（教育技术学专业论文）数字图书馆环境下的网络入侵检测研究.pdf

摘要 摘要 数字图书馆是集成了多种硬件技术和软件技术的开放性信息资源平台。它将先进的网 络通信技术、信息资源管理技术和面向用户的服务实现技术结合在一起，以期为广大数字 图书馆用户提供实时、有效、可靠的知识服务，从而使数字图书馆的核心价值得到体现。 然而，随着信息技术的蓬勃发展，各种危害网络信息安全的问题层出不穷地凸现出来。那 么如何才能使数字图书馆的各种网络信息服务在这复杂的网络环境中安全稳定地运行 昵? 本课题即围绕该问题逐步展开。 数字图书馆网络服务的安全不仅是重要的技术实现问题，同时也是重要的理论前沿问 题，因此，对其做系统深入的研究有着重大的理论和实践意义。本课题在结合国内外相关 研究成果的基础上，对网络入侵检测技术应用于数字图书馆体系进行了深入研究，并对其 可行性和应用效果进行了实证分析。本论文内容分为五部分，第一章，绪论主要阐述了数 字图书馆网络服务的安全现状，存在的问题和本课题研究的意义；第二章，入侵检测与 s n o r t ，通过深入研究网络入侵检测的工作原理和技术特点，探求了该技术在数字图书馆 系统中的适用性；第三章，数字图书馆网站网络数据流特点，基于数据流的自身特征，采 用数据挖掘的技术和方法，在对数字图书馆的网络服务数据流进行概念分解、重新定义、 数学抽象的基础上，从数字图书馆网站运行日志的统计数据中抽样，并通过聚类分析，数 据统计比较等方法对样本做了深入分析，以获取可以表征数字图书馆网站网络服务正常运 行的特征数据；第四章，数字图书馆网站中网络入侵检测系统的应用研究，通过对开源入 侵检测软件s n o r t 的结构进行优化，利用成熟的b p 神经网络技术对其检测算法进行改进， 使得其在检测率、虚警率和误警率方面都有较大程度改善，并在此基础上进一步构建了基 于数字图书馆网站的智能型入侵检测模型；第五章，总结与展望，对全文做出概括和总结， 指出了本研究的创新点、局限性和下一步的研究方向。 本研究的创新之处在于以客观的方法从全新的角度对数字图书馆网站网络服务数据 流进行了深入研究，在对其特征规律进行总结的基础上探寻了网络入侵检测技术的适用 性，并最终提出了针对数字图书馆网站的联动式智能型入侵检测模型。该模型既有对同类 研究成果的借鉴，也有适当的改进和完善。 l 关键词： 数字图书馆；入侵检测；数据挖掘；神经网络；信息安全 a b s t i - d c t r e s o u r c e s ，w h i c hi n t e g r a t eav a r i e t y c o m b i n g t h ea d v a n c e dn e t w o r k e m e u tt e c h n o l o g ya n du s e r - o r i e n t e d s e r v i c ei m p l e m e n t a t i o nt e c h n o l o g y , d i g i t a ll i b r a r yc a l lp r o v i d er e a l - t i m e ，e f f e c t i v e ，a n dr e l i a b l e k n o w l e d g e - b a s e ds e r v i c e sf o rt h eu s e r s h o w e v e r , 、析t ht h ev i g o r o u sd e v e l o p m e n to fi n f o r m a t i o n t e c h n o l o g y , m a n yp r o b l e m sa r es t a n d i n go u t ，m o s to f t h e ma r en e t w o r ki n f o r m a t i o ns e c u r i t y h a z a r d s t h e r e f o r e ，h o wt om a k ed i g i t a ll i b r a r yi n f o r m a t i o ns e r v i c e sr u ns e c u r i t ya n ds t a b i l i t yi n t h ec o m p l e xn e t w o r ke n v i r o n m e n ti st h em o s ti m p o r t a n tp r o b l e mt ob es o l v e di nt h i st h e s i s ，n l es e c u r i t yo fd i g i t a ll i b r a r yw e bs e r v i c e si sa ni m p o r t a n tt e c h n o l o g ya n dt h e o r e t i c a li s s u e t h e r e f o r e ，s y s t e m a t i cs t u d yo ni tw i l lm a k eag r e a tt h e o r e t i c a la n dp r a c t i c a ls i g n i f i c a n c e b a s e d o nr e l a t e dr e s e a r c ha th o m ea n da b r o a d ，t h i si s s u em a d es t u d yo nt h et o p i co fn e t w o r ki n t r u s i o n d e t e c t i o nt e c h n o l o g yi nd i g i t a ll i b r a r ys y s t e m ，a n dt o o ke m p i r i c a la n a l y s i so nt h ef e a s i b i l i t ya n d t h er e s u l t so fa p p l i c a t i o n 1 1 l ec o n t e n to ft h i sp a p e ri sd i v i d e di n t of i v ep a r t s t h ef i r s tc h a p t e r , i n t r o d u c t i o nf o c u s e dp r i m a r i l yo nd i g i t a ll i b r a r yw e bs e r v i c e s s e c u r i t ys i t u a t i o n , e x i s t i n g p r o b l e m sa n dt h es i g n i f i c a n c eo ft h er e s e a r c h t h es e c o n dc h a p t e r , b ys t u d y i n gt h ew o r k i n g p r i n c i p l ea n dt e c h n i c a l f e a t u r e so fn e t w o r ki u t r u s i o nd e t e c t i o n , t h ei s s u e e x p l o r e dt h e a p p l i c a b i l i t yo ft h et e c h n o l o g yi nd i g i t a ll i b r a r ys y s t e m 1 1 l et h i r dc h a p t e r , u s i n gd a t am i n i n g t e c h n i q u e sa n dm e t h o d s ，b yt h ew a yo fs a m p l i n gf r o mt h er u n n i n gl o g so fd i g i t a ll i b r a r yw e b s i t e s t a t i s t i c a ld a t a , ad e e ps t u d y 、历t hc l u s t e ra n a l y s i sa n ds t a t i s t i c a lc o m p a r i s o n sm e t h o dw a sm a d e t oo b t a i naf e a t u r ed a t ao fd i g i t a ll i b r a r yw e bs i t ew h i c hc a nb ec h a r a c t e r i z e db yn o r m a l o p e r a t i o no fn e t w o r ks e r v i c e s t h ef o r t hc h a p t e r , b yo p t i m i z i n gt h eo p e ns o u r c es n o r t i n t r u s i o nd e t e c t i o ns o t t w a r e i t sd e t e c t i o na l g o r i t h mw a si m p r o v e d 、析t hb pn e u r a ln e t w o r ka n d g o tag r a t i f y i n gr e s u l t so ni t sd e t e c t i o nr a t e ，f a l s ea l a r mr a t ea n df a l s ea l a r mr a t e ，a n dt h i ss t u d y f u r t h e rb u i l taw e b b a s e dd i g i t a ll i b r a r yo f i n t e l l i g e n ti n t r u s i o nd e t e c t i o nm o d e l o nt h i sb a s i s n 砖 f i f u lc h a p t e r , s u m m a r ya n do u t l o o km a d eas u m m a r yo ft h ef u l lt e x t , p o i n t i n go u tt h a tt h e i n n o v a t i o n , l i m i t a t i o n sa n df u t u r er e s e a r c hd i r e c t i o n so ft h i ss t u d yp o i n t t h ei n n o v a t i o no ft h i si s s u ei st ot a k eas t u d yi nw e bs e r v i c e sd a t af l o wo fd i g i t a ll i b r a r y 、枥t l la l lo b j e c t i v em e t h o do nn e w p e r s p e c t i v e e x p l o r et h ea p p l i c a b i l i t yo ft h en e t w o r ki n t r u s i o n d e t e c t i o nt e c h n o l o g yb a s e do nt h es u m m a r yo fi t sf e a t u r e s ，a n du l t i m a t e l ym a d ea ni n t e l l i g e n t i n t r u s i o nd e t e c t i o nm o d e lf o rt h ed i g i t a ll i b r a r yw e bs i t e k e yw o r d s ：d i g i t a ll i b r a r y ；i n t r u s i o nd e t e c t i o n ；d a t am i n i n g ；n e u r a ln e t w o r k ； i n f o r m a t i o ns e c u r i t y 目录 i i i 1 1 一、课题的提出1 二、数字图书馆的信息安全现状2 三、数字图书馆网络入侵检测研究现状。3 第二节课题研究的内容和方法。4 一、研究内容4 二、研究方法4 第二章入侵检测与s n o r t 6 第一节入侵检测的基本原理6 一、入侵检测的概念6 二、入侵检测系统及分类。7 三、常见的入侵检测方法。9 第二节开源网络入侵检测系统s n o r t 介绍1 2 一、s n o r t 系统的组成结构与工作流程1 2 二、s n o r t 系统的特点和优势1 3 第三章数字图书馆网站网络数据流特点1 5 第一节数字图书馆相关概念1 5 一、无墙图书馆1 5 二、虚拟图书馆。1 5 三、电子图书馆1 5 四、数字图书馆1 6 第二节数字图书馆网站网络服务分析1 7 一、数字图书馆网站1 7 二、数字图书馆网站的特征1 7 三、数字图书馆网站的网络服务1 8 第三节基于相似性聚类的数字图书馆网站网络服务数据流分析2 0 一、相关工作2 l 二、数字图书馆网站网络数据流的表示模型与预处理2 2 三、聚类分析算法2 3 四、实验过程及结果分析2 6 目录 第四章数字图书馆网站中网络入侵检测系统的应用研究3 l 第一节基于b p 网络的智能型网络入侵检测研究3 1 一、将b p 神经网络应用于s n o r t 系统的理论分析一3 2 二、基于b p 神经网络的s n 0 l 玎检测体系3 3 三、检测系统核心程序实现3 5 四、实验与分析3 6 第二节数字图书馆自驱动安全管理平台的模型构建4 0 一、概述4 0 二、自驱动安全管理策略模型的含义一4 1 三、自驱动安全管理策略模型的规范4 3 四、数字图书馆自驱动安全管理策略模型的设计与实现。4 3 五、实践应用效果与反思4 5 第五章总结与展望4 6 第一节本研究的创新点4 6 第二节本研究的局限性与展望4 7 参考文献4 8 附录5 9 1 在校期间的研究成果及发表的学术论文5 9 致谢( ；( ) 图表目录 图1 1 课题研究过程图5 图2 1 异常检测模型。1 1 图2 2s n o r t 系统工作流程1 3 图3 1 时间跨度为两周的网络服务数据流分布一2 6 图3 2 经过分解得到的周期性序列2 7 图3 3 各网络服务的周期性趋势性聚类结果2 9 图3 4 各网络数据流量聚类结果3 0 图4 1 基于b p 网络优化的s n o r t 系统结构3 4 图4 2t c p 的三层b p 神经网络结构3 8 图4 - 3b p 神经网络训练曲线图3 8 图4 4 安全策略逻辑示例图4 2 图4 5 安全管理策略模型4 3 表3 1 三种聚类算法在采样数据集中的聚类结果对照表2 8 i v 目录 表4 1 部分t c p 训练数据样本表3 7 表4 2 传统s n o r t 系统人工定义规则集检测结果表3 9 表4 3 基于b p 神经网络优化的s n o r t 检测结果表3 9 表4 4 数字图书馆系统信息安全的四个级别表4 0 v 第一章绪论 第一章绪论弟一早珀t 匕 第一节课题的提出及研究意义 一、课题的提出 从上世纪9 0 年代起，随着信息技术和通信技术的飞速发展，网络信息安全的种种问 题逐渐突显出来，并引起了国家相关部门的高度重视，与之相应的有关政策和法规也相继 出台。2 0 0 4 年1 月，在北京召开的全国信息安全保障工作会议，充分研讨了做好信息安全 保障工作的极端重要性，提出应全面提高国家信息安全防护能力，保障基础信息网络和重 要信息的系统安全，创建安全健康的网络环境，保障和促进信息化健康发展，并最终确立 了用五年左右的时间基本建成国家信息安全保障体系的工作目标；同年9 月在北京召开的 党的十六届四中全会更是把信息安全与政治安全、经济安全、文化安全放在同等重要的位 置并列提出；而从2 0 0 6 年始，国家先后出台了“十一五 信息安全规划、“十一五信 息安全标准化规划和“十一五 信息安全科技发展规划等。所有的这一切都表明了保障基 础网络信息系统安全的重要性。 截止目前，我国互联网络的信息安全状况形势仍不容乐观。据国家互联网络应急中心 ( c n c e r t c c ) 发布的2 0 0 8 年上半年“中国互联网网络安全报告”中统计，“与2 0 0 7 年上 半年同期相比，接收和自主检测的各种网络安全事件有显著增加。网络仿冒和网页恶意代 码与去年相比增长近一倍；被篡改的g o v c n 网站数量比2 0 0 7 年上半年增加4 1 ；国家互 联网应急中心通过技术平台不活的恶意代码达9 0 多万个，比去年同期增长6 2 5 ；同时各 类后门病毒、僵尸网络和网页挂马等都成为黑客攻击的常用手段。网络信息系统存在的安 全漏洞和隐患层出不穷，利益驱使下的地下黑客产业继续发展，网络攻击的种类和数量成 倍增长，终端用户和互联网企业是主要的受害者，基础网络和重要信息系统面临着严峻的 安全威胁。”所以，保障网络信息安全的工作在各相关部门中已变得极端重要。 数字图书馆是新时期图书馆工作的重点建设项目，同时也是世界科技文化竞争的焦 点，它标志着我国科技文化信息的发展水平。在数字图书馆系统网络化、信息化建设的初 期，人们由于更多地强调其可用性和方便性，却对互联网络信息资源的安全性有所忽略。 而随着数字图书馆系统的不断发展，图书馆开始提供全面的网络信息服务和科技文化资源 共享，而由于其系统体系结构的开放性、分布的广域性、信道公用性和资源共享性的诸多 因素，使得数字图书馆不得不面临网络信息安全的严峻挑战。数据丢失、信息泄露、网站 篡改、系统和应用软件漏洞、黑客攻击、恶意代码、内部人员的误操作等一系列安全问题 严重地影响着数字图书馆的正常运行，对系统自身和广大用户造成了不必要的损失。所以， 研究危害数字图书馆系统的种种网络因素，完善数字图书馆系统的安全保障体系，已成为 关系数字图书馆系统建设和发展的一项重要课题。 第一章绪论 二、数字图书馆的信息安全现状 数字图书馆与计算机技术密切相关，因此数字图书馆信息资源的安全受到与计算机系 统类似的多种因素的威胁，笼统地划分，大致可以包括：环境因素、管理因素、硬件因素 和软件因素。本研究将重点关注数字图书馆信息资源在传输过程的安全、用户访问控制和 对网络病毒等非法入侵的安全防范方面。 1 数据传输过程中的不安全因素 数字图书馆信息资源在传输过程中的不安全因素主要表现在两个方面。一方面在于网 络的本身特性，因为互联网络的资源共享性和开放性，在给我们带来巨大的益处的同时， 也给我们带来更多的信息安全问题。其中危害最大便是网络传输机制本身的漏洞，现有大 多数网络通信只能保证通信设备收发信息按照固定的机制进行无差错传输，却不能确保所 传输数据信息的真伪，同时，由于收发双方都无法对整个传输过程实时监控，因此也无法 确保所传输数据的保密性和完整性。“黑客”便常常利用这种漏洞对目标网络设备置入病 毒木马或实施网络监听，以盗取机要信息，或者通过侵入操作系统实现对重要数据的篡改 甚至删除操作，从而使受害者蒙受重大损失。另一方面则在于网络通信所依赖的协议安全 性不足，数字图书馆网站网络服务最基本的网络通信协议有n e t b i o s ，t c p i p 等，而这些 通信协议是符合国际标准并完全或部分开放的，在设计之初对信息传输的安全考虑不多， 因此使其在应用伊始便带有各种安全漏洞。例如，在未经特殊设置的情况下，n e t b i o s 协 议允许未经授权的任何用户通过1 3 9 端口收集信息，因此，恶意网络用户便能够很容易地 实施非法接入。再如，t c p i p 协议在对路由器协议的安全认证和用户身份认证方面有重大 安全隐患，这种安全缺失导致通信的双方难以确定对方的具体物理位置及真正身份。除此 之外，多数基于t c p i p 协议基础上的应用程序通信服务如w w w 、f t p 、t e l n e t 等都有曾 因被作为攻击对象而造成重大安全事故的案例。 2 因非法访问带来的不安全因素 因非法访问造成的不安全因素根源于数字图书馆网站网络信息资源的管理缺陷。侵犯 者可能来自多种社会群体，他们或有意或无意地实施着对数字图书馆信息资源的侵犯行 为，具体说来可能是数字图书馆的用户、某种利益相关群体( 如盗版商人、网络黑客等) 、 甚至是图书馆的内部工作人员。而他们所涉及到的侵犯行为大致可分为三类：第一类是针 对数字文献资料信息，如非法复制和使用未授权信息、恶意下载图书文献资料等行为；第 二类是针对性地破坏数字图书支持性信息的行为，例如高级用户通过滥用权限蓄意破坏数 字资源、通过植入病毒木马非法获取数字图书馆网络用户的注册信息或者恶意修改页面链 2 第一章绪论 接和内容等；第三类则通过侵犯网络通信设备的物理实体而实施的侵犯行为，比如网络黑 客侵入服务器对操作系统进行恶意破坏导致运行数据受损、通过传播病毒木马破坏操作系 统、窃取重要数据库和多媒体光盘等有重要信息的设备等等。因此，必须要有有效的授权 控制框架来实现对数字图书馆网站信息资源的授权访问和管理。 3 因计算机网络病毒造成的不安全因素 计算机病毒是一种人为制造的、隐藏在计算机系统数据资源中、能够自我复制并传播、 可对计算机系统造成严重破坏的程序代码，具有隐蔽性、传染性、破坏性的特点。而借助 网络的传播，使得病毒木马在传播范围、传播速度、清除的难度和造成的破坏性等各方面 都产生了超乎想象的突变。受害网络中的某些恶性病毒，会不计后果地对网络信息资源进 行毁灭性破坏，例如通过损坏数据库，利用病毒木马窃取机密信息，删除重要的系统文件 和备份，甚至对资源存储盘实施格式化操作等，使得受害网络造成难以估量的损失。利用 网络进行传播的木马病毒，一旦在特定网络中蔓延开来，往往很难控制。很多情况下，即 使有专业网络安全人员进行病毒清除，也不得不先中止正在进行的网络服务，而这样做却 会给广大用户带来不便，使得整个数字资源通信平台蒙受更大损失。因此，倘若数字图书 馆系统因安全管理不力而遭受计算机病毒破坏，那么数字图书馆的众多网络信息服务将无 法正常开展，最终导致严重后果。 三、数字图书馆网络入侵检测研究现状 随着入侵检测技术的日益成熟，有关其应用的研究也从多方面逐步展开，以至于只要 涉及数字信息安全的领域都有关于入侵检测的论题。而数字图书馆作为数字信息资源中 心，与计算机信息技术有密切关系，会受到与计算机网络同样的安全威胁，因此对入侵检 测技术在数字图书馆中应用的研究就逐渐进行开来。m i l l e r t 2 j 等曾对当今流行的操作系统和 应用程序做出深入研究报告，指出所有软件都必定存在某种缺陷，并从多方面予以证实， 例如安全系统易受内部用户滥用特权的攻击，安全访问控制等级和用户的使用效率成反 比，访问控制和保护模型本身存在一定的问题等等。要彻底解决这些问题是非常困难的， 就目前来讲是不现实的，因此退而求其次，建立一套比较容易实现的安全系统，同时按照 一定的安全策略建立相应的安全辅助系统是一种比较实际的方法，入侵检测系统就是其中 一类【3 】。那么，换言之，数字图书馆系统作为一种信息技术的应用，也是符合这些规律的。 吴迪f 4 f l 酱在相关文献中通过资源和服务的整合对数字图书馆信息安全标准化建设进行了论 述。文献【5 】【6 】【7 】等也从不同角度对入侵检测技术在数字图书馆网络安全中的应用进行了 论述。但是，纵观各种针对数字图书馆环境下网络入侵检测的研究，大多还停留在理论研 究上，深入进行实践研究的尚少。而通过探讨数字图书馆网络服务数据流的特征而对其安 全防护体系展开针对性研究的更是鲜见。 第一章绪论 容和方法 测的研究成果，结合数字图书馆信息 务安全的各种因素，并在此基础上提 络信息资源的网络入侵检测模型。具 体来讲，本文结合情报学、计算机科学和数据挖掘的知识进行了以下研究： ( 1 ) 从数字图书馆的视角审视网络入侵检测技术的适用性。通过深入研究网络入侵检 测的工作原理，分析数字图书馆网络信息资源的安全规范和网络服务数据流的特点，以探 讨网络入侵检测技术的适用性。为寻求入侵检测技术在数字图书馆信息安全防范中的可实 践性，深入全面地研究了入侵检测开源系统s n o r t ，具体包括s n o r t 检测规则构成，规 则检测算法优化与实现以及s n o r t 系统与数字图书馆信息安全系统的无缝结合等。 ( 2 ) 结合面向数据流本身的数据挖掘方法，研究了数字图书馆网站网络服务数据流的 自身特征。随着研究的不断深入，将各种网络服务数据流本身作为研究对象进行分析，通 过利用适当的数据挖掘方法以发现其中更普遍，更实时的客观规律己成为新一代计算理论 与应用的热点。将这种方法应用于数字图书馆网站各网络服务的数据流分析当中，探讨在 这一特定环境下数据流的规律和特点无疑是很有价值的。而文中所进行的一系列针对性研 究也表明了这种方法的有效性。 ( 3 ) 基于数字图书馆网站网络服务的自身特点，构建了相应的智能型网络入侵检测系 统模型。在充分发挥s n o r t 开源和以插件形式进行功能扩展的优势的基础上，将b p 神经 网络优化算法运用到系统的规n - 0r l 练模块和检测模块，构建了s n o r t 实时入侵检测系统。 结合s n o r t 系统以规则匹配进行异常检测的特点，把从传输层捕获的数据包分为t c p 、 u d p 、i c m p 三类并分别编码，把编码之后的数据输入到神经网络中训练、检测。最后通 过实验验证了该方法的可行性。 二、研究方法 文献调研法：通过网络和本校图书馆查阅相关专业书籍、期刊、杂志，对研究内容进 行全面的调查分析，从而跟踪世界各国和组织关于数字图书馆评价的理论研究和实践活动 的进展情况。 对比实验法：对比实验的研究方法贯穿本课题的始终。在与一般网络服务数据流特征 的对比中得到了数字图书馆网站网络服务数据流的特征表示：在与其他文献中提及的聚类 分析算法进行对比实验中验证了本文所提出的基于投票机制的融合聚类分析算法更适用 于本研究所采集数据集等。 数学方法：鉴于数据方法逻辑严密性、结果准确性的特点，本文在探讨适用本课题的 4 第一章绪论 聚类分析算法过程中充分运用了该方法。 最后，本课题还利用实例研究法对最后构建的网络入侵检测模型进行了实践研究。 总的来讲，本课题的研究过程如下图所示： 图1 1 课题研究过程图 s 入侵检测与s n o r t 从计算机系统 或互联网络的关键点收集信息并进行一系列分析，从而发现系统或所在网络中是否发生违 反安全策略的行为。入侵检测的主要作用是监视系统或网络的运行状态，以发现各类入侵 企图、入侵行为或攻击结果，从而保证数字信息资源的完整性、机密性和可用性。下面对 入侵检测概念、系统分类和运行原理等相关细节进行阐述。 一、入侵检测的概念 1 9 8 0 年，美国学者j a m e se a n d e r s o n 首次在技术报告“c o m p u t e rs e c u r i t yt h r e a t m o n i t o r i n ga n ds u r v e i l l a n c e ”中提出了入侵与入侵检测的基本框架【8 】。他以对数字信息资源 的威胁等级将入侵行为分为以下几类： 1 滥用系统授权的行为，指合法用户滥用系统授权而违反安全策略的入侵行为； 2 通过伪装实施入侵的行为，指系统其它授权用户和来自系统外部的用户通过利用他 人授权信息对系统进行非法访问的入侵，； 3 渗透入侵，指用户通过技术手段非法获得系统访问权的入侵； 1 9 8 6 年，出现了i d s 的雏形之一d i s c o v e r y 系统，该系统是用c o b o l 语言在i b m 主 机上开发的，目的是用来检测数据库中用户的异常操作9 。1 9 8 8 年，s e b r i n g 等人建立了 m i d s 检测系统【l ，基本思想是以异常行为规则为中心构建专家系统，对已知入侵行为进 行编码，最后通过对数据的审计完成检测。而真正能够揭示入侵检测本质含义的是由 d o r o t h yd e n n i n g 在文献j 中提出的入侵检测模型。在该文中，d e n n i n g 提出了检测入侵行 为的必要条件，即系统必须能够为合法的用户行为自动建模，而当某些操作行为与合法模 型发生偏离时，可认为系统正处于异常运行状态并存在被入侵的可能。在此基础上，他还 建立了若干个基于统计学的入侵检测模型，这些模型在之后i d e s 项目的初始原型中得到 运用b 2 1 ：1 9 9 5 年，i d e s 的改进版本n i d e s 开发成功，在实际应用中，该系统可以实现同 时对多台主机上的入侵行为进行检测【l 引。 此后，许多国际著名的实验室、研究所都对入侵检测技术进行了深入的研究，例如 c i s c o 、i n c 、c o m p a q 、i b m 、h a y s t a c kl a b s 、s r ii n t e r n a t i o n a l 、n e t w o r kf l i g h tr e c o r d e r 等 公司和麻省理工学院l i n c o l n 实验室、l a w r e n c eb e r k e l e y 国立实验室、加州大学s a n t a b a r b a r a 分校、普渡大学c o a s t 实验室、j j h ) i i 大学d a v i s 分校、卡耐基一梅隆大学软件工 程研究所、瑞典c h a l m e r su n i v e r s i t yo ft e c h n o l o g y 、北卡罗来纳州州立大学等研究机构， 并随后提出了各自相应的入侵检测模型，这些研究在很大程度上促进了入侵检测技术的发 6 l 第二章入侵检测与s n o r t 展，而且某些模型的构建思想沿用至今。 总之，入侵检测是指对危及系统安全，即对系统完整性、机密性和可用性的恶意行为 的识别和反应过程，它需要具备两个前提条件，首先，用户和程序行为必须是“可见 的； 其次，入侵攻击行为和正常合法行为应具有可明显区别的特征。 二、入侵检测系统及分类 1 入侵检测系统 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 是一种通过主动采集系统内部和各种网 络资源中的信息，并依据既定规则分析可能的入侵攻击行为的安全防护措施，它有效地扩 展了系统管理员的安全管理能力( 包括监控、数据安全审计、入侵行为识别和应急响应等) ， 使数字信息资源安全基础结构的完备性大大提高。入侵检测系统通常以组件的方式构建， 不同的i d s 往往有不同的组成结构。通常情况下，i d s 由数据组件、传感器与分析器组件、 行为与事件记录组件、安全告警组件、规则定义管理和检测结果响应组件等项目组成【1 4 】【1 5 】。 综合各类文献，可将入侵检测系统应具备的基本功能概括为以下几个方面： ( 1 ) 监视并分析用户和系统的活动，检测各类用户的非授权操作； ( 2 ) 检测系统安全漏洞和策略配置的正确性，并能够及时提示管理员修补； ( 3 ) 对用户的非正常活动进行统计分析，及时总结入侵行为的规律性； ( 4 ) 核对系统程序和数据的一致性与正确性： ，( 5 ) 对检测到的入侵行为做出实时响应。 2 入侵检测系统的分类 入侵检测系统可根据其检测数据的来源分为两种类型：基于主机( h o s t b a s e d ) 的入侵检 测系统和基于网络( n e t w o r k b a s e d ) 的入侵检测系统。 ( 1 ) 基于主机的入侵检测系统 基于主机的入侵检测系统的检测对象是主机系统和系统本地用户，其原理是通过检查 主机的系统r 志和安全审计记录发现可疑行为。h o s t b a s e di d s 通常运行在被监测的主机 或服务器上，实时检测主机安全性方面的情况，诸如应用程序运行的日志文件、数据安全 审核和数字签名认证的日志文件、操作系统日常运行和维护的日志文件等，其效果主要依 赖于所检测数据的准确性和对行为事件的安全定义。由此可见，这种类型的入侵检测系统 所检测的数据源主要是主机操作系统和应用程序自身的安全审核过程来得到的。基于其自 身的特点和在数据传输过程中所处的位置，这种i d s 可以对处于网络协议高层数据进行精 确检测，同时也可以对被监视主机上的所有本地操作实施检测，例如：本地系统的文件修 7 i 第二章入侵检测与s n o r t 改、建立和删除系统用户信息的操作等。 基于主机的入侵检测系统的优点是数据分析检测代价小，速度快，效率高，一般情况 下能够快速准确地确定入侵者，并可以将入侵者的行为和系统程序的特征结合起来做进一 步分析后作出合理响应。举一个简单的例子，当系统检测到有类似滥用系统授权的入侵活 动时，管理人员在进一步确认后，可以通过对实施入侵活动的账号给予类似中断访问进程、 封停用户账号等操作来阻止入侵行为的进行。通常操作系统会把基于本地的操作和访问记 录日志，这为基于主机的入侵检测系统获得可靠数据提供了很大便利。而对于某些具有独 立特性的服务器，要把通过服务器控制台实施的入侵活动检测出来只能依靠对主机日志的 分析。 基于主机的入侵检测系统的缺点也是显而易见的：首先，从其检测原理上来看，它对 系统本身的可靠性有很大程度的依赖，不仅要求系统本身应具备必要的安全防护功能，而 且还需要具有适当的安全策略设置，才能将必要的入侵攻击信息记录日志；其次，从现阶 段常见入侵攻击的手段来看，尽管系统自身的安全防护功能齐备，且安全策略的设置也很 得当，但由于基于主机的入侵检测对系统日志的依赖，使得非法用户可以在实施入侵攻击 之后清除系统日志，从而避开检测；况且，系统自身的日志功能并非单为安全设计，因此 在获取非法用户入侵的行为数据方面能力有限，有很多入侵踪迹和手段不能记录在日志 中。比如，系统同志就无法记录入侵者在网络层的攻击行为，类似的攻击有a r p 欺骗攻击、 利用网络协议栈的溢出漏洞而进行的p i n g 命令拒绝服务攻击等等。因此，基于网络的入侵 检测系统在获取检测数据的可靠性、充分性和实时性方面比基于主机的入侵检测系统有很 大提高。 ( 2 ) 基于网络的入侵检测系统 基于网络的入侵检测系统通过将网络接口设置为混杂模式后利用包嗅探技术来搜集 网络层传输的数据信息。它在网络中的位置处于服务端与客户端通信链路的中间，通信链 路的所有层次都可以访问到，对其中所传输信息的分析可以贯穿网络协议的底层到应用 层。所以，基于网络的入侵检测系统可以检测在网络层的诸如a r p 欺骗、s y n 洪流等攻 击，对基于网络协议的入侵攻击手段有较强的监测能力。基于网络的入侵检测系统可以在 不依靠系统日志或特定的安全审计情况下获取网络数据信息，因此从理论上讲，它可以获 取所有监听到的的网络数据信息，假设抛开监测系统的时间效率不谈，这种系统可以通过 对海量的数据信息提取特征并予以分析后，得到全面准确的用户行为安全审计结果。之外， 基于网络的入侵检测系统还有一些不容忽视的优点需要提及，首先，这种检测系统不仅可 以实现对一个子网的检测，而且可以实现对同一网段的多台主机的网络行为进行实时监 控。其次，由于基于网络的入侵检测系统是采用一种被动接收的方式获取数据信息，因此 一般不会被入侵者发现，有很好的隐蔽性。这种入侵检测系统还有很好的扩展性和独立工 作的能力，管理人员可以根据需要增加组件以提高其性能，也可以通过增加代理来监视网 8 第二章入侵检测与s n o r t 络，这样就可以在既不影响主机性能和网络性能，也无需改变网络和系统的工作模式下实 现网络系统的安全防护，使入侵检测系统对主机性能和网络性能的影响降到最小。 基于网络的入侵检测系统面临的主要问题是因检测数据量过于庞大而造成的效率低 下。另外一个缺点是难以根据不同操作系统的自身特征来对一些针对主机操作系统进行的 网络入侵攻击行为做出准确判断。而且基于网络的入侵检测系统不能扫描经过加密的数据 信息。实际应用中，基于网络的入侵检测系统通常被安置在路由器的关键位置，处于外部 网络与内部网络的连接口，这样，就能够把从基于网络协的议攻击到针对特定环境的攻击 等多数网络攻击行为纳入监控的范围，尤其对外部网络用户的入侵攻击和防御弱点扫描行 为格外敏感。 综上所述，两种类型的入侵检测系统各有所长，基于主机的i d s 适合于以数据或应用 服务器为中心的网络系统，并对那些已取得系统访问权限的用户操作行为进行监控。而基 于网络的入侵检测方式的优点是具有较强的数据提取能力。那么，作为维护网络安全体系 的系统管理员，到底该做出怎样的选择呢，这就需要根据实际情况和已制定的安全策略来 决定。约翰逊【i6 j 等经过对大量的攻击过程的深入研究，用形象的三阶段来描述实施整套入 侵攻击过程。这三个阶段是攻击前的信息收集阶段，试探性标准攻击阶段和根据前两个阶 段的攻击所得到的相应结果实施全新的针对性的攻击阶段。文中甚至详细描述了这三个攻 击阶段各自具体的目的、目标和作用。在第一阶段，入侵者会发起对目标主机及其相关设 备秘密扫描和初步检测，目的就是要掌握入侵目标的安全防护程度，这是发起攻击的必备 基础。接着攻击者就直接利用已备的攻击脚本或那些己知的系统漏洞进行标准式攻击，这 是大多数入侵攻击的第二阶段。而当攻击者利用已知的所有方法都无效之后，我们称之为 黑客的专业人士就需要大费周折全面审视目标安全防御系统，他们不会放过管理员疏忽的 任何一个细节，甚至会试图利用一些对于系统管理员来说是未知的系统漏洞发起攻击。如 果抛开法律和道义不谈，仅从技术的层面上来讲的的话，能实施第三阶段攻击的人无疑都 是这一领域的精英，而绝非等闲之辈。而事实上，对于大多数实际应用中的网络安全防御 系统，多是因为人为地因素使得攻击者在第二阶段就有很高大的机会入侵成功。因此，我 们在很多情况下，不仅需要采用一个设计优良并且能够经常更新维护的入侵检测系统，而 且更需要优秀的入侵检测方法来使强大的入侵检测系统发挥作用。 三、常见的入侵检测方法 入侵检