入侵检测技术在网络安全中的应用(共11页)

1、第一章 绪论(xln) 11入侵检测和网络安全研究(ynji)现状 网络技术给生产(shngchn)和生活带来了方便，人们之间的距离也因网络的存在而变得更近。同时，计算机系统和网络也面临着日益严重的安全问题。利用漏洞，攻击者可能简单地得到系统的控制权；利用病毒、蠕虫或木马，攻击者可以让攻击自动进行，控制数量众 多的主机；甚至发起拒绝服务(DoS)或分布式拒绝服务(DDoS)攻击。不少攻击工具功能比过去完善，攻击者在使用时不需要编程知识，使得网络攻击的门槛变低。攻击者 的目的性比过去更为明确，经济利益驱使他们在网络中进行诈骗、盗窃、获取秘密等犯罪行为。面对网络中海量的、转瞬即逝的数据，发现攻击并

2、对其取证的工作十分困难。 目前，网络安全设备种类繁多，功能强大，但配置仍然相对复杂。常见的安全设备有防火墙、反病毒设备、入侵检测防御、虚拟专用网及与审计相关的认证、授权系统。只有建立完整的网络安全系统，才有可能保证网络的安全。如果网络安全体系没有在网 络建设的开始就加以考虑，而是在完成网络结构的设计后再向网络中添加安全设备，可能会造成更大的安全漏洞和隐患。入侵检测作为网络安全技术中最重要的分支之一，入侵检测系统能够及时发现攻击并采取相应措施，它有着传统的防火墙、安全审计工具所没有的特点。通过对网络关键 节点中的数据进行收集和分析检测，发现可能的攻击行为。12本课题的研究意义网络安全关乎国家安全

3、，建立网络安全体系结构需要可靠的入侵检测系统。对国外优秀的开源入侵检测系统进行分析和研究，并对其加以改进，对开发拥有自主知识产权的入侵检测系统有着积极的意义。 第二章 入侵检测和网络安全概述21入侵检测系统概述211入侵和入侵检测(jin c)的概念 入侵是所有试图破坏网络信息的完整性、保密性、可用性、可信任性的行为。入侵是一个广义的概念，不仅包括发起攻击的人取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝服务等危害计算机和网络的行为。入侵行为主要(zhyo)有以下几种：外部渗透指既未被授权使用计算机，又未被授权使用数据或程序(chngx)资源的渗透；内部渗透指虽被授权使用计算机，但

4、是未被授权使用数据或程序资源的渗透； 不法使用指利用授权使用计算机、数据和程序资源的合法用户身份的渗透。这几种入侵行为是可以相互转变，互为因果的。例如，入侵者通过外部渗透获取了某用户的账号和密码，然后利用该用户的账号进行内部渗透；最后，内部渗透也可以转变为不法使用。入侵检测是指通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。212入侵检测系统的分类 不同的入侵检测系统有着技术、系统结构、实现方式、检测方法和检测对象等方面的差别。从这些角度，可以将入侵检测系统大致分为以下几类： 2121根据所检测的对象分类 (1)基于网络的IDS(NIDS) 通

5、过将网卡置于混杂模式，IDS可以被动地监听网络中的所有原始流量，并对获取的数据进行处理，再与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。此类IDS通常放置于网络中的关键位置，如内部网与外部网相连的边界上。使用多个传感器的分布式NIDS，它能够实时地监测网络中的所有数据，且不需要在每台服务器上安装和配置，部署成本较低，使用相当广泛。另外，除非入侵者攻陷IDS，否则即使能成功清除被攻击主机的日志也无济于事。目前，大多数企业将交换机和路由器作为主要的网络设备，HUB已渐渐退出历史舞台。交换网络的普及给HIDS的监听带来了一定的困难。虽然某些型号的交换机支持将所有数据包发送到镜像端口，

6、但这会牺牲一些性能。此外，这类IDS对加密(ji m)后的数据流通常无能为力。 (2)基于(jy)主机的IDS(HIDS)这类IDS试图从操作系统的审计跟踪(gnzng)日志判断入侵事件的线索。一方面它对抵达主机的数据进行分析并试图确认哪些是潜在的威胁，另一方面对入侵者留下的痕迹进行分析，找到入侵的证据。此类IDS可以对系统日志进行分析，从中发现入侵企图并向管理员报告。如登录失败、非授权访问等情况。它还能查找系统文件和系统配置的改变，为入侵行为提供证据。它能分析进程的行为，如果进程出现试图访问内核资源、访问其它进程资源、蓄意制造溢出等情况时，则可能出现了入侵行为或感染了病毒。HIDS具有较高的

7、准确性，记录的内容可能非常详细，但它会明显影响主机的性能，在服务器遭受毁灭性攻击时，HIDS也可能同时被破坏。(3)混合式IDS，综合基于网络和基于主机两种结构特点的IDS，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。(4)文件完整性检查工具，保护关键文件的完整性，检查文件是否被修改，从而检测出可能的入侵。它通常已经包含在HIDS中。2122根据检测的技术分类 (1)基于误用(Misuse)的IDS 基于误用的IDS又被称为基于滥用的IDS。误用检测技术主要通过某种方式预先定义入侵规则，然后监视系统的运行，从中找到符合预先定义的入侵行为。目前这类入侵检测系统主要有专家系统、模型推理

8、系统、误用预测系统和模式匹配系统。其中，模式匹配是应用最为广泛的检测手段，本文对IDS的探讨也主要集中在snort(一种免费开源的基于模式匹配IDS系统)上。 (2)基于异常(Anomaly)的IDS 基于异常的IDS假设任何人的正常行为都是有一定的规律的，并且可以通过分析这些行为产生的日志信息总结出这些规律。IDS检测与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征(用户轮廓)，当用户活动与正常行为有重大偏离时即被认为是入侵。这种入侵行为可能是已知的，也有可能是未知的。基于统计学方法的异常检测系统使用统计学的方法来学习和

9、检测用户的行为。一般地，在人们使用计算机的过程中是有一定规律的，当IDS认为用户的行为与长期积累的规律发生重大偏离时，则认为可能发生了攻击行为，从而产生警告。类似地，基于神经网络的IDS也可以学习用户的行为，并能紧密地模仿用户的行为，根据最新的变化进行调整。然而，基于误用的IDS大多需要一段时间来学习其监测的网络，然后才能进行检测。如果网络中的使用模式毫无规律，那么这类IDS就无法正常工作了。而且，“正常”与“异常”的阈值难以确定，即使检测出异常，也往往不能精确地报告攻击的类型和方式。这些缺点使这类IDS仅仅是前一类IDS的补充。213 NIDS的基本(jbn)结构基于网络的入侵检测系统(NI

10、DS)是入侵检测系统中最为重要(zhngyo)的部分。它获取网络中的所有数据并加以分析，发现潜在的威胁。NIDS通常由如下(rxi)几个模块组成：数据包获取模块、解码模块、数据包分析模块、事件分析模块、报警模块和通讯模块。数据包获取模块通过将网卡设置成混杂模式而得到网络中的所有数据。该模块通常由驱动程序完成。NIDS面对的是网络中的海量数据，使用专门为NIDS设计的数据包捕获程序或直接由硬件完成，都可以提高系统性能。解码模块将原始数据包处理成IDS比较容易处理的形式，如分离数据包的各部分内容，重组分片等在分析前必须完成的工作。这一部分还可以直接发现一小部分攻击。数据包分析模块是NIDS最重要的

11、模块。它负责在数据包中搜索特定的字符串，以判断数据包是否有恶意内容。通常，它是NIDS中对性能要求最高的模块。忽略协议类别而直接进行模式匹配的IDS，其性能通常是低下的，因为数据包的类型决定了其对应可能出现的攻击的数量的多少。为提高性能，很多NIDS采用协议细分的方式缩小搜索范围，即在数据包到达后，仅仅进行与该数据包相关的那些字符串。事件分析模块分析和处理数据包分析模块的结果，通常(tngchng)它们过滤并综合各个数据包分析模块产生的信息；报警模块将事件分析模块产生的结果，产生报警信息，并将这些信息告之用户或写入日志中；通讯模块负责各个传感器之间的通讯，为防止NIDS之间的通讯被黑客窃听、篡

12、改，常常需要将NIDS各模块之间的通讯加密。 22入侵的常见手段(shudun)和防范 为了使入侵检测系统能更准确、更快速地报告入侵行为，设计者需要对已知的所有入侵手段进行分析，更精确(jngqu)地描述入侵数据包与正常通信数据包的本质区别，才能减少误报和漏报现象。 入侵手段通常是与系统或协议漏洞相关的，当某些系统或协议被淘汰、漏洞被修补之后，这些入侵方式也就自然无法得逞了。入侵手段也是不断变化着的，当一种新的入侵手段被发现，或者源代码被披露之后，可能会造成某种入侵的爆发，直到引起人们的足够重视为止。攻击被大致分为几类，包含了目前几乎所有的攻击方式。然而攻击的手段随时间的推移显示出不同的特点，

13、新的攻击思路和手段也日新月异，试图对攻击进行完美的分类很难做到。221网络探测和嗅探 攻击者在此类攻击中期望得到与网络相关的信息。在得到目标IP地址空间后，对其进行扫描或嗅探。扫描技术可以侦察到允许连接的服务和开放的端口，来发现目标主机端口的分配情况、提供的各项服务以及服务器的操作系统和某些服务程序版本，从而为以后的入侵攻击建立基础。攻击者在攻击前首先要做的就是搜集目标网络的信息。网络探测是攻击的前提，大多数黑客都会在攻击之前对目标进行扫描。目前一些扫描工具已经拥有比较强大的功能，如NMAP、XScan、nessus、Retina，有的还兼备自动攻击功能。为避免被对方的防火墙或IDS察觉，攻击

14、者可能还会采用慢扫描或改变扫描手段(分布式扫描)。尽管如此，扫描作为一种主动行为，很可能被受害者察觉。而嗅探则相对“安静”得多。嗅探是指：在广播式网络中，攻击者可以对网络上流通的所有数据包进行监听，从而获取有用的信息。如Hub连接的网络上，只要将网卡设置为混杂模式就可以直接收到网络内的所有数据包。随着交换网络的普及，监听的难度越来越大。但针对网络中关键服务器或设备的监听一旦成功，仍然可以得到大量有价值的数据。监听是易于实现的，很多监听网络的软件还具有强大的功能，如Sniffer Pro。处于混杂模式的计算机是有可能被发现的，在某些情况下，向监听者发送特定格式的ARP包可以发现哪些网卡处于监听模

15、式，Antisniff就是利用此原理工作的。除了扫描和嗅探，攻击者还可以通过一些网络实用工具(ping、nslookup、traceroute、whois、finger等)了解受害者所处的网络结构，通过搜索引擎查询可能含有漏洞的w曲站点(如Google Hacking)。 222解码(jim)类攻击 通过各种方法(fngf)获取密码文件，然后用口令猜测程序破译用户账号和口令。据统计，网络中82的口令不够安全，使用生日、电话、姓名缩写、城市缩写、英文单词或它们的组合作为密码的例子比比皆是，很多人在不同的地方只使用一个密码，或者长期不修改自己的密码。这些密码很难经得起字典攻击。由于破解密码的工具和

16、字典生成器随处可见，破解口令不需要太多的技术(jsh)知识。类似LC5工具能在短时间内得到Windows系统的用户名并攻破系统的弱密码。223未授权访问攻击 利用系统管理策略的疏忽，用户可能获得比合法用户权限更高的操作权。目前的操作系统越来越复杂，很多系统在发布时，其默认的配置往往隐藏着漏洞。这将造成大量计算机成为黑客的傀儡主机。例如，Windows2000可以接受空密码的用户从远程登录，造成大量用户的系统被黑客轻易控制。互联网上很多路由设备也因SNMP协议的安全隐患而遭到攻击或泄露太多的敏感信息。224缓冲区溢出缓冲区溢出是指当计算机程序向缓_冲区内填充的数据位数超过了缓冲区本身的容量，溢出

17、的数据覆盖了合法数据。攻击者用自己精心设计的指令覆盖合法程序后，只要这些指令被执行，攻击者就拥有了系统的控制权。由于某些C语言库函数(如strcpy、strcat、gets、sprintf等)的设计疏漏，很多操作系统都不可避免地存在此类问题。Windows、Linux和Unix的系统漏洞大多与缓冲区溢出相关，这使近年来全球用户屡遭安全问题的困扰。随着安全编程受到广泛关注，此类攻击会将在未来呈下降趋势。已经有一些漏洞发掘模型可以检查出系统(xtng)中潜在的缓冲区漏洞，数据执行保护(DEP)技术的发展也减轻了缓冲区溢出的危害。但由于CC+语言在操作系统中使用十分广泛，这类攻击不可能在短时间内消除

18、。225欺骗(qpin)攻击 欺骗攻击(gngj)可以从OSI任何一层发起。常见的第二层攻击有MAC攻击和ARP攻击。攻击者通过修改自己的MAC地址伪装成合法用户，称为MAC攻击。ARP攻击则是向网络中宣告虚假的ARP信息，以诱骗受害者与之通信。最常见的第三层攻击是IP欺骗。利用原始套接字(RAW Socket)可以发送伪造的IP包。这类工具很容易找到，如libnet。使用这些工具发送包十分简单，最大困难是需要侦听对方发回的包并做出正确的响应。常见的第四层攻击有UDP和TCP欺骗。由于UDP包相对简单，仅有端口号、长度等几部分，因此更加易于伪装。而TCP协议面向连接，其包传输受到序列号和确认号

19、的控制。除非嗅探到完整的通信报文，否则不太可能对TCP协议进行成功的攻击。此外，通过指定路由或伪装的假地址，以假冒身份与其它主机进行合法通信，或发送假报文，使受攻击主机出现错误动作。攻击者可以向网络添加无赖设备，比如很难发现的无线设备 226协议攻击 利用TCPIP协议本身的一些缺陷对TCPIP网络进行攻击，主要方式有：ARP欺骗、DNS欺骗、WEB欺骗以及电子邮件欺骗等。这些欺骗的结果可能是把用户引向虚假的网站，诱骗它们在虚假的网站上提供真实的资料，如银行帐号和密码。这类攻击往往需要其它攻击手段的配合才能奏效。227恶意代码攻击(gngj) 恶意代码主要指脚本、病毒、蠕虫、木马。黑客在服务器

20、上运行恶意代码，可使服务器崩溃(bngku)或泄露重要资料。木马还可能伪装成应用程序或一个框骗取用户输入，一些跨站脚本漏洞则可能使服务器错误地执行恶意脚本。在过去，病毒、木马和蠕虫有比较明显的区别，现在，它们在功能上出现了整合的态势，很多恶意软件兼有木马和蠕虫的特点。入侵者还常常设计远程控制模块，主机(zhj)感染恶意代码后将被入侵者完全操纵。 第三章 入侵检测系统的测试 入侵检测系统的测试和评估一直是业界普遍关注的内容。目前，入侵检测系统的误报率仍然较高，还常常出现漏报的情况，吞吐量也有待提高。在使用入侵检测系统之前，首先需要对其进行详细的测试和评估。然后，作为一种网络安全设备，对入侵检测系

21、统的测试通常是复杂的。目前，对IDS的测试通常包含如下几个主要方面：(1)尽可能模拟各种真实的网络流量以测试入侵检测的性能；(2)必须在网络中引入攻击工具，检查入侵检测系统是否准确的报警或响应；(3)测试其在高速网络中的适应性。目前，大多数商用IDS基于误用的入侵检测系统使用规则描述入侵行为。规则相当于入侵行为的指纹，规则编写者需要准确地提取这种“指纹”，使其必须是入侵行为特有 的，在正常数据包中不能出现，否则就可能误报。入侵检测系统还必须涵盖所有的入侵手段，甚至预知这些手段的简单变化，否则就可能漏报。入侵检测系统还必须真实地反映“规则”，即能够真正检测出符合规则的攻击包，这是网络协议的复杂造

22、成的，入侵检测系统有时虽然含有准确的入侵“指纹”，却无法准确地从指纹的描述中找出相应的攻击包。目前，对于IDS仍然没有一个公开的测试或评估标准。最常用的测试方法是，搭建一个小型网络，在小型网络中释放一些攻击数据。但这种小型网络的拓扑结构和复杂度都没有统一的标准。另种测试的方式是在测试网络中重放真实网络中捕获的流量，这种测试方式的缺陷是无法将新的入侵手段及时有效地加入流量中。一种比较合理的测试方法是，搜集所有已知的攻击工具，并将这些工具产生的攻击流与背景流混合。对背景流的流量和攻击流的比例进行控制，可以得知IDS在何种情况(qngkung)下会出现丢包、漏报或误报等情况。DARPA与I DS测试

23、理论DARPAl23J于1998年启动了一项入侵检测系统评估项目。它主要涉及背景流的生成和恶意攻击行为的研究。通过使用在背景流中混杂恶意数据的方式，可以测试IDS的算法和系统设计是否合理。虽然(surn)该项目于1999年终止，但它留下了大量可用的测试数据，成为评估入侵检测系统的重要数据来源，是迄今为止最权威的IDS评估。DARPA是第一个系统地测试和评估IDS的项目，其工作是开创性的。DARPA所关注的不是测试一个完整的IDS，而是评估IDS时所采用的技术手段。由于从未有人研究过类似的问题，在项目的开始阶段，没有测试标准可依，也没有用于测试的标准攻击、背景流和已知的理论。DARPA采用如下的

24、方式对IDS进行评估。它包含两种测试数据：离线训练数据(TrainingData)和在线测试数据(Testing Data)。离线数据是时长7星期，其中标明了哪些数据包是正常的，哪些数据包是恶意的，它们可以用于训练入侵检测系统，使入侵检测系统完成对网络情况的学习。在线数据时长2星期，用于模拟真实网络。在使用这些数据时，使用tcpreplay将其重放。有几种方式可以得到背景流数据。最简单的方式是在真实网络(wnglu)中安装侦听器，收集网络中所有数据。然而由于这些数据中常常包含用户名、密码等隐私信息，公布它们是不妥当的。另一种方式是仔细分析这些数据，把隐私信息从中剔除。这项工作是艰巨的，研究者不

25、但要面对海量的数据，还需要有扎实的专业基础，因为在这些数据中可能混杂着攻击数据。最后一种方式是将都提取并重新合成所有会话。这将避免隐私信息的泄露，还可以自动生成实验所需要的数据。DARPA使用最后一种方式获取网络数据，其网络环境主要是Unix服务器群，主要的协议有HTTP、XWindows、SQL、SMTP、POP3、FTP、Telnet和DNS等。大约120种攻击工具被分为38类加入这些数据中，后来，又在实验网络中加入了一些受害WindowsNT服务器。虽然业界对DARPA存有很多批评，但它对IDS测试有着极其重要的贡献，也为今后的工作奠定了基础，其测试数据在今天仍然有一定价值。近年来，网络

26、数据的成分已发生重大变化。过去，网络中大约70左右的流量都是HTTP协议。现在，P2P软件(如BT、Emule、PPLive)的盛行使网络中有大约一半流量流向不知名的端口，高峰时可能达到整个网络流量的2030。而且更多的攻击工具和攻击手段也层出不穷，使用 1999年的数据测试现在的IDS，已是不合时宜的了。但DARPA所指出的测试IDS的方法，仍然是适用的。第四章 测试IDS需要解决(jiju)的问题使用DARPA的思想生成(shn chn)用于测试IDS的流量时，需要解决两个问题。一是如何生成背景流，背景流是不含任何恶意的数据包的流量。二是如何生成攻击。两种流量经过混合后，进入入侵检测系统。

27、一个具有良好适应性的IDS应当能准确(zhnqu)地从背景流中区分出攻击数据。模拟真实网络环境的背景流是十分必要的，然而这很困难。采用SmartBits流量发生器人工生成的请求通常是伪造源地址的虚假请求，它们是完全随机的，但真实的网络中并非如此。而基于统计的用户行为分析模型常常针对某个特定网络或站点，其结果的一般性值得商榷。脚本工具用于模拟用户行为。它们可以模拟成一个网络浏览器，或者FTP、POP、SMTP和Telnet客户端。由于这类工具少有分析用户行为，它们往往发送完全随机的请求。由于请求数量太大，这使它像一个DoS工具，令服务器过载。另外，从服务器返回的巨大流量也会影响脚本工具的正常运行。攻击流量通常基于攻击特征数据库，其中保存了所有恶意流，测试者可在必要的时候发动攻击。这个数据库需要维护和更新，因为每天都可能出现新的攻击。目前，使用穷举所有攻击的方式来测试IDS是不可行的。可