（计算机软件与理论专业论文）基于系统调用的主机入侵检测系统的研究与实现.pdf

南京邮电学院硕士研究生学位论文 摘要 近年来，i n t e m e t 正以惊人的速度在全球发展，它已成为全球信息交流、信 息储备的主要途径，并将对2 l 世纪的政治、经济、军事、科技、教育以及人们 的生活和工作方式产生巨大的影响。随着计算机网络的发展和深入，计算机的性 能得到了成百上千倍的提高，计算机已遍及世界各个角落。并且，人们利用通信 网络将孤立的单机系统连接起来，相互通信和共享资源，使得计算机信息的安全 问题臼益突出与复杂。一方面，计算机网络分布范围广，具有开放式的体系结构， 提高了资源共享性；但另一方面也带来了网络安全的脆弱性和复杂性。i n t e r n e t 的安全性己成为人们迫切需要解决的问题。 本文在深入研究入侵检测的基础上，结合l i n u x 内核模块和系统调用的知 识，分析了几种可能的基于系统调用的主机入侵检测的方法及其优缺点。并结合 我们的实际情况选择了序列检测分析方法。然后给出了该i d s 子系统的分析模 型和具体实现，并做到了实时检测。最后给出了部分实验和数据分析。 关键词：入侵检测，网络安全，系统调用，异常检测 3 - 南京邮电学院硕士研究生学位论文 a b s t r a c t i nr e c e n ty e a r s ，i n t e m e ti sb e i n gd e v e l o p e do nt h ew h o l ew o r l da t 也es u r p r i s i n g s p e e d ，i th a sa l r e a d yb e c o m et h em a i nw a y t h a tt h eg l o b a li n f 0 肌a t i o ni n t e r c h a i l g e a n di n f b 肌a t i o ns t o r a g e ，a n d 也ew a ye x e r t sa ne n o n n o u si n n u e n c et o 也ep o l i t i c s ， e c o n o m y ，m i i i t a r _ y ，s c i e n c ea n dt c c h n o i o g y ，e d u c a t i o np e o p i e si i f e a n dw o r k i n go f 2 1 s tc e n t u r y w i t ht h ed e v e i o p m e n tm de m b e d m e n to ft h ec o m p u t e rn e t w o r k ，t h e p e r f b n n a n c e o fc o m p u t e rh a sh a dt o g oi n t o 血ei m p r o v e m e mo f r e d1 a s t m o u s a n d - f 0 1 d ，1 ec o m p u t e rh 髂a l r e a d ys p r e a dt oa l lo v c re a c hc o m e ro f t l l ew o r l d 劬d ，p e o p l eu t i l i z e t 1 1 ec o m m l l l l i c a t i o nn e t w o r kt oj o i nt h ei s o l a t e du n i t s y s t e m ， c o m m u n i c a t ee a c ho 血e ra n ds h a r e dr e s o l l r c e ，m a l ( ec o m p u t e ri n f b r n l a t i o n ss e c u r i t y p r o b l e mo u t s t a l l d i n ga 1 1 dc o m p l i c a t e dd a yb y 出【y 0 no n eh 肌d ，c o m p u t e rn e t w o r k s a r ed i s t r i b u t e di nt 1 1 e r a n g e 、v i d e l y ，h a so p e ns y s t e ms t r u c t u r e ，h a v ei m p r o v e dt h e r e s o u r c e s h a r i n g ；b u t o nt h eo t h e rh a l l di ih a se v e nb m u 曲tt h e f r a g i l i t y a n d c o m p l e x i t yo f t l l en e t w o r ks e c u r i t y t h es e c u r i t yo fi n t e m e th a sa l r e a d yb e c o m et h e p r o b l e m t h a tp e o p l eh a v en e e d e dt os o l v eu r g e m l y b a s e d0 nt h ed e e pr e s e a r c ho fi n t m s i o nd e t e c t i o n 趾dm ek n o w l e d g eo fl i n u x k e m e lm o d u l ea 1 1 d s y s t e mc a l l ，w ea n a l y z e d t h a tm em e t h o do fh o s ti n t m s i o n d e t e c t i o nb a s e do n s y s t e mc a u a n dc o m p a r e d t h e i rv i n u e sa n d d i s a d v 锄t a g e s a n dh a s c h o s e ns e q u e n c em e a s u r e sm e t h o d ，a c c o r d i n gt oo u rr e a lc o n d i t i o n t h e nw eg i v e a i l dp u b l i s ht h i s a 1 1 a l y s i sm o d e la n dc o n c r e t et or e a l i t y ，肌dh a sa c c o m p l i s h e da n d m e a s u r ci nr e a lt i m e s o m ee x p e r i m e n t sa n dd a t aa 1 1 a l y s i sh a v eb e e ns h o w k o y - 口r d s ：i n t r u s i o nd e t e c t i o n ，n e t w o r ks e c u r i t y ，s y s t e mc a 儿，a n o m a l yd e t e c t i o n 4 壹塞坚皇兰堕堡圭堡壅生堂垡堕壅 课题背景： 引言 随着信息化网络的发展，i n t e m e t 不断普及，各种新技术层出不穷，这些都 给攻击者带来了很大的便利。在过去的几年中，网络攻击事件不断增加，网络安 全日益成为人们关注的焦点。目前，网络安全的主要技术手段有防火墙、安全路 由器等，它们对于防止入侵有一定的效果，但它们只是起到防御功能，而入侵者 的攻击手段防不胜防，系统一旦被攻破，就完全处于被动了。因此，仅仅具有这 些手段还不足以对付攻击，一个完整的网络安全解决方案，不仅应该有防火墙等 防御手段，还应该能够对网络进行实时监控，能发现入侵行为并做出适当的响应。 正是在这种形势下，入侵检测系统日益成为了网络安全研究领域的热点。 入侵检测系统( i d s ，i n t r u s i o nd e t e c t i o ns y s t e m ) 是从计算机网络系统中 的关键点收集信息，分析这些信息，并据此检查网络中是否有违反安全策略的行 为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。i d s 主 要执行如下任务： 1 监视、分析用户及系统活动。 2 审计系统构造变化和弱点。 3 识别反映已知进攻的活动模式并向相关人士报警。 4 统计分析异常行为模式。 5 评估重要系统和数据文件的完整性。 6 跟踪管理操作系统的审计，并识别用户违反安全策略的行为。 入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击 和误操作的实时保护。在网络系统受到入侵之前拦截和响应入侵。功能强大的入 侵检测软件的出现极大的方便了网络的管理，其实时报警为网络安全增加了又一 道保障。从网络安全立体纵深、多层次防御的角度出发，入侵检测理应受到人们 的高度重视。未来的入侵检测系统将会结合其它网络管理软件，形成入侵检测、 网络管理、网络监控三位一体的工具。 5 南京邮电学院硕士研究生学位论文 课题来源及本人工作 本文所涉及的课题来源于国家高技术研究发展计划( 8 6 3 计划) 8 6 3 7 0 7 主题项目，项目名称为“基于智能移动代理的空间信息网分布式实时入侵检测及 预警系统关键技术的研究”( 项目编号2 0 0 2 a a 7 7 6 0 3 0 ) ，由南京邮电学院国家 高技术8 6 3 7 0 7 主题专家组申请并承担研究。 本人作为项目组成员之一，完整的参加了这个课题。在整个课题研究期间， 本人对该课题所涉及的相关背景、国内外研究现状和方案的可行性进行了一定深 度的研究，与项目组其他成员团结合作，共同提出了种新型的基于移动代理的 分布式实时入侵检测系统模型，并独立完成了原型系统中关键子系统之一“基于 系统调用的主机入侵检测子系统”的详细设计与具体实现。本人在方案的实现过 程中解决了一系列关键技术，包括体系结构的设计、模块的功能划分、通用接口 和数据结构的设计与定义，并实现了实时检测。 本文组织： 本文在深入研究入侵检测的基础上，结合“n u x 内核模块和系统调用的知 识，分析了几种可能的基于系统调用的主机入侵检测的方法及其优缺点。并结合 我们的实际情况选择了序列检测分析方法。然后给出了该i d s 子系统的分析模 型和具体实现，并做到了实时检测。最后给出了部分实验和数据分析。 排。 全文共分四个章节，内容组织如下： 第一章主要介绍网络安全的现状，该课题研究的背景、意义和本文内容的安 第二章是入侵检测简介，分为三个部分。第一部分介绍了入侵检测系统的发 展历程，第二部分介绍了入侵检测系统的组成，第三部分介绍了入侵检测系统的 分类。 第三章首先介绍了入侵检测系统中的基于主机的入侵检测系统，然后介绍了 本文涉及到系统调用、“n u x 内核模块和缓冲区溢出的相关知识，接着给出了可 行的3 种方法，最后对它们做了比较，选择了一种方法来实现我们的入侵检测子 系统。 第四章是全文的重点，这里主要阐述了第三中提出的基于系统调用的主机入 侵检测子系统的具体设计和实现。首先我们给出了该子系统的数据源获取方法， - 6 南京邮电学院硕士研究生学位论文 然后给出了该子系统的分析模型和进一步的设计方案。包括功能模块化分，模块 接口等内容。接着给出了该予系统的具体实现过程及改进。最后分析了部分实验 数据。 最后，总结了本文所做的工作，并指出了有待进一步改善的地方和今后工作 努力的方向。 南京邮电学院硕士研究生学位论文 1 1 网络安全现状 第一章概述 计算机网络的发展可谓“日新月异”。随着计算机软、硬件技术的提高，网 络迅速地渗入到了社会生活的各个领域。网络中广泛分布的各种信息和服务为川 的生活和工作带来了极大的方便。然而，这些不断增多的信息和服务，对于不法 分子来说无疑是一种巨大的诱惑所以，近年来利用网络的犯罪层出不穷，黑客 们为了各种不同的目的对计算机系统和网络进行破坏，窃取重要信息，盗用或者 破坏网络中的服务。这些破坏行为如果得逞，对于网络运营商和用户而言都将造 成不可估量的损失。如何避免这些损失，是网络安全关心的重要问题。 2 0 0 4 年1 月1 5 日，中国互联网络信息中心( c n n i c ) 在北京发布了第十三 次中国互联网络发展状况统计报告。报告显示，在宏观上的各项数据均保持 快速增长的速度，到2 0 0 3 年年底，我国网民数达到了7 9 5 0 万，上网计算机达到 3 0 8 9 万台，网络国际出口带宽总数达到2 7 2 1 6 m ，c n 下注册的域名数、网站数 分别达到3 4 万和5 9 6 万。互联网已经发展成为中国影响最广、增长最快、市场 潜力最大的产业之一，正在以超出人们想象的深度和广度迅速的发展。据统计有 3 1 9 的用户有过网上交易的经历，而3 3 4 的用户认为网上交易存在的最大问 题是安全性得不到保障。在我国上网的企业、单位存在更大的安全问题。调查显 示在建有内部网络的机构单位中，还有3 0 的单位尚未制定详细的网络安全策 略，2 3 没有进行定期的安全检测，2 7 没有制定网络应急响应措施，这些机构 一旦遭到攻击后果将不堪设想。此外，还有2 7 左右的单位没有对网络维护人员 进行过网络安全培训队由此可见，至今仍然有许多单位网络安全防范意识淡薄， 其网络安全状况令人担忧。而且，随着网络技术的发展，网络安全的形式越来越 严峻了。 首先，网络本身是不安全的，网络的协议自身就存在很多漏洞( 例如，i m a p d v e r s i o n 4 0 中扫描溢出的漏洞，应用软件和系统软件中不可避免地存在着b u 2 如， 微软的w i n d o w s 系列产品) 。所有这些都给了黑客许多可乘之机，给系统造成威 胁。其次，随着网络的扩展，威胁网络安全的来源越来越复杂，入侵者非法入侵 被害系统的动机也越来越多样，而人们对黑客技术的热情有增无减，黑客工具软 件在网络上十分流行并且随处可得所有这些都使得网络中攻击事件的发生 变得更加不可测，给网络安全防护带来了更多的困难。再次，随着网络中的资料 - 8 一 南京邮电学院硕士研究生学位论文 越来越重要，提供的服务也越来越多，网络中不安全因素对整个社会了能造成的 影响越来越大。网络的安全与个人生活、商业机密、政府形象乃至国家安全都休 戚相关 幸运的是，人们的安全意识在不断提高。近年来，许多科研组织都投入到安 全技术特别是入侵检测技术的研究热潮中，并且在这些方面取得了很大的成就。 在国外，入侵检测技术的研究已经有了长足的发展，很多入侵检测的商用产品， 例如r e a is e c u r e 等，已经发展的相当成熟。 图1l2 0 0 1 上半年网络安全产品市场结构 在我国，对入侵检测技术的研究进两年才刚刚开始，因此远远落后于国际先 进水平。虽然近年来我国的网络安全产品市场已有长足的发展( 据统计，2 0 0 0 年国内网络信息安全产品市场比1 9 9 9 年增长超过4 0 ) ，但是从图1 1 的网络 安全产品市场结构分部中我们可以看到，入侵检测系统所占的份额少之又少( 仅 占市场的2 3 ) ，而且大部分为国外产品所占领。因此，无论从技术发展的角 度，还是从市场的角度，大力研究入侵检测技术，发展我们自己的入侵检测系统 都是势在必行的。 1 2 课题研究的意义 从上一节的介绍中，我们已经看到网络安全的现状不容乐观。虽然，我们已 经拥有了很多成熟的安全技术及相应的商用产品，例如加密、认证、病毒防范、 防火墙等等，但是，随着网络中不安全因素的增多，网络复杂性的增大，人们对 安全技术产品的要求也在不断提高，许多问题仅靠传统的安全技术已无法得到很 好的解决。传统的安全是一般指：建立在密码基础上的身份认证和访问控制。而 网络安全靠的是密码加协议。 就拿防火墙来说，防火墙技术在过去的十几年中已经发展得相当成熟，人 们对防火墙的认同也已经达到了相当的程度。但是，不可否认，防火墙用于安全 防护有着很大的局限性：首先防火墙防外不防内，对于内部发起的攻击防火墙无 9 南京邮电学院硕士研究生学位论文 计可施；其次，防火墙对于绕过它的非法行为毫无察觉，对于冲着防火墙本身的 攻击它没有告警能力。因此，十分有必要发展一个能够同时测知来自内部和外部 的非法行，并对其监控范围内发生的所有行为并对非法行为做出响应的系统，这 就是入侵检测系统。 入侵检测是近年来兴起的一种新的安全机制，它能够通过学习掌握网络或系 统中正常或异常的行为模式，对网络和系统进行动态或者静态的监控，实时地检 测入侵，并发出警告或采取相应的防范措施。它在防火墙之后为系统筑起了另外 一道坚固的防线。对一个成功的入侵检测系统而言，它不但是防火墙的有效补充， 可以使系统管理员时刻了解网络系统( 包括程序、文件和硬件设备等) 中发生的 任何变化，而且还能根据记录的各种监控数据( 如日志文件等) 做出分析，为网 络安全策略的制订提供指南。 最近，美国的一些学者提出了一种名为p 2 d r 安全模型，如图1 2 所示。其 中p 2 d r 分别是英文p o l i c y 、p r o t e c t i o n 、d e t e c t j o n 和r e s p o n s e 的首字母的缩写。 在这个模型中，安全专家们提出了以安全策略为中心进行检测、防护和响应的思 想，并且明确指出了安全模型的核心是检测问题。因为检测是静态防护转化为动 态的关键，检测是动态响应的依据，检测是落实或强制执行安全策略的有力工具。 图l2p 2 d r 模型 全世界的计算机和网络专家们都十分重视对于入侵检测技术的研究，比较著 名的研究机构包括美国计算机紧急情况反应小组( c e r t ) 、国家计算机安全中 心( n c s c ) 、n s a ( n a t i o n a ls e c u r i t ya g e n c y ) 、美国l o sa l 眦o s 国家实验室 一1 0 南京邮电学院硕士研究生学位论文 等。在我国，也有很多学者开始致力于方面的研究。 入侵检测系统的性能与它所采用的分析方法和选择的键控对象有很大的关 系。入侵检测有两种最基本的类型：异常检测( a n o m a l y ) 和滥用检测( m i s u s e ) 。 网络环境千变万化，黑客的攻击手段也层出不穷，因此如何适应这些变化对于一 个入侵检测系统而占是十分重要的。而异常检测技术是对正常行为建模，所以它 对新的入侵行为的变异具有较强的适应性。一直以来，异常检测技术也都因此受 到了广泛地应用。入侵检测系统可以选择的监控对象很多，包括用户行为、程序 行为、文件完接性等等。在过去的研究中人们对用户行为、文件完整性等都做过 分析，并且都取得了很大的成功，但是分析对象本身的一些特点限制了它们优势 的进一步发挥用户行为存在着较大的随意性和易变性，这给分析带来了很大 的麻烦；而文件完整性等只有在入侵行为产生之后( 或者说事后) 才能表现出来， 因此它不能用于实时检测。九十年代中期研究人员开始为分析程序行为带来的好 处所吸引，许多研究都围绕着程序行为展开。因为程序行为与用户行为相比具有 较强的稳定性，它基本不随时间变化，而且程序执行时有很多易于观测的属性( 例 如系统调用等) ，这些都给分析和建模带来了很大的方便。 总之，结合异常检测和对程序行为分析的优点异常检测的对于入侵行为 的变异有较强的适应性，特别是与滥用检测相比，它的检测率高且适应性强；而 对程序行为的分析又可以克服对用户行为分析中用户行为特征易变的缺点，使系 统更加稳定我们在研究主机入侵检测技术时选择了基于系统调用的异常检 测技术作为研究的对象。 本文所涉及的课题来源于国家8 6 3 项目，名称为“基于智能移动代理的空间 信息网分布式实时入侵检测及预警系统关键技术的研究”，里面包括了四个方面 的内容：1 、“基于移动代理的空间信息网分布式实时入侵检测关键技术及其体 系的研究”；2 、“基于移动代理的空间信息网分布式入侵预警及响应的关键技 术的研究”；3 、“入侵自动反击关键技术的研究”；4 “基于移动代理的空间信 息网入侵检测系统自身的完整性的保障机制的研究”。 南京邮电学院硕士研究生学位论文 图1 3 系统层次结构图 在第一个方面中有分为三个子系统：基于网络的、基于系统调用的和基于用 户行为的。其系统层次分为三个层次，如图1 3 所示。本人独立完成了原型系统 中关键子系统中的“基于系统调用的主机入侵检测子系统”的详细设计与具体实 现。本人在方案的实现过程中解决了一系列关键技术，包括体系结构的设计、模 块的功能划分、通用接口和数据结构的设计与定义，并实现了实时检测。 一1 2 ， 南京邮电学院硕士研究生学位论文 第二章入侵检测系统简介 2 1 入侵检测系统的发展 2 1 1 基本概念 “当对不熟悉网络安全的人们解释入侵检测的时候，描述入侵检测系统的作 用通常是很容易的。入侵检测系统就是“计算机和网络防止小偷的报警装置”， 或者说，“入侵检测系统搜索闯入计算机系统的入侵者并及时报警”。大多数人 对入侵检测的理解是这样的；当系统处理的信息被认为是有价值的时候，它们自 然就成了攻击的目标”每个人所熟悉的小区保安系统在数字世界中的表现就 是入侵检测系统。那么入侵检测系统是基于什么背景产生的呢? 它经历了怎样的 发展过程? 在介绍入侵检测系统发展之前，我们首先简要介绍一些关于入侵检测的基本 概念。首先。入侵作为我们要检测的对象，是必须要了解的概念之一。我们可以 概括地说入侵是指任何对系统资源的非授权使用行为，它对资源的完整性、保密 性、和可用性造成破坏，可使用户在计算机系统或网络系统中失去信任，使系统 拒绝对合法用户服务等。入侵者可以是一个手工发出命令的人，也可是一个基于 入侵脚本或程序的自动发布命令的计算机。a n d e r s o n 把入侵者分为了两类：外 部入侵者( 一般指来自系统外部的非法用户) 和内部入侵者( 是指那些拥有一定 的访问系统资源权限，但是企图获取更多的权利执行非授权操作的内部用户) 。 计算机系统中入侵活动是很普遍的，一些系统的报告指出它们每个月要受到 数百次的入侵攻击，入侵者使用的手段也是多种多样的，下面给出了一些典型的 入侵行为： 1 利用文件服务器程序中的缺陷来存取及破坏其他用户的文件； 2 利用系统程序中的缺陷来得到超级用户的状态： 3 利用一个脚本“骗取”其他用户在计算机上的口令； 4 通过在计算机系统( 或网终) 中安装“窥视程序”( s n o o p i n gp r o g r a m ) 来侦测含有用户口令及其他敏感数据的系统操作事件或网络业务： 1 3 南京邮电学院硕士研究生学位论文 5 入侵者通过修改网络中的路由表来阻止消息传递到特定的计算机。 入侵检测就是要识别计算机系统或网络上企图实施或正在进行的入侵活动。 而入侵检测系统就是完成入侵检测任务的系统。它是一种增强系统安全的有效方 法。入侵检测对系统中用户或系统行为的可疑程度进行评估，并据此来鉴别系统 中当前的行为是正常的还是非法的，从而帮助系统管理员进行安全管理，并对系 统所受到的攻击采取相应的对策。 评判一个入侵检测系统的好坏，主要用两个参数：误报率和漏报率。误报率 是指将不是入侵的行为错检为入侵的比率；而漏报率则是指将本来是入侵的行为 判为正常的比率。 2 1 2 入侵检测系统的发展 入侵检测的目的是监控网络中的资源，检测异常行为和对系统的滥用行为。 这个观念已经提出了将近二十年了，但是入侵检测被真正纳入到整个信息安全构 架中，是近十年才开始的。p a u l i n n e l l a 在他的文章中对入侵检测系统的发展做了 详细的介绍。 入侵检测的概念是1 9 8 0 年，由j a x n e sa n d e r s o n s 首次提出的。在他的论文 里首次指出了审计迹中含有对于跟踪滥用和理解用户行为十分有价值的重要信 息。从此开始了对滥用和特定用户事件的“检测”，并且为日后的入侵检测系统 设计和发展的基础，是基于主机的入侵检测和入侵检测系统的开端。 之后s 的d o r o t h yd e n n i n g 博士的研究工作又将入侵检测系统向前推进 了一大步。d e n n i n g 博士的研究工作主要是基于用户行为的入侵检测系统，她 的重要著作a ni n t f u s i o nd e t e c t i o nm o d e l 给出了开发一套商用入侵检测系统所 必须的知识，成为了后来大多数i d s 系统发展遵循的基础。与此同时，美国加 州u cd a v i s 大学的研究人员也在致力于入侵检测系统的研究。他们设计了一种 将审计数据与定义好的模型进行比较的分析审计数据的新方法，后来的分布式入 侵检测系统( d i d s ) 中就用到了这种技术。d i d s 的出现将现有的入侵检测解决 方案从跟踪客户机扩展到了对服务器的跟踪，使i d s 的方法又进入了一个新阶 段。 9 0 年代初，u cd a v i s s 的t o d dh e b e r l e i n 提出了网络入侵检测的思想，研 究并开发了第一个网络入侵检测系统“网络安全监控器”( n s m ) 。n s m 主要 通过对网络流量数据的分析来为检测提供信息的，它的出现大大激发了对入侵检 一1 4 南京邮电学院硕士研究生学位论文 测技术研究的兴趣，同时也吸引了大量的市场投资。 姗 0 h o y 口眦i m 卿嘲抛q 蜊亭蛐螂守嘲鳓l 鳓啦哪】s 日4 | 1 9 9 5 蜥脚i 嘞脚p 鳓 1 鳃龇 、 磁嘶蛳删胁觚l m 蛳 m 眦珏盎一。妇岫相基绷讨璐一 眦珏舰妇c t 乱四陆酊e i 姐k 掘酞绷讨蛳订 在商用i d s 方面，h a y s t a c kl a b s 是第一个商业销售i d s 工具的组织，他们 主要经营基于主机的入侵检测产品。第一个商用的网络入侵检测设备是t h e w h e e lg r o u p 开发的n c t r ，m l ，c r 。后来，i s s 开发了众所周知的名为r e a l s e c u r e 的网络入侵检测系统。从i d s 商业市场的诞生到现在，越来越多的著名商家都 纷纷投入到i d s 的开发中，从早期的s a l c 、c s c ( c 呻t o l o g i cs u p p o r tc e n t e r ) 等到现在的i s s 、c i s c o 、c e n t r a xc o r p o r a t i o n 公司、s y m a l l t e c 、e n t e r a s y s 等等， 逐渐掀起了i d s 的研究热潮。 其实，不论入侵检测技术是如何发展的，我们都可以肯定一点，那就是i d s 现在己经成为完整信息安全构架的一个重要组成部分，并且在未来的信息安全体 系中将会扮演越来越重要的角色。图2 1 给出了i d s 发展的时间图。 2 。2 入侵检测系统的组成 不考虑其它结构上的要求，一般的入侵检测系统至少应包括三个部分：数据 收集、数据处理和响应。入侵检测系统组成框图如图2 2 所示。 - 1 5 h舌|n 器ll r心 罟 意、赫斗 摇弋删 董_ 一 璐 h h 葛 舳 嚣l 纛 蔗一i 童室塑皇兰堕堡主堕壅生堂垡堡壅 2 。2 1 数据收集模块 图22 入侵检测系统组成框图 数据收集是入侵检测的第一步。收集的内容可以包括系统、网络、文件数据 及用户活动的状态和行为等，这些信息都将用于分析系统或网络中是否有入侵事 件发生。数据收集可以位子计算机系统或网络中的若干不同关键点，例如不同网 段和不同主机，最常见的是位子对应用的监控点上。在收集数据的过程中，除了 尽可能扩大检测范围外，还应该注意到有时单从来自同一个信息源的信息有可能 看不出疑点，但是如果从几个信息源获取信息，那么这些信息的不致性有可能 是可疑行为或入侵的最好标识。当然，入侵检测在很大程度上依赖于收集信息的 可靠性和正确性。因此，保证信息来源的可靠性和准确性是很有必要的。 入侵检测利用的数据来源实际上就是入侵检测所选择的观察对象。一般来 说，入侵检测的观察对象主要包括系统或网络中的审计信息、物力形式的入侵信 息以及系统的静态配置。 1 、系统和网络中的审计信息 审计信息可以来自与系统和网络的日志文件。这些目志中包含发生在系 统和网络上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或己 成功入侵了系统。因此，充分利用系统和网络日志文件信息是检测入侵的必要条 件。日志文件中记录了各种行为类型，每种类型又包含着不同的信息，例如记录 “用户活动”类型的日志，就包含登录、用户i d 改变、用户对文件的访问、授 1 6 南京邮电学院硕士研究生学位论文 权和认证信息等内容。很显然，对用户活动来讲，不正常的或不期望的行为就是 重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。通过 查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应 程序。 通过日志文件，我们可以观察到目录和文件中的不期望的改变( 包括修 改、创建和删除) ，特别是那些正常情况下限制访问的文件的改变。因为黑客经 常会替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他 们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。所以分析 日志中的记录就可以发现这些行为的迹象。 本文分析的系统调用也是一种审计信息，它是在日志中通过特定的命令得到 的( 例如，在u n i x 系统中可以用s t r a c e 命令得到) ，可以通过分析它观测到程 序执行中的不期望行为。网络系统上的程序执行一般包括操作系统、网络服务、 用户起动的程序和特定目的的应用，例如数据库服务器。每个在系统上执行的程 序由一到多个进程来实现。每个进程执行在具有不同权限的环境中，这种环境控 制着进程可访问的系统资源、程序和数据文件等。一个进程的行为由它运行时执 行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同，而这些操 作包括计算、文件传输、设备和其它进程，以及与网络中其它进程的通讯等。而 在u n i x 系统中对资源的访问是通过系统调用实现的。一个进程出现了不期望 的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解， 从而导致它失败，或者是以非用户或管理员意图的方式操作。而程序对系统资源 的方法在程序执行时产生的系统调用序列中都能反映出来。 2 、物理形式的入侵信息 物理形式的入侵包括两个方面的内容：一是未经授权对网络硬件的连接；二 是对物理资源的未授权访问。黑客想方设法去突破网络的周边防卫，探询网上的 不安全( 未授权) 设备，然后利用这些设各访问网络，偷取敏感的私有信息等等。 3 、系统静态配置的检测 对系统当前配置的静态检测主要是对系统文件的内容或者系统表的检 测，用于发现系统是否已经遭到攻击或者破坏。对静态配置的检查一般对事后分 析，特别是安全结构和策略的设计极为重要。因为，方面入侵者对系统攻击时 可能会留下痕迹，这可以通过检查系统的状态检测出来：另一方面系统管理员以 - 1 7 南京邮电学院硕士研究生学位论文 及用户在建立系统时难免会出一些错误和遗漏一些系统的安全性缺陷，另外，系 统在遭受攻击后，入侵者也可能在系统中安装一些安全性后门( b a c k d o o r s ) ， 对系统的配置进行静态分析，就可以及早发现系统中潜在的安全性问题，并采取 相应的措施来补救。但这种方法需要对系统的缺陷尽可能的了解：否则，入侵者 只需要简单地利用那些系统安全系统未知的缺陷就可以避开检测系统。 2 2 2 数据分析模块 数据分析是入侵检测技术中非常关键的一步。它一方面涉及到对收集到的数 据进行整合、浓缩，另一方面涉及到数据特征的提取。不论是异常检测还是滥用 检测，常用的分析方法主要有三种：模式匹配，统计分析和完整性分析。其中前 两种方法用干实时的入侵检测，而完整性分析则用于事后分析。 1 、模式匹配 模式匹配是一种通过将收集到的信息与已知的网络入侵和系统应用模式相 比较，来发现违背安全策略的行为的方法。它可以通过字符串匹配以寻找一个简 单的条目或指令，也可以利用正规的数学表达式来表示安全状态的变化；可以对 正常行为建模，也可以是对入侵行为建模。运用模式匹配方法的只需要收集建立 相关模型所需的数据集合，大大减轻了系统的负担。并且，模式匹配的技术以及 它在网络安全技术中的应用都已经相当成熟，有很多的经验可以借鉴。但是它的 缺点是须要不断地更新模式库，特别是那些比较系统滥用模式的分析方法，必须 不断升级滥用模式库以对付不断出现的黑客攻击手法，而且它不能检测到从未出 现过的黑客攻击手段。这一点有些类似于防病毒产品。 2 、统计分析 统计分析方法也就是用系统对象的统计性变量来刻画主体特征的方法，这些 统计性特征轮廓通常包括主体特征变量( 如访问次数、操作失败次数和延时等) 的出现频率、均值、方差、统计概率分布以及偏差等。这些特征变量的统计特征 将被用来与网络、系统中当前的行为进行比较，任何观察值在正常值范围之外时， 就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误 报、漏报率高，且不适应用户正常行为的突然改变。 3 、完整性分析 一1 8 一 南京邮电学院硕士研究生学位论文 完整性分析主要用于事后分析系统中的文件或对象是否被更改，这经常包括 文件和目录的内容及属性。这种方法的优点在于不管模式匹配方法和统计分析方 法能否发现入侵，只要是入侵行为导致了文件或其它对象的任何改变，它都能够 发现。缺点是一般以批处理方式实现，并且只有在攻击造成破坏后才能发现，不 适用于实时地跟踪和制止入侵行为。 2 2 3 响应 当系统发现入侵行为时所采取的一系列行动就是响应。响应技术典型地分为 主动和被动两种。主动的响应措施包括一些在系统的某些部分采取的自动干涉行 为：而被动响应主要是指将i d s 发现的可疑现象报告给系统或网络管理员，然 后由管理员根据i d s 系统的报告采取相应的措施。响应措施有很多种，最简单 的就是切断危险连接，但是这种做法有可能被攻击者利用使系统出现拒绝服务的 现象。还有i p 地址跟踪，虚假服务器等等。其中虚假服务器对于事后分析和入 侵的跟踪都是一种很有效的方法。虚假服务器更普遍地被称为“蜜罐”，它的主 要思想是提供一个“虚假的”外壳，搭建一个具有众所周知漏洞( 蜜罐构造) 的 应用服务环境，引诱攻击者进入并留下明显的痕迹。这些系统通过设计和配置效 仿某种产品环境，但实际上它建立的目的是对网络管理员和安全工作人员发出警 告，同时逐条将攻击或入侵事件的行为记入日志。系统将彻底检测并跟踪这个可 能攻击者的活动。 响应技术的另一个考虑出发点是如何终止入侵或攻击，并尽快恢复受影响的 服务和丢失的数据。恢复的过程可能包括初步损失估测，以确定一次入侵或攻击 过程所造成的破坏的广度。它的注意力集中在如何采取及时的减缓措施来抵御动 态攻击或使其改向，从而将破坏降到最小，或者是重新建立并恢复被阻塞或失效 的服务。 2 3 入侵检测系统分类 入侵检测系统的分类方法大致上有三种，它们的依据分别是数据来源的不 同、分析技术的不同和系统结构上的不同。如图2 _ 3 所表示的就是入侵检测系统 的分类情况。下面我们将对每一种分类分别进行介绍。 1 9 南京邮电学院硕士研究生学位论文 入侵检测系统分 i l 按照采用技术不爿冀墨勰柔嘉 剖按照数据来源不同萋季嵩嚣篙蓉裂柔磊 卜不电撼身 2 3 1 按照采用检测技术的不同分类 目前较为流行的入侵检测技术主要有两种，即异常检测技术和滥用检测技 术。因此相应地，入侵检测系统就可以分为两类：采用异常检测技术的系统和采 用滥用检测技术的系统。 异常检测( a n c i m a l yd e t c c t i o n ) 也被称为基于行为的检测。异常检测系统试 图通过建立一个对应系统或用户的“正常的活动”的特征轮廓( a c t i v i t yp r o f i l e ) 来检测可能的入侵。这个特征轮廓可以是对系统静态配置描述，也可以是对系统 或用户正常行为的描述。检测系统运行时，首先产生当前行为的相应轮廓，并与 已有的正常行为特征轮廓比较，当发生显著偏离时即认为是一种异常的标志。异 常检测最大的优点是有可能检测出以前从未出现过的攻击方法，它不象基于知识 的检测( 滥用检测) 那样受己知脆弱性的限制。异常检测中，对所谓“系统正常 活动”的特征的刻画是十分重要的。就编码和数据存储等系统静态形式而言，它 们在正常与异常之间的界限比较容易定义，每一个比特的不同都表明一个问题的 出现；然而，对于系统中动态的用户行为和程序厅为，其可接受的行为和不可接 受的行为之间的界限就比较难以定义了网。所以异常检测系统的主要缺陷在于阈 值滩以确定，并且误报率和漏报率都很高。 滥用检测( m i s u s ed e t e c t i o n ) 也被称为基于知识的检测。滥用检测系统是建 立在使用某种模式或者特征描述方法能够对任何己知攻击进行表达这一理论基 础上的。滥用检测系统利用先验知识编码，检测己知的入侵模式。这种方法的优 点是可以有针对性地建立高效的入侵检测系统，误报率低，缺点是对未知的入侵 活动或己知入侵活动的变异无能为力。 2 0 塑塞堂皇堂堕堡主堕塞生兰垡笙奎 在过去的入侵检测系统中异常检测和滥用检测两种方法都得到了广泛应用， 并且在某些情况下，两种检测方法在同一系统中结合使用来相互补足。这两种检 测方法各有千秋，在今后的入侵检测系统中都将会继续得到发展。 2 3 2 按照数据来源的不同分类 前面已经讲到入侵检测系统的数据来源有很多，但就其检测目标的不同总体 上可以分为两类：来源于主机的数据和来源于网络的数据。因此，入侵检测系统 也可以分为两类：基于主机的检测系统和基于网络的检测系统。 基于主机的入侵检测系统：其输入数据的来源主要是系统的审计日志，一般 只能检测该主机上发生的入侵。能否及时采集到审计数据是这种检测系统的关键 问题之一。这使得一些入侵者转而将主机审计子系统作为攻击目标以避开入侵检 测系统。 基于网络的入侵检测系统：其输入数据来源于网络的信息流，能够检测该网 段上发生的网络入侵，以n s m 为代表的基于网络的入侵检测系统通过在共享网 段上对通信数据的侦听采集数据，分析可疑现象。与主机系统相比较而言，这类 系统对入侵者是透明的，入侵者本身不知道有入侵检测系统存在；由于这类系统 并不需要主机提供严格的审计，因而对主机资源消耗少，并且由于网络协议是标 准的，它可以提供对网络通用的保护而无需顾及异构主机不同结构。 2 3 3 按照系统实现的结构分类 入侵检测实际的系统实现可以有三种结构方式：单一结构、部分分布式结构 和完全分布式结构。 单一结构：是指数据的分析和处理都在同一台主机上完成的系统结构。早期 的入侵检测系统夭都采用这种结构( 如i d e s 等) ，这种方法的好处是易于管理 和协调，缺点是分布性差，单点失效等，现在已经基本不用。 完全分布式结构：如墨西哥大学提出的基于人工免疫的系统，它采用类似人 类淋巴细胞的完全分布式结构来识别正常或异常。系统中设有全局控制中心，所 以分布性和容错性最好，但管理和进行信息综合却比较困难，较难从整体上把握， 对相互之间有联系的入侵难以判断。 部分分布式结构：最典型的是s p a 仃o r d 提出的自治代理结构，这种方法介于 - 2 1 - 南京邮电学院硕士研究生学位论文 上述两种方法的中间，它采用多级别的分布式结构比较合理地解决了集中管理和 分布处理的矛盾。这个结构中包括四个组成部分，即a g e n t 、过滤器、收发器、 监控器。 2 4 小结 入侵检测系统自二十世纪八十年代开始发展以来，虽然迄今不过短短二十 年，但已经取得了丰硕的成果。特别是进入本世纪，随着i n t e r n e t 的不断发 展，人们对安全问题的关注空前高涨。尤其是人们对网络安全威胁的来源有了更 加清除的认识；对传统安全防范措施的不足之处有了更深的了解。从而也更加注 重发展新的更完善的安全系统。为适应网络技术和黑客手段的飞速发展，我们需 要一个适应性较强的方法来保护系统的安全，因此，作为防火墙有力补充的入侵 检测技术脱颖而出。 本章从入侵检测中的一些基本概念入手，对入侵检测系统的发展、系统组成、 系统分类及入侵检测中的关键技术做了较为详细的介绍。通过分析我们看到，入 侵检测中异常检测技术以其对新入侵变异的高适应性受到了研究人员的青睐，而 这种适应性在很大程度上取决于正常行为特征建立的好坏。所以研究异常检测技 术的重点难点都是如何构建正常行为的完整的便于更新的具有较强适应性的特 征轮廓，以便更好的发挥这个异常检测的优势。 南京邮电学院硕士研究生学位论文 第三章基于系统调用的主机入侵检测 3 1 基于主机的入侵检测系统 前面已经提到过，从技术上看，入侵检测系统基本上可分为两类：基于网络 ( n i d s ) 和基于主机( h i d s ) 。本章节主要介绍基于主机的入侵检测系统，包括它的 主要用途、基本工作原理和方式、安全性、优缺点、现状和发展趋势等。 3 1 1h i d s 的原理及体系结构 主机入侵检测系统通常在被重点检测的主机上运行一个代理程序。该代理程 序扮演着检测引擎的角色，它根据主机行为特征库对受检测主机上的可疑行为进 行采集、分析和判断，并把警报信息发送给控制端程序，由管理员集中管理。此 外，代理程序需要定期给控制端发出信号，以使管理员能确信代理程序工作正常。 如果是个人主机入侵检测，代理程序和控制端管理程序可以合并在起，管理程 序也简单得多。 主机入侵检测系统主要依靠主机行为特征进行检测。检测系统可通过监测系 统日志和s n m p 陷阱来寻找某些模式，这些模式可能意味着一大堆安全上很重要 的事件。检测系统的特征库包括很多类操作系统上的事件。这些事件检查可疑的 文件传输，受到拒绝的登录企图，物理信息( 如一块以太网卡被设为混杂模式) ， 以及系统重启。特征库也可包括来自许多应用程序和服务的安全讯息，如s e c u r e s h e l l 、s e n d m a i l 、q 【a i l 、b i n d 和a p a c h ew e b 月艮务器。 基于主机的入侵检测系统的一个优势就是它可以根据结果来进行判断。判据 之一就是关键系统文件有没有在未经允许的情况下被修改，包括访问时间、文件 大小和m d 5 密码校验