（计算机系统结构专业论文）基于主动网的自适应入侵响应系统的研究和实现.pdf

摘要 摘要 随着h l t 咖e t 的蓬勃发展，网络攻击事件也呈现增长的趋势。目前对入侵防范的研究主要偏重于入侵 检测。众所周知，入侵检测系统( m 吣i o nd e t e c t j s v s t e m ，简称s ) 的误报和漏报不可避免，尤其是 在大规模网络环境中，往往使安全管理员淹没在大量的警报中。对用户而言，网络安全体系中检测和响应 同样重要。但是，长期以来响应技术的研究未受到重视，主要依赖于人工响应由于响应及时性不够并且 无法处理大规模高速网络中大量的安全事件，使得该方法已经不能够满足目前对入侵响应的需求。自动入 侵响应系统( i n n l i s i 伽r e s p s es y s t 咖，简称峪) 的研究尚处于初期阶段，响应决策大都使用传统的基 于分类的决策模型，响应的合理性和适应能力不够理想。 本文在分析了网络攻击的特征后，提出在已有成熟皿s 的基础上建立一个面向大规模网络的自适应入 侵检测和响应系统a n - a i d r s ( a c 石v e - n e 咐o r kb 勰e d a d a p 廿v e i 咖s j o n d e t e c t i o n 锄d r e s p o n 辩s y s t e m ) ，该 系统以主动网为平台，由多个分布式入侵检测代理m a ( i n 仃1 i s i 伽d e t e c t i a g t ) 和中央处理节点a 瓜s ( a d a p n v el n 岫i o nr e s p 叽辩s y s t e m ) 组成。a 对本地d s 的报警进行简单的预处理，a 岱的主要功 能是实时汇聚分布在大规模网络中d a 的入侵警报，在此基础上实现报警事件的全局分析和自动响应。本 文的研究主要是围绕着a i r s 中涉及到的关键技术展开的，a i r s 的关键技术包括全局事件关联和基于代价 的自适应响应决策。 全局事件关联的主要目的是对m s 输出的报警进行处理使得对应每次攻击的发生仅产生一个报警事 件，从而避免响应系统做出多余的响应。本文提出一个多步全局事件分析模型m s - g a c m ( m u l t i s t 印g l o b a i a l e r t c o r r e l a t i 仰m o d e l ) ，该模型包括冗余消除、事件合并、事件聚集以及复合攻击识别四个串联子算法。 其中冗余消除模块位于本地m a ，其主要目的是对单个d s 的重复报警进行消除，位于中央节点的事件合 并子模块首先对多个d a 传递过来的重复报警进行合并，然后交由事件聚集子模块，该模块根据攻击属性 对报警进行聚集，以发现大规模的单步攻击，最后复合攻击关联子模块根据攻击的因果关系对报警进行关 联，实现对网络复合攻击的识别。 目前的自动入侵响应系统均采用基于分类的响应决策模型，该模型的主要缺点在于没有统一的响应目 标，且响应策略对环境变化的适应性不理想。本文借鉴w e n l 【el e e 的成本敏感模型的思想，提出基于代价 的自适应响应决策模型。该模型综合考虑攻击的危害和响应的付出。同时参考响应的历史成功率对攻击选 择最优的响应措施。该模型涉及两种代价：响应操作代价和残留损失代价，其中残留损失代价又包括攻击 已经造成的损失和响应可能给正常用户带来的负面代价。本文给出了攻击残留损失代价的具体量化方法， 并通过将代价转换为攻击损失代价的计算从而实现代价的统一量化。为提高响应的自适应性，响应执行后 系统继续关注攻击的状态动态调整响应措施直至攻击完全停止。 在对a i r s 的关键技术讨论之后，本文提出各个功能的实现模型，然后在此基础上进行测试。实验的 主要内容包括冗余消除、事件合并、事件聚集、复合攻击关联算法的能力，结果证明a 峪具有较强的全 局事件关联能力。对响应决策算法的分析表明，该算法综合考虑了各种因素，能够根据代价对各响应措施 进行排序，并选择最合理有效的响应措施。 关键词：入侵检测，事件关联，入侵响应，响应决策，自适应 东南大学硕士学位论文 a b s t r a c t w i t ht h ed e v e i o p m e n to fi n t 锄e 砒t a c k sa 嘴b e c o m i n gm o r en 啪e r o u sa n ds o p h i s t i c a t e d t h ec u r r e n t 碑s e a r c h p 托v c n t i n g m 仃u s i o n sf b c u 靶so ni i l 缸l s o nd e t e c t i o ns y s 【e m ( ) s ) w ek n o w 也a t 自卫s en e g a t i v ea n d f a l s ep o s i t i v ea l 叭sa r ei n e v i 乜b l et o ) s s i ta l w a y sl e t ss e c t ym 卸a g 盯n o o d e dw 讧h m 锄ya j e r 峨e s p e c i a i l y 缸h i g h s p e e dl a r g e - s c a l en e t v o t ol l s e 珥，b o t l ld e 蛐r 锄dr e s p o i l d e rp l a y 山es 础i m p o n 锄tr 0 i e i n c o u n 蛔砒gn e “v o f k b a s e di n m 巧i o 船f o ral 伽g 岫e 瑚e a r c h 舒o nf 嚣p o n 辩t e c h l l j q u ea 陀a l w a ”i 印o r e d m a i n i y 托b ，i n go n 血锄i i a l 化s p o n 辨b e c a u o f 如s l a w n 髓si n 礴s p o n ，t h e 蚴u a l 坞c 锄o ts a t i s 母血e p r e s e n tn e e d so fi t 眦i 他s p m 辩0 nt h eo l 盯h 卸血d i e 他辨嗽h 蚰a u t o m 疵dm 仃世i o nr e s p c 皿s y s t e m ( 峪) j ss 咖ii ni bm i 石v es t a g e 1 b ec i a s s 访c 砒i b a s e dd e c i s i o 皿o d e ibw i d e l y 峭e d ，b u to n j yf 押缸t o r s h 驯eb e 即t a k 朗i i l t 0c o 璐i 姗i o ni nm 锄y 峪s a sar e s u knc 姗o ta l w a y sm a k ef e 越o n a b l ed i s i o 衄，锄d “s l 忸r dt oa d a p tw i 血v i r o 衄e t a f t 盯勰a i y z 砸g 也ec h 越孤毫e 璐o fn e 觚。呔a t t a c l c 3 。t h e 也e s i s 呻e n t st h eb u i l d i n go fa n - a ) r s ( a c t i v e n e t w o r i 【b 笛e da 血p t i v ei n t r u b i d e t e c t i 柚dr e s 阿雠s y s t e i n ) w h i c hi sb 鹋e d 伽e x 衙i n gm s s 1 1 1 i s s y 辩mi sb u i n 佃a c t i v e n e t 、v o 出；i n c i u d i l l gac 印t 盯 j r s ( a 血p t i v ei n n l l s i r e s p s y 啦m ) a n d 靼啪i d i s 岫u i e dd a s ( i n 仃啦i 仰d e t e c t i 册a g e n i ) 1 1 1 e 劬c 石o fa i r si sm a i l l l yt 0 坤a i - t i i l l ec o i l e c t 山ej n 廿憎i a i e sp r o v i d e db y 皿a sw h i c hd b 订i b u 把i nai a r 窖e s c a l en 咖o a n dt h e nt o 托a i i z eg l o b a la i e nc o r 障k n i o n 孤d a u 协m a 叫陀sp i ) i l 辩t h ec 呲n to fn l e 山e s i sm a i n i y m c i u d e s 也ek e yt e c l l n 0 1 0 9 i 髂j n v o i v e di a i r sw h i c ha 他 g i o b a ia l e r tc o r 托l a 士i a n da d a 硼v ei n m 玛i r e s p o n s eb a d 仰c o 啦 g i o b a ia l e nc o 鹏i a ：t i a 吼s t op r o 器a i e r t so u t p u 删b yd i 成咖t d s s 鹋t o p r e v 阳t a 峪劬m 蛐g 哪e c e s s a l y 聘s p o n s 器n et l l e s i 5p r o p o s 船am u l d s t 印g i o b a la l e nc o l a t i o nm o d e l ( m s g a c m ) 、= v h i c h i n e i u d 懿r e d d a n c ef e d u c m 岛a l e nc om _ b m 舀a i 盯tc l u 蛐；r i n g 锄dc o m p o u n d 砒i a c kc o n t l a 血g ，r e d u n d a n d u c i l l 窖蛐b - m o d e ls t a n d so nl o c a i ，i d a a i l i bt o 坤d i i c er 印e t i t i v ea j e f c so fi o c a i ) s a j e r tc o m b i i i gs u b m o d e l 缸tc 鲫b i n 嚣r e p c t i t i v ea l e r b 湖e 丘d md i f f e r 锄td a s ，如dt h 蚰咖s f e r st h 锄t oa i e r tc l u s t e l i l l g 如b m o d e l w h i c hc l 岫t e 硌a l e 啦扯c o r d i 窖t o 删b u t o fa l e n s ，t 1 1 i sh e 幛t 0i d 锄t 晦l a r g e a l ea 士t 孔l 【s 1 n 也e 朗d c 0 l p o u n da t t a c kc o 矾l a t m gs u b m o d e lc 0 仃e i a t e ss t e p so f c 优p o u n da n a c k sb a do np 陀m q u i s j t e ，c o n q u 印 c u 嘲tm s sa d o p t 仃a d i t i a lc i a s s i f i c a t i b a s e d 溺p o n 辨d e c i s i m o d e l 抛d e 缸i e n c yl i e s 缸山a ti tl a c k s 吼i 厅e d 瑚p o n 辩g o a l 卸di 乜麟p s ep o i i c yi s o tw e a d a p t i v et o 胁v 的n m e tc h 卸g e s n i st l l e s i sp u 协 f o 州a r dt h ec 傩tb a 卵da 挪t i v er e s p o n d e c i s i 叩m o d e l ( c a l m m ) m s p i r e db yw k el c e 色c o s ts 如s n i v e m o d e lt h i sm o d e it a l 【船i n t oa c c 0 岫tb 0 恤t l l et h r e a to f a n a c l ( s 锄dt h ec o s to f n s p o 璐e ，锄dc h o o s e s 血eo p t 删 r s p o n 击r o mi h ew h o l ep r p e mr e f h r i n gt os u c c e s sr a t eo f c ht e s p o n s em e 私l 】r 鹤t h em o d e li n v o i v e st w o c i a s 蝤o fc o s t sw h i c h 玳r e s p o s ec o s to 屺) 柚dr e s i d d a i n a g ec o s t ( r d c ) t h et h e s j sg i v 姻t b e q 啪t 湎c 撕m e t l l o do fr d c ，姐dc o n v e n st h eq u 趾t i f i c a t i 伽o fb o t hc i 觞s 铭o fc o s t si n t o 血m a g e 虬t h 峙 i m 墒岱t h eq u 锄6 f i c a t i o nc o s t ho r d e rt oi i i l p v et o b u s t 如da 出p ta b i l i t yo ft h es y s t e 【i i ，i ts i i l ip a y s 砷【e 1 1 t i o nt o t h e 砒i c kd u 血g 瞄p o n s ee x e c u t i n 舀甜j u s t i i l gf e s p c i n m r 嚣d 萍嘶c a l l yu n t i l 擞ks f o p s a f i e rt h ed i s c 世s i o no nk e yt h n o l o g i e sj na 塔，t i l et l l e s i sd i s c u s s e s 吐l e a l i z a t i m o d e io fe a c hm o d u i e a n dt h e “劬e n t t h em a i nc t e mo ft h e 蹦p e r i m e tj n c i u d e s 锄a l y z j 】唱t h ec 印曲i l n yo fe ha 培o r i m mo f m s g a c m e x p c r | 衄e n t 他叫h sp r o v et l l a ta i r sh 越s 仃_ o n g 他d 岫d a i l c er e d u c t i o n ，a l e nc o m b i n g 龃dc o m p o 岫d 毗a c kc o n l a t i 彻c a p a b i l 咄f o rc a r d m ，i tt a k i 1 1 t o 扯c o 叽tp i e n l yo ff h c t o 巧，如dt i l 印m a k 髑托a s o l l 曲l e d e c i s i o 雎b ye s t a b i i s h i n g 锄油o f p o s s i b l ef 豁p o 睢豁f b ras p e c i 疗ca t i a c k 姐dc h o o s m g 山eb 髓to n e k c y w o r d s ：i i l 仉l s j 彻d e t e c t i o n ，a l e r tc o n l a t i o n ，h l 仉l s i 彻r e s p 彻，r e s p o n d e c i s i o n ，a d a p t i v e 目录 图目录 图2 1a n e p 报文格式8 图2 - 2d 陋f 数据模型各主要部分之间的关系。l l 图3 - i 自适应入侵响应系统的系统结构图一1 3 图3 - 2 入侵检测代理l a 结构图1 4 图3 3 基于主动网的入侵响应系统部署方案1 5 图3 4 多步全局安全事件关联模型m s g a c m 1 6 图4 1d d o s 攻击的超报警关联图2 0 图4 2 攻击类型维2 2 图4 - 3s r t 检测一次p o r ts c 攻击的输出2 3 图4 4 冗余消除算法处理流程2 4 图4 5 冗余消除规则定义2 4 图4 - 6p o f t 锄扫描攻击的冗余消除规则2 5 图4 7 事件合并算法处理流程2 7 图4 8 事件聚集算法处理流程。2 9 图4 9 事件关联规则定义3 l 图4 - 1 0s a d 虹砌p i n g 攻击的关联规则3l 图4 - l l 复合攻击关联算法处理流程3 2 图5 1d s 的报警矩阵3 4 图5 - 2 响应代价量化定义一3 7 图5 - 3 攻击目标相关属性定义一3 8 图5 - 4 响应决策算法处理流程 图5 5 响应状态变迁图 ：1 9 z l ( 1 图6 1 系统数据库a h 实现4 l 图6 _ 2 原型系统的运行主界面4 2 图6 3 系统测试环境。4 2 图6 4 接口代理转换超报警为m 砸f 消息“ 图6 5 系统输出的复合报警序列图一4 6 图6 6 复合报警关联图4 6 图6 7 目标属性举例4 7 图6 8 对应d d o s 攻击的各响应方式的操作代价、残留损失因子以及负面损失代价4 8 图6 - 9 对应p o t - s c 姐攻击的各响应方式的操作代价、残留损失因子以及负面损失代价4 8 表目录 表2 1 现有入侵响应系统的分类7 表2 2 响应策略表7 表4 - 1 攻击空间关联特征举例2 2 表4 - 2 s 收到的原始报警一2 6 v 东南大学硕士学位论文 表4 3 经冗余消除后得到的超报警2 6 表4 4 事件合并模块的输入2 8 表4 5 事件合并模块的输出2 8 表4 6 聚集规则举例2 9 表4 7 事件聚集模块的输入3 0 表4 8 事件聚集模块的输出，3 0 表5 一l 响应代价模型3 6 表5 2 攻击损失代价量化3 7 表5 3 攻击目标重要性( 谢n c a l 时) 量化一3 8 表6 - l 冗余消除规则举例4 3 表6 2 冗余消除算法测试结果4 3 表6 _ 3 事件合并算法测试结果4 4 表6 4 事件聚集算法输出举例4 5 表6 5 事件聚集算法测试结果4 5 表6 - 6 攻击的前因后果谓词。4 5 表6 - 7 各响应方式对应的操作代价、残留损失因子以及负面损失代价4 7 v i 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得东南大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 研究生签名： 盅匝i 日期：兰! z ：! ：呈 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位 论文的复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人 电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文外，允许论 文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分内容论文的公布( 包 括刊登) 授权东南大学研究生院办理。 研触繇斗翮躲汹日期： l p， 第一章绪论 1 1 研究背景 第一章绪论 随着b t m e t 的迅速发展，网络安全问题日益突出，甚至制约了h t e m e t 的生存和发展。这主要是因为， 一方面h t 印1 e t 的开放性和自由性为网络入侵的肆虐创造了条件，另一方面网络入侵事件不断增长，其技 术也不断进步。据c e r t k o 口叩u t e rb m e r g c yr e s p s y s t e m ) 年度报告【1 1 显示，网络入侵事件从1 9 8 8 年 的6 例上升到2 0 0 3 年的1 3 7 ，5 2 9 例，呈几何上升趋势。不仅是数量的增长，攻击的手段也越来越复杂， c e r t 在其2 0 0 3 的年度报告指出“j ，越来越多的攻击采用脚本等自动工具发起大规模的分布式拒绝服务式 攻击，如w 3 2 ，s o b i g fw o 咖和m s s q ls e r v e rw 明t 删3 2 s i 瑚盯等。 由此可见，对网络入侵的防范已成为一个亟待解决的问题。网络入侵的防范主要分为入侵检测和入侵 响应。网络入侵检测技术经过多年的发展其体系结构已相当稳定，技术也相对成熟。而入侵响应技术的研 究却相对滞后，直到近年来才得到重视且主要停留在人工响应阶段。但是对目标系统而言，检测与响应 同样重要，检测是响应的基础，及时有效的响应才是最终目的。 尽管现在的入侵检测系统( i n n l i s i d e t c l c t i s ”t e m ，简称d s ) 可以比较及时检测到攻击的发生， 但是从m s 报警到管理员发起响应其间的时延是不确定的从几分钟到几个月不等，这就给攻击者提供了 可利用的时间窗。c o b 通过仿真研究了该时间窗对入侵成功率的影响p j ，研究表明攻击者获得成功的概 率随该时间窗的增加而大大提高。目前普遍采用的p 2 d r ( p o l i c y ，p f o t e 州o n d e i e c t i o n ，r 嚣p ) 动态安全 模型同样指出了时间对入侵检测和响应的重要性。该模型给出了安全的一个全新定义：“及时的检测和响 应就是安全”，“及时的检测和恢复就是安全”口“。可见响应的及时性对阻止入侵的发生是至关重要的。 近年来主动网络技术的研究得到迅速发展，由于主动网络技术提供高度定制的结构以允许用户对路由 器、交换机等设备重新编程和定制因此基于主动网络可以开发出具有更大灵活性、适应性，功能强大， 效率高的入侵响应机制。参考国内外的研究成果，我们认为主动网络是网络发展的一个方向，主动技术应 用于网络安全领域是一条可行之路。 1 2 论文研究目标 鉴于目前i n t e m e t 上攻击技术的不断演化，尤其是大规模自动化入侵的出现给网络用户带来了重大损 失，给i n t e m e t 的生存和发展造成了严重的威胁。考虑到现有的入侵检测技术和自动响应技术仍然不能很 好的满足目前大规模互联网络对d s 的要求，本文在研究了国内外相关理论的基础上设计并实现了面向 大规模互联网络的分布式入侵检测和响应系统，利用多个结点间的协作，尽早发现攻击，并及时做出响应。 该系统对若干d s 的报警信息进行综合全局的分析，消除误报和冗余报警，将逻辑上相关联的报警合并成 单个警报。在成本敏感模型的基础上提出了基于最小代价的响应决策模型，并采用自适应技术提高响应决 策和执行的有效性。 本文研究内容主要涉及两个问题： ( 1 ) 全局事件关联 当前入侵检测系统的一个突出问题是存在大量的误报和冗余报警即报警与攻击的发生并非一一对 应，使得安全管理员和自动响应系统淹没在报警的海洋中。过多的报警使得入侵检测系统成为网络安全的 “鸡肋”。实际上许多事件在逻辑上是相关联的，如果能将这些事件关联起来作为一个警报，则能够极大 减少警报的数量和误报率，从而提高响应的效率。本文提出一个多步全局事件关联模型，该模型旨在消除 东南大学硕士学位论文 误报和冗余警报，并发现报警之间的逻辑关系，合并相关联的报警，以提高自动响应系统的响应效率。 ( 2 ) 响应决策和执行问题 入侵响应系统的目的是对发生的攻击做出合理有效的响应。响应系统主要包括响应的决策和执行，本 文的响应决策算法以w e n k el e e 的成本敏感模型【4 j 为基础，以系统总代价( 响应代价和损失代价) 最优为 目标，同时根据响应措施的成功率进行响应决策成功率越高的响应措施被选用的概率越大。在响应执行 方面，支持响应的自适应性，随着攻击的进行撤销不合理的响应措施，实现新的响应措施，即如果攻击危 害程度变大则采用更严厉的响应措施，如果攻击危害程度降低则改用较温和的响应措施。 1 3 论文章节安排 本文大致可分为三个部分：其中第一部分包括第一章和第二章，简要介绍了入侵检测和入侵响应以及 相关技术的研究现状，并提出本文的研究目标；第二部分包含第三章至第六章，设计了基于主动网的分布 式自适应入侵响应系统的系统结构，详细介绍了全局事件关联算法和基于最小代价的响应决策算法，以及 系统的实现；第三部分包含第七章，对论文进行了总结，提出了未来工作和相关展望。 第一章绪论：首先介绍了论文的研究背景，并提出研究目标和主要研究内容。 第二章入侵检测及响应技术概述：首先对入侵技术进行了分析，介绍了入侵检测系统和报警关联技 术的研究现状。然后介绍了入侵响应的研究现状，主要包括入侵响应系统以及响应决策模型，最后介绍了 主动网的相关技术和入侵检测消息交换格式c i s l 及d m e f ，引出本文的分布式自适应入侵响应系统。 第三章自适应入侵响应系统总体设计：为了应对当前日趋严重的自动化、分布式网络攻击，必须采 用分布式的入侵检测和响应系统。本章提出了基于主动网的分布式入侵响应系统的系统结构，并简要介绍 了各模块的主要功能。 第四章全局事件关联模型：全局事件关联算法为本章的研究重点之一，本章首先对网络入侵事件进 行了形式化定义，在此基础上提出了一个全局事件关联模型，该模型主要包括冗余消除、事件合并、事件 聚集以及复合攻击识别等子算法。 第五章响应决策及执行：本章首先对d s 的相关属性进行了数学分析借鉴成本敏感模型提出基于 最小代价的响应决策模型，最后给出了自适应的响应决策算法。 第六章系统实现及测试：介绍了基于主动网的自适应入侵响应系统的系统实现，给出了各模块的测 试结果。 第七章结论与展望：对论文进行了总结，并对未来工作进行了展望。 最后是致谢、参考文献及论文发表情况。 2 第二章入侵检测及响应技术概论 第二章入侵检测及响应技术概述 计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力，但随着i n t e m e t 的日益普及，接入 网络的计算机数量迅速增加网络的入侵问题也随之突出起来。所谓网络的入侵是指对接入网络的计算机 系统的非法进入，即攻击者未经合法的手段和程序取得了使用该系统资源的权力。网络入侵是目前最受关 注、也是影响最大的网络攻击行为。为了对付这些攻击企图，可以要求所有的用户确认并验证自己的身份， 并使用严格的访问控制机制，还可以使用各种密码学方法对数据进行保护，但是这并不完全可行，而且访 问控制和保护模型本身也存在一系列问题，因此企图完全防止安全问题的出现在目前看来是不现实的。应 该检测出这些入侵以便及时阻止其进一步危害网络并修补这些漏洞。因此，入侵检测和响应是极其必要的， 它们将弥补传统网络安全措施的不足。 2 1 入侵技术分析 在8 0 年代早期，a n d e m 使用了术语。威胁”田，其定义与入侵含义相同。将入侵企图或威胁定义 为未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不可用。h e a d y 给出另外的入侵定义3 7 】：入侵 是指有关试图破坏资源的完整性、机密性及可用性的活动。同样。对于“入侵检测”的定义也存在很多提 法。s g 给出的关于。入侵检测“的定义口1 为：入侵检测是对企图入侵、正在进行的入侵或者已经发生 的入侵进行识别的过程。 2 1 1 典型的入侵步骤 瞬络入侵从步骤p 町上大致可以分为以下几步： ( 1 ) 信息收集，该步骤试图获取目标系统的信息如：操作系统的类型和版本，主要提供的服务和服务进 程的版本等，这些信息都会给入侵者提供帮助。 ( 2 ) 获取对系统的访问权力，包括读写文件，运行文件的权力。只要攻击者获得这些权力，系统的安全已 经丧失了。 ( 3 ) 获取超级用户的能力，利用( 1 ) 中发现的系统漏洞和( 2 ) 中获取的权力，攻击者就可以任意修改文件， 运行任何程序，留下后门，抹去入侵痕迹，即获取超级用户的权力。 ( 4 ) 实施攻击，获得了超级用户权力后，攻击者将可以实施各种攻击，包括使用本系统的资源甚至以本 系统为跳板，对其它系统实施新的攻击。 ( 5 ) 清除入侵痕迹。攻击者进入系统后，通常需要销毁入侵的痕迹，如删除相关日志等。 现在的入侵大都向大规模分布式的多步攻击发展，只有清楚了解入侵的大致步骤，才有可能发现这类 复杂攻击，仅仅发现攻击的某一步骤是远远不够的。 2 1 2 入侵分类 由于入侵的多样性和入侵手段的不断发展，目前还没有公认的标准的入侵分类方法，但是已经有很多 研究从不同的角度对入侵进行了分类。l i l l d q u 硫和j o s 【6 j 提出了“维”的概念。并根据入侵目标，入侵 技术以及入侵后果这三个维度对入侵进行了分类，按入侵目的可分为破坏形、渗透形以及跳板形；按入侵 技术可分为绕过访问控制、资源的主动滥用以及被动滥用：按入侵后果可分为泄漏、拒绝服务。w e n k e l e e “ 将入侵分为r o o rd o s 、r 2 l 和p e o b e 四类，其中r o o t 指非法获取超级用户权限，d o s 指拒绝服务 式攻击，r 2 l 指非法进入系统，而p r o b e 指扫描系统以收集系统相关信息。 3 东南大学硕士学位论文 网络攻击针对网络应用中的漏洞或弱点产生，而软件的漏洞几乎是无法完全避免的。刚开始新的漏洞 被有经验的入侵者发现，随后开发了利用该漏洞的工具，随着这些工具被越来越多的新手使用，逐渐成为 自动化、大规模的入侵工具，从而造成大范围的严重危害。事实上，入侵者寻找新漏洞的过程始终没有停 止过。在大规模的蔓延之前，大部分的入侵是可以预防的。入侵检测和响应的目的就是为了阻止入侵的蔓 延。 2 2 入侵检测与报警关联技术 2 2 1 入侵检测系统 入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。所有能够执行入侵检 测任务和功能的系统，都可称为入侵检测系统( h n r u s i d e t e c t i s y s 懈皿d s ) 。 根据检测分析方法的不同可将入侵检测系统分为异常检测系统和滥用检测系统，前者根据检测对象的 行为产生某种行为模式，然后根据对象当前行为和该行为模式获得对该行为的异常评价，根据某个异常阀 值触发报警；后者根据已有知识定义攻击行为特征或模式，利用这些特征或模式来匹配对象行为，匹配成 功意味着攻击被检测。异常检测方法最大的优点是能够发现未知的攻击方式，缺点是误报、漏报率高且 不适应用户正常行为的突然改变，在学习阶段可能被入侵者“训练”以使得入侵事件符合正常操作的统计 规律。解决这些问题形成了异常检测技术研究的热点；滥用检测方法的特点是误报率较低，但它对未知的 攻击方式无能为力。目前对它的研究热点主要集中于面向海量数据的实时检测算法方面。 根据目标系统类型的不同可以将入侵检测系统分为基于主机的入侵检测系统h m s ( h o s t b 罄e d l i l 吣i d e t e c t i s y s t m ) 和基于网络的入侵检测系统n m s ( n e t w o r kb e dh 仉i s i o nd e t e c t i 仰s y s t e m ) 。 h m s 通常部署在主机上，通过监视主机和文件系统的操作来寻找攻击特征，m d s 的主要不足是对基于网 络的攻击不敏感。n m s 通过检测网络传输来寻找攻击特征，n d s 能够监测整个网络，而不是单个主机， 但是无法知道主机内部的安全状况。 根据系统各个模块分布方式的不同，可将入侵检测系统分为集中式入侵检测系统和分布式入侵检测系 统。集中式d s 对单台主机的审计数据或网络流量进行分析，很容易成为系统的瓶颈和攻击的主要目标。 分布式d s 采用多个代理分布在网络的各个部分，分别进行入侵检测，并且可以协同处理可能的入侵行为， 这种入侵检测方式实现了功能和安全的分散，解决了单点失效问题。 目前入侵检测技术主要有三点不足之处：( 1 ) 误报率高，异常检测方法的误报率是公认的。( 2 ) 报警数量 太多，而且夹杂着大量的误报，往往使得安全管理员淹没于警报的海洋中，尤其是在高速网络环境中。( 3 ) 缺乏对攻击事件背后逻辑关系的把握，目前几乎所有的d s 都只能检测到一些原始的简单攻击事件，缺乏 对诸如多步攻击的有效分析，如端口扫描事件可能正是为进一步发起拒绝服务式( d i a lo f s e r v i c e ，d o s ) 攻 击收集信息。而d s 只能检测单步攻击，无法对这些逻辑上相关联的事件进行整体把握这就降低了管理 员和入侵响应系统做出正确响应的机率。为了解决上述问题，s 发展的一个明显趋势是安全事件的融合 与关联，实现全网安全事件的集中管理。 2 2 2 报警关联技术 报警关联就是对来自不同i d s ( 或其他安全设备) 的报警进行分析，消除重复报警，进行聚合和关联 等操作，以期得到比单一i d s ( 或安全设备) 对入侵和系统安全状态更精确、更可靠的估计和推理决策， 为自动响应打下基础具体而言，报警关联主要实现以下几个目标： ( 1 ) 冗余消除 网络中不同d s 针对同一个安全事件可能都产生报警，即使是同一i d s 也可能对某个安全事件产生多 4 第二章入侵检测及响应技术概论 个报警。冗余消除的目的就是消除单一或不同s 对同一安全事件的重复报警。 ( 2 ) 降低d s 的误报率和漏报率 目前，没有哪个d s 能够检测到所有的网络攻击，通过不同d s 的协同，将多个s 的报警进行关联， 不但可以消除某些孤立和随机事件产生的误报警，降低误报率，还可以相互补充，防止漏报的发生。在文 献【7 】所进行的实验中使用了s n o n 和e m e 黜u d 两种s ，实验结果表明两种d s 之间可以相互补充，对两者 的报警进行关联就可以得出一个全面的攻击情况，从而降低漏报率。 ( 3 ) 发现高层攻击策略 通过分析安全事件背后的逻辑关系，将入侵过程的一系列攻击活动关联在一起重建攻击过程这样就 可阻对入侵的整体情况进行描述，有利于对入侵的理解，发现攻击策略，克服了以往i d s 检测结果过于粗糙 和底层的缺点，避免了“只见树木不见森林”的负面效果，为入侵响应、入侵意图识别和入侵行为预测打 下了基础。 目前，国内外已有很多对于报警关联的研究，可以将其分为三类：报警聚集( a l e f t c l u 啦 n g ) 、基于 机器学习的关联算法( m a t c h i n g 愀f i n e da 姐c ks c 州) 以及基于因果关系的报警关联方法 ( n m q u i s i 懈吖c o 璐e q u 朗c 髓) 。 2 2 2 1 报警聚集( a l e nc l u s t e r i g ) 事件聚集的概念最初由v a i d e s 在基于概率的事件关联算法口l 中提出，该方法把报警事件定义为一个由 属性( 攻击源妒，攻击目标口，攻击类型等) 组成的向量，然后根据预先定义的事件e i 和关联队列中事 件e 2 之闻的相似性函数来计算他们之闯的相似度，如果当前发生的报警事件与已发生的报警事件之间的相 似度大于预定义的阀值则与相似度比较大的事件实体完成关联，否则，创建新的关联队列来容纳事件e i ， 并将其作为该队列的首事件。文献【8 】中作者提出的计算报警事件之间的相似度的计算公式为 & m ( x ，r ) = 目豇m ( 碜，玢) 巧。x 表示已存在的事件，y 表示新到达的事件，e j 表示属性j 的相 ii 似度期望，s ( ) ( j y i ) 表示属性x i ，y 之间的相似度。该算法对相似报警进行关联时非常有效，缺点在 于关联所需的知识需要依赖于专家知识库，相似度函数和匹配规则难以准确定义。 d e b a r h 在入侵检测事件的聚集和关联算法中提出了场景( s i t i i 砒i o n ) 例的概念，根据攻击源地址和目 的地址以及攻击类型将报警按场景归为7 类，如场景l 表示攻击源口地址、攻击目标m 地址以及攻击类 型均相等的报警。 f m d m 提出的。焦点识别1 1 ( f o c l l s 胁唧i t i ) ”算法中也使用了场景( s c 耐o ) 概念，该算法的 主要目的是发现涉及多个攻击的攻击源或受害目标( 奴雌) ，其中发起多个攻击的攻击源主要是针对一对 多攻击场景，当攻击源发起攻击的目标数大于预定阀值时将其归为s c 趾类攻击：涉及多个攻击的受害目标 称为多对一攻击场景，同样，当特定目标遭受攻击的攻击源数目超过预定阀值时将其归为d o s 类攻击。该 方法用于一对多以及多对一攻击比较有效，但是也具有一定的片面性，仅仅根据攻击源和受害目标的数量 进行焦点识别，忽略了攻击类型等其它属性。 2 2 2 2 基于机器学习的报警关联方法 d a i no 提出基于机器学习的关联算法【l j 】，首先通过机器学习或数据挖掘的方法对攻击过程进行训 练，生成事件关联线程，每个线程表示一个行为或组织的行为方式。该方法采用了一种比较咿位值的方法， 其中定义了一个数量级，表示两个地址中连续相同的位数，若，卸，则两个口不可能来自相同的子网t 若 ，_ 3 2 则两个口是相同的。每当一个新的报警产生时，计算其属于不同线程的可能性，并将报警添加到可 能性最大的线程中。如果与所有线程比较所得的可能性都低于预先设定的阀值，则创建新的线程。这种方 法的关键是如何获得攻击过程和关联规则 东南大学硕士学位论文 2 2 2 3 基于因果关系的报警关联方法 目前研究的比较成熟的是基于先决条件的关联算法“。任何攻击都具有前因和后果，所谓前因就是攻 击要实施所必须具备的前提条件后果指攻击成功实施后所造成的结果。通过比较先发生事件的后果与后 发生事件的前因对报警进行关联。这种方法不必事先知道整个攻击过程，只需指出攻击的前提条件和可能 造成的后果就足够了。同时该方法还可以识别和报告不同攻击组合形成的新攻击过程。这种方法的不足 之处是不能处理未知攻击( 不知道其前因、后果) ，且只适用于攻击步骤的关联。另外，由于关联时搜索空 间较大对计算资源消耗大，处理时间长，不太适合实时在线操作。 2 2 2 4 其他报警关联方法 m s s h i i l 提出基于数据挖掘的报警关联分