（计算机系统结构专业论文）基于高效模式匹配算法的入侵检测系统的研究与设计.pdf

摘要 摘要 随着网络安全的不断深入，传统的网络安全技术暴露出很多问题，入侵检测 技术作为一种积极主动的安全防御技术，越来越受到大家的重视。但是，入侵检 测技术在发展中也存在很多问题，如抓包过滤的漏包，分析枚举的浪费，匹配算 法的低效，静态识别的局限，各种技术的孤立等。 本文首先对网络安全和入侵检测进行了理论研究，并通过分析，确定了本文 研究的理论基础。 其次，对网络入侵检测系统的重点模块进行了设计和优化，内容包括： 一、设计抓包模块，讨论3 种过滤方式并选择b p f 作为过滤机制。 二、设计分析模块，采用协议分析的方法，分层提取数据包各个字段的数据 存入全局变量。 三、建立一种通用的入侵事件描述语言，使系统能对新的入侵行为动态生成 模式并添加到模式库中，解决了模式匹配只能识别已有入侵的问题，保持了模式 库的低开销和高灵活度。 四、设计检测模块，分两步进行信息获取，一是通过模式解析把模式库中的 模式进行分解，提取入侵特征，二是按模块化的思想把分析模块的全局变量的数 据放入检测模块的协议变量中。然后，按照三个步骤进行模式匹配，一是按关系 组合进行匹配，二是按事件运算式的结构进行匹配，三是对整型变量进行匹配。 五、对字符串匹配算法进行优化，在总结前人提出的单模式匹配算法如k m p 、 b m 、b m h 、q s 、l e d 等和多模式匹配算法如a c 、m w m 、s b m h 等的基础上，提出了快 速移动、多模式匹配的a c - b m f 算法，以及快速移动、高效匹配、多模式匹配的 l e d s a - a c s 算法，把移动速度和匹配效率统一于多模式的匹配之中。 六、建立以网络入侵检测系统为核心，漏洞扫描、防火墙过滤、主机监控等 联动的防御体系，引入主动响应。 最后，对设计的系统和提出的算法进行测试，验证其取得了预期的效果。并 对完成的工作进行总结，对下一步的工作进行展望。 关键字：抓包过滤，协议分析，事件语言，匹配算法，联动防御 a b s t r a c t a b s t r c a t w i t ht h ec o n s t a n td e e p e n i n go fn e t w o r ks e c u r i t y , t h et r a d i t i o n a ln e t w o r ks e c u r i t y t e c h n o l o g yi sm e e t i n gal o to fp r o b l e m s ，a sap r o a e t i v es e c u r i t yd e f e n s et e c h n o l o g y , i n t r u s i o nd e t e c t i o nt e c h n o l o g ya t t r a c t sm o r ea n dm o r ea t t e n t i o n h o w e v e r , t h e r ea r c a l s oal o to fp r o b l e m si nt h ed e v e l o p m e n to fi n t r u s i o nd e t e c t i o nt e c h n o l o g y s u c h 觞 i n e f f i c i e n tc a p t u r ef i l t e r i n ga n dr e p o r t i n g , r e s o u r c e s w a s t eo fa n a l y z i n ge n u m e r a t i o n , i n e f f i c i e n tp a t t e r nm a t c h i n ga l g o r i t h m , p a t t e r nl i b r a r yd o e sn o tr e c o g n i z et h en e w i n v a s i o n ，s e c u r i t yt e c h n o l o g yc a nn o tb el i n k e dc o o r d i n a t i o n , a n ds oo i l i nt h i sp a p e r , t h et h e o r yo fn e t w o r ks e c u r i t ya n di n t r u s i o nd e t e c t i o na r es t u d i e da t f i r s t a n dt h r o u g ha n a l y s i s ，t h i sp a p e ri d e n t i f i e dt h et h e o r e t i c a lb a s i sf o rt h i ss t u d y t h e n ，t h i sp a p e rf o c u s e so nt h ed e s i g no ft h ei m p o r t a n tm o d u l e so fi n v a s i o n s y s t e m a n dm a k eao p t i m i z a t i o no f t h em a i nf u n c t i o n s s p e c i f i c a l l yi n c l u d e s ： 1 t h ed e s i g no fc a p t u r em o d u l e d i s c u s s e st h r e ek i n d so ff i l t e ra n dc h o o s eb p fa s c a p t u r ef i l t e r i n gm e c h a n i s m 2 t h ed e s i g no fa n a l y s i sm o d u l e c h o o s ep r o t o c o la n a l y s i sm e t h o d e x t r a c tt h e d a t ao ft h ep a c k e tb yu s i n ge a c hp r o t o c o lo ni t se a c hf i e l d 3 b u i l dac o m m o nl a n g u a g et od e s c r i b et h ei n v a s i o nc a s e ，w h i me n a b l e st h e s y s t e mt og e n e r a t em o d e ld y n a m i c a l l ya n da d di tt ot h em o d e ll i b r a r yw h e nm e e t i n g n e wi n t r u s i o n s i nt h i sw a y , s o l v et h ep r o b l e mt h a tt h ep a t t e r nm a t c h i n gc a no n l y i d e n t i f yt h ea l r e a d ye x i s t e di n v a s i o n ，t h u sm a i n t a i n t h el o w - o v e r h e a da n dh i 曲 f l e x i b i l i t yo ft h ep a t t e r nl i b r a r y 4 d e s i g no fd e t e c tm o d u l ea n du s et w os t e pt og a i ni n f o r m a t i o n f i r s ts t e pi s m a k i n gm o d e lt ob ed e c o m p o s i t i o nb yu s i n gm o d e la n a l y s i s ，w h i c hi su s e dt oe x t r a c t i n v a s i o nf e a t u r e s e c o n ds t e pi sp u t t i n gt h eg l o b a lv a r i a b l ew h i c hi si na n a l y s i sm o d u l e i n t op r o t o c o lv a r i a b l ew h i c hi si nd e t e c t i o nm o d u l e t h e n ，d op a t t e r nm a t c h i n gi nt h r e e s t e p s f i r s ts t e pi su s i n gr e l a t i o n s h i pc o m b i n a t i o nt om a t c h s e c o n ds t e p i sd o i n g p a t t e r nm a t c h i n ga c c o r d i n gt ot h es t r u c t u r eo fi n c i d e n te x p r e s s i o n t h i r ds t e p i s m a t c h i n gi n t e g e rv a r i a b l e s a b s t i a r 5 t i l i sp a p e ra l s oo p t i m i z e st h ec h a r a c t e r sm a t c h i n ga l g o r i t h mo f p a t t e r nm a t c h i n g o nt h eb a s eo fs i n g l ep a t t e r nm a t c h i n ga l g o r i t h ms u c ha sk m p 、b m 、b m h 、q s 、l e d ， a n do nt h eb a s eo fm u l t ip a t t e r nm a t c h i n ga l g o r i t h ms u c ha sa c ，m w m ，s b m h ，t h i s p a p e rp u tf o r w a r da c b m f , am u l t ip a t t e r na l g o r i t h mw h i c hi sf a s tm o v i n g , a n d f u r t h e rp u tf o r w a r dl e d - s a a c ，am u l t ip a t t e r na l g o r i t h mw h i c hi sf a s tm o v i n ga n d m a t c h i n ge f f i c i e n t l y a n dm a k em o v i n ga n dm a t c h i n gu n i f i e di nm u l t ip a t t e r n m a t c h i n g 6 t i l i sp a p e rp u tn e t w o r ks e c u r i t ya saw h o l ew o r k st od e a lw i t ha n db u i l d sa a c t i v ei n - d e p t hs y s t e m ，w h i c hi sb a s e do nd e t e c t i o ns y s t e ma n dc o o r d i n a t e sw i t h a n t i v i r u ss o f t w a r ea n df i r e w a l l s f i n a l l y , t h i sp a p e rm a k e se x p e r i m e n t st ot h ed e i g n e ds y s t e ma n da l g o r i t h m st o p r o v et h ed e s i r e dr e s u l t s a n dm a k eac o n c l u s i o no ft h ew o r k , p r o s p e c tt h ef u t u r e w o r k k e y w o r d s ：c a p t u r ef i l t e r i n g ，p r o t o c o la n a l y s i s ，c a s el a n g u a g e s ，m a t c h i n ga l g o r i t h m ，a c t i v ed e f e n s i i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：日期：年月日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：导师签名：超! 垒 日期：年月日 第一章绪论 1 1 引言 第一章绪论 当前，互联网发展迅速，不仅对国家的政治、经济、社会、文化领域产生了 重要影响，也逐步对人们的生活产生着重要影响。 但是，在互联网高速发展，给大家带来便利的同时，也产生了一些网络安全 方面的问题，给国家的安全和人们的生活带来威胁。 据报导，国外每年平均发生数十万起网络入侵和恶意攻击事件，其中约百分 之十的攻击成功地侵入了系统，造成年均上百亿美元的经济损失。 据统计，中国每年约有6 0 的用户受到入侵行为的困扰，有3 5 的用户认为网 络安全问题影响到他们对网络的正常使用。 由上面的实例可以看出，网络入侵问题己经成为影响网络持续发展的重要问 题，已经成为影响人们信息生活的重要问题，已经成为影响国家信息化建设的重 要问题，已经成为影响我国经济社会协调发展的重要问题。 网络入侵包含网络中断、非法访问、信息窃取、数据篡改、信息侦察等方式。 各地各部门加强网络站点、操作系统的安全保障，引入防火墙、入侵检测的防御 机制，维护网络安全，减少网络入侵，提高防御水平，取得了良好成效。 1 2 国内外研究的现状 互联网的发展越来越普及，人们与网络的联系越来越紧密，网络环境越来越 复杂，网络安全问题越来越突出。 单纯的防火墙技术防外不防内，不能阻止网络内部的攻击，但实际的使用中， “7 0 的堡垒都是从内部攻破的 ( 根据调查：7 0 的入侵都是从内部进行入侵) ， 3 0 的入侵发生在有防护墙的情况下( 根据调查，防火墙复杂的配罱和管理，容易 出现管理漏洞) 。 因此，很多组织致力于提供更多更强大的主动策略和方案来增强网络的安全 性，其中一个有效的解决途径就是入侵检测。 入侵检测系统i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 可以弥补防火墙的不足， 电子科技大学硕士学位论文 提供实时的入侵检测，采取相应的防护手段如记录证据、跟踪入侵、恢复系统、 断开连接等保护网络和系统的安全。入侵检测作为一种主动的安全防护技术，能 够同时对内部入侵、外部入侵和误操作行为进行监测，能够在系统受到入侵攻击 的时候，及时地记录和响应，为系统管理员提供可靠的入侵记录。 入侵检测作为当今网络安全研究的一个热点，从实验室研究到推出商业化产 品，从初露头角到获得广泛认同，经历了2 0 多年的风雨历程： 1 9 8 0 年，j a m e sp a n d e r s o n 第一次提出入侵检测的理念，把入侵行为分成外 部入侵、内部入侵和误操作三类，利用审计监视入侵活动，奠定了入侵检测的基 础。 1 9 8 6 年，d o r o t h ye d e n n i n g 第一次提出入侵检测模型，也就是后来大家普 遍使用的d e n n i n g 模型。 1 9 8 7 年，t e r e s al u n t 改造d e n n i n g 模型，开发出入侵检测专家系统 i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) ，提出检测不影响平台工作的思路。 之后又开发出下一代入侵检测专家系统n i d e s ( n e x tg e n e r a t i o ni n t r u s i o n d e t e c t i o ne x p e r ts y s t e m ) ，在特征性状地分析上做出了重要的贡献。 1 9 9 0 年，l t h e b e r l e i n 等开发出网络安全监视器n s m ( n e t w o r ks e c u r i t y m o n i t o r ) ，把审计来源从主机日志换成到网络数据流，使入侵检测系统从主机检 测逐步过渡到网络检测。 1 9 9 4 年，e u g e n eh s p a f f o r d 等推出基于独立代理的入侵监测策略a a f i d ( a u t o n o m o u sa g e n t sf o ri n t r u s i o nd e t e c t i o n ) 。 1 9 9 6 年，加州大学戴维斯分校开发出基于图形的入侵检测系统g r i d s ( g r a p h - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) ，将入侵检测扩展到大型网络中； 同年，g r e g o r yb w h i t e 等人又提出合作安全管理器c s m ( c o o p e r a t i n gs e c u r i t y m a n a g e r s ) ，解决了分布式环境下检测代理之间的协同合作问题，使i d s 在分布式 上取得很大进展。 1 9 9 7 年，s r i c s l 推出了第三代异常检测系统e m e r a l d ( e v e n tm o n it o r i n g e n a b li n gr e s p o n s et oa n o m a l o u sl i v ed is t u r b a n c e s ) 。推动数据挖掘、人工免 疫、信息检索、信息容错等技术融合到i d s 中，使i d s 在智能化方面取得较大进 展。 同时，国内外众多的网络安全生产企业也投入到入侵检测产品的丌发之中，生 产出各种各样的入侵检测产品。 国外的主要入侵检测系统产品有r e a l s e c u r e ( i s s 公司) 、e s m ( a x e n t 公司) 和 2 第一章绪论 c y b e r c o p m o n i t o r ( n m 公司) 等商用软件和使用普遍的开源软件s n o r t 。 国内的主要入侵检测产品有天闻网络入侵检测系统( 启明星公司) 、网眼入侵 检测系统( 东软集团有限公司) 、“冰之眼网络入侵侦测系统( 北京绿盟科技) 在曾 f o 1 3 本文的研究内容 本文试图在前人研究的基础上设计一个新型的入侵检测系统，对系统中的几 个关键瓶颈进行优化，力图得到一个高效的、全面的防御体系。 在研究设计的过程中，主要完成以下工作： 1 对网络安全和入侵检测理论进行分析。 分析了主要进攻类型、网络安全威胁、网络安全目标、网络安全体系、网络 安全模型、传统安全技术等。 研究了入侵检测产生、入侵检测现状、入侵检测标准、入侵检测问题、入侵 检测趋势等。 2 完成入侵检测系统的设计。 从系统的总体结构上进行设计，划分七个模块。 选出三个关键模块进行设计： 抓包模块：重点研究过滤机制；设计抓包流程。 分析模块：重点研究分层机制；设计分析流程。 检测模块：重点研究描述语言；设计匹配流程。 3 对字符串的匹配算法进行优化： 分析了单模式匹配算法如k m p 、b m 、b m h 、q s 、l e d 和多模式算法如a c 、m w m 、 s b m h 。 提出a c - b m f 算法，实现快速移动、多模式匹配。 提出l e d - s a - a c s 算法，实现高效匹配、快速移动、多模式匹配。 4 对防御体系进行优化： 设计入侵检测系统与各种防御技术联动，将网络安全作为一个整体工程，使 入侵检测系统与防病毒软件、防火墙和交换机等形成一套全面的网络安全管理系 统。 3 电子科技大学硕士学位论文 1 4 本文的章节安排 第一章绪论：引言，背景和现状，主要内容，组织结构。 第二章网络安全和入侵检测的研究：网络安全分析，入侵检测分析。网络安 全的攻击、威胁、目标、结构、模型。技术等。入侵检测的定义、产生、现状、 标准、问题、趋势等。 第三章入侵检测系统的研究和设计：入侵检测系统总体设计，抓包模块和过 滤机制，分析模块和协议分析，匹配模块和入侵事件语言。 第四章入侵检测系统的改进和优化：模式匹配算法的研究，a c - b m f 算法的 提出，l e d - s a - a c s 算法的提出，联动防御体系的设计。 第五章实验结果和分析：对系统进行功能、性能、压力测试，对改进算法进 行比较测试。 第六章总结和展望：对所做工作进行总结，提出下一步工作的展望。 4 第二章网络安全和入侵检测的研究 第二章网络安全和入侵检测的研究 2 1 网络安全研究 计算机网络技术的普及，给人类社会的方方面面都带来了极其深远的影响， 极大地丰富了人们的日常生活。根据中国互联网信息中心( c n n i c ) 发布的“第十 九次中国互联网络发展状况统计报告【1 1 显示：截至2 0 0 6 年底，我国网民人数达 到了1 3 7 亿，占中国人口总数的1 0 5 。 但是任何事物都具有两面性：网络在给人类社会的发展创造广阔天地的同时， 也为作恶者提供了一个更加便利的场所。据美国联邦调查局的调查，美国每年因 为网络安全造成的经济损失超过1 7 0 亿美元，在全球范围内每隔数秒就发生一起 网络攻击事件。据统计【2 】：信息窃贼在过去5 年中，以2 5 0 的速度增长，9 9 的大 公司都曾发生过大的入侵事件。世界著名的商业网站，如y a h o o 、e b a y 、a m a z o n 等都曾被黑客入侵，造成巨大的经济损失，甚至连专门从事网络安全的网站都曾 遭到过黑客的攻击。 在这种情况下，如何提高网络的安全性和可靠性，保护信息资源的安全成为 人们目前关心和研究的主要课题。网络安全包含以下三个基本方面【3 1 ： 1 数据保护：包括数据的机密性能保护和数据的完整性能保护，主要针对数据 窃取、数据篡改等攻击，基本手段包括加密机制和访问控制。 2 关系保护：包括身份鉴别的安全建立和身份鉴别的信赖维护，主要针对身份 冒充、连接截取等攻击，基本手段包括加密机制和安全设计。 3 能力保护：包括网络的传输功能保护和端点的处理功能保护，主要针对拒绝 服务、权力获取等攻击。 一个网络安全系统应该满足用户系统的保密性、完整性、可用性要求，设计 安全措施防范未经授权访问系统的资源和数据，是当前网络安全领域的一个十分 重要并且迫切的问题【4 】。 传统的安全技术虽然可以通过访问控制技术防范外来攻击者的破坏行为，但 却不能对付授权用户滥用权限的行为。虽然可以通过防火墙的包过滤、应用层网 关、虚拟网技术防止协议漏洞、源路由、地址仿冒等多种攻击手段，但却不能对 付系统设计的缺陷和加密通道的攻击。因此仅通过访问控制技术和防火墙技术是 5 电子科技大学硕士学位论文 不够的，需要一种及时发现、及时报告系统非授权访问、异常现象的技术，也就 是入侵检测技术圈。 2 1 1 攻击分析 根据攻击的目的可以分为破坏型攻击和入侵型攻击。 2 1 1 1 破坏型攻击 1 计算机病毒：编制在计算机程序中，插入在计算机程序中，破坏计算机功 能，破坏计算机数据，影响计算机使用，能够自我复制的一组计算机指令或程序 代码。 2 拒绝服务攻击d o s ( d e n i a lo fs e r v i c e ) ：利用信息回复要求，堵塞网站服 务器，消耗网络带宽，浪费系统资源，导致网络系统不胜负荷、濒临瘫痪、停止 服务。服务资源包括网络带宽，空间容量，开放进程，向内连接。 3 分布式拒绝服务攻击d d o s ( d i s t r i b u t e dd e n i a lo fs e r v i c e ) 。其攻击原 理如图2 - 1 所示： 圈 j 一一： 受害者； 图2 - 1d d o s 攻击原理 攻击者利用客户端c l i e n t ，操纵主控端h a n d l e r ，控制多个代理a g e n t ( 主 控端和代理都是已经被入侵并被安装攻击程序的主机) ，面向目标主机，同时发送 6 第二章网络安全和入侵检测的研究 请求，致使目标瘫痪。 这个过程类似于癌细胞扩散，攻击者在几秒钟内，入侵一台主机，安装攻击 工具，通过裂变传播，入侵众多主机，同时发起攻击。 2 1 1 2 入侵型攻击 网络入侵是指黑客通过攻击手段，进入目标系统，安装入侵后门，清除入侵 日志，隐藏入侵痕迹，建立攻击跳板，攻击其他系统的行为。 2 1 1 3 攻击的原理和方法 1 端口扫描：端口扫描指在一定时间内，针对目标系统，发出超限请求( 如 超过限度的t c p 连接请求或u d p 数据包) 。端口扫描用于了解：某个网段内运行着 哪些主机，某个主机开设着哪些服务，某个主机埋藏着哪些漏洞。 2 网络嗅探器：通过设置网卡为混杂模式，使主机接收网段上所有的数据包， 通过监听传输的数据，非法截取有用信息。 3 缓冲区溢出：利用程序缺陷，构造缓冲溢出，获得非法权限。 4 口令入侵：针对简单密码，使用穷举工具，使用字典工具，非法获得密码， 得到合法权限，进行口令入侵。 5 特洛伊木马：进行系统入侵，安装木马程序，跟随系统启动，自动运行程 序，执行预定操作，窃取权限资源。 2 1 1 4 入侵步骤 1 收集资料：收集主要是依靠扫描完成的：通过对某个网段进行网络扫描， 确定在该网段运行着哪些主机；通过对某个主机实施端口扫描，确定该主机提供 了哪些服务。 2 远程攻击：用收集的资料进行攻击。当f i n g e r 服务打开，可以用其获得主 机的用户名列表；若f i n g e r 服务没有打开，可以用远程溢出漏洞进入系统。 3 远程登陆：用远程攻击得到的用户名和破解工具的得到的密码登陆主机。 4 取得普通用户的权限：用步骤2 得到的用户名和密码获得普通用户的权限。 5 取得超级用户的权限：用步骤2 的缓存溢出程序获得超级用户的权限。 6 留下后门：在目标主机中安装木马程序，为以后访问留下后门。 7 清除同志：清除同志记录，打扫入侵痕迹，避免检测发现。 7 电子科技大学硕士学位论文 2 1 2 网络面临的主要威胁 日益严重的网络安全问题，不仅使上网企业、上网机构、上网用户蒙受了巨 大的经济损失，而且使国家信息安全、地区信息安全面临严重威胁。总的来说， 计算机网络正面临以下几个主要威胁： 1 黑客的攻击： 黑客技术被越来越多的人掌握，被越来越多的人发展，被越来越多的网站推 广( 当前世界上已有2 0 多万个黑客网站) ，加之缺乏网络犯罪的有效跟踪，缺乏 网络犯罪的反击手段，导致计算机系统遭受攻击的可能性变大，网络站点遭受攻 击的可能性变大。 2 管理的欠缺： 网络管理是防止企业、机构、用户免受攻击的重要措施，但事实上很多企业、 机构、用户的网络系统都疏于这方面的管理。 3 网络的缺陷： 因特网在设计之初，只考虑到保障网络信息传输、避免局部故障影响，缺乏 安全问题的考虑，比较典型的例子是t c p i p 协议族缺乏相应的安全机制。 4 软件的漏洞： 软件系统规模不断增大，系统安全漏洞不断增多，系统供应商不断发布“补 丁一程序修补漏洞。 5 计算机病毒： 计算机病毒是一种特殊的计算机程序，通过复制，进行传播，破坏程序，破 坏数据。 6 网内的问题： 网络内部的误操作、非授权访问、资源滥用和恶意行为是防火墙技术的最大 隐患，是安全管理的最大难点。 2 1 3 网络安全目标 从技术角度来说，网络安全的目标主要是网络和系统的保密性、完整性、可 用性、可靠性、不可抵赖性、可控性等。 1 保密性( c o n f i d e n t i a l i t y ) ： 保密性是防止信息泄漏给非授权个人，防止信息泄漏给非授权实体，确保信 息只被授权用户获得的特性。 第二章网络安全和入侵检测的研究 2 完整性( i n t e g r it y ) 完整性是网络信息经过授权才能改变，未经授权不能改变的特性。 3 可用性( a v a i l a b i l i t y ) 可用性是网络信息被授权实体访问，按应用需求使用的特性。 4 可靠性( r e l i a b i l i t y ) 可靠性要求网络系统本身是可靠的，它是网络系统安全的基本要求，网络系 统建设的主要目标，网络系统运行的重要基础。 5 不可抵赖性( n o n r e p u d i a t i o n ) 不可抵赖性是在网络系统的信息交互过程中确定参与者对他的行为负责的一 种性能。 6 可控性( c o n t r o l l a b ili t y ) 可控性保证网络能够有效控制网络用户的具体行为，能够有效控制网络信息 的传播范围。 2 1 4 网络安全体系结构 根据t c p i p 协议的四层结构，建立网络安全体系。表2 - 1 表示网络安全体系 结构： 表2 - 1 网络安全体系结构 层次安全内容 应用层应用系统安全 应用平台安全 传输层传输安全 网络层安全路由访问控制 物理层和数据链路层网络接口安全 1 物理层和数据链路层： 保障物理信息的安全，防止物理线路的损坏、窃听、攻击。 2 网络层： 保证授权客户，保证授权服务( 如保证正确使用i p 网络路由) 。 3 传输层： 保证t c p 协议安全，保证u d p 协议安全，防止利用协议漏洞进行攻击。 4 应用层： 9 屯子科技大学硕士学位论文 应用层安全包括应用平台安全和应用系统安全。 应用平台是指建立在网络系统之上的应用软件服务，如数据库服务器、w e b 服务器等，通常采用多种技术( 如s s l 等) 来增强应用平台的安全性。 应用系统是使用应用平台提供的安全服务来保证基本安全的系统，手段有通 讯内容安全，通讯双方认证，通讯数据审计等。 21 5 网络安全模型 网络安全不是一成不变的，而是动态进化的，不断发展的，不断完善的。南 此，产生了计算机网络安全模型：p p d p 模型，此模型的示意图如图22 所示： 圈22p p d p 模型 p p d r 模型最早是由i s s 公司提出，包括策略( p o l i c y ) 、防护( p r o t e c t i o n ) 、 检测( d e t e c t i o n ) 、响应( r e s p o n s e ) 四个部分。从图2 2 中我们可以看出，篇略是 整个p p d r 模型的中心，防护、检测、响应都要围绕它来展开，外层的p d r 循环在 实际的应用中是一个螺旋式上升的过程，每经过一次循环，提高一次防护水平。 1 策略： 策略是核心，次定着措施强度与h j 户代价之m 的平衡，控制酋网络安全要达 到的日标。 2 防护： 防护是坫础，采用传统的静忐立伞技术、传统的静态安全方浊进行防护，主 要力法有防火墙、_ l j i | 密、认证等。 3 检测 检测是造径，检测网络系统，监控阀络系统，发现新的威胁，发现新的弱点， 加强循环反馈，及时进行响应。检测雕j x , j 象t 要针对构成安全风险的两个部分： 系统自身的脆弱性和外部威胁。 4 响应 第二章网络安全和入侵检测的研究 在发现攻击之后，需要及时进行响应，包括如下内容： 1 ) 报告：将攻击企图、攻击事实报告给系统。 2 ) 记录：将入侵细节、系统反应、攻击情况记录下来。 3 ) 反应：进行相应的处理，防止进一步攻击。 4 ) 恢复：清除入侵影响，恢复系统正常。 2 1 6 传统网络安全技术 1 加密机制： 加密作为基本安全技术，防止信息非法读取，保障网络信息安全。但是，加 密只能防止第三者获取真实数据，容易被解密工具进行破解。 2 数据签名： 签名包含三个过程：一是签名者用私钥对数据进行加密，二是验证者用签名 者的公钥对数据进行解密，三是收发双方发生争议，仲裁机构根据数字签名判定 责任( 消息是否由发送方发出) 。 3 访问控制： 访问控制，按照事先制定的规则，判定访问是否合法。当一个主体试图非法 使用一个未经授权的客体资源时，访问控制将采取四个步骤：一是拒绝访问企图， 二是报告审计系统，三是产生异常报警，四是形成审计追踪。 4 数据完整： 数据完整性机制用于发现网络传输数据的非法修改，防止用户受到伪造数据 欺骗。 5 认证机制 认证的原理是：采用交换信息，确认实体身份，控制存取交互，判断用户合 法。 6 脆弱检测： 脆弱性是系统存在安全问题的根源：外部黑客攻击利用系统网络服务的脆弱 性；内部人员作案利用系统内部服务的脆弱性；拒绝服务攻击利用系统资源分配 的脆弱性。 7 防火墙： 防火墙的原理是：利用安全策略，进行安全控制，隔离内外网络，限制网络 互访。 电子科技大学硕士学位论文 防火墙的实现从层次上可以分两种：报文过滤、应用层网关封锁。 2 2 入侵检测概述 入侵检测是对面向计算资源和网络资源的恶意行为的识别和响应。相对于采 取封锁、过滤等被动防御措施的防火墙而言，入侵检测系统能主动发现网络中正 在进行的恶意危害，并及时作出做出反应，如提示报警、阻断连接、通知网管等 等。因此入侵检测系统被认为是继防火墙之后的保护计算机系统的第二道防线， 也是各防御技术联动防御的核心。 2 2 1 入侵检测产生 传统的信息安全技术都集中在系统自身的加固和防护上，但是单纯的防护技 术有如下几方面的问题。 1 传统防护技术会造成系统的盲目建设，一是没有意识到危险，建设滞后； 二是建设抓不住重点，浪费资源。 2 防火墙防外不防内，内部攻击又比较多( 据权威统计，网络上的安全攻击 事件有7 0 来自内部攻击) ，使得单纯的防火墙策略存在局限。 3 防火墙管理配置复杂，集中管理难度较大，容易造成管理漏洞。根据美国 财经杂志统计资料表明，3 0 的入侵发生在有防火墙的情况下。 4 防火墙安全控制分散，固化于用户i p ，脱离用户身份，没有在防火墙内外 提供致的安全策略。 5 入侵检测具有主动性，既可防内，也可防外。但是研究较少，不够成熟， 常作为检测模块集成到防火墙中，无法发挥主导作用。 2 2 2 入侵检测现状 入侵检测近年来已经引起国内外大批学者的关注，新的检测技术不断发展， 新的检测产品不断产出。下面对入侵检测技术的发展现状进行分类阐述： 2 2 2 1 根据数据分析手段分类和本文采用的检测技术 从数据分析手段来看，入侵检测系统通常可以分为三类：误用入侵检测系统、 异常入侵检测系统、智能入侵检测技术。 1 误用检测技术： 1 2 第二章网络安全和入侵检测的研究 误用检测【6 - 7 】一是对入侵行为进行编码，建立入侵模式库，二是对审计数据进 行过滤，检测入侵行为发生。 下面介绍几种误用检测的实现方法： 1 ) 专家系统f 8 】：将已知的入侵行为、己知的系统漏洞进行编码，根据知识库 中的内容，对检测数据进行评估，判断是否存在入侵行为。专家系统有i d e s 拶j 、 n x d e s 1 0 】和e m e r a l d t l l 】等。 2 ) 键击监控：记录系统用户的键盘输入，记录交互会话的响应状态，监控异 常键击行为模式。 3 ) 状态分析：使用状态转换表，表示安全状态；使用分类图形，表示入侵行 为；针对具体行为，进行分析响应【1 2 1 。比如基于着色p e r t i 网的入侵检测技术【1 3 】。 4 ) 模式匹配：根据已知入侵，建立规则模式，监控审计数据，进行模式匹配。 使用模式匹配的系统有s n o r t 1 4 】和b r o 1 5 】等。 2 异常检测技术： 异常检测一是总结正常操作特征( 用户轮廓) ，二是建立正常活动模型，三是 根据实际更新，四是对比当前情况，五是识别差异程度，六是发现攻击行为【1 6 j 。 1 ) 统计方法：设定统计时间，收集合法行为，定义正常行为( 包括期待行为) ， 进行统计测试，判定行为合法。 2 ) 预言模式：根据已发生事件，预言未发生行为。 3 ) 神经网络：模拟形象思维，分布存储正常信息( 以神经元为单位存储 在网络上) ，激发学习新知信息，交互进行信息传递( 神经元间传递刺激) ； 模拟逻辑思维，转化信息概念，采用符号表示，根据符号运算，进行串行推 理，识别入侵异常，采取响应措施。 利用神经网络检测入侵的基本思想是用一系列信息单元( 命令) 训练神 经单元，这样在给定一组输入后，就可能预测出输出。与统计理论相比，神 经网络更好地表达了变量间的非线性关系，并且能自动学习和更新。1 1 7 1 8 。 4 ) 序列学习：归纳相似情况，建立用户统计，对比典型序列，区别用户真伪。 它的重点是特征序列的匹配和学习。 3 智能检测技术： 入侵检测逐步向智能化方向发展，包括免疫系统、遗传算法、数据挖掘、代 理检测、数据融合等，提供了更有效的分析技术： 1 ) 免疫系统：把生物免疫机制引入到系统安全【1 9 2 2 】。具体原理：一是建立免 疫防线，把已知入侵作为抗原，在抗原的基础上生成抗体( 响应方法) ；二是建立 免疫检测，感知入侵行为，选择抗体应对，增强系统免疫【2 引 2 ) 遗传算法：把达尔文进化论的自然选择思想引入解法优化。具体原理：仿 电子科技大学硕士学位论文 照基因编码，产生初代种群，进行优胜劣汰，逐代演化解法，选择适应个体，进 行交叉组合，推动解集变异，逐步适应环境，产生最优算法。 2 4 2 5 1 。 3 ) 数据挖掘：挖掘网络数据，分析系统调用，归纳检测规则，形成检测模型， 判定入侵行为【2 6 1 。 4 ) 代理检测：执行安全监控，操作代理主机，限定网络范围，进行联网检测。 这是分布式检测的代表。 5 ) 数据融合：采用多种分析机制、检测机制，针对系统中不同的安全信息进 行分析，并把它们的结果进行融合和决策。要求采用数学启发的办法，涉及多个 学科领域，如统计学、运筹学、模式识别、认知心理学、信息论和决策论等等【2 7 】。 4 本文所选的检测技术： 异常检测技术有其优势，但是由于实际中不可能对整个系统内的所有用户行 为进行全面的描述，而且每个用户的行为是经常改变的，所以它的主要缺陷在于 误警率高，尤其在用户数目众多，或工作方式经常改变的环境中。 对于误用检测方法，依据具体特征库进行判断，检测准确度很高；并且检测 结果有明确的参照，也为系统管理员做出响应措施提供了方便。但并不是说它就 是完美的，它的缺陷在于只能静态检测到己知攻击，当出现针对新漏洞的攻击手 段或针对旧漏洞的新攻击方式时，无法动态生成模式，无法模式匹配。这是本文 重点要解决的问题，本文立足于设计一种通用的事件描述语言，可以针对新的入 侵事件，动态生成模式，用户只需定时更新模式库，就可以动态进行模式匹配。 具体实现参照3 5 1 。 2 2 2 2 根据数据源分类和本文采用的检测系统 根据数据源的不同，可以将入侵检测系统分为以下两类： 1 基于主机的入侵检测系统： 基于主机的入侵检测系统从主机的审计记录和日志文件中获取所需的主要数 据，并辅之以主机上的其他信息，例如文件属性、进程状态和c p u 利用率等，在 此基础上完成检测攻击行为的任务【2 引。 2 基于网络的入侵检测系统： 基于网络的入侵检测通过监听网络中的数据包来获得必要的数据源，并通过 协议分析、特征匹配、统计分析等手段发现当前发生的攻击行为。 3 本文选择的入侵检测系统： 从技术发展的历程来看，主机审计属于早期的入侵检测系统采用的技术。基 于主机的入侵检测系统有很多的缺点： 1 4 第二章网络安全和入侵检测的研究 首先，它严重依赖于特定的操作系统平台，对不同的平台系统而言，它是无 法移植的。 其次，它在所保护主机上运行，将影响到宿主机的运行性能，特别是宿主机 为服务器的情况。 最后，它缺乏对数据包的分析，因此对于一些诸如拒绝服务攻击、i p 碎片攻 击等在网络环境下发生的大量攻击行为不能做出及时的反应。 而基于网络的入侵检测系统具有以下优势： 首先，它分析的是网络协议，通常而言是标准化的，独立于主机操作系统类 型，因此移植性好。 其次，它的运行不影响主机或服务器的自身运行，因为它采取独立主机和被 动监听的工作模式。 最后，它能够实时监控网络中的数据流量，发现潜在的攻击行为，做出迅速 的响应。 所以，本文选择基于网络的入侵检测系统作为研究的系统。 2 2 2 3 根据响应方式分类及本文采用的响应方式 根据入侵检测系统对入侵攻击响应方式的不同可分为主动响应方式和被动响 应方式阻3 0 1 。 1 主动入侵检测系统： 主动入侵检测系统在检测出入侵后，可自动对目标系统中的漏洞采取修补、 采取响应的措施进行处理。 2 被动入侵检测系统： 被动入侵检测系统在检测出对系统的攻击后只是在检测系统内进行处理，把 报警消息传给系统管理模块就终止。 3 本文响应方式的实现： 被动响应方式已经无法满足现代网络安全的需求，本文设计的入侵检测系统 选用主动的响应方式。 2 2 2 4 根据系统模块分布方式分类 根据系统各个模块运行的分布方式不同，可将入侵检测系