（计算机应用技术专业论文）网络安全监测系统（nnsms）设计与实现.pdf

州川大学椰! p 学位论文 y6 5 4 2 3 4 杨磊 网络安全监测系统( n n s m s ) 设计与实现 计算机应用技术专业 研究生杨磊指导老师卢苇教授 摘要 在网络应用越来越多的今天，随着网络与技术应用的飞速发展网络安全的现 状越来越让人担忧，计算机网络仍然面临着种种攻击的威胁，网络安全的重要性越 发显现出来，随之产生的各种网络安全技术也得到了不断地发展。在这些网络安全 技术中，常用的口令认证、安全审计、防火墙、以及加密技术等，总的来说都属于 一些静态的防御技术。如果单纯依靠这些技术，仍然难以保证网络的安全性。投有 个主动监控和跟踪入侵的系统，网络安全是不完整的。而唰络安仝监测能够对网 络中发生的安全事件和网络中存在的安全漏洞进行主动实时的监测，将网络安全监 测系统与入侵检测技术结合起来，可以更加有效地保护被监测网络的安全，同时可 以根据检测结果，对网络中正在发生的安全事件进行相应的响应。为此，我们在综 合了当今流行的安全检测技术的基础上，提出了种基于网络入侵检测系统的网络 安全监测模型，并详细讨论了其实现研究。 本文中所设计的网络安全监测模型，以当今流行的入侵检测技术为主要方法， 采用实时的基于n i 吣的技术。模型采用层次化的结构框架，整个系统分为数掘采集 层、数据处理层、检测匹配层、报警处理层，在实现结构上，系统采用种分布式 结构由主控部件( l a i n c o n t r o l l e r ) 、采集部件( c o l e c t o r ) 、分析部件a n a l y z e r ) 、 存储部件( s t o r a g e ) 、枪测部件( d e t e c t o r ) 、响应部件( r e s p o n s e ) 完成相应的功能 任务，各个部件之间的通信由相应的接口完成。整个系统具有良好的适应性、实时 性和可扩充性。本文对各个部件的设训实现进行了详细的介绍，并对其中的关键问 题进行了讨论。其中，监测数据的采集是由采集部件完成的。由于采集的数据是基 于网络的，所以数据采集的方法是直接通过网卡从以太网上抓取数掘包。分析部件 的主要工作由数据包分析线程完成。当接收缓冲区中有数据到达时，即启动数据包 四川大学顾i 学位论文 杨磊 分析线程开始对缓冲区中的数据进行分析。存储部件中数据的存储主要完成对原始 网络数据记入原始数据库作为将来入侵的证据，同时还可以将数据的分析结果存入 分析数据库中以备将来安全规则的分析之用。检测部件的实现上，使用了协议分析 和模式匹配相结合的方法，有效地减小了目标的匹配范围，提高了检测速度。同时 改进了匹配算法，使得系统具有更好的实时性能。在系统的安全规则数据库的更新 过程中，系统不断对用于匹配的安全规则进行及时的更新，从而可以尽量减少错报 和漏报的现象，提高了整个系统的检测准确性。最后，本文对一些问题进行了讨论。 关键词：网络安全，安全监测， 入侵检测，模式匹配 四川大学硕：学位论文 t h ed e s i g na n dr e a l i z a t i o no fn e t w o r km a n a g e s y s t e m ( n n s m s ) m a j o r ：c o m p u t e ra p p l i c a t i o n p o s t g r a d u a t e ：y a n g l e ia d v i s o r ：p r o f l uw e i a b s t r a c t n o w a d a y s ，w i t ht h er a p i d l ya p p l i c a t i o no ft h en e t w o r kt e c h n o l o g y ，t h e a p p l i c a t i o n o fn e t w o r ka n dt e c h n i q u ei m p r o v eq u i c k l y ，t h ec u r r e n ts i t u a t i o n o fn e t w o r ks e c u r i t yi sb e c o m i n gm o r ea n dm o r ew o r r y i n gc o m p u t e rn e t w o r ki s s t i l lf a c ek i n d so ft h r e a t e no fa t t a c k a 1lk i n d so ft e c h n o l o g i e so fn e t w o r k s e c u r i t yf i r ec e a s e l e s s l yd e v e l o p e dw i t ht h ea p p e a r a n c eo ft h ei m p o r t a n c e o fn e t w o r ks e c u r i t y a m o n ga l lt h en e t w o r ks e c u r i t yt e c h n o l o g i e s ，s u c ha s p a s s w o r d a u t h e n t i c a t i o n ，s e c u r i t y a u d i t f i r e w a l l ，t e c h n o l o g y o f e n c r y p t i o n ，a n d s oo n ，a 1 1t h e s eb e l o n gt oak i n do fs t a t i cd e f e n s i v e t e c h n o l o g y i ti ss t i l ld i f f i c u l tt op r o t e c tt h es e c u r i t yo ft h en e t w o r k i fw ep u r e l yd e p e n do nt h e s et e c h n o l o g i e s a n dt h en e t w o r ks e c u r i t yi s i m p e r f e c tw i t h o u ta na c t i r es y s t e mo fm o n i t o r i n ga n dt r a c k i n gi n t r u s i o n w h e r e a s ，t h en e t w o r ks e c u r i t ym o n i t o rs y s t e mi sa b l et om o n i t o rt h es e c u r e e v e n t sh a p p e n i n gi nt h en e t w o r ka n dt h es e c u r eh o l ee x i s t i n gi nt h en e t w o r k ina na c tiv ea n dr e a l ti m ew a y i fw ec o m b in et h en e t w o r ks e c u r i t ym o n i t o r s y s t e mw i t ht h ei n t r u s i o nd e t e c t i o nt e c h n o l o g y ，i tw i l lb em o r ee f f i c i e n t t op r o t e c tt h es e c u r i t yo ft h ep r o t e c t e dn e t w o r k a tt h es o m l et i m e ，w ec a n r e s p o n s et o t h es e c u r ee v e n t s h a p p e n in g i nt h ep r o t e c t e dn e t w o r ki na c o r r e s p o n d i n gw a ya c c o r d i n gt ot h ed e t e c t i n gr e s u l t s t h e r e f o r e ，b a s e do n t h e u n i t i n g o ft h es e c u r i t yd e t e c t i n gt e c h n o l o g i e s ，w h i c ha r e p o p u l a rt o d a y ， w ep u tf o r w a r dak i n do fn e t w o r ks e c u r i t ym o n i t o rm o d e lb a s e do nt h en e t w o r k i n t r u s i o nd e t e c t i o ns y s t e m ，a n dd e b a t ei t sr e s e a r c ho ft h ei m p l e m e n t a t i o n i nd e t a i l 姐川大学坝- 。学位论义杨磊 t h em o d e lo ft h en e t w o r ks e c u r i t ym o n i t o rs y s t e md i s c u s s e di nt h et h e s i s u s e st h ep o p u l a ri n t r u s i o nd e t e c t i o nt e c h n o l o g ya st h em a i nm e t h o d ，a n d a d o p t s t h e t e c h n o l o g y b a s e do nr e a l t i m en i d s t h em o d e l a d o p t s a h i e r a r c h i c a ls t r u c t u r a lf r a m e ，a n dt h ew h o l es y s t e mi sd i v i d e di n t of o u r l e v e l s ：d a t ac o l l e e t i n g ，d a t ap r o c e s s i n g ，d e t e c t i o nm a t c h i n ga n da l e r t p r o c e s s i n g i nt h ei m p l e m e n t a t i o no ft h es t r u c t u r e ，t h es y s t e ma d o p t sak i n d o fd i s t r i b u t e ds t r u c t u r e a n di sc o m p o s e do ft h ef o l l o w i n gc o m p o n e n t s ：m a i n c o n t r o l l e r 、c o l l e c t o r 、a n a l y z e r 、s t o r a g e 、d e t e c t o ra n dr e s p o n s e t h e e o m m u n i c a t i o nb e t w e e n e v e r yc o m p o n e n t i s c o m p l e m e n t e db yt h er e l e v a n t i n t e r f a c e t h ew h o l es y s t e mh a sg o o da d a p t a b i l i t y ，e x t e n d i b i l i t ya n dd o e s w e l li nt h ea s p e c to fr e a lt i m e t h ed e s i g na n di m p l e m e 九t a t i o no fe v e r y c o m p o n e n ti si n t r o d u c e d i nd e t a i li nt h ep a p e r ，a n dt h ek e yi s s u e sa r e d i s c u s s e d a m o n ga l lo ft h o s e ，t h ec o l l e c t i n go fd e t e c t i n gw a sa c c o m p l i s h e d w i t hc o l l e c t o r a st h ec o l l e c t i n gd a t ai sb a s eo nn e t w o r k t h em e t h o do f c o l l e c t i n gd a t ai sc a p t u r ed a t ap a c k e tt h r o u g hn e t w o r kc a r df r o mi n t e r n e t t h em a i nw o r ko fa n a l y z e rw a sf i n i s h e dw i t hd a t ap a c k e td a t a a n a l y z et h r e a d w h e nt h ed a t aa r r i v ei nt h eb u f f e r d a t ap a c k e td a t aa n a l y z et h r e a da n a l y z e t h ed a t ai nt h eb u f f e r t h em a i nt a s ko fd a t ao fs t o r a g ei st ow r i t et h e d a t ao fo r i g i n a ln e t w o r kt ot h ei n i t i a ld a t a b a s ef o ri d e n t i f i c a t i o no f i n t r u s i o n ，m e a n t i m e ，w r i t et h ea n a l y z ea n s w e rt oa n a l y z ed a t a b a s ef o r a n a l y z et h es a f e t yr u l e s t h ec o m b i n a t i o no ft h ep r o t o c o la n a l y s i sa n d p a t t e r nm a t c h i n gi su s e di nt h ei m p l e m e n t a t i o no ft h ed e t e c t i n gc o m p o n e n t a n dt h a tr e d u c e st h e m a t c h i n gr a n g eo ft h et a r g e t sa n di m p r o v e st h ed e t e c t i n g s p e e d a tt h es a m et i m e ，w ei m p r o v eo nt h em a t c h i n ga l g o r i t h m ，w h i c hm a k e s t h es y s t e mh a v eb e t t e rr e a lt i m ec a p a b l l i t y i nt h ec o u r s eo ft h eu p d a t e o ft h es y s t e ms e c u r i t yr u l e sd a t a b a s e ，t h es y s t e mu p d a t e st h es e c u r er u l e s u s e di nm a t c h i n gi nt i m e ，w h i c hr e d u c e st h e p h e n o m e n ao ff a l s ea l a r m ss y s t e m a tl a s t ，f a i l u r er e p o r t sa n di m p r o v e st h ed e t e c t i n ga c c u r a c yo ft h ew h o l e s y s t e m o t h e rp r o b l e m sa r ed i s c u s s e di nt h et h e s i s k e y w o r d s ：n e t w o r ks e c u r i t y ，s e c u r i t ym o n i t o r i n g ，i n t r u s i o nd e t e c t i o n ， p a t t e r nm a t c h i n g 四川人学颇j ：学位论文 1 概论 1 1 目前现状 随着网络技术的不断发展，网络安全技术也取得了长足的进展。网络安全涉及 到网络的方方面面，是一个非常复杂的系统的知识结构。网络安全的复杂性还在于 网络发展本身的复杂性，由于各种网络技术在时间和空间上的延伸使得目前的网络 发展成为一个非常复杂的环境，几乎不可能设计出一个绝对安全的系统：【乜不可能 做到统一改造庞大的网络系统，因此各种新的技术和老的技术在很长时间里要共存 关于网络安全问题目前存在许多专门的技术，如口令认证、防火墙、数据加密等等， 总的来说这些技术都属于一种静态的防御系统。 网络监测传统模型，如图卜1 所示，通常采用访问控制机制来保证系统安全。访 问控制机制识别与认证主体身份根据授权数据库的记录决定是否可以允许主体可 以访问对象。这些方法为保证机密性与一致性对系统要求限制太死，系统复杂，效率 极低，灵活性低，没有太大实用价值。这些传统的操作系统加固技术和防火墙隔离技 术都是静念安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。入 侵检测是防火墙的合理补充，帮助系统对付网络攻击。它从计算机网络系统中的若 干关键点收集信息，并分析这些信息，在不影响网络性能的情况下能对网络进行监 测，从而提供对内部攻击、外部攻击和误操作的实时保护。目前，黑客在网上的攻 击活动正以每年1 0 倍的速度增长，黑客们利用网上的漏洞和缺陷修改网页、非法进 入主机、进入银行盗取和转移资金、窃取信息、发送假冒的电子邮件等。从而引发 1 阴川大学硕士学位论文杨磊 各类网络案件。随着黑客入侵事件的日益猖撅，人们发现只从防御的角度构造安全 系统是不够的。这就依赖于入侵探测和网络安全监测系统【2 1 1 【2 2 l 。入侵探测( i d ) 是一种试图识别并隔离“入侵”计算机系统的安全技术。不同的入侵探测系统具有 不同的“入侵”方法，例如试图探测对w e b 服务器进攻的系统可以是考虑恶意的h t t p 请求，而希望监视动态路由协议的系统则是考虑r i p 欺骗。不管怎样，所有入侵探测 系统都将“入侵”定义为计算机系统的非授权使用或滥用。入侵探测是安全系统的 重要组件，此处还补充了其它安全技术。通过向现场管理提供信息，入侵探测不仅允 许由其它安全组件( 例如防火墙和服务封装) 显性提交的攻击探测，而且试图提供 其它组件预测不到的新的攻击的通知。入侵探测系统还提供了供组织机构发现攻击 源头的法庭资料。于是，入侵探测系统试图对攻击者的行为更有审计性，进一步还可 以制止将来的攻击。网络安全监测系统是保障网络正常运行的重要工具，也是当前 研究的一个热点，它与网络运行管理系统相结合，可有效地监察网络用户的使用行 为。网络安全监测系统的基本功能包括检测出正在发生的攻击活动：发现攻击活动 的范围和后果：诊断并发现攻击者的入侵方式和入侵地点，并给出解决建议，以及 收集并记录入侵的活动证据p j 。 1 2 研究意义 对于一个局域嘲内部的提供重要服务的主机来说，通常的安全问题往往来自局 域网内部。本课题所开发的基于网络入侵检测的网络安全监测系统，采用当今流行 的入侵检测技术，可以实时地监测当前网络的安全状况，不但能够发现来自网络外 部的攻击入侵，而且能够检测到来自网络内部的各种不安全行为，并且能够对各种 入侵活动进行相应的响应。整个系统具有良好的实时性、适应性、安全性、可用性 和可扩展性，为保证受保护局域网内部主机的安全提供了可靠的保障。 1 3 课题任务 为了真正实现课题的研究意义，实现系统的整体功能，课题的开发设计需要完 成以下几大功能部件：采集部件( c o l l e c t o r ) 、分析部件( a n a l y z e r ) 、存储部件 ( s t o r a g e ) 、检测部件( d e t e c t o r ) 、响应部件( r e s p o n s e ) 、主控部件( m a i n c o n t r o l l e r ) 。安全探测器将原始的网络数据包作为数据源。系统中安全探测器 通常将网卡设置为混杂模式，从而可以实时监听、分析所有流经同一以太网网 2 叫川人学硕二l 学位论义杨磊 _ _ _ _ _ _ _ - _ p _ h - - _ _ _ - 一- 一 段的流量。包经过包捕获程序被捕捉到，然后经过过滤器决定是被丢弃还是传送 给攻击识别模块。过滤器根据目前的安全策略，决定且仅通过那些可能包含恶 意或非授权行为的流量，从而有助于性能和准确性的提高。安全探测器将捕获 到的包进行协议解析，解析成链路层( 如e t h e r n e t ) 、网络层( 如i p 、i c m p ) 、传 输层( 如t c p 、u d p ) 等各层的包头和纯粹的载葡部分：然后包的包头和载荷都经 过仔细检查来检测攻击特征。为减少误肯定、减少匹配次数、提高识别效率，还 加上了对协议和语法的分析：如某一字符串出现在命令行中可表示为攻击：。一 旦检测到攻击，响应模块提供一些选项来通知、告警并立即对攻击采取行动： 包括发送s n m pt r a p 或e ma i l ，在控制器上显示告警或发寻呼。响应还可能包 括中止可疑会话或重新配置防火墙，将攻击事件写入系统日志、数据库、指定 文件以供事后调查取证。具体操作由几大功能部件实现，各个部件的主要功能如 下：实时网络数据的采集由采集部件完成：采集到的网络数据的分析处理由分析部 件完成：存储部件将采集部件采集到的原始数据、分析部件的分析结果等重要数据 存入系统的数据库中：检测部件完成对入侵行为的检测：响应部件对检测出的入侵 行为做出相应的响应：主控部件既是整个安全监测系统和用户交互的界面，又是系 统中对其它各个部件进行控制协调工作的部分，通过主控部件可以直接对其它各个 部件进行相应的操作，是整个系统的中心部件。 ”引i l 大学颧士学位论史 2 入侵检测技术的相关理论 2 11 c s e c 难以适应新的网络环境 许多入侵检测系统不受操作系统提供的审计记录所驱动，而是通过监视某一单 台计算机上发生的可疑行为，对攻击进行探测。这类入侵检测系统长于识别由本地 用户起动的攻击以及滥用系统能力有关的攻击。不过，这些“基于主机”( 和多主机) 的入侵探测系统有一主要缺陷：它们与出现在低层的网络事件相隔离( 因为它们只 解释高层记录的信息) 。于是大家转向研究网络入侵检测系统( 简称i d s ) 。网络入 侵探测系统不对新的网络通信流进行解释，它们试图通过对这些通信流中的可疑行 为进行监视来探测攻击。网络入侵探测系统长于识别与网络低层操作有关的攻击， 并且很容易将对个网络的多台机器进行攻击的行为联系起来。重要的是，要认识 到网络入侵探测比基于主机的入侵探测有优势。网络入侵探测的工作原理是通过对 网络上传输的实际分组的内容进行测试。这些系统对分组结构进行识别，分析网络 中使用的协议并从其中抽取相关信息。其典型的方法是，消极地监视网络并捕捉由 其它机器传输的分组复制品。消极的网络监视器发挥了“杂乱模式”访问的优点。 一台随意搭接的网络设备或者“s n if f e r ”，直接从网络介质上获得分组复制品，而 不管分组的目的地址( 通常的设备是能阅读提交给它们的分组) 。典型网络监视器 如图2 1 所示： n 2 1 示意出已使用网络监视器的简化网络拓扑 l ! 1 1 川火学倾i ：学位论义杨磊 因为协议分析的活动是隐蔽的，并且在网络运行的最低层进行，对于攻击来说， 耍逃避探测是极端困难的。s n i f f e r 的安装既不会引起任何混乱也不会降低网缉炷 能。网络上的机器可能( 通常也是) 对s n i f f e r 的存在毫无察觉。由于网络介质为 s n i f f e r 获取薪的网络通信流复制品提供了可靠方法，因此，在被监视网络中没有 它看不见的其它方法。 1 9 8 5 年美国国防部( d o d ) 国家计算机安全中心( n c s c ) 发布了可信计算机安全评 估准则( t c s e c ) 1 u ，它成为信息安全发展史上的一个里程碑。该准则的发布对操作 系统、数据库等方面的安全发展起了很大的推动作用。随着网络技术的深入发展， 这个标准已经不能完全适应当前的技术需要，因为这个主要基于h o s tt e r m i n a l 环 境的静态安全模型和标准无法完全反映分布式、动态变化、发展迅速的i n t e r n e t 安全闻题。传统的信息安全技术集中在系统自身的加固和防护上。比如，采用b n l 级操作系统和数据库、在网络出口配置防火墙、在信息传输和存储中采用加密技术、 使用集中的身份认证产品等。然而，单纯的防护技术有许多方面的问题：首先，单 纯的防护技术容易导致系统的盲目建设，这种盲目包括两方面：一方面是不了解安 全威胁的严峻和当前的安全现状：另一方面是安全投入过大而又没有真e 抓住安全 的关键环节，导致不必要的浪费。实际上，我们需要相应的检测机制，当发现问题 之后就迅速做出响应。其次，防火墙策略对防范黑客有明显的局限性。防火墙技术 是内部网最重要的安全技术之一，其主要功能就是控制对受保护网络的非法访问， 它通过监视、限制、更改通过网络的数据流，以防范外对内、内对外的非法访问。 但也有其明显的局限性，防火墙难以防止来自内部网络的不安全问题。防火墙的安 全控制只能作用于外对内或内对外，即对外可屏蔽内部网的拓扑结构，封锁外部网 上的用户连接内部网上的重要站点或某些端口，对内可屏蔽外部危险站点，但它很 难解决内部网控制内部人员的安全问题。即防外不防内。而根据权威部门统计结果 表明，网络上的安全攻击事件有7 0 以上来自内部攻击。防火墙难以管理和配置， 易造成安全漏洞。防火墙的管理及配置相当复杂，要成功地维护防火墙，要求防火 墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解。而且防 火墙的安全策略无法进行集中管理。一般来说，对于由多个系统( 路由器、过滤器、 代理服务器、网关、堡垒主机) 组成的防火墙，管理上有所疏忽是难免的。美国财 经杂志统计资料表明，3 0 的入侵发生在有防火墙的情况下。防火墙的安全控制主 要是基于i p 地址的，难以为用户在防火墙内外提供一致的安全策略。许多防火墙对 用户的安全控制主要是基于用户所用机器的i p 地址而不是用户身份，这样就很难为 嫂川大学缺一l ：学位论文杨磊 同一用户在防火墙内外提供一致的安全控制策略，限制了企业网的物理范围。防火 墙只实现了粗粒度的访问控制。防火墙不能与企业内部使用的其它安全机制( 如访 问控制) 集成使用，这样，企业就必须为内部的身份验证和访问控制管理维护单独 的数据库。 再次，保证信息系统安全的经典手段是“存取控制”或“访问控制”，这种手 段在经典的以及现代的安全理论中都是实行系统安全策略的最重要的手段。但迄今 为止，软件工程技术还没有达至t a 2 级所要求的形式生成或证明一个系统的安全体系 的程度，所以不可能百分之百地保证任何一个系统( 尤其是底层系统) 中不存在安全 漏洞。而且，无论在理论上还是在实践中，试图彻底填补一个系统的安全漏洞都是 不可能的也还没有种切实可行的办法解决合法用户在通过“身份鉴别”或“身 份认证”后滥用特权的问题f 4 】 s j 。 2 2p 2 d r ：动态安全模型 针对日益严重的网络安全问题和越来越突出的安全需求，“可适应网络安全模 型”和“动态安全模型，应运而生 p 2 d r 模型包含4 个主要部分： p o l jc y ( 安全策略) p r o t e c t i o n ( 防护) d e t e c ti o n ( 检测) r e s p o n s e ( 响应) p 2 d r 模型是在整体的安全策略( p o l i c y ) 的控制和指导下，在综合运用防护工具 ( p r o t e c t i o n ，如防火墙、操作系统身份认证、加密等手段) 的同时，利用检测工具 ( d e t e c t i o n ，如漏洞评估、入侵检测等系统) 了解和评估系统的安全状态，通过适 当的响应( r e s p o n s e ) 将系统调整到“最安全”和“风险最低”的状态。防护、检测 和响应组成了一个完整的、动态的安全循环i 7 1 。 2 3 入侵检测系统 入侵检测系统( i n t r u s i o nd e t e c t i v es y s t e m ) 在i c s a ( i n t e r n a t i o n a l c o m p u t e r s e c u r i t ya s s o c i a t i o n ，国际计算机安全协会) 入侵检测系统论坛被定义 为：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从 6 四j i i _ ： = 学倾一：学位论文扬磊 中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技 术。入侵检测通常被认为是防火墙之后的第二道安全闸门。“入侵”( i n t r u s i o n ) 是个广义的概念，不仅包括发起攻击的人( 如恶意的黑客) 取得超出合法范围的系统 控制权，也包括收集漏洞信息。造成拒绝访问( d o s ) 等对计算机系统造成危害的行 为。入侵行为不仅指来自外部的攻击行为，同时也指内部用户的未授权活动。从入 侵策略的角度可将入侵检测的内容分为：试图闯入、成功闯入、冒充其他用户、违 反安全策略、合法用户的泄漏、独占资源以及恶意使用。进行入侵检测的软件与硬 件的组合便是入侵检测系统( i d s ) 。与其他安全产品不同的是，入侵检测系统需要 更多的智能，它必须能够将得到的数据进行分析，并得出有用的结果。一个合格的 入侵检测系统能大大简化管理员的工作，从而保证网络安全地运行1 9 l 。 2 3 1 入侵检测系统的功能 入侵检测系统是通过收集网络中的有关信息和数据，对其进行分析发现隐藏在 其中的攻击者的足迹，并获取攻击证据，制止攻击者的行为，最后进行数掘恢复。 总地来讲，入侵检测系统的功能有以下七种 ( 1 ) 监控、分析用户和系统的活动： ( 2 ) 核查系统配罱和漏洞： ( 3 ) 评估关键系统和数据文件的完整性： ( 4 ) 识另攻击的活动模式并向网管人员报警： ( 5 ) 对异常活动的统计分析： ( 6 ) 操作系统审计跟踪管理，识别违反政策的用户活动： ( 7 ) 评估重要系统和数据文件的完整性： 一个成功的入侵检测系统，不仅可使系统管理员时刻了解网络系统( 包括程 序、文件和硬件设备等) 的任何变更，还能给网络安全策略的制订提供依据。而且 它应该管理配置简单，使非专业人员可以容易地完成配置管理。入侵检测的规模还 应根据网络规模、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后， 应及时做出响应，包括切断网络连接、记录事件和报警等。 2 3 2 入侵检测系统的分类 根据入侵监测系统所采用的技术、其获得原始数据的方法、以及其工作方式， 四川大学坝上学位论义杨霸 入侵检测系统有三种分类方法 一、根据其采用的技术可以分为两类：一种是基于模式匹配( s i g n a t u r e b a s e d ) 的入侵检测系统，另一种是基于异常发现( a n o m a l y b a s e d ) 的入侵检测系统。 1 、基于模式匹配的检测：假设入侵活动可以用一种模式来表示，系统的目标是 检测主体活动是否符合这些模式。系统首先要定义违背安全策略的事件的特征，如 网络数据包的某些头信息。检测主要判别所搜集到的数据特征是否在所收集到的入 侵模式库中出现。此方法类似于杀毒软件。 2 、基于异常发现的检钡4 ：异常检测的假设是入侵者活动异常于正常主体的活 动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能 是“入侵”行为。系统先定义一组系统“正常”情况的值，如c p u $ , j 用率、内存利 用率、文件校验和等( 这类数据可以人为定义，也可以通过观察系统、用统计的办 法得出) ，然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被 攻击的迹象。这种检测方式的核心在于如何分析所在系统的运行情况。按照所使用 的分析方法，又可以分为以下几种入侵检测系统： ( 1 ) 基于审计的攻击检测 基于审计信息的攻击检测工具以及自动分析工具可以向系统安全管理员报告 计算机系统活动的评估报告，通常是脱机的、滞后的。对攻击的实时检测系统的工 作原理是基于对用户历史行为的建模，以及在早期的证据或模型的基础之上。审计 系统实时地检测用户对系统的使用情况，根据系统内部保持的用户行为的概率统计 模型进行检测，当发现有可疑的用户行为发生时，保持跟踪并监测该用户的行为。 这种办法同样适用于检测程序的行为以及对数据资源( 如文件或数掘库) 的存取行 为。 ( 2 ) 基于神经网络的攻击检测技术 基于审计统计数据的攻击检测系统，具有一些天生的弱点，因为用户的行为可 以是非常复杂的，所以想要准确匹配一个用户的历史行为和当前的行为是相当困难 的。错发的警报往往来自于对审计数据的统计算法所基于的不准确或不贴切的假 设。$ r i ( s t a n d f o r dr e s e a r c hi n s t i t u t e ) 的研究小组利用和发展了神经网络技术 来进行攻击检测。神经网络技术是基于概率统计的检测技术的改进，主要克服了传 统的统计分析技术所面临的以下几个问题 四川大学颤j ：学位论文杨磊 a ) 难以表达变量之间的非线性关系： b ) 难以建立确切的统计分布： c ) 难以实施方法的普适性： d ) 实现算法比较昂贵： e ) 系统臃肿，难以裁剪 基于神经网络的技术能把实时检测到的信息有效地加以处理，做出攻击可行的判 断，不过这种技术现在还不十分成熟，所以传统的统计方法仍将继续发挥作用，也 仍然能为发现用户的异常行为提供相当有参考价值的信息。 ( 3 ) 、基于专家系统的攻击检测技术 基于专家系统的检测技术是根据安全专家对可疑行为的分析经验形成套推理规 则构成专家系统。由此专家系统自动进行对所涉及的攻击操作的分析工作。 例如，在数分钟之内某个用户连续进行登录，且失败超过三次就可以被认为是种 攻击行为。同时应当说明的是基于规则的专家系统或推理系统也有其局限性，因为 作为这类系统的基础的推理规则一般都是根据己知的安全漏洞和知识进行安排和 策划的，而对系统的最危险的威胁则主要是来自未知的安全漏洞。实现一个基于规 则的专家系统是一个知识工程问题，而且其功能应当能够随着经验的积累而利用其 自学习能力进行规则的扩充和修正。在具体的实现过程中，专家系统主要面临的问 题： 1 、全面性问题。很难从各种入侵手段中抽象出全面的规则化知识。 2 、效 率问题。需要处理的数据量过大，而且在大型系统中，很难获得实时连续的审计数 据。 ( 4 ) 、基于模型推理的攻击检测技术 基于模型推理的检测技术是根据入侵的行为程序建立具有一定行为特征的模型，根 据这些模型所代表的攻击意图的行为特征，实时检测恶意的异常行为。攻击者在入 侵一个系统时往往采用一定的行为程序，如猜测口令的程序，这种行为程序构成了 某种具有一定行为特征的模型，根掘这种模型所代表的攻击意图的行为特征，可以 实时地检测出恶意的攻击企图，尽管攻击者并不一定都是恶意的。该方法可为某些 行为建立特定的模型，从而能够监视其有特定行为特征的某些活动。根据假设的攻 击脚本，系统就能检测出非法的用户行为。一般为了准确判断，要为不同的入侵者 和不同的系统建立特定的攻击脚本。这种技术存在的问题：建立模型时的工作量比 四j i i 大学坝士学位论义杨磊 其它技术的工作量大，在系统实现时决策器如何有效的翻译攻击脚本是个问题【1 7 】 。 二、根据其获得原始数据的方法可以将入侵检测系统分为基于主机的入侵检测 和基于网络的入侵检测系统 1 、基于主机的入侵检测系统 基于主机的入侵检测出现在8 0 年代初期，那时网络还没有今天这样普遍、复杂， 且网络之间也没有完全连通。在这一较为简单的环境里，检查可疑行为的检验记录 是很常见的操作。由于攻击在当时是很少见的，所以对攻击的事后分析就可以防止 以后的攻击。现在的基于主机的入侵检测系统保留了一种有力的工具，以理解以前 的攻击形式，并选择合适的方法去抵御未来的攻击。基于主机的i d s 仍使用验证记 录，但自动化程度大大提高，并发展了精密的可迅速做出响应的检测技术。通常， 基于主机的i d s 可监测系统、事件和w i n d o wn t 下的安全记录以及u n i x 环境下的系统 记录。当有文件发生变化时。1 d s 将新的记录条目与攻击标记相比较，看它们是否 匹配。如果匹配，系统就会向管理员报警并向别的目标报告，以采取措施。基于主 机的i d s 在发展过程中融入了其它技术。对关键系统文件和可执行文件的入侵检测 的一个常用方法，是通过定期检查校验和来进行的，以便发现意外的变化。反应的 快慢与轮询间隔的频率有直接的关系。最后。许多产品都是监听端口的活动，并在 特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法 融入到基于主机的检测环境中。尽管基于主机的入侵检测系统不如基于网络的入侵 检测系统快捷，但它确实具有基于网络的系统无法比拟的优点。这些优点包括： a 性能价格比高。在主机数量较少的情况下，这种方法的性能价格t e 可能更高。 尽管基于网络的入侵检测系统能很容易地提供广泛覆盖，但其价格通常是昂贵的。 更加细腻。这种方法可以很容易地监测一些活动，如对敏感文件、目录、程序或端 口的存取，而这些活动很难在基于网络的系统中被发现。基于主机的i d s 监视用户 和文件访问活动，包括文件访问、改变文件权限、试图建立新的可执行文件或者试 i 至i 访问特许服务。例如，基于主机的i d s 可以监督所有用户登录及退出登录的情况。 以及每位用户在连接到网络以后的行为。基于网络的系统要做至b 这个程度是非常困 难的。基于主机技术还可监视通常只有管理员爿能实施的非正常行为。操作系绕记 录了任何有关用户账号的添加、删除、更改的情况。一旦发生了更改，基于主机的 i d s 就能检测到这种不适当的更改。基于主机的i d s 还可审计能影响系统记录的校验 措施的改变。最后，基于主桃的系统可以监视关键系统文件和可执行文件的更改。 1 0 四川人学硕士学位论文杨磊 系统能够检测到那些欲重写关键系统文件或安装“特洛伊木马”或后门的尝试并将 它们中断。而基于网络的系统有时会检测不到这些行为。视野集中。一旦入侵者得 到了一个主机的用户名和口令，基于主机的代理是最有可能区分正常的活动和非法 的活动的。 b 易于用户剪裁。每一个主机有自己的代理，当然用户剪裁更方便了。 c 较少的主机。基于主机的方法有时不需要增加专门的硬件平台。基于主机的 入侵检测系统存在于现有的网络结构之中，包括文件服务器、w e b 服务器及其它共 享资源。这些使得基于主机的系统效率很高。因为它们不需要在网络上另外安装登 记、维护及管理的硬件设备。对网络流量不敏感。用代理的方式殷不会因为网络 流量的增加而丢掉对网络行为的监视。适用于被加密的以及切换的环境。由于基于 主机的系统安装在遍布于企业网内的各种主机上，它们比基于网络的入侵检测系统 更适于交换的以及加密的环境。交换设备可将大型网络分成许多的小型网络段加以 管理。所以从覆盖足够大的网络范围的角度出发，很难确定配置基于网络的i d s 的 最佳位置。业务镜像和交换机上的管理端口对此有帮助，但这些技术有时并不适用。 基于主机的入侵检测系统可安装在所需的重要主机上，在交换的环境中具有更高的 能见度。某些加密方式也向基于网络的入侵检测发出了挑战。根据加密方式在协议 堆栈中的位置的不同，基于网络的系统可能对某些攻击没有反应。基于主机的i d s 没有这方面的限制。当操作系统及基于主机的系统发现即将到来的业务时，数据流 己经被解密了。确定攻击是否成功。由于基于主机的i d s 使用含有已发生事件信息， 它们可以比基于网络的i d s 更加准确地判断攻击是否成功。在这方面，基于主机的 i d s 是基于网络的i d s 完美补充，网络部分可以尽早提供警告，主机部分可以确定攻 击成功与否。 2 、基于网络的入侵检测系统 基于网络的入侵检测系统使用原始网络包作为数掘源。基于网络的i d s 通常利 用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业 务。它的攻击辨识模块通常使用四种常用技术来识别攻击标志：模式、表达式或字 节匹配，频率或穿越阐值次要事件的相关性。 现今统计学意义上的非常规现象检测一旦检测到了攻击行为，i d s 的响应模块 就提供多种选项以通知、报警并对攻击采取相应的反应。反应因产品而异，但通常 都包括通知管理员、中断连接并且或为法庭分析和证据收集而做的会话已录。基于 网络的i d s 有许多仅靠基于主机的入侵检测无法提供的功能。实际上，许多客户在 l l 型型- 大兰堡土竺丝堡；j ! ； 塑墨 最初使用i d s 时，都配置了基于网络的入侵检测。基于网络的检测有以下优点： 文检测速度快。基于网络的监测器通常能在