（计算机应用技术专业论文）基于风险的入侵响应决策技术研究.pdf

摘要 随着h n e m e t 的发展，人们在得益于信息革命所带来的新的巨大机遇的同时， 也不得不面对信息安全问题的严峻考验。为了增强计算机网络的安全性能，人们 研究出了众多的安全技术和机制。在这些安全技术中，自动入侵响应是网络安全 体系中的重要防范技术，它可以在发现入侵行为后及时做出响应，把网络攻击的 危害减小到最低程度。 为了应付各种各样复杂的入侵行为和网络环境，对于自动入侵响应系统来说， 一个科学合理的响应决策机制至关重要。本文在深入细致地分析了现有自动入侵 响应系统的各种体系结构和决策技术的基础上，引入了基于风险的响应决策模型， 并取得了以下研究成果： 1 ) 把风险评估引入到入侵响应决策中来，风险因素成为响应决策的重要依 据。 2 ) 把响应目的引入到响应决策中来，根据不同的响应目的采取不同的响应策 略。 ， 3 ) 在进行响应决策时，综合考虑响应的有效性和同时带来的负面效应。 4 ) 在一定程度上实现了入侵响应系统的自适应性，能够根据风险的变化来调 整响应方案。 5 ) 设计并实现了一个基于风险的入侵响应决策模块。实验证明，该模块能够 及时、合理地对攻击行为进行响应，减小了入侵的风险，达到了设计的目 标。 本文首先概述了入侵检测系统和入侵响应系统的模型结构、一般特性以及不 同分类；然后对本文的研究重点基于风险的入侵响应决策技术进行了详细描 述，并着重讨论了其中的两个核心模块：风险评估模块和响应决策模块：最后是 在此系统上的实验结果。 关键词：网络安全；入侵检测；自动入侵响应；报警线程；风险评估；响应决策 分类号：t p 3 9 3 0 8 a b s t r a c t w 池t h ed e v e l o p m e n to fi n t e n l e t ，w eh a v et of a c es e v e r en e 研o r ks e c l l r i t y p r o b l 锄sw h i l eb e n e _ f i t i n g 丘o mm e 蓼e a to p p o m 面t i e so fi n f o m 撕o nr e v o h l t i o n p e o p l eh a v ed e v e l o p e dan 瑚n b e ro fs e c 砸t yt ec ：h n 0 1 0 百e s 粗dm e c h a n i s m st os t r g m e n 廿1 e s e c u 订t yc a p a b i l i t yo fc o m p u t e rn e 铆o r k a m o n gt h et e d m 0 1 0 西e s ，a i r s ( a u t o m a t e dh 1 缸】s i o nr e s p o n s es y s t 锄) i sa 1 1 证1 p o r t a n tt o o lf o r 吐l ep r o t e c t i o no f n e 俩o r ki nt 1 1 en e 嘲o r ks e c u r i t ys y s t 锄i tc 觚r e s p o n dt o 廿1 ei n t r u s i o ne v e n t s 证l m e d i a t e l ym c r “d e t e c t s 也e m ，i no r d e rt or e d u c e l ed a m a g eo fn e t w o r ka 位a c kt om e m i i l i i i m md e 黟e e t bd e a lw i t hav a r i e t yo fc 0 m p l e xi n t m s i o ne v c n t s 甜l dn e t w o f ke n 啊r o 锄e n t ，a s c i 训矗ca n dr e a s o n a ：b l er e s p o n s ed e c i s i o nm e c h a n i 8 mi sc d t i c a lt om es u c c e s so fa i r s b a s e do nt 1 1 ed e e pa n a l y s i so fa 溅t e c t u r ea n dd e c i s i o np o l i c yo fe x i s t i n ga i r s ，an e w r e s p o n s ed e c i s i o nm o d e li si n ：c r o d u c e di nm i sp a pe r a n dw eh a v ea c h i e v e dt h e f 0 1 1 0 w i n gr e s l d t so no u rr e s e a r d h ： 1 i n 仃d d u c i n gr i s ka s s e s s m e n tm o d e lt oo u ra 瓜s ，c o n s i d 嘶n g 戗1 e 五s ka sak e y f a c t o ri n 也ep r o c e s so fr e s p o n s ed e c i s i o n 2 h l t r o d u c i i l gr e s p o n s e9 0 “t oo u ra m s ，t a k i n gd i 琢玳n tm e a s u r e sa c c o r d i n gt 0 d i 胁e n t9 0 a l s 3 c o n s i d 耐n g e 虢c t i v e趾d n e g a t i v ei n l p a c t o ft h e r e s p o n s e m e a s u r e s s y r l t h e t i c a l l yi n 虹1 ep r o c e s so fr e s p o n s ed e c i s i o n 4 1 1 n p l e n l e 蚯n g 也es e l f 二a d 印t a t i o n0 fo u ra i r st o8 0 m ed e 孕e e ，w h i c hc 趾 a 捌u s tr e s p o n s ep l a na c c o r d i n gt or i s kc _ h a n g e s 5 d e s i g n i n g 趾di n l p l e m e n t i n g a 1 1a m sb a 8 e do nr i s k a n de x p e r i r n e n t s d e m o n s t r a t e d 也a tt h es y s t e mc o u l dr e s p o n dt oa t t a c ke v e n t s 衄吼e d i a t e l ya n d r c a s o n a b l mr e d u c e 也er i s ko fi n t n l s i o n ，s oi th a sa c h i e v e dm eg o a lo fo u r d e s i g n r h i s p 印e rf i r s ti n t r o d u c e s 也em o d e ls 臼m c t u r e ，g e n e r a lf e 砷l r e s a n dd i f r e r e n t c l a s s i 丘c a t i o no fi d sa n di r s ，t h e nd e s c 曲e sm ei r l t m s i o nr e s p o n s ed e c i s i o nt e c h n 0 1 0 9 y b a s e do nr i s ki nd e t a i l ，w h i c hi s 也ek e yc o n t e n to f 虹1 i sp a p e r t h i sp a p e rp u t si t s e m 】) h a s i so nt w oc o r em o d u l e so fm es y s t e m ：r i s ka s s e s s m e n tm o d u l ea n dr e s p o n s e d e c i s i o nm o d u l e f i n a l l y ，m ee x p e m e n t a lr e s u l to nt 1 1 es y s t e mi sp r e s e n t e d l yw o r d s ：n e 慨o r k s e c u r i t y ；i n 乜u s i o nd e t e c t i o n ；a u t o m a t e di n l m s i o nr e s p o n s e ； a 1 e r ts e s s i o n ；r i s ka s s e s s m e n t ；r e s p o n s ed e c i s i o n c l a s s n o ：t p 3 9 3 0 8 致谢 本文是在尊敬的导师田盛丰教授的精心指导和悉心关怀下完成的。导师渊博 的学识、严谨的治学态度、孜孜不倦的进取精神、对问题实质的洞察入微和高屋 建瓴、以及宽广豁达的长者风范，都给我们留下了深刻的印象。这三年来导师对 我的学习、生活上给予了许多关心和帮助，不仅让我学到了很多的科研知识，而 且还给了我很好的实践机会，这些都将融入到我未来的奋斗当中，使我受益终身。 衷心感谢黄厚宽、于剑教授，王志海、瞿有利、林友芳、魏名元、田风占老 师的谆谆教导和帮助，他们一丝不苟的治学精神永远是我学习的榜样。 感谢穆成坡博士，课题小组成员何肖慧、牛尉衡、陈亮，在与他们的合作过 程中，我学到了很多的东西，同时他们对于本论文给予了很大的帮助支持。感谢 我的同学杨春丽、周斌，以及实验室的其他同学，在本论文的完成过程中，他们 都给了我很大的帮助。 最后我要特别感谢我的父母，还有我的爷爷奶奶r 是他们将我养育成人，给 了我无私的爱，在写论文的日日夜夜里，他们始终都在给我默默地支持和鼓励。 1 1 研究背景 1 绪论 计算机网络技术的发展使得信息的传送和处理突破了时间和地域的限制，互 联网的爆炸性发展更进一步为人类的信息交互、科学、技术、文化、教育、生产 的发展提供了极大的便利，信息网络全球化的发展已成为不可抗拒的世界潮流。 然而，就在计算机网络给人们的生活、工作带来巨大便利的同时，它就像一面双 刃剑，其所带来的安全问题同样突出。 由于系统的复杂性、协议设计的缺陷、终端分布的不均匀性、网络的开放性、 迷漫性和互联互通性等特征，致使网络很容易遭到黑客、恶意软件、和其他不轨 人的攻击，国家、单位和个人的信息系统受到了极大的安全威胁。人们在得益子 信息革命所带来的新的巨大机遇的同时，也不得不面对信息安全问题的严峻考验。 1 9 8 8 年一个能够在h t e r i l e t 上自我复制和传播的莫里斯蠕虫程序导致k e m e t 瘫痪了 数日，这起网络事件促使了c e r t 等许多安全机构和组织的诞生。尽管网络安全的 研究得到越来越多的关注，然而网络安全事件并没有因此而减少。相反，随着网 络规模的飞速扩大、结构的复杂和应用领域的不断扩大，出于各种目的，盗用资 源、窃取机密、破坏网络的肇事者也越来越多，网络安全事件呈迅速增长的趋势， 造成的损失也越来越大。 据美国f b i 统计：全球平均每2 0 秒就发生一起i n t e m e t 计算机系统被入侵事件， 每年全球因计算机网络的安全系统被破坏而造成的经济损失达数百亿美元。进入 新世纪之后，上述损失将达2 0 0 0 亿美元以上。安全问题己经成为严重影响网络发 展、特别是商业应用的主要问题，并直接威胁着国家和社会的安全。 对网络安全问题的研究在不断地探索和发展中，相应地也研究出了众多的安 全技术和机制，诸如) n 、防火墙、加密技术、访问控制、身份认证等这些单一 的技术或机制，从网络安全问题的某个方面出发，很好地解决了存在的安全问题， 但又都在不同程度上暴露出一些各自的不足。例如，防火墙只是一种隔离控制技 术，它在某个机构的网络和不安全的网络之间设置障碍，防止对信息资源的非法 访问。现代的防火墙不但能安全地向外界提供网络服务，比如w w w ，f t p ，e m a i l 等，也可以对系统内部不同部分之间进行必要的分隔控制。但绝不应该把防火墙 视为是一种可以解决网络安全问题的“法宝”。防火墙是一种被动防卫技术，能 提供的防护却十分有限。其最大的问题在于，防火墙无法检查通过的封包内容。 另外，由于其主要是在网络数据流的关键路径上通过访问控制来实现系统内部与 外部的隔离，从而对恶意的代码攻击( 病毒、木马、缓冲区溢出等) 、来自内部的攻 击等，防火墙将无能为力。 入侵检测系统( i n 觚s i o nd e t e c t i o ns y s t e mi d s ) 作为新一代的动态安全防范技 术，它通过对计算机网络或系统中若干关键点数据的收集，并对其进行分析，从 而发现是否有违反安全策略的行为和被攻击的迹象。i d s 能检测到谁正在攻击当前 的网络，从而及时地通知网络管理员进行响应，减少入侵行为带来的损失；也能 知道网络是如何被攻击的，从而有助于安全专家分析攻击过程，由此得出系统或 配置的漏洞，防止再次受到同样的攻击。此外，d s 还能实施入侵取证工作，为法 庭起诉提供有力证据。 当i d s 分析出入侵行为或可疑现象后，只有系统采取相应的响应手段，才能及 时有效地阻止入侵的进一步发生并将入侵造成的损失降到最小程度。入侵响应 ( 砌r u s i o nr e s p o n s e ) 就是在发现或检测到入侵后针对入侵所采取的措施和行动， 这些行动和措施是为了在发生入侵的情况下确保被保护目标的机密性、完整性和 可用性。可能的入侵响应包括对入侵的告警、记录、追踪、阻断、取证、反击以 及损失恢复等行动。入侵响应系统取s ( i n t i u s i o nr e s p o n s es y s t e m ) 就是实现入侵响 应的软件或软、硬件组合系统。 无论是防火墙、i d s 还是i r s ，都不可能一劳永逸地解决网络安全问题。这是 因为网络不是固定不变的，计算机系统也在不断更新换代，i 日的漏洞刚被堵住， 新的弱点又被发现。有人统计，系统漏洞被发现和利用的速度远远超过了关于计 算机能力发展的摩尔定律。因此，想依靠单独一种技术手段解决安全问题是不现 实的。安全问题需要人们不断地引起重视，综合运用各种技术手段，各种设备和 技术相互配合、相互补充，做好一切准备，解决网络安全问题。 1 2 主要工作及研究内容 我们在研究了大量的入侵响应模型及产品以后，发现其网络安全防范的智能 性不够，而且在设计思路上对所处的环境缺少适应性。这就不能有效地防范多变 的、危害性极大的网络入侵与破坏。所以，一个高效有用的入侵响应系统必须具 有科学合理的决策机制，同时具备良好的适应性，方可做到“魔高一尺，道高一 丈”。因此，我们研究的内容主要有： ( 1 ) 研究实现不同的响应目的。就目前提出的入侵响应模型和已经实现的 产品来看，大部分系统要么没有制定明确的响应目的，要么只制定了 单一的响应目的。不同的网络具有不同的安全目标，具体到入侵响应 系统上，不同的用户对入侵响应系统的要求是不同的，所以入侵响应 系统在不同的网络环境下所要实现的目的也是不同的。因此，我们对 2 于每一种不同的响应目的，都提出了整套响应策略，以满足用户的 多种需求。 ( 2 ) 研究响应时机的选择。以前，人们往往将响应决策理解为确定合适的 响应措施，所以大部分入侵响应系统的响应决策只有响应措施决策， 并没有响应时机决策的概念。响应时机决策确定了在入侵的不同阶段 采取不同响应措施的时机。有了响应时机决策就可以根据不同攻击阶 段的特点，确定启动不同响应措施的时间点，从而形成一个有效的响 应过程。所以，在响应方案的建立过程中，响应时机决策同响应措施 决策同样重要。 ( 3 ) 研究均衡处理响应的有效性和带来的负面效应。任何的响应手段都不 可避免地会带来一定的负面影响。目前大部分入侵响应模型要么完全 以响应的有效性为中心，要么完全以降低响应的负面效应为中心，没 能均衡处理响应有效性和响应负面影响之间的关系。我们在本系统当 中综合考虑这两者之间的关系，以保证在完成响应目的的前提下，把 响应措施带来的负面影响降低到最低程度。 ( 4 ) 研究响应的自适应性。入侵是一个动态变化的过程，响应也应该是一 个动态变化的过程，就要求入侵响应决策模型具有自适应的能力。所 谓自适应能力就是具有发现响应措施实施效果，并能够根据情况的变 化来不断调整自己的响应方案，选择新的响应措施的能力。目前，最 新的自动入侵响应模型都开始重视自适应能力的研究，但大部分自动 入侵响应系统并不具备自适应能力。另外，绝大多数响应决策模型只 可以进行响应措施选择决策，而不能根据入侵情况的变化( 入侵已经停 止) ，进行响应措施释放决策。而这些，都是我们在本系统中要考虑的 问题。 ( 5 ) 多响应措施间的兼容性。大部分系统模型没有考虑多响应措施之间的 关系，包括多响应措施之间互补性、兼容性等。而在实际应用过程中， 这些因素直接影响着入侵响应的有效性，本系统在选择响应措施的时 候，把这些因素都考虑了进去。 1 3 论文组织与安排 本文共分为六章。各章的内容安排如下： 第一章，绪论。本章介绍了当前网络安全的现状和本论文研究的重点和中心， 以及对论文结构安排的描述。 第二章，入侵检测系统概述。本章介绍了入侵和入侵检测系统的基本概念， j e 塞銮煎盔堂亟土堂焦逾童 分析了现有入侵检测系统所采用的体系结构、数据源以及入侵分析技术，总结了 入侵检测技术的现状和发展方向。 第三章，入侵响应系统概述。本章主要概述了入侵响应系统的定义、重要意 义以及不同分类，然后重点分析了自动入侵响应系统的体系结构，特性以及主要 决策技术，最后指出了自动入侵响应系统的发展方向。 第四章，基于风险的入侵响应决策技术研究。本章首先介绍了整个入侵响应 系统的开发背景、设计思路和预期达到的功能目标，然后解释了几个基本概念， 接下来介绍了系统的总体结构，最后对本系统的几个模块逐一进行阐述，其中重 点介绍了风险评估模块和响应决策模块。 第五章，实验结果及分析。本章描述了在本系统上的实验情况，并对实验结 果进行分析。 第六章，结论。本章总结了全文的主要内容，并对下一步要做的工作进行了 展望。 4 2 入侵检测系统概述 虽然本文研究的重点是入侵响应，但入侵检测是与入侵响应是紧密相关的问 题，入侵检测报警是入侵响应决策的依据，只有提高入侵检测系统的性能，入侵 响应系统才能有效地实现其安全目标。下面对入侵检测以及入侵检测系统( i d s ) 进行简要的概述。 2 1 入侵检测系统的定义 入侵( m t m s i o n ) 是指任何企图破坏资源的完整性、机密性及可用性的活动集合。 s m a h a 从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄露、 拒绝服务、恶意使用六种类型。总括来说，入侵表示系统发生了违反系统安全策 略的事件。 入侵检测( i n 臼瑚i o nd e t e c t i o n ) 是指通过检查操作系统的审计数据或网络数据 包信息来检测系统中违背安全策略或危及系统安全的行为或活动，从而保护信息 系统的资源不受拒绝服务攻击、防止系统数据的泄露、篡改和破坏。 入侵检测系统( i n t m s i o nd e t e c t i o ns y s t e mi d s ) 是指能够通过分析与系统安全 相关的数据来检测入侵活动的系统，包括入侵检测的软件和硬件的组合，简称i d s 。 从系统所执行的功能上来考虑，d s 必须包括如下三个功能部件：提供事件记录流 的数据收集部件、发现入侵迹象的分析引擎和基于分析引擎的结果产生反应的响 应部件。 i d s 是新一代的安全防范技术，它通过对计算机网络或系统中的若干关键点收 集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。 这是一种集检测、记录、报警响应一体的动态安全技术，被认为是防火墙之后的 第二道安全闸门。作为信息安全保障的个重要环节，i d s 很好地弥补了访问控制、 身份认证等传统保护机制所不能解决的问题。 2 2id s 系统模型与原理 2 2 1 早期的入侵检测模型 最初的入侵检测模型由d o r o t h yd e m l i n g 在1 9 8 6 年发表的论文“入侵检测模型 ( a ni 面s i o nd e t e c t i o nm o d e l ) 中提出【1 1 。这个模型与具体系统和具体输入无关， 因此对后来的大部分使用系统都很有借鉴价值。图2 1 给出了这个通用检测模型的 体系结构。 审计记录网络数据包特征表更新规则更新 图2 - 1 入侵检测模型 f i g u r e2 - 1k 缸u s i o nd e t e c t i o nm o d e l 如图所示，这个通用模型包括事件产生器，行为特征表和规则模块三个构件。 ( 1 ) 事件产生器 事件产生器产生具体的事件，可根据具体的应用环境而有所不同。一般可来 自审计记录、网络数据包以及其他可视行为如系统目录和文件的异常改变，程序 执行的异常行为，和物理形式的入侵信息等，这些事件构成了检测的基础。 ( 2 ) 行为特征表 行为特征表是整个检测系统的核心，它包含了用于计算机用户行为特征的所 有变量，这些变量可以根据具体所采用的统计分析以及事件记录中的具体行为模 式而定义，并根据匹配的记录数据来更新变量值。如果统计变量值偏离正常行为 太多，达到了异常程度，则行为特征表产生异常记录，并采用相应的措施。 ( 3 ) 规则模块 规则模块由系统安全策略，入侵模式等组成。一方面它为判断是否入侵提供 参考机制，另一方面根据事件记录、异常记录以及有效日期等来控制并更新其他 模块的状态。在具体的实现上，规则的选择与更新可能不尽相同。一般地，行为 特征模块用来执行异常检测，规则模块用来执行误用检测。由于这两种方法可以 相互补充，因此在实际应用中经常将两者结合在一起使用。 2 2 2 公共入侵检测框架体系结构模型 随着网络安全事件的不断增加和网络入侵手法的多样化，人们迫切需要各种 i d s 能协同工作、优势共享和缺陷互补，组成一种分布式的i d s ，从而能更精确 地识别和定位攻击行为。而目前的入侵检测系统大部分都是基于各自的需求独立 设计和开发的，不同的i d s 系统之间缺乏互操作性和互用性，这对i d s 的发展造 成了很大的障碍。为了解决入侵检测系统的互操作性和共存问题，d a r p a1 9 9 7 6 年开始着手制定公共入侵检测框架( c o m m o ni n t m s i o nd e t e c t i o nf r 锄e ，c i d f ) 【2 ， 旨在通过开发共有的i d s 语言、协议以及应用程序接口a p i ，让入侵检测部件之 间可以互操作、分享信息。 c i d f 的体系结构阐述了一个i d s 的通用模型，它把一个i d s 分为事件产生器、 事件分析器、事件数据和响应单元四个部分，各组件之间以通用入侵检测对象 ( g e n e r a l i z e di n t r u s i o nd e t e “o no b j e c t s ，g i d o ) 的形式交互数据。图2 2 给出了 c d f 的系统体系结构： 原始r 件源 图2 - 2c d f 体系结构 f i g u r e 2 - 2c i d fs y s t e mf “l m c w o r k ( 1 ) 事件产生器 事件生成器的任务是从入侵检测系统之外的计算环境中收集事件，并将这些 事件转换成c d f 的g i d o 格式传送给其他组件。它可以是读取c 2 级审计数据并将 其转换为g i d o 格式的过滤器，也可以是被动地监视网络并根据网络数据流产生事 件的另一种过滤器，还可以是s q l 数据库中产生描述事务的事件的应用代码。 ( 2 ) 事件分析器 事件分析器是d s 的核心部分，它从其他部件接收g i d o ，对它们进行分析然 后以一个新的g i d 0 形式返回分析结果。事件分析器可以是个基于行为特征的统 计分析工具用以分析提供给它的事件数据从统计学上是否和过去同一时间提供的 事件数据不同，也可以是一个模式匹配工具，用以检查事件序列中是否有某种已 知攻击的模式，此外，分析器还可以是相关性分析器，只是检测多个事件之间是 否有关联，如果是，则将它们放在一起作进一步的分析处理。 ( 3 ) 事件数据库 事件数据库不对信息作任何处理和改动只是负责存储入侵检测信息，提供给 其他部件对g i d o 的检索。 ( 4 ) 响应单元 响应单元根据g i d o 做出反应，可以是终止进程、切断连接、改变文件属性， 也可以是其他的一些措施如简单报警等。 2 3 入侵检测系统分类 2 3 1 按数据源分类 入侵检测系统按数据来源可分为基于主机的入侵检测系统( h o s t b a s e d i n t 】m s i o nd e t e c t i o ns y s t e m ，h i d s ) 、基于网络的入侵检测系统( n e 觚o r k b a s e d m ：m s i o nd e t e m o ns y s t 啪，n i d s ) 和混合型入侵检测系统。 ( 1 ) 基于主机的入侵检测系统h i d s h i d s 为早期的入侵检测系统，检测目标主要是主机系统和系统本地用户。 h i d s 根据主机的审计数据和系统的日志事件来发现可疑事件。由于基于主机的 i d s 依赖于审计数据或系统日志，使得h i d s 检测出入侵行为的成功率比较高，虚 警率低。此外，h i d s 也能监视特殊的系统活动，并适应于加密和交换环境。 但若入侵者设法逃避审计或进行合作入侵，则h i d s 就暴露出其弱点，在当今 的网络环境下，单独依靠主机审计信息进行入侵检测难以适应网络安全的需要， 如入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。 此外h i d s 不能通过分析主机审计记录来检测网络攻击( 域名欺骗、端口扫描等) 。 ( 2 ) 基于网络的入侵检测系统n i d s n i d s 使用原始的网络数据包作为进行攻击分析的数据源。为此，一般利用某 种方式( 例如将网卡设置为混杂模式) 来截获网络数据包。通过对数据包报头及内容 的分析，确定是否有攻击行为的发生。 基于网络的入侵检测系统有许多h i d s 无法提供的优点： 检测基于主机的i d s 漏掉的攻击基于网络的i d s 检查所有包的头部从而 发现恶意的和可疑的行动迹象。基于主机的i d s 无法查看包的头部，所以它无法检 测到这一类型的攻击。例如，许多来自于d 地址的拒绝服务型( d o s ) 和碎片包型 ( t e a r d r o p ) 的攻击只能在它们经过网络时，检查包的头部才能发现。这种类型的攻 击都可以在基于网络的系统中通过实时监测数据包流而被发现。 实时检测和响应。基于网络的i d s 可以在恶意及可疑的攻击发生的同时将其 检测出来，并做出更快的通知和响应。例如，一个基于t c p 的对网络进行的拒绝服 务攻击( d o s ) 可以通过将基于网络的i d s 发出t c p 复位信号，在该攻击对目标主机 造成破坏前，将其中断。而基于主机的系统只有在可疑的登录信息被记录下来以 后才能识别攻击并做出反应。而这时关键系统可能早就遭到了破坏，或是运行基 于主机的i d s 的系统已被摧毁。实时通知时可根据预定义的参数做出快速反应，这 些反应包括将攻击设为监视模式以收集信息，立即中止攻击等。 操作系统无关性。基于网络的i d s 作为安全监测资源，与主机的操作系统无 关。与之相比，基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能 正常工作，生成有用的结果。 对网络性能影响小。不像路由器、防火墙等关键设备方式工作，不会成为 系统中的关键路径，发生故障时不会影响正常业务的运行。 但是，由于n i d s 的结构特点，它也存在着相应的一些不足之处，如下： 网络入侵检测系统只检查它直接相连网段的通信，不能检测在不同网段的 网络包。在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络 入侵检测系统的传感器会使部署整个系统的成本大大增加。 网络入侵检测系统为了性能目标通常采用特征检测的方法，它可以检测出 普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。 在高速网络环境下，一个基于网络的嗅探器( s 1 1 i 舒很可能来不及处理而丢 掉一些数据包。 网络入侵检测系统处理加密的会话过程较困难，目前通过加密通道的攻击 尚不多，但随着i m 的普及，这个问题会越来越突出。 n i d s 不能检测操作系统级的入侵，诸如用户和文件的访问活动，包括文件 访问、改变文件访问权限、试图安装新的执行程序以及越权操作等。 ( 3 ) 混合入侵检测 基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使 用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两 类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体 系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中 的攻击信息，也可从系统日志中发现异常情况。 2 3 2 按检测技术分类 入侵检测系统根据检测技术可划分为：误用检测和异常检测。 ( 1 ) 误用检测 误用检测是指利用己知攻击方法或根据己定义好的入侵模式，通过判断这些 入侵模式是否出现来检测。由于很大一部分的入侵是利用了系统的脆弱性，所以 通过分析入侵过程的特征、条件、排列以及事件间的关系就能具体描述入侵行为 的迹象，依据特征库可以达到很高的检测率，并且因为检测结果有明确对照，所 有也为系统管理员做出相应措施提供了方便。 误用检测的主要缺陷在于对具体系统的依赖性太强，不但系统移植性不好， 维护工作量也大，将具体的入侵行为抽象成知识比较困难。此外，检测范围受己 知知识范围的局限，尤其难以检测出内部人员的入侵行为，如合法用户的泄漏， 因这些行为并没有利用系统脆弱性。 ( 2 ) 异常检测 异常检测是根据使用者的行为或资源使用状况的正常程度来判断是否有入侵 发生。异常检测的分析机制基于正常行为模式的建立，试图用定量方式描述可接 受的行为特征，以区分非正常的、潜在的入侵行为。由于异常检测与系统相对无 关，通用性较强，它甚至能检测出以前从未出现过的攻击方法，不像基于知识的 检测那样受已知脆弱性的限制。但是因为不可能对整个系统内的所有用户行为进 行描述，况且每个用户的行为是经常改变的，所以它的主要缺陷是误检率很高。 其次，由于统计简表不断更新，入侵如果知道某个系统在监测器的监视之下，就 能慢慢地训练检测系统，使得最初认为是异常的行为经一段时间训练后也可能被 认为是正常的行为。 异常检测和误用检测各有其特点，将这两种分析方法结合起来，可以获得更 好的性能。异常检测引擎可以使系统检测新的、未知的攻击或其他情况。误用检 测引擎通过防止耐心的攻击者逐步改变行为模式使得异常检测将攻击行为认为是 合法的，从而保护异常检测的完整性。 图2 3 是一个典型的同时使用异常检测和误用检测分析方法的入侵检测系统框 图。 图2 3 一个异常检测和误用检测方法结合的i d s 框图 f i g u r e 2 3a 疳锄e w o r kf o rac o m b i n e da p p r o a c ho fa b n o m a ld e t e c t i o na 1 1 d 缸s u s ed e t e c t i o n 1 0 2 3 3 按系统结构分类 网络入侵检测的核心部分是数据分析过程。通过对网络通讯、主机状态的实 时分析，找出系统异常和攻击特征。以往的检测系统都是基于中心式的数据处理 机制，信息通过网络上的几个节点收集并汇总到中心进行分析。在早期的网络环 境中，由于网络规模小，层次简单，网络通讯速度慢，因此可以做到信息实时中 心处理方法。随着高速网络的发展，网络范围的拓宽，各种分布式网络技术、网 络服务的发展，使原来的n i d s 很难适应现在的状况。因此有必要把检测分析过程 实现分布化。 ( 1 ) 集中式检测 集中式检测结构实现相对比较容易。如图2 4 所示，系统通过n 个s e n s o r 收集 数据，经过过滤和简单处理后，数据再通过网络传输到监测器。由图中可以看到， 系统存在一个通讯和计算的瓶颈。 图2 4 集中式检测 f i g u r e 2 - 4c e n 仃a l i z e dd e t e c t i o n ( 2 ) 分布式检测 如图2 5 所示，在分布式结构中，n 个监测器分布在网络环境中，直接接收s e n s o r 的数据，有效利用各主机的资源，消除了集中式检测的运算瓶颈和安全隐患。同 时由于大量的数据用不着在网络中传输，大大降低了网络带宽的占用，提高了系 统的运行效率。在安全性上，由于各监测器分布、独立进行探测，任何一个主机 遭到攻击都不影响其它部分的正常运行，增加了系统的鲁棒性。分布式入侵检测 系统在充分利用系统资源的同时，还可以实现对分布式攻击等复杂网络行为的检 测。但分布式系统结构存在设计复杂，各检测器之间如何协作，如何共享知识库 等问题。 s e n s o r ls e n s o r 2s e n s o r 3 图2 5 分布式检测 f i g u r e 2 - 5d i s 缸怕u t e dd e t e c t i o n 2 4 入侵检测的发展趋势 随着网络技术和网络规模的不断发展、攻击手法的不断更新并日趋复杂，i d s 也必须要随着网络技术和相关学科的发展而发展，概括总结入侵检测技术的未来 发展的趋势，主要表现在以下几个方面： ( 1 ) 适合高速网络的实时检测技术 近几年大量的高速网络技术如a t m 、千兆以太网等相继出现，相应的各种宽 带接入手段层出不穷。如何实现高速网络下的实时入侵检测已经成为现实面临的 问题。然而目前的千兆工d s 产品其性能指标与实际要求相差很远。因此，为了能 保证在高速网络下的检测性能，必须重新设计i d s 的软件结构和算法，以期适应高 速网的环境，提高运行速度和效率；其次，随着高速网络技术的不断发展与成熟， 新的高速网络协议的设计也必将成为未来发展的趋势，那么，现有i d s 如何适应和 利用未来的新网络协议将是一个全新的问题，需要积极加以研究。 ( 2 ) 大规模网络下的分布式检测技术 传统的集中式i d s 的基本模型是在网络的不同网段放置多个探测器收集当前 网络状态的信息，然后将这些信息传送到中央控制台统一进行处理分析。这种方 式存在明显的缺陷如扩展性差，容易造成单点失效，中央控制台容易成为瓶颈等。 其次，多个探测器收集到的数据在网络上的传输会在一定程度上增加网络负担， 导致网络系统性能的降低。网络传输的时延问题也将造成不能进行实时地反应当 前的网络状态，不能及时响应攻击行为。因此基于网络尤其是大规模网络的分布 式入侵检测系统己成为当前工d s 研究的重点。普渡大学开发的a a f i d 系统，该系 统采用基于代理的检测技术，很好地解决了集中式i d s 存在的缺陷，但它也带来一 些新的问题，如系统配置的复杂性，代理间的协作、代理间的通信等，这些问题 有待于作进一步的研究。 ( 3 ) 数据挖掘技术 操作系统的日益复杂和网络数据流量的急剧增加，导致了审计数据以惊人速 度剧增，如何在海量的审计数据中提取出具有代表性的系统特征模式，以对程序 和用户行为做出更精确的描述，是实现入侵检测的关键。 数据挖掘( d a t am i 曲：l 曲是一项通用的知识发现技术，其目的是要从海量数据中 提取对用户有用的数据。将该技术用于入侵检测领域，利用数据挖掘中的关联分 析、序列模式分析等算法提取相关的用户行为特征，并根据这些特征生成安全事 件的分类模型，应用于安全事件的自动鉴别。一个完整的基于数据挖掘的入侵检 测模型要包括对审计数据的采集，数据预处理、特征变量选取、算法比较、挖掘 结果处理等一系列过程。这项技术难点在于如何根据具体应用的要求，从用于安 全的先验知识出发，提取出可以有效反映系统特性的特征属性，应用适合的算法 进行数据挖掘。另一技术难点在于如何将挖掘结果自动地应用到实际的i d s 中。目 前，国际上在这个方向上的研究很活跃，如w e n k el e e 研究小组和u n j v e r s i t yo f n e w m e x i c o 的s t e p h 越ef o r r e s t 研究小组，做了很多这方面的工作，有关资料参见 3 4 。 但我们也应看到，数据挖掘技术用于入侵检测的研究总体上来说还处于理论探讨 阶段，离实际应用还有相当距离。 ( 4 ) 开发更先进的智能算法和数学模型 目前的入侵检测系统之所有存在很高的误报率和漏报率，其根本的原因在于 缺乏好的数学模型和智能算法。一个以一个简单数学公式作为支撑的安全模型 p d r 似乎深入人心，但应用到今天，收效甚微。因此，必须开发新的算法和数学 模型。其中计算机免疫技术、神经网络技术和遗传算法这三种机器学习算法有着 良好的前景，为i d s 的发展注入了新的活力。 总之，入侵检测技术作为当前网络安全研究的热点，它的快速发展和极具潜 力的应用前景需要更多的研究人员参与。i d s 只有在基础理论研究和工程项目开发 多个层面上同时发展，才能全面提高整体检测效率。 2 。5 本章小结 入侵检测与入侵响应是紧密相关的问题。本章通过对现有的入侵检测系统和 技术的讨论，从不同的角度对现有的入侵检测系统和技术的分类分析，并探讨了 解决的方案，这有助于我们从整体上把握入侵检测领域的研究与发展方向，无疑 将有助于我们以后对入侵响应的研究工作。下一章，我们将对入侵响应系统做一 些研究探讨。 3 入侵响应系统概述 3 1 入侵响应系统的定义 入侵响应( i n 伽 s i o nr e s p o l l s e ) 就是在发现或检测到入侵后针对入侵所采取的 措施和行动5 1 ，这些行动和措施是为了在发生入侵的情况下确保被保护目标的机 密性、完整性和可用性【6 1 。可能的入侵响应包括对入侵的告警、记录、追踪、阻断、 取证、反击以及损失恢复等行动。入侵响应系统i r s ( i 】1 t r u s i o nr e s p o n s es y s t e m ) 就 是实现入侵响应的软件或软、硬件组合系统。 3 2 入侵晌应系统的必要性 图3 - 1 用户希望增加的d s 功能 f i g u r e 3 1i d sf u n c t i o n se 口c p e c t e db yu s e r 图3 1 为网络世界杂志在2 0 0 4 年所进行的一次用户调查的结果【7 1 。从调 查结果来看，用户所希望增加的“主动阻断”、“与安全设备的联动”功能都属于 入侵响应的范畴，而“分析攻击事件”和“按紧急程度不同发出报警 功能则是 在入侵响应决策之前所必须进行的工作。这一项调查说明了入侵响应所涉及的有 关研究问题都是网络安全研究领域所亟待解决问题。 目前，被网络安全领域所普遍接受的可适应信息安全防护体系( 或称动态信息 安全理论) 的模型是p 2 d r 8 1 。如图3 2 所示，此模型包含四个主要部分：p 0 1 i c y ( 安全策略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检测) 和r e s p o n s e ( 响应) 。在安全 策略的指导下，防护、检测和响应组成了一个完整的、动态的安全循环。响应是 】4 这一循环中必不可少的重要环节。 d y n a 棚c a d a p t i v e t i m e - b a s e d 图3 2p 2 d r 模型 f i 母1 r e 3 2p 2 d rm o d e l 网络安全企业界最近所推出入侵防御系统m s ( m m s i o np r e v e n t i o ns y s t e m ) 和 入侵管理系统i m s ( h l m s i o nm a n a g e m e n ts y s t e m ) 也表现了网络安全技术走向动态 防御的发展趋势，显示了入侵响应技术的重要性和必要性。实质上i p s 并没有脱 离i d s 的检测技术，只不过使用了多重入侵检测机制和粒度更细的规则，它同i d s 最大区别在于增强了入侵响应机制。而i m s 也是以i d s 为核心，联合防火墙、漏 洞扫描，主机保护、安全审计、网管等安全与网络产品进行全局协调响应，实现 了网络系统的动态、纵深防御。 所以，不论是用户需求还是网络安全技术的发展趋势都表明了对于入侵响应 技术进行研究必要性和紧迫性。以前人们往往将入侵响应系统作为入侵检测系统 的一部分，实际上两者既紧密相关，又相对独立。两者在目标、功能上有明显的 区分，在模型和实现方法也有很大不同，前者通过对原始数据的分类，目的是发 现异常活动和入侵，后者通过对入侵报警的融合等处理回归真实入侵过程 9 】，从而 能够对入侵过程进行合适的响应，达到保护目标系统的目的。入侵响应所涉及相 关技术不但可以用于提升i d s 的入侵防御效果，对于改善i p s 和i m s 性能同样具有重 要意义。 3 。3 入侵响应系统的分类 3 3 。1 按照响应地点分类 根据响应地点的不同，入侵响应系统可以基于主机的入侵响应系统和基于网 络的入侵响应系统。基于主机的入侵响应系统用于防御针对主机的入侵，其响应 是地点是在被攻击主机上，响应包括事件告警、事件记录、限制用户权限、中断 用户进程、关闭用户账号和数据备份等。基于网络的入侵响应系统其响应地点位 于交换机、路由器和防火墙等专用网络设备上，可能的响应包括记录安全事件、 封闭交换机端口、切断入侵者i p 路由、防火墙上的连接阻断、追踪入侵和对攻击者 实施攻击等等。 3 3 2 按照