（计算机应用技术专业论文）基于模式匹配和协议分析的入侵检测系统的设计与实现.pdf

东北大学硕士学位论文 摘要 基于模式匹配和协议分析的入侵检测系统的设计与实现 摘要 随着计算机网络技术的飞速发展，计算机网络在现代生活中的重要性正不断加强。 但随之而来的计算机网络攻击也不断增加，顺应这一趋势，涌现出了许多的网络安全技 术，如网络防火墙、病毒检测、密码技术、身份认证等，但是这种被动的防御系统显露 出技术上很多的不足，有很多服务器在不能够及时检测和预防的情况下被攻击，导致了 巨大的经济损失。入侵检测系统是一种不同于防火墙的、主动保护网络资源的网络安全 系统，是防火墙合理和必要的补充，它的出现完全改变了传统网络安全防护体系被动防 守的局面，使网络安全防护变得更积极、更主动。它不仅可以检测外界非法入侵者的恶 意攻击或试探，而且可以检测内部合法用户超越使用权限的非法行为，并根据检测的结 果做出相应的响应，从而减少损失。入侵检测借助其动态和主动的工作原理，成为联动 各静态防护技术的关键环节，是网络安全研究中的一个重要课题。 本文首先详细论述了入侵检测方面的知识，包括入侵检测的定义和分类、入侵检测 原理、入侵检测的标准化等方面的内容，然后分析了现有入侵检测技术存在的问题以及 未来发展趋势，从而引入了模式匹配和协议分析技术相结合的检测技术。在深入研究入 侵检测系统常用的模式匹配方法( b m 算法) 的基础上，对该算法进行了改进，并将新 一代的协议分析方法应用到网络入侵检测系统( n i d s ) 中，使误用检测和异常检测方 法相结合，并详细给出了基于模式匹配和协议分析的网络入侵检测系统的设计和实现过 程。最后通过测试和分析，本系统具有较高的检测速度、抗攻击能力和较低的漏报率、 误报率。 关键词：入侵检测；模式匹配；协议分析；b m 算法；w i n p c a p ；检测方法 一一 东北大学硕士学位论文a b s t r a c t d e s i g na n di m p l e m e n t a t i o no fi n t r u s i o nd e t e c t i o ns y s t e mb a s e d o np a t t e r nm a t c h i n ga n dp r o t o c o la n a l y s i s a b s t r a c t w i t ht h ed e v e l o p m e n to fn e t w o r kt e c h n o l o g y ，n e t w o r ki st a k i n gam o r ea n dm o r e i m p o r t a n tr o l ei nm o d e r nl i f e b u tt h es e c u r i t ys i t u a t i o no fn e t w o r ki sa l s oe v e rd e t e r i o r a t i n g i no r d e rt oi m p r o v et h es e c u r i t ys i t u a t i o n , m a n yk i n d so f n e t w o r ks e c u r i t yt e c h n o l o g i e sa p p e a r , s u c ha st e c h n o l o g yo fn e t w o r kf i r e w a l l ，v i r u sd e t e c t i n gt e c h n o l o g y ，c i p h e rt e c h n o l o g y ， i d e n t i t ya u t h e n t i c a t i o nt e c h n o l o g y b u tt h e s ep a s s i v ed e f e n d i n gs e c u r i t yt e c h n o l o g i e sa r ef a r f r o mp e r f e c t a sar e s u l to ft h ei n e f f i c i e n c yo fs e c u r i t yt e c h n o l o g i e s ，p e o p l ea r es u f f e r i n g f r o mi n c a l c u l a b l ee c o n o m i cl o s sw h e ns e l v e l - sa r ea t t a c k e d i d si sak i n do fn e t w o r ks e c u r i t y s y s t e mw h i c hc a np r o t e c tn e t w o r k r e s o u r c e a c t i v e l ya n di s ar a t i o n a la n dn e c e s s a r y c o m p l e m e n to ff n - e w a l l i th a sc h a n g e dt h es i t u a t i o nc o m p l e t e l yi i lw h i c ht h et r a d i t i o n a l n e t w o r ks e c u r i t yp r o t e c t i n gs y s t e mp r o t e c t st h er e s o u r c ep a s s i v e l y ，a n dm a d et h en e t w o r k s a f e t yp r o t e c t i n gb e c o m i n gm o r ea c t i v e i tn o to n l yc a nd e t e c tm a l i c i o u sa t t a c kb yi l l e g a l i n v a d e ri nt h ee x t e r n a lw o r l db u ta l s oc a nd e t e c tt h ei l l e g a lu s a g eo fn e t w o r kr e s o n r c eb yt h e l e g a lu s e f s a n dr e a c t st ot h ea t t a c ki nt i m e s oi tr e d u c e st h el o s s a sar e s u l to fi t sd y n a m i c a n dp r o a c t i v et h e o r y ，i n t r u s i o nd e t e c t i o nt e c h n o l o g yb e c o m e st h ek e yn o d ew h i c hl i n k se v e r y s t a t i cp r o t e c t i n gt e c h n o l o g ya n da ni m p o r t a n ts t u d yt o p i co nn e t w o r ks e c u r i t yr e s e a r c h f i r s t l y ，t h i sp a p e rd i s c u s s e si d sd e t a i l e d l y ，i n c l u d i n gt h ed e f i n i t i o n , t h ec l a s s e s ，t h e p r i n c i p l e sa n ds t a n d a r d i z a t i o ne t c t h e nt h ea u t h o ra n a l y z e st h ep r o b l e m sf a c e db yi n t r u s i o n d e t e c t i o nt e c h n o l o g ya n di d sd e v e l o p i n gs t a t u sa n dd i r e c t i o na n di n t r o d u c e st h ei d e at h a t c o m b i n e sp a t t e r nm a t c h i n gw i t hp r o t o c o la n a l y s i s a f t e rf u r t h e ri n - d e p t hs t u d yo nc o m m o n p a t t e r nm a t c h i n gm e t h o d so fi d sl i k eb ma l g o r i t h m ，t h ea u t h o ri m p r o v e si ta n di n t r o d u c e s t h el a t e s tm e t h o do f p r o t o c o la n a l y s i st ot h en e t w o r ki n t r u s i o nd e t e c t i o ns y s t e ms ot h a tm i s u s e d e t e c t i o nc a i lb ei n t e g r a t e dw i t ha n o m a l yd e t e c t i o n , a n dd e t a i l e d l ys e t sf o n ht h ed e s i g na n d i m p l e m e n t a t i o no f n e t w o r ki n t r u s i o nd e t e c t i o ns y s t e mw h i c h i sb a s e do np a t t e r nm a t c h i n ga n d i i i 东北大学硕士学位论文 a b s t r a e t p a t t e mm a t c h i n ga n dp r o t o c o la n a l y s i s f i n a l l y ，t h es y s t e mi sp r o v e dt o h a v eh i g h e r d e t e c t i o ns p e e da n dl o w e rf a l s en e g a t i v er a t ea n df a l s ep o s i t i v er a t e k e yw o r d s ：i n t r u s i o nd e t e c t i o n ：p a t t e mm a t c h i n g ：p r o t o c o la n a l y s i s ：b ma l g o r i t h m ； w i n p c a p ：d e t e c t i o nm e t h o d 一一 独创性声明 本人声明所呈交的学位论文是在导师的指导下完成的。论文中取得的 研究成果除加以标注和致谢的地方外，不包含其他人已经发表或撰写过的 研究成果，也不包括本人为获得其他学位而使用过的材料。与我一同工作 的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示诚挚 的谢意。 学位论文作者签名： 髟艺辱 签字日期：炒，7 j 芦 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学位论 文的规定：即学校有权保留并向国家有关部门或机构送交论文的复印件和 磁盘，允许论文被查阅和借阅。本人同意东北大学可以将学位论文的全部 或部分内容编入有关数据库进行检索、交流。 ( 如作者和导师同意网上交流，请在下方签名：否则视为不同意) 学位论文作者签名：箍j 4 导师签名： 自如彩 签字日 期：铂。7 枷 签字日期： m 7 2 v 东北大学硕士学位论文 第一章绪论 第一章绪论 1 1 论文课题研究的意义 随着互联网高速发展，i n t e m e t 在带来巨大机会和可能性的同时，也带来了恶意入 侵的风险。针对网络和计算机系统的攻击变得更为普遍，攻击手法也越来越复杂，例如 协同攻击和合作攻击等。入侵检测系统i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 作为一种主动 防御策略：在检测和防范入侵方面发挥了其他安全部件难以替代的重要作用。 传统的特征模式匹配虽然是入侵检测系统中用到的主要技术，但是由于最初的基于 模式匹配检测技术的入侵检测系统完全不考虑网络数据包中所包含的协议格式化信息， 而是将输入的数据包视为一个无序的无结构的随机数据流，仅仅依靠简单的字符串匹配 操作完成所有的检测任务，需要进行匹配的模式数量多，计算量较大，所以存在速度慢、 效率低等缺点。 协议分析是新一代1 d s 探测攻击手法的主要技术，它利用网络协议的高度规则性快 速探测攻击的存在。协议分析技术优势在于能够详细解析各种协议，如命令字笱串解析 器能对不同的高层协议如t e l n e t 、f t p 、h 1 v r p 、s m t p 、s n m p 、d n s 等的用户命令 进行详细的分析。探测碎片攻击和协议确认技术可以因为系统在每一层上都沿着协议栈 向上解码，从而使用所有当前己知的协议信息，来排除所有异常协议结构的攻击，同时 大大降低了传统模式匹配带来的误报问题，提高了效率。基于应用层协议分析之后，协 议分析器采用的是命令解析方式，而这就意味着“p h f ”、“p h f ”及所有其它类似 的“”变形，通过分析器都被看作同一攻击，即“，p h f ”攻击，在入侵模式库中，同 一攻击只需一种模式特征即可检测到，因而可以大量减少模式特征库的规模，同时减少 了系统资源消耗。目前基于命令解析器和协议分析的千兆网络传感器具有9 0 0 兆网络流 量的1 0 0 检测能力，可以支持3 0 0 万个并发连接。 新一代i d s 将协议分析和模式匹配技术融合起来，更完善得满足高速用户的应用需 求，成为千兆i d s 发展的主流趋势。 1 2 本文的结构 本章上一节简单介绍了网络安全存在的问题，从而引出入侵检测系统的必要性，通 东北大学硕士学位论文 第一章绪论 过分析传统模式匹配存在的问题，引入了模式匹配和协议分析相结合的入侵检测技术， 即本论文的主题。第二章到第七章回顾了一些有关入侵检测系统的基础知识并给出本文 所作的研究，其篇章结构如下： 第二章对入侵检测技术及入侵检测系统的体系架构作一简单的回顾，并给出一些常 用术语的定义。给出了入侵检测系统的常见分类方法、不同入侵检测系统和检测算法的 优缺点、以及未来入侵检测技术的发展过程当中面l 临的一些挑战。 第三章在分析已有的模式匹配算法b o y e r - m o r e 算法( 简称b m 算法) 的基础上， 对该算法作出了改进。提出了改进之处，实现了改进算法并与原算法进行了实验比较， 最后将其应用到我们的网络入侵检测系统中。 第四章根据本入侵检测系统的设计目标给出了系统的总体结构框图，划分了系统的 各个功能模块并详细叙述了各个功能模块的设计过程。 第五章详细阐述了本系统中主要功能模块的实现。 第六章主要是对本系统性能的测试和分析。 第七章是结论，总结论文所做的工作，并指出进一步的研究工作。 一1 一 东北大学硕士学位论文第二章入侵检测技术综述 第二章入侵检测技术综述 2 1 基本概念简介 随着个人、企业和政府机构日益依赖于1 1 1 t 锄c t 进行通讯、协作及销售，对安全解 决方案的需求急剧增长。这些安全解决方案应该能够阻止入侵者同时又能保证客户及合 作伙伴的安全访问。虽然防火墙及强大的身份验证能够保护系统不受未经授权访问的侵 扰，但是它们对专业黑客或恶意的经授权用户却无能为力。企业经常在防火墙系统上投 入大量的资金，在h l t e n 俄入口处部署防火墙系统来保证安全，依赖防火墙建立网络的 组织往往是“外紧内松”，无法阻止内部人员所做的攻击，对信息流的控制缺乏灵活性， 从外面看似非常安全，但内部缺乏必要的安全措施。据统计，全球8 0 以上的入侵来自 于内部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于企业内部人 员所做的攻击，防火墙形同虚设。 入侵检测是对防火墙及其有益的补充，入侵检测系统能使在入侵攻击对系统发生危 害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能 减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系 统的知识，添加到知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵检测 被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监 听，从而提供对内部攻击、外部攻击和误操作的实时保护，大大提高了网络的安全性【l 】。 2 1 1 入侵检测的定义 入侵检测( h m u s i o nd e t e c t i o n ) ，顾名思义，便是对入侵行为的发觉。它通过对计算 机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中 是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入 侵检测系统( h l t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) 。与其他安全产品不同的是，入侵检 测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个 合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。 具体说来，入侵检测系统的主要功能有囝： ( 1 ) 监测并分析用户和系统的活动； ( 2 ) 核查系统配置和漏洞，并提示管理员修补漏洞； - - 3 东北大学硕士学位论文第二章入侵检测技术综述 ( 3 ) 评估系统关键资源和数据文件的完整性； ( 4 ) 识别已知的攻击行为； ( 5 ) 统计分析用户的异常行为，发现攻击行为的规律； ( 6 ) 操作系统日志管理，并识别违反安全策略的用户活动。 2 1 2 入侵检测系统的分类 图2 1 入侵检测系统分类架构图 f i g 2 1s o r t e da r c h i t e c t u r ef i g u r eo f i d s 入侵检测系统依照信息来源收集方式的不同，可以分为基于主机的入侵检测系统 ( h o s t - b a s e di d s ) 和基于网络的入侵检测系统( n e t w o r k b a s e di d s ) 【3 j ；另外按其分 析方法可分为异常检测( a n o m a l yd e t e c t i o n ，a d ) 和误用检测( m i s u s ed e t e c t i o n ，m d ) 【4 】，其分类架构如图2 1 所示。 图2 2 基于主机的i d s 结构 f i g 2 2h o s t - b a s e di d ss t r u c t u r e d 操作 东北大学硕士学位论文 第二章入侵检测技术综述 基于主机的入侵检测系统是早期的入侵检测系统，其检测的目标主要是主机系统 和系统本地用户，检测原理是根据主机的审计数据和系统日志发现可疑事件。检测系 统可以运行在被检测的主机或单独的主机上，系统结构如图2 2 所示。其优点是：能 确定攻击是否成功；能监测特定主机系统活动；较适合有加密和网络交换器的环境； 不需要另外添加设备1 5 】。其缺点：可能因操作系统平台提供的日志信息格式不同，必 须针对不同的操作系统安装个别的入侵检测系统；如果入侵者经其它系统漏洞入侵系 统并取得管理者的权限，那将导致主机型入侵检测系统失去效用；可能会因分布式拒 绝服务攻击( d i s t r i b u t e dd e n a i lo f s e r v i c e ，d d o s ) 而失去作用；当监控分析时可能会 增加该台主机的系统资源负荷，影响被监测主机的性能，甚至成为入侵者利用的工具 而使被监测的主机负荷过重而死机。 网络入侵检测是通过分析主机之间网线上传输的信息来工作的。它通常利用一个工 作在“混杂模式”( p r o m i s c u o u sm o d e ) 下的网卡来实时监视并分析通过网络的数据流。 它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。其结构如图2 3 所 示。 网络接口层 图2 3 基于网络的i d s 结构 f i g 2 3n e t w o r k - b a s e di d ss t r u c t u r e 探测器的功能是按一定的规则从网络上获取与安全事件相关的数据包，然后传递给 分析引擎进行安全分析判断。分析引擎从探测器上接收到的数据包结合网络安全数据库 进行分析，把分析的结果传递给配置构造器。配置构造器按分析引擎器的结果构造出探 测器所需要的配置规则。一旦检测到了攻击行为，n i d s 的响应模块就做出适当的响应， 比如报警、切断相关用户的网络连接等。不同入侵检测系统在实现时采用的响应方式也 一5 一 东北大学硕士学位论文 第二章入侵检测技术综述 可能不同，但通常都包括通知管理员、切断连接、记录相关的信息以提供必要的法律依 据掣郇。其优点是：成本低；可以检测到主机型检测系统检测不到的攻击行为；入侵者 消除入侵证据困难；不影响操作系统的性能：架构网络型入侵检测系统简单。其缺点是： 如果网络流速高时可能会丢失许多封包，容易让入侵者有机可乘；无法检测加密的封包； 对于直接对主机的入侵无法检测出。 主机型和网络型入侵检测系统都有各自的优缺点，混和入侵检测系统是基于主机和 基于网络的入侵检测系统的结合，许多机构的网络安全解决方案都同时采用了基于主机 和基于网络的两种入侵检测系统，因为这两种系统在很大程度上互补，两种技术结合能 大幅度提升网络和系统面对攻击和错误使用时的抵抗力，使安全实施更加有效。 2 1 3 入侵检测系统的标准化 为了提高i d s 产品、组件及与其他安全产品之间的互操作性，美国国防高级研究计 划署( d a 砌) a ) 和互联网工程任务组( i e t f ) 的入侵检测工作组( i d w g ) 发起制定了 一系列i d s 的标准草案【”。 i d w g 主要负责制定入侵检测响应系统之间共享信息的数据格式和交换信息的方 式，以及满足系统管理的需要。i d w g 的任务是，对于入侵检测系统、响应系统和它们 需要交互的管理系统之间的共享信息，定义数据格式和交换程序。i d w g 提出的建议草 案包括三部分内容：入侵检测消息交换格式( i d m e f ) 、入侵检测交换协议( i d x p ) 以 及隧道模型( t u n n e lp r o f i l e ) 。 i d m e f 描述了一种表示入侵检测系统输出消息的数据模型，并且解释了使用这个 模型的基本原理。i d m e f 数据模型以面向对象的形式表示分析器发送给管理器的警报 数据。数据模型的设计目标是用一种明确的方式提供了对警报的标准表示法，并描述简 单警报和复杂警报之间的关系。该数据模型用x m l ( 可扩展标识语言) 实现。自动的 入侵检测系统能够使用标准数据格式i d m e f 来对可疑事件发出警报。这种标准格式的 发展将使得在商业、开放资源和研究系统之间实现协同工作的能力，同时允许使用者根 据他们的强点和弱点获得最佳的实现设备。实现i d m e f 最适合的地方是入侵检测分析 器( 或称为“探测器”) 和接收警报的管理器( 或称为“控制台”) 之间的数据信道。 i d x p 是一个用于入侵检测实体之间交换数据的应用层协议，能够实现i d m e f 消 息、非结构文本和二进制数据之间的交换，并提供面向连接协议之上的双方认证、完整 性和保密性等安全特征。i d x p 模型包括建立连接、传输数据和断开连接。 一6 一 东北大学硕士学位论文第二章入侵检测技术综述 d a r p a 提出了通用入侵检测框架( c i d f ) ，最早由加州大学戴维斯分校安全实验 室主持起草工作。c i d f 主要介绍了一种通用入侵说明语言( c i s l ) ，用来表示系统事件、 分析结果和响应措施。为了把i d s 从逻辑上分为面向任务的组件，c i d f 试图规范一种 通用的语言格式和编码方式以表示在组件边界传递的数据。c i d f 所做的工作主要包括 四部分：d s 的体系结构、通信体制、描述语言和应用编程接口( a p i ) 。 c i d f 根据i d s 系统通用的需求以及现有的i d s 系统的结构，将i d s 系统的构成划 分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库 8 1 1 9 1 。从功能的 角度，这种划分体现了入侵检测系统所必须具有的体系结构：数据获取、数据管理、数 据分析、行为响应，因此具有通用性。这些组件以g i d o ( 统一入侵检测对象) 格式进 行数据交换。g i d o 是对事件进行编码的标准通用格式( 由c i d f 描述语言c i s l 定义) 。 这里的组件只是逻辑实体，一个组件可能是某台计算机上的一个进程甚至线程，也可能 是多个计算机上的多个进程。 c d f 组件在一个分层的体系结构里进行通信，这个体系结构包括三层：g i d o 层、 消息层和协商传输层。g i d o 层的任务就是提高组件之间的互操作性，就如何表示各种 各样的事件做了详细的定义。消息层确保被加密认证消息在防火墙或n a t 等设备之间传 输过程中的可靠性。消息层没有携带有语义的任何信息，它只关心从源地址得到消息并 送到目的地；相应地，g i d o 层只考虑所传递消息的语义，而不关心这些消息怎样被传 递。协商传输层规定g i d o 在各个组件之间的传输机制。 c i d f 的工作重点是定义了一种应用层的语言c i s l ，用来描述i d s 组件之间传送的 信息，以及制定一套对这些信息进行编码的协议。c i s l 使用了一种被称为s 表达式的 通用语言构建方法，s 表达式是标识符和数据的简单循环分组，即对标记加上数据，然 后封装在括号内完成编组。c i s l 使用范例对各种事件和分析结果进行编码，把编码的 句子进行适当的封装，就得到了g i d o 。g i d o 的构建与编码是c i s l 的重点。 c i d f 的a p i 负责g i d o 的编码、解码和传递，它提供的调用功能使得程序员可以 在不了解编码和传递过程具体细节的情况下，以一种很简单的方式构建和传递g i d o 。 它分为两类：g i d o 编码解码a p i 和消息层a p i 。 c i d f 和i d w g 都还不成熟，目前仍在不断地改进和完善中，但可以预见，标准化 是未来的入侵检测系统必然方向，而c i d f 或i d w g 很可能会代表将来的i d s 国际通用 标准。 1 东北大学硕士学位论文 第二章入侵检测技术综述 2 1 4 入侵检测面临的挑战和未来发展趋势 入侵检测仍是一个非常具有吸引力的领域，它的研究具有很高的难度，也j 下因为如 此，它吸引着众多安全技术人员的注意。目前，入侵检测系统面l 临许多技术上的挑战， 这些挑战包括【1 0 l ： ( 1 ) 目前的网络缺乏高度嗅探技术； ( 2 ) 网络中缺乏对i p v 6 协议栈的支持； ( 3 ) 高速无线网络的增长要求入侵检测系统具备面向主机、多层次的异常检测能 力； ( 4 ) 入侵检测系统过高的误警和漏警率； ( 5 ) 入侵检测系统的自适应能力： ( 6 ) 如何应对征对入侵检测系统的攻击： ( 7 ) 缺乏入侵检测基本标准； ( 8 ) 入侵检测系统需要具备实时检测能力； 入侵检测系统的未来发展趋势包括以下几个方面： ( 1 ) 动态入侵检测和实时防御。对网络入侵检测和实时防御的研究目标是对网络 入侵行为进行动态的实时检测和自动防御，完成对信息系统的安全防护一体化。它的研 究内容有：并发入侵检测技术、分布式入侵检测技术、跟踪可疑用户技术、记录攻击行 为技术、识别复杂的攻击模式和对攻击行为的自动防御技术。 ( 2 ) 快速响应技术。研究目标是研究在信息系统遭到攻击时，在最短的时间里把 对系统的破坏降到最小的技术和方法。它的研究内容有：自动预警和告警技术、自动防 御技术、禁止技术和攻击发生时的缓冲技术。 ( 3 ) 动态防御技术。动态防御技术是研究对网络攻击行为的动态防护的技术。它 的研究内容有：攻防技术测试床、系统脆弱性分析、网络攻击度量机制、网络攻击的特 殊工具和分析决策、网络攻击隐蔽技术和攻击抵抗技术。 ( 4 ) 攻击行为的跟踪和物证获取技术。研究的目标是对实际攻击源的定位和行为 记录，为事后处理提供依据。它的研究内容有：记录攻击事件、攻击事后获取物证和诱 骗网络攻击以获得事实证据。 ( 5 ) 安全事件的诊断技术。研究目标是通过不同类型的网络攻击特征的分析，对 攻击类型进行分类，为以后的攻击事件提供分析依据。它的研究内容有：分析和获取网 络攻击特种技术、攻击行为的分类法和系统化和攻击行为诊断技术【l l j 。 一8 一 东北大学硕士学位论文第二章入侵检测技术综述 2 2 入侵检测系统的原理 在本质上，入侵检测系统是一个典型的“窥探设备”。它不跨接多个物理网段( 通 常只有一个监听端口) ，无须转发任何流量，而只需要在网络上被动的、无声息的收集 它所关心的报文即可。对收集来的报文，入侵检测系统提取相应的流量统计特征值，并 利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀值，匹 配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或 进行有限度的反击。为了更好地说明入侵检测系统的原理，下面讨论几种入侵检测系统 的基本模型。 2 2 1 观s 模型 d d e n n i n g 最早提出入侵检测模型，如图2 4 所示。 图2 4i d e s 入侵检测模型 f i g 2 4i d e si n t r u s i o nd e t e c t i o nm o d e l 在图2 4 这个模型中，主体要对客体访问必须通过一个安全监控器，该模型独立于 任何特殊的系统和应用环境，提供了一个通用的入侵检测专家系统框架，简称i d e s 模 型。它能够检测出黑客入侵、越权操作及非正常使用计算机系统的行为。该模型基于这 样的假设：计算机安全的入侵行为可以通过检查一个系统的审计记录、从中辨识异常使。 用系统的入侵行为。i d e s 模型由主体( s u b j e c t ) 、客体( o b j e c t ) 、审计记录( a u d i tr e c o r d s ) 、 参数( p r o f i l e ) 、异常记录( a n o m a l yr e c o r d s ) 和活动规则( a c t i v i t yr u l e s ) 六部分组成。 这六个部分的具体情况如下： ( 1 ) 主体是指系统操作中的主动发起者，例如计算机操作系统的进程、网络的服 一9 一 东北大学硕士学位论文第二章入侵检测技术综述 务连接等。客体是指系统中被操作的对象，如文件系统、网络服务端接口等。值得说明 的是主体和客体有时是相互转变，例如操作系统进程a ，当去访问文件b 时，进程a 是主体；而从进程创建者的角度来看，则进程a 是客体。因此，模型中的审计数据的对 象是在不断的变化，这取决于入侵检测系统的审计策略。 ( 2 ) 客体指的是系统所管理的资源，如文件等。 ( 3 ) 审计数据指的是主体( s u b j e c t ) 对客体( o b j e c t ) 的实施操作时，系统产生的 数据，如用户注册、命令执行和文件访问等。i d e s 审计记录的格式由六元组构成：记 录中主体是本次操作的发起者，客体是本次操作的承受者。异常情况用来描述主体的本 次操作后的返回值及错误信息，资源使用情况用来统计本次操作的资源使用情况，操作 时间用来记录本次操作发生的时间。譬如用户a 在晚上7 点执行了程序f i p ，占用c p u 时间是3 9 秒，则审计记录的格式表示为 。一般 说来对某一个用户或某一个文件仅做一次审记记录是很少见的，通常的情况是连续审计 记录对在线检测用户的行为更有用，例如下面的审计记录能够很好的反映一个时间段中 某个文件在被操作过程中是否发生异常，或者某个用户在对文件的操作中是否出现异常 情况： 这些记录表明许多不同的用户试图在访问系统中的文件，或者是同一用户访问系统 中的各个文件，这样可以让管理员去调查异常事件发生的原因。 ( 4 ) 系统参数是i d e s 模型用来刻划主体对客体的行为，并使用随机变量( m e t r i c s ) 和统计模型来定量描述观测到主体对客体的行为活动特征。 ( 5 ) 异常记录：i d e s 动态地更新轮廓并检测异常行为，如果一发现异常行为，则 产生异常记录，它的格式如下： e v e n t 指明导致异常的事件，例如审计数据，t i m e s t a m p 产生异常事件的时间戳， 1 0 东北大学硕士学位论文 第二章入侵检测技术综述 p r o f i l e 检测到异常事件的轮廓。 ( 6 ) 活动规则：指明当一个审计记录或异常记录产生时应采取的动作，规则由两 部分组成：一是条件，二是动作。 2 2 2i d m 模型 s t e v e n r s n a p p 等人在设计和开发分布式入侵检测系统( 简称d i d s ) 时，提出一个 层次化的入侵检测模型，简称i d m ，如表2 1 所示。 表2 1 层次化的入侵检测模型( i d m ) t a b l e2 1l a y e m di n t r u s i o nd e t e c m o d e l 层次名称 解释说明 6 安全状态( 辩c 州t ys t a t e )网络整体安全情况 5 威胁( t l l i a d )动作产生的结果种类 4 上下文( c o 眦硪)事件发生所处的环境 3 主体( s u b i e c t )事件的发起者 2 事件( “e n t )日志记录特征性质和表示动作描述 l 数据( d i n )操作系统或网络访问日志记录 i d m 这个入侵检测模型给出了在推断网络中的计算机受攻击时数据抽象过程。也就 是说，它给出了将分散的原始的数据转换成高层次有关入侵和被监测环境的全部安全假 设过程。通过把收集到的分散数据进行加工抽象和数据关联操作，i d m 构造了一台虚拟 的机器环境，这台机器由所有相连的主机和网络组成。将分布式系统看作一台虚构的计 算机的观点简化了跨越单机入侵行为识别。这个模型也应用于只有单台计算机的小型网 络f 1 2 1 。 2 2 3s n m p i d s m 模型 n o r mc a r o l i ms t a t eu i l i v e r s 耐的s f e l i xw u 、x i a o l i n gz h a o 、j i my u i l l 安全研究 人员从网络管理的角度考虑i d s 的模型。我们把这种类型模型称为基于s n m p 的i d s 模型，简称s n m p i d s m 。 s n m p i d s m 采用五元组来描述攻击事件，即 。 w 脏r e ：描述产生攻击位置，包括目标的所在地和在什么地方观察到事件发生。 w h e n ：事件的时间戳，用来说明事件的起始时问、终止时间、信息频度或发生的 次数。 w h o ：表明d s 观测到的事件，若可能的话，记录哪个用户或进程触发事件。 东北大学硕士学位论文第二章入侵检测技术综述 w h a t ：记录详细信息，例如协议类型、协议说明数据和包的内容。 h o w ：用来连接原始的事件( r a we v e n t s ) 和抽象的事件( a b s t r a c te v e n t s ) 。 s n m p i d s m 定义了用来描述入侵事件的管理信息库m i b ( m a n a g e m e n ti n f o r m a t i o n b a s e ) ，并将入侵事件分成原始事件( r a we v e n t ) 和抽象事件( a b s t r a c te v e n t ) 两层结 构。原始事件指的是引起安全状态迁移的事件或者是表示单个变量偏移的事件，而抽象 事件是指分析原始事件产生的事件。原始事件和抽象事件的信息都用 四元组描述即可。 i d e s 模型依靠分析主机的审计记录，因此，在网络环境下，i d e s 模型存在局限性。 正因为如此，必须扩展i d e s 模型。i d m 模型和s n m p i d s m 模型正是对i d e s 的补充。 2 3 入侵检测技术 分析系统可以采用两种类型的检测技术：异常检测( a n o m a l yd e t e c t i o n ) 和误用检 测( m i s u s ed e t e c t i o n ) 。 2 3 1 异常入侵检测技术 图2 5 异常检测模型 f i g 2 5a n o m a l yd e t e c t i o nm o d e l 异常检测假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活 动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律 时，认为该活动可能是“入侵”行为。异常检测的优点之一为具有抽象系统正常行为从 而检测系统异常行为的能力。这种能力不受系统以前是否知道这种入侵与否的限制，所 以能够检测新的入侵行为。大多数的正常行为的模型使用一种矩阵的数学模型，矩阵的 数量来自于系统的各种指标。比如c p u 使用率、内存使用率、登录的时间和次数、网 一1 2 东北大学硕士学位论文第二章入侵检测技术综述 络活动、文件的改动等。异常检测的缺点是：若入侵者了解到检测规律，就可以小心的 避免系统指标的突变，而使用逐渐改变系统指标的方法逃避检测。另外检测效率也不高， 检测时间比较长。最重要的这是一种“事后”的检测，当检测到入侵行为时，破坏早已 经发生了。异常检测的模型如图2 5 所示。 异常检测方法主要有以下几种： ( 1 ) 统计异常检测方法 统计异常检测方法根据异常检测器观察主体的活动，然后产生描述这些活动行为的 参数。每一个参数保存记录主体当前某种行为，并定时地将当前的参数与存储的参数合 并。通过比较当前的参数与已存储的参数判断异常行为，从而检测出网络入侵。 ( 2 ) 基于特征选择异常检测方法 基于特征选择异常检测方法是通过从一组参数数据中挑选能检测出入侵参数构成 子集来准确地预测或分类已检测到的入侵。异常入侵检测的困难问题是在异常活动和入 侵活动之间作出判断。判断符合实际的参数很复杂，困为合适地选择参数子集依赖于检 测到的入侵类型，一个参数集对所有的各种各样的入侵类型不可能是足够的。预先确定 特定的参数来检测入侵可能会错过单独的特别的环境下的入侵。最理想的检测入侵参数 集必须动态地决策判断以获得最好的效果。假设与入侵潜在相关的参数有n 个，一则这n 个参数构成的子集有2 n 个。由于搜索空间同参数数是指数关系，所以穷尽寻找最理想 的参数子集的开销太大。 ( 3 ) 基于贝叶斯推理异常检测方法 基于贝叶斯推理异常检测方法是通过在任意给定的时刻，测量a l ，a 2 ，变 量值推理判断是否有入侵事件发生。其中每个a i 变量表示系统不同的方面特征( 如磁 盘i o 的活动数量，或者系统中页面出错的数) 。根据各种异常测量的值、入侵的先验 概率及入侵发生时每种测量到的异常概率，从而能够检测判断入侵的概率。但是为了检 测的准确性，还要必须考虑各测量a i 间的独立性。 ( 4 ) 基于贝叶斯网络异常检测方法 贝叶斯网络是一种基于网络结构的有向图解描述，它实现了贝叶斯定理所揭示的学 习功能，能发现大量变量之间的关系，是进行预测、分类数据的有力工具。基于贝叶斯 网络异常检测方法是通过建立起异常入侵检测贝叶斯网，然后将其用作分析异常测量结 果。贝叶斯网络允许以图形方式表示随机变量问相关的原因，并通过指定的一个小的与 邻接节点相关的概率集计算随机变量的联接概率分布。按给定全部节点组合，所有根节 一1 3 东北大学硕士学位论文 第二章入侵检测技术综述 点的先验概率和非根节点概率构成这个集。贝叶斯网络是一个有向图，有向图中弧表示 父节点和子节点依赖关系。这样，当随机变量的值变成可知时，就允许把它吸收成为证 据，根据这个证据，就可以计算出其它的随机变量条件值。 ( 5 ) 基于模式预测异常检测方法 基于模式预测异常检测方法的假设条件是事件序列不是随机的而是遵循可辨别的 模式这种检测方法的特点是考虑了事件的序列及相互联系。而基于时间的推理方法则 利用时间规则识别用户行为正常模式的特征。通过归纳学习产生这些规则集，能动态地 修改系统中的规则，使之具有高的预测性、准确性和可信度。如果规则大部分时间是正 确的，并能够成功地运用预测所观察到的数据，那么规则就具有高的要信度。根据观察 到用户的行为，归纳产生出一套规则集来构成用户的轮廓框架。如果观测到的事件序列 匹配规则的左边，而后续的事件显著地背离根据规则预测到的事件，那么系统就可以检 测出这种偏离，这就表明用户操作是异常。由于不可识别行为模式能匹配任何规则的左 边，都会导致不可识别行为模式作为异常判断，这是该方法的主要弱点。相反，如果能 预测出不正常的后继事件的片段，则一定程度上断定用户行为的异常性。 ( 6 ) 基于神经网络异常检测方法 基于神经网络入侵检测方法是训练神经网络连续的信息单元，信息单元指的是命 令。网络的输入层是用户当前输入的命令和已执行过的若干个( 如s 个) 命令；用户执 行过的命令被神经网络使用来预测用户输入的下一个命令。若神经网络被训练成预测用 户输入命令序列集合，则神经网络就构成用户的轮廓框架。当用这个神经网络预测不出 某用户正确的后继命令，即在某种程度上表明了用户行为与其轮廓框架的偏离，这时有 异常事件发生，以此就能进行异常入侵检测。 输入层指示出用户最近输入执行的s 个命令序列。通过将每个输入的某种方式编 码，把输入命令表示成几个值或级别，能够成为命令唯一标识。这样，输入层上的输入 值准确地同用户最近