（计算机应用技术专业论文）网络安全入侵检测系统虚拟实验室的设计与实现.pdf

摘要 随着信息安全越来越受到人们的重视，很多高校计算机系开设了 信息安全专业，迫切需要一个安全产品实验平台。但是安全产品大多 都是软硬结合的产品，配置复杂，很少在教学或培训中使用实物进行 实验。基于i n t e r n e t 的虚拟实验室技术的发展让学生通过远程教育 方式快速、廉价地获取信息安全专业知识和技能成为了可能。 本文在深入研究入侵检测系统原理及通用入侵检测系统框架的 基础上提出并实现了一个基于网络入侵检测系统虚拟实验室模型系 统。该系统采用j a v a 语言实现，系统各模块采用组件的方式开发， 使得该实验室具有良好的扩充性。文中对该系统的设计与实现进行了 详尽的论述，模拟的入侵检测系统采用组件化设计方式让用户可以对 、 入侵检测系统各模块进行管理配置；采用图表化响应方式让用户对网 络运行监控有一个形象的认识和了解；其流量产生器生成的模拟网络 流量可以用来评估其它网络入侵检测系统和计算基于网络的入侵检 测算法的检测率。同时系统的可扩展性使得用户可以将自己的检测算 法提交并验证其有效性。 最后，本文通过一个实例演示了该系统实验流程，并对已完成的 工作及下一步需要进行的工作进行了总结。 关键词：入侵检测系统，虚拟实验室，系统评估，通用入侵检测框 架 a b s t r a c t w i t ht h ei n f o r m a t i o n s e c u r i t yb e i n g c a r e db y p e o p l e ，m o s t u n i v e r s i t i e sh a v et h e i ri n f o r m a t i o ns e c u r i t yd e p a r t m e n t ，a n du r g e n t l yn e e d al a bf o ri n f o r m a t i o ns e c u r i t y b u tt h es e c u r i t yd e v i c e sa r ec o m b i n a t i o n s o fh a r d w a r ea n ds o f t w a r e ，a n dg e n e r a l l yd i d n tb ea p p l i e df o rt e a c h i n g t h ev i r t u a ll a b o r a t o r y ( v l ) b a s e do nt h ei n t e m e ts o l v e dt h ep r o b l e m a n dm a k ei tp o s s i b l et h a tp e o p l ec a na c q u i r e k n o w l e d g et h r o u g hi n t e m e t i nt h i sp a p e r , w ef i r s t l ys u r v e yi nd e t a i lt h et h e o r i e so fc o m m o n i n t r u s i o nd e t e c t i o nf r a m e s ( o d da n di n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) b a s e do nt h et h e o r i e s ，w ep r o p o s ea nn e t w o r k - b a s e d ( 玎) s ) v m u a ll a b m o d e la n dt h e nd i s c u s st h ed e s i g na n di m p l e m e n t a t i o no ft h ev i r t u a li d s l a b o r a t o r yu s i n gt h em o d e l ，w h i c hc a nl e tu s e r sm a n a g ea n dr e - c o n f i g u r e t h em o d u l e sb y u s i n gj a v ab e a nc o m p o n e n t st e c h n o l o g y , w h i c hc a ns h o w t h e mt h es t a t u so ft h en e t w o r ks e c u r i t yb yu s i n gc h a r ts h e e t ，a n dw h i c h c a nt e s to t h e rn e t w o r k - b a s e di d sb yu s i n gt h et r a f f i cg e n e r a t e db yt h e p a c k e t sg e n e r a t o ro f t h es y s t e m a n da l s ot h ee x p a n s i b i l i t yo f t h es y s t e m c a nl e tu s e r ss u b m i ta n dv e r i f yt h e i ro w n a l g o r i t h m s f i n a l l y , a f t e rd e m o n s t r a t i n gt h es y s t e m , w es u m m a r i z eo u rw o r k , a n dd i s c u s sh o wt oe x t e n dt h es y s t e mb o t hi nf u n c t i o n a l i t ya n dc o n t e n ti n t h ef u t u r e k e yw o r d s ：i n t r u s i o nd e t e c t i o ns y s t e m ，v i r t u a ll a b o r a t o r y , s y s t e m e v a l u a t i o n , c o m m o ni n t r u s i o nd e t e c t i o nf r a l n e s 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特5 1 1 ) j t l 以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名： 墨望：呈i ! ! t ；t l ：至鲨年月兰1 日 关于学位论文使用授权说明 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文，允许学位论文被查阅和借阅：学校可以公布学位 论文的全部或部分内容，可以采用复印、缩印或其它手段保存学位论 文；学校可根据国家或湖南省有关部门规定送交学位论文。 作者签名：_ 二至垒兰导师签名j 姿盘日期：至堕年月皇日 硕士学位论文 第一章绪论 第一章绪论 1 1 课题的研究背景 随着计算机技术的高速发展，计算机应用技术的不断普及，以及快速更新的 网络通信技术，推动了因特网在世界范围内的飞速发展。各种网络服务已经进入 了人们的日常生活，人们将因特网看成是第二次信息革命的标志，它将彻底改变 信息产业的运作方式并且对世界上其他绝大多数行业产生深远的影响。 中国互联网信息中心( c n n i c ) 于2 0 0 5 年1 月1 8 日在北京发布了中国互联 网络发展状况统计报告 t l 。报告中显示，截止到2 0 0 4 年1 2 月3 1 日，我国的 上网计算机总数达到4 1 6 0 万台，网民总数达到9 4 0 0 万。报告称我国计算机总数 呈现较快的发展趋势，同比增长3 4 7 ，网民数量占总人口的7 2 ，说明互联网普 及程度还较低，存在较大的发展空问，但是其总数很大，发展速度很快。互联网 在中国进入了一个高速发展期，并且逐步进入了人们的日常生活，为人们的获取 信息提供了极大的便利。但是我们也注意到因特网本身所具有的开放性和共享性 对信息安全问题的严唆考验。 网络安全事件发生日益频繁，网络服务( 譬如网上银行等) 帐号及密码被窃 取的事件时有报道。还有人利用网络服务对提供相应的行业市场进行影响，从中 获利。曾有报道，“期货精灵”的作者利用窃取密码在转卖他人期权影响期货市 场从而使个人获利。随着网络应用的普及，网络安全事故产生的影响也就变的越 来越大越来越多的企业和单位开始采购网络安全防护设备( 包括防火墙、入侵 检测系绀2 】等等) 和招聘专职网络安全人员。很多高校计算机系也开始开设专门 的安全专业来培养专业的安全人员，但是这些设备通常是软硬结合的产品，设备 成本昂贵，配置和调试都比较复杂，对于非专业人士甚至安全专业的学生，接触 的机会并不是很多。有必要提供一个开放的实验环境，利用信息网络及计算机技 术的新成果，提供了更有效的实验手段，在这个背景下，提出建造“网络安全虚 拟实验室”，我们设计入侵检测系统实验室旨在让使用者对入侵检测系统原理、 网络运行监控等方面有一个形象地认识和了解。 虚拟实验室【3 】( v i r t u a ll e b o r a t o r y ) 概念，最早在1 9 8 9 年由美国u n i v e r s i t y o fv i r g i n i a 的w i l l i a mw u l f 教授提出，用来描述一个计算机网络化的虚拟 实验室环境【4 】它致力于构筑一个综合不同工具和技术的电子化、网络化的科学 研究集成环境。在这个环境里，科学家们可以非常有效地利用地理上分布的各种 资源( 数据、信息、设备、人力) 来从事科研活动。w u l f 形象地把虚拟实验室称 为。无墙的研究中心”【5 】。在虚拟实验室中，科研人员不管其地理位置分布如 硕士学位论文 第一章绪论 何，都能共同从事研究一与同事们相互交流，使用仪器，共享数据和资源，在 数字式图书馆中存取信息，共同撰写研究报告等。所有这些活动不必面对面进行， 而是在分布式网络环境【6 】支持下通过电子邮件系统、多媒体会议系统等手段来实 现。因此，虚拟实验室实质上是一个分布式计算机系统【7 】【3 羽。在系统中，配置有 具有遥控遥测能力的网络化研究设备和数据采集平台，有支持协作活动的各种工 具，建有可以支持大规模数据共享的数字式图书馆【耵。虚拟实验室的所有技术支 持都旨在增强科学家、仪器设备和数据等资源之间的交互交融，以提高科研效率， 降低科研成本，为发展高新科学技术提供强有力的技术保障，最终促进人类社会 的进步t 当前，在世界范围内，网络时代信息化社会的到来正一步推动高校教育的改 革，传统的课堂教学方式受到了挑战。远程教学作为一种新型的教育模式已成为 近年来各国教育界的重要研究课题。基于i n t e r n e t 的虚拟实验室【1 4 l 是现代远程 教学质量提高的关键，因为实验是大部分工程类和应用类课程的重要一环，是人 们快速、廉价地获取知识和技能的有效途径。虚拟实验室为用户提供了一种不受 时间，地点，实验设备限制的实验环境，对于高校实验教学改革具有重要的应用 价值，对于提高远程教育【3 9 1 的教学质量具有重要的意义。 1 2 课题的研究现状 目前，入侵检测系统的研究在国内外已经开展起来，出现了许多商用化的产 品，国外主流产品有1 s s 的基于主机的r e a l s e c u r eo ss e n s o r 和基于网络的 r e a l s e c u r en e t w o r ks e n s o r 、c i s c o 的n e t r a n g e r 、s y m a n t e c 的n e tp r o w l e ri d s 等等。国内知名产品有启明星辰的“天阗”系列、天融信的“网络卫士”入侵检 测系统、绿盟的“冰之眼”入侵检测系统、金诺网安的k i d s 入侵检测系统、中 科网威的“天眼”网络入侵检测系统和天一银河公司的“天一猎鹰”入侵检测系 统等等。此外开放源码的入侵检测系统最常见的有s n o r t 9 1 ，它可以作为一个跨平 台轻量级的网络入侵检测系统，其他的有基于l i n u x 的l i d s ，是一个基于内核 监视的检测系统。但市场化的i d s 产品很少去说明如何发现入侵者，而且i d s 厂商考虑商业利益以及防止攻击者确切得知检测原理和签名的工作机制，都不会 公布检测算法和攻击签名机制。因此，判断i d s 检测的准确性和检测率通常只有 依靠黑盒测试，普通用户在选择i d s 时通常由于相关工具的复杂性和相关知识的 匮乏，不能够进行科学的选择。而且这些产品大多都是软硬结合的产品，价格昂 贵，很少在教学或培训中使用实物进行实验，使得网络安全方面的培训以及入侵 检测系统产品方面的评测方面存在空白。随着网上远程教学的盛行以及网络虚拟 现实方面技术的进步，使得网络安全产品教学有了新的平台。 2 硕士学位论文 第一章绪论 国内外有很多组织都已经开展了虚拟实验系统的研究和建设工作，特别是在 一些著名的大学和虚拟实验室中，已经建好并投入使用的虚拟实验系统也不少。 v s l ( v i r t u a ls y s t e m sl a b o r a t o r y ，简称v s l ) 虚拟系统实验室，始建于1 9 8 9 年，由g e n t r a lf l o r i d a 大学教育训练研究院建立，其目标旨在提高计算机图形 的艺术表现力以及改进仿真过程中的人机接口设计。目前，该实验室正在开展多 项与虚拟实验相关的支撑技术研究，如虚拟实验环境中的网络及并行计算技术、 复杂实验环境的实时物理仿真技术、低价图形仿真技术等；已取得了大量的研究 成果，比如设计开发了第一例实时动态虚拟环境、第一例v r 3 d c a d 虚拟设计系 统等。 虚拟工程科学实验系统，由j o h n sh o p k i n s 大学化学工程系为配合课程 ( w h a ti se n g i n e e r i n g ? 的教学而建立的，实验的目的是引导学生尽快地掌 握实验、问题求解、数据采集和科学分析的方法。该实验系统尚在建设过程中， 目前能够提供的实验项目如下：逻辑电路实验、扩散过程实验、石油勘探实验、 机器人手臂控制实验、桥梁设计实验、管道传热实验、树木测量实验、声音传播 实验、热传导实验、概率分布实验。 与西方发达国家相比，国内在虚拟实验方面开展的工作还不多。目前从网上 可查到的信息和各院校开放的对外服务看，国内清华大学、北京大学、上海交 通大学、华中科技大学( 原名华中理工大学) 等高校已陆续在网上设立了自己的 电子教室，其中有少数电子教室提供了有限的虚拟实验服务，如华中理工大学机 械学院建立了一个工程测试网上虚拟实验室阳，学生可以通过联网计算机终端 来进行仿真实验。 研究发现，目前虚拟实验室的系统设计方案从实现技术的角度可分为两大 类：一类是以纯软件方式开发；另一类是软件结合硬件的方式。以纯软件方式开 发的虚拟实验室大多是采用了现今流行的w 哪技术，包括町帆、c g i 、j a v a a p p l e t 、j a v as e r v l e t 等技术。文献d o 描述了虚拟生物学实验室的设计与开发， 该系统是以j a v aa p p l e t 作为客户端，以j a v a b e a n 的形式实现实验组件，用】( m l 来描述应用和实验数据；文献【1 1 】提出的基于i n t e r n e t 虚拟实验室平台是以j a v a 语言实现的，客户端是j a v aa p p l e t ，设备组件由j a v a b e a n 实现。该实验室以 组件的方式提供具体的仪器设备，用户可视化地定制自己的实验流程；文献 1 2 】 提出了基于i n t e r n e t 的d s p 课程实验室，完全采用j a v a 语言实现。每一个示范 实验由一个j a v aa p p l e t 完成，用户可以直接运行j a v aa p p l e t 来完成示范实验。 该实验室还提供了一个实验编辑台，用户通过鼠标的拖拉可以使用系统提供的虚 拟设备来构建实验。第二类以软件结合硬件方式开发的虚拟实验室在客户端还是 采用h t 札、j a v aa p p l e t 等技术，不同的是在服务器端使用真实硬件设备来完成 3 硕士学位论文第一章绪论 仿真过程。在文献【1 3 】中提出的i p 网络虚拟实验室是以一台e t h e r n e ts w i t c h 和多台运行l i n u x 操作系统的p c 机作为仿真设备，用户可以在w e b 上远程输入 l i n u x 网络操作命令，服务器端会将仿真结果返回给用户。 我国已有的一些远程教学资源在内容上已非常丰富，有些课件已经出现了实 验性质的教学单元，但很少有虚拟实验室课件具有如下功能：用户可以定制自己 的实验过程，可以加入自己编写的算法从而使实验室具有可扩充性。在这种情况 下，我们寻求一种重用功能模块的开放式方法来推动虚拟试验室的进一步发展。 我们制作的入侵检测系统虚拟实验室采用先进的平台架构设计，具有了可定制流 程和扩充算法的功能。 1 3 课题的研究目标 通过对网络安全及虚拟实验室研究背景及研究现状的分析，下面提出了本课 题的研究目标： ( 1 ) 通过本项目的研究，能够提供一个基于i n t e r n e t 的网络安全i d s 虚拟 实验系统平台，该平台实现入侵检测系统的基本功能，能够在该平台上方便地添 加新的攻击方法和新的检测算法，并且提供了一个入侵检测系统检测算法的测试 平台。 ( 2 ) 实现实验流程定制可视化：用户可以互动的选择实验流程，相对于目前 常见的虚拟实验室比较固定的模式，在这个系统中让用户可以按照自己的需要组 合相应的组件进行实验，进行学习和研究。 ( 3 ) 虚拟实验室具有可扩充性，用户自己提供的算法可以很方便地引入到实 验室中，为科研、教学等提供一个了验证自己算法的环境，对比自己所提供算法 的优劣；同时可以与i n t e r n e t 上其他用户共享从而丰富实验室功能等等。 1 4 构建网络安全入侵检测系统虚拟实验室平台目的和意义 构建网络安全入侵检测系统虚拟实验室平台具有重要意义： ( 1 ) 随着i n t e r n e t 及其应用的发展，网络安全问题得到大家的重视，在许多 高校开设了计算机安全方向的专业。但是网络安全产品都是软硬结合的产品，设 备成本昂贵，配置和调试都比较复杂，对于非专业人士甚至计算机安全专业的学 生，接触的机会并不是很多。我们设计的入侵检测系统实验室能够让使用者对入 侵检测系统原理、网络运行监控等方面有一个形象地认识和了解。 ( 2 ) 网络安全产品入侵检测系统的评估方面，目前没有工业标准可以参考， i d s 厂商考虑商业利益不会公布检测算法，竞争者之间互相隐藏攻击的签名，判 4 硕士学位论文 第一章绪论 断i d s 的准确性只有依靠黑盒测试，因此需要建构专用的网络环境，代价相对较 大，研究建立一个入侵检测系统评估平台具有非常重要的价值。 1 5 论文的组织 论文全文共分七章： 第一章绪论。这一章主要介绍课题的研究背景、研究现状和研究目标，并 阐述了入侵检测系统虚拟实验室平台的必要性及其重要意义。 第二章入侵检测系统原理及其评估。描述了入侵检测系统原理、方法以及 入侵检测系统评估现状，并提出了一种基于软件平台实现的离线评估方案。 第三章系统需求分析及总体设计。分析了i d s 的设计思路，并详细说明系 统的客户端和服务器端的实现方案，以及两者之间的协作方案。 第四章主要功能模块的设计。这一章对系统实现的主要模块功能进行了概 要的介绍，并详细说明了构成系统的主要模块的详细设计，包括数据生成模块、 模拟i d s 模块、实验存取模块和组件信息存取模块，最后详细讨论了网络扫描及 其检测组件的原理实现。 第五章系统运行分析。这一章演示了系统的实验流程，并且对实验结果进 行了分析。 第六章总结与展望。对系统设计和实现进行了总结，并提出以后的改进之 处。 5 硕士学位论文 第二章入侵检测系统原理及其评估 第二章入侵检测系统原理及其评估 为了实现一个具有实用价值的入侵检测系统虚拟实验室模型，本章对入侵检 测系统的原理及其评估方法进行了研究。 2 1 入侵检测系统原理 入侵检测系统1 2 j ( i d s ，i n t r u s i o nd e t e c t i o ns y s t e m ) 是用来检测是否存 在针对计算机系统和网络系统等信息系统非法攻击的系统。其原理有基于误用的 入侵检测原理和基于异常的入侵检测原理。误用入侵检测是指根据已知的入侵检 测模式来检测入侵，如果入侵者攻击方式恰好匹配上检测系统中的模式库，则入 侵者被发现；异常入侵检测则是指根据非正常的( 系统或用户) 行为和非正常使 用计算机资源情况来检测入侵者。 2 1 1 入侵检测模型 在提及入侵检测模型之前，我们介绍一下经典的安全模型p z d r 模型，p 2 d r 模型最初是由i s s 公司i 坫l 提出来的，包括的内容有策略( p o l i c y ) 、防护 ( p r o t e c t i o n ) 、检测( d e t e c t i o n ) 、响应( r e s p o n s e ) ，它们的关系如图2 - 1 所示。 尽管在图中是一个平面的循环，但实际上应该看成一个螺旋上升的过程，经过 p 2 d r 循环后，进行的防护水平显然是逐步提高的。 响应 策略 检测 防护 图2 - ip 2 d r 模型示意图 策略是整个模型的核心，在具体的实施过程中，策略决定了各项措旌的强度。 因为追求安全是要付出代价的，一般会牺牲用户使用的舒适度，以及整个网络的 6 硕士学位论文 第二章入侵检测系统原理及其评估 运行性能。策略制定完以后网络安全的其他几个方面就要围绕策略进行，其中防 护是安全的第一步，它是检测与响应的结果。但是防护相对于攻击来说总是滞后 的，一种漏洞的发现或新的攻击方式出现与相应的防护手段的采用之间，总会有 一个时间差，检测就是要尽可能的减少这个时间差，检测的作用包括对异常进行 监视以发现攻击模式。在发现攻击企图或攻击行为之后，系统需要及时的响应机 制，这包括报告、记录、反应、恢复。 入侵检测模型就是p 2 d r 模型中的检测模型，承接防护和响应的过程。入侵 检测使得p 2 d r 模型成为了一个动态的安全模型。 2 1 2 入侵检测问题的数学模型 数学模型的建立有助于更精确地描述检测入侵问题，通常与入侵检测相关的 数学模型有如下几种： ( 1 ) 试验模型，该模型假设，如果已观测到变量x 出现的次数超过某个预定 的值，则可能出现异常情况。适用于检测与某个随机变量相关的入侵活动，比如 某用户的口令失效次数。 ( 2 ) 平均值和标准差模型，该模型根据已观察到的随机变量x 的样值 x 。( i = 1 ，n ) 以及计算出这些值的平均值m e a n 和标准方差s t d d ，若新的取样值 x n + l 不在置信区间 m e a n d * s t d d ，m e a n + d * s t d d 内时，则认为出现异常，其中 d 是标准偏移值m e a n 参数，该模型从观测中学习获得知识，可信区间的变动就 反应出知识的增长过程。适用于事件计数器、间隔计时器和资源计量器三种类型 随机变量的处理。此外，该模型可加上权重的计算，如让最近取样的值权重大一 些，用来更准确反应系统状态。 ( 3 ) 多变量模型，该模型基于两个或多个随机变量的相关性计算，适用于利 用根据多个随机变量的综合结果来识别入侵行为。比如通过计算源、目的i p 及 源、目的端口出现的相关性来判断是否有扫描发生；根据一个程序的c p u 利用率 和i 0 ，用户使用频度，通信会话时间等多个变量来检测入侵行为。 ( 4 ) 马尔可夫过程模型，该模型将离散的事件或记录看作一个状态变量，然 后用状态迁移矩阵刻画状态之间的迁移频度。若观察到一个新的事件，而根据先 前的状态和迁移矩阵来得出的新的事件的出现概率太低，则表明出现异常情况。 比如通过寻找某些命令之间的转移序列来检测入侵。 ( 5 ) 时序模型，该模型通过间隔计时器和资源计数器两种类型随机变量来描 述入侵行为。根据x i ，x 2 ，b 之间的相隔时间和它们的值来判断入侵。若在某 个时间内x 出现的概率太低，则出现异常情况。该模型的优点是有利于描述行为 随时间变化的趋势。不好之处就是计算开销较大。 7 硕士学位论文第二章入侵检测系统原理及其评估 ( 6 ) 字符串匹配模型 4 0 i ，该模型通过在一长串字符p 中去匹配某些已知的短 字符串t i ( i = l ，2 ，n ) ，其中t l 为攻击特征。该模型为大部分商用的基于误用的 入侵检测系统采用。 2 2 入侵检测方法 1 9 8 7 年，d e n n i n g 和n e u m a n n 提出了最早的入侵检测系统i d e s 模型【1 6 1 。经 过十几年的研究发展，入侵检测系统已经从早期的审计数据跟踪分析，到实时的 入侵检测系统，直至今天出现的能够应用至大型网络的分布式检测系统，入侵检 测方法也发展为具有一定规模和理论的研究领域。 入侵检测方法分为异常入侵检测方法和误用入侵检测方法。 2 2 1 异常入侵检测方法 异常入侵检测方法【4 l l 是当前入侵检测系统的主要研究方向，通过对系统异 常行为的检测，可以发现到入侵行为的发生，它的特点是可以发现新的攻击模式。 异常检测的关键在于建立正常使用模式然后利用该模式与当前的系统用户行为 进行比较，从而判断出与正常模式的偏离程度，当偏离程度超过某个阈值，我们 可以认为发生了异常。通常模式使用一组系统信息的度量来定义，这个度量是系 统及用户行为在某些特定方面的衡量标准。每个度量都对应于相应的阈值或相关 的变动范围。 一个使用异常检测方法的入侵检测系统，正常模式不断被修正和更新，检测 器使用的度量也要不断完善，因为通常当前定义的所有度量并不能表示出所有的 异常行为模式。系统通过观测到的一组测量值偏离度来预测用户行为的变化，然 后决策判断。异常入侵检测的主要前提条件是将入侵性活动作为异常活动的一个 子集。其理想状况是异常活动集等同于入侵活动集，即如果能够检测出所有的异 常活动则就能检测出所有的入侵活动。但是通常入侵性活动并不总是与异常活动 符合，存在以下四种情况； ( i ) 属入侵性活动且属异常活动： ( 2 ) 属入侵性活动但属非异常活动； ( 3 ) 属非入侵性活动但异常； ( 4 ) 属非入侵性活动非异常； 因此，异常入侵检测需要解决的问题就是构造异常活动集并从中发现入侵性 活动子集，这就依赖于如何去构建异常模型，不同的模型构成不同的检测方法， 这些方法有： ( i ) 统计异常检测方法 8 硕士学位论文第二章入侵检测系统原理及其评估 采用统计分析的检测系统通常支持对每一个系统用户和系统主体建立的历 史统计模式，而且所建立的模式被定期的更新，可以及时反映用户行为随时间推 移而产生的变化。统计分析方法的优势在于系统维护方便，能发现新的攻击模式， 但是主要缺陷在于通常不能提供对入侵行为的实时的分析，主要是因为数据处理 过程以及模式库的维护需要大量的存储空间和计算资源，检测过程总是之后于审 计记录的产生。此外如何选择合适的阈值也是一个很困难的问题，一个不合适的 阈值会导致系统出现大量的误报警( 包括漏报和误报) 。采用统计分析技术的系 统有i d e s t ”i 和n i d e s 等等系统。 ( 2 ) 量化分析异常检测方法 量化分析通常涉及到一系列的计算过程，从简单的校验和到复杂的加密算 法，将其计算结果作为构造误用检测的入侵特征或者异常检测检测的基础。常用 的完整性校验工具t r i p w i r e 3 1 】就采用了量化分析的检测方法。 ( 3 ) 基于神经网络异常检测方法 神经网络检测方法使用自适应学习技术来提取异常行为的特征，采用训练数 据集来进行学习来得到正常的行为模式。神经网络有大量的处理单元组成，单元 之间用带权值的连接来进行交互，学习的过程通过权值的改变和连接的添加删除 来表现。 神经网络处理过程分为两步：第一步构造入侵分析模型的检测器，使用代表 用户行为的历史数据进行训练，构造网络；第二步则是从网络接收事件数据，与 参考的历史数据进行比较判断，通过其偏离度来判断入侵。神经网络方法在系统 属性集中与属性的选择无关，并且系统度量方面并不要求度量满足某种分布特 性。存在的问题是训练阶段可能被黑客攻击，而且系统的效率不高。 2 2 2 误用入侵检测方法 误用入侵检测方法中误用检测系统先对标志特定入侵的行为模式进行编码， 建立一个入侵模式库，然后对实际检测过程中得到的审计事件数据进行过滤，检 查是否包含入侵行为的标识。典型的基于误用的入侵检测系统如图2 2 所示 图2 - 2 典型的基于误用的入侵检测系统模型 9 硕士学位论文第二章入侵检测系统原理及其评估 执行误用检测需要具备的条件如下所示： ( 1 ) 了解误用行为模式的组成部分； ( 2 ) 建立完备的入侵检测模式库； ( 3 ) 用户的行为或网络访问行为记录是可信的； ( 4 ) 对行为的记录和分析技术是可靠的。 通过对比预先定义好的入侵模式和观测到的入侵发生情况进行模式匹配来 确定入侵。误用入侵检测的主要假设是所有的攻击都有自己的“指纹”，即我们 可以通过捕获攻击特征并重新整理以检测其变种。入侵模式说明了那些导致安全 突破或误用的事件的特征条件，模式构造方法的不同使得误用检测方法不同，常 见的有模式匹配检测、专家系统、模型推理、状态转换分析等等。 ， ( 1 ) 基于模式匹配的误用检测方法 目前大多数的已经商业化的产品都采用了模式匹配方法。这种方法的优点是 基本原理简单、可扩展性好、检测效率高、适于实时检测。同样存在的问题有只 能用于检测比较简单的攻击、误报率高。尽管简单模式匹配存在这些问题，但是 由于系统的实现、配置、维护和管理都非常方便，因此得到了非常广泛的应用。 并且最新的采用多模式匹配算法【4 2 l 的检测引擎的应用大大提高了系统的检测速 度。 著名的开源网络入侵检测工具s n o r t 1 7 】种检测方式，它预先使用s n o r t 定义 的描述语言生成入侵规则库，通过对网络数据包的实时解析并逐一与入侵检测规 则库匹配，发现其中的规则特征。同时使用模式匹配方法的入侵检测系统还有 b r o 圳系统。 ( 2 ) 基于专家系统的误用检测方法 专家系统的应用方式是：先使用类似于i f - t h e n 的规则格式输入已有的攻击 模式知识，然后输入待检测的数据，系统根据知识库中的内容对检测的数据进行 评价，最终判断是否存在入侵行为。专家系统的优点在于把系统的推理控制过程 和问题的最终解答分离，无须用户理解和干预专家系统内部的推理过程，而只需 把专家系统看作是一个黑盒子。专家系统用于入侵检测时存在的问题有处理海量 数据效率较低、缺乏处理序列数据的能力、其性能完全取决于设计者的知识和技 能、同样只能检测已知的攻击模式等等。采用这种检测方法的系统有i d e s 1 6 1 、 n e x tg e n e r a t i o ni d e s ( n i d e s ) 、d i d s 等等。 ( 3 ) 基于状态转移分析的误用检测方法 状态转移分析是使用高层状态转移图来表示和检测已知攻击模式的一种误 用检测技术，如图2 - 3 所示。节点代表系统的状态，弧线代表每一次状态的转变。 通常一个黑客都是从获得有限的系统权限开始，利用系统的脆弱性进行自己的权 1 0 硕士学位论文第二章入侵检测系统原理及其评估 限提升。这种共性使得攻击特征可以使用系统状态转移形式表示。状态转移分析 引擎包括一组状态转移图，各自代表一种入侵模式。每次新的行为发生时，分析 引擎检查所有的状态图，查看是否会导致系统状态的转移。如果新的行为否定了 当前状态的断言，分折引擎就会将转移图回溯到断言先前成立的状态；如果新的 行为使系统状态转移到了入侵状态，状态转移信息就被发送到决策引擎，并且根 据预先定义好的策略采取相应的响应措施。使用状态转移分析技术的系统有 s t a t 和u s t a t 等等。 图2 - 3 状态转移模型图 其他入侵检测方法有： ( 1 ) 基于数据挖掘的入侵检测方法【l 町 数据挖掘技术的发展被应用到入侵检测过程当中，通过对网络数据报以及主 机上系统调用数据的分析挖掘，去判断异常或者误用的发生。通常利用数据挖掘 中的关联算法和序列挖掘算法来提取用户的行为模式，利用分类算法对用户的行 为和特权程序的系统调用进行分类预测。 ( 2 ) 基于生物免疫的入侵检测方法 将生物免疫机制应用到计算机系统保护机制中，是一种新颖的入侵检测方 法。免疫系统最基本的能力是识别“自我”和“非自我”，这也是免疫系统最有 用的一种能力这与入侵检测系统的异常检测非常相似。s t e p h a n i ef o r r e s t 通 过大量实验证明了一个特定程序的系统调用序列是相当稳定的，可以使用系统调 用序列来识别“自我”。提出了基于系统调用的短序列匹配算法来区分正常和异 常情况。 异常入侵检测系统与误用入侵检测系统的主要区别在于异常检测系统试图 发现一些未知的入侵行为，而误用检测系统只是发现一些已知的入侵行为；异常 检测系统根据使用者的行为或资源使用状况来判断是否存在入侵，而不依赖于具 体行为是否出现来进行检测，而误用检测系统则大多数通过对。些具体的行为的 判断和推理从而检测出入侵。 硕士学位论文 第二章入侵检测系统原理及其评估 由上可知，国内外的研究人员对入侵检测系统以及入侵检测技术的研究做了 大量的研究工作，并且实现了许多的原型系统。入侵检测技术在有线网和无线网 络中部将一直作为一个热点进行研究。不过尽管各种检测方法繁多，不过在实现 商业化的产品中，功能模块以及基本原理大致相同。通常分为引擎部分和控制部 分，其中检测引擎负责检测数据信息并生成警告，控制部分负责接收报警并且配 置整个系统，以及产生数据库报告，这是我们的入侵检测系统虚拟实验室提出的 重要前提。 2 3 入侵检测系统测试评估 评估一个入侵检测系统十分困难，涉及许多方面的因素，包括操作系统、工 具、软件、硬件以及数据库方面的问题。当前还没有相应的工业标准来评测入侵 检测系统或者用来评测i d s 检测算法。市场化的i d s 产品很少去说明如何发现入 侵者，而且i d s 厂商考虑商业利益以及防止攻击者确切得知检测原理和签名的工 作机制，都不会公布检测算法和攻击签名机制。因此，判断i d s 检测的准确性和 检测率通常只有依靠黑盒测试，普通用户在选择i d s 时通常由于相关工具的复杂 性和相关知识的匮乏，不能够进行科学的选择。通常的测试方法是使用硬件来搭 建专用的网络环境( 如图2 - 4 、图2 5 ) ，这样造价很大，一般用户无法进行测试， 我们希望做一个软件平台，通过对攻击事件的模拟来测试i d s 算法，使得厂商和 用户能够对i d s 的检测算法和性能进行了解，并进行可能的相应的改进，同时也 给科研单位研究人员和学生提供一个能够测试自己的入侵检测算法的一个平台。 2 3 1 测试评估现状 目前入侵检测系统的评估研究分成离线评估和实时评估。 。 入侵检测系统离线评估比较有名的是美国国防部高级研究计划局与空军研 究实验室联合发起，由麻省理工学院林肯实验室在1 9 9 8 年和1 9 9 9 年主持进行了 入侵检测系统评估活动。评估的主要目标是测量入侵检测系统对发生于计算机系 统或网络上的攻击的检测能力。此外，a n z e n 公司开发了一套叫做n i d s b e n c h 的 i d s 测试软件包来测试i d s 的正确性和安全性。i b m 公司z u r i c h 研究实验室也开 发了一套i d s 评测工具。该领域有了一定的进展，但是以教学和科研为目的的入 侵检测评估一直是一片空白。 实时评估方案比较有名的有空军罗马实验室( a f r l ) 负责的对选送的d a r p a 的入侵检测研究项目进行的实时评估。主要目的是提供一个度量标准，来判别 i d s 系统的实际运行情况，并且选出比较有前途的产品或技术。c a l i f o r n i a 大学 也开发了一个入侵检测系统软件检测平台，通过模拟入侵来测试i d s 的有效性。 硕士学位论文第二章入侵检测系统原理及其评估 2 3 2 测试内容及测试平台 最有名的测试评估是d r p a 入侵检测评估2 4 l ，由m i tl i n c o nl a b s 负责在 1 9 9 8 年和1 9 9 9 年进行了两次测试评估。麻省理工学院林肯实验室1 9 9 8 年的评 估主要集中于u n i x 工作站，测试平台如图2 - 4 所示【2 4 l 。 19 9 8s i m u l a t i o nn e t w o r k 图2 - 41 9 9 8 年入侵检测系统测试评估网络拓扑图 n e t w o r k si n19 9 9e v a l u a u o n 图2 - 51 9 9 9 年入侵检测系统测试评估网络拓扑图 硕士学位论文 第二章入侵检测系统原理及其评估 检测的内容包括了下面几种攻击： ( 1 ) 拒绝服务攻击( d e n i a lo fs e r v i c e ) ； ( 2 ) 非授权的远程访问； ( 3 ) 本地普通用户非授权访问、修改本地或远程主机的数据； ( 4 ) 嗅探攻击； ( 5 ) 用户的非授权访问、修改本地或远程主机的数据； ( 6 ) 异常的用户行为； 。 1 9 9 8 年的入侵检测系统评估取得了很大的成功，于是在1 9 9 9 年又进行了一 次评估活动，在这次新的评估活动中添加了w i n d o w s9 8 、w i n d o w sn t 和l i n u x 系统，并且增加了内网攻击者，如图2 - 5 所示【2 4 1 。 除了上述两次较大规模的入侵检测系统评估外，也有一些公司开发了测试软 件和测试平台来测试i d s 系统。比如a n z e n 公司的n i d s b e n c h 测试软件包包括 t c p r e p l a y 和f r a q r o u t e r 两个部分，其中t c p r e p l a y 功能是将t c p d u m p 转储下 来的网络数据包重放，来还原当时的网络运行状况：而f r a q r o u t e r 的功能是通 过构造一系列能够躲避i d s 检测的攻击来测试i d s 的检殒4 能力。检测的内容包括 系统的准确率和安全性，测试环境如图2 - 6 所示。 是t t a c k c r sr u 瀚i n gn i d s b e n c h idslests o f t a r e c o m m o n h o s t 图2 - 6a n z e n 公司的n i d s 测试拓扑示意囹 c a l i f o r n i a 大学也开发了一套i d s 软件测试平台，可以模拟入侵来测试i d s 的有效性，该平台采用t c l d p ( t o o lc o m e - , a n dl a n g u a g ed i s t r i b u t e d p r o g r a m m i n g ) 工具开发实现，共包含四组命令，即 ( 1 ) 基本会话命令集( b a s i cs e s s i o nc o m m a n d s ) ( 2 ) 同步命令集( s y n c h r o n i z a t i o nc o r m a n d s ) ( 3 ) 通信命令集( c o m m u n i c a t i o nc o m m a n d s ) ( 4 ) 记录重放命令集( r e c o r d a n d r e p l a yc o 础a a n d s ) 空军罗马实验室( a f r l ) 设计了一套实时评估方案，目的在于评估非实时情 况下很难检测到的某些特征，如反应时间和过载时i d s 的性能等等。评估了各个 入侵检测系统在现有的网络环境和网络活动中检测入侵行为的能力，并测试了各 1 4 硕士学位论文 第二章入侵检测系统原理及其评估 个入侵检测系统的反应机制的有效性以及对正常用户产生的影响。其中测试的内 容与麻省理工学院林肯实验室的内容相似，在包含前面述说过的六种基本内容 外，还包含了对网络基础设施进行的攻击，以及分布式攻击和离线测试中未使用 豹对操作系统进行的攻击。 但是我们可以看到前面的i d s 评估平台相对专业化，配置较为复杂，并且平 台搭建成本高，因此我们可以提出一种相对简单n i d s 评估方案。采用基于通用 入侵检测框架( c i d f ) ，抽象了各类入侵检测系统的共性，同样可以实现实时评 估和离线评估。在实时评估方案中，我们设计了网络数据包流量模拟生成设备， 用j a v a 语言完全从网络底层数据包格式出发来模拟网络数据包，实现了测试攻 击数据的产生，随机产生了指定网络中包含攻击数据和正常流量的数据流。然后 使用这些流量对使用组件方式设计的检测算法的有效性进行评估。在离线评估方 案中，我们采用接口读入t c p d u m p p 3 1 转储的数据，重新还原这些网络包被捕获时 刻实际网络流量，对入侵检测系统检测率和误报率以及检测性能进行评估。 2 4 本章小结 本章中介绍了入侵检测系统的原理，并且描述了入侵检测系统方面的安全模 型和数学模型在入侵检测系统方法中，异常入侵检测系统通过观测到的一组测 量值偏离度来预测用户行为的变化，然后决策判断；误用入侵检测系统通过对比 预先定义好的入侵模式和观测到的入侵发生情况进行模式匹配来确定入侵。 随着入侵检测系统的商业化，通用的入侵检测系统检测框架标准( c i d f ) 被提出， 并多次进行了i d s 测试评估，但是这些评估存在局限性，使得我们提出了的采用 软件平台实现入侵检测虚拟实验室来进行n i d s 评估具有可行性。 硕士学位论文第三章系统需求分析及总体设计 第三章系统需求分析及总体设计 3 1 基本概念 ( 一) 通