（计算机系统结构专业论文）基于反馈的入侵检测技术的研究与设计.pdf

摘要 摘要 在网络应用不断发展的今天，网络安全问题也日益突出，越来越多的安全技 术被应用到网络安全领域。而大部分安全措施都属于被动防御，缺乏积极的保护 措施。 入侵检测是网络安全体系中新兴的一门技术，它是一种主动的防御技术，也 是当今计算机和网络安全所关注的焦点。它能够及时检测出网络安全漏洞，迅速 做出响应，增强了网络的安全性，也加大了入侵的难度。 本文通过对现有的入侵检测系统的模型、检测原理进行分析研究，以及相关 的技术如t c p i p 堆栈指纹技术研究的基础上，提出了一种基于反馈的入侵检测方 法。该检测方法有效减少了入侵检测系统误报率高的问题。其原理主要是在发现 攻击后，并不对攻击进行干预，而是记录下这个攻击的各种特征等相关信息，然 后在等待到目标机的反馈之后或者在这个等待超时以后再进行最后判断并做出适 当的响应。 文中对本方法进行了设计实现，主要是在s n o r t 的基础上进行改进而实现的。 最后，对本检测方法的优点和不足之处进行了分析总结，并给出了该方法还 没有实现的功能，并提出了进一步的研究方向。 关键字：入侵检测网络安全操作系统指纹 a b s t r a c t _ _ _ _ _ _ _ _ _ _ _ 。_ - _ 。_ _ _ - 1 _ _ _ _ _ _ _ _ _ _ _ 。1 。- 。_ _ 。- 。 a b s 仃a c t w i t ht h ed e v e l o p m e n to fn e t w o r k ，n e t w o r ks e c u r i t yi sb e c o m i n gm o r ei m p o r t a n t ： m a n y s e c u r i t yt e c h n o l o g i e sh a v eb e e n u s e di nn e t w o r ks e c u r i t yf i e l d s b u tm o s ts e c u r i t y m e a s u r e s b e l o n g t op a s s i v ed e f e n s ea n da r el a c ko f p o s i t i v es a f e g u a r d i n t r u s i o nd e t e c t i o ni s ar i s i n g t e c h n o l o g y o fn e t w o r ks e c u r i t y s y s t e m a n da p o s i t i v e d e f e n s i v et e c h n o l o g y i tb e c o m e s t h ef o c u so f c o m p u t e ra n dn e t w o r ks e c u r i t y e x p e r t s a t t e n t i o n i t c a l ld e t e c tn e t w o r ks e c u r i t yl e a k so nt i m e l y , r e s p o n s eq u i c k l y , e n h a n c e n e t w o r ks e c u r i t y , a n d m a k ei n t r u s i o nm o r ed i f f i c u l t i nt h i sp a p e r , w ei n t r o d u c et h ei n t r u s i o nd e t e c t i o ns y s t e mi nt h ef o l l o w i n g a s p e c t s s u c ha si n t r u s i o nd e t e c t i o nm o d e l ，d e t e c t i o nt h e o r ya n dd e t e c t i o nt e c h n i q u e s a n dw e s t u d ，t h et h e o r yo ft c p i ps t a c kf i n g e r p r i n t a f t e rt h e s er e s e a r c h e s ，w ep r o v i d ea n i n t r u s i o nd e t e c t i o n t e c h n i q u eb a s e d o nf e e d b a c ko ft h ev i c t i m c o m p u t e r n i s t e c h n i q u ed e c r e a s e st h e f a l s ea l a r m0 0 s i t i v e ) r a t eo b v i o u s l y t h ct h e o r yi so ft h i s t e c h n i q u e i st h a ta f t e rf i n da na t t a c k , t h ei d sd o e s n ta l a r mi m m e d i a t e l yb u to n l y r e g i s t e r t h ea t t c k a n dt h ei d sw a i tf o rt h ef e e d b a c kt ot h i sa t t c ko ft h ev i c t i mc o m p u t e r a f t e r r e c e i v et h ef e e d b a c ko rt h et i m eg i v e nb e f o r e h a n di so u t ，t h ea l a r mi sr a i s e d w ed e s i g nt h et e c h n i q u ei nt h i sp a p e r i tu s e st w od e t e c t i o nt e c h n i q u e s ：m i s u s e t e c h n i q u e a n d t e c h n i q u e i ti si m p l e m e n t e d o nt h eb a s i so fs n o r tw h i c hi saf a m o u si d s f i n a l l y , s o m ef e a t u r e su n i m p l e m e n t e da n ds o m ep r o b l e m sf o rf u r t h e rs t u d yh a v e b e e na d d r e s s e di nt h el a s tp o r t i o no f d i s s e r t a t i o n k e y w o r d ：i n t r u s i o nd e t e c t i o n ，n e t w o r ks e c u r i t y , o p e r a t i o ns y s t e mf i n g e r p r i n t 创新性声明 v 6 9 5 7 2 0 t 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均己在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名辑日期型。罗，j 、侈 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究生 在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕业 离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。学 校有权保留送交论文的复印件，允许查阅和借阅论文：学校可以公布论文的全部 或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。 本人签名：蕉鏊垡 导师签名：毖 日期础，y 日期矿贸汐 第一章绪论 第一章绪论 1 1 网络安全概述 随着i n t e r n e t 的普及和渗透，越来越多的社会活动和行为趋向于网络化。基于 网络的信息化已经成为大势所趋，它广泛地影响到政治、经济、军事各个领域。 随之而来的信息安全问题日益成为社会关注的焦点。利用网络进行的各种黑客和 犯罪行为严重地影响了正常的社会、经济秩序和国家安全。 近年来各大商业网站、政府机构、军方设旎遭受黑客攻击的事件不断传出。 世界各国与i n t e m e t 相连的网络管理中心都曾遭到过境内外黑客的攻击或侵入。 在我国，统计显示，在今年五月份病毒总数就超过了2 0 0 3 年全年总和，同时 公安部发布的调查表明，我国计算机用户电脑病毒的感染率为8 7 9 ，比去年增加 了2 。但是，3 次以上感染计算机病毒的用户数量有较大回落，占全部感染用户 数量的5 7 1 ，比去年减少了2 6 ，表明受过病毒感染用户的防范能力有所提高。 目前，网络安全问题己引起社会各界严重关切，世界各发达国家都对网络安 全进行了相关立法。同时，各国政府对网络安全都投入了巨资和大量人力进行了 研究，这些研究结果广泛地渗透到商业和军事领域。在民用领域，网络安全产品 已经成为r r 行业中发展最快的部分；在军事领域，作为网络战、信息战一个不可或 缺的重要组成部分，网络防御技术也受到重点关注。 虽然网络安全被大力研究和重点关注，但网络入侵和网络防御两者却呈现出 非对称的状态。从技术角度讲，网络进攻比网络防御要容易。换而言之，网络防 御滞后于网络进攻，没有一种防御技术能够在网络防御上永远处于领先地位，只 有在一种新的网络进攻手段产生后，才能寻求相应的防御措施。 同时，入侵和防御之间一些内在固有的要素使得网络防御在这场对抗中处于 劣势。专家指出： ( 1 ) 防御者必须防御所有要素，攻击者只选择最脆弱处攻击。 ( 2 ) 防御者只能防护己知漏洞，攻击者可以探测未知漏洞。 ( 3 ) 防御者必须一直处于警戒状态，攻击者可以自由选择进攻时机。 ( 4 ) 防御者必须根据规则行动，进攻者可以自由地选择。 因此，对于网络安全而言，危机是一直存在的。这是一个必须不断研究发展 的课题。从一些重要安全网站( 比如b u g t r a q ) 习z 均每天发布2 0 条新的安全漏洞这 一事实来看，网络安全技术的研究还远远不够。可以预见，随着网络化不断扩大， 网络将渗透到越来越多的重要基础设施中，网络安全也必将成为大多数人都须面 对的问题，而网络安全研究也将获得更大关注。 基于反馈的入侵检测技术的研究与设计 1 2 网络信息安全技术 为防止各种黑客的网络入侵手段，提高系统的安全程度，各种安全防护手段 应运而生，目前经常使用到的有：防火墙、入侵检测、蜜罐技术、访问控制、加 密传输等。 1 防火墙 防火墙是一种允许接入外部网络，但同时又能够识别和抵抗非授权访问的网 络安全技术。防火墙扮演的是网络中的警察的角色，他指挥网络上信息合理有序 的安全流动，同时也处理网络上的各种事故。防火墙可以分为外部防火墙和内部 防火墙。外部防火墙是在内部网络和外部网络之间建立起个保护层，从而防止 黑客的侵入，其方法是监听和限制所有进入的通信，阻挡外来非法信息并控制敏 感信息被泄漏：内部防火墙是将内部网络分隔为多个局域网，从而限制外部攻击可 能造成的损失。 现有的防火墙按照检测技术可分为以下几种： 包过滤：通常安装在路由器上，大多数的厂商的路由器都提供了包过滤的 功能。包过滤规则可以以包头信息为基础，对源地址，目标地址，封装协议， 端口号进行筛选。包过滤在网络层进行。 代理服务器：通常由两部分构成，服务器端程序和客户端程序。客户端程 序与中间节点连接，中间节点再与提供服务的服务器实际连接。与包过滤防火墙 不同的是，对外部网络不存在直接的连接，而且代理服务器提供日志和审计服务。 复合型防火墙：将包过滤和代理服务器两种方法结合起来，形成新的防火墙。 2 入侵检测 入侵检测系统是用来识别针对计算机系统和网络系统，或者更广泛意义上的 信息系统的非法攻击，包括检测外界非法入侵者的恶意攻击或试探，以及内部合 法用户超越使用权限的非法行为。它可以实现复杂的信息系统安全管理，从目标 系统和网络资源中采集信息，分析来自网络外部和内部的入侵信号，时时地对攻 击行为做出反应，己经成为继防火墙之后的第二道网络安全防线。 具体的内容我们将在第二章予以详细介绍。 3 蜜罐技术 蜜罐是一个故意设计为有缺陷的系统，通常是用来对入侵者的行为进行警报 或者诱骗。传统的蜜罐一般情况下类比其他操作系统或者一些常见漏洞。蜜罐好 像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知 道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过 窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。蜜 第一章绪论 罐技术主要的优点有： ( 1 ) 能快速收集主要资料。蜜罐收集少量的资料，但资料都是具有高价值的。 它去除了大量的杂乱信息，使它能够简单的收集资料。在安全中的最难的问题之 一，就是如何在大量的资料当中，找到你所需要的资料，蜜罐能使你快速简单地 去收集资料并且了解。比如h o n e y n e tp r o j e e t ，它是一个研究h o n e y p o t 的园队，平 均每天收集l - 5 m b 的资料，这些资料一般都是很有价值的，不止能看到网路上的 行动，并且能得知入侵者如何入侵这个系统。 ( 2 ) 消耗资源少。许多安全工具会被带宽所限制住。网路入侵检测系统不能 够去追踪所有的网路行为，而丢弃封包。集中化的日志服务器并无法收集所有的 系统日志，而潜在地流失日志记录。蜜罐则没有这个问题，它仅仅去截取与它有 关系的动作。 蜜罐技术也存在一些缺点： ( 1 ) 单一资料收集点，有时没有作用。蜜罐放置一个很大的系统漏洞，如果 没有攻击者来攻击，即变得一点价值都没有，也无法得知任何未授权的行为。 ( 2 ) 有被攻击破坏的风险。蜜罐也可能会对于你的环境招来风险，作为攻击 者另外一次攻击的平台，风险是变动性的，全依靠如何设置及利用蜜罐。 ( 3 ) 有违反法律的问题。监控蜜罐也要承担相应的法律后果，譬如说，有可 能违反反窃听法。虽然目前没有判例法，但熟悉这方面法律的人士大多数认为， 双方同意的标语是出路所在。也就是说，给每个蜜罐打上这样的标语：“使用该系 统的任何人同意自己的行为受到监控，并透露给其他人，包括执法人员。” 4 访问控制 访问控制是对信息系统资源进行保护的重要措施，理解访问控制的基本概念 有助于信息系统的拥有者选择和使用访问控制手段对系统进行防护。访问控制决 定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。适当的访 问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用 户识别代码、口令、登录控制、资源授权( 例如用户配置文件、资源配置文件和控 制列表) 、授权核查、日志和审计等。 安全控制包括六种类型的控制手段如防御型、探测型、矫正型、管理型、技 术型和操作型控制等。 5 加密传输 目的是对传输中的数据流加密，以防止通信线路上的窃听、泄漏、篡改和破 坏。如果以加密实现的通信层次来区分，加密可以在通信的三个不同层次来实现， 即链路加密( 位于o s i 网络层以下的加密) 、节点加密和端到端的加密( 传输前对文 件加密，位于o s l 网络层以上的加密1 。 一般常用的是链路加密和端到端的加密这两种方式。链路加密侧重于在通信 基于反馈的入侵检测技术的研究与设计 链路上而不考虑信源和信宿，是对保密信息通过各链路采用不同的加密密钥提供 安全保护。链路加密是面向节点的，对于网络高层主体是透明的，它对高层的协 议信息( 地址、检错、帧头、帧尾) 都加密，因此数据在传输中是密文的，假在中央 节点必须解密得到路由信息。端到端加密则指信息由发送端自动加密，并进入 t c p i p 数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，当这些信 息旦到达目的地，将自动重组、解密，成为可读数据。端到端加密是面向网络 高层主体的，它不对下层协议进行信息加密，协议信息以明文形式传输，用户数 据在中央节点不需解密。 近年来，入侵检测系统成为了信息安全的一个十分热点的研究领域。国外一 些研究机构早在上世纪5 0 年代就开展了相关的早期基础理论研究工作。随着计算 机系统软、硬件的发展，以及网络技术、分布式计算、系统工程、人工智能等计 算机新兴技术与理论的不断发展与完善，入侵检测理论本身也处于发展变化中， 至今未形成一个比较完整成熟的理论体系。 1 3 论文的主要内容及其安排 本文通过对目前入侵检测检测的原理、方法、分类等进行深入分析研究，并 在对s n o r t 入侵检测系统进行详尽分析的基础上，提出了一种基于反馈的入侵检测 方法。第二章对入侵检测系统的原理、方法、技术以及目前的现状进行研究，接 下来在第三章对s n o r t 进行分析研究，然后再对漏洞扫描原理、操作系统及其协议 栈的指纹进行研究分析。第四章，我们在上面的研究分析基础之上提出了一种新 的入侵检测方案，这个方案结合入侵检测技术和指纹技术，可以有效降低误报率。 第五章将对这个检测技术的设计实现加以说明。最后总结这个技术的优点和不足 之处以及提出进一步研究的工作和方向。 第二章入侵检测系统概述 第二章入侵检测系统概述 本章综合分析和研究入侵检测系统，介绍了i d s 的系统模型和原理，对入侵 检测系统及其分析检测技术进行了详细地分类和比较，讨论各分析技术的优点和 存在的不足，最后指出i d s 今后的发展方向。 2 1i d s 的定义和发展历史 入侵( i n t r u s i o n ) 是指任何企图破坏资源的完整性、机密性及可用性的活动集合。 s m a h a 从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄 露、拒绝服务、恶意使用六种类型。总括来说，入侵表示系统发生了违反系统安 全策略的事件。 入侵检澳l j ( i n t r u s i o nd e t e c t i o n ) 是指通过检查操作系统的审计数据或网络数据包 信息来检测系统中违背安全策略或危及系统安全的行为或活动，从而保护信息系 统的资源不受拒绝服务攻击、防止系统数据的泄露、篡改和破坏。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 是指能够通过分析与系统安全 相关的数据来检测入侵活动的系统，包括入侵检测的软件和硬件的组合，简称i d s 。 从系统所执行的功能上来考虑i d s 必须包括如下三个功能部件：提供事件记录流 的数据收集部件、发现入侵迹象的分析引擎和基于分析引擎的结果产生反应的响 应部件。 i d s 是新一代的安全防范技术，它通过对计算机网络或系统中的若干关键点收 集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。 这是一种集检测、记录、报警响应一体的动态安全技术，被认为是防火墙之后的 第二道安全闸门。作为信息安全保障的一个重要环节，i d s 很好地弥补了访问控制、 身份认证等传统保护机制所不能解决的问题。 在i d s 的发展历史上有几个重要的里程碑。 1 9 8 0 年，j a m e sp a n d e r s o n 在他写的一份报告“计算机安全威胁的监察” ( c o m p u t e rs e c u r i t yt h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e 【1 1 ) 中指出，必须改变现有的系 统设计机制，以便专职系统安全人员提供安全信息，此文被认为是有关入侵检测 的最早论述。从1 9 8 4 年到1 9 8 6 年，d o r o t h yd e n n i n g 和p e t e rn e u m a r m 研究开发 了一个实时模式的入侵检测系统，命名为入侵检测专家系统i d e s ( i n t r u s i o n d e t e c t i o ne x p e r ts y s t e m ) d e n n i n g 于1 9 8 6 年发表的论文“入侵检测模型 ( a n i n t r u s i o nd e t e c t i o n m o d e l ) ”被公认为是入侵检测领域的一篇开山之作，是入侵 基于反馈的入侵检测技术的研究与设计 检测系统历史上的一个里程碑。i d e s 是入侵检测系统发展史上最有影响的系统之 一，i d e s 使用统计学模式的数据结构来描述系统用户行为设计系统目标的方法的 基础。行为标准详细描述了在任意给定时刻的各种行为。这个统计学模式准许系 统评估违反常规的固定或者动态措施的行为。原形系统采用的是一个混合结构， 包含了一个异常检测器和一个专家系统。异常检测器采用统计学技术刻画异常行 为。专家系统采用的基于规则的方法检凋己知的入侵行为。1 9 9 5 年开发了i d e s 完善后的版本n i d e s 。受a n d e r s o n 和i d e s 的影响，在2 0 世纪8 0 年代出现了大 量的入侵检测原型系统如d i s c o v e r , h a y s t a c k ，n i d a s ；n a d i r 和w i s d o ma n ds e n s e 等，商业化的i d s 在8 0 年代末已开始出现。 刚开始的入侵检测系统大部分都是基于主机的，它们对于活动性的检查局限 于操作系统审计踪迹数据及其它以主机为中心的信息源。直到1 9 8 9 年网络系统监 视器( n s m ) 的出现，它第一个试图把入侵检测系统扩展到异种网络环境的系统中， 即把入侵检测扩展到了网络环境中。这是入侵检测系统第一次监视网络流量并把 网络流量作为主要数据源，在入侵检测的发展研究史上又是一个具有重要意义的 里程碑。 随着网络系统日益复杂，且广泛采用了分布式的环境，海量存储和高带宽的 传输技术，使得集中式的i d s 越来越不能满足系统要求。因此，出现了分布式入 侵检测系统( d i d s ，d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ) ，它将基于主机和基于网 络监视的方法集成在一起，成为i d s 系统的基本框架。从此，各个研究机构和商 业厂家也就开始了入侵检测系统的综合研究。 2 2 i d s 系统模型与原理 2 2 1 早期的入侵检测模型 最初的入侵检测模型由d o r o t h yd e n n i n g 在1 9 8 6 年发表的论文“入侵检测模 型( a 1i n t r u s i o nd e t e c t i o nm o d e 2 1 ) ”中提出。这个模型与具体系统和具体输入无关， 因此对后来的大部分使用系统都很有借鉴价值。图2 1 给出了这个通用检测模型 的体系结构。 如图2 1 所示，这个通用模型包括事件产生器、行为特征表和规则模块三个构 件。 ( 1 ) 事件产生器 事件产生器产生具体的事件，可根据具体的应用环境而有所不同。一般可来 自审计记录、网络数据包以及其他可视行为如系统目录和文件的异常改变、程序 第二章入侵检测系统概述 7 _ _ _ _ h - _ f _ _ _ _ _ - 一 一 执行的异常行为和物理形式的入侵信息等这些事件构成了检测的基础。 审计记录网络数据包 规则更新 图2 1 通用检测模型 f 行为特征表 行为特征表是整个检测系统的核心。它包含了用于计算机用户行为特征的所 有变量。这些变量可以根据具体所采用的统计分析以及事件记录中的具体行为模 式而定义，并根据匹配的记录数据来更新变量值。如果统计变量值偏离正常行为 太多，达到了异常程度，则行为特征表产生异常记录，并采取相应的措施。 ( 3 ) 规则模块 规则模块由系统安全策略、入侵模式等组成。一方面它为判断是否入侵提供 参考机制，另一方面根据事件记录、异常记录以及有效日瓤等来控制并更新其他 模块的状态。在具体的实现上，规则的选择与更新可能不尽相同。一般地，行为 特征模块用来执行异常检测，规则模块用来执行误用检测。由于这两种方法可以 相互补充，因此在实际应用中经常将两者结合在一起使用。 2 2 2 公共入侵检测框架体系结构模型 随着网络安全事件的不断增加和网络入侵手法的多样化，人们遭切需要各种 i d s 能协同工作、优势共享和缺陷互补，组成一种分布式的i d s ，从而能更精确地 识别和定位攻击行为。而目前的入侵检测系统大部分都是基于各自的需求独立设 计和开发的，不同的i d s 系统之间缺乏互操作性和互用性，这对i d s 的发展造成 了很大的障碍。为了解决入侵检测系统的互操作性和共存问题，d a r p a1 9 9 7 年开 始着手制定公共入侵检测框架( c o m m o n i n t r u s i o n d e t e c t i o n f r a m e ，c i d f e t 3 1 1 ，旨在 通过开发共有的i d s 语言、协议以及应用程序接口a p i ，让入侵检测部件之间可 以互操作、分享信息。 c i d f 最早由加州大学戴维斯分校安全实验室主持起草工作，此外m i f 成立了 入侵检测工作小组( i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ，i d w g ) ，负责建立入侵检测 基于反馈的入侵检测技术的研究与设计 数据交换格式( i n t r u s i o n d e t e c t i o nm e s s a g ee x c h a n g ef o r m a t ，i d m e d 标准，入侵检 测交换协议( r d x p ) 以及隧道轮廓( t u n n e lp r o f i l e ) ，并提供支持该标准的工具，以更 高效地来开发i d s 。其中d m e f 描述了表示入侵检测系统输出信息的数据模型， 并解释了使用此模型的基本原理；i d x p 是一个用于入侵检测实体之间交换数据的 应用层协议，能够实现i d m e f 消息、非结构文本和二进制数据之间的交换，并提 供面向连接协议之上的双方认证、完整性和保密性等安全特征。 总之，c i d f 是一套规范，它定义了i d s 表达检测信息的标准语言以及i d s 组 件之间的通信协议。其主要的作用是在于集成各种i d s 并使之协同工作。c i d f 由 以下四个部分组成： ( 1 ) 体系结构( c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k ，c i d f ) ( 2 ) 规范语言( c o m m o n i n t r u s i o n s p e c i f i c a t i o nl a n g u a g e ，c i s l ) ( 3 ) 内部通信( c o m m u n i c a t i o n i nt h ec o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) ( 4 ) 程序接口( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r ka p i s ) 这里我们着重介绍c i d f 的体系结构。c i d f 的体系结构阐述了一个i d s 的通 用模型，它把一个i d s 分为事件产生器、事件分析器、事件数据和响应单元四个 部分，各组件之间以通用入侵检测对象( g e n e r a l i z e d i n t r u s i o nd e t e c t i o n o b j e c t s ，g m o ) 的形式交互数据。图2 2 给出了c i d f 的系统体系结构。 图2 2c i d f 的系统体系结构 ( 1 ) 事件产生器 事件生成器的任务是从入侵检测系统之外的计算环境中收集事件，并将这些 事件转换成c i d f 的g i d o 格式传送给其他组件。它可以是读取c 2 级审计数据并 将其转换为g i d o 格式的过滤器，也可以是被动地监视网络并根据网络数据流产 生事件的另种过滤器，还可以是s q l 数据库中产生描述事务的事件的应用代码。 ( 2 ) 事件分析器 事件分析器是i d s 的核心部分，它从其他部件接收g i d o ，对它们进行分析， 然后以一个新的g i d o 形式返回分析结果。事件分析器可以是一个基于行为特征 第二章入侵检测系统概述 的统计分析工具，用以分析提供给它的事件数据从统计学上是否和过去同一时间 提供的事件数据不同，也可以是一个模式匹配工具，用以检查事件序列中是否有 某种己知攻击的模式。此外，分析器还可以是相关性分析器，只是检测多个事件 之间是否有关联。如果有关联，就将它们放在起作进一步的分析处理。 ( 3 ) 事件数据库 事件数据库不对信息作任何处理和改动，只是负责存储入侵检测信息，提供 给其他部件对g i d o 的检索。 ( 4 1 响应单元 响应单元根据g d o 做出反应，可以是终止进程、切断连接、改变文件属性， 也可以是其他的一些措施如简单报警等。 c i d f 体系结构中的各组件之间以通用入侵检测对象( g e n e r a l i z e d i n t r u s i o n d e t e c t i o no b j e c t s ，g i d o ) 的形式交互数据，一个g i d o 可以表示在一些特定 时刻发生的特定事件，也可以表示从一系列事件得出的结论，还可以表示执行某 个行动的指令。由于c i d f 有一个标准格式的g i d o ，所以这些组件也适用于其他 环境，只需要将典型的环境特征转换成g i d o 格式，这样就提高了组件之间的消 息芡享和互通，有利于协同检测攻击。 2 3 入侵检测系统分类 2 3 1 按数据源分类 入侵检测系统按数据来源可分为基于主机的入侵检测系统 ( h o s t - b a s e d i n t r u s i o n d e t e c t i o n s y s t e r n ，h i d s ) 、基于网络的入侵检测系统 ( n e t w o r k - b a s e d i n t r u s i o nd e t e c t i o ns y s t e m ，n t o s ) 和混合型入侵检测系统。 ( 1 ) 基于主机的入侵检测系统h i d s h i d s 为早期的入侵检测系统，检测目标主要是主机系统和系统本地用户。 h i d s 根据主机的审计数据和系统的日志事件来发现可疑事件。由于基于主机的 i d s 依赖于审计数据或系统日志，而审计数据或系统日志的准确性和完整性，使得 h i d s 检测出入侵行为的成功率比较高，虚警率低。此外，h i d s 也能监视特殊的 系统活动，并适应于加密和交换环境。 若入侵者设法逃避审计或进行合作入侵，则h i d s 就暴露出其弱点，在当今的 网络环境下，单独依靠主机审计信息进行入侵检测难以适应网络安全的需要，如 入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。 此外h i d s 不能通过分析主机审计记录来检测网络攻击( 域名欺骗、端口扫描 基于反馈的入侵检测技术的研究与设计 等、。 ( 2 1 基于网络的入侵检测系统n i d s n i d s 使用原始的网络数据包作为进行攻击分析的数据源。为此，一般用某种 方式( 例如将网卡设置为混杂模式) 来截获网络数据包。通过对数据包报头及内容的 分析，确定是否有攻击行为的发生。 基于网络的入侵检测系统有h i d s 无法提供的许多优点： 1 ) 可检测出基于主机的系统漏掉的攻击。基于网络的i d s 检查所有包头从而 发现恶意的和可疑的行动迹象。基于主机的i d s 无法查看包的头部，所以它无法 检测到这一类型的攻击。例如，许多来自于口地址的拒绝服务型( d o s ) 和碎片包 型( t e a r d r o p ) 的攻击只能在它们经过网络时，检查包的头部才能发现。这种类型的 攻击都可以在基于网络的系统中通过实时监测包流而被发现。 2 ) 能实时检测和响应。基于网络的i d s 可以在恶意及可疑的攻击发生的同时 将其检测出来，并做出快速的通知和响应。例如，个基于t c p 的对网络进行的 拒绝服务攻击( d o s ) 可以通过将基于网络的m s 发出t c p 复位信号，在该攻击对 目标主机造成破坏前，将其中断。而基于主机的系统只有在可疑的登录信息被记 录下来以后才能识别攻击并做出反应。而这时关键系统可能早就遭到了破坏，或 是运行基于主机的i d s 的系统已被摧毁。实时通知时可根据预定义的参数做出快 速反应，这些反应包括将攻击设为监视模式以收集信息，立即中止攻击等。 3 ) 与操作系统无关性。基于网络的i d s 作为安全监测资源，与主机的操作系 统无关。与之相比，基于主机的系统必须在特定的、没有遭到破坏的操作系统中 才能正常工作，生成有用的结果。 4 ) 对网络性能影响小。不会出现像路由器、防火墙等关键设备方式工作时， 可能成为系统中的关键路径的现象，发生故障时不会影响到正常业务的运行。 此外，由于n i d s 的结构特点，它也存在着相应的一些不足之处，这些不足如 下： 1 ) 网络入侵检测系统只检查它直接相连网段的通信，不能检测在不同网段的 网络包。在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络 入侵检测系统的传感器会使布署整个系统的成本大大增加。 2 ) 网络入侵检测系统为了性能目标通常采用特征检测的方法，它可以检测出 普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。 3 ) 在高速网络环境下，一个基于网络的嗅探器( s n i 丘e r ) 很可能来不及处理而丢 掉一些数据包。 4 ) 网络入侵检测系统处理加密的会话过程较困难，目前通过加密通道的攻击 尚不多，但随着i p v 6 的普及，这个问题会越来越突出。 5 ) n i d s 不能检测操作系统级的入侵，诸如用户和文件的访问活动，包括文 第二章入侵检测系统概述 件访问、改变文件访问权限、试图安装新的执行程序以及越权操作等。 ( 3 1 混合入侵检测 基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使 用一类产品会造成主动防御体系不全面。但是，它们的缺点是互补的。如果这两 类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体 系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中 的攻击信息，也可从系统日志中发现异常情况。 2 3 2 按检测技术分类 入侵检测系统根据检测技术可划分为误用检测和异常检测。 ( 1 ) 误用检测 误用检测是通过根据己知攻击方法或根据已定义好的入侵模式，判断这些入 侵模式是否出现来检测。由于很大一部分的入侵是利用了系统的脆弱性，所以通 过分析入侵过程的特征、条件、排列以及事件间的关系就能具体描述入侵行为的 迹象，依据特征库可以达到很高的检测率，并且因为检测结果有明确对照，所以 也为系统管理员做出相应措施提供了方便。 误用检测的主要缺陷在于对具体系统的依赖性太强，不但系统移植性不好， 维护工作量也大，将具体的入侵行为抽象成知识比较困难。此外，检测范围受已 知知识范围的局限，尤其难以检测出内部人员的入侵行为，如合法用户的泄漏， 因这些行为并没有利用系统脆弱性。 ( 2 ) 异常检测 异常检测是根据使用者的行为或资源使用状况的正常程度来判断是否有入侵 发生。异常检测的分析机制基于正常行为模式的建立，试图用定量方式描述可接 受的行为特征，以区分非正常的、潜在的入侵行为。由于异常检测与系统相对无 关，通用性较强，它甚至能检测出以前从未出现过的攻击方法，不像基于知识的 检测那样受已知脆弱性的限制。但是因为不可能对整个系统内的所有用户行为进 行全名的描述，况且每个用户的行为是经常改变的，所以它的主要缺陷是误检率 很高。其次，由于统计简表不断更新，入侵如果知道某个系统在监测器的监视之 下，就能慢慢地训练检测系统，使得最初认为是异常的行为经一段时间训练后也 可能被认为是正常的行为。 基于反馈的入侵检测技术的研究与设计 图2 3 一个异常检测和误用检测方法结合的i d s 框图 异常检测和误用检测各有其特点，将这两种分析方法结合起来，可以获得更 好的性能。异常检测引擎可以使系统检测新的、未知的攻击或其他情况。误用检 测引擎通过防止耐心的攻击者逐步改变行为模式使得异常检测将攻击行为认为是 合法的，从而保护异常检测的完整性。 图2 f 3 是一个典型的同时使用异常检测和误用检测分析方法的入侵检测系统 框图。 2 3 3 按系统模块的运行方式分类 根据系统模块的运行方式分类i d s 又可分为：集中式i d s 和分布式i d s 集中式i d s 的基本模型是在网络的不同网段放置多个探测器收集当前网络状 态的信息，然后将这些信息传送到中央控制台统一进行处理分析。早期的i d s 大 都是集中式的，如i d e s 、n a d r 和n s m 等。 分布式i d s 是运行数据部件的场地数量与被监视的主机数量成比例，也就是 把较大的计算工作量由多个处理器或多个节点共同协作完成。例如：d i d s 、g r i d s 、 e m e r a l d 和a a f i d 等。 2 4 入侵检测分析技术 入侵检测分析技术从技术上一般分为误用检测技术和异常检测技术，下面详 细讨论这两类入侵检测技术。 第二章入侵检测系统概述 2 4 1 误用检测技术 误用入侵检测，又称基于知识的入侵检测。误用检测对系统事件的检查基于 这样个问题：系统行为是否代表着特定的攻击模式? 误用检测技术首先收集有关 入侵的信息，包括脆弱性、攻击、威胁、特定的攻击工具感兴趣的问题，然后对 这些信息进行数据转换工作，编制成统一的规范格式即对入侵行为模式进行特征 编码，建立一个误用模式库，然后对实际检测过程中得到的审计数据进行过滤， 检测是否包含入侵行为的标识。 误用检测的缺陷在于只能检测己知的攻击模式，当出现新的攻击手段时需要 由人工或者其他及其学习系统得出新攻击的特征模式，更新误用模式库才能使系 统具备检测新攻击方法的能力，如同杀毒软件一样，需要不断、及时的升级才能 保证检测能力的完备性。误用检测的技术主要有：简单模式匹配、专家系统、状 态转移分析等。 ( 1 ) 简单模式匹配 简单模式匹配是最为通用的误用检测技术，其特点是原理简单、扩展性好、 检测效率高、能做到实时的检测。其缺点是只能适用于比较简单的攻击方式，且 误报率高。但是由于采用误用检测技术的i d s 在系统的实现、配置和维护方面都 非常方便，因此得到了广泛的应用，如著名的开放源码的s n o r t 就采用了这种检测 手段。 ( 2 ) 专家系统 专家系统( e x p e r ts y s t e m ) 是最早的误用检测方案之一，被许多经典的检测模型 所采用，如i d e s 、n i d e s 、d i d s 和c m d s 等。在这些系统中，入侵行为被编码 成专家系统的规则。每个规则具有类似“条件t h e n 动作”的形式淇中条件为 审计记录中某些域的限制条件，动作表示规则被触发时入侵检测系统所采取的处 理动作。这些规则既可识别单个审计事件，也可识别表示一个入侵行为的一系列 事件。专家系统的优点在于把系统的推理控制过程和问题的最终解答相分离，即 不需要用户理解或者干预专家系统内部的推理过程，而只需把专家系统看成个 自治的黑盒子。但是，这里黑盒子的生成是一件困难的事情，用户必须把决策引 擎和检测规则以硬编码的方式嵌入系统。 使用基于规则语言的专家系统具有以下一些局限性： 1 ) 理海量数据时效率低。这是因为专家系统的推理和决策模块通常使用解 释性语言，速度慢。 2 ) 缺乏处理序列数据的能力，即数据前后的相关性问题。 3 ) 无法处理判断的不确定性。 基于反馈的入侵检测技术的研究与设计 4 1 规则库的维护很困难，更改规则时必须考虑对知识库中其他规则的影响。 5 ) 只能检测己知的攻击模式( 误用检测的通病) 。 ( 3 ) 状态转移法 状态转移法采用优化的模式匹配技术来处理误用检测问题，采用了系统状态 和状态转移的表达式来描述己知的攻击模式。由于系统的灵活性和处理速度的优 势，状态转移法已经成为当今最具竞争力的入侵检测模式之一。目前实现基于状 态转移的入侵检测主要有这么几种方法：状态转移分析、着色p e t r i 网和基于语言 程序接口的方法。我们着重分析其中的状态转移分析方法。 状态转移分析使用高层状态转移图来表示和检测已知的攻击模式。状态转移 图是一种针对入侵或渗透过程的图形化表示方法。所有的入侵渗透过程都可以看 作是从有限的特权开始，利用系统脆弱性逐步提升自身权限。利用这种特性就可 以使用系统状态转移的形式来表示攻击特征。 在基于状态转移分析的入侵检测中，入侵过程可以看作是由一系列导致系统 从初始状态转移到入侵状态的行为操作组成。这些操作致使系统从某些初始状态 迁移到一个危及系统安全的状态p 、侵状态) ，并用有限状态机模型来表示这些入侵 过程。状态通常由系统某一时刻的特征如系统的属性和用户权限来进行描述。初 始状态对应于入侵开始前的系统状态，入侵状态对应入侵完成后系统所处的状态。 两个状态之间，可能有个或多个中间状态的迁移。用于误用检测的状态转移分 析引擎包括一组状态转移图，各自代表一种入侵或者渗透形式，主要应分析在这 两个状态之间进行状态迁移的关键活动，用状态迁移图来描述状态间的迁移信息。 每当新行为发生时，分析引擎检查所