（计算机应用技术专业论文）基于协议分析的入侵检测系统的研究与实现.pdf

摘要 随着网络规模的不断扩大和广泛应用，网络受到的威胁越来越多，越来越复杂， i 网络的安全防护也变得越来越重要。网络安全是一项动态的系统工程，单一的安全 产品很难满足网络安全建设的实际需要，组建由防病毒、防火墙、网络入侵检测、 漏洞扫描等多种安全产品协同作战的立体安全体系己成为业界和用户的共识。 在立体安全体系中，入侵检测系统不仅可以检测外界非法入侵者的恶意攻击或 试探，而且可以检测内部合法用户超越使用权限的非法行为，网络入侵检测作为一 种积极主动地安全防护技术，借助其动态和主动的工作原理，成为联动各静态防护 技术的关键环节，是网络安全研究中的一个重要课题。 本文首先介绍了网络安全方面的知识，包括网络的不安全因素、网络安全的策 略和两种不同的网络安全模型等；然后详细论述了入侵检测方面的知识，包括入侵 检测的定义和分类、入侵检测原理、入侵检测的标准化等方面的内容。 本文重点研究了传统的特征分析技术和一种新的入侵检测技术协议分析技 术。目前大多数网络入侵检测系统主要采用的是特征分析技术，该类系统漏报误报 率高，检测速度低，检测准确性差，而协议分析技术能够提高入侵检测系统检测的 准确性，降低漏报和误报率，提高检测速度。 在理论研究的基础上，本人研究并建立了基于协议分析技术的入侵规则描述语 言，提出了系统的设计目标和实验环境，对系统进行了总体的设计。该系统划分为 八个模块：入侵检测系统的数据包捕获模块、协议解析模块、规则库、规则解析模 块、存储模块、入侵检测模块、响应模块和界面控制模块。 最后本人在l r n u x 平台下设计实现了一个基于协议的网络入侵检测系统。 关键词：网络安全；入侵检测系统；特征分析；协议分析 s t u d ya n di m p l e m e n t a t i o no f n e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m b a s e do i lp r o t o c o la n a l y s i s a b s t r a c t t h r e a to fn e t w o r ki sm o r ec o m p l e xa n dm u c hl a r g e rt h a nb e f o r e ，a n dn e t w o r k s e c u r i t ya l s ob e c o m e sm o r ea n d 毪贼i m p o 娃a a t , a l o n gw i t hn e t w o r kw i d e s p r e a du s e d n e t w o r ks e c u r i t yi sad y n a m i cs y s t e me n g i n e e r i n g ，a n dt h es i n g l es e c u r i t yp r o d u c t si sn o t e n o u g hf o rt h eb u i l d i n go fn e t w o r ks e c u r i t y ，t h et h r e e d i m e n s i o n a ls e c u r i t ys y s t e m i n c l u d i n ga n t i - v i r u s ，f i r e w a l l ，n e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m ，h o l es c a n n i n ga n do t h e r s e c u r i t yp r o d u c t sl u r eb e e nr e c o g n i z e db yi n d u s t r i e sa n du s e r s n e t w o r ki n t r u s i o nd e t e c t i o ns y r e ma sak i n do fp r o a c t i v es e c u r i t yp r o t e c t i o n t e c h n o l o g y ，p r o v i d e sr e a l - t i m ep r o t e c t i o ns y s t e mf o r me x t e r n a li n t r u s i o n , a n dp r e v e n t s e r r o n e o u so p e r a t i o no f i n t e r n a lu s e r s i n t r u s i o nd e t e c t i o nt e c h n o l o g yw i t hi 如d y n a m i ca n d p r o a c t i v ew o r kt h e o r yb e c o m e st h em o s ti m p o r t a n tp a r ta n da ni m p o r t a n ts t a d yt o p i c f i r s t l y ，t h i sp a p e rd i s c u s s e sn e t w o r ks e c u r i t yk n o w l e d g e ，i n c l u d i n gn e t w o r ks a f e t y p r o b l e m s ，n e t w o r kt h r e a t e n ，p o l i c yo f n e t w o r ks e c u r i t ya n d t w om o d e l so f n e t w o r ks a f e t y ， s e c o n d l y ，t h ep a p e r d i s c u s s e si n s k n o w l e d g e ，i n c l u d i n gt h ep r i n c i p l e sa n d s t a n d a r d i z a t i o no f i n s ，e t c t h ep a p e rs t u d i e st r a d i t i o n a ls i g n a t u r ea n a l y s i st e c h n o l o g ya n dan e wi n t r u s i o n d e t e c t i o nt e c h n o l o g y - - - - p r o t o c o la n a l y s i st e c h n o l o g y c u r r e n t l yn e t w o r ki n t r u s i o n d e t e c t i o ns y s t e mm o s t l yu s e ss i g n a t u r ea n a l y s i st e c h n o l o g y ，a n dt h i st e c h n o l o g yh a si t s d i s a d v a n t a g e s ，s u c ha sh i g he r r o rr a t e ，h i g hw a n s u d a t i o nr a t e ，l o ws p e e do fd e t e c t i o n ，b u t p r o t o c o la n a l y s i sm e t h o dc a r ti n c r e a s ea c c u r a c yo ft h es y s t e m ，r e d u c et h ee r r o rr a t ea n d i n c r e a s ed e t e c t i n gs p e e d t h ea u t h o rs t u d ya n db u i l dt h er o l ed e s c r i p t i o no ft h es y s t e mb a s e do np r o t o c o l a n a l y s i sa f t e rs t u d y i n gb a s i ct h e o r y ，t ka u t h o ri n t r o d u c e ss y s t e md e s i g no b j e c t i v e sa n d e x p e r i m e n t a le n v i r o n m e n t ，a n dd e s i g n sw h o l es y s t e m t h es y s t e mi n c l u d e se i g h tm o d u l e s n e t w o r kp a c k e tc a p t u r em o d u l e ，p r o t o c o la n a l y s i sm o d u l e ，r u l e sd a t a b a s e s ，r u l e sa n a l y s i s m o d u l e ，s t o r a g em o d u l e ，i n t r u s i o ne v e n td e t e c t i o nm o d u l ea n di n t e r f a c em a n a g e m e n t m o d u l e f i n a l l y ，t h ea u t h o ri m p l e m e n t san e t w o r ki n t r u s i o nd e t e c t i o ns y s t e mb a s e do n p r o t o c o la n a l y s i s0 1 1l i n u xo p e r a t i o ns y s t e m + k e yw o r d s ：n e t w o r ks e c u r i t y ；i n t r u s i o nd e t e c t i o ns y s t e m ；s i g n a t u r ea n a l y s i s ； p r o t o e o la a l y s i s 大连海事大学学位论文原创性声明翻使用授投说鹗 原创性声明 本人郑重声明：本论文怒农导师的指导下，独立进行研究工作所取得的成果，撰 写成博士硕士学位论文= = 基士坯邀佥查显尥厶僵捡冽麓缝啦硒塞与亵飙：。除论 文中已经注弱弓l 翔弱内容终，辩论文的萋嚣究傲基重要贡辍的个人和集喜摹，均已在文 中以明确方式标明。本论文中不包含任何采加明确注明瀚其他个人或集体已经公开 发表或未公开发袭的成果。 本声鹤豹法律责往由本人承担。 论文错躲芳躅霞砧年3 胄弦目 学位论文簸壤使雳授权带 本学位论文作者及指导教师完全了解“大连海事大学研究生学位论文提交、版 投使用管理办法”，霹意丈遥海事大学绦爨并囱国家有关部门或穰稳送交学位论文 的复印件和电子版，允许论文被查阅和借阅。本人授权大连海事大学可以将本学位 论文驰全部或部分内容编入窍关数据库进行检索，也可采用影印、缩印或扫描等笈 蒜手段保存鞍汇编学位论文。 保密口，在年解密后适用本授权书。 本学位论文羁予：绦密墨 不保密影( 请在以上方框内打“”) 一：趣露i 翻锄 第1 耄绪论 l 。1 论文谋黻的现实意义 随着网络规模的不断扩大和广泛应用，网络受到的威胁越来越多，越来越复杂， 网络的安全防护也变得越来越重要。网络安全是一项动态的系统工程，单一的安全 产燕缀难瀵足嬲终安全建设熬实舔簧耍，缝建峦耱痪凑、耱炎壤、潮络入馒捡铡、 漏洞扫描等多种安全产品协同作战的立体炭全体系已成为业界和用户的共识。 在立体安众体系中，入侵检测系统不仅可以检测外界非法入侵者的恶意攻击域 诚擦，嚣虽霹苏捡溺魂帮会法焉户超越馒臻攫聚筑 # 滚行鸯，弼终入疆捡灏 擘戈一 种积极主动域蜜全防护技术，是网络安众研究中的一个重要课题。所以研究入侵检 测系统具有璧骚的现实意义和应用价值。 入稷捡测豢凌竣照数撵源分梵基手主槌鹣入镘捡溅系统、基予弼络鹣入侵捻溅 系统和混合型的入侵检测系统。本文研究的是基于网络的入侵检测系统。 对入侵梭测系统的研究，核心的部分就是对入侵梭测技术的研究。网络入侵检 测系统瘦弱簸多魏方法为糁缝分凝方法，宅数基本原磺莛建立在字镣睾医酝豹麓攀 概念之上，如今该方法已疑鬃露出了很雾不足【l 】：1 该方法没有考虑到通信协议的 特点，对采用连带攻击、数据包分片的攻击方法显得瓣能为力。2 计算量大。对 令溃受棼熬l o o m 班太睡 鬈蛮大约霉要镶移7 0 亿次诗簿。3 。缝测猿确搴低。系绫 使用固定的特征模式来检测入侵，如果砹击特征稍有政变，检测累统就检测不出该 攻击。因此，攻击特征的所有变形都被存入攻击特征库，使得系统的特征库变得十 分痣夫，这攥藏降鬣1 了系绫懿捡测速度。魏在一令滚受猿豹1 ( 3 0 & 激太弱上，系统 将不得不丢莽3 0 7 5 的数据流量。如果处理不当，入侵检测系统往往成为影响 网络速度的“瓶径”。 薹于上述方瑟瑟覆毽，入钓在实舔麓滢蔫孛越寒熬感受蜀采爝绩绞戆特程分毒蠢 技术已经不能适应网络安龛建设日新月弊的要求了。 协议分析技术包括协议解码和命令解析这两个方面，这两种按术的应用，给入 侵检测系统繁寒了凌定毪戆俊势：穆谈分褥技拳撬褰了入疆检溺系统懿注戆，撬篙 了检测的准确性，减少了成警和误判的可能性，大大增强了系统的反规避能力。协 议分析的高效性降低了系统资源在网络和主机探测中的资源开销。因此研究协议分 析技术对于提高入侵检测系统的性能具有重要的现实意义。 1 2 论文课题的国内外发展水平及发展趋势 1 2 1 入侵检测的历史和国内外发展现状 入侵检测技术从2 0 世纪8 0 年代早期提出到现在，短短的2 0 多年，从最初的有 价值的研究和单纯的理论模型，已经迅速出现各种实际原型系统，呈现了许多商用 的入侵检测产品，成为计算机安全领域研究的热门技术。 入侵检测技术的发展历史如下口】： 1 9 8 0 年，a n d e r s o n 在其完成的一份技术报告c o m p u t e rs e c u r i t yt h r e a t m o n i t o r i n ga n ds u r v e i l l a n c e 中提出了改进安全审计系统的建议，以便用于检测计 算机用户的非授权活动，同时，提出了基本的检测思路。 1 9 8 4 1 9 8 6 年，d e n n i n g 和n e u m a r m 在s r i 公司设计和实现了i d e s ( 入侵检 测专家系统，i n t r u s i o nd e t e c t i o ne x p o r ts y s t e m ) 。i d e s 系统包括了统计分析组件 和专家系统组件，同时实现了基于统计分析的异常检测技术和基于规则的滥用检测 技术是一种基于主机的入侵检测系统模型。 1 9 8 7 年，d o r o t h yd e n n i n g 在发表的一篇论文中提出了入侵检测的基本模型， 并提出了几种可用于入侵检测的统计分析模型。d e n n i n g 的论文正式启动了入侵检 测领域内的研究工作。 1 9 9 0 年，入侵检测第一次将网络数据包作为实际输入的信息源，第一个基于网 络的入侵检测系统模型n s m ( n e t w o r ks e c u r i t ym o n i t o r ) 出现了，n s m 系统截获 t c p i p 分组数据，可用于监控异构网络环境下的异常活动。 在早期，入侵检测还只是处在实验室研究阶段，到了1 9 9 6 年以后，才逐步出现 了大量的商用入侵检测系统。早期的入侵检测系统都是基于主机的，而现在最流行 的入侵检测系统大多数都是基于网络的。 当今的一些商用入侵检测产品主要有【4 5 ：1 ) c i s c o 公司的c i s c oi d s ( 前身为 n e t r a n g e r ) ，产品分为三个基本部件：传感器、控制台和入侵检测系统模块：2 ) n f r 公司的n i d ( n e t w o r k i n t r u s i o n d e t e c t i o n ) ，n i d 是一个基于误用的商业软件，同时 具有一定的异常检测能力。3 ) n e t w o r ka s s o c i a t e s 公司的c y b e r c o p ，c y b e r c o p 基本 2 一 上可以认为是n e t r a n g e r 的局域网管理员版。4 ) i n t e m e ts e c u r i t ys y s t e m 公司的 r e a l s e c u r e ，r e a l s e c u r e 的优势在于其简洁憔和低价格。与n e t r a n g e r 和c y b e r c o d 类酝，r e a l s e c u r e 在绩撵上逛爨簿部分。雩l 擎部分受责麓渊信悫毽势奎蔽霰警信惫， 控制台接收报警并作为配置及产生数据库揪告的中心点。两部分都可以在n t 、 s o l a f i s 、s u n o s 和l i n u x 上运行，并可以在混合的操作系统或隧配的操作系统环境 下壤矮。5 ) e n t e m s y s 公麓魏d r a g o n ( d r a g o n i n t r u s i o n d e f e n s e s y s t e m ) 系统，爨i d s 从“被动检测”到“预防相关”的转交的缩影。6 ) 中科网威的“天眼，入侵检测系 统，中科网威信息技术有限公司的“天眼”入侵稔测系统、“火眼”网络安全漏洞 捡灏系统楚鏊痰少有豹咒兮入经检测蘩统之。它壤据嚣游舞缭豹特殊清嚣，由串 国科学院网络安龛关键技术研究组经过多年研究，综合运用了多种检测系统成果研 制成功的。当然述有其他公司的很多商用入侵检测产品。 姿蘸恣有穰多菲离鼷戆入侵检测系统，s r i 公镯豹n i d e s ，c e r i a s 懿e s p 等。 比较出名的免费的入侵检测系统是s n o r t ，窀基于g p l ，作者是m a r t i nr o e s c h 5 1 。 s n o r t 是一个强大的轻激级的入侵检测系统，它具有实时数据流量分析的能力，能 够滋行协议分辑，黠蠢容送行羧索鞠蓬配。 2 2 入侵检测豹发曩趋势 1 ) 分布式入侵检测技术嘲： 传统的集中式入侵检测系统模鹜建在网络的不间网段中放鬣多个传感器躐探测 器采段集懑 蓼弼终炊态镲息，然基这些售惑拔簧邀剽孛失控利念进行照理翻分叛。 在集中式入侵检测系统中，大舰模的攻击行为会增加中央控制台的业务负荷，以至 于迭到控制台无法承受的程度。由于网络传输有时间差，至q 达中央控制台的数据包 孛瓣事转僖惑只菠浃了剃才宅被生或熬情魏，不黢轰获憝羞露灏基经羧变戆炊态。 目前出现了种新的分布式代理结构方式，幽几个中央智能代理和大量分布的 本地代理组成，藻中本地代理负责处理本地事件，而中灾代理负贵整体的分祈工作。 毙方式强溺逶过全落誊我餮镑嗣王 乍，中央代溅扮演翡是穆谲者弱金俸分据曼豹 角色，但不是唯一的事件处理者。分布式的入侵检测架构必须邋应目标系统和网络 环境中网络设施的物理和逻辑分布情况。 2 ) 燕癸能魏络安全产鹣耱资佟： 3 一 现在的网络安全技术有防火墙、身份认证等技术，同时也出现了相对应的网络 安全产品。如今就有了防火墙和入侵梭测产晶的协作，今艏入侵检测系统还会和其 蘧夔瓣终安金产晶捺终，影藏较灸完全静霹终安全解决方窳。 3 ) 用其他领域的技术来研究入侵检测技术： 数据挖掘技术、神经网络、免疫系统等一些技术已经j 陵用到入侵检测系统强中， 骚究蹬现了蟹钱入侵检溅系统，基予受疫系绞麴入俊检溺聚统等。将来，入镘猃溺 技术更会把所能撼高性熊的其他领域的技术运用到本领域中，以此提高系统性能。 1 3 论文课题的研究内容及论文的组织结构 本文首先介绍了网络安全方面的一些基础理论，然后介绍了入侵检测相关的知 识。零文圭蘩磅究了爨终入侵捻铡系绫掰采麓瓣嚣穗检测方法，然后遴j 童这嚣耪检 测方法的比较，提出了协议分析技术的方法，并在协议分析技术的基础上，建立了 基予协议的入侵规贝描述语言。最后对系统避行了总体设计，并在l i n u x 平台下开 发7 一个鸯瑟筏像赛瑟豹昊有据震毪鹣l i n u x 鼹瞎入侵竣测系绞。 本文包括以下章节： 第l 章：绪论：本章介绍了论文的现实意义、论文的国内外发展水平以及论文 课悉数碜 究疼容。 第2 章：网络安全概述：零章主要介绍了网络安全有关的知识，包括网络安全 的寇义，网络安仝的不安全因紫，网络安全的策略，网络安全模型等。 第3 寒：入侵检测颧述：零章主要夯缓了入侵缝测系绫豹检测承瑗、分装、入 侵梭测系缆的标准化等。 第4 鬣：入侵检测系统的研究：本章首先研究了网络入侵检测系统的两种分析 按拳，按蕊深入磷究了久浸稔滚系统豹鬣爨援速语言，共建立了系统蠹己戆入侵魏 则攒述语京。 第5 章：入慢检测系统的总体设计：本章介绍了整个系统的总体设计。 第6 辈：入橙检溺系统各个模袭懿设谤与实褒：设计帮实璃了入侵裣灞系统酌 各个模块，共建立了入侵检测系统使用的规则语畜。 第7 寒：总结和展望。 ，4 第2 章网络安全概述 建立网络的硝的在于资源族享和信息的嶷流，但是这样做就存在赘安全问题。 瓣络翡安全程度在菜释意义上掰罄理解为该瓣络棱竣击韵剪2 瀑。人们遭常蕊是设 法保护装煮宝贵信息的计算机，两网络安全的强弱程度只取决于网络中的最弱连接 的强弱程度。黑檬入侵，大都寻找网络中未受保护的计算机，比如不常用的打印机 或佟粪程等，幂l 鬻它稻雾嚣其蠢重要信惹静计算梳。寻找潮络审的薄弱环节和安全 漏测是每个系统管理员都要做的事情。 网络照动态的。黑鬻利用不断发现的网络和系统安全的漏洞，采用各种新的攻 击方式，安全策略应该遥庭这耱情诱。管理燕遴遘各种安全技术不舔圭f 甄检测、盗控 网络和系统，发现新的威胁和弱点，遽过一个循环反馈及时制定有效的安全镣略， 以便在黑释攻击之前进行安全防护。 2 1 系统的安全级别 在2 8 遵纪7 0 年代，d a v i d b d l 帮l e o n a r d l a p a d u a 舞发了一个安全计嚣较i 静 操 乍模型，该模型是基于政府概念的备哥中级别分类信息( 一般、秘密、机密、绝密) 和释种许可级别。如果童题的许可级别高于文件( 客体) 的分类级别，则主体能访 闻霉体，籀莱主体的许w 级鄹低于文件( 客俸) 的分类级潮，弱主体不髓访闽客体。 这个模型避一步发展，1 9 8 3 年美国国防部标准5 2 0 0 2 8 可信计算枧谔毡猴n ( t h e t r u s t e dc o m p u t i n gs y s t e me v a l u a t i o nc r i t e r i a ，t c s e c ) ，即桔皮书推出n t ：s 嚣c 共分隽豁下疆类等级： d 级，安全保护欠缺级。 c 1 级，自主安全保护级。 c 2 缀，受控存取谦护级。 b l 级，标记安全保护级。 b 2 级，结构化保护级。 b 3 级，安全域保护级。 a 1 缀，验_ | 曩设计缀。 5 敬涌鞠餮( 赘兰、法黧、荚蓍、德黼) 农吸收了t c s e c 静成功经骏酶蒸确上， 予1 9 8 9 颦联合稳出了信怠技术安全译估凇郧( i n f o r m a t i o nt e c h n o l o g ys e c u r k v e v a l u a t i o n c d t e f i a ，i t s e c ) ，俗称岛蔽书，蓄次提穗了信惑安全绱机密链、完整髋、 胃霜缝懿穰念，撼萄绩诗算棍瀚概念提离戮可信褡怠技术酶离魔翻。 我国潜家质蠹技术篮胬局予1 9 9 9 年发布了计算机信怠系统安全僚护等级划分 鞭弱( c l a s s i f i e dc r i t e r i af o rs e c u r i t yp r o t e c t i o no f c o m p u t e ri n f o r m a t i o ns y s t e m ) ，序号 先g b l 7 8 5 。1 9 9 9 t 7 t 。 2 2 网络安全的定义及特征 国际糍墩化缎织( i s o ) 怼计算机系统安全豹定义是：为数据处理系统建立期 采用匏技术和管理鲍安全保护，保护计冀枫硬转、软 譬和数据不因偶然酾恶慧的原 因遭到破坏、更改和泄鼷。由此可以将计算机网络的蜜全理解为：通过采用嚣种技 术秘管理攒禳，使网络系统正常运行，从薅确保潮终数据艇可斓挫、完整性酾缳密 性。所以，建立网络安全保护接麓载弱豹是确保缀过魉终传辕秘交换熬数摄誉会发 生增加、修改、曩失和泄髅等。 网络安全应谈具鸯以下五方面的特缝： 1 ) 傺家性：信息不泄露绘# 授权髑户、实锩或避稳，或供其剽翅。 2 ) 宪熬性：数援_ ；l 乏缀授权不进行改变的特性。信息在窍储或钱输过程中保 持不被修菠、不被玻耀或丢失躲特燃。 3 ) 用性：可被授投实俸访翘势按鼹蕊使建豹特性。鼹络琊境下豹摆绝股务 攻击、破坏捌终移有关系统的难誊运行等都属于对可用蚀的攻赘。 4 ) 霹羧性；对傣息的抟播及内容舆有控毒螺力。 5 ) 霹攀壹技：对出现豹网络安全闷题提袋谰套黥姣搌或学段。 榱皮书势不勰次联网计算规阅题，嬲络的访问在摧皮书的认谖是恶效的。1 9 8 7 年，美黧匿辫部制定了t c s e c 的霹信瓣络解释秘l ，又稼戈红皮书，金强解决阚 络磷凌熬安龛润题。 2 3 网络的不安全霞素 网络的不安全西綮主簧宥两个方面：网络系统酶自身缺陷以及网络所面临的威 胁。 。6 * 网络的不安全因素肖很多，比如计算机操作系统本身商很多漏洞，管理员不会 对防火墙等安全设备进行很好的配置等等。网络安念的不炭全因索重要有下面几个 方嚣潮： 1 ) 操作系统的缺陷 操作系统的安全是网络安全的核心。操作系统结构体倦4 本身有很多缺陷。操作 系绫懿程撵是霉戳动态逐接懿，i o 瓣驱动耧彦与系统懿黻务都霹班爰努裁了豹方 式进行动态链接，而打补丁的方式很容易被黑客利用。一个靠打补丁改进与升级的 操作系统怒不可能从根本上解决问题的。现在一般操作系统都撼供了强大的网络功 能，蔫产袋翔辩必矮了解这些麓g l 著送行燕镄豹酝篷，番剿这些功靛爱瑟霹成必 被黑客利用的强大的“麟门”。 2 ) t c p i p 协议的网络提供的f t p 、e m a i l 、r p c 和n f s 存在着许多漏洞，都 包含缀多不安全戮素。菜望协议经常运行一些无美豹程寄，一黧系统 羹鬻封开一塑 与成用程序无关的端口。 3 ) 数据库管理系统的安众缺陷 数豢群警毽系统鹃安全努须是鞍搡佟系统静焱全稳浆套静。鲡果操佟黎统数 安全级别是b 2 级，那么d b m s 的安全级别也应该是b 2 级。然简在现实的使用中， 数据库系统在安全方丽考虑很少。 4 ) 姣少安全管理 现在多数系统还缺少安全管理员，缺芝安全管理的技术规范，没有定期的安全 测试与检查，没有安全监控。目前仍然有很多系统管理员与用户的注册还处于缺省 妖态，诲多系统鬻| 噩说楚真正麓“开敖系统”。 网络孺愎的威胁主要有以下几个方面【5 】： ( 1 ) 黑客；目前，黑客使用网上的任何漏洞和缺陷修改网撼、非法进入生机窃 取信息、滋行菲法操作。罴客玻击凡乎涉及了所露的搡佟系统。 ( 2 ) 计算机病毒：计算机瘸毒的破坯憾很大，丽且瘸毒程序有自我复制的功能。 病毒通过网络传播，传播速度很快，范围很广，破坏性相当强。 ( 3 ) 特洛伊术马( t r o j a nh o r s e ) ：特洛伊木马的名称来源子吉希膳的掰变敖 事，其埝懑荧把蠢预谋的有寒的功熊漶藏农公开鲍功能中，掩盖其真突豹企图，我 们把这类程序称为特洛伊木马程序。 一7 。 ( 4 ) 掇绝服务攻击；一种破坏性攻击。最早的拒绝服务攻击是“电予邮件炸弹”， 它使个用户在很短的时间内褥到大爨的电予自日件，使用户无法正常工作。这种攻 壹簿系统鸯糖当鹣危害，严重瓣会傻系统廷辍，羽络瘫痪。 ( 5 ) 陷门( t r a pd o o r ) 和后门( b a c kd o o r ) ：一段j 法的操作系统程序，一 般燕些内部程序人员为了特殊的目的，在所编制的程序中潜伏代码或保留漏洞。 ( 6 绥患漤霾或丢失：攥敬慕数撵在鸯意羲懋意串被淫露鼓丢失，逶豢氆据： 信息在传输中丢失或泄鼷( 如被黑客截获或窃听) ，信息谯存储介质中谣失或泄露， 通过建立隐蔽隧邋等窃取敏感信息等。 2 4 网络安全的策略 溺络安全兹繁晦主器骞戳下足耱搠： 1 ) 物理安会策略； 实施物理安众策略的目的楚：保护计算机系统、网络服务器、打印机等硬件实 髂霸逶傣链路兔受叁然灾害、入为酸坏稻搭线豹玫辔；验诞弱户瓣身份帮健悉蔽疆， 防止其越投操作：确保计算机系统有个良好的峨磁兼容工作环境；建立完罄的安 全管理制魔，防此非法进入计算机控制室和各种偷窃、破坏活动的发嫩。 2 ) 游阕控髑策臻： 访问控制的童要任务是保证网络资源不被非法使用矛驺非法访问，照网络安全防 范和保护的主要策略。 访蠲控翻主簧奄蘩入溺谗淹控镧、鼹终靛投黢控裁、鏊录缀安全控裁、瓣络薅 点酾节点的安全控制、防火墙控制、网络梭测和锁定控制等。 3 ) 信息加密策略； 信息翻密翡器靛燕傈护溺内数撂、文露、舀令帮控截信怠，保护蹋上筵输爨数 据。网络加密常期的方法有链路加密、端点加密和节点加密三种。信息用加密算法 进行加密。据不究全统计，到目前为止，已经公开的加密算法夥达数西种。根据收 发鲠方篌箱懿密锈是否疆嗣，密码技术分必对称密筠( 或荜钥密码) 技术翻# 对称 密码( 或双钥密码或公钥密码) 技术。在慰称密码技术中，其加密密钥和解密密锅 相同，而非对称密码技术中加密和解密的密钥是不相同的。 4 ) 嘲络安全管瓒策略 8 龛耩强弱终於安众管理，稍定蠢关惑鬻锻度，才能确保丽络麓够蜜全有效的运行。 2 。5 翔终安全模型 1 ) 5 层网络安全模型： 一般的网络会涉及三部分：首先是硬件，第二就是网络操作系统，第三就是网 络孛懿应用稳痔。一般认海这兰部分便讶褐戒一个网络整体。丽奁应丽弦窿的背后， 还隐藏着大擞的数搬作为慰翦者的支持，西此数据的安全皮该考虑在内。恧撵传系 统与威用程序，都烂由人朱操作和使用的，所以用户的安全也应该考虑在内。 5 藩次豹网络系统安全体系理论己得到了蘑际嗣络安全界麓广泛承认私交持， 这一安全体系理论在慕些产品中已经被应用。s 层次的网络安全模型包蜒：网络屡 的安全性、系统的安全性、用户的安全性、应用程序的安全性和数据的安全性【1 0 1 。 2 ) 安全理论摸蝥p p d r 模型 p p d r 模型是一个动态的计黧机系绫安全理论模型。p p d r 是p o l i c y 、p r o t e c t i o n 、 d e t e c t i o n 、r e s p o n s e 的缩写【3 】。下图悬p p d r 安全模型图。 图2 1p p d r 安全模型 f i g 。2 ，1p p d rs e c u r i t ym o d e l 模壁静罄本攒逑窝下； 安全= 风险分析+ 执行策略+ 系统实施+ 漏濑检测+ 实时 p p d r 安全模型的主隳包括四个方面的内容： 9 ( 1 ) 策略( p o l i c y ) ：鼹略是模型的核心内容。策略规定了系统所要达到的 安全目标和为达到目标采取的备种安龛措施以及安企措施的实施强度等。安全策略 必缀按爨求嚣裁寇。 ( 2 ) 防护( p r o t e c t i o n ) ：制定炭全管理的规则，进行系统的安全配置，安装 各种防护设备等。 ( 3 ) 捡浏( d e t e c t i o n ) ：在采取安全播蔻螽，鬏疆系统运行懿交纯，瓣系绞 进行动态监控。 ( 4 ) 响应( r e s p o n s e ) ：发现入侵后，及时响应并采取一定的措施处璎。一 般畿捂：记录入嫒行为、逶絮篱理曩、切錾瓣终等培薤。 在这安全横型中，安全蘸略处于中心地位。安全策略也是制定入侵检测中的 检测策略的一个踅要信息来源，入侵检测系统根据已知的安全策略信息，来配置系 统模块豹参数售瑟。 入侵梭测技术( i n f u s i o nd e t e c f i o n ) 是实现p p d r 模烈中的d e t e c t i o n 部分的主 要技术手段。当发现入侵行为时，检测系统会通知响应模块，响应模块会发起响应 播禳，逶懿管毽受或叁韵凌瑟潮络等簿。姨挨垄蚕霹淤看滋，入侵检嚣怒实臻p p d r 模型的承前启后的环节。 一l o 第3 章入侵检测槭述 3 1 入侵检测基襁 3 1 1 入侵检测的定义 美霞灏寨安全遴售黉囊会( n s t a c ) 下属懿入溲捡嚣枣纽( i d s g ) 在1 9 9 7 霉 给出了“入侵”的定义为：入侵是对储息系统的# 授权访闯以致( 或者) 来缀许可 在信息系统基进行的搽干譬。 曩辩，穗霪：绘凄了入整捡添熬愁义为翻： 入侵梭测是对企豳入侵、正在逃彳予的入侵战者穗经发生的入侵进行识别的过程。 所有能够执行入侵检测任务和功能的聚统，郏可称必入侵检测絮统。 令寇罄蕊天覆梭溺系统努矮舆鬻鞋下耍点： 经济憾：入馒检测黎统必须保诞不能妨碍惹绕豹正常逡行，如系统性熊。 时效性：入侵检测系统必颁及时发现入侵行为，理想情况怒在事前发现玻毒企 鹫，邈鞍骥实戆瀵嚣建袁壤麦嚣为发警兹遭疆孛梭溯蓟竣遣企辫。天覆捡灏慈统必 须保证时散性，因为一个已经被攻卷j 臻的系统往往就意噱着嚣门的引入以及麟续的 攻击行为。 安全黢：a 授疆测襞绕塞赛必须蜜全，舞栗久搜橙骥系绫爨隽熬安全愁褥不囊 保谖，入侵者控制了入馒捡测聚统则棚当于获得了浆统的控嚣4 掇。 可扩麟性：蓠先是机制与数据分离，在现有机制不交的情况下能够对新的攻击 送行梭滔。其次爨体系绻掘鹩扩震稳，在套豢要瓣时候露鞋京不对系统戆整体缝稳 进行修改的情况下对检测手段邀行加溅，以保证熊端检测到瓣黝竣壹。 3 ，1 2 入蠖检测系统酾努类 根据不同酶分类方法，可将入侵榆测系统分为不同的类型驺x 5 ： 1 ) 羧擐数据滚不鬻，涛入侵捡溅累统分凳基予主极懿入後捡溯系缆、鏊予溺络 的入侵检测系统鞫混会溅静入侵检测系统。 ( 1 ) 鏊于主机：主梳的审计记录和目恚文件燕系统的主要数据源，并辅乏以主 橇的其镄倍怠。 基于主机的入侵检测能较准确地检测到发生在主机系统高层的复杂行为，例如： 对系统配置的修改以及应用程序的异常运行等情况。但是，基于主机的入侵检测系 统严重依赖于特定的操作系统平台，对不同的平台系统无法移植：其次它影响到所 保护主机的运行性能，特别是该主机是服务器的时候；它无法对网络中大量的攻击 行为及时做出反应。 ( 2 ) 基于网络：系统的数据源是网络传输的数据包。 基于网络的主机能够实时监控网络中的数据流量，发现潜在的攻击行为并做出 响应。该系统的分析对象是网络中传输的数据包，独立于主机的操作系统，可移植。 如果该系统采用独立主机和被动监听的工作模式，将不影响主机或服务器自身的运 行。 ( 3 ) 混合型的入侵检测系统：系统的数据源有来自主机的也有来自网络的，是 比上面两种系统稍微复杂的系统。 2 ) 根据检测方法的不同分为误用检测模型( 或滥用检测模型) 和异常检测模型。 ( 1 ) 误用检测模型( m i s u s e d e t e c t i o n m o d e l ) ：这种模型收集入侵行为的特征， 事先建立相应的特征库，在检测过程中，将收集到的数据与特征库的特征代码进行 比较，如果匹配其中的一条，则发生了一次入侵行为。这种模型与主流的病毒检测 方式基本一致。 误用入侵检测模型的优点是具有非常低的虚警率，同时检测的匹配条件可以进 行清楚的描述，有利于安全管理人员采取清晰明确的预防措施。缺点是收集所有已 知攻击行为和系统的脆弱性信息比较困难，而且及时更新庞大的数据库也是很困难 的事情。这种系统检测内部用户的滥用权限的活动也很困难，因为通常这类攻击并 没有利用系统的任何漏洞。 ( 2 ) 异常检测模型( a n o m a l yd e t e c t i o nm o d e l ) ：假设任何一种入侵行为都能由于 其偏离正常或者所期望的系统和用户的活动规律而被检测出来，那么就说明此行为 不符合以往的活动规律，是不正常的行为，则该行为是入侵行为。异常检测通常建 立一个关于系统的正常活动的状态模型并不断进行更新，然后将用户当前的活动情 况与这个正常的模型进行对比，如果发现超过了设定阈值的差异程度，则指示发现 了一次攻击行为。 1 2 异常检测的优点是窀能够发现任何企图发掘、试探系统最新翱未知漏洞的行为， 同时在某种程度上较少依赖于特定的操作系统环境。对合法用户超越权限的行为能 较容易检测裂。该技本鹣缺路程于存在较离瓣寝警攀，嚣为系统豹掰蠢正常灞魂在 学习阶段不一定被全面学习到。 在异常入侵枪测中，最广泛使用的技术蹩统计分析( s t a t i s t i c sa n a l y s i s ) ，系统 戢纛羯产鹣当1 l 蓼纷菇逶避按一是嚣润阑羯采群饕嚣箨出靛系列参鼗交萋寒攒逑。 另一种主要的技术是神缀网络技术，神经网络技术通过学习已有的输入输出矢 量对集合，进而捆象出其内在的联系，然后得出新的输入_ 输出关惹。 3 撩攥系统孛各模块运褥静努蠢方式不阕势必：集串式帮分鸯式。 ( 1 ) 集中式：系统的各模块都集中在台主机上，这种方式适用予网络环境比 较简单的情况。 ( 2 ) 分毒式：系统串各个模块分谨在网络孛不瓣静诗箨橇、设备上。一般来说， 分布性主要体现在数据收集模块上，如果刚络环境比较复杂，数据量b e 较大，那么 数搽分析模块也会分布在不同的机器上。 4 ) 按照数攥分辑发生翡襄孛润不瓣分兔怒辍分繇窝联飘分橱。 脱机分析：在行为发生后进行分析。例如对目志的审核、对系统文件的完整性 检森等都属于这种。 联橇分辑：在数据产生或敬交豹溺瑟避行捡套，这秘方式一般蹋予对璃络数撂 的分析。 3 2 入侵检测原理 3 2 + 1 入侵检测茉统的基本缡构 入侵检测系统在逻辑上必须包含最基本的三部分：数据提取模块、数据分析模 块粒缝暴处理模块。入侵检溅一毅分舞三个步骤：数援鼹取、数据分掇黎结暴处理。 下阁给出了通用的入侵检测系统结构【5 】。 1 3 。 数 数络 据据粜 k 提 k余 k 憝 憾)取擞；桥盥壤 圹 v 模 旷 模摸 块 块块 餐3 1 遴蹒入经检测系绕结构潮 筘i g 3 1c o n l k t i o i ii n t r u s i o nd e t e c t i o ns y s t e ms t r u c r l r e 胬中模块划分是蒸予功能的划分， 琵精略，箍髓省昭了界筒管理模块、配鬣餐 理模块等其他模块。 数獭掇取模块翡作用在予为系统掇敬数据。数据为溺络数据龟、计算梳的嚣志 交释和系统调煎记录等。如果系统避藜予燕税的入侵检溯系统，数攒主要为主杌的 同志文 牛、审计记录等。如熙系统是基于嬲络的入侵检测系统，数据就为网络中传 输静数据包。 数播分析摸块对数据透芎予深入分析，发现攻费并根据分祈的结暴产生摩秤，佟 递到结聚处理模块。数掇分恚吁的方剖乏礴很多静，并大致分为误用检测耙异鬻检测两 大类整。数据分析模块麓入侵稔溺系统的核心模块。 结暴处理模块的作煎在于告警每反应，这实际上与p p d r 模鬻的r 有所熏叠。 结果处璁模块成该对不嗣的墩蕊有不阍的晦腹繁路，一般发现攻击熙，模块会寝动 一蛰稽辩应的事件，秘：赫逶辩管理员、系统裔动恢复醴前漪状态、切断阏络等。 3 。2 。2 袋典入侵检测聚统摆桨c l d f 为了掇裔i d s 产箍、缢释获与其继安全产蔽之闻静歪揉伟链，荚溺d a r p a 撬 出了公越入馒检测框架( c i d f ，c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 。c l o f 繇骰豹工俸主簧鬣括滔部分；c i d f 豹体系缩梅、c d f 静逶僖橇制、e 国f 静公共 入侵瓶藏语言( c i s l ) 斧妥c i d f 的a p i 接口瓯 1 c i d f 的体系结构【s 1 = c i d f 将入侵检测系统分为谣个缀件：攀件产垒器、事件分拼器、桶应举元私攀 件数据霹。c i d f 的基本模黧如图所示： 1 4 圈3 2c i d f 结构图 f i g 3 2c i d fs t r u c t u r e c i d f 模型将i d s 需要分析的数据统称为事件( e v e n t ) ，落可以鼹网络中传输 靛数据惫，氇霹淤是主捉熬系统鑫态裁其稔途径缮爨熬镶怠。 1 ) 事件产生器 事件产生器收集事件，并将这些事件转换成c i d f 的g i d o 格式传送给其他部 孛。镶鲡，事传产生器掰虢读敬c 2 缀窜诗记录著将荬转换灸g i d o 揍式懿过滤器， 也w 以被渤地监听网络并根据网络数据流产生事件的另个类型的过滤器，避可以 在s q l 数据库中产生事务描述事件的应用代码。 麓霉俦分繇器 事件分析器分析从其他组件收到的g i d o ，产生分寿厅结果并传送给其他组件。 分析器可以是一个基于统计模型的 二具，检查现在的事件是否满足先前所建立的正 常攀 孛禳麓，也弼鞋燕一个蛰征控溺工吴，爱子夜当蘸攀伟穿捌串检蹇是否缮在已 知婀滥用攻击特征。 3 ) 事件数搬库 甬来存储g i d o ，疆备系统需要兹霹镁使震。它可淤是一个复杂躲数搽痒，壤 可以是一个简单的文本文件。 响应单既 嚷斑举元负责处瑾接寝弱静g i d o ，著据姥采欷相瘦酶揞藏，稻杀琵梧荚进程、 复倥网终会话逐接、修改文传权眼等。 上面介绍的数据提取模块、数据分析模块和结槊处理模块，分别可以代替事件 产生器、事件分析器和响应单既这些术语，实际上只是说法不同，实质是相同的。 2 。c i d f 魏遥售撬露l f l l 】： c i d f 将通信机制构造成一个