（计算机系统结构专业论文）分布式入侵检测系统主动响应机制的研究与实现.pdf

华中科技大学硕士学位论文 摘要 当前对i d s 的研究大多集中在检测机制上，缺乏有效的响应机制来阻止已经发现 的攻击行为，防范未来可能进一步发生的类似攻击事件。 结合研究小组已有的研究结果，分析了一个基于被动检测技术的分布式入侵检测 系统( d i d s ) ，它采用了分布式、多代理、分层检测的体系结构。在此基础上，讨论了 d d s 在响应机制方面存在的不足，提出了在d i d s 中引入主动式安全网关( a s e c g w ) 的 思想，以替代d i d s 中原有的安全网关( s e c g w ) 。 a s e c g w 由策略响应模块、包过滤器、通信模块和日志数据库四大功能模块构成。 各个模块的功能相互独立，协同工作。同时a s e c g w 作为d i d s 的子系统，通过与全局 中心控制台( g c c ) 进行标准数据格式的信息交换，实现对d i d s 所保护子网的统一响应 策略。 a s e c g w 的主要任务是对已经发现的外部入侵进行阻断。通过预先制定的阻断策 略，在策略响应模块和包过滤器的协同工作下，实现入侵阻断。策略响应模块能够通 过阻断控制命令改变包过滤器的包过滤规则，更改了包过滤规则的包过滤器可屏蔽外 ， 部攻击者的i p 地址，拒绝攻击者再次向内部网络发送的i p 数据包。，f 乍为阻断策略的 、 补充和完善，攻击源追踪策略通过对不同攻击阶段的攻击特征进行状态分析，能够发 现一部分使用i p 欺骗手段的攻击行为的实际i p 地址，以协助包过滤器正确阻断真正 的攻击者。通信模块负责用入侵检测消息交换格式( i d m e f ) 进行编码解码，接受g c c 的响应控制信息并与g c c 周期性的交换状态信息。日志数据库记录了与主动响应有关 ，一7 的日志信息。r 实验表明，集成了a s e c g w 的d i d s 能够实现对外部攻击的阻断功能，增强了d i d s 的响应能力，提升了所保护的内部网络整体安全性。 关键词：分布式，入侵检测，主动响应，主动式安全网关，包过滤器 l l 。 。 华中科技大学硕士学位论文 a b s t r a c t c u r r e n t l yt h er e s e a r c h e sa b o u ti d sa r cm a i n l yf o c u s e do nt h ed e t e c t i o nm e c h a n i s m ， w h i l el a c ko fe f f e c t i v e r e s p o n s e m e c h a n i s mt o p r e v e n t t h ea t t a c k st h a th a v eb e e n d i s c o v e r e da n d k e e pa w a y t h es i m i l a ra t t a c ke v e n t st h a tw i l lp o s s i b l yo c c u ri nf u t u r e c o m b i n e dw i t ht h er e s e a r c hp r o d u c t i o no ft h er e s e a r c hg r o u p ，t h ep a p e ra n a l y z sa d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ( d i d s ) b a s e do np a s s i v ed e t e c t i o nm e c h a n i s m ， w h i c ha d o p t sad i s t r i b u t e d ，a g e n t b a s e d ，t i e r e dd e t e c t e da r c h i t e c t u r e o nt h i s f o u n d a t i o n ， t h ep a p e rd i s c u s s st h ed i s a d v a n t a g e sl i ei nt h er e s p o n s em e c h a n i s ma b o u td i d s ，a n dp u t f o r w a r da ni d e ao f i n t r o d u c i n g t h ea c t i v es e c u r eg a t e w a y ( a s e c g w ) i n t od i d st or e p l a c e t h e p r e v i o u ss e c u r eg a t e w a y ( s e c g w ) a s e c g wi sm a d eu po ff o u rf u n c t i o nm o d u l e s t a c t i cr e s p o n s em o d u l e ，p a c k a g e f i l t e r , c o m m u n i c a t i o nm o d u l ea n dl o gd a t a b a s e 。e a c hm o d l l l ei si n d e p e n d e n ti nf u n c t i o n ， a n dc o o p e r a t e sw i t he a c ho t h e r a tt h es a l n et i m e ，a sas u b s y s t e mo f d i d s ，i tc a na c h i e v e t h eu n i f i e dr e s p o n s et a c t i co ft h es u b n e tp r o t e c t e db yd i d s ，b ys t a n d a r dd a t af o r m a t i n f o r m a t i o n se x c h a n g ew i t ht h eg c c t h em a i nt a s ko fa s e c g wi st oo b s t r u c tt h eo u t s i d ei n t r u s i o n sb e i n gd e t e c t e d b y e s t a b l i s h i n gb l o c kt a c i ci na d v a n c ea n dt h ec o o p e r a t i o no f t h et a c t i cr e s p o n s em o d u l ea n d t h ep a c k a g ef i l t e r , a s e c g wc a nb l o c kd e t e c t i o n s t h et a c t i cr e s p o n s em o d u l ec a r lc h a n g e t h ef i l t r a t i n gr u l e so ft h ep a c k a g ef i l t e r , t h u st h ef i l t e ri sa b l et os h i e l dt h ei pa d d r e s so f o u t s i d ei n t r u d e ra n dr e j e c tt h ed a t ap a c k a g e sf r o mt h ei n t r u d e rt on e t w o r k a sas u p p l e m e n t a n da m e n d m e n to fo b s t r u c tm e c h a n i s m ，a t t a c ks o u r c et r a c i n gm e c h a n i s mc a nd i s c o v e rt h e r e a li pa d d r e s so f p a r to fi ps p o o f i n gi n t r u s i o nt h r o u g hs t a t e m e n ta n a l y s i so na t t a c k st h a t h a v eb e e nd e t e c t e da c c o r d i n gt ot h ec h a r a c t e r i s t i c so f d i f f e r e n ta t t a c k i n gp h a s e s i nt h i sw a y , a s e c g wc a nh e l pt h ep a c k a g ef i l t e rt oo b s t r u c tt h ei n t r u d e rw h oi n i t i a t e st h ea t t a c k t h e c o m m u n i c a t i o nm o d u l ei si n c h a r g eo fd e c o d i n ga n de n c o d i n go fi n t r u s i o nd e t e c t i o n m e s s a g ef o r m a t ( i d m e f ) ，r e c e i v i n gr e s p o n s ec o n t r o li n f o r m a t i o no fg c ca n de x c h a n g i n g i i 华中科技大学硕士学位论文 s e a s o n a ls t a t e m e n ti n f o r m a t i o n sw i t hg c c l o gd a t a b a s er e c o r d st h e l o gi n f o r m a t i o n s r e l a t i v et oa c t i v er e s p o n s e 7 f h ee x p e r i m e n t a lr e s u l ti n d i c a t e st h a tt h ed i d si n t e g r a t e dw i t ha s e c g w i sa b l et o r e a l i z et h ep r e v e n t i o no ft h eo u t s i d ea t t a c k ，e n h a n c e st h er e s p o n s ea b i l i t yo f d i d s ，a n d i m p r o v e st h ew h o l es e c u r i t yo f t h ei n n e rn e t w o r k p r o t e c t e db y sd i d s k e yw o r d s ：d i s t r i b u t e d ，i n t r u s i o nd e t e c t i o n a c t i v er e s p o n s e ，a c t i v es e c u r e g a t e w a y p a c k a g ef i l t e r i i i 华中科技大学硕士学位论文 1 1 网络安全的现状 1 1 1 加强网络安全的必要性 1 引言 随着计算机技术的飞速发展，计算机网络的应用也越来越广泛，成为人们日常生 活、学习、工作不可或缺的一部分。随之而来的黑客行为也在不断升级，网络安全已 经成为了一个非常重要并且是永久的话题。目前网络安全的现状令人担忧。根据美国 f b 的调查，美国每年因为网络安全造成的经济损失超过1 7 0 亿美元，7 5 的公司报告 财政损失是由于计算机系统的安全问题造成的，平均每个组织损失4 0 2 0 0 0 美元。在 我国，网络安全问题虽然屡屡被各方面提起，然而现状却不容乐观，大量的网站被侵 入、主页被篡改、数据被窃取的情况频频发生。在几次国外黑客大规模入侵我国网络 的事件中我们都有大量的网站被侵入，据不完全统计，在“五一”中美黑客大战中， 我国有11 0 0 多家网站遭受不同程度的破坏，其中政府和教育网约占7 2 。这些都暴露 了我国的网站存在相当严重的安全问题。显然，追切需要对网络建设和运行中存在的 安全隐患及形成原因进行分析，以便及早从整体上制定并采取响应对策，改变目前网 站安全防护薄弱，安全管理不到位的局面。 黑客行为存在的威胁主要表现在以下几个方面： ( 1 ) 对网络保密性的威胁 黑客能够在不影响网络工作的情况下，通过对截获来的数据进行破译以获得重要 的机密信息“1 。 ( 2 ) 用计算机病毒对计算机网络造成威胁 计算机网络在为计算机的信息传输和共享提供便利的同时也为计算机病毒的传 播提供了条件。 华中科技大学硕士学位论文 ( 3 ) 对系统资源进行非法使用 利用网络系统软件的缺陷和“后门”来盗窃数据，毁坏文件和进行事务欺骗。 保障计算机系统、网络系统及至整个信息基础设施的安全已经成为刻不容缓的重 要课题。世界各国政府、科研机构和企业为加强网络安全采取了积极的策略，为改善 网络安全状况进行了不懈的努力和研究。 1 。1 。2 网络安全防范措施 针对网络中存在的诸多不安全因素和隐患，网络使用者不得不采取各种安全措施 和技术来加固网络。当前采用较多的安全技术有： ( 1 ) 数据加密技术 数据加密是实现分布式系统和网络环境下数据安全的重要手段之一。使用加密的 方法和技术在体制上可保证信息不被篡改和泄露，使入侵者不能轻易地破坏一个系统 的文件。比较成熟的密码体制有d e s 、r s a 唧等。 ( 2 ) 身份鉴别技术 身份鉴别一般涉及两方面的内容，一个是识别，一个是验证。身份识别是用户向 系统提交自己身份的过程，身份验证是系统稽核用户身份的过程。识别信息一般是非 秘密的，而验证信息必须是秘密的。进行身份鉴别的目的有两个，一是验证信息发送 者的真实身份：二是验证信息的完整性，即验证信息在传送或存储过程中是否被篡改、 重放或延迟等。 ( 3 ) 安全内核技术 在操作系统的层次上考虑安全性，以安全为主要出发点重新设计系统的体系结构 并开发安全的操作系统，使得与安全相关的软件构成操作系统的一个可信内核。出于 对系统的性能考虑，安全内核应当尽可能小，操作系统的大部分工作应不必承担安全 任务，从而保证系统的安全和稳定。 ( 4 ) 网络地址转换器 网络地址转换器也称为地址共享器或地址映射器。内部主机向外部主机连接时， 使用同一个i p 地址；相反地，外部主机要向内部主机连接时，必须通过网关映射到 2 华中科技大学硕士学位论文 内部主机上。它使外部网络看不到内部网络，从而隐藏内部网络拓扑结构，起到保护 网络安全的作用。 ( 5 ) w e b 安全技术 在w e b 上实现网络安全一般有s h t t p h t i p 和s s l 安全套接层两种方式。 s h t t p h t t p 可以采用多种方式对信息进行封装。封装的内容包括加密、签名和基 于m a c 的认证。s h t t p 可以支持多种加密协议。 s s l 安全套接层是一种利用公开密钥技术的工业标准。为了验证证明的持有者是 其合法用户( 而不是冒名用户) ，s s l 要求证明的持有者在握手时对交换数据进行数字 式标识。 ( 6 ) 防火墙技术 所谓防火墙就是一个把互联网与内部网隔开的屏障。在计算机网络中，防火墙技 术实质上是一种综合性的技术，涉及到计算机网络技术、密码技术、安全协议、安全 操作系统等多方面，防火墙的功能主要体现在：检查并过滤进出网络的数据包：管理 进出网络的访问行为；封堵被禁止的访问行为：记录通过防火墙的信息内容和活动； 对网络攻击进行预警和响应等。 ( 7 ) 入侵检测技术 入侵检测基于对入侵行为的过程与特征的研究，通过对系统数据的分析和侦听， 使安全系统对入侵事件和入侵过程能做出实时响应，属一种动态安全技术。入侵检测 帮助内部网络或主机系统对付入侵攻击，发现非授权的网络访问和攻击行为，并采取 相对应的对抗措施，从而扩展了系统管理员的安全管理能力，提高了信息安全基础结 构的完整性。入侵检测被认为是防火墙之后的第二道安全之门。 ( 8 ) 网络防病毒技术 计算机病毒的检测就是要自动地发现或判断计算机文件、内存以及网络中传输的 信息是否含有病毒或遭到病毒破坏，主要方法有特征检测、校验法以及行为监测法等。 从病毒防护的角度，通常将病毒预警和防火墙结合起来，以构成病毒防火墙，监视由 外部网络进入内部网络的文件和数据，一旦发现病毒，就将其过滤掉。网络防病毒技 术包括预防病毒、检测病毒和清除隔离病毒等三种技术。 华中科技大学硕士学位论文 1 2 入侵检测技术概述 1 2 1 入侵检测的含义 入侵检测是通过对系统数据的分析，发现非授权的网络访问和攻击行为。 入侵检测系统通过检测系统状态，收集重要信息，判断与切断入侵，同时通过对 大量数据流的统计分析，还可以发现系统存在的漏洞并主动进行弥补。在整个安全体 系中，入侵检测系统可以看作是一个监控的环节，一个主动防御的部分。 1 2 2 入侵检测系统的分类 入侵检测系统可按照其采用的分析方法及检测数据的来源进行分类”1 。 按分析方法分类： ( 1 ) 异常检测( a n o m a l yd e t e c t i o n ) 异常检测是基于入侵者活动异于正常主体的活动。根据这一理论建立主体j 下常活 动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规 律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档” 以及如何设计统计算法，从而不把正常的操作作为“入侵”并能够不忽略真正的“入 侵”行为。 ( 2 ) 误用检测( m i s u s ed e t e c t i o n ) 误用检测的基本思想是入侵者的活动可以用一种模式来表示，系统的目标是检测 主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法 无能为力。其难点在于如何使设计出的模式既能够表达“入侵”现象又不会将正常的 活动包含进来“。 按检测数据的来源分类： ( 1 ) 基于主机的入侵检测系统 华中科技大学硕士学位论文 基于主机的入侵检测系统通过分析主机的审计日志记录来检测入侵事件”3 。这类 系统的实现不一定都在目标主机上，有一些采用独立的外围处理机，还有的使用网络 将主机的信息传送到中央分析单元。但是它们全部是根据目标系统的审计目志记录来 工作“。 ( 2 ) 基于网络的入侵检测系统 基于网络的入侵检测系统通过对网络数据的侦听和采集数据，分析可疑现象来检 测入侵事件”3 。由于网络协议是标准的，它可以提供对网络通用的保护体系而无需顾 及异构主机或不同架构。 1 2 3 入侵检测的基本方法 ( 1 ) 基于统计模型的入侵检测方法 统计模型中常用参数包括审计事件的数量、间隔时间、资源消耗情况等”3 。可用 于入侵检测的典型统计模型有：操作模型、方差、多元模型、马尔柯夫过程模型等。3 。 ( 2 ) 基于人工神经网络的入侵检测方法 神经网络具有自适应、自组织和自学习的能力，可以处理一些环境信息十分复杂、 背景知识不清楚的问题“。在采用统计处理方法很难达到高效准确的检测要求时，可 以构造智能化的基于神经网络的入侵检测器“。 ( 3 ) 基于专家系统的入侵检测方法 与运用统计方法与神经网络对入侵进行检测的方法不同，用专家系统对入侵进行 检测，经常是针对有特征的入侵行为。入侵的特征抽取与表达，是入侵检测专家系统 的关键“。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记 录的完备性与实时性。 ( 4 ) 基于数据开采技术的入侵检测方法 数据开采( d a t am i n i n g ，d m ) 是从大量的、不完全的、模糊的、随机的数据中 提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识的过程“。d m 的对象可以是数据库、文档以及其它结构化和半结构化的数据“。d m 的目标是从数据 华中科技大学硕士学位论文 库中发现有用的信息、知识、规律、规则等”“。 ( 5 ) 基于模糊理论的入侵检测方法 入侵活动往往不是孤立的活动，而是一个有机的活动序列“。入侵者往往首先收 集有关信息，然后试图获得某个访问权限，之后窃取或修改系统的某些信息。这样， 实际上在一定程度上将入侵检测转化为一个用许多模糊证据进行综合判决的问题“。 1 2 4 存在的问题 当前的入侵检测系统主要存在如下一些问题“”： ( 1 ) 易受i p 欺骗攻击 主要原因是i d s 在监视网络异常行为的同时，自己也会同时成为外部或内部攻击 者攻击的目标，黑客往往会把攻击i d s 作为破坏目标网络的首要任务。由于基于网络 的i d s 为了能够检测出发生在所保护的网络中的攻击行为，必须与网络中的若干结点 保持信任关系。这就为攻击者提供了机会伪造与i d s 存在信任关系的被保护主机建立 与i d s 基于地址验证的应用连接，然后对i d s 进行破坏活动。 ( 2 ) 易受拒绝服务攻击( d e n i a lo fs e r v i c e ，简称d o s ) i d s 为了不漏掉攻击，需要尽可能对每一个包进行检测，而不能因为处理不过来 而丢掉某些数据包。如果攻击者向内部网发送大量需要i d s 处理的包时，便造成了i d s 的拒绝服务“。 ( 3 ) 没有能力控制外部网对内部网的访问 当前对i d s 的研究过多的集中在如何准确、高效的检测出已经存在的攻击行为上， 而忽视了对相应的攻击行为的对抗和防御措施。其中重要的一点就表现在i d s 本身缺 乏足够的阻断能力。，没有有效的机制在检测到攻击行为后有效的阻止攻击者对内部 网的进一步破坏。 6 华中科技大学硕士学位论文 1 3 课题研究的意义、内容和目标 1 3 1 课题研究的意义 i d s 是解决网络安全隐患的有效手段之一。“。由于入侵检测系统存在自身安全性 不高，阻断能力不强等问题，十分需要研究一种有效的机制来增强当前入侵检测系统 的安全性和有效性。“。入侵检测工具在能够采用被动策略的安全机制来保证其结构上 的安全性，及时有效地检测出非授权的网络行为，对非法用户进行审计和跟踪，防范 攻击的同时，还应该具备有效的机制来阻止入侵，并采取适当的响应策略予以反击。 入侵响应是指入侵检测系统对网络入侵行为进行的相应处理措施，如报警、记录 同志、阻断网络连接“、屏蔽访问地址。52 6 1 等等。 i d s 对入侵的响应方式可分为主动方式和被动方式。”。现有大多数i d s 采用的是 被动方式，即当i d s 检测到袭击时，它只产生告警而不采取任何措施来抵抗袭击。因 此，这种方式需要人工干预。随着入侵检测技术的发展，越来越多的1 d s 开始采用主 动方式来抵抗袭击，比如丢弃可疑数据分组，隔离发动袭击的节点，重新配置网络环 境。”等。主动响应将受保护网络和外部网络分离，并对入侵行为进行制止和反击。研 究i d s 的主动响应策略已经成为当前i d s 研究中的一个重要课题，具有重大意义。 1 3 2 课题研究的内容 入侵检测技术作为一种安全策略，为增强计算机网络安全提供了有效保障”。在 分布式入侵检测技术中，安全有效的响应机制作为提高入侵检测系统对网络的保护能 力，有着举足轻重的地位。 本课题是本研究室i d s 研究小组所研究的分布式入侵检测系统 d i d s ( d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ) 中的一个子课题，主要围绕d i d s 中的主动响应机制展开研究。 华中科技大学硕士学位论文 1 3 3 课题研究的目标 使最终研究出来的d i d s 具备通用、高效和安全的主动响应机制。使分析部件和 检测部件在发现攻击行为后能够作出及时、高效、正确的响应动作，提高i d s 的整体 安全能力和保障i d s 自身的安全性。 华中科技大学硕士学位论文 2dld s 系统的总体架构与入侵响应机制 针对一般i d s 存在的不足，本研究小组提出了一种分布式入侵检测系统d i d s 。本 章在给出了d i d s 的总体架构的基础之上，讨论了该d i d s 的分布式入侵检测、集中管 理与协同等工作机制。接下来分析了该d i d s 的响应机制存在的不足和待改进之处。 2 i d i d s 总体架构 d i d s 采用多代理协同的分布式体系结构，能够实现实时分布式入侵检测与响应。 2 1 1 功能模块的划分 d i d s 由七大功能模块组成，各功能模块的主要任务为： 网络数据采集模块n d s m ( n e t w o r kd a t as e n s em o d u l e ) 负责采集网络原始数据并 按特征进行归一化描述，提供给网络入侵检测模块进行检测、分析。 网络入侵检测模块n i d m ( n e t w o r ki n t r u s i o nd e t e c t i o nm o d u l e ) 负责对网络数 据进行检测、分析。 主机入侵检测模块h i d m ( h o s ti n t r u s i o nd e t e c t i o nm o d u l e ) 通过分析系统日志 和监视系统状态，检测基于主机的入侵。 负载平衡模块l b m ( l o a db a l a n c em o d u l e ) 通过监视检测代理和数据采集代理的负 荷情况，合理调熬各个代理的负载情况。 区域中央控制模块a c a m ( a r e ac o n t r o lc e n t r a lm o d u l e ) 负责综合分析由各个入 侵检测代理提交的检测结果，以识别是否有局部的网络入侵以及应采取何种应对策 略。 全局中央控制模块g c c m ( g l o b a lc o n t r o lc e n t r a lm o d u l e ) 负责综合分析出各个 区域中央控制模块提交的检测结果，以判别是否有大规模的网络入侵以并及时采取何 种全局应对策略。 安全网关s e c g w ( s e c u r eg a t e w a y ) 为整个内部网提供统一的入侵响应手段。 华中科技大学硕士学位论文 d i d s 的拓扑结构图如图2 1 所示。 2 1 2 组件的定义 图2 id i d s 系统的拓扑结构 在d i d s 模型中共定义了七种组件，它们分别是： ( 1 ) 数据采集代理d s a ( d a t as e n s ea g e n t ) ( 2 ) 检测代理i d a ( i n t r u s i o nd e t e c t i o na g e n t ) ( 3 ) 入侵响应代理i r a ( i n t r u s i o nr e s p o n s ea g e n t ) ( 4 ) 信息交换代理i x a ( i n f o r m a t i o ne x c h a n g ea g e n t ) ( 5 ) 负载平衡器l b ( l o a db a l a n c e r ) ( 6 ) 中心分析器c l a ( c e n t r a li n t r u s i o na n a l y z e r ) ( 7 ) 全局中心控制台g c c ( g l o b a lc e n t r a lc o n s o l e ) 其中数据采集代理还可以细分为网络数据采集代理n d s a ( n e t w o r kd s a ) 和主机数 据采集代理h d s a ( h o s td s a ) ，检测代理还可以细分为网络检测代理n i d a ( n e t w o r ki d a ) 和主机检测代理h i d a ( h o s ti d a ) ，中心分析器还可以细分为区域中心分析器 华中科技大学硕士学位论文 a c i a ( a r e ac i a ) 和全局中心分析器g c i a ( g i o b a lc i a ) 。 此外在d i d s 中还有一个i d s 控制台i d s c ( i d sc o n s o e ) 。i d s c 提供图形界面， 使得管理员可以对整个d i d s 系统进行监控。 各个组件之间的关系是松耦合的，采用标准接口，功能相对独立，可以根据具体 需要灵活组装。 各组件之间的关系与相关功能模块如图2 2 所示。 图2 2d i d s 系统功能模块的逻辑关联 由数据采集代理采集原始数据，检测代理从中进行分柝，找出与安全相关的事件， 向中心分析器传送数据。中心分析器通过i d s 控制台通知管理员，并根据既定的策略 与入侵响应代理i r a 或访问控制设备( 如防火墙) 进行协同防御。 在控制流程中，管理员可以通过全局中心控制台操作负载平衡器，进而控制检测 代理和数据采集代理，配置和调整安全策略，保证系统的性能和数据安全。 华中科技大学硕士学位论文 2 1 3 协同分布式工作机制 2 1 3 i 数据的采集与归一化描述 d i d s 使用数据采集代理来收集原始数据。数据采集代理分为主机数据采集代理和 网络数据采集代理。 ( 1 ) 主机数据采集代理：负责收集主机上的信息，如审计日志，系统同志等。 ( 2 ) 网络数据采集代理：负责侦听网络上的数据包，统计网络流量、路幽器等 信息。 数据采集代理收集到原始数据后，根据其特征进行归一化描述，然后根据检测代 理的需要与负载平衡策略，将数据送到相关的检测代理进行近一步分析。 2 i 3 2 基于多代理的分布式入侵检测 d i d s 依靠h i d a 与n i d a 进行实时分布式入侵检测。h d i a 与n i d a 采用特征检测与 异常检测相结合的检测方法，并在g c c 和a c a 的集中控制下进行协同检测，降低漏报 率与误报率。 在特征检测中，i d a 根据d i d s 中的攻击模式库，对当前活动进行基于模式匹配的 特征检测和对比。i d a 能够较高效率的、准确地检测出攻击模式库中预定义的攻击行 为与当前发生事物活动是否相匹配或相似，从而做到降低了误报率。 对于不属于攻击模式库中预定义的攻击行为，d i d s 采用异常检测的方法。i d a 根 据当前活动所对应的资源消耗情况与预定义的活动的相似程度，利用经验公式计算该 类活动的可疑度值。当该活动的可疑度值超过预定的报警阈值时，i d a 判断该活动为 入侵，向中央分析器a c i a 和g c i a 报警。 华中科技大学硕士学位论文 2 1 3 3 层次化的综合分析与协同通信 入侵检测综合分析与协同工作纳入在g c c m 与a c a m 的管理下，通过i x a 的信息交 换完成。 ( 1 ) 入侵检测的信息交换 i x a 负责交换n d s a 采集的数据、负载平衡的自适应协商消息、i d a 的检测结果、 g c c 和a c a 控制命令、配置参数和安全策略。同时，入侵检测模块i d m 中的i x a 还负 责定期检查本机上的i d a 、i r a 的运行状态，向控制中心报告运行状态。 在d i d s 中，g c c m ，a c a m ，i x a 和i d a 等模块运行在异构的主机环境中，i d a 采用 的检测技术有所不同，入侵警报的描述方式也有所区别，这就要求i x a 能够用统一的 格式描述这些入侵警报消息。其次，由于d i d s 采用的是分布式架构，各个功能模块 运行在异构的网络和主机环境中，这就需要i x a 能够使用统一的消息格式来描述命令 和配置信息，实现各功能模块之间的有效协同。第三点，d i d s 还要具有与其他安全产 品协同联动的特性，这就要求i x a 要具有和其他安全产品如防火墙、安全评估工具等 相互通信的能力。因此，d i d s 系统实现了协同分布式的工作机制。 i x a 的通信接口支持统一的通用消息格式与通用通信协议，具有安全的可管理性。 i d a 采用通用消息格式来描述警报消息和配置命令，然后使用通用通信协议进行传输。 ( 2 ) 层次化的综合分析 d i d s 使用一种如图2 3 所示的三层检测模型进行分布式入侵检测与综合分析。在 d i d s 分层检测结构中，第一层的检测部件进行独立的检测，然后将检测到的可疑事件 数据通过i x a 送到区域中心分析器进行分析，区域中心分析器分析下一层送来的可疑 数据，再将可疑事件数据通过i x a 送到全局中心分析器进行检测。检测部件之间不直 接进行通信，它们之间的协同是通过上一层的分析器来实现的。 华中科技大学硕士学位论文 全局中心分析 区域中心分析 检测代理层 图2 3d i d s 的分层检测模型 ( 3 ) 自适应协商的负载平衡 d i d s 的自适应协商负载平衡由负载平衡模块l b m 实现。l b m 由i x a 与l b 两部分 组成。 l ，b 主要是对检测代理和网络数据采集代理进行负载平衡。在d i d s 中，它采用负 载平衡的自适应协商协议，通过i x a 获取各个检测代理和网络数据采集代理的负载情 况，根据负载平衡算法，对检测代理和网络数据采集代理的负载进行动态调整，保证 系统的高效运行。 2 2d i d s 入侵响应机制的讨论 2 2 1 d i d s 入侵响应机制分析 d i d s 提供的入侵响应策略由服务器i r a 与安全网关i r a 执行。i r a 内嵌于操作系 统协议栈中，以获取更高的效率和更灵活的控制，这是它的一个重要特性。 d i d s 的i r a 提供的响应方式有： ( 1 ) 告警 根据事件的风险级别向受保护的网络发出不同的警报信号，报警信息在系统管理 员的中心控制台直接显示警报内容和警报级别，也可以向某一台或多台网络中的主机 发送警报信号； 华中科技大学硕士学位论文 ( 2 ) 同志记录 根据安全策略的要求，将攻击行为的特征和网络中发生的危害事件写进相关的同 志文件或日志数据库中。支持简单日志和详细日志记录能力。目前几乎所有的i d s 都 支持日志记录的响应方式。“； ( 3 ) 断开会话连接 根据安全策略的要求，对会话实施阻断，终止会话。该方式是主动的入侵响应方 式，由服务器i r a 完成，通过这样的实现机制，可以有效避免同一攻击源对目标主机 的下一次攻击，但是断开会话连接的响应方式不能避免该攻击源对内部子网中其他主 机的类似攻击行为。2 “； ( 4 ) 事件回放 使用d i d s 自带的攻击模拟工具，对已经发生的攻击行为进行回放，再现攻击的发 生过程。事件回放有记录回放和数据回放两种方式。 ( 5 ) 邮件通知 通过e m a i l 的方式给安全管理员的邮箱发送告警邮件信息。 服务器i r a 的响应动作由本机管理员或服务程序控制。当主机入侵检测代理发现 入侵行为时，命令配备在该主机的服务器i r a 断开本主机与非法用户的应用连接，并 在一段时间内屏蔽该用户与主机的通信，同时还要对发生的攻击事件进行日志记录。 网关i r a 运行在模块s e c g w 上，其响应动作由g c c 集中控制。当大规模的入侵行 为发生后，g c c 使用通用消息格式描述非法用户的特征和响应策略，通过通用通信协 议发送给s e c g w 上的i x a 。i x a 对进入的包进行安全过滤和协议解码，然后网关i r a 根据g c c 发送来的响应请求采取适当的响应动作。 2 2 2 存在的不足和待改进之处 综合以上对d i d s 入侵响应机制的分析，可以看到d i d s 所提供的响应机制存在如 f 不足： ( 1 ) 对网络的保护能力不足。d i d s 的入侵响应方式大多数都是被动响应的方式， 如报警、日志记录等。所具备的主动响应机制也仅限于断开攻击者对目标主机的会话 华中科技大学硕士学位论文 连接，不能阻止该攻击者对所保护网络中其它目标主机的攻击行为。缺乏真正有效的 主动响应机制来提高被保护网络的整体安全性。 ( 2 ) 响应速度慢。对于同一攻击源的大规模入侵来说，先后遭受攻击可能是内 部网中的多台主机”，而当d i d s 连续发现一系列攻击行为后，要分别针对这多台遭 受攻击的主机作出响应，显然要花费较长的响应时间。 ( 3 ) 工作效率不高。d i d s 的响应部件要与众多的网络节点和功能部件之间进行 信息交互。4 1 ，应用程序比较复杂，大大增加了d i d s 的运行负荷，影响了d i d s 的运行 效率。 ( 4 ) d i d s 自身安全性不高。d i d s 的响应机制不能有效地防止对自身的攻击，尤 其是针对d o s 攻击和i p 欺骗攻击。 2 3 本章小结 本章讨论了一种分布式入侵检测系统d i d s 的设计思想和总体架构。它采用了分 布式、多代理、分层检测的体系结构和多种入侵检测技术，对不同情况下发生的入侵 均有较好的检测效果。但是从对该d i d s 的响应机制的分析来看，在响应能力、响应 速度、响应效率等方面存在一定的不足和待改进之处。为了改进这些不足，下面章节 将给出基于主动响应策略的d i d s 主动式安全网关a s e c g w ( a c t i v es e c u r eg a t e w a y ) 的设计及实现。 华中科技大学硕士学位论文 3a s e c g w 的设计 a s e c g w 是围绕提升d i d s 的性能所展开的进一步研究，主要是对原来的非主动式 安全网关的不足之处加以改进。当入侵检测代理发现入侵行为时，a s e c g w 能自动实时 的对已经发现的攻击行为进行主动响应。 3 1 a s e c g w 设计要求 a s e c g w 位于被保护的内部网络和被认为不安全的外部网络之间。当发现外部网络 的入侵行为时，d i d s 要能够根据系统定义的安全策略，通过a s e c g w 做出正确有效的 主动响应措施。 a s e c g w 的设计应满足如下要求： ( 1 ) 基于分布式检测集中式管理的工作模式。这个设计思想能实现多网段安全 的集中管理，也有助于实现大规模网络系统的协同入侵检测与响应。 ( 2 ) 支持安全策略的定制，即响应规则的用户自定义，易于扩充和完善。 ( 3 ) 支持安全域的自定义。自行确定需要主动响应的网络范围，克服入侵检测 与响应的盲目性，用以提高入侵响应的效率和准确率。 ( 4 ) 不改变已有网络拓扑结构，尽可能不降低网络性能。 ( 5 ) 系统安全可靠。不同部件之间做到保密通信，保证系统本身的安全性。 3 2 a s e c g w 体系结构 华中科技大学硕士学位论文 a s e c g w 的体系结构如图3 1 所示。 包过滤器 r 一土 0，日志数据库噜 l l ，卧烈1 柏，千 响应策 略模块 k 一一通信模块l 止一_ i a s e c g w 图3 1a s e c g w 体系结构 全 局 由 心 控 制 厶 口 g c c 其中： 策略响应模块：主程序模块，控制整个a s e c g w 各模块之间的通信与调用，保证 响应策略的实施与运行； 包过滤器：实施阻断动作的功能部件，与外部网相连； 通信模块：负责与全局中心控制台g c c 进行协同通信，用于交换与g c c 之间的主 动响应控制信息，负责这些通信数据编码和解码： 日志数据库：记录攻击事件信息和响应事件e | 志。 华中科技大学硕士学位论文 3 3a s e c g w 的主动响应策略 3 3 1 攻击源阻断策略 3 3 i 1 设计思想 攻击源阻断是指在入侵检测代理( i d a ) 发现来自外部网络的攻击行为后，由g c c 通知响应部件及时阻断攻击者对所保护网络的访问，避免该攻击者对内部网的再次破 坏。i d a 布置在内网的不同位置，分别监视各自的子网。当i d s 发现网络中的数据存 在攻击企图时，由a s e c g w 实施统一的入侵响应手段。 上述策略是d i d s 主动响应机制中重要的环，也是# , s e c g w 实现d i d s 主动响应 机制的主要策略。 该策略的基本思想是在原d i d s 的s e c g w 中增加主动式安全工具来达到协助d i d s 阻断外部入侵者的目的。 a s e c g w 将包过滤器作为自己实现主动响应的安全工具，利用包过滤器实施主动防 御。对网络进行动静结合的保护，并对网络行为进行细颗粒的检查，能够对网络内外 两个部分都进行可靠管理。 很多商业路由器提供了包过滤的能力，可以通过编程来执行过滤功能。许多路由 器厂家，如c i s c o 、w e l l f l e e t 、3 c o m 、a c c 等都提供了具有包过滤功能的路由器，称 为过滤路由器。a s e c g w 的包过滤器由过滤路由器担当。 3 3 i 2 包过滤器的过滤规则 包过滤器在对数据包进行过滤的时候必须遵循的策略称为包过滤规则。当包到达 时，报头被进行语法分析。包过滤器只检查i p 、t c p 或u d p 报头中的字段。包过滤规 则以特殊的方式存储，应用于过滤包的规则的顺序与包过滤器规则存储的顺序相同。 外部网络流量流经包过滤器时，通过了包过滤器的包过滤规则的网络流量才能被 华中科技大学硕士学位论文 转发到内部网络，被包过滤规则禁止的网络流量都将被丢弃。这种安全机制为所保护 的网络增加了一道屏障，使得入侵者必须首先穿透过滤路由器才能开始对内部网络的 访问和破坏。 为了使a s e c g w 实现正确、安全的响应，需要在包过滤器中设立可靠的a s e c g w 阻 断规则： ( 1 ) 加入可信任主机列表，对于可信任主机不阻断其发出的包； ( 2 ) 判断d i d s 其他功能部件发送的数据包的网络地址是否在自己允许的范围之 内； ( 3 ) 级别较低的报警不要设置为阻断，如i c m p 不可达到等，这些情况需要管理 员配合自己的环境做出调整，采取其它合适的响应策略； ( 4 ) 设置包过滤器针对某些规则设置一定的阻