（计算机系统结构专业论文）分布式入侵检测系统中事件分析器的设计与实现.pdf

华中科技大学硕士学位论文 摘要 入侵检测是当前网络安全研究领域的热点，但现有的入侵检测方法大部分没 有分析入侵行为中一系列事件之间的相关性，所以存在误报率高、检测滞后等问题。 为了降低入侵检测系统的误报率，在分布式入侵检测系统d i d s 中专门设计了一个 基于入侵模式的事件分析器。 在充分分析现有各种入侵手段的基础之上发现，入侵过程主要可分成入侵前 的信息收集、入侵和入侵成功后的现场处理三个阶段。每种入侵方法的各个阶段都 有其特征，将其特征抽取出来就可形成相应的入侵模式。给出了入侵模式设计的基 本原则、描述方式以及入侵模式一般应包括的元素，并设计了若干典型的入侵模式。 给出了一次入侵的定义并讨论了它的关键属性对事件分析器的分析结果可能 造成的影响，提出了事件分析器的设计要求和数据源要求。然后，基于入侵模式设 计了事件分析器的框架，给出了相应的算法，并描述了事件分析器与d i d s 其它组 件的通信机制。f 事件分析器包括预处理器、分析部件、入侵模式库、新事件库和分 析结果库五个部、分。预处理器负责主机和网络两种源数据的规格化处理和数据精 简，以生成新事件；分析部件负责依据入侵模式对事件进行分析，提交分析结果； 入侵模式库用于存储事先设计好的入侵模式：新事件库和分析结果库分别负责存储 相应部件的处理结果。y 事件分析器的实现主要包括数据库设计和事件分析算法的实现。数据库设计 包括入侵模式数据库、新事件数据库和分析结果数据库三部分。 实验结果表明，与现有的入侵检测系统相比，集成了事件分析器的d i d s 可以 在检出率相差不大的情况下明显地降低系统的误报率。 关键词： 入侵检测；入侵模式；事件分析器；相关性；d i d s - v 乙，l 一? ；i ( 华中科技大学硕士学位论文 a b s t r a c t r e s e a r c ho ni n t r u s i o nd e t e c t i o ni st h eh o t s p o to fn e t w o r k s e c u r i t y d o m a i n t h ee x i s t i n gm e t h o d so fd e t e c t i n gi n t r u s i v ea c t i o ns e l d o ma n a l y z e t h ec o r r e a t i o no fe v e n t ss e n tb yt h ei n t r u d e r s ，a n dt h e yh a v es u c hp r o b l e m s a sh i g hf a l s ea l e r r sr a t e ，l a gd e t e c t i o na n ds oo n t or e d u c et h ef a l s ea l e r r s r a t e ，e a ( e v e n ta n a l y z e r ) b a s e do ni n t r u s i o np a t t e r ni sd e s i g n e di nd i d s ( d is i r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ) a ni n t r u s i o nc a nb ed i v i d e di n t ot h r e e p h a s e si n c l u d i n gg a t h e r i n g i n f o r m a t i o nb e f o r e i n t r u s i o n ，t a k i n gi n t r u s i v ea c t i o n sa n dt r e a t i n gw i t h l o c a l ea f t e rs u c c e s s f u li n t r u s i o n e a c hp h a s eo fa ni n t r u s i o nh a si t so w n s i g n a t u r e s ，a n das e to fr e l a t e ds i g n a t u r e sm a k e sa ni n t r u s i o np a t t e r n t h i s p a p e rp r o v i d e st h eb a s i cp r i n c i p l e so fd e s i g n i n gi n t r u s i o np a t t e r n s ，t h e m o d eo fd e s c r i b i n gap a t t e r na n dt h e p r i m a r ye l e m e n t so fap a t t e r n ，a n d s e v e r a lt y p i c a li n t r u s i o np a t t e r n sa r ea l s od e s i g n e d t h ed e f i n i t i o no fo n ei n t r u s i 0 3i sp r o p o s e da n dt h ea f f e c t i o no fi t s k e yp r o p e r t yt ot h eo u t p u tr e s u t so fe aisd i s c u s s e di nd e t a i l t h er e q u e s t s o fd e s i g n i n ge aa n dd a t as o u r c eo f 队a r eb r o u g h tf o r w a r d a c c o r d i n gt ot h e r e q u e s t s o n ef r a m e w o r ko fe ai sd e s i g n e da n d t h ea l g o r i t h mo fa n a l y z i n g e v e n t si s d e p i c t e d 卧i sm a d eu po fp r e p r o c e s s o r ，a n a l y s i sc o m p o n e n t ， 。 i n t r u s i o np a t t e r nd a t a b a s e ，n e we v e n td a t a b a s ea n dr e s u l t sd a t a b a s e t h e p r e p r o c e s s o r f o r m a t st h o s ee v e n t s a c q u i r e db y h o s t b a s e ds e n s o r sa n d n e t w o r k b a s e d s e n s o r s ， a n d a g g r e g a t e s t h e h e t e r o g e n e o u s e v e n t s t h e a n a l y s i sc o m p o n e n ti sr e s p o n s i b l ef o ra n a l y z i n ge v e n t si nt e r m so fi n t r u s i o n p a t t e r n i n t r u s i o np a t t e r n sa r es t o r e di n t oi n t r u s i o np a t t e r nd a t a b a s e t h e r e s u lt so ft h ep r e p r o c e s s o ra n dt h ea n a l y s isc o m p o n e n tw e r es t o r e din t on e w e v e n td a t a b a s ea n dr e s u l t sd a t a b a s e r e s p e c t i v e l y t h e m e c h a n is mo f c o l l u n i c a t i o nb e t w e e ne aa n do t h e r sm o d u l e so fd i d si sa l s od i s c u s s e d 华中科技大学硕士学位论文 t h ei m p l e m e n t a t i o n m a i n l yi n c l u d e st h ed e s i g no fd a t a b a s e sa n dt h ec o d e o ft h ea l g o r i t h mo fe a t h et a b l es t r u c t u r e so fi n t r u s i o np a t t e r nd a t a b a s e ， n e we v e n td a t a b a s ea n dr e s u l td a t a b a s ea r ed e s c r i b e d c o m p a r e dw i t he x i s t i n gi n t r u s i o nd e t e c t i o ns y s t e m s ，t h ee x p e r i m e n t a l r e s u t si n d i c a t et h ed i d si n t e g r a t e dw i t ht h ee a c a nm a r k e d l yr e d u c et h e f a l s ea l e r t sr a t eu n d e rt h ec l o s e i n t r u s i o nr a t es i t u a t i o n k e yw o r d s ：i n t r u s i o n d e t e c t i o n ：i n t r u s i o n p a t t e r n ：e v e n t a n a l y z e r c o r r e l a t i o n ：d i d s i l l 华中科技大学硕士学位论文 1 1 网络安全概述 。 1 1 1 计算机网络的安全现状 1 引言 随着i n t e r n e t 的飞速发展，计算机网络安全问题日益突出，现今已成为种全 球性的严重的社会问题。2 0 0 1 年，美国h i n e o 下属的安全解决方案供应商s n a p g e a r 于当地时间7 月3 0 目公布了关于计算机非法入侵的调查结果。这份调查引用了美国 联邦调查局和c o m p u t e rs e c u r i t yi n s t i t u t e 共同实施的一项调查报告。报告显示， 有8 5 的美国大企业和政府机构的电脑在过去1 2 个月间曾遭受到非法入侵。 在我国，计算机网络安全状况也不容乐观。据经济专刊华尔街日报2 0 0 2 年3 月1 8 日报道，中国成为继美国和韩国之后世界上黑客活动最多的国家。鉴于越 来越严峻的形势，信息安全研究已成为新的“8 6 3 ”计划中信息技术的四大研究内 容之一。 1 1 2 网络安全技术 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的 或者恶意的原因而遭到破坏、更改或泄露，系统运行正常，网络服务不中断。从广 义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相 关技术和理论都是网络安全的研究领域。 由于网络所存在的诸多不安全因素，加之当今计算机黑客攻击的手段又非常 多，使得网络管理人员不得不采取多种网络安全措施，堵塞安全漏洞，保障系统安 全。当前采用较多的网络安全技术有：网络防病毒技术、防火墙技术、数据加密技 术、入侵检测技术、身份鉴别技术、安全内核技术、w e b 安全技术等。 1 华中科技大学硕士学位论文 1 i 3 入侵检测的定义及其在保障网络安全中的作用 一般来说，任何非授权或越权访问计算机网络资源或以干扰、破坏网络系统、 窃取机密信息为目的的行为都称之为入侵。法律上对网络入侵有两种观点：第一种 是指攻击仅仅发生在入侵行为完全完成且入侵者已能进入目标网络；第二种观点是 指可能使一个网络受到破坏的所有行为。本文根据讨论的需要将入侵限定为攻击者 利用计算机网络的安全漏洞非法获取了系统权限，或者影响了系统正常运行的行 为。 入侵捡测( i n t r u s i o nd e t e c t i o n ) 就是通过对网络通信和主机日志数据的分 析，发现入侵行为。 入侵检测作为一种积极主动的安全防护技术，提供了对内部入侵和外部入侵的 实时保护，在网络系统受到危害之前报警、拦截非法请求和应对入侵行为等。入侵 检测是防火墙的合理补充，帮助系统对付渗透进防火墙的入侵，扩展了系统管理员 的安全管理能力，提高了网络系统的安全性。 i 2 入侵检测技术 i 2 i 入侵检测技术的发展简史 入侵检测技术的研究开始于上个世纪8 0 年代，至今已有二十多年的研究历史。 1 9 8 0 年4 月，7 a m e sp a n d e r s o n 为美国空军做了一份题为 c o m p u t e rs e c u r i t y t h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ( 计算机安全威胁监控与监视) 的报告，第 一次详细阐述了入侵检测的概念。这份报告提出了一种对计算机系统风险和威胁的 分类方法和利用审计跟踪数据监视入侵活动的思想。 1 9 8 6 年，乔治敦大学的d o r o t h yd e n n i n g 和s r i c s l ( s r i 公司计算机科学实 验室) 的p e t e rn e u m a n n 共同提出了个实时i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 模型i d e s ，为构建i d s 提供了一个通用的框架”3 。 1 9 9 0 年，加州大学戴维斯分校lt h e b m l e i n 等人开发出了n s m ”1 。该系统第 一次直接将网络流作为审计数据来源，使i d s 形成两大阵营：基于网络的i d s 和基 一_ - - _ _ _ _ - _ _ _ _ _ _ _ - _ ，- 。_ _ _ 。_ 。一 华中科技大学硕士学位论文 于主机的i d s 。 1 9 8 8 年，莫里斯蠕虫事件引起了美国军方、学术界和企业的高度重视。美国 空军、国家安全局和能源部若同资助空军密码支持中心、劳伦斯利弗摩尔国家实验 室、加州大学戴维斯分校、h a y s t a c k 实验室开展对分布式入侵检测系统d i d s 的研 究，将基于主机和基于网络的i d s 集成到了一起“3 。这是i d s 历史上一个里程碑式 的产品。 从2 0 世纪9 0 年代到现在，i d s 的研究呈现出百家争鸣的繁荣局面，并在智能 化和分布式两个方向取得了长足的进展。同时，i d s 的标准化逐渐被提上日程，先 后有c i d f 和i d m e f ( i n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g ef o r m a t ) 两个建议规 范被提出来。 1 2 2 入侵检测系统的分类 i d s 可有多种分类方法，按其监视的数据来源可以分为“6 “： 基于网络的i d s ：基于网络的i d s 通过分析来源于网络中的通信数据检测入侵 行为旧。 基于主机的i d s ：基于主机的i d s 通过监视主机运行时的异常行为，分析系统 和应用程序的日志文件以及通过对程序进行完整性检查等来检测入侵“。 按其采用的技术可以分为”： 基于异常检测的i d s ：它利用统计模型描述正常主体的活动，当受监测主体的 活动异于正常统计规律时，则认为该活动可能是“入侵”行为“2 ”3 。 基于特征检测的i d s ：它将入侵行为特征化，在网络通信、主机审记记录等数 据中检测是否存在入侵特征，如存在则发出入侵警报“1 。 1 2 3 入侵检测方法学 针对来源于网络或主机的数据，不同的入侵检测技术可应用不同的检测方法。 常用的检测方法有： ( 1 ) 基于统计模型的入侵检测方法 统计模型常用于异常检测，在统计模型中常用的参数包括审计事件的数量、间 3 华中科技大学硕士学位论文 隔时间、资源消耗情况等。可用于入侵检测的统计模型大致有以下几种：操作模型、 方差、多元模型、马尔柯夫过程模型、时间序列分析等。一般来说，入侵检测的统 计分析首先计算用户会话过程的统计参数，再进行阈值比较和加权处理，最后通过 计算其“可疑”概率来分析其为入侵行为的可能性。 统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率 与实用性。但是它的“学习”能力也给入侵者以机会，通过逐步“训练”使入侵行 为符合正常操作的统计规律，从而逃避i d s 的检测”。 ( 2 ) 基于神经网络的入侵检测方法 神经网络具有自适应、自组织和自学习的能力，可以处理一些环境信息十分复 杂、背景知识不清楚的问题，允许样本有较大的缺损和畸变。在采用统计方法很难 达到高效准确的检测要求时，可以构造智能化的基于神经网络的入侵检测器”“。为 了识别可能的入侵者，系统需要具有用户行为模式的知识。使用神经网络对系统审 计数据进行处理，从中归纳总结出用户行为的模式，并据此区分用户行为的正常与 否。另外，用户行为模式的动态性要求i d s 具有自学习、自适应的功能。利用神经 网络所具有的识别、分类和归纳能力，可以使i d s 适应用户行为的动态变化特征， 从而较好地解决用户行为的动态性所造成的难以精确检测的问题“”1 。 ( 3 ) 基于专家系统的入侵检测方法 与运用统计模型和神经网络对入侵进行检测的方法不同，用专家系统对入侵进 行检测，经常是针对有特征的入侵行为。专家系统根据预定义的规则库对可疑行为 进行检测。专家系统的有效性依赖于知识库即规则库的完备性，知识库的完备性又 取决于审计记录的完备性”。 基于专家系统的检测方法对于已知的入侵方法有较低的误报率。同时，系统的 推理规则还能发现某些新的漏洞和入侵方法，整个系统的自适应性比较强。“。由于 其检测入侵行为的有效性主要取决于系统知识库的完备性，而建立一个完备的知识 库对于大型网络系统往往比较困难，所以该方法在实现上有一定难度”“。 ( 4 ) 基于数据挖掘的入侵检测方法 数据挖掘可以从大量的、不完全的、有噪声的、模糊的、随机的数据中提取出 隐含在其中的有用信息和知识。与j 鼍纯的统计方法相比，数据挖掘可以从系统日志、 网络通信等大量数据中发现有助于检测入侵的知识和规律”。基于数据挖掘的检测 华中科技大学硕士学位论文 主要采用统计分析方法和关联规则分析方法。它将自学习获得或专家手工输入的入 侵规则与当前活动的统计规律相匹配，按匹配结果来推断入侵行为。 基于数据挖掘的i d s 不能完全依靠自学习获得知识，必须有安全专家参与”“。 ( 5 ) 基于模糊理论的入侵检测方法 入侵活动通常不是孤立的，而是一个有机的活动序列。入侵者往往先收集有关 信息，然后试图获得某个访问权限，之后窃取或修改系统的某些信息。入侵的前阶 段对目标系统造成的危害一般比后阶段小。因此，在目标系统遭受的危害较小时， 可以延迟判定，等待收集到足够的证据判定遭受入侵后，再采取相应的应对措施。 这样，在一定程度上将入侵检测转化为一个多模糊证据综合判决的问题，降低仅根 据某个证据检测入侵所导致的不确定程度，从而降低误报和漏报的可能性”。 这种方法的缺陷在于：模糊集合隶属函数的定义主要依靠专家的经验，不能从 理论上保证对入侵定义的完备性；缺乏对一组可疑活动序列的描述机制”。 ( 6 ) 基于模型推理的入侵检测方法 基于模型推理的检测方法根据入侵行为的程序建立具有一定行为特征的模型， 根据这些模型所代表的入侵意图的行为特征，实时地检测入侵企图。当检测结 果表明符合某特定模型的行为发生时，系统可收集其它证据进一步证实。 模型推理方法的优越性在于：对不确定性的推理有合理的数学理论基础，同时 决策器的使用使攻击脚本可以与审计记录的上下文无关。它存在的问题：建立模型 的工作量比其它方法大，在系统实现时决策器对入侵脚本的翻译存在一定困难“。 1 3 本课题研究的意义和内容以及目标 通过对现有i d s 及其检测分析方法的研究发现，大多数i d s 都存在较高的误报 率。，误报原因可归纳为： ( 1 ) 正常使用中有和检测特征相似的特性； ( 2 ) 检测器的设计和编码存在缺陷； ( 3 ) 入侵者的欺骗攻击； ( 4 ) 分析方法存在缺陷。 高误报率使得! 堕盟旦堡鏖查塑堕堡：垦些：塑盟竖堡堡塑室塑王! 堕盟婴窒 _ _ _ _ _ _ 一。一 e 华中科技大学硕士学位论文 与发展具有重要意义。 已有相关研究表明：由同一入侵者发出并被i d s 所记录的一系列事件在时序上 和逻辑性上都有较强的相关性”“”。如何根据入侵事件之间的相关性来减少i d s 误报是一个值得研究的重要内容。“。 本课题是本研究室i d s 研究小组所研究的分布式入侵检测系统 d i d s ( d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ) 中的一个子课题。它将在d i d s 的检测代理所记录的可疑事件基础上，实现对可疑事件的分析功能，使系统能从大 量的可疑事件中找出真正具有危害性的入侵行为。 本课题的主要目标就是利用入侵事件的相关性，设计并实现一个事件分析器， 使d i d s 和已有的i d s 相比有更低的误报率。 6 华中科技大学硕士学位论文 2 入侵技术分析 本章主要是对入侵技术进行分析。首先，通过一个著名实例说明入侵行为之间 的相关性。然后，通过分析入侵各阶段要达到的目的和可能使用的手段，展示入侵 行为之间的相关性。最后，举出若干入侵方法的典型实例证明入侵行为之间的相关 性。 2 i 概述 本文讨论的入侵技术是指通过利用网络或系统漏洞侵入系统的方法，或对目标 系统进行拒绝服务攻击使其不能正常运行的方法，不包括运用社交途径获取密码侵 入系统之类的手段。 作为后续讨论的铺垫，这里先给出一个著名的入侵实例。 2 0 0 1 年，著名电脑杂志p c w e e k 为了测试w e b 服务器i i s ( n t 平台) 和 a p a c h e ( l i n u x 平台) 的安全性，提供了装有不同w e b 服务器的两台主机给黑客攻击。 位网名叫j f s 的黑客在2 0 小时内成功修改了l i n u x 平台上w e b 服务器的主页。 其入侵过程主要包括以下5 步： ( 1 ) 收集远端主机信息，包括打开的端口和提供的网络服务等； ( 2 ) 了解操作系统类型和版本以及w e b 服务器类型和版本； ( 3 ) 尝试利用常见的a p a c h e 服务程序漏洞入侵，结果失败； ( 4 ) 发现第三方软件的c g i 漏洞并利用此漏洞进入系统； ( 5 ) 利用r e dh a tc r o n t a b 漏洞得到r o o t 权限，入侵完成。 这个典型实例反映了入侵行为之间存在较强的时序和逻辑关系。 2 2 入侵各阶段技术分析 入侵行为是一件步骤性很强的工作，大致可分为入侵前的信息收集、入侵和入 华中科技大学硕士学位论文 侵成功后的现场处理三个阶段。 2 2 1 入侵前的信息收集阶段 入侵可分为两种：破坏型和控制型“。破坏型攻击指的是破坏被攻击目标，使 其不能正常运行，入侵者并不能随意控制目标系统，主要手段是拒绝服务攻击。控 制型入侵是通过获取某些权限来达到可进行非法操作、甚至控制目标系统的目的。 不管是进行破坏型或控制型入侵，入侵者都需要进行与目标系统相关的信息收集工 作。 信息收集主要包括以下工作：网络拓扑结构、网络主机域名和i p 地址、主机 运行状况、主机操作系统类型及版本、主机系统提供服务的类型、服务程序的类型 与版本特别是w e b 服务漏洞、系统及应用软件帐号等。这些信息一般通过网络扫描 来获得。 网络扫描是一项复杂、繁琐的工作，一般借助于扫描工具来完成。扫描工具可 细分为端口扫描和漏洞扫描两种，对于熟悉端口漏洞的入侵者般不用漏洞扫描工 具。作为检测分析的基础，有必要对黑客所使用的扫描方法作分析归纳。 扫描的主要目的是为入侵做准备。根据扫描的目的不同，扫描方法大致可分为 p i n gs w e e p s 、端口扫描、操作系统扫描等“。 ( 1 ) p i n gs w e e p s 主要用来获取网络拓扑结构和查看目标系统的存活性，包括： ( a ) i c m p 扫射 通过向目标系统简单地发送i c m pe c h o 请求，来判断目标系统的存活性。从检 测角度来说，因为这种类型的数据包在网络中非常普遍，加入对该扫描的检测规则 将导致大量的报警数据。 ( b ) i c m p 广播 通过向目标网络或主机的广播地址发送i c m pe c h o 请求，可以获得目标网络的 i p 分布信息。“请求”将被广播到目标网络的所有存活主机，它们在收到i c m p e c h o 请求之后将向攻击者的i p 发送回应消息。 ( c ) n o n e c h oi c m p 在路由器或防火墙阻塞i c m pe c h o 请求时，攻击者可以用n o n e c h oi c m p 协议 华中科技大学硕士学位论文 来收集信息。在网络外部基本上不会有这种类型的i c m p 包请求，许多防火墙会阻 塞i c m pe c h o 包，将检测器放置在防火墙外或获取防火墙的记录将为事件分析器提 供更多与入侵者相关的信息。 ( 2 ) 端口扫描 入侵者常通过连接目标系统的t c p 和u d p 端口，来探测目标主机正在运行的服 务程序类型、版本等信息，包括： ( a ) t c pc o d n e c t 0 扫描 最基本的t c p 连接要经过三次握手，通过操作系统提供的套接口函数c o n n e c t0 系统调用连接目标主机，如果端口处于监听状态，则c o n n e c t 0 成功；否则没有在 该端口提供服务，该端口不可用。这种方法不需要r o o t 权限，速度快，在短时间 内会产生大量的连接，易被检测器捕获。 ( b ) t c ps y n 半开扫描 t c ps y n 半开扫描不打开一个完全的t c p 连接，而是首先就往目标端口发送一 个s y n 数据包，如果收到r s t 的返回信息，则表明对方端口不在监听；若收到s y n i a c k 的返回信息，则表明端口处于监听状态。然后，扫描程序发送一个r s t a c k 分组来 关闭这个连接。通过对网络中的通信数据进行统计分析，或记录网络连接的状态转 移情况，检测器能捕获这种扫描。 ( c ) 秘密扫描 秘密扫描。”这类技术或者能穿过防火墙过滤规则，或者很难被目标系统的日志 记录，或者能在正常的网络流量中隐藏自己。 秘密扫描包括$ y n a c k 扫描、f i n 扫描、x m a s 扫描、n u l l 扫描等几种。这几 种扫描方法的原理基本相近。根据r f c0 7 9 3 ，关闭的端口对这类不规则的数据包 会用r s t 数据包来回复：打开的端口则会忽略。 当用某种秘密扫描方法扫描多个不存在的端口时，网络中r s t 包会显著增多， 检测方法也是进行统计分析或进行特征检测。 ( d ) 代理扫描f t p 反击扫描 该扫描方法利用f t p 的一些内在缺陷来判断主机的存活性。这种方法的特点是 难以跟踪，能穿过防火墙。检测这种扫描可以基于f t p 的某些命令执行过程中所呈 现出来的特征。 华中科技大学硕士学位论文 ( f ) t c p 反向i d e n t 扫描 该扫描方法可通过t c p 连接看到任何进程的拥有者，从而可以利用这个特性来 查看目标主机上以r o o t 权限运行的程序。 ( 3 ) 操作系统扫描 对操作系统的扫描主要包括： ( a ) 获取b a n n e r 。 某些服务可用于识别操作系统，如t e l n e t 、f t p 等。但越来越多的系统关掉了 b a n n e r 或故意显示错误的信息。 ( b ) 域名服务器查询 域名服务器记录了域中主机的硬件类型、操作系统类型等信息，通过正常查询 可获取。 ( c ) t c p i p 堆栈指纹探测 各操作系统t c p i p 堆栈的实现并不完全遵从r f c 规范，不同的操作系统实现各 异。t c p i p 堆栈指纹探测提供了推断操作系统的一种手段。其方法是向远程i p 发 送特定的数据包，如f i n 探测包、假标记探测包等。然后，观察回应包的特征，如 t c pi s n 取样数值、不分段位标志、t c p 初始化窗口大小、a c k 值、i c m p 错误消息 抑制、i c m p 错误消息回应完整性、不同的t c p 选项集等，根据回应包特征的不同 来推断操作系统类型。 由于网络管理员越来越重视网络安全，常修改系统配置以隐藏主机信息，所以 ( a ) 和( b ) 两种方式对入侵者获取主机操作系统类型的作用已逐渐减少。现在，获取 主机操作系统信息主要使用t c p i p 堆栈指纹探测方式。 2 2 2 入侵阶段 在了解了目标机器的特性后，入侵者将会进行有针对性的攻击。攻击有不同的 层次，已有研究者使用敏感层的概念来划分攻击所引起的危险程度。”，表2 1 给出 了划分方法。 华中科技大学硕士学位论文 表2 1 危险级别表 危险级别敏感层 l 级邮件炸弹攻击 2 级拒绝服务攻击 3 级本地用户获得非授权读访问 4 级本地用户获得他们非授权的文件写权限 5 级远程用户获得非授权的帐号 6 级远程用户获得了特权文件的读权限 7 级远程用户获得了特权文件的写权限 8 级远程用户拥有系统最高权限( 己攻克系统) 根据表2 1 的划分，破坏型入侵危害程度属于卜2 级，控制型入侵属于3 8 级。 ( 1 ) 破坏型入侵 破坏型入侵主要包括邮件炸弹攻击、拒绝服务攻击和分布式拒绝服务攻击等。 破坏型入侵通常利用t c p i p 协议中的某个弱点或系统服务漏洞导致系统不能正常 运行，或通过向目标系统发送大量的数据，致使目标系统无法对合法用户提供正常 服务。常见的破坏型入侵手段有：p i n g o fd e a t h 攻击、t e a r d r o p 攻击、u d pf l o o d 攻击、s y nf l o o d 攻击、l a n d 攻击、s m u r f 攻击、f r a g g l e 攻击、电子邮件炸弹、 畸形消息攻击等。 ( 2 ) 控制型入侵 控制型入侵主要是利用各种漏洞获取系统权限。常见的漏洞有： ( a ) c g i 漏洞 c g i 是外部应用程序与w e b 服务器交互的一个标准接口。c g i 程序是交互性的， 所有的c g i 安全问题都来自与用户的交互，主要出现在非正常的表单数据、不合理 的数据来源、路径数据；i 。1 题、零字节后缀、处理文件名、输出不合理、处 理h t m l 、外部进程及内部函数的问题等若干方面。 具有漏洞的典型c g i 程序包括：p h p c g i 、g u e s t b o o k 、e w s 、i n f 0 2 w w w 、c o u n t c g j 、 h a n d l e r 、w e b d i s t c g i 、f i l e s p l 、n p h t e s t c g i 等。 ( b ) w e b 和f t p 服务器漏洞 w e b 和f t p 服务器存在的主要漏洞包括u n i c o d e 漏洞、c g i 源代码泄露、目录 华中科技大学硕士学位论文 遍历、缓冲区溢出、拒绝服务、条件竞争、脚本执行漏洞等。 ( c ) w e b 浏览器漏洞 可能导致w e b 浏览器出现安全漏洞的原因包括缓冲区溢出、执行l n k 命令的 u r l 、畸形的h t t ph e a d e r 内容、m i m e 类型溢出、j a v a s c r i p t 脚本和j a v a 代码、 不安全的a c t i v e x 组件等。 ( d ) s m t p 漏洞 越权使用v r f y 命令搜索用户名称是s m t p 协议本身存在的漏洞。此外，还存在 重大漏洞的s m t p 服务程序有s e n d m a i l8 9 3 的m a i l 1 0 c a l 、l o t u sd o m i n os e r v e r 5 0 1e s m t p 、m e r c u rm a t ls e r v e r3 2 等。 ( e ) i m a p 漏洞 许多流行的i i k p 服务器都存在重大漏洞。 ( f ) i p 地址欺骗 由于路由选择不需要判断来源地址，因此入侵者就可将i p 数据包的来源地址 替换为伪造地址以期隐藏其攻击地点或获取主机之间的信任关系。 ( g ) 缓冲区溢出漏洞 缓冲区溢出是指由于在程序中使用了s t r c p y o 、s t r c a o 等不进行参数有效性检 查的函数，导致恶意用户可编写一小段利用程序来进一步打开安全缺口，然后将该 代码缀在缓冲区有效载荷末尾。当发生缓冲区溢出时，返回指针指向恶意代码，以 获取系统的控制权限。许多常用的系统或应用服务程序存在缓冲区溢出漏洞，如 m i c r o s o f ti i s 、w u f t p d 、r p c n f s d 、s a d m i n d e x 、i m a p d 等。 ( i ) 数据库漏洞 常见的数据库漏洞有系统弱口令、口令泄露、扩展的存储过程、路径泄露等。 ( j ) 域名服务程序漏洞 常见的域名服务器程序漏洞有t s i gb u g 、i n f o l e a k 等，其中域名服务器b i n d 漏 洞常被利用。 2 2 3 入侵成功后的现场处理 入侵者在取得系统的一定权限后，将会进行各种现场处理工作。 ( 1 ) 处理系统日志以隐藏踪迹 华中科技大学硕士学位论文 操作系统一般都提供日志记录功能，为了自身的隐蔽性，入侵者一般会修改自 己在臼志中留下的痕迹。检测入侵者对系统日志的操作可为判断入侵行为所处的阶 段提供重要信息。 ( 2 ) 留下后门 如果被入侵主机不是入侵者的最终目标或为了下次进入该系统的方便，入侵者 一般会留下后门。在w i n d o w s 中安装木马是最好的方式。在类u n i x 系统中留后门 有多种方式，如添加r o o t 帐号；修改r h o s t s 使远程连接无需口令；修改 s e n d m a j l c f ；增加w i z 命令；使用b i n d s h e l ；添加i c m p 后门；利用c r o n t a b 实 现定时增加和删除帐号：修改内核等。 2 3 入侵方法的典型实例 通过对入侵过程的分析，发现入侵般要经历如图2 1 所示的步骤。 其中虚线框表示可选 图2 1 入侵基本步骤图 结合图2 1 给出的入侵步骤，这里给出若干典型的入馒实例。在这些例子中“；” 表示一步，( ) 号内数据表示这步的结果， ) 表示入侵者的可选项。 1 3 华中科技大学硕士学位论文 例2 1c g i 漏洞p h p c g j 入侵： 扫描主机) ；扫描端口( 8 0 开放) ；扫描w e b 服务程序( a p a c h e l 3 2 ) ：利用c g i 漏洞p b p c g i 进行攻击 例2 2i p s e t 缓冲区溢出漏洞入侵： ( 扫描主机) ；扫描操作系统( s u n o s5 7 ) ；扫描系统帐号获取弱口令( 如g u e s t 等) ；利用i p s e t 缓冲区溢出漏洞攻击( 获得r o o t 权限) ； 留下后门 例2 3t e a r d r o p 拒绝服务入侵： 扫描主机) ；扫描操作系统( w i n d o wn t 4 0 ) ；t e a r d r o p 拒绝服务攻击( 系统崩 溃) 例2 4o o b 入侵： 扫描主机) ；扫描端口( 1 3 9 开放) ；扫描操作系统( w i n d o w s9 5 ) ；利用o o b 软 件如w i n n u k e 进行攻击 例2 5s y nf l o o d i n g 入侵： 扫描主机) ； 扫描端口( 2 l ，2 5 ，5 3 ，8 0 等开放) ) ；s y nf l o o d i n g 攻击 例2 6s e n d m a i ld e b u g 漏洞入侵： 扫描主机) ；扫描端口( 2 5 开放) ；探测邮件服务程序类型与版本 ( s e n d m a i l 8 8 8 ) ；利用d e b u g 命令漏洞执行任意命令 例2 7s a d m i n d e x 缓冲区溢出漏洞入侵： 扫描主机) ；扫描端口( 1 11 开放) ；探测操作系统( s u n o s 5 7 ) ；利用s a d m i n d e x 缓冲区溢出漏洞攻击( 获取r o o t 权限) 例2 8i i sh a c k 缓冲溢出漏洞入侵： 扫描主机 ；扫描端口( 8 0 开放) ；扫描w e b 服务器类型( i i s 4 0 ) ；利用e e y e 的 n e t c a t 和i i s h a c k 攻击( 获取r o o t 权限) 例2 9d n sb i n d 服务漏洞入侵： 扫描主机) ；扫描端口( 5 3 ) ；探测服务程序( b i n d 8 2 2 ) ：利用b i n d 的n x t 漏洞攻击( 获取r o o t 权限) 从各典型实例的分析可得出结论： ( 1 ) 这些入侵行为基本符合2 2 节所描述的一般过程； ( 2 ) 入侵者( 特别是外部入侵者) 对于不熟悉的网络一般会先扫描网络中存在哪 一 华中科技大学硕士学位论文 些主机，但也有外部入侵者通过域名服务器查询等手段得到网络拓扑信息，从而确 定某主机的存在性，所以扫描主机这一步是可选的； ( 3 ) 确定了主机的存活性后，对端口及对应端口服务程序的扫描是最重要的一 步，入侵者会根据开放端口及其服务程序来查找漏洞进行入侵。如果检测到入侵者 对主机端口的扫描，i d s 的事件分析器就能对入侵者的后续行为作出一定的预测； ( 4 ) 检测出对主机操作系统的扫描也可作为推断下一步入侵行为的重要依据； ( 5 ) 检测到入侵者对于系统的异常操作，如删除重要文件、增加帐号、安装非 法程序等，可作为i d s 确认入侵是否发生的重要依据。 2 4 小结 本章通过对一个典型实例的分析，将一系列入侵行为分成了入侵前的信息收 集、入侵和入侵成功后的现场处理三个阶段。入侵前的信息收集内容为目标系统的 信息，主要手段包括p i n gs w e e p s 、端口扫描、操作系统扫描等：入侵阶段是指在 了解了系统的某一漏洞后利用该漏洞对目标系统进行破坏型或控制型的入侵；入侵 成功后的现场处理主要包括隐藏踪迹、安装后门等。最后给出若干典型的入侵方法， 证明了2 2 节对入侵过程分析的正确性。 本章将一系列入侵行为的逻辑关系展示了出来，是入侵模式设计和事件分析器 设计的基础。 _ 一 1 5 华中科技大学硕士学位论文 3 入侵模式设计 本章将在第二章所阐述的入侵行为相关性基础之上，进行入侵模式的设计。首 先，给出入侵模式的定义和设计原则，并通过对入侵模式描述方式的分析说明本设 计中适合采用的描述方式。然后，给出入侵模式一般应包括的元素，并举出一个入 侵模式设计的实例。最后，给出若干设计好的入侵模式。 入侵模式是指在时序和逻辑上都相关的入侵特征事件集合。各种入侵方法都有 其特定步骤，这些入侵步骤之间有较强的逻辑和时序关系，将各个步骤所具有的特 征事件抽取出来按时序关系组合即得到相应的入侵模式。 3 1 入侵模式设计原则 入侵模式是分析器进行可疑事件分析的依据，是分析器设计与实现的关键之 一。入侵模式的设计应该满足若干原则： ( 1 ) 入侵模式应反映入侵方法的共同特征 入侵模式所反映的应是入侵方法的共同特征，如危害程度、入侵阶段、特征事 件等，而和具体入侵者相关的系统、源地址、网络协议类型、数据来源等属性不必 出现在模式中。 ( 2 ) 模式中元素的检索应快速方便 现有的入侵方法达上千种，并且在不断增加，相应的入侵模式也会不断增长， 且入侵模式的设计与分析器算法的效率是紧密相关的。为了使事件分析器能将入侵 模式和可疑事件进行快速匹配，以具备实时分析能力，模式中元素的检索必须快速 方便。为此，入侵模式的各元素应能方便地转化为数据库中表格的各字段进行存储。 这样，分析器就能利用d b m s 对关键字段进行索引以提高匹配操作的效率，同时简 化实现。 ( 3 ) 入侵模式应能准确地反映各入侵步骤之间的关系 某些入侵方法各步之间的顺序并不完全是线性的，从入侵起点到终点的路径有 华中科技大学硕士学位论文 可能存在跳跃性或有多种途径，如图3 i 和图3 2 所示。 嘉霎箨扫8 0 辫 涨等鲜姗一售辩 描事件事件 j 予旱仟 击事件 o 文) ( ：卜 其中虚线