（计算机系统结构专业论文）基于事件的网络入侵检测系统eids.pdf

论文摘要 随着黑客入侵事件的日益猖獗，人们发现只从防御的角度构造安全系统是 不够的。入侵检测技术对计算机和网络资源的恶意使用行为进行识别和响应， 不仅检测外部入侵行为，同时也监督内部用户未授权活动。 本文首先分析当前网络安全情况，将入侵检测和防火墙进行比较，指出防 火墙难以防御内部攻击的重要不足，然后介绍了“可适应网络安全理论”的主 要模型一p p d r 模型( 策略、防护、检测、响应) 。 第二章是对入侵检测技术进行简单介绍，包括通用入侵检测框架c i d f 、i d s 分类和检测方法等。基于网络入侵检测系统具有配置费用低、隐蔽性好、实时 检测和响应、不依赖操作系统、不占用被检测系统的资源、不易被欺骗等优点， 因此在实际中获得很大的运用。虽然入侵检测技术发展到今天已经取得了巨大 的进展，但现有的入侵检测系统还存在着很多不足之处，比如误报警、检测速 度和性能等。 第三章设计和实现了一个入侵检测系统e i d s ，这是论文的重点。e i d s 是 基于事件的网络入侵检测系统，它通过监听。获得链路层数据包，事件引擎通 过分析这些网络数据包后生成事件，这些事件反应了不同的网络活动：有些是请 求建立连接，有些是网络协议( 如f t p 请求和响应) ，还有一些是用户登陆的认 证。通过简要分析其特点和系统结构，对e i d s 有一个总体上的把握。然后根据 t c p i p 协议族，相应实现e i d s 各个层次的协议解析处理流程。e i d s 通过对协议 的解析，提高了匹配的效率，通过模拟应用层某些协议的命令语法，提高了入 侵监测的准确性。接着实现e i d s 分布式检测思想、入侵响应和策略脚本解释语 言。 论文的最后对e i d s 进行了测试。 【关键词】入侵检测协议解析分布式检测策略脚本解释语言 i l l a b s t r a c t i n t r u s i o nd e t e c t i o ni sap r o t e c t i o nt e c h n i q u ea f t e rt h et r a d i t i o n a l t e c h n i q u e ss u c ha sf i r e w a l l i nt h i sp a p e r ，if i r s ti n t r o d u c et h ep p d r m o d e l ( p o l i c y ，p r o t e c t i o n ，d e t e c t i o n ，r e s p o n s e ) i nt h es e c o n d c h a p t e r ，i i n t r o d u c ec o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ( c l d f ) ，s o m em e t h o d su s e di ni d s ，t h ed e v e l o p m e n to fi d sa n d s oo n n i d s se x c e l l e n c ei sl o we x p e n s e ，n od e p e n d i n go no s ，n ou s i n g t h eh o s t sr e s o u r c e i nt h et h i r dc h a p t e r ，id e s i g na n dr e a l i z eai d s e i d s ，w h i c h i s t h ek e y s t o n ei nt h ep a p e r e i d si sa ni n t r u s i o nd e t e c t i o ns y s t e mt h a t w o r k sb yp a s s i v e l yw a t c h i n gt r a f f i cs e e no nan e t w o r k1 i n k i t i sb u i i t a r o u n da ne v e n t e n g i n et h a tp i e c e sn e t w o r kp a c k e t si n t oe v e n t st h a t r e f l e c td i f f e r e n t t y p e so fa c t i v i t y s o m ee v e n t sa r eq u i t el o w l e v e l ， s u c ha st h em o n i t o r s e e i n gac o n n e c t i o na t t e m p t ：s o m ea r es p e c i f i ct o ap a r t i c u l a rn e t w o r kp r o t o c o l ，s u c ha sa nf t pr e q u e s to rr e p l y ：a n ds o m e r e f l e c t f a i r l yh i g h l e v e ln o t i o n s ，s u c ha sau s e rh a v i n gs u c c e s s f u l l y a u t h e n t i c a t e dd u r i n ga l o g i ns e s s i o n i nt h et h i r dc h a p t e r ，ip r e s e n t t h ec h a r a c t e r i s t i c s ，s t r u c t u r eo fs y s t e m t h ep r o t o c o lp a r s i n gc a nf i n d t h ei n t r u s i o ne f f e c t i v e l y t h e ni r e a l i z et h ed i s t r i b u t e dd e t e c t i o ni n e i d sa n dt h ei n t r u s i o nr e s p o n s e l a s t l y ，i i n t r o d u c et h e l a n g u a g eo f p o l i c yi n t e r p r e t i o n i nt h ef o u r t hc h a p t e r ，i t e s tt h ee i d sa n dg i v et h er e s u l t k e yw o r d s 】i n t r u s i o nd e t e c t i o n ， d i s t r i b u t e dd e t e c t i o n p r o t o c a l p a r s i n g ， l a n g u a g eo fp o l i c yi n t e r p r e t i o n 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得电子科技大学或其它教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意。 签名：窒攀日期：即蜃年d ) 月厢 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论 文的规定，有权保留并向国家有关部门或机构送交论文的复印件和 磁盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：茎显墨垄 导师签名： 至些! 三 日期：a 叻幺年一月心日 电子科技大学硕士学位论文 第一肇引言 1 1 论文研究的问题及其意义 网络技术的快速发展给人们带来了极大的方便，但是黑客工具也随着网络 技术的发展变得越来越先进，越来越容易被一般人获取和滥用，攻击者所需掌 握的知识技能也越来越少，然而造成的损失却越来越严重。 网络与信息安全问题已经日益突出，黑客入侵、信息泄密以及病毒泛滥所 带来的危害引起了世界各国的高度重视。因此，采取积极的安全措施来保护信 息资源是当前网络安全领域十分重要和迫切的问题。 传统的安全模型己经不能适应新的网络环境，静态的安全模型逐渐过渡到 动态的安全模型p p d r ( 即策略、防护、检测和响应) 。入侵检测已经是网络安全 模型中非常重要的一部分，它作为一种积极主动的安全防护技术，提供了对内 部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应。 目前入侵检测品主要厂商有i s s 公司( r e a l s e c u r e ) ，a x e n t 公司( i t a ，e s m ) ，以 及n a i ( c y b e r c o pm o n i t o r ) 等。 本文在分析了当前入侵检测技术的基础上，设计了一个高效的入侵检测系 统e i d s ( 厦门万维公司的一个项目) ，这对于建立企业的安全体系具有非常重要 的意义。 1 2 网络安全基本要素 一般来说，网络安全的主要目标是确保经网络传送的信息数据能够安全地 到达目的地，在到达目的地时没有任何改变、没有丢失、没有被非法读取。因 此网络安全包括机密性、完整性、可用性、可控性和不可否认性这五大基本要 素。 ( 1 ) 机密性( c o n f i d e n t i a l i t y ) ：数据不被泄漏给非法用户，只被允许 授权的用户使用。 ( 2 ) 完整性( i n t e g r i t y ) ：指只有合法用户才能修改数据，确保数据不 被非法修改，并且能够判断数据是否己被非法篡改。 电子科技大学硕士学位论文 ( 3 ) 可用性( a v a i l a b i l i t y ) ：指合法用户对数据的正常请求能够及时、 正确、安全地得到服务或回应，即使拒绝服务攻击( d o s ) 也能够保证网络服务 可以使用。 ( 4 ) 可控性( c o n t r o l l a b i l i t y ) ：指合法用户可以在授权范围内，能够 控制数据的流向和行为方式等。 ( 5 ) 不可否认性( 即抗抵赖性，n o r e p u d i a t i o n ) ：是指合法用户不能否 认自己在网上的行为。在系统中的每一项操作都应留有痕迹，记录下该项操作 的各种属性，保留必要的时限以备审查。如果用户否认，公正机制将根据抗否 认机制予以裁决，这样就可以防止出现问题时，操作者因否认该项操作而推卸 责任。 为了最大限度确保网络安全，网络安全专家赛门铁克( s y m a n t e c ) 提出了 的“多层次防护”安全理念，它是应用和实施一个基于多层次安全系统的全面 信息安全策略，在各个层次上部署相关的网络安全产品，增加攻击者入侵所花 费的时间、成本和所需要的资源，从而有效降低被攻击的危险，达到安全防护 的目标。赛门铁克( s y m a n t e c ) 所推崇的分层的安全防护技术具体来说包括攻 击检测，攻击防范，攻击后的恢复这三个大方向，每一个方向上有代表性的产 品：入侵检测系统负责进行攻击检测，防火墙和强制访问控制系统负责攻击防 范，攻击后的恢复则由自动恢复系统来解决。 1 3 防火墙 有了防火墙为何还要用入侵检测系统呢? 我们先看看防火墙的原理。 防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络数据 流快速从条链路转发到另外的链路上。最早的防火墙是一台双穴主机，即具 备两个网络接口，同时拥有两个网络层地址，防火墙将网络上的流量通过相应 的网络接口接收上来，按照网络的七层结构顺序上传，在适当的协议层进行访 问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对 于那些不符合通过条件的报文则阻断。因此，从这个角度上来说，防火墙是一 个类似于桥接或路由器的、多端口的转发设备，它跨接于多个分离的物理网段 之间，并在报文转发过程完成对报文的审查工作。可以参考下图。 2 电子科技大学硕士学位论文 孽囊 颦 外韶报文 撮文危许通过 图卜l 防火墙的原理 防火墙是网络安全的关口设备，只有在关键网络流量通过防火墙的时候，防 火墙才能对此实行检查、防护等功能。因此，在网络拓扑上，防火墙应当处在 网络的出口处和不同安全等级区域的结合点处。这些位置通常位于：企业内部 网出口链路处；主干交换机至服务器区域工作组交换机的骨干链路上：办公内 部网与高安全等级的企业涉密网的连接点；远程拨号服务器与企业骨干交换机 或路由器之间。 个经典的防火墙部署方式如图所示 图i - 2 防火墙的部署示意图 防火墙的类型一般包括3 种：包过滤型、状态检测型和应用网关型。 包过滤型：这类防火墙是最简单的防火墙，只检测数据包的i p 、t c p 、u d p 、 i c m p 的包头，根据i p 源地址和目的地址、t c p u d p 源端口或目的端口、 数据的流向等因素来决定准许或拒绝数据通过。 状态检测型：这类防火墙在包过滤的基础上还加入了连接状态的检测，例 如防火墙可以拒绝从外网直接发往内网的数据包，但是对于外网发来的返 回包则允许通过，这种状态检测一般是通过记录和检测t c p 包头的s y n ， a c k 标志和序列号来实现的，有的防火墙还可实现u d p ，i c m p 等无连接协 议的状态检测。 电子科技大学硕士学位论文 应用网关型：这类防火墙在包过滤的基础上还增加了应用层协议的检测， 这种防火墙安全性比较高，但是检测速度将比包过滤型防火墙慢很多。 一般防火墙存在一些不可避免的缺点： ( 1 )防火墙难于管理和配置，易造成安全漏洞，入侵者可寻找防火墙背后可 能敞开的后门。 ( 2 )入侵者可能就在防火墙内。有统计结果表明，网络上的安全攻击事件有 5 0 - 7 0 来自网络内部。 ( 3 )由于性能的限制，防火墙静态的防御外来攻击，通常不能提供实时的入 侵检测能力。 ( 4 )同时防火墙就像是房子周围的一道篱笆或者是把守大门口的门卫，它可 以挡住大多数进攻，但不能对进攻加以分析。 1 4p p d r 模型 由于传统的计算机安全理论不能适应动态变化的互联网络环境，针对日益 严重的网络安全问题和越来越突出的安全需求，“可适应网络安全理论”应运而 生，其主要模型是p p d r ( 或p 2 d r ) 模型。p p d r 模型是一个动态模型，其中引进 了时间的概念，而且对如何实现系统的安全，如何评估安全的状态，给出了可 操作性的描述，p p d r 模型是对传统安全模型的重大改进。p p d r ( p o l i c y p r o t e c t i o nd e t e c t i o nr e s p o n s e ) 是由p d r ( p r o t e c t i o nd e t e c t i o nr e s p o n s e ， p d r 由i s s 公司最早提出) 模型引伸出的概念模型，增加了p o l i c y 功能，并突出 了管理策略在信息安全工程中的主导地位，模型如下图所示： 图卜3p p d r 模型 4 电子科技大学硕士学位论文 该模型主要包括四个部分： 1 策略( p o l i c y ) ：安全策略是p p d r 模型的核心，防护、检测和响应都是依 据安全策略实施的。网络安全策略为安全管理提供了管理方向和支持手 段。策略体系的建立包括：安全策略的制订、评估、执行等。制订可行的 安全策略取决于对网络信息系统的了解程度。 2 防护( p r o t e c t i o i l ) ：防护通常是通过采用一些传统的静态安全技术及方 法来实现的，主要有防火墙、加密、认证等方法。 3 检测( d e t e c t i o n ) ：在p 2 d r 模型，检测是非常重要的一个环节，检测是 动态响应和加强防护的依据，它也是强制落实安全策略的有力工具，通 过不断地检测和监控网络和系统来发现新的威胁和目b 点，通过循环反馈 来及时作出有效的响应。检测的对象应该主要针对构成安全风险的两个 部分：系统自身的脆弱性及外部威胁。 4 响应( r e s p o n s e ) ：响应是指当检测到系统弱点或安全威胁时通过报警、 记录、切断攻击连接等方式进行保护的过程。紧急响应在安全系统中占 有最重要的地位，是解决安全威胁最有效的办法。从某种意义上讲，安 全问题就是要解决紧急响应和异常处理问题。要解决好紧急响应问题， 就要制订好紧急响应的方案，做好紧急响应方案中的一切准备工作。 p p d r 模型是在整体安全策略控制和指导下，在综合运用防护措施( 如防火 墙、加密、认证等手段) 的同时，利用检测工具( 如入侵检测、漏洞评估等系统) 了解和评估系统的安全状态，将系统调整到“最安全”和“风险最低”状态。 防护、检测和响应组成了一个完整的、动态的安全循环。实时入侵检测响应技 术是通过监控攻击行为来实时监控系统，并自动阻断恶意攻击。入侵检测技术 是目前动态安全技术的核心技术之一，与传统的静态防火墙技术共同使用，可 以大大提高系统的安全防护水平。对一个成功的入侵检测系统来讲，它不但可使 系统管理员时刻了解网络系统( 包括程序文件和硬件设备等) 的任何变更，还能 给网络安全策略的制订提供指南，更重要的一点是它容易管理、配置简单，从 而使非专业人员非常容易地获得网络安全，而且入侵检测的规模还能够根据网 络威胁系统构造和安全需求的改变而改变，性能良好的入侵检测系统在发现入 侵后会及时做出响应，包括切断网络连接、记录事件和报警等，这些功能都通 电子科技大学硕士学位论文 过执行以下任务来实现： ( 1 ) 监视分析用户及系统的活动 ( 2 ) 对系统构造和存在弱点进行审计 ( 3 ) 识别反映已知攻击的活动模式并报警 ( 4 ) 异常行为模式的统计分析 ( 5 ) 评估重要系统和数据文件的完整性 ( 6 ) 操作系统的审计、跟踪、管理并识别用户违反安全策略的行为 入侵检测是对防火墙及其有益的补充，能够帮助网络系统快速发现网络攻 击的发生，扩展了系统管理员的安全管理能力( 包括安全审计、监视、进攻识 别和响应) ，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干 关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和 遭到攻击的迹象。网络入侵检测在不影响网络性能的情况下能对网络进行监听， 从而提供对内部攻击、外部攻击和误操作的实时保护。 在本质上，网络入侵检测系统是一个典型的“窥探设备”。它无须转发任何 流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集 来的报文，入侵检测系统提取相应的流量统计特征值，并利用内嚣的入侵知识 库，与这些流量特征进行智能分析比较匹配。根据预设的阎值，匹配耦合度较 高的报文流量将被认为是攻击，入侵检测系统将根据相应的配置进行报警或进 行有限度的还击。 不同于防火墙，i d s 入侵检测系统是一个监听设备，因此，对i d s 的部署， 唯一的要求是：i d s 应当挂接在所关注流量都必须流经的链路上。在这里，“所 关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络 报文。因此，i d s 在交换式网络中的位置一般选择在： 服务器区域的交换机上 i n t e r n e t 接入路由器之后的第一台交换机上 重点保护网段的局域网交换机上 电子科技大学硕士学位论文 下图就是经典网络入侵检测系统部署拓扑图。 图卜4 经典入侵检测系统部署拓扑图 现在，入侵检测对广大用户已不再是新鲜事物，人们对网络安全的意识也 越来越重视，对入侵检测系统的也运用也越来越多了，入侵检测、防火墙、防 病毒以及加密被认为网络安全采购的四大件，已经被明确写入各大项目招标书。 电子科技大学硕士学位论文 2 1 基本概念 第二章入侵检测技术概述 入侵( i n t r u s i o n ) 是指任何企图破坏资源的完整性、保密性和有效性的行 为，也指违背系统安全策略的任何入侵行为，不仅仅指来自外部的攻击同时也 包括内部用户的未授权行为( 内部人员滥用特权的攻击是系统安全的最大隐 患) 。 入侵检测( i n t r u s i o nd e t e c t i o n ) 是指通过计算机网络或计算机系统中的 若干关键点，收集信息并对其进行分析从中发现网络或主机系统中是否有违反 安全策略的行为和遭到攻击的迹象，并做出一定的响应。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m 简称i d s ) 是实现入侵检测 功能的一系列的软件硬件的组合，它是入侵检测的具体实现。作为一种安全管 理工具，它从不同的系统资源收集信息，分析反映误用或异常行为模式的信息， 对检测的行为做出自动的反应，并报告检测的结果。 2 2 入侵检测过程 入侵检测的过程一般分为两步： 1 信息收集( 数据采集) 。其内容主要包括网络流量数据、系统审计数据及 用户的活动状态和行为。对于基于网络的入侵检测系统，需要在计算机 网络系统中的若干不同关键点、不同主机收集信息，这除了尽可能扩大 检测范围的因素外，还有一个重要的因素就是：从一个来源的信息有可 能看不出疑点，但是从几个信息源的不一致性却是可疑行为或入侵的最 好标识。对于基于主机的入侵检测系统，需要收集主机系统产生的审计 文件，以便对用户行为进行监测( 包括登录、退出、执行命令、资源使 用等内容) 。 2 数据分析。数据分析过程是i d s 工作的核心，主要是运用诸如模式匹配、 统计分析、协议解析、完整性分析等方法处理收集到的信息，根据分析 电子科技大学硕士学位论文 结果判断检测对象的行为是否是入侵行为。 2 3 入侵检测系统信息来源 i d s 通过两种方式获得信息，其中一种是网络入侵检测模块方式，通过在网 络中放置一块入侵检测模块，我们可以监视受保护机器的数据报文，从而发现 入侵攻击。另外一种获取信息的方式是主机入侵检测模块方式，它是在受保护 的机器上安装了主机入侵检测模块，专门收集受保护机器上的信息，如系统和网 络的日志文件、目录和文件中非正常的改变、程序执行中的不期望行为等。 2 4 通用入侵检测框架c i d f 通用入侵检测框架( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ，c i d f ) 阐 述了一个入侵检测系统( i d s ) 通用的框架结构。它将一个入侵检测系统分为以 下四个组件： 事件产生器( e v e n tg e n e r a t o r s ) 事件分析器( e v e n ta n a l y z e r s ) 响应单元( r e s p o n s eu n i t s ) 事件数据库( e v e n td a t a b a s e s ) c i d f 中入侵检测系统需要分析的数据可以是网络中的数据包，也可以是系 统日志等其他途径得到的信息。它对于各部件之间的信息传递格式、通信方法 和标准a p i 进行了标准化。 事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提 供此事件。 事件分析器分析得到的数据，并产生分析结果。 响应单元则是对分析结果作出反应的功能单元，它可以作出切断连接等反 应，甚至发动对攻击者的还击，也可以只是简单的报警。 电子科技大学硕士学位论文 事件数据库是存放各种中间和最终数据地方的统称，它可以是复杂的数据 库，也可以是简单的文本文件。事件库则明显地体现了i i ) s 的检测能力( 不是 性能) ，通常的误报和漏报都同事件定义明确相关。 在c i d f 中，前三者以程序的形式出现，而最后一个则往往是文件或数据库 的形式。 2 5 实时入侵检测和事后入侵监测 1 实时入侵检测：实时入侵检测技术是通过数据引擎不断地采集相关的数 据，然后对数据进行实时分析来发现异常的行为，并作出响应的一种检 测技术。这种技术在目前的大多数入侵检测系统中得到应用。它能够及 时发现入侵行为，但对系统资源要求较高，需要高效的检测方法。 2 事后入侵检测：事后入侵检测技术是通过对入侵发生后的系统状态，文 件系统的完整性或日志中的内容与入侵发生前相应的数据进行比较，检 查是否有入侵行为发生，并记录入侵证据和数据的恢复。事后入侵检测 技术是管理员定期或不定期进行的，不具有实时性，但可以起到“亡羊 补牢”的作用。这方面典型应用是文件完整性检查系统，它通过检查计 算机文件变化情况来发现入侵行为。 2 6 集中式入侵监测和分布式入侵监测 1 集中式入侵监测：系统的各个模块( 包括数据的收集、分析以及响应模 块) 都集中在一台主机上运行，适用于环境比较简单的情况。 2 分布式入侵监测：系统的模块分布在网络中不同的主机设备上，适用于 网络环境比较复杂、数据量比较大的环境。 2 7 基于主机( d s ) 和基于网络( n l d s ) 的入侵监测系统 1 基于主机的入侵检测系统( t t i d s ) ：将检测模块驻留在被保护的系统 电子科技大学硕士学位论文 上，是对受保护主机的系统状态和审计日志等进行智能分析与判断，如果 其中主体活动出现异常行为，入侵检测系统就会采取相应措旌。它可以有 若干种实现方法： ( 1 ) 检测系统设置以发现不正当的系统设置或者系统设置的不正当更 改，如c o p s 系统。 ( 2 ) 对系统安全状态进行定期检查以发现不正常的安全状态，如 t r i n w i r e 系统。 ( 3 ) 通过替换服务器程序，在服务器程序与远程用户之间增加一个中 间层，在该中间层中实现跟踪和记录远程用户的请求和操作，例如 t c p w r a p p e r 。 ( 4 ) 基于主机日志的安全审计，通过分析主机日志来发现入侵行为。 基于主机的入侵检测系统通常能够提供详尽的相关信息，误报率也较 低。它可以分辨出入侵者在干什么事，运行什么程序，打开了哪些文件，执 行了哪些系统调用，可以判断应用层的入侵事件等。但是基于主机的入侵检 测系统保护的是某台重点机器，而其它未受保护的机器可以被入侵者利用来 攻击目标系统，比如攻击者可以利用已入侵机器对目标所在的局域网实旌 a r p 欺骗攻击等，而且h i d s 都是针对特定的操作系统，配置的费用比较高， 占用主机部分资源。 2 基于网络的入侵检测系统( n i d s ) ：基于网络的入侵检测系统放置在 比较重要的网段内，通过网络监视来实现数据提取。在i n t e r n e t 中，局域 网普遍采用i e e e8 0 2 3 协议，该协议定义主机进行数据传输时采用子网广 播的方式。任何一台主机发送的数据包，都会在所经过的子网中进行广播， 也就是说，任何一台主机接收和发送的数据都可以被同一子网内的其他主 机接收。在正常设置下，主机的网卡对每一个到达的数据包进行过滤，只 将目的地址是本机的或广播地址的数据包放入接收缓冲区，而将其他数据 包丢弃，因此，正常情况下网络上的主机表现为只关心与本机有关的数据 包。但是将网卡的接收模式进行适当的设置，就可以改变网卡的过滤策略， 使网卡能够接收经过本网段的所有数据包网卡的这种接收模式被称为混 杂模式，目前绝大部分网卡都提供这种设置。因此，在需要的时候，对网 电子科技大学硕士学位论文 卡进行合理的设置就能获得经过本网段的所有通信信息，从而实现网络监 视的功能。在其他网络环境下，虽然可能不采用广播的方式传送报文，但 目前很多路由设备或交换机都提供数据报文监视功能。网络监视具有良好 的特性，理论上，网络监视可以获得所有的网络信息数据，只要时间允许， 可以在庞大的数据堆中提取和分析需要的数据。一个监视模块可以监视同 一个网段多台主机的网络行为，这样不改变系统和网络的工作模式，也不 影响主机性能和网络性能，它处于被动接收方式，很难被入侵者发现。n i d s 可以通过检查所有的包头来进行检测，而h i d s 并不查看包头，许多基于 i p 的拒绝服务攻击和碎片攻击( 下一章将介绍) 只能查看它们通过网络传输 时的包头才能识别。基于n i d s 可以研究负载的内容查找特定攻击中使用的 命令或语法，这类攻击可以被实时检查包序列的i d s 迅速识别，而基于主 机的系统无法识别嵌入式的负载攻击。网络监视的主要问题是监视数据量 过于庞大并且它不能结合被保护主机操作系统的特征对网络行为进行准确 的判断。网络入侵检测系统对于未在规则库中定义的攻击和新的攻击检测 能力差，在误报率与漏报率上较高，而且难以检测经过加密的会话过程。 目前实际应用中的系统多为n i d s ，如i s s ( i n t e r n e ts e c u r i t ys y s t e m s ) 公司的r e a l s e c u r e ，它由3 个部分组成：基于网络的识别引擎、基于主机 的识别引擎和管理员模块，它支持基于主机的入侵检测和基于网络的入侵 检测：c i s c o 公司的n e t r a n g e r ，它可以检测3 种攻击：已知的攻击、已知攻 击的变种、复杂的组合攻击，除了提供大量的已知攻击模式定义外，它还 支持用户自定义入侵模式。 n i d s 有以下优点：( 1 ) 配置费用低( 2 ) 隐蔽性好( 3 ) 能检测到不 成功的入侵行为( 4 ) 攻击者不易转移证据( 5 ) 实时检测和响应( 6 ) 不依赖操作系统( 7 ) 不占用被检测系统的资源( 8 ) 不易被欺骗。 但是高速宽带网络、交换式网络、加密传输等技术的应用给基于网络 的入侵检测技术带来了很大限制，而且如果攻击不经过网络，n i d s 无法检 测到，只能通过使用h i d s 来检测。 3 虽然h i d s 和n i d s 各有所长又各有所短，但是不管使用哪一种工作方 式，他们都是需要查找攻击签名 ( a t t a c ks ig n a t u r e ，所谓攻击签名就 1 2 电子科技大学硕士学位论文 是用一种特定的方式来表示已知的攻击方式) ，最好的办法是将两者相结 合，它能够同时接收上述两种数据来源，即同时分析来自主机系统审计日 志和网络数据流。 4 在这儿还要提到一种比较特殊的检测系统一一蜜罐系统( h o n e y p o t s ) ， 也就是诱骗系统，它是一个包含漏洞的系统，通过模拟一个或多个易受攻 击的主机，给黑客提供一个容易攻击的目标。由于蜜罐没有其它任务需要 完成，因此所有连接的尝试都应被视为是可疑的。蜜罐的另一个用途是拖 延攻击者对其真正目标的攻击，让攻击者在蜜罐上浪费时间，与此同时最 初的攻击目标受到了保护，真正有价值的内容将不受侵犯。蜜罐最初的目 的之一是为起诉恶意黑客搜集证据，这看起来有“诱捕”的感觉。 2 8 基于异常入侵检测和误用检测 l _ 基于异常行为( a n o m a l y b a s e d ) 的入侵检测指的是根据非正常行为 ( 系统或用户) 和非正常使用计算机资源的情况进行入侵行为的检测。使用异常 检测常常由于阀值设置不当而形成漏检或误报。若阀值过高则会导致漏检，过 低则会导致误报。漏检对于系统的安全而言非常危险，而误报也会增加安全管 理员的负担。基于异常行为的入侵检测所使用的方法主要有以下几种： ( 1 ) 统计方法：该方法首先选择描述主体行为的测度集，然后在采集到 的安全事件集合中建立基于该测度集的检测模型( 统计模型) ，该模型 有可能是用户的正常行为映像，也可能是正常网络流量测度的概率分布。 根据实际的检测模型，某种度量算法被用来计算当前的主体行为与检测 模型的背离程度，然后根据某种决策方法来决定是否入侵。 统计方法的主要优点是能自适应地学习主体的行为，因此对异常行为 比人更加敏感，另外统计方法不要求数据全部是纯粹的正常行为，只要是 真实环境的数据就行。采用统计方法最有代表性的系统是s r i 的i d e s 和 n i d e s ，这两个入侵检测系统包含了面向用户的异常检测模块，通过建立 描述用户行为的各测度的概率分布函数作为其检测模型，并采用某种距离 算法评价用户当前行为与其模型的差异并作出响应。 电子科技大学硕士学位论文 统计方法的缺点是：容易被入侵者所训练，最后使得异常行为也变 成正常的。主观确定的入侵阀值决定了误检率和漏检率的高低。对于 依赖于事件之间关系的入侵不敏感，因为这种模型忽略了事件之间的关 系。需要假设测度的概率分布，目前一般采用正态分布或泊松分布，而 这有可能与实际不符合。 ( 2 ) 数据挖掘方法 数据挖掘能从审计记录或数据流中提取出感兴趣的知识，这些知识是 隐含的、事先未知的、潜在的有用信息，提取的知识表示为概念、规则、 规律、模式等形式，并可用这些知识去检测异常入侵和已知的入侵。 数据挖掘的优点是能自动、快速地产生异常检测模型，这在海量的历 史数据中提取知识是非常重要的，通过人工建立的方法很难实现。 数据挖掘方法的缺点在于：误报率较高：由于在训练和评价时 计算的复杂度较高，难以应用到实时环境中：需要大量的训练数据， 而且对数据的纯洁性要求较高。 ( 3 ) 神经网络方法 其基本思想是用一个信息单元序列来训练神经网络，在神经网络的输 入中包括当前的信息单元序列和过去的信息单元序列集合，神经网络由此 可给出判断。与概率统计方法相比，神经网络方法不依赖于数据的统计假 设条件，可更好地处理有噪音的数据和模糊数据，可更好地考虑各种变量 间的相关性，并且能自动学习和更新。 神经网络的优点是：它的实现不依赖对潜在数据的统计假设：能 较好地处理噪声数据：能自动调节影响输出的各测度的权重，而这在传 统的异常检测方法中通常是人为确定的。 神经网络的缺点在于：神经网络的拓扑结构和各元素的权重只有 在训练后才能确定：输入窗口的大小是该方法的一个主观因素，如果设 得太低，该模型的检测能力就会下降，如果太高，就会碰到许多不相关的 输入。 ( 4 ) 免疫学方法 1 4 电子科技大学硕士学位论文 利用动物的免疫机理，即区分自身和非自身并消除非自身机体，建立 每个程序正常行为的数据库，定义属于自己的体系结构、软件版本和配 置、管理策略、使用模式等，用来监测程序的行为，识别非自身的外来 攻击活动。该方法的关键是如何有效地定义“自我”( s e l f ) 和识别自我， 并据此来排斥“异类”。 ( 5 ) i b l 方法 i b l ( i n s t a n c e - b a s e dl e a r n i n g ) 方法是基于实例的学习方法。该方 法将入侵检测问题形式化地表述成离散数据的时间序列，并采用某种相 似度测量方法将离散数据的时间序列转化为可度量比较的空间，从而量 化正常序列和异常序列的差异并据此作出决策。 基于异常的检测方法通常采用统计方法来进行检测，需要大量原始的 审计记录，一个纯粹的统计入侵检测系统会忽略那些不会或很少产生影响 统计规律或审计记录的入侵，即使它具有很明显的特征。统计方法可以被 训练而适应入侵检测模式，当入侵者知道他的活动被监视时，他可以研究 统计入侵检测系统的统计方法，并在该系统能够接受的范围内产生审计事 件，逐步训练入侵检测系统，从而使其相应的活动偏离正常范围，最终将 入侵事件作为正常事件对待。另外，应用系统越来越复杂，许多主体活动 很难以简单的统计模型来刻画，而复杂的统计模型在计算量上不能满足实 时的检测要求。而且，统计方法中的阀值难以有效地确定，太小的值会产 生大量的误报，太大的值会产生大量的漏报，例如系统中配置为2 0 0 个 秒半开t c p 连接为s y nf l o o d i n g 攻击，则入侵者每秒建立的1 9 9 个连接 将不会被视为攻击。 2 基于误用( m i s u s ed e t e c t i o n ) 入侵检测( 也叫特征检测 s i g n a t u r e b a s e d ) ：通过分析入侵过程的特征、条件、排列以及事件间关系， 可事先准确具体地描述入侵行为的模式，通过判断这些模式是否出现来检测入 侵活动，这种检测基于知识，与防火墙类似。基于特征的入侵检测方法有以下 几种。 ( 1 ) 专家系统方法： 专家系统方法是基于知识的检测中运用最多的一种方法，将有关入侵 电子科技大学硕士学位论文 的知识转化成规则结构，当规则中的条件满足时，就认为发生了入侵活动。 在具体实现中，专家系统主要面临着全面性问题和效率问题，因此很少用 于商业产品中，实际运用较多的是特征序列检测。像专家系统一样，特征 分析也需要知道攻击行为的具体知识，但这种知识并不转化为规则，而是 以在审计纪录中能直接找到的形式存在。 ( 2 ) 状态变迁分析方法： 状态变迁分析方法将入侵过程看作一个状态变迁序列，导致系统从初 始的安全状态转变到被危害状态。状态变迁图或入侵活动的图形表示，用 来准确地识别发生下一事件的条件，图中只包括为成功实现入侵所必须发 生的关键事件。根据系统审计记录中包含的信息，可研制分析工具，对用 户活动的状态变化和已知入侵的状态变迁图加以比较。 ( 3 ) 模式匹配模型： k u m a r 最早提出了基于模式匹配的入侵检测方法和加标签事件的概 念，使用有色p e t r i 网来表示攻击特征序列，以克服正规表达式和上下文 无关语法的局限性。p e t r i 网用于入侵行为分析是模式匹配方法的一种， 其优势在于其一般性、概念简单性以及能够图形化地表达状态。 基于误用检测的入侵检测系统，其检测规则总是落后于攻击手段的更新。 目前而言，一个新的漏洞在互联网上公布，第二天就可能在网上找到利用该漏 洞的攻击软件和代码，但相应的检测方法还需要好几天才能总结出来。存在一 个发现新入侵方法到用户升级规则库或知识库的时间差，对于一些有心的入侵 者，将有充足的时间进行入侵。很多公布的攻击并没有总结出相应的检测规则 或者检测规则的误报率很高，并且现在越来越多的黑客倾向于不公布他们发现 的漏洞，从而很难总结出这些攻击的攻击特征。目前，新的规则的整理主要是 志愿者或者厂家完成，由用户自行下载使用。用户自定义的规则实际上很少， 在方便了用户的同时，也方便了入侵者。入侵者可以先检查所有的规则。然后 采用不会被检测到的手段来进行入侵，大大降低被发现的概率。当前总结出的 规则主要针对网络上公布的黑客工具或者方法，但对于很多以源代码发布的黑 客工具而言，很多入侵者可以对源代码进行简单的修改( 例如攻击者或黑客可以 自己定制特洛伊木马的通信端口或代码) ，产生攻击方法的变体，就可以逃避入 电子科技大学硕士学位论文 侵检测系统。匹配所有的规则将是一件非常耗资源、耗时的工作，以s n o r t 为 例，当前可用的规则有2 0 0 0 多条，而且有很多规则是基于内容匹配的，这给入 侵检测带来了很大的匹配工作量。 比较这两种入侵检测方法，可以发现基于异常行为的检测是基于对正常系 统使用模式来观察，以检测是否违背了这种正常。这种检测方式有一种固有的 不确定性，它可能将合法的行为判为不合法，或者更糟，它可能会认为非法的 行为是正常而允许继续，虽然基于异常行为的检测技术无法准确判别出攻击的 手法，但它可以( 至少在理论上可以) 发现更广泛的、甚至未知的攻击方法。不 同的是，基于特征的检测则根据己定义好的特征模式，通过对审计记录信息做 模式匹配来进行检测。基于特征的检测技术的核心是维护一个入侵模式库。对 于已知的攻击，它可以详细、准确的报告出其攻击类型，但是对未知攻击却效 果有限，而且入侵模式库必须不断更新。 2 9 现有入侵检测系统的不足 入侵检测技术发展到今天已经取得了巨大的进展，现有的入侵检测系统己 经能够在很大程度上抵御对系统的攻击，但不可否认现有的入侵检测系统还存 在着很多不足之处： 1 入侵检测系统的误报警是一个严重的问题：误报警是指被入侵检测系统 测出但其实是正常及合法使用受保护网络和计算机的警报。一个有效的 入侵检测系统应限制误报出现的次数，但同时又能有效截击入侵。换句 话说，入侵检测好比是监视摄影机及报警系统的组合，假警报不但令人 讨厌，并且可以减低i d s 的效率。误报是入侵检测系统最头疼的问题。 攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报，而 诱使没有警觉性的管理员把入侵检测系统关掉。 2 入侵检测系统的速度问题：入侵检测系统不能很好的检测所有的数据 包，基于网络的入侵检测系统难以跟上网络速度的发展，截获网络的每 一个数据包，并分析、匹配其中是否具有某种攻击的特征，这需要花费 很多的时间和系统资源。现有的入侵检测系统在1 0 m 网上检查所有数据 包中的几十种攻击特征时可以很好地工作，但现在很多网络都是1 0 0 m 电子科技大学硕士学位论文 甚至千兆网络，网络速度的发展远远超过了数据包模式分析技术发展的 速度。从现有的入侵检测产品看，国外产品在百兆网满负荷运行时将会 产生较为严重的时延，而国内的产品将会产生一定程度的失效( 尤其是 在小数据包多时) ，而千兆位则还是个不可企及的目标。 3 攻击特征库的更新不及时：绝大多数的入侵检测系统都是使用模式匹配 的分析方法，这要求攻击特征库的特征值应该是最新的。但现在很多入 侵检测系统没有提供某种如“推技术”的方法来及时更新攻击特征。在 如今每天都有新漏洞发布、每天都有新的攻击方法产生的情况下显然不 能满足安全需求。 4 检测分析方法单一：攻击方法的越来越复杂，单一的基于模式匹配或统 计的分析方法已经难以发现某一些攻击。另外，基于模式匹配和基于统 计的分析方法各有所长，入侵检测系统的发展趋势是在同一个系统中同 时使用不同的分析方法。现在几乎所有的入侵检测系统都使用了单一的 分析方法。 5 缺乏标准：在大型网络中，网络不同的部分可能使用了不同的入侵检测 系统，但现在不同的入侵检测系统之间不能互操作，入侵检测系统之间 不能交换信息，使得发现了攻击时难以找到攻击的源头，甚至给入侵者 制造了攻击的漏洞。入侵检测系统的厂家基本处于各自为战的情况，标 准的缺乏使得其问的互通几乎不可能。不断变化的入侵检测市场给购 买、维护入侵检测系统造成的困难。入侵检测系统是一项新生事物，随 着技术水平的上升和对新攻击的识别的增加，入侵检测系统需要不断的 升级才能保证网络的安全性，而不同厂家之间的产品在升级周期、升级 手段上均有很大差别