（计算机软件与理论专业论文）基于库函数调用的入侵检测技术研究.pdf

摘要 摘要 随羞信息技术和网络技术的发展，网络环境变得越来越复杂，信息安全问题日 益严峻。入侵检测作为一种积极丰动的安全防护技术，也越来越受到人们的关注。 目前大多数程序都是使用高级程序语言编写的，都使用操作系统函数库提供的 函数。如果能够得知一个程序的库函数调用情况就能很直接的知道程序的意图。我 们认为使用应用程序所调用的库函数短序列所构造出的特征库可以用于入侵检测。 本文的主要工作就是实现了一种以库函数调用作为数据源的基于主机的入侵检 测系统，用于检测来自内部和外部的攻击。这套入侵检测系统主要由审计数据采集 模块、审计数据发送模块、正常行为特征库的建立和管理模块，异常检测模块和入 侵响应模块组成。 本文使用了操作系统函数库的覆盖技术和可加载内核模块( l k m ) 技术来截获 程序产生的库函数调用信息和程序进程信息，并使用程序产生的库函数调用信息组 成短序列来构造正常行为特征库。在检测过程中，使用短序列匹配的方法进行入侵 检测中的数据分析。同时，本文还引用了信息论中条件熵的概念。条件熵可以反映 审计数据的序列特，征，在本文提出的入侵检测系统中，我们通过计算库函数调用短 序列的条件熵来确定短序列的合适长度，从而构建出更加稳定、快速的异常检测模 型。 通过使用大量的攻击程序进行测试，本文提出的基于库函数调用的入侵检测系 统对于外部攻击、内部攻击、缓冲区溢出攻击等具有良好的检测效果。 关键词：入侵检测库函数调用信息熵条件熵 摘要 a b s t r a c t w i t ht h ed e v e l o p m e n to fi n f o m l a t i o nt e c h n o i o g ya n dc o m p u t e rn c t w o r k ，n e t w o r k b e c o m e sm o r ec o m p l i c a t e da n di n f o r m a t i o ns e c u r i t yb e g i n st oa t t r a c tm o r ea n dm o r c a t t e n t i o n i n t r u s i o nd e t e c t i o ns y s t c m ，w h i c hi sa na c t i v ea n dp o s i t i v es e c u r i t yp r o t e c t i o n t e c h n o l o g y ，b e c o m e saf o c u so fr e s e a r c h e l u pt on o w ，a l m o s te v e r yc o d e ru s el i b r a r yf u n c t i o n ，w h i c hp r o v i d e db y 叩e r a t i o n s y s t e m ，w r i t eh i sc o d e i fw ec a nf e t c ht h el i b r a r ym n c t i o nc a l l s ，w h i c hg e n e r a t e db y e x e c u t i v ep r o g r a m ，t h e nw ec o u l dd i 陀c t l yc o m p r e h e n dw h a tc o u l d 出ee x e c u t i v e p m 掣a md o s o ，w eb e i i e v e ，t h es h o r ts e q u e n c eo f1 b r a r yc a l l s ，w h i c hg e n e r a t eb y p r o g r a m ，w o u l db eu s e di ni n t r u s i o nd c t e c t i o ns y s t e m i nt h i sp a p e lw ep r o p o s eah o s ti n t 九l s i o nd e t e c t i o ns y s t 锄b a s eo n1 i b r a l yc a l l sf b r 碱d e - 甜a c k sa n d 。u t s i d e 一甜a c k s t h i sh o s tl m r u s i o nd e t e “o ns y s t e mi s 啪d eu po fa u d i td a t a p i c k i n gm o d u l e ；a u d j td a t as e n d i n gm o d u l e ；n o r n l a ls i g n a t u r ed a t a b a s em a n g e rm o d u l ea i l d m t r 啷i o n r e s p o n s em o d u i e t h i sp a p e ru s el i b r a r yi n t e r p o s i t i o na n di o a d a b i ek e m e lm o d u l e ( l k m ) t of e t c h l i b r a r yc a l i s a n dp m c e s si n f o r n l a t i o n ，a n du s et h e s el i b r a r yc a l l st om a k eu ps h o r t s e q u e n c en o n l l a ls i g n a t u r e sd a t a b a s e i nt h ep r o c e s so fd e t e c t i o n ，t h es h o r ts e q u e n c e m a t c h i n gm e t h o dw o u l db eu s e d m e a n t j m e ，t h i sp 印e ru s e dc o n d i t i o n a le n 打o p y ，w 1 i c hb e i o n 筝 t ot h ei n f o r m “o nt h e o r yc o l l d i t i o n a le n t r o p yc o u j dr e t l e c tt h es i g n a t u r eo fa u d i td a t as h q r t s e q u e n c e i nt h i sp a p e r ，w ec a l c u ia t et h ei j b m r yc a l l ss h o r ts e q u e n c e sc o n d i t i o n a i e n t r o p yt o d e c i d et h es h o r ts e q u e n c el e n 垂h ，a n dt h e nt 1 1 em o d e io fi n t r u s i o nd e t e c t i o n s y s t e l nw o u l db em o r es t a b i ea n de f f i c i e n t ， t h o u g h1 0 t so ft r i a j ，t h et n t n j s i o nd e t e c t i o ns y s t e mj sw e l lu s e di ni n s i d ea t t a c k s ；b u 行e r o v e r n o wa t t a c k sa n ds oo n k e y w o r d s ：i n t r u s i o nd e t e c t i o n ；l i b r a r yc a l l ；i n f o n n a t i o ne n t m p y ；c o n d i t i o n a l e n t r o p y i i 南开大学学位论文版权使用授权书 本人完全了解南开大学关于收集、保存、使用学位论文的规定， 同意如下各项内容：按照学校要求提交学位论文的印刷本和电子版 本；学校有权保存学位论文的印刷本和电子版，并采用影印、缩印、 扫描、数字化或其它手段保存论文；学校有权提供目录检索以及提供 本学位论文全文或者部分的阅览服务；学校有权按有关规定向国家有 关部门或者机构送交论文的复印件和电子版；在不以赢利为目的的前 提下，学校可以适当复制沦文的部分或全部内容用于学术活动。 经指导教师同意，本学位论文属于保密，在年解密后适用 本授权书。 指导教师签名：学位论文作者签名： 解密时间：年 月日 各密级的最长保密年限及书写格式规定如下 内部。5 年 秘密 1 o 孥 机密2 0 年 南开大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，进行 研究工作所取得的成果。除文中已经注明引用的内容外，本学位论文 的研究成果不包含任何他人创作的、已公开发表或者没有公开发表的 作品的内容。对本论文所涉及的研究工作做出贡献的其他个人和集 体，均已在文中以明确方式标明。本学位论文原创性声明的法律责任 由本人承担。 学位论文作者签名： 囊锄 2 0 0 6 年5 月吕d 日 基于库函数调用的入侵检测技术研究 第一章绪论 第一节信息安全概述 在互联网技术的飞速发展和网络社会到来的今天，网络无所不在的影响着 社会的政治、经济、文化、军事和社会生活的各个方面。电子信息技术从科研 人员手中的宠儿走进了平民百姓的生活。网络信息技术正逐渐地在一些大型、 关键业务系统中得到应用。网络电子信息系统如雨后春笋一样迅速应用于各个 领域。 然而，信息技术在大大提高生产力水平，促进经济快速增长以及便捷人们 的工作、生活和学习的同时，也给信息产业带来了前所未有的挑战，信息安全 首当其冲。 根据中国互联网信息中心2 0 0 6 年1 月1 7 日公布的中国互联网络发展状 况统计报告显示，截至2 0 0 5 年1 2 月3 1 日，我国上网用户总数为1 1 1 亿人， 上网计算机达到4 9 5 0 万台，网络用户和网络主机的数量仍然在持续增长，与此 同时，电子政务、电子商务、网络游戏、网络博客等互联网业务正在快速扩展， 新的操作系统、新应用软件不断投入使用，这些都导致大量人为主观疏忽和网 络系统客观漏洞的存在。而黑客攻击动机已经从单纯的追求“荣耀感”向获取 多方面实际利益和表达政治情绪的方向转移，黑客技术的发展也将重点放在网 上木马、间谍程序、恶意网站、网络仿冒、僵尸网络等方面，因此，网络安全 问题变得更加错综复杂，涉及范围将不断扩大。 c n c e r t c c 是接收国内网络安全事件报告的重要机构，同时作为国际应急 组织f i r s t 和亚太地区应急组织a p c e r t 的成员，c n c e r w c c 负责接收国际网络 安全事件报告。2 0 0 5 年，c n c e r t c c 共收到国内外通过应急热线、网站、电子 邮件等报告的网络安全事件1 2 万多件，平均每月1 万多件，每月的具体事件报告 数量见图1 1 。 基于库函数调用的入侵榆测技术研究 2 0 0 5 年网络安全事件报告月度统计 幽1 12 0 0 5 年网络安全事件报告月度统计 因此，解决信息安全问题已经成为亟待解决的问题。安全的计算机系统的 实际定义是“一个可以信赖的按照期望方式运行地系统”。更精确的安全的定义 是以安全三元组术语机密性、完整性和可用性给出的。机密性是指只能由 授权用户访问信息的要求。完整性是指防止信息被修改的要求。可用性是指信 息和系统资源能够持续工作的要求。 导致网络安全产生的原因有很多，要建立一个安全系统也是一件很困难的 工作。现在的操作系统，应用软件变的越来越复杂，安全系统的设计者往往很 难预测程序在运行的时候系统所处的状态，所以，系统往往又会有很多的漏洞 提供给攻击者。其次，随着互连网的发展，将来自系统外部的的所有服务请求 完全隔离是不可能的事情。并且，正如前面讨论的那样，计算机网络的某些关 键技术，比如t c p i p 协议本身就有很多的缺陷。因此，绝对安全的计算机系 统是不存在的。 目前主要应用到网络信息安全的技术包括数据加密、漏洞扫描器、计算机 病毒扫描程序、防火墙以及入侵检测等。这些技术几乎涉及到网络传送的各个 领域，并且都在不同程度的发展着，这些技术也都是未来网络安全的发展方向。 网络数据加密技术是通过将网络原始数据信息按照某种加密算法转换成密 文的过程。目前数据加密技术主要运用在i p 层( 包括i p v 6 协议标准中) ，d n s ， s n m p 等网络协议数据中。数据加密技术网络上的应用需要有一个好的密钥管 基于库函数调用的入侵检测技术研究 理协议，i e t f ( i n t e m e te n g i n e e r kf o r c e ) 正在开发一种新的密钥交换协议 o a h e y ，它将提供完全前向加密特性。 漏洞扫描器是一种自动监测远程或本地主机和网络安全性漏洞的程序，它 能直接或间接的反应系统安全性能并提供有价值的参考依据，是一种用于主动 改善信息系统安全的工具。它拥有强大的扫描识别能力，能发现远程的主机和 网络，进而发现在那些网络和主机所运行的服务，最终发现这些服务的漏洞。 计算机病毒扫描程序适用于检测和清除计算机病毒的安全工具，一般利用 模式匹配技术，配合定期更新的病毒特征库来监测和清除计算机中的病毒。 防火墙是一种被动式防御的访问控制技术，它通过在网络边界建立相关系 统来隔离内部和外部网络，防止外部网络对于内网的攻击。目前防火墙技术最 新发展领域在于动态包过滤、内核透明代理、用户认证机制等。 入侵检测可以说是防火墙技术的必要补充，它可以在不影响网络性能的情 况下对网络进行检测，提供对内部攻击、外部攻击和误操作的保护。最近，新 的入侵检测理论不断提出，人们将免疫算法、优化理论、a g e n t 技术和数据挖 掘等许多技术应用到入侵检测领域，作出了很多卓有成效的工作。- 哥伦比亚大 学的w j i l l ( el e e 研究小组将数据挖掘的分类算法，关联数据挖掘、序列挖掘等 算法应用于入侵检测系统，他们也是最早应用数据挖掘在入侵检测系统中的研 究工作小组。他们利用包括网络和主机的数据源，使用了不同的检测方法，作 了大量的实验工作，并且取得了重要的研究成果。另外，新墨西哥大学的 s t e p h a n i ef o r r e s t 研究组也开发了基于短序列匹配算法的系统来检测异常。此 外，哥伦比亚大学数据挖掘实验室的l e n o i dp o n n o y 也在利用聚类算法进行异 常检测工作方面做出了研究。 由此可以看出，各种各样的技术应用都具有各自的应用特点，并且覆盖到 网络安全的各个层次方面。每一种技术对于保障系统的安全性来说都是必不可 少的，我们应该学会如何将各种技术综合起来运用到我们的系统中，最大程度 的保护我们的计算机系统的安全。 第二节本文的内容和组织结构 入侵检测系统通常根据检测数据源的来源不同分为基于主机的入侵检测系 统和基于网络的入侵检测系统。在基于主机的入侵检测系统中使用的核心数据 源通常是系统调用( 如s u ns 0 1 a r i sb s m 的核心级审计记录内容) ，但这种方法 却常常面临一些问题，如审计记录数据量较大、对某类攻击的检测效果不明显 等问题。 基于库函数调用的入侵榆测技术研究 本文主要研究了基于库函数调用的入侵检测方法及其在入侵检测系统中的 具体实现。使用了l i b r a r yc a l l 作为入侵检测系统的数据源，希望通过使用l i b r a r v c a l l 短序列所构造出的行为模式库的方法来构造一个入侵检测模型，希望由此 来解决以上的问题。 由于l i n u x 操作系统是公开源代码的操作系统，所以本文所设计的入侵检 测系统选择的操作系统为l i n u x 。 本文的组织结构如下： 第一章对信息安全作了概述，介绍了本文课题提出的背景和意义。 第二章介绍了入侵检测的相关概念、分类及其发展状况，并提出了基于库 函数调用的入侵检测系统的设计思想。 第三章介绍了操作系统的库函数的概念，提出了基于库函数调用的入侵检 测系统的关键技术，讨论了库函数短序列数据的分析方法和模型，并使用信息 熵作为描述数据特征的工具，提出了计算短序列合适长度的算法。 第四章介绍了基于库函数调用的入侵检测系统设计与实现，包括数据收集 器，数据分析器和响应模块的建立，最后对基于库函数调用的入侵检测系统进 行了综合的性能分析。 第五章对本文提出的入侵检测系统存在的问题进行了讨论和总结，并提出 了进步的工作和展望。 基于库函数调用的入侵检测技术研究 第二章入侵检测技术概述 第一节入侵检测研究历史和现状 为了维护一个计算机系统的安全，通常情况下把防火墙作为连接到网络的 第一道安全防线，对来自外部网络的攻击确实起到了非常强大的保护作用。但 任何事物都不会是尽善尽美的，防火墙也不是无坚不摧。很多攻击都可以透过 防火墙，尤其对于网络内部的攻击更显无能为力，因此需要有其它的防御措施 来保护计算机系统。入侵检测系统成为网络纵深防御的重要组成部分。 1 9 8 0 年j a m e sp _ a n d e r s o n 为美国空军的一份研究计划中提出基准监视器的 概念而作的一份研究报告( c o m p u t e rs e c u r i t yt l r e a dm o n i t o r i n ga n ds u r 、，e i l l a n c e ) 。 在这份报告中，a n d e r s o n 首次明确阐述了精简审计的目标在于从安全审计踪迹 数据中消除冗余或无关的记录，为入侵检测作出了开创性工作。 d o r o t l l yd e 皿i n g 和p e t e rn e u m a l l n 从1 9 8 4 年到1 9 8 6 年研究并发展了一个 实时入侵检测系统模型【4 j ，命名为i d e s ( 入侵检测专家系统) 。此系统的检测 目标正式从分析设计跟踪数据和构建基于用户行为描述文件开始。这是一个基 于规则的专家系统模型，采用与系统平台和应用环境无关的设计，针对已知的 系统漏洞和恶意行为进行检测，为构建入侵检测系统提供了一个通用的框架提 出了反常活动和计算机不正当使用之间的相关性。在此系统中，反常活动被定 义为统计意义上的“稀少和不寻常”。该假设是许多8 0 年代的入侵检测研究和 系统原型的基础。d e 衄i n g 于1 9 8 7 年发表的关于这个问题的论文，被认为是另 一篇入侵检测的开创之作。 1 9 8 7 年2 月d o r o t h yd e l l t l i n g 对前几年的研究与开发工作进行总结，发表了 著名论文a ni n t m s i o nd e t e c t i o nm o d e l 。他提出了入侵检测系统的抽象模型。 入侵者使用系统的模式与正常用户的使用模式不同，因此可以通过监控系统的 跟踪记录来识别使用者的异常使用模式，从而检测出入侵者违反系统安全性的 情形拉j 。d e n n i n g 的模型是许多i d s 原型的基础。 1 9 8 8 年5 月，加州大学戴维斯分校的l a e n c e “v e m o r e ( l l n l ) 实验室 承接了美国空军的项名为h a y s t a c k 的课题，为美国空军基地的计算机安全开 发了一套新型的i d s 系统。该系统通过与一些攻击模式进行匹配比较来分析审 计数据，以此判断是否存在入侵行为h a y s t a c k 系统是第一个采用误用技术的 i d s 【6 1 。 入侵检测发展历史上又一个具有重要意义的里程碑就是n s m ( n e t w o r k 头于库函数调用的入侵检测技术研究 s e c u r i t ym o n i t o r ) 的出现。该系统第次直接将网络流作为审计数据来源，通过 主动监视网络信息流量来追踪可疑的行为，因而可以不将审计数据转换成统一 格式而监控异种主机，这是第一个基于网络的i d s 。 1 9 9 4 年a s i m 项目的开发人员组建成商业公司w h e e lg r o u p 他们推出的i d s 产品取名n e t r a n g e r ，此产品是网络实时入侵检测系统的第一款商业化产品。 n e t r a n g e r 是针对企业而设计，以其高性能和高价格闻名。 1 9 9 6 年g r d s ( g r a p h b a s ei n t r u s i o nd e t e c t i o ns y s t e m ) 的设计和实现大大 弥补了绝大多数入侵检测系统伸缩性不足的问题，使得对大规模自动或协同攻 击的监测更为便利。关于入侵检测新的创新还有：s t e p h a n i ef o 玎e s t 等人将免疫 学原理应用到入侵检测中 】，w j n k el e e 等人将数据挖掘和信息测度引入到入侵 检测中r 0 s s a n d e r s o n 和a b i d a k h a n a k 将信息检索技术引入到入侵检测中。 虽然很多还在处于试验研究阶段，但是这些新思路的开创为入侵检测领域打开 了新的研究前景。 在1 9 9 8 年，国际上启动了一个以入侵检测最新进展为主题的研讨会r a i d ( r e c e n t a d v a l l c e si ni n t m s i o nd e t e c t i o n ) ，可见入侵检测系统的研究已经成为信 息安全技术的热点，越来越受到人们的重视。 目前，入侵检测技术的发展依旧如火如荼。近几年，国外在i d s 技术主要 在以下方面有所发展： 1 智能化 现阶段常用的智能化技术主要涉及有神经网络、遗传算法、模糊技术、免 疫原理等方法，这些方法常用于入侵特征的辨识与泛化。 利用专家系统的思想来构建入侵检测系统也是常用的方法之一，特别是具 有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵检 测系统的防范能力不断增强，具有更广泛的应用前景。智能化方面较为一致的 解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件 或模块的结合使用。在这方面做得比较好的研究机构有斯坦福研究所( s r i ) ，其 所研究的下一代实时入侵检测专家系统使用统计的方法来统计特征变量的频 度、均值以及偏差等统计量来描述系统的正常状态。 新墨西哥大学和i b m 则在人工免疫技术方面有所建树【9 】，此技术能够为计 算机提供模拟人类生物学的高级免疫系统，并在神经网络的驱动下检测入侵和 欺诈代码，并自动地抑制入侵者的破坏行为。哥伦比亚大学研究的项目使用数 据挖掘技术从大量的网络数据中分析并学习出入侵行为模型，并通过这些模型 来实时检测入侵行为。 智能技术在入侵检测系统产品中的应用还不广泛，主要有一些专家系统方 基于库函数调用的入侵检测投术研究 面的应用，而智能化的检测方法还不多见。 2 分布式 分布式入侵检测系统的一种含义是指系统的结构具有分布式的结构，不是 传统的集中式的结构。第二种含义就是使用分布式的方法来检测分布式的攻击， 其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。其结构 的发展在一定程度上是融合了基于主机的入侵检测系统和基于网络的入侵检测 系统而成的。传统的集中式i d s 的基本模型是在网络的不同网段放置多个探测 器收集当前网络状态的信息，然后将这些信息传送到中央控制台进行处理分析。 这种方式存在明显的缺陷，对于大规模的分布式攻击，中央控制台会不堪负重 造成大量信息处理的遗漏；而且多个探测器收集到的数据在网络上的传输会增 加网络负担导致网络系统性能的降低【3 】。 在此方向上，普渡大学开发的a a f i d 系统采用树形分层构造的代理群体最 根部的是监视器代理，提供全局的控制、管理以及分析由上一层节点提供的信 息，在树叶部分的代理专门用来收集信息。处在中间层的代理被称为收发器这 些收发器一方面实现对底层代理的控制，一方面可以起到信息的预处理过程把 精练的信息反馈给上层的监视器。这种结构采用了本地代理处理本地事件中央 代理负责整体分析的模式。与集中式不同，它强调通过全体智能代理的协同工 作来分析入侵策略。 商业化产品方面c i s c o 公司的n e t r a l l g e r 可以方便地应用基于网络的i d s 技 术的优势，因为c i s c o 公司的交换设备和路由器有很大的市场，而其交换设备 和路由器的o s 的防火墙中具有内置的入侵检测技术。n e t r a l l g e r 分为两部分： 监测网络包和发告警的传感器，以及接收并分析告警和启动对策的控制器。它 有一个路径备份( p a t h d o u b l i n g ) 功能，如果一条路径断掉了，信息可以从备 份路径上传过来。这在一定程度上表现了分布式入侵检测系统的特点：即不能 过分的依靠中央控制台】。n e t r a n g e r 是目前市场上基于网络的入侵检测软件 中经受实践考验最多的产品之一。i m e m e ts e c u r i t vs v s t e m s 公司的r e a ls e c u r e 将基于主机和基于网络进行入侵检测的技术结合起来，在一定程度上实现了部 分分布式入侵检测系统的功能。a x e n t 公司的i n t m d e r a l e r ta n d n e t p r o w l e r 是一 个集成的产品。其中的i n t r u d e ra l e n 是一个基于主机的检测产品，而n e t p r o w l e r 为基于网络的i d s ，其主要采用了一种动态签名状态检测( s d s i ) 技术使用户 能够设计独特的攻击定义，从而每个n e t p r o w l e r 代理只动态地接收由要防卫的 系统和应用程序定义好的攻击签名。c y b e r s a f e 公司的c e n t r a ) 【包括批处理器、 实时主机检查器和实时网络检查器三种部件。虽然其网络检查器的功能比较弱， 但是在产品的构建上正向着基于主机和基于网络的集成化方向发展。由这些商 基于库函数调用的入侵检测技术研究 业化产品可见，入侵检测系统今后的发展方向之一就是分布式。 3 协议分析技术 协议分析是新一代i d s 探测攻击手法的主要技术。它利用网络协议的高度 规则性快速探测攻击的存在【l2 j 3 1 。协议分析技术优势在于能够详细解析各种协 议，如命令字符串解析器能对不同的高层协议，如t e l n e t 、f t p 、h t t p 、s m t p 、 s n m p 、d n s 等的用户命令进行详细的分析。探测碎片攻击和协议确认技术可 以因为系统在每一层上都沿着协议栈向上解码，从而使用所有当前已知协议信 息来排除所有异常协议结构的攻击，同时大大降低传统模式匹配带来的误报问 题，提高了效率，同时减少了系统资源消耗。 综合目前国外的现状来看，这些商业化产品都在将基于主机和基于网络的 的检测技术整合起来，这样做不但能提高检测率，另一个优点就是可以针对用 户定制i d s 这也是分布式入侵检测的特征之一。但是这些i d s 产品在智能化方 面还有欠缺，最新的智能检测技术还不能应用到其中。 国内对i d s 的研究起步较晚，入侵检测的研究在国内还处在刚刚起步阶段， 或者是停留在研究和实验样品阶段，或者是防火墙中集成较为初级的入侵检测 模块，也有一些商业化的产品。 在商业产品方面，西安交大捷普网络的j u m p ，海信数码的“眼镜蛇”，金 诺的d s ，中联绿盟的“冰之眼”，启明星辰的“天阒”n 5 0 0 ，冠群金辰的e t n s t ， 东软的n e t e v e ，福建海峡信息技术有限公司的“黑盾”，这些入侵检测系统都 是近年来市场上比较常见的产品。其中以启明星辰的“天阗”n 5 0 0 性能最好。 但是这些产品都是比较初级的产品，大部分是基于误用监测的。这些i d s 产品 功能设置趋于完整，但检测技术仍然不成熟，还需要增加相应功能，提高管理 智能化，降低误报率。 随着网络的普及，上网的关键部门、关键业务越来越多，我国迫切需要具 有自主版权的入侵检测产品。因此入侵检测产品在我国具有很大的发展空间。 通过国内外的对比，不论是商业产品还是研究机构，在入侵检测系统方面，国 内外的差别主要在入侵检测技术的智能化方面、检测性能、入侵检测系统的多 模块组合方面。我们要作的工作还有很多。 第二节入侵检测系统相关定义和分类方法 入侵检测是指发现非授权用户企图使用计算机系统或合法用户滥用其特权 行为，这些行为破坏了计算机系统的完整性、机密性和资源的可用性。为完成 入侵检测任务而设计的计算机系统称为入侵检测系统i d s 。 基于库函数调用的入侵检测技术研究 入侵检测系统的工作原理基于一个基本假设，即入侵者的行为与正常用户 的行为是可区分的，这种可区分性通过某种方式表现出来就形成了“入侵迹象”， 它包含在与目标系统的各种内部或者外部的活动有关的信息记录中。典型的入 侵迹象包括：系统文件完整性改变、重复尝试不成功的网络连接、错误的网络 请求或应答、异常的网络流量、异常的登录时间或会话持续时间等。入侵检测 系统通过收集、分析这些入侵迹象，判断入侵事件的发生，进而做出适当的响 应，以维持信息系统正常、稳定的工作。 一般情况下i d s 主要执行如下任务： ( 1 ) 监视、分析用户及系统活动 ( 2 ) 系统构造安全弱点审计记录 ( 3 ) 识别反映己知攻击的活动模式并向相关人士报警 ( 4 ) 异常行为模式的统计分析 ( 5 ) 评估重要系统和数据文件的完整性 ( 6 ) 操作系统的审计跟踪管理，并识别用户违反安全策略的行为 一个成功的入侵检测系统，不仅可使系统管理员时刻了解网络系统( 包括程 序、文件和硬件设备等) 的任何变更，还能给网络安全策略的制订提供依据，并 且管理配置简单，使非专业人员非常容易地获得安全的网络。入侵检测的规模 还应根据网络规模、系统构造和安全需求的改变而改变。入侵检测系统在发现 入侵后应及时响应包括：切断网络连接、记录事件和报警等。一般i d s 系统的 工作方式如图2 1 所示。 动态建立 攫则 搿件生砬器( 来自审计记最， 嘲络数据搬等效接i ) 正常行为规范判定异常 行为是否存在竺j 荆： 添加或自 图2 1 入侵检测系统结构图 入侵检测系统可以从多个不同的角度进行分类，主要有以下几种分类方法： 1 根据数据来源不同分为基于主机的入侵检测系统h i d s f h o s ti 曲s i o n d e t e c t i o ns y s t e m ) 和基于网络的入侵检测系统n i d s m e t 、v o r ki m m s i o nd e t e c t i o n s y s t e m ) 。 基于主机的入侵检测系统：检测原理是根据主机的审计数据和系统曰志发 现可疑事件，检测系统运行在被检测的单个主机上，这种类型的系统性能主要 摧于库函数训用的入侵榆测技术研究 依赖于审计数据和系统日志的准确性和完整性以及安全事件的定义。典型的 h i d s 产品有：s n o n 、d r a g o ns q u i r e 、e m e r a l de x p e r t b s m 、n f rh i d 、i n t r u d e r a l e n 等【1 5 】。基于主机的入侵检测体系结构如图2 2 。 统操作 图2 2 基于主机的入侵检测系统结构 基于主机的入侵检测系统有以下优点： ( 1 ) 能够监视特定的系统行为，以及所有的用户登录和退出、甚至用户所做 的所有操作、审计系统在日志早记录的策略改变、监视关键系统文件和可执行 文件的改变等。 ( 2 ) 检测在主机上运行的命令序列要比检测网络流相对简单，系统的复杂度 也小得多。基于主机的入侵检测系统通常情况下比基于网络的入侵检测系统的 误报率要低。 ( 3 ) 有些攻击在网络的数据流中很难发现，或者根本没有通过网络而是本地 进行。这时基于网络的入侵检测系统将无能为力，只能借助于基于主机的入侵 检测系统。 ( 4 ) 和基于网络的入侵检测系统相比，基于主机的入侵检测系统更加适用于 被加密的和交换式的网络环境。 基于主机的入侵检测系统也有其缺点：基于主机的入侵检测系统需要安装 在要保护的每台计算机上，全面布置基于主机的入侵检测系统代价较大；基于 主机的入侵检测系统依赖于服务器的日志和审计数据源的采集能力，从一定程 度上影响了系统的性能；另外对操作系统有一定依赖性。 基于网络的入侵检测系统：基于网络的入侵检测系统根据网络数据包、网 络流量、协议分析、简单网络管理协议信息等数据检测入侵。它通常利用一个 运行在随机模式的网络适配器来实时监视并分析通过网络的所有通信业务。它 的攻击识别模块通常使用四种常用技术来识别攻击标志：模式、表达式或字节 匹配：频率或穿越阀值；低级事件的相关性：统计学意义上的非常规现象检测。 如果资料包与特征库中的攻击特征相匹配，i d s 应答模块通过通知、报警以及 中断连接等方式来对攻击做出反应。典型的n i d s 产品有c i s c os e c u r ei d s 、 h o g w a s h 、d r a g o n 、e n u s ti d s 等。基于网络的入侵检测体系结构如图2 3 。 o 基于库函数调用的入侵检测技术研究 图2 3 基于网路的入侵检测系统结构 基于网络的入侵检测系统的主要优点有： ( 1 ) 成本较低：基于网络的入侵检测系统可在几个关键访问点上进行策略配 置，以观察发往多个系统的网络通信。 ( 2 ) 能够检测到基于主机的入侵检测系统无法检测的入侵：它能够检查网络 数据包的头部信息而发现非法的攻击。 ( 3 ) 基于网络的入侵检测系统不依赖于保护主机的操作系统，而且隐蔽性 好，一个网络上的监测器不像一个主机那样显眼和易被存取，因而也不那么容 易遭受攻击。 基于网络的入侵检测系统也有其缺点：首先，它只检查它直接连接网段的 通信，不能检测在不同网段的网段包，这在使用交换以太网的网络环境中将会 很受限制。其次，网络入侵检测系统可能会将大量的数据传回分析系统中，精 确度较差。最后，网络入侵检测系统处理加密的会话过程较困难，目前通过加 密信道的攻击尚不多，但随着i p v 6 的普及，这个问题会越来越突出。 2 按检测方法的不同分为误用检测( m i s u s ed e t e c t i o n ) 、异常检测( a n o m a l v d e t e c t i o n ) 。 基于误用的入侵检测系统又称作基于特征知识的入侵检测系统。误用检测 通过搜索不同的入侵攻击模式、特征来匹配事先存储在知识库中的已知入侵的 特征。因此误用检测仅能检测出那些已经在知识库中定义过的入侵，而这些知 识是由各种已知的攻击和系统漏洞得来的。各种已知的攻击以产生式规则、状 态转换图的形式表示，这样就可以用于从用户的对话日志中搜索攻击的证据。 由于基于误用的入侵检测系统仅能检测已经定义好的入侵行为，所以当未 定义的攻击发生或系统漏洞被发现时，此类入侵检测系统只有在更新知识库后 才能检测到攻击和漏洞。这就失去了入侵检测的实时性，而且基于误用的入侵 检测系统也面临着统一化的问题。例如攻击和漏洞的定义都是建立在实现i d s 的系统之上的。由于基于知识i d s 容易实现，所以在商业上有广泛的应用。 基于异常的入侵检测也称为基于行为的检测。异常检测通过观察那些偏离 普通用户行为方式的行为来判断是否发生入侵，其实现方法常常使用统计的方 基于库函数调用的入侵检测技术研究 法对用户的行为进行统计分析。由于用户的行为的随机性，往往使得统计模型 并不能完整的描述出用户的正常行为，因此异常检测可能会引起误报。用户的 正常行为可以通过一些参数来刻画，比如：网络流量、端口扫描尝试、在给定 时间内尝试错误登陆次数、用户一次对话所使用的资源及命令的使用频率、用 户程序产生的执行曲线等。 基于异常的入侵检测的优点在于它不需要定义攻击和系统漏洞，可以检测 到未知的攻击行为，主要的缺点是对用户的行为随机性的捕捉能力的不足会导 致高的误报率。 3 按响应方式的不同分为主动和被动相应两种 被动响应只会发出告警通知，将发生的不正常情况报告给管理员，本身并 不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动。 主动响应系统可以分为三类：第一，对被攻击系统实施控制。它通过调整 被攻击系统的状态，阻止或减轻攻击影响，例如断开网络连接、增加安全目志、 杀死可疑进程等。第二，对攻击系统实旋反击。这种系统多被军方所重视和采 用，但也存在许多问题，例如攻击源的准确判定和相关法律问题等。第三，尽 可能多地收集攻击者的信息以获取电子证据，例如密罐技术。目前，主动响应 系统还比较少，即使做出主动响应，一般也都是断开可疑攻击的网络连接，或 是阻塞可疑的系统调用，若失败，则终止该进程。 第三节入侵检测系统的测试与评估 2 4 1 测试评估i d s 性能的标准 和其他产品一样，当入侵检测系统发展和应用到一定程度以后，对入侵检 测系统进行测试和评估的要求也就提上日程表。各方都希望有方便的工具，合 理的方法对入侵检测系统进行科学、公正并且可信地测试和评估。对于入侵检 测系统的研制和开发者来说，对各种入侵检测系统进行经常性的评估，可以及 时了解技术发展的现状和系统存在的不足，从而将讲究重点放在那些关键的技 术问题上，减少系统的不足，提高系统的性能：而对于入侵检测系统的使用者 来说，由于他们对入侵检测系统依赖程度越来越大，所以也希望通过评估来选 择适合自己需要的产品，避免各入侵检测系统产品宣传的误导。入侵检测系统 的用户对测试评估的要求尤为迫切，因为大多数用户对入侵检测系统本身了解 得可能并不是很深入，他们希望通过对入侵检测产品的测试和评估作为选择入 侵检测系统产品的依据。 根据p o r r a s 等的研究，给出了评价i d s 性能的三个因素： 基于库函数调用的入侵检测技术研究 ( 1 ) 准确性( a c c l l r a c v ) ：指i d s 从各种行为中正确地识别入侵的能力， 当一个i d s 的检测不准确时，就有可能把系统中的合法活动当作入侵行为并标 识为异常( 虚警现象) 。 ( 2 ) 处理性能( p e r f o m a l l c e ) ：指一个i d s 处理数据源数据的速度。显然， 当i d s 的处理性能较差时，它就不可能实现实时的i d s ，并有可能成为整个系 统的瓶颈，进而严重影响整个系统的性能。 ( 3 ) 完备性( c o m p l e t e n e s s ) ：指i d s 能够检测出所有攻击行为的能力。如 果存在一个攻击行为，无法被i d s 检测出来，那么该i d s 就不具有检测完备性。 也就是说，它把对系统的入侵活动当作正常行为( 漏报现象) 。由于在一般情 况下，攻击类型、攻击手段的变化很快，我们很难得到关于攻击行为的所有知 识，所以关于i d s 的检测完备性的评估相对比较困难。 当然，评估i d s 的性能还要考虑其他因素： 延迟时间：指的是在攻击发生至i d s 检测到入侵之间的延迟时间。延迟时 间的长短直接关系着入侵攻击破坏的程度。 资源的占用情况：即系统在达到某种检测有效性时对资源的需求情况。通 常，在同等检测有效性的前提下，对资源的要求越低，i d s 的性能越好，检测 入侵的能力也就越强。 负荷能力：i d s 有其设计的负荷能力，在超出负荷能力的情况下，性能会出 现不同程度的下降。考察检测系统的负荷能力就是观察不同大小的网络流量、 不同强度的c p u 内存等系统资源的使用对i d s 的关键指标的影响。 近几年来，我国的入侵检测系统方面的研究工作和产品开发也有了很大的 发展，但对入侵检测系统评估测试方面的工作还不是很多，迫切需要建立起一 个可信的测试评估标准。 2 4 2j d s 测试评估的方法步骤 前面我们已经讨论了i d s 测试评估的性能指标，具体测试主要就是围绕这 些指标来进行。大部分的测试过程都遵循下面的基本测试步骤： ( 1 ) 创建、选择一些测试工具或测试脚本。这些脚本和工具主要用来生成模 拟的正常行为及入侵，也就是模拟i d s 运行的实际环境。 ( 2 ) 确定计算环境所要求的条件，比如背景计算机活动的级别。 ( 3 ) 配置运行i d s 。 ( 4 ) 运行测试工具或测试脚本。 ( 5 ) 分析i d s 的检测结果。 美国加州大学的n i c h o l a sj p u i ( e t z a 等人把测试分为三类，分别与前面的性 基于库函数调用的入侵检测技术研究 能指标对应，即入侵识别测试、资源消耗测试、强度测试。入侵识别测试测量 i d s 区分正常行为和入侵的能力，主要衡量的指标是检测率和虚警率。资源消 耗测试测量i d s 占用系统资源的状况，考虑的主要因素是硬盘占用空间、内存 消耗等。强度测试主要检测i d s 在强负荷运行状况下检测效果是否受影响，主 要包括大负载、高密度数据流量情况下对检测效果的检测。 第四节本文提出的入侵检测系统的设计思想 在前面介绍中可知，入侵检测系统可以划分为基于主机的入侵检测系统和 基于网络的入侵检测系统。基于网络的入侵检测系统的主要数据源是网络中的 数据包，而基于主机的入侵检测系统的主要数据源由操作系统审计跟踪和记录 系统以及应用事件的系统日志文件组成。但是值得注意的是，程序员在编写程 序的过程中，通常所使用的是操作系统的函数库给程序员提供的函数。如果我 们能够得知一个程序的函数调用情况就能很直接的知道程序的意图。此外，有 很多入侵程序或者攻击程序是通过操作系统中运行的程序或服务本身在编写时 存在的函数漏洞造成的，例如缓冲区溢出、格式化字符串攻击等。遗憾的是， 目前基于主机的入侵检测系统对于这类针对函数漏洞攻击的检测效果并不好。 如果能够对这些攻击程序针对的函数制定一个正常调用规则，那么就能对这些 函数的非法调用进行识别。 本文将通过函数库覆盖技术( 1 i b r a r yi n t e r p o s i t i o n ) 构造插入库函数 ( i n t e r p o s e dl i b r a r y )