（计算机系统结构专业论文）入侵检测中的事件关联研究及实现.pdf

华中科技大学硕士学位论文 摘要 随赘攻密者知识的臼趋丰富，攻击手段的蜀趋复杂多样，各种系统、软件安全漏 洞的不断如现，单纯的被动式静态安全防御策略已经无法满足目益增长的安全需要乒 入侵检测技术是在“防火墙”、“加密”、“赛份认 正”等传统安全傈护搔施基础之上g l 入的新一代安全防护技术，是动态两络安全模型p 2 d r 中的重要组成都分。 在对现有常觅网络攻击方法和攻击行为充分分析的基础之上发现，每一次成功的 攻击并不是单单依赖于一两个特定的攻击方法，恧是一组攻击方法的组合，这种缎合 是以预定的时序和逻辑关系为基础的。指出了当前太部分l 龉系统存在的缺陷，突出 了事俘关联在入侵检测中的重要意义。 说明了入侵检测中事件关联的槽关概念，并根据致击行为特征将攻击事件间的关 系分为冤余关系和因果关系两类。要做到侠速有效的攻击事件关联。首先要对捡澳4 到 的攻击拳件作清楚、明确的描述，为诧设计了个用) ( 】唾l 语言实现的攻遗事馋模型， 并采用逻辑断言的形式来描述该事件模型所刻画的系统安全状态。基于顼绘事 牛模 型，一个完整的事件关联可划分为四个基本步骤，即事件拣准化、事件聚合、事转整 合和攻击预测。详细论述了其中关键步骤所采用的事件关联策略和方法。 作为分布式入侵检测系统d i d s 的一个重要功能子系统，事件关联分析系统e c a s 是搴 孛关联策略和方法的具体实现。对e c a s 的体系结构、功能部件和数据库设计等 主要实现技术徽了详细的论述。 f 实验结栗表明，集成了事件关联分析系统的d i d s 可以有效减少提交的警报数量， 降低系统虚警率，突出了警报 关键词：入侵稔预岭行为模式 关鸭 华中科技大学硕士学位论文 a b s t r a c t a 1 0 n g w i t ht h e g r a d u a l e n r i c h m e n to fa t t a c k k n o w l e d g e ，t h eg r a d u a l d i v e r s i f i c a t i o no fa t t a c km e t h o d sa n d t h eu n c e a s i n ge m e r g e n c eo fs e c u r i t y v u l n e r a b i l i t i e s ，p a s s i v es t a t i cs e c u r i t yp o l i c ya l o n ec a nn ol o n g e rs a t is f y t h e i n c r e a s i n gs e c u r i t yr e q u i r e m e n t s b e i n g a n i m p o r t a n tp a r t o f d y n a m i c n e t w o r k s e c u r i t y m o d e lp 2 d r t h ei n t r u s i o nd e t e c t i o ni san e ws e c u r i t y t e c h n o l o g yb a s e do nt r a d i t i o n a s e c u r i t yp o l i c i e ss u c ha sf i r e w a l l ，e n c r y p t i o n ， i d e n t i t ya u t h e n t i c a t i o na n ds o o n t h r o u g hd e t a i l e da n a l y s i s t oc o n i i n o nn e t w o r ka t t a c km e t h o d sa n da t t a c k b e h a v i o r s ，w eh a sd i s c o v e r e dt h a t as u c c e s s f u la t t a c k d e p e n d s o nt h e c o m b i n a t i o no fa t t a c km e t h o d sr a t h e rt h a nas i n g l em e t h o d t h ec o m b i n a t i o n i sb a s e do ns c h e d u l e dt i m ea n dl o g i cr e l a t i o n s t h i sp a p e rp o i n t so u tt h e l i m i t a t i o n sw i t h i nm o s to fc u r r e n ti d sa n dh i g h l i g h t st h es i g n i f i c a n c eo fe v e n t c o r r e l a t i o n a f t e re x p l a i n i n ge v e n tc o r r e l a t i o n sr e l a t e dc o n c e p ti n t h ei n t r u s i o n d e t e c t i o nf i e l d ，t h er e l a t i o n s h i p sa m o n ga t t a c ke v e n t sa r ed i v i d e di n t ot w o k i n d s ，r e d u n d a n c yr e l a t i o n s h i p a n dc a u s a lr e l a t i o n s h i p ，a c c o r d i n g t ot h e f e a t u r e so fa t t a c kb e h a v i o r s t om a k et h ee v e n tc o r r e l a t i o nq u i c k a n de f f i c i e n t ， a na t t a c ke v e n tm o d e li su s e dt om a k eac l e a ra n dc o r r e c td e s c r i p t i o no ft h e a t t a c ke v e n t sa n dc a nb er e a l i z e db yx m l t h em o d e lp o r t r a y ss y s t e ms e c u r i t y s t a t ew h i c hi sd e s c r i b e db yt h el o g i co fp r e d i c a t e b a s e do nt h i sm o d e l ，t h e p a p e rd i v i d e se v e n tc o r r e l a t i o ni n t of o u rb a s i cs t e p s ：e v e n ts t a n d a r d i z a t i o n ， e v e n ta g g r e g a t i o n ，e v e n ti n t e g r a t i o na n da t t a c kf o r e c a s t f u r t h e rm o r e ，e v e n t c o r r e l a t i o n p o l i c i e s a n dm e t h o d sc o r r e s p o n d i n gt ok e ys t e p s h a v eb e e n d e s c r i b e di nd e t a i l b e i n ga ni m p o r t a n ts u b s y s t e mo fd i s t r i b u t ei n t r u s i o nd e t e c t i o ns y s t e m i i 华中科技大学硕士学位论文 = = = = = = = = = = ；= = = = = = ；= = = = = = = 自z d i d s ，e v e n tc o r r e l a t i o na n a l y s i ss y s t e m ( e c a s ) i sar e a l i z a t i o no fe v e n t c o r r e l a t i o n t h i sp a p e rd i s s e r t a t e st h et e c h n o l o g i e su s e dt or e a l i z et h ee c a s ， i n c l u d i n gs y s t e ma r c h i t e c t u r e ，f u n c t i o n a lc o m p o n e n t sa n dd a t a b a s es c h e m a d e s i g n t h ee x p e r i m e n ti n d i c a r e st h a tad i d si n t e g r a t e dw i t ht h ee c a sc a nd e c r e a s e t h en u m b e ro fa l e r t sn e e d e dt ob es u b m it t e d ，r e d u c et h ef a l s ea l e r tr a t ea n d d i s c o v e rh i g h i e v e la t t a c ks t r a t e g i e s e f f e c t i v e l y k e yw o r d s ：i n t r u s i o nd e t e c t i o n ，b e h a v i o rp a t t e r n ，e l e m e n t a le v e n t a t t a c ke v e n tm o d e l ，e v e n tc o r r e l a t i o n i l l 华中科技大学硕士学位论文 1 网络安全概述 1 1 计算机网络的安全现状 1 1 1 增强计算机网络安全的重要意义 以i n t e m e t h n t r a n e t k e x t r a n e t 为代表的全球性信息化浪潮日益深刻，网络技术的应 用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向 大型、关键业务系统扩展。伴随网络的普及，安全日益成为影响网络应用的重要因素， 而网络所具有的开放性、自由性在增加应用自由度的同时，对安全提出了更高的要求。 由于i n t e r n e t 在设计之初留下的安全隐患，随着它的飞速发展，安全问题日益凸 现，至今已成为一个严重的全球性问题。据统计，网络入侵在过去5 年中以2 5 0 速度 增长，9 9 的大公司计算机系统都不同程度的受到过入侵攻击。世界著名的商业网站， 如y a h o o 、b u y 、e b a y 、a m a z o n 、c n n 都曾披攻击，造成巨大的经济损失，甚至连专门 从事网络安全的r s a 网站也受到过攻击。在我国，计算机网络安全状况也丝毫不容乐 观，据经济专刊华尔街日报2 0 0 2 年3 月1 8 日报道，中国成为继美国和韩国后的世 界上黑客活动最多的国家。 面对严峻的现状，各国政府和企业越来越重视网络安全，保障计算机系统、网络 系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。 1 1 2 网络安全的涵义 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或 者恶意的原因而遭到破坏、更改、泄露，系统能连续可靠正常地运行，网络服务不中 断1 。 网络安全就其本质来讲就是网络的信息安全。网络信息安全一般是指网络信息的 机密性( c o n f i d e n t i a l i t y ) 、完整性( i n t e g r i t y ) 、可用性( a v a i l a b i l i t y ) 、真实性( a u t h e n t i c i t y ) 华中科技大学硕士学位论文 及实用性( u t i l i t y ) 【”。 1 1 3 计算机网络安全技术的发展 为了加固计算机网络，防范各种恶意入侵事件，网络研究、开发以及应用人员采 用了各种安全机制、策略和工具，以堵塞安全漏洞，提供安全的通信服务。传统上， 一般采用静态安全防御策略来进行防御，主要采用的手段有：防火墙、加密、身份认 证、访问控制、操作系统加固等。这些技术在一定程度上的确提高了计算机网络的安 全。然而，随着攻击者知识的日趋丰富，攻击手段的日趋复杂多样，各种系统、软件 安全漏洞的不断出现，单纯的被动式静态安全防御策略已经无法满足安全需要。就如 同虽然门上装了锁，但你无法阻止别人破坏锁，或者绕过这个门闯进来，你还需要一 个监视器，当发现有人试图闯入或已经闯入时向你发出警报。入侵检测就是适应这种 需要而发展起来的技术，它相对比较主动，通过检测分析网络和系统内部的数据和活 动，发现可能或潜在的入侵活动，并进行报警或主动切断入侵通道。使用入侵检测不 仅可以防止外部的入侵，还可以检测内部的非法使用者。在现在已被广泛接受的动态 网络安全模型p 2 d r ( p o l i c y 、p r o t e c t i o n 、d e t e c t i o n 、r e s p o n s e ) 中，入侵检测是其 中一个重要的组成部分”1 ，如图1 1 所示。 图i ip 2 d r 模型 华中科技大学硕士学位论文 1 2 入侵检测技术概述 1 2 1 入侵检测的定义 “入侵”( i n t r u s i o n ) 是个广义的概念，不仅包括攻击者取得超出合法范围的 系统控制权，也包括收集漏洞信息和造成拒绝访问( d e n i a lo fs e r v i c e ) 等对计算 机系统造成危害的行为“1 。入侵行为不仅来自外部，同时也指内部用户的未授权活动。 从入侵策略的角度可将入侵的内容分为：试图闯入、成功闯入、冒充其他用户、违反 安全策略、合法用户的泄漏、独占资源以及恶意使用0 1 。 入侵检测( i n t r u s i o nd e t e c t i o n ) ，顾名思义，就是对入侵行为的发觉。它通过 对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络 或系统中是否有违反安全策略的行为和被攻击的迹象“3 。进行入侵检测的软件与硬件 的组合便是入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) 。与其他安全产 品不同的是，入侵检测系统需要更多的智能，它应能对得到的数据进行恰当分析，并 得出有用的结果。入侵检测是对传统安全产品的合理补充，帮助系统对付网络攻击， 扩展了系统管理员的安全管理能力，包括安全审计、监视、进攻识别和响应。 具体说来，入侵检测系统的主要功能有”： ( 1 ) 监测并分析用户和系统的活动； ( 2 ) 评估系统关键资源和数据文件的完整性； ( 3 ) 识别已知的攻击行为； ( 4 ) 统计分析异常行为； ( 5 ) 操作系统日志管理，并识别违反安全策略的用户活动。 1 2 2 入侵检测技术的历史发展 入侵检测这个概念最初是由j a m e sp a n d e r s o n 在1 9 8 0 年4 月为美国空军做的一 份题为c o m p u t e rs e c u r i t yt h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e t 的技术报告中 提出的。这份报告被认为是入侵检测的开山之作。3 。 华中科技大学硕士学位论文 从1 9 8 4 年到1 9 8 6 年，乔治敦大学的d o r o t h yd e n n i n g 和s r i c s l ( s r i 公司计算 机科学实验室) 的p e t e rn e u m a n n 研究出了一个实时i d s 模型i d e s ，为构建i d s 提供 了一个通用的框架n ”。 1 9 9 0 年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的 l t h e b e r l e i n 等人开发出了n s m ( n e t w o r ks e c u r i t ym o n i t o r ) ，该系统第一次直 接将网络流作为审计数据来源。从此之后，入侵检测技术的两大领域正式形成：基于 网络的i d s 和基于主机的i d s 3 。 入侵检测技术的商业化从2 0 世纪9 0 年代早期开始，直到1 9 9 7 年开始获得重视和应 用。目前在技术上占据领先地位的产品有i s s 公司的r e a l s e c u r e ，c i s c o 公司的 n e t r a n g e r ，n a i 公司的c y b e r c o p ，c a 公司的e t r u s t 等。 目前的大部分入侵检测系统是基于各自的需求和设计独立开发的，不同系统之间 缺乏互操作性和互用性，这对它的发展造成了障碍，入侵检测系统的标准化因此摆上 了议事日程。当前主要有两个草案标准，一是d a r p a ( t h ed e f e n s ea d v a n c e dr e s e a r c h p r o j e c t sa g e n c y ，美国国防部高级研究计划局) 所制定的c i d f ( c o m m o n i n t r u s i o n d e t e c t i o nf r a m e w o r k ，公共入侵检测框架) 标准“；二是i e t f ( i n t e r n e te n g i n e e r i n g t a s kf o r c e ，因特网工程任务组) 建立的i d e f ( i n t r u s i o nd e t e c t i o ne x c h a n g ef o r m a t ， 入侵检测数据交换格式) 标准“”。 1 2 3 入侵检测系统的分类 入侵检测系统可按照其采用的检测技术及输入数据的来源进行分类。 按采用的检测技术分类有“3 ： ( 1 ) 异常检测：它利用统计模型描述正常主体的活动，当受监测主体的活动异 于正常的统计规律时，则认为该活动可能是“入侵”行为“”。异常检测是基于行为的， 其难点在于如何建立一个好的统计模型以及如何设计一个较优的统计算法。 ( 2 ) 特征检测：它将入侵行为模式化，并检测主体活动是否与之匹配。特征检 测是基于知识的，仅能检测出已有的入侵方式。其难点在于如何准确定义入侵模式“。 按输入数据的来源分类有“”1 ： ( 1 ) 基于主机的i d s ：通过监视与分析主机的审计记录检测入侵。无法检测大 4 华中科技大学硕士学位论文 规模的网络入侵是其不足。 ( 2 ) 基于网络的i d s ：通过在共享网段上侦听采集数据，分析可疑现象。与主 机系统相比较而言，这类系统对入侵者是透明的，对主机资源消耗少，并可以提供对 网络通用的保护而无需顾及异构主机的不同架构。 ( 3 ) 分布式i d s ：能够同时分析来自主机的审计记录和网络数据流，一般为分 布式体系结构。 1 2 4 入侵检测的方法 目前，入侵检测系统所采用的主要方法有以下五种”2 ( 1 ) 基于统计模型的入侵检测方法； ( 2 ) 基于人工神经元网络的入侵检测方法； ( 3 ) 基于专家系统的入侵检测方法； ( 4 ) 基于数据开采技术的入侵检测方法； ( 5 ) 基于模糊理论的入侵检测方法。 1 2 5 入侵检测系统的通用框架模型 公共入侵检测框架c l d f 阐述了一个入侵检测系统的通用框架模型，包括4 个组 件：事件产生器、事件分析器、响应单元及事件数据库。，如图1 2 所示。 e ：事件产生器( e v e n tg e n e r a t o r ) a ：事件分析器( e v e n ta n a n l y s i s ) d ：事件数据库( e v e n td a t a b a s e ) r ：响应单元( r e s p o n du n i t ) 图1 2c l d f 框架模型 c l d f 将入侵检测系统需要分析的数据统称为事件，它可以是网络中的数据包，也 华中科技大学硕士学位论文 可以是从系统日志或其他途径得到的信息。事件产生器从整个计算环境中获得事件， 并向系统的其他部分提供事件；事件分析器分析得到的数据，并产生分析结果；响应 单元则是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强 烈反应，也可以是简单的报警。事件数据库是存放入侵检测所需的各种数据的地方的 统称。 1 2 6 入侵检测系统的发展趋势和面临的问题 入侵检测系统的发展趋势 人们普遍认为，未来一段时期内，入侵检测系统将主要朝以下三个方向发展”： ( 1 ) 宽带高速实时的检测技术 大量高速网络技术如a t m 、千兆以太网等近年里相继出现，在此背景下的各种宽 带接入手段层出不穷。如何实现高速网络下的实时入侵检测已经成为现实面临的问 题。目前的千兆i d s 产品其性能指标与实际要求相差很远。要提高其性能主要需考虑 以下两个方面：首先，需要重新设计新的i d s 的软件结构，提高运行速度和效率；其 次，随着高速网络技术的不断发展与成熟，将不断出现新的高速网络协议，那么，现 有i d s 如何适应未来新的网络协议。 ( 2 ) 分布式入侵检测 入侵检测系统正在向信息分布收集、分布处理以及多部件协作的分布式结构方向 发展。这里的“协作”有多个层次的含义：同一系统不同入侵检测部件间的协作，尤 其是主机型( h i d s ) 和网络型( n i d s ) 入侵检测部件之间的协作：异构平台部件之间 的协作；不同安全工具之间的协作等”。 ( 3 ) 智能的入侵检测 随着网络结构的复杂化和大型化，系统的弱点和漏洞将趋向于分布式。此外，随 着黑客入侵水平的提高，入侵方法越来越多样化与综合化，此时的入侵行为己不再是 单一的行为。如何适应这种快速的变化，需要对智能化的i d s 加以进一步的研究以解 决其自学习与自适应能力。 入侵检测系统面临的问题 随着网络结构的日趋复杂，网络规模的日趋庞大以及入侵手段的日趋多样，入侵 6 华中科技大学硕士学位论文 检测系统i d s 在不断提高检测能力、扩大检测范围的同对，也暴露出了一些问题”： ( 1 ) 事件风暴 应该看到，单个入侵检测系统每天可能会产生成百上千个警报事件，对于大规模 分布式入侵检测系统，警报数量更是巨大。如何管理不断增多的警报事件，是令系统 管理员头痛的问题。 ( 2 ) 虚警率高 据统计，目前i d s 给出的警报事件中大部分都是虚警，即便在真正的警报事件中， 又有很多属刺探行为，并没有产生实质性的入侵。这意味着，真正需要引起系统管理 员关注的警报事件并不多。现在的问题是，如何从一大堆警报事件中有效地识别出“入 侵警报”。 ( 3 ) 上下文关系不明确 一次完整的攻击通常由系列有内在联系的警报事件体现出来，但这些事件表面 上往往呈现出杂乱无序的形式，这就使得系统管理员很难把握这些警报事件之间的内 在联系，从而很难预测入侵的趋势，无法做到防范于未然。 1 3 课题研究的意义、内容和目标 1 3 1 课题研究的意义 研究发现，当前大部分入侵检测系统所面临的诸如事件风暴、虚警率高、上下文 关系不明确等问题，是由入侵检测系统自身的缺陷所造成的。事实上，当前大部分的 入侵检测系统只能孤立地检测每一个单独的攻击行为，产生大量的“基本事件”而忽 略了隐藏在这些攻击行为后面的逻辑联系和攻击意图汹1 。如果这种关联分析工作全部 由系统管理员人工来完成，工作量巨大且效率低下，其结果是不仅严重浪费系统管理 员的时间和精力，而且无法实现系统的快速判断和响应。显然，在入侵检测系统中引 入自动实时的事件关联分析功能，对提高整个入侵检测系统的性能将具有很强的实际 意义。 华中科技大学硕士学位论文 1 3 2 课题研究的内容 本课题将围绕入侵检测中的警报事件关联展开研究。在对常见攻击方法和攻击行 为详细分析的基础上，揭示警报事件之间存在的关系，并针对这些事件间的关系相应 地提出有效的事件关联策略和方法。在此基础上，围绕研究小组设计的分布式入侵检 测系统d i d s ( d i s t r i b u t e d i n t r u s i o nd e t e c t i o ns y s t e m ) ，设计和实现一个事件关联分 析系统e c a s ( e v e n tc o r r e l a t i o na n a l y s i ss y s t e m ) ，以作为d i d s 的一个重要功能 子系统。 1 3 3 课题研究的目标 本课题的目标是在分布式入侵检测系统d i d s 架构中实现事件关联分析系统 e c a s ，该功能子系统应该达到以下目标： ( 1 ) 有效减少基本攻击事件的提交数量，避免事件风暴； ( 2 ) 有效降低检测虚警率，提高检测精确度： ( 3 ) 突出事件间上下文关系，能提前预测攻击趋势，做到防患于未然： ( 4 ) 尽可能减少系统管理员手工干预。 华中科技大学硕士学位论文 2 攻击行为分析 只有在对攻击行为进行深入分析和良好理解的基础上，才能把握住攻击事件之间 的逻辑联系，为事件关联分析提供理论上的依据。 2 1 常见的攻击方法 常见的攻击方法有下面几种f 3 0 】： ( 1 ) 拒绝服务攻击( d e n i a lo fs e r v i c e ) 拒绝服务攻击主要是通过向目标网络发送大量无用的数据，干扰其正常运行，并 企图使之崩溃。 死亡之p i n g ( p i n go fd e a t h ) 利用i c m p 协议，向目标主机连续不断地发送源地址不可达的i c m p 分组，可以导 致目标主机系统崩溃。 泪滴( t e a r d r o p ) 通过伪造i p 分段的首部信息，修改其偏移字段可以进行泪滴攻击。某些操作系 统在收到含有重叠的伪造分段的时候将发生崩溃。 u d p 洪水( u d pf l o o d ) 利用摘单的t c p i p 服务如c h a r g e n 和e c h o 来传送没有意义的u d p 数据包，从而 消耗网络带宽和阻塞服务。 s y n 洪水( s y nf l o o d ) 某些t c p i p 协议栈实现只有有限的内存缓冲区用于创建连接，如果这一缓冲区 充满了虚假连接的初始信息，服务器就会对接下来的连接停止响应，直到缓冲区单的 连接超时。 ( 2 ) 利用型攻击 口令猜测 通过获取n e t b i o s 、t e l n e t 或n f s 等服务的用户账号，如a d m i n i s t r a t o r 等，然 9 华中科技大学硕士学位论文 后对其进行口令猜测进而控制目标主机。 特洛伊木马 特洛伊木马实质上是种网络客户机服务器程序，其危害非常大。一旦通过某 种途径将木马程序安装在目标系统中，获得管理员权限，则可以对目标系统实现直接 远程控制。 缓冲区溢出 通过向目标系统某些服务程序的缓冲区写入超出其长度的内容，可以造成缓冲区 溢出，破坏程序的堆栈，使程序转而执行其它指令，从而达到控制目标系统的目的。 ( 3 ) 信息收集型攻击 从广义上来看，信息收集实质上也是一种攻击方法。扫描就是常用的信息收集型 攻击。此外，还有以下几种方法，用于信息收集型攻击： 反向映射 通过向目标系统发送虚假消息，根据返回的“h o s tu n r e a c h a b l e ”消息特征可以 判断哪些系统正在运行。 利用信息服务d n s 转换 由于d n s 协议不对信息更新或转换进行身份认证，通过对公共d n s 服务器实施一 次域的转换操作，可以得到所有主机的名称以及内部i p 地址。 f i n g e r 服务 通过使用f i n g e r 命令探测一台f i n g e r 服务器，可以获取关于该系统中的用户信 息。 ( 4 ) 假消息攻击 典型代表有伪造电子邮件攻击。由于s m t p 并不对邮件的发送者的身份进行鉴定， 因此可以对内部客户发送伪造的电子邮件。通过声称该邮件是被某个客户信任的，并 附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接，会导致系统产生 不良后果。 2 2 攻击行为模式 作为后续讨论的铺垫，这里先给出一个著名的网站攻击实例。 1 0 华中科技大学硕士学位论文 2 0 0 1 年，著名电脑杂志p c w e e k 为了测试w e b 服务器i i s ( n t 平台) 和a p a c h e ( l i n u x 平台) 的安全性，公布了装有不同w e b 服务器的两台主机地址。一位黑客在 2 0 小时内成功修改了l i n u x 平台上w e b 服务器的主页。其入侵过程主要包括以下5 步： ( 1 ) 收集目标主机信息，包括打开的端口和提供的网络服务等； ( 2 ) 了解操作系统类型和版本以及w e b 服务器类型和版本； ( 3 ) 尝试用常见的a p a c h e 服务程序漏洞入侵，失败； ( 4 ) 发现第三方软件的c g i 漏洞并利用此漏洞进入系统： ( 5 ) 利用r e dm a tc r o n t a b 漏洞得到r o o 权限，入侵完成。 这个典型实例反映了攻击行为中存在较强的时序和逻辑关系，同时也应该看到， 每一次成功的攻击并不是单单依赖于其中的一两个方法，而是一组方法的组合，这种 组合是以预定的时序和逻辑关系为基础的。 通过分析可以看出，黑客攻击过程一般分为寻找目标一扫描信息分析获取权 限一提升权限获取数据等步骤。可以将这种攻击过程抽象成如图2 i 所示的攻击行 为一般模式。 信息收集 + 远程攻击 远程登陆 l 获得普通用户权限 + j 获得超级用户权限 设置后门i t ! 清除日志l il 图2 1 攻击行为的一般模式 在图2 1 中，“信息收集”是攻击前的准备阶段，一般是指通过扫描工具获得目 标操作系统类型、版本、开放端口列表、提供服务的软件及其版本。然后通过对具体 华中科技大学硕士学位论文 的漏洞进行探测与分析，采取相应的攻击方法进行远程攻击以获取登录权限。若成功 登录，则设法取得超级用户权限，并留下后门，最后清除系统日志擦除痕迹。 可以将这一攻击行为模式大致分为三阶段：攻击前的信息收集、实施攻击和攻击 成功后的现场处理三个阶段，每个阶段可以分别采用一种或多种攻击方法。 那么，所有的攻击从行为特征上都分属于下列两大类： ( 1 ) 简单攻击行为 这类攻击行为通常是由单个攻击步骤或相互之间独立的重复攻击步骤构成，例如 地址扫描攻击，攻击者就是重复地向多个目标主机发送i c m p 包，这多个i c m p 包之 间是独立的。 ( 2 ) 复杂攻击行为 这类攻击行为通常包含多个攻击步骤，表现为多步骤协作式攻击，通常这类攻击 性的各个步骤之间有较强的逻辑和时序关系。例如，d n sb i n d 服务漏洞攻击首先扫描 5 3 号端口，探测到b i n d 8 2 2 服务程序后，利用b i n d 的n x t 漏洞获取目标机的r o o t 权 限，这一连串步骤就组成了一个复杂攻击行为。 可以将这些攻击步骤看成是一个个的简单攻击行为，那么复杂攻击行为就可以看 作一个简单攻击行为集，也可以这样说，多个简单攻击行为之间一旦具备了某种逻辑 或时序关系，就构成了一个复杂攻击行为。 随着当前计算机系统的安全性逐步得到人们的重视，安全防范有了进一步加强， 所以，简单类型的攻击已经不足以为患。据统计，当前己检测到的9 0 以上的黑客攻 击都采用的是复杂类型攻击，所以加强对这种类型攻击的检测和识别具有更迫切的实 际意义。从目前已有的i d s 产品来看，均不能满足对复杂类型攻击进行检测的需求， 不同程度地存在如下缺陷【3 l 】： ( 1 ) 只能孤立检测出复杂攻击中的每一个简单类型攻击； ( 2 ) 没有对复杂攻击行为中的攻击步骤之间的联系进行分析； ( 3 ) 对网络攻击只能检测，不能预防，而且也只能事后由系统管理员进行手工 分析，不能提前预警，也不能够根据当前状态预测出将来可能的状态，这样就不能做 到防患于未然。 如何弥补这些缺陷，如何在i d s 系统中引入事件关联正是本文的基本出发点。 考虑到目前i d s 领域中的概念、术语还没有实现标准化，为了便于展开事件关联 华中科技大学硕士学位论文 的讨论，避免概念上的冲突和误解，下面给出本文中要用到的一些重要概念及其含义。 基本攻击( e l e m e n ta t t a c k ) ：简单攻击行为或是复杂攻击行为中的单个攻击步 骤。 基本事件( e l e m e n t a le v e n t ) ：由基本攻击触发的事件，这也是当前大部分i d s 系统提交给系统管理员的主要攻击证据。本文假设基本事件符合i d m e f ( i n t r u s i o n d e t e c t i o nm e s s a g ee x c h a n g ef o r m a t ，入侵检测消息交换格式) 数据模型。 攻击目标( a t t a c ko b j e c t i v e ) ：就是攻击者最终的目的，它指导攻击者进行的 所有攻击活动。从攻击者的角度来看，目标是明确的，但从入侵检测的角度来看，这 又是难以判断的。本文设定任何违反安全策略的行为都视为潜在的攻击目标。 2 3 小结 本章分析了黑客最常用的一些攻击方法，通过对攻击一般模式的分析，将攻击划 分为简单攻击行为和复杂攻击行为两类。指出当前大部分的攻击行为中存在较强的时 序和逻辑关系，以及对这种时序和逻辑关系检测的重要性。同时针对当前市场上大部 分i d s 系统存在的缺陷，进一步阐述了本课题要解决的问题和目标。最后为了避免概 念的混淆，对本文用到的一些重要概念进行了说明。 华中科技大学硕士学位论文 3 攻击事件的描述和关联分析 3 1 事件关联相关概念 随着计算机技术的发展，人们有能力设计和实现一些复杂的系统，如通讯网络、 计算机系统、实时监控系统等，作为一个共有的特征，这些系统都有离散的状态 ( s t a t e ) ，例如：空闲、异常、出错等。同时，状态之间相互转化能够产生事件( e v e n t ) ， 例如：命令、警报、超时等。所以，这些系统被称为离散事件系统( d i s c r e t ee v e n ts y s t e m ) 或者是事件驱动系统( e v e n t d r i v e ns y s t e m ) 。随着工业的进步，这些离散事件系统正 朝藿复杂化、分布化和异构化的方向发展，及时有效地处理这些系统产生的离散事件 的难度变得越来越大，这就迫切地需要对大量的离散事件进行分类、整合和关联，因 此事件关联( e v e n tc o r r e l a t i o n ) 技术便应运而生i j 。 最初，事件关联技术应用在一些需要实时监控的传统重大任务系统中，例如核电 站监控系统、石油开采监控系统等。现在，它已经在一些新的领域( 消息系统、网络 管理等) 得到了广泛的应用和研究。 在入侵检测领域，过去几年的研究集中在体系架构和检测方法上，在不断取得突 破的同时，也暴露出了一些诸如事件风暴、虚警率高、上下文不明确等问题，严重影 响了入侵检测系统的更好应用。针对这些问题产生的根源，事件关联技术也逐步得到 了重视和应用，研究人员开始对其所起作用展开研究，提出了一些警报关联的方法 3 3 , 3 4 。例如，在s p i c e s p a d e 项目里，s s t a n i f o r d 等人设计了一个端口扫描关联器， 他们采用基于特征的启发式方法将属于同一个端口扫描的警报事件关联起来以检测 隐秘端口扫描等活动。但是实验证明，这些方法在有效性、效率、速度等性能指标上 都未能达到人们的预期目标，因此在事件关联技术方面还有很多的研究工作尚待开 展。 1 4 华中科技大学硕士学位论文 3 2 攻击事件的关联定义及分类 根据2 2 节，从入侵检测系统的观点来看，事件就是“基本攻击”触发的“基本 事件”，所以本文的事件关联都是指基本事件关联。 从攻击的角度出发，事件之间的关联是指它们是否是同一个攻击行为所产生的， 这种攻击行为包括单个简单攻击行为或由一系列攻击步骤组成的复杂攻击行为。 根据上述入侵事件关联的定义，事件之间的关系可以进一步抽象为以下两种关 系： ( 1 ) 冗余关系 冗余关系事件往往是由一个简单攻击或一个复杂攻击的某个步骤触发多个i d s 系 统或多次触发一个i d s 系统所引起。以常见的端口扫描为例，通常，一次扫描攻击会 同时针对目标机的多个端口，这样同一个行为可能产生多个警报。同样道理，若一次 扫描行为是针对不同子网的不同主机，将会触发各个子网的i d s 系统产生警报，等等。 这里将这样一类事件之间的联系称之为冗余关系。 ( 2 ) 因果关系 黑客的攻击行为总是沿一定的步骤和路径来进行的，在一个完整的攻击过程中， 由单个攻击步骤触发的警报事件可能存在其前因事件和可能带来的后果事件。例如， 攻击者可能会首先进行漏洞扫描，发现有漏洞的主机后，根据获取的漏洞信息，进一 步对目标主机进行渗透攻击，在取得主机的控制权后，再去攻击其他主机。概念上， 这些事件都属于同一个复杂攻击，它们之间存在某种因果关系。 冗余关系相对来说比较明显，易判断、易处理，可以采用聚合方法将属于冗余关 系的事件过滤掉，从而有效减少基本事件的数量。事件之间的因果关系显得更隐蔽， 揭示事件之间的因果关系有助于发现贯穿于接个安全系统的攻击模式和入侵趋势，预 见下一步将面临的威胁，提前阻止攻击的发生，将系统的安全防御从被动式的“滞后 型”转为主动式的“抢先型”。 华中科技大学硕士学位论文 = = = = = = = = = = = = = = # = = = = ；= = = = = = = = 一= 3 3 引入事件关联的i d s 系统组成 在入侵检测系统中引入自动实时的事件关联分析，实际上就是在入侵检测引擎和 系统管理界面之间增加一个起到事件再加工作用的事件关联层。，系统组成如图3 1 所示。 事件流控制流 图3 1 引入事件关联的i d s 系统组成 事件关联层对入侵检测引擎检测到的“基本事件”进行关联分析，并将加工处理 后的事件传递给系统管理界面显示出来。采用这种处理模式，一方面可减少系统管理 员看到的事件数量，从而降低其工作强度；另一方面，通过提供高度综合、更加全面 的事件报告，有利于系统管理员的分析判断。 值得强调的是，尽管图3 1 给出的是一个集中式的事件关联结构，但也可以根据 具体的环境和要求，采用分布式的体系来部署。如图3 2 所示。 事件收集层局部事件关联层 ! 全局事件关联层 图32 分布式的事件关联结构 1 6 华中科技大学硕士学位论文 3 4 攻击事件描述 3 4 1 攻击事件模型 本文所说的事件关联是针对“基本攻击”产生的“基本事件”，因此要做到快速 有效的事件关联分析，首先要对“基本事件”作清楚、明确的描述，在此基础上，才 有可能对各个警报事件进行定位、归类和关联分析。 从攻击的角度看，“基本事件”的模型也是“基本攻击”的模型，针对事件间因 果关系所具有的隐蔽性特征，从全面揭示事件间复杂的因果关系这一角度出发，攻击 事件模型必须提供足够的信息以刻画复杂攻击各步骤之间的关系3 6 l 。 定义1 用一个五元组表示攻击事件，用e 表示攻击事件模型，有： e = ( a t t a c k i d ， a t t a c k n a m e ， a t t a c k _ p r e c o n d ， a t t a c k p o s t c o n d ， a t t a c k s p e c j f ) 各字段含义如下： a t t a c k _ i d ：攻击标志。表明攻击类型； a t t a c k _ n a m e ：攻击名称： a t t a c k _ p r e c o n d ：攻击前提。攻击实施前所应该满足的条件集合； a t t a c k _ p o s t c o n d ：攻击后果。攻击实施后对安全系统造成的所有可能影响的集 合： a t t a c ks p e c i f ：攻击特征。攻击事件的特征描述，由“基本事件”提供，包括 攻击源、攻击目标等。 “a t t a c k p r e c o n d ”主要是对攻击目标系统缺陷的描述，例如，有缺陷的操作系 统、某版本号的服务程序等。有时，它也反映了攻击者的状况，例如，攻击者已取得 了目标系统的r o o t 权限等。 “a t t a c kp o s t c o n d ”可以表示攻击者对目标系统权限的获取和提升，也可以表 华中科技大学硕士学位论文 示其他一些状况，例如信息的破坏和窃取、拒绝服务等。需要注意是，该字段表示的 是攻击成功后对目标系统造成的可能影响而不是确定影响，也就是说，实际上该攻击 有或者是没有造成a t t a c k _ p o s t c o n d 提及的后果。这样的设定基于两个理由：首先， i d s 可能无法搜集到足够的信息来确定一个攻击是否成功，例如，基于网络的i d s 通 过模式匹配检测到特定缓冲区溢出攻击，但它无法从被攻击主机那里获得有关信息 来确定这一攻击是否取得成功。这样的话，用确定攻击后果来指导事件关联不切实际。 其次，考虑到这样种情况，即使前面的攻击步骤失败了，后续攻击还是照样进行， 例如，攻击者用已经编好的脚本程序来发起一系列攻击。所以，“a t t a c k p o s t c o n d ” 描述的是可能攻击后果而不是确定攻击后果。 本文将着重讨论“a t t a c k p r e c o n d ”，“a t t