（计算机应用技术专业论文）基于协议分析的网络入侵检测系统的研究与设计(1).pdf

原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进 行研究所取得的成果。除文中已经注明引用的内容外，本论文不包含任何 其他个入或集体已经发表或撰写过的科研成果。对本文的研究作出重要贡 献的个人和集体，均已在文中以明确方式标明。本声明的法律责任由本人 承担。 论文作者签名： 鱼焦 日期： 逊垦： 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学校保 留或向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅 和借阅；本人授权山东大学可以将本学位论文的全部或部分内容编入有关 数据库进行检索，可以采用影印、缩印或其他复制手段保存论文和汇编本 学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名： 墅! 醣导师签名： 山东大学硕士学位论文 摘要 网络入侵事件的频繁发生，使人们认识到只从防御的角度构造安全系统是不 够的，传统的安全模型已经不能适应网络技术的发展，p 2 d r 模型应运而生。入 侵检测技术是p 2 d r 模型的重要组成部分，入侵检测系统是继防火墙、数据加密 等传统安全防护措施之后的新代安全保障技术，是对传统安全防护措施的必 要、有效的补充。它对计算机和网络资源上的恶意使用行为进行识别和响应，它 不仅检测来自外部的入侵行为，同时也监督内部用户的未授权活动，是一种主动 的网络安全防护技术。 入侵检测系统按照数据来源分为基于主机和基于网络两种，入侵检测的分析 技术主要分为误用入侵检测和异常入侵检测，目前国内外流行的入侵检测系统大 都是采用误用入侵检测技术的网络入侵检测系统。 随着大量高速网络技术的出现，网络入侵检测系统f 面临着巨大的挑战：如 何保证系统及时、高效地处理、分析大量的数据包，减少甚至避免丢包现象的发 生，是每一个网络入侵检测系统都要解决的问题。提高系统硬件配置如增大内存 等可以部分解决这个问题，但是要从根本上解决这个问题，关键是要对入侵检测 系统本身进行改进和完善。我们在网络入侵检测系统的体系结构、网络数据包采 集模块以及分析检测技术等方面做了一些改进，在实验中取得了较好的效果。 在系统的体系结构上，我们利用协议分流技术进行负载均衡，使得大量的网 络数据包按照不同的协议被分流到不同的分析处理模块，解决了集中式检测系统 存在的瓶颈问题，即所有的数据包都被送到一个集中的分析模块进行分析、处理， 既提高了检测的效率，同时也增强了系统的抗攻击能力，即使某一个分析模块无 法正常工作，也不会影响到其他的分析模块。 网络数据包采集模块是整个系统高效工作的基础，目前国内外的大多数网络 入侵检测系统的数据采集模块，都是利用l i b p c a p 提供的函数库来实现，其在 w i n d o w s 下的版本为w i n p c a p ，考虑到采集效率、自主知识产权、采集模块与系 统其他模块的配合等因素，我们采用自己编写协议驱动程序来采集数据包，并通 过在驱动程序中实施过滤、减少数据包在用户态空间和核心态空间之间拷贝的次 山东大学硕士学位论文 数等方法，提高采集的效率。 入侵检测系统的核心是入侵检测技术。目前应用最多的入侵检测技术是数据 包模式匹配检测方法，但是这种方法已经暴露出许多的缺点和不足。现在人们开 始探讨协议分析技术在入侵检测中的应用，它是下一代入侵检测系统的关键技术 之一。它可以明显改善入侵检测系统的性能，提高入侵检测系统的应用价值。我 们在高效采集数据包的基础上，在入侵检测技术上采用协议分析技术与模式匹配 相结合的检测方法，提高了系统检测的准确性和效率。 通过自己编写协议驱动程序高效采集数据包、利用协议分流进行负载均衡以 及使用先进的协议分析技术，我们的系统在性能上得到了一定的提高，论文对于 企业建立网络安全体系和改进现有的网络入侵检测系统具有一定的现实意义。 关键词 入侵检测：协议分析；模式匹配：协议驱动程序 中国分类号：t p 3 9 3 0 8 文献标识码：a 山东大学硕士学住论文 竺! 竺= = = = = = = = = = = = = = ! 竺! ! = = = = = = = = = ! 竺= = = = = a b s t r a c t t h em o r ea n dm o r ee m e r g i n ge v e n t so fn e t w o r k i n t r u s i o nm a k ed e o p l e r e a l i z et h a ti tisi n s u f f i c i e n tt ob u t i ds e c u r i t ys y s t e mo n l yw i t hs o m e p a s s i v et e c h n i q u e s t h et r a d i t i o n a ls e c u r i t ym o d e lc a n n o tk e e pu pw i t h t h er a p i dd e v e l o p m e n to fm o d e r nn e t w o r kt e c h n o l o g y ：t h em o d e lo fp 2 d ri s s u h s t i t u t eo ft h et r a d i t i o n a ls e c u r i t ym o d e l a sa ni m p o r t a n t p a r to fp 2 d r m o d e l ，i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) i san e wg e n e r a t i o ns e c u r i t y p r o t e c tt e c h n o o g ya n ditisan e c e s s a r ya n de f f e c tiv es u p p l e m e n tt ot h e t r a d i t i o n a ls e c u r i t yp r o t e c tt e c h n o l o g ys u c ha sf i r e w a i la n dd a t a e n e r y p t i d si d e n t i f i e sa n dr e s p o n s e sv icjo u sb e h a v io ro fu s i n gh o s ta n dn e t w o r k r e s o u r c e s i d sn e to n l yd e t e c t st h ei n t r u s i o nf r o mt h ee x t r a n e th a c k e r b u ta l s om o n i t o r si n t r a n e tu s e r s 】ti sa na c t i v en e t w o r k s e c u r i t y p r o t e c t i o nt e c h n o t o g y i d sc a nb ed i v i d e di n t ot w od i f f e r e n tt y p e sa c c o r d i n gt oi t so r i g i n o fd a t a o n ei sb a s e do nh o s ta n dt h eo t h e ri sb a s e do nn e t w o r k a tt h e s a m et i m e ，t h ei d a n a l y s i sm e t h o d sa l s oh a v et w ow a y s ：o n ei sa n o m a ly d e t e c t i o na n dt h eo t h e ri sm is u s ed e t e c t i o n n o w a d a y s ，t h em o s tp o p u l a r i d sisn e t w o r ki n t r u s i o nd e t e c t i o ns y s t e mu s i n gm i s u s ed e t e c t i o nm e t h o d n e t w o r ki n t r u s i o nd e t e c t i o ns y s t e mi sn o w f a c i n gg r e a tc h a l l e n g e s b e c a u s eo ft h ee m e r g i n go fh i g h s p e e dn e t w o r kt e c h n o l o g y h o wt om a k et h e s y s t e mp r o c e s s a n da n a l y z eag r e a tn u m b e ro fp a c k e t se f f e c t i v e l yi sa d i f f i c u l tp r o b l e mt h a t e v e r yn i d sm u s t s o l v e w h a ti sm o r e ，i ts h o u l d d e c r e a s eo re v e na v o i d 1 0 s i n gp a c k e t s i m p r o v i n gs y s t e m h a r d w a r e c o n f i g u r a t i o ns u c ha si n c r e a s em e m o r yc a np a r t l ys o l v et h i sp r o b l e m 。b u t t h ee s s e n t i a lw a yt os o l v et h i sp r o b l e mi st oi m p r o v ea n dp e r f e c ti d s i t s e l f w em a d es o m ei m p r o v e m e n t si nt h es y s t e ma r c h i t e c t u r ea n dp a c k e t c a p t u r em o d u e a n d a n a l y s i s m e t h o do ft h ei d sa n d g o ts a t i s f a c t o r y 山东大学硕士学位论丈 r e s u lt s b a s e do np r o t o c o ld i s t r i b u t a r y ，t h es y s t e mb a l a n c e st h el o a d ，m a k i n g l a r g en u m b e r so fn e t w o r kp a c k e t ss w i t c bt od i f f e r e n ta n a l y s i sm o d u i e a c c o r d i n gt ot h e i rp r o t o c o l s t h ea r c h i t e c t u r es o l v e st h eb o t t l e n e c ko f c e n t r a l i z e dd e t e c t i o ns y s t e mi nw h i c ha 1 1t h ep a c k e t sa r es e n tt oa n a l y s i s m o d u l et op r o c e s sa n de n h a n c e st h ed e t e c t i o ne f f i c i e n c y a tt h es a m et i m e ， t h ea n t i a t t a c ka b i l i t yo ft h e s y s t e m i sa l s o i m p r o v e d e v e ni fs o m e a n a l y s i sm o d u l ec a n n o tw o r k ，i td o e sn o ta f f e c to t h e rm o d u l e s t h ep a c k e tc a p t u r em o d u l ei st h eb a s eo fe n t i r es y s t e m a tp r e s e n t ， m o s tn i d sd e v e l o pt h e i rp a c k e tc a p t u r em o d u l eb a s e do n 1 i b p c a p1 i b r a r y w h o s ew i n d o w se d i t i o ni sw i n p c a p a l 1 0 w i n gf o rc a p t u r i n ge f f i c i e n c ya n d s e l f - d e t e r m i n e di n t e l l e c t u a lp r o p e r t ya n dc o o p e r a t i o no fe a c hm o d u l e ，w e p r o g r a mp r o t o c o ld r i v e rt oc a p t u r ep a c k e t s b yf o l l o w i n gm e t h o d ss u c ha s f i lt e rind r iv e ra n dd e c r e a s ep a c k e tc o p ie sb e t w e e nu s e rm o d ea n dk e r n e l m o d e ，w ee n h a n c et h ec a p t u r i n ge f f i c i e n c y i n t r u s i o nd e t e c t i o nm e t h o di st h ek e yo f i d s n o w a d a y s ，t h em o s t p o p u l a ri n t r u s i o nd e t e c t i o nm e t h o di sp a t t e r nm a t c h b u tm a n yd e f e c t sa n d s h o r t a g eo ft h i sm e t h o dh a v ee m e r g e d n o wp e o p l eb e g i nt or e s e a r c ht h e u s i n go fp r o t o c o la n a l y s i si ni d s i ti so n eo fk e yt e c h n o l o g i e si nn e x t g e n e r a t i o ni d sa n di tc a na p p a r e n t l yi m p r o v et h ep e r f o r m a n c ea n da p p l y i n g v a l u eo fi d s b a s e do nc a p t u r i n gp a c k e t se f f i c i e n t l y ，w eu s ep r o t o c o l a n a l y s i sc o m b i n e dw i t hp a t t e r nm a t c hi nd e t e c t i o nm e t h o d ，i m p r o v i n gt h e a c c u r a c ya n de f f i c i e n c yo ft h es y s t e m b yp r o g r a m m i n gp r o t o c o ld r i v e rt oc a p t u r ep a c k e t s ，b a l a n c i n gl o a d s b a s e do np r o t o c o ld i s t r i b u t a r ya n da d v a n c e dp r o t o c o la n a l y s i st e c h n o l o g y ， w e i m p r o v e o u ri d s t h ed is s e r t a t i o nm a k e s i t s i g n i f i c a n t t o h e l p c o r p o r a t i o ne s t a b l i s ht h en e t w o r ks e c u r i t ys y s t e ma n di m p l e m e n t i d s k e y w o r d s i n t r u s i o nd e t e c t i o n ；p r o t o c o l a n a l y s i s ；p a t t e r nm a t c h ：p r o t o c o ld r i v e r d 山东大学硕士学位论文 第1 章前言 1 1 论文研究的内容及意义 信息技术的飞速发展和网络技术的全面应用将世界带入了一个全新的时代， 随着政府上网、电子商务等一系列网络应用的蓬勃发展，i n t e r n e t 早己超越了原 来的单纯的学术环境，融入到社会的各个方面。但随之而来的计算机网络攻击也 不断增加，网络安全成了人们曰益关注的焦点【l 】。 入侵检测是继防火墙、加密等传统安全防护技术之后的新一代防御技术，是 用来检测对计算机系统和网络系统，或者更广泛意义上的信息系统的非法攻击的 安全措施。人们通过对攻击事件的统计发现，大约有百分之五十到百分之七十的 攻击事件都是发生在网络内部f 2 】，在这点上传统的防火墙失去了作用，而入侵检 测系统不仅能够检测来自网络外部的入侵行为，也能对系统内部的未授权用户行 为进行监督。入侵检测做为一种主动防御技术，弥补了传统安全技术的不足，而 入侵检测系统也成为安全市场上新的热点，开始在各种不同的环境中发挥关键作 用【3 】【”。 入侵检测系统从应用技术的角度可分为基于特征检测( s i g n a t u r e b a s e d d e t e c t i o n ) 的入侵检测系统和基于异常检测( a n o m a l y b a s e dd e t e c t i o n ) 的入侵 检测系统l5 1 ，基于特征检测的入侵检测系统更多的时候被称为误用入侵检测系 统。基于网络的入侵检测系统是当前入侵检测系统的发展趋势【6 】，然而对网络入 侵检测系统的检测技术的研究却进展不大，大多数的网络入侵检测系统都是采用 传统的数据包模式匹配方法，通过匹配数据包和攻击特征库来判定是否存在攻击 行为，这种方法现在已经暴露出许多的缺点和不足，已经无法适应目前网络的发 展，而基于协议分析的入侵检测技术正在成为新一代的检测技术【”。本文提出了 一种基于协议分析的网络入侵检测系统，该系统利用协议分流技术进行负载均 衡，提高了系统性能；通过设计和编写高效的协议驱动程序进行网络数据包的采 集，并在此基础上，采用协议分析技术与模式匹配相结合的检测方法，提高了系 统检测的准确性和效率。通过以上的分析研究，对于企业建立网络安全体系和实 现国产的入侵检测工具具有一定的现实意义。 山东大学硕士学住论文 1 2 论文各章内容简介 第2 章本章介绍了入侵检测系统的意义、定义和分类，对两种常用的入侵 检测技术做了说明和比较，介绍了入侵检测系统的模型及组件间的通信协议，最 后对入侵检测系统的发展方向做了展望。 第3 章对课题设计的网络入侵检测系统做了总体上的说明，描述了该系统 的体系结构图和组成部分，对系统的一些改进做了说明。 第4 章数据采集模块是整个网络入侵检测系统高效工作的基石，在这一章 我们介绍了数据包采集的原理，以及如何通过编写协议驱动程序来高效采集网络 数据包。 第5 章分析检测模块是整个系统的核心，而所使用的检测技术则是这个核 心的核心，我们采用目前国内外流行的和先进的协议分析技术，并结合传统的模 式匹配技术，对如何应用协议分析进行入侵检测做了详细的论述，并以h t t p 协 议包为例，论述了检测攻击的过程。最后简单介绍了i p 分片重组和t c p 流重组 的一些原理和实现。 第6 章介绍了系统的优点和不足，指出了以后应该改进的地方。 山东大学硕士学位论文 第2 章入侵检测系统的研究现状及发展方向 2 1 网络安全模型及入侵检测的重要性 网络安全模型的发展 在信息安全的发展史上有一个里程碑，这就是1 9 8 5 年美国国防部国家计算 机安全中心( n c s c ) 发布的可信计算机安全评估准则( t c s e c ) 8 1 。这个准则的 发布对操作系统、数据库等方面的安全发展起到了很大的推动作用。 但是随着网络的深入发展，这个标准已经不能完全适应当前的技术需要，因 为这个主要基于h o s tt e r m i n a l 环境的静态安全模型和标准无法完全反应分布 式、动态变化、发展迅速的i n t e r n e t 安全问题。 针对日益严重的网络安全问题和越来越突出的安全需求，代表“动念安全 模型”的“p 2 d r 模型”应运而生p 。 p 2 d r 模型包含4 个主要部分 p o l i c y ( 安全策略) p r o t e c t i o n ( 防护) d e t e c t i o n ( 检测) r e s p o n s e ( 响应) p 2 d r 模型示惹图 图2 1p 2 d r 模型示意图 山东大学硕士学位论文 p 2 d r 模型是在整体的安全策略( p o l i c y ) 的控制和指导下，在综合运用防护 工具( p r o t e c t i o n ，如防火墙、操作系统身份认证、加密等手段) 的同时，利用 检测工具( d e t e c t i o n ，如漏洞评估、入侵检测等系统) 了解和评估系统的安全 状态，通过适当的响应( r e s p o n s e ) 将系统调整到“最安全”和“风险最低”的 状态。防护、检测和响应组成了一个完整的、动态的安全循环。 入侵检测的重要性 随着网络技术的不断发展，网络安全技术也取得了长足的进展。网络安全涉 及到网络的方方面面，是一个非常复杂的系统的知识结构。网络安全的复杂性还 在于网络发展本身的复杂性，由于各种网络技术在时间和空间上的延伸使得目前 的网络发展成为一个非常复杂的环境，几乎不可能设计出一个绝对安全的系统； 也不可能做到统一改造庞大的网络系统，因此各种新的技术和老的技术在很长时 间罩要共存；关于网络安全问题目前存在许多专门的技术，如口令认证、防火墙、 数据加密、v p n 技术等等，总的来说这些技术都属于一种静态的防御系统。目前， 黑客在网络上的攻击活动正以每年1 0 倍的速度增长，黑客们利用网络上的漏洞 和缺陷修改网页、非法进入主机、进入银行盗取和转移资金、窃取信息、发送假 冒的电子邮件等，从而引发各类网络案件。随着黑客入侵事件的日益猖獗，人们 发现只从防御的角度构造安全系统是不够的。 入侵检测系统是保障网络正常运行的一个重要工具，也是当前国内外研究的 一个热点，它与网络运行管理系统相结合，可有效地监察网络用户的使用行为。 入侵检测系统的基本功能包括检测出正在发生的攻击活动；发现攻击活动的范围 和后果：诊断并发现攻击者的入侵方式和入侵地点，并给出解决建议，以及收集 并记录入侵的活动证据。入侵检测系统是继防火墙之后的新一代安全防御技术， 是防火墙的必要的补充。 就目前的系统安全状况而言，系统存在被攻击的可能性，如果系统遭到攻击， 只要尽可能地检测到，甚至是实时地检测到，就可以为对抗入侵提供信息。入侵 检测系统一般不是采取预防的措施以防止入侵事件的发生，入侵检测作为安全技 术其作用在于：( 1 ) 识别入侵者；( 2 ) 识别入侵行为；( 3 ) 检测和监视已成功的 安全突破：( 4 ) 为对抗入侵及时提供重要信息，阻止入侵的发生和事态的扩大。 山东大学硕士学位论文 2 2 入侵检测系统的定义和分类 入侵检测系统的定义 入侵检测( i n t r u s i o nd e t e c t i o n ，i d ) 是在1 9 8 0 年由a n d e r s o n 首先提出的 ”，他将入侵行为划分为外部闯入、内部授权用户的越权使用和滥用等三种类 型，并提出用审计追踪监视入侵威胁。它通过从计算机网络或计算机系统的关键 点收集信息进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻 击的迹象，进行入侵检测的软件与硬件的组合便是入侵检测系统。它一般包括三 个部分：数据的采集模块、入侵分析检测模块及响应和恢复模块。 入侵检测系统的分类 按照获得原始数据的方法可以将入侵检测系统分为基于网络的入侵检测( 简 称为n i d s ) 和基于主机的入侵检测系统( 简称为h i d s ) 1 1 】。 ( 1 ) 基于主机的入侵检测系统 基于主机的入侵检测系统出现在8 0 年代初期，那时网络还没有今天这样普 遍、复杂，且网络之间也没有完全连通。在这一较为简单的环境里，检查可疑行 为的检验记录是很常见的操作。由于入侵在当时是相当少见的，在对攻击的事后 分析就可以防止今后的攻击。 现在的基于主机的i d s 仍使用验证记录，但自动化程度大大提高，并发展了 精密的可迅速做出响应的检测技术。通常，基于主机的i d s 可监测系统、事件和 w i n d o w sn t 下的安全记录以及u n i x 环境下的系统记录。当有文件发生变化时， i d s 将新的记录条目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会 向管理员报警并向别的目标报告，以采取措施。 基于主机的i d s 在发展过程中融入了其它技术。对关键系统文件和可执行文 件的入侵检测的一个常用方法，是通过定期检查校验和来进行的，以便发现意外 的变化。反应的快慢与轮询间隔的频率有直接的关系。最后，许多产品都是监听 端口的活动，并在特定端口被访问时向管理员报警。这类检测方法将基于网络的 入侵检测的基本方法融入到基于主机的检测环境中。 尽管基于主机的入侵检测系统不如基于网络的入侵检测系统快捷，但是它也 具有基于网络的系统所不具备的一些优点，这些优点包括： 性能价格比高在主机数量较少的情况下，这种方法的性能价格比可能更 9 山东大学硕士学位论文 高。尽管基于网络的入侵检测系统能很容易地提供广泛覆盖，但其价格通常是昂 贵的。 更加细腻这种方法可以很容易地监测一些活动，如对敏感文件、目录、 程序或端口的存取，而这些活动很难在基于网络的系统中被发现。基于主机的 i d s 监视用户和文件访问活动，包括文件访问、改变文件权限、试图建立新的可 执行文件并且或者试图访问特许服务。例如，基于主机的i d s 可以监督所有用 户登录及退出登录的情况，以及每位用户在连接到网络以后的行为，基于网络的 系统要做到这个程度是非常困难的。基于主机技术还可监视通常只有管理员才能 实施的非正常行为。操作系统记录了任何有关用户帐号的添加、删除、更改的情 况。一旦发生了更改，基于主机的i d s 就能检测到这种不适当的更改。基于主机 的i d s 还可审计能影响系统记录的校验措施的改变。最后，基于主机的系统可以 监视关键系统文件和可执行文件的更改。系统能够检测到那些欲重写关键系统文 件或者安装特洛伊木马或后门的尝试并将它们中断，而基于网络的系统有时会检 测不到这些行为。 视野集中一旦入侵者得到了一个主机的用户名和口令，基于主机的代理 是最有可能区分正常的活动和非法的活动的。 易于用户剪裁每一个主机有其自己的代理，当然用户剪裁更方便了。 较少的主机基于主机的方法有时不需要增加专门的硬件平台。基于 主机的入侵检测系统存在于现有的网络结构之中，包括文件服务器、w e b 服务 器及其它共享资源。这些使得基于主机的系统效率很高，因为它们不需要在网 络上另外安装登记、维护及管理的硬件设备。 适用于被加密的以及切换的环境由于基于主机的系统安装在遍布企业的 各种主机上，它们比基于网络的入侵检测系统更加适于交换的以及加密的环境。 交换设备可将大型网络分成许多的小型网络段加以管理。所以从覆盖足够大的网 络范围的角度出发，很难确定配置基于网络的i d s 的最佳位置。业务镜像和交换 机上的管理端口对此有帮助，但这些技术有时并不适用。基于主机的入侵检测系 统可安装在所需的重要主机上，在交换的环境中具有更高的能见度。某些加密方 式也向基于网络的入侵检测发出了挑战。根据加密方式在协议堆栈中的位罱的不 同，基于网络的系统可能对某些攻击没有反应。基于主机的i d s 没有这方面的限 山东大学硕士学住论文 制，当操作系统及基于主机的系统发现即将到来的业务时，数据流已经被解密了。 确定攻击是否成功由于基于主机的i d s 使用含有已发生事件的信息，它 们可以比基于网络的i d s 更加准确地判断攻击是否成功。在这方面，基于主机的 i d s 是基于网络的i d s 完美补充，网络部分可以尽早提供警告，主机部分可以确 定攻击成功与否。 ( 2 ) 基于网络的入侵检测系统 基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的i d s 通常 利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通 信业务。它的攻击辨识模块通常使用四种常用技术来识别攻击标志： 模式、表达式或字节匹配 频率或穿越阀值 次要事件的相关性 统计学意义上的非常规现象检测 一旦检测到了攻击行为，i d s 的响应模块就提供多种选项以通知、报警并对 攻击采取相应的反应。反应因产品而异，但通常都包括通知管理员、中断连接并 且或为法庭分析和证据收集而做的会话记录。 基于网络的i d s 有许多仅靠基于主机的入侵检测法无法提供的功能。实际上， 许多客户在最初使用l o s 时，都配置了基于网络的入侵检测。基于网络的入侵检 测系统有以下优点： 侦测速度快基于网络的监测器通常能在微秒或秒级发现问题。而大多数 基于主机的产品则要依靠对最近几分钟内审计记录的分析。 隐蔽性好一个网络上的监测器不像一个主机那样显眼和易被存取，因而 也不那么容易遭受攻击。基于网络的监视器不运行其他的应用程序，不提供网络 服务，可以不响应其他计算机，因此可以做得比较安全。 视野更宽基于网络的入侵检测甚至可以在网络的边缘上，即攻击者还没 能接入网络时就被发现并制止。 较少的监测器由于使用一个监测器就可以保护一个共享的网段，所以不 需要很多的监测器。相反地，如果基于主机，则在每个主机上都需要一个代理， 这样的话，花费昂贵，而且难于管理。但是，如果在一个交换环境下，就需要特 山东大学硕士学位论文 殊的配置。 攻击者不易转移证据基于网络的i d s 使用正在发生的网络通讯进行实时 攻击的检测，所以攻击者无法转移证据。被捕获的数据不仅包括攻击的方法，而 且还包括可识别黑客身份和对其进行起诉的信息。许多黑客都熟知审计记录，他 们知道如何操纵这些文件掩盖他们的作案痕迹，知道如何阻止需要这些信息的基 于主机的i d s 去检测入侵。 操作系统无关性基于网络的i d s 作为安全监测资源，与主机的操作系统 无关，与之相比，基于主机的i d s 必须在特定的、没有遭到破坏的操作系统中才 能正常工作，生成有用的结果。 占用资源少在被保护的设备上不需要占用任何资源。 2 3 入侵检测技术 按入侵检测所使用的技术，入侵检测系统可以分为“误用检测( m i s u s e d e t e c t i o n ) ”和“异常检测( a n o m a l y d e t e c t i o n ) ”两种。 误用入侵检测 误用入侵检测系统的应用是建立在对过去各种已知网络入侵检测方法和系 统缺陷知识的积累之上，它首先需要建立一个包含上述已知信息的数据库，然后 在收集到的网络活动信息中寻找与数据库项目匹配相关的信息。当发现符合条件 的活动线索后，它就会触发一个警告，也就是说，任何不符合特定匹配条件的活 动都将会被认为是合法和可以接受的，哪怕其中包含着隐蔽的入侵行为。因此， 误用入侵系统具备较高的检测准确性，容易实现，在目前的大多数网络入侵检测 系统中得到了广泛应用1 2 】，但是它的完整性( 即检测全部入侵行为的能力) 则 取决于数据库的及时更新程度。 误用入侵检测系统的优点在于具有非常低的虚警率，同时检测的匹配条件可 以进行清楚地描述，从而有利于安全管理人员采取清晰明确的预防保护措施。然 而误用入侵检测系统的一个明显的缺陷在于，收集所有已知或已发现攻击行为和 系统脆弱性信息的困难性以及及时更新庞大数据库需娶耗费大量精力和时间，这 是一项艰苦的工作。另一个存在的问题是可移植性，因为关于网络攻击的信息绝 大多数是与主机的操作系统、软件平台和应用类型密切相关的，因此带来的后果 是这样的入侵检测系统只能在某个特定的环境下生效。最后，检测内部用户的滥 山东大学硕士学位论文 用权限的活动将变得相当困难，因为通常该种行为并未利用任何系统缺陷。 异常入侵检测 异常入侵检测系统的工作是建立在如下假设基础上的：任何一种入侵行为都 能由于其偏离正常或者期望的系统和用户的活动规律而被检测出来。描述正常或 者合法活动的模型是从对过去各种渠道收集到的大量历史活动资料的分析中得 出来的。入侵检测系统将它与当前的活动情况进行对比，如果发现当前状态偏离 了正常的模型状态，则系统发出警告信号，这就是说，任何不符合以往活动规律 的行为都被视为入侵行为。因此，异常入侵检测系统的检测完整性很高，但要保 证它具备很高的正确性却很困难。 异常入侵检测系统的优点在于它能够发现任何企图发掘、试探系统最新和未 知漏洞的行为，同时在某种程度上，它较少依赖于特定的操作系统环境。另外， 对于合法用户超越其权限的违法行为的检测能力大大加强。 异常入侵检测系统的主要缺陷在于较高的虚警率，因为信息系统所有的正常 活动并不一定在学习阶段就被全部了解。另外，系统的活动行为是不断变化的， 这就需要不断地学习，该过程将带来两个后果，其一是在此学习阶段，入侵检测 系统无法f 常工作，否则生成额外的虚假警告信号。还有一种可能性就是，在学 习阶段，信息系统正遭受着非法的入侵攻击，带来的后果就是，入侵检测系统的 学习结果中包含了相关入侵行为的信息，这样，系统将无法检测到该种入侵行为。 在异常入侵检测中，最广泛使用的技术是统计分析，系统或者用户的当前行 为通过定时间间隔采样并计算出的一系列参数变量来描述，如每个会话进程的 登录时间和退出时间，占用资源的时间长短及其在每个进程中占用的c p u 、内 存、硬盘等资源的多少等。采样的时间间隔从几分钟到一个月，时间长短不等。 在最初的模型中，系统计算出所有变量的平均值，然后根据平均偏差检测当前行 为是否超过了某一闽值，当然这样的模型是很简单和粗糙的，无法准确检测异常 活动。进一步的算法将单个用户的参数变量数值与积累起来的群体参数变量值进 行比较，但是检测能力的提高还是不大。目前在几种异常检测系统中使用了一种 更复杂的模型，检测系统同时计算并比较每个用户的长期和短期活动状态，而状 态信息随着用户行为的变化而不断更新。 另一种主要的异常入侵检测技术就是神经网络技术。神经网络技术通过学习 山东大学硕士学位论文 已有的输入输出矢量对集合，进而抽象出其内在的联系，然后得到新的输入 输出的关系。这种技术在理论上能够用来在审计数据流中检测入侵行为的痕 迹。 2 4 入侵检测系统的模型及通信协议 为了提高i d s 产品、组件与其他安全产品之间的互操作性，美国国防高级研 究计划署( d a r p a ) 和互连网工程任务组( i e t f ) 的入侵检测工作组( i d w g ) 发 起制定了一系列i d s 的标准草案。 c i d f 模型 c i d f 1 3 1 模型由d a r p a 提出，最早由加，、i j 大学戴维斯分校安全实验室主持起 草。c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ( c i d f ) 阐述了一个入侵检测系统 ( i d s ) 的通用模型。它将一个入侵检测系统分为以下组件： 事件产生器( e v e n tg e n e r a t o r s ) 事件分析器( e v e n ta n a l y z e r s ) 响应单元( r e s p o n s eu n i t s ) 事件数据库( e v e n td a t a b a s e s ) c i d f 将入侵检测系统需要分析的数据统称为事件( e v e n t ) ，它可以是基于网 络的入侵检测系统中采集到的网络数据包，也可以是基于主机的入侵检测系统从 系统日志等其他途径得到的信息。它也对各部件之间的信息传递格式、通信方法 和标准a p i 进行了标准化。 事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供 此事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结 果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应，甚至 发动对攻击者的反击，也可以只是简单的报警。事件数据库是存放各种中间数据 和最终数据的地方，它可以是复杂的数据库，也可以是简单的文本文件。 在现有的入侵检测系统中，经常用数据采集部分、分析部分和响应部分来分 别代替事件产生器、事件分析器和响应单元这些术语，用日志来简单的代替事件 数据库。 组件间的通信协议 山东大学硕士学位论文 i d w g 主要负责制定入侵检测响应系统之间共享信息的数据格式和交换信息 的方式，以及满足系统管理的需要。i d w g 提出的建议草案包括三部分内容：入 侵检测消息交换格式( i d m e f ) 、入侵检测交换协议( i d x p ) 以及隧道模型 ( t u n n e lp r o f i l e ) 。 i d m e f 描述了一种表示入侵检测系统输出消息的数据模型，并且解释了使 用这个模型的基本原理。i d m e f 数据模型以面向对象的形式表示分析器发送给 管理器的警报数据。数据模型的设计目标是用一种明确的方式提供了对警报的标 准表示法，并描述简单警报和复杂警报之间的关系。该数据模型用x m l 实现。 自动的入侵检测系统能够使用i d m e f 提供的标准数据格式，来对可疑事件发出 警报。这种标准格式的发展将使得在商业、开放资源和研究系统之间实现协同工 作的能力，同时允许使用者根据他们的强点和b b 点获得最佳的实现设备。实现 d m e f 最适合的地方是入侵检测分析器，和接收警报的管理器之间的数据信道。 i d x p 是一个用于入侵检测实体之间交换数据的应用层协议。能够实现 i d m e f 消息、非结构文本和二进制数据之间的交换，并提供面向连接协议之上 的双方认证、完整性和保密性等安全特征。i d x p 模型为建立连接、传输数据和 断开连接。 2 5 入侵检测系统的发展方向 宽带高速网络的实时入侵检测技术 大量高速网络技术在近年内不断出现，在此背景下的各种宽带接入手段层出 不穷，如何实现高速网络下的实时入侵检测已经成为一个现实的问题。这需要考 虑两个方面的问题：首先，入侵检测系统的软件结构和算法需要重新设计r 以适 应高速网络的新环境，重点是提高运行速度和效率。开发与设计相适应的专用硬 件结构，加上配合设计的专用软件是解决这方面问题的一个途径。另个问题是， 随着高速网络技术的不断进步和成熟，新的高速网络协议的设计也成为未来的一 个发展趋势，如对t c p i p 协议的重新设计等，所以，现有的入侵检测系统如何 适应和利用未来新的网络协议结构是一个全新的问题【l “。 大规模分布式入侵检测技术 传统的集中式入侵检测技术的基本模型是在网络的不同网段中部署多个传 山东大学硕士学位论文 感器或探测器用来收集当前网络状态信息，然后这些信息被传送到中央控制台进 行处理和分析。 这种集中式模型具有几个明显的缺陷。首先，面对在大规模、异质网络基础 上发起的复杂攻击行为，中央控制台的业务负荷会达到不可承受的地步，以致于 无法具有足够能力处理来自四面八方的消息事件。这种情况会造成对许多重大消 息事件的遗漏，大大增加漏警概率。其次，由于网络传输的时延问题，到达中央 控制台的数据包中的消息事件只是反映了它刚被生成时的环境状态情况，已经不 能反映可能随着时间已经改变的当前状态。这将使基于过时信息做出的判断的可 信度大大降低，同时也使得返回去确认相关信息来源变得非常困难。 面对这些问题，很多新的思路已经出现，其中一种就是攻击策略分析方法。 它采用了分布式智能代理的结构方式，由几个中央智能代理和大量分布的本地代 理组成，其中本地代理负责处理本地事件，而中央代理负责整体的分析工作。与 集中式模型不同的是，它强调的是通过全体智能代理协同工作来分析入侵者的攻 击策略，中央代理扮演的是协调者和全局分析员的角色，但不是唯一的事件处理 者。这种方法有其明显的优点，但同时也带来了其他的一些问题，如大量代理的 组织和协作问题、相互之间的通信、处理能力和任务的分配等等。 入侵检测的数据融合技术 目前的入侵检测系统还存在许多缺陷。首先，现有的实时检测系统在技术上 还不具备足以检测到由受到良好训练的黑客发起的复杂隐蔽攻击行为的能力。其 次，检测的虚假警告问题也是一个令许多网络管理员头疼的事情。同时，来自各 种渠道的大量泛滥数据、系统消息等常常没有得到很好和及时的处理，这样非但 无助于解决问题，反而浪费和降低了i d s 系统的处理能力和检测性能。 为解决上述问题，多传感器数据融合技术提供了一条重要的技术途径。它能 够把从多个异质分布式传感器处得到的各种数据和信息综合成为一个统一的处 理进程，来评估整个网络环境的安全性能。数据融合入侵检测系统的输入可以是 从网络嗅探器处得到的各种网络数据包，也可以是系统