（计算机应用技术专业论文）基于组件的分布式入侵监测系统设计与实现.pdf

摘要 随着网络入侵事件的日益增多，人们逐渐认识到传统的单一的安全技术不能满足安全要求。网络安 全是一个过程，需要将各种技术结合起来，考虑系统的动态行为，入侵检测技术应运而生。入侵检测技 术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术，它对计算机和网络资 源的恶意使用行为进行识别和响应，它不仅检测来自外部的入侵行为，同时也监督内部用户的未授权活 动。 本文讨论了目前入侵检测系统的技术现状及未来的发展方向，设计了一种基于组件的分布式入侵检 测系统，它克服了传统的集中式入侵检测系统的局限性，具有良好的分布性和可扩展性。它将基于网络 的入侵检测系统和基于主机的入侵检测系统有机地结合在一起，提供集成化的检测、报告和响应功能。 组件分布的灵活性为复杂网络管理提供了更多的选择余地。 系统采用了分布式探针与集中安全管理中心两级管理模式。分布式探针分布在网络的不同位置监视 网络辛口主机的工作状况，对异常事件提供及时响应，集中的安全管理中心对分布式探针提供集中管理， 该模，符合入侵检测系统的研究及发展方向。 在网络引擎的实现上，使用了协议分析和模式匹配相结合的方法，有效减小目标的匹配范围，提高 了检测速度。同时改进了匹配算法，使得网络引擎具有更好的实时性能。 关键孚：网络安全，入侵检测，模式匹配，组件，分布式，s n o r t a bs t r a c t w l i l em o r ea n dm o r ec o m p u t e r sa r ei n t r u t e db y h a c k e r s s e c u r i t ye x p e r t sb e c o m et o - k n o wt h a t t h et r a d i t i o n a l s e c u r i t yt e c h n i q u e s c a n n o tm e e t n o w a d a y ss e c u r i t yr e q u e s t n e t w o r ks e c u r i t y i s d y n a m i cp r o c e s sw h i c hn e e d st oc o m b i n em a n yt e c h e n i q u e sa n dc o n s i d e ro fs y s t e md y n a m i ca c t i o n s t h e nt h ei n t r u s i o nd e r e c t i o n s y s t e m b e c o m e st ot r u 出i n t r u s i o nd e r e c t i o n s y s t e m i sn e w g e n e r a t i o ns e c u r i t yt e c h n i q u ew h i c hf o l l o w s f t r e w a l la n dd a t ac r y p tt e c h n i q u e s ，w h i c hd e t e c t sa n d r e s p o n s e s 出ei l l e 列u s eo f 山ec o m p u t e ra n dn e t w o r kr e s o u r c e s i tn o to n l yd e t e c t st h ei n t r u s i o n f r o mo u t s i d eu s e r s ，b u ta l s om o n i t e st h e u n d e l e g a t e do p e r a t i o n sf r o m i n s i d eu s e r s t h i s p a p e r d i s c u s s e st h es t a r e so fi n t r u s i o nd e t e c t i o n s y s t e mt e c h n i q u e a n di t sf u t u r e d e v e l f 3 p m e n t w e d e s i g n ak i n do fd i s t r i b u t e di n s t u s i o nd e t e c t i o ns y s t e mb a s e d c o m p o n e n t s ， w h i c hh a sb e t t e rd i s t r i b u t i o na n de x p a n s i b i l i t yt h a nt h et r a d i t i o n a lc e n t r a l i z e di n t r u t i o nd e t e c t i o n s y s t e mo u r d i s t r i b u t e di n s t r u s i o nd e t e c t i o ns y s t e mi n t e g r a t e st h eh o s ti n t r u s i o nd e t e c t i o ns y s t e m a n dn e t w o r ki n t r u s i o nd e t e c t o i ns y s t e m t h e r e f o r e i th a s 出ea b i l i t yo fd e t e c t i o n r e p o r ta n d r e s p o n s e t h ef l e x i b i l i t yo fc o m p o n e n t s d i s t r i b u t i o nm a k e sn e t w o r km a n a g e m e n t e a s y f h i s s y s t e mc o m p o s e s o fd i s t r i b u t e ds e n s o r sa n dc e n t r a l i z e d m a n a g e m e n t c e n t e r t h e d i s t r i b u t e ds e n s o r sl i ei nd i f r r e n tn e t w o r kl o c a t i o n sa n dm o n i t o tn e t w o r ka n dh o s ts t a t u si no r d e rt o r e s p o n s ee m e r g e n c yi m m e d i a t e l y t h ec e n t r a l i z e dm a n a g e m e n tc e n t e rc o n t r o l sd i s t r i b u t e ds e n s o r s t h i sm o d e la c c o r d st ot h ei n t r u s i o nd e t e c t i o n s y s t e mf u t u r er e s e a r c ha n dd e v e l o p m e n t r h ei m p l e m e n t t i o no ft h en e t w o r ke n g i n ec o m b i n et h en e t w o r kp r o t o c o la n a l y z e ra n dp a t t e r n m a t c ht e c h n i q u e i tr e d u c e st h es c o p eo fm a t c ha n dm a k e st h ed e t e c t i o n sq u i c k l y f u r t h e rm o r e ，i t i m p r m e st h ep a t t e r nm a t c ha l g o r i t h m ，w h i c hm a k e s t h en e t w o r k e n g i n e m o r er e a lt i m e a b i l i t y k e y w o r d ： n e t w o r k s e c u r i t y ，i n t r u s i o n d e t e c t i o n s y s t e m ，p a t t e r nm a t c h ，c o m p o n e n t ， d i s t r i b u t e ds n o r t 中国科学技术大学硕士学位论文 序言 自从计算机通过网络连接以后，网络安全就成为一个问题出现在人们面前，但是很多年以来人们 并没有认识到这个问题的严重性。网络安全真正引起人们的广泛关注，是在t n t e r n e t 发展了很多年以 后。随着近年来联网计算机数目的飞速增长，网络安全成为任何一个拥有接入i n t e r n e t 的局域网的组 织必须着重考虑的问题。 在计算机安全的发展中，系统安全模型在逐步的实践中发生变化，由一开始的静态的系统安全模 型逐渐过渡到动态的安全模型，p 2 d r 2 模型就是动态安全模型的典型代表。 p 2 d r 2 模型是在整体的网络系统安全策略的控制和指导下，综合运用诸如安全操作系统、防火墙、 身份认证、访问控制、加密等安全防护措施和手段保证网络系统具有一定的安全基础。同时，为保证 安全防护措施和手段正确地按照安全策略的要求工作，利用入侵监控系统适时地监控网络事件，确保 网络安全，采用弱点漏洞分析和评估工具定期对网络的安全状况进行评估和分析，以期网络始终保持 相对的安全状态。对网络入侵行为和动态的网络弱点漏洞，不正确的系统配置和使用进行响应和培i j | j 。 同时定期对系统重要资源进行备份，最大限度地减少网络安全事件带来的风险和损失。p 2 d r 2 模型代表 了未来入侵检测系统的发展方向。 入侵检测系统所采用的技术方法很多，目前主要的商业系统大多是混合使用多种技术。r d s 的一 个关键技术就是检测方法，它直接关系到攻击的检测效果、效率、误报率等性能，这项技术包括两方 面，即对攻击的表示方法和将收集到的数据与攻击进行匹配。所以检测方法成为所有研究i d s 的项目 的重点研究内容。 目前入侵检测产品主要厂商有n f r 公司的n i d ( n e t w o r ki n s t r u s i o nd e c t i o n ) ，i s s 公司的 r e a l j e c u r e 、a x e n t 公司的i t a 、e s m ，以及n a i 公司的c y b e r c o pi n s t r u s i o nd e c t i o n 。它们都在 入侵睑测技术上有多年的研究。其中i s s 公司的r e a l s e c u r e d 的智能攻击识别技术是当前i d s 系统中 最为先进的。 入侵检测系统在未来的网络安全和军事斗争中将起到非常重要的作用。在经济领域中它可以及时 发现阻拦入侵行为，保护企业来自不满员工、黑客和竞争对手威胁，保证企业信息平台的正常运转。 入侵检测系统作为一种商品也具有非常大的市场和效益。 k 侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护， 在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测 理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网的 关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。但现状是入侵检测还不够成 熟，处于发展阶段，或者是防火墙中集成较为初级的入侵检测模块。可见，入侵检测技术应该进行进 一步朐研究。 本课题的目标是设计一个基于组件的分布式的入侵检测系统，它具有可扩展性、跨平台性、安全 陛和开放性，并实现了其中的网络引擎部分。 本论文由五章组成： 第一章入侵检测系统概述 第二章分布式入侵检测系统 第三章分布式入侵检测系统组件介绍 第四章系统总体设计 笫五章网络引擎设计及实现 第六章结束语 第一章介绍入侵检测系统，第二章介绍分布式入侵检测系统，第三章介绍分布式入侵检测系统的 各个组件，第四章介绍了系统的总体设计，第五章介绍了网络引擎设计及实现，第六章是全文的结束 语。 中国科学技术大学硕士学位论文 第一章入侵检测系统概述 本章首先介绍了网络环境下的安全问题，然后详细介绍了p 2 d r 2 动态安全模型和入侵检测系统的 定义、分类及发展趋势，最后介绍了c i d f 模型。 1 1 网络环境下的安全问题 信息系统的安全问题是一个十分复杂的问题，可以说信息系统有多复杂，信息系统安全问题就有 多复杂；信息系统有什么样的特性，信息系统安全就同样具有类似的特性。 信息安全是一种很难量化的概念，可以把信息系统的“性能”与“安全”做一个简单的对比。 针对网络吞吐量、主机的运算速度、数据库指标等这类性能问题，用户可以根据自己的业务要求、 资金条件等方面考虑取舍。系统性能的高低在一定程度上可以通过量化指标来表现。换句话说，系统 性能的提高，用户虽然摸不到，但却是可以看到的。 而“安全”是一个非常难于量化的指标，真正是一个看不见摸不着的东西。因此安全问题很容易 表面上受到重视，而实际上没有真正得到重视。“什么事情也没有”实际上就是安全的最高境界。但 是， “什么事情也没有”也正是导致忽视安全问题的原因所在。实际上，安全就是防范潜在的危机。 信息安全的发展史上有一个里程碑，这就是1 9 8 5 年美国国防部( d o d ) 国家计算机安全中心 ( n c 记) 发布的可信计算机安全评估准则( t c s e c ) “。这个准则的发布对操作系统、数据库等方面的 安全发展起到了很大的推动作用。 担是随着网络的深入发展，这个标准已经不能完全适应当前的技术需要，因为这个主要基于 h o s t t e r m i n a l 环境的静态安全模型和标准无法完全反应分布式、动态变化、发展迅速的i n t e r n e t 安全问题。 传统的信息安全技术都集中在系统自身的加固和防护上( 比如，采用b 级操作系统和数据库、在 网络出口配置防火墙、在信息传输和存储中采用加密技术、使用集中的身份认证产品等) ，单纯的防 护技椋有许多方面的问题。 首先，单纯的防护技术容易导致系统的盲目建设。 这种盲目包括两方面：一方面是不了解安全威胁的严峻和当前的安全现状；另一方面是安全投入 过大i 币又没有真正抓住安全的关键环节，导致不必要的浪费。举例来说，一个水库的大坝到底应当修 多高? 大坝有没有漏洞? 修好的大坝现在是否处在危险的状态? 实际上，我们需要相应的检测机制， 例如利用工程探伤技术检查大坝的质量是否符合要求、观察当前的水位是否超出了警戒水位。这样 的检测机制对保证大坝的安全至关重要。当发现问题之后就需要迅速做出响应，比如，立即修补大坝 的漏洞并进行加固：如果到达警戒水位，大坝就需要有人2 4 小时监守，还可能需要泄洪。这些措施实 际上就是一些紧急应对和响应措施。 其次，防火墙策略对于防范黑客有其明显的局限性“3 。 防火墙技术是内部网最重要的安全技术之一，其主要功能就是控制对受保护网络的非法访问，它 通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽 外部危险站点，用以防范外对内、内对外的非法访问。但也有其明显的局限性，诸如：防火墙难于防 内。防火墙的安全控制只能作用于外对内或内对外，即：对外可屏蔽内部网的拓扑结构，封锁外部网 上的j h 户连接内部网上的重要站点或某些端口，对内可屏蔽外部危险站点，但它很难解决内部网控制 内部人员的安全问题。即防外不防内。而据权威部门统计结果表明，网络上的安全攻击事件有7 0 以 上来自内部攻击。 防火墙难于管理和配置，易造成安全漏洞。防火墙的管理及配置相当复杂，要想成功的维护防火 墙，要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解。防火墙的安 全策略无法进行集中管理。一般来说，由多个系统( 路由器、过滤器、代理服务器、网关、堡垒主机) 组成的防火墙，管理上有所疏忽是在所难免的。根据美国财经杂志统计资料表明，3 0 的入侵发生在有 防火墙的情况下。 2 中国科学技术大学硕士学位论文 防火墙的安全控制主要是基于i p 地址的，难于为用户在防火墙内外提供一致的安全策略。许多防 火墙对用户的安全控制主要是基于用户所用机器的i p 地址而不是用户身份，这样就很难为同一用户在 防二k 墙内外提供一致的安全控制策略，限制了企业网的物理范围。 防火墙只实现了粗粒度的访问控制，且不能与企业内部使用的其它安全机制( 如访问控制) 集成 使用，这样，企业就必须为内部的身份验证和访问控制管理维护单独的数据库。 再次，保证信息系统安全的经典手段是“存取控制”或“访问控制”，这种手段在经典的以及现 代的安全理论中都是实行系统安全策略的最重要的手段。 但迄今为止，软件工程技术还没有达到a 2 级所要求的形式生成或证明一个系统的安全体系的程 度，所以不可能百分之百地保证任何一个系统( 尤其是底层系统) 中不存在安全漏洞。而且，无论在 理论上还是在实践中，试图彻底填补一个系统的安全漏洞都是不可能的，也还没有一种切实可行的办 法解决合法用户在通过“身份鉴别”或“身份认证”后滥用特权的问题。 单纯的防护技术存在的这些问题对网络安全的提出了新的要求。 1 2p 2 d r 2 ：动态安全模型 针对日益严重的网络安全问题和越来越突出的安全需求，“可适应网络安全模型”和“动态安全 模型” 图l ip 2 d r 2 模型 p 2 d r 2 模型包含5 个主要部分：p o i j c y ( 安全策略) ，p r o t e c t i o n ( 防护) ，d e t e c t i o n ( 检测) ， r e s p o n s e ( 响应) ，r e c o v e r y ( 备份) 。 p 2 d r 2 模型是在整体的网络系统安全策略的控制和指导下，综台运用诸如安全操作系统、防火墙、 身份认证、访问控制、加密等安全防护措施和手段保证网络系统具有定的安全基础。同时，为保证 安全防护措施和手段正确地按照安全策略的要求工作，利用入侵监控系统适时地监控网络事件，确保 网络安全，采用弱点漏洞分析和评估工具定期对网络的安全状况进行评估这些和分析，以期网络始终 保持相对的安全状态。对网络入侵行为和动态的网络弱点漏洞，不正确的系统配置和使用进行响应和 培训，同时定期对系统重要资源进行备份，最大限度地减少网络安全事件带来的风险和损失。防护、检 测和响应组成了一个完整的、动态的安全循环。 1 3 入侵检测系统 1 3 1 入侵检测系统的定义 入侵检测系统：对( 网络) 系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结 果，以保证系统资源的机密性、完拯性与可用性。 3 中国科学技术大学硕士学位论文 入侵检测系统具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完 整眭、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反 安全法规的行为、使用诱骗服务器记录黑客行为等功能，使系统管理员可以较有效地监视、审计、评 估自己的系统。 由于入侵检测和响应密切相关，而且现在没有独立的响应系统，所以决大多数的入侵检测系统都 具有一定的响应功能。 一个完善的入馒检测系统必须具有以下特点： j 、经济性：为保证系统安全策略的实簏而引入的入侵检测系统必须保证不能妨碍系统的正常运行。 2 、时效性：必须及时发现各种入侵行为，理想情况是在事前发现攻击企图，比较现实的情况是在 攻t 自行为发生的过程中检测到入侵行为。 3 、安全性：入侵检测系统自身必须是安全的。 4 、可扩展性：可扩展性有两方面的意义。首先是机制与数据分离，在现有机制不变的前提下能够 对新的攻击进行检测；第二种是体系机构的可扩充性，在必要时可以在不对系统的整体结构进行修改 的i j # 提下对检测手段进行加强，以保证能够检测到新的攻击。 1 3 2 入侵检测系统的分类 入侵检测系统可以按照获得原始数据的方法、使用的技术和使用的分析方法等不同 的标准进行分类。 按照获得原始数据的方法进行分类 按照获得原始数据的方法可以将入侵检测系统分为基于网络的入侵检测和基于主机的入侵检测系 统。 i 、基于主机的入侵检测系统 基于主机的入侵检测出现在8 0 年代初期，那时网络还没有今天这样普遍和复杂，且网络之间也没 有完全连通。在这一较为简单的环境里，检查可疑行为的检验记录是很常见的操作。由于入侵在当时 是栩当少见的，在对攻击的事后分析就可以防止今后的攻击。 现在的基于主机的入侵检测系统保留了一种有力的工具，以理解以前的攻击形式，并选择合适的 方扫：去抵御未来的攻击。基于主机的i d s 仍使用验证记录，但自动化程度大大提高，并发展了精密的 可迅速做出响应的检测技术。通常，基于主机的i d s 可监测系统、事件和w i n d s 下的安全记录以及 u n ix 环境下的系统记录。当有文件发生变化时，i d s 将新的记录条目与攻击标记相比较，看它们是否 匹爵：。如果匹配，系统就会向管理员报警并向别的目标报告，以采取措施。 基于主机的i d s 在发展过程中融入了其它技术。对关键系统文件和可执行文件的入侵检测的一个 常用方法，是通过定期检查校验和来进行的，以便发现意外的变化。反应的快慢与轮询间隔的频率有 直接的关系。最后，许多产品都是监听端口的活动，并在特定端口被访问时向管理员报警。这类检测 方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。 尽管基于主机的入侵检查系统不如基于网络的入侵检查系统快捷，但它确实具有基于网络的系统 无注比拟的优点。这些优点包括： ( i ) 性能价格比高。在主机数量较少的情况下，这种方法的性能价格比可能更高。尽管基于网络 的入侵检测系统能很容易地提供广泛覆盖，但其价格通常是昂贵的。配置一个网络入侵监测系统目前 要花费$ 1 0 ，0 0 0 以上，雨基于主机的入侵检测系统对于单独的代理标价仅几百美元，并且客户只需很 少的费用用于最初的安装。 ( 2 ) 更加细腻。这种方法可以很容易地监测一些活动，如对敏感文件、目录、程序或端口的存取， 而这些活动很难在基于网络的系统中被发现。基于主机的i d s 监视用户和文件访问活动，包括文件访 问、改变文件权限、试图建立新的可执行文件并且或者试图访问特许服务。例如，基于主机的i d s 可以监督所有用户登录及退出登录的情况，以及每位用户在联接到网络以后的行为。基于网络的系统 要做到这个程度是非常困难的。基于主机技术还可监视通常只有管理员才能实施的非正常行为。操作 系统记录了任何有关用户帐号的添加、删除、更改的情况。一旦发生了更改，基于主机的i d s 就能检 4 中崮科学技术大学硕士学位论文 测到这种不适当的更改。基于主机的i d s 还可审计能影响系统记录的校验措施的改变。最后，基于主 机的系统可以监视关键系统文件和可执行文件的更改。系统能够检测到那些欲重写关键系统文件或者 安装特洛伊木马或后门的尝试并将它们中断，而基于网络的系统有时会检测不到这些行为。 ( 3 ) 视野集中。一旦入侵者得到了一个主机的用户名和口令，基于主机的代理是最有可能区分正 常的活动和非法的活动的。 ( 4 ) 易于用户剪裁。每一个主机有其自己的代理，当然用户剪裁更方便了。 ( 5 ) 较少的主机。基于主机的方法有时不需要增加专门的硬件平台，它存在于现有的网络结构之 中，包括文件服务器、w e b 服务器及其它共享资源。这些使得基于主机的系统效率很高。因为它们不 需要在网络上另外安装登记、维护及管理的硬件设备。 ( 6 ) 对网络流量不敏感。用代理的方式一般不会因为网络流量的增加而丢掉对网络行为的监视。 ( 7 ) 适用于被加密的以及切换的环境。由于基于主机的系统安装在遍布企业的各种主机上，它 们比，基于网络的入侵检测系统更加适于交换的以及加密的环境。交换设各可将大型网络分成许多的小 型网络段加以管理。所以从覆盖足够大的网络范围的角度出发，很难确定配置基于网络的1 d s 的最佳 位置业务镜像和交换机上的管理端口对此有帮助，但这些技术有时并不适用。基于主机的入侵检测 系统可安装在所需的重要主机上，在交换的环境中具有更高的能见度。某些加密方式也向基于网络的 入侵检测发出了挑战。根据加密方式在协议堆栈中的位置的不同，基于网络的系统可能对某些攻击没 有反应。基于主机的i d s 没有这方面的限制。当操作系统及基于主机的系统发现即将到来的业务时， 数据j 充已经被解密了 ( 8 ) 确定攻击是否成功。由于基于主机的i d s 使用含有己发生事件信息，它们可以比基于网络 的i d s 更加准确地判断攻击是否成功。在这方面，基于主机的i d s 是基于网络的i d s 完美补充，网络 部分i 玎以尽早提供警告，主机部分可以确定攻击成功与否 2 、基于网络的入侵检测系统 誊于网络的入侵检测系统使用原始网络包作为数据源，它通常利用一个运行在随机模式下网络的 适配器来实时监视并分析通过网络的所有通信业务。它的攻击辩识模块通常使用四种常用技术来识别 攻击标志： ( 1 j 模式、表达式或字节匹配 ( 2 ) 频率或穿越阀值 ( 3 ) 次要事件的相关性 ( 4 ) 统计学意义上的非常规现象检测 一旦检测到了攻击行为，i d s 的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。 反应因产品而异，但通常都包括通知管理员、中断连接并且或为法庭分析和证据收集而做的会话记录。 基于网络的i d s 有许多仅靠基于主机的入侵检测法无法提供的功能。实际上，许多客户在最初使 用 d s 时，都配置了基于网络的入侵检测。基于网络的检测有以下优点： ( 1 ) 侦测速度快。基于网络的监测器通常能在微秒或秒级发现问题。而大多数基于主机的产品 则要依靠对最近几分钟内审计记录的分析。 ( 2 ) 隐蔽性好。一个网络上的监测器不像一个主机那样显眼和易被存取，因而也不那么容易遭 受攻击。基于网络的监视器不运行其它的应用程序，不提供网络服务，可以不响应其它计算机。因此 可以做得比较安全。 ( 3 ) 视野更宽。基于网络的入侵检测甚至可以在网络的边缘上，即攻击者还没能接入网络时就 被发现并制止。 ( 4 ) 较少的监测器。由于使用一个监测器就可以保护一个共享的网段，所以不需要很多的监测 器。瑁反地，如果基于主机，则在每个主机上都需要一个代理，这样的话，花费昂贵，而且难于管理。 但是，如果在一个交换环境下，就需要特殊的配置。 ( 5 ) 攻击者不易转移证据。基于网络的i d s 使用正在发生的网络通讯进行实时攻击的检测。所 以攻击者无法转移证据。被捕获的数据不仪包括攻击的方法，而且还包括可识别黑客身份和对其进行 起诉的信息。许多黑客都熟知审记记录，它们知道如何操纵这些文件掩盖它们的作案痕迹，如何阻止 需要这些信息的基于主机的系统去检测入侵行为。 ( 6 ) 操作系统无关性。基于网络的i d s 作为安全监测资源，与主机的操作系统无关。与之相比， 基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作，生成有用的结果。 ( 7 ) 占资源少。在被保护的设备上不用占用任何资源。 5 中国科学技术大学硕士学位论文 对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。 按照所使用的技术进行分类 按照所使用的技术，入侵检测系统可以分为基于模式匹配( s i g n a t u r e b a s e d ) 的入侵检测系统和 基于异常发现( a n o m a yb a s e d ) 的入侵检测系统。 1 、基于模式匹配( s i g n a t u r e b a s e d ) 的入侵检测系统 对于基于模式匹配的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某 些头信息。检测主要判别所搜集到的数据特征是否在所收集到的入侵模式库中出现，此方法非常类似 杀毒软件。 2 、基于异常发现( a n o m a l y b a s e d ) 的入侵检测系统 基于异常发现的检测技术则是先定义一组系统“正常”情况的阀值，如c p u 利用率、内存利用率、 文件饺验和等( 这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出) ，然后将系统 运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如 何分忻系统运行情况。 基于模式匹配的入侵检测技术和基于异常发现的入侵检测技术，所得出的结论有非常大的差异。 基于异常的检测技术的核心是维护一个入侵模式库。对于已知的攻击，它可以详细、准确的报告出攻 击类型但是对未知攻击却效果有限，而且入侵模式库必须不断更新。基于异常发现的检测技术则无 法准确判别出攻击的手法，但它可以( 至少在理论上可以) 发现更广泛的、甚至未知的攻击分法。如 果条件允许，两者结合的检测会达到更好的效果。 按照所使用的分析方法进行分类 按照所使用的分析方法，可以分为基于审计的入侵检测系统、基于神经网络的入侵检测系统、基 于专家系统的入侵检测系统和基于模型推理的入侵检测系统。 l 、基于审计的入侵检测系统 基于审计信息的入侵检测工具以及自动分析工具可以向系统安全管理员报告计算机系统活动的评 估报告，通常是脱机的、滞后的。对入侵的实时检测系统的工作原理是基于对用户历史行为的建模， 以及在早期的证据或模型的基础之上。审计系统实时地检测用户对系统的使用情况，根据系统内部保 持的目户行为的概率统计模型进行监测，当发现有可疑的用户行为发生时，保持跟踪并监测该用户的 行为。系统应具备处理自适应的用户参数的能力。能够判断使用行为的合法或可疑。系统应当能够避 免“肃反扩大缩小化”的问题。这种办法同样适用于检测程序的行为以及对数据资源( 如文件或数 据库) 的存取行为。 2 、基于神经网络的入侵检测系统“ 如上所述，基于审计统计数据的入侵检测系统，具有一些天生的弱点，因为用户的行为可以是非 常复杂的，所以想要准确匹配一个用户的历史行为和当前的行为是相当困难的。错发的警报往往来自 于对面计数据的统计算法所基于的不准确或不贴切的假设。s r i 的研究小组利用和发展神经网络技术 来进行攻击检测。神经网络可能用于解决传统的统计分析技术所面临的以下几个问题： ( 1 ) 难于建立确切的统计分布 ( 2 ) 难于实现方法的普适性 ( 3 ) 算法实现比较昂贵 ( 4 ) 系统臃肿难于剪裁 e i 前，神经网络技术提出了对基于传统统计技术的攻击检测方法的改进方向，但尚不十分成熟， 所以传统的统计方法仍将继续发挥作用，也仍然能为发现用户的异常行为提供相当有参考价值的信息。 3 、基于专家系统的入侵检测系统 进行安全检测工作自动化的另外个值得重视的研究方向就是基于专家系统的入侵检测技术，即 根据安全专家对可疑行为的分析经验来形成一套推理规则，然后再在此基础之上构成相应的专家系统。 由此专家系统自动进行对所涉及的攻击操作的分析工作。 所谓专家系统是基于一套由专家经验事先定义的规则的推理系统。例如，在数分钟之内某个用户 连续进行登录，且失败超过三次就可以被认为是种攻击行为。类似的规则在统计系统似乎也有，间 6 中国科学技术大学硕士学位论文 时应当说明的是基于规则的专家系统或推理系统也有其局限性，因为作为这类系统的基础的推理规则 一般都是根据已知的安全漏洞进行安排和策划的，而对系统的最危险的威胁则主要是来自未知的安全 漏洞。实现一个基于规则的专家系统是一个知识工程问题，而且其功能应当能够随着经验的积累而利 用其自学习能力进行规则的扩充和修正。 4 、基于模型推理的入侵检测系统 攻击者在入侵一个系统时往往采用一定的行为程序，如猜测口令的程序，这种行为程序构成了某 利，具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的 攻击企图，尽管攻击者并不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的 模型从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法 的 目户行为。一般为了准确判断，要为不同的入侵者和不同的系统建立特定的攻击脚本。当有证据表 明共种特定的攻击模型发生时，系统应当收集其它证据来证实或者否定攻击的真实，以尽可能的避免 错报。 1 3 3 入侵检测系统的发展趋势 基于网络和基于主机的入侵检测系统都有各自的优势，这两种方式都能发现对方无法检测到的 些，、侵行为。从某个重要服务器的键盘发出的本地攻击并不经过网络，因此就无法通过基于网络的入 侵检测系统检测到，只能通过使用基于主机的入侵检测系统来检测。基于网络的入侵检测系统通过检 查所有的数据包的包头( h e a d e r ) 来进行检测，而基于主机的入侵检测系统并不查看数据包的包头。 许多基于i p 的拒绝服务攻击和碎片攻击，只能通过查看它们通过网络传输时的数据包的包头才能识 别。基于网络的入侵检测系统可以研究负载的内容，查找特定攻击中使用的命令或语法，这类攻击可 以被实时检查包序列的入侵检测系统迅速识别。而基于主机的系统无法看到负载，因此也无法识别嵌 入武的负载攻击。联合使用基于主机和基于网络这两种方式能够达到更好的检测效果。比如基于主机 的入侵检测系统使用系统日志作为检测依据，因此它们在确定攻击是否已经取得成功时与基于网络的 入侵检测系统相比具有更大的准确性。在这方面，基于主机的入侵检测系统对基于网络的入侵检测系 统是一个很好的补充，人们完全可以使用基于网络的入侵检测系统提供早期报警，而使用基于主机的 入侵检测系统来判断攻击是否取得成功。 在下一代的入侵检测系统中，将把现在的基于网络和基于主机这两种检测技术很好地集成起来， 提供集成化的攻击签名、检测、报告和事件关联功能。相信未来的集成化的入侵检测产品不仅功能更 加强大，而且部署和使用上也更加灵活方便。 1 4c i d f 樽艺i ! f 公共入侵检测框架( t h ec o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ，以下简称为c d f ) 早期由美 国国防部高级研究计划局赞助研究，现在由c i d f 工作组负责，这是一个开放组织，实际上c i d f 已经 成为一个开放的共享的资源。 一7 1 d f 是一套规范，它定义了i d s 表达检测信息的标准语言以及i d s 组件之间的通信协议。符合c i d f 规范的i d s 可以共享检测信息，相互通信，协同工作，还可以与其它系统配合实施统一的配置响应和 恢复策略。c i d f 的主要作用在于集成各种i d s 使之协同工作实现各i d s 之间的组件重用，所以c i d f 也是陶建分布式i d s 的基础。c i d f 的规格文档由四部分组成，分别为： l 、体系结构( t h ec o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r ka r c h i t e c t u r e ) 2 、规范语言( ac 0 1 i n o ni n t r u s o ns p e c i f i c a t i o nl a n g u a g e ) ：i 、内部通讯( c o m m u n i c a t i o ni nt h ec o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 4 、程序接口( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r ka p l s ) 其中体系结构阐述了一个标准的i d s 的通用模型；规范语言定义了一个用来描述各种检测信息的 标准语言：内部通讯定义了i d s 组件之间进行通信的标准协议；程序接口提供了一整套标准的应用程 序接口( a p i 函数) 。c i d f 阐述了一个入侵检测系统( i d s ) 的通用模型它将一个入侵检测系统分为 以下组件： 1 ，事件产生器( e v e n tg e n e r a t o r s ) 2 ，事件分析器( e v e n ta n a l y z e r s 3 、响应单元( r e s p o n s eu n i t s ) 7 中国科学技术大学硕士学位论文 4 、事件数据库( e v e n td a t a b a s e s ) c i d f 将入侵检测系统需要分析的数据统称为事件( e v e n t ) ，它可以是基于网络的入侵检测系统中 在网络中传输的数据包，也可以是基于主机的入侵检测系统从系统日志等其它途径得到的信息。它也 对于各组件之间的信息传递格式、通信方法和标准a p i 进行了标准化。 事件产生器的目的是从整个计算环境中获得事件，并向系统的其它部分提供此事件。事件分析器 分析得到的数据，并产生分析结果。响应单元则是对分析结果作出反应的功能单元，它可以作出切断 连接、改变文件属性等强烈反应，甚至发动对攻击者的反击，也可以只是简单的报警。事件数据库是存 放各种中问和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。 在现有的入侵检测系统中，经常用数据采集部分、分析部分和响应部分来分别代替事件产生器、 事件分析器和响应单元这些术语，且常用日志来简单的指代事件数据库。 目前c i d f 还没有成为正式的标准，也没有一个商业i d s 产品完全遵循该规范，但各种i d s 的结构 模型具有很大的相似性，各厂商都在按照c i d f 进行信息交换的标准化工作，有些产品已经可以部分地 支持c i d f 。可以预测，随着分布式i d s 的发展，各种i d s 互操作和协同工作的迫切需要，各种i d s 必 须遵循统一的框架结构，c i d f 将成为事实上的i d s 的工业标准。 i 5 本章小结 本：章通过对入侵检测系统的描述，可以看出，目前入侵检测系统所使用的技术和方法很多，但很 多技术还是处于研究阶段，离实用还有很大的距离。随着网络应用的不断深入，各种安全问题会不断 出现，入侵检测技术也需要不断研究以适应形势的需要。入侵检测领域的研究任务还相当繁重。 8 中国科学技术大学硕士学位论文 第二章分布式入侵检测系统 本章首先分析了现有的入侵检测系统的不足，然后提出入侵检测系统的主要功能要求，最后介绍 了分布式入侵检测系统的组成和系统部署。 2 1 现有入侵检测系统的不足 现有的入侵检测系统存在如下的不足： 1 、不能很好的检测所有的数据包 基于网络的入侵检测系统难以跟上网络速度的发展。截获网络的每一个数据包，并分析、匹配其 中是否具有某种攻击的特征需要花费时间和系统资源。现有的入侵检测系统在i o m 网上检查所有数据 包中的几十种攻击特征时可以很好地工作，但是对于更高速度的网络就不能胜任了。现在很多网络都 是1 0 0 m 甚至l g 网络，网络速度的发展速度远远超过了数据包模式分析技术发展的速度。 2 、攻击特征库的更新不及时 绝大多数的入侵检测系统都是适用模式匹配的分析方法，这要求攻击特征库的特征值应该是最新 的。但现在很多入侵检测系统没有提供某种如“推技术”的方法来时刻更新攻击特征。在如今每天都 有静漏洞发布、每天都有新的攻击方法产生的情况下显然不能满足安全需求。 3 、检测分析方法单一 攻击方法的越来越复杂，单一的基于模式匹配或统计的分析方法已经难以 “另外， 基于模式匹配和基于统计的分析方法各有所长，入侵检测系统的发展趋势是在j _1 月一。- r ，_ 没用 不同的分析方法。现在几乎所有的入侵检狈4 系统都使用了单一的分析方法。 4 、不同的入侵检测系统之间不能互操作 在大型网络中，网络不同的部分可能使用了不同的入侵检测系统，但现在的入侵检测系统之间不 能能够交换信息，使得发现了攻击时难以找到攻击的源头，甚至给入侵者制i ! l r 一漏洞。 5 、不能和其它网络安全产品互操作 入侵检测不是安全的终极武器，一个安全的网络中应该根据安全政策使用多种安全产品，但入侵 检测系统不能很好的和其它安全产品胁作。比如，一个网络中每两个小时自动运行一次漏洞扫描程序t 如果它们不能够互操作，入侵检测系统将每两个小时产生一次警报。 6 、结构存在问题 现在的很多入侵检测系统是从原来的基于网络或基于主机的入侵检测系统不断改进而得来的，在 体系结构等方面不能满足分布、开放等要求。 2 2 入侵检测系统的主要功能要求 一个成功的入侵检测系统至少要满足以下五个主要功能要求： 1 、实时性要求 如果攻击或者攻击的企图能够尽快的被发现，这就使得有可能查找出攻击者的位置，阻止进一步 的攻击活动，有可能把破坏控制在最小限度，并能够记录下攻击者攻击过程的全部网络活动，并可作 为证据回放。实时入侵检测可以避免常规情况下，管理员通过的对系统日志进行审计以查找入侵者或 入侵行为线索时的种种不便与技术上的限制。 2 、可扩展性要求 因为存在成千上万种不同的已知和未知的攻击手段，它们的攻击行为特征也各不相同。所以必须 建立一种机制，把入侵检测系统的体系结构与使用策略区分开。一个已经建立的入侵检测系统必须能 够保汪在新的攻击类型出现时，可以通过某种机制在无需对入侵检测系统本身进行改动的情况下，使 0 中国科学技术大学硕士学位论文 系统能够检测到新的攻击行为。并且在入侵检测系统的整体功能设计上，也必须建立一种可以扩展的 结构，以便系统结构本身能够适应未来可能出现的扩展要求。 3 、适应性要求 入侵检测系统必须能够适用于多种不同的环境，比如高速大容量计算机网络环境，并且在系统环 境发生改变，比如增加环境中的计算机系统数量，改变计算机系统类型时，入侵检测系统应当依然能 够不作改变正常工作。适应性也包括入侵检测系统本身对其宿主平台的适应性，即：跨平台工作的能 力，适应其宿主平台软、硬件配置的各种不同情况。 4 、安全性与可用性要求 入侵检测系统必须尽可能的完善与健壮，不能向其宿主计算机系统以及其所属的计算机环境中引 入新的安全问题及安全隐患。并且入侵检测系统应该在设计和实现中，应该能够有针对性的考虑几种 可以颅见的，对应于该入侵检测系统的类型与工作原理的攻击威胁，及其相应的抵御方法。确保该入 侵检测系统的安全