（计算机应用技术专业论文）一种基于协议分析技术的混合型入侵检测系统的研究.pdf

一种基于协议分析技术的混合型入侵检测系统的研究 中文摘要 网络安全问题已经对计算机网络的应用、管理和发展构成了严重的威胁，网络入侵事件 频繁发生，给用户带来了无法估量的损失。为了保障系统的安全性，仅仅做好安全防御工作 是不够的，入侵检测系统应运而生，它是继防火墙、数据加密、访问控制等传统安全防护措 施之后的新一代安全保障技术；它不仅可以检测到来自外部的入侵行为，同时也监督内部用 户的未授权活动，是一种主动的网络安全防护技术。 随着大量高速网络技术的出现，网络入侵检测系统正面临着巨大的挑战：如何保证系统 及时、高效地处理、分析大量的数据包，减少甚至避免丢包现象的发生，提高i d s 自身抗攻 击的能力，尽量降低误报率和漏报率，以及如何提高i d s 系统的效率等等。虽然有众多研究 人员潜心研究多年，但这些问题仍然没有得到彻底解决。 本文针对入侵检测技术领域中存在的以上诸多问题，研究和分析了入侵检测的相关背景 知识、技术发展以及相关的协议框架，主要论述了基于协议分析技术的混合型入侵检测系统。 本文的主要工作如下： 1 ) 综合主机检测器和网络检测器的分布式入侵检测系统体系结构的设计，同时分析来 自主机的审计记录，系统日志以及网络原始数据流，更加全面地检测系统的各种入侵攻击现 象。在这种体系结构中，底层可以独立地完成相应的入侵检测，可以避免集中式检测时数据 包处理效率低下的问题，减轻了主控系统的负担；各个检测子系统独立运行，互不影响，避 免了单点失效问题；可灵活部署，可扩展性很好：主控系统从全局对整个系统的运行进行监 控，检测针对整个系统的更加复杂的攻击入侵，主控系统失效不会影响其下层各个子系统的 入侵检测，某一个子系统失效也不会影响其他子系统和主控系统的运行。 2 ) 可移植的高效的分布式网络数据包采集器的设计与实现，用分布式数据包捕获取代 传统的集中式数据收集，提高了数据收集的效率。 3 ) 分布式n i d s 子系统的设计与实现，利用基于应用的负载均衡分发技术来进行协议分 流，将协议解析后的数据包以应用为单位分配到不同的入侵检测分析引擎进行入侵检测。 协议分析引擎的设计与实现，完成了i p 分片重组以及t c p 流重组，利用协议分析技 术来提高数据包解析效率，提高了检测效率。 分布式入侵检测分析引擎的设计与实现。在协议解析基础上对网络数据流进行分布式 入侵检测。首先改进了基于应用的负载均衡分发算法，对其处理流程进行了改进，增加了算 法所能处理的数据范围，提出了基于应用根据u d p 数据包所属协议类型为其分配检测引擎进 行入侵检测的思想；以t c p 连接事件的建立过程为参考，提出了建立u d p “连接事件”的思 想；并且根据数据包所属协议类型及其实现特点，分别设计了t c p 连接事件和u d p “连接 事件”的建立流程和入侵检测流程。 系统检测流程的改进：数据包在由负载均衡分发器分发到各入侵检测分析引擎进行入 侵检测的同时，系统利用方差分析算法进行异常数据流的检测。分配到各个入侵检测分析引 擎的数据包，首先进行数据包合法性检查，然后根据其所属协议类型分别建立t c p 连接事件 和u d p “连接事件”，然后根据我们设计的t c p 和u d p “连接事件”的建立和入侵检测流程， 运用各种异常和误用检测技术，进一步检测是否存在包含网络连接中的各种入侵攻击现象。 4 ) h i d s 子系统的设计。本系统中我们提出了在h i d s 中分析到达本机的原始数据流的 检测思想，提高了h i d s 检测子系统的应用范围，实时性和效率。 5 ) 主控系统的设计与实现。底层各个入侵检测分析引擎将检测到的入侵数据格式化后 送到主控模块，主控模块运用相关算法进一步检测针对整个系统的各种入侵现象。 最后在局域网环境下作了相应的实验，并对实现结果进行了分析对比，证明了系统的高 i 贵州大学硕士学位论文 效性。 关键词：网络安全入侵检测协议分析入侵事件分布式入侵检测系统 分类号：t p 3 9 3 0 8文献标识码：a i v 一种基于协议分析技术的混合型入侵检测系统的研究 英文摘要 t h ep r o b l e mo fn e t w o r ks e c u r i t yh a sb e c o m eag r e a tt h r e a tt ot h ea p p l i c a t i o n ， m a n a g e m e n ta n dd e v e l o p m e n to fc o m p u t e rn e t w c l r k ：t h em o r ef r e q u e n tt h eo c c u r r e n c e o fn e t w o r ki n t r u s i o n t h em o r e1 0 s so f p e o p i ea n do u rs o c i e t y u n d e rs u c h c i r c u m s t a n c e s ，i n t r u s i o nd e t e c t i o ns y s t e me m e r g e sa st h et i m e sr e q u i r e w h i c hi sa n e wk i n do fs e c u r i t ys a f e g u a r dt e c h n o l o g ya f t e rt h ea p p l i c a t i o no fc o n v e n t i o n a l n e t w o r kd e f e n d a b l et e c h n o l o g i e ss u c ha sf i r e w a l l ，d a t ae n c r y p t i o n ，a c c e s s i n gc o n t r o l e t c i n t r u s i o nd e t e c t i o nt e c h n o l o g ya c t sa sak i n do fa c t i v en e t w o r kd e f e n d a b l e t e c h n o l o g y , w h i c hp r o v i d e so u rs y s t e mw i t hr e a l t i m ep r o t e c t i o na g a i n s ti n n e ra t t a c k s ， o u t e ra t t a c k sa n dm i s u s eo fo p e r a t i o n i tc a nn o to n l yd e t e c t i n t r u s i o n sf r o mt h e e x t e r n a l s ，b u ta l s os u p e r v i s et h eu n a u t h o r i z e do p e r a t i o n so ft h ei n n e ru s e r s w j t ht h ee m e r g e n c eo f h i g hb a n d w i d t hn e t w o r kt e c h n o l o g i e s i d si sn o wf a c i n g t r e m e n d o u sc h a l l e n g e s ：h o wt oa s s u r et h a tt h ei d sp r o c e s sa n da n a l y z el a r g e n u m b e r so fd a t ap a c k e t st i m e l ya n de f f i c i e n t l y ；h o wt or e d u c eo ra v o i dt h e1 0 s so fd a t a p a c k e t s ；h o wt o i n c r e a s et h es e l f - d e f e n d i n go ft h ei d sa g a i n s ta t t a c k s ；h o wt o i m p r o v et h ea c c u r a c ya n de f f i c i e n c yo fo u rs y s t e ma tt h es a m et i m e t h e s ea r et h e p r o b l e m sr e m a i n i n gs o l v i n gi nt h ef i e l do ft h ei d s t h i sa r t i c l em a i n l yd i s c o u r s e du p o nt h ed e s i g na n dr e a l i z a t i o no fak i n do f i n t r u s i o nd e t e c t i o ns y s t e mb a s e do np r o t o c o l a n a l y s i sb yw a y so fs t u d y i n ga n d a n a l y z i n gt h ec o r r e l a t i v eb a c k g r o u n d ，i n t r u s i o nd e t e c t i o nt e c h n o l o g i e sa n dt h e p r o t o c o la n a l y s i so fi n t r u s i o nd e t e c t i o n w h i c ha i m sa tt h es e t t l i n go ft h ep r o b l e m so f i d sm e n t i o n e da b o v e t h em a i nw o r ko ft h i sa r t i c l ei sa sf o l l o w i n g s ： 1 ) d e s i g no ff r a m e w o r ko ft h ed i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ，i n t ow h i c h i n t e g r a t e db o t hh i d sa n dn i d s ，a n a l y z i n gn o to n l ya u d i tl o ga n ds y s t e ml o g ，b u ta l s o r a wn e t w o r kd a t af l o w ；t h i sk i n do ff r a m e w o r kc a nd e t e c ta l l a r o u n di n t r u s i o n sa n d a t t a c k sa g a i n s to u rs y s t e m i nt h i ss y s t e m ，t h es u b s y s t e m so ft h el o w e tl a y e rc o u l d f i n i s hi t sd e t e c t i n gt a s k si n d e p e n d e n t l y , w h i c hc o u l dn o to n l ya v o i dt h el o wd e t e c t i n g e f f i c i e n c yo fc e n t r a l i z e ds y s t e m s ，b u ta l s ol i g h t e n1 0 a d so ft h em a i n c o n t r o l s u b s y s t e m t h eu n a t t a c h e dr u n n i n go f e a c hs u b s y s t e mc o u l de l i m i n a t et h ep r o b l e mo f s i n g l e p o i n tl a p s e n ea d d i n go fn e wh i d ss u b s y s t e mo rn i d ss u b s y s t e mn e e d sj u s t ar e g i s t e rt ot h em a i n c o n t r o l - s u b s y s t e m ，w h i c hs h o w st h ef e x i b l ed e p l o y m e n ta n d g o o de x p a n s i b i l i t yo ft h es y s t e m t h em a i n c o n t r 0 1 s u b s y s t e mm o n i t o r sa n dc o n t r o l s t h er u n n i n go ft h ew h o l es y s t e mg l o b a l l y , d e t e c t i n ga l ls o r t so fm o r ec o m p l i c a t e d i n t r u s i o n sa n da t t a c k s ；t h ei n v a l i d a t i o no ft h em a i n c o n t r o l - s u b s y s t e mw i l ln o t i n f l u e n c et h ef u n c t i o n so ft h e1 0 w e rl a y e r s s od o e st h ei n v a l i d a t i o no fo n eo ft h e s u b s y s t e m so ft h el o w e rl a y e r s 2 、n ed e s i g na n da c c o m p l i s h m e n to fa ne 街c i e n ta n dt r a n s p l a n t a b l ed i s t r i b u t e d d a t a - c a p t u r i n g c a t c h e r t h er e p l a c e m e n to fc e n t r a l i z e dd a t ac a p t u r i n gw i t hd i s t r i b u t e d d a t ac a p t u r i n gi n c r e a s e st h ee 伍c i e n c yo fd a t a c o l l e c t i n gal o t 3 、t h ed e s i g na n dr e a l i z a t i o no ft h ed i s t r i b u t e dn e t w o r ki n t r u s i o nd e t e c t i o n s u b s y s t e m ，w h i c hu t i l i z e dl o a db a l a n c et e c h n o l o g yb a s e do nt y p e so fa p p l i c a t i o n v p r o t o c o ll a y e r , s e n d i n gam a s so fn e t w o r kp a c k e t st h a th a db e e np r o t o c o l - a n a l y z e dt o d i f f e r e n ti n t r u s i o nd e t e c t i o ne n g i n est o i m p r o v ed e t e c t i o ne f f i c i e n c ya n ds o l v et h e b o t t l e n e c ko fc e n t r a l i z e dd e t e c t i o ns y s t e m t h ed e s i g na n dr e a l i z a t i o no f p r o t o c o la n a l y s i s m o d u l e i p f r a g m e n t r e c o m b i n a t i o na n dt c pf l o wr e c o m b i n a t i o n t h ei m p r o v e m e n to fd a t ap a c k e ta n a l y s i s b yp r o t o c o la n a l y s i sl e a d st ot h ei n c r e a s eo fd e t e c t i o ne m c i e n c y t h ed e s i g na n dr e a l i z a t i o no ft h ed i s t r i b u t e di n t r u s i o nd e t e c t i o ne n g i n e w h i c h d e t e c t si n t r u s i o ni nad i s t r i b u t e dw a yu s i n gp r o t o c o la n a l y s i st e c h n o l o g ya n do t h e r a d v a n c e dt e c h n o l o g i e s f i r s t l y , t h eb e t t e r m e n to fl o a db a l a n c ea r i t h m e t i cb a s e do n t y p e so fa p p l i c a t i o np r o t o c o ll a y e rw a sd o n eb ya d d i n gn e wd a t ao fn e wp r o t o c o l t y p e sa n di m p r o v i n gt h ed i s p o s a lf l o wo ft h ea r i t h m e t i c ，b r i n g i n gf o r w a r dt h ei d e ao f s e n d i n gu d pd a t ap a c k e t st od i f f e r e n td e t e c t i o ne n g i n e sb a s e do nt h e i rt y p e so f a p p l i c a t i o np r o t o c o ll a y e r ；s e c o n d l y , a c c o r d i n gt ot h ee s t a b l i s h m e n to ft c p c o n n e c t i o ne v e n t ，t h ee s t a b l i s h m e n to fu d p c o n n e c t i o ne v e n t i sp u tf o r w a r di nt h i s a r t i c l e ；t h i r d l y , t h ee s t a b l i s h m e n tf l o wa n di n t r u s i o nd e t e c t i o nf l o wo fb o t ht c p c o n n e c t i o ne v e n ta n du d p c o n n e c t i o ne v e n t w e r ef r a m e d a c c o r d i n gt od i 陀r e n t p r o t o c o lt y p e so fd a t ap a c k e t sa n dd i f f e r e n tc h a r a c t e r i s t i c so ft h e i rr e a l i z a t i o n t h ea m e l i o r a t i o no fi n t r u s i o nd e t e c t i o nf l o wo ft h es y s t e m t h ev a r i a n c e a n a l y s i sa r i t h m e t i ci su s e dt od e t e c ta b n o r m a ld a t af l o wo ft h es y s t e mw h i l ed a t a p a c k e t sa r es e n tt od i f i e r e n ti n t r u s i o nd e t e c t i o ne n g i n e sb vl o a db a l a n c et e c h n o l o g y b a s e do nt y p e so ft h ea p p l i c a t i o np r o t o c o ll a y e r f o re v e r yp a c k e ts e n tt oo n eo ft h e d e t e c t i o ne n g i n e s ，v a l i d i t yo fa s i n g l ep a c k e ti sf i r s t l yt e s t e d ，a n dt h e nt c p c o n n e c t i o n e v e n to ru d p c o n n e c t i o ne v e n t i sb u i l tb a s e do nt h ep a c k e t sp r o t o c o lt y p e s a f t e r w a r d st h ed e t e c t i o no fp o t e n t i a la n dm o r ec o m p l i c a t e di n t r u s i o n sa n da t t a c k sa r e d o n ee x e r t i n gs o m em i s u s ea n da n o m a l yd e t e c t i o nt e c h n o l o g i e sa c c o r d i n gt ot h e e s t a b l i s h m e n tf l o wa n di n t r u s i o nd e t e c t i o nf l o wm e n t i o n e da b o v e 4 1t h ed e s i g na n dr e a l i z a t i o no fh o s ti n t r us i o nd e t e c t i o ns u b s y s t e m i nt h i s a r t i c l ew eb r i n gf o r w a r dt h em e t h o do fd e t e c t i n gr a wn e t w o r kd a t af l o ww i t ht h e d e s t i n a t i o ni pa d d r e s se q u a lt oi po ft h i sh o s t ，w h i c hi m p r o v e dt h ed e t e c t i o ns c o p e ， r e a l - t i m e e 西c i e n c yo ft h eh i d ss u b s y s t e m 5 、t h ed e s i g na n dr e a l i z a t i o no ft h em a i nc o n t r 0 1s y s t e m a f t e ri n t r u s i o n d e t e c t i o ne n g i n e so ft h e1 0 w e rl a y e r ss e n dt h ef o r m a t t e di n t r u s i o nd a t at ot h em a i n c o n t r o lm o d u l e ，i tu s e sc o r r e l a t i v ed e t e c t i o na r i t h m e t i ct oc h e c ki ft h e r ew e r e i n t r u s i o n sa n da t t a c k sa i m i n ga tt h ew h o l es y s t e m f i n a l l y , s o m ee x p e r i m e n t sw e r e d o n ei nt h el a na n dt h ea n a l y s i sa n dc o m p a r i n gw e r ed o n ea c c o r d i n gt od i f f e r e n t e x p e r i m e n tr e s u l t s k e y w o r d s ：n e t w o r k s e c u r i t y i n t r u s i o n d e t e c t i o n p r o t o c o t a n a l y s i s i n t r u s i o ne v e n td i d s 种基于协议分析技术的混合型入侵检测系统的研究 第一章绪论 1 1 论文的选题背景、依据及意义 信息技术尤其是网络技术的飞速发展，给人们的生活带来了很大的便利，i n t e r n e t 早 已经融入到社会生活的各个方面，但是对计算机以及基础网络设施的攻击行为，特别是针对 政府机构、电子商务的各种攻击入侵却层出不穷。 2 0 0 3 年1 月2 6 日爆发的“2 0 0 3 蠕虫王”病毒导致全球主干网瘫痪 “。2 0 0 3 年1 月2 5 日互联网上出现了种新型蠕虫病毒“2 0 0 3 蠕虫王”，引起了全球性的公用互联网络的瘫痪， 并迅速在亚洲、美洲、澳洲等地传播，而且在以后的几天继续呈迅速蔓延之势。“2 0 0 3 蠕虫 王”病毒的危害远远超过曾经肆虐一时的“红色代码”病毒。感染该蠕虫病毒后的网络带宽 被大量占用，导致网络瘫痪，该蠕虫是利用s o ls e r v e r2 0 0 0 的解析端口1 4 3 4 的缓冲区溢 出漏洞，对网络进行攻击的。 2 0 0 3 年3 月1 0 日黑客利用微软w i n d o w s 2 0 0 0 缺陷攻击并控制了美军网络服务器，美 国陆军对网络进行扫描之后发现有资料从它的多个内部网络服器上被输出到一个“不明确的 区域”，从而发现这个安全事件。根据美国计算机紧急事件反应小组协调中心( c e r t c c ) 公布 的1 9 8 8 2 0 0 2 统计数字显示，报告的入侵事件几乎成指数增加，同时近两年安全漏洞的数量 成倍增长，如图卜1 和图卜2 所示。 矿p 矿一、母扩母妒妒矿矿秽秽矿 图1 1c e r t c c 历年应急事件示意图 ， ， 一 广 i 弼1 0 9 睦1 9 孵l g 鳢1 9 9 92 0 o i2 2 圈1 2c e r t c c 历年安全漏洞示意图 撇栅姗蛳戮黼|垂。 贵州大学硕士学位论文 据统计“1 ，全世界由于信息系统的脆弱性而导致的经济损失，每年达数十亿美元，并且 逐年上升。据美国t 金融时报报道，现在平均每2 0 秒就发生一次入侵计算机互联网的事 件；互联网的防火墙，超过1 3 曾被攻破。 据港台媒体报道“1 ，雅虎( y a h o o ) 新闻网报导，据i b m 提出的报告显示，2 0 0 5 年上半 携带病毒的电子邮件和侵入网络安全漏洞的犯罪事件，大幅增加了5 0 9 6 ；意在窃取资料而且 针对政府机关、金融机构、制造业及健保机构发动的攻击也明显增加。 i b m 全球企业安全指数显示“，诸如垃圾邮件或电脑病毒等无利可图的恶行，的确已 有减少，然而窃取资料库的问题却日益恶化。2 0 0 5 年上半全球共计发生2 3 7 亿件以上的网 络攻击事件，政府机关成为黑客的首要目标，遭到攻击次数超过5 ，4 0 0 万次；其次是制造业， 逾3 ，6 0 0 万次。数量如此惊人的网络犯罪事件，呈现出一个明显的趋势：这些针对特定人士 或公司发动的攻击，主要是为了窃取机密资料。 由此可见，计算机网络入侵事件发生得越来越频繁，其破坏性也越来越大不仅给社会 和人们带来难以估量的经济损失，同时也向我们敲响了网络安全的警钟。传统的网络安全手 段防火墙已经不能解决这个问题。 首先，防火墙难于防内，它很难控制网络内部人员的安全问题。来自外部和内部的众多 攻击令企业网络的管理者头痛不已，而来自企业内部的攻击较之来自外部的攻击更加易于实 施和更加难以防范。内部人员对企业网络的资源情况和安全现状更为了解，并且已有一定的 网络使用权限，这使他们在进行攻击行为时较外部攻击者更加的得心应手，造成的破坏性往 往也更大：据加拿大著名的k p m g 调查与安全公司对1 2 8 3 家公司进行调查后表明，7 0 的黑客 攻击事件都是内部人员所为【2 “。 其次防火墙难于管理和配置，容易造成安全漏洞，有很多入侵发生在防火墙配置不当的 情况下。 入侵检测技术作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操 作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测技术已经成为安全市场 上新的热点，是动态网络安全中必不可少的核心技术之一，入侵检测技术的研究在过去的二 十多年中取得了较大的进步，并开始在各种不同的环境中发挥关键的作用。 i 2 论文各章内容简介 本文各章主要内容如下所示： 第一章论文的选题背景、依据和意义，论文各章内容简介，以及本文的主要研究工作。 第二章主要介绍了入侵检测系统的定义和分类，对两种常用的入侵检测技术做了说明 和比较，介绍了一般入侵检测系统的基本结构，总结了现阶段入侵检测技术存在的主要问题。 第三章主要是基于协议分析技术的混合型入侵检测系统的设计与实现，是本文的核心 章节。首先阐述了入侵检测系统设计的总体原则，提出了本文中的分布式入侵检测系统的体 系结构：然后介绍了分布式n i d s 子系统的设计与实现，h i d s 子系统的设计；最后是系统其 他模块的设计，其中包括主控系统，通信模块，存储子系统以及入侵响应子系统等模块。 第四章主要介绍了“基于协议分析技术的混合型入侵检测系统”在网络中的部署，以 及系统在局域网中的实验测试。 第五章对系统的优点和不足进行了总结，指出了系统以后的进一步工作以及入侵检测 技术的发展趋势。 2 一种基于协议分析技术的混合型入侵检测系统的研究 i 3 本文的主要研究工作 1 ) 综合主机检测器和网络检测器的分布式入侵检测系统体系结构的设计，同时分析来 自主机的审计记录，系统日志以及网络原始数据流，更加全面系统的检测系统的各种入侵攻 击现象。在这种体系结构中，底层可以独立地完成相应的入侵检测，可以避免集中检测中数 据包处理效率低下的问题，减轻了主控系统的负担；各个检测子系统不影响彼此的运行，避 免了单点失效问题；可灵活部署，可扩展性很好；主控系统从全局对整个系统的运行进行监 控，检测针对系统的更加复杂的攻击手段，主控系统失效不会影响其下层各个子系统的入侵 检测，某一个子系统失效也不会影响其他子系统和主控系统的运行。 2 ) 可移植的高效的分布式网络数据包采集器的设计与实现，用分布式数据包捕获取代 传统的集中式数据收集，提高了数据收集效率。这是整个入侵检测系统高效工作的第一步。 3 ) 分布式n i d s 系统的设计与实现，利用基于应用的负载均衡分发技术来进行协议分流， 将协议解析后的数据包以应用为单位分配到不同的入侵检测分析引擎进行入侵检测。 协议分析引擎的设计与实现，完成了i p 分片重组以及t c p 流重组，利用协议分析技 术来提高数据包解析效率，提高检测效率。 分布式入侵检测分析引擎的设计与实现。在协议解析基础上对网络数据流进行分布式 入侵检测。首先改进了基于应用的负载均衡分发算法，对其处理流程进行了改进，增加了算 法中所能处理的数据范围，提出了基于应用根据u d p 数据包所属协议类型为其分配检测引擎 进行入侵检测的思想：以t c p 连接事件的建立过程为参考，提出了建立u d p “连接事件”的 思想；并且根据数据包所属协议类型及其实现特点，分别设计了t c p 连接事件和u d p “连 接事件”的建立流程和入侵检测流程。 系统检测流程的改进：数据包在由负载均衡分发器分配到各入侵检测分析引擎进行入 侵检测的同时，系统利用方差分析算法进行异常数据流的检测。分配到各个入侵检测分析引 擎的数据包，首先进行数据包合法性检查，然后根据其所属协议类型分别建立t c p 连接事件 和u d p “连接事件”，然后根据我们设计的t c p 和u d p “连接事件”的建立和入侵检测流程， 运用各种异常和误用检测技术，进一步检测是否存在包含网络连接中的各种网络入侵现象。 4 ) h i d s 子系统的设计。本系统中我们提出了在h i d s 中分析到达本机的原始数据流的 检测思想，提高了h i d s 检测的实时性和效率。 5 ) 主控系统的设计。底层各个入侵检测分析引擎将检测到的入侵数据格式化后送到主 控模块，主控模块运用相关算法进一步检测针对整个系统的各种入侵现象。 3 贵州大学硕士学位论文 第二章入侵检测系统简介 2 1 网络入侵过程概述 根据h e a d y 等人的观点，入侵( i n t r u s i o n ) 被定义为所有企图危及到网络资源的机密性、 完整性的行为。入侵是个广义的概念，不仅包括被发起攻击的人( 如恶意的黑客) 取得超出合 法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问( d e n i a lo fs e r v i c e ) 等计算机 系统造成危害的行为。入侵行为既有来自外部的渗透，也有来自内部的渗透( 所谓渗透就是 一次成功的入侵) ，归结起来，主要有以下几种： 1 、外部渗透 指的是既未被授权使用计算机又未被使用数据或程序资源的渗透。 2 、内部渗透 指的是虽被授权使用计算机但是未被授权使用数据或程序资源的渗透。 3 、不法使用 指的是利用授权使用计算机、数据和程序资源的合法用户身份的渗透。 另外，这几种入侵行为，并非静止不变的，而是可以相互转变，互为因果的。例如入 侵者通过外部渗透获取了某用户的帐号和密码，然后利用该用户的帐号进行内部渗透；同样， 内部渗透也可以转变成为不法使用。 一个典型的黑客网络攻击过程如图2 - 1 所示。 ， 图2 - 1 黑客实施网络攻击的过程 由图2 - 1 可见，一次完整的攻击过程主要包括三个阶段： 第一阶段是获取系统访问权前的攻击过程：完成第一阶段的攻击过程，获得了系统的访 问权，攻击就已经成功了一半。 第二阶段是获得系统控制权的攻击过程：完成第二阶段的攻击过程，获得系统的控制权 之后，攻击就已经接近完全成功。此时，管理员已经很难阻止攻击者的破坏活动，但可以尽 4 一种基于协议分析技术的混合型入侵检测系统的研究 早地采取一些补救措施，如备份、关闭网络连接、关机等。 第三阶段是获得系统访问权或控制权之后的攻击活动：这一阶段中的活动只是有经验 攻击者的例行公事。 2 2 几种常用的入侵方式分析 1 i p 欺骗 i p 欺骗( i ps p o o f i n g ) 就是对所发送数据包的地址字段进行修改，伪造源主机i p 地址， 因为路由器一般只根据目的地址转发数据，同时。t c p i p 协议也缺乏对源i p 地址的认证。i p 欺骗主要目的就是隐藏入侵者的位置，另一方面原因是因为一些网络服务利用基于i p 地址 的验证来控制用户对目标系统的访问，入侵者可以利用发送带有假冒的源i p 地址的数据包 伪装成被目标主机所信任的一台主机，从而获得对目标主机未授权的访问。入侵者还常利用 被侵入的主机作为跳板，隐藏它们真实的i p 地址。防范i p 欺骗的方法有源地址返回路径确 认( i pv e r i f yr e v e r s e p a t h ) 、采用网络入口过滤( r f c2 8 2 7 ) 、将m a c 地址与i p 地址绑定 等。 2 缓冲区溢出攻击 、 缓冲区溢出攻击基于这样的思想来实施攻击：通过向程序的缓冲区写超出其长度的内 容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它的指令，如果这些指令 是放在有r o o t 权限的内存中，那么一旦这些指令得到了运行，黑客就以r o o t 权限控制了系 统，达到入侵的目的。 缓冲区溢出的一般攻击步骤为：在程序的地址空间里安排适当的代码( 植入法或利用己 存在的代码) ，然后通过适当的地址初始化寄存器和存储器，让程序跳到黑客安排的地址空 间中执行( 如：函数指针或长跳转缓冲区等) 。 3 拒绝服务和分布式拒绝服务攻击 拒绝服务( d e n i a lo fs e r v i c e ，d o s ) 的攻击方式有很多种，最基本的d o s 攻击就是利用 合理的服务请求来占用过多的服务资源，使系统所提供的服务崩溃，从而使合法用户无法得 到服务的响应，如p i n go fd e a t h 。s y nt e a r d r o p ，w i n n u k e ，t f n 2 k ，t r i n o o 等。常见的 d o s 攻击方式有消耗c p u 的资源、耗尽存储资源、耗尽网络带宽。 分布式拒绝服务攻击采用了_ 二种比较特别的体系结构，从许多分布的主机同时攻击一个 目标，从而导致目标瘫痪，简称d d o s ( d i s t r i b u t e dd e n i a lo fs e r v i c e ) 。常见的d d o n 攻 击有：t r i n o o ，t f n ，t f n 2 k ，b l i t z n e t ，f a p i ，s h a f t ，t r a n k 攻击等。d d o s 攻击步骤如下： 1 ) 探测扫描大量主机以找到可以入侵的脆弱主机。 2 ) 入侵有安全漏洞的主机并获取控制权。 。 3 ) 在每台被入侵的主机上安装攻击程序。 整个过程都是自动化的，在短时间内就可以入侵数千台主机。在控制了足够多的主机之 后，从中选择一台作为管理机，安装攻击主程序一到指定逻辑状态后，该管理机指挥所有被 控制机对目标发起攻击，造成目标机瘫痪。 高速广泛连接的网络给用户带来了方便，也为d o s 和d d o s 攻击创造了极为有利的条件。 在低速网中，黑客占领攻击用的代理机时，总是会优先考虑离目标网络距离近的机器，因为 经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以g 为级别的，这使得 攻击可以从更远的地方发起，攻击者的代理机位置可以分布在更大的范围，选择起来更灵活 了。对于大规模的d d o s 攻击，由于目前的i n t e r n e t 中的体系结构中缺乏全网的快速协同防 御制的支持，所以很难防范，往往要联系上游的网络运营商i s p 进行控制处理。 5 贵州大学硕士学位论文 4 碎片攻击 碎片攻击实际上是利用数据包分段进行攻击，按照协议来分，主要有两大类：i p 数据分 片攻击和t c p u d p 数据分片攻击。 i p 数据包最大可达6 4 k b ，而某些网络的最大传输单元( m t u ) 可能相对较小。大于网络 m t o 的i p 数据包必须分段传送，在接收方重新组装。大多数的防火墙、i d s 系统都没有重新 组合i p 数据报的能力。碎片攻击就是利用一些自动分段的工具( 如f r a g r o u t e ) 将单个i p 数 据包拆分成多个小数据包以避开i d s 的检测。根据r f c7 9 1 描述的分段重组算法，如果两个 相邻有重叠部分，允许用后一个分段中的数据覆盖前个分段中重叠的部分。因此，入侵者 可将包含一个t c p 包的i p 数据包分段后，在t c p 报头所在的部分产生重叠第一个分段中 有关t c p 头的部分与前一个分段不一致，第一个分段可能并不表示是一个连接请求，而重组 后的数据包却可能表示一个t c p 连接请求。另外，入侵者还可以通过发送一连串的i p 分段 来进行分段超限( f r a g m e n to v e r r u n ) 攻击。 同样，大于网络m t u 的t c p u d p 数据段在传送前也必须分段传送，然后在接收方重新组 装。因此，入侵者可以将具有入侵语义的t c p u d p 数据段分解成若干个小的i p 数据包，并 且以乱序的方式发送给目标系统，这样，一些基于简单包过滤方式的入侵检测系统就根本无 法识别这个入侵的企图。 要防范碎片攻击，i d s 系统必须进行i p 数据包的重组，在重组的过程中检查相邻分段 之间是否有重叠，重叠部分是否处于敏感数据区，组装后是否会超过6 5 5 3 5 字节等。需要对 t c p u d p 数据段进行重组，审计i p 分段头中的标识字段、分段长度、分段偏移值、t c p 头、 u d p 头等，以数据流的方式提取应用层数据并检测。 5 木马程序攻击 特洛依木马是一种欺骗程序，提供某些功能作为诱饵，背地里做一些事，当目标计算 机启动时，木马程序随之启动，然后在某一特定的端口监听，在通过监听端口收到命令后， 木马程序根据命令在目标计算机上执行一些操作，如传送或删除文件，窃取口令，重新启动 计算机等。常见的特洛伊木马程序有：b 0 n e t s p y ，n e t b u s 等。 6 后门攻击 后门是指入侵者躲过