（计算机应用技术专业论文）基于idxp的网络入侵检测系统.pdf

￥s s 薹霪王7 摘要 由于因特网投术的高速发展和用户的迅速扩大，网络正前所未有的影响着人 类社会的各个方面，网络安全也成为务嗣共同关心的焦点。 蘧羞b 耙啦戎瓣逐猛发震，鼹终赣寮入侵者夔手段秘王哭呈褒多簿避、复杂 健，水平也越来怒搿。传统的功能单一的专用反入经软件显褥力不铁心。蔼且“邋 高一尺，魔高一丈”，新的黑客工具层出不穷。因此，对入侵攻击行为进行检测 和防护，保障信息网络的安全已经成为公众日益迫切的要求。 入侵检测技本怒继传统的安全保护擒薅之后薪一代鲍安全保障技术。其基本 窃能是信意牧爨、分耩劳 蔽塞翔甄是否为入 曼 亍为。终为髂惑安全徐簿中豹一个 蘑要环节，它解决了访问控制、身份认证等传统机制所不能解决的问题，对计辫 机和网络资源上的恶意访问行为进行识别和响应。入侵检测融经成为当前网络技 术安全领域内的个研究热点。 入缦捡溅豹邀瑕跫一个复杂戆售怠楚溪，瑷囊过莛。嚣蘸蕊入稷检溅鼓零逐 存在着一些普遍的闷题，如漏报率、误报率高，系统的智能饿差，预警功能缺乏 等，因此，入侵检测研究领域需要融合熊他学科和技术领域的知识来提供新的入 侵检测解决方法，充分利用许多成熟的技术以及人工智能技术。 本文良对入侵梭测技术夔重悫乡 联突瑷状秘方蠢的分凝隽基磷，梅建了令 智能化的网络入侵梭浏系统- - c n g 谢a d 的体系结构。铡g u a r d 是一个以校霾重联 网络系统为对象的综合性智能网络安全锊理系统。它的主翳恩想是以i d x p 为基 础，利用人工智能多智能体( m u l t i a g e n t ) 技术，构造一个多方位、多层次的 鬻能化隧络安全系统。 【关键字】入侵检测，i d s ，智能技术，i d x p ，多智能体 象经 譬誊、警薅鹾意 舞垒文公密 a b s t r a c t w i t ht h eh i 曲l yd e v e l o p m e n to f i n t e r n e ta n d i n c r e a s i n gn u m b e ro f u s e r , a l lk i n do f f a c e t so fh u m a ns o c i e t yh a v eb e e na f f e c t e db yt h ew e b ，t h e r e f o r e ，t h es a f e t yo fw e b h a sb e c o m et h ef o c u so f e a c hc o u n t r y h a c k e r sw i t hh i 曲l e v e lo fp r o f e s s i o n a lk n o w l e d g ea t t a c kn e t w o r k ，b yt a k i n ga l l s o r t so ft o o l sa n dc o m p l i c a t e dm e a s u r e t r a d i t i o n a la n t i a t t a c ks o f t w a r ef a i l st od oa s m u c ha sd e f e n s ew o u l dd e m a n d h o w e v e r , a st h es a y i n gg o e s “a sv i r t u er i s e s ，v i c e r i s e st e n ：n e , d , rt o o l so f h a c k e re m e r g ei na l le n d l e s ss t r e a m f o rt h e r e a s o n ，h a v i n gt h e a c to f i n t r u s i o nd e t e c t i o na n d d e f e n d e d ，e n s u r et h es a f e t yo f i n f o r m a t i o na n dn e t w o r k h a sb e e nt h ed e m a n do f t h ep u b l i co ne n d i n t r u s i o nd e t e c t i o nt e c h n i q u ei san e ws t y l es e c u r i t yb e y o n dt r a d i t i o n a ld e f e n s e m e a s u r e , h e rb a s i cf u n c t i o ni si n f o r m a t i o nc o l l e c t i o na n da n a l y s i s , t h e nd i s t i n g u i s h w h e t h e ri ti si n v a s i o n ，b eo n eo ft h em o s ti m p o r t a n ts e c t o r s ，i n t r u s i o nd e t e c t i o n t e c h n i q u es o l v e st h ep r o b l e m ss u c ha sv i s i tc o n t r o l ，i d ，i d e n t i f ya n ds oo nt h a t t r a d i t i o n a lm e c h a n i s mc o u l dn o ts o l v e s h ew o u l da c t u a l l yi d e n t i f i e da n dr e s p o n s et o t h ea c to fv i s i tw i t hi l lw i l lo ni n t e m e ta n dw e bs o u r c e i n t r u s i o nd e t e c t i o nt e c h n i q u e h a sb e c o m eh o ts p o ti np r e s e n tn e t w o r ks a f et e c h n i q u er e s e a r c hf i e l d 。 t h ep r o c e s so fi n t r u s i o n d e t e c t i o ni sac o m p l e xi n f o r m a t i o nd e a l i n ga n d i d e n t i f i c a t i o n a tp r e s e n t ，i n t r u s i o nd e t e c t i o nt e c h n i q u es t i l le x i s t ss o m ec o r n n l o n p r o b l e m s ，f o ri n s t a n c e ，f a i l - r e p o r tr a t e ，e r r o r - r e p o r tr a t ea r ev e r yh i g h ，i n t e l l e c t u a l p o w e ri sp o o ra n dw i t h o u te a r l yw a r n i n gf u n c t i o ne t c ，h e n c e ，i n t r u s i o nd e t e c t i o n r e s e a r c h f i e l d n e e d sc o m b i n g o t h e r c o u r s e o f s t u d y a n d t e c h n o l o g y k n o w l e d g e t oo f f e r n e ws o l u t i o nf o ri n t r u s i o n d e t e c t i o n ，f u l l ym a k eu s eag r e a tn u m b e rm a t u r e t e c h n o l o g i e s ，a r t i f i c i a li n t e l l i g e n c ea sw e l l t h ea b s t r a c td e s c r i b e da b o v eb a s eo nd o m e s t i ca n da l i e nr e s e a r c hi ni n t r u s i o n d e t e c t i o np o s i t i o na n dd i r e c t i o n , b u i l da ni n t e l l e c t u a ln e ti n t r u s i o nd e t e c t i o n s y s t e m 一t h es t r u c t u r eo fc n g u a r d c n g u a r di sac o m p r e h e n s i v ei n t e l l i g e n c e w e bs e c u r i t ys y s t e mw h i c hw o r k i n gf o rc a m p u s i n t e m e ts y s t e m ，i t sm a i ni d e ai s b a s i n go ni d x p , m a k i n gu s eo fm u l t i a g e n tt e c h n i q u e ，t h e nb u i l d i n gm u l t i l e v e l i n t e l l e c t u a lw e b s e c u r i t ys y s t e mi nm a n yw a y s 浙江大学硕k - 学位论文( 2 0 0 4 3 )基于i d x p 的网络入侵检测系统 基于i d x p 的网络入侵检测系统 第一章绪论 1 1 研究背景 近十几年来，网络的发展和应用正逐步改变着人们的工作和生活方式，互 联网成为人们实现知识共享和信息交流的主要手段。随着y m t e m e t 的覆盖范围 的不断扩大、使用人数的飞速增加、网络技术研究的不断深人以及网络操作系 统本身国有的诸多安全缺陷，如何保障信息安全、防范网络入侵成为人们最为 关心的问题。网络安全问题正阻碍着i n t e m e t 的进一步发展。 网络入侵是指任何试图破坏资源完整性、机密性和可用性的行为，包括用 户对系统资源的误用。相对于传统的破坏手段而言，网络入侵具有以下特点： 第一，网络入侵不受时间和空间的限制。从理论上说，入侵者可以在任意时刻 通过任意一个网络节点向另一个网络节点发动快速而有效的攻击，而不必考虑 这两个节点实际地理位置之间的距离远近；第二，通过网络的攻击往往混杂在 大量正常的网络活动之中，具有较强的隐蔽性；第三，入侵手段复杂多样，阶 段式、分布式等新的入侵手段的出现，使得入侵活动更具有隐蔽性和欺骗性； 第四，与传统的破坏手段相比，网络入侵具有更大的危害性。在网络被广泛使 用的今天，越来越多的公司、企业和各级行政机关正逐步将其核心业务向互联 网转移，一次成功的网络入侵给这些企事业单位所带来的损失将会是灾难性 的。据统计，几乎每2 0 秒全球就有一起黑客事件发生，仅美国每年所造成的 经济损失就超过1 0 0 亿美元。 目前解决网络安全问题所采用的方法一般包括防火墙、数据加密、身份认 证等。这些措施对于那些企图通过正常途径攻击系统的行为具有较好的防范作 用，但对那些采用非正常手段，利用系统软件的错误或缺陷，甚至是利用合法 的身份进行危害系统安全的行为却显得无能为力。由于系统规模和复杂性的提 高而导致的系统软件本身所存在一些安全漏洞以及网络协议本身在设计上所 存在一些安全隐患，为网络入侵者提供了许多可供选择的非正常入侵途径。因 此，除了采用诸如防火墙之类的一般工具外，研究开发能够及时准确对入侵进 浙江大学硕士学位论文( 2 0 0 43 )基于i d x p 的网络入侵检测系统 行检测并做出响应的网络安全防范技术，即入侵检测技术( 1 d ，l h t m s i o n d e t e c h o n ) ，已经成为网络安全领域中最主要的研究方向。 入侵检测的思想是a n d e r s o n 于1 9 8 0 年首次提出的，d e n n i n g 对其进行了 完善。所谓入侵指的是所有试图危及资源的完整性、机密性和可用性的行为的 集合，如拒绝服务攻击，非法获取、更改或删除数据等。入侵检测是指对上述 针对计算机和网络资源的入侵行为进行识别和响应的过程。 1 2 论文研究的内容 本文提出了一种基于i d x p , 的多智能体( m u l t i - a g e n ts y s t e m ) 结构的智能型 网络安全防卫系统c n g u a r d ，目的用于校园网络的入侵防范，它以i d x p 为基础， 以黑板为中心，协调多层次多种反入侵手段，具有自主行为。 本文主要包括以下几部分内容： 网络安全与入侵检测部分主要对网络安全和入侵检测技术进行系统的 介绍。首先阐述网络安全的相关内容，接着介绍入侵检测的发展历史， 最后对入侵检测系统进行比较完整的论述。 i d x p ( 入侵检测交换协议) 介绍。i d x p 是一个用于入侵检测实体之间 交换数据的应用层协议，能够实现i d m e f 消息、非结构文本和二进制 数据之间的交换，并提供面向连接协议之上的双方认证、完整性和保密 性等安全特征。在这一部分将介绍i d x p 的模型，框架以及在c n g u a r d 中的应用。 c n g u a r d 系统设计。在这一部分首先介绍了几种典型的智能检测技术， 在此基础上提出了一个智能化的网络入侵检测系统一- - c n g u a r d 的体 系结构，并给出c n g u a r d 的系统设计和总体框架。同时着重介绍c n g u a r d 中的关键技术：安全代理一s e c a g e n t 的结构与功能，黑板协调系统的原 理与功能。 总结和展望部分概括了现有的研究进度和成果，同时对入侵检测的发展 方向进行了探讨。 浙江大学硕士学位论文( 2 0 0 43 )基于i d x p 的蜩络入侵检测系统 第二章网络安全与入侵检测 本章的主要内容是对网络安全和入侵检测技术进行系统的阐述。首先介绍网 络安全的目标，说明传统的安全模型和技术存在的局限性，同时对p 2 d r 动态安 全模型做一个简单的介绍：接着简述入侵检测的发展历史，并介绍入侵检测模型 i d e s ：在本章的最后，对入侵检测系统进行比较完整的论述，并在通用入侵检 测框架c i d f 的基础上，着重介绍入侵检测系统的体系结构、检测方法和响应机 制，为后面c n g u a r d 系统的设计和实现提供依据。 2 1 网络安全概论 2 1 1 网络安全的目标 由于网络以及网络技术的开放性，网络所面临的破坏和攻击是多方面的。一 般认为，网络存在的危险主要表现在四个方面。 1 非授权访问一一没有预先经过同意，就使用网络或计算机资源。， 2 信息泄漏或丢失一一指敏感数据在有意或无意中被泄漏出去或丢失。 3 破坏数据完整性一一以非法手段窃取对数据的使用权，删除、修改插入 或重发某些重要信息，以取得有益于攻击者的响应；或者恶意添加、修 改数据，干扰用户的正常使用。 4 拒绝服务攻击一一不断对网络服务系统进行干扰，改变其正常的作业流 程，执行无关程序时系统响应减慢甚至瘫痪，影响正常用户的使用，甚 至使合法用户被排斥而不能进入计算机网络。 通俗地说，网络信息安全与保密主要是指保护网络信息系统，使其没有危险、 不受威胁、不出事故。从技术角度来说，网络信息安全与保密的目标主要表现在 系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。 1 ：可靠性 可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能 的特性。可靠性是系统安全的最基本要求之一，是所有网络信息系统的建设和运 行目标。网络信息系统的可靠性测度主要有三种：抗毁性、生存性和有效性。 抗毁性是指系统在人为破坏下的可靠性。比如，部分线路或节点失效后，系 浙江 学硕二l 学位论文( 2 0 0 43 )基寸二i d x p 的网络入侵检测系统 统是否仍然能够提供一定程度的服务。增强抗毁性可以有效地避免因各种灾害 ( 战争、地震等) 造成的大面积瘫痪事件。 生存性是在随机破坏下系统的可靠性。生存性主要反映随机性破坏和网络拓 扑结构对系统可靠性的影响。这里，随机性破坏是指系统部件因为自然老化等造 成的自然失效。 有效性是一种基于业务性能的可靠性。有效性主要反映在网络信息系统的部 件失效情况下，满足业务性能要求的程度。比如，网络部件失效虽然没有引起连 接性故障，但是却造成质量指标下降、平均延时增加、线路阻塞等现象。 可靠性主要表现在硬件可靠性、软件可靠性、人员可靠性、环境可靠性等方 面。硬件可靠性最为赢观和常见。软件可靠性是指在规定的时间内，程序成功运 行的概率。人员可靠性是指人员成功地完成工作或任务的概率。人员可靠性在整 个系统可靠性中扮演重要角色，因为系统失效的大部分原因是人为差错造成的。 人的行为要受到生理和心理的影响，受到其技术熟练程度、责任心和品德等素质 方面的影响。因此，人员的教育、培养、训练和管理以及合理的人机界面是提高 可靠性的重要方面。环境可靠性是指在规定的环境内，保证网络成功运行的概率。 这里的环境主要是指自然环境和电磁环境。 2 ：可用性 可用性是网络信息可被授权实体访问并按需求使用的特性。即网络信息服务 在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使 用时，仍能为授权用户提供有效服务的特性。可用性是网络信息系统面向用户的 安全性能。网络信息系统最基本的功能是向用户提供服务，而用户的需求是随机 的、多方面的、有时还有时间要求。可用性一般用系统正常使用时间和整个工作 时间之比来度量。 可用性还应该满足以下要求：身份识别与确认、访问控制( 对用户的权限进 行控制，只能访问相应权限的资源，防止或限制经隐蔽通道的非法访问。包括自 主访问控制和强制访问控制) 、业务流控制( 利用均分负荷方法，防止业务流量 过度集中而引起网络阻塞) 、路由选择控制( 选择那些稳定可靠的子网，中继线 或链路等) 、审计跟踪( 把网络信息系统中发生的所有安全事件情况存储在安全 审计跟踪之中，以便分析原因，分清责任，及时采取相应的措施。审计跟踪的信 浙江大学硕：l 学位论文( 2 0 0 43 ， 基于i d x p 的网络入侵检测系统 息主要包括：事件类型、被管客体等级、事件时间、事件信息、事件回答以及事 件统计等方面的信息。) 3 ：保密性 保密性是网络信息不被泄露给非授权的用户、实体或过程，或供其利用的特 性。即，防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。保 密性是在可靠性和可用性基础之上，保障网络信息安全的重要手段。 常用的保密技术包括：防侦收( 使对手侦收不到有用的信息) 、防辐射( 防 止有用信息以各种途径辐射出去) 、信息加密( 在密钥的控制下，用加密算法对 信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂 有效信息) 、物理保密( 利用各种物理方法，如限制、隔离、掩蔽、控制等措施， 保护信息不被泄露) 。 4 ：完整性 完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程 中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的 特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确 生成和正确存储和传输。 完整性与保密性不同，保密性要求信息不被泄露给未授权的人，而完整性则 要求信息不致受到各种原因的破坏。影响网络信息完整性的主要因素有：设备故 障、误码( 传输、处理和存储过程中产生的误码，定时的稳定度和精度降低造成 的误码，各种干扰源造成的误码) 、人为攻击、计算机病毒等。 保障网络信息完整性的主要方法有： 协议：通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、 失效的字段和被修改的字段； 纠错编码方法：由此完成检错和纠错功能。最简单和常用的纠错编码方法是 奇偶校验法； 密码校验和方法：它是抗撰改和传输失败的重要手段： 数字签名：保障信息的真实性； 公证：请求网络管理或中介机构证明信息的真实性。 5 ：不可抵赖性 浙江人学硕士学位论文( 2 0 0 43 )基于i d x p 的网络入侵检测系统 不可抵赖性也称作不可否认性，在网络信息系统的信息交互过程中，确信参 与者的真实同一性。即，所有参与者都不可能否认或抵赖曾经完成的操作和承诺。 利用信息源证据可以防止发信方不真实地否认已发送信息，利用递交接收证据可 以防止收信方事后否认已经接收的信息。 6 ：可控性 可控性是对网络信息的传播及内容具有控制能力的特性。 概括地说，网络信息安全与保密的核心是通过计算机、网络、密码技术和安全技 术，保护在公用网络信息系统中传输、交换和存储的消息的保密性、完整性、真 实性、可靠性、可用性、不可抵赖性等。 2 1 2 传统安全模型和技术的局限性 为了达到网络安全的目标，从一开始，人们将访问控制( 或存取控制) 作 为最基本的一道安全防线，并依次发展了一些安全模型，如以及被广泛接受的著 名的b e l l l a n p a d u l a 安全操作系统模型，以及b i b a ，c l a r k w i l s o n ，l i p n e r 完整 性模型等。但完整性模型还没有引起足够重视，而且这些理论模型本身也不是绝 对的安全。因此，相继制订了一系列的安全法则和评测标准，用来构筑一个相对 稳固的安全系统。 1 9 8 5 年美国国防部提出了可信计算机系统评估准则( t c s e c ) ，该准则是 计算机系统安全评估的第一个正式标准，准则将计算机系统的安全划分为4 个等 级、7 个级别；1 9 9 0 年英、法、德、荷联合制定了信息技术安全评估准则( r r s e c ) ， 定义了从e 0 级到e 6 级共7 个安全等级；1 9 9 5 年六国七方( 美国国家安全局和 国家技术标准研究所、加、英、法、德、荷) 联合推出信息技术通用安全评价准 则( c c ) ，这是国际标准化组织统一多种准则的结果，是目前最为全面的评估准 则。虽然这些准则在很大程度上提供了安全保护的策略，但安全还只是一个理论 上和相对的概念，仍然有一些不安全的因素没有考虑到。 首先，系统软件、操作系统正变得越来越复杂，使得软件设计者在设计时 无法预料程序运行时的系统状态，更无法精确地预测在不同系统状态下可能发生 的结果，所以，系统往往存在漏洞。正是由于系统工程领域的困难和复杂性，要 浙江大学顾士学位论文( 2 0 0 43 ) 摹于i d x p 的网络入幔检测系统 求软件和系统绝对无错误是无法实现的。 其次，静态安全措施不足以保护安全对象属性。通常，在一个系统中，担 保安全特性的静态的方法或者是过于简单，或者就是过度的限制用户。例如，静 态技术未必能够阻止违背安全策略造成的数据文件被浏览。因此，一种动态的方 法如访问行为跟踪和检测对尽可能的阻止安全突破是很有必要的。 最好，组成计算机网络的某些关键技术也并非安全，如广泛应用的t c p 母 协议本身就要许多不完善的地方，同时，网络上大量使用的应用软件如s e n d m a i l 等也都存在着严重的安全漏洞。由于这些脆弱点的存在，使得搭建在这些基础协 议和应用之上的计算机网络经常受到黑客的攻击。 传统的安全技术，包括安全模型和系统安全登记评估标准，主要都是从身 份认证和访问控制这两个方面来保证系统的安全性。但是，传统的身份认证技术， 包括k e r b e r o s 技术，并不能抵制弱口令猜测、字典攻击、特洛伊木马、网络嗅 探器以及电磁辐射等攻击手段；对于访问控制，入侵者也可以利用脆弱性程序或 系统漏洞绕过访问控制，或者提升用户权限，或者非法读写文件等。网络防火墙 虽然为网络服务提供了较好的身份认证和访问控制技术，但是防火墙并不能检测 黑客的入侵行为；而且，防火墙的功能防外不防内，对于网络内部使用者的非法 滥用和未授权访问行为根本无法进行识别。 为了保障网络安全，在实践经验和一些理论研究的基础上，提出了一些新 的安全模型，如可适应网络安全模型和动态安全模型。 浙江人学硕士学位论文( 2 0 0 43 )挂于 d x p 的网络入侵捡测系统 第三章入侵检测技术概述 3 1 入侵检测技术的发展 3 1 1 入侵检测的发展历史 随着的i n t e m e t 不断普及，越来越多的公司将其核心业务经向互联网转移， 网络安全作为一个无法回避的问题就呈现在人们面前了。传统上，公司一般采用 防火墙作为安全的第一道防线。但是随着攻击者知识的日趋成熟，攻击工具与手 段的日趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需 要，网络的防卫必须采用一种纵深的、多样的手段。与此同时，当今的网络环境 也变得越来越复杂，各式各样的复杂的设备，需要不断升级、补漏的系统使得网 络管理员的工作不断加重，不经意的疏忽便有可能造成安全的重大隐患。为此， 需要建立一种安全检测机制来发现未经授权的入侵和破坏行为，这个研究领域便 是入侵检测( i n t r u s i o nd e t e c t i o n ，笺称i d ) ，而设计用来入侵检测的系统被称为 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) 。 入侵检测从最初实验室里的研究课题到目前的商业产品，大致经历了两个发 展阶段：入侵检测概念的提出和入侵检测系统的诞生。 入侵检测概念的提出 1 9 8 0 年4 月，j a m e se a n d e r s o n 第一次详细阐述了入侵检测的概念。他将入 侵尝试( i n t r u s i o n a t t e m p t ) 或威胁( t h r e a t ) 定义为：潜在的、有预谋的、未经授权 的访问信息、操作信息，致使系统不可靠或无法使用的企图。他将入侵划分为 外部闯入、内部授权用户的越权使用和滥用三种类型，并提出用审计追踪来监 视入侵威胁。 审计定义为系统中发生事件的记录和分析处理过程。与系统日志相比，审 计更关注安全问题。根据t c s e c 规定，审计机制应作为c 2 及c 2 以上安全级 别的计算机必须具备的安全机制。其功能包括：记录系统被访问的过程以及系 统保护机制的运行；发现试图绕过保护机制的行为；即时发现用户身份的变化； 报告并阻碍绕过保护机制的行为并记录相关过程，为灾难恢复提供信息。 浙江大学硕l 学位论文( 2 0 0 43 )基于i d x p 的嘲络入侵检测系统 a n d e r s o n 是公认的证实自动化审计记录需要支持安全目的的第一人，他提 出的参考监视器概念被认为是入侵保护的前提工作。 夺入侵检测系统的产生 1 9 8 6 年，乔治敦大学的d o r o t h yd e n n i n g 和s r i c s l 的p e t e r n e u m a n n 研究 出了第一个实时入侵检测系统模型，取名为i d e s ( 入侵检测专家系统) 。1 9 8 7 年，d e n n i n g 发表了论文 a ni n t r u s i o nd e t e c t i o nm o d e l ) ) 【1 】，第一次系统的提 出了入侵检测的经典模型。d e n n i n g 提出的模型由六个部分组成：主体、对象、 审计记录、轮廓特征、异常记录和活动规则。它独立于特定的系统平台，应用 环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用框架。 1 9 9 0 年，加州大学戴维斯分校的l t h e b e r l e i n 等人开发出了n s m ( n e t w o r k s e c u r i t ym o n i t o r ) 。该系统第一次直接将网络流作为审计数据来源，因而可以 在不将审计数据转换成统一格式的情况下监控异类主机。从此之后，入侵检测 系统发展史翻开了新的一页，正式形成了两大阵营：基于网络的i d s 和基于主 机的i d s 。 3 1 2 通用入侵检测模型 1 9 8 7 年，d e n n i n g 提出了一个抽象的通用入侵检测模型，该模型主要由6 部分构成：主体，对象，审计记录，活动简档，异常记录，活动规则。如图3 1 所示。 图3 1 通用入侵检测模型 浙江大学硕：i ：学位论文( 2 0 0 4 3 ) 基于i d x p 的阿络入侵检测系统 1 ) 主体：是指系统操作中的主动发起者，如计算机操作系统的进程， 网络的服务连接等。 2 ) 客体：指的是系统所管理的资源，如文件系统，设备等。 主体和客体有时候是相互转变的，这取决于入侵检测系统的审计策略。 3 ) 审计记录：指主体对客体实施操作时系统所产生的数据，如用户登 陆、命令执行和文件访问等。 i d e s 审计记录的格式由六元组构成： 记录中的s a b j e c t 是a c t i o n 的发起者，a c t i o n 是s u b j e c t 对o b j e c t 实 施的操作，o b j e c t 是a c t i o n 的承受者。e x c e p t i o n c o n d i t i o n 用来描述s u b j e c t 执行a c t i o n 后的返回值和错误信息，r e s o u c e - u s a g e 用来统计a c t i o n 的资 源使用情况，t i m e s t a m p 用来记录a c t i o n 发生的时间。 4 ) 轮廓特征是i d e s 模型用来刻画主体对客体的行为，并使用随机变 量和统计模型来定量描述观测到主体对客体的行为活动特征。 轮廓特征定义了三种类型随机变量： a ) 事件计数器( e v e n tc o u n t ) ：简单地记录特定事件的发生次数。 b ) 间隔计时器( i n t e r v a lt i m e r ) ：记录特定事件此次发生和上次发生 之间的时闻间隔。 c ) 资源计量器( r e s o u r c em e a s u r e ) ：记录某个时间内特定动作所消耗 的资源量。 轮廓特征结构包括1 0 个组成部分： v a r i a b l e n a m e ：变量名称，识别轮廓的标志。 a c t i o n p a t t e r n ：动作模式，用来匹配审计记录中的零个或多个动作的模式。 e x c e p t i o n - p a t t e r n ：例外模式，用来匹配审计记录中例外情况的模式。 r e s o u r c e u s a g e p a t t e r n ：资源使用模式，用来匹配审计记录中资源使用模式。 p e r i o d ：测量的时间间隔或者取样时间。 v a r i a b l e t y p e ：一种抽象的数据类型，用来定义一种特定的变量和统计模型。 t h r e s h o l d ：门槛，阀值，统计测试中一种表示异常的参数值。 s u b j e c t p a t t e r n ：主题模式，用来匹配审计记录中的主体的模式，识别轮廓 浙江大学碳十学位论文( 2 0 0 43 )基于i d x p 的网络入侵检测系统 的标志。 o b j e c t p a t t e r n ：客体模式，用来匹配审计记录中的客体的模式，识别轮廓的 标志。 v a l u e ：当前观测值和统计模型所用的参数值，例如平均值和标准差模型中 的变量和或者变量的平方和。 轮廓格式如下： 5 ) 异常记录是i d e s 动态更新轮廓并检测异常行为过程中所产生的异 ， 常的记录，它的格式如下： 。e v e n t 指导致异常的事件，例如审计数据：t i m e s t a m p 是产生异常事件的 时间戳，p r o f i l e 则是检测到异常事件的轮廓。 6 ) 活动规则指的是当一个审计记录或异常记录产生时应采取的动作， 规则由两部分组成，一是条件，二是动作。i d e s 的规则共有四种 类型，包括： a ) 审计记录规则( a u d i t - r e c o r dr u l e s ) ：出发新生成审计记录和动态的 轮廓之间的匹配以及更新轮廓和检测异常行为。 b ) 定期活动更新规则( p e r i o d i c a c t i v i t y - u p d a t er u l e s ) ：定期触发动态 轮廓中的匹配以及更新轮廓和检测异常行为。 c ) 异常记录规则( a n o m a l y - r e c o r dr u l e s ) ：出发异常事件的产生，并 将异常情况报告给安全管理员。 d ) 定期异常分析规则( p e r i o d i c a n o m a l y - a n a l y s i sr u l e s ) ：定期触发产 生当前的安全状态报告。 d e n n i n g 提出的i d e s 模型是一个基于规则模式匹配的系统，目前，i d e s 已经演化成新的n i d e s ( n e x t g e n e r a t i o ni d e s ) 模型和e m e r a l d ( e v e n t m o n i t o r i n ge n a b l i n gr e s p o n s e s t oa n o m a l o u sl i v e d i s t u r b a n c e s ) 【2 1 模型。 浙江大学颤士学位论文( 2 0 0 43 ) 基于i d x p 的刚络入侵捡测系统 3 2 通用入侵检测框架 近年来，入侵检测系统的市场发展很快，但是由于缺乏相应的通用标准，不 同系统之间缺乏互操作性和互用性，大大阻碍了入侵检测系统的发展。为了解决 不同i d s 之问的互操作和共存问题，1 9 9 7 年3 月，美国国防部高级研究计划局 f d a r p a ) ) ：始着手c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ，通用入侵检测 框架) 标准的制定，试图提供一个允许入侵检测、分析和响应系统和部件共享分 布式协作攻击信息的基础结构。加洲大学d a v i s 分校的安全实验室完成了c i d f 标准，i e t f ( i n t e m e te n g i n e e r i n gt a s kf o r c e ，i n t e m e t 工程任务组) 成立了 i d w g ( i n t r u s i o n d e t e c t i o nw o r k i n gg r o u p ，入侵检测任务组) 负责建立 i d e f ( i n t r u s i o nd e t e c t i o ns y s t e me x c h a n c ef o r m a t ，入侵检测数据交换格式) 标准， 并提供支持该标准的工具，以便更高效率地开发i d s 系统。 c i d f 阐述的是一个入侵检测系统的通用模型。按功能，它把一个入侵检测 系统分为以下组件： 夺事件产生器( e v e n tg e n e r a t o r s ) ：从整个计算环境中获得事件，并向系统的 其他部分提供此事件。 夺事件分析器( e v e n t a n a l y z e r s ) ：分析得到的数据，并产生分析结果。 响应单元( r e s p o n s eu n i t s ) ：对分析结果做出反应的功能单元，它可以做出 切断连接、改变文件属性等强烈反应，也可以只是简单的报警。 夺事件数据库( e v e n td a t a b a s e s ) ：是存放各种中间和最终数据的地方的统称， 它可以是复杂的数据库，也可以是简单的文本文件。 如图所示： 浙江大学硕士学位论文( 2 0 0 4 3 ) 基于i d x p 的网络入侵榆测系统 c i d f 将i d s 需要分析的数据统称为事件，事件可以是网络中的数据包，也 可以是从系统同志等其他途径得到的信息。 c i d f 组件之间以通用入侵检测对象( g i d o ，g e n e r a l i z e di n t r u s i o n d e t e c t i o n o b j e c t s ) 的形式交换数据，一个g i d o 可以表示在一些特定时刻发生的一些特定 事件，也可以表示从一系列事件中得出的一些结论，还可以表示执行某个行动的 指令。 c i d f 中的事件产生器也称为数据采集器，负责从整个计算环境中获取事 件，但它并不处理这些事件，而是将事件转化为g i d o 标准格式提交给其它组件 使用，事件产生器是所有i d s 所需要的，同时也是可以重用的。c i d f 的事件分 析器接收g i d o ，分析器它们，然后以一个新的g i d o 形式返回分析结果。c i d f 中的事件数据库负责g i d o 的存储。c i d f 中的响应单元根据g i d o 做出反应， 可以终止进程、切断连接、改变文件属性，也可以只是简单的报警。 根据事件产生器的数据来源的不同，入侵检测系统可以分为基于主机( h o s t - - b a s e d ) 的入侵检测系统( h d s ) 、基于网络( n e t w o r k - - b a s e d ) 的入侵检测 系统( n t d s ) 以及结合了基于主机和基于网络的分布式。( d i s t r i b u t e d ) 入侵检测 系统( d d s ) 。基于主机的入侵检测系统主要以系统的审计数据( 如系统目志、 应用程序日志等) 作为数据源，对这些信息进行分析，从而检测出入侵行为。基 于网络的入侵检测系统的数据源来自网络流，也就是网络和操作系统协议栈中传 输的数据包，通过对包头和内容的分析，来识别可疑的网络入侵。分布式的入侵 检测系统能够同时分析来自主机系统的审计目志和网络的数据流，可以弥补基于 主机和基于网络的一些片面性缺陷。 根据事件分析器所采用策略的不同，入侵检测可分为基于行为( b e h a v i o r - - b a s e d ) 的入侵检测和基于知识( k n o w l e d g e - - b a s e d ) 的入侵检测。基于行为 的检测又称为异常检测( a n o m a l yd e t e c t i o n ) ，它根据使用者的行为或资源使用 状况的正常程度来判断是否发生入侵。它的优点是可以发现未知的入侵行为，缺 点是误报率( f a l s ep o s i t i v e ) 比较高。常用的异常检测方法包括利用统计的异常 检测和利用审计网络的异常检测。基于知识的检测又称为误用检测( m i s u s e d e t e c t i o n ) 。它首先利用已知的攻击方法，定义好入侵模式，然后根据当前的用 户行为和系统状态对入侵进行匹配。它的优点是对入侵行为检测的准确性高，缺 浙江大学硕士学位论文( 2 0 0 43 )基于i d x p 的网络入侵榆测系统 点是漏报率( f a l s en e g a t i v e ) 高，只能发现已知的入侵行为。常用的误用检测方 法有：专家系统、状态转移分析、模型推理、模式匹配等。 按照事件响应单元采用的策略不同，入侵检测可分为主动响应( a c t i v e r e s p o n s e s ) 的入侵检测和被动响应( p a s s i v er e s p o n s e s ) 的入侵检测。主动响应的 入侵检测指在检测到入侵后，或者切断入侵路径，或者将系统恢复到入侵前的状 态。这种入侵检测系统常与防火墙等结合使用，共同对抗入侵。被动响应的入侵 检测指在检测到入侵后，只是报警，而不采取主动的对抗措施，现有的大多数入 侵检测系统都采用这种策略。 3 3 入侵检测系统的体系结构 3 3 1 基于主机的入侵检测系统 基于主机的入侵检测系统( h i d s ) 是在每个要保护的主机上运行一个或多个 代理程序，其检测的主要目标是主机系统和系统本地用户。通常需要在受保护的 主机上安装专门的检测代理，实时监测被保护主机的各种网络连接。 h i d s 的工作过程如图3 3 1 所示，它以计算机主机系统作为目标环境，不分 析网上的数据包，而只考虑系统局部范围的用户，使用检测器筛选系统的审计记 录、系统日志、用户的位置和行为、c p u 和i 0 及内存的使用情况、文件系统 的变化、应用程序中的攻击标志，再由分析器分析这些信息并向控制器提交报告。 通过对系统日志和审计记录不问断地监控和分析来发现攻击或误操作，一旦发现 异常则根据预定的策略进行处理，并把处理情况记录备案。 图33 1 基于主机系统的工作过程 作 4 浙江大学硕士学位论文( 2 0 0 43 )基于i d x p 的网络入侵榆测系统 h i d s 可以较为精确地判断入侵事件，并可对入侵事件立即进行反应。它适 用于加密和交换式的网络，还可针对不同操作系统的特点判断应用层的入侵事 件。它的优点是能同时对付内、外部人员的攻击，可以利用操作系统本身提供的 功能，更准确地报告攻击行为且不需要额外的硬件等。缺点是主机采集器与特定 的平台相关，必须为不同平台开发不同的程序，增加了系统负担，占用了主机资 源。 3 3 2 基于网络的入侵检测系统 基于网络的入侵检测系统f n d s ) 是目前入侵检测系统研究的主流。n i d s 通 过获取网络上传送的口包进行安全检测分析，保护整个网段。它采用类似于监 视器的搜索引擎，监听网络中的所有数据包，提取其特征并与知识库中已知的攻 击模式相比较。若发现有对本网段中被保护主机的异常连接，则根据预定的策略 进行处理。例如可以自动终止t c p 连接或者修改路由器的配置文件以阻断攻击， 并把处理情况记录备案。 n i d s 主要用于实时监控网络关键路径的信息。它截获流经本网段的所有