（计算机应用技术专业论文）误用检测关键技术——近似模式匹配算法的研究.pdf

摘要 在网络技术飞速发展、网络信息量激增的今天，网络安全r 益受到人们的关注。网络 攻击正向综合多样化、协同合作化、自动智能化发展，传统的网络防御策略已经不足以应 付如此的局面，入侵检测技术应运而生，并凭借其在检测过程中的主动性在计算机网络安 全领域中发挥了越来越重要的作用。多种智能技术( 如遗传算法、协议分析) 的引入，丰 富了检测的手段，能够发现一些新的入侵方式或变形，并具备了一定的预判能力。本文分 析了目前 d s 产品存在的缺陷，在此基础上，提出了一个基于多种锗能技术的入侵检测 系统模型的设计方案，重点探讨了其中的误用检测的关键技术近似模式匹配算法。议 用检测是保障计算机网络不受已发现入侵手段侵害的基础，其核心是模式匹配。 本文在介绍了几个现今具有代表性的模式匹配算法后，着重探讨了近似模式匹配，嘎 方法拓展了模式匹配的搜索范围，对于发现变形的攻击有着较好的效果。本文重点分析研 究了两种单模式近似匹配算法计数过滤算法和位并行模拟算法，提出了改进算法，并 引入了多模式处理方式，分别对上述两种算法实现了多模式化。透过仿真实验，验证了本 文的改进算法及其多模式化在搜索效率和搜索范围上的优势。 关键词：入侵检测；误用检测：近似匹配；多模式匹配；计数过滤：位并行 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fn e t w o r kt e c h n o l o g ya n dt h eg r e a ti n c r e a s eo f n e t w o r ki n f o r m a t i o n ，t h en e t w o r ks e c u r i t yg e t sm o r ea n dm o r ea t t e n t i o n t h e n e t w o r ka t t a c k sn o w a d a y sa r ed i v e r s i f y c o n v e n t i o n a lt e c h n 0 1 0 9 i e sa r en o ta b t et o d e t , e c t i o ne m e r g e sa st h et i m e sr e q u i r e i n g a d j u w i t h c o o p e r a t i v ea n di n t e l l i g e nl s tt ot h ea c t u a l i t y ， s oi n t r u s i ( ) f i t h eg o a h e a d is i l li nt h ep r o c e s so i d e t e c t i o n i n t r u s i o nd e t e c t i o np l a y sai m p o r t a n tr o l ei nn e t w o r ks e c u r i t y m a n y i n t e l l i g e n tt e c h n o l o g i e s ，s u c ha sg aa n dp r o t o c o la n a l y s i s ， e n r i c ht h em e a n s o fd e t e c t i o n t h e yc a nf i n ds o m ea b e r r a n c e so fn e t w o r ka t t a c k f u r t h e r m o r e ，t h e m i g h tf o r e c a s ts o m ea t t a c k s t h i sd i s s e r t a t i o na n a l y s e st h ef l a w so ft h ee x i s ti n g i d s ，a n dp r o p o s a l sad e t a i l e dd e s i g ns c h e m eo fa ni d sm o d e lb a s e do nm u l ti p l i n t e l i i g e n tt e c h n o l o g i e s a p p r o x i m a t ep a t t e r n - m a t c h i n g 。w h i c h i st h ek e ) t e c h n 0 1 0 9 yi nm i s u s ed e t e c t i o n ，a t t r a c t sm u c ha t t e n t i o n m i s u s ed e t e c t i o p r e v e n t st h en e t w o r kf r o me x i s t i n ga t t a c k s ， a n di t sc o r ei sp a t t e r nm a t c h i n g a f t e rt h ei n t r o d u c t i o no fs e v e r a lr e p r e s e n t a t i v ep a t t e r nm a t c h i n g a t g o r i t h m si ne x i s t e n c e ，t h et h e s i se m p h a s i z e sa p p r o x i m a t ep a t t e r nm a t c h i n g w h i c he x t e n d st h er a n g eo fp a t t e r ns e a r c h i n ga n dc a nd i go u tm u r a t i v ea t t a c k t h ed i s s e r t a t i o nd e s c r i b e st w oa l g o r i t h m si nd e t a i l ，w h i c ha r ec o u n t i n gf i l t e r a n db i t - p a r a l l e l 。t h e nb r i n g sf o r w a r dt h e i ri m p r o v e m e n t s u b s e q u e n t l y ，t h e ir m u l t i f i c a t i o n sa r ep r o v i d e d f i n a l l y ，s o m ee x p e r i m e n t sh a v eb e e nc a r t e dt h r o u g h t op r o v eo u tt h ei m p r o v e da l g o r i t h m sa n dm u l t i p a t t e r nm a t c h i n g t h ea l g e r i t h m s m a k eh u g ep r o g r e s si nt h ee f f i c i e n c ya n dt h er a n g eo fp a t t e r ns e a r c h i n g ，a n d s u p p o r tt h ei d sg r e a t l y k e 啪m r d s ：i n t r u s i o nd e t e c t i o n ；m i s u s ed e t e c t i o n ：a p p r o x i m a t ep a t t e r n - m a t c h i n g m u l t i p a t t e r nm a t c h i n g ：c o u n t i n gf i i t e r ：b i t p a r a l l e l i i 南京邮电大学 硕士学位论文摘要 学科、专业：工学计算机应用技术 研究方向：计算机在通信中的应用 作 者：j 塑堕级研究生 甘学士 指导教师堡力揭 题目：误用检测关键技术近似模式匹配算法的研究 英文题目： r e s e a r c ho nt h ek e yt e c h n o l o g yi nm i s u s ed e t e c t i o n a p p r o x i m a t ep a t t e r nm a t c h i n g 主题词：入侵检测误用检测近似匹配多模式匹配 计数过滤位并行 k e y w o r d s ： i n t r u s i o nd e t e c t i o nm i s u s ed e t e c t i o n a p p r o x i m a t ep a t t e r n m a t c h i n gm u l t i p a t t e mm a t c h i n g c o u n t i n gf i l t e r b i t - p a r a l l e l 南京邮电大学硕士研究生学位论文第一章绪论 1 1 课题的引入 第一章绪论 随着通信技术的发展，计算机网络德到了广泛的应用，网络之间的信息传输量同样 急剧增长。网络在带给人们便捷的同时，也绘信息安全带来了很多隐患。机密泄露、数据 被盗和篡改、系统因为遭到攻击而瘫痪诸如此类事件时有发生，网络安全问题已成为 信息时代人类菸同面i i 缶的挑战。国内的网络安全问题也日益突出，具体表现为：计鲐机系 统受病毒感染和破坏的情况相当严重；电脑黑客活动已构成重要威胁：信息基础设施丽l 网络安全的挑战：信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。 f t lr 1 根据2 0 0 5 年底金山、天极发布的网络安全综合报告。所述，在过去的年凰， 网络安全又出现了一些新的变化：除传统的病毒、垃圾邮件外，危害更大的间谍软件、广 告软件、网络钓鱼等纷纷加入到互联网安全破坏者的行列，成为威胁计算机安全的帮凶。 网络入侵危害变大；间谍软件感染率大大提高：手机病毒呈上升趋势：漏洞被发现 和漏洞病毒出现的时间间隔越来越短。 圈1 1 近年计算机病毒感染率圈1 2 近年病毒速成的破坏情况 互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、 灵活和快速等需求得到满足，同时，弼络信息安全也受到了严重的挑战。 一般意义上讲，网络安全是指信息安全和控制安全两部分。国际标准化组织把信息 安全定义为信息的完整性、可用性、保密性和可靠性：控制安全则指身份认证、不可否认 性、授权和访问控制。 而网络安全技术主要包括扫描、防火墙技术、防病毒技术、入侵检测、身份验证、数 字证书技术、加密技术、以及存储备份技术等几个方面。本文着重探讨入侵检测。 l 塑塞堕鱼盔堂堡主壁塞生堂垒堡薹笺二童堕堡 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 作为传统网络安全技术特别是防 火墙技术的合理补充，越来越受到人们的重视，逐渐成为网络安全体系的一个熏要组成部 分。它对网络或操作系统上的可疑行为作出策略反应，及时切断入侵源，记录并通过各种 途径通知网络管理员，以求最大幅度地保障系统安全。在i d s 中，数据包的捕获与解析 是其中最重要的两个部分，但在实际的网络运行中，数据包的捕获速度与解析速度不能匹 配，也就是说，解析速度成了i d s 的一个瓶颈。误用检测( m i s u s ed e t e c t i o n ) 是i d s 的 一个最基本也是最关键的技术，它通过对照一系列已有的攻击规则检测用户活动，从而发 现入侵，而误用检测的关键技术就是模式匹配。模式匹配速度的快慢直接影响到1 d s 的 丢包率以及误报率，对入侵检测系统的效率起到关键作用。传统的单模式匹配已不能满足 当前入侵检测的需要，新的入侵方式刁；断出现，造成i d s 中入侵规则库不断地膨胀，提高 模式匹配算法效率的一个重要途径就是多模式匹配，它通过对多个模式的同时搜索很大程 度上减少了霞复扫描的次数。另一方面，入侵的隐蔽性促使模式匹配需要一定的延展性、 容错能力，近似匹配由此而生。两者结合，便是本文的研究主题多模式近似匹配。 本文提出了一个基于多智能技术的分布式入侵检测系统模型，重点研究误用检测的关 键技术近似模式匹配算法，并提出了多个改进策略。仿真实验表明，本文的改进算法 及其多模式化不仅在搜索效率上具有优势，而且在搜索的范围上也得到了改进，取得了较 好的检测效果。 南京邮电大学硕士研究生学位论文 第一章绪论 1 2 课题简介 本课题来源于江苏省自然科学基金项目基于智能技术的分布式入侵检测关键技 术研究。该项目的目标是针对当前的网络安全状况，建立一个基于多智能技术的分布式入 侵检测系统模型，包括网络数据采集部件、误用检测部件、异常检测部件、数据挖掘规 则提取部件。 本文主要针对误用检测的关键技术模式匹配算法进行分析研究，提出了改进算 法，通过仿真实验，验证同时处理多个模式的多模式匹配算法能够有效地提高入侵检测系 统的检测效率。 本文分为七个部分： 第一章绪论； 第二章详细介绍了入侵和入侵检测，以及入侵检测系统的研究现状，并介绍了现有的 些i d s 产品： 第三章分析了现有入侵检测系统的缺陷，提出了改进方案，详细介绍了相关项目 基于智能技术的分布式入侵检测关键技术研究； 第四章研究分析了单模式匹配算法( 包括精确匹配和非精确匹配) ，提出了改进算法： 第五章研究分析了多模式匹配及对第四章提出的改进算法进行了多模式拓展； 第六章分析了多模式近似匹配算法的可行性，通过仿真实验，同已有算法进干亍了比较 和分析，验证了改进的单多模式近似匹配算法在入侵检测应用中的优越性能： 第七章给出了文章工作结论和展望。 南京邮电人学硕士研究生学位论文 第二章入侵检测系统综述 第二章入侵检测系统综述 2 ，l 入侵的定义与常见入侵方式 21 1 入侵的定义 “入侵”( i n t m s i o n ) 是一个广义的概念，不仅包括攻击者( 如恶意的黑客) 取得超出 合法范围的系统控制权，也包括信息泄露，拒绝访问( d e t i i a lo f s e r v i c e ) i 靳l 计算机系统造 成危害的行为。本文所述的入侵实际上是指的网络攻击。前面第一章里提到了目前网络安 全状况中多种入侵，这是从入侵的应用手段上说的。 212 入侵的步骤 入侵技术和手段是不断发展的。从攻击者的角度说，入侵所需要的技术是复杂的t 而 立, f i 的手段往往又表现得非常简单。网络攻击的步骤主要分为：信息探测、攻击尝试、权 限提升、深入攻击、拒绝服务攻击、消除痕迹等，如图2 1 。 消 除 痕 迹 离 开 或 潜 伏 信息探测一般是入侵过程的开始，攻击者开始对网络内部或外部进行有意或无意的可 攻击目标的搜寻，主要应用的技术包括：目标路由信息探测，目标主枫操作系统探测端 口探测，帐户信息搜查，应用服务和应用软件信息探铡以及目标系统己采取的防御措施查 找等等。目前，攻击者采用的手段主要是扫描工具，如撵作系统指纹鉴定工具，端口扫描 工其等等。 攻击尝试 攻击者在进行信息探测后。获取了其需要的相关信息，也就确定了在其知识范畴内比 攻击者在进行信息探测后。获取了其需要的相关信息，也就确定了在其知识范畴内比 4 南京邮电大学硕士研究生学位论文 第二章入侵检测系统综述 第二章入侵检测系统综述 2 1 入侵的定义与常见入侵方式 2 1 1 入侵的定义 “入侵”( i n t r u s i o n ) 是一个广义的概念，不仅包括攻击者( 如恶意的黑客) 取得超出 合法范围的系统控制权，也包括信息泄露，拒绝访i n ( d e n i a lo f s e r v i c e ) 等对计算机系统造 成危害的行为。本文所述的入侵实际上是指的网络攻击。前面第章里提到了目前网络安 全状况中多种入侵，这是从入侵的应用手段上说的。 2 1 2 入侵的步骤 入侵技术和手段是不断发展的。从攻击者的角度说，入侵所需要的技术是复杂的，而 应用的手段往往又表现得非常简单。网络攻击的步骤主要分为：信息探测、攻击尝试、权 限提升、深入攻击、拒绝服务攻击、消除痕迹等，如图2 1 。 暖瓶 消 除 痕 攻ld 迹 击 登陆成功 尝 f 翮 试 离 开 失败 i：l或 潜 网络攻击步骤示意图 伏 信息探测一般是入侵过程的开始，攻击者开始对网络内部或外部进行有意或无意的可 攻击目标的搜寻，主要应用的技术包括：目标路由信息探测，目标主机操作系统探测，端 口探测，帐户信息搜查，应用服务和应用软件信息探测以及目标系统已采取的防御措施查 找等等。目前，攻击者采用的手段主要是扫描工具，如操作系统指纹鉴定工具，端口扫描 工具等等。 攻击尝试 攻击者在进行信息探测后，获取了其需要的相关信息，也就确定了在其知识范畴内比 t 南京邮电大学硕士研究生学位论文第二章入侵检测系统综述 较容易实现的攻击目标尝试对象，然后开始对目标主机的技术或管理漏洞进行深入分析和 验证，这就意味着攻击尝试的进行。目前，攻击者常用的手段主要是漏洞校验和口令猜解， 如：专用的c g i 漏洞扫描工具，登录口令破解等等。 权限提升 攻击者在进行攻击尝试以后，如果成功也就意味着攻击者从原先没有权限的系统获取 了一个访问权限，但这个权限可能是受限制的，于是攻击者就会采取各种措施，使得当前 的权限得到提升，最理想的就是获得最高权限( 如a d m i n 或者r o o t 权限) ，这样攻击者才 能进行深入攻击。这个过程就是权限提升。目前，攻击者常用的手段主要是通过缓冲区溢 出的攻击方式。 深入攻击 攻击者通过权限提升后，一般是控制了单台主机，从而独立的入侵过程基本完成。但 是，攻击者也会考虑如何将留下的入侵痕迹消除，同时开辟一条新的路径便于日后再次进 行更深入地攻击，因此，作为深入攻击的主要技术手段就有日志更改或替换，木马植入以 及进行跳板攻击等等。木马的种类更是多种多样，近年来，木马程序结合病毒的自动传播 来进行入侵植入更是屡见不鲜。 拒绝服务 如果目标主机的防范措施比较好，前面的攻击过程可能不起效果。作为部分恶意的攻 击者还会采用拒绝服务的攻击方式，模拟正常的业务请求来阻塞目标主机对外提供服务的 网络带宽或消耗目标主机的系统资源，使正常的服务变得非常困难， 严重的甚至导致目 标主机宕机，从而达到攻击的效果。目前，拒绝服务工具成为非常流行的攻击手段，甚至 结合木马程序发展成为分布式拒绝服务攻击，其攻击威力更大。拒绝服务攻击的本质在 于上层的应用服务器不能承担过量负荷而崩溃。 消除痕迹或潜伏 每一个入侵者，入侵一台服务器都是有目的的，当入侵成功后达到他们的目的后，为 了“保护”自己，接下来所要做的就是打扫战场，清除服务器的各种日志，甚至进一步隐 藏系统漏洞。有的时候攻击者同样可能选择假扮成正常用户潜伏于系统中，等待管理人员 修正系统后获取新的漏洞资料。 2 1 3 网络攻击的类型 按照最终实施攻击的手段可将网络入侵技术分为获取技术和破坏技术两大类。再 南京邮电大学硕士研究生学位论文第二章入侵检测系统综述 具体点，还可分为探测类、漏洞类、控制类、欺骗类、阻塞类和病毒类六种攻击。 探测类攻击 探测类攻击主要有嗅探器和扫描器。 嗅探器使网络接口处于广播状态，从网络上截获传输的内容，其中可能包括网络上传 输的秘密信息、用户注册的i d 及口令等。 扫描器是一种重要的信息获取工具，根据其扫描的范围可分为网络扫描器( n e t w o r k s c a n n e r ) 和系统扫描器( s y s t e ms c a n n e r ) 。网络扫描器能自动检测任意规模的网络，发 现其安全弱点，分析易损性条件，提供一系列纠正措施、趋势分析、配置数据等，网络扫 描器在网络级通过对网络设备进行扫描来完成任务。系统扫描器与网络扫描器不同，它在 系统级对系统进行扫描以发现其易损性，并提供详细的扫描结果。一般而言，网络扫描器 主要用于获取对方网络的配置信息和设备信息，辅助对其实施攻击，而系统扫描器主要用 作防御工具。 漏洞类攻击 漏洞攻击通常是利用操作系统、网络协议本身的一些漏洞，绕过常规的防护对系统发 起攻击。最典型的漏洞型攻击是缓冲区溢出攻击。它通过往程序的缓冲区写超出其长度的 内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击 的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。 控制类攻击 控制类攻击又可分为口令攻击和特洛伊木马。 在线的口令攻击主要是尝试不同的口令登陆；而离线口令攻击的主要过程在本地完成， 比如构造密码字典再取出截取到的信息通过密码分析技术，找到加密算法的种类，再对 其它信息进行比较解密。 特洛伊木马( t r o j a n h o r s e ) 是一个“伪装友善的、恶意攻击安全系统的程序”，在运 行这些程序时隐藏于其中的代码会发起攻击，如窃取账户和口令，修改磁盘上的文件，用 受害计算机对其它系统实施进一步的攻击等。特洛伊木马与病毒类似，都是丝受到“感 染”，攻击效果非常明显，而且可以在宿主计算机毫不知觉的情况下传播给其它计算机。 主要通过三个步骤完成：植入木马，执行指令进行交互，穿越防火墙反弹木马。 欺骗类攻击 欺骗技术是通过冒充通话的一方，向另一方套取一些机密信息，典型的有w e b 欺骗、 d n a 欺骗、e m a i l 欺骗和i p 欺骗。 欺骗手段都是大同小异，以w e b 欺骗为例，其过程是： 6 南京邮电大学硕士研究生学位论文第二章入侵检测系统综述 1 )使受害者得到假的w e b 地址； 2 )获取受害者w e b 数据流量并分析； 3 )转发数据包到真实的w e b 地址： 4 )接受返回正常的w e b 数据流量。 阻塞类攻击 阻塞类攻击是强行占用系统资源，使之瘫痪。用户对计算机系统安全的最低要求就是 “可用性”，软硬件必须能够协调地工作并提供一定的服务。拒绝服务攻击正是破坏系统 的可用性，有意阻塞、降级计算机或网络资源的服务，达到攻击目的。这种攻击方式并不 一定是直接、永久地破坏数据本身，而是破坏资源的可用性。典型代表s m u r f 攻击，就是 不断构造i c m p 请求，消耗网络资源。 另外还有一类不完全阻塞类攻击干扰技术。它可以使得传输的信号变形、失真， 甚至制造假信号柬干扰对方通信系统的正常工作。目前有很多技术针对无线传输的特点对 信号发起攻击，例如一种叫做i n f r a s t r u c t u r ei n t e r f e r e n c e 的技术就是向卫星或者微波系统 发送错误的信号从而达到干扰的目的。 病毒类攻击 病毒和蠕虫在原理上可以说是同一类技术，都是可以自我复制的恶意代码，其特性是 自我复制与自我传播。但是在实际使用上它们采用的技术和需要的宿主环境并不完全桐 同。随着个人计算机和多任务工作站的发展，计算环境的差别在不断缩小，病毒和蠕虫技 术也在相辅相成，共同发展。典型代表是红色代码和震荡波。 7 南京邮电大学硕士研究生学位论文第二章入侵检测系统综述 2 2 入侵检测系统的产生 2 2 1 目前的网络安全防御策略 保障网络系统的安全是一项极其复杂的系统工程，简单地说，就是保护计算机网络设 备、设施以及其它媒体免遭破坏，防止网络信息被故意的或偶然的非授权访问、篡改，制 止和防御对网络的攻击，避免计算机病毒对系统的破坏。目前主要采用的技术手段有防火 墙、入侵检测、数据加密、身份认证和防病毒等。 网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通 过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设 备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查， 以决定网络之间的通信是否被允许，并监视网络运行状态。按照网络中所处的位置不l 喇， 网络防火墙分为边界型防火墙和主机型防火墙。根据防火墙所采用的技术不同，又可分为 四种基本类型：包过滤型、网络地址转换一n a t 、代理型和检测型。 安全扫描技术是一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互 相配合，能够有效提高网络的安全性。通过对网络的扫描，网络管理员可以了解网络的安 全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。网络管理员可以 根据扫描的结果更正网络安全漏洞和系统中的错误配置，在黑客攻击前进行防范。如果说 防火墙和网络监控系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，可以 有效避免黑客攻击行为，做到防患于未然。 数据加密技术，是对原来明文的文件或数据按某种算法进行处理，使其成为不可读的 一段信息( 通常称为密文) ，使其只能在输入相应的密钥之后才能显示出本来内容，通过 这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程是解密，即将 密文转化为其原来数据的过程。通过加密，有效地提高了信息系统及数据的安全性和保密 性，防止敏感数据外泄。目前，广泛应用的虚拟专用网( v p n ) 技术，就利用了具有加密 解密功能的路由器。 身份认证技术，是利用如口令( 密码) 、智能卡( 如i c 卡) 或是人类生物特征( 如 指纹识别、声音识别、面像识别等) 等技术，对用户的身份进行识别和验证，防止非法用 南京邮电大学硕士研究生学位论文第二章入侵检测系统综述 户利用虚假身份窃取机密信息，破坏系统资源。极度核心部门的门禁系统设计，往往会综 合运用几种身份认证技术，以确保身份识别的准确性。另外，其在金融领域的应用也比较 广泛，如各类信用卡、储蓄卡等。 防病毒技术，是对系统实施实时监控，对文件中可能含有的病毒代码进行过滤，对检 测到的病毒进行清除，有效地阻止了病毒在网络和本地计算机之间的传播，从而保证了系 统及数据的完整性和正确性。目前，国内常用的防病毒软件有金山毒霸、瑞星杀毒软件、 江民k v 系列和金辰公司的k i l l 等。均能对系统和数据起到很好的防护作用。 入侵检测技术，是一种主动的安全防护技术。它从网络系统中的若干关键点收集并分 析信息，查看网络中是否有违反安全策略的行为和遭到攻击的迹象，能发现绝大多数非法 入侵行为，提供了对内部攻击和外部攻击的实时情况报告，便于网络管理员及时采取相应 保护措施。入侵检测，被公认为是防火墙之后的第二道安全闸门。 另外，近年来，i p s 入侵防护系统发展也很挟。入侵防护系统( i p s ) 倾向于提供 主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失 而不是简单地在恶意流量传送时或传送后才发出警报。i p s 是通过直接嵌入到网络中实现 这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异 常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的 数据包，以及所有来自同一数据流的后续数据包，都能在i p s 设备中被清除掉。 9 南京邮电大学硕士研究生学位论文 第二章入侵检测系统综述 2 2 2 入侵检测系统的出现及定义 入侵检测的产生很大程度上是针对传统网络安全策略，特别是网络防火墙的局限性。 防火墙不能防止通向站点的后门，一般不提供对内部的保护，无法防范建立不安全的 网络连接所遭受的攻击，防火壤不能防止用户由i n t e r n e t 上下载被病毒感染的计算机程 序或者将该类程序附在电子邮件上传输。 入侵检测的研究可以追溯到j a m e sea n d e r s o n 在1 9 8 0 年的工作，他在计算机安全 r q 威胁的监察一文中首次提出了“威胁”等术语，这里所指的“威胁”与入侵的含义 基本相同，将入侵尝试或威胁定义为：潜在的、有预谋的、未经授权的访问企图致使系 统不可靠或无法使用。1 9 8 7 年d o r o t h ye d e n n i n g 首次给出一个入侵检测的抽象模型，并 将入侵检测作为一个新的安全防御措施提出。1 9 8 8 年，m o r r i s 蠕虫事件加快了对入侵检 测系统( i d s ，i n t r u s i o nd e t e c t i o ns y s t e m ) 的开发研究。 入侵检测( i d ，i n t r u s i o nd e t e c t i o n ) 用于检测任何损害或企图损害系统的保密性、 完整性或可用性行为的一种网络安全技术。用最简洁的方式说，是判别是否存在未被准许 的访问企业处理资源的行为的处理过程。其目的是提供实时的入侵检测及采取相应的防护 手段，它以探测与控制技术为本质，起着主动防御的作用，是网络安全中极其重要的部分。 入侵检测( i d ) 主要包括以下检测： 夺 误用滥用系统授权授权用户超越权限的行为； 夺 网络探测确定系统或者服务是否可被侵入； 夺 侵入尝试非法的获得处理资源途径的行为： 夺 侵入未授权用户成功地获取处理资源； 夺特洛伊行为成功侵入系统的未授权用户的存在及其相关行为： 夺拒绝服务一种阻碍合法访问处理资源的攻击行为。 入侵检测系统( i d s ，i n t r u s i o nd e t e c t i o ns y s t e m ) ，是这样的网络安全系统：它从 计算机网络系统中的若干关键点收集信息。并分析这些信息，检查网络中是否有违反安全 策略的行为和遭到攻击的迹象。入侵检测系统是目前最主要的主动网络安全防护技术，是 用来发现外部攻击和合法用户滥用特权的一种方式，是动态安全技术中最核心的技术之 一。入侵检测系统根据用户的历史行为，基于用户的当前行为，完成对入侵的检测，并留 下证据，为数据恢复和事故处理提供依据。 1 0 南京邮电大学硕士研究生学位论文 第二章入侵检测系统综述 i d s 主要执行如下任务： 夺 夺 夺 夺 夺 夺 监视、分析用户及系统活动 系统的构造和弱点的审计； 议别反映已知进攻的活动模式并向相关人士报警 异常行为模式的统计分析； 评估重要系统和数据文件的完整性： 操作系统的审计跟踪管理，并识别用户违反安全策略的行为 入侵检测系统处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录 和禁止网络活动，所以入侵检测系统是防火墙的延续。它们可以和防火墙和路由器配合：r 作。例如，i d s 可以重新配置来禁止从防火墙外部进入的恶意流量。应当理解，入侵检测 系统是独立于防火墙工作的。 入侵检测系统i d s 与系统扫描器s y s t e ms c a n n e r 不同。系统扫描器是根据攻击特征 数据库来扫描系统漏洞的，它更关注配置上的漏洞而不是当前进出主机的流量。在遭受攻 击的主机上，即使正在运行着扫描程序，也无法识别这种攻击。 i d s 扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机 网卡到网线上的流量，提供实时报警。网络扫描器检测主机上先前设置的漏洞，而i d s 监 见和记录网络流量。如果在同一台主机上运行i d s 和扫描器的话，配置合理的i d s 会发 出许多报警。 2 2 3 入侵检测系统的分类 根据检测对象不同，i d s 主要分为网络侵入检测系统( n i d s ) 、诱骗系统( 包括d e c o y s ， f d l u r e s ， f l y t r a p s ，h o n e y p o t s ) 、系统完整性检测( s i v ) 、目志文件检测器( l f m ) “。 后面两类又可相对于n i d s 而合称为基于主机的入侵检测( h i d s ) 。本文着重探讨n i d s 。 网络入侵检测是通过分析主机之间网线上传输的信息来工作的。它通常利用个工作 在“混杂模式”( p r o m i s c u o u sm o d e ) 下的网卡来实时监视弗分析通过网络的数据流。它的 分析模块通常使用模式匹配、统计分析等技术来识男l j 攻击行为。其结构如图2 3 所示。 南京邮电大学硕士研究生学位论文 第二章入侵检测系统综述 网络接口层 削2 3 基于网络的i d s 结构 探测器的功能是按一定的规则从网络上获取与安全事件相关的数据包，然后传递给 分析引擎进行安全分析判断。分析引擎从探测器上接收到的数据包结合网络安全数据库进 行分析，把分析的结果传递给配置构造器。配置构造器按分析引擎器的结果构造出探测 器所需要的配置规则。一旦检测到了攻击行为，n i d s 的响应模块就做出适当的响应，比 如报警、切断相关用户的网络连接等。不同入侵检测系统在实现时采用的响应方式也可能 r j 不同，但通常都包括通知管理员、切断连接、记录相关的信息以提供必要的法律依据等“2 。 其优点是：成本低；可以检测到主机型检测系统检测不到的攻击行为；入侵者消除入 侵证据困难；不影晌操作系统的性能；架构网络型入侵检测系统简单。其缺点是：如果网 络流速高时可能会丢失许多封包，容易让入侵者有机可乘；无法检测加密的封包：对于直 接对主机的入侵无法检测出。 对于n i d s ，常用的检测方法有统计检测、专家系统和误用检测。据公安部计算机信息 系统安全产品质量监督检验中心的报告，国内送捡的入侵检测产品中9 5 是属于使用入 侵模板进行模式匹配的误用检测产品，其它5 是采用概率统计的统计检测产品与基于几 志的专家知识库系产品。 统计检测 统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔 时间、资源消耗情况等。常用的入侵检测5 种统计模型为； 1 操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指 标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次 失败的登录很有可能是口令尝试攻击； 1 2 查巫坚里丕堂塑主婴窒尘堂焦鲨塞蔓三童堡搀型壅丝簦姿 2 方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明 有可能是异常： 3 多元模型，操作模型的扩展，通过同时分析多个参数实现检测： 4 马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示 状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事 件； 5 时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该 时间发生的概率较低，则该事件可能是入侵。 统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可 用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合征常操 作的统计规律，从而透过入侵检测系统。 专家系统 用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识， 不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知 识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与 表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if _ t h e n 结构( 也可以是复合结构) ，条件部分为入侵特征，t h e n 部分是系统防范措施。运用专 家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。利用专家系统 的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实 现了l 知识库的不断更新与扩展，使设计的入侵检测系统的防范能力不断增强，应具有更广 泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。 误用检测 误用检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被 审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方 法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该 方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。 作为n i d s 的主流，误用检测仍然存在着相当大的改进空间，这对于资源的节约具有 很强的现实意义。使用智能化的方法与手段i 习误用检灏相结合是提高入侵检测效率的一个 f 3 童塞塑皂丕堂堡主婴塑生堂垡丝塞 蔓三童厶堡垫型鲞堑堡蕉 有效途径。所谓的智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原 理等方法，这些方法常用于入侵特征的辨识与泛化。这一点，将在本文中得到体现，不仅 是部件上的配合，而且在单独模块中也加入了智能的元素。 相对于异常检测，误用检测尽管存在规则库大等缺陷，但它尽可能利用了已有入侵手 段记录，通过一定的变异( 如允许插入) 同样保持了相当的容错能力，并且不存在异常检 测中学习过程以及在此过程中可能造成的学习错误。误用检测主要通过模式匹配来实现 的。 2 2 4 入侵检测系统的结构 公共入侵检测框架c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ( c i d f ) 6 早期由美国国防 部高级研究计划局赞助研究，现在由c i d f 工作组负责，这是一个开放组织。实际上c i d f 已经成为一个开放的共享的资源。c i d f 是一套规范，它定义了i d s 表达检测信息的标准 语言以及i d s 组件之阔的通信协议。符合c i d f 规范的i d s 可以共享检测信息，相互通信， 协同工作，还可以与其它系统配合实施统一的配置响应和恢复策略。c i d f 的主要作用在 于集成各种i d s 使之协同工作，实现各i d s 之间的组件重用，也是构建分布式i d s 的基 础。c i d f 阐述了一个入侵检测系统( i d s ) 的通用模型。它将一个入侵检测系统分为以下组 件： 事件产生器( e v e n tg e n e r a t o r s ) 事件分析器( e v e n ta n a l y z e r s ) 响应单元( r e s p o n s eu n i t s ) 事件数据库( e v e n td a t a b a s e s ) c i d f 将i d s 需要分析的数据统称为事件( e v e n 0 ，它可以是网络中的数据包，也可以 是从系统日志等其它途径得到的信息。 事件产生器的目的是从整个计算环境中获得事件，并向系统的其它部分提供此事件。 事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果做出反应的功能 单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。事件数 据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的 文本文件。 南京邮电大学硕士研究生学位论文 第二章入侵捡铡系统综述 2 2 5 现有i d s 产品 非商业化i d s 产品： 正如其它的软件产品一样，大量的自由软件活跃在入侵检测领域，它们摈弃了商业产 品之间的壁垒，在网络安全研究人员之间自由传递、交流，从而不断完善。免费的i d s 主要是由一些著名的黑客组织、大学和部分安全公司的人员编写的其特点是：大多是刽 对个人用户的h i d s ，所编写的软件短小精悍，容易下载，但功能单一，且需要使用者拥 有较好的计算机和安全技术基础。这些i d s 主要来自于国外。应用较广的免费i d s 主要有 s n o r t 和n p u l s e 等。 s n o r t s n o r t 的原作者是m a r t i nr o e s c h ，现有规则主要由s o u r c e f i r e 公司负责开发，最新 版本为2 4 3 ，它是目前运用最为广泛的一个轻量级网络入侵检测系统，可以完成实时流 量分析和对网络上的i p 包登录进行测试等功能，能完成协议分析，内容查找匹配，能 用柬探测多种攻击和嗅探( 如缓冲区溢出、秘密断口扫描、c g l 攻击、s 船唉探、拇纹采 集尝试等) ，对攻击进行实时警报。此外，s n o r t 具有很好的扩展性和可移植性。该软 件遵循公用许可g p l ，所以只要遵守g p l 任何组织和个人都可以自由使用。 n p u i s e n p u l s e 是一个用于u n i x 类操作系统的、基于w e b 的网络监视软件包，它可以同时对 上百甚至上千的站点或设备的不同端口进行检测。n p u l s e 使用p e r l 编写，若与自己的小 型w e b 服务器使用。可以得到更多的安全保证。 当然，应该看到的是，开源工具代码在纯粹的研究同时都不得不面对市场的挑战。 譬如2 0 0 5 年3 月7 日，s o u r c e f i r e 宣布s n o r t 新规则的更新将开始收费。 商业化i d s 产品： 目前国内外已有很多公司开发入侵检测系统，有的作为独立的产品，有的作为防火墙 的一部分，其结构和功能也不尽相同。在国内，较早从事入侵检测研究并推出成熟产品、 具有相对较高知名度的晶牌主要有启明星辰的天阗入侵检测产品和北方计算中心的n i d s d e t e c t o r 以及安氏、金诺、瑞星等等。对于国外产品，优秀的商业产品有如：i s s 公司的 r e a l s e c u r e 是分布式的入侵检测系统，c i s c o 公司的n e t r a n g e r 、n a i 公司的c y b e r c o p 是基于网络的入侵检测系统，c a 公司的s e s s i o n w a l l 3 e t r u s ti n t r u s i o nd e t e c t i o n 、 南京邮电大学硕士研究生学位论文第二章入侵检测系统综述 t r u s t e di n f o r m a t i o ns y s t e m 公司的s t a l k e r s 是基于主机的检测系统。下面主要介绍 下i s s 公司的r e a l s e c u r e 和c i s c o 公司的n e t r a n g e r 。 r e a l s e c u r e r e a l s e c u r e 是目前使用范围最广的商用入侵检测系统，它分为两部分，引擎和 控制台。引擎也就是一般意义上的检测器。i s s 提供的引擎有两个版本， w i n d o w sn t 和u n i x ，控制台则是运行在w i n d o w sn t 系统上。安装好之后，策略由分析员来制 定，r e a l s e c u r e 重新定义完策略后不需重新启动引擎，它的默认设置就能够检测到