（通信与信息系统专业论文）入侵检测与响应系统研究.pdf

摘要 入侵检测系统是近十几年发展起来的新一代集检测、记录、报警响应于一体 的动态安全技术。作为信息安全保障的一个重要环节，它很好地弥补了访问控制、 身份认证等传统保护机制的不足，成为目前动态安全工具的主要研究和开发方向。 本论文对现有的各种入侵检测模型和技术进行了系统归类和分析研究，详细 讨论了各检测分析技术的优点和存在的不足；对入侵响应系统和入侵追踪技术进 行了初步的研究；在研究基于静态自治代理和移动代理的入侵检测基础上，设计 了一种基于多代理的分布式入侵检测与响应系统模型( m u l t i a g e n t b a s e di n t r u s i o n d e t e c t i o nr e s p o n s es y s t e m ，m a i d r s ) 。该系统模型利用多代理的思想来构造分布 式入侵检测与响应系统，使之不但兼有基于自治代理和基于移动代理入侵检测的 优点，又克服了它们各自存在的一些缺陷；针对基于代理的入侵检测系统普遍存 在的代理配置复杂问题，作者结合信息论的思想从理论上设计了一个自适应模型 生成器来为代理自动生成检测模型，从而使系统能更高效地运作。 关键字：入侵检测入侵响应代理 a b s t r a c t i n t r u s i o nd e t e c t i o ns y s t e mj sa na c t i v es e e u r i t yt e c h n o l o g yd e v e l o p e di nt h er e c e n t d e c a d e ，w h i c hi n t e g r a t e sd e t e c t i o n ，a u d i t ，a l e f ta n dr e s p o n s ef u n c t i o n a sa ni m p o r t a n t p a r ti n i n f o r m a t i o ns e c u r i t ym e c h a n i s m ，i ts u p p l i e sag a pf o ra c c e s sc o n t r o la n d i d e n t i t ya u t h e n t i c a t i o n ，t h u sb e c o m i n g am a i ns t u d ya r e a i nt h i st h e s i s ，t h ev a r i o u si n t r u s i o nd e t e c t i o nm o d e l sa n dd e t e c t i o nm e t h o d sa r e f i r s t l yc a t e g o r i z e da n ds t u d i e d m e r i t sa n d d e f a u l t so fw h i c ha r ed i s c u s s e di nd e t a i l ，m e n t h ei n t r u s i o nr e s p o n s es y s t e ma n di n t r u s i o nt r a c e b a c ka l es t u d i e d b a s e do nt h e a n a l y s i s o fa u t o n o m o u s a g e n t - b a s e d i d sa n dm o b i l e a g e n t b a s e d i d s a m u l t i a g e n t b a s e di n t r u s i o nd e t e c t i o na n dr e s p o n s es y s t e m ，m a i d r s ，i sd e s i g n e d ， w h i c hn o to n l yh a st h ea d v a n t a g e so fb o t ha u t o n o m o u sa g e n t b a s e di d sa n dm o b i l e a g e n t b a s e di d sb u ta l s oo v e r c o m e ss o m et h e i rd r a w b a c k s t os o l v et h ec o l n i n o n p r o b l e mo fc o n f i g u r i n ga g e n t si na g e n t - b a s e di d s ，a na d a p t i v em o d e lg e n e r a t i o n ， a m g ，i so n l yd e s i g n e dt h e o r e t i c a l l y f o rt h e a g e n t su s i n gt h e i d e a lo fi n f o r m a t i o n 1 1 1 e 0 1 3 w h i c hm a k e sm a i d r s m o r ee 伍c i e n t k e y w o r d ：i n t r u s i o n d e t e c t i o ni n t r u s i o nr e s p o n s e a g e n t 第一章绪论 第一章绪论 本章主要介绍本论文研究的背景和意义，简单介绍了当前的入侵检测研究状 况，最后给出了本论文主要的研究工作内容和各章节的安排。 1 1 研究背景和意义 计算机网络技术的发展使得信息的传送和处理突破了时间和地域的限制，互 联网的爆炸性发展更进一步为人类的信息交互、科学、技术、文化、教育、生产 的发展提供了极大的便利，信息网络全球化的发展已成为不可抗拒的世界潮流。 然而，就在计算机网络给人们的生活、工作带来巨大便利的同时，它就像一 面双刃剑，其所带来的安全问题同样突出。由于系统的复杂性、协议设计的缺陷、 终端分布的不均匀性、网络的开放性、迷漫性和互联互通性等特征，致使网络很 容易遭到黑客、恶意软件、和其他不轨人的攻击，国家、单位和个人的信息系统 受到了极大的安全威胁。人们在得益于信息革命所带来的新的巨大机遇的同时， 也不得不面对信息安全问题的严峻考验。1 9 8 8 年一个能够在i n t e r n e t 上自我复制 和传播的莫里斯蠕虫程序导致i n t e r n e t 瘫痪了数日，这起网络事件促使了c e r t 等许多安全机构和组织的诞生。尽管网络安全的研究得到越来越多的关注，然而 网络安全事件并没有因此而减少。相反，随着网络规模的飞速扩大、结构的复杂 和应用领域的不断扩大，出于各种目的，盗用资源、窃取机密、破坏网络的肇事 者也越来越多，网络安全事件呈迅速增长的趋势，造成的损失也越来越大。据美 国f b i 统计：全球平均每2 0 秒就发生一起i n t e r a c t 计算机系统被入侵事件，每年 全球因计算机网络的安全系统被破坏而造成的经济损失达数百亿美元。进入新世 纪之后，上述损失将达2 0 0 0 亿美元以上。安全问题已经成为严重影响网络发展、 特别是商业应用的主要问题，并直接威胁着国家和社会的安全。 对网络安全问题的研究在不断地探索和发展中，相应地也研究出了众多的安 全技术和机制，诸如v p n 、防火墙、加密技术、访问控制、身份认证等。这些单 一的技术或机制，从网络安全问题的某个方面出发，很好地解决了存在的安全问 题，但又都在不同程度上暴露出一些各自的不足。例如，防火墙只是一种隔离控 制技术，它在某个机构的网络和不安全的网络之间设置障碍，防止对信息资源的 非法访问。现代的防火墙不但能安全地向外界提供网络服务，比如w 删、f t p 、e - m a i l 等，也可以对系统内部不同部分之间也能进行必要的隔控制。但绝不应该把防火 墙视为是一种可以解决网络安全问题的“法宝”。防火墙是一种被动防卫技术， 入侵检测与响应系统研究 能提供的防护却十分有限。其最大的问题在于，防火墙无法检查通过的封包内容。 另外，出于其主要是在网络数据流的关键路径上通过访问控制来实现系统内部与 外部的隔离，从而对恶意的移动代码( 病毒、木马、缓冲区溢出等) 攻击、来自 内部的攻击等，防火墙将无能为力。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 作为新一代的动态安全防范 技术，它通过对计算机网络或系统中若干关键点数据的收集，并对其进行分析， 从而发现是否有违反安全策略的行为和被攻击的迹象。i d s 能检测到谁正在攻击当 前的网络，从而及时地通知网络管理员进行响应，减少入侵行为带来的损失：也 能知道网络是如何被攻击的，从而有助于安全专家分析攻击过程，由此得出系统 或配置的漏洞，防止再次受到同样的攻击。此外，i d s 还能实施入侵取证工作，为 法庭起诉提供了有力证据。 和传统的预防性安全机制相比，入侵检测更是一种事后处理方案，具有智能 监控、实时探测、动态响应、易于配置等特点。由于入侵检测所需要的分析数据 源仅是记录系统活动轨迹的审计数据，使其几乎适用于所有的计算机系统。作为 信息安全保障的一个重要环节，它很好地弥补了访问控制、身份认证等传统保护 机制的不足，成为目前动态安全工具的主要研究和开发方向。 1 2 入侵检测系统的研究现状 国外自八十年代起便开始了入侵检测技术的研究，最初的研究工作多侧重于 主机系统的安全防御，基本上是从如何构建己知的入侵行为特征的角度出发去设 计相应的行为特征描述方法和检测算法。随着网络的日益复杂。集中式的入侵检 测系统暴露出越来越多的缺陷，如缺乏扩展性、易单点失效和中央控制台成为瓶 颈等，这些固有的缺陷依靠已有的技术难以获得突破性的进展。因此，基于网络 的分布式入侵检测技术与系统模型的研究，已成为当前入侵检测领域研究的重点。 此外，在入侵检测系统的研究发展中，研究人员提出了一些新的入侵检测技术， 这些技术不能只用简单地归类为误用检测或者是异常检测，而是提供了一种有别 于传统方法的技术层次，如计算机免疫技术，数据挖掘、遗传算法、基于代理的 检测等，它们或者提出了更普遍意义的分析技术，或者提出了新的检测系统结构。 当i d s 分析出入侵行为或可疑现象后，只有系统采取相应的响应手段，才 能及时有效地阻止入侵的进一步发生并将入侵造成的损失降到最小程度。在过去 的入侵检测系统研究和设计中，研究者往往把焦点集中在设计一个更有效的系统 和发展新的检测技术上，对入侵响应的研究很不充分，入侵响应系统远远没有跟 上攻击技术发展的步伐。目前商业化的i d s 所提供的响应功能十分有限，大部分 第一章绪论 还都只是一些简单的警报信息。因此，迫切需要研究入侵响应技术，开发具有完 善功能的入侵检测系统。 总之，入侵检测技术作为当前网络安全研究的热点，它的应用前景极具潜力 的。国内的i d s 研究无论在基础原理方面，还是技术应用开发等方面都比较落后， 需要开展大量的研究工作。 1 3 本论文的主要工作内容和章节安排 本论文综合分析研究了现有的入侵检测技术和模型，并对入侵响应系统进行 了初步的研究，在研究基于代理技术的分布式入侵检测系统的基础上，设计了一 个基于多代理的分布式入侵检测与响应系统模型，主要完成的工作内容包括： ( 1 ) 对现有入侵检测领域的各种检测模型和技术进行了综合归类和分析研究，详细 讨论了各分析技术的优缺点和发展趋势。 ( 2 ) 分析和研究了入侵响应系统，对入侵响应技术进行了简单分类和介绍，对入侵 响应存在的问题进行了详细的探讨并给出相应的解决思路，最后对入侵追踪技 术进行了初步地研究。 ( 3 ) 分析和研究了基于自治代理和基于移动代理的入侵检测系统。 ( 4 ) 设计了一种基于多代理的分布式入侵检测与响应系统模型。 全文共分为五章，其余章节的内容具体安排如下： 第二章综合分析和研究了入侵检测系统，介绍了i d s 的系统模型和原理， 对入侵检测系统及其分析检测技术进行了详细地分类，讨论了各分析技术的优点 和存在的不足，最后探讨了i d s 今后的发展方向。 第三章全面分析和研究了入侵响应系统，对入侵响应进行了详细的分类， 分析讨论了入侵响应存在的一些重要问题并给出相应的解决思路，对于入侵响应 中的特殊领域入侵追踪技术进行了初步的研究。 第四章综合分析和研究了基于静态自治代理和移动代理的入侵检测系统， 详细讨论了两者的优缺点，指出并讨论了各自存在的缺陷问题。 第五章在分析和研究基于静态自治代理和移动代理的入侵检测系统的基础 上，设计了一种基于多代理的分布式入侵检测与响应系统模型m a i d r s 。该系统模 型利用多代理的思想来构造分布式入侵检测与响应系统，使之不但兼有基于自治 代理和基于移动代理入侵检测的优点，又克服了它们各自存在的一些缺陷：针对 基于代理的入侵检测系统普遍存在的代理配置复杂问题，作者结合信息论的思想 从理论上设计了一个自适应模型生成器来为代理自动生成检测模型，从而使系统 能更高效地运作。 第二章入侵检测系统 第二章入侵检测系统 本章综合分析和研究了入侵检测系统，介绍了i d s 的系统模型和原理，对入 侵检测系统及其分析检测技术进行了详细地分类和比较，讨论了各分析技术的优 点和存在的不足，最后指出了i d s 今后的发展方向。 2 1 i d s 的定义和发展历史 入侵( i n t r u s i o n ) 是指任何企图破坏资源的完整性、机密性及可用性的活动 集合。s m a h a 从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、 泄露、拒绝服务、恶意使用六种类型。总括来说，入侵表示系统发生了违反系统 安全策略的事件。 入侵检测( i n m m i o nd e t e c t i o n ) 是指通过检查操作系统的审计数据或网络数 据包信息来检测系统中违背安全策略或危及系统安全的行为或活动，从而保护信 息系统的资源不受拒绝服务攻击、防止系统数据的泄露、篡改和破坏。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 是指能够通过分析与系 统安全相关的数据来检测入侵活动的系统，包括入侵检测的软件和硬件的组合， 简称i d s 。从系统所执行的功能上来考虑，i d s 必须包括如下三个功能部件：提供 事件记录流的数据收集部件、发现入侵迹象的分析引擎和基于分析引擎的结果产 生反应的响应部件。 i d s 是新一代的安全防范技术，它通过对计算机网络或系统中的若干关键点收 集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。 这是一种集检测、记录、报警响应一体的动态安全技术，被认为是防火墙之后的 第二道安全闸门。作为信息安全保障的一个重要环节，i d s 很好地弥补了访问控制、 身份认证等传统保护机制所不能解决的问题。 在i d s 的发展历史上有几个重要的里程碑。 1 9 8 0 年，j a m e sp a n d e r s o n 在他写的一份报告“计算机安全威胁的监 察”( c o m p u t e rs e c u r i t yt h r e a tm o n i t o r i n g a n ds u r v e i l l a n c e 0 1 ) 指出，必须改变现有 的系统设计机制，以便专职系统安全人员提供安全信息，此文被认为是有关入侵 检测的最早论述。从1 9 8 4 年到1 9 8 6 年，d o r o t h yd e n n i n g 和p e t e rn e u m a n n 研究 开发了一个实时模式的入侵检测系统，命名为入侵检测专家系统i d e s ( i n t r u s i o n d e t e c t i o ne x p e r ts y s t e m ) 。d e n n i n g 于1 9 8 6 年发表的论文“入侵检测模型( a n i n t r u s i o nd e t e c t i o nm o d e l ) ”被公认为是入侵检测领域的篇开山之作，是入 入侵检测与响应系统研究 侵检测系统历史上的一个里程碑。i d e s 是入侵检测系统发展史上最有影响的系统 之一，i d e s 使用统计学模式的数据结构来描述系统用户行为设计系统目标的方法 的基础。行为标准详细描述了在任意给定时刻的各种行为。这个统计学模式准许 系统评估违法常规的固定或者动态措施的行为。原形系统采用的是一个混合结构， 包含了一个异常检测器和一个专家系统。异常检测器采用统计学技术刻画异常行 为。专家系统采用的基于规则的方法检测已知的入侵行为。1 9 9 5 年开发了i d e s 完善后的版本n i d e s 。受a n d e r s o n 和i d e s 的影响，在2 0 世纪8 0 年代出现了大 量的入侵检测原型系统如d i s c o r e r 、h a y s t a c k 、n i d a s 、n a d i r 和w i s d o ma n ds e n s e 等，商业化的i d s 在8 0 年代末也开始出现。 刚开始的入侵检测系统大部分都是基于主机的，它们对于活动性的检查局限 于操作系统审计踪迹数据及其它以主机为中心的信息源。直到1 9 8 9 年网络系统监 视器( n s m ) 的出现，它第一个试图把入侵检测系统扩展到异种网络环境的系统中， 即把入侵检测扩展到了网络环境中。这是入侵检测系统第一次监视网络流量并把 网络流量作为主要数据源，在入侵检测研究史上又是一个具有重要意义的里程碑。 随着网络系统日益复杂，且广泛采用了分布式的环境，海量存储和高带宽的 传输技术，使得集中式的i d s 越来越不能满足系统要求因此，出现了分布式入 侵检测系统( d i d s ，d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ) ，它将基于主机 和基于网络监视的方法集成在一起，成为i d s 系统的基本框架。从此，各个研究 机构和商业厂家也就开始了入侵检测系统的综合研究和开发。 2 2 i d s 系统模型与原理 2 2 1 早期的入侵检测模型 最初的入侵检测模型由d o r o t h yd e n n i n g 在1 9 8 6 年发表的论文“入侵检测模 犁( a ni n t r u s i o nd e t e c t i o nm o d e l l 2 1 ) ”提出。这个模型与具体系统和具体输入 无关，因此对后来的大部分使用系统都很有借鉴价值。图2 1 给出了这个通用检 测模型的体系结构。 审计记录网络数据包特征表更新 规则更新 图2 1 入侵检测模型 第二章入侵检测系统 如图所示，这个通用模型包括事件产生器，行为特征表和规则模块三个构件。 ( 1 ) 事件产生器 事件产生器产生具体的事件，可根据具体的应用环境而有所不同。一般可来 自审计记录、网络数据包以及其他可视行为如系统目录和文件的异常改变，程序 执行的异常行为，和物理形式的入侵信息等，这些事件构成了检测的基础。 ( 2 ) 行为特征表 行为特征表是整个检测系统的核心，它包含了用于计算机用户行为特征的所 有变量，这些变量可以根据具体所采用的统计分析以及事件记录中的具体行为模 式而定义，并根据匹配的记录数据来更新变量值。如果统计变量值偏离正常行为 太多，达到了异常程度，则行为特征表产生异常记录，并采用相应的措施。 ( 3 ) 规则模块 规则模块由系统安全策略，入侵模式等组成。一方面它为判断是否入侵提供 参考机制，另一方面根据事件记录、异常记录以及有效日期等来控制并更新其他 模块的状态。在具体的实现上，规则的选择与更新可能不尽相同。一般地，行为 特征模块用来执行异常检测，规则模块用来执行误用检测。由于这两种方法可以 相互补充，因此在实际应用中经常将两者结合在一起使用。 2 2 1 公共入侵检测框架体系结构模型 随着网络安全事件的不断增加和网络入侵手法的多样化，人们迫切需要各种 i d s 能协同工作、优势共享和缺陷互补，组成一种分布式的i d s ，从而能更精确地 识别和定位攻击行为。而目前的入侵检测系统大部分都是基于各自的需求独立设 计和开发的，不同的i d s 系统之间缺乏互操作性和互用性，这对i d s 的发展造成 了很大的障碍。为了解决入侵检测系统的互操作性和共存问题，d a r p a1 9 9 7 年开 始着手制定公共入侵检测框架( c o m m o n i n t r u s i o nd e t e c t i o nf r a m e ，c i d f l 3 1 ) ，旨在 通过开发共有的i d s 语言、协议以及应用程序接口a p i ，让入侵检测部件之间可 以互操作、分享信息。 c i d f 最早由加州大学戴维斯分校安全实验室主持起草工作，此外i e i f 成立 了入侵检测工作小组( i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ，i d w g ) ，负责建立入 侵检测数据交换格式( i n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g ef o r m a t ，i d m e f ) 标 准，入侵检测交换协议( i d x p ) 以及隧道轮廓( t u n n e lp r o f i l e ) ，并提供支持该标 准的工具，以更高效地来开发i d s 。其中i d m e f 描述了表示入侵检测系统输出信 息的数据模型，并解释了使用此模型的基本原理；i d x p 是一个用于入侵检测实体 之间交换数据的应用层协议，能够实现1 d m e f 消息、非结构文本和二进制数据之 间的交换，并提供面向连接协议之上的双方认证、完整性和保密性等安全特征。 入侵检测与响应系统研究 总结来说，c i d f 是一套规范，它定义了i d s 表达检测信息的标准语言以及 i d s 组件之间的通信协议，其主要作用在于集成各种i d s 并使之协同工作。 c i d f 由以下四个部分组成： 体系结构( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ，c i d f ) 规范语言( c o m m o n i n t r u s i o ns p e c i f i c a t i o nl a n g u a g e ，c i s l ) 内部通信( c o m m u n i c a t i o n i nt h ec o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ) 程序接口( c o m m o ni n t m s i o nd e t e c t i o nf r a m e w o r ka p i s ) 这里我们着重介绍c i d f 的体系结构。c i d f 的体系结构阐述了一个i d s 的通 用模型，它把一个i d s 分为事件产生器、事件分析器、事件数据和响应单元四个 部分，各组件之间以通用入侵检测对象( g e n e r a l i z e di n t r u s i o nd e t e c t i o no b j e e l s g i d o ) 的形式交互数据。图2 2 给出了c i d f 的系统体系结构： i 原始事件源0 图2 2c i o f 体系结构 ( 1 ) 事件产生器 事件生成器的任务是从入侵检测系统之外的计算环境中收集事件，并将这些 事件转换成c i d f 的g i d o 格式传送给其他组件。它可以是读取c 2 级审计数据并 将其转换为g i d o 格式的过滤器，也可以是被动地监视网络并根据网络数据流产 生事件的另一种过滤器，还可以是s q l 数据库中产生描述事务的事件的应用代码。 ( 2 ) 事件分析器 事件分析器是i d s 的核心部分，它从其他部件接收g i d o ，对它们进行分析然 后以一个新的g i d o 形式返回分析结果。事件分析器可以是一个基于行为特征的 统计分析工具。用以分析提供给它的事件数据从统计学上是否和过去同一时间提 供的事件数据不同，也可以是一个模式匹配工具，用以检查事件序列中是否有某 种已知攻击的模式，此外，分析器还可以是相关性分析器，只是检测多个事件之 间是否有关联，如果是，则将它们放在一起作进一步的分析处理。 第二章入侵检测系统9 ( 3 ) 事件数据库 事件数据库不对信息作任何处理和改动，只是负责存储入侵检测信息，提供 给其他部件对g i d o 的检索。 ( 4 ) 响应单元 响应单元根据g i d o 作出反应，可以是终止进程、切断连接、改变文件属 性，也可以是其他的一些措施如简单报警等。 c i d f 体系结构中的各组件之间以通用入侵检测对象( g e n e r a l i z e di n t r u s i o n d e t e c t i o no b j e c t s ，g i d o ) 的形式交互数据，一个g i d o 可以表示在一些特定时刻发 生的特定事件，也可以表示从一系列事件得出的结论，还可以表示执行某个行动 的指令。由于c i d f 有一个标准格式的g i d o ，所以这些组件也适用于其他环境， 只需要将典型的环境特征转换成g i d o 格式，这样就提高了组件之间的消息共享 和互通，有利于协同检测攻击。 2 3 入侵检测系统分类 2 3 1 按数据源分类 入侵检测系统按数据来源可分为基于主机的入侵检测系统( h o s t - b a s e d i n t r u s i o nd e t e c t i o n s y s t e m ，h i d s ) 、基于网络的入侵检测系统( n e t w o r k - b a s e d i n t r u s i o nd e t e c t i o n s y s t e m ，n i d s ) 和混合型入侵检测系统。 ( 1 ) 基于主机的入侵检测系统h i d s h i d s 为早期的入侵检测系统，检测目标主要是主机系统和系统本地用户。 h i d s 根据主机的审计数据和系统的日志事件来发现可疑事件。由于基于主机的 i d s 依赖于审计数据或系统日志，而审计数据或系统日志的准确性和完整性，使得 h i d s 检测出入侵行为的成功率比较高，虚警率低。此外，h i d s 也能监视特殊的系 统活动，并适应于加密和交换环境。 但若入侵者设法逃避审计或进行合作入侵，则h i d s 就暴露出其弱点，在当今 的网络环境下，单独依靠主机审计信息进行入侵检测难以适应网络安全的需要， 如入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。 此外h i d s 不能通过分析主机审计记录来检测网络攻击( 域名欺骗、端口扫描等) 。 ( 2 ) 基于网络的入侵检测系统n i d s n i d s 使用原始的网络数据包作为进行攻击分析的数据源。为此，一般用利用 某种方式( 例如将网卡设置为混杂模式) 来截获网络数据包。通过对数据包报头 及内容的分析，确定是否有攻击行为的发生。 0 入侵检测与响廊系统研究 基于网络的入侵检测系统有许多h i d s 无法提供的优点： 检测基于主机的系统漏掉的攻击一基于网络的i d s 检查所有包的头部从而 发现恶意的和可疑的行动迹象。基于主机的i d s 无法查看包的头部，所以它无法 检测到这一类型的攻击。例如，许多来自于i p 地址的拒绝服务型( d o s ) 和碎片 包型( t e a r d r o p ) 的攻击只能在它们经过网络时，检查包的头部才能发现。这种类 型的攻击都可以在基于网络的系统中通过实时监测包流而被发现。 实时检测和响应。基于网络的i o s 可以在恶意及可疑的攻击发生的同时 将其检测出来，并做出更快的通知和响应。例如，一个基于t c p 的对网络进行的 拒绝服务攻击( d o s ) 可以通过将基于网络的i d s 发出t c p 复位信号，在该攻击对 目标主机造成破坏前，将其中断。而基于主机的系统只有在可疑的登录信息被记 录下来以后才能识别攻击并做出反应。而这时关键系统可能早就遭到了破坏，或 是运行基于主机的i i ) s 的系统已被摧毁。实时通知时可根据预定义的参数做出快 速反应，这些反应包括将攻击设为监视模式以收集信息，立即中止攻击等。 操作系统无关性。基于网络的i d s 作为安全监测资源，与主机的操作系统 无关。与之相比，基于主机的系统必须在特定的、没有遭到破坏的操作系统中才 能正常工作，生成有用的结果。 对网络性能影响小。不像路由器、防火墙等关键设备方式工作，不会成为 系统中的关键路径，发生故障时不会影响正常业务的运行 此外，由于n i d s 的结构特点，它也存在着相应的一些不足之处，如下： 网络入侵检测系统只检查它直接相连网段的通信，不能检测在不同网段 的网络包。在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网 络入侵检测系统的传感器会使布署整个系统的成本大大增加。 网络入侵检测系统为了性能目标通常采用特征检测的方法，它可以检测 出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。 在高速网络环境下，一个基于网络的嗅探器( s n i f f e r ) 很可能来不及处理 而丢掉一些数据包。 网络入侵检测系统处理加密的会话过程较困难，目前通过加密通道的攻 击尚不多，但随着i p v 6 的普及，这个问题会越来越突出。 n i d s 不能检测操作系统级的入侵，诸如用户和文件的访问活动，包括文 件访问、改变文件访问权限、试图安装新的执行程序以及越权操作等。 ( 3 ) 混合入侵检测 基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使 用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两 类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体 系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中 第二章入侵检测系统 的攻击信息，也可从系统日志中发现异常情况。 2 3 2 按检测技术分类 入侵检测系统根据检测技术可划分为：误用检测和异常检测。 ( 1 ) 误用检测 误用检测是指利用已知攻击方法或根据已定义好的入侵模式，通过判断这些 入侵模式是否出现来检测。由于很大一部分的入侵是利用了系统的脆弱性，所以 通过分析入侵过程的特征、条件、排列以及事件问的关系就能具体描述入侵行为 的迹象，依据特征库可以达到很高的检测率，并且因为检测结果有明确对照，所 有也为系统管理员作出相应措施提供了方便。 误用检测的主要缺陷在于对具体系统的依赖性太强，不但系统移植性不好， 维护工作量也大，将具体的入侵行为抽象成知识比较困难。此外，检测范围受已 知知识范围的局限，尤其难以检测出内部人员的入侵行为，如合法用户的泄漏， 因这些行为并没有利用系统脆弱性。 ( 2 ) 异常检测 异常检测是根据使用者的行为或资源使用状况的正常程度来判断是否有入侵 发生。异常检测的分析机制基于正常行为模式的建立，试图用定量方式描述可接 受的行为特征，以区分非正常的、潜在的入侵行为。由于异常检测与系统相对无 关，通用性较强，它甚至能检测出以前从未出现过的攻击方法，不像基于知识的 检测那样受己知脆弱性的限制。但是因为不可能对整个系统内的所有用户行为进 行全名的描述，况且每个用户的行为是经常改变的，所以它的主要缺陷是误检率 很高。其次，由于统计简表不断更新，入侵如果知道某个系统在监测器的监视之 下，就能慢慢地训练检测系统，使得最初认为是异常的行为经一段时间训练后也 可能被认为是正常的行为。 异常检测和误用检测各有其特点，将这两种分析方法结合起来，可以获得更 好的性能。异常检测引擎可以使系统检测新的、未知的攻击或其他情况。误用检 测引擎通过防止耐心的攻击者逐步改变行为模式使得异常检测将攻击行为认为是 合法的，从而保护异常检测的完整性。 图2 3 是一个典型的同时使用异常检测和误用检测分析方法的入侵检测系统 框图。 入侵检测与响应系统研究 警告傲告产生器 1 f 异常检测器1 t 刮模式匹配i 轮廓引擎- 图2 3 一个异常检测和误用检测方法结合的i d s 框图 2 ，3 3 按系统模块的运行方式分类 根据系统模块的运行方式分类i d s 又可分为：集中式i d s 和分布式i d s 。 集中式i d s 的基本模型是在网络的不同网段放置多个探测器收集当前网络状 态的信息，然后将这些信息传送到中央控制台统一进行处理分析。早期的i d s 大 都是集中式的，如：i d e s 、n a d i r 和n s m 等。 分布式i d s 是运行数据部件的场地数量与被监视的主机数量成比例，也就是 把较大的计算工作量由多个处理器或多个节点共同协作完成。例如：d i d s 、g r i d s 、 e m e r a l d 和a a f i d 。 关于集中式i d s 和分布式i d s 各自的优缺点我们将在第五章具体讨论。 2 4 入侵检测分析技术 入侵检测分析技术从技术上一般分为误用检测技术和异常检测技术，下面详 细讨论这两类入侵检测技术。 2 4 1 误用检测技术 误用入侵检测，又称基于知识的入侵检测。误用检测对系统事件的检查基于 这样一个问题：系统行为是否代表着特定的攻击模式? 误用检测技术首先收集有 关入侵的信息，包括脆弱性、攻击、威胁、特定的攻击工具已经感兴趣的问题， 然后对这些信息进行数据转换工作，编制成统一的规范格式即对入侵行为模式进 第二章入侵检测系统 行特征编码，建立一个误用模式库，然后对实际检测过程中得到的审计数据进行 过滤，检测是否包含入侵行为的标识。 误用检测的缺陷在于只能检测已知的攻击模式，当出现新的攻击手段时需要 由人工或者其他及其学习系统得出新攻击的特征模式，更新误用模式库才能使系 统具备检测新攻击方法的能力，如同杀毒软件一样，需要不断、及时的升级才能 保证检测能力的完备性。误用检测的技术主要有：简单模式匹配、专家系统、状 态转移分析等。 ( 1 ) 简单模式匹配 简单模式匹配是最为通用的误用检测技术，其特点是原理简单、扩展性好、 检测效率高、能做到实时的检测，其缺点是只能适用于比较简单的攻击方式，且 误报率高。但是由于采用误用检测技术的i d s 在系统的实现、配置和维护方面都 非常方便，因此得到了广泛的应用，如著名的开放源码的s n o r t 就采用了这种检 测手段。 ( 2 ) 专家系统 专家系统( e x p e r ts y s t e m ) 是最早的误用检测方案之一，被许多经典的检测 模型所采用，如i d e s 、n i d e s 、d i d s 和c m d s 等。在这些系统中，入侵行为被编码 成专家系统的规则。每个规则具有类似“i f 条件t h e n 动作”的形式；其中条 件为审计记录中某些域的限制条件；动作表示规则被触发时入侵检测系统所采取 的处理动作。这些规则既可识别单个审计事件，也可识别表示一个入侵行为的一 系列事件。专家系统的优点在于把系统的推理控制过程和问题的最终解答相分离， 即不需要用户理解或者干预专家系统内部的推理过程，而只需把专家系统看成一 个自治的黑盒子。但是，这里黑盒子的生成是一件困难的事情，用户必须把决策 引擎和检测规则以硬编码的方式嵌入系统。 使用基于规则语言的专家系统具有以下一些局限性： 处理海量数据时效率低。这是因为专家系统的推理和决策模块通常使用解 释型语言，速度慢。 缺乏处理序列数据的能力，即数据前后的相关性问题 无法处理判断的不确定性 规则库的维护很困难，更改规则时必须考虑对知识库中其他规则的影响 只能检测已知的攻击模式( 误用检测的通病) ( 3 ) 状态转移法 状态转移法采用优化的模式匹配技术来处理误用检测问题，采用了系统状态 和状态转移的表达式来描述已知的攻击模式。由于系统的灵活性和处理速度的优 势，状态转移法已经成为当今最具竞争力的入侵检测模式之一。目前实现基于状 态转移的入侵检测主要有这么几种方法：状态转移分析、着色p e t r i 网和基于语言 入侵检测与响应系统研究 程序接口的方法。我们着重分析其中的状态转移分析方法。 状态转移分析使用高层状态转移图来表示和检测己知的攻击模式。状态转移 图是一种针对入侵或渗透过程的图形化表示方法。所有的入侵渗透过程都可以看 作是从有限的特权开始，利用系统脆弱性逐步提升自身权限。利用这种特性就可 以使用系统状态转移的形式来表示攻击特征。 在基于状态转移分析的入侵检测中，入侵过程可以看作是由一系列导致系统 从初始状态转移到入侵状态的行为操作组成，这些操作致使系统从某些初始状态 迁移到一个危及系统安全的状态( 入侵状态) ，并用有限状态机模型来表示这些入 侵过程。状态通常由系统某一时刻的特征如系统的属性和用户权限来进行描述。 初始状态对应于入侵开始前的系统状态，入侵状态对应入侵完成后系统所处的状 态。两个个状态之间，可能有一个或多个中间状态的迁移。用于误用检测的状态 转移分析引擎包括一组状态转移图，各自代表一种入侵或者渗透形式，主要应分 析在这两个状态之问进行状态迁移的关键活动，用状态迁移图来描述状态阃的迁 移信息。每当新行为发生时，分析引擎检查所有的状态转移图，查看是否会导致 系统的状态转移。如新行为使系统状态转移到入侵状态，就将状态转移信息发送 到决策引擎，并根据预先定义的策略采取响应措施。利用状态转移分析开发的入 侵检测系统有基于u n i x 的u s t a t 系统和n s t a t 系统，详细参见文献【4 】【5 1 。 2 4 2 异常检测技术 异常检测，又称基于行为的入侵检测，其主要前提条件是把入侵活动作为异 常活动的子集，即入侵攻击活动与系统( 或用户) 的正常活动之间存在偏差，并 基于这样一个假设：无论是程序的执行还是用户的行为，在系统特性上都呈现出 紧密的相关性。其关键问题在于使用正常行为模式的建立以及如何利用该模式对 当前的系统或者用户行为进行比较，从而判断出与正常模式的偏离程度。这里的 模式通常使用一组系统的度量来定义，度量是系统或用户行为在特定方面的衡量 标准如c p u 的占用时间，文件是否被使用，终端的使用等。 由于异常检测与系统相对无关，通用性较强，它甚至能检测出以前从未出现 过的攻击方法，不像基于知识的检测那样受已知脆弱性的限制。异常检测分析技 术主要有量化分析、统计分析、专家系统、神经网络以及计算机免疫等技术。 ( 1 ) 量化分析 量化分析是异常检测技术中是使用最为广泛的方案之一，其特点是使用数字 来定义检测规则和系统属性，通常涉及一系列的计算过程，从简单的计数到复杂 的加密计算，计算结果可以作为构造误用检测的入侵特征或者异常检测的统计模 型的数据基础。利用量化分析技术可以实现数据的精简和完成入侵检测的目的。 第二章入侵检测系统 ( 2 ) 统计分析技术 统计分析是异常检测最早和常用的技术，它是利用统计理论提取用户或系统 正常行为的特征轮廓。统计性特征轮廓通常由主体特征变量的频度、均值、方差、 被监控行为的属性变量的统计概率分布以及偏差等统计量来描述。典型的系统主 体特征有：系统的登录与注销时间、资源被占用的时间以及处理机、内存和外设 的使用情况等。至于统计的抽样周期可以从短到几分钟到长达几个月甚至更长。 基于统计性特征轮廓的异常检测器，通过对系统审计中的数据进行统计处理，并 与描述主体行为的统计性特征轮廓进行比较，然后根据二者的偏差是否超过指定 的门限来进一步判断、处理。由s r i 的研究者开发的i d e s n i d e s ”。( n e x t g e n e r a t i o nr e a l t i m ei n t r u s i 0 3 一d e t e c t i o ne x p e r ts y s t e m ) 和美国空军t a s h l 开发的h a y s t a c k 是典型的采用统计分析技术的入侵检测系统原型。 i d e s n i d e s 是一个基于统计分析和误用检测相结合的入侵检测系统。它对每 一个系统用户和系统主体建立历史统计模式。所建立的模式被定期地更新，可以 及时反应用户行为随时问推移产生的变化。此外检测系统维护一个由行为模式组 成的统计知识库，知识库中每个模式采用一系列的系统度量来表示特定的用户的 正常行为。i d e s 把度量分为两大类：连续和离散的度量。连续度量使用数字或量 化值来表示，如c p u 占用时间，产生的审计记录数目等。离散度量用于描述事件 是否发生和发生的频率。如文件是否被使用和访问，失败的登录次数，文件修改 次数。和命令执行次数等。模式所包含的各个向量每天都以指数因子形式衰减， 并把新的用户行为所产生的审计数据加入到知识库中，同时计算新的模式向量存 贮到知识库。 统计分析技术的优势在于可以检测出异常的行为，此外在维护上也很方便， 但是也存在着一些明显的缺陷，比如说不能提供实时的检测和自动响应功能，不 能反映事件在事件顺序上的前后相关性，而实际中很多的系统异常都依赖于事件 发生的顺序。 ( 3 ) 神经网络 早期的统计分析都利用了参量的方法，都假定所分析的数据满足特定的分布， 如i d e s 假设用户模式是满足高斯分布的，但实际的情况并不能满足这种假设， 并导致系统出现了大量的错误报告。因此引入了非参量化统计分析来进行异常检 测。非参量化技术的优点在于通过将原始数据转换为向量表示形式，如聚类算法， 可以实现可靠而高效的数据精简，精简的程度大约为原始数据的n 2 的量级，同时 也提高了检测速度和精确性。神经网络是一种非参量化的分析技术，它具有自学 习、自适应的能力，只要提供系统的审计数据，神经网络就可以通过自学习从中 提取正常的用户或系统活动的特征模式；而不需要获取描述用户行为特征的特征 集以及用户行为特征测度的统计分布。因此，避开了选择统计特征的困难问题。 入侵检测与响应系统研究 神经网络的处理包括两个阶段：构造入侵分析模型的检测器，使用代表用 户行为的历史数据进行训练，完成网络的构建和组装。入侵分析模型的实际运 作阶段，网络接受输入的事件数据，与参考的历史行为相比较，判断出两者的相 似度或者偏离