（计算机应用技术专业论文）入侵检测与防御系统的研究与设计.pdf

山东大学硕士学位论文 摘要 随着计算机及网络的快速发展，网络技术的应用日益普及，互联网络已逐渐 成为现代社会必不可少的组成部分。然而层出不穷的黑客攻击和网络病毒事件使 得网络安全问题突显出来。因此，网络安全已经成为当前计算机网络研究和开发 的热点。 传统的防火墙等安全技术已不能完全满足计算机网络的安全需求，将入侵检 测技术应用在计算机网络上，已成为健全其安全保障体系的迫切需要。事实证明， 功能单一的产品已不能满足安全的需求，安全产品的融合、协同、统一管理是网 络安全重要的发展方向。本文以建立一个实时检测、动态防御的安全系统为目标， 对入侵检测技术以及防御决策技术进行了深入的研究。本论文主要工作包括以下 几个方面： 1 ) 分析了主流的网络安全模型、入侵检测和事件响应技术，并从网络动态防 御的角度，指出了入侵检测中急需解决的问题。论述了在网络安全防御系统中引 入自适应性的必要性，探讨了利用分布式对象技术和数据挖掘技术来解决网络安 全系统自适应性的研究思路。 2 ) 提出了自适应的入侵检测及防御系统( a i d e s ) 的模型，详细讨论了模型 的体系结构，阐明了模型所具有的平台无关性、良好的适应性、扩展性和支持多 层次数据分析以及动态防御决策的特点。 3 ) 研究了基于神经网络的程序异常检测方法，分析了利用多层前馈网络的预 测功能和异常区域判定法检测系统异常的方法。并在a i d d s 中引入了基于s n o r t 的误用入侵检测系统。 4 ) 研究了分布式环境下的全局事件分析方法。提出了基于改进的关联分析算 法和序列分析算法的全局事件分析技术。 5 ) 研究了复杂攻击行为的防御决策方案。提出了利用有穷自动机分析前后关 联的攻击序列的方法。给出了基于代价分析的防御决策模型。 本文提出的系统具有良好的自适应性和开放式结构，有效结合了入侵检测和 防御决策等功能。本论文有助于推动网络信息安全技术和产品向全方位的立体防 护方向发展，并对信息安全防御有重要意义。 山东大学硕士学位论文 关键词：网络安全；入侵检测；数据挖掘；防御决策：神经网络 i i 山东大学硕士学位论文 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to ft h ec o m p u t e rn e t w o r k ，t h ea p p li c a t i o n o fn e t w o r kt e c h n o l o g yi si n c r e a s i n g l yp o p u l a r i z i n g i n t e r n e th a s g r a d u a ll yb e c o m e 锄e s s e n t i a lp a r to fm o d e r ns o c i e t y h o w e v e ra sh a c k e r a t t a c ka n dn e t w o r kv i r u se m e r g ei ne n d l e s s l y ，t h ep r o b l e mo fn e t w o r k s e c u r i t yh a sb e c o m ev e r ys e r i o u s i nt h ew o r l d , t h ei s s u ea b o u tn e t w o r k s e c u r i t yi st h o u g h tm u c ht h a ne v e r t h et r a d i t i o n a ls e c u r i t yt e c h n o l o g ys u c ha sf i r e w a l lc a n n o ts a t i s f y s u f f i c i e n t l yt h es e c u r i t yr e q u i r e m e n t so ft h ec o m p u t e rn e t w o r k s t h e a p p li c a t i o no fi n t r u s i o nd e t e c t i o nt e c h n o l o g yt ot h ec o m p u t e rn e t w o r k s h a sb e c o m ea l lu r g e n td e m a n dt os t r e n g t h e nt h e i rs e c u r i t ys y s t e m s i ti s p r o v e nb yf a c tt h a ts i n g l ep r o d u c tc a n ts a t i s f yw i t ht h er e q u i r e m e n to f s e c u r i t y ，s oa m a l g a m a t i o nc o o p e r a t i o na n du n i f i e dm a n a g e m e n to fp r o d u c t i st h em a i nd e v e l o p a b l ed i r e c t i o no fn e t w o r ks e c u r i t y a i m i n ga tt h e i m p l e m e n t a t i o no far e a l t i m ed e t e c t i o na n dd y n a m i c a ld e f e n s es e c u r i t y s y s t e m ，t h i st h e s i sf o c u s e so nt h et e c h n i q u eo fi n t r u s i o nd e t e c t i o na n d d e c i s i o n - m a k i n ga b o u td e f e n s e t h er e s e a r c hw o r ka n dt h ec o n t r i b u t i o nc a n b es u m m a r i z e di nt h ef o l l o w i n ga s p e c t s ： 1 ) a n a l y z i n gt h ec h a r a c t e r i s t i co fm a i nn e t w o r ks e c u r i t ym o d e l s ， e m p h a s i z e de x p a t i a t i n gt h es t a t eo fi n t r u s i o nd e t e c t i o na n de v e n t r e s p o n s et e c h n i q u e ，a n df r o mt h ep o i n to fd y n a m i c a ld e f e n s ee x p l a i n i n g t h ec r i t i c a lp r o b l e mi ni n t r u s i o nd e t e c t i o ns y s t e m 2 ) d e v e l o p i n gt h ea d a p t i v ei n t r u s i o na n dd e f e n s es y s t e mm o d e l s ( a i d & d s ) b ya n a l y z i n gt h ea r c h i t e c t u r eo fm o d e l ，t h et h e s i se x p l a i n st h a t t h ea i d & d sm o d e li sp l a t f o r mi n d e p e n d e n t ，a d a p t i v e 。e x t e n s i v e ，s u p p o r t i n g m u l t i l a y e rd a t aa n a l y s i sa n dd y n a m i c a ld e c i s i o n - m a k i n ga b o u td e f e n s ee t c 3 ) r e s e a r c h i n gt h ep r o c e s sa n o m a l yd e t e c t i o nm e t h o db a s e do nn e u r a l n e t w o r ka n dp r o v i d i n gam e t h o du s i n gt h ef o r e c a s tf u n c t i o no fm u l t i l e v e l i i i 山东大学硕士学位论文 p e r c e p t i o na n da n o m a l ya r e ae s t i m a t i n gt od e t e c ts y s t e ma n o m a l y i m p o r t i n gam i s u s ed e t e c t i o nm e t h o db a s e do ns n o r tt oa i d d sm o d e l w h i c h p r o v e st h a tt h em o d e li se x t e n s i v ea n dg o o dt oi n t e g r a t eo t h e rm a t u r e n e t w o r ks e c u r i t ys o f t w a r e 4 ) r e s e a r c h i n gt h eo v e r a l le v e n ta n a l y s i sm e t h o di nd i s t r i b u t e d e n v i r o n m e n t p r o v i d i n ga no v e r a l le v e n ta n a l y s i st e c h n i q u eb a s e do n i m p r o v e da s s o c i a t i o na l g o r i t h ma n ds e q u e n c ea l g o r i t h m 5 ) r e s e a r c h i n gd e c i s i o n - m a k i n gp l a na b o u td e f e n s et or e s i s tc o m p l e x a t t a c k e rf o r m ，p r o v i d i n gam e t h o du s i n gf i n i t e s t a t ea u t o m a t at oa n a l y z e t h ed a n g e r o u sc o e f f i c i e n to fa s s o c i a t e da t t a c k s e q u e n c e i t i sp r o v e nt h a tt h ep r o v i d i n gs y s t e mi sa d a p t i v ea n do p e ni n a r c h i t e c t u r e a tt h es 柚et i m ei th a sf u n c t i o ns u c ha si n t r u s i o nd e t e c t i o n a n dd e c i s i o n - m a k i n ga b o u td e f e n s e t h er e s e a r c ho fp r o j e c tc a nm a k ef o r t h ec o m p l e t ea n ds o l i dd e v e l o p m e n to fi n f o r m a t i o ns e c u r i t yt e c h n i q u eo r p r o d u c t a n di t i sa l s os i g n i f i c a n tt oi n f o r m a t i o ns e c u r i t yd e f e n s e k e yw o r d s ：n e t w o r ks e o u rit y ； d e o i s i o r - 1 1 t a k i n go fd e f e n s e ； i n t r u s i o nd e t e o t i o n ：d a t a 翟i n i n g ； n e u r ain e t w o r k 原创性声明和关于论文使用授权的说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本 论文不包含任何其他个人或集体已经发表或撰写过的科研成果。 对本文的研究做出重要贡献的个人和集体，均已在文中以明确方 式标明。本声明的法律责任由本人承担。 论文作者签名：盗f 丝生圣 日期：塑! z 墨夕 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同 意学校保留或向国家有关部门或机构送交论文的复印件和电子 版，允许论文被查阅和借阅；本人授权山东大学可以将本学位论 文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印或其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：丕三壁尘堡导师签名： 山东大学硕士学位论文 第一章前言 本章首先介绍了课题的研究背景和意义，随后阐明了课题研究的主要内容和 目的，最后给出了论文的章节安排。 1 1 研究的背景和意义 随着网络技术的广泛应用和网络经济的不断发展，网络安全问题也日益突 出，这给网络本身和基于网络的信息系统带来了巨大的威胁。根据美国c e r t c c 统计( 有关数据来自于c e r t c c 的网站，h t t p ：w w w c e r t o r g ) ，自1 9 9 5 年以来漏洞 累计达到2 4 3 1 3 个，2 0 0 6 年第一季度共报告漏洞1 5 9 7 个，平均每天超过1 7 个，超 过去年同期2 个。c n c e r l ，c c2 0 0 5 年共整理发布漏洞公告7 5 个，c n c e r l ，c c 2 0 0 6 年上半年共整理发布漏洞公告3 4 个。从统计情况来看，2 0 0 6 年上半年漏洞报 告数量仍处较高水平，大量漏洞的存在使得网络安全总体形势仍然严峻。从c e r t 上的网络安全事件统计上可以看出：2 1 世纪以来全球安全事件的数目呈显著上升 趋势，一次严重攻击造成的经济损失也在显著升高。 可见，网络经济的发展给网络安全产品带来需求，而传统的单一类型的网络 安全产品已经很难有效的抵御网络中恶意事件的发生。在这种形式之下，如何有 效的检测并合理防御网络中的非法事件，预防非法入侵，充分协调各个安全部件 的优势等信息安全的课题成为当前国内外研究和开发的热点。在网络安全防范技 术中，传统的操作系统加固技术和防火墙技术等都是属于静态安全防御技术，这 些方法虽然可以部分地解决系统的安全问题，但对于复杂多变的入侵手段缺乏主 动的反应。基于这样的背景，引发了人们对入侵检测系统和动态防御技术的研究 和开发。入侵检测系统作为防火墙之后的第二道屏障，能够为网络安全提供实时 的入侵检测及采取相应的防护手段，如记录证据用于跟踪、恢复、断开网络连接 等。但随着入侵检测技术的发展，入侵技术也在更新，以多层次、全方位立体防 御安全策略为出发点的安全产品成为新的需求。入侵检测系统也经历了从主动响 应入侵检测系统到入侵检测系统与防火墙联动，再到最近的入侵防御系统等三个 阶段。就目前的入侵防御系统而言，可以认为就是防火墙加上入侵检测系统，它 的检测功能基于入侵检测系统，但检测到攻击后会采取行动阻止攻击。虽然说入 山东大学硕士学位论文 侵防御系统的出现在一定程度上满足了互连网络用户在一定环境下的需求，但是 它仍然存在以下几个方面的不足：适应性、扩展性、入侵事件分析能力不强，防 御手段单一，难以处理复杂的攻击行为等。因此，研究基于分布式技术，具有自 适应性和开放式结构，有效结合入侵检测和防御技术的安全系统，对于推动网络 信息安全技术和产品向全方位的立体防护方向发展和国家的信息安全防御工作 等都是有意义的。 1 2 研究的内容和目的 本文的研究目的是：在对基于网络的分布式入侵检测系统与基于主机的分布 式入侵检测系统研究开发基础上，迸一步研究入侵检测技术和防御技术有效的结 合方案，从而最终构造一个具有开放性体系结构，能自适应环境的变化，发现复 杂的攻击行为，并能对攻击事件产生合理防御决策的动态安全系统。 本文的研究内容主要包括以下内容： 分析了目前网络安全系统中的关键技术的研究现状，讨论了自适应系统的理 论与网络安全技术相结合的可行性和必要性。并且讨论了利用分布式对象技术 ( c o t 强a ) ，数据挖掘技术等在自适应网络安全系统中解决相关的问题的技术方案。 阐述了主流的网络安全模型的特点，改进了能够支持多种主机和网络检测引擎 的，扩展性好的，具有全局事件分析能力的和防御决策能力的自适应的分布式网 络入侵检测和防御系统( a d a p t i v ei n t r u s i o nd e t e c t i o na n dd e f e n s es y s t e m 简称m d d s ) 的模型。以a i d s d ) s 模型为基础，研究并实现了基于神经网络的主机 程序行为的异常检测方法和基于s n o r t 的分布式网络误用检测方法，研究并提出 了结合关联规则挖掘和序列规则挖掘来进行全局事件分析的方法，并通过试验证 明了方法的有效性。 1 3 论文结构和章节安排 本文第一章主要介绍研究的内容和目的。第二章主要分析攻击技术的发展状 况，讨论己有的网络安全模型的优缺点，同时着重分析入侵检测技术，事件响应 技术中的一些关键问题的研究现状。第三章主要介绍复杂自适应系统的概念及其 与网络安全系统结合的必要性，并且分析讨论c o r b a 技术，数据挖掘技术在自适 山东大学硕士学位论文 应网络安全系统中的应用。第四章结合前两章的结论，针对当前分布式入侵检测 系统的不足，提出一个基于c o r b a 的自适应入侵检测及防御系统的模型，并分析 模型的优点，同时分别讨论系统的功能模型、通信模型和关键数据的定义格式。 第五章阐述入侵检测子系统中的一些关键问题，首先分析入侵检测子系统中引入 基于s n o r t 的误用入侵检测引擎的思想和好处，随后着重讨论基于神经网络的程 序异常检测引擎中的数据收集，网络训练，检测入侵的方法。第六章主要讨论防 御决策子系统中的关键问题。首先讨论利用数据挖掘技术进行全局数据分析的方 法，着重分析如何建立有意义的关联规则和序列规则模型，并结合二者的结果进 行全局信息推理的过程：然后分析基于有穷自动机的复杂攻击行为的分析方法， 防御决策向量的制定过程以及防御知识的表示问题，最后给出了防御决策子系统 的实验结果。第七章对所做的工作进行了总结并探讨应进一步开展的研究工作。 山东大学硕士学位论文 第二章入侵检测系统中关键技术的现状分析 网络安全是一项复杂的系统工程，b r u c es c h n e i e r 曾经强调：“安全性是一 条链，其可靠程度取决于链中最薄弱的环节“m 。可见，处理好预防，检测与响 应之间的关系对安全建设有重要意义。本章以入侵检测技术为切入点，首先分析 总结攻击技术的特点以及当前主流的网络安全模型的模块关系；其次论述检测技 术，响应技术的发展状况；最后针对现状的不足，从网络安全防御的角度指出入 侵检测系统中急需解决的问题。 2 1 攻击技术分析 攻击是指试图渗透系统或者绕过系统安全策略获取信息、更改信息、中断目 标网络或者系统的正常运行的活动。目前国际上对各种攻击行为还没有统一的分 类方法。麻省理工学院的林肯实验室在1 9 9 8 年由美国国防部高级研究计划署 ( d a r p a ) 资助的网络安全项目中把网络中的一些主要攻击分为四大类，我们在 文章后面的论述中主要依据这四种类型： 拒绝服务攻击( d o s ) ，指攻击者占据大量的资源而使得系统没法为正常的请 求和用户服务的一种攻击方式。如：p i n go fd e a t h ，t e a r d r o p ，s y nf l o o d 等。 远程攻击( r 2 l ) ，指位于远程的非法用户企图获取系统中正常用户身份的一 种攻击方式。如：基于字典的口令猜测，针对系统服务进程的缓冲区溢出等。 本地用户非法提升权限的攻击( u 2 r ) ，指系统中的一般用户非法获取系统管 理员权限的一种攻击方式。如：缓冲区溢出。 扫描攻击( p r o b e ) ，指非法收集网络系统的主机信息，探测系统漏洞的一种 攻击方式。如：n m a p ，i p s w e e p 等。当扫描攻击出现时，往往预示着有更进一步的 攻击行为发生。 一般来说，典型的攻击可以分为三个阶段“1 ：信息收集、攻击、发掘系统未 知漏洞执行非法行为。蓄意的攻击行为出现时，各种攻击类型的出现顺序往往具 有一定的规律性。例如分布式拒绝服务( d d o s ) 、攻击的过程为首先探测扫描大 量主机以找到可以入侵的目标主机，然后通过远程溢出漏洞攻击程序，入侵有安 全漏洞的目标主机并获取系统的控制权，最后在被入侵的主机上安装并运行d d o s 4 山东大学硕士学位论文 分布端的攻击守护进程，利用多台己被攻击者控制的机器对另一台单机进行扫描 和攻击。可见，针对攻击事件表现出的行为的研究对于入侵检测技术的进展是有 意义的。 2 2 网络安全模型 1 9 8 5 年美国国防部国家计算机安全中心( n c s c ) 发布的可信计算机安全评估 准则( t c s e c ) 。这个准则的发布对操作系统、数据库等方面的安全发展起到了 很大的推动作用。但是随着网络的深入发展，这个标准已经不能完全适应当前的 技术需要，因为这个主要基于h o s tt e r m i n a l 环境的静态安全模型和标准无法完 全反映分布式、动态变化、发展迅速的i n t e r n e t 安全问题。9 0 年代末，美国国际 互联网安全系统公司( i s s ) 提出自适应网络安全模型a n s h ( a d a p t i r en e t w o r k s e c u r i t ym o d e l ) 。a n s m 模型是可量化、可证明、基于时间的、以p d r 为核心的安 全模型，亦称为p 2 d r ( p o l i c yp r o t e c t i o nd e t e c t i o nr e s p o n s e ) ，如图2 1 所示。 图2 一lp 2 d r 模型 p 2 d r 模型体现了网络系统的安全防御是一个动态的、长期的过程的思想。但 是他主要强调的是技术层面的问题，网络安全的解决并不单纯依靠技术，还需要 严格和科学的管理。因此，在总结已有模型不足的基础上，又产生了强调技术和 管理结合的综合型防御模型。 山东大学硕士学位论文 2 3 入侵检测系统 入侵检测，就是对入侵行为的发觉。它通过对计算机网络或计算机系统中的 若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策 略的行为和被攻击的迹象”3 。入侵检测系统是由硬件和软件组成，用来检测系统 或网络以发现可能的入侵或攻击的系统0 1 。入侵检测作为一种动态的防御技术， 是整个安全体系的重要组成部分。入侵检测系统有多种分类方式，根据检测数据 的来源可以分为基于主机的入侵检测系统( l i d s ) 和基于网络的入侵检测系统 ( n i d s ) ，根据入侵检测方法可以分为误用检测和异常检测。 2 3 1 入侵检测系统模型 d o r o t h yd e n n i n g 在1 9 8 6 年发表了“a ni n t r u s i o nd e t e c t i o nm o d e l ”的文 章，最早提出了一个通用的入侵检测专家系统框架叫，简称h i d e s 。如图2 2 所 示。 图2 2i d e s 入侵检测模型 规则匹配 i d e s 模型把系统操作中的主动发起者和系统所管理的资源分别称为主体和 客体，主体对客体实施操作时，系统产生的数据用规定格式的审计数据来描述， 观测到的主体对客体的活动行为特征用随机变量和统计模型来描述，构成系统轮 6 山东大学硕士学位论文 廓，其中在特定的系统度量中可以采用的统计模型包括：操作模型、均值与标准 偏差模型、多元模型、马尔可夫过程模型四种类型。系统轮廓能够动态更新，并 且检查异常行为。可见，d e n n i n g 提出的i d e s 模型实际上是一个基于规则模式匹 配的系统，它主要依靠分析主机的审计记录，因此在网络环境中存在一定的局限 性。 2 3 2 基于主机与基于网络的入侵检测系统 基于主机的入侵检测系统将检测模块驻留在受保护系统上，通过提取被保护 系统的运行数据并进行入侵分析来实现检测功能。h i d s 的检测目标主要是主机系 统和系统本地用户。目前，h i d s 中常用的检测技术有统计分析和基于规则的专家 系统分析。基于网络的入侵检测系统通常部署在共享网段上侦听采集通信数据， 根据网络流量、单台或多台主机的审计数据检测入侵。h i d s 可以保护整个网段 的主机，通常采用的检测技术有模式匹配检测、状态转移检测、智能检测技术等。 表2 - i 是对h i d s 和n i d s 的特点分析。 山东大学硕士学位论文 表2 1 主机入侵检测系统与网络入侵检测系统特点分析 优点缺点 可以很容易监测主机上的文件、必须安装在每一台受保护的主机上，这 目录、程序、端口等资源的使用情况，将导致机器性能的下降。 主而这些很难被n i d s 监测。当需要检测多台主机时，h i d s 需要分别 机能够将用户和他们的活动关联安装在不同服务器上，这样部署和管理的代 入 在一起，将系统的可疑行为映射到具价比n i d s 要高。 侵 体的用户i d 目前的h i d s 大多针对特定的平台，不易 检适合于以密文传输数据的分析。移植，且对操作员的技术要求较高。 测能够确定攻击是否成功，并且能当主机系统被成功攻破之后，b i d s 提供的检 系够提供入侵者详细的入侵记录。测信息将不再准确。很难检测网络攻击行为 统 h i d s 不需要增加专门的硬如：弱点扫描，拒绝服务攻击等。 件平台。 一台n i d s 检测器可以管理整个 n i d s 通过网络流量来检测入侵行为，很 网段内的主机，相对于h i d s 而言易于难判断攻击结果。 网管理。n i d s 不能检测加密的数据流。不适合于 络具有服务器平台独立性，n i d s交换网络环境中，交换两络为每一台主机建 入 不会受到服务器平台变化和更新的立分段网络，这样n i d s 将被限制检测一台主 侵 影响。机。 检 n i d s 的工作方式具有一定的隐现有的网络检测技术不能适用子高速网 测 蔽性，不易成为攻击的目标。 络环境。 系 可以监视多种攻击包括协议攻n i d s 在拥塞的网络环境中很难完成检测 绕击和特定环境酌攻击。工作。 可以检测出不成功的入侵行为。 可见，无论是h i d s 还是n i d s 在完成网络入侵检测工作的同时都存在着自身不 能克服的弱点。从网络纵深防御的角度来看，两种类型的检测系统往往是需要并 存的。防火墙作为第一道关口负责控制网络的访闯控制，而网络入侵检测系统作 山东大学硕士学位论文 为第二道屏障，部署在网络入口的关键位置，负责分析整个网段内的异常行为， 同时在网络内的重要服务器上配置主机检测系统。h i d s 含有己经发生事件的详细 信息，它们能比n i d s 更加准确的判断攻击是否成功，从而可以作为n i d s 的补充。 当n i d s 产生报警时，h i d s 可以用来确定攻击发生与否，这样使得i d s 的报警信息 更加可靠。 2 4 事件响应技术 所谓事件在本文中主要是指影响计算机系统或网络安全的非法行为即与网 络安全有关的非法事件。通常事件主要是由入侵检测系统产生的。事件响应是在 事件发生时采取的措施和行动。这些行动可以是简单的日志记录，攻击报警，也 可以是主动的切断当前网络连接，还可以借助其它安全设备，例如：控制防火墙 或网关阻挡来自入侵发起i p 地址的数据包。甚至可以是与系统的安全策略相协调 的措施。从2 2 节讨论的网络安全模型中可以看出，随着网络攻击向协同化、智 能化，主动化方向发展，事件响应技术作为整个安全体系中的一个环节将体现出 日益重要的作用。 2 4 1 事件响应技术分析 事件响应技术并不是检测结果与防御行为的简单组合，其中还涉及以下的研 究内容：对安全事件和响应方式的分类研究，响应的成本分析等。一个通用的主 动事件响应模型，如图2 3 所示。 一 - - j 图2 - 3 主动事件响应模型 9 山东大学硕士学位论文 主动事件响应模型说明了事件响应系统的组成模块以及它们之间的关系。从 图中可以看出，响应决策模块是系统的关键所在，因为它关系到响应行为的合理 性、及时性、有效性。从技术因素上来看，响应决策模块主要是以安全事件的响 应方式的分类研究为基础，依靠响应成本分析技术来确保其合理性的。 总之，从网络安全防御技术的发展趋势来说，事件响应技术的研究是急需的 而且是整个防御系统重要的一个环节。随着互联网络的规模不断扩大，结构越来 越复杂，以及网络攻击技术的不断提高，这一切对入侵检测和响应技术提出新的 挑战。 2 5 入侵检测技术的发展状况 目前，国内外的许多安全技术厂商如：n e t w o r ka s s o c i a t e s ，r s as e c u r i t y 、 赛门铁克、i s s ，c i s c o 、天融信等都在致力于安全产品的开发。文献 1 2 对当前 的2 2 种主流入侵检测产品做出了详细的比较。目前的入侵检测作为一种动态安全 技术其作用在于：( 1 ) 识别入侵者；( 2 ) 识别入侵行为；( 3 ) 检测和监视已成功的安 全突破；( 4 ) 为对抗入侵及时提供重要信息。本章2 2 节分析了综合型的网络安全 模型，可以看出网络入侵检测防御系统是整个综合型安全模型的重要组成部分。 而且前的入侵检测系统要完成入侵防御的任务还存在以下几方面的不足。 缺乏整体的安全防御管理平台。目前很多机构和部门都购置了各种不同性质 的安全产品，比如：防火墙、系统扫描器、系统实时监控器、防病毒软件等。这 些产品由于缺乏一个统一安全管理平台对它们进行统一的安全管理和配置，所以 难以达到整体防御的目的。 i d s 系统缺乏对异构平台的支持。大多数的i d s 都是针对特定平台设计的，因 此缺乏很好的可移植性和可复用性。 缺乏对大规模复杂攻击的分析。i d s 局限于对所管辖的网段检测，而针对复 杂的攻击行为，完全依靠单个i d s 的分析，有可能无法得到全面的检测结果。 缺乏有效的防御知识库支持。目前对攻击模型的研究投入很多精力，但是针 对各种攻击如何构建和表示防御知识的问题，却很少涉及。 总之，入侵检测系统还处于发展和完善时期。本文主要是研究入侵检测及其 动态防御决策系统的关键问题。在后续的章节中，我们将分析讨论自适应的体系 1 0 山东大学硕士学位论文 结构以及系统的自适应安全策略制定中的研究思路。 2 6 本章小结 本章首先分析了攻击技术的特点，随后讨论了目前流行的p 2 d r 和综合型的网 络安全防御模型的组成和模块之间的关系，说明了构建一种具有开放式的安全体 系，以适应日益复杂的攻击行为和网络环境的安全系统仍然是需要研究和解决的 问题。其次，本章的后三节结合本文研究的问题，着重分析了入侵检测技术和事 件响应技术中若干关键问题的现状以及基于入侵检测的防御系统中需要解决的 问题。本章的讨论分析，为本文的入侵检测和响应策略模型的建立提供了理论基 础。 山东大学硕士学位论文 第三章自适应的分布式网络入侵检测及防御系统 网络攻击的方法并不是一成不变的，攻击者会根据搜索到的目标信息，不断 地探索新的攻击入口点，因此，网络安全策略也应该是动态的。入侵和防御这对 矛盾是辩证统一的，螺旋式的前进是网络安全策略改变的基本规律。本章主要是 以第二章的分析为基础，阐述利用自适应系统的思想增强网络安全系统的适应性 以及实现一个自适应的分布式网络入侵检测及防御系统所需要的关键理论。 3 1 自适应的入侵检测及防御系统 3 1 1 入侵检测及防御系统中引入自适应思想的必要性 互联网具有开放式环境，它将各个地域的计算机互联在一个统一的可交互的 平台中。由于互联网的出现，增加了原有的计算机系统的复杂性。互联网的复杂 性增加了构建在其上的安全系统的复杂性，只有充分增加防御系统的动态自适应 性才可能促使网络的安全状况达到一个相对稳定的状态。 从已有的静态安全防御系统的特点来看：传统的静态防御系统根据设置在其 上的安全规则进行数据过滤，并对通过外部网络的数据进行加密来保护数据的私 有性。另外，它利用访问控制来限制对敏感数据( 包括程序) 的存取( 读、写、执 行) 。传统的静态防御系统存在以下几个方面的不足：第一，因为安全规则是事先 设置的，加上其配置复杂，所以容易出现误配置而导致安全问题，有些甚至不表 现出来，而形成安全隐患。第二，单纯依靠静态防御技术，容易导致系统安全规 则的盲目建设，难以建立适合安全现状的有效的策略。第三，单纯的静态防御技 术，采用已有的策略来防御不断更新的入侵行为，这种“以静制动”的方法，很 难彻底的解决网络安全问题。 从复杂系统的特点来看：计算机网络作为一个复杂的系统，从本质上来说应 该具有一个稳定的状态，保证系统的平衡。当安全问题出现时，系统地平衡问题 将会遭到破坏，因此安全系统必须要保证网络系统重新回到一个新的平衡状态。 新的平衡的建立应该是安全系统根据环境的变化独立完成的，这种自我维护状态 的平衡机制就是自适应性。 山东大学硕士学位论文 因此，网络入侵防御系统的自适应性是动态防御的一个前提，只有解决自适 应性问题才有可能实现安全可靠的动态防御。 3 1 2 入侵检测及防御系统的自适应性 复杂自适应系统的理论为认识网络安全系统的本质问题提供了理论基础。目 前，这一理论还在不断的完善中。在人工智能领域，分布式人工智能研究的多主 体系统( m u l t i a g e n ts y s t e m ) 就是一个典型的复杂计算系统。多主体系统的研究 涉及在一组智能体之间协调其智能行为，以便联合起来采取行动或求解问蹶。多 主体系统的研究为大型的开放式系统提供了有效的解决方案。 网络入侵防御系统中引入自适应性就意味着系统能够从环境中动态的获取 知识，能够改善自身行为来适应不确定的环境。从本章的第一节的讨论可以看出 复杂系统的自适应性是一个仍然需要不断研究的问题，本课题在现阶段讨论的入 侵检测及防御系统的自适应性主要表现在以下两个方面：第一，在大型分布且可 扩展的环境中，入侵检测方法的自适应性。通过增加检测技术的智能性来提高它 适应环境的能力。第二，在大型分布且可扩展的环境中，事件响应技术的自适应 性。主要通过采用基于数据挖掘的决策技术来确保响应技术的适应性。总之本文 所提出的安全系统的自适应性主要是指检测能力的和事件响应能力的自适应性。 3 2 分布对象技术 3 2 1 分布式对象技术的发展状况 9 0 年代出现的分布式对象技术为网络计算平台上软件的开发提供了强有力 的解决方案。目前，分布式对象技术已经成为建立服务应用框架和软件构件的核 心技术，在开发大型分布式应用系统中表现出强大的生命力，逐渐形成t 3 种具 有代表性的主流技术，即m i c r o s o f t 的c o m d c 例技术、s u n 公司的以j a v a 为平台的 r m i 、e j b 、j 2 e e 等技术和对象管理组织( o b j e c tm a n a g e m e n tg r o u p ，简称o m g ) 制 定的公共对象请求代理体系结构( c o 岫o no b j e c tr e q u e s tb r o k e ra r c h i t e c t u r e ， 简称c o b r a ) 技术。在这三种技术中，m i c r o s o f t 的c 0 m q z 台效率比较高，但它有一 个致命的弱点就是跨平台性较差，如何实现与第三方厂商的互操作始终是它的一 山东大学硕士学位论文 大问题。j a v a 的优势是纯语言的，跨平台性非常好，但只能支持初级的分布对象 互操作。相对而言，c o b r a 标准是做得最完整的。c o b r a 的标准主要分为3 个层次： 对象代理请求、公共对象服务和公共设施。最底层是对象请求代理o r b ，规定了 分布对象的定义和语言映射，实现对象间的通信和互操作。在o r b 之上定义了很 多公共服务，可以提供诸如并发服务、名字服务、事务服务、安全服务等各种各 样的服务。最上层的公共设施则定义了组件框架，提供可直接为业务对象使用的 服务，规定业务对象有效协作所需的协定规则。 3 2 2o o b r a 的体系结构 c o b r a 是o m g 针对其对象管理机构( o m a ) 模型的对象请求代理( o r b ) 而制 定的分布式对象标准。所以o r b 是c o b r a 规范的基础。其主要功能包括：定位服 务对象，分析客户对象的请求，获取服务对象的功能接口，在客户和服务对象之 间建立通信连接，如图3 - i 所示。 图3 - 10 r b 体系结构 从上图中可以看出，o r b 在信息传输中扮演一个重要的角色，为客户和服务 程序之间建立了一个中间层，提供一些静态或动态的接口与程序通信，在对象之 间传递请求和响应。具体的通信过程如下： ( 1 ) 客户发送请求。客户端可以使用动态调用接口( d y n a m i ci n v o c a t i o n ) 或 者客户端的s t u b 程序，客户端也可以直接和o r b 交互。这个过程中，客户只需要 了解目标对象的接口及其参数，而对象的实现方式例如：目标对象的硬件平台， 1 4 山东大学硕士学位论文 操作系统，实现语言等对于客户都是透明的。 ( 2 ) o r b 内核转换请求。客户方的请求到达o r b 内核以后，它的方法和参数经 过数据编组，通过h o p ( i n t e r n e ti n n e ro r bp r o t o c 0 1 ) 传输到目标机的o r b ( 通 信机制是透明的) 。 ( 3 ) 服务方响应请求。服务方的o r b 把接受到的请求和数据传送给相应的对象 适配器，对象是配器对请求分解复用和分配，通过构架接口( s k e l e t o ni n t e r f a c e ) 或者动态构架接口( d y n a m i cs k e l e t o ni n t e r f a c e ) 将请求转到调用相应的对象实 现。方法执行完毕后，取得的结果沿对象请求的来路返回给客户对象。 上述三个过程完成了一次最简单的对象请求调用。需要指出的是图3 1 只是 说明了单个o r b 的结构，在实际应用开发中，一个分布式的组件往往同时充当客 户和服务方的角色，即组件可以调用其它组件的方法，同时也提供对象实现供其 它组件调用，这也是c o p r a 互操作实现的根本要求。 3 3 数据挖掘技术 数据挖掘( d a t am i n i n g ) 技术出现于2 0 世纪8 0 年代后期，9 0 年代有了突飞猛 进的发展。数据挖掘技术是人们长期对数据库技术进行研究和开发的结果。起初 各种商业数据存储在计算机的数据库中，然后发展到可对数据库进行查询和访 问，进而发展到对数据库的即时遍历。数据挖掘使数据库技术进入一个更高的阶 段。据调查，目前将数据挖掘应用于入侵和网络安全事件分析中己经成为一个研 究热点，比较有贡献的组织主要有c o l u m b i au n i v e r s i t y 的w e n k el e e 研究组和 u n i v e r s i t yo fn e wm e x i c o ( u 瑚) 的s t e p h a n i ep o r r e s t 研究组“。以上研究者 的实验结果表明，将数据挖掘应用于入侵检测在理论上是可行的，在技术上建立 这样一套系统是可能的。但是目前的技术难点主要在于如何根据具体应用的要 求，从安全的先验知识出发，提取出可以有效地反映系统特征的属性，应用合适 的算法进行数据挖掘。另外，结果的可视化以及如何将数据挖掘结果自动地应用 到实际的入侵检测中也是一个目前的难点。 数据挖掘是一种特定应用的数据分析过程，可以从大量的数据中提取出隐含 的、未知的、潜在有用的，并且最终能被理解的信息或者模式。 删提取的知 识表示为概念( c o n c e p t s ) 、规则( r u l e s ) 、规律( r e g u l a t i o n s ) 、模式( p a t e r n s ) 山东大学硕士学位论文 等形式。 3 3 1 数据挖掘的分析方法 目前数据挖掘技术在网络安全领域的主要应用有：对安全检测对象的海量的 审计数据的分析，例如网络连接流量的分析，主机日志分析等等：对安全检测 对象的行为数据分析，例如基于用户命令序列的行为分析，对用户邮件模式的行 为分析，对安全系统报警事件的数据分析啪1 等。在特定的问题中，数据挖掘的 分析方法有一定的区别，这主要取决于数据的类型和规模，以及求解的目标。目 前数据挖掘分析方法中常用的有：关联分析、序列分析等。 ( 1 ) 关联分析 关联规则是发现隐藏在数据库的记录中不同字段间的关系。例如关联分析可 以发现w e b 浏览器的日志文件中，在不同的时间，用户的i p 地址和所访问的w e b 站点之间的关系。关联分析需