（计算机软件与理论专业论文）nids的改进研究与实现.pdf

摘要 随着互联网的迅猛发展，网络安全威胁日益增长，网络攻击的破坏性愈发严重，单 纯的防火墙无法防范复杂多变的攻击，入侵检测技术应运而生。网络的入侵检测系统 n 1 d s 是入侵检测系统i d s 的一种实现方式，它有着相对更好的应用前景。作为网络安 全体系的重要组成部分，入侵检测系统应成为安全保障的必备工具，但是实际上使用情 况并不好。作者希望可以通过本文提出一些n i d s 改进的思路，解决现有n 略的问题， 让其发挥更大的作用。 本文首先对传统n i d s 体系结构深入的研究分析，得出现有) s 存在的问题，即： 一、误报漏报严重，信息量大、有效率低。 二、报警信息较难区分重点。 归结起来，n i d s 的根本问题是“数据有效性低，针对性不强”而造成这个结果的 原因是n i d s 对所处网络环境了解太少，缺乏针对性。本文希望n i d s 通过被动探测为 主，手工输入为辅的发现方式对所处网络环境有更多的认识，在此基础上对发生的报警 信息有针对性的处理，进而可以更加有效的工作随后介绍了一下“被动主机特征发现” 的研究情况，为n 1 d s 的改进提供了理论支持。 根据“n i d s 知道的更多，就可以做的更好”的原则，本文基于开源的n i d s 产品 s n o r t ，设计了新的n i d s 原型系统的架构并予以实现，达到了改进的目的。改进n i d $ 主 要围绕着网络环境信息n e i 展开的，它描述了n i d s 所处的网络各种相关信息，体现了 n i d s 对当前网络情况的认知和把握。通过对网络环境信息n e i 的描述、获取和维护， 以及对n e i 的利用，实现改进的目的。改进后的n i d s 实现了对所处网络环境的发现功 能，面对一条发生的入侵攻击，可以比对“有针对的入侵规则”和此攻击对象的特征信 息，在此基础上判断入侵是否有效，并在反馈给用户报警信息中体现出来。 最后，本文通过对改进n i d s 的测试评价，试验证明了这种设计思路是正确可行的， 并分析了本文的取得的成绩和存在的问题，对课题的总体情况加以总结，把一些想到但 是没有实现的一些思路提出来，展望一下未来的工作 综上，本文是通过对现有的n i d s 分析，认识到存在的根本问题是“数据有效性低”， 并提出、实现了一些粗略的改进想法，作为一种探索研究，希望能有起到打开思路、抛 砖引玉的作用 关键词：n i d s ；入侵检测；被动网络发现；数据有效性；网络环境信息 r e s e a r c ha n di m p l e m e n t a t i o n 蚰n i d si m p r o v e m e n t s u i y i ( c o m p u t e rs o f t w a r ea n dp r i n c i p l e ) d i r e c t e db yd r d uy u e j i n w i t ht h ed e v e l o p m e n to fi n t e r a c tt e c h n o l o g y , t h et h r e a to fn e t w o r ks e c u r i t yb e c o m e s m o r ea n dm o r es e r i o u s , a n dt h en e t w o r ka t t a c kc a u s e sal o to fd a m a g et ot h eu s e r s af i r e w a l l c a n ta c c o m p l i s ht h ed e f e n c et ot h ec o m p l e xa t t a c kb yi t s e i f s o , t h et e c h n o l o g yo fi n t r u s i o n d e t e c t i o ne m e r g e s , a st h et i m e sr e q u i r e n i d s ( n e t w o r k - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) i s o n eo fr e a l i z a t i o n so fi d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) a n di th a sab e t t e rf u t u r et h a no t h e r s h o w e v e r , a sa l li m p o r t a n tc o m p o n e n to ft h en e t w o r ks e c u r i t ys y s t e m ，t h ei d sd i d n tw o r ka s w e l la sh o p e di np r a c t i c e t h ep a p e rt r i e st op u tf o r w a r ds o m ei d e a st oi m p r o v en i d s f i r s t , t h i sa r t i c l ef i g u r e do u tt h ee s s e n t i a lp r o b l e m so ft h ec u r r e n tn i d sb ya n a l y s i n gt h e a r c h i t e c t u r eo fc l a s s i cn i d s h e r et h e ya r e , 1 ) t o om u c hm i s i n f o r m a t i o na n dm i s s , am a s so fi n f o r m a t i o na n dl o we f f i c i e n c y 办t o oh a r dt od i s t i n g u i s hw h i c hi n f o r m a t i o ni si m p o r t a n t t h e nt h i s a r t i c l em a k e sas t u d yo f p a s s i v eh o s tc h a r a c t e r i s t i ci n f o r m a t i o nd 括c o v e r y i t w i l ls u p p o r tt h ei m p r o v e m e n to fn i d si nt h e o r y t h ep r i n c i p l eo ft h en i d si m p r o v e m e n ti s , ”n i d sk n o w sm o r e ，n i d sd o e sb e t t e r ” f u r t h e r m o r e , t h ep a p e rd e s i g n sa n di m p l e m e n t sa l la r c h e t y p a ls y s t e mb a s i n go ns n o r t , a f a m o u so p e n s o u r c ep a c k a g eo fn i d s t h ei m p r o v e m e n te x p a n d sf o c u s i n go nt h en e i ( n e t w o r ke n v i r o n m e n ti n f o r m a t i o n ) ，w h i c hd e s c n b e st h es i t u a t i o no ft h ec u r r e n tn e t w o r ka n d s h o w sn i d s sa c q u a i n t a n c ef o rt h ec u r r e n tn e t w o r k w i t ht h ep u r p o s eo fd e f m i n g , f i n d i n g , a n d m a i n t a i n i n gt h en e i , t h es y s t e mp r o p o s e di nt h i sp a p e ri m p l e m e n t st h ei m p r o v e m e n t s f i n m l y ，t h ep a p e r t e s t sa n de v a l u a t e st h ee f f e c to f t h es y s t e m t h ec o n c l u s i o ni sm a d e ，a n d f u r t h e ri d e a s a r ed i s c u s s e di nt h ef u t u g ew o r k i nc o n c l u s i o n , t h i sp a p e ra n a l y z e dt h ee s s e n t i a lp r o b l e mo ft h ec u r r e n tn i d s ，w h i c h s u f f e r st o om u c hi n v a l i di n f o r m a t i o n t h en i d sa l m o s tk n e wn o t h i n ga b o u tt h en e t w o r k e n v i r o n m e n t b e s i d e s , i ta l s op r o p o s e ds o m ee f f o r t st oi m p r o v et h en i d si no r d e rt od i s c o v e r a n da n a l y z et h en e t w o r ke n v i r o n m e n ti n f o r m a t i o na n dw o r km o r ep a r t i c u l a r l ya n de f f e c t i v e l y k e y w o r d s ：n i d s ，i n t r u s i o nd e t e c t i o n , p a s s i v en e t w o r kd i s c o v e r y , d a t av a l i d i t y , n e t w o r k e n v i r o n m e n ti n f o r m a t i o n 图1c i d f 模型结构图 图目录 图2r e a l s e c u r e 的部署图 图3 各网络安全技术的使用情况 图4n m s 体系结构图 图5 改进的n i d s 体系结构图 图6 主机特征信息发现系统 图7 主机特征信息发现系缔流程 图8n e l 维护系统流程 图9n e i 利用子系统流程图 图1 0 改进的n d s 部署图 8 n = 。 硒 弭 拍 孔 弘 药 ” 表1 报告的安全事件数量 表目录 表2 网络环境信息n e i 数据描述 表3 被动发现测试数据 表4 与原始s n o r t 对比测试数据 4 2 4 4 0 4 1 算法目录 算法1n e i 发现子系统实现算法n e i f i n d s u b s y s 0 算法2n e i 维护子系统实现算法u e r o p d a t e s u b s y s 0 算法3n 唧利用子系统实现算法n e i u s e s u b s y s 0 3 2 3 4 3 6 声明 我声明本论文是我本人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢的地方外，本论文中不包含 其他人已经发表或撰写过的研究成果。与我一同工作的同志对本研究所做 的任何贡献均已在论文中作了明确的说明并表示了谢意。 作者签名： 铀 e l 期：加移g 以驴g 论文版权使用授权书 本人授权中国科学院计算技术研究所可以保留并向国家有关部门或机 构送交本论文的复印件和电子文档，允许本论文被查阅和借阅，可以将本 论文的全部或部分内容编入有关数据库进行检索，可以采用影f _ p 、缩f _ p 或 扫描等复制手段保存、汇编本论文。 ( 保密论文在解密后适用本授权书。) 作者签名： 奇缸导师签名：和囱吐日期：2 口形寻。蛹。s 日 1 1 问题的提出 第一章引言 随着因特网在全世界的普及，因特网的安全，包括其上的信息数据的安全和网络设 备服务的运行安全，日益成为与国家、政府、企业、个人的利益休戚相关的“大事情” 入侵检测是一项重要的安全监控技术，用来处理信息系统误用。其目的是识别系统中入 侵者的非授权使用及系统合法用户的滥用行为，尽量发现系统由于软件错误、认证模块 的失效、以及不适当的系统管理而引起的安全性缺陷并采取相应的补救措施。 入侵检测的作用包括检测、响应、评估、威慑和起诉支持等等。目前，在安全领域 获得广泛应用的技术通常都带有预防威胁的色彩，就好像一幢房子的门锁一样。但是， 现实告诉人们，安全威胁并不仅仅来自于外部。特别是在信息安全领域，组织内部的安 全问题造成的经济损失接近整体损失的百分之八十。人们需要安全防御措施不仅能够防 御恶意信息的流入，还能够控制和保障信息的使用。入侵检测就是能够完成这种耳标的 技术。像房间中的监控镜头一样，入侵检测系统可以很好的监控整个信息基础设置的状 态，记录各种事件的发生并发出报警。另外，入侵检测系统还能够对恶意攻击者产生威 慑作用，它能够采集大量的信息用于调查和起诉。 尽管入侵检测系统如此重要，并被纳入到安全体系框架中。但其使用情况并不好， 没有为用户所认可，进而普及开来现有的入侵检测产品还无法让用户满意，入侵检测 技术面临着挑战和机遇。究其原因，本文认为主要是入侵检测系统所提供给用户的数据 量有效性太低，有价值的信息和大量无用的信息混杂在一起，就像“金子”和“沙粒” 一样，让用户无从下手，因此发挥不出入侵检测系统的作用。特别是针对大规模的目标 网络，这一点更加明显本文希望可以从这方面入手，对入侵检测系统加以改进。 1 2 研究内容和改进的思路 网络入侵检测系统( n i d s ) 是入侵检测技术的一种重要实现，有着很好的应用前景， 但由于现今存在的一些问题，制约了n i d s 的发展，本文希望可以通过对n i d s 的分析， 提出一种改进的思路，提高n d s 的数据有效性，进而完善n i d s 。 改进的核心就是让n i d s 对所处的网络了解更多信息，做到“心明跟亮璃垂来通过 分析，本文决定采用“被动探测为主，辅以人工输入，定期主动扫描探”来认知所在网 络，获取网络环境信息 在被动探测中，本文采用了“b a n n e r 识别服务软件、操作系统”和“f i n g e r p r i n t 识 中国科学院硕士学位论文一n 1 d s 的改进研究与实现 别目标操作系统”两种技术相结合，对网络环境进行认知，并创建网络环境信息数据库。 同时，本文对原有入侵规则进行改造，加入一些“针对”信息，表明本入侵适用于那些 对象 当入侵发生时，改进的n i d s 通过比对入侵对象的网络唤醒信息和有“针对”入侵 规则进行比对，根据匹配与否作出相应的判断和对策，达到分类入侵信息、提高n i d s 的数据有效性的目的 1 3 本文的组织 本文主要探讨的是网络入侵检测系统( n i d s ) 的改进研究加以实现，论文共分七章， 其中主题部分是第三章，第四章和第五章。 具体各章安排如下： 第一章讲述本课题的背景及研究意义，以及本文的结构以及主要工作； t 第二章介绍了入侵检测的一些相关概念和技术，分为“相关概念与定义“入侵检 测的分类”、“入侵检测系统模型”和“入侵检测系统实现及产品”四个部分。 第三章主要是本人的n i d s 的改进研究的具体情况，讲述了问题的提出的思路。本 章首先对传统n i d s 的体系结构深入的分析，并在此基础上，研究得出现有n i d s 存在 的根本问题，即“数据有效性低，没有针对性”，同时提出了解决思路。另外，本章对“被 动主机特征发现”也做了一定的研究，为n i d s 的改进提供了理论支持。 第四章是改进n i d s 的设计部分，针对前一章分析出的问题，在架构上设计了改进 的n i d s 系统，达到改进的目的。改进n i d s 主要围绕着网络环境信息n e i 展开的，在 本章分别介绍了n e i 的定义、获取和维护，以及对n e i 的利用。 第五章介绍了改进的n i d s 的具体实现，包括实现的平台，以及“n e i 发现子系统 实现“n e i 维护子系统实现”和“n e l 利用子系统实现0 第六章介绍了改进的n 1 d s 的测试和评价情况，构造一个入侵检测系统的测试环境， 对系统进行了功能验证。试验证明了这种设计思路是正确可行的通过性能和正确性的 澳8 试及分析，对改进的n i d s 做出客观的评价。 第七章结论和展望对本文的取得的一些成绩和存在的一些问题做了分析，对课题的 总体情况加以总结，并且展望一下未来的工作 2 第二章入侵检测系统i d s 概述 2 0 世纪9 0 年代以来，i n t e r n e t 在全球范围内迅猛发展。1 9 9 2 年7 月，全世界共约有 9 9 2 万台主机连入i n t e m e t ，到2 0 0 5 年1 月，i n t e m e t 的主机数量约达到3 1 7 6 4 万台【1 1 。 截至到1 9 9 7 年7 月我国约有上网计算机2 9 9 万台；到2 0 0 0 年7 月，大约6 5 0 万台计算 机接入i n t e m e t ：截至2 0 0 4 年1 0 月，此数量达到4 1 6 0 万【2 】。c n 下注册的域名数、网 站数分别达到4 3 万和6 6 9 万，分别比半年前增长了5 万和4 3 万；网络国际出口带宽总 数达到7 4 4 2 9 m ，i p v 4 地址总数5 9 9 4 5 7 2 8 个经过十年快速的发展，中国互联网已经形 成规模，互联网应用走向多元化。 i n t e m e t 采用的t ( 珊伸协议成功地解决了不同硬件平台、不同软件平台和不同系统 间的兼容性；其客户机服务器模式使得i n t e m e t 极易扩充；它提供的电子邮件( e - m a i l ) 、 远程登录( t e l n e l ) 、文件传输( f 1 甲) 、w w w 等服务，以及新兴的在线音像媒体服务， 电子商务、电子政务等等，都极大的方便了人们的信息交换和信息共享i n t e m e t 不仅成 为带动社会经济发展的新动力，也越来越深刻地影响到社会政治、文化和生活的各个方 面。 但是随着计算机技术和网络通信技术的飞速发展，计算机应用日趋广泛与深入，同 时也使得计算机与网络安全问题更加突出和复杂。当代社会对信息技术和i n t e m e t 的依 赖更是大大增加了对安全方案、技术和产品的需求。信息安全领域出现的新挑战是保护 电子商务、电子企业和电子政务。越来越多的组织开始利用i n t e m e t 处理和传输敏感数 据，同时在i n t e r n e t 上也到处传播和蔓延入侵方法和脚本程序，使得连入i n t e m e t 的任何 系统都处于将被攻击的风险之中【3 】。由于i n t e m e t 在协议、实现、服务和管理等方面存 在的各种缺陷以及软件系统自身的设计缺陷，使得一些网络黑客能够利用系统漏洞实施 网络入侵攻击。这些恶意的入侵行为轻则窃取机密信息，篡改系统和数据，重则导致大 规模的网络瘫痪或网络服务不可用。1 9 8 8 年1 1 月2 日，“蠕虫镐毒在网络中迅速蔓延， 短短几个小时，致使上千台计算机不能工作；1 9 9 5 年8 月2 1 日，美国一设防严密的银 行的网络系统遭到入侵者的攻击，损失现金高达1 1 6 0 万美元；2 0 0 0 年2 月份以来，y a h o o 、 e b a y 、a m a z o n 、s i n a 等国t 内# l - 著名网站相继遭到“拒绝服务破击而瘫痪，从而蒙受巨大 的损失；2 0 0 1 年夏季的“红色代码”等病毒借助网络迅速传播，给全球造成了严重损失 这些著名的安全事件只是为数巨大的网络安全事件的冰山一角。据美国联邦调查局的报 告【4 1 ，计算机犯罪是商业犯罪中最大的犯罪类型，每年计算机犯罪造成的经济损失高达 5 0 亿美元，平均每2 0 秒就发生一起入侵攻击的安全事件，因此计算机及网络安全是不 容忽视的 美国计算机紧急事件反应小组协调中- t ) ( c e g r c c ) 【5 】自从1 9 9 8 年成立以来，收到 中国科学院硕士学位论立：- - - - m d s 的改进研究与实现 的计算机安全事故报告的数量一直呈上升趋势，如下表1 所示：( 2 0 0 3 年以后不再统计) 表格1 报告的安全事件数量 1年份 1 9 9 8l 9 2 0 0 02 l2 22 3 l安全事故 i ( 单位件) 3 ，7 3 4 9 8 5 9 2 1 ，7 5 65 2 ，6 5 8 8 2 0 9 4 1 3 7 ，5 2 9 随着计算机网络知识的普及，攻击者越来越多，知识日趋成熟，攻击工具与手法日 趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防 卫必须采用一种纵深的、多样的手段。网络环境也变得越来越复杂，各式各样的复杂的 设备，需要不断升级、补漏的系统使得网络管理员的工作不断加重，不经意的疏忽便有 可能造成安全的重大隐患。于是，入侵检测系统成为了安全市场上新的热点，不仅愈来 愈多的受到人们的关注，而且已经开始在各种不同的环境中发挥其关键作用。 可见，对入侵攻击的检测与防范，保障计算机系统、网络系统及整个信息基础设施 的安全已经成为亟待研究和解决的问题。 网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安全的首 要目标网络安全技术主要有，认证授权、数据加密、访问控制、安全审计等。本文着 重讨论的入侵检测技术是安全审计中的核心技术之一，是网络安全防护的重要组成部分。 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告 系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技 术违反安全策略的行为有：入侵非法用户的违规行为；滥用用户的违规行为 利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到限制这些 活动，以保护系统的安全入侵检测系统的应用，能使在入侵攻击对系统发生危害前， 检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击在入侵攻击过程中，能减少入 侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知 识，添加入知识库内，以增强系统的防范能力。 国际上，入侵检测的研究到目前已经经历了二十多年在众多安全技术中，入侵检 测是- f l 相对年轻的技术这个概念在二十余年前就已经被提出，但是直到近年才又被 广泛提出来并整合到整个信息安全基础架构中去 早在1 9 8 0 年，j a m e sa n d e r s o n 就在第一篇关于网络入侵的论文( c o m p u t e rs e c u r i t y t h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e 1 6 1 里引入了入侵检测这个概念从此，i d s 就开始了 它特殊的发展道路，而i d s 技术领域中的一些里程碑事件将入侵检测一直引领到今天 1 9 8 7 年，d o r o t h yd e n n i n g 在他的文章( a ni n t r u s i o nd e t e c t i o nm o d e l 1 7 1 中提出入 侵检测系统0 n t m s i o nd e t e c t i o ns y s t e m ，m s ) 的抽象模型，首次将入侵检测的概念作为一 种计算机系统安全防御问题的措施提出，与传统加密和访问控制的常用方法相比，i d s 第二章入侵检测系统i d s 概述 是全新的计算机安全措施。1 9 8 8 年的m o r r i si n t e m e t 蠕虫事件使得i n t c m e t 近5 天无法使 用。该事件使得对计算机安全的需要迫在眉睫，从而导致了许多i d s 系统的开发研制。 从此，在d e n n i n g 工作的基础上，人们对入侵检测系统的研究广泛的展开了 2 1 相关概念与定义 入侵( i n t r u s i o n ) 是个广义的概念，它表示系统发生了违反系统安全策略的事件。这 个定义不仅包括了a n d e r s o n 的模型中提到的所有的威胁，并且还包括了a n d e r s o n 模型 【6 o e 没有提到的对系统安全的其他威胁。这些威胁包括；试图获取对系统或数据进行非 授权地访问和控制；程序的威胁( 软件攻击，如病毒、特洛伊木马、恶意的j a v a 或a c t i v e x 小程序等) ；探测和扫描系统以发现系统漏洞，为将来的攻击做准备等对计算机系统造成 危害的行为 入侵检测( i n t r u s i o nd e t e c t i o n ) 就是检测任何企图损害系统保密性、完整性或可用性 的行为的一种网络安全技术，它通过对运行系统的状态和活动的监视，找出异常或误用 ( m i s u s e ) 的行为。- 入侵检测识别针对计算机或网络资源的恶意企图和行为，并对此做出 反应的过程。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，m s ) 则是完成如上功能的独立系统。i d s 能够检测未授权对象( 人或程序) 针对系统的入侵企图或行为( i n t r u s i o n ) ，同时监控授权对 象对系统资源的误用。i d s 不间断的运行，通过检查特定的攻击模式、独立事件、配置 问题、欺骗程序、存在缺陷的程序版本和其他黑客可能利用的漏洞来监控与安全有关的 活动。 2 2 入侵检测的分类 现有豹对入侵检测分类，大都基于信息源和分析方法进行分类 2 2 1 根据信息源的不同，分为基于主机型和基于网络型 基于主机的入侵检测系统( h o s t - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ，h i d s ) ： 基于主机的i d s 可监测系统、事件和w i n d o w sn t 下的安全记录以及u n i x 环境下 的系统记录当有文件被修改时，i d s 将新的记录条目与已知的攻击特征相比较，看它 们是否匹配如果匹配，就会向系统管理员报警或者做出适当的响应。 基于主机的i d s 在发展过程中融入了其他技术。检测对关键系统文件和可执行文件 入侵的一个常用方法是通过定期检查文件的校验和来进行的，以便发现异常的变化反 应的快慢取决于轮讯问隔的长短许多产品都是监听端口的活动，并在特定端口被访问 时向管理员报警这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检 测环境中 5 中国科学院硕士学位论文闻d s 的改进研究与实现 基于网络的入侵检测系统( n e t w o r k - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ，n i d s ) ： 基于网络的入侵检测系统以网络包作为分析数据源它通常利用一个工作在混杂模 式下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统 计分析等技术来识别攻击行为。一旦检测到了攻击行为，i d s 的响应模块就做出适当的 响应，比如报警、切断相关用户的网络连接等。不同入侵检测系统在实现时采用的响应 方式也可能不同，但通常都包括通知管理员、切断连接、记录相关的信息以提供必要的 法律依据等1 8 1 。 n i d s 最大的特点在于不需要改变服务器等主机的配置。由于它不需在业务系统的 主机中安装额外的软件，不会影响这些机器的c p u 、i 0 等资源的使用，也不会影响业 务系统的性能。另外，n i d s 不是系统中的关键路径，即使发生故障也不会影响正常业 务的运行。因此，部署一个n i d s ，比部署一个h i d s 的风险与成本相对较低 基于主机和基于网络的入侵检测系统的集成： 许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系 统。因为这两种系统在很大程度上是互补的。实际上，许多客户在使用i d s 时都配置了 基于网络的入侵检测。在防火墙之外的检测器检测来自外部i n t e m e t 的攻击。d n s 、e m a i l 和w e b 服务器经常是攻击的目标；但是，它们又必须与外部网络交互，不可能对其进行 全部屏蔽，所以应当在各个服务器上安装基于主机的入侵检测系统，其检测结果也要向 分析员控制台报告。因此，即便是小规模的网络结构也常常需要基于主机和基于网络的 两种入侵检测能力。 2 2 2 根据检测所用分析方法的不同，可分为误用检测和异常检测 误用检测( m i s u s ed e t e c t i o n ) ： 设定一些入侵活动的特征( s i g n a t u r e ) ，通过现在的活动是否与这些特征匹配来检测 常用的检测技术为： 1 ) 专家系统：采用一系列的检测规则分析入侵的特征行为规则，即知识，是专家 系统赖以判定入侵存在与否的依据除了知识库的完备性外，专家系统还依靠条件库的 完备性同时，完备性又取决于审计记录的完备性、实时性和易用性。此外，匹配算法 的快慢，也对专家系统的工作效率有很大的影响 。 2 ) 基于模型的入侵检测方法：入侵者在攻击一个系统时往往采用一定的行为序列， 如猜测1 ：2 1 令的行为序列。这种行为序列构成了具有一定行为特征的模型，根据这种模型 所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图与专家系统通常放 弃处理那些不确定的中间结论的缺点相比，这一方法的优点在于它基于完善的不确定性 推理数学理论基于模型的入侵检测方法可以仅监测一些主要的审计事件。当这些事件 发生后，再开始记录详细的审计，从而减少审计事件处理负荷这种检测方法的另外一 个特点是可以检测组合攻击( c o o r d i n a t ea t t a 和多层攻击( m u l t i - s t a g ea t t a c k ) ，为分布式 第二章入侵检测系统i d s 概述 1 d s 系统所采用。 3 ) 简单模式l 龋( p a t t e mm a t c h i n g ) 基于模式匹配的入侵检测方法将已知的入侵特 征编码成为与审计记录相符合的模式。当新的审计事件产生时，这一方法将寻找与它相 匹配的已知入侵模式。 4 ) 软计算方法：软计算方法包含了神经网络、遗传算法与模糊技术近年来己有关 于运用神经网络进行入侵检测实验的报道，但还没有正式的产品闯世 异常检测( a n o m a l yd e t e c t i o n ) ： 异常检测假设入侵者活动异常于正常的活动。为实现该类检测，i d s 建立正常活动 的“规范集( n o r m a lp r o f i l e ) , 当主体的活动违反其统计规律时，认为可能是“入侵”行 为。异常检测的优点之一为具有抽象系统正常行为从而检测系统异常行为的能力。这种 能力不受系统以前是否知道这种入侵与否的限制，所以能够检测新的入侵行为。大多数 的正常行为的模型使用一种矩阵的数学模型，矩阵的数量来自于系统的各种指标，比如 c p u 使用率、内存使用率、登录的时间和次数、网络活动、文件的改动等。异常检测的 缺点是：若入侵者了解到检测规律，就可以小心的避免系统指标的突变，而使用逐渐改 变系统指标的方法逃避检测。另外检测效率也不高，检测时问较长。最重要的是，这是 一种“事后”的检测，当检测到入侵行为时，破坏早已经发生了。 统计方法是当前产品化的入侵检测系统中常用的方法，它是一种成熟的入侵检测方 法，它使入侵检测系统能够学习主体的日常行为，将那些与正常活动之问存在较大统计 偏差的活动标识成为异常活动。常用的入侵检测统计模型为：操作模型、方差、计算参 数的方差、多元模型、马尔柯夫过程模型和时间序列分析。统计方法的最大优点是它可 以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也 给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵 检测系统。 2 3 入侵检测系统模型 为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作， 目前对i d s 进行标准化工作的有两个组织：i e t f 的i n t r u s i o nd e t e c t i o nw o r k i n g g r o u p 0 d w g ) 并dc o m m o l l i n t r u s i o nd e t e c t i o nf r a m e w o r k ( c i d f ) “9 】【1 0 】 c i d f 早期由美国国防部高级研究计划局赞助研究，现在由c i d ft 作组负责，是 个开放组织c i d f 提出了一个i d s 的架构模型。 c i d f 阐述了一个入侵检测系统( 口d s ) 的通用模型它将一个入侵检测系统分为以下 组件：事件产生器( e v e n tg e n e r a t o r s ) ，用e 盒表示；事件分析器( e v e n ta n a l y z e r s ) ，用a 盒表示；响应单元皿唧伽u n i t s ) ，用r 盒表示；事件数据库( e v e md a t a b a s e s ) ，用d 盒 表示 7 中国科学院硕士学位论文n i d s 的改进研究与实现 事件产生嚣 事件分撬嚣 畸钟敲据库 响废堆元 图 c i d f 模型结构图 c i d f 模型的结构如下：e 盒通过传感器收集事件数据，并将信息传送给a 盒，a 盒检测误用模式；d 盒存储来自a 、e 盒的数据，并为额钋的分析提供信息；r 盒从a 、 e 盒中提取数据，d 盒启动适当的响应a 、e 、d 及r 盒之问的通信都基于 g l d o ( g e n e r a l i z e di n t r u s i o nd e t e c t i o no b j e a s ，通用入侵检测对象1 和o s t ( c o m m o n i n t r u s i o ns p e c i f i c a t i o nl 棚g i l a g c ，通用入侵规范语言) 。如果想在不同种类的a 、e 、d 及 r 盒之间实现互操作，需要对g i d o 实现标准化并使用a s l 以上四个组件只是逻辑实体。一个组件可能是某台计算机上的一个进程甚至线程， 也可能是多个计算机上的多个进程，它们以g i d o ( 统一入侵检测对象) 格式进行数据交 换。g i d o 是对事件进行编码的标准通用格式( 由c i d f 描述语言c i s l 定义) ，g i d o 数 据流可以是发生在系统中的审计事件，也可以是对审计事件的分析结果。 c i d f 将入侵检测系统需要分析的数据统称为事件( e v e n t ) ，它可以是基于网络的入 侵检测系统中网络中的数据包，也可以是基于主机的入侵检测系统从系统日志等其他途 径得到的信息。它也对于各部件之间的信息传递格式、通信方法和标准a ll 进行了标准 化 事件产生器 事件产生器的任务是从入侵检测系统之外的计算环境中收集事件，并将这些事件转 换成c i d f 的g i d o 格式传送给其他组件。事件产生器的目的是从整个计算环境中获得 事件，并向系统的其他部分提供此事件 事件分析器 事件分析器分析从其他组件收到的g i d o ，并将产生的新g i d o 再传送给其他组件。 分析器可以是一个轮廓描述工具，统计性地检查现在的事件是否可能与以前某个事件来 0 第二章入侵检测系统i d s 概述 自同一个时间序列；也可以是一个特征检测工具，用于在一个事件序列中检查是否有已 知的滥用攻击特征；此外，事件分析器还可以是一个相关器，观察事件之间的关系，将 有联系的事件放到一起，以利于以后的进一步分析。 事件数据库 事件数据库用来存储g i d o ，以备系统需要的时候使用。 响应单元 响应单元处理收到的g i d o ，并据此采取相应的措施，如杀死相关进程、将连接复 位、修改文件权限等。 由于c i d f 有一个标准格式g i d o ，所以这些组件也适用于其他环境，只需要将典 型的环境特征转换成g i d o 格式，这样就提高了组件之间的消息共享和互通。 事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果做出反应 的功能单元。它可以只是简单的报警，也可以做出切断连接、改变文件属性等强烈反应， 甚至发动对攻击者的反击事件数据库是对存放各种中间和最终数据的地方的统称。它 可以是复杂的数据库，也可以是简单的文本文件 在这个模型中，事件产生器、事件分析器和响应单元通常以应用程序的形式出现， 而事件数据库则往往是文件或数据流的形式，很多玎) s 厂商都以数据收集部分、数据分 析部分和控制台部分三个术语来分别代替事件产生器、事件分析器和响应单元。在c d f 模型中的四个组件中，应该说事件数据库是更重要的核心。事件产生器，分析器的不同 只是采集和分析的效率，比如，很多厂商的i d s 都采用更多的协议分析模块来加强数据 的分析能力。而事件库则明显地体现了i d s 的检测能力( 不是性能) ，也同检测引擎有密 切关系，因为通常的误报和漏报都同事件定义明确相关。当然，检测引擎本身的性能也 很重要 2 4 入侵检测系统实现及产品 2 4 1 入侵检测系统产品概述 由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来 i n t e m e ts e c u r i t ys y s t e m 0 s s ) 、思科、赛门铁克等公司都推出了自己的产品由于美国 m s o n t c r n c ts e c u r i t ys y s t c i 凇司进入国内时间比较早，其r e a l s e c u r e 知名度也很高，相 对也是比较成熟成功的产品另外，知名的产品还包括c i s c o 公司的n e t r a n g e r 、n e t w o r k a s s o c i a t e s 公司的c y b e r c o p 、a x c n tt e c h n o l o g i e s 公司( 现被s y m a n t e c 收购) 的 n e t p r o w l e r i n t r u d e r a l e r r 、i n t r u s i o n d e t e c t i o n 公司的k a n e s e c u r i t y m o n i t o r 、c a 公司的 9 中国科学院硕士学位论文- - - - - - - n 1 d s 的改进研究与实现 s e s s i o n w a l l - 3 e t m s ti n t r u s i o nd e t e c t i o n 、t r u s t e di n f o r m a t i o ns y s t e m 公司的s t a l k e r s 、 n e t w o r ks c c l l r i 坤w i z a r d s 公司的d r a g o ni d s 、n e t w o r ki c e 公司的b l a c k l c ed e f e n d e ra n d e n t e r p r i s ei c e p a c 、n f r 公司的i n t r u s i o nd e t e c t i o na p p l i a n c e 、c y b e r s a f e 公司的c e n t r a x 等，也是非常有特点、技术领先的s 产品，当然也不能忽略虽然免费但相当成功的 s n o r t 。与此同时，国内的i d s 商业产品也蓬勃发展起来，据悉在公安部取得销售许可证 的安全厂商已超过3 0 家。在国内，较早从事入侵检测研究并推出成熟产品，具有相对较 高知名度的品牌主要有启明星辰的s k y b e l i ( 天阗) 入侵检测产品，中科网威的“天眼入侵 检测系统和北方计算中心的n i d sd e t e c t o r 等。 比较起来，以下一些产品的特色较为鲜明( r e a l s e c u r e 和s n o n 随后将分别详细介 绍1 c i s c o 公司的n e t r a n g e r 由于占有网络设备的优势地位，在i d s 硬件引擎的处理性 能方面表现极佳，可以把入侵检测和路由器、防火墙技术有机集成或结合 s y m a n t e c 收购的a x e n t 公司n e t p r o w l e r i n t r u d e r a l e r t 其n i d s 可对主机进行细粒度 控制，其h i d s 所支持的操作系统平台的种类最全面。 c a 公司的e t m s ti n t r u s i o nd e t e c t i o n 对w e b 内容和邮件内容的检测比较直观，和该 公司其他安全产品管理结合得比较好。 启明星辰公司的天阗入侵检测系统具有主控中心、多级子控和网络引擎( 主机代理) 的集中管理与分级( 分权限) 控制的架构，非常适合大型的分布式网络体系；可对独特的网 络行为或关联行为进行定制检测。 总的说来，不管哪种i d s 产品，都有一些相同的缺点，比如，在应对交换网络时， 由于产品原理上的缺陷，很难在高网络流量上有完