（计算机科学与技术专业论文）军队网络基于模式匹配和协议分析的入侵检测系统研究.pdf

r e s e a r c ho ni n t r u s i o nd e t e c t i o ns y s t e mi nm i l i t a r y n e t w o r kb a s e do np a t t e r nm a t c h i n ga n dp r o t o c o la n a l y s i s at h e s i ss u b m i t t e df o rt h ed e g r e eo fm a s t e r c a n d i d a t e ：h ep e i g a n g s u p e r v i s o r ：a s s o c i a t ep r o f x i a oj u n b i c o l l e g eo fc o m p u t e r c o m m u n i c a t i o ne n g i n e e r i n g c h i n a u n i v e r s i t yo fp e t r o l e u m ( e a s t c h i n a ) 关于学位论文的独创性声明 本人郑重声明：所呈交的论文是本人在指导教师指导下独立进行研究工作所 取得的成果，论文中有关资料和数据是实事求是的。尽我所知，除文中已经加以 标注和致谢外，本论文不包含其他人已经发表或撰写的研究成果，也不包含本人 或他人为获得中国石油大学( 华东) 或其它教育机构的学位或学历证书而使用过 的材料。与我一同工作的同志对研究所做的任何贡献均已在论文中作出了明确的 说明。 若有不实之处，本人愿意承担相关法律责任。 学位论文作者签名：损亨垂少已日期：，f 年r 月j 多日 学位论文使用授权书 本人完全同意中国石油大学( 华东) 有权使用本学位论文( 包括但不限于 其印刷版和电子版) ，使用方式包括但不限于：保留学位论文，按规定向国 家有关部门( 机构) 送交学位论文，以学术交流为目的赠送和交换学位论文， 允许学位论文被查阅、借阅和复印，将学位论文的全部或部分内容编入有关 数据库进行检索，采用影印、缩印或其他复制手段保存学位论文。 保密学位论文在解密后的使用授权同上。 学位论文作者签名： 指导教师签名： 褒话制 真寻弼 日期： 训1 年f 月夕日 日期：p ，1 年f 月) 咿日 摘要 近些年来，伴随着我军信息化进程的不断推进和网络的推广运用，军队对网络安全 的研究也日益被重视，各军区也专门成立了网络防护中心，对网络安全防护进行深入研 究，其中包括一系列的安全保障技术，如数据加密技术、授权认证机制、访问控制策略 和防火墙技术等，取得了丰硕的成果。 但是，这些都属于静态的安全防御技术，对当今网络环境中日新月异的入侵攻击行 为不能进行有效地抵御。传统的基于模式匹配的入侵检测系统出现了很多问题，如：效 率低、误报率高、对新型网络攻击的检测能力有限等，已经不能满足当前军队对网络安 全的迫切需要。而协议分析技术能够利用网络协议的高度规则性来快速检测攻击行为的 存在，提高入侵检测系统的检测速度和准确性，从而提高系统的性能。因此，利用协议 分析技术，融合传统的模式匹配技术的优点的新的入侵检测系统，能为用户提供更加完 善的入侵检测与防护系统。 本文根据入侵检测系统的研究现状，分析了模式匹配在入侵检测系统应用中的优缺 点，阐述了简单协议分析技术的基本思想以及基本分析过程，并针对目前协议标准并非 完全统一和公开以及并非所有的数据包都可完全解析( 如经过加密) 的情况，引入了一 种基于动态二进制程序分析的新型协议分析技术，并结合两者的优点，提出了一种既能 分析公开的协议又能分析未知协议的准确、高效的协议分析模型，并结合入侵检测系统 的参考模型，设计了一种基于军队网络的入侵检测系统。 关键词：网络安全；入侵检测；模式匹配；协议分析； r e s e a r c ho ni n t r u s i o nd e t e c t i o ns y s t e mi nm i l i t a r yn e t w o r k b a s e do np a t t e r nm a t c h i n ga n dp r o t o c o la n a l y s i s h ep e i g a n g ( m e c h a t r o n i c e n g i n e e r i n g ) d i r e c t e db yp r o f x i a oj u n b i a b s t r a c t i nr e c e n ty e a r s ，w i t ht h er a p i dd e v e l o p m e n to fc o m p u t e ra n dn e t w o r kt e c h n o l o g yi nt h e p l m i l i t a r yn e t w o r kh a sb e c o m ea l li m p o r t a n tw a yt h ea n t i - c h i n af o r c e ss t e a lm i l i t a r y s e c r e t s t h em i l i t a r yh a ss e tu ps o m er e l a t e dn e t w o r kp r o t e c t i o nc e n t e r s ，a n dd e p t hs t u d i e dt h e p r o b l e m so fn e t w o r ks e c u r i t y , i n c l u d i n gar a n g eo fs e c u r i t yt e c h n o l o g i e s ，s u c ha sd a t a e n c r y p t i o n ，a u t h e n t i c a t i o na u t h o r i z a t i o n ，a c c e s sc o n t r o lp o l i c ya n df i r e w a l lt e c h n o l o g y , a n d a c h i e v e df m i t f u lr e s u l t s h o w e v e r , t h e s es e c u r i t yt e c h n o l o g i e sa r es t a t i c ，c a n n o te f f e c t i v e l yr e s i s tr a p i d l yc h a n g i n g i n v a s i o na t t a c k si nt o d a y sc o m p l e xn e t w o r ke n v i r o n m e n t t h et r a d i t i o n a li n t r u s i o nd e t e c t i o n s y s t e m sb a s e dp a t t e r nm a t c h i n gr i s et om a n yp r o b l e m s ，s u c ha sl o we f f i c i e n c y , h i g hf a l s e a l a r mr a t e ，t h el i m i t e dc a p a c i t yo fd e t e c t i n gn e wa t t a c k s ，a n ds oc a nn ol o n g e rm e e tt h e c u r r e n tu r g e n tn e e df o rt h ea r m yn e t w o r ks e c u r i t y t h ep r o t o c o la n a l y s i st e c h n o l o g yt a k e s a d v a n t a g eo ft h eh i g hr e g u l a r i t yo ft h en e t w o r kp r o t o c o lt oq u i c k l yd e t e c tt h ea t t a c k s ，c a n i m p r o v et h ed e t e c t i o ns p e e da n da c c u r a c y , a n dt h ep e r f o r m a n c eo fi n t r u s i o nd e t e c t i o ns y s t e m s 。 i tc a np r o v i d eu s e r sw i t hm o r ec o m p l e t ei n t r u s i o nd e t e c t i o na n dp r e v e n t i o n ，i sn o wr e s e a r c h h o t s p o ti na r m yn e t w o r ks e c u r i t y f i r s to fa l l ，t h i sp a p e rs y s t e m a t i c a l l yi n t r o d u c e dt h eb a s i ct h e o r i e so fi n t r u s i o n d e t e c t i o n ，i n t r o d u c e dt h eb a s i ct h e o r yo fp a t t e r nm a t c h i n g ，d i s c u s s e di nd e t a i ls e v e r a lp a t t e r n m a t c h i n ga l g o r i t h m st h a ti n t r u s i o n d e t e c t i o ns y s t e m sc o m m o n l yu s e d ，a n da n a l y z e dt h e a d v a n t a g e sa n dd i s a d v a n t a g e so ft h ep a t t e r nm a t c h i n gu s e di ni n t r u s i o nd e t e c t i o ns y s t e m t h e n ，t h ea u t h o ri n t r o d u c e dt h ek n o w l e d g eo nt c m ea n de l a b o r a t e d t h eb a s i ci d e aa n d p r o c e s so ft h es i m p l ep r o t o c o la n a l y s i st e c h n o l o g y f i n a l l y , a c c o r d i n gt ot h ec h a r a c t e r i s t i c so f p a t t e r nm a t c h i n ga n dp r o t o c o la n a l y s i sa n dt h er e f e r e n c em o d e lo fi n t r u s i o nd e t e c t i o ns y s t e m ， t h ea u t h o rd e s i g n e dan e wi n t r u s i o nd e t e c t i o ns y s t e mb a s e do np a t t e r nm a t c h i n ga n dp r o t o c o l a n a l y s i sf o rm i l i t a r yn e t w o r k k e y w o r d s ：n e t w o r ks e c u r i t y ：i n t r u s i o nd e t e c t i o n ：p a t t e r nm a t c h i n g ：p r o t o c o l a n a l y s i s 目录 第一章绪论“1 1 1 选题背景与意义l 1 2 论文的研究内容“l 1 3 论文的组织结构2 第二章入侵检测系统概述3 2 1 入侵检测系统的定义3 2 2 入侵检测系统的分类3 2 2 1 根据审计数据源分类3 2 2 2 根据检测技术分类4 2 2 3 根据体系结构分类5 2 3 入侵检测系统的基本组成5 2 3 1 入侵检测的一般过程5 2 3 2 入侵检测的组件6 2 4 入侵检测系统发展趋势7 2 4 1 存在的问题7 2 4 2 发展趋势”8 2 5 本章小结”9 第三章模式匹配技术1 0 3 1 模式匹配简介1 0 3 2 常用模式匹配算法“1 1 3 3 模式匹配在入侵检测中的应用1 5 3 4 本章小结一1 6 第四章协议分析技术1 7 4 1 t c p i p 协议介绍”1 7 4 1 1t c p lp 协议模型1 7 4 1 2t c p ip 协议相关属性2 3 4 2 简单协议分析技术2 5 4 3 未知协议分析技术2 6 4 4 一种新型的协议分析模型3 1 4 5 协议分析在入侵检测中的应用3 3 4 6 本章小结一3 4 第五章基于模式匹配和协议分析的入侵检测系统设计3 5 5 1 系统设计原理3 5 5 2 设计目标3 5 5 3 系统总体结构设计点3 6 5 4 数据包捕获模块3 8 5 5 协议分析模块3 9 5 6 规则解析模块4 1 5 7 规则匹配模块4 2 5 8 实验结果与分析4 3 5 9 系统的特点分析与评价4 4 第六章结束语4 5 6 1 工作总结4 5 6 2 进一步研究展望4 5 参考文献4 7 攻读硕士学位期间取得的成果5 0 致 射51 中国石油人学( 华东) t 程顾i j 学位论义 第一章绪论 1 1 选题背景与意义 随着计算机网络与通信技术的飞速发展，计算机网络在人类社会和生活中占据着越 来越重要的位置。与此同时，各种各样的网络安全问题接踵而来，为国家安全尤其是军 事机密带来了诸多隐患和挑战。因此，网络安全问题己经成为军队中最受关注的问题之 一。 当前，为了抵御网络中的各种威胁及攻击，创造良好的网络环境，多种安全防范技 术应运而生。例如，防火墙技术，是一种有效的防御工具，当通过广域网和i n t e m e t 访 问内部的主机或者网络是，以及通过内部的主机或者网络访问外部的系统时，防火墙由 于被嵌在内部网和i n t e m e t 之间，通过访问控制可以使系统免于网络安全方面的威胁。 但是，防火墙技术有其局限性，也不能消除来自内部的威胁。而入侵检测则是对防火墙 的有益补充，作为了系统防御的第二道防线【1 1 。但是，随着i n t e m e t 技术的不断发展， 面对层出不穷、变化多端的攻击，入侵检测系统仍然需要不断完善现有技术和进行新的 思路、技术的研究。因此，对军网的入侵检测进行研究具有重大的现实意义和应用价值。 1 2 论文的研究内容 本文在跟据国内外入侵检测的最新研究进展的基础上，将工作重点放在协议分析和 模式匹配的入侵检测领域的理论研究与应用上，并且提出了相应的解决方案。本文的主 要工作包括以下几点： ( 1 ) 系统地介绍了入侵检测系统以及模式匹配和协议分析系统的相关理论。 ( 2 ) 结合简单协议分析技术和未知协议分析技术两者的优点，我们提出一种新型的 既能分析公开的协议又能分析未知协议的协议分析模型，大大提高了协议分析技术的准 确性和分析能力，并使得协议分析更为高效。 ( 3 ) 根据模式匹配和协议分析的特性，结合入侵检测系统的参考模型，提出了一个 基于军队网络的入侵检测系统的设计模型，该系统采用了模式匹配算法和协议分析技 术，提高系统的准确性和检测速度，并对系统的数据包捕获模块、协议分析模块、规则 解析模块和规则匹配模块等关键模块进行了更深入的介绍和设计。 第一章绪论 1 3 论文的组织结构 全文共分六章，各章的内容安排如下： 第一章绪论。介绍了入侵检测系统的相关背景与研究意义，以及本文所作的研究 工作，并且给出了本文的组织结构。 第二章入侵检测系统概述。首先介绍了入侵检测系统的相关概念，给出了入侵检 测系统的定义、分类、组成和模型以及现今面临的挑战，最后对入侵检测系统以后的发 展方向做了展望。 第三章模式匹配技术。首先了阐述模式匹配技术相关知识；然后介绍了当前入侵 检测中常用的模式匹配算法；最后分析模式匹配算法在入侵检测系统中的运用的优点和 缺点。 第四章协议分析技术。首先介绍了关于t c p i p 协议的相关知识；然后引出了简单 协议分析技术和未知协议分析技术，并结合两者的优点，提出了一种新型的协议分析模 型；最后介绍了协议分析技术在入侵检测系统中的应用。 第五章首先介绍了具有军队网络的入侵检测系统的设计原理和主要功能目标，然 后进行了总体的结构设计，最后给出了该系统的特点分析。 第六章结束语。总结概述全文并且提出了需要进一步研究的问题。 2 中国石油人学( 华东) t 程硕i ：学位论文 第二章入侵检测系统概述 2 1 入侵检测系统的定义 入侵检测，是一种可以用来保证计算机系统的安全的技术，能够及时检测出系统中 未授权或入侵行为并作出报告，并能针对计算机网络中违反安全策略行为进行检测 2 - 8 。 它在网络或计算机系统中设置的若干关键点上实时地收集信息，并分析这些信息，从而 检测网络或计算机系统中违反安全策略的行为和入侵现象是否存在，并做出适当响应。 我们将完成入侵检测的软件与硬件的集合称为入侵检测系统( 简称i d s ) 。 入侵检测系统作为一种积极主动的安全防护工具，可以对内部攻击、外部攻击和误 操作提供实时防护，在网络和计算机系统受到攻击之前能够进行报警、拦截和响应。一 般情况下，它的主要作用主要体现在以下几个方面【9 】： ( 1 ) 通过对网络中的违反安全策略行为进行检测和记录，可以对网络犯罪惩罚， 杜绝网络入侵行为的发生； ( 2 ) 可以针对其他安全措施不能阻止的入侵行为或违反安全策略行为进行检测： ( 3 ) 可以对黑客在攻击前的探测行为进行检测，以便预先警报给管理员； ( 4 ) 可以对网络或计算机系统中的安全威胁和入侵进行报告； ( 5 ) 能够收集与攻击行为有关的信息，以便系统管理员对存在的安全弱点进行检 测和修补； ( 6 ) 入侵检测系统可以显著提高大型、复杂的网络或计算机系统中的网络安全管 理的质量。 2 2 入侵检测系统的分类 入侵检测系统可按照不同的方法进行分类，其中按审计数据源、检测技术、检测的 实时性、对抗措施、体系结构等方面进行分类是应用最多的分类方法阴。 2 2 1 根据审计数据源分类 入侵检测实质上是对安全审计数据的处理，这种处理可以针对主机的审计记录或应 用程序日志，也可以针对网络数据。因此，根据审计数据源的不同可将i d s 分为基于主 机的i d s 、基于网络的i d s 、基于网络主机混合型的i d s 。 3 第二章入侵榆测系统概述 ( 1 ) 基于主机的入侵检测系统 基于主机的入侵检测系统通常是安装在被检测的主机之上，其安全审计数据源主要 是来自主机的日志、应用程序产生日志等审计记录，并对这些审计记录进行分析和检查， 当发现可疑行为，便报警并采取相应措施。 基于主机的入侵检测的检测精度高，并可针对不同操作系统的特点捕获应用层入侵 事件，但是由于其依赖于主机的操作系统及其审计子系统，实时性较差，只能检测针对 本机的攻击，不适合检测针对网络协议漏洞的攻击。 ( 2 ) 基于网络的入侵检测系统 一般在需要保护的网段内会安装基于网络的入侵检测系统，它能够利用网络数据包 作为审计分析数据源。因此，要对该网段中传输的各种数据包进行实时监视，并对它们 进行分析和检测。一旦有数据包与系统内置的某些规则吻合，入侵检测系统将给系统管 理员发送警报或者是直接切断网络连接。 基于网络的入侵检测系统的数据源的可信度高，隐蔽性好，不容易遭到攻击，资源 消耗少，而且由于网络协议的标准是统一的，因此，可以无需顾及主机的不同架构，提 供通用的网络保护。 ( 3 ) 混合式入侵检测系统 针对基于网络和基于主机i d s 的优缺点，混合式入侵检测系统结合可这两种审计数 据源，它不仅可发现网络中的攻击信息，而且可从系统同志中发现异常情况，最大限度 提高网络基建主机系统的信息收集，实现准确且高效的入侵检测，构架成一套完整立体 的主动防御体系。 2 2 2 根据检测技术分类 根据入侵检测所采用的技术的不同，入侵检测可以分为误用入侵检测、异常入侵检 测和协议分析三种。 ( 1 ) 误用入侵检测 误用入侵检测又称为基于特征的入侵检测，是利用已知的系统缺陷和已知的入侵方 法进行入侵的检测。入侵活动用可以用一种模式来表示，如果入侵者的攻击方法正好与 检测系统模式库中某些模式相匹配，则认为有入侵行为发生。 误用入侵检测对已知的入侵行为进行分析检测，可以有针对性地建立高效的入侵检 测系统，对已知攻击检测准确率较高。但是，不能检测已知入侵的变种和未知的新的入 4 中国石油人学( 华东) t 程硕l ：学位论文 侵方法，需要对入侵检测库进行不断的维护升级，并且系统移植性不好。 ( 2 ) 异常入侵检测 异常入侵检测又称为基于行为的入侵检测，前提是假设任何一种入侵行为都能区别 于正常行为的异常特性。任何人的正常行为都是有一定的规律的，一致的系统使用模式， 并通过分析这些行为产生的日志信息总结出这些规律，而入侵和滥用行为则通常和正常 的行为存在一定的差异。 异常入侵检测能够检测出未知的入侵行为，但漏报率低，误报率高。异常入侵检测 需要较长的训练时间，来建立正常使用模式，需要实实地建立和更新系统或用户的特征 轮廓。 ( 3 ) 协议分析 在传统模式匹配技术基础上，协议分析是一种近年来才发展起来的新型入侵检测技 术，它充分根据网络协议具有的高度有序性，通过数据包捕获、协议分析和命令解析一 系列的操作，来快速检测是否存在某种攻击特征。它使得计算量大大减少，即使在负载 很高的高速网络上，也能逐个分析所有的数据包。 2 2 3 根据体系结构分类 从入侵检测系统的体系结构来看，可分为集中式入侵检测系统和分布式入侵检测系 统。前者或作为单一的模块运行，或由一系列可交互的具有相同功能的实体构成；后者 由不同的实体构成，每个实体执行各自的任务，实体间通过消息或其他机制进行交互。 2 3 入侵检测系统的基本组成 2 3 1 入侵检测的一般过程 一般来说，入侵检测过程分为三个步骤：信息收集、信息分析和响应处理l 羽。 ( 1 ) 信息收集 信息收集是入侵检测的基础，通过不同途径收集数据，收集的数据包括主机日志和 防火墙日志、网络数据包、应用程序数据以及用户活动的状态和行为，而且需要收集网 络或计算机系统中的若干个关键点的相关信息，然后采用不同的方法进行分析，比较之 后得出问题的所在。入侵检测在很大程度上依赖于收集到的信息的可靠性和正确性。 ( 2 ) 信息分析 对收集到的有关主机日志、网络数据包、应用程序数据、防火墙r 志以及用户活 5 第二章入侵检测系统概述 动的状态和行为等信息，采用一定的技术手段进行分析，如模式匹配、统计分析、数据 挖掘、机器学习和智能算法等方法。 入侵检测是一个典型的数据处理过程，它通过对大量的系统审计数据和网络数据 包进行分析，来判断被监控的系统是否收到入侵攻击，其实就是把对系统有恶意的行为 从大量的系统行为中区分出来，关键就是如何从已知数据中获取系统的正常行为知识和 有关入侵行为的知识。 ( 3 ) 响应处理 相应处理是指当发现系统中存在入侵行为时，入侵检测系统采取措施进行防护、 对入侵证据进行保留并发送警报，根据报警产生预先定义的响应，采取相应措施，常用 的措施包括切断网络连接、终止进程、改变文件属性、记录日志、通过电子邮件或电话 通知管理员等。 相应处理一般可以分为两步，第一步是信息保存，便于系统管理员对系统日志或 网络数据进行查看和分析，也为发现的攻击提供入侵证据；第二步是攻击相应，对发出 的攻击采取相应措施，进行相应处理。 2 3 2 入侵检测的组件 最早的入侵检测模型是在1 9 8 6 年被d o r o t h yd e n n i n g 提出【1 0 1 ，这个模型与具体的系 统和具体输入没有关系，对以后大部分使用系统有很大借鉴价值。该模型主要依据主机 系统审计记录数据，从而生成有关系统的若干轮廓，并且监测轮廓的变化差异发现系统 的入侵行为。 入侵检测系统至少应该包括三个功能模块：收集事件记录流的信息源、发现入侵迹 象的分析模块和基于分析的响应模块。 美国国防部高级计划局提出的公共入侵检测框架的一个入侵检测系统通用模型将 入侵检测系统分为四个组件：事件产生器、事件分析器、响应单元和事件数据库1 1 l 】，在 这个模型中，前三者以程序形式出现，而最后一个则往往是文件或数据库，如图2 1 所 示。 6 中国缸油人学( 华东) t 程坝i j 学位论文 图2 1 入侵检测系统的基本构成 f i 9 2 - 1 i n t r u s i o nd e t e c t i o ns y s t e m sb a s i ss t r u c t u r e 我们将需要分析的数据统称为事件，它可以是主机日志及用户活动的状态和行为， 也可以是网络中的数据包。 ( 1 ) 事件产生器 事件产生器是负责完成入侵检测过程中的信息收集的，用来收集包括主机日志和防 火墙日志、网络和应用程序数据、以及用户活动的状态和行为，也可能需要收集在网络 或计算机系统中的某些关键点上的相关信息，即从整个计算环境中获取事件，以提供给 系统中的其他部分。 ( 2 ) 事件分析器 事件分析器是入侵检测系统的核心模块，负责对事件产生器提供的信息进行分析比 较，并产生分析结果，从而判断系统中是否存在异常现象或入侵行为。因而，它的效率 的高低直接决定着整个入侵检测系统的性能。 ( 3 ) 响应单元 响应单元负责对事件分析器的分析结果做出相对反应，当事件分析器发现入侵迹象 后，响应单元可以做出切断网络连接、终止进程、改变文件属性、记录日志、通过电子 邮件或电话通知管理员等响应处理，也可以只是简单的报警。 ( 4 ) 事件数据库 事件数据库用来存放各种中间数据和最终数据，方便系统中其他模块对数据信息的 保存、分析、处理等操作，由于数据的庞大性和复杂性，一般都采用成熟的数据库产品。 2 4 入侵检测系统发展趋势 2 4 。1 存在的问题 从入侵检测概念的提出至今，入侵检测技术的发展十分迅速，取得了丰硕的成果。 但是，随着i n t e r a c t 技术的不断发展，面对层出不穷、变化多端的攻击，入侵检测系统 无论是理论研究还是实际应用都显得不太成熟，仍然存在很多问题有待于研究、探索【9 i ， 7 第一二章入侵检测系统概述 主要包括： 误报和漏报的矛盾； 隐私和安全的矛盾： 被动分析和主动发现的矛盾； 海量信息和分析代价的矛盾； 功能性和可管理性的矛盾； 单一产品和复杂的网络应用的矛盾； 这些都表明，入侵检测技术的发展任道而重远，需要更多的专家学者参与，进行更 加深入的研究和探索。 2 4 2 发展趋势 网络技术和相关学科的快速发展和攻击方法的复杂多样，使得人们对入侵检测技术 提出更高的要求。在构成将来的系统安全的大环境中，从现存的问题可以发现，入侵检 测将呈现以下发展趋势： ( 1 ) 智能化分析检测方法的深入研究 由于网络攻击方法的复杂性和多样性，导致现有的检测方法存在很高的误报率和 漏报率，并且随着网络数据流量的不断增长和网络结构的变化，现有的检测方法的效率 有待提高。因此，需要对智能化方法，如数据挖掘、遗传算法、支持向量机和神经网络 等广泛应用到入侵检测研究中，并进行进一步的研究，以提高其智能化。 ( 2 ) 分布式入侵检测体系结构的研究 围绕分布式结构，针对异构系统及大规模网络的特点，深入研究分布式入侵检测技 术。将来的趋势是入侵检测高度分布式监控结构的使用。主要包含对分布式攻击的检测 方法和使用分布式方法来检测攻击，不同i d s 之间通过共享信息，协同检测复杂的入侵 行为，关键在于检测信息的协同处理与入侵攻击的全局信息的获取。 ( 3 ) 内容回复和网络审计功能的研究 协议分析技术弥补了模式匹配技术的一些不足，通过对协议进行解码，减少了入侵 检测系统需要分析的数据量，提高了效率，另外，由于协议比较规范，协议分析的准确 性比较高。 而内容恢复是在协议分析的基础上，完整的重组和记录网络中发生的行为，并监视 网络中的任何行为 1 2 , 1 3 】。网络审计是记录网络中所有的连接事件，入侵检测系统中的网 8 中困石油人学( 华东) - e 程硕i j 学位论文 络审计不仅可以跟防火墙一样，对网络中的进出信息进行记录，还可以对网络内部的连 接信息进行记录，这都是由入侵检测的接入方式决定的【】。网络审计对内容恢复无法恢 复的加密连接非常有用。 ( 4 ) 改进对大数据量的收集处理方法 近几年来，随着带宽网络的逐渐普及，网络数据流量不断增长，入侵或攻击的规模 扩大，因此，对高效的大数据量的收集处理方法的需求日益增加，现有的大数据量的收 集处理方法有待于进一步的改善，从而不会成为影响入侵检测系统的性能的瓶颈。 2 5 本章小结 本章论述了入侵检测系统的相关概念，包括入侵检测系统的定义及分类、入侵检测 的发展历程、入侵检测的一般过程和组件、入侵检测系统现存问题及发展趋势。 9 第三章模式匹配技术 3 1 模式匹配简介 第三章模式匹配技术 模式匹配是在一个目标文本t 中查找某些特定的子串，使得这个子串与已知的模式 串p 相等若在t 中找到等于p 的子串，则称匹配成功，否则称匹配失败。模式匹配算 法是计算机科学中最基本的一个基础算法，在计算机理论和算法中有着重要的地位，并 有着广泛的应用。随着网络信息快速增长和网络安全问题日益突出，模式匹配对于病毒 防护和入侵检测、恶意信息的过滤等网络安全应用中，表现的尤为重要，尤其是用来在 文本中搜索指定子串的所有出现位置的串匹配算法，在入侵检测中的误用与异常检测当 中有所应用，特别是在误用检测中用的比较多。 入侵检测系统可以对系统日志中关于用户活动的状态和行为记录的详细信息进行 监听，以便收集用户对系统可能进行的非法入侵行为的证据，从而对用户的行为是否合 法作出判断【1 引。模式匹配则可以用来对收集到的信息和已建立的入侵行为的特征模式库 进行匹配，如果匹配成功，则判定用户的行为时违反安全策略的，入侵检测系统根据事 先设置的机制，采取相应的措施进行响应，以防御入侵行为的发生。针对各种入侵行为 的特点，入侵检测系统建立不同的入侵行为的特征模式库，同时，针对各种入侵行为， 加入了采取的相应措施，使得系统的安全机制得到显著的完善。 显然，只要对某种入侵行为的特征加入到已建立的特征模式库中，模式匹配则可以 找出与此入侵行为的特征相匹配的用户行为，并告知给入侵检测系统，从而认定该行为 是此类入侵行为，因此，对已知的入侵行为的检测的效率和准确性都比较高，但是不能 检测出未出现过的入侵行为，因此，要不断的升级，从而把新发现的入侵行为加入到已 建立的特征模式库，以便于检测。 这种基于模式匹配的入侵检测系统，就把模式匹配应用到入侵检测中的思想，是 k u m a r 在1 9 9 5 首次提出的。由于在入侵检测中表现出的较高的效率和准确性，模式匹 配很快就成为了入侵检测领域应用最广泛的技术，也成为影响入侵检测系统性能的决定 性因素。入侵检测系统的性能取决于其使用的模式匹配算法是否高效，应用在入侵检测 中的现有模式匹配算法的改进和新型模式匹配算法的提出已成为当今专家学者的研究 热点之一。 1 0 中国油人学( 华东) t 程硕i j 学位论文 3 2 常用模式匹配算法 鉴于模式匹配在入侵检测中的广泛应用，我们将在本节中介绍一下入侵检测系统中 常用的模式匹配算法。 当前模式匹配问题分为串匹配和组合模式匹配两种。其中，串匹配是指在文本中搜 索指定子字符串的所有出现位置的算法。如果有多个要匹配，那么可以把多个串组合在 一起进行搜索，而不是逐个地搜索，这样可以使得搜索时间得到节省，我们称之为多串 匹配。 根据功能的不同，模式匹配算法可分为精确模式串匹配算法、近视模式串匹配算法 和正则表达式匹配算法三类。其中，精确模式串匹配算法被用来寻找与特定的一个或一 组模式串完全相同的所有串在该数据序列中的出现位置；然而近视模式匹配算法则是按 照算法定义的相似程度度量标准，找出与特定的一个或一组模式串在一定相似度范围内 相似的所有串在该数据序列中的出现位置；j 下则表达式匹配算法通过j 下则表达式，找出 能够被用来描述的正则表达式接受的所有串在数据序列中的出现位置。在入侵检测领域 应用的比较多的是精确模式串匹配算法。 1 朴素串匹配算法( b f 算法) 最简单的单模式串匹配算法就是朴素串匹配算法( b f 算法) ，它的算法思想是：主 字符串中的第一个字符和模式串的第一个字符进行比较，若相等则对主字符串中的第二 个字符和模式串的第二个字符继续比较，依次类推，来比较后续字符，否则，再从主字 符串的第二个字符开始，重新和模式串的第一个字符进行比较。依次类推，直至模式串 和主字符串中的一个子字符串完全相等，此时称为匹配成功，否则称为匹配失败。 在进行匹配时，朴素模式匹配算法不需要任何的预处理过程，并且不需要额外的存 储空间，除了模式串和主字符串之外。但是，当朴素模式匹配算法在匹配失败而重新比 较时，只能向前移一个字符，若主字符串中存在多个子串，和模式串部分匹配，那么匹 配指针将多次回溯，从而造成匹配算法的效率降低。在最好情况下，它的时间复杂度为 o ( n ) ，而在最坏情况下，它的时间复杂度为0 ( m 术n ) ，其中，n 表示主字符串的长度，m 表示模式串的长度1 1 6 1 。 2 k m p 算法 k m p 算法是由k n u t h 、m o r r i s 和p r a t t 三人设计的一种线性时间复杂的字符串匹配 算法，它是对朴素串匹配算法( b f 算法) 在匹配失败而重新比较时只能向前移一个字 第三章模式匹配技术 符的不足所做的改进。其算法思想是：当一趟匹配过程中出现匹配失败时，充分利用已 经得到的部分匹配信息，取消掉那些多余的比较，将模式串向右“滑动”尽可能远的一 段距离后，再继续进行比较，从而使得模式匹配的效率得到提高。 该算法进行匹配时的具体过程为：在匹配窗口内程序开始从左向右匹配，在模式串 的第七+ 1 个字符仇+ 。处，如果存在不匹配，则说明当前文本与前七个字符n 。识完全相 等。如果知道对应匹配子串见以的所有后缀中含有a 巾。的最长前缀p 1 以( 0 s f = i p a t l e n ) 匹配成功 j = k m p s h i f t j ； ) ) 3 b m 算法 由b o y e r 和m o o r e 共同提出的b m 算法是一种基于后缀的模式匹配算法，它的特点 是从右向左逆向进行字符匹配，通过良好后缀转移机制和不良字符转移机制这两种启发 1 3 第三章模式匹配技术 式方法来确定在主字符串中下一次匹配动作的开始位置。 b m 算法的良好后缀转移机制可描述为：在匹配窗口内程序从右向左开始匹配，在 模式串的第k + 1 个字符见+ 。处，如果存在不匹配，则说明当前文本与前k 个字符a 一以完 全相等，a 一以是和模式字符串相同的最大后缀，而模式字符串和窗口内的文本并不匹 配，因此需要将窗口向左移动，使得匹配重新开始。由于通过模式字符串，可以知道它 的每一个后缀在模式字符串中的所有出现位置，并知道现在和模式字符串相同的最大后 缀p 1 。以在模式串中的出现位置，在这种情况下，可以假设从右向左依次是i ，j ( j ) 。 那么，可以安全地向右移动匹配窗i = 1j 一f 位，而任何可能的匹配情况不会被忽略，然后 开始新的窗口中下一次的匹配【3 2 】。 b m 算法的不良字符转移机制为：在匹配窗口内程序从右向左开始匹配，发现了一 个在主字符串的第k + 1 位出现但没有出现在模式字符串的任何位置的字符，或者出现在 模式字符串的第_ 1 个字符，可以不用担心忽略任何相关的匹配，直接安全地移动窗口 到在模式字符串中这个字符可以出现的最右位置对应的位置【3 3 】。 根据不良字符转移和良好后缀转移两种启发式方法，b m 算法中，根据这两种方法 计算出的跳跃信息分别由两个整数数组来记录，因此，b m 算法的预处理过程可以分为 计算不良字符转移表和计算良好后缀转移表两个阶段。 ( 1 ) 计算不良字符转移表 在b m 算法中，一个字符集为定义