（计算机科学与技术专业论文）基于高速以太网的入侵检测系统的研究.pdf

摘要 0 入信撇测是网络安全中个新兴的，快速发展的并且极为重要的领域。它是动态网 络安全技术殴核心的技术之一，它不仅检测来自外部的入侵行为，同时也可以发现来自 网络内部用户的未授权活动。入侵检、虞9 署取了积极的安全保护策略，它对发现的入侵攻 击产生报警，并可以对入侵采取主动的响应措施，如切断攻击的网络连接等。 随着越来越多的业务被置于网络e 进行，加入到i n t e m e t 的计算机的数量迅速增加， 使得网络所承载的数据流量越来越大，原有的网络带宽已经远远不能满足人们的需求， 因此人们对网络带宽提出了更高的要求，希望能够提供更快更稳定的高速网络。随着通 信技术的发展和应用，出现了以千兆以太网，a t m 网络，光纤网络等为代表的高速网络 技术，可以提供可达千兆带宽的高速网络。然而，千兆高速网络的应用又给网络安全提 出了新的挑战和更高的要求。 目前多数的基于网络的入侵检测系统都无法适应高速网络，国内外的入侵检测产品 中还没有能够支持在干兆高速网络下进行检测，因此开发能够适应千兆带宽的高速网络 的入侵检测系统则是当务之急的，同时这也是入侵检测技术中的一个难点和重点。 本文主要讨论如何实现一个能够在千兆以太网的网络环境下进行有效工作的入侵 检测系统，在研究和分析当前入侵监测技术的基础上，设计了一个简枣 侵检测系统的 体系结构模型，同时基于该体系结构采用流分配机制，设计了对网络流量基于流的划分 策略，并分析与研究在千兆以太网环境下能够提高底层捕包性能的方法。 本文中设计的分流器可以作为独立的硬件实体存在，可以与不同的入侵检测系统结 合使用，为今后的高速入侵检测系统的扩展和进一步应用打下基础。 【关键字】高速入侵检测系统，网络入侵检澳0 系统，滥用检测，流划分 a b s t r a c t i n t r u s i o nd e t e c t i o ni sar i s i n ga n dv e r yi m p o r t a n tf i e l di nn e t w o r ks e c u r i t yw i t h l l i g h s p e e dd e v e l o p m e n t i t so n eo ft h ek e r n e lt e c h n o l o g yo fa c t i v en e t w o r ks e c u r i t y , i tn o t o n l yc a r ld e t e c tt h eo u t s i d ei n t r u s i o na c t i o nb u ta l s oc a l lf i n do u tt h e u n a u t h o r i z e da c t i v i t y 、i n s i d et h en e t w o r k i n t r u s i o nd e t e c t i o nt a k e sa c t i v es e c u r i t y p r o t e c t i o np o l i c y w i t ht h ei n c r e a s i n gs e r v i c e sp u to nn e t w o r k ，m o r ea n dm o r ec o m p u t e r sa r e c o n n e c t e dt oi n t e r n e ta n dt h et r a f f i co nn e t w o r ki n c r e a s es h a r p l y t h eb a n d w i d t ho f o l dn e t w o r kc a nn o ta d a p tt oi ta n dp e o p l eh a v eh i g h e rd e m a n da n dd e s i r et o g a i n m o r es t a b l eh i g h - s p e e dn e t w o r k w i t ht h e d e v e l o p m e n to fc o m m u n i c a t i o n t e c h n o l o g y , t h eh i 曲一s p e e dn e t w o r kc o m ef o r t hs u c ha sg i g ae t h e m e ta n df d d i i t c a np r o v i d eg i g a b i t sb a n d w i d t h b u tt h ea p p l i c a t i o no ft h eh i g h s p e e dn e t w o r k b r i n g san e wc h a l l e n g e t on e t w o r k s e c u r i t y n o wm o s ti n t r u s i o nd e t e c t i o ns y s t e m sb a s e dn e t w o r kc a nn o ta d a p tt o h i g h s p e e dn e t w o r ka n dt h e r ea r en oi n t r u s i o nd e t e c t i o np r o d u c tc a ns u p p o r tt h e g i g a b i tn e t w o r k s oi t i su r g e n tt od e v e l o pai n t r u s i o nd e t e c t i o ns y s t e mw h i c hc a n a d a p tt og i g a b i tn e t w o r k m ，o fc o u r s e ，t h i si sat e c h n i c a ld i f f i c u l t ya n ds t r e s si nt h e i n t r u s i o nd e t e c t i o nf i e l d t h i sp a p e rm a i n l yd i s c u s sh o wt or e a l i z eai n t r u s i o nd e t e c t i o ns y s t e mw h i c h c a nw o r ke f f e c t i v e l yi ng i g ae t h e m e te n v i r o n m e n t b a s e dt h ec u r r e n ti n t r u s i o n d e t e c t i o nt e c h n i c ，w eg i v eam o d e lo fh i g h - s p e e di n t r u s i o nd e t e c t i o ns y s t e m s t r u c t u r ea n dp u tf o r w a r dt h ef l o wd e v i s i o np o l i c yb a s e dt h em o d e l i nt h i sp a p e r , w e a l s od i s c u s st h em e t h o dt oi m p r o v et h ep e r f o r m a n c eo fc a p t u r i n gp a c k e to nt h e n e “v o r k k e y w o r d h i g h s p e e di d s ，n i d s ，m i s u s ed e t e c t i o n ，f l o wd e v i s i o n i i 基于高速以太网的入侵检测系统的研究 0 前言 当前的人类社会正逐步向网络化、信息化时代迈进。计算机网络作为信息传递的媒 介，它控制着从战场作战到民用交通管理，从音乐影视到金融活动等各个方面，成为社 会生活中不可或缺的部分。然而，人们在享受信息化所带来的诸多好处的同时，也受 到了信息安全问题的严重威胁。 我从事信息网络安全监察工作，在工作中经常受理一些网上入侵案件。中美黑客大 战期间，沈阳市多家政府网站被攻击，网页内容被修改。2 0 0 2 年4 月，沈阳市苏家屯区 宽带网服务器遭受黑客攻击，用户服务被迫终止十几小时。2 0 0 2 年1 1 月，沈阳市多家 媒体的网站遭受过拒绝服务攻击，造成网站服务不能正常运行。从国内情况来看，1 1 i 口- 我国9 5 的与因特网相联的网络管理中心都遭到过境内外黑客的攻击或侵入，其中银行、 金融和证券机构则更是黑客攻击的重点。计算机网络安全问题日显突出，它影响到社会 经济的繁荣与稳定，甚至影响到国家的独立与安全，成为亟待解决的问题。 入侵检测是网络安全中一个新兴的，快速发展的并且极为重要的领域。它是动态网 络安全技术最核心的技术之一，祢补了传统的操作系统的加固技术和防火墙的隔离技术 等静态安全防御技术的不足。它不仅检测来自外部的入侵行为，同时也可以发现来自网 络内部用户的未授权活动。入侵检测采取了积极的安全保护策略，它不仅可以用来对发 现的入侵攻击产生报警，还可以对入侵采取主动的响应措施，如切断攻击的网络连接等。 同时，可以提供日志作为追究入侵者法律责任的有效证据。 随着越来越多的业务被置于网络上进行，加入到i n t e m e t 的计算机的数量迅速增加， 使得网络所承载的数据流量越来越大，原有的网络带宽已经远远不能满足人们的需求， 因此人们对网络带宽提出了更高的要求，希望为他们提供更快更稳定的高速网络。j 下是 不断的需求推动了科学技术的发展，随着通信技术的发展和应用，出现了以千兆以太网， a t m 网络，光纤网络等为代表的高速网络技术，可以提供可达千兆带宽的高速网络。然 而，千兆高速网络的应用又给网络安全提出了新的挑战和更高的要求。目前市场上出现 的多数的基于网络的入侵检测系统都无法适应高速网络，国内的入侵检测产品仅仅能够 在四五十兆带宽的网络下很好的工作，而国外的入侵检测产品也很难支持到带宽可达到 百兆的网络，因此开发能够适应千兆的高速网络的入侵检测系统则是当务之急的，同时 这也是入侵检测技术中的一个难点。 本文主要讨论如何如何构建一个能够稳定运行在网络带宽高达于兆的高速网络下 的入侵检测系统。设计高j 毫入侵检测系统的体系结构模型：研究i t l t l - 实时捕获和特征识 别技术；研究实时分析技术与日志管理，设计高速网络环境下的预警模型；采用基于网 络的入侵检测技术，开发出具有自主版权的高速入侵检测系统。 基于高速以太网的入侵检测系统的研究 本课题的目的是吸收国外已有高速网络入侵检测系统的优点，并结合国内网络环境 及用户的实际需求研究开发一个具有自主版权的实用的高速网络入侵检测系统，以实现 对千兆以太网络入侵行为进行动态实时检测和自动防护，对信息系统实施安全保护。 一一 苎量壹望! 达旦塑叁堡兰型墨堕塑堕壅 1 入侵检测系统综述 1 1 入侵检测系统定义 计算机安全技术主要包含以下四个方面的含义：保密性，完整性，可用性，可控性。 保密性指信息不泄露给非授权用户、实体、过程，或不供其利用的特性。完整性指数据 未经授权不能进行改变的特| 生。可用性指可被授权实体访问并仅提供按需求使用的特性。 可控眭指对信息的传播及内容具有控制能力。在这个意义上，入侵指的就是试图破坏计 算机保密性，完整性，可用性或可控性的一系列活动。 入侵检测( i n t r u s i o nd e t e c t i o n ) ，顾名思义，便是对入侵行为的发觉。它i 盛过对计算 机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中 是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入 侵检测系统( h 1 廿u s i o nd e t e c t i o ns y s t e m , 简称i d s ) 。与其他安全产品不同的是，入侵检测 系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。个合 格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。 传统上，一般采用防火墙作为安全的第一道屏障。但是随着攻击技术的日趋成熟， 攻击手法的日趋多样，单纯的防火墙已经不能很好地单独完成安全防护工作。在这种情 况下，需要有入侵检测系统与其能够协同工作，构建更完善的安全解决方案。 具体说来，入侵检测系统的主要功能有： a 监测并分析用户和系统的活动； b 核查系统配置和漏洞； c 评估系统关键资源和数据文件的完整性； d 识别已知的攻击行为： e 统计分析异常行为； f 操作系统日志管理，并识别违反安全策略的用户活动。 一个成功的入侵检测系统，不仅可使系统管理员时刻了解网络系统，还能给网络安 全策略的制订提供依据。它应该管理配置简单，使非专业人员非常容易地获得网络安全。 入侵检测的规模还应根据网络规模、系统构造和安全需求的改变而改变。入侵检测系统 在发现入侵后，会及时作出响应，包括记录事件、发送报警邮件和切断网络连接等。 基于高速以太网的入侵检测系统的研究 1 2 入侵检测技术的历史及发展 入侵检测技术虽然是近年来在网络安全领域比较热门的一项技术，但是很早以前就 已经有在试验室内对其进行研究的了。从实验室原型研究到推出商业化产品、走向市场 并获得认同，入侵检测系统( d s ) 已经经过了二十多年的发展历程。 1 9 8 0 年4 月，j a m e s r a n d e r s o n 为美国空军傲了一份题为( ( c o m p u t e r s e c u r i t y t h r e a t m o n i t o r i n ga n ds u r v e i l l a n c e ) ) ( 计算机安全威眈监控与监视) 的技术报告，第一次详细阐 述了入侵检测的概念。他那时提出了种对计算机系统风险和威胁的分类方法，并将威 胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动 的思想。这份报告被认为是入侵检测的开山之作。 从1 9 8 4 年到1 9 8 6 年，乔治敦大学的d o r o t h yd e n n i n g 和s r i c s l ( s r i 公司计算 机科学实验室) 的p e t e rn e u m a n n 研究出了爪实时入侵检测系统模型，取名为i d e s ( 入 侵检钡4 专家系统) 。该模型由六个部分组成：主体、对象、审计记录、轮廓特征、异常记 录、活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建 入侵检测系统提供了一个通用的框架。 1 9 8 8 年，s r i c s l 的t e r e s al u n t 等人改进了d e n n i n g 的入侵检测模型，并开发出 了一个i d e s 。该系统包括一个异常检测器和一个专家系统，分别用于统计异常模型的建 立和基于规则的特征分析检测，完成了个基本的入侵检测模型。i d e s 入侵检测结构模 型如图1 1 所示： 图1 1i d e s 入侵检钡0 结构模型图 f i g u r e l 1 i d e si n v a d i n g i n s p e c t s m o d e l 1 9 9 0 年是入侵检测系统发展史上的个分水岭。这年，加州大学戴维斯分校的 l th e b e r l e i n 等人开发出了n s m ( n e t w o r ks e c u r i t ym o n i t o r ) 。该系统第一次直接将网 基于高速以太网的入侵检测系统的研究 络流作为审计数据来源，因而可以在不将审计数据转换成统格式的清况下监控异种主 机。从此之后，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的 i d s 和基于主机的i d s 。 1 9 8 8 年的莫里斯蠕虫事件发生之后，网络安全才真正引起了军方、学术界和企业 的高度重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗 摩尔国家实验室、加州大学戴维斯分校、h a y s t a c k 实验室，开展对分布式入侵检测系统 ( d i d s ) 的研究，将基于主机和基于网络的检测方法集成到一起。 从2 0 世纪9 0 年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在 智能化和分布式两个方向取得了长足的进展。目前，s r i c s l 、普渡大学、加州大学戴 维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面 的研究代表了当前i d s 研究的最高水平。 1 3 入侵检测技术的标准化 1 3 1 标准化进展现状 为了提高i d s 产品、组件及与其他安全产品之间的互操作性，美国国防高级研究计 划署( d a r p a ) 和互联网工程任务组( i e t f ) 的入侵检测工作组( m w g ) 发起制订了 一系列建议草案，从体系结构、a p i 、通信机制、语言格式等方面规范i d s 的标准。 d a r p a 提出的建议是公共入侵检溺4 框架( c i d f ) ，最早由加州大学戴维斯分校安 全实验室主持起草工作。1 9 9 9 年6 月，i d w g 就入侵检测也出台了一系列草案。但是， 这n 4 组织提出的草案或建议目前还正处于逐步完善之中，尚未被采纳为广泛接受的国 际标准。不过，它们仍是入侵检测领域最有影响力的建议，相信随着进一步的发展和完 善，终将成为i d s 的业界标准。 1 3 2 公共入侵检测框架 公共入侵检测框架( c i d f ) 所做的工作主要包括四部分：i d s 的体系结构、通信机 制、描述语言和应用编程接口a p i 。 1 3 2 1c i d f 的体系结构 c i d f 在i d e s 和n i d e s 的基础上提出了一个通用模型，将入侵检测系统分为四个 基本组件：事件产生器、事件分析器、响应单元和事件数据库。结构如图1 2 所示。 基于高速以太网的入侵检测系统的研究 图1 2c i d f 结构模型图 f i g u r e1 2c i d fm o d e l 在这个模型中，事件产生器、事件分析器和响应单元通常以应用程序的形式出现， 而事件数据库则往往是文件或数据流的形式，很多i d s 厂商都以数据采集部分、数据分 析部分和控制台部分三个术语来分别代替事件产生器、事件分析器和响应单元。 c i d f 将i d s 需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从 系统日志或其他途径得到的信息。 以上四个组件只是逻辑实体，个组件可能是某台计算机上的个进程甚至是一个 线程，也可能是多个计算机上的多个进程，它们以统入侵检测对象( g m o ) 格式进 行数据交换。g i d o 是对事件进行编码的标准通用格式( 由c i d f 描述语言c i s l 定义) ， 它可以是发生在系统中的审计事件，也可以是对审计事件的分析结果。 1 ) 事件产生器 事件产生器的任务是从入侵检测系统之外的计算环境中收集事件，并将这些事件转 换成c i d f 的g i d o 格式传送给其他组件。例如，事件产生器可以是读取审计踪迹荆辱 其转换为g i d o 格式的过滤器，也可以是被动地监视网络并根据网络数据流产生事件的 另种过滤器，还可以是s q l 数据库中产生描述事务的事件的应用代码。 2 ) 事件分析器 事件分析器分析从事件产生器收到的g i d o ，并将产生的结果以新的g i d o 再传送 给其他组件。分析器可以是一个轮廓撒旺具，统计灶地检查现在的事件是否可能与以 前某个事件来自同一个时间序列，发现异常行为；也可以是一个特征检测工具，用于在 一个事件序列中检查是否有已知的滥用攻击特征；此外，事件分析器还可以是一个相关 器，观察记录事件之间的关系，将有联系的事件放到一起，进行有状态的分析，以利于 能够更加完整和准确的检测到攻击行为。 3 ) 事件数据库 用来存储g i d o ，以备系统需要的时候使用。 6 基于高速以太网的入侵检测系统的研究 4 ) 响应单元 响应单元处理收到的g i d o ，并据此采取相应的措施，如实时报警、杀死相关进程、 将连接复位、修改文件权限等。 1 3 2 2c i d f 的通信机制 为了保证各个组件之间安全、高效的通信，c i d f 将通信机制构造成一个三层模型： g i d o 层、消息层和协商传输层。 要实现有目的的通信，各组件就必须能正确理解相互之间传递的各种数据的语义， g i d o 层的任务就是提高组件之间的互操作性，所以g i d o 就如何表示各种各样的事件 做了详细的定义。 消息层确保被加密认证消息在防火墙或n a t 等设备之间传输过程中的可靠性。消 息层只负责将数据从发送方传递到接收方，而不携带任何有语义的信息；同样，g i d o 层也只考虑所传递信息的语义，丽不关心这些消息怎样被传递。 单一的传输协议无法满足c i d f 各种各样的应用需求，只有当两个特定的组件对信 道使用达成致认识时，才能进行通信。协商传输层规定g i d o 在各个组件之间的传输 机制。 c i d f 的内部通信文档描述了两种c i d f 组件之间通信的机制，种为匹配服务 ( m a t c h m a k i n gs e r v i c e ) 法，另一种为消息层( m e s s a g el a y e r ) 法。 c i d f 的匹配服务( 也叫做匹配器) ，为c i d f 各组件之间的相互识别、定位和信息 共享提供了一个标准的统一的机制。匹配器的实现是基于轻目录存取协议( t h e l i g h t w e i g h t d i r e c t o r y a c c e s s p r o t o c o l ，简称l d a p ) 的，每个组件通过目录服务注册，并 公告它能够产生或能眵处理的g i d o ，这样组件就被分类存放，其它组件就可以方便地 查找到那些它们需要通信的组件。配对服务还支持些安全选项( 如公钥证书、完整性 机制等) ，为各个组件之间安全通信、共享信息提供了一种统一的标准机制，大大提高了 组件的互操作性，降低了开发多组件入侵检测与响应系统的难度。 c i d f 的消息层在易受攻击的环境中实现了种安全( 保密、可信、完整) 并可靠 的信息交换机制。使用消息机制主要是为了达到以下的目的： 一使通信与阻塞和非阻塞处理无关 一使通信与数据格式无关 一使通信与操作系统无关 一使通信与编程语言无关 消息层处理规定了消息层消息的处理方式，它包括四个规程：标准规程、可靠传输 规程、保密规程和鉴定规程。 基于高速以太网的入侵检测系统的研究 1 3 2 3c l d f 规范语言 c i d f 的规范语言文档定义了一个公共入侵标准语言( c o m m o ni n t r u s i o n s p e c i f i c a t i o nl a n g u a g e ，以下简称为c i s l ) ，各i d s 使用统一的c i s l 来表示原始事件信 息、分析结果和响应指令，从而建立了i d s 之间信息共享的基础。c i s l 是c d f 的最核 心也是最重要的内容。 c i s l 使用了一种被称为s 表达式的通用语言构建方法，s 表达式可以对标记和数 据进行简单的递归编组，即对标i 己力i ：i 上数据，然后封装在括号内完成编组，这跟l i s p 有些类似。s 表达式的最开头是语义标识符( 简称为s d ) ，用于显示编组列表的语义。 有时侯，只有使用很复杂的s 表达式才能描述出某些事件的详纽隋况，这就需要使 用大量的s i d 。s i d 在a s l 中起着非常重要的作用，用来表示时间、定位、动作、角色、 属性等，只有使用大量的s i d ，才能构造出合适的句子。a s l 使用范例对各种事件和分 析结果进行编码，把编码的句子进行适当的封装，就得到了g d o 。 1 3 2 4 c i d f 的a p i 接口 c i d f 的a p i 负责g i d o 的编码、解码和传递，它提供的调用功能使得程序员可以 在不了解编码和传递过程具体细节的情况下，以哜中j 艮简单的方式构建和传递g i d o 。 它主要包括以下几部分内容： 一g i d o 编码和解码a p i ( g i d oe n c o d i n g d e c o d i n ga p is p e c i f i c a t i o n ) 一消息层a p i ( m e s s a g el a y e ra p is p e c i f i c a t i o n ) 一g d o 动态追力i ：1a p i ( g d oa d d e n d u ma p i ) 一签名a p i ( s i g n a t u r ea p i ) 一顶层c i d f 的a p i ( t o p - l e v e lc i d fa p i ) 1 3 3 入侵检测工作组 在i d s 走向标准化的过程中，入侵检测工作g l t t m w g ) 也做出了重要贡献。i d w g 的主要任务是定义数据格式和交换规程，用于入侵检测与响应( i d r ) 系f 9 2 _ 间或与需 要交互的管理系统之间的信息共享。具体地说，就是建立入侵检测系统之间，以及入侵 检钡4 系统和网管系统之间通信的功能需求描述，制定统一的语言描述系统体系结构。 d w g 提出的建议草案包括三部分内容：入侵检测消息交换格式( d 瑚巳f ) 、入侵 检测交换协议( d ) 以及隧道轮廓( t u n n e l p r o f i l e ) 。 i d m e f 描述了表示入侵检测系统输出信息的数据模型，并解释了使用此馍型的基 基于高速以太嗣的入侵检潮系统的研究 本原理。该数据模型用m 。实现，并设计了一个儿文档类型定义。自动入侵检测 系统可以使用d d e f 提供的标准数据格式对可疑事件发出警报，提高商业、开放资源 和研究系统之间的互操作性。d m e f 最适用于入侵检测分析器( 或称为“探测器”) 和 接收警报的管理器( 或称为“控制台”) 之间的数据信道。 i d x p 是一个用于入侵检- 钡0 实体之问交换数据的应用层协议，能够实现砌臣消 息、非结构文本和二进制数据之间的交换，并提供面向连接协议之e 的双方认证、完整 性和保密性等安全特征。 d x p 是块可扩展交换协议( b l o c k se x t e n s i b l ee x c h a n g ep r o t o c o l 简称b e e p ) 的一部分，后者是一个用于面向连接的异步交互通用应用协议。 t u n n e lp r o f i l e 为i d x p 提供了端到端的连接的诸如认证、保密生等安全机制。i d x p 对等实体之间采用了这样的b e e p 安全隧道轮廓实现了端到端的安全，而无需通过中间 的代理建立安全信任。隧道轮廓是b e e p 的重要组成部分，还应用于v p n 等其它网络 安全领域。 i d w g 提出的草案还没有被真正地实现，真正实现不同m s 之间的交互，并成为 i e t f 的r f c ，还需要一段时间。 1 4 入侵检测系统的监测对象分类 入侵检测系统按其输入数据的来源来看，一般可分为两类：基于网络的入侵检测系 统( n e t w o r k - b a s e di d s ，简称n i d s ) 和基于主机的入侵检测系统( h o s t - b a s e di d s ，简称 h i d s ) 。两类入侵检测系统各有所长。 i 4 1 基于网络的入侵检测系统 基于网络的入侵检测系统使用原始的网络数据包作为其进行检测的数据来源，对数 据包的的包头和负载进行检测分析，来发现攻击行为。n i d s 的运行方式有两种，种 是在台单独的专用于检测的机器上运行以监测网段内所有的网络流量，此种方式目前 被大多数n i d s 所采用，令一种是在目标主机上运行以监测其本身的通讯信息。 n i d s 主要用于实时监控网络关键路径的信息。它百丁矛0 用工作在混合模式下的网卡 实时采集和分析所有通过共享网络的数据包。n d s 般被放置在比较重要的网段内， 部分也可以利用交换式网络中的端口映射功能来监视特定端口的网络入侵行为。一旦攻 击被检测到，响应模块将按照配置好的响应行为对攻击做出反应。通常这些反应包括发 送电子邮件、寻呼、记录日志、切断网络连接等。 n d s 目前被多数入侵检测厂商所青睐，越来越多的入侵检测产品倾向于采用 n 皿s 。n f f s 提供了很多仅使用l i d s 所无法完成的功能。n d s 具有如下优点： 基于高速以太网的入侵枪测系统的研究 点 成本较低、容易部署。仅用台装有n d s 的检测主机就可以保护一个共享网 段，无需在被保护的主机上安装软件，将安全策略配置在几个关键访问点上就 可以保护大量主机朋臣务器。 不增加网络中主机的负载。由于n i d s 通伟采用一台专用的主柳进行检测，因 此它不占用所保护的共享网段内的其他主机的系统资源。 可检测到h i d s 漏掉的攻击。通过检查分组的头部和数据内容，可以识别h i d s 所不能检测到的来自网络层的攻击。 便于取证。n i d s 利用正在发生的网络通信对攻击进行实时检测，使攻击者无 法转移证据。被捕获的数据不仅包括的攻击的方法，而且还包括可识别黑客身 份和对其进行起诉的信息。 实时检测和响应。对数据包进行检测分析，通常能够很快发现恶意攻击，并及 时做出响应，甚至可以检测未成功的攻击和企图。 操作系统无关性。基于网络的入侵检测系统以数据包为检测来源，其不依赖于 主机所采用的操作系统。 隐蔽性好。n i d s 的主机在网络上不易被发觉，由于将其网卡设置为混杂模式， 使得其可以采集所有流经共享网段的数据包进行检测，而其自身可以不设置口 地址，因此就可以极大的减少受到黑客的直接攻击的机会。 n i d s 虽然存在着诸多优点，但是由于其自身检测条件的限制，其也存在着一些缺 受限于高速网络。在检查每个包的内容时需判断它是否匹配任何己知的特征和 规则，需要花费时间和消耗资源。在一个1 0 0 m b p s 的以太网中每秒钟大约传 输5 0 0 0 0 个网络包，普通的基于网络的l d s 无法跟上这个速度，因而造成大量 的包丢失，极大影响了检测能力。 不适合交换网络。在n i d s 中，设置为混杂模式的网卡仅能采集其所连接的共 享网段的数据包，因此只能俭查它直接连接网段的通信，不能检测在不同网段 的网络包。在使用交换以太网的环境中就会出现监测范围的局限。 不适合加密环境。许多站点依靠加密来保护网络传输中的机密信息。但基于网 络的i d s 无法看到数据包的明文，也就无法匹配攻击特征，因此对于加密问题 束手无策。 误报率较高。基于网络的 d s 仅对通过共享网段的数据包进行检测，丽其本身 不能确切地知道在目标节点上发生的所有活动，缺乏足够的目标主机的信息， 因此容易产生较高的误报率。 基于高速以太网的入侵检测系统的研究 1 4 2 基于主机的入侵检测系统 基于主机的i d s 以本地主机系统的信息作为数据源，如系统日志、文件系统、用户 行为、c p u 和内存的使用情况等。基于主机的入侵检测系统保护的般是所在的系统。 基于主机的入侵检测出现在8 0 年代初期，那时网络还没有今两塞样普遍、复杂， 且网络之间也没有完全连通。在这一较为简单的环境里，检查可疑行为的检验记录是很 常见的操作。由于入侵在当时是相当少见的，在对攻击的事后分析就可以防止今后的攻 击。 基于主机的i d s 通常在被重点检测的主机e 运行一个代理程序。该代理程序扮演着 检测引擎的角色，它根据主机行为特征库对受检测主机上的可疑行为进行采集、分析和 判断，并把警报信息发送给控制端程序，由管理员集中管理。此外，代理程序需要定期 给控制端发出信号，以使管理员能确信代理程序工作正常。如果是个 主机入侵检测， 代理程序和控制端管理程序可以合并在一起，管理程序也简单得多。 主机入侵检测系统主要依靠主机行为特征进行检测。检测系统可通过监测系统日志 和s n m p 陷阱来寻找某些模式，这些模式可能袁：昧着一些安全上很重要的事件。检测系 统的特征库包括很多类操作系统上的事件。这些事件检查可疑的文件传输，非法的登录 企图，物理信息( 如一块以太网卡被设为混杂模式) ，以及系统重启。特征库也可包括来 自许多应用程序和服务的安全讯息，如s e c u r es h e l l 、s e n d m a i i 、b i n d 和a p a c h ew e b 服 务器等。 在现实的网络世界里，利用操作系统的漏洞或应用软件的缺陷进行网络攻击的事件 几乎每天都在发生，甚至已经成为一些技术并不高明但又喜欢恶作剧的上网用户的娱乐 节目。人们也很容易从专门的黑客网站上获得关于w i n d o w s 、l i n u x 、n e t w a r e 等各种网 络操作系统的漏洞报告，或是收集到各类d n s 、e m a i l 、w e b 服务等应用软件的各种缺 陷，并且很快搜集到响应的黑客软件进行“实践”。基于主机的入侵检测系统已经在此方 面起到了越来越重要的防范效果。相对于网络入侵检测，基于主机的i d s 主要有以下优 点： 更加细致。基于主机的i d s 可以很容易地监测一些活动，如对敏感文件、目录、 程序或端口的存驭而这些活动很难在基于协议的线索中被发现。基于主机技术 还可监视通常只有管理员才能实施的非正常行为。操作系绕记录了任何有关用 户帐号的添加、删除、更改的睛况。一旦发生了更改，基于主机的i d s 就能俭 测到这种不适当的更改。基于主机的系统可以监视关键系统文件和可执行文件 的更改。系统能够检测至恫h 些欲重写关键系统文件或者安装特洛伊木马或后门 的尝试并将它们中断。同时能够提供包括二进制完整性检查、系统日志分析和 非法进程关闭等功能，这些都是基于网络的i d s 很难检测到的行为。 基于高速以太网的入侵检测系统的研究 易于用户定制。基于主机的i d s 能够根据受保护站点的实际隋况进行针对性的 定制，使其工作非常有效果，误报率较低。典型的如w e b 服务器入侵检测系统， 它相当于一套复杂的过滤设备，使用一个攻击字符串列表来对w e b 服务器( 单 个或多个) 进行监视，可以发现对w e b 服务器的已知的各种可能的攻击。 不需要额外的硬件资源。基于主机的入侵检测系统存在于网络中的各目标主机 或服务器，不需要像n i d s 那样通过增加专门的硬件平台来安装检测系统。 不受网络带宽的限制。由于h i d s 使用主机的系统信息作为检测的数据源， 密切监视系统的行为特征，而不是对网络数据包作检测，因此般不会因为网 络流量的增加而丢失对网络行为的监视，比较适用于高速的网络中。 适合加密环境。某些加密方式也向基于网络的入侵检测发出了挑战。根据加密 方式在协议堆栈中的位置的不同，基于网络的系统可能对某些攻击没有反应。 而基于主机的i d s 没有这方面的限制。 误报率低。基于主机的i d s 通常情况下比基于网络的 d s 误报率要低，因为检 测在主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多 视野集中。一旦入侵者得到了一个主机的用户名和口令基于主机的代理是最有 可能区分正常的活动和非法活动的。 基于主机的i d s 同基于网络的 d s 样，在也存在着一些缺点，具体表现如下所 述： 成本高。由于以每个基于主机的i d s 仅能保护其所在的主机，因此许多公司没 有足够的资金使用基于主机的i d s 来保护整个网络的所有主机，而只能选择几 个较为重要的服务器来保护，这就给攻击者留下了很大的空间。 增加系统负荷。由于基于主机的i d s 需要频繁的对其所保护的主机进行检测， 这样就耗费了大量的系统资源，增期了系统负荷，降低了主机正常的运行性能。 因此采用基于主机的i d s 就不得不以牺牲每个受保护主机的性能为代价。 依赖操作系统。基于主机的i d s 与操作系统和应用层软件结合过于紧密，其通 用性可能会较差，需要为不同的平台开发不同的程序。 综上所述，基于网络和基于主机的i d s 都有各自的优势，两者是相互补充的。这两 种方式都能发现对方无法检测到的一些入侵行为。例如，从某个重要服务器的键盘发起 的攻击并不经过网络，因此就无法通过基于网络的i d s 检测到，只能通过使用基于主杌 的i d s 来睑测；许多基于口的拒绝服务攻击和碎片攻击，只能通过查看它们通过网络传 输时的包头部信息才能识别，而基于主机的i d s 并不查看包头部，因此无法识别此类攻 击。只有联合使用基于主机和基于网络这两种方式才能够达到更好的检测效果。比如人 们完全可以使用基于网络的i d s 提供早期报警，而使用基于主机的 d s 来验证攻击是否 1 2 基于高速咀太网的入侵检测系统的研究 取得成功一个完备的入侵检澳4 系统应该是基于主机和基于网络两种方式兼备的分布式 系统。 1 5 入侵检测系统的技术分类 入侵检测技术是入侵检测系统的楔0 ，其功能就是对各种事件进行分析，从中发现 违反安全策略的行为。入侵检测技术近年来得到了很大的发展。入侵检测技术就其检测 方法主要分为两类：滥用检测( m i s i 瓒d e t e 商o n ) 和异常检测( a n o m a l y d e t e c t i o n ) 。 1 5 1 滥用检测技术 滥用检测有时也被称为基于特征栅j ( s i g n a t u r e - b a s e dd e t e c t i o n ) ，这种检测方法主要 是假设入侵者活动可以用一种模式来表示，系统的目标就是检测主体活动是否符合这些 模式。 滥用检测与杀毒软件的方法有些相似，它基于己知的系统缺陷和攻击模式预先把攻 击方法以某种模式或特征表示出来，检测时将收集到的信息与已知的攻击模式或特征进 行匹配，从而可以判断是否存在入侵行为。用来检测攻击特征的是过滤器，它把攻击特 征的描述转换成机器可读的代码或查询表。 滥用检测的关键在于是否能够准确的描述攻击模式。滥用检测需要构造完备的知识 特征库，通过依据具体的特征库进行判断，一般检测准确度都很高。并且因为检测结果 有明确的参照，也为系统管理员做出相应措施提供了方便。同时相对于异常检测，其开 发难度较小。 但是滥用检测的难点在于如何将具体入侵手段准确的抽象成知识特征，同时又不会 将正常的活动行为包含进来，如果抽象出的特征不够准确，则在检测时就会产生大量的 误报。出于滥用检测其自身检测条件的限制，当出现新的攻击并且该攻击模式还未被加 入到知识特征库中时，滥用检测则对此类攻击无能为力。 滥用检测方法大致有以下三种： 1 5 1 1 特征分析 该方法是最为简单同时也是被较多采用的检测方式。通过将事件于特征库中的规则 进行一一匹配，来发现入侵行为。此方法的优点是较容易实现，开发成本较低，但是其 对特征库的依赖型太强。由于其对匹配特征规则要求十分严格，对于攻击的微小变异， 如果与特征规则不完全一致，则无法识别攻击。如在对w c b 服务器进行c g i 攻击时， 对于w e b 服务器g e t c g i - b i n p h f , g e t c g i - b l r d p h f $ 口g e t 0 0 c g i - b m p h f 都是合法的 基于高速以太网的入侵检测系统的研究 字符串，因而如果在特征库中没有完全对应的规则时，就可能对c g i 攻击的微小变异产 生漏报。同样，为了减少漏报率和误报率，则需要非常庞大而繁琐的特征库。 1 5 1 | 2 专家系统 根据安全专家对可疑行为的分析经验来形成套推理规则，然后再在此基础之上构 成相应的专家系统。将有关入侵的知识转化成* t h e n 结构的规则，即将构成入侵所要求 的条件转化为i f 部分，将发现入侵后采取的相应措施转化成t h e n 部分。当其中某个或 某部分条件满足时，系统就判断为入侵行为发生。其中的i f - t h e n 结构构成了描述具体攻 击的规则库，状态行为及其语义环境可根据审计事件得到，推理机根据规则和行为完成 判断工作。 专家系统主要面临的一个问题是难以科学地从各种入侵手段中抽象出全面的规则 化知识：另外，由于其所需处理的数据量过大，检测效率也是一定的问题。 1 5 13 模型推理 模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的特征 被描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特殊使用等。 根据这些行为特征建立攻击脚本库，每一脚本都由一系列攻击行为组成。检测时先将这 些攻击脚本的子集看作系统正面临的攻击。然后通过个称为预测器的程序模块根据当 前行为模式，产生下一个需要验证的攻击脚本子集，并将它传给决策器。决策器收到信 息后，根据这些假设的攻击行为在审计记录中的可能出现方式，将它们翻译成与特定系 统匹配的审计记录格式。然后在审计汜录中寻找相应信息来确认或否认这些攻击。 般为了准确判断，要为不同的入侵者和不同的系统建立特定的攻击脚本。初始攻 击脚本子集的假设直满足：易于在审计记录中识别，并且出现频鞘艮高。随眷一些脚本 被确认的次数增多，另一些脚本被确认的次数减少，攻击脚本不断地得到更新。 1 5 2 异常检测技术 异常检测0 纽o m a l yd e t e c t i o n ) 的假设是入侵者活动异常于正常主体的活动。根据这一 理念事先建立对系统正常活动行为的描述，通过分析各种收集到的信息，标识出那些与 系统正常行为偏离很大的行为并被视为可能的入侵企图。正常行为的描述包括c p u 利用 率、内存利用率、文件校验和用户行为等。对正常行为的描述过程可以人为定义，也可 以利用程序来收集、处理系统行为的特征，并用统计的方法自动获得。这种检测方法的 难题在于如何定义所谓的“正常行为”以及如何设计统计算法，从而不把正常的操作作 为“入侵”或忽略真正的“入侵”行为。 4 基于高速以太网的入侵检测系