（信号与信息处理专业论文）应用系统调用序列技术的实时自适应入侵检测系统的研究.pdf

中文摘要 入侵检测是计算机安全领域的一项重要技术，它通过审计计算机 网络和计算机系统的行为信息来进行安全检测。基于系统调用序列的 入侵检测技术已经取得理论上的重大成功，s t i d e 、t - s t i d e 、r i p p e r 、 h m m 等多种检测模型相继提出，但因无法满足实时应用而缺乏可操作 性。 以现有入侵检测技术的发展方向为先导，本文作者针对系统调用 序列检测技术的特点，在前人工作基础上，利用模糊控制技术将网络 入侵检测技术与主机入侵检测技术相结合，设计了一个实时自适应的 入侵检测系统，并对其关键技术模块进行仿真和编程实现。 入侵检测系统主要由防火墙模块、网络入侵检测模块、模糊决策 器模块、网络状况数据库和服务器六部分组成。工作流程如下：各模 块的审计数据生成网络状况数据库，模糊决策器随网络安全状况的实 时变化自动做出反应；模糊决策器依据模糊控制理论，将数据流的网 络安全状况和实时检测结果模糊化作为模糊控制器的输入，经过模糊 推理得到数据流的总安全等级，并依据系统资源使用状况对数据流采 取相应的控制措施；依据模糊决策器的决策，服务器端针对入侵行为 进行系统调用序列的实时监控检测，并通过截获系统调用做出实时的 反应。作者在m a t l a bs i m u l i n k 仿真工具包下进行了模糊决策器的设计 仿真工作，仿真结果显示模糊模块具有良好的自适应性。进而，以l i n u x 操作系统为平台，利用其可动态加载内核模块特点，在r e d h a t 7 0 下设 计实现监控检测系统调用序列的动态加载模块，并对服务器性能进行 分析测定，验证了动态检测模块作用的实现。 论文最后简单讨论了现存模块的问题以及所设计系统的扩展性， 并将此作为今后研究的方向。 关键词：入侵检测；系统调用序列；模糊控制；实时性；自适应 a b s t r a c t i n t r u s i o nd e t e c t i o n ，a so n e i m p o r t a n tp a r t o fc o m p u t e r s e c u r i t y d o m a i n ，i st h ep r o c e s so fm o n i t o r i n gc o m p u t e rn e t w o r k sa n ds y s t e i n sf o r v i o l a t i o n so fs e c u r i t yp o l i c y as i m p l ea n de f f i c i e n ti n t r us i o nd e t e c t i o n m e t h o d ，b a s e do nm o n i t o r i n gt h es y s t e mc a l l su s e db ya c t i v ep r i v i l e g e d p r o c e s s e s ，h a sm a d eg r e a tt h e o r e t i cp r o g r e s s ，b u ti s n o tp r a c t i c a lf o rn o t w o r k i n g i nar e a l t i m ew a y a c c o r d i n gt ot h ec u r r e n tt r e n d so fi n t r u s i o nd e t e c t i o nt e c h n o l o g y ，i t i st h ec h a r a c t e r is t i cso fi n t r u s i o nd e t e c t i o nu s i n gs e q u e n c e so fs y s t e mc a l l t h a t p r o v i d e ar e a l t i m e a d a p t i v ei d s ，e m p l o y i n g t h e f u z z y c o n t r o l t e c h n o l o g yt oc o o p e r a t et h en i d s ( n e t w o r ki d s ) a n dh i d s ( h o s ti d s ) ， b a s e do nt h ef o r g o i n gr e s e a r c h a n d ，s o m ek e ym o d u l e sa r ei m p l e m e n t e d i nt h ep a p e r t h ea r c h i t e c t u r eo fi d si s c o n s i s t i n g o ff i r e w a l l m o d u l e ，n i d s m o d u l e ，af u z z y d e c i s i o nm a k e r ，n e t w o r kp r o f i l i n gd a t a b a s e ，p r i m a r ya n d s l a v e s e r v e r a c c o r d i n g t ot h en e t w o r kp r o f i l i n gd a t a b a s e ，c o n c l u d e d f r o mt h ea u d i t i n gd a t a ，t h ef u z z y d e c i s i o nm a k e rr es p o n d st ot h en e t w o r k p r o f i l i n ga n dt a k e sd i f f e r e n ta c t i o n s t h e n e t w o r kp r o f i l i n ga n dc u r r e n t d e t e c t i o nr e s u l t s a r ee n c o d e di n t o f u z z y s e t sa s i n p u t s o ft h e f u z z y c o n t r o l l e rt os u mu pt h e g e n e r a ls e c u r i t y l e v e l ，s o t h e f u z z y 。d e c i s i o n m a k e rc a nr e s p o n da c c o r d i n gt ot h es y s t e mr e s o u r c e s b a s e do nt h ea b o v e d e c i s i o n s ，s e r v e r sp e r f o r mt oa n a l y z et h e i n t r u s i o n sa n dm a k er e a l t i m e r e s p o n s e st h r o u g ht h em o n i t o r i n ga n di n t e r c e p t i n g o fs y s t e mc a l ls t h e d e s i g n a n de m u l a t i o nw o r ko ff u z z yc o n t r o l l e r i sf i n i s h e du n d e rt h e d l a t f o r m o fm a t a l a bs i m u l i n kt o o l k i t s t h e n ，u n d e rt h er e d h a t 7 0 p l a t f o r m ，t h ed y n a m i c l o a d a b l e m o d u l e ，m o n i t o r i n g t h e s e q u e n c e s o f s y s t e mc a l l ，i se n c o d e da n dt h e s e r v e r s p e r f o r m a n c e is a n a l y z e d t h e f i n a lr e s u l ti sa p p r o v i n g a f t e ra n a l y s i sa n de x t e n s i v es i m u l a t i o n ，t h i sp a p e rd i s c u s s e s t h e p r o b l e m so fc u r r e n tm o d u l e sa n dt h e s e a l a b i l i t i e so fs y s t e m ，w h i c ha r e e x p e c t e dt oe x p l o i ti nt h e f u t u r ew o r k k e y w o r d s ： i n t r u s i o n d e t e c t i o n ；s e q u e n c e s o f s y s t e mc a l l ；f u z z y c o n t r o l l e r ；r e a l - t i m e ；a d a p t i v e 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作 和取得的研究成果，除了文中特别加以标注和致谢之处外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得苤注苤 芏_ 或其他教育机构的学位或证书而使用过的材料。与我一l q 工作的同 志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢 意。 学位论文作者签名：1 彝滓寄 签字日期： 三。吁年三月孵_ i 1 学位论文版权使用授权书 本学位论文作者完全了解苤盗盘堂 有关保留、使用学位论文 的规定。特授权墨鲞盘堂可以将学位论文的全部或部分内容编入有 关数据库进行检索，并采用影印、缩印或扫描等复制手段保存、汇编 以供查阅和借阅。同意学校向国家有关部门或机构送交论文的复印件 和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名 呷字滓华 签字h 期：扣口中年2 - 月f 7 同 签字闩期 导师签名 年 之 第章绪论 第一章绪论 1 ，1 入侵检测技术的简介 传统上采用防火墙作为安全的第+ 道屏障。但随着攻击者技术的 f | 趋成熟，攻击手法的r 趋多样，单纯的防火墙已经不能很好地完成 安全防护工作。在这种情况下，作为计算机安全领域的重要技术之一 的入侵检测技术，成为当前计算机安全理论研究的热点。 入侵( i n t r u s i o n ) 指的就是试图破坏计算机保密性、完整性、可用性 或可控性的一系列活动。入侵活动包括非授权用户试图存取数据，处 理数据，或者妨碍计算机的正常运行。入侵检测( i n t r u s i o i ld e t e c t i o n ) 就 是对计算机网络和计算机系统的关键结点的信息进行收集分析，检测 其中是否有违反安全策略的事件发生或攻击迹象，并通知系统安全管 理员。一般把用于入侵检测的软件、硬件合称为入侵检测系统一一 i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 。 1 1 1 d e n n i n g 的入侵检测模型 d o r o t h yd e n n i n g ( 1 9 8 7 年) 1 介绍了一种通用的入侵检测模型， 如下图所示。该模型的三个主要的部件是事件产生器( e v e n t g e n e f a t o r ) ，活动记录器( a c t i v j t yp r o f i l e ) 和规则集( r u 】es e t ) 。 事件产生器是模型中提供活动信息的部分。活动记录器保存监视中的 系统和网络的状态，当事件在数据源中出现时，就改变了活动记录器中 的变量。规则集是一个普通的核查事件和状态的检查器引擎，它使用 模型、规则、模式和统计结果来对入侵行为进行判断。此外，反馈也 是模型的一个重要组成部分，现有的事件会引发系统的规则学习以力 入新的规则或者修改规则。系统的三个予系统是独立的，可以分布在 不同的计算机l 二运行。 第一章绪论 设计新的活动 异常 定义新规则， 修改旧规则 图1 1 d e n n i n g 的通用入侵检测模型 1 1 2 两种基本的入侵检测系统 入侵检测系统( i d s ) 可以分为基于网络数据包分析和基于主机的 两种基本方式。前者在网络通信中寻找符合网络入侵模型的数据包， 并立即做出相应反应；后者在宿主系统审计r 志文件中寻找攻击特征， 然后给出统计分析报告。它们各有优缺点，互相作为补充。 基于网络的入侵检测系统使用原始的网络数据包作为源数据。利 用工作在混杂模式下的网卡实时监视和分析所有的通过共享式网络的 传输，也可以利用交换式网络中的端r j 映射功能来监视特定端口的网 络入侵行为。一旦攻击被检测到，响应模块按照配爱对攻击做出反应， 这些反应包括发送电子邮件、寻呼、记录日志、切断网络连接等。基 于网络的i d 技术不要求在大量的主机上安装和管理软件，允许在重要 的访问端口检查面向多个网络系统的流量。在一个网段只需要安装一 套系统，就可以监视整个网段的通信，因而花费较低。基于网络i d s 的宿主机通常处于比较隐蔽的位置，基本上不对外提供服务，因此也 比较峰固。这样对于攻击者来说，消除攻击证据非常困难。捕获的数 据不仅包括攻击方法，还包括可以辅助证明和作为起诉证据的信息。 基于网络的i d s 同时具有更好的实时性。例如，它可以在目标主机崩 第一章绪论 溃之前切断t c p 连接，从而达到保护的目的。基于网络的i d s 不依赖 于被保护主机的操作系统。然而，今天，交换、加密、高速网络的出 现，以及其它的技术因素，导致网络入侵检测系统误报率也越来越高， 从而对其要求越来越高，首要的问题是降低现有网络入侵检测系统的 误报率。 基于主机的入侵检测始于8 0 年代早期，通常采用查看针对可疑行 为的审计记录来执行。它比较新的记录条目与攻击特征，检查不应该 改变的系统文件的校验和，分析系统是否被侵入或者被攻击。如果发 现与攻击模式匹配，i d s 系统通过向管理员报警和其它呼叫行为来响 应。它的主要目的是在事件发生后提供足够的分析来阻止进一步的攻 击。反应的时间依赖于定期检测的时间间隔，实时性没有基于网络的 i d s 系统好。基于主机的i d s 监视所有系统行为，监视所有的用户登 录和退出、甚至用户所做的所有操作，审计系统在f 1 志里记录的策略 改变，监视关键系统文件和可执行文件的改变，可以提供比基于网络 的i d s 更为详细的主机内部活动信息。基于主机的入侵检测适应交换 和加密网络，可以较为灵活地配置在多个关键的主机上，不必考虑网 络拓扑问题。这对关键主机零散地分布在多个网段上的环境特别有利。 某些类型的加密也是对基于网络的入侵检测的挑战。依赖加密方法在 协议中的位置，它可能使基于网络的系统不能判断确切的攻击，但基 于主机的i d s 没有这种限制。基于主机的i d s 配置在被保护的网络设 备上，不要求在网络上增加额外的硬件。 1 1 3 两种基本检测方法 入侵检测根据检测方法可以分为两大类：异常( a n o m a l y ) 入侵检 测和基于特征( s i g n a t u r e ) 的入侵检测。 异常入侵检测根据用户的异常行为或者对资源的异常存取来判断 是否发生入侵事件。例如一个用户a 。般在早上九点到晚上五点之间 登录到服务器，那么如果有一天，服务器发现该用户账号在午夜1 2 点 登录到服务器来，就认为是一次入侵事件。异常入侵检测要建立一一个 阀值来区分j f 常事件与入侵事件。a n d e r s o n 在此基础上把入侵分为外 部渗透( e x t e r n a lp e n e t r a t i o n s ) ，内部渗透( i n t e r n a lp e n e t r a t i o n s ) ， 滥用( m i s f e a s a n c e ) 。外部渗透指的是非授权用户试图使用系统；内 部渗透是合法用户试图访问非授权的数据，如经过窃权伪装或绕过访 问控制；滥用指合法用户对数据和资源的滥用。 第一章绪论 基于特征的入侵检测检查对照已有的攻击特征，定义攻击摸式， 比较用户的活动来发现入侵。例如著名的i n t e r n e t 蠕虫事件中利用 f i n g e r d 和s e n d m a i l 的漏洞进行攻击，对这种攻击就可以使用这种检测 方法。 异常入侵检测方法的最大不足之处是“异常并不等于入侵”，如 下图1 ，2 ， 区域3 图1 2 异常与入侵的比较 这样，可以把异常与入侵的关系分为四种类型： 1 对应区域1 的部分，是入侵但不是异常。虽然它是一个入侵事件， 但由于不在异常集中，所以系统不能检测。这类事件的集合称为错误 拒绝集( f a l s en e g a t i v e s ) 。 2 对应于区域2 的部分，不是入侵但是异常。虽然不是个入侵事件， 但是由于在异常集中，所以会被认为是一次入侵事件。这类事件的集 合称为错误接受集( f a l s ep o s i t i v e s ) 。 3 对应于区域3 的部分，不是入侵也不是异常。这类事件会被f f 确排 除，称为正确拒绝集( t r u en e g a t i v e s ) 。 4 对应于区域4 的部分，是入侵同时也是异常。这类事件会被正确检 测，称为正确接受集( t r u ep o s i t i v e s ) 。 使用基于特征的入侵检测的一个不足之处是这种方法需要对攻击 进行编码，问题是并不是所有的攻击都可以用编码的方式来很好地表 达，而且这种方式不能检测未知的攻击方式。 所以在实用系统中，经常混合使用两种入侵检测方法，来最大限 度地检测入侵活动。 第一章绪论 1 2 课题背景 绝大多数入侵检测系统所使用的检测方法基本 ：都是将审计事件 同特征库中的特征匹配，但现在的特征库组织及内容简单，导致漏报 率和误报率较高。另外，它们在1 0 m 网上检查所有的数据包中的攻击 特征可以很好的工作，但随着全光纤网络的发展，其网络速度的发展 远远超过了现有的入侵检测系统数据包模式分析技术发展的速度。中 科院高能所网络安全课题组承担的宽带网下的入侵检测的研究( 国家 9 7 3 计划) ，对宽带网下的入侵检测特别提出了以下要求。 负载均衡，即使对于一个单个节点i d s 的设计也面临着网络性能 与i d s 处理性能的矛盾。因此，宽带网下的i d s 必须解决其实时入侵 检测设备的捕获能力和主干宽带网海量的数据吞吐能力之间的矛盾， 以及实时入侵检测设备处理能力和主干网上数据的复杂性、海量性之 删的矛盾。采用负载均衡技术，把前端的采集的数据流进行分化，以 利于后端的i d s 分析及低速处理，平衡i d s 分析机群间的通信负载， 将任务交由负载最轻的分析机来处理，以进行快速的数据分析和处理。 数据分析系统，由于高速网下的数据流量更大，复杂性更高，再 加上负载均衡处理后必然会导致一部分数据相关性丧失，所以对数据 的分析系统设计的要求就更高了。数据分析系统由两级分析系统组成， 分别为原始分析系统和相关性分析系统。其中原始分析系统由单独的 分析节点完成，功能类似于普通的i d s ，它对该节点获取的数据进行 分析，识别简单的攻击，对于可能与攻击相关的数据，不给出是否为 攻击的简论，而是将其传送到相关性分析系统，原始分析系统采用简 单的模式匹配方法。相关性分析系统收集来自于各原始分析系统的数 据，使用关联性分析的方法来识别是否为攻击，由于它收集了全面的 网络数据，所以可以做出正确的结论，从而检测复杂的攻击。相关性 分析主要使用数据仓库技术和数据挖掘技术，以便处理大量的复杂的 数据。 因此，一个大型的高速宽带网络的实时入侵检测系统如果完全采 用集中式的方式部署是非常难设计的，原因在于这样一个大型宽带系 统巨大流量本身就是由高度分布式的连接方式所产生的，要在主干上 一个点进行捕获和处理而不遗漏任何一个数据特征基本上是不可能 的。它只能是采用分布式结构。 本课题构建了一个实时检测系统，采用分布式结构，利用模糊控 第一章绪论 制技术综合网络入侵检测技术和主机检测技术，结合了二者的优点， 达到了分化数据分析和检测任务的目的，具有高度的可扩展性，满足 了现有宽带网检测系统的要求。 1 3 系统调用序列检测技术 1 9 9 6 年，墨西哥大学的f o r r e s t l 2 等人提出了在异常检测中通过分 析程序执行过程产生的系统调用序列来构建特征轮廓的方法，并用实 验证明了程序执行轨迹的局部模式( 系统调用的短序列) 可以完全刻 画程序行为的特征。这种基于程序行为的分析方法可以大大减少由用 户行为的不可测性带来的系统虚警率。f o r r e s t 对短序列采用的是统计 的方法，较为经典的是t i d e ( s e q u e n c et i m e d e l a ye m b e d d i n g ) 和 s t i d e ( t i d ew i t hf r e q u e n c yt h r e s h o l d ) 【3 】两种方法。t i d e 方法存储所有 唯一的短序列来构成特征数据库，检测时比较并记录被测轨迹的短序 列与数据库中记录的不匹配，以此作为检测标准。s t i d e 是在t i d e 方法 的基础上通过求序列的局部不匹配率来判断异常，这种方法认为局部 区域的不匹配数目能够更好的表征异常行为。虽然采用了树状存储， 但这些算法仍需要较大的空间来存储特征数据库，而且缺少对偶然事 件和入侵变异的能力，很容易产生虚报。在后来的研究中，l e e l 4 1 等 人用数据挖掘的方法研究系统调用数据的采样，使用一个称为r i p p e r ( r e p e a t e di n c r e m e n t a lp r u n i n gt op r o d u c ee r r o rr e d u c t i o n ) 的程序， 用一个较小的规则集合来描述正常数据的模式特征，在检测时违反 这些特征的序列被视为异常。同时在神经网络领域中，a n u p k g h o s h 【5 等人提出了一种用神经网络对程序行为的特征进行分析的方法，他们 将系统调用短序列变换到一一个从样本中随机选取的x 维空间中，并以 每个短序列在x 维空间的坐标为神经网络的输入进行异常检测。 这些理论研究证明了系统调用序列检测方法是高效、准确的，但 是作为现有的网络入侵检测系统，缺乏良好的实时效应以及特征数据 库的训练依赖于特定的网络环境，因而迟迟未得到实际应用。注意到 s t i d e 方法利用序列的局部不匹配率来判断异常这个特点，作者通过在 一个进程的系统调用序列之间插入检测算法来实现实时检测，以达到 实用的目的。并将其应用到服务器端主机实时检测技术中。 作者在r e d h a t 70 的g c c 环境下完成部分源代码的改进工作，编码 实现入侵检测模块，并在实际应用进行了测试以改进算法。 第一章绪论 1 4 论文结构 论文的第二章简单介绍与本论文相关的背景知识，并给出了作者 所提出的宽带网下的入侵检测安全系统的框架；第三章介绍了模糊控 制模块的设计和仿真；第四章详细介绍了系统调用序列检测方法，以 及服务器端入侵检测模块的设计；第五章给出了入侵检测模块的实际 编码设计，并设计了实验进行讨论；第六章给出研究结论：新提出的 检测系统具有一定的优势和可实现性，有着良好的可扩展性，并指出 今后的进一步研究方向。 1 5 作者的工作 本文是存作者历时一年的项目预研、开发实践基础j i 展开的。作 者在该项目中所做的主要工作包括以下几个方面： 1 考察国内外各大研究组织在此领域有关研究成果的基础上，以现今 宽带网技术发展要求为先导，提出了基于系统调用序列披术的实时自 适应入侵检测模型。 2 在前人工作基础上，考察了模糊控制模块的设计和仿真，以验证其 功能和可实现性，从而实现了网络检测技术和主机检测技术的融合以 及网络检测的自适应性。 3 使系统调用序列检测技术可实用，达到了主机系统上实时检测的目 的。利用l i n u x 操作系统可动态加载内核模块的特点，在内核2 4 0 上 考察了内核检测模块并给出相应实现。 第二章入侵检捌系统的体系结构 2 1 介绍 第二章入侵检测系统的体系结构 入侵检测系统已成为了计算机安全系统中一个重要部分。它的一 个主要优势就是能够通过检测系统的审计数据从而发现新的未知的攻 击。网络入侵检测系统，截获不同的协议的数据包做实时的检测并阻 塞攻击。今天，交换、加密和高速网络的出现对网络入侵检测系统提 出了更大的挑战，并导致了较高的误报率。与之对比的是，依赖于主 机系统审计的主机入侵检测系统，却有较高的准确率，但是事后的审 计无法达到实时性的要求。n i d s 和h i d s 的有效结合是i d s 研究的一个 热点。 误用检测和异常检测是主要的检测手段。误用检测系统定义攻击 特征并在审计数据流时看是否相符，仅仅能够检测那些已知的特征。 另一类入侵检测系统的则使用异常检测技术，构建正常审计数据的模 型，那些不同于正常模型的行为则认为是攻击行为。这种检测手段的 好处是它能够检测到那些未知的攻击行为。然而，检测这些未知行为 的是以较高的f a l s e p o s i t i v e s 为代价的，并且，正常行为模型也是难以 构建的。 如前言所述，f o r r e s t 等人用实验证明了程序执行轨迹的局部模式 ( 系统调用的短序列) 完全可以刻画程序行为的特征，从而通过检测 特权进程的系统调用序列进行异常检测。这种基于程序行为的分析方 法可以大大减少由用户行为的不可测性带来的系统虚警率，并且可以 很好的控制误报率。这种方法有两个重要的特点：一方面，这是一个 简单的检测方法。首先，得到系统调用的轨迹是相对容易的；其次， 用来检测的方法和模型也是简单的；最后，正常行为数据库也是足够 小的。这样一个简单方法的优势是迅速的检测和高的准确率。另一方 面，s t i d e 方法利用局部短序列进行预测模型的特点，能够只用部分的 预测序列来检测入侵行为。从而。在一个执行进程的一系列系统调用 中不时的插入检测算法，可以在进程结束之前，也就是入侵发生过程 中来发现入侵行为，而达到主机系统上的实时检测。 但是作为一个实时系统，在复杂网络环境中使用这种方法是十分 困难的。首先，为了保持与特定的网络配置和不同的网络环境相一致， 特别是那些高负荷的网络环境中，构建正常行为库将是非常困难的。 第二章入侵检测系统的体系结构 其次，这种方式是否能够探测所有的入侵行为，也就是说正常行为数 据库是否完全还是未知的。最后，对于一个实时在线系统来说，采取 什么反应措施是最合适的。最重要的是，主机端通过在进程问插入检 测算法的实时检测会消耗掉大量主机系统资源，因而不可以对每一个 进程行为进行此种检测。 理论上，f a ls en e g a t i v e s 能够通过加强多层防御来减少，而多层防 御却不能够减少整体的f a l s ep o s i t i v e s 。可以举例来说明这个问题，假 如一个有着l 层防御体制的系统，每突破一层防御的概率是p n ，( 假设p 是f a l s en e g a t i v er a t e ) ，如果每一层是独立的，那么攻破这l 层防御的概 率是砌。，这说明了随着防御层数的增加，整体的f a l s en e g a t i v er a t e 呈 指数减少。但是，如果每一层有一个独立无关的f a l s ep o s i t i v e 概率尸， 那么期望的总体f a l s e p o s i t i v e s 概率是j d ，l ，这样多层防御使f a l s e p o s i t v e s 更复杂。但是，当收集真实环境的正常行为时，却可咀对比之 以减少f a l s ep o s i t i v e s ，并且在系统调用序列检测模型的研究中，可以 设置门槛来判断( 后面将详述) 。因此采用多层检测可以降低f a l s e n e g a t i v e s 在主机端采用系统调用序列检测技术可以控制f a l s e p o s i t i v e s 。依赖于多层防御和系统调用检测技术，设计了一个模型，解 决了上述问题，以可控的误报率来保护服务器，并达到了实时检测目 标。 2 2i d s 结构 i d s 的结构如图2 一l 所示，包括防火墙模块，n i d s 模块，模糊决策 器，网络状况数据库，主辅服务器。这里假设在通常情况卜都有两个 服务器。 首先，构建一个数据库来记录来自防火墙目志的连接信息，依赖 于预先定义的规则，针对每一个连接总结得出一个自适应的动态参数。 接着检验n 1 d s ，用预先定义的规则，比如误报率等，得出相应的系数。 当数据包到达时，先经过防火墙和n i d s 的检测，经过一次预处理， 得出当前的网络状况，然后以源和目标地址及端口为标量作为模糊控 制器的输入。依据当时的检测结果和现存的网络状况数据，模糊控制 器可以计算出总的安全等级，以采取相应的措施。安全包将在主辅服 务器中作正常的处理，那些有嫌疑的数据包将被重定向到辅助服务器， 第_ 章入侵检测系统的体系结构 图2 1i d s 结构 它能够对那些正常的数据包做通常的处理，而且能够监视那些恶意数 据包以作特殊的处理。依赖于系统资源的情况，那些确定的攻击数据 包或者送到辅助服务器特殊处理，或者丢弃掉。同时，那些攻击行为 ( 需要注明的是，这也包括来自h i d s 的反馈，后丽将详细讨论) 将被 记录在恶意攻击域，从而调整对应的源和目标安全级别，以改变处理 方式。这样的处理方式就能自适应于网络状况。 模糊控制器监视系统资源的使用情况，有着相同配置的主辅服务 器可以根据负载均衡的原则对安全包运行相同的服务。方面，从系 统日志取样出有关系统调用序列的信息，并记录在事先训练出来的正 常行为库中，吲时在两个服务器之间进行更新。这样，一个有保障的 动态稳定的正常行为库就形成了。除了服务器进程外，辅助服务器运 行一个诱捕进程，它可以在预先c h r o o t 的h o n e y p o t 分区内分析入侵行 为。同时，对系统调用进行实时检测，可以在。个进程的一系列系统 调用之问插入检测算法，在进程完成之前就可以做出实时的反应了。 第二章入侵榆测系统的体系结构 无论任何时候检测到了异常行为，将它重定向到诱捕进程中以作进一 步处理，并作为对n i d s 的反馈以备将来的检测。 n i d s 和h i d s 的协作完成了一个全面的检测，并且反馈避免了冗 余，主机日志的后台数据挖掘进程的运行和系统调用的实时检测的结 合不但创建了一个有保障的正常数据库，而且在负载均衡情况下也避 免了系统资源的不足的现象。这样，我们能够调整检测的尺度，以控 制误报率，并且确保了服务的质量，即使那些嫌疑包，通过给予更多 的系统资源，也能得到好的服务。 流程图2 2 给上述过程一个全面的视点。下面将详细讨论i d s 的结 构。 2 2 1 防火墙模块 简单地说，防火墙提供了进出计算机资源的控制点，这个控制点 也是网络安全的第一线。这里简略的描述一下三类通常使用的防火墙 技术。首先，应用代理防火墙是一个软件防火墙，它规定是否能够进 出网络，并且能够保存允许谁进出网络规则。第二种，包过滤防火墙 被配置成根据预先定义的规则，察看数据包的内容，比立1 1 ，i p 地址、 子网掩码、t c p 或者u d p 端口等特定的信息。第三种防火墙即是包过 滤防火墙的加强，状态包过滤，除了检查单个数据包的内容外，状态 包检测还检测多个数据包流的特性等等。 在大多数情况下，防火墙是综合使用多种防护手段的。并且，在 防火墙和n i d s 之间有一种性能的重叠，新的产品最好能够综合二者的 特性。 222n i d s 模块 网络入侵检测模块，通常被称为p a c k e ts n i f f e r ，它能够检测不同的 特征和协议的数据包，从而做一个实时的检测。现代的高速，交换网 络要求它能够进行快速处理。因此，有些n i d s 产品，仅仅进行误用检 测，看看是否与攻击特征相符，以获得高效率。 第章入侵检测系统的体系结构 图2 2i d s 流程图 第：章八侵检测系统的体系结构 在n i d s 的实现中，通常将网络接口卡设置为混杂模式以捕获经过 网段的数据包，或者使用探测器去检测路过网段的数据包。目的就是 探测是否数据流符合已知的特征。有三类特征比较重要，第一就是是 否有固定的字串符合己知的特征：第二个是端口特征是否是那些惯受 攻击的端口；第三个，就是数据报头的特征，那些数据报头是否是危 险的或者违例的组合。今天，协议分析技术等新的技术有更好的性能。 2 2 3 模糊决策器 模糊决策器将现有的网络状况和即时的检测结果作为输入以作决 策，应用模糊规则去处理它们。它使用模糊机和模糊逻辑推理执行输 入数据的模糊化，以衡量模糊输入并向系统管理员预警。模糊规则使 用一些通常的入侵检测标准，控制系统依据网络交通流量和模糊规则 去决定特定的网络攻击的可能性以作决策。 2 2 4 网络状况数据库 这里的网络状况数据库定义r 数据包和服务器的通用规则。它包 括一系列对应数据包和特定服务的项最后一项为“默认拒绝”，即没 有明确被允许的连接都会被拒绝。每项包括如下所示的字段域： 1 连接信息域 它包括源和目标地址，t c p u d p 端口，服务类型等详细的应用层 信息。具体项目依赖于防火墙和n i d s 的特性。 2 安全等级 管理员根据源和目标地址端l 来决定源和目标安全等级。安全域 在0 f d l 之间分布，数值越高有越高的安全级。例如，来自内部地址的 初始化连接更加可信，所以初始时赋值为1 。并且这个安全级别应该自 适应于网络状况，假如内部地址初始化一个恶意连接，就应该从先前 的值中减去相应的数值。这样，安全级别的自适应性能够反应网络状 况的变化，这可以作为模糊决策器的一个输入。 第_ 章入侵检测系统的体系结构 3n i d s 系数 一方面，这些系数通过类似误报率等性能要素加以计算，另一方 面，可以依赖网络攻击危害度来分类检测结果。这是可行的但比较主 观，需要实验加以验证。 依赖于特定n i d s ，在这里很难给出一个详细的叙述。但是，一定 可以从现存的网络性能参数中总结出一些规则出来。n i d s 本身没有必 要包括某些自适应系数，但是可以从它的性能参数中推导出来。假如 从n i d s 的设计中加以提炼的话，性能方面必能有大的提高，比如，可 以把加密信息给予特殊的处理。 4 恶意攻击行为的纪录 当某些数据包违反了安全规则( 包括来自于h i d s 的反馈) ，无论它 是数据包的初始化连接还是数据流中的某部分，都将被记录在这个 域中。并且只有在一定数量的数据包通过了安全规则检测，才可以恢 复。 5 总的安全规则 这是模糊决策器运用模糊逻辑推理的结果，代表了这类数据包的 最终安全级别。依赖于这点，模糊决策器可以采取不同的手段。 2 2 5 服务器模块 服务器模块将如上所述，除了正常的服务功能以外，还需要完成 入侵检测功能。通过整体的设计，可以提供一个环境来实现我们的实 时系统调用序列检测工作。后面的章节详细介绍这些内容，并进行相 应的设计编码工作。 本章提出了整个i d s 的体系结构，并阐述了各个模块的功能。它 具有以下特点： 1 整体设计符合现有的入侵检测系统发展趋势，n i d s 和h i d s 相 合，这是通过模糊控制器来完成二者结合的。并且通过负载均衡 第_ 章入侵检测系统的体系结构 2 3 4 5 技术以及两级数据分析技术( 即n i d s 和h i d s ) 满足_ r 前面所 提及的宽带网下入侵检测要求。而且通过前面的分析可知，这种 结合有效的减少了f a l s en e g a t i v e s 并且控制了f a l s ep o s i t i v e s 。 模糊控制器不但起到了结合两极检测的作用，更重要的是与网络 状况安全数据库的协作，一方面在网络状况( 包括来自主机检测 反馈) 变化时可以调整安全级别，从而调整数据包处理策略，达 到了自适应网络安全状况的效果。 通过各个模块的有效协作，经过处理后到达辅助服务器的嫌疑包 和入侵包只有非常少的一部分，这样系统有充分的资源去对这少 数进程进行实时检测。这样真正的实现了主机上前所未有的实时 检测，结合网络检测实时性，整个检测系统是真正的一体的实时 检测。 主机系统的实时检测手段的实施不但达到了实时检测的效果，而 且是实时反应的，这也是前所未用的，尤其是这种手段可以使用 h o n e y p o t 作为一种积极的实时反应手段，打破了h o n e y p o t 传统 上仅仅作为入侵研究的应用。并且这种实时反应的手段改变了传 统上入侵检测系统的缺省拒绝的行为。 这个系统具有很高的可扩展性：一方面前端的防火墙模块和 n i d s 模块以及模糊处理器模块可以单独实现，也可以一体实现； 另方面，在主机端的系统调用序列检测算法是独立于整个模型 的，因而可以采用不同的检测算法，而且在系统调用序列检测中， 除了依据调用序列轨迹判断外，还有依据调用间隔等多种方法， 都可以在这个模型中加以实现。 综上所述，在这个框架结构下，通过各个模块的协作，不但能够 满足宽带网的应用要求，更重要的是，它能够为使用系统调用序列检 测技术提供一个良好的使用环境，从而达到实时、自适应的效果。 第二章模糊控制模块的设计 第三章模糊控制模块的设计 一九六五年，美国u c b e r k e l e y 大学的控制论专家l a z a d e h 发表了 模糊集合的论文，把经典集合中由二值逻辑规定的特征函数，重 新定义为集合上隶属函数，将集合刻画成为一个有弹性的、可变的、 具有游移边界的集合，这样人们就不能再把世界简单地一分为二，看 成a 和非a 。 近年来，不少学者致力于把模糊理论引入网络安全领域的研究， 已取得了显著的成果6 15 。 在本课题中，通过纪录网络安全状况和即时检测结果，并将其模 糊化作为模糊控制器的输入，得到数据流的模糊总安全等级。这样， 更好地反映出网络安全状况在实际应用中的情况。 3 1 模糊理论概述 扎德l a z a d e h 在1 9 6 5 年提出了模糊集的概念，从而开创了模糊数 学研究的历史。他的这一创举使人类关于“模糊”这个概念得到了一 种数学描述，使得模糊对象有了得以表示和处理的可能。下面分别介 绍关于模糊理论的一些基本概念 1 1 1 4 。 3 1 1 模糊集合的概念 假定x n 论域，它的元素用x 表示，x 的经典子集a 可以用特征函数 “。( x ) ：斗 0 ，1 ) 来加以描述 当且仅当x a 当且仪当x a ( 3 1 ) 0 ，1 称j , 3 赋值集，如果允许赋值集扩展为闭区间 o ，1 】，则a 就称为模 糊集，具体定义如下： 没在论域x j ：，给定了映射 “j ：x 叫o ，i i ，x 斗“j ( x ) ( 3 - 2 ) 第三章模糊控制模块的蹬计 则浣“j 确定了x 上的一个模糊子集a ，简称为模糊集，称“j 为爿的隶 属函数，“j o ) 为x x , ja 的隶属度。 “j ( x ) 越接近于1 ，x 就越属于a ，反之“j ( z ) 越接近o ，x 就越不属 于爿，因此a 是x 中不具有明确边界的子集。 3 1 2 模糊集的运算 普通集合的运算是通过外延准则属于“”来定义的。但模糊集 合由于没有明确的外延( 软边界) 而不能用属于“”来定义它的运 算，因此必须用隶属函数来刻画模糊集合的运算。 设a 、b f ( x ) ，当且仅当有v x x 有扰j ( x ) = 甜i ( z ) ，则称a 与b 相 等，记为a = b 。 该定义是普通集相等的自然推广。 设4 、b f ( x ) ，则称a 与b 的并aub 和交anb 的隶属函数分 别定义为： “j 。i ( x ) 2m a x u 2 ( x ) ，“i 0 ) ) = “j ( x ) 。“i ) ，x x ( 33 ) “j 。i 伍) = m i n 材j ( 工) ，材i ( x ) = 掰i 扛) 甜i ( 工) ，工x ( 3 - 4 ) 上述定义同样是普通集合交、并运算的自然推广，而且是在满足 某些合理性约束条件下的必然结果。1 9 7 3 年b e l l m a n 和g i er t z i 正明r 取 m a x 和r a i n 的数学原理。随后1 9 7 5 年l w f u n g 和k s f u 发现了取m a x 和 r a i n 是睢可能的算子，并总结出了诸多定理。 3 1 ，3d 一截集与分解定理 口一截集与分解定理是联系经典集与模糊集的桥梁，它们在模糊 集理论和应用研究中极为重要。当要展示一个元素x e x 确实属于某一 模糊集爿时，就必须要求其隶属度大于某一给定的门限o 10 ，1 ，这 就是a 一截集的概念，由这样一些元素组成的普通集合就称为a 的口一 截集。 设a f ( x ) ，a 0 ，l 】，称普通集合 第二章模糊控制模块的设计 彳。2 x ix x ，甜j o ) 口) ( 3 - 5 ) 为a 的口一截集，称“为水平。也称普通集合 为a 的口一开截集。 彳。= ( x lx x ，“j ( x ) a ) ( 3 6 ) 下面介绍分解定理。 设- a f ( x ) ，a o ，1 ，则定义模糊集口j f ( x ) 的隶属函数为 u 。j 2 口 甜j ( x ) ，v x x ( 3 - 7 ) 分解定理：a f ( x ) ，且 j 。) 口e 1 是a 的截集族，则： 42 a 崭e 0