（计算机应用技术专业论文）网络入侵检测系统的研究与设计 (2).pdf

摘要 入侵检测系统是通过监控网络与系统的状态、行为及系统的使 用情况来检测系统用户的越权使用和系统外部的黑客入侵，并采取 相应的响应措施来阻止入侵活动，是一种动态的安全防护措施，是 传统防火墙的必要补充。 高速网络是当今网络发展的必然趋势。随着网络速度的迅速提 高，各种攻击手段的层出不尽，现行网络入侵检测系统( n i d s ) 很 难适应当前高速网络环境而导致大量的漏检现象。为了解决这一难 题，本文针对入侵数据包只占网络总流量极少一部分的特点，作了 大量研究工作。 1 对入侵检测系统模型及国内外的各种入侵系统进行了详细 的分析，从整体上把握当前的发展现状与趋势。 2 对t c m p 协议本身的安全性作了全面的研究，从根本上掌 握各种安全缺陷的来源，为后续的研究工作打下了基础。 3 对网络入侵检测系统的整体结构和各个功能模块进行了研 究与设计，特别是对检测引擎中的匹配算法进行了全面分析。 4 研究并设计了一套硬件入侵检测系统。该系统中运用了本文 提出的基于表征值的多模式匹配算法。该算法针对在实际网络中系 统资源的消耗主要不是用于对入侵包的检测，而是用于对正常数据 包的穷举匹配的特点，采用两次匹配的方法，通过简单快速的第一 次匹配过滤掉大量完全不可能匹配的无关信息，然后再进行第二次 精确匹配。这种匹配方式完全改变了当前一次性匹配算法的思想。 第一次匹配相对简单，可由硬件快速实现，解决了当前复杂的匹配 算法很难用硬件实现的难题，大幅度提高了匹配速率。 关键词入侵检测，硬件入侵检测系统，表征值，多模式匹配 a b s t r a ( 玎 i n t m s i o n ( 1 e t e c t i o ns y s t e mi sak i n do fd y n 锄i cs a f e 眵- d e 角n d m e a s u r et 0d e t e c ta t t a c l ( s a g a i n s tc o m p u t e rs y s t e ma i l d t i l eu s e r s e x c e s s t v e 鲫t i l o r i t ) ，b ym o n i t 蕊n gt h es i t u a t i o na n db e h a v i o ro ft i l e n e t 、o r ka n dc o m p u t e rs y s t e m i ti st h e n e c e s s a r ys u p p l 咖e mf o r 仃 m i t i o n a if i r e w a j l n o w a d a y s ，h i 咖s p e e dn e t w o r ki s m ei i l e v i 协b l et r e n d 晰mm e r a p i di m p r o v e m e mo fn e ts p e e da n dt 1 1 ee m e 玛e n c eo fv a r i o u s 撒c k i n g m e a l l s ，n l ee x i s t i n gn i d sc 锄o te 旋c t i v e l yd e a lw i t ht l l em i s s 吨 d e t e c t i v ei i l f o m a t i o nm1 1 i 曲s p e e dn e t w o i ki i lo r d e rt os o i v em i s p r o b l e m ，t i l ea u t h o rm a k e sm u c hr e s e a r c ho n “： 1 na n a i y z e st h ei n 仇1 s i o nd e t e c t i o ns y s t e mm o d e l sa n dv a r i o u s i n t 】m s i o n s y s t e r n sd o m e s t i ca i l d a b r o a d s oi t g r a s p s n l ec u 小i n t d e v e l o p i i l gs i m a t i o na 1 1 dt 舶d e n c yo n t i l ew h o l e 2 i tm a l ( e sa l la l l a r o u n ds t u d y0 nt t l es e c 嘶够o ft c p 门 pp r o t o c o l s o 舔t 0g r a s pm eo r i g i n a ll i m i t a t i o 姗o fs e c u r i 哆a n dl a yab a s i sf 0 ri a t e r 、v o f k 3 n 咖d i e sa n dd e s i g n s 1 ew h o l es t m c t u r ea r l df h n c t i o n a lm o d u l e s o f n i d s ，e s p e c i a l l yp a 札e mm a t c h i n gi i l 廿1 ed e t e c t i o n 朋g i l l e 4 ni n v e s t i g a t e s 姐dd e v i s e sah a r d w a r ei i l t m s i o nd e t e c t i o ns y s t e l i l w h i c hf i r s t l yu s e sm 雌1 t i p a t t e mm a t c h i n g i tm a t c h e st w i c eb e c a u s ei ti s m ef h l l ym a t c h i n gf o rn o m l a lp a c l ( s ，n o tt h ed e t e c t i o na g a i l l s tm a l i c i o u s p a c k sw h i c hc o n s u m e s 脚【o s ts y s t e mr e s o u r c e s t h ef i r s tm a t c hd r o p sa g r e a td e a lo fi r r e l e v 觚ti l l f o m a t i o n ；t t l es e c o n do n ed e a l sw i t i lp r e c i s e m a t c h i n g 1 1 1 i sm e t h o di sq u i t ed i 仃e r e n t 散 mt l l ec u i t 蜘to n ea i l dg r e a t l y i m p r o v e sm ed e t e c t i v ee 街c i e n c yo ft l l es y s t e m t h ef i r s tm a t c hc a nb e r e a l i z e di r is i i n p l e ，f 缸th a r d w a r em a ts o l v 豁t h ed i m c u l tp m b l e mi n c u r r e ma i g o r i t t l r l l ( i ti sh 捌t 0r e a l i z et l l ec u r r e ma l g o 面h mi i lh a r d w a r e ) 1 1 u j sg r e a t l yi m p r o v e s l em a t c h m g s p e e d k e yw o r d si n t r u s i o nd e t e c t i o n ，h 袱1 w a r ei n m ，s i o nd e t e c t i o n s y s t e m ，e i g e n v a l u e ，n m l t i - p a 仉e mm a t c h i l l g 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致 谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果， 也不包含为获得中南大学或其他单位的学位或证书而使用过的材 料。与我共同工作的同志对本研究所作的贡献均已在论文中作了明 确的说明。 作者签名：刍遗盈日期：坦年玉月乏阳 关于学位论文使用授权说明 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文，允许学位论文被查阅和借阅；学校可以公布学 位论文的全部或部分内容，可以采用复印、缩印或其他手段保存学 位论文；学校可以根据国家或湖南省有关部门的规定送交学位论文。 作者签名：杰叠左导师签名：日期丛硅碰日 中南大学硕士学位论文 第一章绪论 1 1 引言 第一章绪论 随着网络技术的迅速发展，网络逐渐成为社会基础设施中最重要的一部分。 目前，虽然网络安全的研究越来越得到重视，但是黑客入侵事件却年年有递增 的趋势。 据统计，世界上平均每2 0 秒就有一起黑客事件发生，美国9 0 的公司及 政府机构曾遭到过黑客袭击，英国6 0 的在线公司曾被黑客光顾。从1 9 9 8 年 的莫里斯蠕虫病毒导致i n t e r n e t 网络严重瘫痪以来，黑客的攻击行为呈上升 趋势。1 9 9 8 年美国国防部的网站只受到5 8 4 4 次黑客攻击，1 9 9 9 年被攻击次数 高达2 2 1 4 4 万次。在国内，各种黑客事件层出不断，2 0 0 4 年1 0 月1 7 日国内 著名的杀毒软件厂商江民公司的网站也被黑客攻破，页面内容被篡改。 黑客入侵事件对计算机网络造成了巨大的损失，2 0 0 0 年2 月7 9 日，美 国雅虎等公司因黑客攻击造成的损失超过l o 亿美元。据估计，黑客使美国每年 的损失超过1 0 0 亿美元；在德国，黑客造成的损失也高达1 0 0 0 亿马克。 一般网络安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击这三个 方面。其中，黑客入侵攻击在主机终端时代就出现了，随着网络的发展，黑客 攻击从以主机为主转变为以网络为主，造成的危害越来越大。计算机病毒和拒绝 服务也给网络带来了很大的危害，严重影响了网络和系统的正常运行。 导致网络安全难以保障的原因有很多，首先是t c p i p 协议本身设计的不完 善，在设计时没有对网络的安全性作过多的考虑而导致网络协议的先天不足“。 其次是网络结构越来越复杂，很难进行全面的监控和管理，攻击者利用网络的 便捷性，可以对任何地区发起攻击嘲。接着是各种系统软件和应用软件变得越 来越复杂，规模远远超过以前。根据专家估计，平均每一千行代码中就隐含着 4 5 个b u g ，无论是霄i n d o w s 还是l i n u x 操作系统都存在系统安全漏洞”“”。最 后是众多的黑客网站不仅提供了大量的系统缺陷信息及相应的攻击方法，而且 还提供了大量系统漏洞扫描工具和攻击工具，攻击者利用这些工具可以轻而易 举的攻入具有安全缺陷的系统。当然，现在许多入侵者的背景和目的与以前 黑客也有很大的不同，以前黑客的目的主要是以好奇心和好胜心为主；现在的 黑客则明显带有犯罪目的，背后是一些拥有足够系统资源、入侵经验的竞争对 手或其它非法组织。 目前国内信息与网络安全的形势是非常严峻，有害信息、黑客攻击、病毒 危害、垃圾邮件、手机短信、越权访问、信息泄密一直困扰着网络用户和公安 中南大学硕士学位论文 第一章绪论 部门。为切实保障网络的正常运行和国家、网络用户的利益，公安部门提出了 建立网络儿0 报警系统，形成一个完整的网络保护体系。本课题就是网络1 1 0 报警系统中的入侵检测系统。 1 2 入侵检测系统的发展和国外现状 安全系统的目的是保护计算机系统或网络免受入侵者的攻击。一般而占， 安全系统具有几个重要特性：机密性、完整性、可用性、有责任性和正确性m 。 1 9 8 0 年，j 鲫e sa d e r s o n 首次提出了入侵检测的概念，追踪审计记录可以监 视入侵威胁4 1 。1 9 8 7 年，d o r o t h y e d e n n i n g 提出入侵检测系统( i n t r u s i o n d e t e c t i o ns y s t e m ，i d s ) 的抽象模型9 1 ，与传统加密和访问控制相比，i d s 是全 新的计算机安全措施。早期的入侵检测系统主要足利用主机操作系统的审计记 录来进行分析检测，早期的i d s 包括：a t t 的c o m p u t e r w a t c h ，t r w 的d i s c o v e r y 等。从9 0 年代开始，入侵检测系统逐渐向网络检测方向发展。典型的有l o s a la i i l o s 实验室的n e t w o r ka n o m a l yd e t e c t o ra ni n t r u s i o nr e p o r t e r ( n a d i r ) ，u c d a v i s 大学的n e t w o r ks e c u r i t ym o n i t o r ( n s m ) 等“。 目前许多国外商业网络安全公司推出了一系列的入侵检测产品，比较有名 的有： 1 c i s c o 公司c i s c os e c u r ei d s ，该系统包括控制器、传感器和检测模块。 其中控制器负责整个系统的管理控制；传感器负责对网络信息和主机信息进行 采集和分析，然后把经过初步分析处理的数据交给系统检测模块进行进一步的 处理，从而判断是否发生入侵行为。c i s c o 公司产品的最大特点是它和硬件紧密 结合，甚至有些入侵检测系统是针对某种特定类型的交换机设计的“4 。 2 i s s 公司的r e a ls e c u r e 系统，该系统采用分布式体系结构，系统分为 传感器和管理器两层，其中管理器包括控制台、事件收集器、事件数据库和告 警数据库：传感器则包括网络传感器、系统传感器和服务器传感器。r e a ls e c u r e 系统的特点是将攻击表示和攻击识别有机的结合在一起，其智能攻击识别技术 是当前i d s 系统中最为先进的系统“”。 3 n f r 公司的入侵检测系统n i d ，n i d 系统具有分布式的三层体系结构， 分别是网络传感器、管理界面和中央管理服务器，它是一个可以扩展的通用系 统工具，不仅可以进行入侵检测而且可以进行网络流量监控。该系统足被动地 监听网络，然后收集数据信息进行实时分析处理，当检测到攻击行为时发送警 报信息进行响应。n i d 系统采用n _ c o d e 语占进行描述，用户可以根据需要对攻 击标识进行修改和添加“。 2 中南丈学硕士学位论文 第一章绪论 4 c a 公司的s e s s i o nw a l l 入侵检测系统，该系统只需一次安装，系统会 扫描整个网段中所有传输信息来确定网络中的实时活动“”。 1 3 入侵检测系统的国内现状 虽然入侵检测产品在我国发展时间不长，但速度很快。截止到2 0 0 3 年5 月 3 1 日，通过公安部计算机信息系统安全产品质量检验中心检测，公安部l l 局 颁发销售许可证的i d s 产品共6 3 个型号。其中干兆i d s 设备有3 项，它们分别 是北京启明星辰信息技术有限公司的天阗千兆入侵检测与预警系统v 5 5 、成都 信息系统有限公司的鹰眼千兆网络入侵检测系统n i d s 1 0 0 0 和金诺网安公司的 k i d s 入侵检测系统“”。 1 启明星晨的“天阗”黑客入侵检测与预警系统。该系统是以协议分析技 术为核心，并且吸取了成熟的模式匹配技术，同时采用了下一代异常行为分析 技术，能够准确检测出各种已知和未知的攻击行为，具有全局性的网络安全管 理能力，以及大规模监控响应能力“”。 2 三零盛安的鹰眼千兆网络入侵检测系统。该系统采用并接方式接入千兆 网络，通过共享方式对网络数据进行侦听，实时截获网络数据流，识别和记录 各种网络攻击行为。它能根据用户定义的响应策略采取相应的报警响应措施， 切断攻击连接，并以s n m p t r a p ，m a i l 等方式及时将攻击信息通知用户管理员， 实现了入侵检测系统与防火墙的联动。 3 金诺网安公司的k i d s 入侵检测系统，该系统采用了s a f e b o o t 技术。在 主控界面中增加了事件分类归并树、事件分析器以及报警事件的分类窗口，既 具有良好的可视性，又体现出强大的分析功能，该产品具有数据库自动溢出处 理和后台自动数据记录等功能“”。 4 中联绿盟的“冰之眼”网络入侵检测系统，冰之眼i d s 包括网络探测 器、主机探测器和控制台3 部分，采用分布式结构。冰之眼网络探测器使用高 效的协议分析引擎，具有完善的i p 分片处理和碎片攻击检测能力。冰之眼主机 探测器能够进行网络包过滤和文件访问控制，对攻击能实时的检测与阻断，并 能够预防未知的攻击手段u ”。 1 4 入侵检测系统的研究意义与前景 虽然目前入侵检测技术不够成熟，但入侵检测系统在未来的经济发展、政 治稳定、网络安全和军事斗争中将起着越来越重要的作用。在企业中它可以及 3 中南大学硕士学位论文 第一章绪论 时发现、阻拦入侵行为，保护企业避免受到来自不满员工、黑客和竞争对手的 威胁。在舍融领域中，支付网关、网上银行都需要入侵检测系统的保护。在政 治上它可以有效地保障网络系统不受敌对国家黑客和反动组织的控制，充分发 挥舆论监控作用。在军事上它对保障国家安全起着不可替代的作用，能有效防 止敌对国家的破坏活动。科研单位、电子商务系统等领域中部需要有i d s 的保 护，另外i d s 在无线网络方面也有广阔的应用前景。 1 5 研究的内容和成果 本文首先系统地分析了现有的入侵检测技术和模型，针对当前入侵检测系 统中存在的问题进行了探讨，特别是针对高速网络入侵检测系统中关于匹配速 率问题进行了详细的研究，具体研究内容和成果如下： 1 对现有入侵检测领域的各种模型、检测技术进行了综合分析，详细研究 了各种方法的优缺点，从整体上把握该领域的当i ； 研究发展方向。 2 对t c p i p 协议的安全缺陷和改进方案进行了详细的分析，有利于自主 开发高效、安全的计算机软件系统。 3 针对当前匹配算法速率低，无法适应高速网络的问题进行了细致分析研 究，首次提出了基于表征值的多模式匹配算法，该算法是常规算法速率的1 5 2 0 倍，并可以用简单硬件实现，大幅度提高匹配处理速度。 4 提出并设计了一套硬件入侵检测系统模型，并对各个关键模块进行了详 细研究。 1 6 本章小结 随着网络的普及与发展，各种安全事件急剧上升，为了有效地保护网络安 全，入侵检测技术是必然的发展趋势，它能有效弥补防火墙的不足。但随着网 络速度的提高，各自攻击手段的变化多端，虽然国内外各种入侵检测系统都有 长足的发展，但还是很难适应高速网络的需求。本章分析了入侵检测系统的背 景、国内外现状与发展情况，并概要阐述了本文的研究内容和成果。 4 中南大学碗十学位论文第二章入侵检测模型与入侵榆测系统的研究 第二章入侵检测模型与入侵检测系统的研究 2 1 基本概念 1 9 8 0 年，j 硼e sp a n d e r s o n 第一次阐述了入侵检测的概念，并将入侵行 为分为外部渗透、内部渗透和不法行为，提出了利用审计数据监视入侵活动的 思想。1 9 8 6 年d o r o t h ye d e n n i n g 提出并建立了第一个实时入侵检测模型：入 侵检测专家系统脚1 。1 9 9 0 年，l t h e b e r l e i n 等设计了监控网络数据流的入 侵检测系统n s m ( n e t w o r ks e c u r i t ym o n i t o r ) 。 a n d e r s o n 将入侵定义为潜在的、有预谋的、未经授权的访问信息、操作信 息、致使系统不可靠或无法使用的企图，也就是任何试图危及系统资源的完整 性、机密性或可用性的活动集合。按入侵方式和结果将入侵行为分为：尝试性 闯入、伪装攻击、安全控制系统的渗透、泄漏、拒绝服务、恶意使用胁1 六类。 入侵检测是对网络或系统进行监视，发现各种攻击的企图、行为或攻击结 果，采取相应的响应措施以保护系统资源的机密性、完整性和可用性，是一种 主动的网络安全防御措施，有效弥补防火墙的不足，而且还能结合其它网络安 全产品，对网络进行全方位的保护，具有主动性和实时性的特点嘲。 2 2 安全体系模型与入侵检测模型 安全模型是用来描述网络安全与系统行为之间的关系，建立和分析安全理 论模型有助于更好地理解安全体系结构。传统的安全理论模型主要是多级安全 静态模型，是针对操作系统和数据库进行分级控制和管理。不同的密级包含不 同的信息，通常将密级从低到高依次分为开放级、秘密级、机密级、绝密级四 级。 现行入侵防范安全模型主要是p 2 d r 模型嘲，它引入了时间的概念，是一个 动态的安全模型。p 2 d r 模型主要包含了4 个部分，分别是策略( p 0 l i c y ) 、防护 ( p r o t e c t i o n ) 、检测( d e t e c t i o n ) 、响应( r e s p o n s e ) ，其中防护、检测、响 应围绕着策略组成一个完整、动态的安全循环。该模型是在安全策略的统一控 制和指导下，综合利用防护工具、检测工具了解和评估系统的安全状态，通过 响应措施来保护系统，各个部分的关系如图2 一l 所示。 5 中南大学硕十学位论文第二章入侵检测模型入侵检测系统的研究 图2 一lp 2 d r 模型示意图 p 2 d r 模型虽然是一个循环模型，但实际上它是一个螺旋上升的过程，每经 过一次循环，其安全防护能力便上升一个台阶。其中，策略是整个模型的核心， 它是系统为了达到一定的安全目标而采取的防范措施总和。安全目标并不是越 高越好，目标越高则会牺牲更多的使用简便性和网络运行速度等性能，而且实 施的难度也会增大。因此策略的制定必须按实际需要来确定，在制定安全策略 时，一般应遵循以下几个原则嘲1 ： l - 适用性原则，即安全策略必须和具体的网络环境相适应。 2 动态性原则，安全策略是具有时日j 性的，它应该随着网络的发展和环境 的改变而改变。 3 系统性原则，安全防护是一个系统化的工作，必须考虑整个网络的备个 方面。 4 最小授权原则，系统提供的服务越多，安全缺陷就越多。一般足将网络 中帐户设置，服务设置，主机日j 信任关系等配置设置为正常运行所需的最小状 态，该原则是网络安全中最重要的一个原则。 在安全策略制定之后，防护、检测、响应都是围绕着策略进行。防护是安 全的第一步，它主要包括系统的安全配置，安全措施的采取，安全规章制度的 制定。防护相对攻击而占总是滞后的，黑客攻击手段的发明总超前于防护措施 的采取，为了弥补这时间差，一般以入侵检测作为必要的补充手段。在发现 入侵行为后，系统采取一定的响应措施进行及时的响应，常见的响应措施有： 报告、记录、反攻和恢复。 入侵检测就是p m r 模型中的检测阶段，它是一个承接防护阶段和响应阶段 的动态过程，是防护阶段的补充、响应阶段的前奏。入侵检测模型从整体结构 上描述了入侵检测系统的轮廓，典型的模型有入侵检测专家系统( i d e s ) 模型 和c i d f 组织提出的c i d f 模型。 2 3l d e s 模型 6 中南大学硕十学位论文 第二章入侵捡测模型号入侵检测系统的研究 1 9 8 7 年，d o f o m yed 朗血1 9 首次提出i d e s 入侵检测模型，它是一个综合 的入侵检测系统，该系统用统计分析方法来检测非规则的入侵行为，同时使用 专家系统来检测各种已知攻击模式的入侵活动。该模型由主体、客体、审计记 录、系统轮廓、异常记录和活动规则六部分组成，是一种通用的入侵检测专家 系统模型，如图2 2 所示渊。 图2 2 入侵检测专家系统模型 其中主体对客体进行访问处理，主体是操作的发起者，客体一般是系统资 源等被操作的要素。 审计记录是主体访问、操作客体时产生的操作记录，在i d e s 中，审计记 录格式由六部分构成，即：( 主体，操作，客体，执行结果，资源，时间 。该记录表 示主体在什么时候对客体执行了什么操作，其执行结果是什么，使用了哪些系 统资源。例如，a 在上午9 点读取了文件b ，占用c p u 时间是4 s ，可以表示为 。 i d e s 模型需要预先建立用户正常行为轮廓，然后将正常轮廓和当前用户活 动的审计记录进行比较，如果有较大偏差，则表示有异常活动发生，如果偏差 很少就认为是正常行为。系统轮廓是由d e s 异常检测器观测所监控的计算机 系统上的活动行为而自动生成的，并能自适应地学习主体的正常行为模式。 d e s 统计异常检测器维护一个主体的统计知识库，其中包含主体的历史档 案信息。一个档案是用一组测量值来对主体正常行为进行描述。d e s 判断入侵 行为的过程是建立在统计数值基础上，这些统计值可以由一些参数来动态控制， 一般这些参数并不完全一致，其参数往往是针对某种特定的主题类型进行。 在i d e s 中，测量参数分为四类：活动强度测量值、审计记录分布测量值、 计算类别测量值和计算序列测量值。四种不同的测量参数用于不同的目的，活 7 中南大学硕十学位论文第二章入侵柃测模型与入侵拎测系统的研究 动强度测量值用来判断活动量是否正常，审计记录分发测量参数决定最近观测 的活动类型是否正常。分类和排序测量参数决定在给定类型的活动中，该活动 的历史行为是否i e 常。 i d e s 模型用一个向量q 来具体量化每一个测量参数，通过观测多个审计 记录上的q 值变化情况，选择适当的时间间隔对q 值进行分类，然后创建一个 q 的历史分布。为了更好的统一描述，一般使用另一个向量值s ，它是q 的一 种变换形式，从q 到s 的变换过程是一个从q 分布的百分位点到一个半标准分 布( t p r o b ) 百分位点的简单映射。 最后，通过多个测量参数进行综合处理得到一个统计量t ，由统计量来判 断当前状态是否正常。较大的t 值表示发生异常行为，较小的，接近零的t 值 表示正常行为m ，。 2 4 1o 值的计算 在统计模型中，q 值的汁算是关键所在，不同测量参数的计算方法各不相 同。 1 活动强度q 值的计算 活动强度测量值是跟踪不同时日j 间隔内所出现的审计记录数目，间隔值从 一分钟到一小时逐渐递增。该测量值能够有效检测到异常的突发事件。每一个 活动强度q 值在每一个新的审计记录生成时进行更新，设q 。为生成第n 个记 录的q 值，q 。+ l 为第n + 1 个审计记录后的q 值，则 q 一+ 1 - 1 + 2 ”t q 一 ( 2 1 ) 公式中的参数描述如下： “l 一第n 个审计记录时间与第n + 1 个审计记录时间之间的间隔。 r 一衰减速率，与测量值q 的半周期相关，r 值越大表示q 值越受最近生 成的审计记录的影响。当半周期为l o 分钟时，r 值为l o 艮( o 5 ，1 0 ) = o 1 0 。 当一个主体首次被审计时，主体没有历史记录，系统一般选择一个合适的 值作为统计值q 的初始记录。q 值是整个过去时期内测量情况审计记录的总和 并加上指数权重，越近时期的测量情况对该值的影响越大。 2 审计记录分布q 值的计算 该测量值跟踪所有在最近的过去时期内所发生的活动类型，其中最近的l o o 个记录对其影响最大。例如在最近接收的l o o 个审计记录中，3 0 个记录表示关 于文件访问，3 5 个记录表示c p u 使用时问的变化，2 5 个记录与输入输出操作 相关，1 0 个审计记录表示远程主机的活动。根据这些数据与先前历史活动的档 案分布进行比较，以确定最近生成的活动类型分布是否异常。该测量值的本质 3 中南大学硕士学位论文第二章入侵检测模型与入侵检铡系统的研究 是观测某一特定活动类型发生的概率是否正常，评估最近发生的动作类型与一 个长期档案中动作类型分布记录的一致程度。 对每一个动作，系统计算一段时间内动作出现的频率，用f m 表示。假设在 过去一段时间( 如一个月) 内，在所有的审计记录中有8 的记录是操作， 那么m d 操作活动类型的f m = 0 0 8 。从统计的第一天开始，第k 天的频率f m 计 算公示如下。 舢2 袁毛矾以曲“ ( 2 - 2 ) 公式中各个参数说明如下： k 一为用户首次观测日期到当天的天数。 b 一衰减率，一般选择值为o 0 3 3 。 w l i i j 一第j 天对应q 值在第m 个间隔内的审计记录的数目。 n k 一该用户首次被观测以来，所出现审计记录总数目的指数加权值。计算 公式为： i i = wj 2 “，一 ( 2 3 ) z i 公式中的w j 表示第j 天出现的审计记录数目，其余参数同前。 审计分布q 值的计算公式如下： 村 9 + l = ( ， + l ，肌) ( 一l 0 9 2 矗) ) + 2 1 9 ( 2 4 ) 辨= l 公式中的参数如下： r 一衰减速率。它与测量值q 的半周期相关，r 值越大表示q 值越受最近生 成的审计记录的影响。1 0 0 个审计记录，半周期为l o 分钟时对应的r 值为 l 0 9 2 ( 0 5 1 0 ) = o 1 0 。 m 一定义的活动类型数目，当第m 个审计记录指示发生了第m 个活动类型 时i ( n + l ，m ) = l ，否则i ( n + l ，m ) 印。 3 计算类别q 值的计算 计算类别测量值是一些特定活动的测量值，其输出为类别值。类别值包括 访问的文件名称，登陆的i d 号等。它是将最近影响该活动的1 0 0 个审计记录所 使用的类别数与历史档案中的类别使用情况相比较，然后确定最近使用的情况 是否正常。 计算类别测量值与审计记录分布测量值的计算公式十分相似，唯一不同的 是每一个审计记录都导致审计记录分布测量值的重新计算，而对于类别测量值 9 中南大学硕士学位论文 第二章入侵拎测模型入侵榆测系统的研究 则只有审计记录包含了与特定测量相关信息时才更新。 j l f q “+ l = 【，( n + l ，m ) ( 一i o g2 矗) 】+ 2 一“q 一 ( 2 5 ) 脾= l 公式中的各种参数意义与审计记录分布测量值相同，其中“i 表示第n 个 记录与第n + l 记录之间的时b 】间隔( 单位为秒) 。公式中加入该因子的目的是 使类别测量值对活动流量更为敏感，当事件活动流量增加时q 值也增大。 4 计算序数q 值的计算 计算序数测量值是针对某些特定活动的测量值，其输出是计数值，如c p u 的执行时问，输入输出的流量、登陆的次数等。目前i d e s 模型中，序数测量 值已经转换成类别测量值，但以前没有转换时的计算公式如下： q 一+ l = d 一+ l + 2 一“q 一 ( 2 6 ) 公式中，d n + l 表示第n 个记录与第n + 1 个记录之f b j 序数计数值的差异，其 它参数与前面参数的含义一致。 2 4 2o 值频率分布计算 为了实现从q 值到s 值的转换，必须知道q 的频率分布情况。计算q 值 历史频率分南的第一步是定义归类q 值所用的时间日j 隔，通常使用3 2 个间隔 来归类一个测量q 值，3 2 个间隔分割点一般为线性或几何分割方式。设p m 表 示q 处于第m 个间隔内的相对频率，其计算公式为： 氏卢去善正曲“4 ( 2 - 7 ) 其中各个参数含义为： k 一从用户首次观测日期到统计日期的天数。 b p m 的衰减速率，与p m 的半周期相关，一般半周期为3 0 天时对应的衰 减率6 = 掣- 0 0 3 3 。 w l i - t i 一第j 天时对应的q 值在第m 个间隔内的审计记录数目。 n k 一该用户首次被观测以来，所出现审计记录总数数目的指数加权值。其 计算公式为m = 彤2 。，其中w 是第j 天出现审计记录的数目。 1 0 中南大学硕士学位论文第二章入侵捡测模型入侵检测系统的研究 2 4 30 值到s 值的转换 为了更好的完成统计异常分析，将一个q 分布的百分位点到一个半标准分 布( 1 p r o b ) 的百分位点的进行简单映射。对于第m 个记录间隔，设1 p r o b 。 表示p 。值和不大于该值的所有其它p 值的和。则 s ：一- ( 1 一( 竺罢堡) ) ( 2 - 8 ) z 其中中是一个n ( 0 ，1 ) 变量的累积分布函数。对于用户生成的审计记录，i d e s 系统经计算生成一个单独的测试统计值t 2 来综合评估当前用户的异常程度， f 越大表示行为越异常。f 是对多个测量值异常度的综合评估，设有n 个测量 值，每个测量值表示为s i ，则计算机公式如下： 严= q 墨2 + 呸墨2 + 吗譬+ + a 霹 ( 2 9 ) 其中a i 是由安全管理人员指定的系数。 2 4c i d f 模型 随着技术的发展，出现了很多不同类别的入侵检测模型。为了解决不同入 侵检测系统的互操作性和共存性，c o 咖o ni n t r u s i o nd e t e c t i o nf r a 鹏w o r k ( c i d f ) 组织提出了一种入侵检测系统的通用框架模型( c i d f 模型) ，它是由i d e s 模型演化而来。c i d f 模型包括四个方面的内容：体系结构、组件间的通信、公 共入侵规范语言和允许组件重用的a p i 渊。 2 4 1cj d f 框架结构 c i d f 模型将一个入侵检测系统分为以下四个组件，如图2 3 所示。 1 事件产生器( e v e n tg e n e r a t o r s ) 2 事件分析器( e v e n ta n a l y z e r s ) 3 响应单元( r e s p o n s eu n i t s ) 4 事件数据库( e v e n td a t a b a s e s ) 中南大学硕士学位论文第一二章入侵 每铡模型与入侵榆测系统的研究 原 _ 1 事件产生器r 1 事件分析器r 亟翮 始 l 一数 据 l 事件数据库l 图2 3c i d f 系统模型 c i d f 模型用统一的模块对入侵检测系统进行划分，用统一的入侵检测语占 来完成不同的i d s 之间和i d s 内部模块之日j 的相互通信，实现不同入侵检测系 统之间的协凋合作。c i d f 模型将需要分析的所有原始数据通称为事件，事件可 以是网络数据包也可以是主机系统日志、审计记录等。事件产生器的功能足获 取数据，并对数据进行过滤和格式化等简单预处理，然后将处理过的数据交给 事件分析器和事件数据库。事件分析器对数据进行深入的分析，判断是否发生 入侵行为，如果是入侵行为则将分析结果传递给响应单元，同时也保存在事件 数据库中。响应单元则是对分析结果做出响应的功能单元，它可以做出切断连 接、反攻、报警等处理。事件数据库中存放各种中间和最终数据。四个部件之 间用统一的格式g i d o ( 通用入侵检测对象) 进行相互通信，它是由c i d f 组织提 出的入侵检测语言c i s l ( c o 硼o ni n t r u s i o ns p e c i a t i o nl a n g u a g e ) 定义的。 2 4 2c l d f 通信机制 为了保证各个组件之间安全、高效的通信，c l d f 将通信机制构造成一个三 层模型：g i d o 层、信体层和协商传输层，如图2 4 所示。 g i d o 层 信体层( m e s s a g c ) 协商传输层( n e g o t j 舢e dt h n s p o r t ) 图2 4c i d f 通信层次 g i d o 层用于组件之间的互操作性，传递的各种数据的语义，对各种各样的 事件做了详细的定义，g i d o 层也只考虑所传递信息的语义，而不关心这些消息 怎样被传递。信体层确保被加密认证消息在防火墙或n a t 等设备之间传输过程 中南大学硕士学位论文 第二章入侵捡铡模型与入侵检测系统的研究 中的可靠性，该层只负责将数据从发送方传递到接收方。第三层是普通的传输 机制。c i d f 通信主要是解决两个问题：首先是c i d f 组件之间如何建立安全、 正确的连接，其次是连接建立后如何安全有效通信。在c i d f 中，通过配对服务 来负责查询其它c i d f 组件集，然后建立连接。配对服务采用了一个大型耳录服 务，每个组件都要到此目录服务进行注册，并通告其他组件它所使用或产生的 g i d o 类型。在此基础上，组件才能被归入它所属的类别中，组件之间才能互相 通信。配对服务还支持一些安全选项( 如公钥证书、完整性机制等) ，为各个组 件之间安全通信、共享信息提供了一种统一的标准机制，大大提高了组件的互 操作性，降低了开发多组件入侵检测与响应系统的难度。c i d f 组件问的通信是 通过一个层次化的结构来完成的，组件之问的安全通信是通过信体层和传输层 来解决。信体层主要是解决诸如同步、屏蔽不同系统的数据格式等问题，并且 通过鉴别、加密和签名等机制来提高通信安全性。 2 4 3c d f 公共入侵规范语言c i s l c i d f 的规范语言文档定义了一个公共入侵标准语言c i s l ，它是c i d f 最核 心也是最重要的一部分。各个i d s 组件使用统一的c i s l 来表示原始事件信息、 分析结果和响应指令，从而建立了i d s 之间信息共享。c i d f 建议的构造子是s 表达式，该表达式是一个语义标识和数据的组合，所有信息都是用这种s 表达 式的递归来表示。它的基本单位是语义标识符s i d 、数据和圆括号。例如： ( h o s t n 撕1 9 2 1 6 8 0 1 1 4 ) 表达式中h o s t n a e 为s i d ，表示后面的数据是一 个主机名；1 9 2 1 6 8 o 1 1 4 为具体的主机名。多个基本单位递归组合成一个 c i s l 的s 表达式。例如： ( d e l e t e ( c o n t e x t ( h o s t n 獬1 9 2 1 6 8 0 1 1 47 ) ( t i 舱1 5 ：2 0 ：2 0a p r i l1 62 0 0 5 ) ) ( i n i t i a t o r ( u s e r n a e 1 9 2 1 6 8 0 2 5 ) ) ( s o u r c e ( f i l e n a 鹏。e t c p a s s w o r d ) ) ) 中南大学颁士学位论文 第二章入侵检测模型与入侵检测系统的研究 这是一个事件描述s 表达式，其中的d e l e t e 、c o n t e x t 、h o s t n a i i l e 、t i m e 等均为s i d 。这个s 表达式的具体含义为：i p 为1 9 2 1 6 8 0 2 5 的用户在2 0 0 5 年4 月1 6 日1 5 点2 0 分2 0 秒删除了主机名为1 9 2 1 6 8 o 1 1 4 的主机上的文件 e t c p a s s w d ，。 2 4 4 c i d f 中的a p i c i d f 的程序接口文档描述了用于g i d 0 编码解码以及传输的标准应用程序 接口( a p i ) ，具体包括g i d o 编码和解码a p i 、消息层a p i 、g i d o 动态追加a p i 、 签名a p i 、顶层c i d f 的a p i 。每类a p i 均包含数据结构定义、函数定义和错误 代码定义等。c i d f 的a p i 提供的调用功能使得程序员可以在不了解码编码和传 递过程具体细节的情况下，以一种很简单的方式构建和传递通用入侵检测对象 g i d 0 。 g i d 0 的生成分为两个步骤：首先足构造一个表示g i d o 的树型结构，然后 将此结构编成字节码。在构造g i d o 树形结构时，每一个完整的句子表示成一 棵树，每个s i d 表示成一个节点，最高层的s i d 是树根。因为每个s 表达式都 包含一定的数据，所以树的每个分支末端都有表示原子s i d 的叶子。编码规则 是预先已经定义好的，对树进行编码只是一个深度优先遍历过程。 将字节码进行解码跟上面的过程正好相反，在s i d 码的第一个字节里有一 个比特位显示其需要的参数来表示是基本数据类型，还是s 表达式序列。然后 语法分析器再对后面的字节进行解释。 目前c i d f 还没有成为正式的标准，也没有一个商业i d s 产品完全遵循该规 范，但各种i d s 的结构模型具有很大的相似性，各厂商都在按照c i d f 进行信息 交换的标准化工作，有些产品已经可以部分地支持c i d f 。可以预测，随着分布 式i d s 的发展，各种i d s 互操作和协同工作的迫切需要，各种i d s 必须遵循统 一的框架结构，c i d f 将成为事实上的i d s 的工业标准汹1 。 2 5 入侵检测系统的分类 目前i d s 的分类主要是根据数据来源、分析方法、响应方式、控制策略和 时效性等方面的不同来划分，具体划分如下： 2 5 1 根据数据来源划分 根据数据来源划分入侵检测系统是目前最通用的划分方法，它将入侵检测 1 4 中南大学硕士学位论文第二章入侵检测模型l 彳入侵检测系统的研究 系统分为基于主机的i d s 、基于网络的i d s 和混合式i d s d 0 】 1 基于主机的入侵检测出现在8 0 年代初期，入侵检测系统一般安装在被 保护的主机上，主要是对与该主机通信的网络数据以及系统审计日志进行分析 和检查，当发现可疑行为和安全违规事件时，系统采取报警等响应措施。基于 主机入侵检测系统的原始数据依赖于特定的操作系统和审计日志，受具体操作 系统平台的限制，系统的实现主要针对某种特定的系统平台，移植性差。 2 基于网络的i d s 是通过捕获并分析网络数据包来检测攻击，它保护的 目标是整个网络。基于网络的入侵检测系统使用原始网络数据包作为数据来源。 i d s