（计算机软件与理论专业论文）基于np的高速网络入侵检测分流器的设计与实现.pdf

基于n p 的高速网络入侵检测分流器的设计与实现 摘要 随着社会信息化的普及，信息作为一种无形的资源对人们生活的影响越来越 大，信息安全已经成为社会关注的焦点。网络带宽和速度的迅猛增长，使得信息 安全领域的工作变得更加困难，入侵检测系统作为防火墙的有力补充已经并将继 续在高速网络信息安全领域发挥关键作用。 在高速网络环境下，入侵检测系统需要不断改进，尽可能降低丢包率和误报 率，实现实时的检测与信息反馈。采用网络处理器这种具有高灵活性、可编程特 性的硬件将是下一代网络处理的主要发展潮流；另一方面，研究适合高速网络入 侵检测的体系结构以及设计更高效的软件算法也是入侵检测系统始终不变的追 求目标。 本系统采用i n t e l 第二代网络处理器i x p 2 4 0 0 作为入侵检测系统的主要硬件 设备，其8 个微引擎、6 4 个线程的并行处理能力非常适合高速网络的数据处理 工作。文章基于i x p 2 4 0 0 的硬件平台提出了一种适应高速网络环境的入侵检测 的体系结构，详细研究和设计了其中数据采集模块、分流模块、检测模块以及管 理平台的特点和功能。此外，通过对现有的各种分流算法的深入分析和研究，提 出了一种面向多协议的h a s h 映射的分流算法，并在i n t e li x as d k 3 5w o r k b e n c h d e v e l o p e r 实验平台上进行了仿真实验。 实验结果表明，分流器能线速转发和分流o c 4 8 带宽下的p o s 数据包，给 后端检测集群提供待检的特定类型的数据包流，从而大幅提高了整个系统的检测 性能。这在一定程度上解决了现有高速网络入侵检测系统的瓶颈问题，证明了本 文提出的系统结构是适合高速网络环境要求的。 关键词：入侵检测；网络处理器；i x p 2 4 0 0 ；分流算法 i i 硕士学位论文 a b s t r a c t w i t ht h ep o p u l a r i z a t i o no fs o c i a li n f o r m a t i o n ，p e o p l e sl i f eh a sb e e ni n f l u e n c e d m o r ea n dm o r e g r e a t l yb yi n f o r m a t i o nw h i c hi s ak i n d0 fi n v i s i b l er e s o u r c e i n f o r m a t i o ns e c u r i t yh a sb e e nt h ef o c u sw h i c ha t t r a c t st h es o c i a la t t e n t i o n t h er a p i d i n c r e a s eo fn e t w o r kb a n d w i d t hm a k e st h er e s e a r c hi ns e c u r i t yf i e l dm o r ed i m c u l t a s t h eu s e f u ls u p p l e m e n to fn r e w o r k ，i n t r u s i o nd e t e c t i o ns y s t e mh a st a k e nt h ek e y e f f e c ti nt h ef i e l do fh i g h s p e e dn e t w o r ks e c u r i t ya n dw i l lh o l do ni nt h ef u t u r e u n d e rt h ec i r c u m s t a n c eo fh i g h - s p e e dn e t w o r k ，i n t r u s i o nd e t e c t i o n s y s t e m n e e d sc o n t i n u o u si m p r o v e m e n to fr e d u c i n gf a l s en e g a t i v er a t ea n df a l s ep o s i t i v e r a t et oa c h i e v er e a l t i m ed e t e c t i o na n di n f b r m a t i o nf b e d b a c k 0 no n eh a n d a d o p t i n gt h en e t w o r kp r o c e s s o rw h i c hh a sh i g hn e x i b i l i t y a n dp r o g r a m m a b l e c h a r a c t e r i s t i cw i l lb et h ed e v e l o p m e n tt r e n do ft h en e x tg e n e r a t i o nn e t w o r k p r o c e s s i n g 0 nt h eo t h e rh a n d ，s t u d yo ns u i t a b l ea r c h i t e c t u r eo fi n t r u s i o nd e t e c t o n s y s t e mf o rh i g h - s p e e dn e t w o r k a n dd e s i g n0 fm o r ee f n c i e n ts o f t w a r ea l g o r i t h mw i l l a l s ob et h ei n v a r i a b l et a r g e t t h i ss y s t e mc h o o s e st h es e c o n dg e n e r a t i o nn e t w o r kp r o c e s s o ri x p 2 4 0 0a st h e m a i nh a r d w a r ee q u i p m e n to fi n t r u s i o nd e t e c t i o ns y s t e m i x p 2 4 0 0w h i c hh a s8 m i c r o e n g i n e sa n d6 4t h r e a d si ss u i t a b l ef b rh i g h s p e e dn e t w o r kp r o c e s s i n gb e c a u s e o fi t ss t r o n gp a r a l l e lp r o c e s s i n gp o w e r t h i st h e s i sh a sp u tf b r w a r dan e wk i n do f a r c h i t e c t u r ef b rh i g h s p e e di n t f u s i o nd e t e c t i o ns y s e m ，a n dh a sd e s i g n e ds o m ep a r t s o ft h es y s t e ms u c ha sd a t ac o l l e c tm o d u l e 、d i s t r i b u t em o d u l e 、d e t e c tm o d u l ea n d m a n a g ep l a t f o r ma c c o r d i n gt ot h e i rc h a r a c r i s t i c sa n df u n c t i o n s i na d d i t i o n ，t h r o u 曲 d e e p l ys t u d y i n ga n da n a l y z i n gv a r i o u sk i n d so fe x i s t i n gd i s t r i b u t i o na l g o r i t h m s ，a n e wa l g o r i t h mf o rm u l t i p l ep r o t o c o l sa n dh a s hm a p p i n gh a sb e e np r e s e n t e d ，a n dt h e e m u l a t i o n a le x p e r i m e n to ni n t e li x as d k 3 s 、v o r k b e nd e v e l o p e rh a sb e e nm a d e t h ee x p e r i m e n tr e s u l t ss h o wt h a tt h ed i s t r i b u t i o nm a c h i n ec a nd i s t r i b u t et h e p o sd a t ap a c k e to fo c 一4 8a tt h r e a ds p e e da n dp r o v i d eu n d e t e c t e dd a t ap a c k e tn o w w h i c hi st h es p e c i a lt y p es oa st og r e a t l yi m p r o v et h ed e t e c tc a p a b i l i t yo ft h ew h o l e s y s t e m a sar e s u l t ，t h eb o t t l e n e c kp r o b l e mo fh i g h - s p e e di d sh a sb e e np a r t l y s 0 1 v e d ，p r o v i n gt h a tt h en e wa r c h i t e c t u r ei ss u i t a b l ef b rh i g h s p e e dn e t w o r k k e yw o r d s ：i m n 】s i o nd e t e c t i o n ；n e t w o r kp r o c e s s o r ；i x p 2 4 0 0 ；d i s t r i b u t i o na l g o r i t h m i i i 基于n p 的高速网络入侵检测分流器的设计与实现 插图索引 图1 1 论文结构图 图2 1 入侵检测分类图 图2 2 入侵检测的系统模型 图3 1 网络处理器的体系结构 图3 2i x p 2 4 0 0 网络处理器内部结构示意图 图3 3i x p 2 4 0 0 外部接口图 图3 4i n t e l i x a 3 5 组件图 图3 5 系统结构示意图 图3 6 单板法实现入侵检测的微引擎分配 图3 7 双板法实现入侵检测 图3 8 检测节点工作流程图 图4 1p a c k e tr x 状态机的状态转换图 图4 2 微引擎时序分配 图4 3 单线程的算法流程图 图4 4h a s h 表的链表结构 图4 5 分流算法流程图 图5 1i n t e l i x as d k 3 5 开发平台界面 图5 2 微引擎分配图 图5 3 系统内元件时钟频率设置图一 图5 4i o 设置 图5 5 模拟数据包设置 图5 6p o s 包仿真 v i 3 5 6 1 6 1 8 1 9 2 0 2 2 2 3 2 4 2 7 3 2 弛钙钳帖们 硕士学位论文 附表索弓 表2 1 五种基于网络的入侵检测系统的比较 表2 2 六种基于主机的入侵检测系统比较 表3 1 单板法与双板法在o c 4 8 带宽下的比较 表3 2 单板法与双板法在4 ge t h e r n e t 带宽下的比较 表4 1i n g r e s sl x p 2 4 0 0 的微引擎分配情况 表4 2i x p 2 4 0 0 中s r a m 和d r a m 资源存储分配 表4 3 队列描述的字段定义 表4 4q u e u e 的数据结构 表4 5q u e u e 传输信息结构 表4 6c s i xt x 模块主要数据结构墙m豁拍如”柏甜 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者签名： 栽予彤 日期：加年，月2 2 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权湖南大学可以将本学位论文的全部或部分内容编 入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇 编本学位论文。 本学位论文属于 l 、保密口，在年解密后适用本授权书。 2 、不保密0 。 ( 请在以上相应方框内打“”) 作者签名：哦事辑 剔币签名弓分磷 日期：加形年j ，月? 2 日 日期：“年厂月t ，日 硕士学位论文 1 1 项目来源 第1 章绪论 本课题来源于两个项目： 国家发改委项目( 计高技【2 0 0 0 】2 0 3 4 号) ：中国网上教育平台 湖南省自然科学基金项目( 0 3 j j y 3 1 0 3 ) ：高速网络环境下入侵检测技术 研究 1 2 研究的目的和意义 计算机和互联网技术的发展正在不断改变着人类社会的面貌，与之伴随而来 的是网络与信息安全的问题。网络中各种非法攻击行为和不安全因素导致人们对 网络和信息的安全产生质疑。入侵检测系统，作为一个采取主动防御策略的、与 防火墙相辅相成共同保障网络与信息安全的网络设备，其本身也在不断发展和进 步。入侵检测系统不仅能够检测来自网络外部的入侵行为，也能对系统内部的各 种非法行为进行监督，他与防火墙一样都是网络中不可或缺的重要安全设备。 然而，入侵检测技术要跟上网络速度过快增长的发展趋势，就要求从硬件和 软件两个方面同时采取措施。硬件方面，现有的基于通用处理器的入侵检测系统 在处理g b p s 数量级的网络数据流量时已显得力不从心，常常伴随着较高的丢包 率和误报率。网络高速发展，对下一代网络设备提出以下要求：具有优异性能， 支持高速分组处理；具有高度灵活性，支持不断变换高层网络服务。因此，采用 更适合高速网络数据处理的硬件处理器就变得十分关键了。软件方面，在拥有了 良好的硬件支撑环境下，设计更先进的软件算法，让硬件处理器发挥其更高的性 能，从而使得在高速网络环境下的数据采集、分流、检测和报警等一系列活动能 在最短的时间内完成( 完美的目标是达到线速) 。由此可见，只有从硬件和软件 两方面一起提升入侵检测系统的性能，才能真正达到高速网络入侵检测的要求。 将网络处理器用于入侵检测系统是个非常好的选择，其既具有传统的基于通 用处理器g p p ( g e n e r a lp u r p o s ep r o c e s s o r ) 的网络设备的高灵活性，又具有基于专 用集成电路处理器a s i c ( a p p l i c a t i o ns p e c i 虹ci n t e g r a t e dc i r c u i t ) 的网络设备的高 性能特点，能够通过灵活的软件体系( 可编程性) 提供硬件级的处理性能。 1 3 研究内容 目前，网络带宽及速度大幅度提升，已经达到g b p s 的数量级。虽然现在的 入侵检测产品已趋向成熟，但在高速网络环境下要实现实时的入侵检测，仍然是 基于n p 的商速网络入侵检测分流器的设计与实现 个十分具有挑战性的工作： ( 1 ) 硬件方面 传统的基于g p p 的网络设备只满足灵活性要求：基于a s i c 的网络设备只满 足高性能要求；网络处理器能够通过灵活的软件体系提供硬件级的处理性能，基 于网络处理器( n e t w o r k p r o c e s s o r ) 的网络设备具有高性能和灵活性。选择适合 高速网络数据处理的硬件设备已经是网络高速发展提出的基本要求。 ( 2 ) 入侵检测体系结构方面 一个良好的入侵检测体系结构，能使系统内部各模块具有低耦合性和高内聚 性，有利于模块设计与系统编码，将更加适应越来越快的网络速度的发展要求。 因此怎样基于合适的硬件处理器设计一个适合高速网络的入侵检测体系结构是 非常重要的一项工作。 ( 3 ) 入侵检测系统的瓶颈问题 高速网络环境下，数据传输速率在1 g b p s 以上，入侵检测系统中数据采集 和分流模块需要实时的采集数据并按一定的算法将其分流到后端检测集群进行 检测，这项任务随着网络速度的过快发展已经越来越难以完成。这就是现有入侵 检测系统中的瓶颈所在。除了采用合适的硬件处理器之外，设计更有效，更快速 的软件算法也是必不可少的。 1 4 本文主要工作 本文的主要工作具体内容如下： 1 认真研究了高速网络入侵检测系统的结构、特点以及国内外研究现状； 对网络处理器i x p 2 4 0 0 的高并行性和可编程性等特点做了深入的学习和 研究。 2 通过对现有的高速网络入侵检测系统结构的学习和研究，设计并提出了 一种基于网络处理器实现的高速网络入侵检测系统的体系结构，并对系 统的各个模块进行了详细的设计。 3 分析现有的网络数据分流算法，结合网络处理器i x p 2 4 0 0 内部提供的 h a s h 硬件实现单元，提出了一种新的面向多协议的h a s h 映射的分流算 法，实现了一个具备数据包线速转发能力的高效分流器。 4 利用i n t e li x as d k 3 5w o r k b e n c hd e v e l o p e r 开发平台，仿真实现了 分流器的主要功能。 1 5 论文结构 本文的结构如图1 1 所示： 2 硕士学位论文 l 第一章绪论 第二章入侵检测系统概述 士 一第三章基于i x p 2 4 0 0 入侵检测 系统总体设计 第四覃分搋器1 分流器设i 的设计与实现；计与实现l l 数据采集i l 数据分流1l 数据发送i 模块 f模块模块 1 0 第五章分流器仿真 与性能分析 0 结论 图1 1 论文结构图 甚于n p 的高速憾终入侵检澄1 分滩器的发计与实现 第2 章入侵检测系统概述 2 1 入侵检测的定义及其发展历史 2 1 1 入侵检测的定义 入侵行为主要是指对系统资源的非授权使用，可以造成系统数据的丢失和破 坏、系统拒绝服务等危害的行为。 入侵检测系统h ( i d s ：i n t r u s i o nd e t e c t i o ns y s t e m ) ，是通过对网络系统的运行 状态进行监视，从而发现各种攻击企图、攻击行为或者攻击结果，以保证系统资 源的机密性、完整性与可用性。 简言之，进行入侵检测的软件与硬件的组合就是入侵检测系统。 2 1 2 入侵检测的发展历史 最早提出入侵检测概念的是j a m e sa n d e r s o n 【3 ，他在一篇有关计算机安全方 而的文章中，将入侵尝试( i m r u s i o na t t e m p t ) 或成胁( t h r e a t ) 定义为：潜在的有预 谋的未经授权访问信息或系统，致使系统不可靠或无法使用的企图。审计跟踪首 次被提出用于监视入侵威胁。 1 9 8 7 年，d o f o i h yd c n n i n g 发表的经典论文“a ni n t f u s i o nd e t e c t i o nm o d a l 中提出入侵检测的基本模型，并提出了几种可用于入侵检测的统计分析模型。 d e n n i n g 的论文正式启动了入侵检测领域内的研究工作”。 1 9 8 9 年，n s m i 引，n a d i r 【6 1 ，d i d s 【7 1 和n i d e s 等基于网络的i d s 系统相继问 世。n a d i r ( n e t w o r ka n o m a l yd e i e c t i o a n di n t r u s i o nr e p o r t e r ) 与d i d s ( d i s t r i b u t e i n s t r u s i o nd e t e c “o ns y s t e m ) 提出了收集和合并处理来自多个主机的审计信息以 便检测一系列的有预谋的主机的协同攻击。 到了9 0 年代后，入侵榆测系统的研发工作呈现百家争鸣的繁荣局面，新思 想不断涌现，人工智能、神经网络、免疫学、模糊理论、图形学和分布式计算技 术【9 i 、负载均衡理论等等都逐渐引入了i d s 领域。目前，s r i c s l 、普渡大学、 加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学 等科研机构代表了当前这些领域的最高水平。 2 2 入侵检测系统的分类 按分类角度的不同，入侵检测系统有不同的分类方法m ，归纳见图21 。 按分类角度的不同，入侵榆测系统有不同的分类方法 ” ，归纳见图2 1 。 硕士学位论文 寻 l 一 图2 1 入侵检测分类图 1 滥用和异常入侵检测 根据分析手段的不同可分为两大类：滥用检测和异常检测。滥用检测首先使 用形式化方法来描述入侵特征( s i g n a t u r e ，或称为入侵模式，p a t t e r n s ) 并构建入侵 特征库，通过模式匹配方式来检测己知类型攻击及其变种行为。异常检测则是使 用形式化方法来描述网络和用户的正常行为模式，构建网络和用户正常活动简档 ( p r o f i l e ) ，检测过程中捕获那些与正常活动简档不相符的异常行为，并进一步在 异常行为集合中区分出入侵行为。 2 基于主机、网络的入侵检测系统 根据入侵检测系统保护目标的不同可分为：基于网络( n e t w o r k b a s e d ) 的入侵 检测系统和基于主机( h o s t _ b a s e d ) 的入侵检测系统。基于网络的i d s 主要目的是用 来保护某一网段，其数据源是来自网络上采集的数据包：而基于主机的i d s 一般 用来监视主机信息，其数据源通常包括操作系统审计记录、系统日志、基于应用 的审计信息、基于目标的对象信息等。 3 主动型与被动型检铡 根据入侵检测系统对入侵行为的反应机制可以分为：主动型和被动型。若 i d s 主动采取某种行动( 例如关闭服务) 为积极响应，即主动型；若只是产生一些 警报或者通知，则称之为消极响应，也称被动型。 4 集中式和分布式检测 根据入侵检测系统的体系结构上的差异可分为：集中式和分布式。传统的 i d s 是集中式的，意味着它们或者作为一个单一的模块运行，或者是一系列相对 独立的交互的实体，而所有实体都继承了总的i d s 的功能；而分布式i d s 由相异 实体组成，分布在系统中的每一个实体都执行自己的任务，各实体之间通过消息 实时处理 一 问 、 时 、lli叫ll叫 应 l 集中式 一 脚 i 悚忡恢l 一 段， |1 手 电三e 几 一 孵， 一 基于主机 一 分 ， f ， 滥用检测 一 i 异常检测 一 基十n p 的高速网络入侵检测分流器的设计与实现 或其他机制进行交互。这里“分布”的概念指功能上的分布，而不是物理上的分 布。 5 实时处理与事后处理 根据入侵检测系统对信息分析的反应时间又可分为：实时处理( 在线检测) 和事后处理( 离线检测) 。审计信息分析通常在两种模式下工作，不间断持续运 行的检测过程，称为实时的，所谓“实时”意思是i d s 对入侵的反应足够快：反 之为事后处理。 2 3 入侵检测系统的体系结构 入侵检测系统的体系结构大致可分为基于主机、基于网络和基于主体这三大 类】。主机型和网络型的入侵检测系统都是统一的集中系统，与分布式系统相 对应。随着网络系统的复杂化、高速化和大型化，系统的弱点或漏洞趋向分布式， 于是美国普度大学安全研究小组提出了基于主体的入侵检测系统。主要是采用相 互独立运行的进程组( 称为自治主体) 负责相应检测工作，通过训练主体，同时 观察系统的行为，将这些主体认为是异常的行为打上标记，并将检测结果输送到 检测中心。另外，s s t a n i f o r d 等人提出了c i d f ( c o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k l 。目前c i d f 正在开发和讨论中，有可能成为入侵检测系统的标准【”】。 图2 2 展示了入侵检测的系统模型 图2 2 入侵检测的系统模型 入侵检测系统通用框架【” 将一个入侵检测系统分为以下几个组件： 1 ) 事件产生器e ( e v e n tg e n e r a t o r s ) 事件产生器e 的目的是从系统中获得事件。 2 ) 事件分析器a ( e v e n ta n a l y z e r s ) 事件分析器分析a 分析得到的数据，并产生分析结果。 6 硕士学位论文 3 ) 响应单元r ( r e s p o n s eu n i t e ) 响应单元r 则是对分析结果作出反应的功能单元，它可以作出切断连接或改 变文件属性等强烈反应，也可以只是简单的报警。 4 ) 事件数据库d ( e v e n td a t a b a s e ) 事件数据库d 是存放各种中间和最终数据的地方的统称，它可以是复杂的数 据库，也可以是简单的文本文件。 2 4 国内外研究现状 2 4 1 国外研究现状 目前美国是国际上入侵检测的研究主要集中地，有许多研究项目得到政府和 军方的支持，并在实际环境中广泛地以应用1 4 】，而且还有大量的商用入侵检测 工具如n f r 公司( n e t w o r kf l i g h tr e c o r d e r ，i n c ) 的入侵检测系统一i d a ( i n t r u s i o n d e t e c t i o n a p p l i a n c e ) 等。国际上对入侵检测系统的标准化工作己经开始起步。以 下从基于网络和基于主机的入侵检测系统两方面来探讨国内外研究状况。 基于网络的入侵检测系统 基于网络的i d s 在技术实现上是把网卡设为混杂模式，截获并监听流经此网 段的所有数据包，提取其特征并与知识库或正常行为模型相比较，以分析可疑现 象，达到检测目的，通常根据网络流量、协议分析和网络管理信息等数据进行入 侵识别与检测。 从研究与发展历程来看，基于网络的入侵检测系统从总体上历经了三个阶段 的发展： 、 第一阶段：监视某一予网的主机信息。 第二阶段：监视整个网络信息。 第三阶段：大型网络入侵检测系统。 第一阶段中，网络的迅速发展使得传统的i d s 例如i d e s 【”1 等被扩展成具有可 以监视一个子网上的多个主机的能力。它们通过从多个被监视主机上采集信息， 然后传输到一个中央控制台处理，这些所谓的分布式入侵检测系统是对最初基于 单一主机检测方法的扩展，基于此类型的i d s 系统主要有n i d e s i 、n s t a 和 a a f i d 。 a n i d e s 系统【1 6 1 n i d e s 的设计目标是实时地检测计算机系统的可疑或者入侵行为。系统从一 个或者多个计算机系统收集反应系统不同方面活动情况的审计数据，采用统计分 析和基于规则的分析手段对这些审计数据进行连续分析，然后对分析结果进行解 析，再送往安全管理员接口以显示和分析。 7 基于n p 的高速网络入侵检测分流器的设计与实现 b n s t a 系统i ”】 n s t a 是第二代s t a i 系统，主要侧重关注网络系统中的主机，它使用客户 服务器结构，客户端有两个线程，一个用来读取并过滤日志末端记录，另一个将 读取的内容以n s t a i 定义的标准格式发送到服务器端；服务器端将不同客户端的 信息融合在一起形成统一的数据流并且执行分析功能。这一方面可以减少对各个 主机性能的影响，另一方面也适合于检测针对多个主机的攻击行为。 c a a f i d 系统i ”1 a a f i d 由普渡大学开发，系统包含四个组件：监视器、收发器、过滤器、代 理。一个a a f i d 系统可以分布在网络的多个主机上。每台主机上可以运行任意多 个数目的代理，分别监视各个主机上感兴趣的信息。主机上的所有代理将其发现 发向该主机上唯一的收发器，收发器将自身汇总的数据报告给一个或多个监视 器。每个监视器管理着多个收发器的运行，监视器可以看到整个网络范围的数据， 因此它可以进行高层次的相关性检查，进而检测到与多台主机相关的入侵；也可 以将多台监视器按照层次进行组织，这样可以提供数据冗余，避免单点故障。 a a f i d 的精髓思想是其代理系统，每个代理都独立运行，收集本身感兴趣的信息 并向上汇报，代理本身也可以对数据进行处理和判断。a a f i d 是第一个真正意义 上的分布式体系结构的入侵检测系统。 第二阶段是面向网络的i d s ，这从另外一个角度上解释了分布式的概念：将 侧重点从以计算为主的基础设施( 主机及其操作系统) 转到以通信为主的基础设 施上( 网络及通信协议) ，系统特点是使用网络作为与安全相关的信息源。类似这 样的系统有c a l i f o m i a 大学d a v i s 分校开发的n s m i ，由n s m 系统的迸一步延伸发 展而来的d i d s 以及为l o sa l a m o s 国家实验室集成计算网络设计的误用检测系统 n a d i r 。 到了第三阶段，出于面对大型的网络协同攻击防范的需要，基于网络的i d s 的目标已经被扩大到针对拥有上千台主机的大型复杂的网络环境，而不仅仅是一 个局域网。以此为目标而构建的系统有n e t r a n g e r 、g r i d s 、e m e r l d 、n e t s t a t 、 c a r d s 、j i n a o e 。n e t r a n g e r 是工业产品，在后面介绍。表2 1 对后五种系统简介 如下。 表2 1 五种基于网络的入侵检测系统的比较 系统名称开发者简介 gr i 】) s f l 9 】u cd a v i s 针对有几千台主机的t c p i p 大型网络检测大范 围的网络攻击行为。该系统把本地基于主机和基 于网络的入侵检测系统结合为一个图的结构，图 的分析形式可以体现出攻击之间的关联信息。 g r i d s 的设计和实现，为解决绝大多数入侵系统 硕士学位论文 的伸缩性不足提出了一条途径，其设计特点代表 了当前网络入侵检测系统的发展趋势，使得对大 规模自动或协同攻击的检测更为便利 e m e r l d l 2 0 ls r i 旨在检测大型网络的攻击行为并且侧熏于系统 的可扩展性。系统采用了层次化的结构体系，将 大型网络划分为若干个相互独立的管理域，每个 域提供不同的服务，不同域之间包含不同的信任 关系，有效的实现了检测任务的分布化，体现了 系统的可扩展性。另外，e m e r l d 同时采用了误 用检测和异常检测技术 n e t s t a t 【2 1 1u c s b 系统由一系列探测器组成，每个探测器负责一个 子网段的检测和分析任务，包含可以远程配置的 数据过滤器、推理引擎和决策引擎，所有探铡器 都以自治的方式独立工作。探测器由位于系统上 层的分析器负责产生和管理，分析器包括网络状 态描述库、基于状态的入侵规则库、分析引擎和 配置信息生成器。探测器之间可以协同工作，通 过互相发送特定事件信号的方法来彼此协助收集 和分析相关数据，从而获得有关某攻击的全面信 息。来完成检测工作 c a r d s 2 2 】 g e o r g e使用了基于特征的模型来解决网络协同攻击问 m a s o n 大学题。由特征管理器、监视器和目录服务组成，系 统使用日志独立、结构化格式来建立己知攻击模 式模型并来表征底层的日志或网络流量信息，系 统采用分布式分析和检测机制，以避免单点失效 问题 j i n a o由d a r 队旨在保护网络基础设施本身而不是保护网络中 发起的，现 的主机。威胁模型假定网络中的某个路由器由于 在成为一 受到攻击而不能正常工作。为了发现那些由系统 个合作研内部或外部发起的针对网络基础设施的攻击，并 究项目由 且具备可扩展性，可以和其他入侵检测系统协同 m c n c 和北工作，系统对路由器之间的通信协议采用o s p f 卡罗莱纳协议做了假设。j i n a o 系统在研究方法上，分别建 州大学共 立了误用检测模型、异常检测模型和基于协议的 9 基十n p 的高速网络入侵检测分流器的设汁与实现 i 同开发i 检测模型 基于主机的入侵检测系统 基于主机的入侵检测系统被设计用来监视、检测某一给定计算机系统或用 户，通过监视与分析主机系统的审计记录、系统同志、进程行为等来检测入侵行 为，通常在受保护的主机上安装专门的检测代理，来分析系统同志和审计记录。 主机型i d s 因为具有监视各个用户活动和本机文件访问信息的能力，因此最适合 用来检测系统内部威胁。 下面给出具有代表性的六种基于主机的入侵检测系统的对比 表2 2 六种基于主机的入侵检测系统比较 系统名称开发者简介 h a v s t a c k 【2 3 】美国空军 用来检测u n i s y s1 1 0 0 2 2 0 0 。系统采用了两种检 测手段，第一种是基于统计的误用检测，分析用 户会话与入侵模式的吻合程度；第二种是基于统 计的异常检测，检测用户行为模式与正常行为模 式之间的偏离度 i d e s 【2 4 】s r i 它使用了复杂的统计分析方法和专家系统方法 来检测异常活动，其专家系统组件是包含了描述 可以行为的规则，这些规则建立在有关已知的入 侵行为知识、己知的系统漏洞以及特定的安全策 略基础之上。i d e s 系统维护一个由行为模式组成 的统计知识库，每个模式采用一系列度量来表示 特定用户的正常行为，模式所包含的各个向量每 天都以指数因子方式衰减，同时将新的用户行为 所产生的审计数据嵌入到知识库中，计算出新的 模式向量 c o m p u t e r a t & t 使用专家系统方法来对安全敏感性事件进行总 w a t c h 【2 5 】 结摘要并且应用规则集来检测异常行为。它根据 一组描述正常使用策略的规则来检查用户行为， 并且标记那些不符合可接受模式的行为 c o m p u t e r w a t c h 在s c ou n i x 系统中周期性使用， 试图建立已经发生的系统活动摘要并且报告给系 统，然后系统决定哪些活动类型要进一步研究， 并且能够使用审计跟踪数据库对特定用户的活动 讲行审查 l o 硕士学位论文 d i s c o v e r v 【2 6 lt r w是一个用来检查对信用卡数据库非授权访问的 系统，该系统在本质上是一个在输入数据中寻找 特定模式的统计推理系统，旨在检测那些非授权 用户的访问、授权用户的非授权行为和不合理的 交易 w & s 【2 7 】 美国l o s是一个检测用户行为统计异常的异常检测系统。 a l a m o s 国 首先基于在给定时间段内用户行为记录来构建一 家实验室组描述用户正常行为的规则，之后将当前行为与 之比较来检测是否有不一致的行为口系统同时提 供系统级和应用级的行为特征提取功能。规则库 的产生有两种方式：手工输入或根据历史审计数 据自动产生，其中后者是将审计记录中特定的数 值标记为不同的类型，分别与不同的规则和操作 相关。通过对历史审计数据的类型检查，以规则 方式表示行为模式 m u s i gg e o r g e 使用高层语言来描述抽象的误用特征，希望以此 m a s o n 大学来克服传统误用检测在特征表述上的弱点：有限 的安全信息的表达力、难于使用、误用检测算法是静态的而 系统中心不适合环境变更。因为使用高层语言，m u s i g 可以 以一种简单的形式来表达入侵特征并且具有很强 的表达能力，另外允许安全管理人员增删系统指 令来改变检测程序的行为，这在很大程度上增强 了误用检测系统的适应性 现在比较成熟的国外产品介绍： 1 ) c i s c o 公司的n e t r a n g e r 1 9 9 6 年3 月，w h e e l g r o u p 基于多年的业界经验推出了n e t r a n g e r 。其最大的特 点是它将入侵检测技术集成到c i s c o 的系列路由器中，是当前性能最好的i d s 之 一。n e t r a n g e f 的一个强项是在其检测问题时不仅观测单个包的内容，而且还看 上下文，即从多个包中得到线索。这是很重要的一点，因为入侵者可能以字符模 式存取一个端口，然后在每个包中只放一个字符。如果一个监测器只观察单个包， 它就永远不会发现完整的消息。缺点是依赖0 p e n v i e w 平台，这在一定程度上影 响了它的灵活性产品分为两部分：检测网络包和发告警的传感器，以及接收并分 析告警消息和启动对策的控制器。 2 )i n t r u s i o nd e t e c t i o n 公司的k a n es e c u r i t vm o n i t o r 基于主机的k a n es e c u r i t ym o n i t o r ( k s m ) f o r n t 是1 9 9 7 年9 月推出的。它在结 基于n p 的岛速网络入侵检测舟流器的设计与实现 构上由三部分组成，即一个审计器、一个控制台和代理。代理用来浏览n t 的日 志并将统计结果送往审计器。系统安全员用控制台的g u i 界面来接收告警、查看 历史记录以及系统的实时行为。k s m 在t c p ，i p 检测方面特别强，但是i n t r u s i o n d e t e c “o n 的产品不是为较快的广域网设计的。 3 ) n e t w o r ks e c u r i t yw i z a r d s 公司的d r a g o ni d s n e t w o r ks e c u r i t yw i z a r d s 是一家新进入1 d s 市场的公司。d r a g o n 能够处理碎 片重组，是碎片攻击的克星。不仅能够无错地重组碎片，而且即使当网络占用率 达到7 0 8 0 时仍然性能不减。n s w 声称它在d r a g o n 中部署了许多功能盒，这 些功能盒能够以1 3 0 m b p s 的速率运行。不幸的是，d r a g o n 在易于使用和事件可管 理性方面完全失败。 4 1i s s 公司的r e a l s e c u r e 是集成化i d s 的典范。现在采取的基于主机、基于网络和这两种检测技术集 成起来的三种入侵检测产品中，只有i s s 的最新产品r e a l s e c u r e3 2 目前做到了这 两种检测技术的完美集成。r e a l s e c u r e 最大的不足在于它无法重组破碎的封包， 这是一个较严重的缺陷。它还缺乏对管理控制台事件窗口中全部事件的清除功 能。 5 ) n a i 公司的c y b e r c o pn e t w o r k 结合了s n i f e r 强大的网络分析能力和w h e e lg r o u pn e t r a n g e r 领先的攻击识别 能力。对网络系统进行保护时具有实时安全，自动攻击识别，安全加密，证据跟 踪文件等特点。 6 ) n f ri n t r u s i o nd e t e c t i o na p p l i a n c e4 o n f r 是提出开放源代码概念的唯一i d s 厂商，这是它能够不断普及的最重要 原因。n f r 除了提供入侵检测功能以外，n f r 还允许用户收集通过网络的t c l n e t 、 f t p 和w 曲数据。但是，n f r 一直缺乏一个可靠的签名集。 7 、c e n t r a x2 2 c e n t r a x 提供了三种类型的客户端：一个批处理器、一个实时主机检查器和 一个实时网络检查器，并使用传感器，控制台方法。c e n t r a x 相当棒的地方是它能 够进行大范围的主机内容检查，包括失败的登录、修改的系统文件和注册设置等。 然而，c e m r a x 基于网络的检测功能要弱得多。c e n t r a x 网络传感器预先定义的攻 击签名只有约5 0 个。 2 4 2 国内研究现状 国内的入侵检测研究工作开展较晚，目前也有许多学者在入侵检测技术做了 一些研究。科研界研究工作主要集中在中科院信息安全国家重点实验室、北京大 学、北京邮电大学、武汉大学等，目前从发表的文献来看主要以研究综述2 昏2 9 1 、 硕士学位论文 提出系统框架或体系结构。3 1 1 等居多，对于入侵检测模型生成算法的研究较少， 并且从总体上讲，研究人员在入侵检测研究方法的选择上并没有超出国际上已经 提出的方法范畴。商业产品在研究方法上仍然以误用检测为主，在系统结构上