分析黑客入 侵技术。 2 1 1 黑客入侵过程的分析 黑客攻击技术和入侵检测技术是矛盾的两个方面。只有掌握好黑客先进的网 络攻击技术，才有可能设计出合格的入侵检测系统。 黑客入侵过程一般如图2 一l 所示。 n n 一般 口令? y 获取系统管理员帐号 获取系统一般访问权 图2 1 黑客入侵详细示意图 安装木马开辟后门 攻击成功，退出 华南理工大学工学硕士学位论文 一次完整的攻击过程主要包含三个阶段： 1 ) 获得系统访问权前的攻击准备过程 2 1 获得系统控制权的过程 3 ) 获得系统控制权后的攻击活动 当黑客完成第一阶段的攻击过程，获得了系统的访问权，黑客就成功了一半； 完成第二阶段，获得了系统的管理权，攻击者就几乎完全成功。此时，管理员已 经很难阻止攻击者的破坏活动，只能采取一些补救措施，比方系统备份、断掉网 络连接、关机等，后两种情况往往将会使受攻击的主机付出了极大的代价；第三 阶段一般只是有经验的黑客例行公事。 通过以上分析，黑客攻击成功的关键在于第一、第二阶段的成功。而这两个 阶段的成功黑客往往要做到知己知彼才会比较顺利进行，黑客首先要摸清目标的 安全防范措施，抓住目标系统的弱点，乘虚而入，才会水到渠成，取得成功。 2 。1 2 黑客常用的攻击手段 黑客对网络的攻击方式是多种多样的，一般来讲，攻击总是利用“系统配置 的缺陷”，“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的1 1 9 l 。到目 前为止，已经发现的攻击方式超过2 0 0 0 种，其中对绝大部分黑客攻击手段已经有 相应的解决方法，这些攻击大概可以划分为以下几类： 1 网络监听：当信息在网络中传输时，黑客将网络接口设置为监听模式，利 用网络监听工具便可将网络中正在传播的信息截获，并利用这些信息进行攻击。 2 后门攻击【”j ：后门则是一个模块的秘密入口。在程序开发期间，后门的存 在是为了便于测试、更改和增强模块的功能。按照正常操作程序，在软件交付用 户之前，程序员应该去掉软件模块中的后门，但是，由于程序员的疏忽，或者故 意将其留在程序中以便日后可以对此程序进行隐蔽的访问，方便测试或维护己完 成的程序等种种原因，实际上并未去掉。这样，后门就可能被程序的作者所秘密 使用，也可能被少数别有用心的人用穷举搜索法发现利用。 3 口令入侵：攻击者使用合法的用户帐号和口令登录到目的主机，然后在实 施攻击行为，其典型特例就是穷举法攻击。 4 炸弹攻击：炸弹攻击的基本原理是利用特殊工具软件，在短时间内向目标 机集中发送大量超出系统接收范围的信息或者垃圾信息，目的在于使对方目标机 出现超负荷、网络堵塞等状况，从而造成目标的系统崩溃及拒绝服务。常见的炸 弹攻击有邮件炸弹、逻辑炸弹、聊天室炸弹、特洛伊木马、网络监听等【1 l 】。 5 拒绝服务攻击：一般情况下，拒绝服务攻击是通过使被攻击对象( 通常是 工作站或重要服务器) 的系统关键资源过载，从而使被攻击对象停止部分或全部 服务。目前已知的拒绝服务攻击就有几百种，它是最基本的入侵攻击手段，也是 第二章入侵检测系统 最难对付的入侵攻击之一，典型示例有s y nf l o o d 攻击、p i n gf l o o d 攻击、l a n d 攻击、w i n n u k e 攻击等1 j 。 6 预探测攻击：在连续的非授权访问尝试过程中，攻击者为了获得网络内部 的信息及网络周围的信息，通常使用这种攻击尝试，典型示例包括s a t a n 扫描、 端口扫描和i p 半途扫描等。 7 会话劫持：指在一次正常的通信过程中，黑客利用嗅探、欺骗等技术介入 通信双方之中，窃听有用信息或者冒充其中之一欺骗另一台主机。 8 i p 欺骗：主要针对使用i p 协议传送的报文，攻击者伪造源i p 地址，骗取 信任，攻击目标。 9 非授权访问尝试：是攻击者对被保护文件进行读、写或执行的尝试，也包 括为获得被保护访问权限所做的尝试。 1 0 协议解码：协议解码可用于以上任何一种非期望的方法中，网络或安全管 理员需要进行解码工作，荠获得相应的结果，解码后的协议信息可能表明期望的 活动，如f t uu s e r 和p o r t m a p p e rp r o x y 等解码方式【1 1 1 。 1 1 系统代理攻击：这种攻击通常是针对单个主机发起的，而并非整个网络， 通过r e a l s e c u r e 系统代理可以对它们进行监视。 1 2 缓冲区溢出攻击：缓冲区溢出存在于各种操作系统、应用软件中，黑客利 用其攻击，可以让程序失败，系统重新，更为严重的是，黑客可以利用它执行非 授权指令，甚至可以取得系统特权，进而进行各种非法操作。 1 3 可疑活动：是通常定义的“标准”网络通信范畴之外的活动，也可指网络 上不希望有的活动，如i pu n k n o w np r o t o c o l 和d u p l i c a t ei p a d d r e s s 事件等【2 7 】。 2 2 入侵检测系统 入侵检测技术就是通过对计算机网络或计算机系统中得若干关键点收集信息 并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的 迹象，根据这些攻击的迹象加以分析得出结论并采取相应的安全防护和保护措施 的技术。入侵检测技术是主动保护自己免受攻击的一种网络安全技术。由此技术 开发的进行入侵检测的软件与硬件的产品就是是入侵检测系统( i n t r u s i o n d e t e c t i o ns y s t e m ，简称i d s ) “”。“。与其他安全产品不同的是，入侵检测系统是 一个能够将得到的数据进行分析，并得出有用的结果的智能系统。一般说来，入 侵检测系统不是阻止入侵事件的发生，而是在于发现入侵者和入侵行为，及时进 行网络安全应急响应，为安全策略制定提供重要信息。一个合格的入侵检测系统 必须具有强大的功能，能大大地简化管理员的工作，保证网络和网络中的主机安全 地运行。 华南理_ l 人学工学硕士学位论文 入侵检测技术作为防火墙的合理补充 统管理员的安全管理能力( 包括安全审计、 息安全基础结构的完整性”。 能够帮助系统对付网络攻击，扩展系 监视、攻击识别和响应) ，能够保证信 2 2 1 入侵检测系统的功能和需求特性 总的来讲，入侵检测系统的功能有”“： 1 ) 监视用户和系统的运行状况，查找非法用户和合法用户的越权操作。 2 1 检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞。 3 ) 对用户的非正常活动进行统计分析，发现入侵行为的规律。 4 ) 检查系统程序和数据的一致性与正确性，如计算和比较文件系统的校验 和。 5 1 能够实时对检测到的入侵行为进行反应。 6 1 操作系统的审计跟踪管理。 不管基于什么机制，入侵检测系统应该具有下述几点o 。 1 1 容错性和可靠性。检测系统是可容错的，也是健壮的，可以在无人监控的 情况下连续运行。即使系统崩溃，检测系统本身必须能保留下来，而不必 一旦重新启动系统就必须重建知识库。 2 1 可用性。系统开销要最小，检测系统不会严重降低系统性能。 3 、可检测性。必须能观察到违背正常行为的行为。 4 ) 实时性。能实时发现入侵企图，以便及时制止入侵活动和限制破坏程度。 5 1 可扩展性和可适应性。易于开发和添加新功能，能随时跟踪和适应系统环 境的改变。 6 ) 准确性。检测系统不能随意发送误警和漏警。 7 1 安全性。检测系统必须难于被欺骗和保护自身安全。 8 1 易开发性和易维护性。 2 2 2 入侵检测系统的分类 1 按基本原理分。” 入侵检测系统按其基本原理可以分为： 基于用户行为概率统计模型的入侵检测方法 这种方法是基于对用户历史行为建模以及在早期的证据或模型的基础上，审 计系统实时的检测用户对系统的使用情况，根据系统内部保存的用户行为概率统 计模型进行检测，当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用 户的行为。 基于神经网络的入侵检测方法 第二章入侵检测系统 这种方法是利用神经网络技术来进行入侵检测。因此，这种方法对用户行为 具有学习和自适应功能，能够根据实际检测到的信息有效地加以处理并做出入侵 可能性的判断。 基于专家系统的入侵检测技术 该技术根据安全专家对可疑行为的分析经验来形成一套推理规则，然后在此 基础上建立相应的专家系统，由此专家系统自动进行对所涉及的入侵行为的分析 工作。 基于模型推理的入侵检测技术 该技术根据入侵者在进行入侵时所执行的某些行为程序的特征，建立一种入 侵行为模型，根据这种行为模型所代表的入侵意图的行为特征来判断用户执行的 操作是否是属于入侵行为。 还有基于生物免疫地入侵检测、基于伪装地入侵检测等。 2 按数据的来源分。” 按其输入数据的来源，入侵检测系统可分为三种： 基于主机的入侵检测系统，其输入数据来源于系统的审计日志、应用程序 日志，一般只能检测该主机上发生的入侵。 基于网络的入侵检测系统，其输入数据来源于网络的信息流，能够检测该 网段上发生的网络入侵。 混合式分布式入侵检测系统，可以从不同的主机系统、网络节点收集数据， 这些系统即可以利用网络上传输的数据流，也可收集分析来自主机系统的 高层事件发现可疑行为。 3 按对抗措旌分 从入侵检测系统的对抗措施来看，它又可分为主动系统和被动系统。 前者采取切断连接或预先关闭服务、注销可能的攻击者的登录等主动措施对 抗攻击；后者仅产生报警信号。现在主动的入侵检测系统采用蜜罐和反跟踪的技 术，不仅能够记录入侵行为，还能够引诱攻击者进而查知攻击者的具体信息。真 正起到了阻止攻击的目的。 另外，入侵检测系统还有其他一些分类方法。如根据布控物理位置可分为基 于网络边界( 防火墙、路由器) 的监控系统、基于网络的流量监控系统以及基于 主机的审计追踪监控系统；根据建模方法可分为基于异常检测的系统、基于行为 检测的系统、基于分布式免疫的系统；根据时间分析可分为实时入侵检测系统、 离线入侵检测系统“”，如此等等。 2 2 3 入侵检测系统的原理 入侵检测一般分为3 个步骤，依次为信息收集、数据分析、响应( 被动响应 华南理t 大学t 学硕士学位论文 和主动响应) ”“，如图2 - 2 所示。 图2 - 2 入侵检测系统原理图 急 序号 名词解析注释 1 活动感应器或分析器识别出的值得操作员关注的数据源实 例。如网络会话、用户活动和应用程序事件，有严重性 的轻重之分 2 管理员全面负责一个网段或组织的安全策略设置和入侵检测系 统的安装和配置的入。 3 警报分析器发给管理器的消息，表明一个事件被检测。一个 警报通常包含非正常活动的有关信息和细节情况。 4 分析器入侵检测的实践或处理过程，分析感应器搜集的数掘以 发现非授权的或其他非正常的活动。 5数据源用来检测非正常活动的原始信息和数据，通常包括原始 的网络数据包、操作系统审计日志，应用程序日志和系 统生成的校验和数据 6 事件导致产生警报的非正常活动，或者数据传送现象。 7i d s入侵检测系统，由多个感应器、分析器和管理器组成。 8管理器在管理员或操作员的指示下对入侵检测产生的警报进行 处理的构件，通常包括感应器配置、分析器配置、事件 通告管理数据合并及报告。 9通告管理器通知操作员的行为，可以通过发送电子邮件、直 接传送消息、发送s n m p 陷门等手段实现。 第_ _ 二章入侵检测系统 1 0 操作员管理器的使用者，监控i d s 的输出，发起或建议进一步 行动。 1 1应急对一个事件的实时响应动作或采取的措施或手段。 1 2感应器从数据源搜集数据的构件，有一定的搜集频率。 13签名分析器用来向安全管理员标识分正常活动的手段或行 为。 1 4 安全策略事先定义的安全规则，比方定义哪些服务可以通过被监 控的网段，哪些主机不允许外部网络访问等安全需求。 表2 1 信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测 利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常 行为及物理形式的入侵信息四个方面。 数据分析是入侵检测的核心。它首先构建分析器，把收集到的信息经过预处 理，建立一个行为分析引擎或模型，然后向模型中植入时间数据，在知识库中保 存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析三种手 段进行。前两种方法用于实时入侵检测，而完整性分析则用于事后分析。可用几 种统计模型进行数据分析：操作模型、方差、多元模型、马尔柯夫过程模型、时 间序列分析。统计分析的最大优点是可以学习用户的使用习惯。 入侵检测系统在发现入侵后会及时作出响应，包括切断网络连接、记录事件 和报警等。响应一般分为主动响应和被动响应两种类型。主动响应由用户驱动或 系统本身自动执行，可对入侵者采取行动( 如断开连接) 、修正系统环境或收集有 用信息；被动响应则包括告警和通知、s n m p 陷阱和插件等。另外，还可以按策略 配置响应，可分别采取立即、紧急、适时、本地的长期和全局的长期等行动。 发现入侵检测一般采用如下两项技术1 ： 华南理下大学工学硕士学位论文 图2 3异常检测模型 i ) 异常发现技术( a n o m a l yd e t e c t i o n ) ，假定所有入侵行为都是与正常行 为不同的。它的原理是，假设可以建立系统正常行为的轨迹，所有与正常轨迹不 同的系统状态则视为可疑企图。异常阀值与特征的选择是其成败的关键。其局限 在于，并非所有的入侵都表现为异常，容易导致误报警或漏检，而且系统的轨迹 难于计算和更新，如图2 3 所示。显然，异常检测难于定量分析，也难于检测。 2 ) 误用检测技术( m i s u s ed e t e c t i o n ) ，亦称为滥用，它是假定所有入侵行 为和手段( 及其变种) 都能够表达为一种模式或特征，所有己知的入侵方法都可 以用匹配的方法发现。模式发现技术的关键是如何表达入侵的模式，以正确区分 真正的入侵与正常行为。模式发现的优点是误报少，局限是只能发现已知的攻击， 对未知的攻击无能为力，如图2 - 4 所示。 图2 - 4 误用入侵检测模型 2 2 4 入侵检测系统的结构 从入侵检测原理分析中我们可以归纳出，一个入侵检测系统主要是由数据采 集模块、入侵分析引擎模块、应急处理模块、管理配置模块和其他辅助模块。 数据采集模块的功能是为入侵分析引擎模块提供分析用的数据，一般的有系 统的审计曰志、应用程序运行日志和网络数据包等。入侵分析引擎模块是入侵检 测的核心模块。其功能是依据辅助模块提供的信息如攻击模式，并按照一定算法 对收集到的数据进行分析，从中判断是否有入侵行为出现和产生了入侵报警。应 急措施模块的功能在发生入侵后，预先为系统提供紧急措施，例如关闭网络服务、 中断网络连接、启动备份系统等。管理配置模块的功能是为其它的模块提供配置 服务，是i d s 系统中的模块与用户的接口。辅助模块的功能是协助入侵分析引擎 模块工作，为它提供相应的信息。例如攻击模式、网络安全事实和网络安全策略 等。图2 - 5 给出了一个简单而通用的入侵检测系统的结构图。 1 4 第二章入侵检测系统 图2 5 一个简单而通用的入侵检测系统结构示意图 从目前来说，入侵检测系统结构大致可以分为基于主机型、网络型、和分布 式三种。 基于主机入侵检测系统为早期的入侵检测系统结构，其检测的目标主要是主 机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑 事件，检测系统可以运行在被检测的主机或单独的主机上，基本过程如图2 - 6 所 示。基于主机的i d s 通常是基于代理的( 代理是运行在目标系统上的小的可执行 程序，它们与中央控制计算机通信) 。其结构通常又分为两种：集中式基于主机结 构和分布式实时基于主机结构。基于主机的i d s 能威慑内部人员但不能有效地威 慑外部人员，其一般也不能提供实时响应，而且几乎不能使目标主机免受一次性 的灾难性事件的破坏。 随着计算机网络技术发展，单独地依靠主机审计信息进行入侵检测难以适应 安全的需求。人们提出了基于网络入侵检测系统体系结构，这种检测系统根据网 络流量、