（计算机应用技术专业论文）基于代理的分布式入侵检测系统的设计与实现.pdf

山东大学硕士学位论文 摘要 本文详细介绍了网络安全的实现目标，引入了网络安全模型，阐述了 入侵检测对于实现网络安全目标的必要性；介绍了入侵检测通用模型c i d f 的结构组成、入侵检测分类和常用的入侵检测技术等基本理论。 本文通过分析当i ； 网络安全形势和技术，针对网络环境出现的越来越 多的恶意攻击行为，设计实现了一个基于代理的分布式网络入侵检测系 统。本系统具有集成化的界面，具有实时报警、时段检测分析、统计汇总、 检测引擎管理、规则库更新维护等功能，特别是重点设计实现了入侵检测 引擎的管理模块，使之对检测引擎具有良好的实时管理维护功能( 主要包 括部署、规则库的更新维护、运行状态的循检等实用性功能) ；入侵检测 引擎采用了开源代码软件s n o r t ，充分利用了s n o r t 规则库对于入侵特征、 漏洞的实时更新优势，使系统具备对最新出现的攻击行为的检测功能；数 据库采用了设计精巧、多用户、多线程m y s q l 作为数据库管理系统，具有 良好的健壮性和易用性。本系统在结构上采用了模块化的设计，具有良好 的分布性能和可扩展性。 入侵检测技术是网络安全领域的一门正在发展中的新技术，国内经过 近几年的发展，各安全厂商对入侵检测的研究开始步入一个快速的成长 期，各政府机构、团体等用户也开始认可入侵检测技术在网络安全防御中 不可替代的作用。但是，与此同时，入侵检测技术也存在一些自身有难以 克服的缺点，即较高的漏报率和误报率，要真正解决此类问题，还有待于 理论和技术上的重大突破，目f ； ，国内外这方面的研究取得了迅速的发展。 关键字基于代理；分布式入侵检测：协议分析 山东大学硕士学位论文 a b s t r a c t t h i sa r t i c l ei nd e t a i ld e s c r i b e st h er e a l i z a t i o ng o a lo fn e t w o r ks e c u r i t y ， i n t r o d u c e st h en e t w o r ks e c u r i t y m o d e l ，a n de l a b o r a t e st h en e c e s s i t yo f i n t r u s i o nd e t e c t i o nf o rn e t w o r ks e c u r i t y a n d ，w ei n t r o d u c et h ee l e m e n t a r y t h e o r i e sa b o u ti n t r u s i o nd e t e c t i o n ，s u c ha st h e c o m p o s i t i o n so fc i d f s t r u c t u r e ，t h ec l a s s i f i c a t i o no fi n t r u s i o nd e t e c t i o n ，a n dc o m m o nt e c h n o l o g i e s a n ds oo n 一 m a l i c i o u sa t t a c k sp o s ea ni n c r e a s i n g l yg r a v et h r e a tt on e t w o r k s b a s e d o na n a l y s i so fs u c hb e h a v i o r sa n dt h ec u r r e n tn e t w o r ks e c u r i t ys i t u a t i o n rw e d e s i g na n di m p l e m e n ta na g e n t b a s e dd i s t r i b u t e dn e t w o r ki n t r u s i o nd e t e c t i o n s y s t e m t h i ss y s t e mh a si n t e g r a t e di n t e r f a c e sa n dm a n yi m p o r t a n tf u n c t i o n s ， s u c ha sr e a l t i m e a l a r m i n g ，i n t e r v a le x a m i n a t i o n ，s u m m a r i z i n gs t a t i s t i c a l d a t a ，m a n a g e m e n to fd e t e c t i n ge n g i n ea n dm a i n t a i n i n gt h er u l er e p o s i t o r y ， e t c s p e c i a l l y ，w eg i v ee m p h a s i st ot h em a n a g e m e n tm o d u l a ro fi n t r u s i o n d e t e c t i o ne n g i n et h a tc a np r o g r e s sr e a l t i m e m a n a g e m e n t ，w h i c hi n c l u d e s s e v e r a lu t i l i t i e sf u n c t i o n s ，i e ，t h em a i n t e n a n c ea n dd e p l o y m e n to ft h er u l e r e p o s i t o r y ，l o o p d e t e c t i n go fr u n - t i m es t a t u s b a s e do nt h ei d e ao f s n o r t w h i c h + i sa no p e ns o u r c es o f t w a r e ，w em a k ef u l lu s eo ft h er u l e r e p o s i t o r yo ft h es n o r t ，s ot h es y s t e mh a st h ea b i l i t yt od e t e c tn e wa t t a c k b e h a v e s o u rd a t a b a s eb u i l d so nm y s q l ，w h i c hi sa ne x q u i s i t e ，m u l t i u s e r ， m u l t i - t h r e a dd b m s s i n c et h es y s t e mi sw e l lm o d u l a r i z e do ns t r u c t u r e ，i th a s g o o d e x p a n s i b i l i t y i n t r u s i o nd e t e c t i o ni sa d e v e l o p i n g t e c h n o l o g y i nn e t w o r k s e c u r i t y d o m e s t i cp r o v i d e r so fs e c u r i t yd e v i c e sa c c e l e r a t et h er e s e a r c h e so n i ti nr e c e n t y e a r s m o r ei m p o r t a n t l y ，u s e r s ，s u c ha sg o v e r n m e n ta n d a s s o c i a t i o n ，a l s ou n d e r s t a n dt h ef u n c t i o n so fi n t r u s i o nd e t e c t i o n ，t h a ti s ，i t i 山东大学硕士学位论文 c a n n o tb es u b s t i t u t e di nt h en e t w o r ks e c u r i t yd e f e n s e b u t ，t h ei n t r u s i o n d e t e c t i o nt e c h n o l o g ya l s oh a st h es h o r t c o m i n gh a r dt oo v e r c o m e ，n a m e l yt h e h i g hr a t eo ff a l s en e g a t i v e sa n df a l s ep o s i t i v e s s o ，i ts t i l ln e e d sag r e a t b r e a k t h r o u g hb o t hi nt h e o r ya n dt e c h n o l o g y ，a tp r e s e n t ，r e s e a r c hi n t h i s a s p e c th a so b t a i n e dar a p i dd e v e l o p m e n t k e y w o r d s ：a g e n t b a s e d ；d i s t r i b u t e di n t r u s i o nd e t e c t i o n ；p r o t o c o la n a l y s i s 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本 论文不包含任何其他个人或集体已经发表或撰写过的科研成果。 对本文的研究作出重要贡献的个人和集体，均已在文中以明确方 式标明。本声明的法律责任由本人承担。 论文作者签名：兰兰! 篁 日期： w 茹r | g 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同 意学校保留或向国家有关部门或机构送交论文的复印件和电子 版，允许论文被查阅和借阅；本人授权山东大学可以将本学位论 文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印或其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：筮些丛 导师签名： 山东大学硕士学位论文 1 1 当前网络安全形势 第1 章绪论 当i j ，信息革命正席卷全球，网络化浪潮汹涌而来，特别是互联网的 爆炸性发展正改变着经济、社会、文化的结构和运作方式，也改变着人们 的思维方式，其广度和深度都是以往任何一次产业革命所无法比拟的。计 算机网络正在经济和生活的各个领域迅速普及，整个社会对网络的依赖程 度越来越大，网络已经成为社会和经济发展的强大动力。众多的企业、组 织、政府部门与机构都在组建和发展自己的网络，并连接到i n t e r n e t 上， 以更好地实现信息共享，充分利用丰富的网络资源。但是，伴随着网络的 飞速发展，也产生了各种各样的问题，其中尤以安全问题更为突出。网络 面临的安全威胁主要来自下几方面： 1 1 1 黑客的攻击 黑客是网络中一个特殊的群体，他们利用网络协议的缺陷、程序代码 和服务器配置的漏洞，攻击网络中的主机，进行诸如修改网页、非法进入 主机破坏程序、窃取机密信息、阻塞网络运行等非法活动。现在黑客技术 正逐渐被越来越多的人掌握，黑客攻击已成为网络安全的主要威胁之一。 掘国家计算机网络应急技术处理协调中心最新统计，在2 0 0 5 年度，无论 是扫描类事件还是非扫描类安全事件，与2 0 0 4 年相比，都增长了一倍左 右，其中，网络扫描事件由2 0 0 4 年度的6 0 2 0 1 件增加到1 1 4 3 6 1 件，非扫 描类事件由4 4 8 5 件增加到了9 “2 件。 1 1 2 网络自身的缺陷 i n t e r n e t 的共享性和丌放性使网络安全存在先天不足，其赖以正常 运转的t c p i p 协议族( i p v 4 ) ，在最初的没计时主要考虑的足如何在网络 中正确地传递信息，而基本没有考虑安全问题，在协议设计和具体实现方 面缺乏相应的安全机制，存在着安全隐患。目前，在t c p i p 协议族( i p v 4 ) 作为t n t c r u e t 运行基础的情况下，要从根本e 彻底杜绝诸如牡i 绝服务( d o s ) 山东大学硕士学位论文 的攻山是堆常困难的。 1 1 3 软件中的漏洞( 后门) 随着软件系统规模的不断增大，系统中也不可避免地存在安全漏洞。 无论是操作系统，还是众多的各类服务器，浏览器和应用软件都存在着安 全隐患，而部分软件设计人员为了自身方便或其它原因在软件中设置的 “后门”也常常被攻击者利用。据国际权威应急组织c e r t c c 统计，2 0 0 5 年全年共收到漏洞报告5 9 9 0 个，平均每天超过1 5 个，从统计情况来看， 漏洞数量比2 0 0 3 年( 漏洞数量3 7 8 4 个) 和2 0 0 4 年( 漏洞数量3 7 8 0 个) 有了很大程度的增加。 1 4 企业网络内部威胁 同外部的攻击相比，网络内部的用户的误操作、资源滥用和恶意行为 常常更加难以防范，由于其更加了解网络的内部情况，因此会对网络造成 更大的破坏。 1 1 5 安全管理欠缺 网络系统的严格管理是企业、机构及用户免受攻击的重要措施，但事 实上很多企业、机构及用户的系统都疏于这方面的管理，这也是造成整体 网络安全形势比较严峻的一个重要原因。 正是由于存在以上的安全威胁，网络正遭受着越来越多的攻击。主要 的攻击行为有病毒( v i r u s e s ) ，蠕虫( w o r m ) ，特洛伊木马( t r o j a nh o r s e ) ， 陷门( t r a pd o o r ) ，逻辑炸弹( l o g i c a lb o m b ) ，哄骗( s p o o f ) ，冒充 ( m a s q u e r a d e ) ，口令破解( p a s s w o r dc r a c k i n g ) ，社会工程( s o c i a l e n g i n e e r i n g ) ，扫描( s c a n n in g ) ，拒绝服务( d e n i a 卜o f s e r v i c e ) 等当 前，保障网络和信息安全正成为r 益关注的焦点问题。 1 2 网络安全概述 1 2 1 网络安全的概念 ；f 算机网络安全足指嘲络系统的硬什、软件及其系统中的数抛受到匀 山东大学硕士学位论文 效保护，不会因偶然的或者恶意的原因i i j 遭到破坏、更改、泄露，确保系 统能连续、可靠、i f 常地运 j ，使网络服务小t f l 断，网络安全从本质t 讲 就是网络上信息的安全。从狄义的保护角度柬说，计算机网络安全是指计 算机及其网络系统资源及信息资源不受自然和人为有害因素的威胁与危 害。从广义来说，凡是涉及到计算机网络上信息的保密性、完整性、可用 性、真实性和可控性的相关技术理论都是计算机网络安全研究的领域。 1 2 2 网络安全实现的基本目标 为了保护数据和网络资源，网络安全服务应实现以下五个基本目标： 可用性可用性就是指网络服务对用户而言必须是可用的，也就是 确保网络节点在受到各种网络攻击时仍然能够提供相应的服务。 保密性保密性保证相关信息不泄露给未授权的用户或实体。 完整性完整性保证信息在传输的过程中没有被非法用户增加、删 除与修改，保证非法用户无法伪造数据。 真实性真实性保证和一个网络节点通信的对端就是真正的通信 对端，也就是说要鉴别通信对端的身份。如果没有真实性，那么网 络攻击者就可以假冒网络中的某个节点来和其它的节点进行通信， 那么他就可以获得那些未被授权的资源和敏感信息。 不可否认性不可否认性保证一个节点不能否认其发送出去的信 息。这样就能保证一个网络节点不能抵赖它以前的行为。 1 2 3 网络安全模型 最常见的安全模型就是p d r r 模型。p d r r 模型就是4 个英文单词的 头字符：p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检测) 、r e s p o n s e ( 响应) 、r e c o v e r y ( 恢复) 。这四个部分构成了一个动态的信息安全周期，如图1 1 ”1 所示： 1 2 3 1 防护 嘲络安全策略p d r r 模型的最重要的部分就是防护( p ) ，所谓防护即 根掘系统己知的所有安全问题做出e 方御的描施，如打补丁、访问控制、数 莸i ：加密等等，实施完善的防护可以预先阻上：攻l 音可以发生的条件产生，让 攻击苦无法顺利地入侵，防护r 1 丁以减少大多数的入侵事件。 山东大学硕士学位论文 图1 1 网络安全模型 1 2 3 2 检测 p d r r 模型的第二个环节就是检测( d ) ，防护系统可以消除入侵事件 发生的条件，可以阻止大多数的入侵事件的发生，但是它不能阻止所有的 入侵。特别是那些利用新的系统缺陷、新的攻击手段的入侵。采用入侵检 测系统( i d s ) 可以检测出正在发生或已经发生的入侵事件，而且这些入 侵已经成功地穿过防护界线。 1 2 3 3 响应 p d r r 模型中的第三个环节就是响应( r ) 。响应就是已知一个攻击( 入 侵) 事件发生之后，进行的诸如更改配置、追踪入侵者以及其后的行为。 在一个大规模的网络中，响应这个工作都是有一个特殊部门负责，那就是 计算机响应小组。世界上第一个计算机响应小组c e r t ，位于美国c m u 大 学的软件研究所( s e i ) ，于1 9 8 9 年建立，是世界上最著名的计算机响应 小组。从c e r t 建立之后，世界各国以及各机构也纷纷建立自己的计算机 响应小组。我国第一个计算机紧急响应小组c n c e r t 于1 9 9 9 年建立。 1 2 3 4 恢复 恢复是p d r r 模型中的最后一个环节。恢复是指当入侵事件发生后， 把系统恢复到原来的状态，或者比原束更安全的状态。恢复包括两个方面t 一是指系统恢复，二是指信息恢复。系统恢复指的足修补咳事件所利用的 系统缺陷，不让黑客再次利j j 这样的缺陷入侵。一般系统恢复包括系统升 级、软件升级和打补丁、去除后门等：信息恢复指的是恢复丢失的数掘， 4 山东大学硕士学位论文 1 3 入侵检测是保障网络和信息安全的必要手段 入侵检测( i n t r u s i o nd e t e c t i o n ) 技术是。种主动保护自己免受攻击| 的 一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统 对付网络攻击，扩展了系统管理员的安全管理能力( 包括安全审计、监视、 攻击识别和响应) ，提高了信息安全基础结构的完整性。它从计算机网络 系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火 墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监 测，在识别与验证，访问控制和防火墙的基础上对网络提供了更深一层的 保护，能更好地保障网络和信息系统的安全。它可以防止或减轻上述的网 络威胁。作为一个完善的入侵检测系统，可以检测到如下攻击行为： 探测攻击利用扫描器寻找攻击目标并收集相关信息及漏洞的攻 击，如p i n gs w e e p s ，t c p u d ps c a n ，p o r ts c a n 。 拒绝服务攻击通过抢占目标系统资源阻止合法用户使用系统或 使系统崩溃的攻击。如p i n go fd e a t h ，s y nf l o o d ，t e a r d r o p ， u d p b o m b ，l a n d l a t i e r r a ，w i n n u k e ，t r i n o o ，t f n 2 k ，s t a c h e d r a h t 等。 缓冲区溢出攻击利用系统应用程序中存在的错误，通过执行特定 的代码以获取系统的超级权限为目的的攻击。如d n so v e r f l o w , s t a t do v e r f l o w 等。 w e b 攻击利用c g i 、w e b 服务器和浏览器中存在的安全漏洞， 损害系统安全或导致系统崩溃。如u r l ，h t t p , h t m l ，j a v a s c r i p t ， f r a m e s ，j a v a ，a c t i v e x 等。 邮件攻击利用邮件炸弹、邮件滚雪球、邮件欺骗等方式以获取 超级为目的的攻击，如a d m i n d ，e v i l f t pb a c k d o o r ，f i n g e r _ p e r l ， f t p r o o t ，b a c k o r i f i c e 等。 网络服务缺陷攻击利用n f s ，n i s ，f t p 等服务存在的漏洞进 行的攻击行为，如n f s g u e s s ，n f s m k n o d 等。 1 4 课题的研究内容和章节安排 本论文主要讨论了利用轻鲑级入侵检测系统s n o r t 2 4 构建分酃式入 山东大学硕士学位论文 侵检测系统的设计与实现，对系统的总体构架、实现和安全性等问题绛了 研究。 第一摹介绍了网络安全的基础知识，并引入了当前适用的网络安全模 型。 第二章介绍了入侵检测的基本理论。主要内容包括入侵检测的基本概 念，分类，检测技术，入侵检测体系结构，入侵检测的现状和未来的发展 方向。 第三章介绍了提出了一种分布式网络入侵检测系统( d i d s ) 体系结构， 并对其各个组成部分的功能及其相互关系作了阐述。 第四章进一步讨论了d i d s 的控制台结构、组成及实现机制和响应子 系统常用策略和实现机制。 第五章讨论了轻量级入侵检测系统s n o r t 体系结构、工作模式、安置 配置及存储子系统( b i y s q l ) 的安装配置等。 第六章对入侵检测系统的发展趋势作了简要介绍。 山东大学硕士学位论文 第2 章入侵检测基本理论 入侵检测( i n t r u s i o nd e t e c t i o n ) 的概念首先是由j a m e sa n d e r s o n 于 1 9 8 0 年提出来的。入侵检测( i n t r u s i o nd e t e c t i o n ) ，是对入侵行为的发 觉，它透过从计算机网络或计算机系统的关键点收集信息并进行分析，从 中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，可以说 入侵检测是识别正在发生的入侵企图或已经发生的入侵活动的过程。 2 1 入侵检测通用模型( c i d f ) 为了提高i d s 产品、组件及与其他安全产品之间的互操作性，美国国 防高级研究计划署( d a r p a ) 和互联网工程任务组( i e t f ) 的入侵检测工 作组( i d w g ) 发起制订了一系列建议草案，从体系结构、a p i 、通信机制、 语言格式等方面规范i d s 的标准。d a r p a 提出的建议是公共入侵检测框 架( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ，c i d f ) ，c i d f 阐述了一个入 侵检测系统( i d s ) 的通用模型”1 。 o i l t p l l r h l g h h v e lf 一。 l r 曲r p r e t e de v e m o i r p u t ：r e a c i o n i o e v e n 协 o m l i s t o r a g e o f e v e n t s ( 1 0 c a l o i - o n i s c ) 臣一一 图2 1c i d f 结构关系图 它将一个入侵榆测系统分为以下组件： 事件产生器( e v e n tg e n e r a t o r s ) ：其任务是从入侵检测系统之外的 计算环境中收集事件，并将这蝗事件转换成c i d f 的g i d o 格式传送给其他 山东大学硕士学位论文 组件。例如，事件产生器可以足读取c 2 级审 i 踪迹并将其转换为g i d 0 格 式的过滤器，也可以是被动地监视网络并根据网络数据流产生事件的另一 种过滤器，还可以是s q l 数掘库中产生描述事务的事件的应用代码。 事件分析器( e v e n ta n a l y z e r s ) ：其任务是分析从其他组件收到的g i d 0 并将产生的新g i d 0 再传送给其他组件。分析器可以是一个轮廓描述工具， 统计性地检查现在的事件是否可能与以前某个事件来自同一个时目j 序列： 也可以是一个特征检测工具，用于在一个事件序列中检查是否有已知的滥 用攻击特征；此外，事件分析器还可以是一个相关器，观察事件之间的关 系，将有联系的事件放到一起，以利于以后的进一步分析。 响应单元( r e s p o n s eu n i t s ) ：其任务是处理收到的g i d 0 ，并据此采 取相应的措施，如杀死相关进程、将连接复位、修改文件权限等。 事件数据库( e v e n td a t a b a s e s ) ：用来存储g i d o ，以备系统需要的 时候使用。 由于c i d f 有一个标准格式g i d o ，所以这些组件也适用于其他环境， 只需要将典型的环境特征转换成g i d o 格式，这样就提高了组件之间的消 息共享和互通。目前，c i d f 标准还没有正式确立，也没有一个入侵检测 商业产品完全所用该标准，但因为入侵检测系统的特殊性，其实各种入侵 检测系统的模型都有很大的相似性。 2 2 入侵检测系统分类 依据不同的标准，可以将入侵检测系统划分成不同的类别。可以依照 检测方法，对入侵的响应方式和信息的来源等不同的标准来划分入侵检测 系统“”。但传统的划分方法是根据信息的来源，将入侵检测系统分为基于 网络的入侵检测系统( n i d s ) 和基于主机的入侵检测系统( h i d s ) 两大类。 2 2 1基于网络的入侵检测系统 基于络的入侵检测系统的信息来源为网络中的数据包。n i d s 通常是在 网络层监听并分析网络包柬检测入侵，可以检测到1 f 授权访问，盗用数掘 资源，盗取口令丈件等入侵行为。n i i ) s 的优势在于它的实时性，当榆洲 到攻击时，就能很快做出反心。另外n l 【) s 可以在一个点上监测整个叫络 中的数据包，小必像h i i ) s 知：样，需要在每一台主机上箭；安装捡测系统， 山东大学硕士学位论文 因此是一种经济的解决方案。并且，n i d s 检测州络包时并不依靠操作系统 柬提供数掘，因此有蓿对操作系统的独立性。 | in i d s 也有一些缺陷，因 此也面临着一些挑战： 2 2 1 1 数据包的重新装配( r e a s s e m b ly ) 问题不同的网络的最大传输 单元( m t u ) 不同，一些大的网络包常常被分成小的网络包来传递。当大的 网络包被拆分时，其中的攻击特征有可能被分拆，n i d s 在网络层无法检测 到这些特征，而在上层这些拆分的包又会重新装配起来，造成破坏。 2 2 1 2 数据加密问题随着v p n ，s s h 和s s l 的应用，数据加密越来 越普遍，传统的n i d s 工作在网络层，无法分析上层的加密数据，从而也 无法检测到加密后入侵网络包。 2 2 1 3 高速网络问题在百兆甚至是千兆网上，仅仅通过在一个点上 分析整个网络上的数据包是不可行的，必然会带来丢包的问题，从而造成 漏报或误报。 2 2 1 4交换式网络( a i m ) 问题 异步传输模式( a t m ) 网络以小的，固定 长度的包一一信元传送信息。5 3 字节定长的信元与以往的包技术相比具有 一些优点：短的信元可以快速交换，硬件实现容易。但是，交换网络不能 被传统网络侦听器监视，从而无法对数据包进行分析。 2 2 2 基于主机的入侵检测系统 基于主机的入侵检测系统的信息来源为操作系统事件日志，管理工具 审计记录和应用程序审计记录。它通过监视系统运行情况( 文件的打开和 访问，文件权限的改变，用户的登录和特权服务的访问等) ，审计系统日 志文件( s y s l o g ) 和应用程序( 关系数据库，w e b 服务器) 日志来检测入侵来 检测入侵。h i d s 可以检测到用户滥用权限，创建后门帐户，修改重要数据 和改变安全配置等行为，同时还可以定期对系统关键文件进行检查，计算 其校验值来确信其完整性。h i d s 检测发生在主机上的活动，处理的都是 操作系统事件或应用程序事件而不是网络包，所以高速网络对它没有影 响。同时它使用的足操作系统提供的信息，经过加密的数据包在到达操作 系统后，都已经被解密，所以h i d s 能很好地处理包加密的问题。并且， h f n s 还呵以综合多个数掘源进行进一步的分析，利用数据挖掘技术束发现 入侵。但是，h id s 也有自身的缺陷，主要有以f 几点： 9 山东大学硕士学位论文 影响系统性能原始数掘要经过集中，分析和归档，这些部需要 占用系统资源，因此h i d s 会在一定程度上降低系统性能。 配置和维护困难每台被检测的主机上都需安装检测系统，每个 系统都有维护和升级的任务，安装和维护将是一笔不小的费用。 易受内部破坏由于h i d s 安装在被检测的主机上，有权限的用 户或攻击者可以关闭检测程序从而使自己的行为在系统中没有记 录，来逃避检测。 存在数据欺骗问题攻击者或有权限的用户可以插入，修改或删 除审计记录，借此逃避h i d s 检测。 实时性较差h i d s 进行的多是事后检测，因此当发现入侵时， 系统多数已经受到了破坏。 2 3 主要入侵检测技术 现存入侵检测系统的入侵检测技术主要有两类：异常检测( a b n o m a l y d e t e c t i o i l ) 和误用检测( m i s u s ed e t e c t i o n ) “。异常检测则提取正常模 式下审计数据的数学特征，检查事件数据中是否存在与之相违背的异常模 式。误用检测搜索审计事件数据，查看其中是否存在预先定义好的误用模 式。为了提高准确性，入侵检测又引入了数据挖掘，人工智能，遗传算法 等技术。但是，入侵检测技术还没有达到尽善尽美的程度，该领域的许多 问题还有待解决。 2 3 1 异常检测 异常检测是基于这样的原理，即认为入侵是系统中的异常行为。它没 有各种入侵的相关知识，但是有被检测系统，用户乃至应用程序正常行为 的知识。它为系统和用户建立正常的使用模式，这些模式通常使用一组系 统的度量来定义。所谓度量，是指系统和用户行为在特定方面的衡量标准。 每一个度量部对应于一个门限值或相关的变动范围。如粜系统和用户的行 为超出了下常范嗣，就认为发7 l 了入侵。异常俭测的个很大的优点足 不需要保存各种攻击特征的数槲库，随着统计数据的增加榆测的准确性 会越来越高，可能还会枪测到一些来知的攻击。但由f i 封户的行为有很大 的不确定性，很难对具行为确定f 常范l 纠，闲此门限位的确定也比较困难， 0 山东大学硕士学位论文 出锚的概牟比较人。同时，它只能说明系统发生了异常的情况，并不能指 出系统遭受了什么样的攻击，这给系统管理员采取应对描旌带柬了一定困 难。异常检测中常用的方法有：量化分析，统计分析和神经网络。 2 3 1 1 量化分析量化分析是异常检测中使用最为广泛的方案，其特 点是使用数字来定义检测规则和系统属性。量化分析通常涉及到系列的 计算过程，包括从简单的计数到复杂的加密运算，计算的结果可以作为异 常检测统计模型的数掘基础。常用的量化分析方法有门限检测，启发式门 限检测和目标完整性检查。 门限检测的基本思想是使用计数器来描述系统和用户行为的某些属 性，并设定可以接受的数值范围，一旦在检测过程中发现系统的实际属性 超出了设定的门限值，就认为系统出现了异常。门限检测最经典的例子是 操作系统设定的允许登录失败的最大次数。其他可以设置门限的系统属性 还有：特定类型的网络连接数，试图访问文件的次数，访问文件或目录的 个数及所访问网络系统的个数等。启发式门限检测是对门限检测的改进， 对于包含大量用户和目标环境的系统来说，可以大幅度地提高检测的准确 性。举例来说，传统的门限设检测规则是：一个小时内，如果登录失败的 次数大于3 次，就认为出现异常：而启发式门限检测将这个规则定义为：登 录失败的次数大于一个异常数，就会发出警报。这个异常数可以使用多种 方法来设定，例如使用高斯函数计算平均的登录失败次数m ，并计算出标 准的偏移量6 ，在检测过程中将实际登录失败的次数与i n + 6 比较，检查是 否超出门限。 目标完整性检查是对系统中的某些关键对象，检查其是否受到无意或 恶意的更改。通常是使用消息摘要函数计算系统对象的密码校验值，并将 计算得到的值存放在安全的区域。系统定时地计算校验值，并与预先存储 值比较，如果发现偏差，就发出警报信息。 2 3 1 2 统计分析统计分析技术采用统计分析的方法为每一个系统用 户和系统主体建立统汁行为模式。所建立的模式被定期的更新，以便及时 反映用户行为随时问推移而产生的变化。检测系统维护一个由行为模式组 成的统计知识库，每个模式采用一系列系统度量( 如文件的访问，终端的 使用，c p u 的时日j t 可用等) 水表示特定i 户的正常行为，当用户的行为偏离 具l f 常的行为摸弋时，就认为发生了入侵。统计分析的方法n j 以针对那 山东大学硕士学位论文 些冒充合法用，1 ，的入侵者，通过发现其异常的行为束发现入侵，并且不需 要像误用检测系统那样需要维护规则库。但是统计分析所采用的度量必须 要精心挑选，要能根据用户行为的改变产，上一致性变化。同时统计分析的 方法多是以批处理的方式对审计记录进行分析的，因此实时性较差。 2 3 1 3 神经网络神经网络是人工智能罩的一项技术，它是由大量并 行的分布式处理单元组成。每个单元都能存储一定的”知识”，单元之间通 过带有权值的连接进行交互。神经网络所包含的知识体现在网络结构当 中，学习过程也就表现为权值的改变和连接的增加或删除。利用神经网 络检测入侵包括两个阶段。首先是学习阶段，这个阶段使用代表用户行为 的历史数据进行训练，完成神经网络的构建和组装：接着便进入入侵分析 阶段，网络接收输入的事件数据，与参考的历史行为比较，判断出两者的 相似度或偏离度。神经网络使用以下方法来标识异常的事件：改变单元的 状态，改变连接的权值，添加或删除连接。同时也具有对所定义的正常模 式进行逐步修正的功能。 神经网络有以下优点：大量的并行分布式结构；有自学习能力，能 从周围的环境中不断学习新的知识；能根据输入产生合理的输出。 神经网络上述优点使其能处理特别复杂的问题，例如对用户或系统行 为的学习和分析，这些都符合入侵检测系统不断面临新的情况和新的入侵 的现况。但目前神经网络技术尚不十分成熟，所以还没有较为完善的产品。 2 3 2 误用检测 误用检测首先对特定入侵的行为模式进行编码，建立误用模式库，然 后对实际检测过程中得到的数掘进行过滤，检查其是否包含有入侵行为的 标识。入侵模式可以通过分析历史的审计记录自动生成，也可以通过预先 定义一些模式来实现，误用检测能迅速发现已知的攻击，并指出攻击的 类型，便于采取应对措施：同时用户可以根据自身情况选择所要监控的事 件类型和数量：并且误用检测没有浮点运算，效率较高。但其缺点也是显 而易见的：i b 丁二依赖误用模式库。它只能检测数据库中已有的攻击，对未 知的攻击无能为力，这便耍求不断地升级数掘库，加入新攻击的特征码： 随着数拚：库的小断扩大，检测所要耗费的存储和计算资源也会越柬越大： 由于没有通j 】的模式定义语者，数挤：库的扩展很嘲难，增加自己的模式往 山东大学硕士学位论文 往很复杂：并且将对攻击的自然语占描述转换成模式是比较困难的，如果 模式不能被f 确定义，将无法检测到入侵。误用检测中常用的方法有：简 单的模式匹配，专家系统和状态转移法。 2 3 2 1简单的模式匹配简单的模式匹配是最为通用的误用检测技 术，它拥有一个攻击特征数据库，如果当| j i 被检测的数据与数据库中的某 个模式( 规则) 相匹配，就认为发生了入侵。这种方法的特点是原理简单， 扩展性好，检测效率高，可以实时监测，但只适用于检测比较简单的攻击， 并且误报率高。由于其实现，配置和维护都非常方便，因此得到了广泛的 应用。s n o r t 系统就采用了这种检测手段。 2 3 2 2 专家系统专家系统是最早的误用检测方案之一，被许多入侵 检测模型所使用。专家系统的应用方式是：首先使用类似于i f - t h e n 的规 则格式输入已有的知识( 攻击模式) ，然后输入检测数据( 审计事件记录) ， 系统根据知识库中的内容对检测数据进行评估，判断是否存在入侵行为模 式。专家系统的优点在于把系统的推理控制过程和问题的最终解答相分 离，即用户不需要理解或干预专家系统内部的推理过程，而只需把专家系 统看成是一个黑盒子。 专家系统的统计应用于入侵检测时，存在以下一些实际问题：处理 海量数据时存在效率问题。专家系统的推理和决策模块通常使用解释型语 言实现，执行速度比编译型语言要慢。缺乏处理序列数据的能力，即 数据前后的相关性问题。专家系统的性能取决于设计者的知识和技能。 只能检测已知的攻击模式。无法处理判断的不确定性。规则库的 维护是一项艰巨的任务，更该规则时必须考虑到对知识库中其它规则的影 响。 2 3 3 状态转移法 状态转移法( s t a t et r a n s i t i o na p p r o a c h e s ) 采用优化的模式匹配技 术来处理误用检测的问题，这种方法采用系统状态和状态转移的表达式来 描述已知的攻击模式。现有的基于状念转移的入侵检测方法主要有状念转 移分析( s t a t et r a n s i t i o na n a ly s is ) 和着色p e t r i 网( c p - n e t s ) 。状态转 移分析是通过捡测攻击行为所引起的系统状念的变化束发现入侵的，雨着 色p e t r i 网则是通过对攻击行为本身的特征进行横j 弋匹配束榆测入侵的。 山东大学硕士学位论文 2 3 3 1状态转移分析( s t a t et r a n s i t i 0 1 3a n a iy s is )状态转移分析是 使用状态转移图( s t a t et r o b s i t i o nd i a g r a m s ) 来表示和检测已知攻击模 式的误用检测技术。n e t s t a t 系统采用了这种技术。状念转移分析使用有 限状态机模型束表示入侵过程。入侵过程是由一系列导致系统从初始状态 转移到入侵状态的行为组成。初始状态表示在入侵发生之前的系统状态， 入侵状态则表示入侵完成后系统所处的状态。系统状态通常使用系统属性 或用户权限来描述。用户的行为和动作会导致系统状态的改变，当系统状 态由正常状态改变为入侵状态时，即认为发生了入侵。 2 3 3 2 着色p e t r i 网另一种采用状态转移技术来优化误用检测的方 法是由p u r d u eu n i v e r s i t y 的s a n d e e pk u m a r 和g e n es p a f f o r d 设计的 着色p e t r i 网( c p - n e t ) 。这种方法将入侵表示成一个着色的p e t r i 网， 特征匹配过程由标记( t o k e n ) 的动作构成。标记在审计记录的驱动下，从 初始状态向最终状态( 标识入侵发生的状态) 逐步前进。处于各个状态时， 标记的颜色用来表示事件所处的系统环境( c o n t e x t ) 。当标记出现某种特 定的颜色时，预示着目前的系统环境满足了特征匹配的条件，此时就可以 采取相应的响应动作。 2 3 4 其它的检测技术 在近期的入侵检测系统的发展过程中，研究人员又提出了一些新的入 侵检测技术，这些技术不能简单地归结为误用监测或异常检测，而是提供 了一些具有普遍意义的分析技术，这些技术有基于免疫系统的检测方法， 遗传算法和基于内核的检测等。 2 3 4 1基于免疫系统的检测方法免疫系统是保护生命机体不受病原 体侵害的系统，它对病原体和非自身组织的检测是相当准确的，不但能够 记忆曾经感染过的病原体的特征，还能够有效地检测未知的病原体。免疫 系统具有分层保护，分靠式检测，各都分相互独立和检测未知病原体的特 性，这些都是计算机安全系统所缺乏和迫切需要的。免疫系统最藿要的 能力就是谚 别自我( s e l f ) 和 我( n o n s c l f ) 的能力，这个概念和入侵检测 中的异常榆测的概念很相似。冈此，研究人员从免疫学的角度对入侵榆测 问题进行了探讨。 2 3 4 2遗传算法另一种较为复杂的愉测技术是使用遗传算法对审计 4 山东大学硕士学位论文 事件记录进行分析”。遗传算法是进化算法( e v o l u t j o n a r ya l g o r i t h m s ) 的一种，引入了达尔文在进化论翟提出的自然选择概念对系统进行优化。 遗传算法利用对”染色体”的编码和相应的变异和组合，形成新的个体。算 法通常针对需要进行优化的系统变量进行编码，作为构成个体的“染色 体”，再利用相应的变异和组合，形成新的个体。在遗传算法的研究人 员看来，入侵的检测过程可以抽象为：为审计记录定义一种向量表示形式， 这种向量或者对应于攻击行为，或者表示正常行为。通过对所定义向量进 行的测试，提出改进的向量表示形式，并不断重复这个过程，直到得到令 人满意的结果( 攻击或正常) 。 2 3 4 3 基于内核的检测方法随着开放源代码的操作系统l i n u x 的 流行，基于内核的检测正在形成入侵检测领域的新方向。这种方法的核心 是从操作系统的层次上看待安全漏洞，采取措施避免甚至杜绝安全隐患。 该方法主要通过修改操作系统源码或向内核中加入安全模块来实现，可以 保护重要的系统文件和系统进程。o