（计算机应用技术专业论文）智能入侵检测系统关键技术研究.pdf

华中科技大学硕士学位论文 摘要 随计算机网络技术的不断发展和应用的不断深入，网络安全问题日显突出。作 为保障网络安全的重要手段之一，入侵检测的重要性已得到人们的普遍认可。入侵 是不可避免的，问题取决于检测到入侵所需的时间和做出反应的时间。对此方面的 问题展开研究，具有重要的理论意义和较大的实用价值。 结合对c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 和i d w g ( i n t r u s i o n d e t e c t i o nw o r k i n gg r o u p ) 标准的分析，描述了c i d f 给出的入侵检测系统的通用模 型、c i d f 标准的体系结构、c i d f 的公共入侵规范语言、c i d f 的互操作及c i d f 的 通信架构；论述了i d w g 的主要工作，重点阐述了i d w g 对入侵检测消息的交换需 求。 基于c i d f 标准，提出了一个集成的智能性入侵检测系统模型i i i d s ( h t e g r a t e i n t e l l i g e n ti n t r u s i o nd e t e c t i o ns y s t e m ) 。给出了i i i d s 的主要组成部件，阐述了其工作 原理，建立了一个能满足各种入侵检测系统彼此交互的原型。以i i i d s 为基础，结合 本体论的相关理论，论述了o n t o l o g y 的几种常用描述语言，重点阐述了融合 d a m l + o i l 的一种扩充的o n t o l o g y 描述语言。在此基础上，提出了一个以目标为中 心的入侵检测本体论模型。该模型以目标系统的组成、攻击的方法、攻击的结果和攻 击者的位置为标准分类，使用d a m l ( d e f e n s ea d v a n c e dr e s e a r c hp r o j e c t sa g e n c y a g e n tm a r k u pl a n g u a g e ) 进行形式化描述。 基于入侵检测本体论模型，结合一个分布式入侵检测系统的应用实例，阐述了入 侵检测的形式化推理过程。 实例分析表明，所提出的入侵检测本体论模型可降低系统的误警率，可以检测 出较为复杂的协同式攻击，为入侵检测系统之间的协同提供了一种有一定价值的方 法。 关键词：智能入侵检测系统，通用入侵检测框架，形式化描述，本体论，美国国 防高级研究计划局代理标记语言 华中科技大学硕士学位论文 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fc o m p u t e rn e t w o r kt e c h n o l o g y , c o m p u t e rn e t w o r kh a s b e e na p p l i e dm o r ea n dm o r ew i d e l ya n dd e e p l y ，t h es e c u r i t yo f c o m p u t e rn e t w o r k sh a sa l s o b e c o m eah o tf o c u s e dp r o b l e m a so n eo ft h ei m p o r t a n tm e t h o d st og u a r a n t t h es e c u r i t y c o m p u t e r sa n dn e t w o r k , t h ei m p o r t a n c eo fi n t r u s i o nd e t e c t i o ni sp o p u l a r l yk n o w n n e i n t r u s i o nc a l l tb ea v o i d ，t h es t i c k i n gp o i n tl i e si nt h et i m ef o rd e t e c t i n gi n t r u s i o na n d r e s p o n d i n g t h er e s e a r c ho nt h i sf i e l dh a sv e r yi m p o r t a n tt h e o r ys i g n i f i c a n c ea n dm u c h p r a c t i c a b l ev a l u e t h r o u g ht h ea n a l y c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) a n di d w g ( i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ) s t a n d a r d i z a t i o n w o r k 1 l l u s t r a p mc o l n n l o n f r a m e w o r kg i v e nb yc i d f , c i d fa r c h i t e c t u r ef r a m e ，c i d fi n t e r a c t i v eo p e r a t i o n , c i d f c o m m u n i c a t i o na r c h i t e c t u r e d i s c u s s e di d w gm a i nw o r k , a n da ne m p h a t i cd e s c r i p t i o no n t h ei n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g er e q u i r e m e n t sw a s g i v e n b a s e do nt h ec i d fs t a n d a r d ，p r e s e n t e di n t e g r a t e di n t e l l i g e n ti n t r u s i o nd e t e c t i o n s y a e mm o d e l ，g i v e nm a i nc o m p o n e n t so fi i i d s ，i l l u s t r a t e di t sw o r kp r i n c i p l e ，b u i l ta p r o t o t y p et os a t i s f ya l li n t r u s i o nd e t e c t i o ns y s t e m sc o m m u n i c a t i o n b a s e do ni i i d s c o m b i n e ds o m er e l a t e dt h e o r yo fo n t o l o g y , i l l u s t r a t e ds e v e r a lo n t o l o g yd e s c r i p t i o n l a n g u a g e ，g i v e na ne m p h a t i cd e s c r i p t i o no nd a m l + o i lw h i c hi sa ne n l a r g e ds c h e m ao f o n t o l o g y a c c o r d i n gt h i sf o u n d a t i o n , p r e s e n t e dat a r g e t - c e n t r i co n t o l o g yf o r i n t r u s i o n d d c e c t i o n i ti sc a t e g o r i z e da c c o r d i n gt ot h es y s t e mc o m p o n e n tt a r g e t e d , m e a n so fa t t a c k , c o n s e q u e n c eo fa t t a c ka n dl o c a t i o no fa t t a c k e r , u s i n gt h ed a m l ( d e f e n s ea d v a n c e d r e s e a r c hp r o j e c t sa g e n c ya g e n tm a r k u pl a n g u a g e ) t of o r m a ld e s c r i p ta n dr e a s o no v e r b a s e do na no n t o l o g ym o d a lf o ri n t r u s i o nd e t e c t i o n , c o m b i n e dau s ec a s es c e n a r i oo f ad i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m , e x p a t i a t e df o r m a lr e a s o np r o c e s so fi n t r u s i o n d e t e c t i o n a c c o r d i n gt ot h ec a s ea n a l y s i s ，t h i si n t r u s i o nd e t e c t i o nm o d e lb a s e do no n t o l o g yc a n m i t i g a t ef a l s ea l e r t so f i n t r u s i o nd e t e c t i o n , d e t e c tr e l a t i v e l yc o m p l i c a t e dc o o r d i n a t e da t t a c k ， u 华中科技大学硕士学位论文 p r o v i d e a l lc e r t a i ne f f e c t i v em e t h o df o rt h ec o o r d i n a t eo f i n t r u s i o nd e t e c t i o ns y s t e m k e yw o r d s ：i n t e l l i g e n ti n t r u s i o nd e t e c t i o n , c o m m o ni n t r u s i o n d e t e c t i o nf r a m e w o r k , f o r m a ld e s c r i p t i o n , o n t o l o g y ，d e f e n s ea d v a n c e dr e s e a r c hp r o j e c t sa g e n c y a g e n tm a r k u pl a n g u a g e 1 1 1 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个人或集体已 经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中以明确 方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：管事 日期：如6 年f f 月 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保 留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人 授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以 采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密口，在年解密后适用本授权书。 本论文属于 不保密瓯 ( 请在以上方框内打“4 ”) 学位论文作者签名：铭 日期：砌f 年f 侗，日 指导教师签名： 吼彩钏月9 日 华中科技大学硕士学位论文 1 1 本课题研究背景 1引言 对于日新月异的黑客攻击，传统上，一般采用防火墙作为安全的第一道屏障。防 火墙和日志固然非常重要，但是由于因特网上信息的快速扩散性，仅仅设置这样的静 态的安全策略是远远不够的。随着攻击者技术的日趋成熟，攻击手法的日趋多样，单 纯的防火墙已经不能很好地完成安全防护工作。 入侵检测系统( i d s ) 可以对计算机网络进行自主地、实时地攻击检测与响应。 它对网络安全状况进行轮回检测，使得用户在系统被破坏之前自主地中断入侵过程， 并响应由于安全漏洞和误操作引起的入侵行为。它实时检测分析可疑的数据而不会影 响数据在网络上的传输。它对安全威胁的自主响应为企业网络提供了最大限度的安全 保障。在检测到网络入侵后，除了可以及时地切断攻击行为之外，还可以动态地调整 防火墙的防护策略，使得防火墙成为一个动态的智能的防护体系【l 】。 随计算机网络技术的不断发展和应用的不断深入，网络安全问题日显突出。作 为保障网络安全的重要手段之一，入侵检测的重要性已得到人们的普遍认可。入侵 是不可避免的，问题取决于检测到入侵所需的时间和做出反应的时间。对此方面的 问题展开研究，具有重要的理论意义和较大的实用价值。 本课题来自武汉工业学院2 0 0 4 年科研计划项目“智能入侵检测理论与技术研究”。 该项目以自动入侵监测系统的基本构想为出发点，结合国内外现有的分布式协同入侵 检测系统( d i d s ) 和数据挖掘等最先技术；内嵌基本的网络检测与通讯分析功能，真正 地降低入侵成功的概率；根据最新的可适应网络安全技术和p 2 d r 安全模型，以模式 匹配为主要技术，结合异常发现技术深入研究入侵事件、入侵手段本身及被入侵目标 的漏洞，实现集成的智能性入侵检测系统( 1 i d s ) 。本课题的目标是在以往对入侵检 测系统的研究基础上，以通用入侵检测框架( c m f ) 为标准，描述了集成的智能型 入侵检测系统模型，以满足各种入侵检测系统的交互。此外，采用基于o n t o l o g y 的i d s 华中科技大学硕士学位论文 形式化描述模型，以形式化描述语言、统一标准接口为规范，以及自学习机制为技术 基础，以适应网络安全问题的动态性和突发性，有效的保证系统网络资源的安全。 针对日益严重的网络安全婀题和越来越突出的安全嚣求，“可适应网络安全模型” 和“动态安全模型”应运而生 2 l ，其中最具代表性的模型是p 2 d r 。 p 2 d l r 模型毽含4 个主要部分，如图1 1 所示。 阮d r 模型示戆图 图1 1p 2 d r 模型 p 2 d r 模型是在整体的安全策略( p o l i c y ) 的控审4 和指导下，在综合运用防护工具 ( p r o t e c t i o n ，如防火墙、操作系统身份认证、加密等手段) 的同时，利用检测工具 ( d e t e c t i o n ，如漏洞评估、入侵检测等系统) 了解和评估系统的安全状态，通过适当 的响应( r e s p o n s e ) 将系统调整到“最安全”移“风险最低”的状态。防护、检溅穰 响应组成了一个完整的、动态的安全循环。 1 2 入侵检测技术概述 1 2 1 入侵检测的相关概念 入侵检测【4 j ( i n t r u s i o nd e t e c t i o n ) 是防火墙的合理补充，它从计算机网络系统中 华中科技大学硕士学位论文 的若干关键点收集信息，并分析这些信息，检测网络中楚否有破坏资源究整性、机密 性和可用性的行为和用户对系统资源的误用等，同时做出反成。入侵检测系统两 ( i n t r u s i o nd e t e c t i o ns y s t e m ，籀器i d s ) 是实现入侵检测功能的系列软件、硬传兹 组合。 入侵捡溅怒安全器缀袈魏发嶷残果，e d a m o r o s o 在熟戆零孛慰入侵撩溅夔定义为 “入侵检测是指对向计算机和网络资源的恶意行为的识别和响威过程”。入侵检测可 豁说是耪圭动静安全搭麓，它麸系统内豁帮隧络孛收集倍怠，获这些结意孛分析计 算机是谮有安全问题，并采取棚应的措施旧。一个入侵检测系统应该具有以下功能： ( 1 ) 监视分析用声和系统的行为： ( 2 ) 审计系统配鬟和漏洞； ( 3 ) 评估敏感系统和数据的完整饿； ( 4 ) 识剔攻击行为； ( 5 ) 对异常行为滋行统计； ( 6 ) 迸孬审诗鼹踩，识瘸造爱安全法燕豹纷为； ( 7 ) 自动地收集朔系统相关的补丁： ( 8 ) 安装诱骗服务器，铤漆黑客翡行为。 这然特点缎合起来，就可以使系统管理员轻松地监视、审计、评估网络系统的安 全性。 入侵捡测的前提是粥户和糕序豹行为可以被监控( 如通过系统的审计机制) ，且 正常行为和攻击行为之间有明照的不同。有许多的入侵枪测系统就是利用审计王具产 生豹事谤记录来捡溺入侵。不弱豹入侵梭测系统采用不溜豹特缝集会秘不同静分耩模 型来判断系统慰否被入侵【 。 1 2 2 入侵检测系统的基本般功能结构 计算祝安全技术主簧包含以下西个方面的禽义：保密性、完整性、w 用佼、可控 性。保密性指傣息不泄露给菲授权用户、实体或过程，溅供其利用的特性；完熬性指 数据未经授权不能进杼改变的特性；可用性指可被授枚实体访问并按需求使用的特 华中科技大学硕士学位论文 性；可控性指对信息的传播及内容具有控制能力。 在这个意义上，入侵指的就是试图破坏计算机保密性、完熬性、可用佳及可控性 麴一系列活动嗍。 如图1 2 绘制了入侵检测的基本原理和处理过程。 ( 势婊) l 切烩化内存 l f 稻辫坩始1 3 豳1 2i d s 处理流程图 基乎图1 2 ，通过对i d s 所承担任务的抽象，可以认为i d s 应该是一个包括数据 收集层、数据解析层、拳件分析层、事件响应层、报表歙成层及管理层的六层体系结 掏，麴强1 3 鼹暴。缀豢此抽象层次塑，一个入侵捡测系统豹缎成结构楚少要包含事 件提取、入侵分析、入侵响应和远程管理4 个都分 9 - 1 0 1 ，如图1 4 所示。 华中科技大学硕士学位论文 图1 3 入侵检测系统的抽象层次图 图1 4 入侵检测系统的体系结构 入侵响应模块：在分析出入侵行为后被触发，根据入侵行为产生响应，如切断攻 击者与主机的连接、封锁用户帐户，重新配置和恢复服务、生成日志文件等。响应代 理可以与防火墙和操作系统交互，申请暂停或封锁接下来的来自这一用户的所有连 接。入侵响应有常规告警和防火墙联动两种方式。 常规告警：通常入侵检测系统在入侵事件发生的时候采取日志记录和告警措施。 一般的告警方式是d m a i l 和基于s a m b a 的w i n d o w s 控制台告警。 防火墙联动：防火墙联动b p i d s 在入侵事件发生时或者根据用户要求在预测到入 侵事件将要发生时对危险用户进行防火墙隔离。 入侵分析模块：在提取到的运行数据中找出入侵的痕迹，将授权的正常访问行为 华中科技大学硕士学位论文 和非授权的不破常访问行为区分开来，分析出入侵行为磐通知相应模块，此外，这个 模块还威具有学习和适成新攻击模式的智能性；这部分怒入侵检测系统的入侵稔测引 擎。 事件提取模块：负蒲提取与被保护系统相关的运行数据或记录，并负责对数据进 行筵攀黪过滤帮终式鼗转换，壤方霞分爨模袭戆萼| 擎避露处理；这嫠努氛摇隧终缀文 采集、包过滤、协议解析和检索树等技术。 远程管理模块；由予攀个入侵验溺系统嚣稔满戆秀粒检嚣蕊嗣豹限潮，入侵捡溅 系统一般采用分布式监视集中式管理的结构，多个监测单元运行予网络中的各个网段 或系统t ，透过远程管理功能程一台管瑾站点土实现统的管瑗和监控。 。3 豳蠢外发展瑶状 最裙，弼终安全豹生要释决办法霆翻耀薅火墙或者代理蒎务器等设备进行被动防 护。但憋这些方法只能将一部分入侵拒乏门外，且网络往往失去配置的灵活性，妨碍 了罐户应用酶开发和部署；而鼓由予这种随络配置是静态酶，不能随时阉和矫赛应用 的变化砸变化，导致有很多实现和配置上的漏洞不能及时补救；再者，笳火墙和代理 服务器无法应付来自于系统内部的攻击。基于以上原因，人们提出了入侵检测技术。 入侵检测技术是继“茨火壤气“数据趣密”等传统安全保护措施瑟黪一找的安全 保障技术。它从系统内部和网络中收集信息，从这些信息中分析计算机系统的安全问 题，莠缀撂震声静定义瓣竣毒傲出耀应戆叛警纾笼凌保妒氆藏。 入侵检测怒安全保护体系结构中的一个重癸的组成部分。但是传统的建立入侵检 测系绫瓣方法总的来说脊尼熹不是：系统建立瀚速度馒、雯薪代价高，褥置难予与薪 魄入侵检测模型相结合。面对日箍更新的网络设施和层出不穷的攻击方法，目前的入 侵检测系统显褥缺乏有效性、i 霞应性和阿扩展设。因此需要用一种更加系统化、自动 纯豹方法来构遗入侵检测模型。 。3 1 传统入侵检测技术的发糕现状 入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防 华中科技大学硕士学位论文 火墙隔离技术等都属于静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主 动的反应。目前，利用最新的可适应网络安全技术和p 2 d r 安全模型，已经可以深入 地研究入侵事件、入侵手段本身及被入侵目标的漏洞等。入侵检测系统( i d s ) 可以 对计算机网络进行自主地、实时地攻击检测与响应。它对网络安全轮回检测，使用户 可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。i d s 可以实时检测分析 可疑的数据而不影响数据在网络上的传输，它对安全威胁的自主响应为企业提供了最 大限度的安全保障。在检测到网络入侵后，除了可以及时切断攻击行为之外，还可以 动态地调整防火墙的防护策略，使得防火墙成为一个动态的智能的防护体系。 目前大部分的入侵检测系统都是独立研究与开发的，不同系统之间缺乏互操作性 和互用性。一个入侵检测系统的模块无法与另一个入侵检测系统的模块进行数据共 享，在同一台主机上两个不同的入侵检测系统无法共存，为了验证或改进某部分的功 能就必须重新构建整个入侵检测系统而无法重用现有的系统和构件，这对入侵检测系 统的发展造成了极大的障碍【i “。因而迫切需要多个或多种入侵检测系统问能够共享检 测信息、相互协同，从而能够处理跨越网络和时间的攻击，并允许系统能够更精确的 识别和准确的描述攻击。要达到这个目的，就要在不同的入侵检测系统之间建立一套 统一的通信接口，同时在对入侵模式描述方式上也应该取得一致。 1 3 2 智能入侵检测技术的发展现状 为防范日新月异的黑客攻击，目前信息安全的发展趋势集中于各种信息安全设施 日趋综合化、集成化和智能化，如防火墙的连防，混合防火墙的出现，防火墙与入侵 检测和安全代理的联用等等。 近年来，国际安全组织和网络安全公司以及广大的热衷于网络安全的i t 技术人 员，正在逐步探讨适应动态的、突发性安全问题的安全系统，以适应日益复杂的网络 安全问题。如今智能性的网络安全系统有智能化实时安全监控系统( 包括基于统计偏 离的实时入侵检测和基于违规的实时检测) 【1 2 】、自适应网络安全检测软件( 能主动地 找出系统的安全隐患，对风险做出半定量的分析，提出堵塞漏洞的方案，自动地随着 计算环境的变化，通过入侵模式识别，对系统安全做出校正这样就由被动防守转向了 华中科技大学硕士学位论文 主动防窍) 1 1 3 积极防御的反黑客工具f 1 4 】( 能在一定条件下对入侵进行取证乃至追 踪) 、智能“代理”p 代理”在用户控制的范围内外散布和移动在各关键部位陋瑚。 代理的功能由管理者定义，它们在统一政策豹统舶下执纷指定的任务，代理具有部分 的自治和自保护功能，代理之间还可以交换风险信息并协同工作，检出入侵后向中心 壤告蒡发生报警号，它在一定稷发上解决了警璞豹集孛牲和茨鬟豹分数经夔矛j 莛 、 基于反殿时间的入侵对抗技术m ( 入侵怒不可避免的，问题于取决于检测到入侵所需 瓣露闻鞠傲毒应静露阂珏霹。夜这里，入辊结会静管麓系统将扮演关键麓角色) 。 i 。4 本课题研究的意义、蠢容及蠢标 鄹终安全秘系统安全涉及豹蠹容 # 鬻广泛，系统存在豹潺溺变纯缀镟，医藏，系 统需要自够适应动态的网络安全需求，不断增加入侵检测能力，从这个意义上看，封 l l 戆、专蔫懿入经捡弱系统戆生念力是缀英有蔽戆。蟹煞国s 采掰统一豁准接叠鬣葱， 把基于主机( 集中) 的入侵检测功能和基于网络( 分布) 的入侵检测功能通过一个安 全管理平台统一管理起来，构造安全捡测功能的集成框絮，实现入侵检测功麓鹃缀侔 化，根攒系统的安全目标来确定入侵检测功能嚣求，从憋体角度考虑网络的安全性能 和进行入侵检测功能的选择。 各耱智能爨终安全系统采取了不网智能技零在不网戆安全镁域实施网络系统豹 安全维护，综合各种智能安全理论和技术形成智能安全领域的规范有助予网络智能安 全产品麓浚诗实瑷。零磅究锋霹上述豹弼终安全癸辑，劳吸牧嚣蠹终蜜全夔羧系统 的最新技术，将建立集成的智熊型入侵检测系统模型( i i i d s ) ，以形式化描述语言为 麓范、统一标准接口、辍鸯学嚣裾辎为技术基稿，适应瓣络竣跨技术翡不鞭逶步，逶 应网络安全问题的动态性和突发性，有效的保证系统网络资源的安全。研究内容包括： ( 1 ) 入侵检测系统体系结构( 六层体系结构、形式亿描述、自学习视制) ；( 2 ) 集成 智能型入侵检测系统模逻( 智能型入侵捻测模型、开放裂集成援架模型、集成餐戆型 入侵检测模型) ；( 3 ) i i i d s 原激系统的实现；( 4 ) 基于o n t o l o g y 的i d s 形式化描述模 登。 华中科技大学硕士学位论文 2 入侵检测技术的相关标准 在入侵检测标准化工作方面，当前肖两个豳际标准，它们怒c i d f 和i d w g 标准。 零章阉述c i d f 秘r d w g 掰包含豹主要内褰。 2 。 c i d f 标准 入侵活动变褥愈加广泛，而且许多攻击是经过长时期准备，通过网上协作进行的。 面对这样的情况，入侵检测系统和它的构件之间共享这种类型的攻击信怠是十分重要 豹。共枣迁系统之闯对霹能即将来蝮的攻击发出警擐。为了实现这样豹毽标，i d s 系 统应定义好共事信息的接口，为此，s s t a n i f o r d c h e n 等人提出了通用的入侵检测框架 ( c d 移燃。 c i d f 标准化工作基于这样的思想：入侵行为是如此广泛和复杂，以至于依靠某 个蕈一翡d s 不毵裣溺出搿寄静入侵镎爻，因诧需要一个i d s 系统静禽俸来捡镶l 跨 越网络戚跨越较长时间段的不同的攻击。为了尽可能地减少标准化工作，c i d f 把d s 系统协作的重点放在了不同组件问的合作上刚。 c i d f 所做的主要工作有：提出了一个通用的入侵梭测框架，然后进行这个框架 中各个部件之间通信的协议和a p i 的标准化，以达到不间i d s 组件的通信和管理，当 ；| c d f 包括以下霆个秀嚣静主簧内容伫1 也2 l ： a r c h i t e c t u r e ：提出了i d s 的通用体系结构，用以说明i d s 备组件间通信的环境。 c o m m u n i c a t i o n ：说弱i d s 各种零霞缝 孛黼魏蒋遴过瓣终进行逶接。主要攘述 各组件间如何安全地建照连接以及安全地通信，包括组件间的攫别和认诳。 l a n g u a g e ：采用公共入侵靓范诺言( c l s 劲，各缎侔阊遥过c i s l 来进行入侵和 警告等信息内绺的通信。 a p i ：允许1 d s 各组件的重用，茗e c i s l 的表示说明中隐禽了a p i 。 ( 1 ) c i d f 的矮系络棱 目前，通用入侵检测架构( c i d f ) 组织和i e t f 都试图对入侵梭测系统进行标准化。 华中科技大学硕士学位论文 c i d f 阐述了一个入侵检测系统( i d s ) 的通用模型- 2 4 1 。它将个入侵捻测系统分为 为以下4 个组件 事移产生嚣( e v e n tg e n e r a t o r s ) 事件分析器( e v e n ta n a l y z e r s ) 晌黢萃元( r e s p o n s e u n i t s ) 事件数据摩( e v e n td a t a b a s e s ) c i d f 将入侵检测系统需要分析静数据统称为事件( e v e n t ) ，它胃酸怒基于网绪酶 入侵检测系统中从网络中得到的数据包，也可以是基于主机的入侵检测系统从系统日 志等其他途径得到的信崽。它对于各部件之间的信息传递格式、通信方法和标准a p i 进行7 标准化。 ， 事件产生器的目的是从整个计算环境中获得事件，并筒系统的其他部分提供此事 箨。事律分嚣爨分辑褥羽熬数攥，并产黧分辑缀暮。羲旋擎元裂是对努凝结果撂出反 应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，甚至发动对攻击者 静反击，氇虿黻必是筒肇的援警。事箨数据库是存放各释中阀稻竣终数攒静毪方懿统 称，它可以是复杂的数据库，也可以是简单的文本文件。 在现有的入侵检测系统中，经常用数据采集部分、分析部分和响应部分来分剐代 替事 牛产生器、事 牛分辑器和响应单元这些术语，著常用日志来镑单地指代事件数据 库。在这个模獭中，前三者以獠序的形式出现，而最后一个则往往是文件或数擒流。 入爱捡溅系统熬足个缀终往往袋子不屈豹主援上。一般会有3 套撬器，分裂运褥攀 譬 产生器、事件分析器和响应单辩。 i e t f 静i n t e r n e t 草案王f l 瓷( i d w g ) 专门受奏定义入侵捡溺系统缝律之鬻戳及苓嚣 厂商的入侵检测系统之间的通信格式，目前只有相关的草案( d r a f t ) ，还未形成藏式的 r f c 文档。i d w g 文档裔以下两个方面：入侵普报协议，该协议是魇于交换入侵普报 信息，运行于t c p 2 上豹应用层协议；入侵检测交换协议( i d x p ) ，这个应用层协议是 在入侵检测实体间交换数据，提供入侵检测报文，交换格式( i d m e f ) 报文，无缩构的 文本，三进利数握戆交换。i d m e f 是数撂存放掺式隧遂( t t m n e l ) 文 孛，懋诤可扩展交 换协议( b e e p ) 对等体能作为一个应用屡代理，用户通过防火墙得到服务。入侵蒋报协 1 0 华中科技大学硕士学位论文 议是最早设计的通信协议，它将被i d x p 替换，i d x p 建忘在b e e p 基础之上，t u n n e l 文件配合i d x p 使用犯懿。 c i d f 定义t i d s 系绞秘应急系统之隗透过交换数据、抉缛实现入侵捡测和成急响 应。 ( 2 ) c i d f 靛公共入侵筑蓖语言犯薹s 轴 可以说，c i d f 最主要的工作就是不同组件间所使用语言的标准化，c i d f 的体系 维祷只蔻逶售酶背景。褥嚣伞缀俘之蠲瓣透信藏豫入与入之阕翡交流，举论掰说豹话 的传输方式是通过空气、电话还是加密的电话，最重要的且最有意义的就是双方能够 互相理解，这也是c i s l 的意义所在。 在c i d f 模溅里，构件接收豹输入流放用来驱动分板弓l 擎进行处理，劳将续果传 递到其他部件。换句话说，一个构件的输入流可能就是其他构件的输出。构件之间的 这秘输入输出关系是不弱予其熊系统的。尽管赐来交换信息豹类型是各秘各样豹，毽 事实上可以导出种公欺的数据表示方法。使所有互相连接的构件都从中获益。这意 睬着允| 孥入侵稔测 每俸弓| 发其稳豹滔动，露菝态楚视。爨耱霉辫麴懿功筑貔是斑急豹 应。例如搜集特定的事件使得入侵检测系统内部形成反馈机制。c i d f 用通用入侵说 骧语言c i s l 。对事件、分析维莱、响应指示等过程遴稃袭示说翳，骧这n m s 之简静 语法互操作。 ( 3 ) c i d f 的通信絮构 c i d f 要实糯按网工作，还要鳃决搀l 孛之姆骥信方西的两个阏题： c i d f 的一个构件怎样才能安全地联系刹其他构件( 其中包括构件的定位和构 搏戆歆诞) ? c i d f 如何保证构件之间能够安乐有效地通信? 为了解决骏上嚣令朗题，c i d f 采麓7 一耱称为m a t c h m a k e r 豹透信綮稗。窀捷侯 了一个标准的、统一的方法，使得c 1 d f 的构件之间互相识别和定位，让它们能够共 享信息。这样极大地提商了 奄件之间的蠢操作能力，从稀使入侵检测和虎急系统昭开 发变德褰易。m a t c h m a k e r 支持飚录提供查询服务。中闽件的运行方式怒m a t c h m a k e r 客户程序自带巾间件，如图2 1 所示。 华中科技大学硕士学位论文 图2 i m a t c h m a k e r 的通信架构1 m a t c h m a k e r j c 诲中陶俘猛纛子客户褥存在，胃瑷是弼主梳的单独豹迸程，也可 以完全是其他主机上的进程，如图2 。2 所示。在这种情况下，一个中间件可以为多个 客户服务。 目琶嚣| 2 。2i d w g 的标准化工作 为了适应嬲络安全发展豹露要，i n t e m e t l 碉l 终芷程组i e t f 的入缓检测工作组i d w g 负责制定入侵检测响应系统之间共享信息的数据格式和交换信息的方式，以及如何满 足系统慧理夔鬟要。i d w g 静主要工终翔下阁： ( 1 ) 制定入侵检测消息交换需求文档。该文档内容有入侵检测系统之问通信的 要求说缓，嗣辩还有入侵捡溅系绫藕警遴系统乏掏逶信豹要求说赘。 ( 2 ) 制定公共入侵语言规范。 ( 3 ) 制定种入 受检测漓怠交换的体系结构，往藕最适合子用匿前已存在协议 实现入侵检测系统之间的通信。 目前，i d w g p , 完成入侵检测消息交换需求、入侵梭测交换数据模遐、入侵告警 华中科技大学硕士学位论文 协议、熬于x m l 的入侵检测消息数据模型等文档。下武选择部分文档份一简要阐述。 2 2 1 入侵检测消息交换需求 网络安全的发展使得入侵梭测系统之间迫切需要交换信息，主要表现在： 逶是数撂撂式懿存在镬不弱系统豹 奄 孛更易集藏。入侵捡溺爨孽簪 究成渠穆 会更好地移植到商业产品中。 通信极铡嚣求 i d s 管理器常常依靠接收的i d s 分析器的数据来有效地工作。这样的i d s 管理器可 辘要袄羧i d e f 瀵怠，袋璇i d e f 港惠熬聪靠黉递藏+ 分黧簧，嚣魏，i d e f 登须支持霉 靠的消息传递，使i d e f 系统可以依靠t c p 的可靠性机制戏自行设计u d p 上的可靠性协 议。 由予防火墙可能安装在i d e f 分析器和相应的管理器之间，i d e f 消息传输要通过 防火墙，为此瑟求i d e f 必须支持入侵稔测构件之闻的消怠传递穿过防火墙边界健并 不损害安全性。i d e f 消息通信的建立不能削弱受保护网络的安全性，呶不能把i d e f 消息和其他类烈的通信混合起来( 如通过h r r pp o s t 方法) ，因为这样做会使一个组织难 瑷将i d e f 透接秘其憩类型兹逶偿区分开寒 ( 3 ) 安全黹求 自予管理嚣将掇警溃惑震予猎导疲惫孵应袋分耩垒照瓣终熬安全，掰懿牧发双方 确信对方的身份就是很驻要的。i d e f 必须支持分析和管理器之间的相甄认证。 i d e f 淆怠霹能包含入侵者十分感必趣的极度敏感落怠( 如翻令字) 。豳予它锻可能 经过未受控制的网段传输，消息内容的防护非常重要。i d e f 必须支持交换过程中消 息内容的保密憔。保密设计方案必须能支持多种加密算法，并适应各种环境的变化。 i d e f 必须保证消息内容的完整性。这是困必管理器用d 髂消息指撼企业孵络豹 安全，管理器确信传输藤的消息内容未修改是黧关重要的。完熬性设计方案必须能够 支持多秘完整馕援裁，势基必缀戆适应广泛变纯豹丽境。铡翔m 泌算法裁成戈i d f f 设计中的一部分。 国黼遥信梳裁应熬够确徐藏发i d e f 涪患鲍非否诀髋。馁设安全敏感信悫囊在筱 交换，系统操作人员将消息和i d e f 实体的原发方相联系是很重鬻的。例如，如果事 后不熊证实i d e f 报警的源方实黼就是源发方身份，i d e f 报警的证据价值就要大打折 翔。 d e f 通信机制应抵制对协议的拒绝服务攻击，而搬绝服务攻击的瞬标是是耗尽 华中科技大学硕士学位论文 资源，照然这不能破坏消息的蠢效性，但它能照止所有的通信。i d e f 邋信机制抵制 这种拒绝服务攻击是很需要的。例如，攻击者渗透一个有i d s 防御的网络，尽管攻击 者不能鸯定是孬有i d s 存在，毽饱能确信应用级豹加密邋信流( 如囝e f 溅璧疆：在被攻 击网络的构件之间交换。于是他隐藏并发起多个f l o o d 事件来破坏加密通信。如果i d e f 能 乘割这耪玫纛，攻壶黉效奏这一行为豹撬会裁会缮鸯爨。 i d e f 通信机制能抵制恶意的消息复制。削弱通信机制安全性能的通常做法是复 麓发送信息，鄂使攻壶莠霹蔻势不理解它们，只楚企图混淆接收者。铡翔，攻蠢者渗 透一个i d s 防御的网络。攻击者怀疑i d s 的存在，并识别出系统构件加密的通信流， 这是一个潜在威胁。虽然不能读欷到这悠信息，但是可以拷贝低们，并将多个副本定 向到接收者，以期造成菜静混瓢。 如柴i d e f 能防止消息复制，攻击者放弃这种攻击的几率就会增加。 2 3 本章小结 本章主要阐述了c i d f 和i d w g 的标准化工律。首先阐述了c i d f 主癸工作内容， 描述了c i d f 绘嬲的一个入侵检测系统的通用模缎，继而阐述了c i d f 标准的体系结构、 c i d f 的公共入侵规范语言、c i d f 的互操作及c i d f 的通信架构，最后论述了i d w g 的 主要工终，重点耀述了i d w g 受j 入侵检测消息交换霉求。 总的来说，入侵检测的标准化工作进展非常缓慢，现在各个i d s 厂商几乎都不支 持当蓠黪标准，造成各i d s 之瓣凡手不溪戆遂露互搡终。毽标漤亿终究趋疆行鼗充分 发展的一个必然趋势，而且标准化提供了一套比较完备、安全的解决方案。 华中科技大学硕士学位论文 3 一个智能入侵检测系统模型 本常主要在以往对入侵检测系统研究的基础上，以通用入侵检测框架( c 酌f ) 为标准，提出集成静餐戆型入搜检测系统模型( i i i d s ) ，设谤一个缝潢足各静入侵 检测系统彼此交互的原照。 3 1 模型架构 目前的防火墙技术不能对付层出不穷的应用层后门、应用设计缺陷和通过加密通 道麴攻海。因戴，翔今键戆性的阙络安龛系统应该有智熊化实对安全监控系统、自适 应网络安全检测软件、积极防御的反黑客工具、智能“代理”、基于反_ 陂时间的入侵 瓣撬技零。集藏豹蟹戆链入侵捡溺系统模型( i i i d s ) 班形式纯滋透语塞、统一耘准 接口为规范、自学习机制为技术基础，通应网络攻防技术的不断进步，适应网络安全 闯题髂动态性葙突发经，有效静傈证系统阏络资源赘安全。 集成的智能性入侵检测系统模型i i i d s 的设计原则和设计策略如下： ( 1 ) 采取分布监视，集中管理的禳式。通过一个锗理站点监视分布在网络上的 著于个系统； ( 2 ) 用模块化构件思想，使系统具有良好的可扩展性，在设计上考虑支持公共 入侵硷溯框架c i d f 融，提供系统与葜缝系统戆互擐穆性； ( 3 ) 尽量具备动态策略功能，在不中断监视的情况下可以调整系统的策略； ( 4 霉薰减多霹系统窝璃络佳能瓣影确帮资源占溪，实瑷系统鸯动事务憝毽戆 力，尽爨减少人为参与，提高响应速度； ( 5 ) 兵备错误恢笺能力，不困为入侵检测系统的闻遂两影响主梳的运行，黼时 要尽可能使系统适应系统本身朔应用环境的改变。 网络安全和系统安全涉及的内容非常广泛，系统存在的漏洞变化很快，因j 陡：，系 统震要能够适墩动态憨鼹终安全嚣求，不叛增热入侵捡测戆力，从这个意义上露，封 闭的、专用的入侵检测系统的生命力是极其有限的。智能i d s 采用统一标准接口规范， 华中科技大学硕士学位论文 把基于童机( 集中) 的入侵检测功能和纂于网络( 分布) 的入侵检测功能通过一个安 全管理平台统一管理起来，构造安全检测功能的集成框架，实现入侵检测功能的组件 伍，根攒系统的安全嚣椽来确定入侵检测功能嚣求，从熬体囊度考虑网络的安全性毙 和进行入侵检测功能的选择让 。 m 3 1 是餐貔入覆捡测系统豹原理黧。其孛，集成餐能墅入技捡测系统( i i i d s ) 主要部件有： 信惫浚集器：负责瓣络帮圭撬系统瓣信怠毅集，为凳鬻事舞懿疑断舞供数据蕊穑； 统一标准接口：按照形式化描述规范对收集到的信息依据网络系统漏洞、修补技 术和攻防技术等进行分类； 事传分析器：依据安全策略瘁、自学习机制和统一椽准接口技寒利用各种异鬻事 件分析方法实现事件的分析和判断；根据事件分析器的结果实施对当前事件的响应； 蒙蝮数摆露；存敷轰耪入授检测甄飘援虽| j 秘基本特蔹。 审记日志：负责对具有重大损失的安全攻击进行日忠审计，并能够产生报表，提 供谣讼依据； 系统管理器：负责系统各组成部件的配置和管理。 3 。2 嚣鍪设计 系统管理器 形式 化描 述语 审记爵患 功毙组搏 统一标准接口 数据收集设备 枣 件 分 擀 嚣 自 学 习 规 制 燕 略 数 据 库 圈3 1 智能入侵检测系统的舔理图 基等网络秘基予圭税戆沿s 郡骞箕獭特豹後势嚣援纛蛰充。一些事髂霞旋囊基于 网络的方法检测到，其它仅能农主机上检测到，些需爨同时采用这两种入侵梭测技 华中科技大学硕士学位论文 术。因瓶一个强大的i d s 必须紧密集成h i d s 和n i d s 。将这两种技术组合将会极大的 改善网络对攻前和滥用的抵抗力。入侵检测根据检测方法又可1 2 王分成两类：基予行为 ( 异常) 入侵捻测和基于知识( 误用) 入侵检测。它们亦是互於敬1 2 8 】。 另外现有许多商用和免费的入侵检测系统，产品的优势和弱点迥然不同，从而用 户裁稷毒胃毙会帮署不疲一静产鑫，显簧求扶统一管理鼹务器孛鼹察到这些产熬懿辕 出