（模式识别与智能系统专业论文）高速网络入侵检测系统中规则匹配算法的研究.pdf

摘要 误用型入侵检测是入侵检测系统中的一种主要检测方式。但是随着网络流 量的日 益增大以 及入侵系统 规则库的 扩大，这种方式由 于其检测速度根不上网 络速度从而产生漏检测的 情况己 非常严重。 本文通过分析入 侵检测包匹配的 检 测引擎，对提高检测速度进行了系统研究。 入侵检测的规则可分为内容规则和非内容规则。在已有的一些研究中，主 要是对内容规则匹配进行改进，如引入多模式匹配思想，以提高这部分检测的 速度。但在应用上还不能从整体上提高检测包的速度。 本文研究了一些典型的入侵检测系统，考察其检测引擎的原理，着重发现 其提高检测速度的有效方法。在归纳出它们的原理后，再做进一步深入研究， 提出了新的规则检测方式。 本 文所 提出 的 新 的 规 则 检 测方 式 要 对 规则 进 行 分 层处 理， 它 完 全 改 变了 原 来检测规则的 顺序，改为依规则选项来逐层检测所有规则，这是多 模式思想和 分层索引思想的推进。 而且使用这种分层的方式，可以在检测时 使用数据结构 和查询 算法， 更快地提高检 测速度。 使用这种方法可建立一种新的规则检测引擎，它可以通过对现有系统进行 改造来实现。在论文中详细讨论了如何改造典型的检测系统 s n o rt ，以应用上述 新的检测引擎，并做出了系统设计。 为了验证这种新检测方法的性能，我们建立了检测模型，并参考 s n o rt生成 了用于 检测的规则， 根据实际网 络数据生成了 检测数据， 对模型进行了 实验， 以考察其在速度和内存占用上的性能。通过实验，验证了模型对提高检测速度 有很大的效果。 应当指出所建 立的系 统对内 存的消费比 较大，因此在实际检测 环境中应用还需做进一步的工作。 关键字:入侵检测数扼包检测引擎模式匹配 内客规则规则选项平衡二又树s t a b b i n g查询 abs t r a c t mi s u s e d e t e c t i n g i s o n e o f t h e m o s t i m p o r t a n t d e t e c t i n g me t h o d s o f n i d s . wi t h t h e i n c r e a s i n g o f n e t d a t a t r a n s f e r r i n g a n d t h e e n l a r g i n g o f s y s t e m re g u l a t i o n d a t a b a s e , t h e s i t u a t i o n b e c o m e s m o r e a n d m o r e s e r i o u s a s t h e s p e e d o f t h i s m e t h o d c a n n o t m e e t t h e n e e d o f t h e s p e e d o f n e t t r a n s f e r r i n g . i n t h i s t h e s i s , d e t e c t i n g ru l e e n g i n e e r o f n i d s w i l l b e a n a l y z e d , a n d t h e r e s e a r c h o n h o w t o s p e e d 叩i t s p e r f o r m a n c e w i l l b e d on e i n d e t a i l t h e r u l e s u s e d b y n i d s c a n b e d i v i d e d i n t o t w o g r o u p s : t h e c o n t e n t r u l e s a n d t h e n o n - c o n t e n t rul e s . i n m o s t o f r e s e a r c h e s , m o r e a t t e n t i o n i s p a i d o n t h e c o n t e n t rul e s . b y u s i n g s o m e mu l t i - p a t t e rn m e t h o d s , t h e d e t e c t i n g c a n b e s p e e d e d u p o n t h e c o n t e n t r u l e s . b u t p r a c t i c a l l y , t h e s p e e d o f w h o l e n i ds w i l l n o t b e i mp r o v e d e v i d e n t l y . i n o r d e r t o s p e e d u p t h e d e t e c t i n g e n t i r e l y , s o m e t y p i c a l ni d s wi l l b e a n a l y z e d , a n d t h e i r p r i n c i p l e s o f d e t e c t i n g e n g i n e e r w i l l b e i n v e s t i g a t e d , e s p e c i a l l y t h e m e t h o d s f o r s p e e d i n g u p d e t e c t i o n . a f t e r s t a t i n g t h e s e p r i n c i p l e s , a n e w m e t h o d o f d e t e c t i n g p a c k e t s w i l l b e p r e s e n t e d i n t h i s t h e s i s . t h e m a i n p r i n c i p l e o f t h e n e w m e t h o d i s t h a t t h e p r o c e s s i n g i s l a y e r e d . t h e d e t e c t i n g o r d e r w i l l b e c h a n g e d c o mp l e t e l y . wh e n d e t e c t i n g , t h e p a c k e t w i l l p a s s e v e r y r u l e o p t i o n o n e b y o n e . d a t a s t r u c t u r e a n d r e s e a r c h a r i t h m e t i c c a n b e u s e d i n t h i s m e t h o d , a n d d e e p e r s p e e d i n g u p c a n b e m a d e a t t h e m e a n w h i l e . a n e w d e t e c t i n g e n g i n e e r i s d e s i g n e d w i t h t h i s m e t h o d , a n d i t c a n a l s o b e a p p l i e d t o s o m e e x i s t i n g s y s t e m s . i n t h i s t h e s i s , t h e a lt e r a t i o n t o s n o r t f o r i mp l e me n t i n g t h e n e w d e t e c t in g e n g i n e e r w i l l b e p r o p o s e d a n d d e s i g n e d . i n o r d e r t o e x a m i n e i t s c a p a b i l i ty o f s p e e d a n d t h e c o n s u m i n g o f m e m o r y , a t e s t m o d e l h a s b e e n m a d e . r u l e s a n d t e s t d a t a u s e d a re p r o d u c e d m a n u a l l y a t t h e m e a n t i me . t h e t e s t s h o w s t h a t t h i s mo d e l c a n s p e e d u p t h e d e t e c t i n g s p e e d , b u t i t c o n s u m e s m u c h m e m o r y o n b u i l d i n g u p t h e d e t e c t i n g s y s t e m . s o t h e r e a r e s t i l l s o m e q u e s t i o n s t h a t r e ma i n t o a n s we t w o r d s : i n t r u s i o n d e t e c t i o n n e t p a c k e t c o n t e n t r u l e r u l e o p t i o n d e t e c t i n g e n g in e e r p a tt e rn m a t c h ad e l s o n - ve l s k i i - la n d i s t r e e s t a b b i n g q u e r y i n v 4 4 t . ) . ，人学硕十学 位论文 高速网络入i j c 检测系统中规则匹配算认的研究 第1 章 绪论 网络安全 网络安全的核心是信息的安全，为防止非法用户利用网络系统的安全缺陷 进行数据的窃取、伪造和破坏，必须建立网络信息系统的安全服务体系。关于 计 算机信息系统安全性的定义到目 前为止还没有统一，国际标准化组织 ( i s o ) 的定义为: “ 为数据处理系统建立和采用的技术和管理的安全保护保护计算机 硬 件、 软件和数据不因 偶然和恶意的原因 遭到破坏、 更改和泄露” 。 计算机安全 包括物理安全和逻辑安全，其中物理安全指系统设备及相关设施的物理保护以 免于被破坏和丢失， 逻辑安 全是指信息的 可用性、完整性和保密性三要素。信 息安全的隐患存在于 信息的共 享和传通过程中、 i n t e rn e t 网的安全包括网上的信 息数据安全和网 络设各 服务的运行安全，日益成为与 国家、 政府、 企业、个人 的利益息息相关的 “ 大事情” 。 然而，由于在早期网络协议设计上对安全问题的 忽 视，以及在使用和管理的 无政府状态，逐渐使 i n t e rn e t自 身的 安全受到 严重 威胁， 与它有关的安全事故屡有发生。 这就要求我们对与i n t e rn e t 互连所带 来的 安全性问题予以 足够重视。网 络面临的安全威胁大体可分为两种:一 是对网络 数据的威胁; 二是对网 络设备的威胁。 这些威胁可能来源于各种各样的因 素: 可能是有意的，也可能是 无意的:也能是来源于企业外部的，也可能 是内部 人 员造成的;可能是人为的，也 可能是自 然力造成的。 总结起来， 大致有下面几 种伞要威胁: ( 1 )非人为、自然力造成的数据丢失、设备失效 、线路阻断。 ( 2 )人为但属于操作人员无意的失误造成的数据丢失。 ( 3 )来月外部和内部人负fr . 恶意攻击和入浸。 前面两种的预防与传统电信网络基本相同 ( 略) 。 最后一种是当 前 i n t e r n e t 网络所而临的最大威胁，是电子商务、政府上网工程等顺利发展的最大障m , 也是网结安全策略最需要解决的问题。 v 4 4 t . ) . ，人学硕十学 位论文 高速网络入i j c 检测系统中规则匹配算认的研究 第1 章 绪论 网络安全 网络安全的核心是信息的安全，为防止非法用户利用网络系统的安全缺陷 进行数据的窃取、伪造和破坏，必须建立网络信息系统的安全服务体系。关于 计 算机信息系统安全性的定义到目 前为止还没有统一，国际标准化组织 ( i s o ) 的定义为: “ 为数据处理系统建立和采用的技术和管理的安全保护保护计算机 硬 件、 软件和数据不因 偶然和恶意的原因 遭到破坏、 更改和泄露” 。 计算机安全 包括物理安全和逻辑安全，其中物理安全指系统设备及相关设施的物理保护以 免于被破坏和丢失， 逻辑安 全是指信息的 可用性、完整性和保密性三要素。信 息安全的隐患存在于 信息的共 享和传通过程中、 i n t e rn e t 网的安全包括网上的信 息数据安全和网 络设各 服务的运行安全，日益成为与 国家、 政府、 企业、个人 的利益息息相关的 “ 大事情” 。 然而，由于在早期网络协议设计上对安全问题的 忽 视，以及在使用和管理的 无政府状态，逐渐使 i n t e rn e t自 身的 安全受到 严重 威胁， 与它有关的安全事故屡有发生。 这就要求我们对与i n t e rn e t 互连所带 来的 安全性问题予以 足够重视。网 络面临的安全威胁大体可分为两种:一 是对网络 数据的威胁; 二是对网 络设备的威胁。 这些威胁可能来源于各种各样的因 素: 可能是有意的，也可能是 无意的:也能是来源于企业外部的，也可能 是内部 人 员造成的;可能是人为的，也 可能是自 然力造成的。 总结起来， 大致有下面几 种伞要威胁: ( 1 )非人为、自然力造成的数据丢失、设备失效 、线路阻断。 ( 2 )人为但属于操作人员无意的失误造成的数据丢失。 ( 3 )来月外部和内部人负fr . 恶意攻击和入浸。 前面两种的预防与传统电信网络基本相同 ( 略) 。 最后一种是当 前 i n t e r n e t 网络所而临的最大威胁，是电子商务、政府上网工程等顺利发展的最大障m , 也是网结安全策略最需要解决的问题。 西北 1 业大学硕 卜犷 位论文高速网络入浸检测系统 规则匹配算法的研究 如何有效地防范网络入侵 ( n e tw o r k i n t r u s i o n ) ， 将其可能造成的安全风险降 到最低限度，成为近年来网络安全理论研究和技术开发的热点问题之一。在此 环境下，各种入侵检测系 统i d s ( i n t ru s i o n d e t e c t i o n s y s t e m ) 应运而生。 .2 n i d s 概述 所谓入侵检测，被定义为 “ 标识出个体非授权使用计算机系统或 越权使用 系统资源的 行为” 。 也就是任何试图 非授权或越权访问计算机系统资源， 或破坏 资源的完整性、u j 信性的行为;尤论成功与否，都认为是入侵， 对这 些入浸行 为的识别的系统就是入侵检测系统 i ds . i d s就是完成上 述入侵检测任务的计算机软件和硬件系统。一般 来讲，可 以根据检测的数据来源和检测所依据的原则，对 i d s系统进行分类。根据检测 的数据来源， 入侵检测可以 分为 基于主机( h o s t - b a s e d ) 的入侵检测系统h i d s 和 基于网 络( n e t w o r k - b a s e d ) 的入侵检测系统n i d s . n i d s 所分析的 数据 来源于 在 网络和操作系统协议栈中传输的数据包 ，其收集信息的方式类似于嗅探器 ( s n i ff e r ) 。 将一台主机的网 卡设置为混杂模式( p r o m i s e m o d e ) ， 监听该主 机所在网 段内的 数据包并进行判断。通过对包头和内 容的分析，可以检测出 一些已知的 网络入侵行为;一般网络入侵检侧系统担负着保护整个网段的任务。 c r o b b z e 和s p a ff o r d 定 义了n id s 系统 应 有 的 特 点: . 在管理人员很少干预的情况下，能够连续运行。 . 在系统由于事故或恶意攻击崩溃时， 具有容错能力。 当系统重新启动后， n i ds 能够 自 动恢复状态。 . 它必须能抗攻击。 n i d s 必须能监测自己的 运行，检测自 身是否被黑客 修改。 . 运行时尽可能减少占用系统资源，以避免干扰系统的正常运行。 . 必须能够适应系统和用户行为的变化。 如系统中增加了新的应用， 或用 户的应用改变 .当需要实时监控大量主机时，系统可以扩展。 . 当 n i d s一些部件因为 某些原因停止工作时，应尽量减少对系 统其它 部分的影响。 西北 1 业大学硕 卜犷 位论文高速网络入浸检测系统 规则匹配算法的研究 如何有效地防范网络入侵 ( n e tw o r k i n t r u s i o n ) ， 将其可能造成的安全风险降 到最低限度，成为近年来网络安全理论研究和技术开发的热点问题之一。在此 环境下，各种入侵检测系 统i d s ( i n t ru s i o n d e t e c t i o n s y s t e m ) 应运而生。 .2 n i d s 概述 所谓入侵检测，被定义为 “ 标识出个体非授权使用计算机系统或 越权使用 系统资源的 行为” 。 也就是任何试图 非授权或越权访问计算机系统资源， 或破坏 资源的完整性、u j 信性的行为;尤论成功与否，都认为是入侵， 对这 些入浸行 为的识别的系统就是入侵检测系统 i ds . i d s就是完成上 述入侵检测任务的计算机软件和硬件系统。一般 来讲，可 以根据检测的数据来源和检测所依据的原则，对 i d s系统进行分类。根据检测 的数据来源， 入侵检测可以 分为 基于主机( h o s t - b a s e d ) 的入侵检测系统h i d s 和 基于网 络( n e t w o r k - b a s e d ) 的入侵检测系统n i d s . n i d s 所分析的 数据 来源于 在 网络和操作系统协议栈中传输的数据包 ，其收集信息的方式类似于嗅探器 ( s n i ff e r ) 。 将一台主机的网 卡设置为混杂模式( p r o m i s e m o d e ) ， 监听该主 机所在网 段内的 数据包并进行判断。通过对包头和内 容的分析，可以检测出 一些已知的 网络入侵行为;一般网络入侵检侧系统担负着保护整个网段的任务。 c r o b b z e 和s p a ff o r d 定 义了n id s 系统 应 有 的 特 点: . 在管理人员很少干预的情况下，能够连续运行。 . 在系统由于事故或恶意攻击崩溃时， 具有容错能力。 当系统重新启动后， n i ds 能够 自 动恢复状态。 . 它必须能抗攻击。 n i d s 必须能监测自己的 运行，检测自 身是否被黑客 修改。 . 运行时尽可能减少占用系统资源，以避免干扰系统的正常运行。 . 必须能够适应系统和用户行为的变化。 如系统中增加了新的应用， 或用 户的应用改变 .当需要实时监控大量主机时，系统可以扩展。 . 当 n i d s一些部件因为 某些原因停止工作时，应尽量减少对系 统其它 部分的影响。 西北j . 业人学硕士学位论文 高速网络入佼检测系统中规则匹配算法的研究 根据以上对网络入侵检测系统 n i d s的定义和功能要求，美国国防部高级 计划研究局的 c i d f ( c o m m o n i n t r u s i o n d e t e c t i o n f r a m e w o r k w o r k i n g g r o u p ) z 作组和i d w g ( i n t r u s i o n d e t e c t i o n w o r k in g g r o u p ) 工作组阐述了 一个入侵检测系 统的通用模型。它将一个入侵检测系统分为以下部件:事件产生器:事件分析 器;响应单元:事件数据库。如图 1 . 1 所示: 响应单元 模式处理 特征分析器 事件产生器 图 1 . 1 n i d s模型中各部件之间的关系 .3安全性能分析 n i d s 作为一个安全产品， 在 系统中有着重要的作用， 它本身也会成为被攻 击的目 标、 入侵者如果想要攻击某个网 络，他极可能 先要攻击 n i d s 使其不能 发挥作用或提供假信息。 为了 能够正常发挥作用，有一定的 抵御攻击的能力， n i d s 至少应该具备以 下基本安全性能: . 抗 “ 过 载” 。 “ 过载” 是 使n i d s 因其处理能力限 制， 来不及处理接收到 的数据， 不能正 确检测出 “ 入侵” 行为。 . 抗 “ 失效” 。 “ 失效”是使ki d s因资源耗尽或发生故障而不能工作。 . 抗 “ 欺骗” 。 “ 欺骗， 是使n i d s 错误理解它所接收到的 数据， 从 而导致 系统作出不正确的结论。 要满足以上这些安全性能， 在设计k i d s 时， 应充分考虑自 己的处 理能 力， 采用高性能设 备，优化软件设计， 提高软件处理能力，识别各种欺骗行为，减 少 “ 过载” 、 “ 失效” 的发生。 针对 n i d s系统的这些要求，一套检测 n i d s安全 西北j . 业人学硕士学位论文 高速网络入佼检测系统中规则匹配算法的研究 根据以上对网络入侵检测系统 n i d s的定义和功能要求，美国国防部高级 计划研究局的 c i d f ( c o m m o n i n t r u s i o n d e t e c t i o n f r a m e w o r k w o r k i n g g r o u p ) z 作组和i d w g ( i n t r u s i o n d e t e c t i o n w o r k in g g r o u p ) 工作组阐述了 一个入侵检测系 统的通用模型。它将一个入侵检测系统分为以下部件:事件产生器:事件分析 器;响应单元:事件数据库。如图 1 . 1 所示: 响应单元 模式处理 特征分析器 事件产生器 图 1 . 1 n i d s模型中各部件之间的关系 .3安全性能分析 n i d s 作为一个安全产品， 在 系统中有着重要的作用， 它本身也会成为被攻 击的目 标、 入侵者如果想要攻击某个网 络，他极可能 先要攻击 n i d s 使其不能 发挥作用或提供假信息。 为了 能够正常发挥作用，有一定的 抵御攻击的能力， n i d s 至少应该具备以 下基本安全性能: . 抗 “ 过 载” 。 “ 过载” 是 使n i d s 因其处理能力限 制， 来不及处理接收到 的数据， 不能正 确检测出 “ 入侵” 行为。 . 抗 “ 失效” 。 “ 失效”是使ki d s因资源耗尽或发生故障而不能工作。 . 抗 “ 欺骗” 。 “ 欺骗， 是使n i d s 错误理解它所接收到的 数据， 从 而导致 系统作出不正确的结论。 要满足以上这些安全性能， 在设计k i d s 时， 应充分考虑自 己的处 理能 力， 采用高性能设 备，优化软件设计， 提高软件处理能力，识别各种欺骗行为，减 少 “ 过载” 、 “ 失效” 的发生。 针对 n i d s系统的这些要求，一套检测 n i d s安全 西北工业大学硕 卜 学位论文高速网络入伶检测系统中规则匹配3 1 l w v 万l 性能的方法是十分重要的: .“ 正常” 检测。它是根据n i d s的 功能说明， 模拟各种 “ 入侵” 行为， 检验 n i d s各个功能是否工作正常。 .“ 过载”检测。其目的是通过发送大量的数据给 n i d s ，使 n i d s由于 处理能力有限， 来不及处理接收到的数据。 检测过程分为两步: 第一步， 首先检测人员大量发送数据给 n i d s :第二步，模拟进行网络攻击，检 测n i d s 能否正常工作。 在正常情况下n i d s 能够检 侧出网 络攻击。 在 “ 过载” 情况下， n i d s因收集不到足够的数 据， 不能够检测攻击行为 的发生。 . “ 失效” 检测。目的是尽可能发现 n i ds 系统或操作系统的弱点与漏洞， 针对它们精心设计数据包， 使n i d s 在面对网络入侵时无能为力。 这种 检测首先要充分了解 n i d s的工作流程和针对每一种攻击的检测原理， 因此实现起来较前两种更有难度。 . “ 欺骗”检测。通过改变所发这数据的属性，使 ni d s错误理解所接收 到的数据，从而检测不到入侵的出 现，达到网 络攻击的目 的。 “ 欺骗” 检测的原则是使 n i d s 截获到的数据与接受方接收到的数据不一致。 1 .4入侵检测技术分析 入侵检测的相关研究工作已 迸行了近二十年， 早期的研究工作由j . a n d e r s o n 等人 展 开， 但并 未 形 成 规 模。 1 9 8 5 年 d _d e n n in g 和o a k la n d 提出 第 一 个 实 时 入侵检测专家系统模型， 以及实时的、 基于统计量分析和用户行为轮廓 ( p r o f i l e ) 的 入侵检测技术。该模型是入侵检测研究领域的一块里程碑， 此后大量的入侵 检 测系 统 模 型开 始 以 现 其 中 很 多 都 是 基于d e n n in g 的 统 计 量 分 析 理 论 。 进 入 9 0 年代以来， 随着 p . p o r r a s 和 i 2 .k e m m e r e r 基于状态转换分析的入侵检测技术的 提出 和完善，根据己知 攻击模型进行入侵检测的 方法成为该领域研究的另一热 点。 对于目 前己有入侵检测的分 类有多种方法， 从应用技术的角度可以分为异 常检测和特征检测。 西北工业大学硕 卜 学位论文高速网络入伶检测系统中规则匹配3 1 l w v 万l 性能的方法是十分重要的: .“ 正常” 检测。它是根据n i d s的 功能说明， 模拟各种 “ 入侵” 行为， 检验 n i d s各个功能是否工作正常。 .“ 过载”检测。其目的是通过发送大量的数据给 n i d s ，使 n i d s由于 处理能力有限， 来不及处理接收到的数据。 检测过程分为两步: 第一步， 首先检测人员大量发送数据给 n i d s :第二步，模拟进行网络攻击，检 测n i d s 能否正常工作。 在正常情况下n i d s 能够检 侧出网 络攻击。 在 “ 过载” 情况下， n i d s因收集不到足够的数 据， 不能够检测攻击行为 的发生。 . “ 失效” 检测。目的是尽可能发现 n i ds 系统或操作系统的弱点与漏洞， 针对它们精心设计数据包， 使n i d s 在面对网络入侵时无能为力。 这种 检测首先要充分了解 n i d s的工作流程和针对每一种攻击的检测原理， 因此实现起来较前两种更有难度。 . “ 欺骗”检测。通过改变所发这数据的属性，使 ni d s错误理解所接收 到的数据，从而检测不到入侵的出 现，达到网 络攻击的目 的。 “ 欺骗” 检测的原则是使 n i d s 截获到的数据与接受方接收到的数据不一致。 1 .4入侵检测技术分析 入侵检测的相关研究工作已 迸行了近二十年， 早期的研究工作由j . a n d e r s o n 等人 展 开， 但并 未 形 成 规 模。 1 9 8 5 年 d _d e n n in g 和o a k la n d 提出 第 一 个 实 时 入侵检测专家系统模型， 以及实时的、 基于统计量分析和用户行为轮廓 ( p r o f i l e ) 的 入侵检测技术。该模型是入侵检测研究领域的一块里程碑， 此后大量的入侵 检 测系 统 模 型开 始 以 现 其 中 很 多 都 是 基于d e n n in g 的 统 计 量 分 析 理 论 。 进 入 9 0 年代以来， 随着 p . p o r r a s 和 i 2 .k e m m e r e r 基于状态转换分析的入侵检测技术的 提出 和完善，根据己知 攻击模型进行入侵检测的 方法成为该领域研究的另一热 点。 对于目 前己有入侵检测的分 类有多种方法， 从应用技术的角度可以分为异 常检测和特征检测。 西北 4 . 业人学硕士学位论文 高速网络入程检测系统， j , 规则匹配5 7 ; _ : i r e 。 心 1 . 4 . 1异常检测 异常检测又称为基于行为的入侵检测，这类检测的原则是:任何与己知正 常行为 ( 包括用户和系 统) 不符合的行为都是入侵行为。 异常检测系 统在准备阶段 通过一定时间的学习为用户正常 情况下的行为建 立行为轮廓( p r o f i l e ) ， 在使用阶 段系统一方面通过比较用户当前行为与原先行为轮廓的偏差来检测入侵，一方 面继续根据用户的正常行为来修正行为轮廓。同样，异常检测系统也可为整个 计算机系统建立正常行为轮廓。如可根据整个系统单位时间内的资源消耗情况 来检测d o s 攻击。 这种检测方法的优点在于可以发现未出 现过的 入侵行为， 另 外由于能为单个用户建立行为轮廓，系统可以进行有针对性的检测。早期的异 常检测系统将用户登录时间、登陆失败次数、资源访问频率等一些特征量作为 随机变量，并通过统计模型计算出这些随机变量的新观察值落在一定区间内的 概率。常用的统计模型有:均值和标准差模型( m e a n a n d s t a n d a r d d e v i a t i o n m o d e l ) 、多元模型( m u l t i v a r i a t e m o d e l ) 、状态转换矩阵模型 ( m a r k o v p r o c e s s m o d e l ) 、 时间 序列模型 ( t i m e s e r i e s m o d e l ) 等。随着入侵检测研究的 深入， 人们 发现基于单个用户行为轮廓的入侵检测存在一些缺点，如: 1 ) 当 用户合 法地改变行为时 ( 如使用新的应用程序) 系统会误认为 入侵发生。 2 ) 入侵者可以通过对正常 行为轮廓缓慢的偏离 使系统逐渐适应。 3 ) 对于新用户，系 统的学习阶段何时结束不易确定，同时在该阶段难以对 用户进行正常的检测。 4 . 2误用检测 误用检测( mi s u s e d e t e c t i o n ) 又称为 基于特征的入侵检测， 这 类检 测方 法的原 则是:任何与已知入侵模型符合的行为都是入侵行为。它要求首先对己知的各 种入侵行为建立签名，然后 将当前的用户行为和系统状态与 数据库中的 签名进 行匹配。这种检测方法的特点是检测正确率高而覆盖率偏低，另外 它还有一个 最大的弱点，即只能发现己知入侵行为。但是理论 上 的局限性并未影响特征检 测的实际应用价值，由于实际情况中大部分入侵者使用的都是己知攻击方法， 该技术可以有效抵御大部分攻击行为、同时要特别指出的是，特征检测的正确 西北 4 . 业人学硕士学位论文 高速网络入程检测系统， j , 规则匹配5 7 ; _ : i r e 。 心 1 . 4 . 1异常检测 异常检测又称为基于行为的入侵检测，这类检测的原则是:任何与己知正 常行为 ( 包括用户和系 统) 不符合的行为都是入侵行为。 异常检测系 统在准备阶段 通过一定时间的学习为用户正常 情况下的行为建 立行为轮廓( p r o f i l e ) ， 在使用阶 段系统一方面通过比较用户当前行为与原先行为轮廓的偏差来检测入侵，一方 面继续根据用户的正常行为来修正行为轮廓。同样，异常检测系统也可为整个 计算机系统建立正常行为轮廓。如可根据整个系统单位时间内的资源消耗情况 来检测d o s 攻击。 这种检测方法的优点在于可以发现未出 现过的 入侵行为， 另 外由于能为单个用户建立行为轮廓，系统可以进行有针对性的检测。早期的异 常检测系统将用户登录时间、登陆失败次数、资源访问频率等一些特征量作为 随机变量，并通过统计模型计算出这些随机变量的新观察值落在一定区间内的 概率。常用的统计模型有:均值和标准差模型( m e a n a n d s t a n d a r d d e v i a t i o n m o d e l ) 、多元模型( m u l t i v a r i a t e m o d e l ) 、状态转换矩阵模型 ( m a r k o v p r o c e s s m o d e l ) 、 时间 序列模型 ( t i m e s e r i e s m o d e l ) 等。随着入侵检测研究的 深入， 人们 发现基于单个用户行为轮廓的入侵检测存在一些缺点，如: 1 ) 当 用户合 法地改变行为时 ( 如使用新的应用程序) 系统会误认为 入侵发生。 2 ) 入侵者可以通过对正常 行为轮廓缓慢的偏离 使系统逐渐适应。 3 ) 对于新用户，系 统的学习阶段何时结束不易确定，同时在该阶段难以对 用户进行正常的检测。 4 . 2误用检测 误用检测( mi s u s e d e t e c t i o n ) 又称为 基于特征的入侵检测， 这 类检 测方 法的原 则是:任何与已知入侵模型符合的行为都是入侵行为。它要求首先对己知的各 种入侵行为建立签名，然后 将当前的用户行为和系统状态与 数据库中的 签名进 行匹配。这种检测方法的特点是检测正确率高而覆盖率偏低，另外 它还有一个 最大的弱点，即只能发现己知入侵行为。但是理论 上 的局限性并未影响特征检 测的实际应用价值，由于实际情况中大部分入侵者使用的都是己知攻击方法， 该技术可以有效抵御大部分攻击行为、同时要特别指出的是，特征检测的正确 西北 ! _ 业大学硕士学位论文 高速网洛入侵检测系统甲观则匹配算i # 的4 ) j 丸 率要明显高于 异常检测。早 期的 特征检测系统是一个专家系统， 构成入侵威肋 的审计记录会触发响应规则、这些规则可以识别出危及系统安全的单个审计事 件， 也可分析出构成一个入 侵过程的简单统计事件序列， i d e s . n a d i r . w 亏 研究 第2 章入侵检测特征 入侵检测 特征是指我们在 通信数据中要查找的模式， 它表征了 特定的入侵。 特征可以很简单，比如只要检查数据报头中某些域的值;也可以非常复杂，比 如要跟踪整个连接的状态以及进行协议分析。 特征的基本功能 是在发生 入侵时发出 报警。根据已 知入侵模式编写成的特 征可以识别出相应的攻击: 而根据异 常和可疑行为编写成的 特征能够发 现未知 的入侵。前一类特证可以具体地告诉我们某种特定的攻击正在发生以及攻者所 利用的漏洞，而后一类特征仅仅表明 存在不正常的行为， 并不能指明 是什么 样 的攻击，但是为进一步分析提供了许多有用信息。 2 . 1特征的创建 创 建 特征 时 ， 首 先需 要 标 识 出 可能 构 成特 征 的 数 据 项(也被 称为 组 件 ) 。 下 面 举例来论述。 s y n s c a n 是一个在2 0 0 1 年初期盛行的用于扫描和探测系统的工具， 被用于创建蠕虫r a l n e n 的第一步。 s y n s c a n 的执行 行为很典型， 它发出 的信息包 具有多种可分辨的 特性。 s y n s c a n 包中异常的特点为: . f i n和s y n同时 置位， 这是公认的恶意行为 迹象: . a c k位没有被置，但确认号却不为 0 ，而正常情况下应该为 0 ; .源与目的端口都为2 1 ，这样的数据包经常与 f t p服务器关联。这种端 口相同的情况被称为 “ 自反 ， 。除了个别时候如进行 n e t b i o s通信外， 它们并非是 预期数 值: 例如，在一次正常的f t p 对话中 ， 目 标 端口 一般 是 2 1 ，而源端口通常高于 1 0 2 3 0 . t c p 窗 大小为 1 0 2 8 ,根据i p r f c定义，窗口 大小一般大于 1 0 2 8 . . i p 标识号为3 9 4 2 5 , i p r f c中规定i p 标识号在不同的包中 值有所不同。 最后，根据实际目 标选定一项或多项构成该入侵最终的特征。 若是抽取一 般性特征，比如将s y n s c a n 的特征构建成s y n和f i n同 时置 位， 尽管能检测出 讯 一 样为伯-f t 不龄外中书什次; y 行为令发牛.s y n和 f i n同时胃位可能是扫描， 西北 业大学硕士学位论文高速网络八役检测系统中规则匹n l i 1 . 二; 亏 研究 第2 章入侵检测特征 入侵检测 特征是指我们在 通信数据中要查找的模式， 它表征了 特定的入侵。 特征可以很简单，比如只要检查数据报头中某些域的值;也可以非常复杂，比 如要跟踪整个连接的状态以及进行协议分析。 特征的基本功能 是在发生 入侵时发出 报警。根据已 知入侵模式编写成的特 征可以识别出相应的攻击: 而根据异 常和可疑行为编写成的 特征能够发 现未知 的入侵。前一类特证可以具体地告诉我们某种特定的攻击正在发生以及攻者所 利用的漏洞，而后一类特征仅仅表明 存在不正常的行为， 并不能指明 是什么 样 的攻击，但是为进一步分析提供了许多有用信息。 2 . 1特征的创建 创 建 特征 时 ， 首 先需 要 标 识 出 可能 构 成特 征 的 数 据 项(也被 称为 组 件 ) 。 下 面 举例来论述。 s y n s c a n 是一个在2 0 0 1 年初期盛行的用于扫描和探测系统的工具， 被用于创建蠕虫r a l n e n 的第一步。 s y n s c a n 的执行 行为很典型， 它发出 的信息包 具有多种可分辨的 特性。 s y n s c a n 包中异常的特点为: . f i n和s y n同时 置位， 这是公认的恶意行为 迹象: . a c k位没有被置，但确认号却不为 0 ，而正常情况下应该为 0 ; .源与目的端口都为2 1 ，这样的数据包经常与 f t p服务器关联。这种端 口相同的情况被称为 “ 自反 ， 。除了个别时候如进行 n e t b i o s通信外， 它们并非是 预期数 值: 例如，在一次正常的f t p 对话中 ， 目 标 端口 一般 是 2 1 ，而源端口通常高于 1 0 2 3 0 . t c p 窗 大小为 1 0 2 8 ,根据i p r f c定义，窗口 大小一般大于 1 0 2 8 . . i p 标识号为3 9 4 2 5 , i p r f c中规定i p 标识号在不同的包中 值有所不同。 最后，根据实际目 标选定一项或多项构成该入侵最终的特征。 若是抽取一 般性特征，比如将s y n s c a n 的特征构建成s y n和f i n同 时置 位， 尽管能检测出 讯 一 样为伯-f t 不龄外中书什次; y 行为令发牛.s y n和 f i n同时胃位可能是扫描， 白北_ 曰v 人丫u j : 士学仪ti e 又 高速网络入仗检iy a 系坑中双则匹配4 f , 1 a i9 4 ) i 九 可能是信 恳收集，也可能是发生攻击。然而太具体的特征也有问题，比如将 s y n s c a n 的 特征构建成上述5 个特点虽然能够提供精 确的信息， 但是效率很低。 因此， 特征应该在效率与准确间取得平衡。一般来说，简单的 特征比较通用， 因而容易造成误报 ，而复杂的特征易造成漏报，因为攻击工具或方法的某一个 数据项很可能发生改变，假定我们的目标是能够检测出攻击者使用的工具，那么 除了f i n和s y n同时置位的 特点外， 还应该加上其他特点，比 如a c k未 被置 位但确认号不为 0 或者 i p标识号为常量 3 9 4 2 6 。总之，结合考虑通用的征征和 具体特征，将会得到比较全面的解决，比如，创建具体的特征来对扫描和攻击 进行报警，用通用特征来查找异常。这样的特征库不仅能够检测出己知攻击， 还要能够检测出未知的攻击。另外，选取那些被攻击工具利用来获取有用信息 的必要的 特点， 比如用s y n和f i n来探测目 标 机信息， 而放弃那些仅是由 于实 现上的不完备而附有的非必要特点，比如i p 标识号为常量3 9 4 2 6 。 因此: . s y n和f i n同时首 位。 . a c k位没有被置， 但是确认号不为0 . . 初始的t c p 窗口 大小 小于 某一值。 匹配到这三项中的两项即 可认为是s y n s c a n 比 较好的 特征， 因为不仅能够检 测到s y n s c a n 攻击，也能检测到 它的 变种。 在描述入侵时涉及到a个 概念: 漏洞利用 ( e x p l o i t ) 和漏洞 ( v u l n e r a b i l i t y ) . 漏洞利用是一种侵入系统的技术，或者实现该技术的工具。漏洞利用是利用系 统的 弱点和漏洞来攻击系统，是从攻击者的攻击方法角 度出发。 漏洞利用主要 有利用缓冲区溢出、目 录回退( 即 利 “ . ”来访问不被允许访问的文件) 、 缺省配 置、 例子( 因为例子只是起示范 作用并不会 在系统中 使用， 因此往往具有 较低的 安全性) 、以 及拒绝服务 漏洞是指主机中 操作系统或应用程序的漏洞，导 致主 机易受攻击，是从受攻击系统自 身的脆弱性角度出 发。攻击者发现了系统的漏 洞之后，往往就能编写出一个漏洞利用的脚本，因此，漏洞常常因为漏洞利用 肚 p 木才被人家所得知。 根据漏洞利用创建的特征可以比较准确地判断出攻击者使用的入侵工具， 从而分析出其意图及入侵行为的危害性，而根据系统的漏洞创健的特征能够检 测出新的入侵 。 四北一 _ 业人学硕十学位论又高速网络入俊检测系统中规则匹配算法的