（计算机应用技术专业论文）网络入侵响应系统的设计与实现.pdf

北京交通大学顼_ 。学位论立 摘要 信息安全已成为世界性的现实问题，入侵检测是网络安全体系中 的重要防范技术，能够及时发现并报告网络系统中未授权或合法用户 滥用特权等现象。人们对于现有的i d s 的批评主要集中在以下两点： 入侵检测的误报率偏高和入侵响应能力差。 本文设计和实现了一个有效的网络入侵响应系统来解决上面提 到的两个问题。 在这个系统的最底层，检测代理分丰j i 各种数据源，负责本地网络 的检测，并将报警发送给上层的融合代理。 在第二层，融合代理的功能是进行融合关联从而能够识别黑客攻 击的意图，将处理后的报警进行关联，从而可以去除些误报，同时 提供给管理员一个较为综合的信息。 在最高层，管理控制台除了负责对原始报警和融合报警的管理， 还耍对融合后的报警分析决策，制定响应措施，执行响应。首先使用 确信度学习，降低误报确定响应报警信息。然后由多因素组合综合评 判模型束决定响应手段并执行相应的向应措施，这部分是论文的重 点。 实验证明，该系统具有较低的误报率和较好的响应能力，达到了 设计的目标。 关键字：网络安全；入侵检测：入侵响应；数据融合 北京交通大学顺l 学位论文 a b s t r a c t i n f o r m a t i o ns e c u r i t yi saw o r l d w i d e p r a c t i c a lp r o b l e m ，a n di n t r u s i o n d e t e c t i o ni sat e c h n i q u ew h i c hc a nf i n do u tt h eu n a u t h o r i z e da c c e s sa n d i l l e g i t i m a t eu s i n gb yl e g a l u s e r si nn e t w o r k s e c u r i t ys y s t e m t h e c r i t i c i s m sa b o u ti d sa r ec o n c e n t r a t e d0 1 2t w op o i n t s ：h i g hf a l s ep o s i t i v e s r a t ea n dl o w r e s p o n s ea b i l i t y i no r d e rt os o l v et h et w op r o b l e m s ，an e t w o r ki n t r u s i o n r e s p o n s e s y s t e mi sp u tf o r w a r d i nt h i st h e s i s i nt h i ss y s t e m ，t h e r ea r et h r e el e v e l s ，a tt h el o w e s tl e v e l ，a ni n t r u s i o n d e t e c t i o n a g e n t d e t e r m i n e sw h a tt h el o c a l i n t r u s i o n sa r e t h r o u g h a n a l ，z i n ga l ls o r so f d a t a ，a n ds e n d sa l e r t st oaf u s i o na g e n t a tt h eh i g h e rl e v e l ，t h eo b j e c t i v eo ft h ef u s i o na g e n ti st of u s ea n d c o r r e l a t ea l e r t si no r d e rt or e c o g n i z et h ei n t r u s i o np l a n t h r o u g ht h i sa l e r t c o r r e l a t i o nf u n c t i o n ，i tr e d u c e st h en u m b e ro ff a l s ep o s i t i v e sa n dp r o v i d e s m o r e s y n t h e t i ca l e r t s a tt h eh i g h e s tl e v e l ，am a n a g ec o n s o l ei si nc h a r g ew i t hn o t o n l yt h e l a wa l e r t sa n df u s i o na l e r t s ，b u ta l s or e s p o n d st ot h ea l e r t sw h i c ha l e a l r e a d y f u s e d t h ec o n s o l e d e s i g n s a n d i m p l e m e n t s m e a s u r e st o r e s p o n d c e r t a i n t yf a c t o rs t u d yi sf i r s t l yu s e d t or e d u c ef a l s ep o s i t i v e sa n d 北京交通大学硕l ：学位论文 t h e r e s p o n s e a l e r t sa r em a d e a c c o r d i n g l y t h e n am u l t i f a c t o r c o m b i n a t o r i a ls y n t h e c t i c a lm o d e li su s e dt od e t e r m i n ew h i c hr e s p o n s e m e a s u r ew i l lb et a k e na n dt h er e s p o n s em e a s n r ew i l lb ei m p l e m e n t e d a c c o r d i n g l nt h i sp a r ti st h ee m p h a s e so f t h i st h e s i s e x p e r i m e n t ss h o w t h a tt h es y s t e mc o u l df u l f i l lt h eo b j e c t i v e s ，t h a t i s ， l o w e rf a l s ea l a r mr a t ea n d h i g h e rr e s p o n s ea b i l i t y k e yw o r d s ：n e t w o r ks e c u r i t y ；i n a u s i o nd e t e c t i o n ；i n t r u s i o nr e s p o n s e ； d a t af u s i o n 关于论文使用授权的说明 本人完全了解北京交通大学有关保留、使用学位 论文的规定，即：学校有权保留送交论文的复印件，允 许论文被查阅和借阅；学校可以公布论文的全部或部分 内容，可以采用影印、缩印或其他复制手段保存论文。 论文中所有创新和成果归北京交通大学计算机与信息 技术学院所有。未经许可，任何单位和个人不得拷贝。 版权所有，违者必究。 本人签名： i 啦四 日i i - 世年立月卫日 独创性声明 y 7 4 1 5 9 s 本人声明，所呈交的学位论文是我个人在导师指导 下进行的研究工作及取得的研究成果。尽本人所知，除 了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得北 方交通大学或其他教学机构的学位或证书而使用过的材 料。与我一起工作的同志对本研究所做的任何贡献已在 论文中作了明确的说明并表示了谢意。 本人签名：施幽 日期：型年立月且日 绪论 1 绪论 1 1 网络安全背景 近年来，互连网络以惊人的速度改变着人们的生活和工作效率。 网络环境为信息共享、信息交流、信息服务创造了理想空间，网络技 术的迅速发展和广泛应用，为人类社会的进步提供了巨大推动力。然 而，正是由于瓦联网的一些开放特性，产生了许多安全问题：信息泄 漏、信息污染、信息不易受控。在网络环境中，一些组织或个人出于 某种特殊目的，进行信息泄密、信息破坏、信息侵权和意识形态的信 息渗透，甚至通过网络进行政治颠覆等活动，使国家利益、企业利益 和个人的合法权益受到威胁。所以安全问题不解决，将影响到整个网 络的发展和应用。 众所周知，现有网络是一个开放性的t c p 网络。t c p 协议是目 前最为广泛使用的协议，也是事实上的网络标准。最初设计t c p i p 协议的目的是为了网络设备的互联通信。协议建立在完全信任的环境 下，彼此间有很多假定的信任关系，没有对安全问题引起足够重视。 然而，当互联网把触角伸向世界的每一个角落时，所有接触到网络的 人都成为近在咫尺的邻居。虽然我们可以信任身边的朋友，但是我们 不能保证每个接触网络的人都抱有善良的目的。其中更不排除许多纯 北京交通大学硕士学位论文 粹为了兴趣而不停寻找系统致命弱点的年青人。网络攻击入侵事件时 时发生。据美国g e n e r a l a c c o u n t i n go f f i c e ( g a o ) 的报告，在1 9 9 5 1 9 9 6 年，有2 5 0 0 0 次对美国政府机关计算机系统的入侵，至少有1 0 个关系到9 8 的政府预算的主要部门，而其中仅1 4 的入侵被检 测出，有报告的只有1 。在s p a f f o r d 报告中显示：信息窃贼在过去 5 年中以2 5 0 速度增长；9 9 的大公司都发生过大的入侵事件：电信 与计算机欺诈行为共造成1 0 0 亿美元的损失。 网络的安全问题不容忽视。为什么不堵住这些安全隐患昵? 网络 不是固定不变的，计算机系统也在不断更新换代，旧的漏洞刚被堵住， 新的弱点又被发现。有人统计，系统漏洞被发现和利用的速度远远超 过了关于计算机能力发展的摩尔定律。因此，想一劳永逸解决安全问 题足不现实的。安全问题需要人们不断地引起重视，做好一切准备， 任重而道远。 1 2 网络安全技术 随着人们对网络安全的不断认识，各种网络安全技术被提出来。 这些技术有效遏制入侵攻击，对互联网的蓬勃发展起到积极的推动作 用。目前，网络安全技术主要有：加密技术，v p n 技术，访问控制技 术，外部网安全技术等。下面简要介绍各种安全技术： 1 加密技术 加密型网络安全技术的基本思想是不依赖于网络中数据通道的 绪论 安全性来实现网络系统的安全，而是通过对网络数据的加密来保障网 络的安全可靠性。数据加密技术可以分为三类，即对称型加密、不对 称型加密和不可逆加密。 其中不可逆加密算法不存在密钥保管和分发问题，适用于分布式 网络系统，但是其加密计算量相当可观，所以通常用于数据量有限的 情形下使用。计算机系统中的口令就是利用不可逆加密算法加密的。 近年来，随着计算机系统性能的不断提高，不可逆加密算法的应用逐 渐增加，常用的如r s a 公司的m d 5 和美国国家标准局的s h s 。 2 v p n 技术 v p n ( 虚拟专网) 技术的核心是采用隧道技术，将企业专网的数据 加密封装后，透过虚拟的公网隧道进行传输，从而防止敏感数据的被 窃。v p n 可以在i n t e r n e t 、服务提供商的i p 、帧中继或a t m 网上建 立。企业通过公网建立v p n ，就如同通过自己的专用网建立内部网一 样，享有较高的安全性、优先性、可靠性和可管理性，而其建立周期、 投入资金和维护费用却大大降低，同时还为移动计算提供了可能。因 此，v p n 技术一经推出，便红遍全球。 但应该指出的是，目前v p n 技术的许多核心协议，如l 2 t p 、i p s e c 等，都还未形成通用标准。这就使得不同的v p n 服务提供商之间、 v p n 设备之间的互操作性成为问题。因此，企业在v p n 建网选型时， 一定要慎重选择v p n 服务提供商和v p n 设备。 3 访问控制技术 北京变通大学硕士学位论文 对于从外部拨号访问总部内部网的用户，由于使用公共电话网进 行数据传输所带来的j x l 险，必须更加严格控制其安全性。一种常见的 做法足采用身份认证技术，对拨号用户的身份进行验证并记录完备的 程录r i 忐。较常用的身份认证技术，有c i s c o 公司提出的t a c a c s + 以及业界标准的r a d i u s 。 4 外部网安全 我们所说的外部网建设，通常指与i n t e r n e t 的互联及与外部企业 用户的互联两种。无论哪一种外部网，都普遍采用基于t c p i p 的 i n t e r n e t 协议族。i n t e r n e t 协议族自身的丌放性极大地方便了各种计算 机的组网和互联，并直接推动了网络技术的迅猛发展。但是，出于在 早期网络协议设计上对安全问题的忽视，以及i n t e m e t 在使用和管理 上的无政府状念，逐渐使i n t e r n e t 自身的安全受到威胁，黑客事件频 频发生。 对外部网安全的威胁主要表现在：非授权访问、冒充合法用户、 破坏数据完整性、干扰系统正常运行、传播病毒、线路窃听等。 外部网安全解决办法主要依靠防火墙技术、入侵检测技术和网络 防病毒技术。在实际的外部网安全设计中，往往采取上述三种技术( 即 防火墙、入侵检测、网络防病毒1 相结合的方法。 1 3 论文研究的必要性 计算机网络已经渗透到了社会的各个领域，然而其安全问题也f 益突出，各种黑客攻击技术在网上唾手可得，而且日新月异。入侵检 测作为一种积极主动的安全防护技术，从网络安全立体纵深、多层次 防御的角度出发，通过监视受保护系统的状态和活动，提供了对内部 攻击、外部攻击和误操作的实时保护。近几年来入侵检测技术一直是 安全领域学术界的一个研究热点，人们对现有的入侵检测系统 i d s ( i n t r u s i o nd e t e c t i v es y s t e m l 提出了许多批评和改进的方法，对于 现有的i d s 的批评主要集中在以下两点： ( 1 ) 入侵检测的误报率偏高。基于主机的i d s 最大的好处就在于能 根据受保护站点的实际情况进行针对性的定制，使其工作非常 有效，误报警率也相当低。与基于主机的1 d s 高命中率不同， 现有的基于网络的1 d s 在所有的检测结果中，有的误报警率甚 至高达9 0 以上。 ( 2 ) 入侵响应能力差。在过去的i d s 研究和设计中，人们更注重如 何设计一个有效的系统和它的检测性能上，对入侵响应的研究 却很不充分。随着对网络和系统的攻击速度越来越快，规模越 来越大并且开趋复杂，研究和开发具有自适应能力的系统十分 迫切。目前，一些安全机构已经开始研究对攻击行为的有效响 应。 本系统就将针对这两个问题提出解决方案，设计出一个有效的网 络入侵响应系统n i r s ( n e t w o r k i n t r u s i o nr e s p o n s es y s t e m ) 。 北京交通大学硕士学位论文 1 4 研究内容 1 4 1 论文完成的主要任务 1 研究入侵检测的现状及发展 研究入侵检测系统的演化历程；研究当前入侵检测的分类方法； 研究入侵检测系统所采用的各种技术。同时，研究现有的入侵检测产 品，尤其是开源的s n o 卜轻量级的入侵检测系统。 2 研究入侵响应的现状及发展 研究入侵响应发展的历史、当前的发展的状况，以及它的分类、 采用的各种技术和现有的入侵响应系统的体系结构，提出_ 种完整的 有效的网络入侵响应体系结构，设计出较好的高效的网络入侵响应系 统。 3 。研究网络入侵响应系统中各个组件的功能和用途 研究网络入侵响应系统的各个组件，包括：检测器、数据融合、 响应决策分析、响应实施、安全数据库、用户接口、系统管理工具等 多个组件的功能和用途，并对它做进行合理的设计。 4 设计并实现网络入侵响应系统 在对入侵检测系统和入侵响应系统研究的基础上，设计、实现网 络入侵响应系统的体系结构和各个组件的功能用途。开发出一个比较 有效的网络入侵响应系统。 1 4 2 论文的主要成果 冷有监督的确信度学习与报警信息的过滤 很多 d s 系统在其入侵警报信息中并没有提供入侵的确信度这 样的参数，对于确定入侵警报的确信程度，区别不同的报警信息带来 不便。用有监督的确信度学习建立报警事件的确信度，通过设置阈值 对报警信息进行过滤，降低误报率。 夺多因素组合综合评判模型 很多报警的参数无法精确化，采用多因素组合综合评判模型来描 述因素与结果之间的关系。多因素组合综合评判模型是入侵响应决策 的中心模块，通过它决定对入侵采取何种响应手段。 1 5 论文组织与安排 论文共分成六部分。各部分内容安排如下： 第一章：绪论 介绍网络安全的背景，相关的安全技术，入侵响应的必要性。简 述论文所完成的任务、研究成果和论文的结构安排。 第二章：相关研究 分析入侵检测的分类与技术；入侵响应的发展、分类与技术，研 究现状与存在的问题；数据融合技术的介绍。 第三章：网络入侵响应系统的总体设计 北京交通大学硕士学位论文 分析系统的设计思想、体系架构，对关键组件进行说明，介绍了 系统的功能i ；t 标、设计需求等等。 第四章：系统的详细设计与实现 按照软件设计的要求，对系统的功能需求，体系结构，模块实现 等做了详细分析。给出了一个具体的实现方案。 第五章：实验 对整个系统做出了一定的测试和实际运用。 第六章：结束语 对网络入侵响应系统进行了总结，并且对以后的发展研究方向做 出了评论。 相关研究 2 相关研究 2 1 入侵检测 入侵检测的概念是在1 9 8 0 年由j a m e sp a n d e r s o n 提出来的。他 在为美国空军所做的一份技术报告中第一次详细阐述了入侵检测的 概念。他把入侵尝试( i n t r u s i o na t t e m p t ) 或威胁( t h r e a t ) 定义为潜 在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠 或无法使用的企图。他提出审计追踪可用于监视入侵威胁。自那以后， 人们就开始孜孜不倦她投入到对入侵检测的研究中来。2 0 多年的时间 过去了，入侵检测领域百花齐放，各种新兴的技术不断融合进来，如 神经网络，免疫系统，协议分析等等。入侵检测成为安全体系中不可 或缺的一部分。 2 1 1 入侵检测系统的分类 入侵检测系统一般可以分为基于主机的h i d s ，基于网络的n i d s 和分布式的d i d s 。h i d s 的原理类似于计算机防病毒软件或是网络管 理软件。它们在所有的被监控主机上安装代理，用特定的管理控制系 统汇报工作。n i d s 通过在网络上布置监听器，分析网段内的流量， 用特征匹配等方法来检测入侵。d i d s 是h 1 d s 和n i d s 的结合。它在 北京交通大学硕仁学位论文 整个大系统中根据不同的环境，采用不同的1 d s ，然后对各种信息进 行融合，在更高的层面上判断入侵。 a 基于主机的h i d s 在网络攻击中，d n s ，e m a i l 和w e b 服务器是多数网络攻击的 目标，大约占全部网络攻击事件的l 3 以上。所以应当在各个服务器 上安装h i d s 。检测结果应及时向管理员汇报，以便采取相应措施。 h i d s 最大的好处就在于能根据受保护站点的实际情况进行针对 性的定制，使其有效工作，误警率低。典型的如w e b 服务器入侵检测 系统。它相当于一套复杂的过滤设备，使用攻击字符串列表来对w e b 服务器( 单个或多个) 进行监视，可以发现针对w e b 服务器的已知的 各种可能攻击。这样的i d s 在工作时，即使有一些误警事件也关系不 大，因为这样可以通告管理员在w e b 服务器上运行了哪些脆弱的服 务，从而采取打补丁或升级应用程序的对策。管理员甚至还可以自己 编写或升级这样的i d s 。 h 1 d s 的工作原理如图2 , 1 所示。它以计算机系统作为目标环境， 不分析网络数据包，只考虑系统局部范围的用户。使用监测器筛选系 统的审计记录、系统日志、用户的位置和行为、c p u 和v o 及内存的 使用情况、文件系统的变化、应用程序中的攻击标志，再由分析器分 析这些信息，并向控制器提交报告。旦发现违规操作或者攻击行为， 则h i d s 根据预定的策略进行处理，并进行记录。 相关研究 图2 1 基于主机的入侵检测系统 h i d s 将检测模块驻留在被保护系统上，通过提取被保护系统的 运行数据并进行分析来实现入侵检测。h i d s 具有检测效率高，分析 代价小，分析速度快等特点，能够迅速并准确定位攻击者，并可以结 合操作系统和应用程序的行为特征对入侵进行进一步分析。 h i d s 存在以下问题： 首先它在一定程度上依赖于系统的可靠性，它要求系统本身应该 具有基本的安全功能并具有合理的设置，然后才能提取入侵信息； 其次，即使进行了正确的安全设置，对操作系统熟悉的攻击者仍 然有可能完成入侵行为，并在入侵结束后及时地在同志系统中抹去相 关的入侵信息。 再者，基本安全系统提供的日志信息也是有限的，相对于庞大的 入侵方法来说，只是杯水车薪，很多入侵手段和攻击结果不能在曰志 系统中得到反应。 北京交通大学硕l 学位论文 b 基于网络的n i d s n i d s 放置在比较重要的网段内，监视网段中的各种数据包。对 每一个数据包或可疑的数据包进行特征匹配。如果数据包与系统内置 的某些规则吻合，n i d s 就会发出警报甚至直接切断网络连接。目前， 大部分入侵检测产品是基于网络的。值得一提的是，在网络入侵检测 系统中，有多个久负盛名的开放源码软件，它们是s n o r t 、n f r 、s h a d o w 等，其中s n o r t 的社区( h t t p ：w w w s n o r t o r g ) 非常活跃，其入侵特征 更新速度与研发的进展已超过了大部分商品化产品。 n i d s 能检测来自网络的攻击和超过授权的非法访问。n 1 d s 不需 要改变服务器等主机配置。由于它不会在业务系统的主机中安装额外 的软件，从而不会影响这些机器的c p u 、i o 与磁盘等资源的使用， 不会影响业务系统的性能。由于n i d s 不会成为系统中的关键路径， 对网络性能也同样没有影响。部署一个n i d s 的风险比h i d s 的风险 少得多。n i d s 近年内有向硬件设备发展的趋势，安装这样的一个 n i d s 非常方便，只需将定制的设备接上电源，做很少一些配置，然 后连到网络上即可。 n 1 d s 只监测它直接相连的网段内通信数据，在交换式以太网环 境中则监测范围将会更加缩小。而对整个网络安装多台n i d s 的传感 器会使成本大大增加。n i d s 通常采用特征检测法，可以检测出普通 的攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检 测。 ，1 2 相关研究 n i d s 处理加密的会话过程较困难，目前通过加密通道的攻击尚 不多，但随着1 p v 6 的普及，这个问题会越来越突出。 c 分布式入侵检测系统( d i d s ) 网络入侵检测的核心部分是数据分析过程。通过对网络通讯、主 机状态的实时分析，找出系统异常和攻击特征。以往的检测系统都是 基于中心式的数据处理机制，信息通过网络上的几个节点收集并汇总 到中心进行分析。在早期的网络环境中，由于网络规模小，层次简单， 网络通讯速度慢，因此可以做到信息实时中心处理方法。随着高速网 络的发展，网络范围的拓宽，各种分布式网络技术、网络服务的发展， 使原来的n i d s 很难适应现在的状况。因此有必要把检测分析过程实 现分布化。 图2 2 集中式检测 集中式检测结构实现相对比较容易。如图2 2 所示，系统通过n 北京交通大学硕上学位论文 个s e n s e r 收集数据，经过过滤和简单处理后，数据再通过网络传输到 监测器。由陶中可以看到，系统存在一个通讯和计算的瓶颈。 s e n s o r ls e n s o r 2s e n s o r 3 图2 3 分布式检测 在分布式结构中，n 个监测器分布在网络环境中，直接接收s e n s o r 的数据，有效利用各主机的资源，消除了集中式检测的运算瓶颈和安 全隐患。同时由于大量的数据用不着在网络中传输，大大降低了网络 带宽的占用，提高了系统的运行效率。在安全性上，由于各监测器分 布、独立进行探测，任何一个主机遭到攻击都不影响其它部分的常 运行，增加了系统的鲁棒性。分布式入侵检测系统在充分利用系统资 源的同时，还可以实现对分布式攻击等复杂网络行为的检测。但分布 式系统结构存在设计复杂，各检测器之问如何协作，如何共享知识库 等问题。 相关研究 2 1 2 入侵检测采用的技术 入侵检测从提出到现在已经有二十几年的历史。期问，为了更有 效地检测入侵攻击，人们把众多学科的知识引入到入侵检测的领域， 如神经网络、医学上的免疫系统等等。这些思想的融入给入侵检测带 来了百花齐放的局面，为其发展做出了重要的贡献。这里，我们将对 这些技术做简单介绍。 a 基于概率统计的检测 概率统计是入侵检测最基术的检测形式之一。其目标就是记录每 个异常事件的发生，然后检测事件发生的概率是否超出了合理的范 围。根据事先的假定，当事件在短时间内发生的数量超出了一定的范 围时，则系统被认为受到入侵攻击。一旦某个统计量超出了规定的闽 值，则i d s 将发出警报，通过各种可能的方式报告给管理员。 实现一个基于概率统计的检测器时，最大的困难来a 于两点：第 。，怎么确定统计量；第二，如何确定每个统计量的闽值。i i 者是对 检测范围的描述，后者确定检测标准。 概率统计的检测方法很有局限性，一般只能作为i d s 的子模块柬 丰富检测手段。本节将讨论一个典型的统计模型下一代实时入侵 检测专家系统( n i d e s ) 。 n i d e s 驻留在被监控主机上。它监视用户行为，并且可以自适应 北京交通大学硕士学位论文 地习用户对象的正常行为模式。当出现了与预期偏离较大的行为 时，它会把这些行为标记为入侵。 根据每个用户的正常行为，n i d e s 为每一个用户建立一个用户特 征表。系统周期性的收集用户行为的相关信息。然后通过比较当前收 集的特征和以前存储的特征，判断是否出现异常的行为。用户特征表 需要不断更新，以适应用户的行为变化要求。n i d e s 给出了一个特征 表结构： 变量名，行为描述，例外情况，资源使用，周期，类型，阈值， 主体，客体，值 其中变量名，主体，客体唯一确定单个特征。i d s 系统在计算机 系统中用不同方法来周期性的检测这些变量的值。假如系统中有n 个 变量需要检测，则s 1 ，s 2 s n 分别代表这些变量当前的值。全局变量 t 代表用户行为的异常程度。其中a 表示每一特征的权值。 m = a 1 s2 + a 2 s 2 2 + a 3 s 3 2 + + a n s n 2a p o 概率统计模型的优越性在于所应用的概率理论非常成熟，并且对 未知的入侵攻击也有一定的检测能力。但是，它的特点也是明显的。 首先，用户的行为是复杂的，想要准确刻画用户行为非常困难。其次， 统计的检测对入侵行为的先后次序不敏感，完全依靠概率很可能漏掉 那些行为问有关联的入侵活动。再者，判断入侵的阈值很难确定，通 常是个经验值，阈值高则误报增加，阈值低则粒度太低，很多攻击检 测不到。 相关研究 b 基于神经网络的检测 基于神经网络的检测技术基本思想是用一系列信息单元训练神 经单元，在给定输入后，就能预测出输出结果。它是对基于概率统计 的检测技术的改进，主要克服传统的统计分析技术中的一些问题：( 1 ) 难于表达变量之间的非线性关系。( 2 ) 难于建立确切的统计分布。统 计方法基本上是依赖对用户行为的主观假设，如偏差的高斯分布，错 误警报通常是由这些假设所导致。( 3 ) 难于普遍实施。适用于某一类 用户的检测措施一般无法适用于另一类用户。( 4 ) 实现方法比较昂贵。 基于统计的算法对不同类型的用户不具有自适应性，算法比较复杂庞 大，算法实现上昂贵，而神经网络技术实现的代价较小。( 5 ) 系统臃 肿难于剪裁。出于网络系统是具有大量用户的计算机系统，要保留大 量的用户行为信息，导致系统臃肿，难于剪裁。基于神经网络的技术 能把实时检测到的信息有效地加以处理做出攻击可行性的判断。不过 这种技术现在还不成熟。 基于神经网络的模块：当前命令和刚过去的矽个命令组成了网 络的输入，其中是神经网络预测下一个命令时所包含的过去命令 集的大小。根据用户代表性命令序列训练网络后，该网络就形成了相 应的用户特征表，网络对下一事件的预测错误率在一定程度上反映了 用户行为的异常程度。 这种方法的优点在于能够更好地处理原始数据的随机特性，即不 需要对这些数据做任何统计假设，并有较好的抗干扰能力。缺点在于 1 ， 北京交通大学硕十学位论义 网络的拓扑结构以及各元素的权重很难确定，命令窗口的大小矽也 很难选取。窗口太大，网络降低效率；窗口太小，网络输出不好。 c 基于专家系统的检测 基于专家系统的检测技术是根据安全专家对可疑行为的分析经 验形成一套推理规则，构成专家系统，由专家系统自动地对所涉及的 异常行为进行分析和处理。这种方法具有其局限性，由于推理规则一 般都是建立在已知的安全漏洞和知识之上，但对系统最大的威胁是未 知的安全漏洞和攻击方法。这样就需要系统具有自学习能力，对规则 进行扩充和修币。推理机制使得能发现一些新的漏洞和规则，整个系 统的自适应性比较强。但推理系统和谓词演算的可计算性还不成熟。 在具体实现过程中，专家系统主要面临问题：( 1 ) 全面性问题。 很难从各种入侵手段中抽象出全面的规则化知识；( 2 ) 效率问题。需 要处理的数据量大，而且在大型系统上很难获得实时连续的审计数 据。 c 基于模型推理的检测 基于模型推理的检测技术是根据入侵的行为程序建立具有一定 行为特征的模型，根据这些模型所代表的攻击意图特征，实时检测恶 意的异常行为。用这种方法可以为某些行为建立特定的模型，从而能 够监视具有特定行为特征的一类活动，根据假设的攻击脚本，系统能 相关研究 够检测到非法的用户行为。当证据表明某特定的模型发生时，系统应 收集其他证据进行证实。 模型推理方法的优越性有对不确定性的推理有合理的数学理论 基础，同时决策器的使用使攻击脚本可以与审计记录的上下文无关。 这种方法由于首先按脚本类型检测相应类型是否出现，然后在检测具 体事件。不过存在一些问题：建立模型时的工作量比其他方法大，在 系统实现时，决策器如何有效地翻译攻击脚本是个问题。 d 基于免疫的检测 基于免疫的检测技术是把自然免疫系统的某些特性运用到网络 安全系统中，使整个系统具有适应性、自我调节性和可扩展性。人的 免疫系统成功保护了人体不受各种抗原和组织的侵害，这个重要特性 吸引了许多计算机安全专家和人工智能专家的关注。通过对免疫系统 的研究，计算机专家提出了计算机免疫系统。在许多传统的网络安全 系统中，每个目标都将它的系统日志和收集的信息传送给相应的服务 器，然后由服务器来做整体分析，判断是否发生了入侵。在大规模网 络中造成网络通信量极大，有时会阻塞网络。基于免疫的计算机入侵 检测系统运用免疫的多层性、分御性和多样性等特点设置动态代理， 实现实时的分层检测和响应机制。 北京交通人学顾上学位论文 2 2 入侵响应 入侵响应( i n t r u s i o nr e s p o n s e ) 是对所检测到的入侵行为所采取 的行为。它的目的是抵御试图破坏系统资源一致性、完整性和可用性 的行为。当i d s 分析出入侵行为或可疑现象后，系统需要采取相应手 段，将入侵造成的损失降低到最小程度。一般可以通过生成事件告警、 e m a i l 或短信息来通知管理员。随着网络的日益复杂和安全要求的提 高，更烈实时的和系统自动入侵响应方法证逐渐被研究和应用。这类 入侵响应大致分为三类：系统保护、动态策略和攻击对抗。这三方面 部属于网络对抗的范畴，系统保护以减少入侵损失为目的，动态策略 以提高系统安全性为职责，而入侵对抗则不仅可以实时保护系统，还 可实现入侵跟踪和反入侵的主动防御策略。 2 2 1 响应技术的发展 早期的入侵检测系统主要通过记录系统中的要件为系统安全管 理员提供审计数据。随后出现的基于网络的入侵检测系统则是通过网 络中的流量来监视来自网络的攻击，这包括1 9 9 0 年h e b e r l e i n 等提出的 n s m ( n e t w o r k s e c u r i t ym o n i t o r ) 和1 9 9 1 年的n a d l r ( n e t w o r k a n o m a l yd e t e c t i o na n di n t r u s i o nr e p o r t e r ) 等。 近期的响应技术研究主要包括入侵追踪、陷阱、与其它安全产品 的联动、入侵隔离、入侵屏蔽、呵信恢复、灾难控制、自适应响应等 相关研究 技术。 2 2 2 入侵响应系统的现状 计算机应急响应小组( c e r t ) 的年度报告显示每年发生的计算 机安全事件正在不断剧增，各种攻击手段对网络和计算机系统的威胁 也变得越来越大。不幸的是，目前的入侵检测系统( i d s ) 和入侵响 应系统( 1 r s ) 却没有跟 二h 益增长的攻击的步伐，入侵响应机制的 性能i + 分有限，仍停留在人工手动的处理过程。现有的入侵响应系统 可以分为通知警报系统、人工手动响应系统和自动响应系统三种类 型。表2 1 总结了这三种系统在现有入侵检测系统中所使用的比例。 表2 1 三种系统的比较 入侵响应系统分类使用比例 通知和报警( n o t i f i c a t i o n )3 1 人工手动响应( m a n u a lr e s p o n s e )8 自动响应( a u t o m a t i c r e s p o n s e ) 1 7 总计5 6 1 通知和警报响应系统 由表2 1 可以看出，大部分的入侵检测和响应系统属于通知和报 警类型。这些系统仅仅为系统管理员定期产生报警和报告，时问问隔 可以是每分钟到每小时或者每天。系统管理员可以根据系统产生的报 告对可能的入侵行为做进一步的调查。尽管使用了这种通知形式的响 北京交通大学硕士学位论文 应机制。但是在检测到一个可能的入侵行为并对其进行响应之间却存 在一个时间间隙的问题。研究表明：攻击的成功率和未被发玑前的时 f h j 紧密相关。对于一个熟练的攻击者而言，如果给定1 0 个小时，则 成功的概率为8 0 ；如果给定2 0 个小时，成功的概率为9 0 ；如果 给定更长的时间，则几乎不会失败。另方面，如果检测到入侵行为 后可以即时地进行响应，则对于一个熟练的系统管理员而言，攻击成 功的概率几乎为0 。 2 人工手动响应系统 一些系统允许系统管理员根据一组预先设定的响应措施对入侵 行为人工进行响应。这类系统往往为用户提供多种下确的响应措施选 择，同时也允许系统管理员根据提供的响应措施作最后的决定。这一 性能使系统管理员可以更快地响应入侵行为，而且为经验不足的系统 管理员提供帮助，从而比单一的通知警报系统更加有效。但是，在检 测到入侵行为和系统管理员启动一个响应措施之间仍存在着一个时 问间隙的问题。这一问题在当今的计算机环境下变得更加突出。 3 自动响应系统 自动响应系统通过预先设定的响应措施可以对入侵行为即时地 做出响应，从而减少缩短或者消除攻击者利用存在的时间间隙进行攻 击的机会。但是目前大部分的响应系统都使用简单的静态响应列表， 在列表中一种响应对应种特定的攻击行为。系统检测到入侵行为的 时候，这些预先设定好的响应措施就自动执行，但是这些响应往往是 相关研究 一些简单的命令而不是可以有效限制攻击行为的系列相关动作，缺 乏智能分析和自适应能力。对于自动响应技术的研究还处于初步阶 段，存在着很多的问题和不完善之处。 4 一个特殊的入侵响应研究领域入侵追踪 入侵追踪( t r a c e b a c k ) 是入侵响应中一个具有挑战性的课题。入 侵追踪要求能够追查入侵者的真实来源，并为采取进异步的法律措施 提供依据。追踪的方法主要有基于主机和基于网络两大类，每一类又 分为主动式和被动式。目前已经有了一些系统模型，如基于主机的 c a l l e r1 d 系统，基于网络的s w t 等。由于i p v 4 协议并没有考虑 到身份人证等问题，并且不同的网络处在不同的管理下，要做到及时 的入侵追踪是非常困难的，目前在技术上还不能很好解决这个问题。 对于入侵追踪的研究已有若干，但基本上还处于保密研究阶段，商业 i d s 产品一般不具有这一功能。 2 2 3 响应技术的分类 入侵响应的分类是任何入侵响应系统的基础。并非每一个针对入 侵行为的响应措施都是恰当正确的，因此对入侵响应进行恰当分类， 使具体的攻击对应适当的响应措施十分重要。以前的研究大多针对系 统的安全漏洞和攻击行为的分类，两对入侵响应的分类卸很少。 北京交通大学硕士学位论文 a 按响应的方式划分 从响应的方式上划分，入侵响应可以分为主动响应和被动响应两 大类型。在主动响应里，入侵检测系统应该能够自动地( 或在用户的 控制下) 阻塞或影响攻击，进而改变攻击的过程。在被动攻击里，入 侵检测系统仅仅简单地报告和记录所检测出的问题。 1 主动响应 主动响应是基于一个检测到的入侵行为所采取的措施，其可选择 的措施可分为如下几种类型： ( 1 ) 针对入侵行为采取必要措施 追踪入侵者实施攻击的源并采用相应措施，如禁用入侵者的机器 或者网络连接等。这类主动响应虽然很具攻击性，但是却很可能牵涉 一些实际的问题和法律责任，并带来一些负面的影响。如引起拒绝服 务攻击，造成第三方的无辜受损等。 这一类响应包括如下技术： 撤销t c p 连接 攻击者和一个激活的端口进行连接后，如果他向该端口发送一个 数据包，其中含有攻击字符串或可利用该端口的程序，那么对一个有 脆弱性的系统来说，这是十分危险的。入侵检测系统检测到攻击字符 串后，命令防火墙撤销连接。 物理隔离 物理隔离是自动响应技术的最后一着。其思想是：如果在某一时 2 4 相关研究 问段( 通常是没有分析员当班的时问段) 发生了足够多次的攻击，入 侵检测系统就向一个逻辑控制继电器发送命令，将路由器的电源断 掉。这样做的结果是该网络节点从i n t e r n e t 中隔离出来。尽管可能 发生拒绝服务的情形，但对于需要高度安全的网络节点，这也是个合 理的策略。 s y n a c k 响j 立 设想入侵检测系统己知某个网络节点用防火墙或过滤器对某些 端口进行防守，当入侵检测系统检测到向这些端口发送的t c ps y n 包 后，就用一个伪造的s y n a c k 进行回答。这样的话，攻击者就会以为 他们找到了许多潜在的攻击目标，而实际上他们得到的只不是一些错 误信息。 r e s e t 响应 这种响应的思想是如果你发现一个t c p 连接被建立，而它连接的 是你要保护的某种东西，就伪造一个r e s e t 并将其发送给发起连接的 主机，使连接断丌。还有一种方式是向内部发送r e s e t 。对使用这一 技术应该持慎重的保留态度。r e s e t 可能会断丌其他人的t c p 联机， 曾经有过商用入侵检测系统基于误报警就做出了r e s e t 响应。 ( 2 ) 重新修正配置系统 这类响应利用当前的入侵分析结果来改变分析引擎的一些参数 设置和操作方式，也可以通过添加规则，如提高某类攻击的可疑级别 或扩大监控范围来改变系统，从而达到在更好的粒度层次上收集信息 北京交通大学舰上学位论文 的目的。修正系统以弥补引起攻击的缺陷与其他的响应方式相比更加 缓和，但却往往不是最佳的一种选择。 ( 3 ) 设计网络陷阱以收集更为详尽的信息 当被保护的系统非常重要时，可以为系统增加一个特殊的服务 器，它用来营造环境使入侵者能被转向。此服务器通常称为“蜜罐 ( h o n e yp o t s ) ”、“诱饵( d e c o y s ) ”、“玻璃鱼缸( f i s h b o w l s ) ”。这些服 务器装备着文件系统和其它带有欺骗性的系统属性，这些属性就是被 设计用来模拟关键系统的外表表象和内容。这种响应方式对受保护的 系统关系重大且当事人要求法律赔偿是很有用的，尤其是在敌对威胁 环境中运行的关键系统或者面临大量攻击的系统，如政府的w e b 服 务器或者一些重要的电子商务站点。 2 被动响应 被动响应是只为用户提供警报信息，由用户自己决定节下来采取 何种措施的响应方式。其采取的措施可主要分为以下几种： ( 1 ) 警报和通知 警报的响应方式有多种，用户可以自己定制适合自己系统运行过 程的警报。最常见的报警和系统是显示在屏幕上的警告信息或者窗 口，一般出现在入侵检测系统的控制台上，也可以出现在用户安装入 侵检测系统时所定义的部件上。不同系统的报警信息的详实程度不 同，范围从簏单像“某一个入侵已经发生或正在发生”到列出次入侵 的表面源头、攻击目标、入侵的本质意图以及攻击是否成功等广泛性 相关研究 记录。在一些系统中，报警信息的内容也可以由用户定制。此外，还 可以通过电子邮件或者移动电话等给系统管理员和安全人员发送报 警和警告信息。 这一类响应包括如下技术： 告警( m a r m ) 为了使用户能够及时的掌握网络中的入侵行为，入侵检测系统中 设置了实时告警程序，当入侵行为发生时，它会根据所发生的网络安 全事件，在用户自定义的安全策略下以不同的事件等级及时，准确的 产生控制台报警。它也是系统默认的对入侵行为的响应方式。 日志( 】o g ) 入侵检测系统a 动响应网络安全事件，将报警信息以明文格式存 储，形成日志用库的形式保存下束，日志记录网络事件发生的日期和 时间，事件的源与目的i p 地址等等信息 e m a i l 分靠式入侵检测系统提供了入侵警报实时通知功能，保证管理员 能够及时发觉网络中的入侵行为以做出相应的措施来保护网络的安 全。它自动向指定的邮箱中发送