（计算机应用技术专业论文）分布式入侵检测系统peer+ids的研究与优化.pdf

摘要 摘要 随着网络应用范围的不断扩大，网络信息安全正日益得到人们的关注。作 为一种能够自动、实时地保障网络信息安全的动态安全设备，入侵检测系统成 为防火墙一类静态安全设备的必要补充，已越来越受到人们的重视。而分布式 入侵检测系统是其中的研究前沿之一。 本文首先对当前分布式入侵检测系统的发展现状、趋势、现存问题等进行 了分析，并对近年来提出的基于对等模型( p e e r t o p e e r ) 的一种分布式网络 入侵检测系统叫e e ri d s 进行了研究。在详细分析其工作原理的基础上，讨论 了其原型系统存在的若干不足，进而给出了优化系统性能的相应策略。最后根 据优化后的模型，建立了基于s n o r t 的p e e ri d s 实例，并针对p e e ri d s 共享协同 等特点，设计和实现了能够在p e e ri d s 实例间实现协同检测、共享入侵检测信 息和交换入侵检测功能子集的协同入侵检测模块。 本文的主要特色和创新之处在于： ( 1 ) 针对现有p e e ri d s 模型的若干不足，提出了优化系统性能的相应策略； ( 2 ) 在现有p e e ri d s 模型的理论基础上，使用s n o r t 等开源软件，建立了 基于s n o r t 的p e e r i d s 实例； ( 3 ) 设计和实现了能够实现p e e ri d s 实例间协同检测，共享入侵检测信息 和交换入侵检测功能自己的协同入侵检测模块。 关键词：入侵检测；分布式系统；点到点对等网；p e e ri d s ；s n o r t a b s t r a c t a b s t r a c t w i t ht h es c a l eo fn e t w o r kc o n t i n u o u s l ye x p a n d i n g ，t h es e c u r i t yo ft h en e t w o r ki s d r a w i n gp e o p l e sa t t e n t i o nd a yb yd a y a sad y n a m i cs e c u r i t ye q u i p m e n tt h a tc a n g u a r a n t e ei n f o r m a t i o ns e c u r i t yo ft h en e t w o r k sa u t o m a t i c a l l yo nr e a lt i m e ，i d sh a s b e c o m et h ee s s e n t i a ls u p p l e m e n to ft h es t a t i cs e c u r i t ye q u i p m e n t ss u c ha sf i r e w a l l ， w h i c hw a sp a i dm o r ea n dm o r ea t t e n t i o nt o a n dt h ed i s t f i b u t e di n t r u s i o nd e t e c t i o n s y s t e m ( d i d s ) i so n eo ft h ea d v a n c e df i e l di nt h er e s e a r c h t h ec u r r e n td e v e l o p m e n ts i t u a t i o n ，t r e n d sa n dt h ee x i s t i n gp r o b l e m so fi n t r u s i o n d e t e c t i o nt e c h n o l o g ya n dd i s t r i b u t e dn e t w o r ki n t r u s i o nd e t e c t i o ns y s t e mw e r e f i r s t l ya n a l y z e d t h e ns o m er e s e a r c h e so nad i s t r i b u t e dn e t w o r ki n t r u s i o nd e t e c t i o n s y s t e mn a m e dp e e d d sb a s e do np e e r t b p e e rp r i n c i p l ew h i c hw a sp r o p o s e d r e c e n t l yw e r ed o n e b a s e do na n a l y z i n gp e e r l d s sp r i n c i p l e s ，t h i sp a p e rm a i n l y d i s c u s sa b o u ts e v e r a li n s u f f i c i e n c yo fe x i s ts y s t e m f u r t h e r m o r e ，c o r r e s p o n d i n g s t r a t e g i e sa r ep r o p o s e dt oo p t i m i z ep e r f o r m a n c eo fs y s t e m f i n a l l y , a c c o r d i n gt ot h e e x i s t i n gm o d e l ，p e e r l d si n s t a n c e sb a s e do ns n o r tw a sb u i l tu p ；a i m e dt ot h es h a r i n g c o o r d i n a t ec h a r a c t e r i s t i c so fp e e r i d s ，ac o o r d i n a t ei n t r u s i o nd e t e c t i o nm o d e l ，w h i c h c a l ls a t i s f yc o o r d i n a t ed e t e c t ，s h a r et h ei n t r u s i o nd e t e c t i o ni n f o r m a t i o na n de x c h a n g e t h es u b s e t sw i t hi n t r u s i o nd e t e c t i o nf u n c t i o nb e t w e e nt h ed i f f e r e n tp e e ri d si n s t a n c e s w a sd e s i g n e da n di m p l e m e n t e d 1 1 1 em a i nc h a r a c t e r i s t i ca n di n n o v a t i o no ft h ea r t i c l ei sb e l o w ： ( 1 ) ac o r r e s p o n d i n gi m p r o v e ds t r a t e g yt h a tc a l ls o l v et h ew e a kp o i n t so f e x i s t i n gp e e r l d sm o d e lw a sp r o p o s e d ； ( 2 ) a ni n t r u s i o nd e t e c t i o ni n s t a n c ew a sb u i l tu pb yu s i n gt h ee x i a i n go p e n s o f t w a r es u c ha ss n o r t ，w h i c hw a sb a s e do nt h ee x i a i n gt h e o r yo fp e e r i d sm o d e l ； ( 3 ) ac o o r d i n a t ei n t r u s i o nd e t e c t i o nm o d e lt h a tc a l la c h i e v et h ec o o r d i n a t e d e t e c t i o nb e t w e e np e e r l d si n s t a n c e s ，s h a r et h ei n t r u s i o nd e t e c t i o ni n f o r m a t i o na n d e x c h a n g ei n t r u s i o nd e t e c t i o nf u n c t i o nw a sd e s i g n e da n di m p l e m e n t e d k e y w o r d s ：i d s ；d i s t r i b u t e ds y s t e m ；p e e r l d s ；s n o r t i i i 学位论文独创性声明 学位论文独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得南昌大学或其他教育 机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名( 掏：客阳 签字日期： 矗年f 参月j ；日 学位论文版权使用授权书 本学位论文作者完全了解南昌大学有关保留、使用学位论文的规定，有权 保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借 阅。本人授权南昌文学可以将学位论文的全部或部分内容编入有关数据库进行 检索，可以采用影印、缩印或扫描等复制手段保存、汇编本学位论文。同时授 权中国科学技术信息研究所将本学位论文收录到中国学位论文全文数据库， 并通过网络向社会公众提供信息服务。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名( 手写) ： 州彳 辩醐：擀p 月刁日 导师签名( 手写) ：刁射 婵醐：一嗍1 日 第1 章引言 第1 章引言 由于网络系统固有的开放性，网络协议自身存在的安全漏洞、各种软件的 不完善等不安全因素，计算机网络在为人们的工作和生活带来极大便利的同时， 其安全问题也备受关注。 据统计，全世界每年由于网络安全问题而遭受的经济损失达数百亿美元。 根据中国国家计算机网络应急技术处理协调中心( c n c e r t c c ) ( 2 0 0 7 年网络 安全工作报告显示：2 0 0 7 年，我国公共互联网网络信息系统存在的安全漏洞 和隐患层出不穷，利益驱使下的地下黑客产业继续发展，网络攻击的种类和数 量成倍增长，终端用户和互联网企业是主要的受害者，基础网络和重要信息系 统i c i 面临着严峻的安全威胁。2 0 0 7 年各种网络安全事件与2 0 0 6 年相比都有显 著增加。c n c e r t c c 接收的网络仿冒事件和网页恶意代码事件成倍增长，分别 超出去年总数的近1 4 倍和2 6 倍。2 0 0 7 年c n c e r t c c 抽样监测发现感染僵尸 程序的境外主机数达6 2 3 万个，其中我国大陆有3 6 2 万个i p 地址的主机被植入 僵尸程序，并有1 万多个境外控制服务器对我国大陆地区的主机进行控制。【1 2 j 因此，网络安全在信息社会中扮演着极为重要的角色，直接关系国家安全、 企业经营和人们的日常生活。大力发展网络安全技术，具有非常重要的现实意 义。 1 1 研究背景 网络安全是一个包含内容很广泛的技术领域，在该领域中，最重要而且是 最常用的有以下三个技术方面：防火墙技术、入侵检测技术以及防病毒技术。 入侵检测技术以对付网络攻击，保护我们的计算机系统资源为主要目的， 近年来发展迅速。国外已经开发出了一些商业入侵检测系统，例如运行于 w i n d o w s 系统上的r e a l s e c u r e ( i s s 公司) ，n e t p r o w l e r ( a x e n t 公司) 和运行于 u n i x 系统上的n f r ( n f r 公司) ) ，n e t r a n g e r ( c i s c o 公司) 等等。虽然国内 在这方面的研究还很滞后，还没有比较成熟的商业入侵检测系统，但也在蓬勃 发展，并且己经成为信息安全领域的一个研究热点。 目前，传统集中式入侵检测系统由于固有的缺陷，已经不能适应目前的网 络环境，尤其是在大规模高速网络环境下，面对分布式协同攻击时，它已显得 第1 章引言 力不从心。这使得分布式入侵检测系统的研究和实现应运而生。其中，将p 2 p 技术与分布式入侵检测相结合是近年来提出一种研究思路。 将p 2 p 技术运用于分布式入侵检测系统之上，能使得每一台接入网络的计 算机都可以成为入侵检测系统的一部分：与其它对等计算机一起承担入侵检测 工作，共享检测结果，共同防范网络入侵，可以有效地增强系统的入侵检测性 能，提高系统的可靠性和可伸缩性。基于这一思想，国内外均有研究学者提出 了自己的模型系统，如r a m a p r a b h uj a n a k i r a m a n 提出的i n d r a 系统，金舒、刘凤 玉等提出的p e e r l d s 系统等等。从研究成果来看，现有模型系统都存在尚待充分 研究和完善的地方。 1 2 课题来源 本课题来源于导师主持的课题“通信网综合化集中维护系统 。为了使该系 统能在一个安全可靠的环境下运行工作，需要采用入侵检测技术来检测和防范 网络攻击。本课题主要研究任务是，对基于对等模型( p e e r t o p e e r ) 的分布 式网络入侵检测系统p e e ri d s 进行研究和优化，属于理论与应用相结合的研究 课题。 1 3 研究现状及课题意义 入侵检测系统作为防火墙之后的第二道安全闸门，可以在不影响系统或网 络性能的情况下对其进行实时的监测，从而保护连网计算机系统不受到来自内 部或外部安全入侵的破坏。目前，几乎所有的入侵检测系统都基于异常检测模 型、误用检测模型或两者的结合。在入侵检测中应用的主要误用检测技术有专 家系统、状态迁移分析、模型推理、模式匹配；而主要的异常检测技术有神经 网络，数据挖掘，概率统计等。经过近年的发展，已经涌现出诸如n f r 公司的 n i d 、i i s 公司的r e a l s e c u r e 、c i s c o 公司的c i s c os e c u r ei d s 等成熟的商业入侵 检测系统，同时一些非商业的入侵检测系统如s r i 的n i d e s 、e m e r a l d 、开 放源代码的s n o r t 等也得到了很好地应用。 虽然入侵检测系统研究当前取得许多成果，但随着网络攻击行为的日益复 杂化，传统的单机入侵检测系统很难在一个较高的层次上检测出由多个入侵者 协同发动的攻击，将入侵检测工作分布化就成为一种自然的解决方案。分布式 2 第1 章引言 的入侵检测系统在提供较高的可靠性的同时通常还具有很好的扩展性，可以增 量式地对其入侵检测能力进行提高。通过为分布式的入侵检测模块提供足够的 智能，可以使其通过相互间自动进行的协作来完成各个层次上的入侵检测工作， 并减少对用户干预的依赖。近年来，人们已经提出了若干种分布式入侵检测系 统方案，它们都可以获得强大的计算能力与高可扩展性，有效提高系统的可靠 性和减轻单点失效问题。但它们仍然存在着一些重要的不足，例如系统配置的 复杂性，控制中心的单点失效问题等。 对等网络( p e e r - t o p e e r ，简称p 2 p ) 是一种新型的分布式计算模式。在p 2 p 网络中，每台连网的计算机( 一个p e e r ) 都独立地运行，各p e e r 间只须传递 一些控制信息，对等主机各自独立工作并平等地通信，能够有效共享资源和协 同合作。因此将p 2 p 技术运用到入侵检测系统中，构成p e e ri d s 系统，可以有 效地解决上述问题。当前将p 2 p 技术应用于入侵检测系统当前尚未得到充分的 研究。因此，本课题的研究具有一定的理论意义和较强的实用价值。 1 4 本文主要工作 ( 1 ) 深入研究了入侵检测系统的相关技术原理，主要包括：基本概念、体 系结构、检测技术及现有的入侵检测方法。 ( 2 ) 研究p 2 p 技术与分布式入侵检测系统有机结合所具有的特色，并以此 为基础对当前p e e ri d s 模型的解决方案中的优缺点进行分析，提出了对其进行 优化的思路。 ( 3 ) 以现有p e e ri d s 系统模型理论为基础，采用开源软件搭建了一个小型 的分布式入侵检测系统，并进行了性能测试和分析。 ( 4 ) 在现有p e e ri d s 系统的基础上，设计并实现p e e ri d s 实例间的报警消 息和入侵检测规则共享。并在资源共享同时提供了信息加密。 1 5 论文组织结构 本文章节安排如下： 第一章：引言 介绍了网络安全现状，课题的研究背景、来源、现状及研究意义，以及本 文所完成的主要工作。 3 第1 章引言 第二章：入侵检测概述 主要介绍了入侵检测系统的基本理论及技术，包括：入侵检测模型的发展 历史，入侵检测的建模，入侵检测系统的分类，入侵检测技术。 第三章：基于p 2 p 的分布i d s 分析 介绍了对等入侵检测系统模型p e e ri d s 的设计思想和结构组成，在详细分 析其工作原理的基础上，讨论了其原型系统存在的若干不足，并针对其不足之 处提出了改进方案。 第四章：优化的p e e ri d s 设计与实现 在现有p e e ri d s 模型的理论基础上，建立了基于s n o r t 的p e e ri d s 实例，并 设计和实现了协同入侵检测模块。最后，给出了有关测试方案、测试结果及对 测试结果的讨论。 第五章：总结与展望 对课题所做的研究工作进行总结，指出了继续努力的方面。 4 第2 章入侵检测概述 第2 章入侵检测概述 2 1 入侵检测系统 2 1 1 基本概念 入侵检测是指用于检测任何损害或企图损害系统的保密性、完整性或可用 性行为的一种网络安全技术。作为一门事后检测的安全技术，入侵检测以其对 网络系统实时监测和快速响应的特性，逐渐发展成为保障网络系统安全的关健 部分。 入侵检测系统( i d s ) 是指执行入侵检测工作的硬件或软件产品。i d s 从多 种计算机系统及网络中搜集信息，在从这些信息中分析入侵及误用特征；其中 入侵指由系统外部发起的攻击；误用指由系统内部发起的攻击。所有的i d s 的 本质都是基于分析一系列离散的、按先后顺序发生的事件，这些事件用于误用 模式进行匹配，入侵检测源都是连接的记录，他们反映了特定的操作，间接反 映了运转状态。i d s 一般包括三部分：信息的搜集和预处理、入侵检测分析引擎 以及响应和恢复系统。 2 1 2 主要作用 一个安全的计算机信息系统至少需要满足以下三个要求，即数据的机密性 ( c o n f i d e n t i a l l y ) 、完整性( ( i n t e g r i t y ) 和服务的可用性( a v a i l a b i l i t y ) 。机密性 是指信息在存储和传输的过程中，仅能被其所有者或由其授权的用户所访问， 而不会被其他用户得知其内容。各种数据加密技术及由之而产生的密码、用户 认证等技术都可以很好地保护信息系统中用户数据的机密性。信息系统的数据 完整性是指数据在传输和存储的过程中不会被非授权用户更改、删除和重发。 基于多种散列函数如m d 5 ，s h a 的报文鉴别手段，可以让数据的访问者轻易 地判断出某段信息是否曾被其所有者外的人员非法篡改过，从而保护其数据完 整性。信息系统的可用性是指其能够持续可靠地为合法用户提供服务的能力。 当前，对提高信息系统可用性进行的努力，主要集中在提高计算机软硬件系统 的性能及可靠性上。 虽然已经有相当多的成熟技术被应用于增强计算机系统的安全性，但随着 5 第2 章入侵检测概述 新应用特别是基于i n t e m e t 的新服务的层出不穷，这些传统的静态安全保障技术 的有效性正受到日益严峻的挑战；由于信息安全知识的缺乏及管理上的松懈， 再加上没有受过相关信息安全教育的用户数量的激增，各组织中计算机用户的 密码通常设置得并不安全，简单的字典攻击就可以成功地破获相当一部分用户 的密码，高强度的密码体系常常形同虚设：有效的报文鉴别技术如m d 5 算法， 并没有在广大普通计算机用户中得到广泛使用，加上来自组织内部合法用户的 攻击行为，计算机网络中所传输的信息的完整性通常也很成问题；拒绝服务攻 击( ( d o s ) ，特别是由众多攻击者协同发动的分布式拒绝服务攻击( d d o s ) ，由 于其攻击时所带来的巨大的数据流量，可以轻易地使被攻击的网络服务器软硬 件系统过载，从而丧失服务能力，极大地威胁着信息系统的可用性：软件工程 作为一门独立的学科，其历史仅有三十余年，还很不成熟。对软件质量的保证 还主要依靠从业人员的经验，并没有一整套完善有效的保障体系。随着新应用 数量上的迅速增加及其复杂度的不断提高，更多的可能被黑客所利用的软件漏 洞正不可避免地被注入到新开发的应用软件之中。 作为一种动态地保证计算机系统中信息资源的机密性、完整性与可用性的 安全技术，入侵检测系统能够通过对( 网络) 系统的运行状态进行监视来发现 各种攻击企图、攻击行为或攻击的结果。入侵检测系统具有比各类防火墙系统 更高的智能，并可以对由用户局域网内部发动的攻击进行检测。同时，入侵检 测系统可以有效地识别攻击者对各种系统安全漏洞进行利用的尝试，从而在破 坏形成之前对其进行阻止。将系统工作的实时状态纳入其监测的范围之后，入 侵检测系统还可以通过识别其异常来有效地检测出未知种类的入侵。由于上述 特性，入侵检测系统己经成为网络安全机制中的一个不可或缺的重要组成部分。 2 1 3 系统分类 2 1 3 1 基于检测数据源 按获得原始数据的方法可以将入侵检测系统分为基于网络的入侵检测和基 于主机的入侵检测系统【1 8 】。 ( 1 ) 基于主机的入侵检测系统 通常，基于主机的i d s 可以监视系统、事件和w i n d o wn t 下的安全记录以 及u n i x 环境下的系统记录。当文件发生变化时ii d s 将新的记录条目与攻击标 6 第2 章入侵检测概述 记相比较，看它们是否匹配。如果匹配，系统就报警。 尽管基于主机的入侵检测系统不如基于网络的入侵检测系统快捷，但它确 实具有基于网络的系统无法比拟的优点。这些优点包括： 1 ) 性能价格比高。在主机数量较少的情况下，这种方法的性能价格比可能 更高。 2 ) 更加细腻。这种方法可以很容易地监测一些活动，如对敏感文件、目录、 程序或端口的存取，而这些活动很难在基于网络地系统中被发现。 3 ) 视野集中。一旦入侵者得到了一个主机的用户名和口令，基于主机的代 理是最有可能区分j 下常的活动和非法的活动的。 4 ) 易于用户剪裁。每一个主机有其自己的代理，当然用户裁剪更方便了。 5 ) 较少的主机。基于主机的方法有时不需要增加专门的硬件平台。 6 ) 对网络流量不敏感。用代理的方式一般不会因为网络流量的增加而丢掉 对网络行为的监视。 7 ) 适用于被加密的以及交换的环境。基于主机的入侵检测系统安装在所需 的重要主机上，在交换的环境中具有更高的能见度。 不过，基于主机的入侵检测系统也有较多的弱点：它要安装在需要保护的 设备上，这会降低应用系统的效率，也会带来一些额外的安全问题；它依赖于 服务器固有的日志与监视能力；全面布署主机入侵检测系统代价较大；它只监 视自身的主机，根本不检测网络上的情况，对入侵行为的分析的工作量将随着 主机数目增加而增加。 ( 2 ) 基于网络的入侵检测系统 基于网络入侵检测系统使用原始网络数据包作为数据源。基于网络的i d s 通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所 有通信业务。它的攻击辨识模块通常适用四种常用技术来识别：模式、表达式 或字节匹配；频率或穿越阈值；次要事件的相关性；统计学意义上的非常规现 象检测。一旦检测到了攻击行为，i d s 的响应模块就提供多种选项以通知、报警 并对攻击采取响应的反应。反应因产品而异，但通常都包括通知管理员、中断 连接，并且为证据收集而做的会话记录。 基于网络的i d s 有许多仅靠基于主机的入侵检测无法提供的功能，它具有 以下主要优点： 1 ) 侦测速度快。它通常能在微秒或秒级发现问题。 7 第2 章入侵检测概述 2 ) 隐蔽性好。一个网络上的监测器不像一个主机那样显眼和易被存取，因 而也不那么容易遭受攻击。它不运行其他的应用程序，不提供网络服务，可以 不响应其他计算机，因此可以做到比较安全。 3 ) 视野更宽。它甚至可以在网络边缘上，即攻击者还没能接入网络时就被 发现并制止。 4 ) 需要较少的监视器。由于使用一个监测器就可以保护一个共享的网段， 所以不需要很多的监测器。 5 ) 攻击者不易转换证据。基于网络的i d s 使用正在发生的网络通讯进行实 时攻击的检测，所以攻击者无法转移证据。被捕获的数据不仅包括攻击的方法， 而且还包括可识别黑客身份和对其进行起诉的消息。 6 ) 操作系统无关性。基于网络的i d s 作为安全监测资源，与主机的操作系 统无关。 7 ) 占用资源少。在被保护的设备上不用占任何资源。 2 1 3 2 基于数据分析技术 根据所采样的数据进行分析( 检测方法) 的角度的不同，可以将入侵检测 系统分为异常入侵检测和误用入侵检测两类【2 1 】： ( 1 ) 异常检测模型 这种模型的特点是首先总结正常操作应该具有的特征，在得出正常操作的 模型之后，对后续的操作进行监视。一旦发现偏离正常统计学意义上的操作模 式，立即进行报警。由于这种方法是基于正常操作的，通常正常操作模型是历 史记录得来的，所以经常不能包含所有的用户正常模型，因此误检率比较高。 ( 2 ) 误用检测模型 这种模型的特点是收集非正常操作也就是入侵行为的特征。建立相关的特 征库，在后续的检测过程中，将收集到的数据与特征库中的特征代码进行比较。 得出是否入侵的结论所以几乎没有误警。但是，由于这种检测是基于非正常的 操作模型，如果出现了非正常操作集中没有包括的攻击，误用检测就无能为力 了，这就造成了漏警。 8 第2 章入侵检测概述 2 1 3 3 基于体系结构 入侵检测系统的体系结构指其各个组成部件在网络上的分布及它们之间的 相互关系。根据所实现的体系结构的不同，入侵检测系统主要可以分为两类， 即集中式入侵检测系统与分布式入侵检测系统。其中分布式体系结构还可进一 步细分为层次式、协作式和对等式。l l 】 ( 1 ) 集中式。入侵检测系统中的数据收集、分析、响应等各个模块都集中运 行在一台网络主机上。由于结构简单且易于安装和布置，集中式i d s 可以很好 地适用于网络环境比较简单的情况。但随着网络规模的扩大及数据流量的激增， 用单台计算机执行全部的入侵检测工作往往会不堪重负。同时，集中式i d s 也 面临着单点失效的问题，即一旦其自身受到攻击而停止工作，则整个网络系统 将处于危险之中。 ( 2 ) 分布式。入侵检测系统通过将数据收集和部分数据分析功能分布地运行 在网络中的不同主机上，从而在很大程度上解决了集中式入侵检测系统处理能 力有限及容易单点失效的缺点。现有的众多分布式入侵检测系统可以细分为下 面这三种类型： 1 ) 层次式i d s 。采用该种结构的分布式i d s 将数据收集的工作分布在整个 网络中。这些传感器作为整个入侵检测工作的底层，其所获取的数据将被送至 高一层的分布式数据分析模块，在进行简单的分析处理后，各数据分析模块再 将这些初步结果送交全局的分析机构进行决策以对网络系统是否遭受入侵进行 判定。层次式i d s 的主要问题是不能很好地适应网络拓扑结构的变化，较难布 置，而且上层的入侵检测模块若受到攻击则其入侵检测的有效性将大大地降低。 2 ) 协作式i d s 。较之层次式i d s ，典型的协作式i d s 的各分布数据分析模 块因为可以相对独立地进行决策，而具有更大的自主性。但是由于整个分布式 入侵检测系统仍由一个统一的中央控制机制进行协调，单点失效的风险依然存 在。 3 ) 对等式i d s 。对等模型的应用使得分布式入侵检测系统真正避免了单点 失效的发生。由于各模块地位、作用完全平等，可以通过对其数目进行控制来 提供所需的入侵检测处理能力，整个系统因而具有很好的伸缩性。对等式i d s 主要面临的问题是i d s 同伴间的通讯交互相对比较复杂。 另外，根据数据分析发生的时间不同，入侵检测系统还可以分为脱机分析 9 第2 章入侵检测概述 和联机分析。 2 1 4 发展趋势 ( 1 ) 体系结构演进 随着网络应用系统的复杂化、大型化与入侵的协同化，入侵检测系统则由 集中向分布发展，i d s 之间通过共享信息，协同检测复杂的入侵行为。而现代网 络技术的发展要求i d s 能够处理海量数据，因而高性能检测与高效算法将成为 研究热点，高性能并行与分布式协同计算技术将用于入侵检测领域。网格计算 的动态共享性、多域集成性对当前的分布式入侵检测体系结构带来巨大冲击， 以网格计算等复杂系统为检测目标的入侵检测体系结构将是未来l o 年研究的一 个难点与热点。 ( 2 ) 技术集成演进 即使i d s 能够高精度、高性能、高效率地识别并记录攻击，但是准确而有 效地响应检测是一个难点，况且当前的i d s 误警与漏警造成与之联动的防火墙 无从下手。要解决网络安全需求，入侵检测系统将逐渐与弱点检查、防火墙、 应急响应等系统融合，形成一个具有互操作性强的综合信息安全保障系统。鉴 于以入侵检测为中心的综合安全保障系统可使安全保护更加智能与安全，将这 种安全保障系统引入新一代应用系统是未来的一个重点研究方向。 ( 3 ) 互操作性演进 标准化有利于不同类型i d s 之间数据、信息与协议等互操作及i d s 与其它 类别系统之间的互操作。i e t f 的入侵检测工作组己制定了入侵检测消息交换格 式( ( i d m e f ) 、入侵检测交换协议( ( i d x p ) 、入侵报警( l 钟) 等标准，以适 应入侵检测系统之间安全数据交换的需要。目前，这些标准协议得到s i l i c o n d e f e n s e 、d e f c o m 、u c s b 等不同组织的支持，而且按照标准的规定进行实现。入 侵检测系统的分布化、安全集成化，将促进产品之间的互操作性的研究，互操 作将是下一代i d s 的发展方向。 ( 4 ) 技术评估演迸 1 9 9 8 年，l i n c o l n 实验室研究了离线环境下i d s 性能评估工具，并开发了i d s 评估基准数据；i b m 公司的z u r i c h 实验室也研究了一套i d s 测评工具；c o h e n 博士从理论上探讨了攻击入侵检测系统的若干方法；骇客组织也研究入侵检测 系统攻击技术和评估方法，包括著名的反i d s 工具s n o r t 、s t i 文、 f r a g r o u t e r 、 1 0 第2 章入侵检测概述 w h i s k e 、n i d s b e n c h 等。目前，i d s 评估还没有工业标准可以参考，能够很好地 保护自身的安全。未来，对于攻击技术与评估方法的研究也将是开发入侵检测 系统的一个热点。 ( 5 ) 协议检测演进 网络入侵检测系统处理加密的会话过程比较困难，虽然目前通过加密通道 的攻击尚不多，但随着i p v 6 的普及，这个问题会越来越突出。i p v 6 是针对i p v 4 地址空间有限与安全性不够而提出的，随着i p v 6 应用范围的扩展，入侵检测系 统支持i p v 6 将是一大发展趋势。1 6 2 2 分布式入侵检测 2 2 1 引入 在8 0 年代末，针对网络系统的攻击方式还仅限于窃取口令和利用己知的系 统漏洞。到了今天，网络攻击已发展为囊括了暴力攻击( b r u t ef o r c e ) 、网络窃 听( s n i f f e r ) 、源代码分析、i p 伪装( i ps p o o f ) 、拒绝服务攻击( d o s ) 、网络扫 描( s c a n n i n g ) 、分布式攻击( d i s t r i b u t e d a t t a c k ) 、分布式拒绝服务( d i s t r i b u t e d d e n i a lo fs e r v i c e ，d d o s ) 、利用已知漏洞及协议缺陷的攻击、以及针对特定应 用服务( 如f t 只w w w ，e m a i l ) 的攻击。 这些攻击方式己从单人单机方式发展到多人多机多手段协同的方式，主要 是因为随着分布式系统的广泛应用，单人单机的网络攻击方法和手段已经不能 满足非法用户攻击的要求，而必须使用多个攻击系统、多种攻击方法配合与协 同才能完成任务。分布式协同攻击在现有的信息系统安全保护中，成为一个主 要的攻击手段。 为了应对攻击方式上的变化和发展，分布式入侵检测成为当前入侵检测的 领域的研究重点之一。分布式入侵检测系统采用了非集中的系统结构和处理方 式，相对于传统的单机i d s 具有一些明显的优势【3 l j ： ( 1 ) 检测范围扩大。传统的基于主机的入侵检测系统只能通过检查系统 日志、审计记录来对单个主机的行为或状态进行监测，即使采用网络数据源的 入侵检测系统，也仅在单个网段内有效。对于一些针对多主机、多网段、多管 理域的攻击行为，例如大范围的脆弱性扫描或拒绝服务攻击，由于不能在检测 系统之间实现信息交互，通常无法完成准确和高效的检测任务。分布式入侵检 第2 章入侵检测概述 测通过各个检测组件之间的相互协作，可以有效地克服这一缺陷。 ( 2 ) 检测的准确度提高。分布式入侵检测系统各个检测组件针对不同的 数据来源，可以是网络数据包，可以是主机的审计记录、系统日志，也可以是 特定应用程序的日志，甚至可以是一些通过人工方式输入的审计数据。各个检 测组件所使用的检测算法也不是固定的，模式匹配、状态分析、统计分析、量 化分析等，可以分别应用于不同的检测组件。系统通过对各个组件报告的入侵 或异常特征，进行相关分析，可以得出更为准确的判断结果。 ( 3 ) 提高检测效率。分布式入侵检测实现了针对安全审计数据的分布式 存储和分布式计算，这相对于单机数据分析的入侵检测系统来说，不再依赖于 系统中唯一的计算资源和存储资源，可以有效地提高系统的检测效率，减少入 侵发现时间。 ( 4 ) 协调响应措施。由于分布式入侵检测系统的各个检测组件分布于受 监控网络的各个位置，一旦系统检测到攻击行为，可以根据攻击数据包在网络 中经过的物理路径采取响应措施，例如封锁攻击方的网络通路、入侵来源追踪 等。即使攻击者使用网络跳转( h o p ) 的方式来隐藏真实i p 地址，在检测系统的 监控范围内通过对事件数据的相关和聚合，仍然有可能追查到攻击者的真实来 源。 2 2 2 研究现状 d a r p a 提出的公共入侵检测框架c i d f ( c o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ) 最早由加州大学戴维斯分校起草的，将入侵检测系统分为事件产生 器( e v e n tb o x ) 、事件分析器( a n a l y s i sb o x ) 、响应单元( r e s p o n s eb o x ) 和数 据库( d a t a b a s eb o x ) 四个模块。各模块之间以通用入侵检测对象( g e n e r a l i z e d i n t r u s i o nd e t e c t i o no b j e c t s ， g i d o ) 的格式交换数据，其数据格式由通用入侵 规范语言( c o m m o ni n t r u s i o ns p e c i f i c a t i o nl a n g u a g e ，c i s l ) 来定义。由于c i d f 模型采用了g i d o 来交换数据，因此提高了组件之间的消息共享和互通的能力。 由k y r g y zr u s s i a ns l a v i cu n i v e r s i t y 的y a r o c h k i nf y o d o r 所提出的s n o r t n e t 是对s n o r t 的入侵检测系统进行了扩展，使系统具备了分布式入侵检测的能力， 它包括三个主要模块：网络感应器( n e t w o r ks e n s o r ) 、代理守护进程( p r o x y d a e m o n ) 和监视控制台( m o n i t o r i n gc o n s o l e ) 。网络感应器的目的是监视网络 流量并向中心节点汇报异常情况；代理守护程序为通过没有直接连接网络区域 1 2 第2 章入侵检测概述 的入侵检测消息提供中继( r e l a y i n g ) 功能。s n o r t n e t 系统具有原理简单、实现 方便的优点。但仅仅扩充了s n o r t 的通信和管理能力，因此并没有体现出分布式 入侵检测的真正优势。 u cd a v i s 的s e c u r i t yl a b 提出的d i d s( d i s t r i b u t e di n t r u s i o nd e t e c t i o n s y s t e m ) 主机监视器( h o s tm o n i t o r ) ，l a n 监视器( l a nm o n i t o r ) 和基于专 家系统( e x p e r ts y s t e m ) 分析引擎三个模块组成。分布在l a n 各处的监视器作 为数据探测器使用，监视器将捕获的数据传到分析引擎中进行分析，分析引擎 采用基于规则的专家系统作为分析引擎。d i d s 的核心分析功能由单一的中心分 析引擎来完成，因此并不是完全意义上的分布式入侵检测。 u cd a v i s 提出并实现的g r i d s ( g r a p h b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) 实 现了一种在大规模网络中使用图形化表示的方法来描述网络与计算机之间的网 络行为，g r i d s 收集在网络活动数据，并将这些信息聚集为活动图的形式，以揭 露活动的结构。g r i d s 的缺陷在于只是给出了网络连接的图形化表示，具体的入 侵判断仍然需要人工完成，而且系统的有效性和效率都有待验证和提高。 m i n g y u hh u a n g 针对分布式入侵检测所存在的问题，从入侵者的目的 ( i n t r u s i o ni n t e n t i o n ) 入手，帮助确定如何在不同的i d s 组件之间进行协作检测。 通常对于计算机攻击事件来说，攻击的序列并不是随机的。攻击者使用一系列 的工具来达到不同的目的，选择何种工具以及使用的次序取决于所处的环境和 目标系统的响应。为了达到特定的攻击目的，攻击者通常会按照固定的逻辑顺 序发起一系列攻击行为，这种满足逻辑偏序关系的行为可以很好地揭示入侵者 的目的。通过入侵策略分析来完成检测任务，是入侵检测领域一个重要的研究 方向。 s r i 的p h i u i pp o r r a s 提出了e m e r a l d ( e v e n tm o n i t o r i n ge n a b l i n gr e s p o n s e s t oa n o m a l o u sl i v ed i s t u r b a n c e s ) 系统e m e r a l d 主要面向大型的、基于松散架 构的企业网络。其主要思想是将网络系统划分为若干个相互独立的管理域，每 个域提供不同的网络服务，例如h t t p 或r p 。不同域之间包含不同的信任关系， 并且执行不同的安全策略。e m e r a l d 系统采用分布自治的思想，有效地实现 了检测任务的分布化，提高了系统的适应性和整体性能。e m e r a l d 所面临的 问题在于系统配置比较复杂性、检测的时延相对比较高等缺点。 g m u 的p e n gn i n g 在其博士论文中提出了一种基于抽象的分布式入侵检测 系统，基本思想是设立中间层，提供与具体系统无关的抽象信息，用于分布式 1 3 第2 章入侵检测概述 检测系统中的信息共享，抽象信息的内容包括事件信息( e v e n t ) 以及系统实体 间的动态断言。中间层用于表示i d s 间的共享信息时使用如下的对应关系：i d s 检测到的攻击或者i d s 无法处理的事件信息作为e v e n t ，i d s 或受i d s 监控的 系统的状态则作为动态断言。 p u r d u eu n i v e r s i t y 的入侵检测自治代理a a f i d ( a u t o n o m o u sa g e n t sf o r i n t r u s i o nd e t e c t i o n ) 的精髓在于代理系统。每个代理系统都独自运行，收集它所 感兴趣的信息并向上汇报。a a f i d 通常包括三个部件：代理( a g e n t ) 、收发器 ( t r a n s c e i v e r ) 、监视器( m o n i t o r ) 。每台主机可以运行任意数目的代理来监控各 自感兴趣的事件。同一台主机上的所有代理都将各自发现的事件和数据报告给 同一收发器。每台主机只有一个收发器在运行，监控该主机上运行的所有代理。 a a f i d 的优点是系统结构的可扩展好、开发、测试与部署灵活，缺点是配置复 杂、安全性弱、a g e n t 在发现入侵之后到监视器接收到入侵报告之间的时延问题。 r a m a p r a b h uj a n a k i r a m a n 提出了利用p 2 p 技术构建的i n d r a 系统【5 2 】。在网络 上利用分布可信的对等主体进行共享信息，从而使得这些对等主体作为一