（计算机系统结构专业论文）一种基于先应式容忍入侵技术的入侵检测系统的设计与研究.pdf

摘要 摘要 系统的生存性的是指系统在遭受恶意攻击时还能够对外提供小间断服务，安 全的入侵检测系统是实现系统可生存性的重要保证。但由于入侵者为实现其恶意 的入侵可能首先将入侵检测系统作为其破坏的目标，所以，用于实现可生存机制 的入侵检测系统本身需要具有可生存特性。 本文中首先以攻击树和攻击模式语言为工具对通常i d s 系统的脆弱点进行了 分析，讨论了在入侵检测用于提供他所期望的安全保护前它必须处理的自身保护 问题。虽然，针对入侵检测系统的安全问题，人们提出了一些懈决技术和实施策 略，但剥当前常用的入侵检测系统保护方法进行分析后我们发现，这些方法仍然 不能完全解决针对入侵检测系统的入侵和破坏：目前的保护方法仅能阻止入侵检 测系统进入故障状态，但是一旦入侵检测系统进入故障状态，现有的这些保护方 法就失效了。所以我们需要提出新的安全解决方案来实现入侵榆测系统在受到攻 击时仍然能够继续为系统提供入侵检测服务。 于是，针对目前入侵检测系统的安全弱点以及保护手段的不足，我们提出了 一种基于先应式容忍入侵技术的入侵检测系统保护方案。该方案以先应式安全技 术为核心，对分布在网络中各个入侵检测子系统进行状态比较、周期性检查来检 测入侵，使用容错技术使系统具有了容忍入侵的能力。并且，使用物理隔离设备在 保证通讯的同时保证了容忍入侵的核心，表决服务器的安全。若表决服务器被破 坏，整个入侵检测系统将失去容忍入侵的能力，攻击者可以将其各个击破。同样， 我们使用强制访问控制和动态变换的安全机制加强了各个入侵检测子系统的安 全，保证了容忍入侵的实施及整个系统的安全。 文章的最后，我们建立一个模拟系统，对基于先应式容忍入侵技术的入侵检 测系统的性能进行了测试，演示了其防御入侵的能力，证明了先应式容忍入侵技 术确实能够保护我们的入侵检测系统，并对系统的性能和关键参数的设定进行了 讨论。 关键词：入侵检测容忍入侵先应式物理隔离 a b s 廿a c t a b s t r a c t as e c u r ei n t r u s i o nd e t e c t i o n s y s t e m ( i d s ) i si m p o r t a n t t o e n s u r i n g t h e s u r v i v a b i l i t yo f as y s t e m - - - o n ea s p e c to fs u r v i v a b i l i t yi st oo f f e rc o n t i n u e ds e r v i c e si n t h ee v e n to fm a l i c i o u sa t t a c k s b e c a u s ea ni n t r u d e rm a y t a r g e tt h ei d s f i r s ti no r d e rt o f a c i l i t a t ef u r t h e rm a l i c i o u sa c t i v i t i e s ，i ti sa l s oi m p o r t a n tt h a ta n yi n t r u s i o nd e t e c t i o n s y s t e m ( i d s ) e m p l o y e db y t h es u r v i v a b i l i t ym e c h a n i s mb es u r v i v a b l ei t s e l f t h i sp a p e ri d e n t i f i e sv u l n e r a b i l i t i e sf o rg e n e r i ci d sb yu s i n ga t t a c kt r e ea n d a a a c kp a t t e r nl a n g u a g e ，a n da r g u e st h a tp r o t e c t i o no ft h ei d si t s e l fm u s tb ed e a l t w i t hb e f o r ei tc a nb er e l i e du p o nt op r o v i d et h es e c u r i t yt h a ti se x p e c t e d n o ws o m e s o l u t i o nt e c h n i q u e sa n di m p l e m e n t a t i o ns t r a t e g i e sh a v eb e e nd e v e l o p e dt op r o t e c ti d s ， b u ta r e rw e a n a l y s i sc u r r e n tm e t h o d s ， w ef i n dt h a tt h e yc a l ln o tc o m p l e t e l yp r e v e n t t h ei n t r u s i o na n dd e s t r o yt oi d s ，b e c a u s ei to n l yc a np r e v e n ti d sf o r mf a i l u r e b u t ，i f i d sh a sa l r e a d yb e e nf a i l e db ya r a c k e r , c u r r e n tm e t h o d sc a r ld o n o t h i n ga b o u ti t t h u s w en e e dan e ws e n l e m e n tt om a i n t a i na c c e p t a b l ei n t r u s i o nd e t e c t i o ns e r v i c e sw h e n i n t r u s i o n so c c u rt oi d s f o c u s e da l la t t e n t i o no nt h es e c u r i t yw e a k n e s so fi n t r u s i o nd e t e c t i o ns y s t e ma n d t h el a c ko fs o l u t i o nt oi t ，w e p r o p o s eap l a nb a s e do np r o a c t i v ei n t r u s i o n - t o l e r a n t t e c h n o l o g yt op r o t e c ti n t r u s i o nd e t e c t i o ns y s t e m t h ec o r eo ft h ep l a n ，p r o a c t i v e t e c h n o l o g yw h i c hi su s e dt oc o m p a r e t h es u b s y s t e m ss t a t u s e sw h e ni n t r u s i o na l a r m s a r ea r r i v e da n dc h e c kt h es t a t u s e sp e r i o d i c a l l y , p r o v i d e si n t r u s i o n t o l e r a n tc a p a b i l i t yt o t h ew h o l es y s t e m a n dt h eg a pt e c h n o l o g yi su s e dt op r o t e c tt h ek e yo ft h ep l a n - t h e v o t e r ，w h i l et h en o r m a lc o m m u n i c a t i o ni sg u a r a n t e e db e c a u s et h ec o r r u p to f t h ev o t e r w i l lm a k et h ew h o l es y s t e ml o s si n t r u s i o n - t o l e r a n tc a p a b i l i t y , a n dt h ea t t a c k e rw i l l d e s t r o yt h es u b s y s t e mo n eb yo n e a l s ot h em a n d a t o r ya c c e s sc o n t r o lt e c h n o l o g yi s u s e dt op r o t e c tt h es u b s y s t e m b yu s i n ga l lt h e s ew ec a r le n s u r et h es a f eo f t h ew h o l e s y s t e m a tl a s t ，w e i m p l e m e n t e d as i m u l a t i o n s y s t e m a n de v a l u a t e dt h ei d sw i t h p r o a c t i v ei n t r u s i o n - t o l e r a n tt e c h n o l o g y , d e m o n s t r a t i n gi t sa d v a n t a g e si np r o t e c t i n gt h e i d sf r o mi n t r u d e r s ，w i t ht h er e s u l tt h a tt h ep r o a c t i v ei n t r u s i o n t o l e r a n tt e c h n o l o g yc a n i n d e e dp r o t e c to u ri d s a n dw ed i s c u s s e da n da n a l y z e dt h ep e r f o r m a n c eo f t h es y s t e m a n dh o wt os e tt h ek e y p a r a m e t e r k e y w o r d s ：i n t r u s i o n d e t e c t i o n ，i n t r u s i o n t o l e r a n t ，p r o a e f i v e ，g a pt e c h n o l o g y 声明 6 9 5 7 2 6 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名 皴纽这日期：趔：左塑 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技火学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印、或其它复印手段保存论文。( 保密的论 文在解密后遵守此规定) 本人签名 导师签名 谧垒王继日期：2 堕! 垫 日期：趟匹! 厶迦 第一章绪论 第一章绪论 近年来随着计算机技术的不断发展，网络规模的不断扩大，系统遭受的入侵 和攻击越来越多，网络与信息安全问题变得越来越突出。计算机网络安全、信息 安全已经成为一个国际性的问题，每年全球因计算机网络的安全问题而造成的经 济损失达数百亿美元，而且这个数字每年都在增加。 政府机关、金融机构、商业机构和企业都有自己的内联网资源，他们在电子 商务热潮中纷纷进入因特网。以政府上网为标志的电子政务使国际机关和因特网 互联。为了快速获取信息、发布信息和交流信息，各种机构、企事业单位都连入 了因特网。无数的个体为了陕速方便的学习、搜索信息、与他人交流和休闲娱乐， 纷纷将自己的主机加入因特网。网络使得世界在变小，网络已经使得包括个人、 企业与政府等在内的全社会信息共享成为现实。随着网络应用的范围的不断扩大， 对网络各类攻击与破坏也与日俱增。无论政府还是商务、金融、传媒的网站都在 吖i 同程度上受到入侵与破坏。网络安全己成为国家与国防安全的重要组成部分。 内部系统被入侵会引起数据破坏与泄密，并由此引出其他网络安全问题和社会问 题。除了外部入侵之外，内部人员的滥用和泄密也不可忽视。据统计，全球8 0 以上的入侵都来自内部。不太自律的员工对网络资源无节制的滥用以及他们恶意 的窃取行为对企业可能造成巨大的损失。 据统计，信息窃取事件在过去的几年里以2 5 0 的速度增长，大多数大公剧 都发生过大的入侵事件。世界著名的商业网站多数都曾被黑客入侵，造成了巨大 的经济损失。连一些专门从事网络安全的网站也受到过黑客的攻击。因此，对于 入侵的检测与防范，保护计算机系统、网络系统及整个信息基础设施的安全已经 成为刻不容缓的重要课题。 1 1 计算机网络安全 在信息社会中，计算机通信网络在政治、军事、金融、交通、电信等方面的 作用日益增大，社会对计算机网络的依赖也不断增强，尤其是计算机技术和通信 技术相结合所形成的信息基础设施已经成为反映信息社会特征最重要的基础设 施。在这些信息基础设施上，人们建立了各种备样完备的信息服务系统，使得社 会中的一些机密信息高度集中于计算机系统中。同时，这些信息系统都是依靠计 算机网络接受和处理信息，实现相互间的联系和对目标的管理控制的，随着网络 的开放性、共享性及互联程度的逐渐扩大，特别是i n t e m e t 的出现以及i n t e m e t 上 电子商务( e l e c t r o n i cc o m m e r c e ) 、电子现金( e l e c t r o n i cc a s h ) 、嘲络银行( n e t w o r k 基于先应式容忍入侵技术的入侵检测系统的设计与研究 b a n k 】等网络工程的建设使得安全问题显得越来越重要。 网络安全是一个系统的概念，有效地安全策略或方案的制定，是网络信息安 全的首要任务。计算机网络安全需求归纳起来主要体现在以下几方面： 机密性( c o n f i d e n t i a l i t y ) ：机密性要求只有合法的授权用户才能对机密或 受限的数据进行存取，未被授权的用户则无法访问、存取数据。 完整性( i n t e g r i t y ) ：完整性要求保持系统内数据的正确性和一致性。也就 是说，0 ：管在任何情况下都要保护数据不受破坏或篡改。 q r 用性( a v a i l a b i l i t y ) ：计算机资源和系统中的数据信息在系统合法用户需 要使用时必须是可用的，即对授权用户系统应该尽量避免系统资源被耗尽或服务 被拒绝的情况出现。 入侵和攻击主要是破坏系统安全的以e 特性。例如，非法用户在盗取了系统 的管理员秘密后，就可以完全控制该主机，为所欲为。本来无权访问的文件和数 据，现在可以访问了，这就破坏了系统的机密性。入侵者如果还改变了系统原有 的配置，改变了文件的内容，修改数据，就破坏了系统的完整性。攻击者使用拒 绝服务攻击，使得目标主机的资源被耗尽。网络带宽被完全占用，就破坏了系统 的可用性。入侵者的企图不同，对系统安全特性的破坏也就不同，但不管是破坏 了哪一个特性，都会对系统和网络的安全构成严重威胁。因此，保证网络和系统 的安全，就是要保障系统的机密性、完整性和可用性不被破坏。 1 2 网络安全防护体系构成 当前的网络安全保护体系主要是用密码技术、身份验证、防火墙、物理隔离、 入侵检测技术等来防止网络故障和网络入侵等行为地发生。 其中密码技术就是通过信息的变化或编码将机敏的敏感信息变换成难以读懂 的乱码型以实现信息的隐藏和消息的认证；防火墙处于系统的最外层，是整个网 络安全防护体系的第一道门户。它的主要作用是将内部网络和外部网络隔离，按 照定义好的过滤规则对网络数据包进行过滤，限制外部数据包的非法进入；物理 隔离技术是指通过实现内部网间接的连接到公共网，从而使网络和外部公共网络 在物理上处于隔离状态的一种网络安全技术；入侵检测通过检测系统活动中的攻 击特征和异常行来发现是否存在攻击，做出警报，必要时还能进行如网络连接阻 断等响应操作，相对于其他几种技术，它的运行是实时的主动的。 如上所述密码技术、防火墙、入侵检测是几种重要的网络安全技术，但是它 们都不是完美的，都存在着不足，单纯地依赖莱一种安全技术都难于面对目前复 杂多变的网络安全威胁。因此，如何构遗一个合理有效的网络安全模型，以便综 合有效利用各种网络安全技术的优点弥补它们各自的不足，从而更有效地防范各 第一章绪论 种网络攻击，保障网络的安全就显得尤为重要。 1 3p 2 d r 动态安全模型 网络的安全的程度是随着时间的演化和环境的变化而发生改变的，需要随着 网络环境的变化和技术的不断发展进行不断的调整和加强。针对日益严重的网络 安全问题和越来越突出的安全需求，一个“动态安全模型”应运而生。模型结构 如下图： 图11p 2 d r 模型 p 2 d r 模型包含四个主要部分：p o l i c y ( 安全策略) 、p r o t e c t i o n ( 防护) 、 d e t e c t i o n ( 检测) 和r e s p o n s e ( 响应) 。 p 2 d r 模型是在整体的安全策略( p o l i c y ) 的控制和指导下，在综合运用防护 工具( p r o t e c t i o n 如防火墙、操作系统身份认证、加密等手段) 的同时，利用检测 工具( d e t e c t i o n 如漏洞评估、入侵检测等系统、了解和评估系统的安全状态，通过 适当的响应( r e s p o n s e l 将系统调整到最安全和风险最低的状态一个完整的动态的 安全循环。 1 4 入侵检测系统的必要性 在第二节网络安全防护体系构成中所叙述的安全技术中，除入侵检测外均属 于静态的安全防御技术。 静态的安全防御技术仅能孤立的完成p 2 d r 模型中的“防护”和“检测”任 务，无法实现p 2 d r 模型中“检测”到“防护”、“防护”到“响应”、“响应”到 “检测”等状态的动态转换，因而，仅依靠静态的安全防御技术，无法应对网络 环境r 日新月异的攻击手段，缺乏对其主动的反应，不能及时发现系统潜在的漏 洞和错误，一旦黑客入侵取得合法的用户身份，或者越过防火墙进入网络系统， 基于先应式容忍入侵技术韵入侵检铡系统的设计与研究 则这种静态防御系统将不能再发挥作用。 由于静态的安全技术自身存在着不可克服的缺点，这激发了人们对动态安全 技术的研究。入侵检测是动态安全技术的最核心技术之一，是防火墙的合理补充， 是安全防御体系的一个重要组成部分。 入侵检测技术作为种主动防护技术，可以在攻击发生时记录攻击者的行为， 发出警报，必要时还可以追踪攻击者。它既可以独立运行，也可以与防火墙的安 全技术协同 二作，更好的保护网络。因此入侵检测系统是整个网络安全防护体 系中的一个重要组成部分，其功能和地位都是其他安全策略无法取代的。随着入 侵和攻击的4 i 断增多，网络规模的不断扩大，入侵检测技术越来越受到人们的重 视，入侵检测系统也越来越多的援人们使用。 第二章入侵检测技术 第二章入侵检测技术 本章主要介绍入侵检测的相关知识。首先介绍八侵检测的基本概念：然后重 点介绍入侵检测的原理和理论模型，并对入侵检测系统的分类功能要求等做了 简单介绍。最后引出了入侵检测系统的安全问题。 2 1 入侵检测系统的原理 2 1 1 入侵检测系统的原理 入侵( i n t r u s i o n ) 是指任何企图破坏资源的完整性保密性和有效性的行为，也指 违背系统安全策略的任何事件。入侵行为不仅仅指来自外部的攻击，同时也包括 内部用户的未授权行为。有时内部人员滥用特权的攻击则是系统安全的虽大隐患。 从入侵策略的角度来看，入侵可以分为：企图进入、冒充其它合法用户、成功进 入、合法用户的泄漏、拒绝服务及恶意使用等几个方向。另外，各种系统自身的 缺陷系统的不当配置，网络协议在实现上的漏洞，应用软件的缺陷等都会为入侵 者提供有利可乘的机会。 入侵检澳l j ( i n t r u s i o nd e t e c t i o n ) 是指通过计算机网络或计算机系统中的若干关 键点收集信息，并对其进行分析从中发现网络或主机系统中是否有违反安全策略 的行为和遭到攻击的迹象，并做出一定的响应。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m 简称i d s ) 是实现入侵检测功能的一 系列的软件硬件的组合，它是入侵检测的具体实现系统。作为一种安全管理工具， 它从不同的系统资源收集信息，分析反映误用或异常行为模式的信息，对检测的 行为做出自动的反应，并报告检测的结果。入侵检测系统就其最基本的形式来讲， 可以说是一个分类器，它是根据系统的安全策略来对收集到的事件状态信息进行 分类处理，从而判断入侵和非入侵行为。 入侵检测系统是对计算机和计算机网络系统的入侵行为进行检测的自动系 统。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员 的安全管理能力( 包括安全审计监视进攻识别和响应) ，提高了信息安全基础结构 的完整性。 对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统 ( 包括程序文件和硬件设备等) 的任何变更，还能给网络安全策略的制订提供指南。 更为重要的一点是，它容易管理、配置简单，从而使非专业人员非常容易地获得 网络安全。而且入侵检测的规模还能够根据网络威胁系统构造和安全需求的改变 基于先应式容忍入侵技术的入侵检测系统的设计与研究 而改变。性能良好的入侵检测系统在发现入侵后会及时做出响应，包括切断网络 连接、记录事件和报警等。 这些功能都通过执行以f 任务来实现 ( 1 ) 监视分析用户及系统的活动 ( 2 ) 对系统构造和存在弱点的审计 ( 3 ) 识别反映已知攻击的活动模式并向管理员报警 。( 4 ) 异常行为模式的统计分析 ( 5 ) 评估重要系统和数据文件的完整性 ( 6 ) 操作系统的审计跟踪管理并识别用户违反安全策略的行为 2 1 2 入侵检测系统的分类 入侵检测系统通过对入侵行为的过程与特征进行研究，使安全系统对入侵事 件和入侵过程做出实时响应。我们可以按照其采用的技术及所检测的对象进行分 类。 1 按采用的技术分类分为两类 ( 1 ) 异常检测技术 异常检测( a n o m a l yd e t e c t i o n ) 是假设入侵者的活动异常于正常主体的活动。 根据这u 一理念建立主体的正常活动的活动模型，将当前主体的活动状况与活动模 型相比较，当违反其统计规律时，认为该活动可能是入侵行为。异常检测的难题 在于如何建立活动模型，以及如何设计统计算法，从而不把正常的操作作为入侵 或忽略真正的入侵行；为比，如通过流量统计分析，将异常时间的异常网络流量 视为可疑。异常发现技术的局限是：并非所有的入侵都表现为异常，而且系统的 轨迹难于计算和更新。这些都给异常检测技术的发展带来很多阻力。 ( 2 ) 模式检测技术 也称为特征检测( s i g n a t u r e - b a s e dd e t e c t i o n ) 。这种检测技术假定所有入侵行 为和手段( 及其变种) 都能够表达为一种模式或特征，那么所有已知的入侵行为都 可以用匹配的方法发现。模式发现的关键是：如何表达入侵行为的模式，把真正 的入侵行为与正常行为区分开来。特征检测可以将已有的入侵行为检查出来，优 点是误报少，但对新的入侵方法却无能为力。其难点在于如何设计模式，既能够 表达入侵行为又不会将正常的活动包含进来。 2 入侵检测系统按其检测数据的来源来看分为三类 ( 1 ) 基于主机的入侵检测系统( h i d s ) 基于主机的入侵检测产品通常安装在被重点监控的主机之上，主要是对该主 机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十 分可疑( 特征或违反统计规律) ，入侵检测系统就会采取相应措施。 第二章入侵检测技术 主机入侵检测系统的优点 主机入侵检测系统对分析可能的攻击行为非常有用。举例来说，有时候它除 了指出入侵者试图执行一些危险的命令之外，还能知道入侵者干了什么事，如： 他们运行了什么程序打开了哪些文件、执行了哪些系统调用，这些信息可以通过 检测系统的日志等来获得。主机入侵检测系统与网络入侵检测系统相比通常能够 提供更详尽的相关信息。主机入侵检溺系统通常情况下比网络入侵检测系统误报 率要低，因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂性 也少得多。 主机入侵检测系统可部署在那些不需要泛的入侵检测，传感器与控制台之 间的通信带宽不足的情况下。 主机入侵检测系统的弱点 主机入侵检测系统要安装在我们需要保护的设备扛。举例来说，当一个数据 库服务器要保护时，就要在服务器本身上安装入侵检测系统。这会降低应用系统 的效率；此外它也会带来些额外的安全阔题：安装了主枧入侵检测系统后，将 本不允许安全管理员有权力访问的服务器变成它可以访问的了。 主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力。 如果服务器没有配置日志功能，则必需重新配置。这将会给运行中的业务系统带 来不可预见的性能影响。 全面部署主机入侵检测系统代价较大。企业中很难将所有主机用主机入侵检 测系统保护，只能选择部分主机保护。那些未安装主机入侵检测系统的机器将成 为保护的盲点，入侵者可利用这些机器达到攻击目标。 主机入侵检测系统除了监测自身的主机以外，根本不监测网络上的情况对入 侵行。对入侵行为的分析的工作量将箍着主机数目增加而增加。 ( 2 ) 基于网络的入侵检测系统( n i d s l 其检测的数据来源于网络的信息流，能够检测相应关键两段上发生的网络入 侵。基于网络的入侵检测产品放置在比较重要的网段端口处不停地监视网段中 出入的各种数据包，对每一个数据包或可疑的数据包进行特征分析，如果数据包 与产品内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。 目前大部分入侵检测产品是基于网络的。值得一提的是在网络入侵检测系统 中，有多个久负盛名的开放源码软件：它们是s n o r t 、n f r 、s h a d o w 等，其中对 于s n o r t 的研究非常活跃，其入侵特征更新速度与研发的进展已超过了火部分商 品化产品，这也给基于网络入侵检测系统一个很好的发展机会。 网终入侵检测系统的优点 1 ) 更好检测非法访问。网络入侵检测系统能够检测那些来自网络的攻击，它 能够检测到超过授权的非法访问。 基于先应式容忍入侵技术的入侵检测系统的设计与研究 2 ) 操作系统独立。基于网络的i d s 并不依赖主机的操作系统作为检测资源， 而基于主机的系统需要特定的操作系统才能发挥作用。一个网络入侵检测系统不 需要改变服务器等主机的配置。由于它不会在安装有应用系统的主机中安装额外 的软件，从而不会影响这些机器的c p u 、i o 与磁盘等资源的使用配置，不会影 响麻用系统的性能。 3 ) 实施风险较小。由于网络入侵检测系统不像路由器防火墙等关键设备方式 工作，它不会成为系统中的关键路径，网络入侵检测系统发生故障不会影响正常 应用的运行部署。一个网络入侵检测系统的风险比主机入侵检测系统的风险少得 多。 4 ) 安装方便。网络入侵检测系统近年内有向专门的设备发展的趋势，安装这 样的吟网络入侵检钡系统非常方便，只需将定制的设备接卜电源，做很少些 配嚣将其连到网络上即可。 5 ) 实时检测和应答，一旦发生恶意访目或攻击，基于网络的i d s 可以随时发 现它们，因此能够更快地傲出反应从而将入侵活动对系统的破坏减到最低。 网络入侵检测系统的弱点 1 ) 网络入侵检测系统只检查与它直接连接网段的通信，不能检测在不同网段 的网络包。在使用交换技术的以太网环境中，就会出现监测范围的局限。而安装 多台网络入侵检测系统的传感器会使部署整个系统的成本大大增加。 2 ) 网络入侵检测系统为了性能目标，通常采用特征检测的方法。它可以检测 出普通的一些攻击，而很难实现一些复杂的、需要大量计算与分析时间的攻击检 测。 3 ) 网络入侵检测系统可能会将大量的数据传回分析系统中。在一些系统中监 听特定端e l 或者服务的数据包会产生大量的分析数据流量，一些系统在实现时采 用一定方法来减少回传的数据量，对入侵判断的决策由传感器实现，而中央控制 台成为状态显示与通信中心，不再作为入侵行为分析器。这样系统中的传感器协 同工作能力较弱。 4 ) 网络入侵检测系统处理加密的会话过程较困难。目前通过加密通道的攻击 尚不多，但随着i p v 6 的普及这个问题可能会越来越突出。 ( 3 ) 分布式入侵检测系统 前两类入侵检测系统虽然能够在某些方面有很好的检测效果，但从总体来看 都各育不足，孤立地去评估都是不可取的，同时它们的缺撼也是互补的，如果这 两类产品能够无缝结合起来部署，在网络内则会构架成一套完整立体的主动防御 体系。综合了基于网络和基于主机两种结构特点的入侵检测系统能够同时分析来 自主机系统审计日志和网络数据流，既可发现网络中的攻击信息也可从系统日志 中发现主机异常情况。 第二章入侵检测技术9 2 2 i ds 功能的总体要求 上文我们对入侵检测系统进行了详细分析，具体设计实现i d s 时我们可以根 据具体实际需求选取比较适合的i d s 类型来实现。不管确定什么类型采用何种技 术和方法，从i d s 实现性能要求来说，一个性能优异的i d s 一般应该具备以卜 基本功能： 1 检测系统能够连续运行 2 检测算法快速有效 3 入侵响应积极合理 4 管理界面友好便捷 5 系统本身具有高稳定性 要应用到实际的计算机网络系统中，入侵检测系统仅实现以上基本功能还远 不能胜任安全检测防护的重任，还要不断进行进一一步研究改进和完善，增加必要 的相关安全技术模块等，使得i d s 具有更好的网络安全防护性能。 2 3 入侵检测系统模型 2 3 1 入侵检测系统通用模型( c 1 d f 】 d o m t h yd e a n i n g ( 1 9 8 7 年) 介绍了一种通用的入侵检测模型，即通用入侵检测 模型( c o m m o n i n t r u s i o n d e t e c t i o n f r a m e w o r k 简称c i d f ) ，如图2 1 所示。为了入 侵检测技术更好发展，由t e r e s al u n t 等人发起成立了c i d f 工作组，专门对入 侵检测进行标准化，开发一些协议和应用程序接口，以便入侵检测研究项目能够 共享信息和资源。同样入侵检测系统组件也可以被其他系统应用。 图2 1 入侵检铡系统迸用模型c i d f 它将入侵检测系统分为以下组件： 事件产生器( b v e n tg e n e r a t o r s 简称为e - b o x e s ) 事件分析器( e v e n ta n a l y z e r s 简称为a - b o x e s ) 响应单元( r e s p o n s eu n i t s 简称为r - b o x e s ) 基于先应式容忍入侵技术的入侵检测系统的设计与研究 事件数据库( e v e n td a t a b a s e s 简称为d b o x e s ) c 1 d f 将入侵检测系统需要分析的数据统称为事件( e v e n t ) ，它可以是基于网 络的入侵检测系统中的网络数据包，也可以是基于主机的入侵检测系统从系统日 志等其它途径得到的信息。它也对于各部件之间的信息传递格式通信方法和标准 a p l 进行了标准化。 事件产生器的目的是从整个监控环境中获得事件，并向系统的其它部分提供 此事件；事件分析器分析得到的数据，并产生分析结果：响应单元则是对分析结 果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应，甚至 发动对攻击者的反击，也可以只是简单的报警，目前的i d s 基本采用报警方式进 行；响应事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的 数据库也可以是简单的文本文件。 c i d f 框架中的各个组件是独立的，可以分布在不同的计算机一l - 运行。 c i d f 是一个正在进行的标准化工作，很多文档内容还没有定稿，也没有 个入侵检测商业产品完全采用该标准，但是现有的入侵检测太都基于该模型来改 进设计、实现。所以，不同的入侵检测系统的系统模型都有很大的相似性。 2 3 2 分布式入侵检测系统框架 通过对传统的入侵检测系统的分析，我们可咀发现各种检测模型与技术都有 其局限性没有比较通用的检测方法，最好是结合多种入侵检浏方法和技术；其 次，最初的入侵检测采用集中式的检测方法对收集到的网络数据进行集中地处理， 这种方法的缺点是：如果一点被击破则全线崩溃；另外传统的入侵检测系统扩展 性差，不能检测大规模的入侵活动。 随着网络流量的迅速增大，各种网络攻击的复杂化，分布式入侵检测系统 ( d i s t r i b u t e di n t r u s i o n d e t e c t i o ns y s t e m 简称d w s ) 正在成为入侵检测领域研究的 热点。 部分厂商已经实现了分布式入侵检测系统，逐渐替代了另外两种单纯采 用基于主机或者基于网络的i d s 产品。 一个具有实时性要求的网络安全工其必须是一个安全的应用程序，不能因为 其引入而给系统带来其它的安全问题，应具有合理的系统结构来保证检测的实时 性和有效性，同时要充分考虑实际应用环境的需求，在设计分布式入侵检测系统 时一般考虑的设计原则和策略为： ( 1 ) 采用分布监视集中管理的模式，通过一个管理站点虢视分布在网络上的 若干个系统。 ( 2 ) 运用模块化构件思想使系统具有良好的可扩展性。 1 ( 3 ) 尽量减少对系统和网络性能的影响和资源占用，同时不能向其宿主计算 机系统以及其所属的计算机环境中引入新的安全问题及安全隐患。 第二章入侵检测技术 1 1 ( 4 ) 对于攻击事件的错报与漏报能够控制在定范围内。 ( 5 ) 为了检测不断出现的新的攻击系统应具有较好的可适应性。 在分析上述c i d f 模型的基础上，下面我们给出分布式入侵检测系统( d i d s ) 的一般设计模型，如图2 2 所示 网络引擎和主机代理属于c i d f 中的事件产生器，网络引擎截获网络中的原 始数据包，并从其中寻找可能的入侵信息或其它敏感信息；主机代理以各种方法 收集信息：包括分析曰志、监视用户行为、分析系统调用、分析该主机的网络通 信等，它们具有一定的数据分析功能；对于已知的攻击，在这些部件中采用模式 匹配的方法可以大大提高系统的处理速度，同时也可以减少分析部件的工作量及 对系统网络传输的影响。 圈2 , 2 分布式入侵检测系统模型 存储系统的作用是用来存贮事件产生器捕获的原始数据、分析结果等。存储 的原始数据在对发现入侵者进行法律制载时可以提供确凿的证据。存储系统也是 不同部件之间数据处理的共享数据库，为系统不同部件提供各自感* 趣的数据。 因此，存储系统应该提供灵活的数据维护处理和查询服务，同时也是个安全的 曰志系统。 分析系统是对事件发生器捕获的原始信息和其它入侵检测系统提供的可疑信 息进行统一分析及处理的系统。分析系统注重于高层次的分析方法，如统计的分 析方法、神经网络的分析方法等，同时负责分布式攻击的检测。分析系统是整个 入侵检测系统的大脑，分析方法则是该系统的思维能力，各种分析方法都有各自 的优势和不足，因此系统中分析方法应该可以动态更换并且多种算法并存。 响应系统是对确认的入侵行为采取相应措施的子系统。响应系统可以采取许 多的措施来报警，如给管理员发电子邮件、消息传呼等。 控制台是整个入侵检测系统和用户交互的界面。用户可以提供控制台配置功 能，系统中的各个部件也通过控制台了解各部件的运行情况。 基于先应式容忍入侵技术的入侵检测系统的设计与研究 分布式入侵检测系统的实现主要采用了三个模块：数据收集及分析模块，这 是数据采集和数据分析的合体；报警信息收集模块，它接收到报警信息，并将信 息存储为日志报警信息；显示模块，即控制台，为管理员提供了更友好的观察日 志的图形界面。三者的关系如图2 3 所示： 图23 分布式入侵检溅模块之同韵关系 图2 2 所示的系统框架是d i d s 的一般通用模型，在具体设计实现时根据有 无控制中心大致把它们分成两类：层次式入侵检测系统及协作式入侵检测系统。 协作式入侵检测系统各分布部件之间不存在主从之分，相互协作优点是比较灵活， 系统的容错能力较强，各分布部件可以独立工作；缺点是各分布部件之间的协同 算法比较复杂，缺少一个统一的处理模块，不利于对全局安全事件的理解。 层次式入侵检测系统则把系统分成若干层次，上层部件控制下层部件。它的 优点是系统由控制中心统一控制，有利于大规模入侵事件的检测：缺点是如果主 控模块遭到破坏则整个系统工作会受到影响。 2 4 现有i ds 存在的弱点 由于网络技术的复杂化，再加上网络攻击手段的专业化，目前的i d s 产品尤 其是简单基于c i d f 模型的i d s 系统已经远不能够满足网络安全的要求了。经过 认真分析，我们认为现在的i d s 产品存在许多不足，有结构性的也有技术性的， 主要有： ( 1 ) 目前关于入侵检测的研究大部分都集中于研究检溯方法，追求检测效率 的提高和对新型攻击的自动检测，而入侵检测系统本身的安全却未能受到足够重 视，往往使得入侵检测系统在入侵者面前暴露无疑。而现在的攻击者在攻击网络 上的关键服务时，如果发现此服务有入侵检测保护，往往首先攻击入侵检测系统， 使之停止其保护作用，再攻击被入侵检测系统保护的对象。 当入侵者攻入了入侵检测系统( i d s ) ，并成功的扰乱了入侵检测工作，那么 入侵检测系统对关键服务的保护就形同虚设了。因此作为整个系统安全的个重 要方面，我们必须重视入侵检测系统本身的安全。 ( 2 ) l i d s 不可能检测所有的数据包。基于网络的入侵检测系统难以跟上网络 速度的发展，截获网络的每一个数据包，并分析匹配其中是否具有某种攻击的特 征需要花费时间和系统资源，现有的入侵检测系统在l o m 网上检查所有数据包 中的几十种攻击特征时可以很好地工作；但是，现在很多网络都是5 0 m 、1 0 0 m 甚 第二章入侵检测技术 至千兆网络，网络速度的发展远远超过了数据包模式分析技术发展的速度。 ( 3 ) 攻击特征库的更新不及时。绝大多数的入侵检测系统( 尤其是顶级的i d s 产品) 大多采用模式匹配的分析方法。这要求攻击特征库的特征值应该是最新的， 但现在很多入侵检测系统没有提供诸如“推技术”的方法来及时更新攻击特征数 据库。虽然一些顶级的1 d s 产品提供了网上升级功能，但在如今每天都有新漏洞 发布每天都有新的攻击方法产生的情况下显然还不能满足安全需求。目前很多 i d s 产品采用都采用手工升级的方法实现攻击特征库的更新以及系统版本的升 级。 ( 4 ) 检测分析方法单一。现在网络上的攻击方法的越来越复杂，单一的基于 模式匹配或统计的分析方法已经难以发现某些薪型攻击。另外基于模式匹配和基 于统计的分析方法各有所长，入侵检测系统的发展趋势是在同个系统中同时使 用不同的分析方法，现在实现的入侵检测系统大多数没有使用智能化的分析方法。 ( 5 ) 不同的入侵检测系统之间不能互操作。在大型网络中网络不同的部分可 能使用了不同的入侵检测系统，但现在的入侵检测系统之间不能够相互交换信息， 使得发现了攻击时难以找到攻击的源头，甚至给入侵者制造了攻击的漏洞，全局 性安全问题不能很好解决。 ( 6 ) 不能和其它网络安全产品互操作。入侵检测不是安全的终极武器，一个 安全的网络中应该根据安全策略使用多种安全产品。但入侵检测系统不能很好的 和其它安全产品协作，比如：一个网络中每两个小时自动运行一次漏洞扫描程序， 如果它们不能够互操作，入侵检测系统将每两个小时产生一次警报。 ( 7 ) 检测误撮率较高。目前i d s 产品的检测判定都只有两种结论“是否”， 这样i d s 为了确保网络服务的安全性，i d s 设定的规则一般偏向保守，对于不能 明确判定为非攻击的服务请求全部归入攻击，服务系统的容错能力比较低，这也 降低了网络服务的可用性。 本节歹d 出的这些入侵检测系统的相关闯题，有些是可以通过对入侵检测系统 自身的检测模型、算法、信息交换模式、借1 2 1 规范进行改进就可以解决的，比如： 单一的检测方法，检测误报率高，不同的入侵检测系统间、以及与其他网络安全 产品不能互操作等问题等：而有些则是现有入侵检测系统的体系结构所引起的固 有问题，必须对入侵检测系统的基本原理或其体系构架引进革新性的理论技术方 能得到解决，比如：入侵检测系统的安全问题。 关于入侵检测系统的安全问题，我们将在下一章中进行进一步的研究。 1 4 基于先应式容忍入侵技术的入侵检测系统的设计与研究 第三章入侵检测系统的安全问题及研究现状 本章研究了入侵检测系统的安全问题，用攻击树和相关的攻击模式语言对其 进行了描述。针对这些安全问题介绍了现有常用的保护方法，对这些保护方法的 基本原理作出总结并指出其优点与其不足。 3 1 入侵检测系统的安全问题 3 1 ，1 入侵检测系统的通用工作模型 入侵检测系统的安全问题与入侵检测系统的体系构架和工作方式密切相关 在下面的工作中，我们首先回顾日前检测系统的通用工作模式。 圈3 1 入侵检测系统的通用模型 图3 1 给出了“入侵检测系统的通用模型”，我们从圈中可以看出入侵检测系 统工作时的数据处理流程：数据收集模块从被监测事件源处收集检测数据，经简 单加工后交由分析