（计算机应用技术专业论文）分布式入侵检测系统的研究(1).pdf

分布式入侵检测系统的研究 摘要 随着网络应用的日益普及，电子银行、电子商务等网络服务正在悄悄地进入 人们的生活。但由于计算机网络设计的不足，网络攻击也在不断地增加，或者是 攻击我们的系统，或者是窃取我们的个人信息。人们已经意识到了保证网络安全 的重要性。 入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后的又一种 新的安全保障技术，它用于对计算机和网络资源上的恶意使用行为进行识别和响 应。 入侵检测研究重点之一是如何在收集到系统和网络的原始数据后，建立具有 有效性、自适应性和可扩展性的入侵检测模型。本文在深入研究分析公共入侵检 测框架理论和现有入侵检测系统实现策略的基础上，提出一种基于部件的入侵检 测系统，具有良好的分布性能和可扩展性。本文首先设计了分布式入侵检测系统 的总体结构，系统主要由数据采集系统，协议分析系统、规则生成系统、实时检 测系统、事件库和规则库等6 部分组成，其中，数据采集和协议分析系统，实时 检测系统都支持分布式运行，组成入侵检测代理( i n t r u s i o nd e t e c t i o n a g e n t ，i d a ) ， 而不是仅仅实现数据采集的分布式运行，真正实现了分布式入侵检测；其次，设 计了一个高性能的网络数据采集系统和协议分析方案，能够满足监测高速、大流 量网络数据：低丢包率、实时转发数据的要求。 本论文共分为六章。第一章是绪论，主要介绍了论文课题提出的背景。第二 章是入侵检测技术及其发展，主要详细介绍了入侵检测系统的体系结构、分析方 法和发展情况，与此同时指出了当前入侵检测系统所存在的问题。在提出问题的 同时，给出了本文所提出的分布式计算机入侵检测系统的特点。第三章介绍了网 络协议基础，常见的攻击方法和原理，入侵检测系统的规范和标准。第四章主要 介绍了系统的功能和性能，系统的基本体系结构。第五章主要介绍了系统的各个 功能模块的详细设计与使用的方法，重点是数据采集系统和掷议分析系统。最后 本文指出了现有设计的不足和未来的工作方向。 关键词：入侵检测，分布式入侵检测，公共入侵检测框架 郑州大学 ：学硕士学位论文 a b s t r a c t w i t ht h e d e v e l o p m e n to fi n t e m e t ，t h en e t w o r ks e r v i c e s ，s u c h a se b a n ka n d e c o m m e r c ea r eb e c o m i n gt h ep a r to fl i f e b u tb e c a u s eo ft h es h o r t c o m i n go ft h e d e s i g no f t h ei n t e r n e t ，n e t w o r ka t t a c k st h a ti n t r u d eo u r s y s t e m o rg e to u ri n f o r m a t i o na r e i n c r e a s i n g p e o p l eh a v e r e a l i z e dt h ei m p o r t a n c eo f n e t w o r k s e c u r i t y t h ei n t r u s i o nd e t e c t i o ni san e ws e c u r i t y t e c h n o l o g y , a p a r t f r o mt r a d i t i o n a l s e c u r i t yt e c h n o l o 西e s ，s u c h a sf i r e w a l la n dd a t a e n c r y p t t h ei n t r u s i o nd e t e c t i o n s y s t e m s ( i d s s ) w a t c ht h ec o m p e e r sa n dn e t w o r kt r a f f i cf o ri n t r u s i v ea n ds u s p i c i o u s a c t i v i t i e s o n eo ft h er e s e a r c h e m p h a s e so fi n t r u s i o nd e t e c t i o n i sh o wt o a n a l y z e s t h e r e c e i v e dd a t at ob u i l da l le f f e c t i v e ，a d a p t a b l ea n de x t e n s i b l ei n t r u s i o nd e t e c t i o nm o d e l i nt h i sp a p e r , b a s i n go nt h er e s e a r c ho fc o m m o ni n t r u s i o nd e t e c t i o n f r a m e ( c i d f ) a n d t h ei m p l e m e n t s t r a t e g yo f i n t r u s i o nd e t e c t i o ns y s t e m ，w e d e s i g nac o m p o n e n t o r i e n t e d i n t r u s i o nd e t e c t i o ns y s t e m ，w i t hg o o dd i s t r i b u t e da n ds c a l a b l e a b i l i t y f i r s t l y , w e c o n s t r u c tt h ew h o l es t r u c t u r eo ft h e s y s t e m ，w h i c hi s m a d eu po fp a c k e t c a p t u r e ， p r o t o c o l sa n a l y s i s ，r u l e sg e n e r a t i n g ，r e a lt i m ed e t e c t i o n ，e v e n t sb a s ea n dr u l e b a s e t h e r ei n t o ，p a c k e tc a p t u r e ，p r o t o c o l sa n a l y s i sa n dr e a lt i m ed e t e c t i o nf o r m si n t r u s i o n d e t e c t i o na g e n t ( d a ) s u p p o r t i n gd i s t r i b u t e dd e p l o y m e n t ，s oi ti sat r u ed i s t r i b u t e d i n t r u s i o nd e t e c t i o ns y s t e m ；s e c o n d l y , d e v e l o pa ne f f i c i e n tn e t w o r kd a t ac a p t u r es y s t e m a n da p r o t o c o l sa n a l y z i n ga r i t h m e t i c ，w h i c hc a np r i m l ya d a p tt ot h er e q u e s t st or e c e d e t h ep e r c e n t a g e o f p a c k e t sl o s s ，t r a n s m i tp a c k e t s i nar e a lt i m ea n dw a t c h a b r u p to rh i g h f l u xn e t w o r kd a t a t h i st h e s i si sd i v i d e di n t os i xc h a p t e r sa l t o g e t h e r c h a p t e ro n et h ei n t r o d u c t i o n ， h a v ei n t r o d u c e dt h eb a c k g r o u n dt h a tt h es u b j e c to ft h et h e s i s p u t s f o r w a r dm a i n l y c h a p t e rt w oi n t r u s i o nd e t e c t i o nt e c h n i q u ea n dd e v e l o p m e n t ，i n t r o d u c e dt h es y s t e m s t r u c t u r e ，a n a l y t i c a lm e t h o da n dd e v e l o p m e n to fi n t r u s i o nd e t e c t i o ns y s t e mi nd e t a i l ， m e a n w h i l ep o i n t e do u tt h eq u e s t i o n se x i s t e do fo t h e rd e t e c t i o ns y s t e m sa t p r e s e n t ， p r o v i d e d t h e a d v a n t a g e s o ft h e s y s t e ms u p p o r t i n gd i s t r i b u t e d d e t e c t i o nt e c h n i q u e c h a p t e rt h r e ei n t r o d u c e dt h e f o u n d a t i o no fp r o t o c o l s ，c o m m o na t t a c km e t h o da n d p r i n c i p l e ，t h e n o r m sa n ds t a n d a r d so ft h ei n t r u s i o nd e t e c t i o n s y s t e m c h a p t e rf o u r i n t r o d u c e ds y s t e m a t i cf u n c t i o na n dp e r f o r m a n c e ，t h eb a s i cs t r u c t u r eo ft h e s y s t e m m a i n l y c h a p t e rf i v e i n t r o d u c e dt h ed e t a i l e dd e s i g no fe a c hf u n c t i o nm o d u l eo ft h e s y s t e ma n du s a g e ，t h ef o c a lp o i n ti s t h ed a t ac a p t u r es y s t e ma n dp r o t o c o la n a l y t i c a l s y s t e m t h i st e x tf i n a l l yp o i n t e do u t t h e e x i s t i n gd e f i c i e n c yd e s i g n sa n dw o r k i n g d i r e c t i o ni nt h ef u t u r e n 分布式入侵检测系统的研究 k e y w o r d ：i n t r u s i o nd e t e c t i o n ，d i s t r i b u t e di n t r u s i o nd e t e c t i o n ，c i d f i l i 分布式入侵检测系统的五j 究 1 ，1 课题的提出背景及意义 1 绪论 随着信息技术的发展，i n t e m e t 得到了迅猛的发展。电子商务、电子政务、远 程教育、网络虚拟社区等己经走进人们的生活。计算机通信网络在政治、军事、 经济、工业、商业、交通、电信、文教等方面的作用日益增大。社会对计算机网 络的依赖也日益增强。网络己经成为现代社会生产、生活中不可或缺的一部分， 并且必将成为或者己经成为2 1 世纪全球最重要的基础设施。但是，网络固有的开 放性，尤其是i n t e m e t 的跨国界性，使网络一开始就面临巨大的安全风险。而网络 协议、各种软件的不完善以及网络管理人员的错误使这种风险成为现实的灾难， 网络入侵事件不断发生。 1 1 1 网络安全面临的威胁 入侵的来源可能是多种多样的，比如说，它可能是企业心怀不满的员工、网 络黑客，甚至是竞争对手。攻击者可能窃听网络上的信息，窃取用户的口令、数 据库的信息，还可以篡改数据库的内容，伪造用户身份，否认自己的签名。更为 严重的是攻击者可以删除数据库的内容，摧毁网络的节点，释放计算机病毒，直 到整个网络陷入瘫痪。 用密码编码学与网络安全的观点，我们把计算机网络面临的威胁归纳为以下 四种( 1 】= 截获( i n t e r c e p t i o n ) ：攻击者从网络上窃听他人的通信内容。 中断( i n t e r r u p t i o n ) ：攻击者有意中断他人在网络上的通信。 篡改( m o d i f i c a t i o n ) ：攻击者故意篡改网络上传送的报文。 伪造( f a b r i c a t i o n ) ：攻击者伪造信息在网络上传送。 这四种威胁可以划分为两大类，即被动攻击和主动攻击。在上述情况中，截 获信息的攻击被称为被动攻击。而更改信息和拒绝用户使用资源的攻击称为主动 攻击。在被动攻击中，攻击者只是观察和窃取数据而不干扰信息流，攻击不会导 致对系统中所含信息的任何改动，而且系统的操作和状态也不被改变，因此被动 攻击主要威胁信息的保密性。主动攻击则意在篡改系统中所含信息或者改变系统 的状态及操作。因此主动攻击主要威胁信息的完整性、可用性和真实性。 郑州火学工掌硕士学位论卫 1 12 网络安全隐患的来源 网络安全隐患主要来自于如下四个方面p j ： ( i ) 网络的复杂性。网络是一个有众多环节构成的复杂系统。由于市场利润， 技术投入，产品成本，技术规范等等问题，不同供应商提供的环节在安全性上不 尽相同，使得整个系统的安全程度被限制在了安全等级最低的那个环节。 ( 2 ) 网络的飞速发展。由于网络的发展，提供新网络服务，增加网络的开放 性和互联性等，必然将更多环节纳入系统中，新采用的环节又增加了系统的复杂 性，引发了网络的不安定性。 ( 3 ) 软件质量问题。软件质量难以评估是软件的一个特性。现实中，即使是 正常运行了很长时间的软件，也会在特定的情况下出现漏洞，例如不断涌现的o s 漏洞。现代网络己经是软件驱动的发展模式，对软件的更大依赖性加大了软件质 量对网络安全的负面影响。同时，市场的激烈竞争，促使商家需要更快地推出产 品，软件的快速开发也增大了遗留更多隐患的可能性。 ( 4 ) 其它非技术因素。这包括技术员在网络配置管理上的疏忽或错误，网络 实际运行效益和安全投入成本阃的平衡抉择。网络用户的安全管理缺陷等等。 由于存在众多的安全威胁和安全隐患，能否成功阻止网络黑客的入侵、保证 计算机和网络系统的安全和正常运行便成为网络管理员所面临的一个重要问题。 1 ，1 3 网络安全技术 当今世界，有大量的研究机构、社会团体、商业公司和政府部门投入到网络 安全的研究，并将此纳入到一个被称为信息安全的研究领域。网络安全技术主要 包括基于密码学的安全措施和非密码体制的安全措施【j j ，前者包括：数据加密技 术、身份鉴别技术等。后者则有：防火墙、路由选择、反病毒技术等。 ( 1 ) 数据加密技术 数据加密是网络安全中采用的最基本豹安全技术，目右匀是保护数据、文件、 口令以及其它信息在网上安全传输，防止窃听。网络中的数据加密，除了选择加 密算法和密钥外，主要问题是加密的方式以及实现加密的网络协议层次和密钥的 分配和管理。按照收发双方密钥是否相同，可以将这些加密算法分为对称密码算 法和公钥密码算法两种。对称密码算法中，收发双方使用相同的密钥。比较著名 的对称密码算法有：美国的d e s 、欧洲的i d e a 等。对称密码算法有保密强度高， 加密速度快的优点，但其密钥的分发则是一个比较复杂的问题。在公钥密码中， 收发双方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。比 分布式入侵榆测系统的髟 ，( 较著名的公钥密码算法有：e c c ，r s a 等，其中以r s a 算法应用最为广泛。 ( 2 ) 鉴别技术 鉴别技术可以验证消息的完整性，有效的对抗冒充、非法访问、重演等威胁。 按照鉴别对象的不同，鉴别技术可分为消息源鉴别和通信双方互相鉴别，按照鉴 别内容的不同，鉴别技术可分为用户身份鉴别和消息内容鉴别。鉴别的方法有很 多种，主要有通过用户标识和口令，报文鉴别，数字签名等方式。 ( 3 ) 访问控制技术 访问控制是从计算机系统的处理能力方面对信息提供保护机制，它按照事先 确定的规则决定主体对客体的访问是否合法。当一主体试图非法使用一个未经授 权的资源时，访问机制将拒绝这一企图，并将这一事件记录到系统目志中。访问 控制技术的主要任务是保证网络资源不被非法使用和访问，它是保证网络安全的 重要策略之一。 ( 4 ) 防火墙技术 防火墙就是一个或一组网络设备，其工作方式是将内联网络与因特网之间或 者与其他网络外联网络间互相隔离，通过加强访问控制，阻止区域外的用户对区 域内资源的非法访问。使用防火墙可以进行安全检查、记录网上安全事件，隐藏 用户地址等，在维护网络安全的过程中起着重要的作用。 ( 5 ) 反病毒技术 计算机病毒是一小段具有极强破坏性的恶意代码，它可以将自身纳入其它程 序中，以此来进行隐蔽、复制和传播，从而破坏用户的文件、数据甚至硬件。从 广义上讲，它还包括逻辑炸弹、特洛伊木马和系统陷阱等。计算机病毒的主要传 播途径有：文件传输、软盘拷贝、及电子邮件等。网络反病毒技术主要包括检测 病毒和杀除病毒。 虽然网络安全已经超越了纯技术领域，但网络安全技术仍然是解决网络安全 最重要的基础和研究方向。 1 1 4 网络安全新技术入侵检测系统 除了基于密码学的各种增强网络安全特性的手段如安全传输协议、数字签名、 数字验证、各神数据加密方式、安全代理等等，其它安全技术可归类为防御 ( p r o t e c t i o n ) 、检钡j j ( d e t e c t i o n ) 、响应( r e s p o n s e ) 和恢复( r e s t o r e ) 四个策略一j 。网络入 侵检测是检测领域的代表性研究方向，在某些具体应用场合，恢复和响应的某些 特性也被集成到了入侵检测中。同时，在对计算机网络犯罪行为举证的过程中， 入侵检测是不可缺的技术基础。进一步的研究表明，在今后的网络安全应用方案 中，以入侵检测系统为中枢、控制和协调其它各策略产品、有针对性的发挥其各 郑州人学工学硕士学位论卫 自最大的作用，将成为必然的组建趋势 任何试图非授权或越权访问计算机系统资源，或破坏资源的完整性、可信性 的行为，无论成功与否，都认为是入侵。入侵检测系统( i n t r u s i o n d e t e c t i o ns y s t e m ， 以下简称n 3 s ) 就是为了保证计算机系统的安全而设计与配置的一种能够及时发现 并报告系统中未授权或异常现象的系统，是一种用于检测计算机网络中违反安全 策略行为的系统。利用审计纪录，入侵检测系统能够识别出任何不希望有的活动， 从而达到限制这些活动，以保护系统的安全。入侵检测系统的应用，能使在入侵 攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统防止入侵攻击。 在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵 攻击的相关信息，作为防范系统的知识，添加到知识库内，以增强系统的防范能 力。 在计算机网络环境中，一个性能良好的入侵检测系统应具备有效性、可扩展 性和自适应性。从当前的技术情况看，建立一个有效的入侵检测系统是一项巨大 的知识工程。在收集到系统和网络的原始数据后，如何建立入侵检测模型，是入 侵检测领域的研究重点【) j 。当前的检测模型多是通过手工书写规则和其它特殊方 式实现的：在误用检测中，系统中的入侵检测规则是由安全专家通过手工编码提 供的；在异常检测中，审计数据特征和测度是根据模型创建者的经验和知识来选 择的。但由于开发过程是手工的，所以存在很大的特殊性，结果，当前多数入侵 检测系统只具有有限的有效性和适应性。 从以数据为中心的观点出发，入侵检测可以看作是一个数据分析的过程。异 常检测是从数据中标识出异常检测模式；误用检测是使用数据编码和匹配入侵模 式。鉴于此，分布式智能化入侵检测系统将误用检测和异常检测结合为一体，采 用数据挖掘技术实现基于内容的入侵检测。可以在各种特性上最大限度的满足入 侵检测系统的要求，当检测环境变化或许保护机器数量增减是检测系统不需要做 大的改动；或当出现新的攻击类型时系统能够有效的识别并自动扩充规则库，以 提高其扩展性和环境实用性。 1 2 课题描述及使用的方法 本课题所研究的问题是：以数据挖掘为工具，把数据挖掘应用于入侵检测系 统，对网络数据进行有效的分析处理，提出了一种描述正常的网络应用及用户行 为的方法，形成能够精确鉴别入侵模式和正常模式的计算模型。采用这种方法的 优点是： ( 1 ) 避免了对数据的人工分析和对入侵模式的人工编码过程( 人为参与) ； 分布式入侵检测系统的研笕 ( 2 ) 避免了建立正常用户轮廓时选择统计测度方面的猜测性。 课题中设计了一种具有自学习、自完善功能的分布式入侵监测模型，该模型 将入侵检测和实时响应分布化，组成入侵检测a g e n t ( i d a ) ，真正实现了分布式检 测的思想。采用这种方法的优点是： ( 1 ) 独立性强：i d a 是独立运行的程序实体，可以独立开发在放入具体运行 环境前，可以进行独立测试。 ( 2 ) 灵活性好：i d a 可以独立地启动和停止，也可以进行动态配置，而不影响 其他d a 的正常运行。 ( 3 ) 系统可扩充性好：无论是增加检测主机，还是在主机中增加i d a 都简单、 方便。 ( 4 ) 兼容性好：该模型可以既包含基于主机的i d a ，又包含基于网络的i d a ， 超越了传统入侵检测模型的界限。另外，由于i d a 是独立的，它们可以分别开发， 而且可以基于不同平台使用不同的语言开发，只要遵循统一的通信协议和通信格 式就可以了。 在模型中数据采集是进行检测和决策的基础，它的准确性、可靠性和效率盲 接影响到整个系统的性能。如果采集数据的延时太大，系统很可能在检测到攻击 的时候，入侵者已经长驱直入；如果数据不完整，系统的检测能力就会大打折扣； 如果数据本身不正确，系统就无法检测到某些攻击，造成的后果更加不堪设想。 由此可见数据采集机制的重要性。 在提出的模型中，数据采集系统使用了驻留内核的网络封包截获技术，并使 用了缓存队列对二进制流缓存；采用了分层模型，逐层对数据进行抽象，使数据 量减少，把主要的分析处理任务放在上层，并对收集到的网络数据进行分析，并 以标准g i d o 形式传送给规则生成系统和检测系统。 在规则生成系统中，将产生的事件序列提交给数据挖掘引擎进行证据发现， 并对发现的证据和已有规则间的相似性进行评估后由决策引擎做最终的裁决，并 据此维护规则库；检测系统对收到的网络事件进行实时分析，根据由规则库生成 的规则链表，对比已有规则，判断是否为入侵，并调用响应单元做出相应的反应。 1 3 本文所作的工作及论文的组织结构 论文中作者提出了一个分布式的智能化计算机入侵检测系统( d i s t r i b u t e d i n t e l l i g e n t i n t r u s i o n d e t e c t i o ns y s t e m ，d i i d s ) 的框架，该系统基于公共入侵检测框 架( c o m m o n i n t r u s i o n d e t e c t i o n f r a m e w o r k ，c i d f ) 和数据挖掘技术。c i d f 是套 规范，它定义了入侵检测系统表达检测信息的标准语言以及入侵检测系统组件之 郑州夫学一i 学坝士字位论卫 问的通信协议。符合c i d f 规范的入侵检测系统可以共享检测信息，相互通信，协 同工作，还可以与其它系统配合实施统一的配置响应和恢复策略。c i d f 的主要作 用在于集成各种入侵检测系统使之协同工作，实现入侵检测系统之间的组件重用， 所以c d f 也是构件分布式入侵检测系统的基础。i i d s 系统采用分布式结构，主 要由数据采集系统，协议分析系统、规则生成系统、实时检测系统、事件库和规 则库等6 部分组成。 其中，数据采集和协议分析系统，实时检测系统都支持分布式运行，组成入 侵检测a g e n t ( i d a ) ，而不是仅仅实现数据采集的分布式运行，真正实现了分布 式入侵检测。入侵检测模型的整体结构采用多a g e n t 结构，每个检测部件都是独 立的检测单元，尽量降低各检测部件间的相关性，从而实现了系统的独立性、适 应性、可扩充性和兼容性。 论文中作者主要对入侵检测系统中i d a 的数据采集和协议分析系统的设计和 实现进行了研究，主要完成网络中高速数据的采集和协议分析并将己分析的网络 数据以标准g i d o 形式传送给规则生成系统和实时检测系统，力图使这一部分具 有高效性和协议完备性，并具有良好可扩展性，以便能够适应网络技术迅速发展 的需要。 数据采集和协议分析系统使用了驻留内核的网络探测驱动程序，并使用了缓 存队列对二进制流缓存；在网络二进制流分析方面，利用接口函数进行处理。为 了消除速度瓶颈，采用了分层模型，逐层对数据进行抽象，使数据量减少，把主 要的分析处理任务放在上层。开发出的入侵检测数据采集系统能够满足监测高速、 大流量网络；低丢包率；实时转发数据的要求。 本论文是对作者所做工作的总结，全文共分六章。 第一章绪论。本章主要介绍了论文课题提出的背景及提出意义、课题的描述 及作者所做的工作和论文内容的组织。 第二章入侵检测技术及其发展。本章主要介绍了入侵检测系统的体系结构、 分析方法和发展情况，与此同时提出了当前入侵检测系统所存在的问题和发展方 向。在提出问题的同时，给出了本文所讨论的智能化入侵检测系统的优点。 第三章入侵检测系统基本原理。本章主要介绍了网络协议基础，常见的攻击 方法和原理，入侵检测系统的规范和标准。 第四章分布式入侵检测系统的体系结构。本章主要介绍了系统的功能和性 能，系统的基本体系结构。 第五章分布式入侵检测系统的详细设计和实现。本章主要介绍了系统的各个 功能模块的详细设计与使用的方法，重点是数据采集系统和协议分析系统。 第六章结束语。本章首先对作者所做的工作进行了总结，接着指出了未来研 究工作的重点和努力的方向。 2 1 入侵检测系统的历史 2 入侵检测概述 自从计算机问世以来，安全问题就一一直存在。特别是随着i n t e m e t 的迅速扩张 和电子商务的兴起，每年全球因计算机网络的安全系统被破坏而造成的经济损失 达数百亿美元。进入新世纪之后，上述损失估计达2 0 0 0 亿美元以上，这使人们发 现保护资源和数据的安全，让他免受恶意的入侵是件相当困难的事。提到网络安 全，很多人首先想到的是防火墙，防火墙作为一种静态的访问控制类安全产品通 常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的 访问请求屏蔽在外，但不能检查出经过他的合法流量中是否包含着恶意的入侵代 码。在这种需求背景下，入侵检测系统i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 应运而生。 从最早期的计算机安全开始，人们就密切关注恶意使用者破坏保护机制的可 能性。早期系统多为多用户批处理系统。这个时期，主要的威胁来自系统的合法 使用者，他们企图得到未经授权的材料。到了2 0 世纪7 0 年代，分时系统和其他 的多用户系统已成气候，w i l l i shw a r e 主持的计算机安全防御科学特别工作小组 提供了一项报告，为处理多级数据的计算机系统的发展奠定了基础。但这篇报告 并没有受到应有的重视，直到7 0 年代中期，人们才开始进行构建多级安全体系的 系统研究。 1 9 7 2 年，j a m e sp a n d e r s o n 在一项报告中提出：入侵检测系统( i d s ) 是将 电子数据处理、安全审计、模式匹配及统计技术等有机地融合在一起，通过分析 被检测系统的审计数据或直接从网络捕获数据，发现违背安全策略或危及系统安 全的行为和活动。本节主要讨论入侵和入侵检测技术从2 0 世纪7 0 年代初到今天 的发展历程。随后的3 0 多年中，概念本身几乎没有改变。 在1 9 7 7 年和1 9 7 8 年，美国国家标准局召开了有政府和商业e d p ( e l e c t r o n i c d a t a p r o c e s s i n g ，电予数据处理) 组织代表参加的会议，就当时的安全、审计和控 制的状况提出了报告。与此同时，军用系统中计算机的使用范围迅速扩大，美国 国防部出于对由此引发的安全问题的考虑，增加了计算机审计的详细程度并以此 作为一项安全机制。这个项目由j a m e sp a n d e r s o n 负责主持。他提出了一种对计 算机系统的风险和威胁的分类方法。 1 9 8 0 年4 月，j a m e sp a n d e r s o n 在为美国空军做的题为 c o m p u t e rs e c u r i t y t h r e a t m o n i t o r i n g a n ds u r v e i l l a n c e ) ) ( 计算机安全威胁监控与监视) 的技术报告中提 出必须改变现有的系统审计机制，以便为专职系统安全人员提供安全信息，该报 郑州大学工学硕士学 、z 沦文 告详细阐述了入侵检测的概念，并首先为入侵和入侵检测提出了一个统一的架构。 他在论文中给出了入侵和入侵检测技术方面的概念： ( 1 ) 、威胁( t h r e a t ) ：可能存在有预谋的、未经认可的尝试。 存取数据； 操控数据； 使系统不可靠或无法使用。 其中包括d o s ( d e n i a lo f s e r v i c e ) “拒绝服务攻击”。盗用计算资源也属于 这个类别之内 t ( 2 ) 、危险( r i s k ) ：意外的和不可预知的数据暴露，或者，由于硬件故障、 软件设计的不完整和不正确所造成的违反操作完整性的问题。 ( 3 ) 、脆弱性( v u l n e r a b i l i t y ) ：已知的或可疑的硬件或软件设计中的缺陷：使 系统暴露的操作；意外暴露自己信息的操作。 ( 4 ) 、攻击( a t t a c k ) ：实施威胁的明确的表达或行为。 ( 5 ) 、渗透入侵( p e n e t r a t i o n ) ：一个成功的攻击；( 未经认可的) 获得对文 件和程序的使用，或对计算机系统的控制。 此文被认为是有关i d s 的最早论述，是入侵检测的一个里程碑【。 从1 9 8 4 年到1 9 8 6 年，d o r o t h yd e n n i n g 和p e t e rn e u m a n n 研究并发展了一个 实时入侵检测系统模型，命名为i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ，入侵检 测专家系统) ，i d e s 采用异常检测和专家系统的混合结构。这是入侵检测的又一 个里程碑【。 2 2 什么是入侵检测系统 2 2 1 入侵检测系统的概念 入侵是指有关试图破坏资源的完整性、机密性及可用性的活动集合j 。从分 类角度来看入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服 务、恶意使用6 种类型p j 。 入侵检测( i n t r u s i o nd e t e c t i o n ) 就是对计算机和网络资源上的恶意使用行为进 行识别和相应的处理过程，帮助系统对付内部攻击和外部网络攻击的一种解决方 案。即采用预先主动的方式，对客户端和网络各层进行全面有效的自动检测，以 发现和避免被保护系统可能遭受的攻击和伤害，它不仅能检测来自外部的入侵行 为，同时也检测内部用户的未授权活动。入侵检测扩展了系统管理员的安全管理 能力，包括安全审计、监视、攻击识别和响应；提高了信息安全基础结构的完整 分布式 侵榆测系统的计t 性吼 入侵检测是建立在这样的假设基础卜的：破坏系统安全的行为有异于系统正 常应用模式，因此可以通过监视系统的审计记录而检测到。它从计算机系统或 计算机网络系统中的若干用受到保护或信息流集中的关键点收集信息，并分析这 些信息，检测本机和网络中是否有违反安全策略的行为和遭到袭击的迹象。基于 网络的入侵检测能在不影响网络性能的情况下列网络进行监测，从而在发生恶意 攻击或误操作时对系统进行实时保护。 传统的保护网络安全的方法有基于密码体制的一系列技术和其它的非密码体 制技术，这些技术在保护网络的安全中有不可替代的作用。但是各种安全技术都 有针对性，都是针对某个领域或某一方面进行的安全防护，而且上面提到的安全 技术都有共同的缺点，即被动性、静态的网络安全技术。入侵检测的安全机制与 传统的安全技术不同，它是一种动态的安全技术，入侵检测的动态性反映在入侵 检测的实时性、对网络环境的变化具有一定程度上的自适应性，这是以往的静态 安全技术所无法比拟的。入侵检测的基本思想并不是设法建立安全、可靠的计算 机系统或网络环境，而是采用对网络活动和系统用户信息的分析技术达到对用户 非法行为的检测、报警和预报的目的，进而由有关系统对非法行为进行控制，可 与传统的安全技术相结合达到比较理想的系统安全目的。 2 2 2 入侵检测系统的基本模型 入侵检测技术模型最早由d o r o t h y d e n n i n g 提出，如图2 1 所示 10 1 。目前 入侵检测技术及其体系均是在在此基础上的扩展和细化。 审计记录网络包应用程序记录 动态产生活动记录 图2 - 1d o r o t h yd e n n i n g 提出的入侵检测模型 f i g2 - 1i n t r u s i o nd e t e c t i o nm o d e lm e n t i o n e db yd o r o t h y d e r m i n g 依据c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ( c i d f 通用入侵检测框架) 给出 - 9 一 一 郑州火学 学碗，j 二学位论义 的入侵检测系统的一般模型，现有的i d s 可以划分为网个功能模块，它们是事件 产生器( e v e n tg e n e r a t o r s ( c 0 1 1 0 q u i a l l y “e b o x e s ”) ) ，事件分析器( e v e n t a n a l y z e r s ( ”a b o x e s ”) ) ，事件数据库( e v e n td a t a b a s e s ( “d - b o x e s ”) ) 和响应单元 ( r e s p o n s eu n i t s ( “r - b o x e s ”、) 。各组件之间通过消息传递进行通信。如图22 所示。 事件产生器( e v e n tg e n e r a t o r s ) ：收集入侵检测事件，并以标准格式向i d s 其 他部件提供事件，是i d s 的信息源。事件包含的范围很广泛，既呵以是底层网络 活动，还可以是其它系统调用等信息，从中可分析出入侵的迹象。事件的质量与 数量对i d s 性能的影响极大，决定这两个参数的是事件产生器的响应速度与事件 采集方式。 事件分析器( e v e n ta n a l y z e r s ) ：对输入的事件进行分析以检测是否构成入侵。 许多i d s 的研究都集中于如何提高入侵检测的能力，包括提高已知入侵识别的准 确性以及提高发现未知入侵的概率。 事件数据库( e v e n td a t a b a s e ) ：事件产生器和事件分析器产生大量的数据，这 些数据必须被妥善地存储，以备将来的使用。事件数据库的功能就是存储和管理 这些数据，用于i d s 的训练和保存证据。 响应器( r e s p o n s eu n i t s ) ：根据检测到的入侵类型发出相应的响应，包括向管 理员发出警告，切断入侵连接，杀死进程、改变文件权限、根除入侵者留下的后 门以及数据恢复等。 图2 - 2 入侵检测系统的c i d f 模型 f i g 2 - 1c o m m o n i n t r u s i o nd e t e c t i o nm o d e l 2 2 3 入侵检测系统的工作流程 入侵检测一般分为四步完成：事件产生器进行数据收集，事件分析器对收集 到的信息进行分析，保存事件，对事件做出响应。 2 23 1 事件产生器进行数据收集 分布式人侵榆栅系统的f | | ，l 入侵检测的第一步是数据收集，内容包括系统、网络、数据及用户活动的状 态和行为。而且，需要在计算机网络系统中的若干不同关键点( 不同网段和不同主 机) 收集数据，这除了尽可能扩大检测范围的因素外，还有一个重要的冈素就是从 一个信息来源获得的数据有可能看不出疑点，但从几个信息来源获得的信息的不 一致性却是可疑行为或入侵的最好标识，也就是说入侵行为有可能是分布式的。 入侵检测系统可以利用的信息源主要有以下几个方面1 ： ( 1 ) 基于主机的信息源 基于主机的信息来源由操作系统审计跟踪和记录系统及应用事件的系统f l 志 文件组成。系统审计跟踪记录了系统的活动信息、这些活动发生的时间，并存放 在同志文件中。这些记录包括操作系统在核心级和用户级的活动记录。大多数记 录包括了进程初始事件的信息，如与事件相关的用户d ，有时除了原来用户i d ， 还包括当前用户d 。内核级系统调用包括了调用的参数和返回值，反之，用户级 系统调用包含了事件的高级描述或是具体应用数据。 ( 2 ) 基于网络的信息源 基于网络的信息源是最被关注的信息来源，凡是流经网络的数据流都可以被 利用作为入侵检测系统的信息源，其涉及的范围也最广。在基于网络的入侵检测 系统中，信息通过在网络段上传输的网络通信流采集。 ( 3 ) 来自其它安全产品的信息源 如防火墙、身份认证系统、访问控制系统和网络管理系统等产生的审计记录 和通知消息等。这些都包含了定义上属于安全意义的信息，它们因此对入侵检测 处理具有特殊的价值。这些日志作为信息源，可成为提高入侵检测处理质量的一 个重要途径。 2 2 3 2 事件分析器对收集到的信息进行分析 对事件产生器收集到的有关系统、网络状态和行为等信息，事件分析器常用 的分析方法有误用检测与异常检测两种【l u ： ( 1 ) 误用检测型( m i s u s ed e t e c t i o n ) ：也称滥用检测型，通过提取收集到的 信息的特征，与己知攻击手段及系统漏洞特征库对比，来判断系统中是否有入侵 发生。具体说就是根据静态的预先定好的网络入侵和系统误用特征规则库来过滤 网络中的数据流，一旦发现数据包提取的特征与某个库中已有的攻击模式匹配， 则认为是一次入侵。该方法的一大优点是只需收集相关的数据集合，显著减少了 系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和 效率都相当高。但是，该方法存在的弱点是需要不断的升级入侵模式规则库，以 对付不断出现的黑客攻击方式。也就是说，它不能检测到从未出现过的黑客攻击 手段。 ( 2 ) 异常检测型( a n o m a l yd e t e c t i o n ) ：利用统计的方法来检测系统的异常行 郊，i , i 大学l 掌碗士学位论文 3 ：( a n o m a l y ) 。首先定义检测假设：任何一种对系统的入侵和误操作都会导致系统 异常，这样对入侵的检测就可以归结到对系统异常的检测。检测原理： 首先，为系统中存在的主体和对象( 如用户、工作组、c p u 负载、磁盘和 内存使用情况、网络的连接频度、单个用户的进程数量等) 定义相应的统计描述， 统计正常使用时的一些测量属性( 如访问次数、操作失败次数和延时等) 。通过观 察历史数据或一段时间的自学习，为每个统计量定义一个基值( 如期望) 表示正常状 态； 根据这些统计量，并通过一定的判定规则界定这些统计指标正常的波动范 围，从而利用统计方法建立系统正常运行时的轮廓模型( p r o f i l e m o d e l ) 当系统活动时，会不断计算这些统计量并与轮廓模型比较，一旦偏移量超 过了界定的范围，就认为系统发生了异常，系统可能受到了入侵。 例如，如果检测系统发现单位局域网中一个在晚八点至早六点不应登录的帐 户却在凌晨两点试图登录，那么统计分析可能把这种操作标识一个不正常行为， 认为是一次入侵。这种方法的优点是可检测到未知的入侵和更为复杂的入侵，缺 点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法 如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研 究热点和迅速发展之中。 第一种方法对于已知的攻击类型非常有效，但对攻击的变形和新的攻击方式 几乎无能为力( 这是现正在需深入研究的地方，用到许多模糊识别、知识工程的数 学方法来提高检测系统的自我学习能力和识别能力) 。第二种方法可以弥补第一种 方法中遗漏缺陷，但是它会造成一定的误报。通常的i d s 系统都结合这两类方法