（信号与信息处理专业论文）用于sip滥用检测的入侵检测系统的设计与实现.pdf

北京邮电人学硕j j 研究生学位论文 独创性( 或创新性) 声明 f y 1 删7 胂5 删9 胂f f l f f lf f f f f 2 册7 腓 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处， 本人签名：垒聋墨 本人承担一切相关责任。 日期： 塑! ：2 ：! z 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。 本学位论文不属于保密范围，适用本授权书 本人签名： 导师签名： 日期：塑! ! ：主：12 同期： 翌! 1 2 ：2 ：! z 北京i t t l lj 乜人学硕i ：t i t t 究生学位论文 玎 北京邮电人学硕士研究生学位论文 用于s i p 滥用检测的入侵检测系统的设计与实现 摘要 随着信息科学的进步和因特网的发展，计算机网络的应用越来越 广泛，社会对计算机网络的依赖越来越大。但计算机网络自身的开放 性与共享性也容易使它受到外界的攻击与破坏。任何试图破坏信息系 统的完整性、机密性、可用性的网络行为都称为网络入侵。防范网络 入侵常用的方法包括防火墙( f i r e w a l l ) 、防治病毒的软件、用户认证、 加密以及入侵检测等。 入侵检测作为作为一种积极主动的防御手段。是整个网络安全防 护体系的重要组成部分。入侵检测系统i d s ( i n t r u s i o nd e t e c t i o n s y s t e m ) 是信息安全领域内一个重要的组成部分，其目的在于检测识 别出网络和系统中任何企图破坏计算机资源完整性、保密性和可用性 的行为，并对这些行为作出有效的响应。s n o r t 是一个强大的轻量级 的网络入侵检测系统。它具有实时数据流量分析和日志i p 网络数据 包的能力。 s i p ( s e s s i o ni n i t i a t i o np r o t o c 0 1 ) 称为会话发起协议，是一个基于 文本的应用层控制协议，目前针对s i p 协议比较典型的安全威胁包括 如下几种：注册劫持，服务器伪装，消息篡改，会话终止，拒绝服务。 典型的s i p 协议业务滥用行为包括如下几种：服务异常，盗用服务， 滥用服务。 本文针对s i p 协议的安全威胁和业务滥用，首次提出并设计实现 了用于s i p 滥用检测的入侵检测系统，主要用于捕获网络上的s i p 协 议数据包，对其进行解析，根据规则进行模式匹配，分析s i p 协议中 的r e g i s t e r 和r e s p o n s e4 x x 行为，分析合法的s i p 数据包和非法的 s i p 数据包并写入数据库。并在此基础上实现对s i p 业务滥用的服务 异常、盗用服务、滥用服务等行为的分析，并设置告警门限进行告警， 然后根据预定措施放行或阻断会话。最后对系统进行了性能测试实 验，实验结果表明系统能够实现预期功能目标。 关键词：网络安全入侵检测误用检测会话发起协议 北京邮f 乜人学硕，j j 研究生学位论文 l l 北京邮电大学硕1 j 研究生学位论文 d e s i g na n di m p l e m e n t i o no ft h e i n t r u s i o nd e t e c t l 0 ns y s t e mf o rs i p m i s u s e a b s t r a c t t h e s o c i e t yh a sa ni n c r e a s i n gd e m a n c e o nc o m p u t e rn e t w o r k sa st h e i n f o r m a t i o n t e c h n o l o g y a n dt h ei n t e r n e t d e v e l o p t h eo p e n n e s s o f c o m p u t e rn e t w o r kn o to n l y c o n v e n i e n to u rl i f eb u ta l s om a k ei t s e l f t e n d e r n e s st oa t t a c k s a n yn e t w o r ka c t i o n ，w h i c ha t t e m p t st ou n d e r m i n e t h ei n t e g r i t y ，c o n f i d e n t i a l i t y ，a n da v a i l a b i l i t yo fi n f o r m a t i o ns y s t e m s ，i s c a l l e dn e t w o r ki n t r u s i o n t og u a r da g a i n s tt h e s en e t w o r ki n t r u s i o n sw e h a v es e v e r a lc o m m o nm e t h o d s ，f i r e w a u ( f i r e w a l l ) ，a n t i - v i r u ss o f t w a r e a n du s e ra u t h e n t i c a t i o n ，e n c r y p t i o na n di n t r u s i o nd e t e c t i o n a sap r o - a c t i v em e a no fd e f e n s e ，i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) p l a y sa ni m p o r t a n tr o l ei nt h ee n t i r en e t w o r ks e c u r i t yp r o t e c t i o ns y s t e m i d sd e t e c ta n ya c t i o nt of i n do u tt h o s ec r a c k st h en e t w o r ks y s t e m ，a n d g i v ea ne f f e c t i v er e s p o n s et o t h e s ep a r t i c u l a ra c t i o n s i d si sb a s e do n s n o r t ，as t r o n gl i g h tw e i g h tn e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m ( n i d s ) w h i c hc a nr e c o g n i z ea n dw a r nv a r i o u sp a t t e r n so fn e ta t t a c k sb y a n a l y z i n gr e a l t i m ed a t af l o w s a n dl o g g i n gi pd a t ap a c k a g e s s e s s i o ni n i t i a t i o np r o t o c o l ( s i p ) i sat e x t b a s e da p p l i c a t i o nl a y e r c o n t r o lp r o t o c 0 1 s e r v i c ea b n o r m a l ，t h e f to fs e r v i c e ，a sw e l la sa b u s eo f s e r v i c ee t c ，a c c o r d i n gt ot h e s es i ps e c u r i t yt h r e a t s ，id e s i g n e dai n t r u s i o n d e t e c t i o ns y s t e mf o rs i pm i s u s e b yc a t c h i n ga n da n a l y z i n gs i pp a c k a g e s ， t h es i p b a d sa p p l i e sap a t t e r nm a t c h i n g ，a n a l y z er e g i s t e r & r e s p o n s e 4 x xa c t i o n s ，t od e t e r m i n ew h e t h e rt h i sp a r t i c u l a rp a c k a g ei sl e g a lo rn o t a f t e rt h i sd e t e r m i n a t i o nt h es i p b a d sw i l ls t a t i cl e g a lu s e r s p a t t e r n st o s e taw a m i n gl i n e ，a c c o r d i n gt ow h i c ht h eu s e r sc o n v e r s a t i o nw i l lb e a p p r o v e do fa b a n d o n e da n a l y s i so fl e g a la n di l l e g a ls i pp a c k a g e sa n d w r i t et h ed a t a b a s e k e y w o r d s ：n e t w o r ks e c u r i t y i n t r u s i o nd e t e c t i o nn e t w o r km i s u s e s e s s i o ni n i t i a t i o np r o t o c o l 北京邮 乜人学硕i ：i o f 究生学位论文 北京邮也人学硕十研究生学位论文 目录 第一章绪论1 1 1 研究背景l 1 2 研究现状2 1 3 课题内容与结构安排3 第二章背景介绍6 2 1 网络安全6 2 1 1 网络安全概念6 2 1 2 网络入侵流程6 2 2 入侵检测8 2 2 1 入侵检测的产生与发展8 2 2 2 入侵检测系统的分类9 2 2 3 入侵检测的主要分析方法1 l 2 3s n o r t 概述1 4 2 3 1s n o r t 体系2 吉和留。1 5 2 3 2s n o r t 工作流程1 5 2 4s i p 协议介绍1 7 2 5 ，j 、结1 9 第三章用于s i p 滥用检测的入侵检测系统的设计2 0 3 1 系统概述。2 0 3 1 1 系统功能模块2 0 3 1 2 系统体系结构2 1 3 2 预处理系统的设计。2 2 3 3 业务滥用分析系统的设计。2 3 3 4 数据库设计2 4 3 4 1 物理结构设计2 4 3 4 2 概念结构设计2 5 3 4 3 逻辑结构设计2 8 3 5 ，j 、坌吉3 1 第四章用于s i p 滥用检测的入侵检测系统的实现。3 2 4 1 预处理系统的实现3 2 i 北京邮电人学硕 ：o f 究生学位论文 4 1 1s i p 协议预处理模快3 2 4 1 2 非法呼叫拦截模快3 3 4 1 3 规则接收模快3 4 4 1 4 主要功能函数的实现3 5 4 2 业务滥用分析系统的实现一。3 7 4 2 1 告警信息模块3 7 4 2 2 服务异常分析模块3 9 4 2 3 盗用服务分析模块3 9 4 2 4 滥肘服务分析模块4 0 4 2 5 规则配置模块4 4 4 3 关键技术实现。4 5 4 3 1 字符编码4 5 4 3 2 优化数据库查询。4 6 4 4 j 、l ；。4 7 第五章系统实验。4 8 5 1 实验环境4 8 5 2 数据收集一4 9 5 3 实马佥结果。5 0 5 4 ，j 、 ! 占。! ；1 第六章总结与展望5 2 6 1 论文主要创新点5 2 6 2 下一步丁作5 2 参考文献5 3 致谢5 5 u 北京邮i 【i 人学硕f ：r o d s 生学位论文 1 1 研究背景 第一章绪论 随着信息科学的进步和因特网的发展，网络信息资源越来越丰富。电子银行、 电子商务、电子政务、远程教育、网络虚拟社区等已经走进人们的生活。计算机 网络在政治、军事、经济、工业、商业、交通、电信、教育等方面的应用也越来 越广泛，社会对计算机网络的依赖也越来越大。 但计算机网络自身的开放性与共享性也容易使它受至u 夕i - 界的攻击与破坏。在 享受着i n t e r a c t 带来的方便的同时，人们也面临着由于非法入侵系统而引发的一 系列安全问题的困扰。 我国信息网络安全事件发生比例连续3 年呈上升趋势，2 0 0 7 年达到6 5 7 ， 较2 0 0 6 年上升1 1 7 。互联网上以盗取用户帐号、密码为目的的“间谍软件、 木马病毒明显增多，“熊猫烧香”、“木马代理”、“网游大盗”和“传奇木马一等 一批以侵财为目的的计算机病毒大量传播，直接危害人民群众切身利益，造成的 危害较大 因此，计算机网络必须有足够的保障和防御能力，否则将会带来严重的危害 和巨大的损失。任何试图破坏信息系统的完整性、机密性、可用性的网络行为都 称为网络入侵。防范网络入侵常用的方法包括防火j 皆( f i r e w a l l ) 、防治病毒的软件、 用户认证、加密以及入侵检测等。 入侵检测作为作为一种积极主动的防御手段。是整个网络安全防护体系的重 要组成部分。入侵检测系统i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) 是信息安全领域内 一个重要的组成部分，它实质上是一套检测入侵行为的安全管理工具，它试图通 过收集来自操作系统、网络接口和应用程序的信息，从中分析反映违规或异常行 为的模式，自动应答检测到的入侵行为，并产生详细的检测报告供系统安全管理 员和用户作进一步的分析。入侵检测系统的目的在于检测识别出网络和系统中任 何企图破坏计算机资源完整性、保密性和可用性的行为，并对这些行为作出有效 的响应，如阻止攻击的进行、对攻击进行记录、作出主动响应等。 i d s 具有公认的一些分类方式，若其所分析的信息来源于操作系统的审计 追踪，则称为基于主机的i d s ，若来源于网络包，则称为基于网络的i d s ：而采 用的分析方法若基于检测规则的匹配，则该类检测为违规检测，也称为基于特征 的检测；若基于用户行为的统计信息，则该类检测为异常检测，也称为基于统计 的检测。一般来说，学术研究性的系统侧重于异常检测，而商业化的入侵检测软 北京邮1 1 1 人学硕i ：研究生学位论文 都采用违规检测方法。 s n o r t 作为一种开放源代码的基于l i b p c a p 的入侵检测系统已经得到广泛的 。它采用的是基于规则的网络信息搜索机制，通过对数据包内容进行模式匹 检测多种不同的入侵行为和探测活动。s n o n 按照规则归类的方法进行规则 ，对数据包内容的模式匹配采用的是b o y e r - m o o r e ( 简称b m ) 算法。 s n o r t 是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析 和日志i p 网络数据包的能力。它能够检测各种不同的网络攻击方式，对网络攻 击进行实时报警。此外，s n o r t 具有很好的扩展性和可移植性。同时，它遵循通 用公共许可证g p l ，所以只要遵守g p l 任何组织和个人都可以自由使用。s n o r t 的报警机制很丰富，例如：s y s l o g 、用户指定的文件、一个u n i x 套接字。利用 x m l 插件，s n o r t 可以使用s n m l ( 简单网络标记语言，s i m p l en e t w o r k m a r k u p l a n g u a g e ) 把同志存放到一个文件或者适时报警。 s n o r t 还能够进行协议分析，内容的搜索，规则的匹配。现在s n o r t 能够分析 的协议有t c p 、u d p 和i c m p 。将来，可能提供对a r p 、i c r p 、g r e 、o s p f 、 r i p 、i p x 等协议的支持。它能够检测多种方式的攻击和探测，例如：缓冲区溢 出、秘密端口扫描、c g i 攻击、s m b 探测、探测操作系统指纹特征的企图等等。 1 2 研究现状 入侵检测技术自2 0 世纪8 0 年代早期提出以来，经过2 0 多年的不断发展， 从最初的一种有价值的研究想法和单纯的理论模型，迅速发展出种类繁多的各种 实际原型系统，并且在近1 0 年内涌现出许多商用入侵检测系统产品，成为计算 机安全防护领域内不可缺少的一种重要的安全防护技术。 1 9 8 0 年，j a m e s a n d e r s o n 在其一份技术报告中第一次引入了入侵检测的概念， 同时提出了改进安全审计系统的建议，以便用于检测计算机用户的非授权活动， 并提出了一种对计算机系统风险和威胁的分类方法，他将入侵行为分为外部渗 透，内部渗透和不法行为三种，还提出了利用系统的审计记录检查入侵企图的方 法。 1 9 8 7 年，d o r o t h y e d e l m i n g 设计和实现了第一个实时入侵检测系统模型 i d e s ，该系统是早期入侵检测系统中最有影响力的一个。i d e s 系统包括了统计 分析组件和专家系统组件，同时实现了基于统计分析的异常检测技术和基于规则 的滥用检测技术。i d e s 系统的设计思路给后来的很多类似的系统提供了启发。 1 9 9 0 年是入侵检测系统发展史上的一个分水岭，t o d dh e b e r l i e n 发表在i e e e 上的论文( a n e t w o r ks e c u r i t ym o n i t o r ) ) ，标志着入侵检测第一次将网络数据包作 为实际输入的信息源。n s m 系统截获t c p i p 分组数据，可用于监控异构网络环 2 北京邮电大学硕上研究生学位论文 境下的异常活动。 1 9 9 0 年是入侵检测系统发展史上的一个分水岭，在这之前，所有的入侵检 测系统都是基于主机的，他们对于活动的检查局限于操作系统审计踪迹数据及其 他以主机为中心的数据源，而这一年，t o d dh e b e r l i e n 等人开发出了n s m 系统， 并在i e e e 上发表了论文an e t w o r ks e c u r i t ym o n i t o r ) ) 。该系统截获t c p i p 分 组数据，第一次将网络流作为审计数据的来源，因而可以用于监控异构网络环境 下的异常网络活动。 此后，入侵检测的研究正式分为两大阵营：基于网络的入侵检测系统的研究 和基于主机的入侵检测系统的研究。 从2 0 世纪9 0 年代至今，对入侵检测系统的研究工作己呈现出百家争鸣局面， 并且在智能化和分布式等方向取得了很大的进展。 1 3 课题内容与结构安排 s i p ( s e s s i o ni n i t i a t i o np r o t o c 0 1 ) 称为会话发起协议，是一个基于文本的应用 层控制协议，是由i e t f ( i n t e m e te n g i n e e r i n gt a s kf o r c e ) 铝l j 定的多媒体通信系统框 架协议之一，用于建立、修改和终止i p 网上的双方或多方多媒体会话。s i p 协议 很大程度上借鉴了其他各种广泛存在的i n t e m e t 协议，如h t t p 、s m t p 等，支持 用户代理、重定向、用户登记、定位及用户移动等功能。通过与r t p 瓜t c p 、s d p 、 r t s p 等协议及d n s 配合，s i p 支持语音、视频、数据、e m a i l 、i m s 、聊天、游 戏等。 。 通过s i p 协议，人们可以方便地在i p 网络上创建、修改和终止由一个或多个 参与者参与的会话。而所谓会话( s e s s i o n ) ，就是指用户之间的数据交换，这些数 据可以是普通的文本数据，也可以是经过数字化处理的音频、视频数据，还可以 是诸如游戏等应用的数据。因此任何具有会话管理特征的应用，比如电话、会议、 即时消息、游戏等，都可以使用s i p 对会话进行管理。 r f c 3 2 6 1 中定义的s i p 网络实体包括用户代理( u a ，u s e ra g e n t ) ，代理服务 器( p r o x y ) ，注册服务器( r e g i s t r a r ) ，重定向服务器( r e d i r e c ts e r v e r ) ， b 2 b u a ( b a c k 2 t 0 2 b a c ku s e r ) 。其中，与呼叫相关的功能包括用户代理和代理服务 器，与呼叫无关的功能是注册服务器。 由于i e t f 并没有在s i p 中定义整体的i n t e r a c t 多媒体会议体系结构，这使得 s i p 可以方便地重用一些在i n t e r n e t 中己经成功应用的协议组件，比如d n s 、r i p 、 哪、s d p 等等，增加了s i p 的简单性、灵活性和可扩展性。但另一方面，s i p 以文本形式表示的词法和语法分析比较简单，面对复杂的网络环境，s i p 协议缺 少有力的安全机制。 3 北京邮电人学硕l ：研究生学位论文 目前针对s i p 协议比较典型的安全威胁包括如下几种： 1 注册劫持：注册过程中，攻击者截获注册消息，并向一个u r i 的所有c o n t a c t 发送注册注销消息，然后注册自己的设备为c o n t a c t 地址，这样就将所有到用户的 呼叫全部转向攻击者的设备。 2 服务器伪装：呼叫过程中，u a 通常直接向域中的服务器发送i n v i t e 濯j 息。 攻击者伪装成重定向服务器接收到该消息后，向用户发送3 0 1 消息表示当前s i p 服务器已退出服务，同时将自己的地址指定为接替服务的s i p 服务器。那么用户 所有的呼叫请求都被攻击者截获，而并非发向服务器。 3 消息篡改：当u a 通过信任的p r o x y 来路由呼叫时，恶意的p r o x y 就可以改 动消息体。大部分端到端s i p 消息中的内容都在可篡改之列，例如m i m e 、s d p 、 被封装的电话信令等。 4 会话终止：会话建立以后，可以通过发送信令消息修改会话的状况。如 果一个会话消息被攻击者截获，获得了t o 、f r o m 等内容，然后在消息中插入b y e 请求，于是用户的正常会话会被终止。 5 拒绝服务：由于s i p 的服务基于i p 网络，s i p 服务器就不可避免的存在遭受 d o s 攻击的可能性。攻击者通常伪造一个虚假的l p 地址和相应的v i a 字段，假装 是某个主机发来的请求。然后大量发送给s i p 服务器，从而使服务器遭受d o s 攻 击。 本文针对s i p 协议的安全威胁，设计并实现了用于s i p 滥用检测的入侵检测系 统，主要用于捕获网络上的s i p 协议数据包，对其进行解析，根据规则进行模式 匹配，分析s i p 协议中的r e g i s t e r 和r e s p o n s e4 x x 行为，分析合法的s i p 数据包和 非法的s i p 数据包并写入数据库。检测s i p 业务滥用的行为并设置告警门限进行告 警，然后根据预定措施放行或阻断会话。主要研究内容如下： 1 深入研究s n o r t 入侵检测系统的体系结构和工作原理。 2 研究s n o r t 系统基于插件技术的实现方法，开发了s i p 协议预处理插件，实 现对s i p 协议中的r e g i s t e r 和r e s p o n s e4 x x 行为的分析和检测，识另s j s i p 数据包是 否合法。 3 开发了基于w i n d o w s 操作系统、m y s q l 数据库的b s 结构的用于s i p 滥用检 测的入侵检测系统，对s i p 业务滥用的行为进行统计分析。提供了用户自己编写 规则的接口，另外，对数据库中的数据包信息进行统计分析，统计出用户的呼叫 行为是否属于业务滥用，并设置告警门限进行告警，然后根据预定措施放行或阻 断会话。其中业务滥用的种类主要包括： 1 ) 服务异常( s e r v i c ea b n o r m a l ) ：主要针对恶意攻击造成通信业务异常， 如：s i po p t i o nf l o o d 、s i pr e g i s t e rf l o o d 、i n v i t ed o s 、协议栈f u z z 、语音干扰 4 北京邮l 乜人学硕f ：研究生学位论文 等； 2 ) 盗用服务( t h e f to fs e r v i c e ) ：主要针对未经付费而盗用通信业务，如： 电话号码窃取、匿名电话、用户绕计费呼叫、s p 恶意欺诈等； 3 ) 滥用服务( a b u s eo f s e r v i c e ) ：主要针对合法用户非正常使用通信业务， 如：主叫穿越、吸费电话、垃圾电话等。 本论文拟包含以下几个部分： 1 主要阐述本文的研究背景、现状和意义，提出问题，在此基础上，进一 步明确本文的研究目标和内容。 2 主要介绍网络安全及入侵检测系统的发展历史、入侵检测概念、检测原 理、检测方法、检测分类等。 3 分析和研究网络入侵检测系统s n o r t ，主要介绍了s n o r t 的体系结构，重 点介绍其检测方法原理及其实现的方法。 4 给出用于s i p 滥用检测的入侵检测系统的设计与实现过程。 5 对论文的工作进行总结，说明工作的创新之处，以及自己工作的不足， 提出下一步研究的方向。 北京邮电人学硕l ：研究生学位论文 第二章背景介绍 安全问题是随着i n t e l 的发展而产生的，近年来越来越多的引起 子银行、电子商务、电子政务、远程教育、网络虚拟社区等已经 。计算机网络在政治、军事、经济、工业、商业、交通、电信、 用也越来越广泛，社会对计算机网络的依赖越来越大。 计算机网络的连通性和丌放性给资源共享和通信带来了很大的便利，但是这 种开放性也也容易使它受到外界的攻击与破坏。出于各种目的，盗用网络资源、 窃取机密、破坏网络的事件越来越多。网络安全事件呈现迅速增长的趋势，造成 的损失也越来越大，网络安全问题已经成为影响网络发展的主要问题。 2 1 1 网络安全概念 计算机网络必须有足够的保障和防御能力，否则将会带来严重的危害和巨大 的损失。网络安全的实质就是要保障网络系统中的人，设备，实施，软件，数据 等各种要素避免各种偶然的或人为的破坏和攻击，使整个网络系统安全可靠的工 作。网络安全应该包括以下几个方面的内容： 1 弄清楚网络系统可能受到的威胁以及系统脆弱性，以便人们能够注意到 网络的这些弱点和它存在的特殊性问题。 2 开发和实施有成效的安全策略，尽可能减少整个网络系统所面临的各种 风险。 3 准备相应的应急措施，使得网络中的设备，软件，数据在收到破坏和攻 击时，能够尽快的恢复。 4 确保整个网络中信息的机密性，可靠性，可用性和完整性。 网络安全主要受到的威胁包括截取( 偷听和被动窃听) 、修改( 主动窃听、 篡改和破坏真实性) 和拒绝服务。网络的安全依赖于我们所使用的所有加密工具、 良好的程序开发过程、操作系统控制、信任和评价与保证方法，以及推论和综合 控制措施。 2 1 2 网络入侵流程 网络入侵主要是指利用一些工具破坏网络中信息流的可靠性、保密性、可用 6 北京邮l 乜人学硕l ：研究生学位论文 性和完整性，导致整个网络及系统失效、出现错误或者崩溃。入侵者主要利用网 络系统中的安全漏洞侵入网络系统，这些安全漏洞主要来自于系统软件、应用软 件及安全策略设计和实现上的缺陷与不足。 了解网络入侵的流程和主要手段，有助于部署入侵检测防御和入侵检测的相 关设备和工具来检测和阻击网络入侵。网络入侵的流程如图2 1 所示1 r 一一 一一一一1 确定入侵目标 【一，、j r 丽- 赢翮 信息收集，漏洞收集i 医越匿鲴 f ，一，j 1 ，、。j 图2 - i网络人侵流程图 首先，确定入侵目标。入侵者通过网络扫描，数据库搜索等各种方式获得i p 地址，域名等信息，并选择将要攻击的目标。 其实，扫描漏洞。扫描目标网络的漏洞并且对其漏洞进行相应的分析，获得 相应的端口信息，漏洞信息防火墙规则等。 再次，利用相应的工具或技术进行网络入侵，实施攻击。 传统的网络安全主要的技术有：防火墙、加密技术、鉴别与认证、访问控制 等。这几种技术主要集中在系统自身的加固和防护上，属于被动的安全防护技术。 这些被动的防护技术存在着一些局限性： 1 防火墙技术主要是内部网络的安全技术，防外不防内。防火墙无法检测 或者阻击嵌入到普通内部流量中的恶意攻击代码。另外，防火墙技术不易于管理 和配置。 2 加密技术本身存在着一定的安全缺陷。 3 鉴别认证技术，不能抵御字典攻击、特洛伊木马等攻击手段。另外合法 用户在通过身份认证之后滥用特权的问题也有待解决。 4 访问控制技术，入侵者可以利用系统的脆弱性程序等绕过访问控制，或 者直接提升用户权限。 针对以上被动防御技术的局限性，动态可适应网络安全防护技术即主动防御 技术应运而生，这种主动防御技术强调整个网络生命周期中的防御和恢复，强调 动态性和时问性。它根据网络系统运行情况的变化，对网络系统的安全状态进行 7 北京邮t u 人学硕l 二研究生学位论文 实时的动态监控和防护，并在发现了攻击企图和攻击行为之后及时作出响应。 入侵检测技术就是这种主动防御技术的关键所在。它是一种动态监控、预防 或低于系统入侵行为的安全机制。入侵检测技术根据已知的安全策略，配置相应 的系统参数，实时监控监控网络和系统的状态、行为以及使用情况，来检测系统 合法用户的越权使用滥用资源以及系统非法入侵者利用系统的安全漏洞对系统 进行入侵的行为，当发现入侵行为时，通过响应模块进行相应的处理措施，由原 来的事后发现发展成为事前报警、自动响应、实时处理。 2 2 入侵检测 2 2 1 入侵检测的产生与发展 对入侵检测的研究最早可以追溯到2 0 世纪8 0 年代，但受到重视和快速发展 是在i n t e r n e t 兴起之后。 1 9 8 0 年，j a m e sa n d e r s o n 在一份给客户的技术报告中提出了安全威胁 ( t h r e a t ) 的概念f 1 1 ，并对安全威胁进行了定义和分类，而且提出对不同的安全 威胁的相应的检测方法。 1 9 8 6 年，s r i 的d e n n i n g 提出了一个异常检测抽象模型，首次将入侵检测作 为一种网络系统的安全防御措施提出。 1 9 8 8 年，s r i 开始开发入侵检测原型系统( i n t r u s i o nd e c e t i o ne x p e r t s y s t e m ，i d e s ) 采用统计分析的技术进行异常检测，利用专家系统的规则进行误 用检测【2 】。该系统同时运用了统计和基于规则两种技术，主要用于检测对单一 主机的检测。 1 9 8 8 年，l o sa l a m o s 国家实验室采用异常检测和基于规则的检测，开发了 h a y s t a c k 系统，主要用于【4 】检测u n i s y s 大型主机。同时，为美国国家计算机安 全中心m u l t i c s 主机开发了多入侵检测及告警系统( m u l t i c si n t r u s i o nd e t e c t i o na n d a l e r t t i ns y s t e m ，m i d a s ) 。 1 9 8 9 年，l o sa l a m o s 国家实验室的h a n kv a c c a r o 为国家计算机安全中心和 能源部开发了w & s ( w i d s o ma n ds e n c e ) 系统，这是一个基于主机的异常检测 系统。同年，p r c 公司开发了i s o a ( i n f o r m a t i o ns e c u r i t yo f f i c e r sa s s i s t a n t ) 系 统，它由一套统计工具、一个专家系统和一套分级的厉害关系级别组成。 以上研究主要是检测对主机的攻击，对于协同攻击和多域联合攻击没有检测 能力。 1 9 9 0 年，u c d ( c a l i f o r n i a 大学的d a v i s 分校) 设计了网络安全监视器( n e t w o r k s e c u r i t ym o n i t o r ，n s m ) ，主要用来分析来自以太局域网的数据及接到该网的数 8 北京邮电人学硕 ：研究生学位论文 据。它是第一个基于网络的入侵检测系统，通过在局域网上主动监视网络来检测 入侵行为。 1 9 9 4 年，美国空军密码支持中心( c r y p t o l o g i c a ls u p p o ac e n t e r ) 创建了一个 健壮的网络入侵检测系统a s i m ，该系统被广泛应用于美国空军。 1 9 9 6 年，u c d 的计算机安全实验室以开发广域网上的入侵检测系统为目的， 开发了g r i d s 。该系统部分的解决了入侵检测系统伸缩性不足的问题，使得对大 规模自动或者协同攻击的检测更为便利。 1 9 9 7 年，c i s c o 公司兼并了w h e e l g r o u p ，并开始将网络入侵检测整合到c i s c o 路由器中。同时i s s 发白了r e a l s e c u r c ，这是一个被广泛使用的、用于w i n d o w s n t 的网络入侵检测系统。拉开了网络入侵检测革命的序幕。 1 9 9 8 年，f o r r e s t 等将生物免疫原理运用到分布式入侵检测领域，提出了基 于计算机免疫学的入侵检测系统。j a k er y a n 提出了机遇神经网络的入侵检测系 统n n i d 。r o s sa n d e r s o n 和a b i d ak h a t t a k 将信息检索技术引入到入侵检测；第 一个开放源码的入侵检测系统s n o r t 面世；wl e e 等人首次将数据挖掘引入入侵 检测中，运用数据挖掘的方法对数据进行处理，提高了检测系统的准确度和可扩 展性。 2 0 0 0 年，c h e u n g 等人将容错技术引入入侵检测 模糊技术和遗传算法被引 入到入侵检测中 2 0 0 2 年，k j u l i s c h 和od a i n 等提出了识别入侵警报根源的技术，同年出现 了基于文本分类的入侵检测技术。 入侵检测技术经过三十年的发展，取得了许多成果，但是仍然需要不断完善 现有的技术并对新的思路新的技术做进一步的研究。 2 2 2 入侵检测系统的分类 随着入侵检测技术的发展，入侵检测系统的发展越来越多样化，不同的入侵 检测系统根据应用的不同有不同的侧重点 6 1 0 1 。根据所采用的审计数据源、检 测策略、检测的实时性，对抗措施、体系结构等的不同，将入侵检测系统分类如 下： 1 按照审计数据源分类 根据审计数据源的不同，可以将入侵检测系统分为基于主机的入侵检测系 统，基于网络的入侵检测系统和混合入侵检测系统。 基于主机的入侵检测系统所分析的审计数据主要来自主机r 志、应用程序产 生的日志和特权程序产生的系统调用序列同志1 2 2 2 3 1 。它的优点是检测精度高， 并针对不同操作系统的特点捕获应用层入侵事件，但是它依赖于主机的操作系统 9 北京邮电人学硕i ：研究生学位论文 及其审计子系统，实时性比较差，只能检测针对本机的攻击，不适合检测针对网 络协议漏洞的攻击。 基于网络的入侵检测系统所分析的审计数据主要是网络数据包，它的优点是 数据源的可信度比较高，不容易遭受攻击，对主机资源消耗少。而且由于网络协 议时标准的，可以对网络提供通用的保护不用关心异构主机的不同架构。通过对 网络流量进行分析提取特征模式，再与已知攻击特征相匹配或与正常网络行为原 型相比较来识别攻击事件。与基于主机的入侵检测不同，基于网络的入侵检测系 。 统非常适用于检测应用层以下的底层攻击事件。 混合入侵监测系统主要针对基于网络和基于主机的入侵监测系统的 1 4 1 优 缺点，结合两种数据源，最大限度提高对网络及主机系统的信息收集，实现准确 且高效的入侵检测。 2 按照入侵检测的策略分类 根据入侵检测的策略的不同，可以将入侵检系统分为滥用检测和异常检测两 大类。 滥用检测又可以称为基于知识的入侵检测，是针对利用已知的系统缺陷和己 知的入侵方法进行入侵活动的检测。入侵者利用系统和应用软件的漏洞和缺陷进 行攻击，并将这些漏洞和缺陷组织成某种模式，如果入侵者的行为与某些模式匹 配，则认为该行为属于入侵行为。典型的滥用检测方法有模式匹配、专家系统、 状态转换方法等。 滥用检测的优点是可以针对性的建立高效的入侵检测系统，对已知的攻击检 测准确率比较高。缺点是不能够检测未知的入侵和已知入侵的变异行为，需要不 断对入侵模式库进行维护和升级，对具体系统的依赖性比较强，可移植性不好。 异常检测又可以称为基于行为的入侵坚持，它的前提是假定所有入侵行为都 有区别于正常行为的异常特性。它主要是根据系统或者用户的非正常行为和使用 计算机资源的非正常情况来检测入侵行为。先建立系统及其用户的活动模型，然 后基于该模型对系统的实际运行情况和用户的实际行为进行审计，通过比较两者 之间的差异来判断是否有入侵行为。 异常检测的关键问题在于正常模式的建立以及如何利用该模式选