（计算机应用技术专业论文）网络入侵检测系统研究与实现.pdf

器毒交遽大学硕士萋舞突生学位论文第1 夏 摘要 隧凑计算搬网络的迅速发展，农此基础上的应用也越来越多。电子商务、电子政 务、网上交易系统等一些基于网络的应用难在走入人们的生活当中。而与之相伴而来 款网终安全阀逛连就越 柬越繁要了。网络袭击者遴过两终褒驳别入款令人售怠、玫者 别人的系统，甚至利用网络攻击进行犯罪。因此，必须采用一定的措施来保证网络的 安全。 本文结合当前网络安全的形势，指出传统的网络安全模型已经不邋应当前网络安 全发展的趋势，当前常用的怒基于p p d r 的网络安全模溅，它主要由溺部分组成： 策略( p o l i c y ) 、防护( p r o t e c t i o n ) 、检没t ( d e t e e t i o n ) $ 1 卿应承然p o r l 嘞。入侵检钡, l ( i n t r u s i o n d e t e c t i o n ) 技术是p p d r 模型的重要组成部分。它可以识别针对计算机和网络资源的恶 意金莲秘孳亍为，荠敲滋及时懿反应。 当自h 的入侵检测系统根撅数据来源不同可以分为基于主机和基于网络的入侵检测 系统，寝掭浚溅方式豹不同可敬分为基于努常翻鏊予误鬻静入 受检测系统。论文还讨 涂了当i j 口耐个有关入侵检测的标准：c i d f 标准和i d w ( ；标准，并在此基础上讨论了入 侵检测的发展趋势。 论文还给避了l i n u x 下数入侵捡钡4 系统的软件实理。实现了錾于l i n u x 系统购网络 数据包的捕获糊事，对于入侵检测的行为特征进行了分析，在此基础上起义了规则库， 实王璺了爆黑解耩程序。对于 l i 获的协议数攒攫据不曩的协议逮露孵霹，颈处理模块到 能对i p 分片进行重组、对t c p 流数掘还原以及h t t p 解码。对于检测出来的入侵行 为能谲耀反应程序作糨应豹戆理。瘸黉日检测模块采用了改进静b m 模式涯配算法，绩 系统具有较快的字符串匹配速度。最后结合入侵检测发展的趋势，提出了本系统的迁 移目标。 关键词：网络安全；入侵检测：协议分析：模式匹配；包捕获 西南交通大学硕士研究生学位论文 第1 | 页 a b s t r a c t w i 吐lt h er a p i dd e v e l o p m e n to fn e t w o r k m o r ea n dm o r ei m p l e m e n t a t i o nc o m ef o r t h m a n yi m p l e m e n t a t i o n ss u c ha se , b u s i n e s s ，e - g o v e r n m e n ta f f a i r , o n l i n ew a d eh a v e b e e nu s e d i nd a i l yl i f e s on e t w o r ks a f e t yb e c o m e sm o r ea n dm o r ei m p o r t a n t n e t w o r ka t t a c k e r ss t e a l o t h e r sp r i v a t ei n f o r m a t i o n ，a t t a c ko t h e rp e o p l e sc o m p u t e rs y s t e ma n de v e nc o m m i tac r i m e b yn e t w o r k t h e r e f o r e ，w em u s tp r o t e c tt h en e t w o r k ss a f e t yu s i n gc e r t a i nm e a s u r e ， c o n c e m i n gt h ec u r r e n tn e t w o r ks a f e t y sp o s t u r e ，t h ep a p e rp o i n t so u tt h a tt h et r a d i t i o n a l s a f e t ym o d e lc a l l ta d a p tt h et e n d e n c yo f n e t w o r ks a f e t y t h ep r e v a i ln e t w o r ks a f e t ym o d e li s b a s e do np p d r i ti sm a d eu pw i t hf o u rp a r t s ：p o l i c y , p m t e e t i o n , d e t e c t i o na n dr e s p o n s e i n t r u s i o n d e t e c t i o nt e c h n o l o g yi sa ni m p o r t a n tp a r to fp p d rm o d e l i tc a l li d e n t i f yv i c i o u s p u r p o s ea n da c t i o n sa n dr e s p o n s et ot h e mi nt i m e a c c o r d i n gt od i f f e r e n td a t as o u r c e s ，t h ec u r r e n ti n t r u s i o nd e t e c t i o ns y s t e m sc a nb e s o r t e dt oo n et y p eb a s e do nm a i n f r a m ea n dt h eo t h e ro n eb a s e do nn e t w o r ka n da c c o r d i n gt o d i f f i c u l td e t e c t i o nm o d e s ，i tc a nb es o r t e dt ooneb a s e do ns i n g u l a r i t ya n dt h eo t h e rb a s e do n m i s u s e t h ep a p e rd i s c u s s e st w os t a n d a r d sa b o u ti n t r u s i o nd e t e c t i o n ：c i d fa n di d w g ；a n d t a l k so v e ri t st e n d e n c y t h ep a p e r g i v e sas o f t w a r ei m p l e m e n t a t i o nf o ri n t r u s i o nd e t e c t i o ns y s t e mu n d e rl i n u x t h ep a p e ra l s oi m p l e m e n t st h ep r o g r a mo ft h ec a p t u r eo fd a t ap a c k e ta n di l l u m i n a t e st h e d e t e c t i o no f r u l eo nt h eb a s i so f a n a l y s i so f t h eb e h a v i o r so f i n t r u s i o n i ta l s oi n c l u d e st h ep a r t o fd e c o d e ro fp r o t o c o ld a t a , i pf r a g m e n t sr e a s s e m b l i n g , t c ps t r e a md a t ar e a s s e m b l i n ga n d h m d e c o d i n g t h er o l ed e t e c t i o nm o d u l e , w h i c ha d a p t sf a s t e rm a t c h i n ga r i t h m e t i ca n d i n c r e a s e st h es y s t e m sp e r f o r m a n c e , c a l l st h er e s p o n s ep m g r m nw h e nt h ei n t r u s i o ni sd e t e c t e d i nt h ee n d ，c o m b i n e dw i t ht h ed e v e l o p m e n tt e n d e n c i td e s c r i b e st h es y s t e m st r a n s f e r e n c e a i m k e yw o r d ：n e t w o r ks e c u r i t y ；, i n t r u s i o nd e t e c t i o n ；p r o t o c o la n a l y s i s ；p a t t e mm a t c h i n g ；p a c k e t c a p t u r e 西南交通大学硕士研究生学位论文 第1 页 1 1 引言 第1 章绪论 在全球范围内，互联网f 成为各个国家在信息时代的基础设施，其重要 性在政治、军事、经济、社会和文化领域不断得到体现，而且随着人民物质 和文化生活水平的不断提高，越来越深入到千家万户的生活当中。 在我国，i n t e r n e t 网络应用正处于高速发展的阶段，从最早的“金桥”、“会 卡”、“会税”工程到如今的电子商务、电子政务，这些基于互联网的应用层 出不穷，互联网的规模及其硬件设施不断扩大，上网的人数也不断的增加， 根据中国互联网络信息中t j , 2 0 0 3 年1 月的最新统计报告，至2 0 0 2 年1 2 月3 1 同， 我国上网的计算机和人数分别如表l l 和表l 一2 所示9 i 上网计算机专线上网 拨号上网其它方式上网 总数计算机数计算机数计算机数 2 0 8 3 h4 0 3 h1 4 8 0 h 2 0 0 n 表1 1 我国上网计算机数 上网用户专线上网拨号上网 i s d n 上网宽带上网 总数用户数 用户数用户数用户数 5 9 1 0h2 0 2 3 万4 0 8 0 h4 3 2 h6 6 0 h 表1 2 我国上网人数 然而，在互联网不断发展壮大的同时，网络安全问题也越来越突出了。 美国每年平均发生了数十万起重大的网络入侵和恶意攻击事件，其中约1 一分 之一的攻击成功地侵入了系统( 美联邦调查局统计) ，因此每年造成平均上百 亿美元的经济损失。在2 0 0 2 年度比较受人关注的黑客冒用e b a y 帐户事件就 是因为黑客利用网络盗用了用户的帐户密码，造成了极坏的影响。据中国互 联网信息中- t ：, 2 0 0 3 年1 月公布的中国互联网络发展状况统计报告，去年( 2 0 0 2 年) ，约有5 9 5 的用户被入侵，有2 3 4 的用户认为影响互联网网上交易的 问题是网络安全问题。 由以上的数字可以看出，网络入侵问题已经成为影响网络继续发展的一 个重要的问题，是困扰所有网络专家、信息专家和计算机安全专家们的重要 的问题。网络入侵包含了很多技术问题、管理问题和应用问题，其中，网络 西南交通大学硕士研究生学位论文第2 页 中断、非法访问、信息窃取、数据篡改、信息侦察等频繁发生在当前网络应 用中。除了网络操作系统所必须的安全保障之外，防火墙和入侵检测也是对 付入侵的两种重要的技术。 1 2 课题背景与研究内容 随着网络技术的发展，网络环境变得越来越复杂，对于网络安全来说， 单纯的防火墙技术暴露出明显的不足和弱点，如无法解决安全后门问题；不 能阻止网络内部攻击，而调查发现，5 0 以上的攻击都来自内部：不能提供 实时入侵检测能力；对于病毒等束手无策等。因此很多组织致力于提出更多 更强大的主动策略和方案来增强网络的安全性，其中一个有效的解决途径就 是入侵检测。入侵检测系统( i d s ：i n t r u s i o nd e t e c t i o ns y s t e m ) 可以弥补防 火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如汜 录证据、跟踪入侵、恢复或断开网络连接等。 入侵检测作为一种积极主动安全防护技术，能够同时对内部入侵、外部 入侵和误操作提供及时的保护，能够在系统受到危害之前及时地记录和响应 入侵，为系统管理员提供可靠的入侵记录。 入侵检测作为当前发展的一个热点，使得众多的厂商投入到产品的丌发 当中，这就出现了各种各样的入侵检测产品。国外的主要入侵检测系统产品 有r e a l s e c u r e ( i s s 公司) 、i t a 、e s m ( a x e n t 公司) 和c y b e r c o p m o n i t o r ( n a i ) 。 上面这些都是商用软件，除此之外，比较有名的是丌源软件s n o r t 。在国内， 随着网络的飞速发展，相关的网络入侵问题也摆在了人们的面前，国内也相 应丌发出了入侵检测产品，比较典型的有绿盟科技的冰之眼、东软的n e t e y e i d s 、启明星辰的天阒和北方计算中心的n i d sd e t e c t o r 等入侵检测产品。 本课题主要讨论的是网络入侵检测系统的设计与实现的问题。主要的研 究内容如下： ( 1 )网络安全模型 根据当前计算机网络安全发展的趋势，讨论计算机网络安全的模型。 ( 2 )入侵检测系统介绍 介绍入侵检测系统的基本概念和主要的分类方法，并主要余绍两种主 要的入侵检测系统：基于异常的入侵检测系统和基于误用的入侵检测系 统。 西南交通大学硕士研究生学位论文 第3 页 ( 3 )入侵检测系统的设计与实现 主要是介绍基于l i n u x 系统的网络入侵检测系统b i d s ( b i u ei d s ) 的 设计与实现的思路与流程。 1 3 论文组织结构 本论文从入侵检测系统理论研究与应用系统丌发实践两个方面展丌。首 先讨论网络安全模型和入侵检测系统的分类，基于异常的入侵检测系统和基 于误用的入侵检测系统的原理与特点，然后介绍入侵检测系统的设计与丌发， 并结合b i d s 入侵检测系统作为实例分析。 本论文是按如下方式组织的。 第1 章是绪论，介绍当前网络与网绍安全发展的情况，说明课题背景、 目的与意义和主要研究内容。 第2 章网络安全模型概述，主要介绍p p d r 网络安全模型。 第3 章入侵检测系统技术研究，简述入侵检测系统的研究现状，并根据 其发展趋势提出改进策略。 第4 章入侵检测系统总体设计，采用软件工程和面向对象的方法，将各 个部分设计成具有独立功能的子模块。 第5 章给出各模块的具体设计与实现方法，主要包括数据包捕获，规则 解析与检测，协议解码模块，预处理模块，输出模块与反应模块以及字符串 匹配算法等，并对b i d s 系统进行测试。 最后对论文的工作进行系统总结，归纳本文的理论与实践结论，提出存 在的问题和改进建议；结合现代入侵检测技术的发展趋势，提出本课题设计 的入侵检测系统向新技术的迁移目标和实现构想。 西南交通大学硕士研究生学位论文第4 页 第2 章网络安全模型概述 计算机网络安全( n e t w o r ks e c u r i t y ) 是指网络系统的硬件、软件及其系统 中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改或泄露， 系统连续可靠地运行，网络服务不中断。网络安全是一门涉及计算机科学、 网络技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科 的综合性学科。 本章将就网络安全的技术特点、分类i 目标、结构和基于p p d r 的网络 安全模型展丌讨论。 2 1 网络安全的技术特点 1 资源共享与分布 网络的主要目的就是使分布的资源得到共享，这也造成了网络的脆弱性 资源分抽的广域性使系统增大了受攻击的可能性，单机系统的安全控制已 不足以保证网络全局的安全。 2 网络系统的复杂性 系统互连、控制分散、异构结点；任何一个结点的安全漏洞都可能导致 整个系统的不安全；信息的爆炸使存储和传输不堪重负；攻击的入口增多、 破坏面增大、检测困难且丌销很大。 3 安全的可信性 网络的可扩展性使网络边界具有不确定性；网络安全的可信性随网络扩 展而下降；不可信结点、恶意结点的严重威胁。 4 安全不确定性 网络分支广，存在多条可能的安全漏洞；不安全的路径存在不确定性： 故障定位的不确定性。 5 信息安全的特殊性 网络通信只保证了无差错传输，无法保证信息的真实性和完整性，但收 发双方无法对传输信息加以控制和监视。 6 网络安全的长期性 堕塑奎堕查兰塑主塑塞圭兰竺笙塞 笙! 蔓 矛盾贯穿始终，长期对抗；不存在一劳永逸、绝对安全的系统安全策略 和安全机制。 2 2 网络安全类别 1 网络可信 保证网络可靠运行， 2 网络阻塞 主要解决网络配置、 3 网络滥用 防止系统崩溃，主要解决硬件故障和软件故障。 网络调度不合理，防止网络广播风暴和噪声。 合法用户超越权限使用计算机， 4 网络入侵 非法用户非法进入系统和网络， 获取网络资源。 获取控制权和网络资源。 5 网络干扰 出于某种目的对计算机和网络系统运行进行干扰，干扰方式多种，使系 统不可信、操作员和系统管理员心理压力增加、心理战。施放各种假的和 欺骗信息，扰乱社会、经济、会融等。 6 网络破坏 系统攻击、删除数据、毁坏系统。非法窃取、盗用、复制系统文件、数 据、资料、信息，造成泄密。 2 3 网络安全目标 i s o 建议将计算机安全定义为“计算机系统有保护计算机系统的硬件、 软件、数据不被偶然或者故意的泄露、更改和破坏”。 计算机网络安全的目标： 1 可用性( a v a i l a b i l i t y ) 网络服务必须可以允许授权的用户或者实体使用。 2 保密性( c o n f i d e n t i a l ) 防止敏感信息泄露，确保只有授权用户爿能获得服务信息。 3 完整性( i n t e g r i t y ) 确保信息内容不能被非授权用户修改，完整性是对信息的准确性和可 西南交通大学硕士研究生学位论文 第6 页 靠性的评价指标。 4 可靠性( r e l i a b i l i t y ) 系统在规定条件下和规定时问内，完成规定功能的概率。 5 不可抵赖性( n o n r e p u d i a t i o n ) 在通信过程中，双方都不可否认或者不可抵赖曾发生通信的内容和通 信的来源地。 6 可控性( c o n t r o l l a b i l i t y ) 网络管理的可控性，包括网络运行的物理的可控性和逻辑或配置的可 控性等，能够有效地控制网络用户的行为及信息的传播范围。 2 4 网络安全结构 网络系统的安全涉及到平台的各个方面。按照网络o s i 的7 层模型，网 络安全贯穿于整个7 层模型。针对目前互联网络系统实际运行的t c p i p 协议 的四层结构，网络安全贯穿于信息系统的4 个层次。表2 一l 表示了对应网络 系统的安全体系层次模型。 层次安全内容 应用平台 应用层| 立用系统安全 应用平台安全 传输层传输安全 网络层 安全路出访 司机制 网络接口层 网络接口安全 表2 一l 网络系统安全体系结构 1 网络接口层 主要包括物理信息的安全，防止物理通路的损坏、物理通路的窃听、 对物理通路的攻击( 干扰等) ；保证通过网络链路传送的数据不被窃听， 可以采用划分v l a ( 局域网) 、加密通信( 远程网) 等手段。 2 网络层 网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网 络路由f 确，避免被拦截或监听。 ：j 传输层 主要是接t c p 和 d p 协议的安全，防止利用协议的漏洞进行攻击。 西南交通大学硕士研究生学位论文 第7 页 4 应用层 主要有应用平台安全和应用系统安全。应用平台安全是指建立在网络 系统之上的应用软件服务，如数据库服务器、电子邮件服务器、w e b 服务器等。由于应用平台的系统非常复杂，通常采用多种技术( 如s s i 。 等) 来增强应用平台的安全性。应用系统完成网络系统的最终目的一 为用户服务。应用系统的安全与系统设计和实现关系密切。应用系统 使用应用平台提供的安全服务来保证基本安全，如通讯内容安全，通 讯双方的认证，审计等手段。 f 2 5 网络安全模型 传统的安全防护方法是对网络进行风险分析，制定相应的安全策略，采 取用户身份认证、访问控制、加密等手段作为防护措施，这种安全方案要取 ! 寻成功依赖于系统正确的设置和完善的防御手段并且在很大程度上针对固定 的威胁和环境弱点。这种方式忽略了i n t e r n e t 安全的重要特征，即i n t e r n e t 安全没有标准的过程和方法。这也诈是事物发展的普遍规律，即任何事情都 是不断变化的，新的安全问题层出不穷，就必须新的技术和手段来解决。因 此，网络安全并不是一成不变的，而是动态的，是不断发展和完善的过程。 由此，出现了新的计算机安全模型：p p d r 模型。 p 2 0 f t 缦型示巍蹬 图2 1p p d r 模型示意图 p p d r 模型最早是由i s s 公司提出，后来出现了很多变化，但变化常常足 出于商业利益的需要，其根本还是p p d r 模型。p p d r 模型包括策略( p ( ，】ic ? ) 、 西南交通大学硕士研究生学位论文第8 页 防护( p r o t e c ti o n ) 、检测( d e t e c ti o n ) 、响应( r e s p o n s e ) 组成，它们的关系如 图2 一i 所示。 从图2 1 中我们可以看出，策略( p o l i c y ) 是整个p p d r 模型的中心，防护 ( p r o t e c t i o n ) 、检测( d e t e c t i o n 八) 响应( r e s p o n s e ) 都要围绕它来展丌，外层 的p d r 循环从图中看是一个平面的过程，在实际的应用中是一个螺旋式上升 的过程，经过一个循环之后，进行防护的水平显然是提高的。 1 策略( p o l i c y ) 策略( p o l i c y ) 是整个p p d r 模型的核心，在具体的实施过程中，策略意 味着网络安全要达到的目标。它决定了各种措施的强度。因为追求安 全是要付出一定代价的，一般会牺牲用户使用的舒适度，整个网络的 性能，系统运行的速度以及检测的准确性。 2 防护( p r o t e c t i o n ) 防护( p r o t e c t i o n ) 是安全的第一步，它的基础是检测与响应的结果， 具体包括：安全规章的制定、系统的安全配置以及安全措旌的采用。 3 检测( d e t e c ti o n ) 采取了各种安全防护措施并不意昧着网络系统的安全性就得到了完全 的保障，网络的状况是动态变化的，各种软件系统的漏洞也层出不穷， 而防护相对于入侵来说总是落后的，一种漏洞的发明与防护措施的出 现总会有一定的时间差，所以就有必要采用检测来弥补这个时间差。 检测的作用包括： 异常监视：发现系统的异常状况。 模式发现：对已知的攻击模式进行发现。 4 响应( r e s p o n s e ) 在发现了攻击企图或攻击之后，需要系统及时进行反应，包括如下 内容： 报告：把攻击企图或攻击报告给管理员。 记录：把所有攻击情况记录下来，包括入侵的各个细节以及系统的 具体反应。 反应：进行相应的处理以阻止进一步的攻击。 恢复：清除入侵造成的影响，使系统恢复正常运行。 p p d r 模型的基本思想就是及时的发现攻击，并且及时的处理。我们用p l 表示攻击所需时问，即从人为攻击开始到攻击成功的时间，也可是故障或非 西南交通大学硕士研究生学位论文第9 页 人为因素破坏从发生到造成生产影响的时间；用d t 表示检测系统安全所需时 间；用r t 表示对安全事件的反应时问，即从检测到漏洞或攻击触发反应程序 到具体反应措施实旎的时问。显然，要使系统能够对攻击有充分的反应时间， 就必须使p t 大一些，并且整个系统要满足：p t d t + r t ，只有这样，系统才会 有较好的性能。 西南交通大学硕士研究生学位论文第l0 页 第3 章入侵检测系统原理 随着网络技术的发展，网络环境变得越来越复杂，对于网络安全来说， 单纯的防火墙技术暴露出明显的不足和弱点，如无法解决安全后门问题；不 能阻止网络内部攻击，而调查发现，5 0 以上的攻击都来自内部：不能提供 实时入侵检测能力；对于病毒等束手无策等。因此很多组织致力于提出更多 更强大的主动策略和方案来增强网络的安全性，其中一个有效的解决途径就 是入侵检测。入侵检测系统( i d s ：i n t r u s i o nd e t e c t i o ns y s t e m ) 可以弥补防 火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如记 录证据、跟踪入侵、恢复或断开网络连接等。这引发了人们对入侵检测技术 研究和开发的热情。 本章介绍入侵检测系统的一些基本概念，在此基础上介绍入侵检测系统 的分类及其发展方向。 3 i 入侵检测系统基本概念 3 1 1 入侵检测系统的定义 入侵检测( i n t r u s i o nd e t e c t i o n ，i d ) 可以定义为：识别针对计算机或网 络资源的恶意企图和行为，并对此做出反应的过程。 入侵检测的工作方式是这样的：当连接在网络上计算机为外界提供某些 服务时，会为一些合法的用户提供适当的授权，然而，那些未经授权用户访 问系统或者授权用户访问不适当的系统资源时，简单地使用防火墙或者认证 系统也可能被攻破。入侵检测就是这样一种技术，它会对未经授权的连接企 图作出反应，甚至可以抵御一部分可能的入侵。 入侵检测系统就是采用入侵检测技术的自治系统。一个完善的入侵检测 系统必须具有如下特点： ( 1 ) 经济性：为了保证系统安全策略的实施而引入的入侵检测系统必须 保证不能妨碍系统的f 常运行，如不能降低系统的性能。 ( 2 ) 时效性：必须及时地发现各种入侵行为，理想情况是在事前发现攻 击企图；在事后发现攻击，则必须作出及时的处理。 西南交通大学硕士研究生学位论文第11 页 ( 3 ) 安全性：入侵检测系统自身必须具备一定的安全性。 ( 4 ) 可护展性：首先是检测机制与数据的分离，在现有检测机制不变的 情况下能够对新的攻击进行检测：其次是体系结构的可扩充性，在必要的 情况下能够不对系统的总体结构进行修改而检测到新的攻击。 3 1 2 入侵检测系统的基本结构 图3 - 1 给出了一个通用的入侵检测系统的结构。 图3 一l 通用入侵检测系统结构 图3 1 只是i d s 的一个基本结构，如图中所示，数据的来源可以是主机 上的信息，也可以是网络上的数据信息、流量变化等，这些都可以作为数据 源。数据提取模块获得数据之后，需要对数据进行简单的处理，如简单的过 滤、数据格式的标准化等，然后将经过处理的数据提交给数据分析模块a 数据分析模块对数掘进行深入分析，发现攻击并根据分析的结果产生事 件，传递给结果处理模块。数据分析模块可以是简单的计数，也可以是一个 复杂的专家系统。 结果处理模块用于告警与反应，可以看作反应( r e s p o n s e ) 的一部分。 3 2 入侵检测系统分类 3 2 1 入侵检测系统分类 1 根据数掘来源不同，可以分为： - 基于主机的入侵检测系统：基于主机的入侵检测产品( h i d $ ) 通常是 安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系 统审计r 志进行智能分析和判断。如果其中主体活动十分可疑，入侵检 测系统就会采取相应措施。 西南交通大学硕士研究生学位论文 第12 页 基于网络的入侵检测系统：基于网络的入侵检测产品( n i d s ) 放置在 比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包 或可疑的数据包进行特征分析。如果数据包是入侵数据包或比较可疑， 则入侵检测系统就会发出警报甚至直接切断网络连接。 - 混合型：综合了以上两种方式的优点而形成的一种入侵检测系统。 2 根据分析方法不同，可以分为： 异常检测模型( a b n o r m a ld e t e c t i o n 。m o d e l ) ：首先总结正常操作应该具 有的特征，在得出f 常操作的模型之后，对后续的操作进行监视，一旦 发现偏离诋常统计学意义上的操作模式，就进行报警。 - 误用检测模型( m i s u s ed e t e c t i o nm o d e l ) ：先收集非正常操作的特征， 建立相关的特征库：在后续的检测过程中，将收集到的数据与特征库中 的特征代码进行比较，以检测出入侵。 3 根据数据分析发生的时间不同，可以分为： 一脱机分析：在行为发生后，对产生的数据进行分析，如闩志的审核， 系统文件的完整性检查等。 一联机分析：在数据产生或者发生改变的同时进行检查，以发现攻击行 为，采用这种方式一般对网络数据进行分析，对系统资源要求较高。 4 根据系统各个模块的分稚方式不同，可以分为： - 集中式：系统的各个模块包括数据的收集、分析、响应模块都在一台 主机上运行称为集中式。 - 分柿式：系统的各个模块分布在不同的主机上，各个模块协同：【作。 3 2 2 基于异常的入侵检测系统 1 原理 任何入的正常行为都是有一定的规律性的，并且可以通过分析这些行为 产生的同志信息总结出这些规律，而入侵和滥用行为则通常与正常的行为存 在严重的差异，通过检查出这些差异就可以检查出入侵。这样我们就可以检 测出非法的入侵，甚至是通过未知方法进行的入侵。要完成上面的检测，需 要考虑如下问题： ( 1 ) 用户的行为有一定的规律性。所选择数据必须能够反映用户的行为， 而且容易获取和处理。 ( 2 ) 通过以上方法所获耿的数据，如何有效的表示用户的f 常行为，如果 西南交通大学硕士研究生学位论文第13 页 表示不当，就会在检测时出现错误或结果不准确。 ( 3 ) 学习过程的时间长短，用户行为的时效性。 在选用数据时应该遵循以下的规则： ( 1 ) 数据应该能够充分反映用户行为特征的全貌，这样才能满足分析模块 的分析和检测的需求。 ( 2 ) 为了减少处理量，应该做到使所需的数据量最小。 ( 3 ) 所选数据的提取难度不应该太大，对系统运行效率的影响也不应该太 大。 有效的数据提取是整个入侵检测系统的基础，数据分析模块是入侵检测 系统的核心。数据的分析行为可以分为两个部分：对象行为的学习和异常行 为的学习。它首先构建分析器，把收集到的信息经过预处理，建立一个行为 分析引擎或模型，然后向模型中植入时间数据在知识库中保存植入数据的 模型。数据分析一般通过模式匹配、统计分析和完整性分析三种手段进行。 前两种方法用于实时入侵检测，而完整性分析则用于事后分析。可用五种统 计模型进行数据分析：操作模型、方差、多元模型、马尔柯夫过程模型、时 间序列分析。统计分析的最大优点是可以学习用户的使用习惯。结果处理模 块要对所收集的数据进行处理，是每一种入侵检测系统所必不可少的一部分。 根据采用学习方法的不同可以将基于异常的入侵检测系统分为基于统计 学方法的异常检测系统、基于神经网络的异常检测系统、基于数据挖掘技术 的异常检测系统和使用状态机的异常检测系统。其原理如图3 2 所示。 动态产生新规则 图3 2 异常检测系统原理图 2 基于统计学方法的异常检测系统分析 这种系统采用统计学的方法来学习和检测用户的行为。出于基于神经 网络、数据挖掘技术、人工智能等一些新技术的入侵检测系统发展较慢， 这种基于统计学方法的异常检测系统是目前采用较多的一种基于异常的入 侵检测系统。比较典型的是s r ii n t e r n a t i o n a l 的n i d s e ( n e x t g e n e r a t i o n 西南交通大学硕士研究生学位论文第l4 页 i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) ，n i d s e 同时也包括有误用检测模块。图 3 - 3 给出的是n i d e s 系统的总体结构。 标日忐系统i f 般始日出数据 n i o e s 格式的日志数据 n i d e s 格式的目志数据 统诤分析组件1其它分析自i 竹 过滤后的分析鲇粜 ( 用、界血 _ 、 图3 3n i d e s 总体结构 图中a g e n 完成数据提取和格式化工作。n i d e s 通过将一个用户( 主 体) 的历史行为或长期行为和他的短期行为进行比较来检验入侵行为，主 要有两个方面：在短期行为中没有出现的长期行为 没有进行惯常操作) 和非典型长期行为的短期行为( 有异乎寻常的行为) 。 n i d e s 的主体行为的特性使用度量来表示，具体有四种度量：行为度 量( a c t i v i t yi n t e n s i t y ) 、审计记录分布度量( a u d i tr e c o r dd i s t r i b u t i o n ) ，绝对度 量( c a t e g o r i c a l ) 和持续度量( c o n t i n u o u s ) 。 n i d e s 引入半生饿a l f - l i f e ) 作为设置短期行为和长期行为的天数。通常 n i d e s 将半生设置为3 0 天，在长期概率分布中，半生也就是最近3 0 天的 审计记录所占的权重为最新记录的一半，在下一个半生晕，审计记录的权 重则是四分之一，以下以此类推，采用这种方法，越新的活动所占的权重 越大，而长期的会逐渐被遗忘，这样n i d e s 系统就具有简单的学习能力。 吾南交遴大学颧士耢究垒学位论文繁15 蚕 凌量长期壤貔稳短麓摄貌瓣差异程度是暹过q 绞诗泉计算豹，搿毫豹q 毽 越大，说明浚度量的长期概貌和短期概貌的麓异越大，也就是短期行为中 鹃可疑患越多。 3 基于异常的入侵检测系统的缺点 基于异常的入侵检测相对于基于误用的入侵梭测系统具有一定的优 点，但窀也具有一定的缺酸： ( 1 ) 基于异常的入侵检测系统首先要学习对象的f 常行为，并形成一个 或一组表示对象豹撅羲，瑟表示壤貌懿这些数攥不容易遴霉疆确馁秘准确蛙 的骏证。 ( 2 ) 遥过魄较长期行为静壤貔稻短期行为豹壤统检测磁异常瑟，只黥模 糊地报告存在异常，不能精确地报告攻击类型和方式，因此也不能有效地阻 止入侵行为。 ( 3 ) 学习：；建程不一定熊够正确躲反映对象的概貌，露虽入侵者可以利用 这种学习行为，使入侵变为含法的操作。 3 2 3 基于误用的入侵检测系统 1 误用裣灏技术主要楚通过某种方式预先定义入侵行为，然籍篮褫系统 的运行，从中找出符会预定义规则的入侵行为，其典型的系统模型如图3 4 所示。 嬲3 _ 4 錾于误用的入绳检测系统模型 基于误用的入侵检测系统通过使用某种模式或者信号标识表示攻击，进 嚣发现耀鞫豹攻击。谈震信号棘谈霈要对入侵蠡鼋特征、环境、次垮以及完或 入侵的楣甄间的关系进行详细的描述，这种信号不但可以检测出入侵的行为， 还簸检测国入侵爵臼企图。 2 误用检测系统的类型 嚣瘫交邋大学颂磷究生学位论文糍l 塑 基于误用的入侵检测系统可以分类如下： ( 1 ) 专家系统 采爨一定鹃媲烈浚示攻囊蛇行为，撼投摄溉烈遴 亍懿接淫过稳扶掰次阕 题的过稔中分离出来。 ( 2 ) 按键篷裰系统 把攻击描述为键盘的按键操作，通过对按键的监视进行匹配，从中找出 攻击行为，这燕一种朔当原始的技术。 ( 3 ) 模型推理系统 通过构建个入侵行为检测模型，对一些可见的行为进行相关性分析， 跌中推导出攻惑。 ( 4 ) 误用预测系统 麸强蓊戆帻况箍蠢发生入侵静粳率，它攥警豹依弦是一系残熬夕 部攀 争， 而不是异常算法得到的数值。 ( 5 ) 状态转换分析系统 把攻击行为描述成一系列状态的转换，通过对系绫状况的监视找出攻击。 ( 6 ) 模式匹配系统 霸定的援式攫述来鬟墩攻壹孬为浆主要特缝，透过噬配提制铁事传孛 发现攻击。 由予簇禳露陵，下露哭辩误瘸检测专家系统秘模式莲配稔潦系统 筝余绍。 3 误用检测专家系统 专家系统曾经是罄于误用的入侵裣溺系统研究中缀活跃的领域，它采用 专家定义的规则来表示攻击行为，菇在此基础上从审计事l 牛中找出入侵。规 则是描述一个攻击所必须条件的编码，不同的专家系统有着不同的目标，但 都嚣瞧麴下的闲题： ( 1 ) 数据缀问题，所需处理的数据爨大，系统的效率必然受到影响a ( 2 ) 数嚣颓序阉蘧，羟凝燹| j 嚣配对，由予数据到达静灏穿不溺，缀鼹准 确地检测具有时问顺序特点的入侵行为，系统的误报率高。 ( 3 ) 系统的检测水平受到专家水平的制约。 ( 4 ) 规则痒缺少环境的遁应能力。 ( 5 ) 维护规则库较困难，修改一条规则要考虑到其它规则。 4 模式莲甏检测系统 模式匹配系统是幽k u m a r 在1 9 9 5 年提出的，目前已经成为入侵检测领 嚣鬻交逶夹学硕士磺突生学稼谂交 第l7 蓬 域中成用最毙广泛黪检测等段昶执划之。其藻零原理是把入侵髅”警 ( i n t r u s i o ns g u a t u r c ) 分鼷，蔽瓣底蓑鹣窜诗零徉，霹叛靛中褥敲密高艨静事 串； 由蔫鼷豹搴孛 橡戏入 受售号，并蔹蠢层攀释之藤熬缡筠关系，矧努入 曼蕊 号豹翻蒙瀑次势对箕遂霞分类。入授信号懿分必霆令麓次，薅一瑟瓣盛藕疵 的灏熬摸蕊，鼗体翔下： ( 1 ) 存程( e x i s t e n c e ) 这种入僚信号表淤只要存在这样一种审计事件就魑以说嘴发生的入僚彳亍 受或入侵众黧，它所对应嚣模式称必存在模式( e x i s t e n c ep a t t e r n ) 。存在模式 可以理解为在一个固定的时闻对系婉的某些状态进行梭查，并对系统的状恣 避暂粼定。 ( 2 ) 序列( s e q u e n c e ) 鸯婆入侵楚盘一壁按照定蹶窿获堂靛嚣炎掰缎激麓，表蕊为毽攀转 的序列，其对应的匹醚模式就是序列模式( s e q u e n c ep a t t e r n ) ，这种入侵的审 计攀伟可以表示为在翻形中蔡个方向上一举连续豹蜂谯。 ( 3 ) 援捌袭示( r e g u l a re x p r e s s i o n s ) 规则袭示模式( r ep a t t e r n ) 是攒朋一种扩展的规则表达妓方式构造匹酝 搂钱，婉鬟l l 表达凌是交鼹a n d 逻瓣表达式逶接一璺捺述事传瓣覆滔孝驽盛鹣。 ( 4 ) 其宅模式 箕它模式( o t h e r s 孙l l e f n 楚指一慧不煞瓣蓊灏静穷法进符表示静竣鑫t 鲡 包含内部裰定的模式，包含归纳、选择的模式等。 嚣配模式鹣鬃次荧系弼强3 - 5 掰示。 图3 5 匹配模式的屎次关系 露瘴交遴大攀颧耢究生学位论文第l8 页 采用模式敬配检测系统把入侵信号分为四类，具密以下特点： ( 1 ) 事件来源独立：模式的描述并不包含对事件来源的描述，只需了解 事 孛霹戳提供什么数豁。 ( 2 ) 描述和匹配相分离。 ( 3 ) 动态豹模式生成：描述攻击的模式可以在需要豹时候动态，生成。 ( 4 ) 多事件滚：允许多事件流同时进幸亍匹配。 ( 5 ) 可移植性：入侵模式可以轻易移植。 3 2 4 基于异常和基于误用的入侵检测系统比较 l 。舅常捡溺系统试图发现一垫未知豹入侵行为，两误潮捡测系统羽楚标 识一些已知的入侵行为。 2 异常检测指根据使用者的行为或资源使用状况来判断是否入侵，丽不 依赖具体是否嗽现来梭测，愿误用检测系统则大多是逶过对一些襄体行为的 判断和推理，从而检测出入侵。 3 。辩紫捡溅鹣主要缺翳在于谈捡率较高，挖其奁瘸户数疆多或工箨孬秀 经常改变的环境中，而误用检测系统由于依据媳体特征库进行判断，准确度 高缀多。 4 舅常检测对具体系统的依赖性相对较小，而误用检测系统对具体的系 统依赖毪太强，移植性不好。 3 3 入侵检测系统的标准化 当前有鹾个国际组织在从事入侵检测的标准化工作，一个是c i d f f c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 帮i e t f ( i n t e m e te n g i n e e r i n gt a s k f o r c e ) t 属t d w g ( i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ) ，它们从各自的角度 进行的标准化工作。 3 3 1c i d f 的标准化工作 c i d f 孚麓国美嚣国防部高级耩究诗麓弱赞耢磅究，现在出c t d f 工俸缓 负责，这是一个开放鳃织，其标准也成为一个开放的资源。 c i d f 准化工作于巴重点放在了t d s 系统组件的合作上。它提出了一个通 用的入侵检测系统框架，然最进行这个框架中各个部件之越通信的按议和 西南交通大学硕士研究生学位论文第19 页 a p i 的标准化，以达到不同i d s 组件的通信和管理。当前c i d f 主要包括四 个方面的内容。 a r c h i t e c t u r e ：提出了i d s 的通用体系结构，用以说明i d s 各组件削通信 的环境。 c o m m u n i c a t i o n 说明i d s 各种不同组件之间如何安全的建立连接和通 信。 l a n g u a g e ： 公共入侵规范c o m m o ni n t r u s i o n s p e c i f i c a t i o n l a n g u a g e ( c i s l ) ，i d s 各组件之间进行入侵和警告等信息内容的通信。 a p i ：允许i d s 各组件的重用。 ( 1 ) c i d f 的框架 c i d f 把一个入侵检测系统划分为四个相对独立的功能模块：事件产