（计算机应用技术专业论文）基于corba的分布式入侵检测系统的研究与实现.pdf

武汉科技大学硕士学位论文第1 页 摘要 随着网络环境的不断复杂，各种网络攻击的频繁发生，网络安全在i n t e r n e t 中的重要 性越来越明显，具有主动防御功能的入侵检测系统i d s 新的方法和技术不断提出和应用。 本文在分析了c i d f 框架和传统d i d s 框架的基础上，构建了一个基于c o r b a 的轻负载 代理分布式入侵检测系统模型c l - d i d s ( c o r b a b a s e dl i g h t w e i g h t a g e n td i s t r i b u t e d i n t r u s i o nd e t e c t i o ns y s t e m ) ，该模型不仅可以检测基于主机和网络的入侵，而且可以快速检 测大规模的分布式入侵。 c 【，d i d s 充分利用了c o r b a 中间件作为系统间集成的总线，发挥了c o r b a 对操作 系统、网络协议和编程语言的透明性等优点，使把工作重点放到伺服对象的实现上。 c l - d i d s 利用系统命令实现了系统调用序列所耗时间、所占内存的大小收集，利用与具体 实现无关的访问操作系统所提供的分组捕获机制的函数库l i b p c a p 对网络数据包截获，并 进行协议解码，分离出t c p i p 协议层的各个字段，降低了在不同平台上开发检测代理的 难度。c l - d i d s 实现了基于危害系数动态队列的主机调用序列检测方法和对网络数据包协 议分析和模式匹配相结合的检测方法研究，同时对n f r 入侵检测规则的描述格式也进行了 研究，降低了误报和漏报，提高了匹配的速度，检测的实时性和准确性。c l - d i d s 引入了 代理敏感度的新概念，利用动态加载技术提高或降低代理敏感度，实现对d d o s 等分布式 入侵的检测。同时中心分析器对个代理的可疑数据汇集，综合分析各种数据源，进一步判 断各种分布式的攻击，提升系统对复杂攻击的分析和决策能力，提高系统健壮性。 c l - d i d s 的体系结构模型具有：平台无关性，良好的适应性，扩展性，支持多层次的 数据分析以及动态防御等特点，对于目前的复杂网络具有良好的应用前景。 关键词：网络安全；分布式入侵检测；c o r b a ；轻负载代理 第1 i 页武汉科技大学硕士学位论文 a b s t r a c t w i t hn e t w o r ke n v i r o n m e n to fc o n t i n u o u s l yc o m p l i c a t e d ，av a r i e t yo fn e t w o r ka t t a c k s f r e q u e n t l yo c c u r , t h en e t w o r ks e c u r i t yo ft h eg r o w i n gi m p o r t a n c eo fi n t e r n e to b v i o u s l y , a sa n e t w o r ks e c u r i t yi n i t i a t i v ed e f e n s i v em e a s u r e si n t r u s i o nd e t e c t i o ns y s t e m ，i d sn e wm e t h o d s a n dt e c h n o l o g i e sa r ec o n s t a n t l yp r o p o s e da n da p p l i e d b a s e do nt h ea n a l y s i sf r a m e w o r kc i d f a n dt h ed i d st r a d i t i o n a lf r a m e w o r k ，t h et h e s i sb u i l dac o r b a b a s e dl i g h t w e i g h t - a g e n t d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e mm o d e l ，t h em o d e lc a nn o to n l yd e t e c th o s t - b a s e da n d n e t w o r ki n t r u s i o n ，b u ta l s ot h er a p i dd e t e c t i o no fl a r g e - s c a l ed i s t r i b u t e di n t r u s i o n c l - d i d su t i l i z e sc o r b am i d d l e w a r ea st h es y s t e mi n t e g r a t e db u sh a sp l a y e dac o r b a t ot h eo p e r a t i n gs y s t e m ，n e t w o r kp r o t o c o l sa n dp r o g r a m m i n gl a n g u a g e s ，e t c ，t h et r a n s p a r e n c yo f t h ea d v a n t a g e s ，a n dh a se n a b l e du st of o c u so nt h er e a l i z a t i o no ft a r g e t s c l - d i d ss y s t e mm a k e s u s eo ft h es y s t e mc o m m a n dt oa c h i e v ea no r d e rb yt h ea m o u n to ft i m es p e n tc a l l i n gs e q u e n c e ， t h es i z eo ft h em e m o r yc o l l e c t i o n ，t a k e sa d v a n t a g eo ft h eg r o u pc a p t u r em e c h a n i s ml i b r a r y l i b p c a pw h i c hc o n c r e t er e a l i z e so ft h ev i s i tu n r e l a t e dt o t h eo p e r a t i n gs y s t e mc a p t u r ed a t a p a c k e t so nt h en e t w o r k ，a n dp r o t o c o ld e c o d i n g ，i s o l a t e df r o mt h et c p i pp r o t o c o ll a y e ri na l l f i e l d s ，r e d u c i n gd e t e c t i o na g e n td e v e l o p m e n td i f f i c u l ti nd i f f e r e n tp l a t f o r m c l - d i d sa c h i e v e d y n a m i cc o e f f i c i e n tb a s e do nt h eq u e u ea g a i n s tt h eh o s tc a l l e ds e q u e n c ed e t e c t i o nm e t h o d sa n d d a t a p a c k e t so nt h en e t w o r kp r o t o c o la n a l y s i s a n dp a t t e r nm a t c h i n gd e t e c t i o nm e t h o do f c o m b i n i n gr e s e a r c h ，w h i l en f r i d sf o r m a to ft h ed e s c r i p t i o no ft h er u l e sh a v ea l s oc a r r i e do u t r e s e a r c ht oi m p r o v et h em a t c h i n gt h es p e e da n dr e d u c et h ef a l s ep o s i t i v e sa n do m i s s i o n sa n d i m p r o v et h er e a l - t i m ed e t e c t i o na n da c c u r a c y c l - - d i d sp r o p o s e st h en e wc o n c e p ts e n s i t i v et o t h ea g e n t s ，e x p l o i t sd y n a m i cl o a d i n gt e c h n o l o g yi n c r e a s eo rd e c r e a s es e n s i t i v i t ya g e n t st o a c h i e v ed i s t r i b u t e di n t r u s i o nd e t e c t i o n ，s u c ha sd d o s a tt h es a m et i m ec e n t r ea n a l y z e r c o n v e r g e sa g e n t ss u s p i c i o u so ft h ed a t a ，c o m p r e h e n s i v ea n a l y s i so fv a r i o u sd a t as o u r c e s ，f u r t h e r j u d g e m e n to fd i s t r i b u t e da t t a c k s ，u p g r a d i n gt h ee x i s t i n gs y s t e ma t t a c ko nt h ec o m p l e xa n a l y s i s a n dd e c i s i o n - m a k i n gc a p a c i t y , i m p r o v es y s t e mr o b u s t n e s s c l - d i d sa r c h i t e c t u r em o d e lh a sp l a t f o r m - i n d e p e n d e n t ，g o o d a d a p t a b i l i t y , s c a l a b i l i t y , s u p p o r tm u l t i l e v e ld a t aa n a l y s i sa n dd y n a m i cc h a r a c t e r i s t i c so fd e f e n s ef o r t h ec u r r e n tc o m p l e x n e t w o r k s h a v eag o o dp r o s p e c t k e yw o r d s ：n e t w o r ks e c u r i t y , d i s t r i b u t e di n t r u s i o nd e t e c t i o n ，c o r b a ，l i g h t w e i g h t a g e n t 武汉科技大学硕士学位论文第1 页 第一章绪论 本章首先介绍了课题的研究背景和国内外的研究现状，随后阐明了课题研究的主要内 容和目的，最后给出了论文的章节安排。 1 1 课题的研究背景 以计算机系统为核心的信息处理技术的发展带来了整个社会信息化程度的日益提高， 飞速发展的i n t e m e t 网络通信技术将这些信息处理系统连接在一起，使其能够通过协作发 挥出更大的能量。随着诸如电子邮件、网络交易、远程会议等新技术的广泛应用，异地间 的通信与数据交换的成本正被不断地降低，信息的畅通无阻使得经济运行的效率得以快速 提高。同时，网络购物、虚拟社区、即时通讯、多媒体数据传输等新兴网络通信技术也为 其使用者带来了全新的体验，并极大地丰富了人们的生活。经过了3 0 多年的发展，互连 网络已经成为了一种全球范围的重要基础设施。 而随着网络技术的发展，网络环境变得越来越复杂，对于网络安全来说，单纯的防 火墙技术暴露出明显的不足和弱点。它可以防止利用协议漏洞、源路由、地址仿冒等多种 攻击手段，并提供安全的数据通道，但是它对于应用层的后门、内部用户的越权操作等导 致的攻击、窃取和破坏信息却无能为力，而调查发现，5 0 以上的攻击都来自内部。另外， 由于防火墙的位置处在网络中的明处，自身的设计缺陷也难免会暴露给众多的攻击者，所 以仅仅凭借防火墙是难以抵御多种多样层出不穷的攻击的。因此很多组织致力于提出更多 更强大的主动策略和方案来增强网络的安全性，其中一个有效的解决途径就是入侵检测。 入侵检测技术【1 】是一种主动保护自己免受攻击的网络安全技术。作为防火墙的合理补 充，其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。检测时， 通过对系统中用户行为或系统行为的可疑程度进行评估，并根据评价结果来鉴别系统中行 为是否正常，从而扩展了系统管理员的安全管理能力( 包括安全审计、监视、攻击识别和 响应) ，提高了信息安全基础结构的完整性。 入侵检测【3 】提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害 之前拦截，监视、分析用户的和系统的运行状况，查找非法用户和合法用户的越权操作， 检测系统配置的正确性和安全漏洞，实时地对检测到的攻击进行响应，提高网络信息安全 水平。入侵检测系统出现的2 0 多年里，一直是各相关科研机构研究的热点，并且也出现 了很多成功的商业系统。随着近年来入侵事件的频繁发生，入侵检测产品也开始步入了快 速成长期1 2 j ，针对它的新技术研究也具有重要意义。 1 2 入侵检测技术的国内外研究现状 第2 页武汉科技大学硕士学位论文 1 2 1 入侵检测系统研究的发展 a n d e r s o n 在1 9 8 0 年发表的文章提出了改进安全审计系统的建议，以便于检测计算机 用户的非授权活动，同时，提出了基本的检测思路。这是入侵检测研究的起源，到现在已 出现了很多入侵检测理论和商用产品。在检测构架上形成了基于主机、基于网络、混合式、 分布式的入侵检测系统；在检测理论技术上有模式识别、异常统计、基于知识、专家系统 等检测理论。 1 9 8 4 1 9 8 6 年，d e n n i n g 和n e u m a n n 在s r i 公司内设计和实现了著名的入侵检测专家 系统i d e s ( i n t r u s i o nd e t e c t i o ne x p e r t ss y s t e m ) ，该系统是早期入侵检测系统中最有影响力 的一个。i d e s 系统采纳了a n d e r s o n 提出的若干建议。i d e s 系统包括了统计分析组件和专 家系统组件，同时实现了基于统计分析的异常入侵检测和基于规则的滥用入侵检测技术。 i d e s 系统的设计思路给后来的很多类似系统提供了启发。 1 9 8 7 年，d o r o t h yd e n n i n g 发表的经典论文“a ni n t r u s i o nd e t e c t i o nm o d e l ”中提出入 侵检测的基本模型，并提出了几种可用于入侵检测的统计分析模型。d e n n i n g 的论文正式 启动了入侵检测领域的研究工作。 1 9 9 0 年，加州大学d a v i s 分校的t o d dh e b e r l i e n 发表在i e e e 上的论文“an e t w o r k s e c u r i t ym o n i t o r ”标志着入侵检测第一次将网络数据包作为实际输入信息源。n s m 系统截 获t c p i p 分组数据，可用于监控异构网络环境下的异常活动。 1 9 9 1 年，在多个部门的赞助支持下，在n s m 系统和h a y s t a c k 系统的基础上，s e t p h e n s m a h a 主持设计开发了d i d s 。d i d s 是首次将主机入侵检测和网络入侵检测技术进行集成 的一次努力，它具备在目标网络环境下跟踪特定用户异常活动的能力。 随后，p o r r a s 和l l g u n 提出状态转移分析的入侵检测技术，s k u m a r 提出基于有色p e t r i 网的模式匹配计算模型，f o r r e s t 提出基于计算机免疫学的入侵检测技术。 1 9 9 9 年，l o s a l a m o s 的v p a x s o n 开发的b r o 系统，用于高速网络环境下的入侵检测。 同年，加州大学的d a v i s 分校发布了g r i d s 系统，该系统试图为入侵检测技术扩展到大型 网络环境提供一个实际的解决方案。w e n k el e e 提出了入侵检测的数据挖掘技术框架。 2 0 0 0 年，普渡大学的d i e g oz a m b o n i 和e s p a f f o r d 提出了入侵检测的自治代理结构， 并实现了原型系统a a f i d 系统。 国内的入侵检测系统的研究从近几年才开始，不论在检测理论1 4 l ( 遗传算法、免疫算 法、模糊推理等) 、检测模型【4 】【5 】( 分布式协作模型、多a g e n t 等) 还是在商用产品( n e t c o p 、 天眼、s k y b e l l 等) 的研究上都取得了一定进展，但是与国外相比，产品的差距还很大，总 体发展比较慢，检测技术还比较单一。从国外和国内来看，整体的产品和检测手段上都还 不够成熟。 武汉科技大学硕士学位论文第3 页 1 2 2 主要商用入侵检测系统简介 目前，入侵检测系统的研究已经全面展开，世界各地都在投入资金进行研究和设计， 本节将介绍目前市面上几种常见的商用入侵检测系统。 1 n f r 公司的n i d 系统 n f r 公司的n i d 系统是一种基于规则检测的网络入侵检测系统，同时具有一定的异常 检测能力。它的最大特点体现在独一无二的设计架构上，它设计了一套用于网络管理和安 全检测的脚本语言n c o d e ，可以用来创建入侵检测的检测特征库。n c o d e 语言基本上是 一种定义网络分组数据特征模式的过滤器语言，同时具备了其他通用语言的若干特点，例 如变量声明、函数定义、控制流程等。 n i d 具有分布式的体系结构，三级组件分别为网络传感器、管理界面和中央管理服务 器。网络传感器完成提取数据、分析入侵和记录传输警告功能，管理服务器在中间层完成 上下两级数据的传递、协助管理终端完成查询和配置功能，管理界面用来让管理员管理查 询传感器并显示警告信息。 2 i s s 公司的r e a l s e c u r e r e a l s e c u r e 采用分布式的体系结构，系统分为两层：传感器和管理器。传感器包括网 络传感器、服务传感器和系统传感器三类，其中网络传感器主要是对网络数据的分析检测， 服务传感器主要是对服务器中进出的网络数据、系统同志和重要系统文件的检测，系统传 感器主要是对系统日志和系统文件信息的检测。管理器则包括控制台、事件收集器、事件 数据库和告警数据库四个部分。 和n i d 系统不同，r e a l s e c u r e 不是通过某种通用的语言对攻击标识来进行描述的，而 是通过增加新的程序来增加对新的攻击的识别。这种方法效率比较高，但存在升级方面的 问题，对攻击标识的增加需要对相关程序进行升级。 3 n a i 公司的c y b e r c o pm o n i t o r c y b e r c o pm o n i t o r 是混合型的入侵检测系统，通过单一控制台提供基于网络和主机的 入侵检测功能。它由两个主要组件组成：控制台和代理，其中代理在网络目标结点主机上 执行基于网络或主机的检测任务。检测引擎的网络检测部分基于网络结点的检测技术，即 仅仅分析该结点发送和接收的网络分组，而不关心其他不发往所在结点的网络分组。控制 台采取远程的安全集中管理模式，支持对多主机代理的安装和配置，并负责产生用户报告。 c y b e r c o pm o n i t o r 的检测代理还包含了异常检测组件，用来识别当前用户行为与历史 活动的偏差情况。同时，网络检测代理具备检测长时问跨度( 数月之久) 端口扫描过程的 能力。它的控制台支持对报警事件加以过滤分析，以减少告警数量和简化报告的特性。例 如，如果检测到s y nf l o o d 攻击，则会跟踪攻击事件的发生情况，并记录下预定时间段内 攻击发生的次数，而不是记录下次攻击警报事件。 4 c i s c o 公司的c i s c os e c u r ei d s c i s c o 的s e c u r ei d s 是传统的网络入侵检测系统，通常与硬件平台捆绑销售。s e c u r ei d s 第4 页武汉科技大学硕士学位论文 系统分为3 个基本组件：传感器、控制台和入侵检测模块。其中，最后的i d s m 组件主要 是指嵌入到各种c i s c o 网络硬件中检测模块。一般的i d s 组件是控制台和传感器，其中传 感器又可分为主机和网络两种类型，控制台负责汇集各个传感器的报告，并对各个传感器 进行配置和管理工作等。c i s c o 的产品特点是能够方便有效地嵌入到现有的路由器或者交 换机平台中。 1 3 主要研究工作 本文针对当前分布式入侵检测技术中的不足，探索将c o r b a ( c o m m o no b j e c tr e q u e s t b r o k e r a r c h i t e c t u r e ) 技术和入侵检测技术结合起来，构建大型的分布式入侵检测系统的可 行性，设计并实现一个高效、实用的基于c o r b a 的分布式入侵检测系统。该系统实现了 基于主机和网络的入侵检测功能，完成了对中心控制器和入侵响应的设计实现，为用户的 网络系统提供全面的安全防护。 论文的研究、设计和实现工作主要包括以下几个方面的内容： 1 从传统网络安全措施入手，总结了入侵检测的定义、分类。概要叙述分析了公共入 侵检测框架c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 的体系结构和构成部件。最后 给出了入侵检测的发展方向。 2 提出了一个基于c o r b a 的轻负载分布式入侵检测模型。分析了传统分布式检测模 型的不足，概括了本系统模型的优点及个功能模块的要求，介绍了分布式中间件c o r b a 体系结构及其相关的i d l ( i n t e r f a c ed e f i n i t i o nl a n g u a g e ) 接口定义、对象安全问题和对象 接口调用问题。 3 针对提出的模型设计并实现了一个分布式入侵检测系统c l - d i d s ( c o r b a b a s e d l i g h t w e i g h t a g e n td i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ) ，并详细介绍了系统中数据采集器 模块、数据格式化模块、规则匹配模块和响应模块，同时介绍了基于敏感度的代理协作分 布式检测。 论文是在本人参与的一个实际项目的基础上总结写出的，通过分析入侵检测技术和分 布式技术的理论，提出了一种轻负载代理协同分布式入侵检测解决方案，关键技术的研究 主要有以下几个方面： 1 基于动态队列的系统调用序列检测：利用l i n u x 系统命令实时捕获系统调用的所耗 时间和所占内存的大小，根据危害系数公式计算出短序列危害系数，然后按照系数高低将 序列归并到相应的检测队列，实现实时的序列检测，提高检测的性能。 2 协议分析技术：利用网络协议的层次性和相关协议的知识快速地辨别数据包的协议 类型，根据协议类型利用相应的数据分析程序来匹配数据包，大幅度的减少了匹配的计算 量。 3 模式匹配算法：在分析b m 和a c 算法的基础上，引入了一种快速字符匹配算法 n m s a ( n e wm a t c h i n gs t r i n ga l g o r i t h m ) ，增加了坏字节和好字节的移动，提高了匹配速度。 武汉科技大学硕士学位论文第5 页 4 基于敏感度的轻负载代理与代理问的协同检测技术：阐述了代理敏感度的新概念， 打破传统的在代理创建时令其具备所有的功能的特点。利用动态加载技术提高或降低代理 敏感度，实现对d d o s ( d i s t r i b u t e dd e n i a lo fs e r v i c e ) 等分布式入侵的实时检测。 在这些关键技术的研究基础上，系统还主要实现了网络数据包的捕获、数据格式化和 入侵响应等功能。 1 4 论文的结构和章节安排 论文共分为五章，各章内容安排如下： 第一章主要介绍了入侵检测系统项目的研究背景及国内外的研究现状。 第二章从传统网络安全措施入手，总结了入侵检测的定义、分类。概要叙述分析了c i d f 框架模型体系结构及其构成部件。最后给出了入侵检测的发展方向。 第三章对传统d i d s 分析后，提出了基于c o r b a 的轻负载分布式入侵检测系统模型， 并简要叙述系统各个部件的功能要求。同时，介绍了c o r b a 体系结构，定义了系统的i d l 接口，介绍了系统安全措施、对象调用方式和系统的部署。 第四章详细介绍了系统中数据采集器模块、数据格式化模块、规则匹配模块和响应模 块，同时介绍了基于敏感度的代理协作分布式检测。规则匹配主要介绍了基于主机系统调 用队列和基于网络数据包协议检测和字符串匹配技术。 第五章总结了系统开发过程中的经验，和系统中存在的问题，并对入侵检测系统的发 展方向做出了展望。 第6 页武汉科技大学硕士学位论文 第二章入侵检测系统概述 网络安全技术发展到今天，除了防火墙和杀毒系统的防护，入侵检测技术也成为抵御 黑客攻击的有效方式。尽管入侵检测技术还在不断完善发展之中，但是入侵检测产品的市 场已经越来越大，真正掀起了网络安全的第三股热潮。 本章以入侵检测技术为切入点，首先分析总结数据加密、数字签名机制、访问控制和 防火墙技术等传统网络安全技术，引入了入侵检测的定义、分类。概要叙述分析了c i d f 框架模型。最后给出了入侵检测的发展方向。 2 1 传统网络安全技术 为了达到网络安全的目的，研究人员做了大量工作，研制并实施了很多防御措施来抵 制攻击。这些网络安全技术提供一定程度的保护和防范能力，但都是侧重于被动地防护， 都不能主动地检测攻击或入侵事件。 1 数据加密 加密是一种在网络环境中对抗被动攻击的行之有效的最基本的安全机制，它能防止信 息被非法读取。数据加密是保护数据的最基本的方法。但是，这种方法只能防止第三者获 取真实数据，仅解决了安全问题的一个方面。而且，加密机制并不是牢不可破的。 2 数字签名机制 数字签名是种确保数据完整性和原始性的方法。数字签名可以提供有力的证据，表 明白从数据被签名以来数据尚未发生更改，并且它可以确认对数据签名的人或实体的身 份。数字签名实现了“完整性 和“认可性 这两项重要的安全功能，而这是实施安全电 子商务的基本要求。h a s h 签名是最主要的数字签名方法。 3 访问控制机制 访问控制是按照事先确定的规则决定主题对客体的访问是否合法。在主体能够访问操 作客体的情形下，并没有限制主体对客体做什么或做成什么样子。因此，访问控制不能防 止已授权用户获取系统中未授权信息。而且访问授权控制可以任意分布在系统中，保护数 据的责任依靠最终用户。这样常常要求用户理解、明白系统所提供的保护措施和如何使用 这些措施达到预期的安全。 4 数据完整性机制 数据完整性的目的是保证计算机系统或计算机网络系统上的信息处于一种完整和未 受损坏的状态。这意味着数据不会由于有意或无意的事件而被改变或丢失。数据完整性的 丧失意味着发生了导致数据被丢失或被改变的事情。 5 系统脆弱性检测 系统脆弱性的存在是系统受到各种网络安全威胁的根源。外部黑客的攻击主要利用了 武汉科技大学硕士学位论文第7 页 系统提供的网络服务中的脆弱性；内部人员作案则利用了系统内部服务及其配置上的脆弱 性；而拒绝服务攻击主要利用资源分配上的脆弱性，长期占用有限资源不释放，使其他用 户得不到应用的服务，或者利用服务处理中的弱点，使该服务崩溃。 6 认证机制 认证机制通过为主体( 通常是用户) 和对象的识别提供一个值得信赖的机制构建一个 安全系统。但是无论是u n i x l i n u x 还是w i n d o w sn t 系统，其识别和认证机制都基于一 个隐含的假定，即能成功地提供识别和认证所需要信息的用户就是合法用户。这个隐含假 定成为系统的潜在弱点。在这个安全边界的主要威胁包括口令猜测和盗窃等，黑客一旦通 过某些渠道进入系统，识别与认证技术对于他们的破坏行为就变得无能为力。 7 防火墙 防火墙指的是一个由软件和硬件设备组合而成，在内部网和外部网之间、专用网与公 共网之间的界面上构造的保护屏障。它是一种获取安全性方法的形象说法，它是一种计算 机硬件和软件的结合，使i n t e m e t 与i n t r a n e t 之间建立起一个安全网关( s e c u r i t yg a t e w a y ) ， 从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和 应用网关4 个部分组成。防火墙技术局限性有：防外不防内、难于管理和配置，易造成安 全漏洞和安全控制基于i p 地址的，难于为用户在防火墙内外提供一致的安全策略。 上面的分析可以看出，传统网络安全技术l _ ”都集中在自身的加固和防护上。在各种安 全机制、策略和工具被研究和应用的情况下，网络的安全仍然存在很大隐患。很多机构、 组织正在致力于提出更多、更强大的主动策略和方案来增强网络的安全性，力求能够从客 观角度根据网络攻击的具体行为来决定安全对策，根据网络行为的变化来及时地调整系统 的安全策略，而且有能力发现未知的入侵行为，并可以通过学习和分析入侵手段，及时地 调整系统策略以加强系统的安全性。在这样的情况下，入侵检测技术作为一种能实现主动 和动态防御的新型网络安全技术就应运而生了。 2 2 入侵检测定义 国际计算机安全协会i c s a ( i n t e r n a t i o n a lc o m p u t e rs e c u r i t ya s s o c i a t i o n ) 给出入侵检测 系统( i n t r u s i o nd e t e c t i o ns y s t e m ) 的定义【1 】为： 通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现 网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 具体说来，入侵检测系统的主要功能有： a 监测并分析用户和系统的活动，查找非法用户和合法用户的越权操作； b 核查系统配置和漏洞，并提示管理员修补漏洞； c 评估系统关键资源和数据文件的完整性； d 识别已知的攻击行为； e 统计分析异常行为； 第8 页武汉科技大学硕士学位论文 操作系统日志管理，并识别违反安全策略的用户活动。 一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。 2 3 入侵检测系统的分类 入侵检测系统根据数据来源、体系结构、检测技术和工作方式进行分类。 2 3 1 根据数据来源分类 入侵检测系统按照其输入数据来源来看，可以分为3 类t 基于主机的入侵检测系统 h i d s ( h o s ti n t r u s i o nd e t e c t i o ns y s t e m ) 、基于网络的入侵检测系统n i d s ( n e t w o r ki n t r u s i o n d e t e c t i o ns y s t e m ) 和混合型入侵检测系统。 h i d s 通常从主机的审计记录和日志文件中获得所需的主要数据源，并辅之以主机上 的其他信息，例如文件系统信息、进程状态等，在此基础上完成检测攻击行为的任务。 n i d s 其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵， 基于网 络的入侵检测产品放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个 数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合，入侵检测 系统就会发出警报甚至直接切断网络连接。目前，大部分入侵检测产品是基于网络的。 采用上述两种数据来源的混合型入侵检测系统随着高速网络的发展，网络范围的拓 宽，各种分布式网络技术和网络服务的发展，使原来的集中处理手段功效大减。混合型的 入侵检测主要有两种类型：第一种类型是指采用多种信息输入源的入侵检测技术，例如同 时采用网络数据包和主机审计数据作为数据来源，其中以d i d s 系统为典型代表；第二种 类型强调采用多种不同类型的入侵检测方法，例如同时采用统计分析的异常检测和基于专 家系统规则的滥用入侵检测技术，其中以早期著名的i d e s 和n i d e s 系统为代表。 2 3 2 根据体系结构分类 按照体系结构，i d s 可分为集中式、等级式和协作式3 种。 集中式i d s 可能有多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务 器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理。但这种结构的i d s 在可伸缩性、可配置性方面存在致命缺陷：第一，随着网络规模的增加，主机审计程序和 服务器之间传送的数据量就会骤增，导致网络性能大大降低：第二，系统安全性脆弱，一 旦中央服务器出现故障，整个系统就会陷入瘫痪；第三，根据各个主机不同需求配置服务 器也非常复杂。 等级式i d s 用来监控大型网络，定义了若干个分等级的监控区，每个i d s 负责一个区， 每一级i d s 只负责所监控区的分析，然后将当地的分析结果传送给上一级i d s 。这种结构 仍存在两个问题：首先，当网络拓扑结构改变时，区域分析结果的汇总机制也需要做相应 武汉科技大学硕士学位论文第9 页 的调整；第二，这种结构的i d s 最后还是要把各地收集到的结果传送到最高级的检测服务 器进行全局分析，所以系统的安全性并没有实质性的改进。 协作式i d s 将中央检测服务器的任务分配给多个基于主机，这些i d s 不分等级，各司 其职，负责监控当地主机的某些活动。所以，其可伸缩性、安全性都得到了显著的提高， 但维护成本却高了很多，并且增加了所监控主机的工作负荷，如通信机制、审计开销、踪 迹分析等。 2 3 3 根据检测技术分类 入侵检测系统按照其采用的技术来看，可以分为2 类：异常检测( a n o m a l yd e t e c t i o n ) 和滥用检测( m i s u s ed e t e c t i o n ) 。 异常检测也被称为基于行为的检测，指根据使用者的行为或资源使用状况来判断是否 入侵，而不依赖于具体行为是否出现来检测。在建立该模型之前，首先必须建立统计概率 模型，明确所观察对象的正常情况，然后决定在何种程度上将一个行为标为“异常 ，并 如何做出具体决策。 异常检测只能识别出那些与正常过程有较大偏差的行为，而无法知道具体的入侵情 况。由于对各种网络环境的适应性不强，且缺乏精确的判定准则，异常检测经常会出现虚 警情况。 异常检测方法主要有以下2 种： 1 统计分析 概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。检测器根据用 户对象的动作为每个用户都建立一个用户特征表，表中包括操作密度、审计记录分布、范 畴尺度和数值尺度，通过比较当前特征与已存储定型的以前特征，从而判断是否是异常行 为。 2 神经网络 神经网络的引入为入侵检测系统的研究开辟了新的途径，将自适应性和自学习的能力 集成到检测中，它可以通过自学习从大量的数据中提取正常用户或系统活动的特征模式， 而不必对大量的数据进行存取，精简了系统的设计。 滥用检测又称基于知识的入侵检测。在滥用检测中，运用已知的攻击方法，根据己定 义好的入侵模式，通过判断这些模式是否出现来检测。有很大一部分的入侵是利用系统的 脆弱性，通过分析入侵过程的特征、条件、排序以及事件间关系能具体描述入侵行为的迹 象。这种方法依据具体特征库进行判断，检测准确度很高。 滥用检测基于已知的系统缺陷和入侵模式，能够准确地检测到某些特定的攻击，但却 过度依赖事先定义好的安全策略，无法检测系统未知的攻击行为，因而会产生漏警。 滥用检测通过对确定的决策规则编程实现，它可以分为以下5 种： 1 模式匹配 第1 0 页武汉科技大学硕士学位论文 模式匹配通过对系统之间传输的或系统自身产生的文本进行子串匹配实现。该方法灵 活性欠差，但易于理解，目前有很多高效的算法，执行速度很快。 2 专家系统 专家系统可以在给定入侵行为描述规则的情况下，将规则知识转化成i f - t h e n 结构形式， 对系统的安全状态进行推理。一般情况下，专家系统的检测能力强大，灵活性也很高，但 计算成本较高，通常以降低执行速度为代价。 3 模型推理 模型推理指结合攻击脚本推理出入侵检测行为是否出现。攻击者行为知识被描述为： 攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特殊使用等。根据这些知 识建立攻击脚本库，检测是通过预测器程序模块对当前行为模式分析，产生下一个需要验 证的攻击脚本子集。 4 统计检测方法 统计检测方法常用检测值有审计事件的数量，间隔时间，能源耗费情况等等。有操作 模型，方差模型，多元模型，马尔柯夫过程模型，事件序列模型5 种统计模型，具有较高 的检测率和可用性。 5 状态转移分析 状态转移分析是将状态转移图应用于入侵行为的分析。分析时对每一种分析方法确定 初始状态和被入侵状态，以及导致状态转换的转换条件，然后用状态转换图来表示每一个 状态和特征事件，检测时不需要一个个地查找审计记录。 2 3 4 根据工作方式分类 根据系统的工作方式分为脱机分析和联机分析2 种。 脱机分析通常在事后收集的审计日志文件基础上，进行离线分析处理，并找出可能的 攻击踪迹，目的是进行系统配置的修补工作，防范以后的攻击。这种批处理的离线工作模 式在早期的系统中比较常见。 联机分析通常在数据产生或者发生改变的同时对其进行检查，以发现攻击行为。它包 含对实时网络数据包分析，实时主机审计分析，对系统资源要求比较高。 以上多种分类方法并不是不可相交的，一个系统可以包含几个类型。 2 4 公共入侵检测框架c i d f 公共入侵检测框架c i d f l 4 3 】【删( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 早期由美国国 防部高级研究计划局赞助研究，现在由c i d f 工作组负责，这是一个开放的组织。实际上 c i d f 已经成为一个丌放的共享的资源。c i d f 是一套规范，它定义了i d s 表达检测信息的 标准语言以及i d s 组件之问的通信协议。符合c i d f 规范的i d s 可以共享检测信息，相瓦 通信，协同工作，还可以与其它系统配合实施统一的配置、响应和恢复策略。c i d f 的t 武汉科技大学硕士学位论文第1 1 页 要作用在于集成各种i d s 使之协同工作，实现各i d s 之间的组件重用，所以c i d f 也是构 建分布式i d s 的基础。 c i d f 的规格文档由四部分组成，分别为：体系结构( t h ec o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r ka r c h i t e c t u r e ) 、规范语言( ac o m m o ni n t r u s i o ns p e c i f i c a t i o nl a n g u a g e ) 、内部 通讯( c o m m u n i c a t i o ni nt h ec o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 和程序接口( c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r ka p i s ) 。 c i d f 将入侵检测系统分为四个基本组件：事件发生器( e v e n tg e n e r a t o r s ) 、事件分析 器( e v e n ta n a l y z e r s ) 、响应单元( r e s p o n s eu n i t s ) 和事件数据库( e v e n td a t a b a s e ) 。结构 如图2 1 所示。 图2 1 入侵检测系统c i d f 模型 c i d f 模型将i d s 需要分析的数据通称为事件( e v e n t ) ，它既可以是网络中的数据包， 也可以是从系统日志或其他途径得到的信息。事件产生器的目的是从入侵检测系统以外的 计算环境中获得事件，并将这些事件转换成c i d f 的g i d o 格式传送给其他组件。事件分 析器分析得到的数据，并产生分析结果。响应单元则是对分析结果做出反应的功能单元， 它可以做出切断连接、改变文件属性等强烈反应，甚至发动对攻击者的反击，也可以只是 简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据 库，也可以是简单的文本文件。4 个组件采用统一入侵检测对象g i d o ( g e n e r a li n t r u s i o n d e t e