（计算机应用技术专业论文）系统调用在入侵检测中的研究与应用.pdf

摘要 捅要 计算机网络和信息技术的快速发展，使得我们对网络安全的要求越来越 高。主动且动态地对网络进行安全防护的入侵检测是网络安全发展的一个新方 向，是传统网络安全技术的必要补充。入侵检测的主要目标是用于检测非授权 误用以及系统内部与外部的入侵行为。基于主机的入侵检测系统主要用于对重 点主机实施防护，有较高的检测效率和准确性率。由于大多数对系统的攻击最 终是通过非法执行系统调用来达到目的，所以通过监控系统调用，阻止非法的 系统调用，可以达到并阻止大多数的入侵行为，达到保护系统的作用。 本文论述了入侵检测系统的术语、功能、模型和分类，对现有的入侵检测 技术进行了分析说明，指出入侵检测系统的发展趋势。针对单纯的检测方法的 缺点，提出了一个将异常检测与误用检测相结合的混合模型。将异常检测中检 测到的固定入侵模式进行整理，加到误用检测的模式库中，让系统日益健壮。 深入研究了系统调用截获的常用方法，分析了它们的优缺点，选取了基于 l k m 机制修改系统调用表截获方法和内核修改法截获方法进行综合和改进。通 过修改中断描述符中的偏移量，使其指向截获函数，在截获函数中提取出c p u 寄存器的内容。在对c p u 寄存器进行相关的信息收集工作后退出再转入原内核 服务程序。这种方法只需要很少的代码即可实现，并且对系统调用信息的提取 能在内核高效完成能够很好地满足我们的系统要求。 研究了基于异常检测的系统调用入侵检测检测的常用的模型，分析了他们 的优缺点，在此基础上，针对系统调用行为不会随机波动、非静态、系统调用 为非测度变量等特性，采用有限状态自动机模型，检测范围缩小到部分系统调 用，选取标准设为某些“特征”( 例如参数、使用频率、p c 值等) 。 针对有限状态自动机自身的缺点，对有限状态自动机模型进行了改进，通 过对系统调用频率与文件访问范围的监控来检测拒绝服务与关键文件越权访问 等入侵，并在最后对入侵进行分类。 最后，对所提出的模型进行了仿真实验，通过对实验结果的分析，证明了 该模型和方法实现了较低的误报率以及较少的训练时间。 关键词：入侵检测；系统调用；有限状态自动机；关键文件越权访问 广东工业大学i ：学硕士学位论文 a b s t r a c t t h en e t w o r ks e c u r i t yd e m a n d sr e a c hh i g h e rl e v e lb e c a u s eo ft h e q u i c k d e v e l o p m e n t so f t h ec o m p u t e rn e t w o r ka n di n f o r m a t i o nt e c h n o l o g y r e s e a r c h i n ga n d d e v e l o p i n gn e wi n t r u s i o nd e t e c t i o ns y s t e m , w h i c hc a ni n i t i a t i v e l ya n dd y n a m i c a l l y p r o t e c tt h en e t w o r k ，b e c o m ean e wp r i m a r yd i r e c t i o no ft h en e t w o r ks e c u r i t y t h e m a i ng o a lo fi n t r u s i o nd e t e c t i o ni st od e t e c tu n a u t h o r i z e du s e ，m i s u s ea n da b u s eo f c o m p u t e rs y s t e m sb yb o t hs y s t e mi n s i d e r sa n de x t e r n a li n t r u d e r s h o s t b a s e d i n t r u s i o nd e t e c t i o ni su s e dt op r o t e c tt h ek e yh o s t s ，a n dh a sb e t t e rd e t e c t i o ne f f i c i e n c y a n dd e t e c t i o na c c u r a c y a ni n t r u s i o nc a nb ed e t e c t e da n ds t o p p e db ym o n i t o r i n g s y s t e mc a l lt r a c e g e n e r a l l y ，m o s to fi n t r u s i o n sa r es u c c e e d e db yi m p l e m e n t i n g u n a u t h o r i z e ds y s t e mc a l l 。a sar e s u h ，m o s to fi n t r u s i o nc a nb ed e t e c t e da n dt h e s y s t e mc a nb ep r o t e c t e db ym o n i t o r i n gs y s t e mc a l l t h i sp a p e rd i s c o u r s eu p o nt e r m i n o l o g y ，f u n c t i o n s ，m o d e la n dc l a s s i f i c a t i o no f i n t r u s i o nd e t e c t i o ns y s t e m ，a n a l y s i st h ee x i s t i n gi n t r u s i o nd e t e c t i o nt e c h n o l o g ya n d p o i n to u tt h ed e v e l o p m e n tt r e n do f i n t r u s i o nd e t e c t i o ns y s t e m i na l l u s i o no nt h e d e f e c t so fs i m p l e xd e t e c t i o nm e t h o d ，a d v a n c eam i x e dm o d e lb yc o m b i n ea n o m a l y d e t e c t i o nw i t hm i s u s ed e t e c t i o n t h es y s t e mr o b u s ti m p r o v e db ya d dt h ef i x e d i n t r u s i o nm o d e lw h i c hd e t e c t e db ya n o m a l yd e t e c t i o nt ot h em o d e lo fm i s u s e d e t e c t i o n t h i sp a p e rd e e p l ys t u d yt h ec o m m o n l ym e t h o do fi n t e r c e p ts y s t e mc a l la n d a n a l y s i s t h e i r a d v a n t a g e sa n dd i s a d v a n t a g e s s e l e c ta n da m e l i o r a t ear a p i d i n t e r c e p t i o nm e t h o db a s e do nc o r e t h r o u g hc h a n g et h eo f f s e to fi n t e r r u p t i o n d e s c r i p t o r s ，l e ti tp o i n tt oi n t e r c e p t e df u n c t i o n ，a n de x t r a c tc o n t e n t so fc p ur e g i s t e r s f r o mi n t e r c e p t e df u n c t i o n a f t e rg a t h e rr e l a t e di n f o r m a t i o ni nc p ur e g i s t e r s ，a n d t h e ns w i t c ht ot h eo r i g i n a lc o r es e r v i c ep r o g r a m t h i sp a p e rr e s e a r c h e st h em o d e lb a s e do nt h ea n o m a l yd e t e c t i o ns y s t e mc a l l e d i n t r u s i o nd e t e c t i o na n da n a l y s i st h e i ra d v a n t a g e sa n dd i s a d v a n t a g e s a i ma tt h ea c t o fs y s t e mc a l lw i l ln o tr a n d o mf l u c t u a t i o n s ，n o n - s t a t i c ，n o n - m e a s u r ev a r i a b l e s ，a n d i i a b s t r a c t s oo n , t h i sp a p e ra d o p tt h ef i n i t es t a t ea u t o m a t am o d e l ，d e t e c t i o nr a n gr e d u c et op a r t o fs y s t e mc a l l e d s e l e c ts t a n d a r ds e ta ss o m ef e a t u r e s ，s u c ha sp a r a m e t e r s ，f r e q u e n c y ， p ca n ds oo n a i ma tt h es h o r t c o m i n g so ff i n i t es t a t ea u t o m a t a , i m p r o v i n gt h ef u n c t i o no ft h e t i i l i t es t a t ea u t o m a t am o d e l t h r o u g hm o n i t o r i n gt h ef r e q u e n c yo fs y s t e mc a l l e da n d t h e r a n g eo ff i l ea c c e s s ，t od e t e c t i n g i n t r u s i o ns u c ha sd e n i a lo fs e r v i c ea n d u n a u t h o r i z e da c c e s so fk e yd o c u m e n t s l a s tc l a s s i f yt h ei n t r u s i o n f i n a l l y ，t h i sp a p e rd o e ss o m es i m u l a t i o ne x p e r i m e n tf o rt h i sm o d e l w h i c hh a s d o n e t h r o u g ha n a l y s i st h er e s u l to fs i m u l a t i o ne x p e r i m e n t ，p r o v i n gt h i sm o d e la n d m e t h o dh a sl e s st r a i n i n g - t i m ea n dh i g h e rd e t e c t i n gr a t ei n t r u s i o nd e t e c t i o n k e y w o r d ： i n t r u s i o nd e t e c t i o n ， s y s t e m c a l l ，f i n i t e - s t a t ea u t o m a t a ， u n a u t h o r i z e da c c e s so fk e yd o c u m e n t s i i i 独创性卢明 独创性声明 秉承学校严谨的学风与优良的科学道德，本人声明所呈交的论文是我个人在导师 的指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致 谢的地方外，论文中不包含他人已经发表或撰写过的研究成果，不包括本人或其他用 途使用过的成果。 本学位论文成果是本人在广东工业大学读书期间在导师的指导下取得的，论文成 果归广东工业大学所有。 申请学位论文与资料若有不实之处，本人承担一切相关责任，特此声明。 指剥獬：膨少季 论文作者签字：笨潲日争 二零零八年五月十二e t 第一章绪论 第一章绪论 1 1 论文研究背景 网络的飞速发展，使得人们在得益于信息革命所带来的巨大机遇的同时，也不 得不面临网络信息安全问题的巨大考验。网络信息系统存在着各种安全缺陷，攻 击者经常利用这些系统具有的漏洞，进行攻击和入侵，给计算机系统造成严重的损 害n 1 。无论政府、商务、还是金融和媒体的网站都在不同程度上受到过入侵与破 坏。网络安全已成为国家与国防安全的重要组成总分，同时也是国家网络经济发 展的关键心3 1 。 从c n c e r t c c ( 国家计算机网络应急技术处理协调中心) 的报告中，2 0 0 7 年 上半年接收1 8 1 3 件非扫描类网络安全事件报告，其中每月接收非扫描类事件具 体数量如图卜1 所示。 图1 - 12 0 0 7 年上半年非扫描类事件月度统计 f i g1 1t h ef i r s th a l f 2 0 0 7n o n s c a n n i n gi n c i d e n t sm o n t h l ys t a t i s t i c s 所报告的网络安全事件主要有：网络仿冒、垃圾邮件和网页恶意代码事件 等。根据报告的事件类型统计，网络仿冒事件数量最多，占所有接收事件的 广东t 业大学【：学硕士学位论文 3 5 ，且0 7 年上半年的数量便超出0 6 年全年该类事件的总和( 5 6 3 件) ，共计 6 4 5 件。本半年内所接收的网络安全事件大大超出去年同期水平，而网络仿冒事 件、网页恶意代码事件尤为突出，甚至超出去年全年总数。从c n c e r t c c 掌握 的上半年情况来看，攻击者的攻击目标明确，针对不同网站和用户采用不同的攻 击手段，且攻击行为趋利化特点表现明显1 。 网络安全问题的严峻状况，引起了人们的关注。 国际标准化组织( i s o ) 对计算机系统安全的定义是：为数据处理系统建立 和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意 的原因遭到破坏、更改和泄露。网络安全要达到的三个核心目标为h 1 ： 保密性( ( c o n f i d e n t i a l i t y ) ：保护数据不受非授权操作的破坏： 完整性( ( i n t e g r i t y ) ：保证非授权操作不能修改数据： 有效性( a v a i l a b i l i t y ) ：保证非授权操作不能够获取被保护的信息或计算机 资源。 由此可知，建立网络安全保护措施的目的是确保经过网络传输和交换的数据 不会发生增加、修改、丢失和泄露等。 国内外研究人员在网络安全方面己做了大量开创性的工作。人们采取了多种 技术来保证计算机和网络的安全性，包括认证授权、数据加密、防火墙、访问控 制、安全审计、杀毒软件、漏洞检测、完整性检测等。一些重要的网络中还使用 了网络安全的硬件产品如安全服务器、v p n 、物理隔离卡等。传统的网络安全技 术有防火墙、加密技术、反病毒技术、访问控制等等，其中以防火墙为主。但防 火墙是一种被动防御技术，其策略对于防范入侵有其明显的局限性，对来自内部 的攻击几乎不能检测和阻止，即防外不防内。另外，防火墙的安全控制主要是基 于i p 地址的，很难为用户在防火墙内外提供一致的安全策略。随着入侵技术的 提高，入侵者可能通过防火墙的漏洞或绕过防火墙进行攻击。显然这种被动的防 范技术已不能满足当前网络的安全。因此在最近几年，入侵检测( i n t r u s i o n d e t e c t i o n ) 技术因其主动与动态的特点，成为人们研究网络安全的一个新的热 点。作为整体安全保护机制的入侵检测( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 技 术在不断发展和进步中，成为保证安全不可或缺的关键一环。 入侵检测技术弥补了防火墙等技术的不足，是一种主动并动态地保护网络资 源不受攻击的安全技术，监测受保护主机的入侵状况，并可以做出响应。入侵检测 第一章绪论 的过程是监视计算机网络系统中违背系统安全策略行为的过程，过程分为三个部 分：数据源( 提供用于系统监视的数据) 、分析引擎( 对数据进行分析，发现入 侵或异常) 、响应( 根据分析引擎的输出结果产生适应的反应) 。其中关键问题 在于分析的数据，发现入侵行为。 它的研究始于2 0 世纪8 0 年代末，是在传统的审计技术之上发展起来的，现 已成为网络安全技术的重要组成部分。经过二十多年的发展，入侵检测领域不断 扩展，具有了许多分支，总结说来可按两种分类： 按数据来源来说，可以分为基于主机型和基于网络型。基于主机型的数据来 自系统主机，如日志文件、系统调用等；基于网络网络型的数据来自网络传输的 数据包。 按数据分析的技术及检测的策略可分成两种：误用检测( m i s u s e d e t e c t i o n ) 和异常检测( a n o m a l yd e t e c t i o n ) 。误用检测是通过对数据进行特 征提取后，与模式库中已知攻击行为特征进行匹配，从而发现违背安全策略的行 为，速度较快，误报率低，但检测率也较低，对新的和未知的攻击无法检测。异 常检测可以检测出滥用权限类型的攻击，不需要为每一个攻击和潜在的变体提取 特征规则，能检测到新的攻击，例如当一台新的系统被蠕虫感染之后，这个蠕虫 就会以非常快的、异常的速度查找网络中具有安全漏洞的计算机，从而导致违反 t c p 连接或者带宽规则的不正常的恶意通信，这个能马上被异常检测系统查出。 缺点是确定规则困难、阀值选择难度大。 入侵检测技术的方法模型很多，但检测率低误报率高是目前入侵检测系统普 通存在的问题，而在攻击方式的不断变化更新对入侵检测系统的灵活性、智能性 提出了更高的要求。 本文在针对基于主机的系统调用数据和前人的入侵检测方法进行分析研究的 基础上，将有限状态自动机与状态转换方法应用到入侵检测中，模型采用了基于 自动机的异常检测和基于状态转换的误用入侵检测相结合的方法，克服了采用单 一技术的缺点，从而提高了入侵检测系统的检测率并降低误报率。 1 2 入侵检测技术研究现状 虽然入侵检测系统自2 0 世纪5 0 年代末被提出至今已有2 0 多年的发展历 史，但仍是一种比较新的技术。尤其是在国内，它在近几年才逐渐被人们重视。 3 广东t 业大学t 学硕十学位论文 目前，大多数入侵检测系统主要采用行为统计、专家系统、神经网络、模式匹 配、状态转换分析等技术，来分析事件的审计记录、识别特定的模式、生成报告 和最终分析结果。近几年，基于统计的学习方法得到发展，有基于频率统计、数 据挖掘、有限自动机、神经网络、贝叶斯推理、支持向量机、隐马尔可夫列模 型、信息论方法等。 基于系统调用的入侵检测自f o r r e s t 等人在1 9 9 6 年提出后受到很多学者的 重视，然后出现了多种以系统调用为基础的入侵检测模型。 系统调用是操作系统为用户提供系统服务的一种接口，是用户使用系统资源 的必经路径。系统调用是操作系统为用户提供系统服务的一种接口，是用户使用 系统资源的必经路径哺1 。系统调用的状况在一定程度上能够反映程序的行为特征， 程序受到入侵将在所执行的系统调用有所体现口1 。 f o r r e s t 提出把系统调用作为信息源，在忽略系统调用参数情况下研究进程 产生的系统调用的顺序性。进程的行为可以用它发出的系统调用的序列来描述。 对应于正常行为和异常行为的系统调用序列的统计特性不同，所以如果某进程发 出的系统调用序列的统计特征和正常行为的统计特征有差别，则可以确定该进程 有安全方面的威胁。f o r r e s t 提出的方法是把正常的序列放在库中，将被监视进 程的系统调用和正常库中的各个记录进行匹配，如果匹配的比例比较大，则认为 该进程进行的是f 常的行为，否则认为是异常行为呻1 。此后，针对系统调用的入 侵检测逐渐成为研究重点之一。这主要是因为： 系统调用的规律性很强，简单的模型可以工作得很好； 模型的精确程度还有待提高，即现有的建模方法还不够精确。 但是，随着网络入侵技术的不断发展，入侵行为表现出不确定性、复杂性和 多样性等特点，使得在提取行为特征时，很难提供确定的。自2 0 世纪9 0 年代以 来，不少研究人员提出了新的检测算法，从不同的技术角度来看待入侵检测的基 本问题，引入免疫学和遗传算法等新方法来试图解决传统算法的若干问题，例如 虚假警报、扩展性和自适应性，但仍存在各自的问题。在研究和使用新的检测技 术的同时，为了进一步提高检测的效率和正确性，也应该研究入侵检测的信息 源，内容包括系统、网络、数据及用户活动的状态和行为信息，即安全审计系 统。 第一章绪论 1 3 论文的主要工作 本文从计算机主机的角度出发，对系统调用进行了研究，在前人的基础上， 提出了一个基于系统调用的将异常检测与误用检测相结合的入侵检测模型。主要 工作包括： 1 ) 针对单纯的检测方法的缺点，提出了一个将异常检测与误用检测相结合 的混合模型。将异常检测中检测到的固定入侵模式进行整理，加到误用检测的模 式库中，让系统日益健壮。 2 ) 深入研究了系统调用截获的常用方法，分析了它们的优缺点。选取了基于 内核的一种改进的快速截获方法。检测范围主要是在部分系统调用。 3 ) 详细讨论了基于异常检测的系统调用入侵检测检测的常用的模型，分析 了他们的优缺点。由于系统调用行为不会随机波动、非静态、系统调用为非测度 变量等特性，故本文对系统调用行为的表示不采用传统的异常检测的统计方法而 采用有限状态自动机。 4 ) 针对自动机自身的缺点，对自动机模型进行了改进，通过对系统调用频 率与文件访问范围的监控来检测拒绝服务与关键文件越权访问等入侵。增强了检 测拒绝服务攻击的能力，也极大地提高了算法的检测率，降低了算法的误报率。 5 ) 对所提出的模型进行了仿真实验，通过对实验结果的分析，证明了该模 型和方法实现了较低的误报率以及较少的训练时间。 1 4 章节安排 论文共分为5 章，各章的内容安排如下： 第一章绪论部分。主要讨论当前网络安全的重要性，入侵检测的研究背景 与意义以及本论文的结构安排等。 第二章入侵检测技术。介绍了入侵检测系统的概念及其模型，对入侵检测 系统进行分类，列举了国内外入侵检测系统的发展状况，对目前现有的入侵检测 系统进行分析，指出其不足之处。 第三章基于系统调用的入侵检测。介绍了系统调用及各位常用的截获系统 调用的方法，比较它们的优缺点；讨论了几个经典的基于系统调用的入侵检测算 广东_ t 业大学t 学硕士学位论文 法与模型，并对其性能进行了比较，选定了有限状态自动机作为本论文的检测模 型。 第四章模型结构。首先简单介绍了有限状态自动机与状态转换法，然后介 绍了基于系统调用的入侵检测系统的模型的总体结构，详细描述了基于l k m 机制 的修改中断向量表偏移量来获取系统调用的数据采集方法；介绍了自动机的建 模，分析了其完整治性；同时深化了异常检测，在自动机模型的基础上增加了对 越权访问关键文件、拒绝服务等攻击的检测，并对攻击分类和处理，增加了自动 机的检测能力。 第五章检测实验与结果分析。通过完成攻击的实验来验证第四章检测模型 的检测准确性等，从实践上说明这种入侵检测系统中较好的表现，可以提高入侵 检测系统的检测率并降低误报率。 第六章总结和展望。对本文的主要工作进行了总结，并且提出进一步的工 作设想和展望。 第二章入侵检测系统的基本原理 第二章入侵检测系统的基本原理 2 1 入侵检测概念 “入侵”( i n t r u s i o n ) 是个广义的概念，不仅包括发起攻击的人( 如恶意的 黑客) 取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问或拒 绝服务等对计算机系统有危害的行为等。入侵行为不仅指来自外部的攻击行为， 同时也指内部用户的未授权活动。从入侵策略的角度可将入侵检测的内容分为： 试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资 源以及恶意使用等。 入侵检测( i n s t r u s i o nd e t e c t i o n ) 就是检测各类入侵活动，并采取相应的 行之有效的对抗措施。入侵检测的目标就是通过检查操作系统的审计数据或网络 数据包，以检测系统中违背安全策略和危及系统安全的行为或活动，并采取各种有 效的措施，从而保护信息系统的资源不受攻击、防止系统数据的泄漏、篡改和破 坏。关于入侵检测技术的研究，涉及到计算机、网络以及安全等多个领域的知 识。 入侵检测系统( i n t r u s i o nd e t e c t i v es y s t e m ) 在国际计算机安全协会i c s a ( i n t e r n a t i o n a lc o u p u t e rs e c u r i t ya s s o c i a t i o n ) 的入侵检测系统论坛上被 定义为：入侵检测系统是一种通过从计算机网络或计算机系统中的若干关键点收 集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭 到袭击迹象的安全技术。 d e n n i n g 于1 9 8 7 年提出了一个通用的入侵检测模型c i d f ( c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k ) 阳1 ，如图形操作2 - 1 所示。c i d f 将入侵检测系 统需要分析的数据统称为事件( e v e n t ) ，它可以是网络中的数据包，也可以是 从系统同志等其他途径得到的信息。 c i d f 包括： 1 ) 事件产生器( e v e n tg e n e r a t o r ) 7 广东j 二业大学上学硕士学位沦文 负责收信数据，输入流包括任何可能包含入侵行为线索的系统数据，如 网络数据包、日志文件和系统调用记录等。探测器将这些数据收集起 来，发送到分析器进行处理。 2 ) 事件分析器( e v e n ta n a l y z e r ) ：分析得到的数据来确定是否发生了入 侵行为。 3 ) 响应单元( r e s p o n s eu n i t s ) ：对分析结果作出反应的功能单元。 4 ) 事件数据库( e v e n td a t a b a s e ) ：存放各种中间和最终数据的地方的统 称，可以是数据库或文本文件。 规则设计 图2 i 入侵检测系统模型 f i g2 - 1t h em o d e l o fi n t r u s i o nd e t e c t i o ns y s t e m 入侵检测系统的原理如图2 2 所示，作为一个成功的入侵检测系统，不仅可使 系统管理员时刻了解网络系统( 包括程序、文件和硬件设备等) 的任何变更，还 能给网络安全策略的制订提供依据，而且它应该管理配置简单，使非专业人员可以 容易地完成配置管理。入侵检测的规模还应根据网络规模、系统构造和安全需求 的改变而改变。入侵检测系统在发现入侵后，应及时做出响应，包括切断网络连接， 记录事件和报警等，保证网络安全稳定地运行。 8 第二章入侵检测系统的基本原理 图2 。2 入侵检测系统原理图 f i g2 - 2t h ep r i n c i p l eg r a p ho fi d s 2 2 入侵检测系统分类 入侵检测系统一般从两个角度进行分类：按检测数据来源和按数据分析技 术。 2 2 1 检测数据源 根据入侵检测系统的数据源，通常将入侵检测系统分为三类：基于主机的 入侵检测( h o s t b a s e di n t r u s i o nd e t e c t i o n ，简称h i d ) 系统基于网络的入 侵检测系统( n e t w o r k - b a s e di n t r u s i o nd e t e c t i o n ，简称n i d ) 混合入侵检测 系统。基于主机的入侵检测系统从单个主机上提取数据作为入侵分析的数据源， 而基于网络的入侵检测系统从网络上提取数据作为入侵分析的数据源。本文研究 的是基于主机的入侵检测系统。 ( 1 ) 基于主机的入侵检测系统们 基于主机的入侵检测系统( r i d s ) 通常是安装在被重点检测的主机之上，主 要是对该主机的网络实时连接以及系统审计同志进行智能分析和判断。通过提取 被保护系统的审计踪迹和系统同志等运行数据并进行入侵分析来实现入侵检测的 功能。可以通过多种方法实现，例如检测系统设置以发现不正当的系统设置和系 统设置的不正当更改；对系统安全状态进行定期检查以发现不正常的安全状态； 主机日志的安全审计等。 9 广东- _ ：业大学上学硕士学位论文 基于主机的入侵检测系统模型如图2 3 所示： 作 图2 - 3 基一 1 主机的入侵检测系统模型 f i g2 - 3t h ei d sm o d e lb a s e do i lh o s tc o m p u t e r 主机入侵检测系统的优点在于： 主机入侵检测系统不需要额外的网络设备。基于主机的i d s 驻留在现有的网 络基础设施上。这就减少了基于主机的的实施成本，同时由于无需增加新的硬件， 所以也减少了以后维护和管理这些硬件设备的负担。 主机入侵检测系统使用于加密和交换环境。基于主机的i d s 可以较为灵活地 配置在多个关键主机上，不需考虑交换和网络拓扑问题”这对关键主机零散地分布 在多个网段上的环境特别有利”根据加密驻留在协议栈中的位置，基于网络的入侵 检测系统可能无法检测到某些攻击。而基于主机的i d s 并没有这方面的限制，因 为当信息到达i d s 所在的主机时，数据流己经被解密了。 主机入侵检测系统对分析“可能的攻击行为”非常有用。它除了指出入侵者 试图执行一些“危险的命令”之外，还能分辨出入侵者具体干了什么事：他们运 行了什么程序、打开了哪些文件、执行了哪些系统调用。 主机入侵检测系统通常情况下要比网络入侵检测系统误报率要低，因为检测 在主机上运行的命令序列比检测网络流更加简单，系统的复杂性也小得多。 主机入侵检测系统可部署在那些不需要广泛的入侵检测，或者如果使用网络 入侵检测会有传感器与控制台之间的通信带宽不足的限制的情况下。 相比较于网络入侵检测系统，主机入侵检测系统的弱点是： 1 0 第二章入侵检测系统的基本原理 主机入侵检测系统比较难管理，因为不同的被保护系统使用不同的操作系 统。 审计记录的信息量非常庞大，因此处理系统审计记录的基于主机的i d s 需要 大量的系统资源，如存储空间、内存和c p u 。 主机入侵检测系统的另一个问题是它依赖于服务器固有的r 志与监视能力。 如果服务器没有配置日志功能，则必需重新配置，这将会给运行中的业务系统带来 不可预见的性能影响。 主机入侵检测系统运行在被保护的主机上，那么它和主机上的应用程序会共 用一些系统资源，所以有时基于主机的i d s 也可能受到攻击而瘫痪。 主机入侵检测系统除了监测自身的主机以外，根本不监测网络上的情况。对 入侵行为的分析的工作量将随着主机数目增加而增加。 ( 2 ) 基于网络的入侵检测系统 基于网络的入侵检测系统( n i d s ) 通过网络监视来实现数据提取。基于网络 的入侵检测系统通常由多个单一功能目标的监测器组成，它们被放置在网络的不 同位置，监听并分析网络数据包，并向中央控制台报告入侵。由于监测器只是运 行入侵检测系统，它们也更加容易保证安全。而且，监测器常常被设计成在一种 “隐秘”的方式下运行，以使攻击者更加难于发现它们的存在和确定它们的位 置。 基于网络的i d s 一般都放置在比较重要的网段内，不停地监视网段中的各种 数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与系统内置 的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。目前，大部 分入侵检测系统产品是基于网络的。值得一提的是，在网络入侵检测系统中，有多 个久负盛名的开放源码软件，它们是s n o r t ，n f r ，s h a d o w 等，其中s n o r t 的社区 ( h t t p ：w w w s n o r t o r g ) 非常活跃，其入侵特征更新速度与研发的进展己超过了 大部分商品化产品。 基于网络的入侵检测系统模型如图2 4 所示： 广东工业大学工学硕十学位论文 图2 - 4 基t 1 网络的入侵检测系统模型 f i g2 - 4t h e i d sm o d e lb a s e d o nn e t w o r k 基于网络的入侵检测系统的优点是：只要较少的监测器就可以保护一个网 络；处于被动接收方式，很难被攻击者发现；不改变系统和网络的工作模式，也 不影响主机性能和网络性能，对现有网络的影响很小；可从低层开始分析，对基 于协议攻击的入侵手段有较强的分析能力。 基于网络的入侵检测系统存在的问题是：对于大型的高负荷的网络会产生丢 包现象，因而可能不能识别出那些在网络传输高峰期内发动的攻击；对于交换式 的网络不能监听到所有的网络数据包；无法分析加密的网络数据包；只能检测到 一个发动的攻击，但是不能判断该攻击是否己经成功。 ( 3 ) 混合入侵检测 基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使 用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两 类产品能够无缝结合起来部署在网络内，则会构架成一套完整的主动防御体系，综 合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击 信息，也可从系统日志中发现异常情况。 2 2 2 数据分析技术 从检测方法和实现技术上，入侵检测系统可分为误用检测、异常检测n 引。大 部分现有的入侵检测工具都是使用误用检测方法。异常检测方法虽然还没有得到 广泛的应用，但它是目前入侵检测系统的研究热点。 1 2 第二章入侵检测系统的基本原理 ( 1 ) 异常检测( a n o m a l yd e t e c t i o n ) 异常检测是通过历史资料建立正常或合法行为的模型，然后将它与当前活动 行为相比较，如果与正常行为模型的偏离程度超过一定范围，就认为发生了入侵 行为n 帅2 | 。异常的判断多是根据事件出现的频率，高于标准还是低于标准将成为 判断的依据。例如，一个用户一天登入登出一台主机2 0 次，而j 下常情况下为到2 次，那么这就是一个异常。典型的采用异常检测技术的如图2 - 5 所示。 叵巫 动态产生新特征l 图2 5 采用异常检测技术的i d s f i g2 - 5t h ei d se m p l o y i n gm i s u s ed e t e c t i o nt e c h n o l o g y 异常检测的优点是能够检测出未知的或新的攻击，对操作系统的依赖性小， 可以检测出滥用权限类型的攻击。缺点是这种方法的误报率较高，因为不可能用 有限的训练数据表达出系统的所有行为，如何选择合适的偏离阈值，提高检测准 确率是异常检测技术的关键。常见的异常检测方法有统计分析、预测模式、特征 选取等。 常见的异常检测方法有基于概率统计、免疫原理、贝叶斯推理、数据挖掘、 神经网络等方法。 ( 2 ) 滥用检测( m i s u s ed e t e c t i o n ) 误用检测技术指的是通过预先精确定义的入侵模式对观察到的用户行为和资 源使用情况进行检测n 引。 误用检测方法，主要利用收集到的入侵或攻击的相关知识( 如特征、模式 等) 来检查系统中是否出现了这些己知入侵攻击的特征或模式，并据此判断系统 是否遭受到攻击。它和异常入侵检测技术在处理数据的方式上是互补的。基于误 用检测的入侵检测技术通过收集己知的入侵攻击和系统缺陷来进行编码构成入侵 检测系统中的知识库，然后利用这些知识库寻找那些企图利用这些系统缺陷的攻 击行为，入侵检测系统将所监视的事件与知识库中的攻击模式进行匹配，当发现有 匹配时，认为有入侵发生，从而触发相应机制。也就是说，这类入侵检测方案通过 广东j ：业大学上学硕士学位论文 检测那些与己知的入侵行为模式类似的行为或间接地违背系统安全规则的行为， 来识别系统中的入侵活动。因此，基于入侵知识的入侵检测系统具有很好的检测 精确度，至少在理论上具有非常低的误报率，但是其检测完备性则依赖于对入侵攻 击和系统缺陷的相关知识的不断更新、补充。 使用这类入侵检测系统可避免系统以后再遭受到同样的入侵攻击，而且系统 安全管理员能够很容易地知道系统遭受到哪种攻击并采取相应的措施。但是，知 识库的维护需要对系统中的每一个缺陷都要进行详细的分析，这不仅是一个耗费 时间的工作，而且关于攻击的知识，依赖于操作系统、软件的版本、硬件平台以及 系统中运行的应用程序等。这种入侵检测技术的主要局限在于： 它只能根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为， 而面对新的入侵攻击行为以及那些利用系统中未知或潜在缺陷的越权行为则无能 为力。 检测系统知识库中的入侵攻击知识与系统的运行环境有关。 对子系统内部攻击者的越权行为，由于他们没有利用系统的缺陷，因而很难 检测出来”在实现上，基于入侵知识的入侵检测系统只是在表示入侵模式( 知识) 的方式以及在系统的审计踪迹中检查入侵模式的机制上有所区别。 典型的采用误用检测技术的如图2 - 5 所示。误用检测的关键问题是如何从已 知入侵中提取和编写特征，使得其能够覆盖该入侵的所有可能的变种，而同时不会 匹配到非入侵活动。 图2 6 采用误用检测技术的i d s f i g2 _ 6m ei d se m p l o y m gm i s u s ed e t e c t i o nt e c h n o l o g y 常用的误用检测方法一般有基于专家系统、模型推理、状态转换分析、键盘 监控等误用入侵检测方法。由于本论文的误用检测部分采用的也是基于有限状态 自动机和状态转换分析法，故在这里简单介绍一下基于状态转换分析的误用检测 方法。 1 4 第二章入侵检测系统的基本原理 状态转换分析最早由r k e m m e r e r 提出，它将入侵表示成一系列被监控的系统 状态转换n 们n 引。状态转移分析是一种针对入侵及其渗透过程的图形化表示方法。 把攻击建模成为状态和其转换的网络，使用有限状态自动机( f i n i t es t a t e m a c h i n e ) 模型来表示入侵过程，每一事件都作为有限状态机的实例( 描述攻击场 景) 。入侵过程由一系列导致系统从初始状态转换到入侵状态的行为组成。初始 状态表示在入侵发生之前的系统状态，入侵状态则代表入侵完成后系统所处的状 态。利用有限状态机模型，每当有新的行为发生时，分析引擎检查所有的状态转移 图，查看是否会导致系统的状态转移。如果新的行为否定了当前状态的断言 ( a s s e r t i o n s ) ，分析引擎就将转移图回溯到断言仍然成立的状态；如果新的行 为使系统状态转移到了入侵状态，状态转移信息就被发送到决策引擎，并根据预先 定义的策略采取相应的响应措施。这种方法使复杂的入侵场景简单化，能检测出 分布式的攻击，在攻击尚未达到侵入状念( c o m p r o m i s e ds t a t e ) 之前就能检测到， 但是对于复杂的入侵场景会出现问题。采用这种方法的系统包括状态转移分析技 术( s t a t et r a n s i t i o na n a l y s i st e c h n i q u e ，s t a t ) 和用于u n i x 系统的状态转 移分析工具( s t a t et r a n s i t i o na n a l y s i st o o lf o ru n i x ，u s t a t ) u 刨。 2 3 入侵检测的信息源 2 3 1 信息源的选择 目前入侵检测所采用的几种常用信息源主要有审计记录、系统同志、应用程 序日志志等。当然还有其它的数据来源，如来自其它安全产品、网络设备的数据 源，甚至是人工方式提供的数据源等。从诸多的可能输入数据源中选择恰当的信 息源是涉及数据源选择及影响最后检测结果的重要问题。基本的原则是根据入侵 测系统设计的检测目标来选择所需的输入数据源。 来自主机的数据源通常反映了主机系统的活动情况，包括对文件系统的操 作、系统调用情况、用户命令、用户登录注销等。其中，因为进程的运行和系 统调用的执行是密不可分的，相对于其它数据源，系统调用的信息更为真实完 善。经研究发现，利用服务所产生的系统调用可以较好的描述所有服务的特性。 当用户进程需要对系统资源进行访问时，进程通过系统调用进入内核空问。在服 1 5 广东j ：业大学工学硕士学位论文 务正常运行状态下，其行为变化是有限的，产生的系统调用序列存在一些比较固 定的模式。系统调用之间有很强的相关性，可以通过寻找预测规则的方法，对这 种相关性进行建模，作为异常检测中的正常行为模型。 通过修改操作系统核心，一个被修改内核的操作系统看上去和正常的系统没 有区别，实际执行的是一个特洛伊，基于系统调用的入侵检测是检测这类攻击仅 有的有效方法。由上面的分析可见，基于系统调