（计算机应用技术专业论文）入侵检测系统的研究.pdf

沈| ；川k 大学硕十学位论文 摘要 随着计算机和网络技术应用的同益普及，有关系统或网络的安伞问题电r 益突出， 为此人们开发了询1 多针对具体安全问题的安全技术，例如：加密、认证、防火墙等。作 为一种重要的确保系统安全运行的安全机制，入侵监测系统主要通过监控网络与系统的 状忿、行为以及系统的使用情况，来检测系统用户的越权使用以及系统外部的入侵者利 用系统的安全缺陷对系统进行入侵的企图，并根据系统表现的异常性识别入侵攻击或恶 意行为的类型，以采取相应的措施来阻止入侵活动的进一步破坏。入侵检测是对传统计 算机安全机制的一种补充，它的开发应用增大了网络与系统安全的保护纵深。 困外自八十年代开展入侵检测技术的研究，他们基本上是从如何构建系统主体特征 轮廓或如何获取己知入侵行为知识的角度，给出了一些可行的知识描述方法和相应的检 测算法，而且多侧重于主机系统的安全防御。随着网络应用的发展，面向网络( 特别是 大型网络) 的入侵技术与系统模型的研究己成为当前入侵检测领域研究的重点。国内在 该领域起步较晚，尚缺乏系统的研究，特别是检测性能方面的分析研究。为此，本论文 首先对现在的入侵技术、模型进行了系统分析研究：继而综合应用软件工程、数据融 合、人工智能、知识表述与获取以及分布式系统理论和技术，从检测模型、系统原型、 检测算法、检测性能评测以及分布式体系架构等方面，针对一些具体问题作了大量的研 究工作，提出了一些新的观点和实用系统设计模型，并解决了若干理论与工程实践中的 问题。主要包括： 对现有入侵检测领域的各种检测模型和技术进行综述和归类分析，详细地讨论了 各种技术的优缺点。使我们能够从整体上把握入侵领域的研究和发展方向。 从系统行为分类和软件工程的角度提出了相应的基于系统行为分类的检测模型和 基于数据流的入侵检测系统设计模型。着重考虑如何把对系统具有恶意的行为从大量的 系统行为中区分出来。明确提出了“如何定义、表述和获取系统的行为知识或检测模 型”是入侵检测研究的关键。 通过分析影响入侵检测有效性的参数，给出了评测检测系统与检测算法性能的 晕要测度：虚警率、检测率，进行了相应的推导证明。指出在分析、设计入侵检测系 沈刚i ：业人学颁士学何论文 统、检测算法以及描述系统行为时，j 龇特别关注如何提高检测率、减小虚警率的问题。 针对该问题，本文提出了采用多榆测器协作和结果数据融合的解决方案，并从集合论的 角度进行了相应的分析、论证。 提出r 一个蛙于进程行为分类的实用入侵检测系统原型，给出了原型的洋细设 计和系统框1 璺l ，解决了同时对系统中多个系统关键程序的执行监控的问题。该系统原型 的核心为系统行为分类器( 神经网络分类器或贝叶斯分类器) ，用以完成对系统进程行 为的分类弓识别。 关键词：入侵检测，入侵检测系统模型，检测性能，分类检测算法 2 沈刚i 业人学硕 ：学位论文 s t u d i n g o ft h ei n t r u s i o no fd e t e c t i o n s y s t e m a b s t r a c t a l o n g w i t ht h ei n c r e a s i n g l yw i d ea p p l i c a t i o n so f c o m p u t e r n e t w o r kt e c h n o l o g i e s t h e s e c u r i t yp r o b l e m sa b o u ts y s t e m o rn e t w o r ka r em o r ea n dm o r er e m a r k a b l e t h u ss o m e p r a c t i c a l s e c u r i t yt e c h n i q u e s ，s u c ha se n c r y p t i o n ，a u t h e n t i c a t i o n ，f i r e w a l la n de t c ，h a v eb e e nr e s e a r c h e d a n d d e v e l o p e d a sa ni m p o r t a n ts e c u r i t ym e c h a n i s m f o rs t r e n g t h e n i n ga s s u r a n c ei nt h es e c u r i t y o ft h es y s t e md u r i n go p e r a t i o n ，i n t r u s i o nd e t e c t i o ns y s t e m sc a nh e l pu st od e t e c ta t t a c k sa g a i n s t c o m p u t e rs y s t e m sb ym o n i t o r i n gt h eb e h a v i o ro fu s e r s ，n e t w o r k s ，a n dc o m p u t e rs y s t e m s b y m o n i t o r i n ga n da n a l y z i n g ，t h a ta n o m a l o u sa c t i v i t yi st a k i n gc a nb ed i s c o v e r e d ，a n dw h i c ht y p e o fa t t a c ko rm a l i c i o u sb e h a v i o ri sc a u s i n gi tc a nb ed i a g n o s e d ，t h u sa c t i v er e s p o n s ei st a k e nt o s t o pt h ei n t r u s i o n i ng e n e r a l ，t h ea t t a c k si n c l u d ea t t e m p t sa n da c t i v e o fm i s u s e ，e i t h e rb y l e g i t i m a t eu s e r so f t h ei n f o r m a t i o ns y s t e m so rb ye x t e r n a lp a r t i e s ，t oa b u s et h e i rp r i v i l e g e so r e x p l o i ts e c u r i t yv u l n e r a b i l i t i e s a sar e s u l t ，t h e i n t r u s i o nd e t e c t i o nt e c h n i q u e sw i l ln o to n l y r e i n f o r c et h et r a d i t i o n a ls y s t e ms e c u r i t ym e c h a n i s mb u ta l s oe n h a n c et h en e t w o r ka n d s y s t e m s e c u r i t yp r o t e c t i o nd e p t h t h ei n t r u s i o nd e t e c t i o nt e c h n i q u e sh a v eb e e ni nw o r l d w i d es t u d y i n gs i n c et h e e a r l y1 9 8 0 s f r o mt h e no n ，s o m ea v a i l a b l em e t h o d st od e s c r i b e k n o w l e d g ea n ds o m eu s e f u l d e t e c t i o n a l g o r i t h m sb a s e do ns y s t e mb e h a v i o rp r o f i l eo ri n t r u s i o nk n o w l e d g ea r ep r e s e n t e d b u tt h e s e s t u d i e sp a i dm o r ea t t e n t i o no nt h es e c u r i t yo fh o s ts y s t e m w i t ht h er a p i dd e v e l o p m e n to ft h e n e t w o r ka p p l i c a t i o n ，t h es t u d yi nt h ei n t r u s i o nd e t e c t i o nd o m a i ni sf o c u s e do nt h en e t w o r k - o r i e n t e di n t r u s i o nd e t e c tt e c h n i q u e sa n d s y s t e m m o d e l si nn e t w o r k ，e s p e c i a l l yi nt h el a r g e s c a l e n e t w o r ke n v i r o n m e n t i no u r c o u n t r y ，s t u d y i n go ni n t r u s i o nd e t e c t i o ni st h et h i n g i nr e c e n ty e a r s ， s oi tn e e d su sp a y i n gm o r ee f f o r t st od of u r t h e rr e s e a r c hi nt h i sd o m a i n i nt h i sd i s s e r t a t i o n ，t h e e x i s t i n g i n t r u s i o nd e t e c t i o n t e c h n i q u e s a n di n t r u s i o nd e t e c t i o n s y s t e m s a r ed i s c u s s e di nd e t a i la tf i r s t t h e ns o m e k e y r e s e a r c ha r e a s ，s u c ha sd e t e c t i o nm o d e l ， s y s t e mp r o t o t y p e ，d e t e c t i o na l g o r i t h m ，t h ep e r f o r m a n c e o ft h ed e t e c t i o n s y s t e m a n dt h e f r a m e w o r ko fd i s t r i b u t e di n t r u s i o nd e t e c t i o n s y s t e m ，e t c a r ef o c u s e do n b a s e do nt h e t e c h n i q u e sa n dt h e o r i e so f s o f t w a r ee n g i n e e r i n g ，d a t af u s e ，a r t i f i c i a li n t e l l i g e n c e ，k n o w l e d g e 3 沈阳i 、i k 大学硕十学位论文 d e s c r i b i n ga n da c q u i r e m e n t ，a n dd i s t r i b u t e ds y s t e m ，s o m en e wi d e a s ，ap r a c t i c a li n t r u s i o n s y s t e md e s i g np r o t o t y p e a n daf r a m e w o r ko fd i s t r i b u t e di n t r u s i o nd e t e c t i o n s y s t e m a r e p r e s e n t e d a st h em a j o rr e s u l t s ，s o m ep r o b l e m s i nt h e o r yo ri ne n g i n e e r i n g d e s i g na r es o l v e d i n s u m m a r y ，t h em a j o r r e s u l t so ft h i sd i s s e r t a t i o na r eo u t l i n e da sf o l l o w s ： f i r s t ，t h es u m m a r ya n ds u m m a r ya n dc l a s s i f i c a t i o no ft h ee x i s t i n gi n t r u s i o nd e t e c t i o n m o d e l sa n dt e c h n o l o g i e sh a v eb e e ng i y e n ，a n dt h e i rm e r i t so rs h o r t c o m i n g sh a v eb e e n c o m p a r e d i nd e t a i l ，w h i c hw i l lo b v i o u s l y h e l p u st ou n d e r s t a n dt h ei n t r u s i o nd e t e c t i o n 。f r o mt h ev i e wo fs y s t e mb e h a v i o r sc l a s s i f i c a t i o na n ds o f t w a r ee n g i n e e r i n g ，ad e t e c t i o n m o d e lb a s e do ns y s t e mb e h a v i o r sc l a s s i f i c a t i o na n di n t r u s i o nd e t e c t i o n s y s t e mm o d e l b a s e do nd a t af l o w sa r eg i v e n i tm a i n l yd i s c u s s e sh o wt oi d e n t i f yt h em a l i c i o u sb e h a v i o r s f r o mm a n ys y s t e mb e h a v i o r so ri n t r u s i o n si st h ek e yp r o b l e mi nt h ei n t r u s i o nd e t e c t i o n d o m a i n t h ei m p o r t a n tm e a s u r e m e n t st oe v a l u a t et h ep e r f o r m a n c e so fi n t r u s i o nd e t e c t i o ns y s t e m a n dd e t e c t i o na l g o r i t h m sa r ed i s c u s s e d b a s e do nt h ea b o v e d i s c u s s i o n s ，m o r ea t t e n t i o n m u s tb ep a i do nh o wt oi n c r e a s et h ep r o b a b i l i t yo fd e t e c t i o na n dd e c r e a s et h ef a l s e p o s i t i v ep r o b a b i l i t y t ot h eq u e s t i o n ，a s o l u t i o nu s i n gd a t af u s e t e c h n o l o g y t of u s et h e r e s u l t so fd i v e r s ed e t e c t i o ns y s t e mi sp r o p o s e d 。a p r a c t i c a li n t r u s i o nd e t e c t i o ns y s t e mp r o t o t y p eb a s e d o nt h ec l a s s i f i c a t i o no f p r o c e s s b e h a v i o r si sp r e s e n t e d i nt h i sp r o t o t y p e ，t h en e u r a ln e t w o r kc l a s s i f i e ra n dt h en a i v e b a y e s i a n c l a s s i f i e ra r et h ek e y e l e m e n t s t h e y c a nb eu s e dt oi d e n t i f yt h em a l i c i o u s s y s t e m b e h a v i o r sb y c l a s s i f y i n gt h es y s t e m c a l l ss e q u e n c e sa n dc a nd e s c r i b et h es y s t e m c r i t i c a lp r o g r a m sa sn o r m a lo ra b n o r m a l k e y w o r d s ：i n t r u s i o nd e t e c t i o n ，i n t r u s i o nd e t e c t i o ns y s t e m m o d e l ，t h ep e r f o r m a n c eo f d e t e c t i o n s y s t e m ，c l a s s i f i e da l g o r i t h m ，i n t r u s i o nd e t e c t i o ns y s t e mp r o t o t y p e 沈队l ：业人学硕士学位论文 1 绪论 本章主要介绍本文研究的背景和意义，给出了全文的内容简介。 1 1 研究背景和意义 计算机与通信技术的融合使计算机网络在信息的采集、传输存储与处理c 扣处于核心 地位。i n t e m e t 的飞速发展己经把人们的学习、工作与生活紧密地联系在一起，涉及到 教育、经济、政治、军事等各行业、部门。随着人们对计算机网络依赖性的增强，计算 机网络逐渐成为整个社会基础设施中最重要的部分。对计算机和网络系统系统的严重 依赖使得我们必须确保计算机和网络系统的安全。否则，不仅会造成大量的人力、物力 资源的浪费，竞争优势的丧失，公司商业机密信息或研究技术文档的被窃，甚至会丢失 有关国家的机密，进而危及国家的安全。所有这些信息安全与网上信息对抗的需求，使 得如何增强计算机系统和网络系统的安全性的研究成了举世瞩目的焦点。 但是对网络、系统的安全保护却越来越困难，这是因为：网络的迅速发展，使得网 络的结构越来越复杂。其次，网络中众多的“黑客”站点不仅提供了大量的系统缺陷信 息及其攻击方法，而且还提供了大量易于使用的系统漏洞扫描和攻击工具，攻击者不需 要具备专门的系统知识就可以利用相应的入侵工具轻易攻入具有安全缺陷的系统。第 三，目前对系统的攻击也不仅仅是那些年轻的“黑客”们由于好奇侵入系统的玩笑性游 戏：入侵者的背后甚至得到一些拥有足够系统资源、专业知识和入侵经验的犯罪组织、 竞争的对手甚至是敌对的匡i 家的支撑。而且，安全防范能力只能是此消彼长，在斗争中 交替发展。因此网络的安全防御和入侵行为的检测是一个长期的艰巨的任务。 1 1 1 计算机系统的安全 通常，计算机的安全主要是指如何保护计算机资源和存储在计算机系统中重要信 息。一个计算机的安全系统必须能够保护计算机使其免受入侵攻击，它一般具有以下几 个主要特性： 机密性( c o n f i d e n t i a l i t y ) ：机密性要求只有合法的授权用户才能对机密的或受限 的数据进行存取。 沈日ll 业人学颂十学位论文 完整性( i n t e 鲥t y ) ：完整性要求保持系统中数据的正确性和一致性。也就是 说，f i 管在任何情况下都要保护数据不受破坏或篡改。 可用性( a v a i l a b i l i t y ) ：计算机资源和系统中的数据信息在系统合法用户需要使 用时，必须是可用的。即对授权用，。，系统应尽量避免系统资源被耗尽或服务被拒绝的 情况出现。 有责任性( a c c o u n t a b i l i t y ) ：当计算机中的泄密现象被检测出后，计算机的安全 系统必须能够保持足够的信息以追踪和谚 别入侵攻击者。 正确性( c o r r e c t n e s s ) ：在系统中应尽量减少由于对事件的不j 下确分类所引起的 虚警现象，从而提高系统的可靠性。如果虚警率太高，那么一个用户的合法行为就会经 常性地被误认为是非法的入侵行为而报警，从而使用户的正常活动经常性的被禁止。这 样，不仅使得系统的可用性降低，而且还会使合法用户对系统失去信心。 上述计算机安全的各个特性取决于计算机系统安全策略的需求，这些安全策略用来 定义或描述系统的不同用户和软件模块的行为，并明确指出哪些行为是允许的，哪些行 为是被禁止的。它们首先由系统的安全负责人给出详细规范的安全性要求，然后以某种 形式加以实现。但是这些安全性规范及其实现却并不能保证没有错误。 1 1 2 计算机网络安全 计算机网络安全问题是随着网络特别是i n t e r n e t 的发展而产生的，直到近年来才得 到普遍关注。计算机网络的连通性和开放性给资源共享和通信带来了最大的便利，同时 也使本不乐观的安全问题雪上加霜：标准化和开放性使多厂商的产品可以互操作，也使 入侵者可以预知系统的行为。1 9 8 8 年一个能够在i n t e r n e t 上自我复制和传播的莫里斯蠕 虫程序导敏i n t e m e t 瘫痪了数日，这起网络安全事件处使了c e r t 等许多安全机构和组 织的诞生，也使人们认识到作为i n t e r n e t 技术的核心，t c p i p 协议存在许多安全隐患和 脆弱性。【2 3 尽管网络安全的研究得到越来越多的关注，然而，网络安全问题并没有因此而减 少；相反，随着网络规模的飞速扩大、结构的复杂和应用领域的不断扩大，出于各种目 的，盗用资源、窃取机密、破坏网络的肇事者也越来越多，网络安全事件旱迅速增长的 趋势，造成的损失也越来越大。 2 沈叭川k 人学硕+ 学位论文 据美罔f b i 统计：伞球平均每2 0 秒就发生一起i n t e m e t 计算机系统被入侵事件，而 且仅美国每年冈此响成的损失就高达1 0 0 亿美圆。2 0 0 0 年的2 月8 l on ，黑客首攻 号称“世界上最可靠的网站之一”的y a h o o 成功后，3 天之内，u 。e 攻击了近1 0 家 著名的网站，使这些网站相继瘫痪了2 3 小时。据时常调查公司y a n k e eg r o u p 估计，2 月初的黑客攻击造成了1 2 亿多美圆的损失。y a n k e eg r o u p 的分析家认为：在可预见的 将来，情况会变得更糟糕。 一般认为，计算机网络系统的安全威胁主要来自于黑客的攻击、计算机病毒和拒绝 服务攻击三个方面。目前，人们开始重视来自网络内部的入侵攻击。黑客攻击早在主机 终端时代就已经出现，随着i n t e m e t 发展，现代黑客则从以系统为主的攻击转变到以网 络为主的攻击。新的攻击手法包括：通过网络侦听获取网上用户的帐号和密码、监听密 钥分配过程、攻击密钥管理服务器，以得到密钥和认证码。从而获得合法资格，利用 u n i x 操作系统提供的守护进程( d a e m o n ) 对缺省帐户进行攻击，如t e l n e td a e m o n 、 f t pd a e m o n 、r p cd a e m o n 等。利用f i n g e r 等命令收集信息，提高自己的攻击能力； 利用s e n & n a i l ，采用d e b u g 、w i z a r d 和p i p e 等进行攻击；利用f r p ，采用匿名用户访 问进行攻击；利用n f s 进行攻击。通过隐蔽通道进行非法活动、突破防火墙等。目 前，已知的黑客攻击手段达数百种之多，而且随着攻击工具的完善，攻击者不需要专业 知识就能够完成复杂的攻击过程。 总之，人们面l 缶来自计算机网络系统的安全威胁r 益严重。安全问题已经成为影响 网络发展、特别是商业应用的主要问题，并直接威胁着国家和社会的安全。 1 13 计算机及网络系统的安全对策 尽管对计算机安全的研究取得了很大进展，但安全计算机系统的实现和维护仍然非 常困难。入侵者可以通过利用系统的安全漏洞入侵系统，而这些安全性漏洞主要来源于 系统软件、应用软件设计上的缺陷或系统中安全策略规范设计与实现上的缺陷和不足。 即使我们能够设计和实现- w o e 极其安全的系统，但由于现有系统中大量的应用程序和数 据处理对现有系统的依赖性以及配置新系统所需要的附加投资等多方面的限制，用新系 统替代现有系统需付出极大的系统迁移代价，所以这种采用新的安全系统替代现有系统 3 沈阻1 、i t 人学硕+ 学位论文 的方案事实上很难得到实施。另一方面，通过增加新功能模块对现有系统进行升级的方 案却又不断地引入新的系统安伞性缺陷。 入侵检测m 1 是最近l o 余年发展起来的一种动态的监控、预防或抵御系统入侵行为 的安全机制。主要通过监控刚络、系统的状态、行为以及系统的使用情况，来检测系统 用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。和 传统的预防性安全机制相比，入侵检测是一种事后处理方案，具有智能监控、实时探 测、动态响应、易于配置等特点。由于入侵检测所需要的分析数据源仅是记录系统活动 轨迹的审计数据，使其儿乎适用于所有的计算机系统。i l 羽入侵检测技术的引入，使得网 络、系统的安全性得到进一步地提高( 如，可检测出内部人员偶然或故意提高他们的用 户权限的行为，避免系统内部人员对系统的越权使用) 。显然，入侵检测是对传统计算 机安全机制的一种补充，它的开发应用增大了网络与系统安全的保护纵深，成为目前动 态安全工具的主要研究和开发的方向。许多研发机构和主要的安全厂商都在进行这方面 的研究和开发，有的已经推出了相应的产品。 实践经验使人们认识到：由于现有的各种安全防御机制都有自己的局限性。例如， 防火墙能够通过过滤和访问控制阻止多数对系统的非法访问，但是不能抵御某些入侵攻 击尤其是在防火墙系统存在配置上的错误、没有定义或没有明确定义系统安全策略 时，都会危及到整个系统的安全。另外，由于其主要是在网络数据流的关键路径上，通 过访问控制来实现系统内部与外部的隔离，从而针对恶意的移动代码( 病毒、木马、缓 冲区溢出等) 攻击、来自内部的攻击等，防火墙将无能为力。因此，针对网络的安全不 能只依靠单一的安全防御技术和防御机制。只有通过在对网络安全防御体系和各种网络 安全技术和工具的研究的基础上，制定具体的系统安全策略，通过设立多道的安全防 线、集成各种可靠的安全机制( 如：防火墙、存取控制和认证机制、安全监控工具、漏 洞扫描工具、入侵检测系统以及进行有效的安全管理、培训等) 建立完善的多层安全防 御体系，才能够有效地抵御来自系统内、外的入侵攻击，达到维护网络系统的安全。 4 沈阳i 业人学预士学位论文 1 2 现阶段入侵检测系统的不足与入侵检测技术的发展方向 1 2 1 现阶段入侵检测系统的不足 入侵检测系统不能很好的检测所有的数据包：基于网络的入侵检测系统难以跟上 网络速度的发展。截获网络的每一个数据包，并分析、匹配其中是否具有某种攻击的特 征需要花费时间和系统资源。现有的入侵检测系统在1 0 m 例上检查所有数据包中的几 十种攻击特征时可以很好地工作。现在很多网络都是5 0 m 、1 0 0 m 甚至干兆网络，网络 速度的发展远远超过了数据包模式分析技术发展的速度。 攻击特征库的更新不及时：绝大多数的入侵检测系统都是适用模式匹配的分析方 法，这要求攻击特征库的特征值应该是最新的。但现在很多入侵检测系统无法实时更新 攻击特征。在如今每天都有新漏洞发布、每天都有新的攻击方法产生的情况下显然不能 满足安全需求。 检测分析方法单一：攻击方法的越来越复杂，单一的基于模式匹配或统计的分析 方法已经难以发现某一些攻击。另外，基于模式匹配和基于统计的分析方法各有所长， 入侵检测系统的发展趋势是在同一个系统中同时使用不同的分析方法。现在大多数的入 侵检测系统都使用了单一的分析方法。 不同的入侵检测系统之间不能互操作：在大型网络中，网络不同的部分可能使用 了不同的入侵检测系统，但现在的入侵检测系统之间不能能够交换信息，使得发现了攻 击时难以找到攻击的源头，甚至给入侵者制造了攻击的漏洞。 ) f ；能和其他网络安全产品互操作：入侵检测不是安全的终极武器，一个安全的网 络中应该根据安全政策使用多种安全产品。但入侵检测系统不能很好的和其他安全产品 协作。 结构存在问题：现在的很多入侵检测系统是从原来的基于网络或基于主机的入侵 检测系统；_ i l i 断改进而得来的，在体系结构等方面不能满足分布、开放等要求。 1 d s 缺乏国际统一标准，没有关于描述入侵过程和提取攻击模式的统一标准：没 有检n ；f t 】相应模型的统一描述语言：检测引擎的定制处理没有统一标准。 5 沈卧i i k 人学硕十学位论文 1 2 2 入侵检测技术的发展方向 在下一代的入侵检测系统中，将把现在的基于网络和基于丰机这两种检测技术很好 地集成起来，提供集成化的攻击签名、检测、报告和事件关联功能，而且部署和使用上 岜更加灵活方便。一个成功的入侵检测系统至少要满足以下主要功能要求： 实时性要求：如果攻击或者攻击的企图能够尽快的被发现，这就使得有可能查找 出攻击者的位置，阻止进一步的攻击活动，有可能把破坏控制在最小限度，并能够记录 下攻击者攻击过程的全部网络活动，并可作为证据阐放。实时入侵检测可以避免常规情 况下，管理员通过的对系统日志进行审计以查找入侵者或入侵行为线索时的种种不便与 技术上的限制。 可扩展性要求：因为存在成千上万种不同的己知和未知的攻击手段，它们的攻击 行为特征也各不相同。所以必须建立一种机制，把入侵检测系统的体系结构与使用策略 区分开。一个已经建立的入侵检测系统必须能够保证在新的攻击类型出现时，可以通过 某种机制在无需对入侵检测系统本身进行改动的情况下，使系统能够检i i i i ! i 新的攻击行 为。并且在入侵检测系统的整体功能设计上，也必须建立一种可以扩展的结构，以便系 统结构本身能够适应未来可能出现的扩展要求。 适应性要求：入侵检测系统必须能够适用于多种不同的环境，比如高速大容量计 算机网络环境，并且在系统环境发生改变，如增加环境中的计算机系统数量，改变计算 机系统类型时，入侵检测系统应当依然能够不作改变正常工作。适应性也包括入侵检测 系统本身对其宿主平台的适应性，即：跨平台工作的能力，适应其宿主平台软、硬件配 置的各种不同情况。 安全性与可用性要求：入侵检测系统必须尽可能的完善与健壮，不能向其宿主计 算机系统以及其所属的计算机环境中引入新的安全问题及安全隐患。并且入侵检测系统 应该在设计和实现中，应该能够有针对性的考虑几种可以预见的，对应于该入侵检测系 统的类型与工作原理的攻击威胁，及其相应的抵御方法。确保该入侵检测系统的安全性 与可用性。 有效性要求：能够证明根据某一设计所建立的入侵检测系统是切实有效的。即： 对j i 攻击事件的错报与漏报能够控制在一定范围内。例如，种常见的办法时，将真l f 6 沈卧【：业人学硕士学何论文 的入侵报文掺杂在大量假冒源地址的攻击报文中，从而导致入侵检测系统被虚假信息所 淹没，甚至本身导致失效。所以入侵检测系统必须能够对付这些欺骗行为。 1 3 论文安排 全文其分为四章，具体安排如下： 第一章概括论述入侵榆测系统的背景、意义和现阶段的不足及发展方向。 第二章对现有的入侵检测领域的各种检测模型和技术进行综述和归类分析，详细地 讨论了各种技术的优缺点。 第i 章提出了基丁系统行为分类的检测模型和基于数据流的入侵检测系统设计模 型。讨论了评测检测系统与检测算法性能及其重要测度。给出了采用多检测器结构进行 数据融合，来提高系统检测率、减小虚警率的解决方案。 第四章研究通过监控系统关键程序来检测入侵的技术，设计了实用的神经网络分类 器或贝叶斯分类器，提出了一个基于系统行为分类检测模型的入侵检测系统设计原型及 其详细设计和系统框图。首次解决了同时对系统中的多个系统关键程序的执行进行监控 的问题。 最后，结束语对全文的研究工作进行了总结，指出了进一步研究的方向。 7 沈r1i 业火学硕士学位论文 2 入侵检测技术与入侵检测系统 本章介绍了现有的各种入侵检测技术，并从小同的角度对现有的检测技术和入侵检 测系统进行分类分析，详细地讨论了各种技术的优缺点。使我们能够从整体上把握入侵 榆测领域的研究和发展方向。 2 1 引言 l a n d w e h r 等通过对计算机系统安全缺陷的分析表明：任何+ 个计算机系统中都会 存在一些能够威胁其安全的缺陷、漏洞或弱点。由于我们无法保证一个信息系统及其工 作平台、环境中没有安全陛缺陷，这样我们使用的信息系统就难免会受到利用系统安全 性缺陷实施的攻击。为增强计算机系统或网络系统的安全，除了采用经典的安全技术 ( 如：加密、认证、存取控制以及防火墙等) 之外，近十几年出现的动态安全检测、防 御技术：如漏洞扫描、入侵检测等技术在网络、系统安全领域中，得到了广泛的关注和 应用。自从d e n n i n g 开始研究入侵检测技术，人们陆续提出了许多关于入侵检测的系统 原型。绝大多数的系统原型和检测工具是基于t c p i p 协议和u n i x 操作系统的，但也 有一些产品适用于企业网中广泛配置的w i n d o w sn t 操作系统。通过对现有系统及其实 现技术的分类、分析，并总结说明入侵检测系统的主要特征，1 3 9 司- 进一步了解各实 现技术的优缺点，从而使我们能够从整体上把握入侵检测领域的研究和发展。 2 2 基本概念 2 2 1 入侵行为 入侵行为，主要指对系统资源的非授权使用，它可以造成系统数据的丢失或破坏、 甚至会造成系统拒绝对合法用户服务等后果。a d e r s o n 把入侵者分为两类：外部入侵者 ( 一般指系统中的非法用户，如常说的黑客) 和内部入侵者( 有越权使用系统资源行为 的合法用户) 。 入侵检测( i n t r u s i o nd e t e c t i o n ) 具有监视分析用户和系统的行为、审计系统配置和 漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收 集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑 客行为等功能，使系统管理员可以较有效地监视、审计、评估自己的系统。入侵榆测的 8 沈叭1 ：业人学硕t ：学位论文 目标就是通过榆奄操作系统的审计数据后网络数据包信息来检测系统。p 违背安全策略后 危及系统安全的行为后活动，从而保护信息系统的资源不受拒绝服务攻击、防止系统数 据的泄漏、篡改和破坏。关于入侵检测技术的研究，涉及到计算机、网络以及安全等多 个领域的知识。目前，最犟本的入侵检测方法主要是基于已知入侵行为模式、基于通信 业务分析以及基于系统状态( 或行为) 统计异常性的检测。 2 , 2 2 入侵检测系统 入侵检测系统就是能够通过分析系统安全相关数据来检测入侵活动的系统。一般来 说，入侵检测系统在功能结构卜基本一致，均由数据采集、数据分析以及用户界面等几 个功能模块组成，只是具体的入侵检测系统在分析数据的方法、采集数据以及采集数据 的类型等方面有所不同。面对入侵攻击的技术、手段持续变化的状况，入侵检测系统 ( i n t r u s i o nd e t e c t i o ns y s t e m ) 必须能够维护一些与检测系统的分析技术相关的信息，以 使检测系统能够确保检测出对系统具有威胁的恶意事件。这类信息一般包括：1 2 9 - 系统、用户以及进程行为的f 常或异常的特征轮廓。 标识可疑事件的字符串，包括：关于己知攻击和入侵的特征签名。 激活针对各种系统异常| 青况以及攻击行为采取响应所需的信息。 这些信息以安全的方法提供给用户的i d s 系统，有些信息还要定期地升级。 d e n n i n g 在1 9 8 6 年提出的基于主机系统的主体特征轮廓、系统对象、审计日志、 异常记录以及活动规则等的检测系统模型是最典型( 也是最常被引用) 的系统设计模 型。具体实现时，多采用基于规则的模式匹配算法，通过审计与主体特征轮廓的匹配程 度来检测在系统登录、程序执行以及文件存取时的入侵攻击或资源滥用。这种设计模型 在许多早期基于主机的监测系统中得到了广泛的应用，如i d e s ( i n t r u s i o n d e t e c t i o n e x p e r ts y s t e m ) 、n i d e s ( n e x t g e n e r a t i o nr e a l t i m ei d s e ) 、w & s ( w i s d o m & s e n s e ) 等。 随着网络安全问题的日益突出，针对网络入侵检测技术和系统的研究、开发得n a k 内的广泛关注和重视。h e b e r l e i n 等利用d e n n i n g 的模型设计的n s m ( n e t w o r ks e c u r i t y m o n i t o r ) 系统能够以太网中通过网络业务分析进行入侵检测，d i d s 则是对n s m 的发 展，把网络中丰机系统的审计机制收集到的时间数据通过网络进行综合处理。但数据分 9 沈叭r 业人学硕士学位论文 析仍是局限存单链路的局域网中，而目事件的处理是集中式的。目前，基j 网络的入侵 检测系统已逐步扩大到能够检测大型的、具有复杂拓扑结构的州络中的入侵行为。典型 的系统有：g r i d s 、e m e r a l d 和n e t s t a t 等。 网络以及相应的入侵攻击技术的r 益复杂化，也使得利用单。机制的监测系统无法 有效地检测系统中的入侵行为。如何对来自网络中备种安全髓控器、探测器、系统管理 员以及其他网络安全机制的各种安全相关信息和报警数据进行分析融合，以有效提高网 络入侵检测系统的町靠性，是网络入侵检测领域中有待解决的问题。 2 3 入侵检测技术与系统的分类 通过对现有入侵检测系统的研究，我们可以从下面几个角度对入侵检测系统进行分 类： 根据检测方法可划分为：基于行为的入侵检测系统( b e h a v i o rb a s e di d s ) 和基 于入侵知识的入侵检测系统( k n o w l e d g e b a s e di d s ) 。前者利用被监控系统正常行为 的信息作为检测系统中入侵、异常活动的依据。后者则根据已知入侵攻击的信息( 知 识、模式等) 来检测系统中的入侵攻击。 根据目标系统的类型可分为；基于主机的( h o s t b a s e d ) 入侵检测系统和基于网 络的( n e t w o r k - b a s e d ) 入侵检测系统。 根据入侵检测系统的分析数据来源来划分：入侵检测系统的分析数据可以是：主 机系统的审计迹( 系统日志) 、网络数据报、应用程序的日志以及其它入侵检测系统的 报警信息等。据此可分为基于不同分析数据源的入侵检测系统。 根据检测系统对入侵攻击的响应方式可分为：主动的入侵检测系统和被动的入侵 检测系统。主动的入侵检测系统在检测出入侵后，可自动地对目标系统中的漏洞采取修 补、强制可疑用户( 可能的入侵者) 退出系统以及关闭相关服务等对策和响应措施。而 被动的入侵检测系统在检测出对系统的入侵攻击只是产生报警信息通知系统安全员，至 于之后的处理工作则由系统管理员完成。 l o 沈刚i 业人学硕【：学位论文 表2 1 入侵检测系统分类情况汇总表 分类依据入侵检测系统类别备注 检测方法基于行为的入侵检测系统也称异常检测 入 基于入侵知识的入侵榆测系统也称滥用检测 被保护的目标系统基于主机的入侵检测系统主机环境适用 侵 基于网络的入侵检测系统适用于网络环境 分析数据源丰机系统的审计迹、系统同志等根据分析数据源可 检 网络数据报、网管信息分为针对小同分析 测 应用程序的日志 数据源的入侵检测 其它入侵检测系统的报警信息 系统。 系 响应方式主动的入侵检测系统对检测到的入侵进 行主动响应、处理 统 被动的入侵检测系统对检测到的入侵仅 进行报警 下面，我们主要从入侵检测方法、目标系统和分析数据源的角度对现有的入侵检测 系统及其实现技术进行研究分析。 2 4 基于入侵知识的和基于行为的入侵检测 基于入侵知识和基于行为的入侵检测技术在处理数据的方式上是互补的。基于知识 的检测方法，也称滥用检测( m i s u s ed e t e c t i o n ) 【3 1 1 ，主要利用收集到的入侵或攻击的 相关知识( 特征、模式等) 来检查系统中是否出现了这些已知入侵攻击的特征后模式， 并据此判断系统是否遭到攻击。而基于行为的入侵检测，则是为被监控的信息系统构造 一个有关系统正常行为的参考模型( 有关用户、系统关键程序等的特征轮廓) ，然后检