（计算机科学与技术专业论文）基于snort的入侵检测系统的设计和实现.pdf

, i h i l + 独创性( 或创新性) 声明 jrlflfllfiifrlrllltflfiifllfiiillllliillllliii i i i y 17 5 9 4 0 3 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均己在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：药巡l 堑 日期： 翟应： ：f 互 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 本人签名：弛日期： 趔丝：厶f 乙 导师签名：髟磊丁_ 同期：“列b ，_ 上舻 , a k ， 、 基于s n o r t 的入侵检测系统的设计和实现 摘要 随着信息技术与网络的发展，越来越多的业务依靠互联网来实 现，人们在享受网络带来的资源共享及信息交流的同时，也不得不面 对网络入侵者对网络安全带来的威胁，信息安全问题也日益突出，所 以计算机系统的安全问题日益成为人们关注的热点。入侵检测技术作 为一种防御手段，已成为当今网络安全体系的重要组成部分。入侵检 测系统作为防火墙的合理补充，能够实时地检测出计算机和网络中出 现的入侵活动。 本文的工作围绕入侵检测技术展开，基于s n o r t 实现了一个针对 电信网络中业务被误用、滥用、盗用以及病毒检测，非法连接检测等 各种网络异常的入侵检测系统。论文主要包括以下几个方面的内容： 1 ) 介绍了入侵检测的基本概念、需求及实现技术。 2 、) 对入侵检测系统进行了总体设计。描述了课题需求及系统整体 设计框架，系统由前端的安全服务平台和后台的控制系统两大部分组 成，并分别对这两大部分进行了详细设计。 3 ) 分析了s n o r t 的结构、工作流程及检测规则等。 4 ) 基于s n o r t ，对入侵检测系统进行了详细设计和编码实现。 5 ) 对系统功能进行了测试，测试结果符合预期场景的要求。 关键词：入侵检测，s n o r t ，s i p , s c t p i d e s i g na n di m p l e m e n l l a t l 0 n0 fi n t r u s l 0 n d e t e c t i o ns y s t e mb a s e d0 ns n o i r t a b s t r a c t w i t ht h e d e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g ya n dt h ec o m p u t e r n e t w o r k ，m o r ea n dm o r eo p e r a t i o n sa r eb u i l to nt h ei n t e r n e t ，u s e r sa r ee n j o y i n g t h eb e n e f i t so fr e s o u r c es h a r i n ga n de x c h a n g eo fi n f o r m a t i o no nt h ei n t e r n e t ，a t t h es a m et i m et h e yh a v et of a c en e t w o r ki n t r u d e r st h r e a tt on e t w o r ks e c u r i t y ， i n f o r m a t i o ns e c u r i t yh a sb e c o m ei n c r e a s i n g l yp r o m i n e n t ，s ot h en e t w o r k s e c u r i t yp r o b l e m so fc o m p u t e rs y s t e m si n c r e a s i n g l yb e c o m et h ef o c u so f a t t e n t i o n i n t r u s i o nd e t e c t i o nt e c h n o l o g ya sam e a n so fd e f e n s eh a sb e c o m ea n i m p o r t a n tc o m p o n e n to ft h en e t w o r ks e c u r i t ys y s t e m i n t r u s i o nd e t e c t i o n s y s t e ma sar e a s o n a b l ec o m p l e m e n to ff i r e w a l lc a nd e t e c tr e a l - t i m ec o m p u t e r a n dn e t w o r ki n t r u s i o ne v e n t s w o r k sa r ed o n ea r o u n dt h ei n t r u s i o nd e t e c t i o nt e c h n o l o g y , a n dan e t w o r k i n t r u s i o nd e t e c t i o ns y s t e mi sd e v e l o p e db a s e do ns n o r tt od e t e c tt h eo p e r a t i o n a l m i s u s e ，a b u s e ，v i r u s ，i l l e g a lc o n n e c t i o n sa n do t h e rn e t w o r ka n o m a l yi n t r u s i o n i nt h et e l e c o m m u n i c a t i o nn e t w o r k i nt h i s t h e s i s ，a tf i r s t ，t h e b a s i c c o n c e p t s ，r e q u i r e m e n t s a n d i m p l e m e n t a t i o nt e c h n o l o g i e so fi n t r u s i o nd e t e c t i o na r ei n t r o d u c e d t h e n ，t h e o v e r a l ld e s i g no fi n t r u s i o nd e t e c t i o ns y s t e mi s s p e c i f i e d ，a n dt h es y s t e m s r e q u i r e m e n t sa n ds o f t w a r es t r u c t u r ei sd e s c r i b e d ，w h i c hi sc o m p o s e do ft h e f o r e g r o u n ds e c u r i t ys e r v i c ep l a t f o r ma n dt h eb a c k g r o u n dc o n t r o ls y s t e m ，a n d t h e s et w op a r t sa r er e s p e c t i v e l yd e s i g n e di nd e t a i l n e x t ，t h es t r u c t u r e ，w o r k p r o c e s s e sa n di n s p e c t i o nr u l e so fs n o r ta r ea n a l y z e d ，a n dt h es n o r t - b a s e d i n t r u s i o nd e t e c t i o ns y s t e mi sd e s i g n e dd e t a i l e d l ya n di m p l e m e n t e d a tl a s t ，t h e s y s t e m sf u n c t i o ni st e s t e d ，a n dt h et e s tr e s u l t ss h o wt h a tt h es y s t e mi su pt ot h e m u s t a r d k e yw o r d s ：i n t r u s i o nd e t e c t i o n ，s n o r t ，s i p ，s c t p i 目录 第一章引言1 1 1 论文背景1 1 2 研究现状2 1 3 论文的组织结构4 第二章入侵检测介绍一5 2 1 入侵检测系统的基本结构5 2 2 入侵检测系统的分类6 2 3 入侵检测方法。8 2 4 入侵检测系统的特点及局限性。1 2 2 5 入侵检测新技术1 3 2 6 本章小结1 5 第三章网络入侵检测系统的需求及总体设计1 6 3 1 需求分析1 6 3 2 系统整体框架。1 6 3 3 后台控制系统的设计1 8 3 4 前端安全服务平台的设计1 9 3 4 1 设计原则。1 9 3 4 2 模块功能划分及设计2 0 3 5 本章小结2 0 第四章网络入侵检测系统的详细设计及实现2 1 4 1 后台控制系统的设计及实现2 1 4 1 1s n o r t 简介：1 1 4 1 2 相关协议简介。2 4 4 1 3 后台控制系统的功能实现3 0 4 2 前端安全服务平台的设计及实现3 6 4 2 1 主要实现技术3 6 4 2 2 安全服务平台的实现。3 7 4 3 系统实现中的难点及解决方案。4 2 4 4 本章小结4 5 第五章系统测试。4 6 5 1 测试用例及结果4 6 5 2 测试结论。5 0 第六章总结与展望5 2 6 1 完成的主要一i ：作5 2 6 2 对朱来的展望5 2 参考文献k 5 4 附录5 6 致谢5 7 发表论文目录5 8 l 1 1 论文背景 第一章引言 随着信息技术与网络的发展，越来越多的业务依靠互联网来实现，人们在享 受网络带来的资源共享及信息交流的同时，也不得不面对网络入侵者对网络安全 带来的威胁，信息安全问题也r 益突出。资源共享和信息安全一直作为一对矛盾 体而存在着，一方面人们寻找着各种各样的网络解决方案，体现了网络效应与网 络结点的增多成正比，另一方面却是多一个网络链接就多一份被黑客和病毒攻击 的危险，连网结点越多，网络越容易脆弱，网络正与危险同行。 随着计算机网络资源共享的进一步加强，信息安全问题也日益突出：1 1 系统 漏洞更快地被发现，从被发现到被利用之间的时间越来越短，直至零时间，比如 2 0 0 4 年5 月爆发的“震荡波”蠕虫病毒距离漏洞被披露的时间仅仅1 8 天：2 1 出 现了集黑客攻击和病毒特征于一体的网络攻击；3 ) 攻击过程的自动化、攻击工具 的快速更新与不断复杂化：以窃取用户机密数据为目的的威胁开始在网上流行， 比如2 0 0 3 年流行的“b i g b e a r ”，专门针对金融领域偷取重要信息，网络威胁的 传播速度越来越快。当今的i t 体系结构及商业财产经常受到未授权访问的威胁。 各国对于信息安全问题都面临着同样的挑战：信息防御的成本越来越高，而 攻击的成本越来越低。一个对风险责任人缺乏震慑力的防御体系必定是低效的， 防御的成本也会越来越高，而当成本的增长超出了经济承受能力时，信息安全就 将陷入空谈。在这种背景下，计算机和网络的安全问题也越来越受到人们的重视。 所以，网络中计算机系统的安全问题同益成为人们关注的热点。 而纵观信息安全市场：商用密码、防火墙、防病毒、身份识别、网络隔离、 可信服务、备份恢复等等，主流产品几乎都是被动防御型的。典型的是防火墙技 术，用于保护处于它身后的网络不受外界的侵袭和干扰，已经成为网络上使用最 多的安全设备。传统的网络安全解决方案中，均采用网络防火墙作为网络安全的 第一道也是最主要的防线。网络防火墙采用了基于防火墙的安全策略确实能提供 可控的网络通信过滤，确保只允许授权的通信，从而能在一定程度上保护用户的 网络不被侵扰。但实践表明，由于防火墙处于网络的边界，防火墙自身就可以被 攻破，攻击者也可能设法绕过防火墙的检测；防火墙对某些攻击的保护很弱，且 限于其自身的性能，尚不具备实时监视入侵的能力。另外，不是所有的威胁都来 自防火墙外部，调查显示约6 5 的攻击恰恰来自网络内部1 1 1 。所以单纯依靠防火 墙的策略显然已经无法满足对网络安全的要求，迫切需要研究更为安全、有效的 网络安全解决方案。“兵来将挡，水来土掩”的被动防御让我们疲于防范黑客， 确实显得力不从心，而且由于这些安全产品大多独立于用户当前的网络服务与应 用系统之外，对网络服务的应用层和加密的流量的分析存在一定的局限，网络安 全一直是亟须解决和完善的问题。 一个典型的网络攻击是以采用大量的端口扫描等手段获取关于被攻击对象 的信息为丌端的，在此过程中必然会产生大量的异常网络流量，并预示着即将到 来的真正攻击，然而当前被广泛使用的网络安全产品都具有一个普遍的弱点：被 动防御，即对这些重要的网络攻击先兆熟视无睹，错过了最佳的防御时间。为了 扭转这种不利的局面，变被动防御为积极防御，就要求网络管理人员能对网络的 运行状况进行实时监控，以便随时发现入侵征兆并进行具体的分析，然后及时进 行干预，从而防患于未然。具有这种功能的安全产品就是入侵检测系统( i n t r u s i o n d e t e c t i o ns y s t e m ) 。入侵检测技术作为一种积极主动的防御手段，已成为当今网 络安全体系的重要组成部分【2 1 。入侵检测系统作为防火墙的合理补充，能够实时 地检测出计算机和网络中出现的入侵活动。入侵检测系统攻击特征库的完备性和 准确性非常重要，它直接影响着基于误用检测的入侵检测系统的性能1 3 1 。 入侵检测系统作为一种新型的网络安全技术，能有效地弥补防火墙的不足， 并已成为网络安全市场上新的热点。 1 2 研究现状 由于入侵检测系统的市场在最近几年中飞速发展，许多公司投入到这一领域 上来，除了国外的o s s i m 、a x e n t 、n f r 、c i s c o 等外，国内也有数家公司，如 天融信、启明星辰、中联绿盟、中科网威等都推出了自己相应的产品。 目前已经成型的国外入侵检测系统有o s s i m ( o p e ns o u r c es e c u r i t y i n f o r m a t i o nm a n a g e m e n t ) ，即开源安全信息管理系统，它集中管理多个免费的安 全工具，如n a g i o s ，s n o r t ，t c p t r a c k ，o s s e c ，n t o p 等等，提供一个完整的 w e b 界面，可提供监控、报警、定时扫描、报表等服务，形成一套完整的解决方 案。o s s i m 通过将开源产品进行集成，从而提供一种能够实现安全监控功能的 基础平台。它的目的是提供一种集中式、有组织的监测和显示的框架式系统。但 是o s s i m 系统太庞杂，它融合了很多开源工具，而这些工具是由不同的组织开 发的，彼此兼容性较差，导致整个系统性能和稳定性不足，此外它所涉及到的开 发语言很多，系统实现的复杂性较高，文档不齐全，需要大量的技术支持，难于 使用。 n e s s u s 也是一款功能强大的入侵检测工具，号称是“世界上最流行的漏洞 扫描程序，全世界超过7 5 ，0 0 0 个组织在使用它【1 8 l 。n e s s u s 支持多种操作系统 的漏洞扫描检测，如l i n u x 、f r e e b s d 、s o l a r i s 、m a co sx 和w i n d o w s 等。尽管 2 八 一 n e s s u s 这个工具可以免费下载得到，但是免费版没有很好的报表可供管理人员解 读，而且要从t e n a b l en e t w o r ks e c u r i t y 更新到所有最新的威胁信息，每年的直接 订购费用是$ 1 ，2 0 0 。 s n o r t 作为入侵检测工具的典型范例，它对操作系统的依赖性比较低，可以 运行在多种操作系统平台，如u n i x 系列和w i n d o w s ( 需要l i b p c a p f o rw i n 3 2 的支 持1 ，其次用户可以根据自己的需要，在很短时间内调整检测策略，此外s n o r t 集成了多种告警机制来提供实时告警功能，包括s y s l o g 、用户指定文件、u n i x s o c k e t 等，功能比较强。可是它没有图形化的界面。但由于其开源的特性( 便于 用户修改使其更适合用户的应用场景) ，其使用范围很广。 在国内，p a n a b i t 是基于f r e e b s d 实现的一个流量管理系统，类似于入侵防 御系统( i p s ，i n t r u s i o np r e v e n t i o ns y s t e m ) ，功能强大，可解码很多应用层协议， 包括各种p 2 p 协议的管理，但是不是开源软件。 启明星辰天阗入侵检测系统n 5 0 0 是一种具有国际先进水平的多级分布式管 理功能的i d s ，主要应用在投入规模较大、安全要求较高、网络结构较复杂、有 核心业务的主机需要维护、有特殊的网络行为需要监控、网络流量较高等需求的 单位，但是此系统也非开源软件，而且价格不菲。 目前，国内外主要的入侵检测系统有两大类，即免费的丌源系统和商用系 统。通常，免费的丌源的入侵检测系统兼容性较差、稳定性不足、复杂性较高、 文档不齐全，系统难于使用而且需要技术支持，或者免费版本的功能不齐全( 如 有的报表功能不完善，有的没有良好的图形界面等) 。商用的入侵检测系统通常 比较稳定，且功能强大，但是费用较高，由于软件不是开源软件，用户无法在其 基础上进行二次开发。 目前，入侵检测领域仍然要解决的一些难点包括：【1 4 l ( 1 ) 更有效的集成各种入侵检测数据源，包括从不同的系统和不同的传 感器上采集的数据，以减少虚假报警。 ( 2 ) 在事件诊断中结合人工分析。 ( 3 ) 提高对恶意代码的检测能力，包括e m a i l 攻击、j a v a 、a c t i v e x 等。 ( 4 ) 采用一定的方法和策略来增强系统的互操作性和数据一致性。 ( 5 ) 研制可靠的测试和评估标准。 ( 6 )提供科学的漏洞分类方法，尤其注重从攻击客体而不是攻击主体的 观点出发。提供对更高级的攻击行为，如分布式攻击、拒绝服务攻击等检测手段。 3 1 3 论文的组织结构 本文共分六章： 第一章介绍了课题的背景，现状及存在的主要问题。 第二章主要介绍入侵检测的基本概念，主要包括基本结构，系统的分类，检 测方法，局限性及目前发展的新技术等。 第三章描述系统的总体设计，主要包括其应用场景，整体框架的设计，以及 前端模块与后台模块的设计。 第四章给出了系统的详细设计及实现。首先对丌源的入侵检测工具s n o r t 进 行了简单的介绍，主要是体系结构，工作流程，及检测规则等，然后基于s n o r t 实现了后台控制系统的功能；前端服务平台部分采用j 2 e e 架构，使用了s p r i n g 和s t r u t s 相结合的方式，再配置了e x t r e m e c o m p o n e n t 、j f r e e c h a r t 等绘制表格、 图形插件，快速而高效的完成了课题要求的各项功能。 第五章总结了系统测试情况，对系统功能进行了验证。 第六章对论文工作进行了总结，并探讨了进一步的研究工作。 4 第二章入侵检测介绍 入侵检测就是通过计算机网络系统中的若干关键结点收集信息，并分析这些 信息，监控网络中是否有违反安全策略的行为或者是否存在入侵行为，是对指向 计算和网络资源的恶意行为的识别和响应过程。它通过监控系统的状态和活动， 采用异常检测或误用监测的方式，发现非授权的或恶意的系统及网络行为，为防 范入侵行为提供有效的手段，是一个完备的网络安全体系的重要组成部分1 1 5 l 。 2 1 入侵检测系统的基本结构 入侵检测系统通常由以下4 个部分组成，其基本结构如图2 - 1 所示。 图2 1 入侵检测系统的基本结构 ( 1 ) 事件产生器 事件产生器是入侵检测系统中负责原始数据采集的部分，它对数据流、同志 文件等进行追踪，然后将搜集到的原始数据转换为事件，并向系统的其他部分提 供此事件。 ( 2 ) 事件分析器 事件分析器接收事件信息，然后对信息进行分析，判断所接收信息是否为入 侵行为或异常现象，最后将判断的结果转变为警告信息。 ( 3 ) 事件数据库 事件数据库是存放各种中问和最终数据的地方。它从事件产生器或者事件分 析器接收数据，一般会将数据进行较长时间的保存。事件数据库可以是复杂的数 据库，也可以是简单的文本文件 ( 4 ) 响应单元 响应单元根据警告信息做出反应，其可以做出切断连接、改变文件属性等强 烈反应，也可以只是简单的报警。 以上4 部分只是入侵检测系统的基本组成部分。从具体实现的角度看，入侵 5 检测系统一般包括硬件和软件两部分。硬件设备主要完成数据的采集和响应的实 施；软件部分主要完成数据的处理、入侵的判断、响应的决策等功能。 2 2 入侵检测系统的分类 根据检测的目标环境的不同，可把入侵检测系统分为两类：主机型入侵检测 系统( h i d s ) 和网络型入侵检测系统( n d i s ) ，两者既可以独立使用，也可协同作战， 构成混合的入侵检测系统。 1 主机型入侵检测系统( h i d s l 主机型入侵检测系统是基于对主机审计系统的信息进行监测，用于及时发现 系统级用户的非法操作行为1 6 j 。其基本思想是：h i d s 日志收集代理负责采集主 机中的各种日志信息，主要是来自操作系统所产生的系统同志和审计记录，并进 行一定的预处理后传送给入侵检测分析器。因此，主机入侵检测系统能在多大程 度上发现入侵行为依赖于系统r 志和审计记录的详细程度，一般只能检测该主机 上发生的入侵。 主机型入侵检测系统所保护的一般是所在的系统本身，所以在设计主机型 i d s 时，其内在的结构没有任何束缚，甚至还可以利用操作系统本身提供的功能， 通过结合异常分析，可以更准确地报告发生的攻击行为。但是，由于主机型入侵 检测系统与所在主机的运行平台相关，所以针对不同的系统平台必须相应开发不 同的i d s 程序，而且入侵检测系统的运行还会增加主机系统的负担。 基于主机的入侵检测系统( h i d s ) 的主要优点： ( 1 ) 由于主机入侵检测的数据来源( 系统同志和审计记录) l l 较可靠，检测在主 机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多，因此检测比 网络入侵检测系统误报率要低。 ( 2 ) 主机入侵检测系统对分析“可能的攻击行为”非常有用。主机入侵检测一般 应用于特定的主机环境下，因而对入侵检测的层次较深，它不仅能检测到攻击， 一般还能够识别攻击意图，进行后续攻击预警。 所存在的不足之处： ( 1 ) 首先是它依赖于服务器固有的日志与监视能力，为一台主机设计的h i d s 很难移植到其他主机上，可移植性较差。 ( 2 ) 入侵检测系统需运行在待检测的主机上，以获得系统r 志和审计记录， 不可避免的会影响系统性能。 2 网络型入侵检测系统( n i d s ) 网络型入侵检测系统主要用于实时监控网络关键路径上的信息，它的数据源 是网络上的数据包。其数据采集部分可以部署在防火墙外、防火墙内，或防火墙 6 的内外都部署。其基本思想是：n i d s 放置在比较重要的网段内，通过监控网络 中的所有通信数据包来识别可疑的异常活动和包含攻击特征的行为。n i d s 采用 被动协议分析的方法来进行入侵检测。所谓被动协议分析就是将n i d s 的网卡设 置成混杂模式，然后接入交换机的镜像端口来被动地监听网络数据通讯并进行攻 击检测。 网络型入侵检测系统主要承担保护整个网段的任务，通过将一台主机的网卡 置于混杂模式( p r o m i s em o d e ) ，用于监听本网段内出现的所有数据包，并进行检 测和实时分析。由于采用了单独的计算机实现数据包的监测，因而不会给运行关 键业务的主机带来额外的负担。此外，即使n i d s 发生故障也不会影响网络系统 的正常运行。 基于网络的入侵检测系统具有以下优点： ( 1 ) 不引入额外负载：由于n i d s 采用的被动协议分析的工作机制决定了 n i d s 不会给原网络带来额外的负载。它只是将网卡设置成混杂模式被动监听网 络通讯，这种被动监听对网络中的其他主机是透明的。而不像主机入侵检测系统 那样需要改变服务器等主机的配置，也不会在业务系统的主机中安装额外的软 件，从而不会影响系统的性能。 ( 2 ) 全局监控：n i d s 对整个网络进行安全监控，它能够通过对相关安全事件 的综合分析检测到一些n i d s 所不能检测到的全局攻击行为，比如扫描等。 t ( 3 ) i x l 险相对较小：由于网络入侵检测系统不像路由器、防火墙等关键设备 方式工作，它不会成为系统中的关键路径。网络入侵检测系统发生故障不会影响 正常业务的运行，因此部署一个网络入侵检测系统的风险比主机入侵检测系统的 风险少得多。 ( 4 ) 攻击者不易转移证据：n i d s 对网络数据流进行实时检测，所以攻击者 无法转移证据。在h i d s 中，由于许多黑客熟知审记机制，掌握了通过修改这些 文件来掩盖作案痕迹的方法，从而躲避n i d s 的检测 ( 5 ) 移植性好：n i d s 分析的数据是网络数据流，而现在的网络通讯都有严 格的标准，这为n i d s 的移植性提供了便利。 同样，基于网络的入侵检测系统也存在不少缺点： ( 1 ) 入侵检测误报率和漏报率较高：由于目标主机和网络入侵检测系统所在 主机网络协议栈方面的实现差异，网络入侵检测系统和目标主机对同一数据包的 解释往往有差异，这就提高了网络入侵检测系统的误报率和漏报率。 ( 2 ) 可扩展性差：网络入侵检测系统只检查它直接连接网段的通信，不能检 测在不同网段的网络包，在使用交换以太网的环境中就会出现监测范围的局限， 它处理的数据量非常庞大，因而网络入侵检测系统的处理能力往往限制了网络的 7 有效扩展。而安装多台网络入侵检测系统的传感器会使部署整个系统的成本大大 增加。 ( 3 ) 难以处理需要复杂计算的攻击和加密会话：网络入侵检测系统为了性能 目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些 复杂的需要大量计算与分析时间的攻击检测，而且网络入侵检测系统对加密的会 话过程处理较困难，目前通过加密通道的攻击尚不多，但随着i p v 6 的普及，这 个问题会越来越突出。 ( 4 ) 面临智能关联问题：网络入侵检测系统可能会将大量的数据传回分析系 统中。在一些系统中监听特定的数据包会产生大量的分析数据流量。一些系统在 实现时采用一定方法来减少回传的数据量，对入侵判断的决策由传感器实现，而 中央控制台成为状态显示与通信中心，不再作为入侵行为分析器。这样的系统中 的传感器协同工作能力较弱。 2 3 入侵检测方法 入侵检测系统是根据入侵行为与正常访问行为的差别来识别入侵行为的，根 据识别采用的原理可以分为异常检测、误用检测和特征检测三种。 1 异常检测 进行异常检测( a n o m a l yd e t e c t i o n ) 的前提是认为入侵是异常活动的子集。异 常检测系统通过运行在系统或应用层的监控程序监控用户的行为，通过将当前主 体的活动情况和用户轮廓进行比较。用户轮廓通常定义为各种行为参数及其阈值 的集合，用于描述正常行为范围。当用户活动与正常行为有重大偏离时即被认为 是入侵。如果系统错误地将正常活动定义为入侵，则称为错报( f a l s ep o s i t i v e ) ；如 果系统未能检测出真正的入侵行为则称为漏报( f a l s en e g a t i v e ) 。这是衡量入侵检 测系统性能很重要的两个指标模型1 1 4 】。异常检测模型如图2 2 所示。 图2 - 2 异常检测模型 8 值 值 2 误用检测 进行误用检澳, l j ( m i s u s ed e t e c t i o n ) 的前提是所有的入侵行为都有可被检测到 的特征。误用检测系统提供特征库，当被检测的用户或者系统行为与库中的记录 相匹配时，系统就认为这种行为是入侵。如果入侵特征与正常的用户行为匹配， 那么系统会认为此用户的行为属于入侵行为，则会发生错报；如果没有特征能与 某种新的攻击行为匹配，则系统会发生漏报。误用检测模型如图2 3 所示。 图2 3 误用检测模型 采用特征匹配，误用模式能明显降低错报率，但漏报率随之增加。攻击特征 的细微变化，会使得误用检测无能为力。 常见的误用检测方法包括基于条件概率的误用入侵检测、基于专家系统的误 用入侵检测、基于状态迁移的误用入侵检测、基于键盘监控的误用入侵检测、基 于模型的误用入侵检测等。 3 特征检测 和以上两种检测方法不同，特征检钡w j ( s p e c i f i c a t i o n b a s e dd e t e c t i o n ) 关注的 是系统本身的行为。定义系统行为轮廓，并将系统行为与轮廓进行比较，对未指 明为正常行为的事件定义为入侵。特征检测系统常采用某种特征语言定义系统的 安全策略。这种检测方法的错报与行为特征定义准确度有关，当系统特征不能囊 括所有的状态时就会产生漏报。 结合协议分析的特征检测是以协议为基础的特征检测。下面就特征分析、协 。 议分析分别进行论述，并结合h 下r p 协议说明如何进行特征检测。 ( 1 ) 特征分析 i d s 要有效地检测入侵行为，必须拥有一个强大的入侵特征库。 1 1 特征的基本概刽1 4 j i d s 中的特征是指用于识别攻击行为的数据模板，常因系统而异。不同的 9 i d s 系统具有的特征功能也有所差异。例如：有些网络i d s 系统只允许少量地定 制存在的特征数据或者编写需要的特征数据，另外一些则允许在很宽的范围内定 制或者编写特征数据，甚至可以是任意一个特征；一些i d s 系统只能检查确定 的报头或者负载数值，另外一些则可以获取任何信息包的任何位置的数据。典型 的入侵方式有：来自保留i p 地址的连接企图、带有非法t c p 标志的数据包、含 有特殊病毒信息的e m a i l 、d n s 缓冲区溢出企图、针对p o p 3 服务器的d o s 攻 击、以及对f t p 服务器文件的访问攻击等。从以上的方式中，可以看出特征涵 盖的范围很广，有简单的报头和数值，也有复杂的连接状态跟踪和扩展的协议分 析。 2 ) 报头值特征 报头值( h e a d e rv a l u e ) 的结构比较简单，而且可以很清楚地识别出异常报头 信息，因此，特征数据首先选择报头值。异常报头值的来源大致有以下几种：故 意违反r f c 的标准定义；包含错误代码的不完善软件也会产生违反r f c 定义的 报头值数据；并非所有的操作系统和应用程序都能全面拥护r f c 定义，会存在 一些方面与r f c 不协调；新的协议可能不被包含于现有的r f c 中。由于以上几 种情况，严格基于r f c 的i d s 特征数据就有可能产生漏报或者误报效果。对此， r f c 也随着新出现的信息而不断进行更新。 3 ) 确定报头值特征 可以单独选出一项作为基于报头的特征数据，也可以选出多项组合作为特 征数据。选择一项数据作为特征有很大的局限性，选择多项数据联合作为特征尽 管能够提供行为信息，但是缺乏效率。实际上，特征定义就是要在效率和精确度 问取得折中。大多数情况下，简单特征比复杂特征更倾向于误报，因为前者普遍； 复杂特征比简单特征更倾向于漏报，因为前者太过于全面，攻击的某个特征会随 着时间的推进而变化，完全应由实际情况而定。 4 ) 特征的光谱性 关注t c p 、u d p 或者i c m p 的报头信息要比关注d n s 报头信息更方便。因 为t c p 、u d p 以及i c m p 的报头信息和载荷信息都位于i p 数据包的载荷部分， 比如要获取t c p 报头数值，首先解析i p 报头，然后就可以判断出这个载荷采用 的是t c p 。而要获取d n s 的信息，就必须更深入才能看到其真面目，而且解析 此类协议还需要更多复杂的编程代码。实际上，这个解析操作也正是区分不同协 议的关键所在，评价1 d s 系统的好坏也体现在是否能够很好地分析更多的协议。 ( 2 ) 协议分析 以上关注i p 、t c p 、u d p 和i c m p 包头中的值作为入侵检测的特征。现在 来看看如何通过检查t c p 和u d p 包的内容( 其中包含其他协议) 来提取特征。首 1 0 先必须清楚某些协议如d n s 是建立在t c p 或u d p 包的载荷中，且都在i p 协议 之上。所以必须先对i p 头进行解码，看它负载是否包含t c p 、u d p 或者其他协 议。如果负载是t c p 协议，那么就需要在得到t c p 负载之前通过i p 协议的负载 来处理t c p 报头的一些信息。 入侵检测系统通常关注i p 、t c p 、u d p 和i c m p 特征，所以它们一般都能 够解码部分或全部这些协议的头部。然而，只有一些更高级的入侵检测系统才能 进行协议分析。这些系统的探针能进行全部协议的解码，如d n s 、h r r p 、s m t p 和其他一些广泛应用的协议。由于解码众多协议的复杂性，协议分析需要更先进 的i d s 功能，而不能只进行简单的内容查找。执行内容查找的探针只是简单地 在包中查找特定的串或字节流序列，并不真正知道它正在检查的是什么协议，所 以它只能识别一些明显的或者简单特征的恶意行为。 协议分析表明入侵检测系统的探头能真正理解各层协议是如何工作的，而且 能分析协议的通信情况来寻找可疑或异常的行为。对于每个协议，分析不仅仅是 建立在协议标准的基础上( 如r f c ) ，而且建立在实际的实现上，因为许多协议事 实上的实现与标准并不相同，所以特征应能反映现实状况。协议分析技术观察包 括某协议的所有通信并对其进行验证，当不符合预期规则时进行报警。协议分析 使得网络入侵检测系统的探头可以检测已知和未知的攻击方法。 ( 3 ) 结合h t t p 协议的特征检测 许多攻击者使用的一种简单的i d s 逃避方法是路径模糊。这种技术的中心 思想是改变路径，使它可以在不同的出现方式下做同样的事情。这种技术在u r l 中频繁的使用，用来隐藏基于h t r p 的攻击。攻击者通常利用反斜线符号、单点 顺序、双点顺序等来模糊路径。 协议分析可以处理这些技术，因为它完成w e b 服务器同样的操作，在监听 h t r p 通信时，i d s 从u r l 中析取路径并进行分析。查找反斜线、单点和双点 目录，并进行适当的处理，在完成“标准化”u r l 操作后，i d s 搜索合法的目录内 容以确定异常。 展示i d s 识别并“标准化”u r l 的实现步骤如下： 解码i p 报头来检测有效负载包含的协议。 解码t c p 报头，查找t c p 目的端口号。假定w e b 服务器监听端口为8 0 ， 如果目的端口为8 0 ，则表明用户正在发送哪请求给服务器。 依靠h t r p 协议分析将该请求进行解析，包括u r l 路径。 通过处理路径模糊、h e x 编码、双重h e x 编码和u n i c o d e 来处理u r l 路 径。 分离模糊路径，并进行异常匹配，在匹配成功时发出警告。 这是协议分析真实工作的例子，网络入侵检测识别所有这种攻击的唯一方法 就是执行协议分析。 特征检测最大的优点是可以通过提高行为特征定义的准确度和覆盖范围，大 幅度降低漏报和错报率；最大的不足是要求严格定义安全策略，这需要经验和技 巧，另外为了维护动态系统的特征库通常是很耗时的事情。 由于这些检测各有优缺点，许多实际系统通常同时采用两种以上的方法实 现。 2 4 入侵检测系统的特点及局限性 入侵检测系统是企业安全防御系统中的重要部件，但入侵检测系统并不是万 能的，入侵检测对于部分情况可以处理得很好，但对于另外一些情况则无能为力。 只有充分了解入侵检测系统，并将之有效地应用在安全防御系统中，才能最大限 度地发挥它的安全防御功能【1 5 】。 1 入侵检测系统的优点 入侵检测系统作为一个迅速崛起并受到广泛承认的安全组件，有着很多方面 的安全优势： 可以检测和分析系统事件以及用户的行为； 可以测试系统设置的安全状态： 以系统的安全状态为基础，跟踪任何对系统安全的修改操作： 通过模式识别等技术从通信行为中检测出已知的攻击行为； 可以对网络通信行为进行统计，并进行检测分析； 管理操作系统认证和日志机制并对产生的数据进行分析处理； 在检测到攻击的时候，通过适当的方式进行适当的报警处理； 通过对分析引擎的配置对网络的安全进行评估和监督； 允许非安全领域的管理员对重要的安全事件进行有效的处理。 2 入侵检测系统的局限性 入侵检测系统只能对网络行为进行安全审计，从入侵检测系统的定位可以看 出，入侵检测系统存在着以下不足： 入侵检测系统无法弥补安全防御系统中的安全缺陷和漏洞。这些安全缺陷 和漏洞包括其他安全设备的错误配置造成的安全漏洞以及安全设备本身的实现 造成的安全缺陷。入侵检测系统可以通过审计报警对这些可能的安全漏洞进行揭 示和定位，但却不能主动对这些漏洞进行弥补，而只能通过人为的补救处理才行。 基于知识的入侵检测系统很难检测到未知的攻击行为，也就是说，检测具 有一定的滞后性，对于已知的报警，一些没有明显特征的攻击行为也很难检测到， 或者需要付出提高误报警率的代价才能够正确检测。而基于行为特征的入侵检测 系统只能在一定程度上检测到新的攻击行为，但一般很难判断新的攻击定性，提 供给系统管理员的处理信息较少，很难进行进一步的防护处理。 入侵检测系统无法单独防止攻击行为的进入，只能调整相关网络设备的参 数或者人为地进行处理。由于入侵检测技术不可避免地存在着大量的误报情况， 因此进行自动防御会造成对可信连接的影响。目f j i 的入侵检测系统在实质性安全 防御方面，还是要以人为修正为主，即使是对可确定入侵的自动阻断行为，建议 也要经过人为干预，防止可能的过度防御。 i d s 缺少对检测结果做进一步说明和分析的辅助工具，这妨碍了用户进一 步理解看到的数据或图表。 产品适应能力低：传统的i d s 产品在开发时没有考虑特定网络环境的需 求，千篇一律。网络技术在发展，网络设备变得复杂化、多样化，这就需要入侵 检测产品能动态调整，以适应不同环境的需求。 i d s 缺乏国际统一标准： 没有关于描述入侵过程和提取攻击模式的统一规范。 没有关于检测和响应模型的统一描述语言。 检测引擎的定制处理没有标准化。 评价i d s 产品也没有统一标准。对入侵检测系统的评价目前还没有客观的 标准，标准的不统一使得入侵检测系统之间不易互连。随着技术的发展