（通信与信息系统专业论文）入侵检测中几个关键问题的研究.pdf

西安电子科技大学博士论文: 入侵检测中几个关键问题的研究 检测率、 减小虚警率的问题. 针对该问题，本文提出了采用多检测器协作 和 结 果 数 据 融 合 的 解 决 方 案 ， 并 从 集 合 论 的 角 度 进 行 了 相 应 的 分 析 、 论 证 。 协 . 提出了一个基于进程行为分类的实用入侵检测系统原型， 给出了原型的详 细设计和系统框图， 首次解决了同时对系统中多个系统关键程序的执行进 行 监 控 的 问 题 e (u 系 统 原 型 的 核 心 为 系 统 行 为 分 类 器( 神 经 网 络 分 类 器 或 贝叶斯分类器) ，用以完成对系统进程行为的分类与识别。实验证明，基 于该系统原型设计的入侵检测系统，能够有效地检测出那些改变系统程序 行 为 的 入 侵 攻 击( 诸 女 口 : 木 马 、 缓 冲 区 溢 出 以 及 病 毒 等 ) 。 . 提出了一个适用于网络入侵检测系统的分布式体系架构， 这是本文的重要 创 新 之 一健 主 要 采 用 分 布 式 探 测 、 集 中 判 决 的 分 层 次 控 制 模 式 ， 具 有 探 测器异构、易于配置和系统扩展等明显的优点。随后， 对网络入侵检测系 统中 所涉及到的关键技术: 入侵检测系统的 通信机制、 功能模块之间的协 作机制、数据的预处理以及检测结果的数据融合技术等进行了 深入的研 究， 解决了若干实际问 题。最后，讨论了多种网络安全技术梯级配置的网 络纵深安全防御体系，指出入侵检测是对传统计算机安全机制的一种补 充， 它的应用增大了网络与系统安全的保护纵深。 本文的研究工作不仅为我们今后在入侵检测领域中的研究工作提供了 可靠的 理论、 技术依据， 而且具 有明 显的 工程 应用价值. 气 关 键 字 : 入 侵 检 测 “ 入 侵 检 侧 系 统 模 型 v 检 测 性 能分 类 检 测 算 法 “ 入 侵 检 测 系 统 原 型 网 络 入 侵 检 测 系 统 架 构 、 网 络 安 全 防 御 体 系- _ _一 m i 上 一 一 - 刀 . a b s t r a c t a lo n g w it h t h e in c r e a s i n g l y w id e a p p l i c a t io n s o f c o m p u t e r 入侵者的背后甚至得到一些拥有足够系统资源、 专业知识和入侵经验的犯罪组织、竞争的对手甚至是敌对的国家的支撑。而且， 网络安全采用的技术手段与黑客的攻击方式基于同样的环境，黑客的能力与网络 安全防范能力只能是此消彼长， 在斗争中交替发展。因此网络的安全防御和入侵 行为的检测是一个长期的艰巨的任务。 1 . 1 . 1计算机系统的安全 西 安 电 子 科 技 大 学 博 士 论 文 :入 侵 检 测 中 a 全 叁丝噢 h 丝 通常， 计算机的安全主要是指如何保护计算资源和存储在计算机系统中重要信 息。一个计算机的安全系统必须能够保护计算机使其免受入侵攻击，它一般具有 以 下 几 个 主 要 特 性 k o 9 6 . . 机密性 ( c o n f i d e n t i a l it y ) : 机密 性要求只有合法的 授权用户才能 够对机密 的或受限的数据进行存取。 . 完整性 ( i n t e g ri t y ) : 完整性要求保持系统中数据的正 确性和一致性。 也就 是说，不管在任何情况下都要保护数据不受破坏或篡改。 . 可 用 性( a v a i l a b i l i t y ) : 计算 机资 源 和 系统中 的 数 据 信息 在系 统 合法 用户需 要使用时， 必须是可用的。即对授权用户， 系统应尽量避免系统资源被耗 尽或服务被拒绝的情况出现。 . 有责任性 ( a c c o u n t a b i l i t y ) :当 计算机中的泄密现象被检测出 后， 计算机 的安全系统必须能 够保持足够的信息以 追踪和识别入侵攻击者。 .正确性 ( c o r r e c t n e s s ) :在系统中要尽量减少由 于对事件的不正确分类所引 起的虚替( f a l s e a l a r m s ) 现象， 从而提高系统的可靠性。 如果虚警率太高， 那么一个用户的合法行为就会经常性地被误认为是非法的入侵行为而报 鳌，从而使用户的正常活动经常性地被禁止。这样，不仅使得系统的可用 性降低，而且还会使合法用户对系统失去信心。 上述计算机安全的各个特性取决于计算机系统安全策略的需求， 这些安全策略 用来定义或描述系统的不同用户和软件模块的行为，并明确指出那些行为是允许 的，那些又是被禁止的。它们首先由系统的安全负责人给出详细规范的安全性要 求，然后以某种形式加以实现。但是这些安全性规范及其实现却并不能保证没有 错误。 1 . 1 . 2 计算机网络安全 计算机网络安全问题是随着网络特别是i n t e rn e t 的发展而产生的，直到近年来 才得到普遍关注。计算机网络的连通性和开放性给资源共享和通信带来了 最大的 便利，同时也使本不乐观的安全问题雪上加霜:标准化和开放性使多厂商的 产品 可以 互操作，也使入侵者可以 预知系统的行为 ( 这些系统与其他系统有共同的 特 征) e 1 9 8 8 年一个能够在i n t e rn e t 上自 我复制和传播的莫里斯蠕虫程序导致i n t e r n e t 瘫痪了数日，这起网络安全事件促使了 c e r t等许多安全机构和组织的诞生，也 使人们认识到作为 i n t e me t 技术的核心，t c p / i p协议存在许多安全隐患和脆弱性 i l v a n 9 j , j o n c h e r a y 9 5 ) 尽管网络安全的研究得到越来越多的关注， 然而， 网络安全问题并没有因此而 减少;相反，随着网络规模的飞速扩大、结构的复杂和应用领域的不断扩大，出 于各种目 的，盗用资源、窃取机密、破坏网络的肇事者也越来越多，网络安全事 第一章绪论 件呈迅速增长的趋势， 造成的损失也越来越大。 图1 - 1 给出的c e r t / c c所报告的 安全事件统计数字清楚的证明了这一点。 1 9 8 8 1 9 8 9 1 9 9 0 1 9 9 1 1 9 9 2 1 9 9 3 1 9 9 4 1 9 9 5 1 9 9 6 1 9 9 7 1 9 9 8 1 9 9 9 图1 - 1 c e r t / c c安全事 件报告统计 据美国f b i 统计: 全球平均每2 0 秒就发生一起i n t e r n e t 计算机系统被入 侵事 件， 而且仅美国 每年因此而造成的损失就高达1 0 0 亿美圆. 2 0 0 0 年的2 月8 . 1 0 日， 黑客首攻号称“ 世界上最可靠的网站之一” 的y a h o 。 成功后， 3 天之内， 一口 气攻 击了近 1 0 家著名网站， 使这些网站相继瘫痪了2 - 3 个小时。 据市场调查公司y a n k e e g r o u p 估 计， 2 月 初的 黑 客攻击 造 成了1 2 亿多 美 圆的 损失。 y a n k e e g r o u p 的 分 析 家认为:在可预见的将来，情况会变得更糟糕. 一般认为，计算机网络系统的安全威胁主要来自 于黑客 h a c k e r )的攻击、计 算机病毒 ( v ir u s ) 和拒绝服务攻击 ( d e n i e s - o f - s e r v i c e ) 三个方面。目 前， 人们开 始重视来自网络内部的入侵攻击。黑客攻击早在主机终端时代就己经出n i. , m着 ni gh tool s i n t r ud e r kn owl e 二 人吐 l a 七 傲 3 o p h i s t i u t t o n low p a s s wo r d g u e s s i n g 1980 有9已舀1 9 90 ， p. 519二 图1 - 2入侵攻击的复杂性与入侵者所需的 知识程度 i n t e rn e t 的 发展， 现代黑客则从以 系统为主的攻击转变到以 网 络为主的 攻击。 新的 攻击手法包括:通过网络侦听获取网上用户的帐号和密码、监听密钥分配过程、 西 安 电 子 科 技 大 学 博 士 论 文 :入 侵 检 9 1 由 2 1 笠丝巡翌鲤堕 攻击密钥管理服务器，以得到密钥和认证码。从而获得合法资格，利用 u n i x操 作系统 提供的守 护进程 ( d a e m o n )的 缺省帐户进行攻击， 如t e l n e t d a e m o n , f t p d a e m o n , r p c d a e m o n等。 利 用f i n g e r 等 命令收 集 信息， 提高自 己 的 攻击能 力; 利用s e n d m a i l ， 采用d e b u g , wiz a r d 和p i p e 等进 行 攻击: 利用f t p ， 采 用匿 名 用 户访问进行攻击:利用n f s 进行攻击。通过隐蔽通道进行非法活动、突破防火墙 等。目前，已知的黑客攻击手段达数百种之多，而且随着攻击工具的完善，攻击 者不需要专业知识就能够完成复杂的攻击过程 ( 图1 - 2 ) a 总之， 人们面临来自 计算机网络系统的安全威胁日 益严重。 安全问题己经成为 影响网络发展、特别是商业应用的主要问题，并直接威胁着国家和社会的安全。 1 . 1 . 3计算机及网络系统的安全对策 尽管对计算机安全的研究取得了很大进展， 但安全计算机系统的实现和维护仍 然非常困 难， 因为我们无法确保系统的 安全性达到某一确定的安全级别 1f ra n k 9 4 . k s 9 4 . a f v 9 5 1 . 入侵者可以 通过利用系 统中 的安全漏洞侵入系统， 而这些安全性漏洞主要 来源于系统软件、应用软件设计上的缺陷或系统中安全策略规范设计与实现上的 缺陷和不足。即使我们能够设计和实现一种极其安全的系统，但由于现有系统中 大量的应用程序和数据处理对现有系统的依赖性以 及配置新系统所需要的附加投 资等多方面的限制， 用新系统替代现有系统需付出 极大的系统迁移代价，所以这 种采用新的安全系统替代现有系统的方案事实上很难得到实施。另一方面，通过 增加新功能模块对现有系统进行升级的方案却又不断地引入新的系统安全性缺 陷。 针对计算机系统、网络的安全问题， 出 现了 许多有效的反入侵技术。 h a l m e 等 图 1 一各种反入侵攻击技术及其配置图 人对通用的反入侵攻击技术 ( 先发制人、预防、威慑、检测、诱骗以及对抗等) 第一章绪论 进行了 研究， 并给出 它 们在 系统资 源保护中 所处的 位置( 图1 - 3 ) h b 9 5 。 由 于 本文 主要讨论入侵检测的问题，对其他的反入侵技术不再进行详细的讨论。 入 侵 检 测 a n d erso n 80 , d en n in g 8 7 是 最 近1 0 余 年 发 展 起 来 的 一 种 动 态 的 监 控 、 预 防 或 抵御系统入侵行为的安全机制。主要通过监控网络、系统的状态、行为以及系统 的使用情况，来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全 缺陷对系统进行入侵的企图。 . 和传统的预防性安全机制相比，入侵检测是一种事 后处理方案，具有智能监控、实时探测、动态响应、易于配置等特点。由于入侵 检测所需要的分析数据源仅是记录系统活动轨迹的审计数据，使其几乎适用于所 有的计算机系 统k o 9 6 。 入侵检测技术的引入， 使得网 络、 系统的 安全性得到 进一步 地提高 ( 例如，可检测出内部人员偶然或故意提高他们的用户权限的行为，避免 系统内 部人员对系统的越权使用) 。 显然， 入侵检测是对传统计算机安全机制的一 种补充，它的开发应用增大了网络与系统安全的保护纵深，成为目前动态安全工 具的主要研究和开发的方向。许多研发机构和主要的安全厂商都在进行这方面的 研究和开发，有的己推出了相应的产品。 实践经验使人们认识到: 由于现有的各种安全防御机制都有自己的局限 性。 例 如，防火墙c z 9 5 能 够通过过滤和访问 控制阻止多数对系统的非法访问， 但是不能 抵御某些入侵攻击，尤其是在防火墙系统存在配置上的错误、没有定义或没有明 确定义系统安全策略时， 都会危及到整个系统的安全.另外，由于其主要是在网 络数据流的关键路径上， 通过访问控制来实现系统内 部与外部的隔离，从而针对 恶意的移动代码 ( 病毒、 木马、缓冲区溢出等) 攻击、来自 内部的攻击等，防火 墙将无能为力。因此，针对网络的安全不能只依靠单一的安全防御技术和防御机 制。 只有通过在对网 络安全防御体系和各种网络安全技术和工具的研究的 基础上， 制定具体的系统安全策略， 通过设立多道的安全防线、集成各种可靠的安全机制 ( 诸如:防火墙、存取控制和认证机制、安全监控工具、漏洞扫描工具、 入侵检 测系统以 及进行有效的安全管理、培训等) 建立完善的多层安全防御体系， 才能 够有效地抵御来自 系统内、外的入侵攻击，达到维护网络系统的安全。 1 .2入侵检测与入侵检测系统 1 . 2 . 1 基本概念 入侵行为， 主要指对系统资源的非授权使用， 它可以 造成系统数据的丢失和破 坏、 甚至会造成系统 拒绝对合法用户服务等 后果。 a d e r s o n 把入侵者分为两 类a u r9 5 . 外部入侵者 ( 一般指系统中的非法用户， 如常说的黑客) 和内部入侵者 ( 有越权 使用系统资源行为的合法用户) 。 西安电子科技大学博士论文: 入侵检测中几个关键问 题的研究 入侵 检测 ( i n t r u s i o n d e t e c t i o n ) 的目 标就是通过检查操作系 统的审计数据或网 络数据包信息来检测系统中违背安全策略或危及系统安全的行为或活动，从而保 护信息系统的资源不受拒绝服务攻击、防止系统数据的泄漏、篡改和破坏.关于 入侵检测技术的研究，涉及到计算机、网络以及安全等多个领域的知识。目 前， 最基本的入侵检测方法主要是基于己知入侵行为模式、基于通信业务分析以及基 于系统状态 ( 或行为)统计异常性的检测。我们将在第二章对现有入侵检测技术 和基本模型进行详细讨论，并给出相应的分类分析。 1 .2 .2入侵检测系统 入侵检测系统就是能够通过分析系统安全相关数据来检测入侵活动的系统。 一 般来说，入侵检测系统在功能结构上基本一致，均由数据采集、数据分析以及用 户界面等几个功能模块组成，只是具体的入侵检测系统在分析数据的方法、采集 数据以及采集数据的类型等方面有所不同。面对入侵攻击的技术、手段持续变化 的 状况， 入侵检测系统 ( i n t r u s i o n d e t e c t i o n s y s t e m ) 必须能够维护一些与检测系 统的分析技术相关的信息，以使检测系统能够确保检测出对系统具有威胁的恶意 事 件。 这 类 信 息 一 般 包 括 m m m 99 1 0 系统、用户以 及进程行为的正常或异常的特征轮廓。 . 标识可疑事件的字符串，包括:关于己知攻击和入侵的特征签名。 . 激活针对各种系统异常情况以及攻击行为采取响应所需的信息。 这些信息以安全的方法提供给用户的i d s 系统，有些信息还要定期地升级。 d e n n i n g 在1 9 8 6 年 提出 的 基 于主 机系 统的 主体 特 征轮 廓、 系 统 对象、 审 计日 志、 异 常 记录以 及 活 动规则等的 检测系 统 模型 d e n n in g 8 7 是 最典 型( 也是 最 常 被引 用) 的 系统设计模型。具体实现时，多采用基于规则的模式匹配算法，通过审计迹与主 体特征轮廓的匹配程度来检测在系统登录、程序执行以及文件存取时的入侵攻击 或资源滥用。 这种设计模型在许多早期基于主机的监测系统中 得到了 广泛的应用， 诸 如 : i d e s ( i n tr u s io n - d e t e c t i o n e x p e rt s y s t e m ) lt a 9 :、 n i d e s ( n e x t g e n e r a t io n r e a l - t im e i d e s ) a f v 9 5 .a l / + 9 0 . j l a 9 3 . v l 8 9 , w 继而综合应用软 件工程、数据融合、人工智能、知识表述与获取以及分布式系统理论和技术，从 检测模型、系统原型、检测算法、检测性能评测以及分布式体系架构等方面，针 对一些具体问题做了大量的研究工作， 提出了一些新的观点和实用系统设计模型， 并解决了若千理论与工程实现中的问 题。主要包括: . 对现有入侵检测领域的各种检测模型和技术进行综述和归类分析， 详细地 讨论了各种技术的优缺点。 . 从系统行为分类和软件工程的角度提出了基于系统行为分类的检测模型 和基于数据流的入侵检测系统设计模型。明确地提出了入侵检测研究的关 键问 题: 如何定义、 描述和获取系统的行为知识或检测模型。 在分析网络 数据多维属性特征模型的基础上， 讨论了 面对海量的网络数据信息， 网 络 入侵检测可利用的网络数据特征及其相应的知识获取和数据分析技术。 . 通过分析影响入侵检测有效性参数， 给出了评测检测系统与检测算法性能 的重要测度:虚警率、检测率.本文提出了采用多检测器协作和结果数据 融合的解决方案，并从集合论的角度进行了相应的分析、论证。 . 提出了一个基于进程行为分 类的实用入侵检测系统原型， 它能够根据系统 配置，同时对系统中的多个系统关键程序的执行进行监控。 这是作者的首 创。实验证明，基于该系统原型设计的入侵检测系统，能够有效地检测出 那些改变系统程序行为的入侵攻击( 诸如: 木马、 缓冲区溢出以及病毒等) 。 西安电子科技大学博士论文: 入侵检测中几个关键问题的研究 . 提出了一个适用于网 络入侵检测系统的分布式体系架构， 它主要采用分布 式探测、集中判决的分层次控制模式，具有探测器异构、易于配置和系统 扩展等明显的优点，并给出了各功能模块间的数据控制关系。 这是本文的 创新之一。 对网络入侵检测系统中所涉及到的关键技术: 入侵检测系统的 通信机制、 功能模块之间的协作机制、数据的预处理以及检测结果的数据 融合技术等进行了 深入的研究。 . 讨论了多种网络安全技术梯级配置的网络纵深安全防御体系， 指出入侵检 测是对传统计算机安全机制的一种补充， 它的应用增大了网络与系统安全 的保护纵深。 全文共分为六章，其余章节具体安排如下: 第二章对现有入侵检测领域的各种检测模型和技术进行综述和归类分析， 详细 地讨论了各种技术的优缺点。 第三章提出了基于系统行为分类的检测模型和基于数据流的入侵检测系统设 计模型。讨论了评测检测系统与检测算法性能及其重要测度。给出了采用多检测 器结果进行数据融合，来提高系统检测率、减小虚等率的解决方案。 第四章研究通过监控系统关键程序来检测入侵的技术， 设计了 实用的神经网络 分类器或贝叶斯分类器，提出了一个基于系统行为分类检测模型的入侵检测系统 设计原型及其详细设计和系统框图。首次解决了同时对系统中的多个系统关键程 序的执行进行监控的问题. 第五章在分析网络数据多维属性特征模型的基础上， 讨论并给出了网络入侵检 测可利用的网络数据特征以 及相应的知识获取和数据分析技术。 第六章在对网络入侵检测所面临的问题进行分析和研究的基础上， 提出了一个 网络入侵检测系统的分布式体系架构。并且针对检测子系统间的协作，提出了一 个基于贝叶斯分类器的多探测器结果融合决策的解决方案。然后从网络安全纵深 防御体系的角度分析入侵检测在网络安全中的地位。 最后，结束语对全文的研究工作进行了总结，指出了进一步研究的方向。 第二章 入侵检测与入侵检测系统 第二章 入侵检测技术与入侵检测系统 本章介绍了 现有的各种入侵检测技术，并从不同的角度对现有的 检测技术和入侵检测系 统进行分类分析， 详细地讨论了 各种技术的 优缺点。使我们能够从整体上把握入侵检测领域 的研究和发展方向. 2 . ，引言 l a n d w e h r 等 通过 对计 算机 系统 安 全 缺陷 的 分析 表明 l b m 9 4 1 : 任何一 个 计 算 机系 统中都会存在一些能够威胁其安全的缺陷、漏洞或弱点。由于我们无法保证一个 信息系统及其工作平台、环境中没有安全性缺陷，这样我们使用的信息系统就难 免会受到利用系统安全性缺陷实施的攻击。为增强计算机系统或网络系统的安全， 除了 采用经典的安全技术 ( 诸如:加密、认证、存取控制以及防火墙等) 之外， 近十几年出现的动态安全检测、防御技术:诸如漏洞扫描、入侵检测等技术在网 络、 系统安 全领域中， 得到了 广泛的 关注和应用。自 从 d e n n i n g开始研究入侵检 测技术d e n n in g 8 7 1 ， 人们陆续提出了 许多关于 入侵检测的系统原型( s o b i r e y 列出了 其 中的5 9 种系统) s o b 9 8 1 。 绝大多数的系统原型 和检测工具是基于t c p / i p 协议 和u n i x 操作系统的， 但也有一些产品适用于企业网中广泛配置的wi n d o w s n t操作系统。 通过对现有系统 ( 研发用的系统原型或商业产品)及其实现技术的分类、分析， 并 总 结 说明 入 侵检 测系 统的 主 要 特征 ( , 9 9 b ， 可以 进一 步了 解各实 现技术的 优 缺点 ， 从而使我们能够从整体上把握入侵检测领域的研究和发展。 2 .2入侵检测技术与系统的分类 通过对现有入侵检测系统的 研究， 我们可以 从下面几个角度对入侵检测系统进 行分类 ( 如图2 . 1 所示) : .根据检测方法可划分为:基于行为的入侵检测系统 ( b e h a v i o r b a s e d i d s ) 和 基于 入 侵知 识的 入 侵检 测 系 统( k n o w l e d g e - b a s e d i d s ) 。 前 者 利 用 被 监 控 系统正常行为的信息作为检测系统中入侵、异常活动的依据。后者则根据 已 知入侵攻击的信息 ( 知识、模式等) 来检测系统中的入侵和攻击。 . 根据目 标系统的类型可分为: 基于主机的 ( h o s t - b a s e d ) 入侵检测系统和基 于网 络的 ( n e t w o r k - b a s e d ) 入侵检测系统。 . 根据入侵检测系统的分析数据来源来划分: 入侵检测系统的分析数据可以 9安电 子科技大学博士论文: 入侵检测中几个关键问 题的 研究 是:主机系统的审计迹 ( 系统日 志) 、网络数据报、应用程序的日 志以及其 它入侵检测系统的报带信息等。据此可分为基于不同分析数据源的入侵检 测系统。 . 根据检测系统对入侵攻击的响应方式可分为:主动的入侵检测系统和被动 的入侵检测系统。主动的入侵检测系统在检测出入侵后，可自 动地对目 标 系统中的漏洞采取修补、强制可疑用户 ( 可能的入侵者) 退出系统以及关 闭相关服务等对策和响应措施。而被动的入侵检测系统在检测出对系统的 入侵攻击后只是产生报苦信息通知系统安全管理员，至于之后的处理工作 则由系统管理员完成. 表2 . 1 入侵检测系统分类情况汇总表 入 侵 检 测 系 统 分 类 依 据入 侵检测系 统类别备注 检测方法 基于行为的入侵检测系统也称异常性检测 基 于 入 侵 知 识 的 入 侵 检 测 系 统 也 称 滥 用 检 测 被保护的目标系统 基于主机的入侵检测系统主机环境适用 基 于 网 络 的 入 侵 检 测 系 统一 适 用 于 网 络 环 境 分析数据源 主机系统的审计迹、系统日 志等 根据分析数据源可 分为针对不同分析 数据源的入侵检测 系统。 网络数据报、网管信息 应用程序的日 志 其它入侵检侧系统的报替信息 响应方式 主动的入侵检侧系统对检测到的入侵进 行主动响应、处理。 被动的入侵检测系统对检测到的入侵仅 进行报带 下面， 我们主要从入侵检测方法、目 标系统和分析数据源的角度对现有的入侵 检测系统及其实现技术进行研究分析. 2 .3基于入侵知识的和基于行为的入侵检测 基于入侵知识和基于行为的入侵检测技术在处理数据的方式上是互补的。 基于 知 识的 检测方法， 也称滥用检测 ( m i s u s e d e t e c t i o n ) a f v 9 5 ,a u + 9 4 ,k s 9 4 ,n u u h i9 8 ,r io 9 9 4 主要利用收集到的入侵或攻击的相关知识 ( 特征、模式等) 来检查系统中是否出 现了 这些己 知入侵攻击的特征或模式， 并据此判断系统是否遭受到攻击。而基于 行为的入侵检测，则是为被监控的信息系统构造一个有关系统正常行为的参考模 型 ( 有关用户、 系统关键程序等的特征轮廓) ， 然后检查系统的运行情况，若与给 定的参考模型存在较大的偏差，则认为系统遭到了入侵攻击。这种根据系统行为 特征进行检测的方法也称为异常性检测 ( a n o r m a l d e t e c t i o n ) a f v 9 5 a u + 9 4 ,d c n n in g 8 7 ,l b 9 7 ,l b 9 8 4 3 。下面详细讨论这两类入侵检测技术。 第二章 入侵检测与入侵检测系统 2 . 3 . 1 基于入侵知识的入侵检测 基于入侵知识的入侵检测技术通过收集入侵攻击和系统缺陷的相关知识来构 成入侵检测系统中的知识库，然后利用这些知识寻找那些企图利用这些系统缺陷 的攻击行为.也就是说，这类入侵检测方案通过检测那些与己知的入侵行为模式 类似的行为或间接地违背系统安全规则的行为，来识别系统中的入侵活动.系统 中任何不能明确地认为是攻击的行为，都可认为是系统的正常行为。因此，基于 入侵知识的入侵检测系统具有很好的检测精确度，至少在理论上具有非常低的虚 苦率， 但是其检测完备性则依赖于对入侵攻击和系统缺陷的相关知识的不断更新、 补充。 使用这类入侵检测系统， 可避免系统以后再遭受同 样的 入侵攻击而且系统安全 管理员能 够很容易地知道系统遭受到那种攻击并采取相应的行动. 但是，知识库 的维护需要对系统中的每一个缺陷都要进行详细的分析，这不仅是一个耗费时间 的工作，而且关于攻击的知识，依赖于操作系统、软件的版本、硬件平台以及系 统中 运行的应用程序。 这种入侵检测技术的主要局限在于: 它只能根据已知的入侵序列和系统缺陷的 模式来检测系统中的可疑行为， 而面对新的入侵攻击行为以及那些利用系统中未知或潜在缺陷的越权行为 则无能为力. 检测系统知识库中的入侵攻击知识与系统的运行环境有关。 对于系统内 部攻击者的越权行为，由 于他们没有利用系统的缺陷，因而很 : 难检测出来。 在实现上， 基于入侵知识的入侵检测系统只是在表示入侵模式 ( 知识) 的方式 以 及在系统的审计迹中检查入侵模式的机制上有所区别.主要实现技术可分成以 下 几 类: 专 家系统 a f v 9 5 ,a u + 9 4 ,l u n t9 3 , 、 入 侵签名 分 析 c is c o 9 9 , h a y9 7 ,is s 9 9 , ww 、 状态 迁 移 分 析 p lp n 9 3 ,k e m 9 7 ,k r p 9 5 ,v k 9 9 if 或 模式匹 配k u m a n9 5 ,k s 9 4 等. i .专家系统 早期的入傻检测系统多采用专家系统来检测系统中的入侵行为。 n i d e s a f v 9 5 ,a u + 9 4 、 w 其中条件为审计记录中某些域的限制条件: 动作表示规则被触发时入侵 检测系统所采取的处理动作，结果可以是一些新证据的断言或用于提高某个用户 行为的可疑度.这些规则既可识别单个审计事件， 也可识别表示一个入侵行为的 一系列事件.专家系统可以自动地解释系统的审计记录并判断他们是否满足描述 入侵行为的规则。 西安电子科技大学博士论文: 入侵检测中儿个关键问题的研究 安全专家们多 采用基于 规则的语言( r u l e - b as e d l a n g u a g e ) 来描述关于收集到 的 入侵攻击的知识【m c h z 9 4 ,m o u 9 7 。 这种方案通过对系统审计迹进行系统浏览来获取 企图利用已知系统缺陷进行攻击的证据。也可用来对一种安全规则是否能正常工 作进行验证.但使用基于规则语言的方法也具有一些局限性: 使用专家系统规则表示一系列的活动不具有直观性; 除非由专业人员来做专家 系统的升级工作，否则规则的更新将是很困难的。而且使用专家系统分析系统的 审计数据也是很低效的。系统的处理速度的问题使基于专家系统的入侵检测系统 只能作为一种研究原型，若要商用化则需要采用更有效的处理方法。 2 入侵签名分析 入侵签名分析采用与专家系统相同的知识获取方法， 但在检测时对这些关于入 侵活动的知识的使用方式则不同。专家系统把知识表示成规则，检测时， 对系统 审计数据记录进行抽象处理，然后再看是否符合规则，判断入侵活动。入侵签名 分析则把获得的入侵攻击的知识翻译成可以 在系统审计迹中直接发现的信息。例 如，一个入侵攻击事件可用它所产生一系列审计事件或在系统审计迹中可以匹配 处理的数据模式表示。这种方法在检测时，不再需要语义级的攻击描述。 由于这种技术在实现上简单有效， 现有的商用入侵检测系统产品中多采用这种 技术 c is c o 9 9 . h a y 9 7 ,is s 9 9 , w g c j 。 该方 法具 有所有基于入侵知识的检测方法的 共同 缺点: 需要定期更新有关新发现的系统缺陷的知识.一个攻击及其变种的各种特征都需 要用对应的签名表示出 来， 这样，每一种入侵攻击都可能具有多个入侵签名。再 加上网络环境中软硬件平台的异构性，这些都会大大地增加入侵检测系统对入侵 签名库更新的难度。 3 .状态迁移分析技术 u s t a t 系 统中 使 用了 状 态 迁 移 分 析的 方 法 iig u n 9 3 ,k e m 9 7 ,k r p 9 5 ,v k 9 9 1f 。 入 侵 行 为 是 由攻击者执行的一系列的操作，这些操作可以使系统从某些初始状态迁移到一个 危及系统安全的状态。这里的状态指系统某一时刻的特征 ( 由一系列系统属性来 描述) .初始状态对应于入侵开始前的系统状态:危及系统安全的状态对应于己成 功入侵时刻的系统状态.在这两个状态之间，则可能有一个或多个中间状态的迁 移。在识别出初始状态、危及系统安全的状态后，主要应分析在这两个状态之间 进 行 状态 迁移的 关 键活 动， 可以 用 状 态 迁移图 h u 7 9 , aq 或 专家系 统的 规则 来 描述 状 态间的迁移信息。状态迁移分析主要考虑入侵行为的每一步对系统状态迁移的影 响， 它可以 检测出协同 攻击者和那些利用用户会话对系统进行攻击的 行为。 但是， 这种模型只适用于那些多个步骤之间具有全序关系的入侵行为的检测。 例如: 邮件转发程序是一个具有超级权限运行的系统程序， 攻击者可以利用它 第止章 入浸检测与入俊检测系统 获 取 系 统 的 超 级 用 户 的 访 问 权 限 。 利 用u n i x 4 .2 b s d 邮 件 转 发 程 序 的 缺 陷 c e r t 95 r .py c e r t 9 5 b 的攻击序列状态转换图 ( 图2 - 1 ) 可由 下列命令序列得出: . c p / b i n / s h / u s r / s p o o l / m a i l / r o o t该命令在 r o o t 用户的邮 件信箱中 创建一 个s h e l l 文件的拷贝。 . c h m o d 4 7 5 5 / u s r / s p o o l/ m a i l/ r o o t修改s h e l l 文件的拷贝的 权限， 使其具有 s u i d权限。 . t o u c h x 该命令对完成攻击不是很重要， 但攻击者需提供的一个伪造的 文件x ，用作发给r o o t 用户的邮件。 . m a i l r o o t x这一步，攻击者把伪造的邮件x 发给r o o t ，邮件程序，就 会自 动修改: o c t 的文件主为 “ r o o t ( r o o t 邮件信箱的文件主) ，而且不会 改变r o o t 的s u i d权限。 修改 o b j的 文件主 l . o b j 不存在i . o b j 文件主为u s e r o b j 文件主为r o o t 2 . o b j 没有s u i d权限 l . o b j 文件主为u s e r 2 . o b j 己 有s u i d权限2 . o b j 己 有s u i d权限 注: o b j 为s h e l l 文 件 ” / u s r / s p o o ll m a il / r o o f 图2 - 1 :利用s e n d m a i l 程序获取u n i x特权用户权限的 状态转换图 4 .模式匹配 s a n d e e p k u m a r 使 用c p n ( c o l o r e d p e t r i n e t w o r k ) 来描 述入侵者的 攻 击 模式 k . m a m ,k s 9 4 1 o c p n是节点 代表状态， 边表示状态间 迁移的有向图。 图中表示 迁移的 边可以附加一些用表达式描述的操作 ( 卫士命令) 。 在发生状态迁移时， 这些表达 式允许对一些符号的 局部变量进行赋 值。 c p n可有多 个初始状态， 但只能 有一 个 终结状态.开始匹配时，每个初始状态上放一个令牌。每个c p n可能拥有一组与 它有关的变量， 用于描述状态变迁的上下文。 这个模型把入侵检测的问 题转化成模式匹配的问 题: 系统的审计迹被视为 抽象 的事件流， 入侵行为 检测器被视为模式匹配器.因 为模式识别技术比 较成熟， 在 构造一个系统时，可以围绕它的实用性和有效性做一些优化。因此，使用模式匹 配技术检测入侵行为比 使用专家系统更有效。 i d i o t ( i n t r u s i o n d e t e c ti o n i n o u r t i m e ) 是美国 普 度大学的c o a s t 实 验室利用s a n d e e p k u m a r 的模型设计的入 侵检 测系统，由 于在i d i o t中，审计记 录被映射成代表事件类型的特殊标识符组成的 西安电子科技大学博士论文: 入侵检测中几个关键问题的研究 元组。 i d i o t 不依赖于审计记 录的 格式，使得它可 应用于其它的领域，也 就是说， i d i o t分析的数据来源不仅限于系统的审计记录，凡是能反映入侵行为的数据信 息均可用作i d i o t的数据源。诸如在基于t c p / i p的网络中分析i p数据流，可利 用对t c p / i p 的 状态机的 缺陷的 监控检测s y n - f l o o d 攻击行为 p a x s o n 9 8 ,p n 9 8 ,p v 9 8 8 不成功的 系统登录 开始状态s 1 注:t 2 - t l -6 0秒 图2 - 2一分钟内出现四次系统登录失败的c p n变化图 图2 - 2中， 给出了一个利用c p n表示的系统报等模式的简单例子， 如果在一 分钟内 不成功的系统登录次数达到四次就认为受到了攻击。 当状态s 1 拥有令牌且 系统检测到一次不成功登录的活动时， 将发生从状态s 1 到状态s 2 的迁移 ( 竖线 表示) 。 第一次出 现不成功登录的时刻被记录在令牌变量t 1 中.从s 4 到s 5 的迁 移发生条件为: 状态s 4 拥有一个令牌、 系统检测到不成功的系统登录活动且出 现 这次不成功登录的时间与t 1 中保存的时间的差不超过1 分钟。到达状态s 5 则表 示系统中的近期活动与图2 一中表示的入侵签名相匹配， 检测系统就要进行报等或 采取相应的对策阻止入侵者的攻击。 2 .3 .2 基于行为的入侵检测 基于行为的检测认为: 入侵攻击活动与系统 ( 或用户) 的正常活动之间存在偏 差。 这类检测系统的基本思想可参考d e n n i n g 在1 9 8 6 年提出的 基于系统行为检测 的 入 侵 检 测 系 统 模 型 d e n n in g 8 7 : 通 过 对 系 统 审 计 迹 数 据的 分 析 建 立 起系 统 主 体( 单 个用户、一组用户、主机甚至是系统中的某个关键的程序和文件等)的正常行为 特征轮廓 ( p r o f i l e ) ;检测时，如果系统中的审计迹数据与己建立的主体正常行为 特征有较大出入， 就认为系统遭到入侵。 特征轮廓是借助主体登录的时刻、 位置， c p u的使用时间以 及文件的存取属性等，来描述主体的正常行为特征.当主体的 行为特征改变时，对应的特征轮廓也相应改变。 目 前这类入侵检测系统在实现上多 采用统计、 专家系统、 神经网 络以 及计算机 免疫等技术。 1 .统计 构建基于行为的入侵检测系统的最常用的技术就是利用统计理论提取用户或 第二章 入侵检测与入侵检测系统 系 统正 常 行为的 特征轮 廓 a f v 9 5 ,a u + 9 q ,h l 9 3 * 。 统 计 性 特征 轮 廓 通常由 主体 特征 变 量 的频度、均值、方差、被监控行为的属性变量的统计概率分布以及偏差等统计量 来描述。典型的系统主体特征有:系统的登录与注销时间、资源被占用的时间以 及处理机、内存和外设的使用情况等.至于统计的抽样周期可以从短到几分钟到 长达几个月甚至更长.基于统计性特征轮廓的异常性检测器， 通过对系统审计迹 中的数据进行统计处理，并与描述主体正常行为的统计性特征轮廓进行比较，然 后根据二者的偏差是否超过指定的门限来进进一步判断、处理。许多入侵检测系 统或系统原型都采用了这种统计模型。 。 s r i 的n i d e s ( n e x t g e n e r a t io n r e a l - t i m e i n t r u s io n - d e t e c t i o n e x p e rt s y s t e m ) 就 是 一 个 基 于统 计 性 特征 轮 廓的 异 常 性 检测 系统 p v 9 q 。 在系 统中 用户活 动的 特 征 轮 廓 有长期与短期之分。长期的特征轮廓描述用户的总体行为特征，而短期的特征轮 廓只是反应最近一段时间内用户活动的特征。长期的特征轮廓不断地进行更新， 且更新时给予近期的数据较大的权重。检测时则可以通过比 较用户的长、短期特 征轮廓， 来判断用户的近期活动是否异常 ( 与长期特征轮廓的偏差超过给定门限 值时) 。若用户的近期活动异常则可认为这些活动正在攻击系统。应注意用户行为 的特征轮廓要随着用户行为的逐步改变而更新. n i d e s的统计性特征提取模块在 s r i 的s a f e g u a r d工 程中 还被用于监控应用程序的 运行，以 检测应用程序的 非 授 权使 用。 这种 方法 对 特洛伊马( t r o j a n h o r s e ) 以 及 欺骗 性的 应 用程 序的 检 测 非 常有效。 2 .专家系统 基于行为的入侵检测系统也常用专家系统来实现。 这些系统中多用规则来描述 用户 ( 或系统) 行为的 特征轮廓，所谓规则是一组用于描述主体每个特征的合法 取值范围与其它特征的取值之间关系的表达式。典型的 系统有: t i m ( t h e t i m e - b a s e d i n d u c t i v e m a c h i n e ) ，一个使用规则的异常性检测系统 t c l 9 0 ， 它使用归 纳的方法来生成规则， 这些规则在系统的学习 阶段可以 动态地修 改。如果通过大量的观测，一些规则具有较高的预测性或者能够被确认，则把它 们放入到规则库中。 系统采用信息消的模型计算规则的 预测概率。 下面给出由t i m 生成规则的例子: e , * e 2 ， e , = * ( e , = 9 5 % , e , = 5 % ) 其中 ，e e 2 1 . . . . . . 凡是 有 关 系 统 安 全的 事 件。 上 面 的 规 则 表明 ， 在出 现 事 件 序 列ee 2 , e , 后， 下 一 个 事 件 只可 能 是e , 或e , ， 而 发 生 的 概 率 分 别为 : e , 为9 5 % , e ， 为5 % 。 这条规则的 生 成基于以 前的 历史 性 观 测数 据. t i m为了 使 规则集能 够 真实地反映系统的典型行为以及方便管理，允许在系统的生命期内修改规则集。 .曰. .口 . . 西 安 电 子 科 技 大 学 博 士 论 文 :入 侵 检 测 中 儿 个 关 w1 7 题 鱼 竺 叁 w i s d o m 而不需要获取描 述用户行为特征的特征集以 及用户行为特征测度的统计分布。因此，避开了 选择 统计特征的困难问题，使如何选择一个好的主体属性子集的问题成了一个不相关 的 事从 而 使 其 在 入 侵 检 测 中 也 得 到 了 很 好 的 应 用 d b s 92 . f h r s 90 . frank94 . 0 s99 , t 9 9a 4 .基于系统关键程序的安全规格描述方法 加州大学的c a l v i n c h e u k w a n g k 。 提出的基于安全规格说明的 监控技术是一 种 新的 入 侵 检 测方 法 x o % . k r l 9 7 1 。 其 思 想是 为 系 统中 的 安 全关 键程 序 ( 例如， 特 权 程序) 编写安全规格说明， 用来描述