基于滥用检测和异常检测的入侵检测系统.doc

基于滥用检测和异常检测的入侵检测系统李恒华，田捷， 常垮， 杨鑫(中国科学院自动化所人工智能实验室，北京100080)摘要：随着Internet的高速发展，网络安全问题越来越引人注目。在层出不穷的黑客技术中， 内部攻击始终占据着很大的成分；与此同时，现有的防火墙技术不能满足人们对网络安全的要求，因此所谓的入侵检测系统越来越多地引起了人们的重视。文章介绍了一种异常检测方法和一种滥用检测方法，并根据所描述的方法构造了一个入侵检测系统，实验证明，该系统可以检测到已知的大部分的入侵行为。关键词：网络安全；入侵检测系统；异常检测；滥用检测Intrusion Detection System Based 0n M isuse Detection andAbnormal DetectionLI Henghua，TIAN Jie，CHANG Cheng，YANG Xin(AI Lab，Institute ofAutomation，Chinese Academy ofSciences，Beijing 100080)Abstract With the rapid development of Intemet,network security is more and more important，and the skills used by hackers to intrude systems are getting more and more mature Among all the attacking teclmiques，those atacks inside Intranet take a large proportion，and the flrewalls nowadays cant satisfy demands for network securitySO more and more studies have been focused on intrusion detection systemsThis paper analyzes the theories named misuse detection and abnormal detection，and based on it，constructs a detection system called IDS，which has been proved to be able to detect most of the existing inlrusions【Key words】Network security；Intrusion detection system；Abnorm al detection； Misuse detection1 概述随着网络技术的快速发展， 网络入侵行为也越来越严重，所以单纯使用防火墙来保证安全越来越显示出其局限性。入侵检测系统(Intrusion Detection System ，IDS)可以弥补防火墙技术的不足，对网络或操作系统上的可疑行为作出策略反应，及时切断资料入侵源，记录并通过各种途径通知网络管理员，以求最大幅度地保障系统安全。它是防火墙的合理补充，可以帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，从而提高信息安全基础结构的完整性，被认为是防火墙之后的第2道安全闸门。它能在不影响网络性能的情况下监测网络，从而提供对内部攻击、外部攻击和误操作的实时保护。目前国外一些研究机构已经开发出了应用于不同操作系统平台的几种典型的入侵检测系统，它们通常都采用异常检测模型和滥用检测模型来检测入侵。这些IDS的检测基本上是基于服务器或基于网络的。基于服务器的IDS采用服务器操作系统的检测序列作为主要输入源来检测入侵行为；而大多数基于网络的IDS则以监控网络故障作为检测机制，但也有些则使用基于服务器的检测模式和典型的IDS静态异常检测算法。早期的IDS模型设计用来监控单一服务器，是基于主机的入侵检测系统；然而近期的更多模型则监控与网络互联的多服务器，形成基于网络的入侵检测系统。入侵检测方法主要有基于规则的入侵检测方法和基于行为的入侵检测方法，其中基于规则的入侵检测方法又称滥用检测l，基于行为的入侵检测方法又称异常检测2。Dennying于1987年提出了一个通用的入侵检测模型3 ，见图12 滥用检测滥用检测又称基于规则的入侵检测。在滥用检测中，入侵过程模型及它在被观察系统中留下的踪迹是决策的基础，所以，可事先根据经验规则或者专家知识定义某些非法的特征行为，然后将观察对象与之进行比较以作出系统是否具有此种非法行为的判别。滥用检测基于已知的系统缺陷和入侵模式，它能够准确地检测到某些特定的攻击，但却过度依赖事先定义好的安全策略，所以无法检测系统未知的攻击行为，因而会产生漏警。滥用检测通过对确定的决策规则编程实现，它可以分为以下4种：(1)状态建模 它将入侵行为表示成许多个不同的状态。如果在观察某个可疑行为期间，所有状态都存在，则判定为恶意入侵。状态建模从本质上来讲是时间序列模型，可以再细分为状态转换和Petri网，前者将入侵行为的所有状态形成一个简单的遍历链，后者将所有状态构成一个更广义的树形结构的Petri网。(2)专家系统 它可在给定入侵行为描述规则的情况下对系统的安全状态进行推理。一般情况下，专家系统的检测能力强大，灵活性也很高，但计算成本较高，通常以降低执行速度为代价。(3)串匹配 它通过对系统之间传输的或系统自身产生的文本进行子串匹配实现。该方法灵活性欠差，但易于理解， 目前有很多高效的算法，其执行速度很快。(4)基于简单规则 类似于专家系统，但相对简单一些，故执行速度快。滥用检测IDS分类如表1所示。表1 滥用检测分类表状态转换状态转换USTATPetri网IDIOT专家系统NIDES EMERALD MIDAS DIDS串匹配NSM基于简单规则的检测方法NADIR ASAX Bro JiNao Haystack在我们的系统中，首先根据网络协议的定义对收到的数据包进行解码，然后根据协议、端口等信息将数据包送到不同的检测流程(如只有H1vrP协议的包才进行CGI检查)，最后通过模式匹配的方法，在数据中搜索攻击的标志性字符串。我们的算法是改进的Boyer-Moore式匹配算法。该算法是现有的在大文件中字符串匹配的算法中速度最快的算法之一，实施起来简单而快速，在保证IDS的实时性方面是非常合适的。另外，它对于单一字符串的搜索是十分有效的。图2给出滥用检测的一个例子。其规则是：如果在FTP命令的参数中发现多个连续90出现，很可能就是利用缓冲区漏洞进行的攻击试探，此时就给出报警信号。3 异常检测异常检测又称基于行为的入侵检测。与滥用检测不同的是，在异常检测中，观察到的不是已知的入侵行为，而是所研究的正常通信过程中的异常现象。异常检测通过检测系统的行为或使用情况的变化来完成。在建立异常检测的模型之前，首先必须建立统计概率模型，明确所观察对象的正常情况，然后决定在何种程度上将一个行为标为“异常” ，并给出相应的具体决策。异常检测只能识别出那些与正常过程有较大偏差的行为，而无法知道具体的入侵情况。由于对各种网络环境的适应性不强，且很难获得精确的判定准则，异常检测经常会出现虚警情况。异常检测可以通过以下系统实现。(1)自学习系统 自学习系统通过学习事例构建正常行为模型，又可分为时序和非时序两种。(2)编程系统 该类系统需要通过编程学习如何检测确定的异常事件，从而让用户知道什么样的异常行为足以破坏系统的安全。它可以再细分为描述统计和缺省否认两种。异常检测IDS分类如表2所示。表2 异常检测分类表自学习型非时序规则建模WisdomSense描述统计IDES，NIDESEMERALD，Haystack时序人工智能网络Hyperview可编程型描述统计简单统计MIADAS、NADIR,Hayhack基于简单规则NSM门限Computer Watch缺省否认状态序列建模DPEM, JANUS我们的入侵检测系统对异常检测设计的基本思想为：把正常的用户行为分为很多类，例如CPU使用情况、I/O使用情况、文件操作、一段时间内登录失败次数等，统计各种行为的发生概率，根据最近的行为分布得出正常行为的标准；当有新的行为发生时，如果它的特征不符合已知的标准，则判断为一次入侵行动4。系统实现时首先定义用户行为，然后对它进行记录。用户行为可以用下面的指标衡量：活动强度：审计记录个数；审计记录分布：CPU及IO使用情况，文件操作；特定活动测量值：例如CPU使用时间，一段时间内登录失败次数。用户行为记录一般用如下的方式：服务类型：Telnet，FTP；用户名：Telnet或者FTP的登录用户名；连接标识：唯一标识一个用户的一次连接；操作类型：登录，文件操作，I/O操作；系统状态：CPU占用率。实现的具体算法如下：(1)计算每类用户行为的Q值1)计算用户活动强度的统计值QQ0 = 0，Qn+1 = 1 + 2-rt Qnr的取值： 例如一个10min的半