（计算机应用技术专业论文）基于网络行为图的入侵检测系统模型.pdf

摘要 摘要 随着当今社会信息技术的飞速发展，网络安全问题也h 益突出，这对 入侵检测技术提出了更高的要求。在各种网络攻击中分布式和协同攻击作 为今后入侵者主要采用的手段其危害是最广泛的，然而现有的入侵检测技 术在处理此类攻击时还存在有一定的不足。在此背景下，本文提出了一种 新的入侵检测系统模型，专门处理这类攻击。 本文首先介绍了入侵检测技术的发展与现状。在总结迄今已有的入侵 检测系统的基础上，通过将图论技术应用到入侵检测系统当中，提出r 一 种基于网络行为图的入侵检测系统模型，主要针对大规模网络中的分布式 和咖同攻击进行检测。在陔模型中，将子网和主机看作节点，而各主机或 子网之间的连接看作边，这样网络中的所有行为都将被转化为相应的图的 形式。利用图论中的相关算法进行匹配以判定是否为入侵行为。实现此功 能的模块为图形建立引擎，它是整个入侵检测系统的核心部件。为了使信 息处理更加灵活，基于行为图的入侵检测系统的结构被划分为一个层状的 树型结构，并定义了模块管理器、软件控制器等相关模块，通过它们对整 个系统进行管理和控制，本文对系统也做了详细的设计。在以上内容的基 础上对整个基于网络行为图入侵检测系统的层次结构模型和模型内各模块 之间的协同工作方式进行了详细分析。在提出具体的入侵检测系统模型之 后，对系统中行为图匹配算法提出了改迸，使用e p p s t e i n 算法取代了原来 的匹配算法，将算法的时间复杂度由指数范围提升到了线性范围之内，并 列该算法进行了理论证明。最后从理论上对g r d s 模型在针对大规模网络 巾分布式和协同攻击时的优越性进行了分析验证。 关键词入侵检测；分布式和协同攻击；层状模型；图论：子图同构 燕山大学工学硕士学位论文 a b s t r a c t t o d a y ，w i t h t h ef a s t d e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y , n e t w o r k s e c u r i t y b e c o m e si n c r e a s i n g l yn o t i c e a b l e ，w h i c hm a k e sh i g h e rd e m a n d so n i n t r u s i o nd e t e c t i o ns y s t e mt e c h n o l o g y t h ed i s t r i b u t e da n dc o o r d i n a t e da t t a c k s ， w h i c ha r et h em a i nm e t h o d si nh a c k e r s i n t r u s i o n s ，a r em o s ts e r i o u s h o w e v e l e x i s t i n gi n t r u s i o nd e t e c t i o ns y s t e m sh a v es o m el i m i t a t i o n sf a c i n gt h i sk i n do f a t t a c k s s oi nt h eb a c k g r o u n do ft h i sc o n d f f i o n ，t h i sp a p e ri n t r o d u c e san e w k i n d o fi n t r u s i o nd e t e c t i o ns y s t e mm o d e lt oh a n d l et h i st y p ea t t a c k ss p e c i a l l y a tf i r s t ，t h i sp a p e ri n t r o d u c e st h ed e v e l o p m e n ta n dr e s e a r c hs t a t u so fi d s ， o nt h eb a s eo fs u m m i n gu pt h ee x i s t i n gi n t r u s i o nd e t e c t i o ns y s t e m s i tp r e s e n t s t h en e t w o r k a c t i v i t yg r a p h - b a s e di n t r u s i o nd e t e c t i o ns y s t e mm o d e lb yi m p o r t i n g g r a p ht h e o r yi n t o i n t r u s i o nd e t e c t i o ns y s t e m ，w h i c hi sd e s i g n e dt oh a n d l et h e d i s t r i b u t e da n dc o o r d i n a t e da t t a c k s ，i nt h i sm o d e lh o s t sa n ds u b n e t w o r k sa r e r e g a r d e da sn o d e sa n dc o n n e c t i o n sb e t w e e n h o s t so rs u b n e t w o r k sa r er e g a r d e d a se d g e s i nt h i sw a ya l la c t i v i t i e si nn e t w o r ka r ec o n v e n e di n t or e l e v a n tg r a p h f o r m ，w h i c ha r ej u d g e db yg r a p ht h e o r ya l g o r i t h m w h e t h e ra r ei n t r u s i o n a c t i v i t i e s i no r d e rt o p r o c e s si n f o r m a t i o nm o r es c a l a b l y ，i t so r g a n i z a t i o n i s d i v i d e di nah i e r a r c h i c a lt r e es t r u c t u r eo fd e p a r t m e n t a f t e rt h a tt h e p a p e r a n a l y s e st h eh i e r a r c h i c a lt r e es t r u c t u r ea n d c o o r d i n a t e dw o r k i n gm o d eb e t w e e n m o d u l e s a f t e rp r e s e n t i n gt h ei d sm o d e l ，t h i sp a p e ra p p l i e se p p s t e i na l g o r i t h m t or e p l a c et h et r a d i t i o n a la l g o r i t h mi no r d e rt oi m p r o v et h ea l g o r i t i m lc o m p l e x i t y f r o me x p o n e n t i a lc o n d i t i o nt ol i n e a rc o n d i t i o n ，a n dp r o v e si ti nt h e o r y a tl a s t t h ep a p e ri m p r o v et h es u p e r i o r i t yo fg r i d sm o d e li nh a n d l i n gt h ed i s t r i b u t e d a n dc o o r d i n a t e da t t a c k s k e y w o r d si n t r u s i o nd e t e c t i o n ；d i s t r i b u t e da n dc o o r d i n a t e da t t a c k ；h i e r a r c h i c a l m o d e l ；g r a p ht h e o r y ；s u b g r a p hi s o m o r p h i s m i i 第1 章绪论 1 1引言 第1 章绪论 近年柬，随着计算机网络技术的迅猛发展，信息化热潮的到来，计算 机网络所提供的信息共享、资源共享等优点已闷益受到人们的瞩目，并获 得了广泛的应用。人类社会生活对i n t e r n e t 的需求也随之日益增长。根据中 国互联网信息中，d ( c n n i c ) 发布的“第十五次中国互联网络发展状况统计报 告”显示：我国上网用户总数为9 4 0 0 万，比半年前增长8 ；上网计算机 达到4 1 6 0 万台，比半年前增长了1 4 6 ；c n 下注册的域名数、网站数分 别达到4 3 力和6 6 9 万，分别比半年前增长了5 万和4 2 万。 随着网络规模越来越大、越来越开放，同时也出现了1 i 安全的阴影： 网上信息被泄漏、篡改和假冒，黑客入侵，计算机犯罪，网络病毒蔓延， i 良信息的大范围传播，信息获取、控制和使用的斗争等等，都对网络构 成了严重威胁。无论政府、商务，还是金融、媒体的网站都不同程度上受 到过入侵和破坏。每年全球因计算机i 叫络安全系统被破坏而造成的经济损 失高达数均亿美7 亡。据统计【2 】：信息窃贼在过去5 年巾以2 5 0 的速度增民， 9 9 的大公司都曾发生过火的入侵事件。世界著名的商业网站，如y a h o o 、 b u y 、e b a y 、a m a z o n 、c n n 都曾经被黑客入侵，造成巨大的经济损失，甚 至连专门从事网络安全的r s a 网站也曾遭受到黑客的攻击。 因此网络上的信息系统的安全性变得越来越重要，网络安全也逐渐成 为i n t e m e t 以及各项网络服务和应用进一步发展所需解决的关键问题，已引 起世界各国的广泛关注。 1 2 网络安全概述 信息安全一般定义为”1 ：防止对知识、事实、数据和能力非授权使用、 误用、篡改或拒绝使用所采取的措施( 量度) 。而体现在计算机网络领域中， 则主要体现为网络安全的形式。e r i cm a i w a l d 将网络安全定义为：网络安全 l 燕山大学工学硕士学位论文 是在分布网络环境中，对信息载体( 处理载体、存储载体、传输载体) 和信息 的处理、传输、存储、访问提供安全保护，以防止数据、信息内容或拒绝 服务或被非授权使用和篡改 4 1 。 网络安全具有三个基本属性1 5 】。 机密性。指保证信息与信息系统不被非授权者所获取与使用，主要防 范措施是密码技术。 完栏性。指信息是真实可信的，其发布者不被冒充，来源不被伪造， 内容不被篡改，主要防范措施是校验与认证技术。 可用性。指保证信息与信息系统可以被授权人正常使用，主要防范措 施是确保信息与信息系统处于一个可靠的运行状态之下。 在维护信息载体的安全与维护信息自身的安全两个方面都含有机密 性、完整性、可用性这三个重要属性。 网络安全威胁一般分为外部闯入、内部渗透和不当行为三种类型。外 部闯入是指未经授权计算机系统用户的入侵：内部渗透是指己授权的计算 机系统用户访问未经授权的数据；不正当行为是指用户虽经授权，但对授 权数据和资源的使用不合法或滥用授权。 一般来说，网络的安全威胁主要来自于以下几个方面 6 】： ( 1 ) 网络产品物理方面的安全性； ( 2 ) 网络协议方面的安全性，如t c p i p 协议簇本身缺乏安全性； ( 3 ) 操作系统的安全性，目前流行的操作系统存在安全漏洞； ( 4 ) 病毒对数据的损坏； ( 5 ) 应用程序在设计方面本身存在安全缺陷； ( 6 ) 网络内部用户的权限滥用； ( 7 ) 网络外部用户的恶意攻击； ( 8 ) 防火墙或主机配置方面的不合理； ( 9 ) 缺乏有效的手段监视、评估网络的安全性。 圈际标准化组织( i s o ) 在开放系统互连( o s i ) 标准中定义了7 个层次的参 考模型1 7j ，不同的网络层次之间的基本功能是不同的，相应的不同层次的网 络安全服务也是不同的，需要分层进行配置。包括物理层的安全、数据链 ： ：笙! 兰堑堕： 路层的加密保护、网络层的防火墙以及i p 加密、传输层的安全套接字以及 在应用层针列用户身份进行认证并建立起安全的访问通道等。 1 3入侵检测技术发展与现状 1 3 1 防火墙与入侵检测技术的出现 为了能够将上述各种网络安全问题所造成的损失降低到最低程度，必 须要建立一套安全系统，同时按照一。定的安全策略来建立相应的安全辅助 系统，m 于这种需要，人们提出用防火墙峭j 来建立这样的安令系统。 防火墙使于内网与外网的边晃处。它通过监测跨越“防火墙”的数掘 流，依照一定规则，让合法的数据流通过，而非法的数据流则被过滤掉。 防火墙工作于网络七层协议的网络层和传输层，是种数据包过滤技术。 可以根据数据包的源地址、目的地址或所使用的传输层的端口号f 或者者 的组合) ，构造过滤逻辑，决定数据包的通过与过滤。由于路由器工作于网 络七层协议的网络层，能提供数据包过滤能力，所以通过对路由器的适当 配置，就能使路由器起到防火墙的作用。当然，也可以在工作站上用软件 完成数据包过滤工作。 除了防火墙技术之外，另一种安全措施就是入侵检测系统。所谓的入 侵检澳u ( i n t r u s i o nd e t e c t i o n ) p 技术是指根据记录跟踪访问者的特征、通信 数据的特征和流量的特征，通过对主机及网络包含的这些特征进行实时检 测发现隐减的入侵及潜在的入侵。入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m i d s ) 的完善会使网络的安全性大大提高。 1 。3 2 入侵检测技术发展概况 入侵检测从最初实验室里的研究课题到目前市场上的商业产品，已经 有了2 0 多年的发展历史1 2 】。它的发展大致可以分为三个阶段： 13 2 1 安全审计阶段安全审计为入侵检测的产生打下了基础。审计是对 系统【+ 发生事件的记录和分析处理过程。与系统f 1 志相比，审训更关注安 全问题。根据美国国防部( d o d ) “可信计算机系统评估标注”( t c s e c ) 桔皮 3 燕山大学r 学硕士学位沦文 书规定，审计 ) l n l ( a u d i tm e c h a n i s m ) 应该作为c 2 或c 3 以上安全级别的计 算机系统必须具备的安全机制，其功能包括：能够及时发现用户身份的跃 迁；能够报告并阻碍绕过保护机制的行为并记录相关过程，为灾难恢复提 供信息。 13 2 2入侵检测的诞生 1 9 8 0 年a n d e r s o n 在报告“c o m p u t e rs e c u r i t y t h r e a t m o n i t o r i n ga n ds u r v e i l l a n c e ”中提出必须改变现有的系统审计机制， 以便为专职系统安全人员提供安全信息，此文被认为是有关i d s 的最早论 述【1 3 i ：1 9 8 4 1 9 8 6 年d o r t h yd e n n i n g 和p e t e r n e u m a n n 联合开发了一个实时 入侵检测系统i d e s ( i n t m s i o n d e t e c t i o n e x p e as y s t e m ) ，i d e s 采用了 异常检测和专家系统的混合结构。d e n n i n g 在1 9 8 6 年的论文“a n i n t r u s i o n d e t e c t i o n m o d e ”，亦被公认为是i d s 领域的另一篇开山之作。受a n d e r s o n 、 d e n n i n g 和i d e s 的影响，在2 0 世纪8 0 年代出现了大量的i d 原型系统， 如：a u d i t a n a l y s i sp r o j e c t 、d i s c o v e r y 、h a y s t a c k 、m i d a s 、n a d i r 、n s m 、 w i s d o ma n ds e n s e 等；商业化的i d s 直到2 0 世纪8 0 年代后期才出现。 1 3 2 3 入侵检测的发展入侵检测技术发展的初期，检测方法比较简单， 大多数i d s 只是基于主机i ”j 进行检测。例如1 9 8 6 年，在i b m 主机上用 c o b o l 语言开发的d i s c o v e r y 系统。随着网络应用的迅速普及和入侵检测 技术的进一步发展，1 9 9 0 年，h e b e r l e i n 提出一个新概念：基于网络的安全 监视_ n s m ( n e t w o r ks e c u r i t y m o n i t o r ) 。与以前的i d s 系统相比，它的不 同点在于它不是检查主机系统的审计记录，而是通过主动监视局域网内的 信息流来发现可疑的行为。这一概念的提出使得入侵检测系统的应用丌始 面向网络。1 9 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d 提出使用自治代理 ( a u t o n o m o u sa g e n t ) 来提高i d s 的可扩展性、可维护性和容错性【1 6 。随着广 域网的不断发展和黑客攻击技术的提高，早期集中式的网络入侵检测系统 己经不再适用于大型的网络，于是就有了用于大型网络的分布式入侵检测 系统，如：j i n a o ，e m e r a l d ，g r i d s t l7 】等。这种分布式的入侵检测方法 的容错能力强，扩展能力强，能检测大范围的网络入侵行为。目前，对广 域网范围的入侵活动的检测和必要的入侵反应机制，如自动恢复、对入侵 者进行跟踪等，是网络入侵检测系统研究的重点。 4 第1 草绪论 基于网络的入侵检测系统的发展主要面向大型网络，已投入应用的研 究成果自n a d i r ( ( n e t w o r ka n o m a l yd e t e c t i o na n di n t r u s i o nr e p o n ) 系统【1 8 1 和c s m ( 合作安全管理) 【t g ，正在研究的有e m e r a l d ( e v e n tm o n i t o r i n g e n a b l i n gr e s p o n s e st o a n o m a l o u sl i v ed i s t m b m a e e s f i 员目f 2 0 1 和a a f i d ( t h e a u t o n o m o u s a g e n t sf o ri n t r u s i o nd e t e c t i o n ) 2 ”。 1 3 3 入侵检测技术现状 当前国际上比较先进的入侵检测系统是美国i s s 公司的r e a l s e c u r e ，它 采用了智能攻击识别技术。其它公司丌发的入侵检测工具，如n a i 公司的 c y b e r c o pm o n i t o r ，a x e n t 的n e t p r o w l e r 和c i s c o 的n e t r a n g e r 等，也有比 较完善的功能和较强的实用性，能对火量攻击和系统误用特征进行识别， 并采取及时的入侵反应措施。近年来，圜内计算机安全特别是网络安全已 经成为研究热点，但在入侵检测技术方面国内的研究还只是刚刚起步，处 于跟踪图外技术阶段，投入实际使用的入侵检测系统很少，并且系统功能 还比较简单。主要产品有：紫光公司推出的网络安全入侵检测系统一一 u n i s l d s 、中国科学技术大学国祯入侵检测系统以及中软的d i d s y s t e l l 1 分布 式入侵检测系统等。 1 4 防火墙和入侵检测的比较 防火墙技术和入侵检测技术作为网络安全体系中两个重要的防护措施 各有优缺点。 防火墙技术是较早发展起来的重要的安全技术，其主要作用是在网络 中检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提 下，提供网络内外通讯1 2 ”。使用防火墙可以： ( 1 ) 保护脆弱的服务，通过过滤不安全的服务，可以极大的提高网络安 全和减少子网中主机的风险。如：防火墙可以禁上卜n i s 、n f s 通过，还可 以拒绝源路由和i c m p 重定向。 ( 2 ) 控制对系统的访问，防火墙可以允许从外部访阿某些主机，同时禁 止访问另外的主机。如允许访问特定的m a i ls e r v e r 和w e bs e r v e r 。 燕山大学r l 一学硕士学位论文 ( 3 ) 集中的安全管理，在防火墙定义的安全规则适于整个内部网络系统， 而无须在内部网络的每台机器上分别设立安全策略。 ( 4 ) 增强了保密性，使用防火墙可以阻止攻击者获取攻击网络的有用信 息，如f i n g e r 和d n s 。 ( 5 ) 记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据， 它可以用来判断可能的攻击和探测。 ( 6 ) 防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时， 网络安全取决于每台主机的用户。 没置防火墙的要素包括网络策略、服务访问策略、防火墙设计策略、 增强的认证等。建设防火墙要分析安全服务需求、保证策略的灵活性、分 析远程用户策略、拨入拨出策略和i n f o r m a t i o ns e r v e r 策略等 2 3 1 。 防火墙技术的优点是实现相对简单，并可以由路由器来完成，不必另 外增加软件或硬件。但其缺点是：路由器中的过滤逻辑一般是静态指定， 因而对动态指定传输层端口号的应用受到限制：同时也影响到路由器数据 包的转发速度。 利用防火墙技术，能够在内部网和外部网之间提供安全的网络保护， 降低网络的安全风险 2 4 】，但是现在仅仅使用防火墙技术，网络安全还远远 不够。具体表现在：正确的配置防卫控制规则对管理员的要求较高；即使 规则配置正确，也不能完全阻止入侵者蛮力的攻击和利用计算机软硬件系 统，以及对未授权的计算机或滥用计算机及网络资源的入侵；对内部攻击 束手无策，虽然可以克服来自外部网络的攻击，但是对内部攻击无能为力， 同时对于已经穿透防火墙的入侵攻击也是没有办法的。 由于防火墙存在这些缺陷，入侵检测系统被认为是整个安全系统中的 最后一道防线。入侵指任何试图危害资源的完整性、保密性和可用性的活 动集合。入侵检测就是检测入侵活动，并采取对抗措施。按照数据来源i d s 可分为基于主机的i d s 和基于网络的i d s 。基于主机的i d s 的关键技术是 从庞大的主机安全审计数据中抽取有效的数据进行分析。基于网络的i d s 则一般通过监视网络上的流量来分析攻击者的入侵企图。 入侵检测系统可以提供实时的入侵检测及相应的防护手段，如记录证 6 筇1 章绪论 据用于跟踪、恢复和断丌网络连接等。实时入侵检测能力之所以重7 9 , 黾n 为能够对付来自i 劂络内部的攻击和能够缩短“入侵者”侵害删络的时间。 凶此可见，防火墙是一味的对攻击进行过滤、阻止，而入侵检测技术 循循善诱的通过各种手段等来发现攻击方。入侵检测技术弥补了防火墙的 缺点，同时自己又具有很好的安全性能，n j i l 我们町以更好的利用该技术 对网络进行安今临测管理。不过我们不町能也没有必要在入侵检测系统中 实现所有的安全技术，我们可以利用各种技术，让他们协调丁作，最终实 现更加安全的环境。 1 5 本文主要研究内容 网络技术的飞速发展和网络规模的不断扩大对网络安全和入侵检测技 术提出了新的挑战，刁i 仅要能对传统的入侵和攻击行为做出更好的处理， 对于在大规模网络中的分布式和协同攻击也要能及时高效的做出相应的响 应和处理。当今广泛采用的集中式的入侵检测系统已经越来越1 i 能满足大 规模、大容量、高传输速度网络系统的需求。图论 2 5 1 ( g r a p ht h e o r y ) 是一门 新兴学科，在计算机应用领域特别是网络理论中有着非常广泛的应用。本 谋题主要的研究内容就是将图论算法引入到入侵检测技术当中，建立基于 图的入侵检测系统模型。利用成熟的图论算法来解决入侵检测领域中如何 处理大规模网络中分布式和防同攻击的问题。另个内容就是研究图论中 的予图同构算法在g r i d s 中的算法复杂度。 本文章节安排如下： 第1 章丰要分析了计算机网络系统的安全性和主要面临的威胁，叙述 了入侵检测的发展与现状，对国内外的研究状况作了总体的概述，并指出 木文的主要内容及结构。 第2 章主要是对入侵检测系统给出了一个总体的概述，其中包括入侵 检测系统的体系结构、入侵检测的常用技术及相关概念、当前网络上比较 常见的攻击原理和使用方法等等。 第3 章提出了一个基于网络行为图的入侵检测系统模型，设计了初步 的系统结构，并对其树型层次结构以及各个功能模块进行了详细阐述。 燕山大学工学硕士学位论文 第4 章重点研究第三章提出的入侵检测模型中图形建立引擎模块，以 及该模块如何将收集上来的网络连接活动转换为行为图。 第5 章对提出的基于网络行为图的入侵检测模型中行为图匹配算法进 行了改进，提高了算法的时间复杂度。 第6 章从理论角度分析了g r i d s 模型在大规模网络中对于分布式和协 同攻击的检测优于传统i d s 模型的原因，验证了其优越性。 作者的主要工作是后四章的内容。通过对模型的提出和设计、模型的 分析、算法的改进以及优越性分析来完成了硕士生的毕业课题。 第2 章 侵检删系统概述 第2 章入侵检测系统概述 2 1 入侵检测系统定义 入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外 部攻击和误操作的实时保护，在网络系统受剑危害之前拦截和响应入侵。 它能很好的弥补防火墙技术的不足，从某种意义上来说是防火墙技术的补 充。 入侵检测是对于面向计算资源和m 络资源恶意行为的识别和响麻”。 入侵是指任何试图破坏资源完整性、机密性和可用性的行为，而且还包括 用户刘系统资源的误用7 1 。s m a h a 从分类角度指出入侵包括尝试性i 剐人、 伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用6 种类型。入 侵检测系统是实现入侵检测功能的一系列的软件、硬件的组合。作为一种 安全管理工具，它从不r d 的系统资源收集信息，分析反映误用或异常行为 模式的信息，对检测的行为做出自动的反应，并报告检测过程的结果。 22 入侵检测系统分类 从入侵检测技术提出到现存，出现了很多入侵榆测系统。根掘不同的 分类标准，这些入侵检测系统可以分为小i 一的类别。其分类主要的考虑因 素和依据自：信息源、入侵、事件生成、事什处理、检测方法等等。下面 就简要介绍几种常月的分类方法。 2 2 1根据原始数据来源分类 入侵检测系统要对所监控的网络或主机的状态做出判断，需要有原始 数据信息作为依据。按照原始数据的来源，可以将入侵榆测系统分为基于 主机的入侵检测系统、基了二网络的入侵检测系统和混合型入侵检测系统。 f 1 1 基于主机的入侵检测系统从主机的宙计记录和同志文件中获得所需 的主要数掘源，并辅之以士机上的其他信息，例如文件系统的属性、进程 燕山人学l 学硕十，：何论文 状态等，在此基础上完成检测攻击行为的任务。同志中包禽发生住系统l ： 的不刁常和不期望活动的证据，通过查看f _ 1 志文件，能够发现成功的入侵 或入侵企图，并很快的启动相应的应急响应程序。此外，许多基丁主机的 入侵检测系统还嗡听主机端口的活动，并在特定的端口被访问的时候向管 理员报警。 基于主机的入侵检测系统优点在于：能够确定攻击是否成功、监控力 度更细、配置更灵活、可用于加密的以及交换的环境、对阚络流量不敏感， 并日不需要额外的硬件。而其丰要缺点是：它会占用主机的系统资源，在 服务器卜产，+ 额外的负载；缺乏操作系统平台的通用巾丰支持，可移植性差： 另外，无法对网络环境卜发牛的大量攻击行为做出及时的反应，冈而应用 范围受到严重限制。从技术发展的历程角度来看，入侵检测是从主机审计 的基础上丌始发展的，凶而早期的入侵检测系统都是基于主机的入侵检测 技术。 ( 2 】基于网络的入侵检测系统使用网络数掘包作为数据源，它通过监听 网络上的所有数据包来采集数据，并使用协议分析、特征匹配、统计分析 等手段分析对象，发现当前发生的攻击行为。 基于网络的入侵枪测系统的优点在丁：检测速度快、隐蔽性好、视野 宽阔、使用监测器较少、攻击者不易转移证据、操作系统无关性、配置在 专用主机上从而1 i 占用被保护设备的系统资源等。而其缺点主要是：只能 龄视本网段的活动，精确度不高；在交换环境下难以配置；防入侵欺骗能 力著；难以定何入侵肯等。 ( 3 ) 混合型入侵检测系统指基丁主机和基于网络的入侵榆测系统的集 成。许多俐络安伞解决方案都同时采用了基于主机和基于网络的两种入侵 检测系统，因为这两种系统存很大程度卜是匀补的。实际中，许多客户在 使用i d s 时都配置了基于网络的入侵检测，防火墙之外的监测器检测来自 外部i n t e m e t 的攻击。d n s 、e m a i l 和w e b 服务器常常是攻击的目标，但是 它们又必须与外部1 删络交互，不可能对其进行全部屏蔽，所以应当在各个 服务器 二安装基于主机的入侵检测系统，其检测结果也要向分析员报告。 该形式结合了两种入侵检测系统的优点，具有更好的安全性。 第2 章入侵检测系统概述 2 2 2 根据数据分析手段分类 该分类方法是传统的分类方法。根据对获耿到的数据的分析手段可以 将入侵检测系统分为误用入侵检测系统( m i s u s ei d s ) 8 1 异常入侵检测系统 r a n o m a l vi d s ) 28 1 。 ( 1 ) 误用入侵检测系统误用入侵检测系统【29 j 收集非正常操作的行为特 征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时， 系统就认为这种行为是入侵。如果入侵特征与正常的用户行为能匹配，则 系统会发生误报：如果没有特征能与某种新的攻击行为匹配，则系统会发 生漏报。 这种方法由于依据具体特征库进行判断，所以检测准确度很高，并且 凶为检测结果有明确的参照，也为系统管理员做出相应措施提供了方便。 误用检测的缺陷在于只能检测已知的、事先定义好的攻击，当出现针对新 漏洞的攻击手段或针对旧漏洞的新攻击方式时，需要由人工或者其它机器 学习系统得出新攻击的特征模式，添加剑入侵模式库中，刊能使系统具备 检测新的攻击手段的能力，误用检测方法大致有简单模式匹配、状态转换 分析等。 f 2 1 异常入侵检测系统异常入侵检测系统【3o j 首先总结i f 常操作应该具 有的特征( 用户轮廓) ，建立一个关于系统正常活动的状态模型并不断进行更 新，然后将用户当前的活动情况与这个f 常模型进行对比，如果发现了超 过设定阈值的差异程度，则报告发现了非法攻击行为。 比较而苦，异常入侵检测系统具有更好的确定解释能力。因为异常检 测系统不需要对每种入侵行为进行定义，因此能够有效的检测未知的入侵， 另一个优点就是具备较好的检测率和较低的漏报率。而异常入侵检测的主 要缺点在于系统关键闽值参数确定困难，具有较高的误报率。另外，随着 系统检测模型的逐步精确，异常检测会消耗更多的系统资源。 从目前r 丁场的实际情况来看，大多数成熟的产品都是基于误用的入侵 检测系统，例如著名的开源入侵检测系统s n o r t l 3 “：异常入侵检测系统大多 还处于实验室研究状态。但从长远发展的角度来看，异常检测和两种检测 方式的结合才是市场的主流方向口“。 1 1 燕山大学上学硕十学位论文 2 2 3 其他分类方法 除了上边介绍的两种分类方法之外，还有一些其他的分类方法，由于 篇幅原因，这里不再详细描述，只做一些简要介绍。 根据入侵检测系统的体系结构进行分类，可以分为集中式入侵检测系 统( c e n t r a l i z e d i n t r u s i o nd e t e c t i o ns y s t e m c i d s ) 和分布式入侵检测系统 ( d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m - - d 1 d s ) t 3 l 3 4 1 。 根据时效性进行分类，可以分为实时入侵检测系统、虎实时入侵检测 系统和非实时入侵检测系统【3 “。 根据反应的形式进行分类，可以分为主动式入侵检测系统和被动式入 侵检测系统。 2 3 入侵检测系统通用模型 继d e n n i n g1 9 8 7 年提出通用入侵检测模型之后，后续的入侵检测系统 模型大都是以此为基础。随着网络技术的发展，美国国防高级研究计划署 f d e f e n s ea d v a n c e dr e s e a r c hp r o j e c t sa g e n c yd a r p a ) 提出了种新的通用 模型：公共入侵检测框架( c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k - - c i d f ) 。 c i d f 最初山加州大学戴维斯分校计算机安全实验室主持起草工作，也是由 d r a i n i n g 的模型演变而来。c 1 d f 模型如图2 1 所示。 图2 - 1公共入侵检测框架模型 f i g 2 1c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r km o d e l 在c i d f 模型中，将入侵检测系统分为四个基本组件：事件产生器、事 件分析器、响应单元和事件数据库。其中事件产生器、事件分析器和响应 单元通常以应用程序的形式出现，而事件数据库则往往采用文件或数据流 1 2 呈署 第2 草入侵检测系统概述 的形式。很多i d s 厂商都以数据收集组件、数据分析组件和控制台三类术 语来分别代替事件产生器、事件分析器和响应单元。 c i d f 模型将i d s 需要分析的数据统称为事件( e v e n t ) ，它既可以是网络 中的数据包，也可以是系统f _ = | 志或从其他途径得到的信息。以上四个组件 代表的都是逻辑实体，每一个组件都可能是某台计算机上的一个进程甚至 线程，也可能是多个计算机上的多个进程，它们相互之间使用统一入侵检 测对象( g e n e r a l i n t r u s i o nd e t e c t i o no b j e c t g i d o ) 格式进行数据交换。g i d o 足刈事件进行编码的标准通用格式，可以是发生在系统中的审计事件，也 可以是对审计事件的分析结果。 事件产生器的任务足从入侵检测系统之外的计算机环境中收集事件， 并将这些事件转换成c i d f 的g i d o 格式传送给其他组件。事件分析器负责 分析从其他组件收到的g i d o ，并将产生的分析结果传送给其他组件。分析 器可以是一个基于统计模型的工具，检查现在的事件是否满足先前所建立 的正常事件模型：也可以是个基于统训模型的工具，检查现在的事件是 否满足先前所建立的误用攻击特征：此外，事件分析器还可以是一个关系 分析器，观察不同事件之间的关系，并将关联事件进行汇聚处理，以便以 后的进一步分析。事件数据库用来存储g i d o ，以备系统需要的时候使用。 响应单元负责处理接收到的g i d o ，并据此采耿相应的措施。 为了保证各个组件之间安全、高效的通信能力，c i d f 将通信机制构造 成。个三层模型：g i d o 层，消息层和协商传输层。 要实现有意义的通信过程，各组件之间必须能正确理解相瓦之问所传 递的各种数据的语义。g i d o 层的任务就是提高组件之阳j 的互操作性，所以 g i d o 对如何表示各种各样的事件语义进行了详细的定义。消息层确保被加 密和认证的消息在防火墙或n a t 等没备之间的传输可靠性。消息层只负责 将数据从发送方传送到接收方，而不携带任何有语义的信息；同样，g i d o 层也只考虑所传递信息的语义，而不关心这些消息怎么被传递。单一的传 输协议无法满足c i d f 各种各样的应用需求，只有当两个特定的组件对信道 使用达成一致认识时，才能进行通信。协商传输层负责规定g i d o 在各个 组件之间的传输机制。 燕山火学工学硕士学位论文 2 4 网络攻击原理和方法 在网络安全领域，了解攻击者常用的攻击原理和方法是必须的。下面 着重介绍一些常用的网络攻击原理和方法。 2 4 1网络监听 网络监听最初是为了协助网络管理员检测网络传输数据，排除网络故 障而丌发的技术口“。然而，在另方面网络监听也给网络安全带来了极大 隐崽。当信息在网络中传播时，黑客将网络接口设置为监听模式，利用网 络监听工具便可将网络中f 在传播的信息截获，往往能够获得所在网段的 所有用户账号以及口令p “，并利用这些信息进行攻击。网络监听得以实现 的主要原因在于当前网络中所使用的大多数协议的设计都是基于友好的、 通信的双方充分信任的基础之上的。很多情况下用户的口令都是以明文的 形式进行传输，这就给监听者提供了可乘之机。 2 4 2 端口扫描 端口扫描包括本地扫描和网络扫描两类口8 1 。其目的是发现一台活动的 主机或一个网络；勘察什么服务正运行在该主机的哪个端口；确定目标系 统的操作系统及版本信息。基本原理可概括为扫描方通过向目标系统的不 同端口发送具有特殊标志位的数据包，并记录目标所作的应答，通过分析 得出关于目标系统的相关信息。根据扫描数据包的类型，扫描技术通常可 以分为t c p 扫描、i c m p 扫描、u d p 扫描等多种类型。其中最基本、最常 用的是t c pc o n n e c t ( ) 扫描、t c p 半公开扫描和t c p 隐秘扫描。 2 4 3口令入侵 口令入侵指入侵者使用合法的用户账号和口令登录到目的主机，然后 再实施攻击行为 3 9 1 。攻击者通过猜测、监听和破解用户口令等方法来获得 对机器或网络的访问权，登录目标系统访问资源，安装后门等等。当初设 计互联网时出于方便、信任的原则很少要求协议采用加密或身份认证技术， 1 4 第2 章入侵检测系统概述 很多常用的协议，如t e l n e t 、f t p 、h t t p 、s m t p 等协议的用户账号和密码 都是以明文格式传输的40 1 ，一旦被攻击者利用数据包截获工具捕获就可以 轻而易举的得到用户账号和密码。另一种方法是攻击者可以通过获得目标 系统的合法账号，然后利用密码破解软件来破解用户口令。 2 4 4 特洛伊木马 特洛伊水马是一个包含在合法程序中的非法程序，是一种提供远程控 制的黑客工具，更是攻击者再次进入网络或者系统而不被发现的隐蔽通道。 一旦用户执行捆绑有特洛伊木马程序的其他程序，该木马就会驻留在系统 中，当用户连接到网络时，它就会通过一定的方式把入侵主机的信息，包 括主机的i p 地址、预先设定的木马植入端口，甚至包括超级用户名称和口 令等，都发送出去。特洛伊木马通常有客户端和服务器端两个执行程序， 其中客户端是用于攻击者远程控制植于木马机器的程序，服务器端程序是 植入目标系统的木马程序。特洛伊木马程序两个主要特点是隐蔽性和非授 权性。 2 4 5 会话劫持 会话劫持是指在一次正常的通信过程中，黑客利用嗅探、欺骗等技术 介入通信双方之中，窃取有用信息或者冒充其中之一欺骗另一台主机。会 话劫持涉及三方主机：攻击者、目标主机和被劫持主机。会话劫持的形式 包括攻击者作为第三方参与到连接中，或者是在通信双方数据流中添加额 外的信息，或者是将通信双方的通信模式暗中改变，总之通信双方之间的 数据对攻击者是可见的，并且可以任由其随意修改。 2 4 6i p 欺骗 i p 欺骗攻击主要针对使用i p 协议传送的报文，攻击者伪造源i p 地址， 如果冒充的源i p 地址与目标主机之间的信任关系是基于i p 地址的，攻击者 就可以像合法用户一样对目标主机进行操作了。i p 欺骗技术涉及到四方面 燕山大学r 学硕士学位论文 的主机系统，分别为攻击者a 、被信任主机b 、目标主机z 、以及不可达的 主机x 。攻击者进行攻击时先确定目标主机，然后发现目标主机信任的主 机i p 地址，之后尝试以被信任主机身份与目标主机建立连接，此时必须使 用拒绝服务等手段来攻击被信任主机，使其无法响应目标主机。如果成功 连接则使用一些简单命令来安装后门，此后以此后门进入目标主机。 2 4 7 拒绝服务攻击( d o s - d e n i a lo f s e r v i c e l 拒绝服务攻击使目标系统拒绝服务访问，破坏组织的正常运行，最终 使目标的部分i n t e m e t 连接和网络系统失效1 4 “。其攻击原理来自于系统的资 源是有限的，如果系统承受了超过其所能承受的请求或资源调用，就会导 致服务阻塞甚至系统崩溃，从而影响进一步对用户请求的处理。在实施攻 击时，多台主机同时攻击一个目标。每台攻击主机向目标主机发送大量拒 绝服务攻击数据包，导致目标瘫痪拒绝服务。 2 4 8 缓冲区溢出攻击 缓冲区溢出是最常用的黑客技术之一，缓冲区溢出漏洞存在于各种操 作系统、应用软件中。利用缓冲区溢出攻击，攻击者可以使程序运行失败， 系统崩溃或重启，更为严重的是可以利用它执行非授权指令，甚至可以取 得系统特权，进而进行各种非法操作。通常的方法是设法向缓冲区中写入 一个超过缓冲区长度的字符串，使得超出的数据部分覆盖了临近的非缓冲 区存储单元，从而引起异常导致程序运行失败。特别的攻击者可以使程序 执行指针跳转到攻击者植入的一段特殊指令。通过执行该指令，攻击者往 往可以获得系统超级权限。 2 5 入侵检