（机械设计及理论专业论文）面向网络化制造的入侵检测技术的研究.pdf

江苏大学硕士学位论文 摘要 网络化制造技术的快速发展 给企业带来了较大的综合效益 但 同时网络化制造的安全问题也日益凸现出来 入侵检测技术是网络安全中必不可少的部分 它是对防火墙极其 重要的补充 入侵检测系统能在入侵攻击对系统发生危害前 检测到 入侵攻击 并利用报警与防护系统驱逐入侵攻击 在入侵攻击过程中 能减少入侵攻击所造成的损失 在被攻击后 收集入侵攻击的相关信 息 作为防范系统的知识 加入到知识库内 增强系统的防范能力 避免系统再次受到入侵 本文基于当前网络化制造系统运行中安全问题的现状 分析了网 络化制造的数据特点 探讨了黑客攻击的技术 提出了面向网络化制 造的入侵检测系统的构建策略 深入研究了入侵检测技术和相关的方 法 提出了面向网络化制造的入侵检测系统的模型 大纵深梯度式 入侵检测系统 构造了面向网络化制造的入侵检测系统及其各子系统 的结构图 探讨了入侵检测系统测试评估的内容 并对面向网络化制 造的入侵检测系统进行了性能测试评估 基于以上研究成果 笔者设计开发了面向网络化制造的入侵检测 技术的部分原型系统 并用本实验室研发的网络化制造系统进行了应 用验证 结果表明 所开发的入侵检测系统有效地保护了网络化制造 系统的正常运行 达到了设计要求 关键词 网络化制造 数据特点 入侵检测 网络安全 测试评估 江苏大学硕士学位论文 a b s t r c t t h ef a s td e v e l o p m e n to fn e t w o r k e dm a n u f a c t u r i n gt e c h n o l o g yb r i n g l a r g e ri n t e g r a t e db e n e f i tt oe n t e r p r i s e a tt h es a m et i m e t h es e c u r i t yo f n e t w o r k e dm a n u f a c t u r ea l s oa p p e a r si n c r e a s i n g l y i n t r u s i o n d e t e c t i o nt e c h n o l o g yi s a b s o l u t e l yn e c e s s a r yp a r t o f n e t w o r k e ds e c u r i t y a n di sm o s ti m p o r t a n ts u p p l e m e n to ff i r e w a l l t h e i n t r u s i o nd e t e c t i o ns y s t e m b e f o r et h ea t t a c kd a m a g i n gt h es y s t e m d e t e c t st h ea t t a c k a n dk e e p so u tt h ea t t a c kb yu s i n gt h ea l a r m s y s t e ma n d t h ed e f e n d i n gs y s t e m i nt h ep r o c e s so ft h ei n t r u s i o n a t t a c k i tc a nr e d u c e t h el o s i n gt h a ti sc a u s e db yt h ei n t r u s i o n a t t a c k a f t e rt h ea t t a c k i tc a n c o l l e c tc o r r e l a t i v ei n f o r m a t i o na b o u tt h ei n t r u s i o n a t t a c k a n db r i n g si ta s t h ek n o w l e d g eo ft h ed e f e n d i n gs y s t e mi n t or e p o s i t o r y w h i c hs t r e n g t h e n t h ed e f e n d i n gc a p a b i l i t yo ft h es y s t e m a n dw h i c hc a l lm a k et h es y s t e m n o ti n t r u d e db yt h a ta t t a c ka g a i n t h et e x ti sb a s e do nt h es t a t u so f s e c u r i t y o fn e t w o r k e d m a n u f a c t u r i n gs y s t e m t h et e x ta n a l y z e dt h ec h a r a c t e r i s t i c so fp r o d u c t d a t ao ft h en e t w o r k e dm a n u f a c t u r e a n da n a l y z e dt h et e c h n o l o g yo ft h e h a c k e r i nt h eb a s eo fw h i c h t h et e x tp u tf o r w a r dt h es t r a t e g yo fm a k i n g u pi n t r u s i o nd e t e c t i o ns y s t e m t h et e x t r e s e a r c h e dd e e p l yi n t r u s i o n d e t e c t i o nt e c h n o l o g ya n dc o r r e l a t e dm e t h o d s a n dp u tf o r w a r dt h em o d e l o fi n t r u s i o nd e t e c t i o ns y s t e mf a c e dt on e t w o r k e dm a n u f a c t u r e t h eg r e a t d e p t ha n dg r a d si n t r u s i o nd e t e c t i o ns y s t e m t h et e x ts t r u c t u r e dt h e s t r u c t u r ec h a r to fi n t r u s i o nd e t e c t i o n s y s t e m f a c e dt on e t w o r k e d m a n u f a c t u r ea n dt h es t r u c t u r ec h a r to fs u b s y s t e m t h et e x td i s c u s s e dt h e e v a l u a t i o nc o n t e n to fi n t r u s i o nd e t e c t i o ns y s t e m a n de v a l u a t e dt h e c a p a b i l i t yo f i n t r u s i o nd e t e c t i o ns y s t e mf a c e d t on e t w o r k e dm a n u f a c t u r e b a s e do nt h ea b o v er e s e a r c hp r o d u c t i o n t h ea u t h o rd e s i g n e dt h e 江苏大学硕士学位论文 p a r t e dp r o t o t y p es y s t e m o ft h ei n t r u s i o nd e t e c t i o ns y s t e mf a c e dt o n e t w o r k e dm a n u f a c t u r e a n dm a d en e t w o r k e dm a n u f a c t u r i n gs y s t e mt h a t h i sl a b o r a t o r ys t u d yv a l i d a t e dt h ep r o t o t y p es y s t e m t h er e s u l ti n d i c a t e d t h a tt h ei n t r u s i o nd e t e c t i o ns y s t e mt h a tt h ea u t h o re x p l o i t e dc a np r o t e c t n e t w o r k e dm a n u f a c t u r i n gs y s t e mt ol q l ni ng e a ri ne f f e c t a n di su pt ot h e d e s i g n e dr e q u i r e m e n t k e y w o r d n e t w o r k m a n u f a c t u r i n g c h a r a c t e r i s t i c so fd a t a i d s n e t w o r k s e c u r i t y e v a l u a t i o n 1 1 i 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留 使用学位论文的规定 同意学校保留并向国家有关部门或机构送交论文的复印件和电子版 允许论文被查阅和借阅 本人授权江苏大学可以将本学位论文的全部 内容或部分内容编入有关数据库进行检索 可以采用影印 缩印或扫 描等复制手段保存和汇编本学位论文 本学位论文属于 保密口 在年解密后适用本授权书 不保密彤 学位论文作者签名 黼 印辟 工 y j 伊日 独创性声明 本人郑重声明 所呈交的学位论文 是本人在导师的指导下 独 立进行研究工作所取得的成果 除文中已注明引用的内容以外 本论 文不包含任何其他个人或集体已经发表或撰写过的作品成果 对本文 的研究做出重要贡献的个人和集体 均已在文中以明确方式标明 本 人完全意识到本声明的法律结果由本人承担 学位论文作者签名 阵老鑫 日期 钾萨朋扩日 江苏大学硕士学位论文 1 1 网络化制造概述 第一章绪论 网络化制造是指制造企业基于网络技术开展产品设计 制造 销售 采购和 管理等一系列活动的总称 其核心是利用网络 特别是i n t e r n e t 跨越不同企 业之间存在的空间差距 通过企业之间的信息集成 业务过程集成 资源共享对 企业开展异地协同的设计制造 网上销售和供应链管理等提供技术支撑环境和手 段 实现产品商务的协同 产品设计的协同 产品制造的协同和供应链的协同 从而缩短产品的研制周期和研制费用 提高整个产业链和制造群体的竞争力 l 网络化制造可以分为三种类型 企业内部的网络化制造 企业间 b 2 b 网络化制造 企业与消费者 b 2 c 的网络化制造 企业内部的网络化制造包括 的内容 信息发布 论坛 公告板 信息导航 全文检索 内部资源集成 网上 调查 客户管理 生产管理 财务管理和知识管理 企业间 b 2 b 的网络化制造 包括的内容 供应链管理 虚拟企业 采购管理 销售管理 网络分销管理 协 同设计和资源分享 企业与消费者 b 2 c 的网络化制造包括的内容 网上宣传 利用网络了解市场信息 网络分销集成和网上直销 包括虚拟商店 电子市场 商业增值网等 闭 2 0 世纪9 0 年代初 美国就开始进行网络化制造技术相关的研究工作 发表 了具有划时代意义的 2 1 世纪制造企业发展战略 提出了敏捷制造和虚拟企业 的新概念 而后在1 9 9 5 年美国国防部和自然科学基金会资助1 0 个面向美国工业 的研究单位 并制定了以敏捷制造和虚拟企业为核心内容的 下一代的制造 计 划 1 o1 9 9 8 年1 2 月 欧盟将全球化网络化制造研究项目列入了第五框架计划 1 9 9 9 年3 月 韩国实施了 网络化韩国2 1 世纪 等等 就国内而言 2 0 世纪 9 0 年代中期 我国把网络化制造定为重点发展的科学领域 1 9 9 9 年 国家在 十 五 8 6 3 计划中 科技部也将网络化制造列为重点攻关和示范应用的项目 2 0 0 3 年国家c i m s 工程技术研究中心牵头承担了 十五 8 6 3 计划c i m s 主题项目 面 向网络化制造的a s p 平台开发及应用 随着信息技术和网络技术的飞速发展 网络化制造作为一种现代制造新模 江苏大学硕士学位论文 式 正日益成为制造业研究和实践的热门领域 制造全球化 敏捷化 网络化和 虚拟化是现代制造业发展的趋势 而制造全球化 敏捷化和虚拟化均离不开制造 网络化的支撑环境 可以说制造网络化是现代制造业发展的主要趋势 网络化制 造将给现代制造业带来一场深刻的变革 3 1 但是网络化制造在给越来越多的企业 带来诸多好处 在给社会带来利益的同时 其本身的网络环境也潜伏着危机 网络安全 1 2 网络化制造的风险分析 网络化制造的网络风险分析主要涉及到四个主要因素 制造业的网络威胁 制造业的安全配置与管理的弱点 制造业的资产和制造业的网络风险 制造业的网络威胁指制造业潜在的不希望发生的事件 制造业网络面临的安 全威胁大体可分为两种 一是对制造业网络数据的威胁 二是对制造业网络设备 的威胁 这些威胁可能来源于各种各样的因素 可能是有意的 也可能是无意的 可能是来源于制造业外部的 也可能是制造业内部人员造成的 可能是人为的 也可能是自然力造成的 总结起来 大致有下面几种主要威胁 1 非人为 自然力造成的数据丢失 设备失效 线路阻断 2 人为但属于操作人员无意的失误造成的数据丢失 3 来自制造业外部和内部人员的恶意攻击和入侵 前面两种的预防与传统电信网络基本相同 不在本文讨论范围之内 最后一 种是当前i n t e m e t 网络所面临的最大威胁 是网络化制造顺利发展的最大障碍 也是制造企业网络安全最需要解决的问题 弱点可以分为组织弱点和技术弱点 制造业的网络的组织弱点是指制造业的 网络安全的配置和管理策略可能导致的未授权行为 目前制造业虽然把入侵检测 系统和防火墙等防入侵的设备和技术用在制造业的网络里 不过其配置并不合 理 1 制造业网络的防火墙配置没有根据网络化制造企业的自身特点进行配 置 管理也过于宽松 2 制造企业缺乏对自身网络实际安全状况的了解 3 制造企业网络管理员的任务不明确 2 江苏大学硕士学位论文 制造业的技术弱点是指制造业的网络安全配置的操作系统 检测系统 防火 墙 扫描系统等的弱点可能导致的未授权行为 1 操作系统本身有缺陷 最新的升级包又没能及时下载 2 入侵检测系统的误报率 漏报率高 3 防火墙不可以动态地防范入侵者 4 杀毒软件只可以杀灭已知病毒 当制造业的一个网络威胁利用了制造业网络的某个弱点 那么制造业将会面 临网络风险 如下图i i 所示 7 网 7 络 广 配 置 蔫尝竺 笔竺毒 一 策 略 7 和 7i 一l 技 米 乡 的 弱 点 图l i 制造业网络的威胁 弱点 风险以及制造业的关系图 制造业网络的风险是指制造业遭受损害或损失的可能性 当制造业的网络不 安全时 传输的零件图纸 工艺要求和任务书都有可能被入侵者中断 侦听 甚 至被入侵者修改和伪造 这将对实施网络化制造的企业带来巨大的损失 如果是 远程控制 可能会引起很多制造的零部件的当场报废 这会给制造企业带来重大 的损失 1 3 入侵检测技术在网络化制造中的地位和意义 1 3 1网络安全在网络化制造中的地位与意义 网络化制造在过去十几年期间发生很大的改变 几年前 绝大多数企业进行 网络化制造限制在企业内部网里 计算机极少被置于站点外 如图i 2 制造业 网络很少有安全威胁 且安全威胁基本上与局内人有关 这些威胁被深入了解和 使用标准技术处理 而且计算机上记录所有信息来源 因而网络化制造的网络相 江苏大学硕士学位论文 当的安全 数据厍服务加工a e t 任务规划 图1 2 过去的企业网络拓扑结构 近几年 许多企业连接到因特网 如图1 3 因特网是一个极大的网络且 漫无边界 为了最佳的资源配置 更好的技术共享和更多的商业机会 企业对因 特网的需求逐渐增加 然而 在因特网上的信息能被随时随地存取 虽然这有利 于信息的传播 但也诱发恶意信息的激增 黑客工具在因特网上广泛地应用 这 使因特网的安全让人担心 因而网络化制造的网络安全存在威胁 数据库服务加工中心 任务规划网上用户 图1 3 现在的企业网络拓扑结构 随着网络化制造的发展 越来越多的企业加入了网络化制造的行列 很多企 业把有关的制造信息传到网络上 以便在一定范围里进行交流 但是i n t e r n e t 是开放网 并不提供保密服务 如果这些信息被不该看到的人看到了 或者被无 权修改的人修改了 显然 这就威胁到企业的安全 实施网络化制造的企业把大量的资金用于i n t e r n e t 的商业化上 大量至 关重要的产品信息涌上网络 不道德的雇员将会偷走电子资料 设计图纸 设计 方案等 企业的利益将得不到保护 网络化制造中的网络系统本身需要安全 一些人利用其软件开发员的工作特 点在有些流行的网络软件中留下后门 这使他们以后有能力攻击成千上万的网络 4 江苏大学硕士学位论文 系统 造成系统安全的严重问题 从而使实施网络化制造的企业蒙受损失 以上三个方面说明了网络安全是网络化制造中不可缺少的部分 它关系到网 络化制造能否顺利进行 也关系到企业的利益能否被保护 因此网络安全对网络 化制造有很重要的意义 1 3 2 入侵检测技术在网络安全中的地位与意义 网络安全对于网络的应用至关重要 入侵检测系统 i n t r u s i o nd e t e c t i o n s y s t e m i d s 可以在不影响网络性能的情况下对网络进行监测 提供对内部攻 击和误操作的实时保护郾4 入侵检测是对放火墙极其有益的补充 入侵检测 系统能使在入侵攻击对系统发生危害前 检测到入侵攻击 并利用报警与防护系 统驱逐入侵攻击 在入侵攻击过程中 能减少入侵攻击所造成的损失 在被攻击 后 收集入侵攻击的相关信息 作为防范系统的知识 加入知识库内 增强系统 的防范能力 避免系统再次受到入侵 入侵检测被认为放火墙之后的第二道安全 闸门 在不影响网络性能的情况下能对网络进行监听 从而提供对内部攻击 外 部攻击和误操作的适时保护 大大提高可网络的安全性 因此入侵检测技术是网络安全体系中的不可缺少的组成部分 它具有很重要 的实际研究意义 在这两节里可以推出入侵检测技术对网络化制造具有很深远的意义 1 4 入侵检测技术国内外的研究现状 入侵检测系统中的i d e s 检测系统 从1 9 8 4 年到1 9 8 6 年 乔治敦大学的d o r o t h yd e n n i n g s r i c s l 的p e t e r n e u m a n n 研究出了一个实时入侵检测系统模型一i d e s 入侵检测专家系统 如图 1 4 4 入侵检测专家系统发展到现在已经很成熟了 并成为很多其它入侵检 测系统建立的基础 但它要收集大量数据并要进行处理 因而性能降低是不可避 免的 而且数据库的构建复杂 还有i d e s 对入侵的反应仅是向系统安全管理员发 出警告 反应能力有限 江苏大学硕士学位论文 图l 4i d e s 结构框架 分布式入侵检测系统d l d s 1 9 8 8 年的莫里斯蠕虫事件发生之后 网络安全才真正引起了军方 学术界 和企业的高度重视 美国空军 国家安全局和能源部共同资助空军密码支持中心 劳伦斯利弗摩尔国家实验室 加州大学戴维斯分校 h a y s t a c k 实验室 开展对分 布式入侵检测系统 d i d s 如图i 一5 的研究 1 但是d i d s 一般用于大规模网络 环境 这跟企业实行的单一的网络安全策略有冲突 而且当前的集中式处理模式 使d i d s 不能够快速地做出响应 图i 5d i d s 结构图 f d s 的c i d f 检测模型 c i d f 公共入侵检测框架 如图i 6 是在i d e s 和n i d e s 的基础上提出的 一个通用模型 它对建立入侵检测标准起了很大作用 5 1 6 江苏大学硕士学位论文 输入 原始事件数据 图l 6c i d f 体系结构图 基于神经网络入侵检测 基于神经网络入侵检测系统是把神经网络与遗传编程运用于入侵检测 刀 基 于神经网络的入侵检测系统 如图1 7 具有较好的适应性和扩展性 是入侵检 测发展的一种趋势 不过它很难获得样本数据 而且在学习阶段可能被入侵者训 练 l s r 预测下一个命令 c h m o d r r r w p 嫂d r v 1 图1 7 神经网络入侵检测系统结构 基于免疫原理的网络入侵检测 人类免疫系统能够帮助人体抵御着有害病原体的侵蚀 而利用这一原理建立 的入侵检测系统 如图卜8 能够实现三大目标 分布式 自管理和轻负荷 引 7 江苏大学硕士学位论文 不过其理论还不够成熟 寅醣进择蓖隆i 戋择克隐选捧 图1 8 免疫系统入侵检测系统结构 基于伪装的入侵检测 基于伪装的入侵检测通过构造一些虚假的信息提供给入侵者 如果入侵者使 用这些信息攻击系统 那么就可以推断系统正在遭受入侵 并且还可以诱惑入侵 者 进一步跟踪入侵的来源 1 此外还有智能入侵检测系统等 1 5 本课题的研究内容 1 5 1 本课题来源 本课题是上海同济同捷数字化有限公司的项目 以及国家8 6 3 项目 面向网 络化制造的a s p 平台开发及应用 中涉及至g 网络安全的部分 1 5 2 研究的目的和意义 随着科技的发展 网络化制造已经深入到现代制造业当中 并且取得了很大 的突破 a s p 服务平台 电子商务 并行设计和机械资源库等 这些在制造业当 中都起到了很大的作用 然而关于网络化制造的网络安全问题却没有得到很好解 决 因此研究面向网络化制造的网络安全问题具有很好的理论与实际意义 而在网络安全当中 入侵检测技术起到关键作用 防火墙只能静态地保证制 造业企业的内部网络不被局域网外部的入侵者攻击 却不能防止局域网内部的攻 8 江苏大学硕士学位论文 击 绕过或穿过防火墙的外部攻击 而入侵检测技术却能弥补这一缺陷 它是网 络安全中的必不可少的组成部分 它可以动态地反应网络的状况 并提供策略与 保护 对网络的意义和价值具有很大的理论和实际意义 1 5 3 主要研究内容 本文基于当前网络化制造系统运行中安全问题的现状 对面向网络化制造的 入侵检测技术进行了深入的研究探讨 包括如下内容 1 分析和总结了入侵检测技术的研究现状及其在网络安全中的重要性 2 分析了网络化制造环境下产品数据的特点以及黑客攻击的步骤 提出 了构建面向网络化制造的网络安全的策略 3 对网络化制造进行风险分析 指出其所面临的威胁 并对网络化制造 进行价值评估 4 研究了入侵检测原理 技术和方法 提出了面向网络化制造的入侵检 测的相应的系统模型 大纵深梯度式入侵检测系统 5 对面向网络化制造的入侵检测系统进行整体结构设计 探讨了入侵检 测系统测试评估的方法 并对面向网络化制造的入侵检测系统进行了功能性测试 评估 6 基于以上研究成果 设计开发了面向网络化制造的入侵检测系统的部 分原型系统 并用本实验室研发的网络化制造系统进行了应用验证 9 江苏大学硕士学位论文 第二章入侵检测技术及系统的分析 2 1 入侵检测的定义 所谓入侵检测 就是通过从计算机网络或计算机系统中的若干关键点收集信 息并对其进行分析 从中发现网络或系统中是否有违反安全策略的行为和遭到袭 击的迹象 并对此做出适当反应的过程 而入侵检测系统则是实现这些功能的系 统 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发 现并报告系统中未授权或异常现象的技术 是一种用于检测计算机网络中违反安 全策略行为的技术 违反安全策略的行为有 入侵 非法用户的违规行为 滥 用 合法用户的违规行为 入侵检测技术是防火墙的合理补充 帮助系统对付网络攻击 扩展系统管理 员的安全管理能力 包括安全审计 监视 进攻识别和响应 提高了信息安全 基础结构的完整性 入侵检测被认为放火墙之后的第二道安全闸门 在不影响网 络性能的情况下能对网络进行监听 从而提供对内部攻击 外部攻击和误操作的 适时保护 入侵检测系统全称为 i n t r u s i o nd e t e c t i o ns y s t e m 它从实验室原型研究 到推出商业化产品 走向市场并获得认同 入侵检测已经走过了二十多年的风雨 坎坷路 1 9 8 0 年4 月 j a m e sp a n d e r s o n 为美国空军做了一份题为 c o m p u t e r s e c u r i t yt r e a tm o n i t o r i n ga n ds u r v e i l l a n c e 计算机安全威胁监控与监视 的技术报告 第一次详细阐述了入侵检测的概念 1 9 9 0 年 由加州大学戴维斯 分校的l t h e b e r l e i n 等人开发出了n s m n e t w o r ks e c u r i t ym o n i t o r 该系 统第一次直接将网络流作为审计数据来源 因而可以不将审计数据转化成统一格 式的情况下监控异步主机 从此以后入侵检测系统发展史翻开了新的一页 两大 阵营正式形成 基于网络的i d s 和基于主机的i d s 5 l 2 2 入侵检测的分类 根据入侵检测的对象的不同 入侵检测系统可以分为主机型和网络型 l o 江苏大学硕士学位论文 2 2 i 网络入侵检测系统 d s 网络入侵检测系统是对整个网络的数据包进行收集并进行分析 以判断是否 有异常行为的入侵检测系统 它使用原始的网络包作为信息源 它可以利用工作 在混杂模式下的网卡实时监视和分析所有通过共享式网络的传输嘲 它一般被放 置在比较重要的网段内以便对每一个数据包进行特征分析 n i d s 网络入侵检测系统 产品有基于内置静态特征库与基于动态特征库的 n i d s 两种 基于内置静态特征库的n i d s 不能实时扩展新的攻击特征 因此随着攻击特 征的增加 n i d s 性能会大大降低 相对而言 基于动态特征库的n i d s 攻击特征 可扩展 新的攻击特征可以被动态地增加到引擎中 而且它的每一个被监测的网 络服务器里都有一组基于o s 和基于应用的攻击特征 这使得基于动态特征库的 n i d s 性能大大提高 基于内置静态特征库的n i d s 具有如下优点 5 检测速度快 基于网络的监视器通常能在微妙或秒级发现问题 而大多 数基于主机的产品则要依靠对最近几分钟内审计记录的分析 隐蔽性好 一个网络上的监视器不像一个主机那样显眼 因而也不那么 容易受到攻击 基于网络的监视器不运行其它的应用程序 不提供网络服务 可 以不响应其它计算机 因而比较隐蔽 较少的监视器 由于使用一个监视器 就可以保护一个共享的网段 所 以不需要很多的监视器 2 2 2 主机入侵检测系统 h i d s 基于主机的入侵检测系统主要对主机的网络实时连接以及对系统审计日志进 行智能分析和判断 在系统审计日志中寻找攻击特征 然后给出统计分析报告 5 o 基于主机的入侵检测系统具有如下优点 5 h i d s 系统可以检测多种网络环境下的网络包 n i d s 只检查它直接连接网 段的通信 不能检测在不同网段的网络包 在使用交换以太网的环境中就会出现 监测范围的局限 h i d s 很容易检测到一些更加细腻的活动 而n i d s 只可以检测出普通的 一些攻击 而很难实现一些复杂的需要大量计算与分析时间的攻击检测 江苏大学硕士学位论文 由于h i d s 系统在反应的时间上依赖于定期检测的时间间隔 所以不受网 络流量的影响 而n i d s 工作在实时模式 所有的数据都要经过它们 所以n i d s 会成为了网络数据流量的一个瓶颈 使用入侵检测系统的一个比较完善的策略 在实施网络入侵检测系统 n i d s 的同时可以在特定的敏感主机上增加主机入侵检测系统 h i d s 这样可以做到 优势互补 n i d s 可以提供早期警告 而h i d s 可以提供攻击成功与否的情况分析 与确认 另外根据检测的方法来分 入侵检测还可以分为异常入侵检测和误用入侵检 测 根据系统各模块的运行方式来分 入侵检测系统可以分为集中式入侵检测系 统和分散式入侵检测系统 根据检测的时效性来分 入侵检测可以分为脱机分析 入侵检测和联机分析入侵检测 2 3 入侵检测技术工作原理分析 入侵检测系统的工作原理及流程如下图2 一l 图2 i 入侵检测系统原理图 i d s 的基本机构可分为三部分 信息收集 信息分析 结果处理 1 信息收集 5 1 入侵检测的第一步是信息收集 收集内容包括系统 网络 数据及用户活动 的状态和行为 而且需要在计算机网络系统中的若干不同关键点 不同网段和不 同主机 收集信息 这除了尽可能扩大检测范围的因素以外 还有一个就是对来 t 2 江苏大学硕士学位论文 自不同源的信息进行特征分析之后进行比较以得出问题所在的因素 入侵检测很大程度上依赖于收集信息的可靠性和正确性 因此 很有必要只 利用所知道的真正的和精确的软件来报告这些信息 因为黑客经常替换软件以搞 混和移走这些信息 还有黑客对系统的修改可能使系统功能失常并看起来跟正常 一样 所以要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件 本身应具有相当强的坚固性 防止被篡改而收集到错误的信息 入侵检测利用的信息一般来自以下3 个方面 5 系统或网络日志文件 攻击者常在系统日志文件中留下他们的踪迹 因此 充分利用系统和网络日 志文件信息是检测入侵的必要条件 日志文件中记录了各种行为类型 每种类型 又包含不同的信息 例如记录 用户活动 类型的日志 就包含登录 用户i d 改变 用户对文件的访问 授权和认证信息等内容 显然 对用户活动来讲 不 正常的或不期望的行为就是重复登录失败 登录到不期望的位置以及非授权的企 图访问重要文件等等 系统目录和文件的异常改变 网络环境中的文件系统包含很多软件和数据文件 包含重要信息的文件和私 有数据文件经常是黑客修改或破坏的目标 目录和文件中的不期望的改变 包括 修改 创建和删除 特别是那些正常情况下限制访问的 很可能就是一种入侵 产生的指示和信号 入侵者经常替换 修改和破坏他们获得访问权的系统上的文 件 同时为了隐藏系统中他们的表现及活动痕迹 都会尽力去替换系统程序或修 改系统日志文件 程序执行的异常行为 网络系统上的程序执行一般包括操作系统 网络服务 用户启动的程序和特 定目的应用 每个在系统上执行的程序由一到多个进程来实现 一个进程的执行 行为由它运行时执行的操作来表现 操作执行的方式不同 它利用的系统资源也 不同 一个进程出现了不期望的行为可能表明黑客正在入侵你的系统 2 信号分析 一般有3 种技术进行信号分析 模式匹配 统计分析 完整性分析 其中前 两种用于实时的入侵检测 而完整性分析用于事后分析 江苏大学硕士学位论文 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进 行比较 从而发现违背安全策略的行为 一般来讲 一种攻击模式可以用一个过 程 如执行一条指令 或一个输出 如获得权限 来表示 该过程可以很简单 如 通过字符串匹配以寻找一个简单的条目或指令 也可以很复杂 如利用正规的 数学表达式来表示安全状态的变化 统计分析 统计分析方法首先给系统对象 如用户 文件 目录和设备等 创建一个统 计描述 统计正常使用时的一些测量属性 如访问次数 操作失败次数和延时等 测量属性的平均值和偏差将被用来与网络 系统的行为进行比较 任何观察值在 正常值范围之外时 就认为有入侵发生 完整性分析 完整性分析主要关注某个文件或对象是否被更改 这经常包括文件和目录的 内容及属性 在发现被更改的 被安装木马的应用程序方面特别有效 3 结果处理 根据信息分析的结果它可以是终止进程 切断连接 改变文件属性 也可以 只是简单的报警 2 4 入侵检测方法 入侵检测方法主要分为异常入侵检测和误用入侵检测两类 而这两类入侵检 测的方法又可以分为以下所描述的几种 2 4 1 异常入侵检测技术 异常入侵检测指的是根据非正常行为 系统和用户 和使用计算机资源非正 常情况监测出入侵行为 它可以分为统计异常检测方法 基于特征选择异常检测 方法 基于贝叶斯推理异常检测方法 基于贝叶斯网络异常检测方法 基于模式 预测异常检测方法 基于神经网络异常检测方法 基于贝叶斯聚类异常检测方法 基于机器学习异常检测方法和基于数据挖掘异常检测方法 下面就举里面的几种 方式进行叙述一下 1 4 江苏大学硕士学位论文 统计异常检测方法 统计异常检测方法根据异常检测器观察主体的活动 然后产生刻画这些活动 的行为轮廓 每一个轮廓保存记录主体当前行为 并定时将当前轮廓与历史轮廓 合并形成统计轮廓 通过比较当前轮廓与统计轮廓来判定异常行为 从而检测出 网络入侵忉 设m 1 m 2 m 为轮廓的特征变量 这些变量可以是c p u 的使用 i 0 的使用 使用地点及时间 邮件使用 文件访问数量 网络会话时间等 用 s s s 分别表示轮廓中变量m l i v l 2 m 的异常测量值 将这些异常测量值 的平方后加权算得出轮廓异常值 r a l 2 a 2 s 2 巩s 2 a 为权重参数 如果这个r 位于标准方差 使用的阈值 两侧 就可认为有异常发生 基于特征选择异常检测方法 基于特征选择异常检测方法是通过从一组度量中挑选能检测出入侵的度量 构成子集来准确地预测或分类已检测到的入侵 异常入侵检测的困难问题是在异 常活动和入侵活动之间作出判断 判断符合实际的度量是复杂的 因为合适地选 择度量子集依赖于检测到的入侵类型 一个度量集对所有的各种各样的入侵类型 不可能是足够的 预先确定特定的度量来检测入侵可能会错过单独的特别的环境 下的入侵 最理想的检测入侵度量集必须动态地决策判断以获得最好的效果 基于模式预测异常检测方法 通常入侵者在攻击一个系统时往往采用一定的行为序列 如猜口令 这种行 为序列可以构成具有一定行为特征的模型 根据这个模型可以实时的检测这种 入侵 这种方法要求建立一个不同攻击者的各种攻击行为序列的数据库 这是其 主要缺点 因为这在大型系统中是不可能的 优点在于可以仅仅审计一些主要事 件 减少了系统的工作量 6 基于神经网络异常检测方法 基于神经网络入侵检测方法是训练神经网络连续的信息单元 信息单元指的 是命令网络的输入层是用户当前输入的命令和已执行过的w 个命令 用户执行过 的命令被神经网络使用来预测用户输入的下一个命令 若神经网络被训练成预测 用户输入命令序列集合 则神经网络就构成用户的轮廓框架 如图2 2 当用这个 神经网络预测不出某用户正确的后继命令 即在某种程度上表明了用户行为与其 江苏大学硕士学位论文 轮廓框架的偏离 这时有异常事件发生用 l s 预测下一个命令 c h m o d o w d v l 图2 2 基于神经网络的入侵检测示意图 2 4 2 误用入侵检测技术 误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击 并可 以通过捕获攻击及重新整理 确认入侵活动是基于同一弱点进行攻击的入侵方法 的变种研 误用入侵检测指的是通过按预先定义好的入侵模式以及观察到入侵发 生情况进行模式匹配来检测 它可以分为 基于条件概率误用检测方法 基于专 家系统误用检测方法 基于状态迁移误用检测方法 基于键盘监控误用检测方法 和基于模型误用检测方法 基于条件误用入侵检测方法 基于条件误用入侵检测方法将入侵方式对应于一个事件序列 然后通过观测 到事件发生情况来推测入侵出现 这种方法的依据是外部事件序列 根据贝叶斯 定理进行推理检测入侵 基于专家系统误用入侵检测方法 基于专家系统误用入侵检测方法是通过将安全专家的知识表示成i f t h e n 规 则形成专家知识库 然后运用推理算法进行检测入侵川 一般是针对有某类特征 的入侵行为 专家库的建立依赖于知识库的完备性 而后者又取决于审计记录的 完备性和实时性 入侵特征的抽取与表达是建立专家系统的关键 基于状态迁移分析误用入侵检测方法 状态迁移分析法方法将攻击表示成一系列被监控的系统状态迁移 攻击模式 的状态对应于系统状态 并具有迁移到另外状态的条件断言 通过弧将连续的状 态连接起来表示状态改变所需要的事件研 在分析审计事件时 若根据由已知的 入侵特征建立的布尔表达式 系统从安全状态转移到不安全状态 则可认为是 1 6 江苏大学硕士学位论文 入侵事件 这种方法的优点在于 1 可以减少审计事件的分析范围 2 可以 检测协同攻击 3 可以检测分布在多个会话中的攻击 4 在一定程度上可以 预测下一步的攻击方向 其缺点是 能够检测的入侵形式简单 事件分析的复杂 度高 对不能由审计事件表达的入侵无法检测 基于键盘监控误用入侵检测方法 基于键盘监控误用入侵检测方法假设入侵对应特定的击键序列模式 然后监 测用户击键模式 并将这一模式与入侵模式匹配 以此就能检测入侵 这种方法 的不利之处是在没有操作系统支持的情况下 缺少捕获用户击键的可靠方法 存 在无数击键方式表示同一种攻击 而且 没有击键语义分析 用户提供别名 例 如k o r ns h e l l 很容易欺骗 这种技术用户注册的s h e l l 提供命令序列简写工具 这就是所谓的别名 类似宏定义 因为这种技术仅仅分析击键 所以不能够检测 到恶意程序执行结果的自动攻击 另外还有基于生物免疫的入侵检测方法和基于伪装的入侵检测方法等 2 5 入侵检测相关的数学模型 入侵检测有以下几种数学模型川 试验模型 o p e r a t i o n a lm o d e l 该模型基于这样的假设 若已观测到变量x 出现的次数超过某个预定的值 则就有可能出现异常的情况 这个模型最适应于入侵活动与随机变量相关的方 面 例如 口令失效次数 平均值和标准差模型 m e a na n ds t a n d a r dd e v i a t i o nm o d e l 根据已观测到随机变量x 的样值x i i 1 2 n 以及计算出这些值的平均 值m e a n 和标准方差s t d d e v 若新的取样值x i 不在可信区间 m e a n d s t d d e v m d s t d d e v 内时 则出现异常 其中d 是标准偏移均值m e a n 的参数 这个模型 适用于事件计数器 间隔计时器和资源计数器三种类型随机变量处理 该模型的 优点在于不需要为了设定限制值而掌握正常活动的知识 相反 这个模型从观测 中学习获取知识 可信区间的变动就反映出知识的增长过程 另外 可信区间依 赖于观测到的数据 这样对于用户正常活动定义有可能差异较大 此模型可加上 权重的计算 如最近取样的值的权重大些 就会更准确反映出系统的状态 多变量模型 m u l t i v a r i a t em o d e l 1 7 江苏大学硕士学位论文 该模型基于两个或多个随机变量的相关性计算 适合于利用根据多个随机变 量的综合结果来识别入侵行为 而不仅仅是单个变量 例如一个程序的使用c p u 时间和i o 用户注册频度 通信会话时间等多个变量来检测入侵行为 马尔可夫过程模型 m a r k o vp r o c e s sm o d e l 该模型将离散的事件 审计记录 看作一个状态变量 然后用状态迁移矩阵 刻划状态之间的迁移频度 若观察到一个新事件 而根据先前的状态和迁移检测 矩阵来得到新的事件的出现频率太低 则表明出现异常情况 对于通过寻找某些 命令之间的转移而检测出入侵行为 这个模型比较适合 时序模型 t i m es e r i e sm o d e l 该模型通过间隔计时器和资源计数器两种类型随机变量来描述入侵行为 根 据x l x 2 函之间的相隔时间和它们的值来判断入侵 若在某个时闯内x 出现的 概率太高 则出现异常情况 这个模型的有利于描述行为随时间变化的趋势 缺 点在于计算开销大 2 6 入侵检测系统的应用研究 信息数字化的今天 几乎所有的企业网都采取了相关的安全措施 伴随着业 务的发展和用户安全意识的提高以及对安全技术认识的提高 使入侵检测系统得 到了大力地推广 入侵检测系统能够动态地检测网络 为企业提供网络安全保护 它是防火墙的必要补充 下面对绿盟科技 冰之眼 网络i d s 入侵检测系统进行 介绍 以便更深入地了解入侵检测系统 1 绿盟科技 冰之眼 网络i d s l 7 l 冰之眼 网络入侵检测系统由网络探测器 内网探测器 s s 加密传输通 道 中央控制台 日志分析系统 s q l 日志数据库系统及绿盟科技中央升级站点 几部分组成 它有如下几个作用 现在黑客们可以利用碎片穿透技术突破防火墙和欺骗入侵检测系统 而 冰之眼 网络入侵检测系统能够针对有效进行i p 层的碎片重组 让碎片欺骗 技术无法隐藏 冰之眼 网络入侵检测系统能够通过t c p 状态跟踪及流汇聚对t c p 状 态的检测 进而有效避免因单纯包匹配造成的误报 对于利用s t i c k n o r t 工具 江苏大学硕士学位论文 进行欺骗攻击的i d sf l o o d 行为能够有很好的识别防范能力 冰之眼 网络入侵检测系统能针对常用协议进行解码 能够认清数据 的真实面目 并提高可检测效率和准确率 冰之眼 网络入侵检测系统具有信息过滤和合并功能 能够在控制台 过滤一些低风险或者不可能成功的行为 从而极大地减少管理员的工作量 也使 重要攻击行为得到重点体现 冰之眼 网络入侵检测系统能够通过对各种防火墙产品的联动操作 自动切断攻击行为 进而真正起到主动防御的作用 2 一个应用实例 某集团公司网络结构 如图2 3 所示 的总部和生产基地位于南京 分支机 构设在北京及国内其他一些地区 总部的计算机网络中心拥有公司的最重要的设 备和信息数据 其中最主要的应用系统包括e m a i l 系统 信息发布系统 办公 自动化系统 e p p 系统和数据库及备份系统 公司领导层对信息数据的保密性和 安全性一直比较重视 所以已经在网络中部署了两台防火墙 如图2 3 所示 同 时公司还采用了一些能够实现认证和加密等功能的简单技术方法来提高网络的 安全性 虽然公司对安全风险有所防范 但实际情况却不尽人意 网络曾在一段 时间内遭受了几次不小的破坏和干扰 企业业务也因此受到了严重的影响 1 9 江苏大学硕士学位论文 图2 3 某集团公司网络拓扑结构