（计算机应用技术专业论文）基于snort的入侵检测系统的研究与设计.pdf

基于s n o r t 的入侵检测系统的研究与设计 摘要 防火墙( f i r e w a l l ) 与入侵检测系统( i d s ) 作为两种网络安全防护技术应 用越来越广泛。防火墙通常被部署在网络的边界用于不同网络间的隔离，通过 访问控制策略来允许或是拒绝数据包的通过，为网络提供静态防御功能；而入 侵检测系统是通过监视网络数据包、分析用户及系统活动等手段来识别入侵行 为和入侵企图，是一种动态防御技术。如何将防火墙与入侵检测系统有效结合 起来协同使用，进一步提高网络系统的安全性能和防御级别，这是网络安全领 域中的研究热点。 本文在分析s n o r t 入侵检测系统的基础上，研究入侵检测系统与防火墙的 协同使用，论文的主要工作如下： ( 1 ) 对优秀的开源s n o r t 系统进行了深入的分析，讨论其检测入侵行为的实现 过程，并以s n o r t 为对象进行入侵检测系统与防火墙协同使用的研究。 ( 2 ) 对网络中同时部署防火墙与入侵检测系统进行了讨论，分析两者在网络安 全系统中各自作用和特点，并通过脚本程序实现将i d s 检测到的入侵报警信息 自动生成防火墙的过滤策略，及时的阻断来自外网的入侵攻击，使i d s 与 f i r e w a l l 能够有效的协同工作，从而提高网络的安全性。 ( 3 ) 设计了警告控制台子系统，通过w e b 网页的方式对s n o r t 警告进行管理， 用户可以方便地对警告进行查看、分组、删除等操作。并可以与入侵检测与防 火墙协同子系统配合使用，对生成的防火墙过滤策略进行人为控制。 目前入侵检测与防火墙协同子系统通过脚本实现自动协同，并结合警告控 制台对需要进行防火墙处理的警报进行控制管理，实现系统自动协同与人为控 制相结合的功能，并在小型网络实验环境中进行了测试，达到了预期的效果。 关键词：防火墙入侵检测系统s n o r t 系统模式匹配算法协同 i v r e s e a r c ha n dd e s i g no ni n t r u s i o nd e t e c t i o ns y s t e m b a s e do i ls n o r t a b s t r a c t f i r e w a l la n di n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) a r ew i d e l yu s e da st w ot y p e so f n e t w o r ks a f e t yp r o t e c t i o nt e c h n o l o g y f i r e w a l li su s u a l l yd e p l o y e da tt h en e t w o r k b o u n d a r yf o rt w od i f f e r e n tn e t w o r k si s o l a t i o n ，t h r o u g ha c c e s sc o n t r o lp o l i c yt o a l l o wo rd e n yp a c k e t sp a s s ，w h i c hi ss t a t i cd e f e n s e i d si d e n t i f i e si n t r u s i o na c t i o n s a n di n t r u s i o na t t e m p t sb ym o n i t o r i n gn e t w o r kp a c k e t s ，a n a l y z i n gu s e ra n ds y s t e m a c t i v i t i e sa n do t h e rm e a n s ，i sad y n a m i cd e f e n s et e c h n o l o g y i ti sar e s e a r c hf o c u s i nt h ea r e ao fn e t w o r ks e c u r i t y ，t om a k e sf i r e w a l la n di d sw o r k i n gc o o p e r a t i v e l yi n o r d e rt of u r t h e ri m p r o v et h ep e r f o r m a n c ea n dd e f e n s el e v e lo fn e t w o r ks e c u r i t y s y s t e m t h ep u r p o s eo ft h i sd i s s e r t a t i o ni ss t u d y i n gt h ec o m b i n a t i o n o fi d sa n d f i r e w a l lb a s e do nt h ea n a l y s i so fs n o r ti d s t h em a i nc o n t e x t sa r ea sf o l l o w s ： ( 1 ) t h es n o r ti sd e p t ha n a l y z e d ，w h i c hi sa ne x c e l l e n to p e ns o u r c ei d ss y s t e m t h e s t u d y i n gi nt h ec o m b i n a t i o no f i d sa n df i r e w a l li sb a s e do ns n o r t ( 2 ) a f t e rt h a t ，i ti sp r o p o s e di n s t a l l i n gf i r e w a l la n di d si nt h es a m en e t w o r k w i t h t h ec h a r a c t e r i s t i c so fa t t a c k s d e t e c t e d b yi d s ，t h e r u l e so ff i r e w a l la r e a u t o m a t i c a l l yg e n e r a t e db yu s i n gs c r i p t ，a n dt h e a t t a c k sc a nb eb l o c k e df r o m i n t e r n e ti nt i m e i tm a k e sf i r e w a l la n di d sw o r k i n gc o o p e r a t i v e l yt oe n s u r et h e s a f e t yo fi n t r a n e t ( 3 ) b e s i d e s ，a na l e r to p e r a t i o nm a i n t a i nc o n s o l es u b s y s t e mi sd e s i g n e dt h a th e l p u s e r so b s e r v eo rg r o u po rd e l e t et h ea l e r ti n f o r m a t i o nt h r o u g hw e bp a g e s i tc a nb e c o o r d i n a t e dw i t ht h es u b s y s t e mo ff i r e w a l la n di d st oc o n t r o la c c e s sc o n t r o l p o l i c yr u l e so ff i r e w a l lb yu s e r s a tp r e s e n t ，t h es u b s y s t e mo ff i r e w a l l a n di d si sa b l et oa u t o m a t i c a l l y c o m b i n e db ys c r i p t ，f u r t h e rf i r e w a l lc a nh e l pt h ea l e r to p e r a t i o nm a i n t a i nc o n s o l e a d m i n i s t e rt h ea l e r ti f n e e d e d i ta c h i e v e st h ec o o p e r a t i o no fs u b s y s t e ma u t o m a t i c c o m b i n a t i o na n dm a n m a d ec o n t r o l ，a n dr e a c h e sp r e d i c t i v e e f f e c ti nt e s t so fl a b s m a l ln e t w o r k k e y w o r d s ：f i r e w a l l ；i n t r u s i o nd e t e c t i o ns y s t e m ；s n o r t ；p a t t e r nm a t c h i n g a lg o r i t h m ；w o r k i n gc o o p e r a t i v e l y v 插图清单 图2 1c i d f 模型结构6 图3 - 1s n o r t 的数据处理流程1 3 图3 - 2 包解码器的解码流程1 5 图3 3s n o r t 规则树结构图18 图3 - 4 坏字符规则一2 0 图3 5 好后缀规则2 0 图3 - 6b m 算法的匹配过程2 l 图3 7 依据a h o c o r a s i c k 算法构建的g o t o 图一2 2 图3 8w u m a n b e r 算法的扫描匹配2 4 图4 1 控制台子系统的功能结构图2 6 图4 2s n o r t 提供的表结构2 7 图4 3 警告控制台主页面2 8 图4 4 警告的详细信息的查看2 9 图4 5 警告管理一3 0 图4 - 6 条件查询界面3 0 图4 7 警告组的管理31 图5 1i p t a b l e s 对数据包处理流程3 4 图5 2 网络部署模型图：3 6 图5 3 协同子系统功能模型3 6 i x 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成 果。据我所知，除了文中特别加以标志和致谢的地方外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得盒墨王业太堂 或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确 的说明并表示谢意。 酶信五岛 签字日期：加f 、年9 月少角 学位论文版权使用授权书 本学位论文作者完全了解金墼王些太堂 有关保留、使用学位论文的规定，有权 保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅或借阅。本人 授权 金目巴工些太堂 可以将学位论文的全部或部分论文内容编入有关数据库进行检 索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文者签名： 徐烧 ( 一j 签字日期：m 萨够月插 学位论文作者毕业后去向： 工作单位： 通讯地址： 名：同闱7 千 签字日期：2 护，年华月纩日 电话： 邮编： 致谢 本论文是在我的导师周国祥教授的悉心指导下完成的。周老师渊博的专业 知识、深厚的理论功底、严谨的治学态度、敏锐的学术思想以及不断创新进取 的学术态度，是我以后学习和工作的楷模。 周老师在学术方面给予了我无私的指导和帮助，为我们提供了良好的学习 环境和丰富的实践机会。此外，周老师在日常生活中还向我们传授了如何为人 处事的很多道理，对我们严格要求，努力培养我们的综合素质。这些教育让我 终身受益，在此谨向周老师致以衷心的感谢和崇高的敬意! 感谢指导和帮助过我的师长，感谢帮助过我的同学们，从你们身上我学到 了很多。 深深感谢我的父母和亲人，感谢你们二十多年来一直对我无微不至的关怀， 在我遇到困难的时候开导我，在我取得进步的时候鼓励我。你们无私的爱和深 切的希望是我求学路上最大的精神动力! v i 作者：余志高 2 0 1 0 年4 月1 日 第一章绪论 1 1 课题背景及意义 计算机网络技术的普及，给人类社会的方方面面都带来了及其深远的影响， 极大地丰富和方便了人们的日常生活。根据中国互联网络信息中心( c n n i c ) 发布的第2 5 次中国互联网络发展状况统计报告数据显示，截至2 0 0 9 年1 2 月3 1 日，中国网民规模达到3 8 4 亿人，普及率达到2 8 9 。网民规模较2 0 0 8 年底增长8 6 0 0 万人，年增长率为2 8 9 t 1 1 。 在人们享受网络提供的各种信息化服务的同时，网络安全已成为一个严重 的问题并越来越受到重视。黑客通过各种手段攻击计算机和网络中的薄弱环节， 非法获取用户的机密信息，或是破坏系统与网络的正常使用，从而达到其特定 的目的，使用户的隐私和利益受到侵害。 众多的企业、组织与政府部门为了保证网络资源的安全，一般采用防火墙 作为安全保障体系的第一道防线，通过访问控制，防御黑客攻击，提供静态防 御。但是随着越来越多的系统与应用软件的漏洞被发现，以及攻击者的入侵方 式更加隐蔽，新的攻击方式层出不穷，所以单纯的依靠防火墙已经无法完全防 御不断变化的入侵攻击的发生，部署了防火墙的安全保障体系还有进一步完善 的需要。传统的防火墙主要有以下的不足：防火墙作为访问控制设备，无法检 测或拦截隐藏到普通流量中的恶意攻击代码，比如针对w e b 服务的s o l 注入攻 击等。防火墙无法发现内部网络中的攻击行为。 因此，网络的安全不能只依靠单一的安全防御技术和防御机制。为了迅速、 有效地发现各类入侵行为，保证系统和网络资源的安全，很多组织和研究机构 正致力于提出各种安全防护策略和方案，包括v p n 、防火墙、防病毒、访问控 制等。只有在对网络安全防御体系和各种安全技术和工具的研究的基础上，制 定具体的系统安全策略，通过设立多道安全防线、集成各种可靠的安全机制( 例 如，防火墙、存取控制和身份认证机制、安全监控工具、漏洞扫描工具、入侵 检测系统以及进行有效的安全管理、培训等) 建立完善的多层安全防御体系， 才能有效地抵御来自系统内、外的入侵攻击，确保网络系统的安全心3 。 入侵检测是从上世纪九十年发展起来的一种动态地监控、预防或抵御系统 入侵行为的安全机制。主要通过监控网络、系统的状态、行为以及系统的使用 情况，来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷 对系统进行入侵的企图。和传统的预防性安全机制相比，入侵检测是一种事后 处理方案，具有智能监控、实时探测、动态响应、易于配置等特点。入侵检测 技术的引入，使得网络、系统的安全性得到进一步的提高。例如，可检测出内 部人员偶然或故意提高他们的用户权限的行为，避免系统内部人员对系统的越 权使用。显然，入侵检测是对传统计算机安全机制的一种补充，它的开发应用 加强了网络与系统安全的保护，成为目前关于动态安全工具的研究和开发的主 要方向。入侵检测系统作为一种主动的安全防护技术，提供了对内部攻击、外 部攻击和误操作的实时拦截，在网络系统受到危害之前拦截和响应入侵。随着 网络通信技术安全性要求越来越高，为给电子商务等网络应用提供可靠服务， 能够从网络安全的立体纵深、多层次防御的角度提供安全服务的入侵检测系统， 必将进一步受到人们的高度重视p ，4 j 。 本课题选自于淮北市人民医院网络系统改造项目，该项目为了适应医 院信息化的发展，对原有的平台与网络进行升级改造。在网络方面添加了性能 更好的防火墙与防病毒软件及内网的安全审计软件，目标是构建一个纵深的安 全防护体系，保护内部网络的安全。正是在如何提高网络的安全性的需求下， 选取了“基于s n o r t 的入侵检测系统的研究与设计 作为研究的课题。在使用 s n o r t 的检测内外网的入侵行为的同时，重点研究如何使用入侵检测系统与防火 墙的系统协同配合使用的问题，通过入侵检测系统检测到入侵事件，由入侵事 件的日志信息自动生成适用于防火墙的过滤规则，在内外网络的出入口通过防 火墙对外网的入侵行为进行自动响应。现在，入侵检测与其他安全产品之间的 协同工作是对入侵检测研究的热点之一，所以本文中对基于s n o r t 入侵检测系 统的研究具有一定的现实意义。 1 2 国内外研究现状 入侵检测系统( i d s ) 的研究最早可追溯到j a m e sa d e r s o n 在1 9 8 0 年的工 作，他首先提出了入侵检测的概念。他将入侵定义为：“潜在的、有预谋的、 未经授权的访问操作。入侵是致使系统不可靠或无法使用的企图”。1 9 8 7 年， d o r o t h y e d e n n i n g 首次给出了入侵检测的抽象模型，并将入侵检测作为一种新 的安全防御措施提出。1 9 8 8 年，t e r e s al u n t 等人进一步改进了d e n n i n g 提出的 入侵检测模型，并提出了入侵检测专家系统( i d e s ) 模型1 6 j ，该系统用于检测 单一主机的入侵企图，提出了与系统平台无关的实时检测思想。1 9 9 5 年开发的 i d e s 的改进版本n i d e s 可以检测出多个主机上的入侵j 。1 9 8 8 年的m o r r i s 蠕 虫病毒事件，网络安全才真正引起了各界的高度重视，许多机构开始了i d s 系 统的研究开发工作。 早期的i d s 都是基于主机的系统。1 9 9 0 年是入侵检测系统发展史上的一个 分水岭。这一年，加州大学戴维斯分校的l t h e b e r l e i n 等人开发出了n s m ( n e t w o r ks e c u r i t ym o n i t o r ) 。n s m 与此前的基于主机的i d s 系统相比，最大 的不同在于它并不检测主机系统的审计记录，而是通过在局域网上主动地监视 网络信息流量来追踪可疑行为。1 9 9 1 年，提出了收集和合并处理来自多个主机 的审计信息以检测一系列主机的协同攻击。1 9 9 4 年，使用自治代理来提高i d s 的可伸缩性、可维护性、效率和容错性。1 9 9 6 年，提出基于图形的入侵检测系 2 统g r i d s ( g r a p h b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) ，主要考虑网络中大规模的 攻击行为，采用图的形式表示攻击标识，其目的在于解决当前绝大数入侵检测 系统的可伸缩性不足问题。n s m 系统能够在以太网中通过网络数据分析进行入 侵检测，分布式入侵检测系统( d i d s ) 【8 】则是对n s m 的发展，把网络中主机 系统的审计机制收集到的事件数据通过网络进行综合处理，但数据分析仍是局 限在单链路的局域网中，而事件的处理是集中式的。目前，基于网络的入侵检 测系统已逐步扩大到能够检测大型的、具有复杂拓扑结构的网络中的入侵行为。 现在比较有代表性的入侵检测系统有c i s c o 公司的i d s4 2 0 0 系列，i s s ( i n t e r n e t s e c u r i t ys y s t e m s ) r e a l s e c u r e ，和s y m a n t e cm a n h u n t 等。 在国内，随着接入互联网的政府和金融机构等关键部门、关键业务日益增 多，更需要自主知识产权的入侵检测产品。进入2 l 世纪后，国内对入侵检测系 统的研究与开发也加快了脚步，在国内市场上占有相当大的份额。具有代表性 的国内入侵检测系统产品有：启明星辰的“天阗入侵检测与管理系统 ，海峡 信息的“黑盾一网络入侵检测系统 ，中联绿盟信息技术有限公司的“绿盟网络 入侵检测系统( n s f o c u sn i d s ) ；东软集团开发的“n e t e y e 入侵检测系统” 盘蟹 口o 1 3 研究内容 本文在对s n o r t 系统进行分析的基础上，重点是研究如何利用i p t a b l e s 防火 墙来处理s n o r t 所检测出的报警信息，以达到及时地响应和阻断所检测出的入 侵行为。主要研究内容如下： ( 1 ) 深入地对轻量级入侵检测系统s n o r t 的总体结构与各功能模块进行了分析， 并介绍了s n o r t 规则结构与规则的解析流程，以及检测模块所采用的模式匹配 算法。 ( 2 ) 在基于s n o r t 的基础上，使用p h p 开发设计了可视化的w e b 界面，方便用 户对入侵系统的日志与警报的维护，并对警报进行分组及提取出符合过滤条件 的警报，防火墙将对这些警报信息进行处理，而避免所有的警报都被防火墙生 成过滤规则( 虚警和过期的警报将不会被防火墙处理) 。 ( 3 ) 利用s n o r t 的后台数据库中报警数据，对入侵行为的报警信息进行处理， 生成符合i p t a b l e s 防火墙的规则策略，在网络的边界防火墙处对来自外网的入 侵行为进行过滤与阻断，使入侵检测与i p t a b l e s 防火墙协同地运行。 1 4 论文的组织结构 论文共分为六个部分，内容组织如下： 第一章是绪论，阐述了本课题的研究背景和意义，并详细介绍了入侵检测 系统在国内外的研究现状，指出了本文的主要研究内容； 第二章介绍了入侵检测的相关技术。包括入侵检测的定义、体系结构、常 见的分类及现状与发展趋势等，并详细描述了c i d f ( 公共入侵检测框架) ； 第三章是对s n o r t 入侵检测系统进行分析。对s n o r t 的总体结构和规则的解 析流程作了说明，并对各个功能模块进行了详细的分析，最后对s n o r t 所使用 的模式匹配算法进行了介绍： 第四章设计了方便对报警进行查看与维护的报警控制台。给出了控制台的 功能结构图及数据库表结构，并说明了实现的主要功能； 第五章是实现了利用i p t a b l e s 防火墙自动响应s n o r t 检测到的入侵报警。首 先介绍了i p t a b l e s 防火墙原理，给出了入侵检测与防火墙自动协同子系统的模 型。并介绍如何从s n o r t 数据库中获取信息，并最终通过脚本的执行实现防火 墙与s n o r t 的协同工作； 第六章是结束语。总结本文的研究成果、创新点，并给出本课题下一步研 究工作的方向。 4 第二章入侵检测系统的相关技术 入侵检测系统作为重要的网络安全工具，被认为是防火墙之后的第二道安 全闸门，提供对内部攻击、外部攻击和误操作的实时监控，实现对网络的动态 保护，大大提高了网络的安全性。入侵检测从上世纪八十年代的概念模型的提 出到现在经历了近3 0 年的发展，从最初的基于主机的入侵检测系统，到简单的 网络入侵检测系统，发展到现在的融合多种技术的大规模分布式入侵检测系统。 检测分析技术也由统计分析、简单的模式匹配发展为协议分析、多模式匹配、 数据融合及专家系统等多种技术相结合，使检测系统的效率速度及检测的成功 率等都有很大的提升。 2 1 入侵检测系统概述 “入侵”主要是指对系统资源的非授权操作，它可以造成系统数据的丢失 和破坏，甚至会造成系统拒绝对合法用户服务等后果。入侵者可分为两类：外 部入侵者和内部入侵者。美国国际计算机安全协会( i c s a ) 对入侵检测的定义 是：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析， 从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象的一种安 全技术。违反安全策略的行为有入侵( 非法用户的违规行为) 和滥用( 合法用 户的违规行为) 。入侵检测的目标就是通过检测操作系统的安全日志或网络数 据包信息来发现系统中违背安全策略或危及系统安全的行为或活动，从而保护 信息系统的资源免受入侵者的攻击，防止系统数据的泄露、篡改和破坏。 入侵检测系统的应用，能使在入侵攻击对系统发生危害前，检测到入侵攻 击，并利用报警与防护措施阻止入侵行为。在入侵攻击过程中，能减少入侵攻 击所造成的损失；在入侵攻击后，收集入侵攻击的相关信息，作为防范系统的 知识，添加入知识库内，以增强系统的防范能力。入侵检测的研究涉及计算机、 网络以及安全等多个领域的知识。目前，最基本的入侵检测方法主要是基于已 知入侵行为模式的特征检测和基于统计行为的异常入侵检测。 ( 1 ) 入侵检测系统的主要功能 上面对入侵检测系统的有了概念性的叙述，然而对于入侵检测系统的发展 过程中的不同阶段和不同的侧重点，入侵检测的功能也不尽相同。现阶段入侵 检测系统的主要功能大致为： 监测并分析用户和系统的活动； 核查系统配置和漏洞； 评估系统关键资源和数据文件的完整性： 识别已知的攻击行为； 统计分析异常行为； 对操作系统日志进行管理，并识别违反安全策略的用户活动。 ( 2 ) 如何评估入侵检测系统的性能 对于一个入侵检测系统的性能的好坏，需要从不同的角度考虑，不能片面 的进行评价。评估入侵检测系统性能的主要指标包括： 可靠性一系统具有容错能力且可连续运行； 可用性一系统开销要最小，不会严重降低网络系统性能； 适应性一对系统来说必须是易于开发的，可添加新的功能，能随时适应系统 环境的改变；对于用户而言，要求操作简单，易于部署和管理； 实时性一系统能尽快地察觉入侵企图并实时报警，以便制止和限制破坏； 准确性一报警的准确率高，误报和漏报率低； 安全性一检测系统必须具有良好的自身安全性，不易遭受攻击。 2 2 入侵检测系统的体系结构 入侵检测是检测网络数据流和计算机系统以发现违反安全策略事件的过 程。作为入侵检测系统至少应该包括3 个功能模块：检测分析的信息源、发现 入侵迹象的分析引擎和分析结果的响应部件。19 9 9 年，美国国防高级研究计划 署( d a r p a ) 提出了通用入侵检测框架模型c i d f ( c o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ) 【3 ，4 1 。 c i d f 模型中将入侵检测系统分为4 个组件：事件产生器、事件分析器、响 应单元和事件数据库。c i d f 将需要分析的数据统称为事件，它可以是网络中的 数据包，也可以是从系统日志等其他途径得到的信息。事件产生器从网络或计 算机系统中获得事件，并向系统的其他部分提供此事件。分析器从产生器得到 事件后对其进行分析，并产生分析结果。响应单元则是对分析结果做出反应的 功能单元，它可以是简单的报警、切断连接、改变文件属性等响应。事件数据 库是存放各个中间和最终数据的地方的统称，它可以是复杂的数据库，也可以 是简单的文本文件。 c i d f 模型结构如图2 1 所示： - ：数据源数据： l ! 图2 1c i d f 模型结构 6 ( 1 ) 事件产生器 入侵检测的第一步是信息收集。收集的内容包括整个计算机网络中系统、 网络、数据及用户活动的状态和行为，这是由事件产生器来完成的。入侵检测 在很大程度上依赖于信息收集的可靠性、正确性和完备性。因此，要确保采集、 报告这些信息的软件工具的可靠性，即这些软件本身应具有相当强的坚固性， 能够防止被篡改而收集到错误的信息。否则，系统在受到攻击后可能导致功能 失常，但看起来却和正常的系统一样，也就丧失了入侵检测的作用。 ( 2 ) 事件分析器与事件数据库 事件分析器是入侵检测系统的核心，它的效率高低直接决定了整个入侵检 测系统的性能。通常我们将入侵检测系统分为异常检测和误用入侵检测都是根 据事件分析器所采用的不同分析方式来划分的。 事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数 据库，也可以是简单的文本文件。考虑到数据的庞大性和复杂性，一般都采用 成熟的数据库产品作为事件数据库。因为数据库有着其他方式所无法代替的功 能，方便其他系统模块对数据的添加、删除、访问、排序和分类等操作。 ( 3 ) 响应单元 事件分析器发现入侵迹象后，入侵检测系统的下一步工作是做出响应。而 响应的对象并不局限于可疑的攻击者，可以是以简单的警报方式，也可以是通 过与其它的安全产品或是模块完成对入侵行为的阻断。目前的较完善的入侵检 测系统具有以下的响应功能。 通过管理控制台向安全管理员发出提示性的告警，指出事件的发生。 将事件的原始数据和分析结果记录到日志文件中，并产生相应的报告，包 括时间、源地址、目的地址和类型描述等重要信息。 必要的时候需要实时跟踪事件的进行。 根据攻击类型自动终止攻击，切断攻击者的网络连接，减少损失。 如果可疑用户获得账号，则将其禁止。 重新配置防火墙，更改其过滤规则，防止此类攻击的重现。 可以执行一个用户自定义程序或脚本，方便用户操作，同时也提供了系统 扩展的手段。 2 3 入侵检测系统的分类 2 3 1 根据入侵检测的数据源来分类 根据入侵检测的数据源来分类，入侵检测可以分为基于主机的入侵检测系 统( h o s t b a s e di d s ) 和基于网络的入侵检测系统( n e t w o r k b a s e di d s ) 9 ，1 0 ，1 1 1 。 ( 1 ) 基于主机的入侵检测系统 基于主机的i d s ( h i d s ) 在操作系统、应用程序或内核层次上对攻击进行 7 监控。h i d s 有权检查日志、错误消息、服务和应用程序权限、以及受监控主 机的任何可用资源。基于主机的入侵检测系统主要用于保护运行关键应用的服 务器。它通过监视和分析主机的审计记录和日志文件来检测入侵行为。日志中 包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在 入侵或已成功入侵了本系统。一旦发现这些文件发生任何变化，i d s 将比较新 的日志记录与攻击签名以发现它们是是否匹配。如果匹配的话，检测系统就向 管理员发出入侵报警并采取相应的行动。通过查看日志文件，能够发现成功的 入侵或入侵企图，并很快地启动相应的应急响应程序。 ( 2 ) 基于网络的入侵检测系统 主要用于实时监控网络关键路径信息。通过侦听网络上的所有数据包来采 集数据，使用原始的网络数据包作为进行攻击分析的数据源。一般利用一个网 络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击， 应答模块通过通知、报警以及中断连接等方式来对攻击做出反应。基于网络的 入侵检测系统一般处于网络边缘的关键节点处，负责拦截在内部网络和外部网 络之间传输的数据包。 ( 3 ) h i d s 和n i d s 两者间的比较 基于主机的入侵检测系统使用系统日志作为检测依据，因此它们在确定攻 击是否已经取得成功时与基于网络的入侵检测系统相比具有更高的准确性；它 可以精确地判断入侵事件，并可对入侵事件立即做出反应；它还可针对不同操 作系统的特点判断应用层的入侵事件；并且不需要额外的硬件。其缺点是会占 用主机资源，在服务器上产生额外的负载，而且缺乏跨平台支持、可移植性差， 因而应用范围受到严重限制。 基于网络的入侵检测系统的主要优点包括：可移植性强，不依赖主机的操 作系统作为检测资源：实时检测和应答，一旦发生恶意访问或攻击，基于网络 的入侵检测系统可以随时发现它们，因此能够更快地做出反应，监视粒度更细 致；攻击者转移证据很困难；能够检测未成功的攻击企图。基于网络的入侵检 测系统发展迅速并且比h i d s 更为人们所接受。n i d s 的成本比h i d s 更低，因 为它通过一个装置就能保护一大片网段。通过n i d s ，入侵分析员可以对网络 内部和其周围发生的情况有个全方位的认识。对特殊主机或攻击者的监控力度 可以相对容易地加强或是减弱。与h i d s 相比，n i d s 更为安全而不易中断。 n i d s 应该运行在一台加固的主机上，该主机应该只支持入侵检测相关的服务， 这样该机就更为健壮。n i d s 没有依赖于受控主机的完整性和可用性的缺点， 因而它的监控不易被中断。由于不依赖主机的安全性，与h i d s 相比，n i d s 的 证据不易被破坏。那是因为n i d s 将其捕获的数据存储在不同的机器上，所以 攻击者不能轻易地删除攻击的证据。但是，与基于主机的入侵检测系统相比， 它只能监视发生在本网段的活动，精确度不高；在高层信息的获取上更加困难 等。 由此比较可以看出，两者具有互补性。基于主机的系统能够更加精确地监 视系统中的各种活动；而基于网络的系统能够客观地反映网络活动，特别是能 够监视到系统审计的盲区。成功的入侵检测系统应该将这两种方式结合起来。 人们可以使用n i d s 提供早期的报警，而使用h i d s 来验证攻击是否取得成功。 2 3 2 根据检测方法的分类 根据使用的检测方法不同，入侵检测系统通常可以分为异常入侵检测和误 用入侵检测 9 , 1 2 , 1 3 j 。 ( 1 ) 异常入侵检测 异常入侵检测也称为基于统计行为的入侵检测。异常检测通过对标准的测 量来检测滥用行为，如果一个行为的模式与标准不同，就会产生一个警报。异 常检测被用于应用程序层次来监控用户的行为。异常检测i d s 从用户的系统行 为中收集一组数据。这一基准数据集被视为“正常调用 。如果用户偏离了正 常调用模式，就会产生警报。异常检测i d s 能更好的捕获那些富有经验的攻击 者。攻击者可以在一个受到控制的环境中复制一个特征匹配i d s 。攻击者可以 尝试进行潜在的入侵来观察哪些能被特征匹配i d s 发现。然而，对于异常检测 i d s ，攻击者不能预知哪些入侵行为可以不被发现。异常检测i d s 独特的优点 在于它不依赖于对已知攻击的识别。只要i d s 能检查出攻击者与正常调用有较 大的不同，它就能检测出攻击。异常检测误报率也相对较高。假定一种类型的 流量非常罕见，但又是正常的、无恶意的。如果这一流量不能在i d s 产生基准 数据时被捕获，当i d s 遇到这种流量时就会产生误报。这是一个重大的问题， 因为网络流量随着时间的推移会包含很多偶然出现的罕见数据。这使得异常检 测既不如误用检测精确也不如它实用。 ( 2 ) 误用入侵检测 误用入侵检测又称为基于规则知识的入侵检测，就是将收集到的信息与已 知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。 误用检测对那些试图以非标准手段使用系统的安全事件进行鉴别。i d s 中存储 着已知的入侵行为描述，以此为根据比较系统行为。当某方面的系统调用与一 种已知的入侵行为描述匹配时，一次警报就会被提交给i d s 分析员。 对己知入侵行为的描述称为特征。特征必须能准确描述某一种特殊入侵行 为的特点，同时要避免其他行为引起的误报。在n i d s 中，通过对协议元素或 是网络流量的内容进行匹配而产生一类特殊的特征。当n i d s 检测出流量与某 一特征匹配时，就会发出警报。特征检测是检测已知攻击的最为准确的技术。 当一个特征与一次入侵匹配时，就会产生一个警报。另外，差不多每一种类型 的恶意流量都能被种唯一的特征所鉴别。因此，大部分恶意流量都能被i d s 用特征检测捕获。虽然存在一些攻击能逃过特征检测，但是他们是很小一部分 9 并且可以用其他手段检测出来。 ( 3 ) 异常检测和误用检测间的比较 异常检测方式可以检测到未知的何更为复杂的入侵；缺点是漏报、误报率 高；一般具有自适应功能，但入侵者可以逐渐改变自己的行为模式来逃避检测， 不适应用户正常行为的突然改变，而且在实际系统中，统计算法的计算量庞大， 效率很低，统计点的选取和参考库的建立也比较困难。 误用检测方式的准确率和效率都非常高，只需要收集相关的数据集合，显 著减少系统负担，且技术已相当成熟；但它只能检测出模式库中已有的攻击的 类型，不能检测到从未出现过的攻击手段，随着新攻击类型的出现，模式库需 要不断更新，而且其攻击模式添加到模式库以前，新类型的攻击就可能会对系 统造成很大的危害。 目前，国际顶级的入侵检测系统主要以误用检测技术为主并结合异常检测 技术，使它们发挥各自的优势，从而提高系统的整体性能。 2 4 入侵检测系统的分析技术与研究方向 2 4 1 入侵检测系统的分析技术 在入侵检测发展的过程中，各种不同的技术被应用到入侵检测系统的研究 与开发中，现在入侵检测系统中常用的分析技术有： ( 1 ) 模式匹配技术 模式匹配就是将收集到的信息与已知的网络入侵检测系统中已有模式的数 据库规则信息进行比较，从而发现违背安全策略的行为。模式匹配检测方法是 k u m a r 在1 9 9 5 年提出的。目前，模式匹配已经成为入侵检测领域中最广泛使用 的检查手段和机制之一，尤其是字符串模式匹配，对其研究已经比较成熟，应 用相当广泛 1 4 - 1 9 j 。 ( 2 ) 协议分析技术 入侵检测中的协议分析技术是结合高速数据包捕捉、协议分析和命令解析 来进行入侵检测。协议分析将输入数据包视为具有严格定义格式的数据量，并 将输入数据包按各层协议报文封装的反向顺序，层层解析出来。然后，再根据 各层网络协议的定义，对各层协议的解析结果进行逐次分析。其中，各层协议 封装报文中都包含了预先定义的若干协议字段，协议分析技术的重点操作内容 就集中在检查当前数据包中的各层协议字段值是否符合网络协议定义的期望值 或处于合理范围之内。如果当前所检查的某个协议字段里，包含了非期望的不 合理赋值，则系统认为当前数据包为非法网络流量【2 2 ，2 3 ，2 4 1 。协议分析技术通常 配合模式匹配技术应用于误用检测系统中。 ( 3 ) 数据融合技术 基于数据融合的入侵检测系统的输入可以是从网络嗅探器处得到的各种网 1 0 络数据包、系统日志文件、用户资料信息、系统消息和操作命令等，输出时入 侵者的身份估计和位鼍确定、入侵者的活动信息、危险性信息、攻击的等级和 对整个入侵行为危险程度的评估等【25 1 。 ( 4 ) 基于a g e n t 的检测技术 a g e n t 是在复杂网络环境中实现分布式应用的理想工具，所以将a g e n t 技 术应用于i d s 应用于i d s 已经成为入侵检测技术发展的方向之一【2 6 ，2 7 1 。基于该 技术的i d s 目前有p u r d u e 大学的入侵检测自治代理( a u t o m o m o u sa g e n t sf o r i n t r u s i o nd e t e c t i o n ，简称a a f i d ) 瞄引。在a a f i d 系统中，a g e n t 用来收集信息并 进行一些基本的处理和判断，然后向上级传递，实际上起的是收集、过滤和判 断的作用，a g e n t 也有自己的独立性，可以是一个完整的入侵检测系统，作为 一个分布式入侵检测系统的一个支点。 2 4 2 入侵检测系统的研究方向 当前国内外对入侵检测系统的研究主要集中在以下几个方向： ( 1 ) 针对分布式攻击的分布式入侵检测方面的研究。 某些基于网络的攻击的检测需要来自多个源的信息。在这种攻击中，入侵 者通常在很多主机中的每台主机上尝试进行某些攻击，但攻击行为很轻微。这 种攻击很有效。在这种情况下，入侵者在每台主机上只尝试几次，主机上的入 侵检测系统通常不会把它看成是攻击行为。即使把它看成攻击，很多入侵检测 系统也不能把多个主机的报告关联起来，因此无法发现这种攻击。而针对分布 式攻击的入侵检测系统汇聚并关联来自多个主机和网络的数据，它可通过检测 不断重复的失败登录次数数识别这种攻击【2 9 , 3 0 , 3 1 l 。 ( 2 ) 关于大规模高速网络入侵检测系统的研究。 仅仅能够检测出很多攻击时不够的，入侵检测系统还需要跟得上高速网络 和高性能网络节点产生的事件流。网络的速度越来越快，流量和网络的规模也 越来越大。网络节点正在以越来越快的速度产生越来越多的数据和审计日志。 人们仍然希望在这些网络上应用入侵检测系统，这就对入侵检测系统的处理速 度和响应能力提出了新的要求，在不影响网络的性能的情况下又要保证入侵检 测的准确率 3 2 , 3 3 1 。 ( 3 ) 入侵检测系统的标准化研究。 人们希望入侵检测的不同组件能够重用，能把不同类型的传感器集成到不 同的平台环境和系统中去。这就需要采用统一的设计标准，才能解决产品的兼 容性问题【3 , 3 4 1 。目前d a r p a 和i n t e r n e t 工作任务组( i e t f ) 的入侵检测工作组 ( i d w g ) 发起制定了系列建议草案、a p i 、通信机制、语言格式等方面规范， 作为规范入侵检测系统的标准。 ( 4 ) 对入侵检测系统和防病毒工具、防火墙、v p n 等其他安全产品协同工作方 面的研究。 网络安全是一个全局性、广泛性的概念。人们在采用入侵检测系统的同时， 可能也会应用其他一些安全技术。如果入侵检测系统能把入侵事件的检测和其 他安全技术协同起来，形成一个纵深的安全防护体系，那么于提高整个网络的 安全而言将更加有效 3 5 , 3 6 , 3 7 j 。 未来的入侵检测系统框架将朝着可扩充性的方向发展，不仅具有对不同来 源地数