（计算机应用技术专业论文）网络入侵检测系统的研究与设计.pdf

网络入侵检测系统的研究与设计 摘要 互联网的开放性为信息共享和交互提供了极大地便利，但随之而来的网络 安全问题也日益严峻入侵检测作为一种主动的信息安全保障措施，有效地弥 补了传统安全防护技术的缺陷。入侵检测是继防火墙、数据加密等传统的安全 保护措施后的新一代网络安全保障技术，它对计算机和网络资源的恶意使用行 为进行识别和响应，不仅可以检测来自外部的入侵行为，也可监督内部用户的 未授权的活动。通过对网络上的数据流进行实时分析，可以发现潜在的入侵威 胁，最大限度地提高系统的安全保障能力，降低入侵对系统造成的危害。随着 网络规模的不断扩大和入侵手段的不断更新，对入侵检测技术也提出了更高的 要求。 本文在研究国内外现有的入侵检测技术发展现状及发展方向的基础上，提 出模式匹配和协议分析技术相结合的思想。在深入研究入侵检测系统常用的模 式匹配方法的基础上，提出了改进的模式匹配算法( n f m s a ) ；将新一代的协议 分析方法应用到网络入侵检测系统( n i d s ) 中，结合误用检测和异常检测，给出 基于模式匹配和协议分析的网络入侵检测系统模型和设计过程。最后，通过实 验证明系统具有较高的检测率、检测效率和可用性。 本文所做的主要工作和新的见解如下： 详细论述了网络安全状况，阐述了入侵检测技术的现状和不足 阐述了入侵检测系统的定义、分类、工作原理和发展方向。 研究了几种经典模式匹配算法，在总结各算法优点的基础上，提出高效、 快速多模式匹配算法，提高系统检测的全面性、准确性和检测效率。 在对t c p i p 协议原理进行分析和研究基础上，把模式匹配技术和协议 分析技术结合起来，建立入侵检测系统框架。 将简单协议分析技术和状态协议分析技术结合在一起，利用网络协议高 度规则性，快速探测攻击的存在。 设计了入侵检测系统原型，对系统部分模块进行测试，并对实验结果进 行了分析。 关键词：入侵检测模式匹配协议分析 s t u d ya n dd e s i g no fn e t w o r k i n t r u s i o nd e t e c t i o ns y s t e m a b s t r a c t t h eo p e n n e s so fi n t e r n e to f f e r sg r e a tc o n v e n i e n c eo fi n f o r m a t i o ns h a r i n ga n d e x c h a n g e ，a c c o m p a n i e dw i t hc r u c i a lc h a l l e n g e st oi n f o r m a t i o ns e c u r i t y a sak i n d o fa c t i v em e a s u r eo fi n f o r m a t i o na s s u r a n c e ，i n t r u s i o nd e t e c t i o na c t sa st h ee f f e c t i v e c o m p l e m e n tt ot r a d i t i o n a lp r o t e c t i o nt e c h n i q u e s i n t r u s i o nd e t e c t i o ns y s t e mi sn e w g e n e r a t i o no fs a f e t yp r o t e c t i o nt e c h n o l o g ya f t e rf i r e w a l l ，d a t ae n c r y p t i o ns e c u r i t y i tc a r r i e so nt h er e c o g n i t i o na n dt h er e s p o n s et ot h em a l i c i o u su s eb e h a v i o ro ft h e c o m p u t e ra n d 也en e t w o r kr e s o u r c e s ，n o to n l yf r o mt h ee x t e r i o r ，b u ta l s of r o mt h e i n t e m a l b yr e a l t i m ea n a l y z i n gn e t w o r kd a t ap a c k a g e s ，n e t w o r ki n t r u s i o n d e t e c t i o ns y s t e mc a nd e t e c tl a t e n c yi n t r u s i o n ；g r e a t l yc o n t r i b u t et oi m p r o v i n gt h e a s s u r a n c ea b i l i t yo fi n f o r m a t i o ns y s t e m sa n dr e d u c i n gt h ee x t e n to fs e c u r i t yt h r e a t s h o w e v e r ，t h ei n c r e a s i n ge x p a n s i o no ft h en e t w o r ks c a l ea n dt h ei n c r e a s i n gr e n e w a l o ft h ei n t r n s i o nm e t h o dr e q u i r ei n t r u s i o nd e t e c t i o ns y s t e mw i t hh i g h e rq u a l i t y b a s e do nt h er e s e a r c ho fi d sd e v e l o p i n gs t a t u sa n dd i r e c t i o na th o m ea n d a b r o a d ，t h ea u t h o rp u t sf o r w a r dt h ei d e at h a tp a t t e r nm a t c h i n gc o m b i n e sw i t ht h e t e c h n o l o g yo fp r o t o c o la n a l y s i s t h e n ，a f t e rd e e p l yh a v i n gas t u d yo nc o m m o n p a t t e r nm a t c h i n gm e t h o d so fi d s ，t h ea u t h o rb r i n g sf o r w a r da ni m p r o v e dp a t t e r n m a t c h i n ga l g o r i t h m - n f m s a ，i n t r o d u c e st h em e t h o do fl a t e s tp r o t o c o la n a l y s i st o t h en e t w o r ki n t r u s i o nd e t e c t i o ns y s t e ms ot h a tm i s u s ed e t e c t i o nc a nb ei n t e g r a t e d w i t ha n o m a l yd e t e c t i o n ，a n dd e t a i l e d l ys e t sf o r t ht h em o d e la n dd e s i g np r o c e s so f n e t w o r ki n t r u s i o nd e t e c t i o n s y s t e mb a s e d o n p a t t e r nm a t c h i n g a n d p r o t o c o l a n a l y s i s f i n a l l y , t h es y s t e mi sp r o v e dt oh a v eu s a b i l i t ya n dh i g he f f i c a c ya n d e f f i c i e n c yo fd e t e c t i o nw i t he x p e r i m e n t t h em a i nw o r ka n dn o v e li d e a so ft h et h e s i sa g es h o w e da sf o l l o w i n g ： t h ed e t a i l e dd e s c r i p t i o no fn e t w o r ks a f e t ys t a t u sa n di d s ss i t u a t i o n sa n d d e f e c t i o n s t h ed e t a i l e ds u r v e yo fd e f i n i t i o n ，c l a s s i f i c a t i o n ，p r i n c i p l e ，d i r e c t i o n so f i n t r u s i o nd e t e c t i o ns y s t e m b a s e do nt h ed e e p l ys t u d yt y p i c a lp a t t e r nm a t c h i n gm e t h o d so fi d s ，t h ea u t h o r p u t s f o r w a r d m u l t i p a t t e r nm a t c h i n ga l g o r i t h m ，i m p r o v i n gs y s t e m c o m p l e t e m e n t ，d e t e c t i o ne f f i c a c ya n de f f i c i e n c y b a s e do nr e s e a r c ho ft h ep r i n c i p l eo ft c p i pp r o t o c o la n a l y s i s 。t h ea u t h o r c o n s t r u c t si n t r u s i o nd e t e c t i o ns y s t e mf r a m ew i t hc o m b i n a t i o no ft h e t e c h n o l o g yo fp a t t e r nm a t c h i n ga n dp r o t o c o la n a l y s i s c o m b i n e dt h es i m p l ep r o t o c o la n a l y s i st e c h n o l o g yw i t hs t a t e f u lp r o t o c o l a n a l y z e dt e c h n o l o g y , i n t r u s i o nd e t e c t i o ns y s t e mc a nd e t e c te x i s t i n ga t t a c k s h i g hs p e e d l y t h e d e s i g na n dd e v e l o p m e n to fi n t r u s i o nd e t e c t i o ns y s t e mp r o t o t y p es y s t e m ， t e s t i n gp a r t so fs y s t e mm o d u l e sa n da n a l y s i st h er e s u l to fe x p e r i m e n t s k e y w o r d s ：i n t r u s i o nd e t e c t i o n ；p a t t e r nm a t c h i n g ；p r o t o c o la n a l y s i s ； 插图清单 图2 1p 2 d r 模型9 图3 1 基于网络入侵检测系统模型1 1 图3 2 误用入侵检测系统模型1 2 图3 3 通用入侵检铡系统模型1 3 图3 4 入侵检测系统结构1 4 图3 5c i d f 结构图1 5 图4 1 模式树2 0 图4 2 模式构成的规则树2 2 图4 1 3n f m s a 算法坏字符移动( x 不含d ) 2 3 图4 4n f m s a 算法坏字符移动( x 含d ) 2 3 图4 5n f m s a 算法好字符移动( x t 含v ) 2 4 图4 6n f m s a 算法好字符移动( x 含有v ”) 2 4 图4 7b m 、a c b m 与n f m s a 计算时间比较。2 6 图5 1t c p m 协议与o s i 七层模型对应关系图2 7 图5 2 礤数据包的格式。2 8 图5 3t c p 数据包格式。2 9 图5 4u d p 数据包格式3 0 图5 5i c m p 数据包格式3 0 图5 6 以太网数据包的传输过程。3 0 图5 7 数据包封装与分解过程3 2 图5 8 协议树。3 3 图5 9 协议树的结构3 4 图5 1 0 捕获的数据包3 5 图5 1 l 协议分析流程3 6 图5 1 2t c p 连接建立状态转换图3 9 图6 1 网络入侵检测检测原理图4 l 图6 2 系统总体结构。4 3 图6 3 规则树的层次结构5 l 图6 4 规则语法树的结构。5 3 图7 1 无内容规则数与匹配时间关系6 0 图7 2 有内容规则数与匹配时间关系。6 l 图7 3 基于无内容数据包与匹配时间关系。6 l 图7 4 基于有内容数据包与匹配时间关系。6 2 表格清单 表4 1b m 、a c - b m 和n f m s a 算法数据包平均检测时间2 6 表5 1 协议字段对照表。2 9 表5 2m l ，s ，81 4 0 表6 1 规则选项表。5 0 表7 1 无内容规则数与匹配时间关系5 9 表7 2 有内容规则数与匹配时间关系6 0 表7 3 基于无内容规贝u 条件下数据包数与匹配时间。6 l 表7 4 基于内容规则条件下数据包数与匹配时间。6 l 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果 据我所知，除了文中特别加以标志和致谢的地方外，论文中不包含其他人已经发表或撰 写过的研究成果，也不包含为获得 盒醒王业右堂 或其他教育机构的学位或证书而使 用过的材料与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说 明并表示谢意 学位论文作者签字；多彳唾正签字日期：0 7 年月f 易日 学位论文版权使用授权书 本学位论文作者完全了解 金胆王些盔堂 有关保留，使用学位论文的规定，有权 保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅或借阅本人 授权 金肥王业太堂 可以将学位论文的全部或部分论文内容编入有关数据库进行检 索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文 ( 保密的学位论文在解密后适用本授权书) 学位论文者签名： 涨正 签字聃。眵年多月驴日 学位论文作者毕业后去向： 工作单位： 通讯地址： 导师签名： 狮以 签字日期p 7 年月r 跏 电话： 邮编： 致谢 这篇论文能够顺利完成，首先要感谢导师欧阳老师的精心指导和耐心帮 助。在就读研究生的期间，欧阳老师给与我许多学业上的指导和生活上的关心， 我取得的一切成绩离不开导师的教导，在此表示真诚地感谢和衷心地祝愿导 师务实的作风，严谨的治学态度，勤奋的研究精神，使我受益匪浅。 感谢计算机与信息学院各位老师对本论文提出的宝贵意见和指导，感谢合 肥工业大学给我提供的良好的学习条件 同时要感谢我的朋友、同事和同学们对我学业上和生活上的帮助，感谢他 们对我的支持和鼓励 感谢所有参考文献的作者们，他们的辛勤工作和成果给了本文工作以极大的 帮助和启发，衷心感谢为评阅本论文而付出辛勤劳动的各位专家和学者 最后，我要感谢我的家人，感谢他们为我完成学业而付出的辛苦，没有他们 就没有我的今天。他们的爱与信任是我继续奋斗的动力，在未来的日子里我将 继续努力工作，不辜负他们的期望。 作者：王德正 2 0 0 7 年5 月3 0 日 第一章绪论 1 1 研究背景 随着网络技术的迅速发展，网络逐渐成为社会基础设旌中最重要 的一部分目前，虽然网络安全的研究越来越得到重视，但是黑客入 侵事件每年均有递增的趋势 据统计，世界上平均每2 0 秒就有一起黑客入侵事件发生，美国9 0 的公司及政府机构曾遭到过黑客袭击，英国6 0 的在线公司曾被黑客 光顾从1 9 9 8 年的莫里斯蠕虫病毒导致i n t e r n e t 网络严重瘫痪以来， 黑客的攻击行为里上升趋势【i l 。1 9 9 8 年美国国防部的网站只受到5 8 4 4 次黑客攻击，1 9 9 9 年被攻击次数高达2 2 1 4 4 万次在国内，各种黑客 事件层出不穷。2 0 0 4 年1 0 月1 7 日，国内著名的杀毒软件厂商江民公 司的网站也被黑客攻破，页面内容被篡改 黑客入侵事件对计算机网络造成了巨大的损失2 0 0 0 年2 月7 9 日，美国雅虎等公司因黑客攻击造成的损失超过1 0 亿美元。据估计， 黑客使美国每年的经济损失超过l o o 亿美元；在德国，黑客造成的损 失也高达1 0 0 0 亿马克 2 1 。 网络安全的威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击 三个方面。其中，黑客入侵攻击在主机终端时代就出现了，随着网络 的发展，黑客攻击从以主机为主转变为以网络为主，造成的危害越来 越大计算机病毒和拒绝服务也给网络带来了很大的危害，严重影响 了网络和系统的正常运行 导致网络安全难以保障的原因有很多。首先，t c p i p 协议本身设 计的不完善，在设计时没有对网络的安全性作过多的考虑，导致网络 协议的先天不足【3 1 。其次，网络结构越来越复杂，很难进行全面的监控 和管理攻击者利用网络的便捷性，可以对任何地区发起攻击再次， 各种系统软件和应用软件变得越来越复杂，规模远远超过以前。根据 专家估计，平均每一千行代码中就隐含着4 5 个b u g ，无论是w i n d o w s 还是l i n u x 操作系统，都存在系统安全漏洞【4 1 最后，众多的黑客网站 不但提供了大量的系统缺陷信息及相应的攻击方法，而且还提供了大 量系统漏洞扫描工具和攻击工具攻击者利用这些工具，可以轻而易 举的攻入具有安全缺陷的系统 1 当然，现在许多入侵者的背景和目的 与以前黑客也有很大的不同，以前黑客的目的主要是以好奇心和好胜 心为主，现在的黑客则明显带有犯罪目的，背后是一些拥有足够系统 资源、具有入侵经验的竞争对手或其它非法组织。 目前，国内信息与网络安全的形势也非常严峻，有害信息、黑客 攻击、病毒危害、垃圾邮件、信息泄密一直困扰着网络用户和企业 在这种情况下，如何提高网络的安全性和可靠性，如何保护信息资源 的安全成为人们目前关心和研究的主要课题网络安全是一个系统的 概念，有效的安全策略或方案的制定是网络信息安全的首要目标一 个网络安全系统应该满足用户系统和数据的保密性、完整性及可用性 要求，设计安全措施来肪范未经授权访问系统的资源和数据，以上是 当前网络安全领域的一个十分重要而迫切的问题传统的安全技术虽 然可以在一定程度上有效地防范外来攻击者的破坏行为，但是对于授 权用户滥用权限的行为却无能为力。虽然可以通过防火墙的包过滤、 应用层网关及虚拟网技术来防止许多诸如协议漏洞、源路由、地址仿 冒等多种攻击手段，但它不能对付层出不穷的应用系统设计上的缺陷 和通过加密通道所进行的攻击。因此，仅通过访问控制技术、加密技 术、数字签名技术和防火墙技术是远远不够的，需要一种及时发现并 报告系统的非授权访问或异常现象的技术，即入侵检测( i d ，i n t r u s i o n d e t e c t i o n ) 。 1 2 入侵检测技术的国内和国外研究现状 1 2 1 国外研究现状 安全系统的目的是保护计算机系统或网络免受入侵者的攻击一 般而言，安全系统具有几个重要特性：机密性、完整性、可用性、有 责任性和正确性。 目前，许多国外商业网络安全公司推出了一系列的入侵检测产品 其中比较有名的有： ( 1 ) c i s c o 公司c i s c os e c u r ei d s 。该系统包括控制器、传感器和 检测模块。其中控制器负责整个系统的管理控制；传感器负责对网络 信息和主机信息进行采集和分析，然后把经过初步分析处理的数据交 给系统检测模块，由检测模块进行进一步的处理，从而判断是否发生 入侵行为c i s c o 公司产品的最大特点是它和硬件紧密结合，甚至有些 入侵检测系统是针对某种特定类型的交换机设计的 ( 2 ) i s s 公司的r e a ls e c u r e 系统该系统采用分布式体系结构，分 为传感器和管理器两层。其中管理器包括控制台、事件收集器、事件 数据库和告警数据库；传感器则包括网络传感器、系统传感器和服务 器传感器。r e a ls e c u r e 系统的特点是将攻击表示和攻击识别有机地结 合在一起，其智能攻击识别技术是当前i d s 系统中最为先进的系统 2 ( 3 ) n f r 公司的入侵检测系统n i d 。n i d 系统具有分布式的三层体 系结构，分别是网络传感器、管理界面和中央管理服务器。它是一个 可以扩展的通用系统工具，不仅可以进行入侵检测而且可以进行网 络流量监控。该系统是被动地监听网络，当检测到攻击行为时，发送 警报信息进行响应。n i d 系统采用n - c o d e 语言进行描述，用户可以根 据需要，对攻击标识进行修改和添加 1 2 2 国内研究现状 虽然我国的入侵检测产品发展时间不长，但速度很快截止到2 0 0 3 年5 月3 1 日，通过公安部计算机信息系统安全产品质量检验中心检测， 公安部1 1 局颁发销售许可证的i d s 产品就有6 3 个型号。其中千兆i d s 设备有3 项，它们分别是北京启明星辰信息技术有限公司的天阗千兆 入侵检测与预警系统v 5 5 ；成都信息系统有限公司的鹰眼千兆网络入 侵检测系统k i d s 1 0 0 0 和金诺网安公司的k i d s 入侵检测系统。 ( 1 ) 启明星晨的“天阗”黑客入侵检测与预警系统。该系统是以协 议分析技术为核心，并且吸取了成熟的模式匹配技术，同时采用了下 一代异常行为分析技术，能够准确检测出各种己知和未知的攻击行为， 具有全局性的网络安全管理能力，以及大规模监控响应能力。 ( 2 ) 三零盛安的鹰眼千兆网络入侵检测系统。该系统采用并接方式 接入千兆网络，通过共享方式对网络数据进行侦听，实时截获网络数 据流，识别和记录各种网络攻击行为。它能根据用户定义的响应策略， 采取相应的报警响应措施，切断攻击连接，并以s n m p 、t r a p 、m a i l 等方式及时将攻击信息通知用户管理员，实现入侵检测系统与防火墙 的联动。 ( 3 ) 中联绿盟的“冰之眼”网络入侵检测系统。“冰之眼”i d s 包括 网络探测器、主机探测器和控制台3 部分，采用分布式结构。“冰之眼” 网络探测器使用高效的协议分析引擎，具有完善的i p 分片处理和碎片 攻击检测能力。“冰之眼”主机探测器能够进行网络包过滤和文件访闯 控制，对攻击能实时的检测与阻断，并能够预防未知的攻击手段。 1 3 入侵检测技术发展方向 从总体上讲，目前除了完善常规的、传统的技术外，入侵检测系 统应重点加强与统计分析相关技术的研究，并提高分析引擎对高速网 络的实时检测能力许多学者开始研究新的检测方法，如采用自动代 理的主动防御方法，将免疫学原理应用到入侵检测等方法概括来说， 主要发展方向包括【斯】： ( 1 ) 高效、快速检测算法的研究 在入侵检测技术的发展过程中，新算法的出现，可以有效提高检 测的效率目前，计算机免疫技术，神经网络技术和遗传算法为当前 检测算法的改进注入了新的活力，但其检测效率与精确性还与实际应 用有一定差距因此，完善不成熟的检测分析算法，或是寻找新的检 测分析算法成为今后入侵检测系统研究工作的重点从某种意义上来 说，检测算法的有效性与实用性，决定了未来入侵检测系统在整个安 全防护领域中的地位 ( 2 ) 大规模分布式的检测技术 传统的集中式i d s ，明显不能适应异构系统以及大规模网络的检 测，需要分布式的入侵检测技术目前，正在研究的一些分布式入侵 检测系统，如e m e r a l d 、a a f i d 等实现了分布式的数据分析，但同 时也带来一些新的问题，如检测代理问的协作、代理间的通信等。因 此，分布式入侵检测系统，还有待于进一步地成熟。 ( 3 ) 宽带、高速、实时的检测技术 高速网络技术如a t m 、千兆以太网等相继出现，各种带宽接入手 段层出不穷。如何实现高速网络下的实时入侵检测，已经成为面临的 重要问题。目前的千兆i d s 产品，其性能指标与实际要求相差很远， 要提高其性能，需要考虑以下两个方面：首先，i d s 的软件结构和算法 需要重新设计，以期适应高速网的环境，提高运行速度和效率；其次。 随着高速网络技术的不断发展与成热，新的高速网络协议的设计和利 用，也必将成为未来发展的趋势。 ( 4 ) 数据挖掘技术 操作系统和应用程序的日益复杂，网络数据流量的急剧增加，导 致了审计数据以惊人速度剧增。如何在海量的审计数据中，提取出具 有代表性的系统特征模式，对程序和用户行为做出更精确的描述，这 些是实现入侵检测的关键。因此，寻找快速有效的数据挖掘算法，成 为了入侵检测系统的又一重大课题 1 4 入侵检测系统的研究意义与前景 虽然目前入侵检测技术还不够成熟，但入侵检测系统在未来的经 济发展、政治稳定、网络安全和军事战争中，将起着越来越重要的作 用在公司、企业中，它可以及时发现、阻拦入侵行为，保护公司、 企业信息和机密免受来自不满员工、黑客和竞争对手的威胁；在金融 领域中，支付网关、网上银行都需要入侵检测系统的保护；在政治上， 它可以有效地保障网络系免受敌对国家黑客和反动组织的控制，充分 发挥舆论监控作用；在军事上，它对保障国家安全起着不可替代的作 用，能有效防止敌对国家的破坏活动：在科研单位、电予商务系统等 领域中，都需要有i d s 的保护；此外，i d s 在无线网络方面也有广阔的 应用前景。 1 5 论文的组织结构 本文是按照下面的结构进行组织论述的： 第一章“绪论”绪论部分首先在分析安全现状的情况下，引入入 侵检测；然后详细介绍了入侵检测概念、发展、国内外研究现状、不 足和发展方向；指出入侵检测系统的研究意义与前景，给出本论文的 组织结构 第二章“网络安全概述”。本章主要介绍了网络安全有关的知识， 包括网络安全的定义、网络安全的不安全因素、网络安全的策略、网 络安全模型等。 第三章“入侵检测概述”。本章主要介绍了入侵检测系统的检测原 理，分类、入侵检测系统的标准化等。 第四章“模式匹配算法的研究与改进”本章在分析经典的模式 匹配算法基础上，提出了一种新的快速多模式匹配算法( n f m s ) ，介绍 了该算法的设计与实现，并将其应用于网络入侵检测系统 第五章“协议分析技术原理及其规则设计”本章主要介绍了简单 协议分析检测方法和状态协议分析检测方法，规则的设计与实现：最 后，介绍了对主要入侵方式的状态协议分析检测模块的实现。 第六章“系统分析与设计”本章主要讨论了网络入侵检测系统 的各种功能，结合模式匹配和协议分析方法，设计了一个基于模式匹 配和协议分析的网络入侵检测系统的总体结构，并详细介绍部分功能 模块的实现原理与设计 第七章“系统功能测试”。以入侵检测系统的评价标准为基础， 对系统进行了详细、全面的测试，并对实验结果进行了分析。 总结与展望总结了论文中的主要工作，并提出了进一步的研究 方向。 第二章网络安全概述 建立网络的目的在于资源共享和信息的交流，但是这样做就存在 着安全问题网络的安全程度，在某种意义上可以理解为该网络被攻 击的可能性人们通常总是设法保护装有宝贵信息的计算机，然而网 络安全的强弱程度，只取决于网络中的最弱连接安全的强弱程度黑 客入侵大都寻找网络中未受保护的计算机，利用它们跳到具有重要信 息的计算机上。寻找网络中的薄弱环节和安全漏洞，这是每个系统管 理员都必须要做的事情。 网络是动态的，黑客利用不断发现的网络和系统安全的漏洞，采 用各种新的攻击手段，安全策略应该适应这种情况管理员通过各种 安全技术，不断地检测、监控网络和系统，发现新的威胁和弱点，通 过一个循环反馈，及时制定有效的安全策略，以便在黑客攻击之前进 行安全防护 2 1 网络安全的定义及特征 国际标准化组织( i s o ) 对计算机系统安全的定义是：为数据处理系 统建立而采用的技术和管理的安全保护，保护计算机硬件、软件和数 据不因偶然或恶意的事件而遭到破坏、更改和泄露由此，可以将计 算机网络的安全理解为：通过采用各种技术和管理措施，使网络系统 正常运行，从而确保网络数据的可用性、完整性和保密性所以，建 立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发 生增加、修改、丢失和泄露等 网络安全应该具有以下五方面的特征： ( 1 ) 保密性：信息不泄露给非授权用户、实体或过程，或供其利用 ( 2 ) 完整性：数据未经授权不能进行改变的特性信息在存储或传 输过程中，保持不被修改、不被破坏或丢失的特性 ( 3 ) 可用性：可被授权实体访问并按需使用的特性网络环境下的 拒绝服务攻击、破坏网络和有关系统的正常运行等都属于对可用性的 攻击 ( 4 ) 可控性：对信息的传播及内容具有控制能力 ( 5 ) 可审查性：对出现的网络安全问题提供调查的依据或手段 6 2 2 系统的安全级别 在2 0 世纪7 0 年代，d a v i db e l l 和l e o n a r dl ap a d u a 开发了一个安 全计算机的操作模型，该模型是基于政府概念的各种级别分类信息( 一 般、秘密、机密、绝密) 和各种许可级别如果主体的许可级别高于文 件( 客体) 的分类级别，则主体能访问客体；如果主体的许可级别低于 文件( 客体) 的分类级别，则主体不能访问客体该模型取得了进一步地 发展，1 9 8 3 年，美国国防部推出了5 2 0 0 2 8 标准一可信计算机评估准 则( t h et r u s t e dc o m p u t i n gs y s t e me v a l u a t i o nc r i t e r i a ，t c s e c ) ，即桔皮 书 t c s e c 共分为如下四类等级：d 级，安全保护欠缺级；c l 级，自 主安全保护级；c 2 级，受控存取保护级；b 1 级，标记安全保护级；b 2 级，结构化保护级；b 3 级，安全域保护级；a l 级，验证设计级 欧洲四国( 荷兰、法国、英国、德国) 在吸收了t c s e c 的成功经验 的基础上，于1 9 8 9 年联合提出了信息技术安全评估准则( i n f o r m a t i o n t e c h n o l o g ys e c u r i t ye v a l u a t i o nc r i t e r i a 。i t s e c ) ，俗称白皮书首次 提出了信息安全的机密性、完整性、可用性的概念，把可信计算机的 概念提高到可信信息技术的高度 我国国家质量技术监督局于也于1 9 9 9 年发布了计算机信息系统安 全保护等级划分原则( c l a s s i f i e dc r i t e r i a f o rs e c u r i t yp r o t e c t i o no f c o m p u t e ri n f o r m a t i o ns y s t e m ) g b l 7 8 5 1 9 9 9 2 3 网络的不安全因素 网络的不安全因素有很多，比如网络协议的自身缺陷、计算机操 作系统本身漏洞、管理员没有对防火墙等安全设备进行很好的配置、 网络所面临的各种威胁等等 网络不安全的主要因素有下面几个方面： 操作系统的缺陷 操作系统的安全是网络安全的核心操作系统结构体系本身有很 多缺陷，操作系统的程序是可以动态连接的，i o 驱动程序与系统服务 都可以用打补丁的方式进行动态链接，而打补丁的方式很容易被黑客 利用一个靠打补丁改进与升级的操作系统是不可能从根本上解决问 题的。现在，操作系统一般都提供了强大的网络功能用户在使用时， 必须了解这些功能并进行正确的配置；否则，这些功能反而可能成为 被黑客利用的极大的“后门” t c p i p 协议的网络提供的f t p 、e m a i l 、r p c 和n f s 存在着 许多漏洞，包含很多不安全因素。某些协议经常运行一些无关的程序； 7 某些系统会打开与应用程序无关的端口。 数据库管理系统的安全缺陷 数据库管理系统的安全必须是和操作系统的安全相配套的如果 操作系统的安全级别是b 2 级，那么d b m s 的安全级别也应该是b 2 级 然而，在现实的使用中，数据库系统在安全方面考虑的很少 缺少安全管理 现在，多数系统还缺少安全管理员，缺乏安全管理的技术规范， 没有定期的安全测试与检查，没有安全监控目前，仍然有很多系统 管理员与用户的注册还处于缺省状态许多系统可以说是真正的“开 放系统” 2 4 网络安全的策略 网络安全的策略主要有以下几个方面 ”： ( 1 ) 物理安全策略 实施物理安全策略的目的是保护计算机系统、网络服务器，通信 链路免受自然灾害、人为破坏和搭线攻击。可采用的策略为：验证用 户的身份和使用权限，防止其越权操作；确保计算机系统有一个良好 的电磁兼容工作环境；建立完善的安全管理制度，防止非法进入计算 机控制室和各种偷窃、破坏活动的发生 ( 2 ) 访问控制策略 访问控制的主要任务是保证网络资源不被非法使用和非法访问， 是网络安全防范和保护的主要策略访问控制主要包括入网访问控制、 网络的权限控制、目录级安全控制、网络端点和节点的安全控制、防 火墙控制、网络检测和锁定控制等。 ( 3 ) 信息加密策略 信息用加密算法进行加密信息加密的目的是保护网内数据、文 件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有： 链路加密、端点加密和节点加密三种。据不完全统计，到目前为止， 已经公开的加密算法多达数百种根据收发双方使用的密钥是否相同， 密码技术分为对称密码( 或单钥密码) 技术和非对称密码( 或双钥密码或 公钥密码) 技术在对称密码技术中，其加密密钥和解密密钥相同，而 非对称密码技术中加密和解密的密钥是不相同的。 ( 4 ) 管理策略 加强网络的安全管理，制定有关规章制度，才能确保网络能够安 全有效的运行。 s 2 5 动态网络安全模型 针对日益严重的网络安全问题和越来越突出的安全需求，“可适应 网络安全模型”和“动态安全模型”应运而生如图2 1 所示 图2 1p 2 d r 模型 p 2 d r 模型的基本描述如下： 安全= 风险分析+ 执行策略+ 系统实施+ 漏洞检测+ 实时监控。 p 2 d r 模型包含4 个主要部分： 安全策略( p o l i c y ) ：策略是模型的核心内容策略规定了系统所要 达到的安全目标，为达到目标采取的各种安全措施，以及安全措施的实 施强度等，安全策略必须按需求而制定。 防护( p r o t e c t i o n ) ：制定安全管理的规则，进行系统的安全配置， 安装各种防护设备等。 检测( d e t e c t i o n ) ：在采取安全措施后，根据系统运行的变化，对 系统进行动态监控。 响应( r e s p o n s e ) ：发现入侵后，及时响应并采取一定的措施处理 一般包括：记录入侵行为、通知管理员、切断网络等措施 p 2 d r 模型是在整体的安全策略( p o l i c y ) 的控制和指导下，在综合 运用防护工具( p r o t e c t i o n ，如防火墙、操作系统身份认证、加密等手段) 的同时，利用检测工具( d e t e c t i o n ，如漏洞评估、入侵检测等系统) 测 试和评估系统的安全状态，通过适当的响应( r e s p o n s e ) ，将系统调整到 “最安全”和“风险最低”的状态防护、检测和响应组成了一个完 整的、动态的安全循环。 入侵检测技术( i n t r u s i o nd e t e c t i o n ) 是实现p 2 d r 模型中的 d e t e c t i o n 部分的主要技术手段当发现入侵行为时，检测系统会通知 响应模块，响应模块会触发响应措施，通知管理员或自动切断网络等 从模型图可以看出，入侵检测是实现p 2 d r 模型的承前启后的环节 9 第三章入侵检测系统概述 3 1 入侵检测系统的定义 入侵( i n t r u s i o n ) 指的是试图破坏计算机保密性、完整性、可用性或 可控性的一系列活动。入侵检测是对于面向计算机资源和网络资源的 恶意行为的识别和响应【9 】入侵检测系统( i d s ，i n t r u s i o nd e t e c t i o n s y s t e m ) 就是实现入侵检测功能的软件、硬件的组合。相对于采取封锁、 过滤等被动防御措施的防火墙而言，入侵检测系统能主动发现网络中 正在进行的针对被保护目标的恶意危害，并快速做出反应，如提示报 警、阻断连接、通知网管等等。因此，入侵检测系统被认为是继防火 墙之后的保护计算机系统的第= 道防线，是对防火墙的很好补充 3 2 入侵检测系统的分类 到目前为止，市场上已经有很多种入侵检测系统根据不同的分 类方法，可将入侵检测系统分为不同的类型。 3 2 1 根据数据源分类 根据数据源不同，可将入侵检测系统分为基于主机的入侵检测系 统、基于网络的入侵检测系统和混合型的入侵检测系统三大类 ( 1 ) 基于主机的入侵检测系统( h o s t b a s e di d s ) 。基于主机的入侵 检测系统，通常从主机的审计记录和日志文件中获取所需的主要数据， 并辅之以主机上的其他信息，例如文件属性、进程状态，c p u 利用率 等，在此基础上完成检测攻击行为的任务 从技术发展的历程来看，入侵检测是从主机审计的基础上开始发 展的，因此，早期的入侵检测系统都是基于主机的入侵检测技术 ( 2 ) 基于网络的入侵检测系统( n e t w o r k b a s e di d s ) 基于网络的入 侵检测，通过监听网络中的数据包来获得必要的数据源，并通过协议 分析、特征匹配、统计分析等手段发现当前正在发生的攻击行为其 结构如图3 1 所示。 圈3 1基于网络入侵检测系统模型 基于网络的入侵检测系统，能够实时监控网络中的数据流量。并发 现潜在的攻击行为和做出迅速的响应。另外，它分析的是网络协议， 通常而言协议是标准化的，独立于主机操作系统类型，因此，具有良 好的移植性。同时，由于采用独立主机和被动监听的工作模式，它的 运行不影响主机或服务器的自身。 ( 3 ) 混合型的入侵检测系统。系统的数据源有来自主机的，也有来 自网络的它集成了基于主机和基于网络的入侵检测系统的优点，在 设计上为更加复杂的系统现在商用的入侵检测系统大多数属于这一 类。 3 2 2 根据数据分析手段分类 从数据分析手段来看，入侵检测系统通常可以分为两类：误用入侵 检测系统和异常入侵检测系统【1 3 1 ( 1 ) 误用入侵检测系统它又称为基于知识的入侵检测系统 ( k n o w l e d g e b a s e di d s ) 或滥用检测( m i s u s ed e t e c t i o ni d s ) 误用入侵 检测的技术基础是分