（計(jì)算機(jī)軟件與理論專業(yè)論文）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中網(wǎng)絡(luò)管理擴(kuò)展.pdf

華中科技大學(xué)碩士學(xué)位論文 t ；- 。甚 摘要 目前，入侵檢測(cè)系統(tǒng)主要分為基于主機(jī)檢測(cè)和基于網(wǎng)絡(luò)檢測(cè)兩種，一般是對(duì)系統(tǒng) 的審計(jì)日志進(jìn)行數(shù)據(jù)挖掘或者對(duì)網(wǎng)絡(luò)包進(jìn)行截取分析，通過模式匹配等手段發(fā)現(xiàn)入 侵。這些系統(tǒng)的主要問題是信息來(lái)源比較單一，容易產(chǎn)生漏報(bào)和誤報(bào)；截取網(wǎng)絡(luò)包消 耗了較多的系統(tǒng)資源，影響了正常的工作。另外，管理員在利用入侵檢測(cè)系統(tǒng)防范入 侵的同時(shí)，一般還需要額外的網(wǎng)絡(luò)管理軟件對(duì)網(wǎng)絡(luò)中的設(shè)備進(jìn)行維護(hù)，這使日常管理 工作變得復(fù)雜。 為了解決這些問題，在c i d f 基礎(chǔ)上提出了一種基于分布式代理的網(wǎng)絡(luò)入侵檢測(cè)系 統(tǒng)模型( d a n i d s ) 。并結(jié)合j a v a a p p l e t 、w w w 、c o r b a 以及簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，對(duì)該 入侵檢測(cè)系統(tǒng)進(jìn)行了網(wǎng)絡(luò)管理功能的擴(kuò)展。 系統(tǒng)在提供入侵檢測(cè)功能的同時(shí)，提供瀏覽設(shè)備管理信息庫(kù)、配置設(shè)備參數(shù)、監(jiān) 測(cè)設(shè)備運(yùn)行參數(shù)等功能，從而簡(jiǎn)化了管理員的工作。另一方面，因?yàn)楹?jiǎn)單網(wǎng)絡(luò)管理協(xié) 議得到眾多網(wǎng)絡(luò)設(shè)備的支持，不用添加額外的程序就可以獲取很多有用的信息。將這 些信息提供給入侵檢測(cè)系統(tǒng)，提高了入侵檢測(cè)的準(zhǔn)確率。運(yùn)用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議中的 消息格式進(jìn)行通信，使入侵檢測(cè)系統(tǒng)本身的安全能得到保證。對(duì)管理信息庫(kù)使用基于 視圖的訪問控制，減少了管理員的誤操作。( 另夕卜，借助于標(biāo)準(zhǔn)協(xié)議，系統(tǒng)可以方便的 擴(kuò)展并且能和其他符合該協(xié)議的系統(tǒng)協(xié)同工作6 關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵檢測(cè)；網(wǎng)絡(luò)管理；簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議；管理信息庫(kù)；訪 問控制；安全模型 華中科技大學(xué)碩士學(xué)位論文 a b s t r a c t a tp r e s e n t ，t h e r ea r et w ob a s i ci n t r u s i o nd e t e c t i o ns y s t e m s ，h o s tb a s e d a n dn e t w o r kb a s e ds y s t e m s t h e yc a nf i n di n t r u s i o nb ym e a n so fd a t ad i g g i n g o fa u d i tr e c o r d s ，a n a l y z i n gp a c k e t sf r o mn e t w o r ka n dp a t t e r n m a t c h i n g t h e r e a r es o m ep r o b l e m so ft h e s es y s t e m s f i r s t ，t h es o u r c eo fi n f o r m a t i o n f o r d e t e c t i n gi sl i m i t e d ，i t i ic o u r s er e p o r tm i s s i n go rm i s t a k i n g s e c o n d l y ， a n a l y z i n gp a c k e t sf r o mn e t w o r kt a k e ss om a n yr e s o u r c e st h a td a i l yw o r kc a n n o t b ed o n ee f f i c i e n t l y a b o v ea 1 1 ，m a n a g e r sn e e do n e s y s t e mf o ri n t r u s i o n d e t e c t i o na n dn e e da n o t h e rf o rn e t w o r km a n a g e m e n ta tt h es s j l l et i m e t h i sm a k e s d a i l yw o r k sc o m p li c a t e d t os o l v et h e s ep r o b l e m s ，am o d e lo fd i s t r i b u t e da g e n t b a s e dn e t w o r k i n t r u s i o nd e t e c t i o ns y s t e m ( d a n i d s ) i sp r e s e n t c o m b i n i n gt e c h n o l o g i e so f j a v aa p p l e t ，w e bs e r v i c e ，c o r b aa n ds n m p ，an e wi n t r u s i o nd e t e c t i o ns y s t e m w i t hn e t w o r km a n a g e m e n tu t i l i t i e si sb u i l d p r o v i d i n gt h ea b i l i t yo fi n t r u s i o nd e t e c t i o n ，t h es y s t e ma l s oh e l p st h e m a n a g e rw i t hu t i l i t i e sf o re x p l o r i n gt h em a n a g e m e n ti n f o r m a t i o nb a s e ， c o n f i g u r i n ga n dm o n i t o r i n gt h ed e v i c e s s i n c es n m pi sw i d e l ys u p p o r t e db y d e v i c ev e n d o r s ，w i t h o u ta n ye x t r ap r o g r a mw ec a ng e tm u c hu s e f u li n f o r m a t i o n w i t ht h i si n f o r m a t i o n i n t r u s i o nd e t e c t i o ns y s t e mc a nw o r km o r ea c c u r a t e l y u s i n gt h em e s s a g ef o r m a to fs n m pt oc o m m u n i c a t em a k e st h es y s t e ms a f e t y w i t h v i e w b a s e da c c e s sc o n t r o lo fm i b ，m a n a g e rc a nw o r kw i t hf e wm i s t a k e s a b o v e a l l ，w i t ht h eh e l po fs t a n d a r dp r o t o c o l ，t h ei n t r u s i o nd e t e c t i o ns y s t e m b e c o m e sf l e x i b l ef o re x t e n d i n ga n du n i v e r s a lf o rc o o p e r a t i n gw i t ho t h e r s y s t e m s k e yw o r d s , n e t w o r ks e c u r i t y ；i n t r u s i o nd e t e c t i o n ：n e t w o r km a n a g e m e n t ： s i m p l en e t w o r km a n a g e m e n tp r o t o c o l ：m a n a g e m e n ti n f o r m a t i o nb a s e ；a c c e s s c o n t r o l ；s e c u r i t ym o d e l i i 華中科技大學(xué)碩士學(xué)位論文 1 緒論 1 1 計(jì)算機(jī)安全、網(wǎng)絡(luò)安全概述 隨著信息時(shí)代的來(lái)l 臨，計(jì)算機(jī)已經(jīng)成為現(xiàn)代社會(huì)生產(chǎn)、生活中的不可缺少的工具。 最初的計(jì)算機(jī)主要用于科學(xué)計(jì)算，它的體積龐大，運(yùn)算速度也比較慢；隨著科學(xué)技術(shù) 的進(jìn)步，計(jì)算機(jī)的體積不斷縮小，運(yùn)算的速度也不斷提高。計(jì)算機(jī)已經(jīng)從一種的專用 的計(jì)算工具逐步過度到一種必備的工具。計(jì)算機(jī)應(yīng)用已經(jīng)逐步滲透到人類的社會(huì)活動(dòng) 中，并對(duì)社會(huì)的政治、經(jīng)濟(jì)和文化產(chǎn)生了深刻的影響。科學(xué)技術(shù)是第一生產(chǎn)力，而計(jì) 算機(jī)作為科學(xué)技術(shù)的結(jié)晶，已經(jīng)成為提高社會(huì)生產(chǎn)力的重要手段之一。并且，隨著計(jì) 算機(jī)網(wǎng)絡(luò)的出現(xiàn)、發(fā)展和壯大，以前只有大型計(jì)算機(jī)才能完成的任務(wù)，現(xiàn)在只要借助 于計(jì)算機(jī)網(wǎng)絡(luò)就可以完成。計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)逐步成為黨政機(jī)關(guān)、商業(yè)和金融部門、交 通運(yùn)輸部門日常工作不可缺少的重要工具，在這些計(jì)算機(jī)網(wǎng)絡(luò)中傳遞的數(shù)據(jù)不但涉及 到個(gè)人隱私、商業(yè)機(jī)密等內(nèi)容，甚至還有可能涉及國(guó)家政治、軍事、經(jīng)濟(jì)的秘密，所 以，計(jì)算機(jī)的安全問題就顯得十分重要。“如何保證計(jì)算機(jī)中保存的數(shù)據(jù)不被竊取、 篡改? ”“如何保證計(jì)算機(jī)網(wǎng)絡(luò)中傳遞的信息不泄露? ”等等，這些問題越來(lái)越受到 重視。 國(guó)際標(biāo)準(zhǔn)化組織中將計(jì)算機(jī)安全定義為：“采用一定的技術(shù)或著管理來(lái)對(duì)數(shù)據(jù)處 理系統(tǒng)進(jìn)行安全保護(hù)，包括保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然的或故意的原因而遭 到破壞、更改和泄露?！薄? 這里是側(cè)重于對(duì)靜態(tài)信息方面的保護(hù)。而我國(guó)公安部將計(jì) 算機(jī)安全定義為保護(hù)計(jì)算機(jī)的硬件、軟件和數(shù)據(jù)，包括保證不受偶然或者惡意的原因 遭到破壞、更改和泄露，強(qiáng)調(diào)整個(gè)系統(tǒng)能夠正常運(yùn)行。這里是側(cè)重于動(dòng)態(tài)意義的描述。 計(jì)算機(jī)安全涉及到的范圍很廣，涉及到各種影響計(jì)算機(jī)安全的因素和保障計(jì)算機(jī) 系統(tǒng)及其正常運(yùn)行的安全措施。計(jì)算機(jī)安全研究對(duì)象主要有包括：人員，即計(jì)算機(jī)系 統(tǒng)的操作人員；計(jì)算機(jī)系統(tǒng)，包括計(jì)算機(jī)軟件、硬件；計(jì)算機(jī)及其運(yùn)行的環(huán)境，包括 物理設(shè)備環(huán)境和管理環(huán)境。對(duì)于軟件專業(yè)的研究人員，主要的研究對(duì)象是計(jì)算機(jī)系統(tǒng) 本身，特別是系統(tǒng)軟件級(jí)的安全問題。 計(jì)算機(jī)安全應(yīng)在軟件方面主要考慮：計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的通訊安全、操作系統(tǒng)自 身的安全、數(shù)據(jù)庫(kù)管理系統(tǒng)的安全以及應(yīng)用系統(tǒng)的安全。 華中科技大學(xué)碩士學(xué)位論文 這幾個(gè)方面的內(nèi)容是互相補(bǔ)充、相互關(guān)聯(lián)的。例如一個(gè)實(shí)際的應(yīng)用系統(tǒng)中，自身 有完善的安全認(rèn)證、密碼保護(hù)等措施，保證系統(tǒng)的安全，但如果它運(yùn)行在一個(gè)缺乏安 全措施缺乏的操作系統(tǒng)上，或者運(yùn)用的數(shù)據(jù)庫(kù)管理系統(tǒng)的安全級(jí)別很低，那么最終還 是不能保證整個(gè)系統(tǒng)的安全。 計(jì)算機(jī)安全的內(nèi)容應(yīng)包括物理安全和邏輯安全兩個(gè)方面。 物理安全主要是指系統(tǒng)的硬件設(shè)備和設(shè)施受到物理層面的保護(hù)。因?yàn)楫?dāng)前的條件 下，計(jì)算機(jī)設(shè)備的費(fèi)用仍然十分昂貴，所以對(duì)于計(jì)算機(jī)的網(wǎng)絡(luò)設(shè)備、主機(jī)或者其它硬 件設(shè)備，考慮它們的物理安全是一個(gè)非常必要的問題。保證物理安全的手段主要包括： 保安警衛(wèi)、放置設(shè)備的機(jī)房中的報(bào)警系統(tǒng)、鑰匙或信用卡識(shí)別等。 邏輯安全主要包括信息的完整性、保密性和可用性。這里的完整性、保密性和可 用性是專門針對(duì)計(jì)算機(jī)安全方面的。其中，完整性主要是指信息不會(huì)被非授權(quán)修改以 及信息保持一致性等，和數(shù)據(jù)庫(kù)領(lǐng)域的數(shù)據(jù)完整性的本質(zhì)是相同的。保密性是指高級(jí) 別的信息只有在授權(quán)的情況下才能流向低級(jí)別的客體與主體?？捎眯允侵负戏ㄓ脩舻?正常請(qǐng)求能夠及時(shí)、正確、安全地得到服務(wù)或者回應(yīng)。 比較物理安全和邏輯安全兩方面，可以發(fā)現(xiàn)物理安全比較容易實(shí)現(xiàn)，而且實(shí)施起 來(lái)不需要很高的技術(shù)。而邏輯安全領(lǐng)域需要研究的范圍十分廣泛，這方面的研究具有 巨大的潛在價(jià)值。目前對(duì)計(jì)算機(jī)安全的研究，主要的工作重點(diǎn)是對(duì)邏輯安全方面的研 究。 總的說(shuō)來(lái)，計(jì)算機(jī)安全的目標(biāo)就是要建立、維護(hù)對(duì)計(jì)算機(jī)系統(tǒng)的控制，保證系統(tǒng) 能夠正常工作和運(yùn)行。現(xiàn)在，可以采取多種控制方法來(lái)達(dá)到這個(gè)目標(biāo)。這些方法主要 分為六種： 1 物理控制 一般來(lái)說(shuō)，某些最容易、最節(jié)省和最有效的控制就是直接的物理上的控制。如前 面提到的，物理控制可以包括：門禁系統(tǒng)、入口警衛(wèi)設(shè)置、對(duì)重要軟件、數(shù)據(jù)進(jìn)行備 份等。但是，人們?cè)趯ふ腋鼜?fù)雜的安全控制方法時(shí)，有時(shí)容易將這些簡(jiǎn)單的物理控制 忽略，所以，往往簡(jiǎn)單的盜竊行為可能使系統(tǒng)遭受重大損失。 2 硬件控制 現(xiàn)在，很多計(jì)算機(jī)安全研究機(jī)構(gòu)生產(chǎn)了各種專用的硬件設(shè)備來(lái)保證和實(shí)現(xiàn)計(jì)算機(jī) 的安全。這些設(shè)備包括硬件加密器、通信保密機(jī)、加密狗以及智能卡等硬件設(shè)備。比 如在連接兩個(gè)相距很遠(yuǎn)的子網(wǎng)時(shí)，先將數(shù)據(jù)通過通信保密機(jī)加密，然后送入路由器， 2 華中科技大學(xué)碩士學(xué)位論文 這樣，傳遞的信息在傳輸過程中就不會(huì)被竊取。 3 軟件控制 因?yàn)橛?jì)算機(jī)的使用離不開操作系統(tǒng)和應(yīng)用程序，所以要保證這些軟件的安全。計(jì) 算機(jī)的操作系統(tǒng)本身也是由開發(fā)人員編制的程序組成，另外，操作系統(tǒng)之上運(yùn)行的應(yīng) 用程序也是如此，所以，在研發(fā)這些程序代碼時(shí)，要考慮到安全問題，能夠排除外部 攻擊。軟件控制主要包括：開發(fā)控制、操作系統(tǒng)控制、內(nèi)部程序控制和審計(jì)控制。 其中，審計(jì)控制是跟蹤并記錄行為，利用這些記錄作為事后的調(diào)查線索。 由于軟件控制將影響到整個(gè)系統(tǒng)的可用性問題，所以必須認(rèn)真的進(jìn)行設(shè)計(jì)和開發(fā) 工作。但由于解決安全要耗費(fèi)系統(tǒng)的一些資源，使正常的系統(tǒng)工作效率降低，所以如 何解決安全和系統(tǒng)性能之間的矛盾是值得研究的課題?，F(xiàn)在有很多系統(tǒng)因?yàn)榧訌?qiáng)了軟 件控制，增強(qiáng)了系統(tǒng)安全的安全性，而導(dǎo)致系統(tǒng)的效率嚴(yán)重下降。 4 數(shù)據(jù)加密 目前，提供給計(jì)算機(jī)中信息安全問題最有效的解決方法就是對(duì)信息加密，這種方 法很早就在實(shí)際中被采用。通過數(shù)學(xué)的角度看，加密的本質(zhì)就是通過對(duì)數(shù)據(jù)進(jìn)行變換， 使外部的觀察者看不懂?dāng)?shù)據(jù)的真實(shí)意義。這樣一來(lái)，即便外部的攻擊者能夠竊取到加 密的信息，也不能獲取或者更改信息的內(nèi)容。 加密方法為數(shù)據(jù)提供了保密性。此外，加密還可以保證數(shù)據(jù)的完整性，因?yàn)橥ǔ?讀不懂的數(shù)據(jù)也難以更改。由此可見，加密是計(jì)算機(jī)安全控制中的一種重要工具，但 我們也不能過高估計(jì)其作用。加密并不能解決計(jì)算機(jī)安全中的所有問題。此外，如果 加密使用不當(dāng)，可能降低系統(tǒng)的安全性或可用性。所以必須根據(jù)具體的情況考慮加密 的時(shí)間、地點(diǎn)和采用的加密措施。 5 策略控制 除了以上幾種方法以外，有些安全控制可以通過策略控制來(lái)增強(qiáng)。有些策略，比 如口令字的選取、定期更換等，不需要增加系統(tǒng)的開銷也能取得很好的效果。 6 其它控制 另外，利用法律、道德等工具來(lái)進(jìn)行控制也是計(jì)算機(jī)安全中不可缺少的方法。為 業(yè)務(wù)人員制定相應(yīng)的道德規(guī)范并在法律上嚴(yán)厲打擊各種計(jì)算機(jī)犯罪都是十分必要的。 一個(gè)完整的安全信息系統(tǒng)要綜合地使用身份鑒別、訪問控制、數(shù)據(jù)加密、審計(jì)、 安全管理等安全技術(shù)。在實(shí)現(xiàn)中，沒有任何一項(xiàng)技術(shù)能夠獨(dú)立的完全解決安全問題。 一個(gè)設(shè)計(jì)完好的系統(tǒng)應(yīng)該盡可能地綜合運(yùn)用這些技術(shù)來(lái)實(shí)現(xiàn)總體的安全目標(biāo)。 華中科技大學(xué)碩士學(xué)位論文 隨著信息高速公路的架設(shè)，世界電子商務(wù)的發(fā)展和我國(guó)政府機(jī)構(gòu)上網(wǎng)工程的不斷 深入，越來(lái)越多的公司、企業(yè)和政府機(jī)構(gòu)在網(wǎng)上辦理業(yè)務(wù)，這種高效、便捷的方式不 僅為我們提供了生活的便利，為企業(yè)創(chuàng)造了高額利潤(rùn)，同時(shí)也使得政府機(jī)構(gòu)辦公效率 有了顯著提高。但隨著網(wǎng)絡(luò)服務(wù)功能不斷擴(kuò)大，在提供給用戶便利的同時(shí)，也給高科 技犯罪提供了途徑“1 。以前的單機(jī)系統(tǒng)一般與外界是隔離的，其中的信息不容易被獲 取?，F(xiàn)在，網(wǎng)絡(luò)黑客通過i n t e r n e t ，可以入侵到公司、企業(yè)甚至是政府機(jī)構(gòu)的網(wǎng)絡(luò)中， 竊取、篡改計(jì)算機(jī)中的信息，或者對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行破壞，導(dǎo)致網(wǎng)絡(luò)服務(wù)癱瘓，給公 司、企業(yè)和政府造成巨大的經(jīng)濟(jì)損失。這種情況之下，就需要對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行有效 的監(jiān)視和管理”。 使用入侵檢測(cè)系統(tǒng)的原因：防范網(wǎng)絡(luò)攻擊的主要常用手段就是防火墻。從技術(shù)理 論上講，防火墻已經(jīng)成為一種先進(jìn)、復(fù)雜的應(yīng)用層網(wǎng)關(guān)。它不僅能完成傳統(tǒng)的過濾任 務(wù)，同時(shí)也能夠針對(duì)網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。利用防火墻，在正確配置的情況 下，一般能夠?qū)?nèi)部子網(wǎng)提供有效的安全保護(hù)，防范多數(shù)的惡意攻擊，從而降低網(wǎng)絡(luò) 安全的風(fēng)險(xiǎn)。 雖然防火墻的功能越來(lái)越強(qiáng)大，但總有一些入侵者能成功的繞過防火墻。一方面 入侵攻擊手段在不斷發(fā)展，另一方面，來(lái)自內(nèi)部子網(wǎng)的惡意破壞也是防不勝防。 1 2 入侵檢測(cè)系統(tǒng)的概念 入侵檢測(cè)( i n t r u s i o nd e t e c t i o n ，i d ) 技術(shù)是利用入侵者留下的痕跡信息，比 如系統(tǒng)日志、可疑進(jìn)程等，發(fā)現(xiàn)來(lái)自外部或內(nèi)部的非法入侵的技術(shù)”“。入侵檢測(cè) 首先要搜集足夠的信息，包括計(jì)算機(jī)系統(tǒng)的日志文件、計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備( 如路由器) 中的相關(guān)數(shù)據(jù)信息，并根據(jù)這些數(shù)據(jù)，進(jìn)行一定的分析后，發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)中是否有 違反安全策略的行為或惡意攻擊操作。入侵檢測(cè)系統(tǒng)( i n t r u s i o nd e t e c t i o n s y s t e m ) 在發(fā)現(xiàn)入侵行為后，可以通過預(yù)先設(shè)定的功能，發(fā)出報(bào)警通知管理員或者進(jìn) 行操作，將可能由入侵帶來(lái)的損失減至最小”。 1 3 入侵檢測(cè)系統(tǒng)的歷史和現(xiàn)狀 入侵檢測(cè)技術(shù)，最早是從傳統(tǒng)的審計(jì)技術(shù)發(fā)展而來(lái)的。在計(jì)算機(jī)發(fā)展的歷史上 4 華中科技大學(xué)碩士學(xué)位論文 早期為了對(duì)用戶上機(jī)的時(shí)間進(jìn)行記錄并收取費(fèi)用，采用了一定的審計(jì)功能。隨著計(jì)算 機(jī)的普及和在商業(yè)應(yīng)用不斷擴(kuò)大和深入，審計(jì)的功能也越來(lái)越豐富，通過審計(jì)信息， 用戶可以了解計(jì)算機(jī)系統(tǒng)的使用情況，并可以利用審計(jì)信息，在系統(tǒng)發(fā)生問題時(shí)進(jìn)行 追蹤、調(diào)查。計(jì)算機(jī)審計(jì)逐步分化為主要為商業(yè)公司服務(wù)的e d p 審計(jì)和用于政府、軍 事等部門的安全審計(jì)。 二十世紀(jì)七十年代，隨著計(jì)算機(jī)的運(yùn)算速度不斷提高、應(yīng)用不斷普及，對(duì)計(jì)算機(jī) 安全的需求也顯著增加。1 9 8 0 年，j a m e sp a n d e r s o n 在一份研究報(bào)告中提出建議改 變計(jì)算機(jī)審計(jì)機(jī)制以便為計(jì)算機(jī)安全人員的追蹤、調(diào)查提供信息，開創(chuàng)了入侵檢測(cè)研 究工作。從1 9 8 4 年到1 9 8 6 年，d o r o t h yd e n n i n g 和p e t e rn e u m a n n 負(fù)責(zé)研究開發(fā)了一個(gè) 實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型，系統(tǒng)被命名為入侵檢測(cè)專家系統(tǒng)。在這一模型中，提出了計(jì) 算機(jī)中的反?；顒?dòng)和不當(dāng)使用之間的相關(guān)性，這成為后來(lái)入侵檢測(cè)研究和系統(tǒng)原形的 基礎(chǔ)。1 9 8 9 年，美國(guó)國(guó)家計(jì)算機(jī)安全中心開發(fā)研制了m u t t i c s 入侵檢測(cè)和報(bào)警系統(tǒng)， 并將系統(tǒng)投入實(shí)際運(yùn)行。這是第一個(gè)將監(jiān)控與因特網(wǎng)相結(jié)合的入侵檢測(cè)系統(tǒng)。由加利 福尼亞d a v i s 分校開發(fā)的網(wǎng)絡(luò)系統(tǒng)監(jiān)視器在入侵檢測(cè)研究歷史上是一個(gè)具有重要意義 的里程碑，開創(chuàng)了將網(wǎng)絡(luò)流量作為主要檢測(cè)數(shù)據(jù)源的先例，試圖把入侵檢測(cè)系統(tǒng)擴(kuò)展 到異種網(wǎng)絡(luò)環(huán)境的系統(tǒng)。在此之前，多數(shù)入侵檢測(cè)系統(tǒng)的信息主要來(lái)自于操作系統(tǒng)的 審計(jì)日志信息以及其它以主機(jī)為中心的信息。到二十世紀(jì)八十年代末，美國(guó)空軍、國(guó) 家安全局和能源部資助的分布式入侵檢測(cè)系統(tǒng)項(xiàng)目中，首次將基于主機(jī)的入侵檢測(cè)和 基于網(wǎng)絡(luò)的入侵檢測(cè)結(jié)合在一起。 目前，國(guó)外有很多實(shí)驗(yàn)室和公司在從事入侵檢測(cè)系統(tǒng)的研究、開發(fā)工作，已經(jīng)完 成了一些原形系統(tǒng)和產(chǎn)品。如思科公司的n e t r a n g e r 、n e t w o r ka s s o c i a t e s 公司的 c y b e r c o p 、i n t e r n e ts e c u r i t ys y s t e m 公司的r e a l s e c u r e 等。國(guó)內(nèi)的研究機(jī)構(gòu)和從事 網(wǎng)絡(luò)安全產(chǎn)品的公司也進(jìn)行了相關(guān)的研究、開發(fā)。雖然國(guó)內(nèi)的入侵檢測(cè)的產(chǎn)品較少， 但有多個(gè)入侵檢測(cè)產(chǎn)品通過了公安部、國(guó)家信息安全評(píng)測(cè)中心等機(jī)構(gòu)的認(rèn)證并獲得銷 售許可證。典型的產(chǎn)品有東軟公司的n e t e y ei d s 、清華紫光的u n i s i d s 入侵檢測(cè)系統(tǒng) 等。 華中科技大學(xué)碩士學(xué)位論文 1 4 入侵檢測(cè)系統(tǒng)的發(fā)展前景 網(wǎng)絡(luò)的普及和發(fā)展的速度越來(lái)越快，互聯(lián)網(wǎng)上的入侵、攻擊手段也是層出不窮。 雖然計(jì)算機(jī)信息安全、網(wǎng)絡(luò)安全已經(jīng)成為大家關(guān)注的焦點(diǎn)，但現(xiàn)在這些問題還是十分 嚴(yán)峻。由于早期的計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)中缺乏經(jīng)驗(yàn)，所以很多現(xiàn)存的網(wǎng)絡(luò)應(yīng)用中缺乏對(duì)安 全問題的考慮。除了在軍事、經(jīng)濟(jì)等要害部門或行業(yè)的應(yīng)用中對(duì)安全問題有所防范外， 其它的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用很少有安全防范的能力。因?yàn)橛?jì)算機(jī)系統(tǒng)本身就可能存在一些 安全隱患或者漏洞，需要不斷的升級(jí)完善，所以即便那些采用了安全防范的系統(tǒng)也不 能獲得絕對(duì)的安全。為了保證計(jì)算機(jī)應(yīng)用中的信息和計(jì)算機(jī)網(wǎng)絡(luò)的安全，除了在系統(tǒng) 中采用防火墻、身份認(rèn)證、訪問控制、數(shù)據(jù)加密等方法外，還需要采用入侵檢測(cè)等手 段，積極防范惡意攻擊。 隨著高科技犯罪的增多，在很多敏感部門的計(jì)算機(jī)系統(tǒng)中，對(duì)入侵檢測(cè)的需求在 不斷增加“1 。了解系統(tǒng)的運(yùn)行狀態(tài)，查看網(wǎng)絡(luò)的負(fù)載情況，檢查各種網(wǎng)絡(luò)設(shè)備 的工作甚至是計(jì)算機(jī)應(yīng)用中的異常操作等，這些對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的管理者都有十分重 要的參考價(jià)值。有了入侵檢測(cè)系統(tǒng)作為工具，可以很容易獲得這些信息，經(jīng)過適當(dāng)?shù)?配置后，可以有效的阻止一定的惡意攻擊1 。 雖然入侵檢測(cè)系統(tǒng)是協(xié)助管理員對(duì)系統(tǒng)資源進(jìn)行監(jiān)視管理的有效工具“”，很多 入侵可以被自動(dòng)識(shí)別和防范，但在有些情況下，還需要管理員有一定的管理知識(shí)和經(jīng) 驗(yàn)，當(dāng)發(fā)現(xiàn)入侵活動(dòng)后，采用必要、適宜的方式，維護(hù)整個(gè)系統(tǒng)的正常工作“4 ”。 1 5 本課題研究的目的和意義 入侵檢測(cè)系統(tǒng)已經(jīng)成為計(jì)算機(jī)安全問題研究的重點(diǎn)之一。我們研究的目的在于設(shè) 計(jì)并實(shí)現(xiàn)一套具有良好可擴(kuò)充性的入侵檢測(cè)系統(tǒng)，并將網(wǎng)絡(luò)管理技術(shù)和入侵檢測(cè)相融 合，在入侵檢測(cè)方面作一些嘗試。 網(wǎng)絡(luò)管理是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)中不可缺少的部分，簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議已經(jīng)經(jīng)過了三 個(gè)版本的改進(jìn)，變得比較成熟。很多網(wǎng)絡(luò)設(shè)備廠商提供對(duì)該協(xié)議的支持。網(wǎng)絡(luò)管理協(xié) 議中的代理、網(wǎng)管站等本身就是一個(gè)分布式檢測(cè)體系。雖然分布式入侵檢測(cè)系統(tǒng)檢測(cè) 方法繁多“1 ，涉及很多領(lǐng)域的知識(shí)，但在體系結(jié)構(gòu)上，和網(wǎng)絡(luò)管理系統(tǒng)有非常相 似的地方。如何利用已經(jīng)存在的系統(tǒng)為新的應(yīng)用服務(wù)是節(jié)約成本的重要環(huán)節(jié)，也是長(zhǎng) 6 華中科技大學(xué)碩士學(xué)位論文 期以來(lái)計(jì)算機(jī)運(yùn)用中面對(duì)的問題。很多公司為建成某一系統(tǒng)投入了大量人力、財(cái)力， 隨著時(shí)間的推移，新的技術(shù)很快出現(xiàn)，舊的設(shè)備、系統(tǒng)面l 晦被淘汰的危險(xiǎn)，而用戶多 數(shù)都希望添加新的功能、設(shè)備時(shí)，舊的系統(tǒng)能夠繼續(xù)服務(wù)。 基于這樣的考慮，因?yàn)榇蠖鄶?shù)現(xiàn)存的網(wǎng)絡(luò)設(shè)備都支持網(wǎng)絡(luò)管理協(xié)議，如果將入侵 檢測(cè)系統(tǒng)和網(wǎng)絡(luò)管理系統(tǒng)集成，這將是很有意義的一項(xiàng)工作。并且，考慮到網(wǎng)絡(luò)管理 協(xié)議帶來(lái)的通用性，不同入侵檢測(cè)系統(tǒng)之間的協(xié)同工作也將成為可能。 1 6 論文的組織結(jié)構(gòu) 下面介紹論文的組織安排： 第一章緒論部分闡述本課題的研究背景，現(xiàn)狀、研究的目的和意義。 第二章基礎(chǔ)知識(shí)部分闡述了防火墻技術(shù)、入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)管理協(xié)議和c o r b a 技術(shù)的概念及特點(diǎn)。 第三章入侵檢測(cè)系統(tǒng)總體設(shè)計(jì)部分闡述了入侵檢測(cè)系統(tǒng)的設(shè)計(jì)思想，提出入侵檢 測(cè)系統(tǒng)的總體框架。 第四章網(wǎng)絡(luò)監(jiān)視與控制子系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)部分主要闡述子系統(tǒng)的組成結(jié)構(gòu)和 各模塊的功能與實(shí)現(xiàn)。 第五章網(wǎng)絡(luò)監(jiān)視與控制子系統(tǒng)的安全部分詳細(xì)說(shuō)明網(wǎng)絡(luò)監(jiān)視與控制予系統(tǒng)中亟 臨的安全問題及解決辦法。 第六章結(jié)合s n m p 的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)部分闡述如何利用s n k f p 技術(shù)實(shí)現(xiàn) 入侵檢測(cè)。 第七章總結(jié)部分主要闡述入侵檢測(cè)系統(tǒng)以及網(wǎng)絡(luò)管理子系統(tǒng)的優(yōu)點(diǎn)說(shuō)明了本文 介紹的網(wǎng)絡(luò)管理子系統(tǒng)對(duì)原來(lái)入侵檢測(cè)系統(tǒng)的改進(jìn)和提高之處，并對(duì)系統(tǒng)今后的改進(jìn) 方向進(jìn)行了探討。 華中科技大學(xué)碩士學(xué)位論文 2 1 防火墻 2 基礎(chǔ)知識(shí) 防火墻是現(xiàn)代網(wǎng)絡(luò)中不可缺少的隔離技術(shù)，對(duì)入侵檢測(cè)系統(tǒng)有很好的借鑒作用， 在實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)時(shí)，還可以利用現(xiàn)有的防火墻為其服務(wù)1 引。 2 1 1 防火墻的概念 防火墻是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)之上的應(yīng)用性安全技術(shù)。 它是一個(gè)系統(tǒng)，使被保護(hù)的網(wǎng)絡(luò)和其它網(wǎng)絡(luò)之間相互隔離，并能夠完成一些訪問控制 功能，阻止非法的信息訪問和傳遞。防火墻并非單純的軟件或硬件，它的實(shí)質(zhì)是軟件 和硬件再加上一定的安全策略的集合。入侵檢測(cè)系統(tǒng)在一定程度上可以看做是防火墻 的擴(kuò)展和延伸。研究、了解防火墻的相關(guān)知識(shí)和技術(shù)對(duì)構(gòu)建入侵檢測(cè)系統(tǒng)有很好的借 鑒作用。 2 1 2 防火墻的技術(shù)簡(jiǎn)介 計(jì)算機(jī)網(wǎng)絡(luò)中的防火墻是用于進(jìn)行網(wǎng)絡(luò)信息安全防范組件的總稱，是網(wǎng)絡(luò)總體安 全的一部分。防火墻根據(jù)預(yù)定的安全策略控制信息出入計(jì)算機(jī)網(wǎng)絡(luò)，阻止不符合安全 策略的信息通過。防火墻本身具有較強(qiáng)的抗攻擊能力，可以提供信息安全服務(wù)。邏輯 上，防火墻是一個(gè)隔離器、過濾器、監(jiān)視器。防火墻采用的技術(shù)中，包括早期的簡(jiǎn)單 包過濾技術(shù)、后來(lái)出現(xiàn)的代理防火墻( 基于電路層和基于應(yīng)用層的) 、比較先進(jìn)的動(dòng) 態(tài)包過濾技術(shù)以及最新的自適應(yīng)代理技術(shù)。 2 1 3 防火墻的類型 防火墻從工作的基本原理上，可以分為兩大類：包過濾型和代理型。其中，包過 8 華中科技大學(xué)碩士學(xué)位論文 濾型防火墻從采用的安全策略設(shè)置上，可以細(xì)分為靜態(tài)包過濾型和動(dòng)態(tài)包過濾型。代 理型防火墻可分為應(yīng)用層網(wǎng)關(guān)防火墻和自適應(yīng)代理防火墻。還有的防火墻采用幾種工 作原理結(jié)合。 1 靜態(tài)包過濾防火墻 這種類型的防火墻根據(jù)預(yù)先定義好的過濾規(guī)則，審查經(jīng)過的數(shù)據(jù)報(bào)文。通過檢查 報(bào)頭信息中的i p 源地址、目的地址、采用的傳輸協(xié)議、端口、i c m p 消息類型等，將這 些與過濾規(guī)則進(jìn)行匹配，依情況決定是否讓其通過。 包過濾防火墻一般工作在網(wǎng)絡(luò)層或者應(yīng)用層，不需要對(duì)主機(jī)上的應(yīng)用程序進(jìn)行改 動(dòng)，可以在路由器上實(shí)現(xiàn)。其優(yōu)點(diǎn)是對(duì)用戶是透明的，對(duì)網(wǎng)絡(luò)性能的影響較小，與網(wǎng) 絡(luò)通訊協(xié)議無(wú)關(guān)，易于使用。但由于包過濾防火墻在應(yīng)用層下，只能利用數(shù)據(jù)包中的 有限信息，無(wú)法識(shí)別出應(yīng)用層的入侵。并且，由于缺少上下文關(guān)聯(lián)信息，不能有效過 濾無(wú)狀態(tài)協(xié)議如u d p 、r p c 等數(shù)據(jù)包。 2 動(dòng)態(tài)包過濾防火墻 由于靜態(tài)包過濾防火墻的不足，在此基礎(chǔ)之上采用動(dòng)態(tài)設(shè)置包過濾規(guī)則的方法， 通過基于上下文的動(dòng)態(tài)包過濾模塊進(jìn)行檢查，提高系統(tǒng)的安全性能。動(dòng)態(tài)包過濾防火 墻在網(wǎng)絡(luò)層不斷截獲流入的數(shù)據(jù)包，到一定數(shù)量后，就可以確定試圖進(jìn)行連接的相關(guān) 狀態(tài)。然后利用專用檢查模塊對(duì)這些包進(jìn)行檢查。將檢查的結(jié)果保存到動(dòng)態(tài)狀態(tài)表中， 利用這些結(jié)果對(duì)后續(xù)的數(shù)據(jù)包進(jìn)行安全評(píng)估。通過檢查的包可以通過防火墻。 上下文的動(dòng)態(tài)包過濾防火墻提高了安全性，很容易支持未來(lái)的網(wǎng)絡(luò)協(xié)議。但采用 的直接連線使內(nèi)部網(wǎng)絡(luò)暴露在外部網(wǎng)絡(luò)之下，危險(xiǎn)性還是很高。由于不檢查報(bào)文內(nèi)容， 也無(wú)法避免惡意攻擊，對(duì)于u d p 、r p c 等協(xié)議也無(wú)法檢查。 3 應(yīng)用層網(wǎng)關(guān)防火墻 應(yīng)用層網(wǎng)關(guān)防火墻也被稱為代理服務(wù)器，工作在應(yīng)用層，應(yīng)用層網(wǎng)關(guān)通過復(fù)制傳 遞數(shù)據(jù)，打破了傳統(tǒng)的客戶機(jī)服務(wù)器的兩層工作模式，將客戶機(jī)和服務(wù)器隔離開來(lái)。 內(nèi)部主機(jī)同外部主機(jī)間的通信要通過代理程序建立相應(yīng)的連接映射來(lái)實(shí)現(xiàn)。工作原理 是：當(dāng)外部網(wǎng)絡(luò)的主機(jī)b 要和內(nèi)部網(wǎng)絡(luò)的主機(jī)a 通信時(shí)，主機(jī)b 先發(fā)一個(gè)請(qǐng)求給代理服 務(wù)器，代理服務(wù)器檢查這個(gè)用戶的身份，如果是合法的用戶，則進(jìn)一步將請(qǐng)求轉(zhuǎn)發(fā)給 a ，監(jiān)控b 的操作，并將a 的響應(yīng)轉(zhuǎn)發(fā)給b ：當(dāng)內(nèi)部網(wǎng)絡(luò)的主機(jī)要與外部網(wǎng)絡(luò)通信時(shí)，過 程相反。 應(yīng)用層網(wǎng)關(guān)防火墻的優(yōu)點(diǎn)是將內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)隱藏起來(lái)，對(duì)外網(wǎng)用戶是不可 9 華中科技大學(xué)碩士學(xué)位論文 ， 見的a 同時(shí)，所有的內(nèi)外網(wǎng)間的通信都受到監(jiān)控。缺點(diǎn)是效率不高。也不能為無(wú)狀態(tài) 連接提供代理。 4 自適應(yīng)代理防火墻 自適應(yīng)代理技術(shù)是最近運(yùn)用在商業(yè)應(yīng)用防火墻中的技術(shù)。它將包過濾防火墻的高 速和代理類防火墻的安全等優(yōu)勢(shì)結(jié)合，在安全性的前提上將速度提高。一般包括自適 應(yīng)代理服務(wù)器和動(dòng)態(tài)包過濾器兩部分，并用一個(gè)控制通道相連。 2 2 入侵檢測(cè) 2 2 1 入侵的主要手段和方式 1 拒絕服務(wù)式攻擊( d e n i a lo fs e r v i c e ，d o s ) 拒絕服務(wù)攻擊能夠消耗掉一臺(tái)遠(yuǎn)端主機(jī)或者網(wǎng)絡(luò)的所有資源，進(jìn)而導(dǎo)致合法用戶 的訪問被拒絕。這種類型的攻擊屬于很難處理的安全問題，原因是這種攻擊易于實(shí)現(xiàn)、 很難預(yù)防或者跟蹤“。具體包括的方法有：s y nf l o o d 、p i n go fd e a t h 、t e a r d r o p 、 u d pf l o o d 、s m u r f 攻擊等。 2 占用攻擊 占用攻擊是通過各種可能的方式，獲得目標(biāo)機(jī)器的使用權(quán)限，達(dá)到占有、控制和 使用目標(biāo)機(jī)器的目的。具體常用的方法有：猜測(cè)用戶口令、安置木馬程序以及程序緩 沖區(qū)溢出等。猜測(cè)用戶口令，即通過使用一些字典，對(duì)系統(tǒng)的合法用戶名、口令字反 復(fù)測(cè)試，以獲得合法用戶的口令，從而得到系統(tǒng)的使用權(quán)限。特洛依木馬是攻擊者有 意放置在目標(biāo)系統(tǒng)中，而由系統(tǒng)的合法用戶無(wú)意或者由系統(tǒng)按一定條件啟動(dòng)，從而在 系統(tǒng)中為入侵者開辟使用通道并獲得使用系統(tǒng)資源的權(quán)限。程序緩沖區(qū)溢出的攻擊是 攻擊者以普通用戶身份在目標(biāo)系統(tǒng)中運(yùn)行某些程序( 有漏洞的系統(tǒng)程序或者惡意程 序) ，程序緩沖區(qū)溢出后操作系統(tǒng)指向并執(zhí)行惡意代碼，從而使攻擊者獲得系統(tǒng)超級(jí) 用戶的權(quán)限。 3 假消息攻擊 這種攻擊的主要目標(biāo)是系統(tǒng)中配置不正確的消息，主要包括：偽造電子郵件、域 名服務(wù)器高速緩存污染等。在域名服務(wù)中，本地域名服務(wù)器與其他域名服務(wù)器交換信 息時(shí)并不進(jìn)行身份驗(yàn)證，這就為入侵者提供了機(jī)會(huì)，將不正確的信息加入到域名服務(wù) i o 華中科技大學(xué)碩士學(xué)位論文 器中，把用戶引向惡意提供的主機(jī)，從而造成安全問題。在郵件服務(wù)系統(tǒng)中，由于協(xié) 議并不對(duì)郵件的發(fā)送者的身份進(jìn)行鑒定，因此入侵者可以對(duì)內(nèi)部客戶偽造電子郵件， 并聲稱該郵件是來(lái)自某個(gè)客戶相信的人，只要在郵件中附帶上可安裝的木馬程序，或 者是一個(gè)引向惡意網(wǎng)站的連接，就可以實(shí)現(xiàn)入侵的目的。 4 信息收集型攻擊 信息收集型攻擊是入侵的輔助手段，它對(duì)目標(biāo)系統(tǒng)沒有進(jìn)行直接的破壞活動(dòng)。這 類攻擊主要是搜集目標(biāo)系統(tǒng)的基本信息( 包括操作系統(tǒng)的類型、版本號(hào)、提供的服務(wù) 以及開放的端口號(hào)等) 。掌握了這些信息，可以為更進(jìn)一步入侵目標(biāo)系統(tǒng)作鋪墊。具 體的信息搜集攻擊的手段主要有端口掃描、系統(tǒng)信息刺探等。 入侵的主要方式可以說(shuō)都是利用現(xiàn)有計(jì)算機(jī)系統(tǒng)的弱膏2 2 2 3 1 ( 計(jì)算機(jī)軟件設(shè)計(jì) 中的缺陷、協(xié)議對(duì)安全問題的忽略) 造成。早期計(jì)算機(jī)系統(tǒng)的投入很大，很多舊系統(tǒng) 不可能被完全廢棄，另外，新的系統(tǒng)或多或少存在這樣那樣的安全隱患。入侵檢測(cè)系 統(tǒng)有十分重要的作用，因而成為國(guó)內(nèi)外研究和關(guān)注的重點(diǎn)2 。 2 2 2 入侵檢測(cè)的分類 從實(shí)現(xiàn)方式上，可將入侵檢測(cè)系統(tǒng)分為兩種：基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng) 絡(luò)的入侵檢測(cè)系統(tǒng)。一個(gè)完備的入侵檢測(cè)系統(tǒng)一定是將這兩種方式結(jié)合的分布式系 統(tǒng)。 基于主機(jī)的入侵檢測(cè)系統(tǒng)?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)一般以主機(jī)操作系統(tǒng)提供的 信息作為檢測(cè)的基本信息，包括系統(tǒng)的日志、配置文件等“。一旦發(fā)現(xiàn)這些信息發(fā) 生變化，并且變化符合攻擊特征，檢測(cè)系統(tǒng)就向管理員發(fā)出報(bào)警并做出響應(yīng)“1 。 優(yōu)點(diǎn)：l _ 非常適用于加密和交換環(huán)境；2 接近實(shí)時(shí)的檢測(cè)和響應(yīng)：3 不需要額外的硬 件設(shè)備 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始的網(wǎng)絡(luò)數(shù)據(jù)包作為 進(jìn)行攻擊分析的數(shù)據(jù)源“。為此，一般利用某種方式( 如將網(wǎng)卡設(shè)置為混雜模式) 來(lái)截獲網(wǎng)絡(luò)數(shù)據(jù)包。通過對(duì)數(shù)據(jù)包報(bào)頭及內(nèi)容的分析，確定是否與某種攻擊相關(guān)。例 如，端口掃描一般是有人開始攻擊的預(yù)兆，通過對(duì)數(shù)據(jù)包的分析就可以檢測(cè)出明顯的 端口掃描。有些非法攻擊是通過向目標(biāo)主機(jī)發(fā)送非法格式的數(shù)據(jù)包實(shí)現(xiàn)的，如果對(duì)報(bào) 華中科技大學(xué)碩士學(xué)位論文 文格式分析就能檢測(cè)出這種攻擊。還有些情況，通過統(tǒng)計(jì)數(shù)據(jù)，對(duì)網(wǎng)絡(luò)負(fù)載情況進(jìn)行 比較，也可以發(fā)現(xiàn)一些攻擊。優(yōu)點(diǎn)：1 成本低：2 攻擊者轉(zhuǎn)移證據(jù)困難：3 實(shí)時(shí)檢測(cè) 和應(yīng)答。一旦發(fā)生惡意訪問或攻擊，基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)能夠在很短的時(shí)間內(nèi)發(fā) 現(xiàn)并作出反應(yīng)，從而將入侵活動(dòng)對(duì)系統(tǒng)的破壞降到最低；4 能夠檢測(cè)未成功的攻擊企 圖；5 與操作系統(tǒng)無(wú)關(guān)。 2 2 3 入侵檢測(cè)方法 入侵檢測(cè)方法一般可以分為兩類，即異常入侵檢測(cè)和誤用入侵檢測(cè)。 1 異常入侵檢測(cè) 異常入侵檢測(cè)又稱為基于行為的檢測(cè)。檢測(cè)異常行為是一種較為常用的方法。在 異常入侵檢測(cè)中，有一個(gè)前提條件：入侵性活動(dòng)集合是異?；顒?dòng)集合的子集。所有的 入侵活動(dòng)都屬于異?；顒?dòng)。最最理想狀況是異?；顒?dòng)集合與入侵性活動(dòng)集合相等，這 樣只要檢測(cè)到所有的異常活動(dòng)，則可以判定檢測(cè)到了入侵性活動(dòng)。但在實(shí)際中，入侵 性活動(dòng)不一定體現(xiàn)為異?；顒?dòng)，而異常活動(dòng)也不都是入侵性活動(dòng)。兩者間的關(guān)系如圖 2 一l 所示。這里存在四種可能性：( 1 ) 入侵性且異常；( 2 ) 入侵性且非異常；( 3 ) 非入侵性且異常：( 4 ) 非入侵性且非異常?；诋惓５娜肭謾z測(cè)要解決的問題就是 構(gòu)造異常活動(dòng)集并從中發(fā)現(xiàn)入侵性活動(dòng)子集。異常檢測(cè)的方法依賴于異常模型的建 立，不同模型構(gòu)成不同的檢測(cè)方法。異常檢測(cè)是通過觀測(cè)到的一組測(cè)量值偏離度來(lái)預(yù) 測(cè)用戶行為的變化，然后作出決策判斷的檢測(cè)技術(shù)。目前用于異常檢測(cè)的方法主要有 統(tǒng)計(jì)方法和神經(jīng)網(wǎng)絡(luò)方法。其中，統(tǒng)計(jì)法比較容易實(shí)現(xiàn)。 圖2 1 入侵活動(dòng)的幾種可能情況 ( 1 ) 概率統(tǒng)計(jì)方法 概率統(tǒng)計(jì)方法是基于行為的入侵檢測(cè)中應(yīng)用最早也是最多的一種方法。首先，探 1 2 華中科技大學(xué)碩士學(xué)位論文 測(cè)程序根據(jù)用戶的操作為每個(gè)用戶建立特定的用戶特征表，然后通過比較當(dāng)前的特征 與原來(lái)存儲(chǔ)的特征，判斷當(dāng)前進(jìn)行的操作是否屬于用戶的異常行為。用戶的特征表需 要根據(jù)前面提到的系統(tǒng)審計(jì)記錄不斷的更新。用于描述用戶特征的變量類型主要有： 操作頻率：一定時(shí)間內(nèi)操作執(zhí)行的次數(shù)，通常用于檢測(cè)通過長(zhǎng)時(shí)間平均覺察不到的 異常行為；審計(jì)記錄分布：在最新紀(jì)錄中所有操作類型的分布：范疇：在一定動(dòng) 作范疇內(nèi)的特定操作的分布情況；數(shù)值：產(chǎn)生數(shù)值結(jié)果的操作。 這些記錄具體操作的特征可以包括：c p u 的使用情況、使用的時(shí)間和地點(diǎn)、內(nèi)存 的使用情況、打印操作、編輯器的使用情況、創(chuàng)建或修改文件的情況、網(wǎng)絡(luò)上的通訊 量、等。 在s r i c s l 的入侵檢測(cè)專家系統(tǒng)( i d e s ) “中給出了一個(gè)簡(jiǎn)單的特征表結(jié)構(gòu)： 其中，由變量名、主體和客體確定每一個(gè)特征簡(jiǎn)表，而特征值由檢測(cè)系統(tǒng)根據(jù)審 計(jì)日志中分析的數(shù)據(jù)定期產(chǎn)生。這個(gè)特征值是所有有悖于用戶特征的異常程度值的函 數(shù)。如果假設(shè)s ，s ：，s 。分別是用于描述特征的變量m 。，m 2 ， k 的異常程度 值，s ；值越大說(shuō)明異常程度越大。則這個(gè)特征值可以用所有s 。值的加權(quán)平方和來(lái)表示： m = a s t z + a 2 + + a | | s 。2 ，a ； o ，其中a 。表示每一特征的權(quán)重。 如果選用標(biāo)準(zhǔn)偏差作為判別準(zhǔn)則，則 標(biāo)準(zhǔn)偏差：盯= m ( n 1 ) 一2 其中均值= m n 如果某s 值超出t l j 士d 6 就認(rèn)為出現(xiàn)異常。 這種方法利用了概率統(tǒng)計(jì)理論作為基礎(chǔ)，在實(shí)現(xiàn)時(shí)比較容易。但在設(shè)計(jì)時(shí)也存在 一定的問題。因?yàn)榻y(tǒng)計(jì)檢測(cè)不關(guān)心事件發(fā)生的次序，如果完全依靠統(tǒng)計(jì)理論，很可能 漏檢那些和活動(dòng)次序相關(guān)聯(lián)的入侵事件。另外在這里需要定義報(bào)警的閾值，但設(shè)定的 闕值過高，可能出現(xiàn)誤報(bào)警的幾率就會(huì)提高，闞值過低，又可能發(fā)生漏檢。所以，閾 值需要根據(jù)具體的實(shí)際情況設(shè)定，并要通過實(shí)際使用不斷調(diào)整。 ( 2 ) 神經(jīng)網(wǎng)絡(luò)方法 利用神經(jīng)網(wǎng)絡(luò)檢測(cè)入侵的基本思想是用一系列信息單元( 比如系統(tǒng)命令) 訓(xùn)練神 經(jīng)單元，這樣在給定一組輸入后，就可能預(yù)測(cè)出輸出。和前面介紹的統(tǒng)計(jì)理論相比， 神經(jīng)網(wǎng)絡(luò)更好地表達(dá)了變量間的非線性關(guān)系，并且能自動(dòng)學(xué)習(xí)和更新。由于日常工作 的要求，用戶的行為一般是可以預(yù)測(cè)的，不能預(yù)測(cè)的行為只占很少一部分。用于檢測(cè) 華中科技大學(xué)碩士學(xué)位論文 的神經(jīng)網(wǎng)絡(luò)模塊結(jié)構(gòu)大致是這樣的：當(dāng)前命令和前n 個(gè)命令組成神經(jīng)網(wǎng)絡(luò)的輸入，其 中n 是神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)下一個(gè)命令時(shí)所包含的過去命令集的大小。根據(jù)用戶的代表性命 令序列訓(xùn)練網(wǎng)絡(luò)后，該網(wǎng)絡(luò)就形成了相應(yīng)用戶的特征表。該網(wǎng)絡(luò)對(duì)下一事件的預(yù)測(cè)錯(cuò) 誤率在一定程度上反映了用戶行為的異常程度。 神經(jīng)網(wǎng)絡(luò)方法的能很好地處理具有隨機(jī)特性的數(shù)據(jù)，不需要對(duì)這些數(shù)據(jù)作任何統(tǒng) 計(jì)假設(shè)，有較好的抗干擾能力。但和統(tǒng)計(jì)中的閾值設(shè)定類似，神經(jīng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及 各元素的權(quán)重很難確定，同樣命令集的大小也難選取。如果命令集偏小，那么神經(jīng)網(wǎng) 絡(luò)的輸出不能很好的預(yù)測(cè)出用戶的行為；如果命令集偏大，那么神經(jīng)網(wǎng)絡(luò)會(huì)因?yàn)樯婕?大量的無(wú)關(guān)數(shù)據(jù)而降低檢測(cè)效率。 2 誤用入侵檢測(cè) 誤用入侵檢測(cè)就是基于知識(shí)的檢測(cè)。這種檢測(cè)針對(duì)一些已知攻擊方法，定義出相 應(yīng)的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來(lái)檢測(cè)，和早期的檢測(cè)計(jì)算機(jī)病毒的 方法十分相似。這種方法由于依據(jù)具體特征庫(kù)進(jìn)行判斷，所以檢測(cè)準(zhǔn)確度很高。因?yàn)?檢測(cè)結(jié)果有明確的參照，系統(tǒng)管理員可以明確的進(jìn)行相應(yīng)操作，同時(shí)，只要通過升級(jí) 已知攻擊的模式庫(kù)就能防范更多的攻擊。這種檢測(cè)的主要缺陷在于檢測(cè)和具體系統(tǒng)的 依賴性很強(qiáng)，系統(tǒng)缺乏移植性。而且，具體入侵手段抽象成知識(shí)也有一定的困難。由 于檢測(cè)范圍受已知知識(shí)的局限，難以檢測(cè)出內(nèi)部人員的入侵行為?；谥R(shí)的檢測(cè)方 法大致有以下幾種。 ( 1 ) 專家系統(tǒng) 專家系統(tǒng)是基于知識(shí)的檢測(cè)中運(yùn)用最多的一種方法。首先，需要將有關(guān)入侵的知 識(shí)轉(zhuǎn)化成i f t h e n 結(jié)構(gòu)的規(guī)則。具體說(shuō)，就是將構(gòu)成入侵所要求的條件轉(zhuǎn)化為i f 部分， 將檢測(cè)到入侵后預(yù)定要采取的操作轉(zhuǎn)化成t h e n 部分。當(dāng)條件滿足時(shí)，檢測(cè)系統(tǒng)就判斷 出入侵行為發(fā)生，并根據(jù)定義的操作自動(dòng)完成后續(xù)工作。這里，主要部分是專家系統(tǒng) 的規(guī)則庫(kù)，由描述攻擊的i f t h e n 結(jié)構(gòu)的規(guī)則組成，狀態(tài)行為和相關(guān)的語(yǔ)義信息可以 通過審計(jì)得到，檢測(cè)器根據(jù)定義的規(guī)則庫(kù)完成判斷工作。在實(shí)現(xiàn)過程中，專家系統(tǒng)的 檢測(cè)主要面l 臨的問題有：規(guī)則完備問題和效率問題。 我們不可能將所有的入侵方法都用i f - t h e n 結(jié)構(gòu)的規(guī)則描述出來(lái)，所以存在規(guī)則 完備的問題，另外，如果規(guī)則數(shù)量很多，需進(jìn)行判定的數(shù)據(jù)量也很大，那么分析這些 數(shù)據(jù)就需要耗費(fèi)很多工作。現(xiàn)在商業(yè)產(chǎn)品中一般不采用專家系統(tǒng)，而采用特征分析。 像專家系統(tǒng)一樣，特征分析也需要知道攻擊行為的具體知識(shí)。但是，攻擊方法的語(yǔ)義 1 4 華中科技大學(xué)碩士學(xué)位論文 描述不是被轉(zhuǎn)化為檢測(cè)規(guī)則，而是在審計(jì)紀(jì)錄中能直接找到的信息形式。這樣就不像 專家系統(tǒng)一樣需要處理大量數(shù)據(jù)，從而大大提高了檢測(cè)效率。這種方法的缺陷也和所 有基于知識(shí)的檢測(cè)方法一樣，即需要經(jīng)常為新發(fā)現(xiàn)的系統(tǒng)漏洞更新知識(shí)庫(kù)。另外，由 于對(duì)不同操作系統(tǒng)平臺(tái)的具體攻擊方法可能不同，以及不同平臺(tái)的審計(jì)方式也可能不 同，所以特征分析檢測(cè)系統(tǒng)進(jìn)行構(gòu)造和維護(hù)的工作量都較大。 ( 2 ) 模型推理 模型推理是指結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)。其中有關(guān)攻擊者行為的知 識(shí)被描述為：攻擊者目的，攻擊者達(dá)到此目的的可能行為步驟，以及對(duì)系統(tǒng)的特殊使 用等。根據(jù)這些知識(shí)建立攻擊腳本庫(kù)，每一腳本都由一系列攻擊行為組成。檢測(cè)時(shí)先 將這些攻擊腳本的子集看作系統(tǒng)正面臨的攻擊。然后通過一個(gè)稱為預(yù)測(cè)器的程序模塊 根據(jù)當(dāng)前行為模式，產(chǎn)生下一個(gè)需要驗(yàn)證的攻擊腳本子集，并將它傳給決策器。決策 器收到信息后，根據(jù)這些假設(shè)的攻擊行為在審計(jì)記錄中的可能出現(xiàn)方式，將它們翻譯 成與特定系統(tǒng)匹配的審計(jì)記錄格式。然后在審計(jì)記錄中尋找相應(yīng)信息來(lái)確認(rèn)或否認(rèn)這 些攻擊。初始攻擊腳本子集的假設(shè)應(yīng)滿足：易于在審計(jì)記錄中識(shí)別，并且出現(xiàn)頻率很 高。隨著一些腳本被確認(rèn)的次數(shù)增多，另一些腳本被確認(rèn)的次數(shù)減少，攻擊腳本不斷 地得到更新。 模型推理方法的優(yōu)越性有：對(duì)不確定性的推理有合理的數(shù)學(xué)理論基礎(chǔ)，同時(shí)，決 策器使攻擊腳本可以與審計(jì)記錄的上下文無(wú)關(guān)。另外，這種檢測(cè)方法也減少了需要處 理的數(shù)據(jù)量，因?yàn)樗紫劝茨_本類型檢測(cè)相應(yīng)類型是否出現(xiàn)，然后再檢測(cè)具體的事件。 但是創(chuàng)建入侵檢測(cè)模型的工作量比別的方法要大，并且在系統(tǒng)實(shí)現(xiàn)時(shí)決策器如何有效 地翻譯攻擊腳本也是個(gè)問題。 ( 3 ) 狀態(tài)轉(zhuǎn)換分析 這種方法的本質(zhì)是將狀態(tài)轉(zhuǎn)換圖應(yīng)用于對(duì)入侵行為的分析中。在狀態(tài)轉(zhuǎn)換分析 中，將入侵作為一系列的有序行為看待，該行為序列可以將使被檢測(cè)的系統(tǒng)從初始的 狀態(tài)轉(zhuǎn)入到入侵狀態(tài)。首先，需要為已知的入侵方法確定系統(tǒng)的初始狀態(tài)、入侵狀態(tài) 和狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件。然后，用狀態(tài)轉(zhuǎn)換圖表示狀態(tài)和特征事件。 我們可以利用p e t r i 網(wǎng)描述入侵行為。p e t r i 網(wǎng)能夠形象、直觀表示入侵過程，有 時(shí)，復(fù)雜的入侵過程可以通過p e t r i 網(wǎng)簡(jiǎn)單的表達(dá)。下面是這種方法的一個(gè)典型的例 子：我們規(guī)定，在一分鐘內(nèi)如果登錄失敗的次數(shù)超過5 次，那么入侵檢測(cè)系統(tǒng)就發(fā)出 警報(bào)。圖2 2 是該規(guī)定的p e t r i 網(wǎng)表示。 華中科技大學(xué)碩士學(xué)位論文 登錄失敗登錄失敗登錄失敗登錄失敗登錄失敗 s ls 2s 3 s 4s 5 s 6 t 1 t 2 圖2 2 用p e t r i 網(wǎng)分析一分鐘內(nèi)5 次登錄失敗 其中豎線代表狀態(tài)轉(zhuǎn)換，如果在狀態(tài)s 1 發(fā)生登錄失敗，則產(chǎn)生一個(gè)標(biāo)志變量， 并存儲(chǔ)事件發(fā)生時(shí)間t l ，同時(shí)轉(zhuǎn)入狀態(tài)s 2 。如果在狀態(tài)s 5 時(shí)又有登錄失敗，而且 這時(shí)的時(shí)間t 2 一t i 6 0 秒，則系統(tǒng)轉(zhuǎn)入狀態(tài)s 6 ，即為入侵狀態(tài)，系統(tǒng)發(fā)出警報(bào)并作 相應(yīng)措施。 2 3 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 適當(dāng)?shù)倪\(yùn)用標(biāo)準(zhǔn)的管理協(xié)議可以使得我們的系統(tǒng)具有一定的通用性，只要按照協(xié) 議的規(guī)定實(shí)現(xiàn)系統(tǒng)，就可能實(shí)現(xiàn)不同系統(tǒng)的協(xié)同工作。 數(shù)據(jù)網(wǎng)絡(luò)中主要包括不同廠家的網(wǎng)橋、路由器、廣域網(wǎng)鏈路和終端設(shè)備，用戶們 需要一些易于安裝和操作的自動(dòng)工具幫助他們對(duì)設(shè)備進(jìn)行配置，并且這些工具不會(huì)給 網(wǎng)絡(luò)帶來(lái)巨大負(fù)擔(dān)。這種強(qiáng)烈的需求導(dǎo)致了網(wǎng)絡(luò)管理協(xié)議的出現(xiàn)。 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議( s i m p l en e t w o r km a n a g e m e n tp r o t o c o l ，s n m p ) 最早于1 9 8 8 年成為標(biāo)準(zhǔn)。s n m p 提供對(duì)基于t c p i p 網(wǎng)絡(luò)的管理功能，很快它成為事實(shí)上的管理標(biāo)準(zhǔn)， 影響范圍包括了互聯(lián)網(wǎng)技術(shù)在內(nèi)的廣泛應(yīng)用，很多供應(yīng)商的網(wǎng)絡(luò)設(shè)備提供對(duì)s n m p 的支 持。s n m p 最吸引人的地方是它非常簡(jiǎn)單，因?yàn)樗惶峁┮唤M關(guān)鍵功能，非常容易實(shí)現(xiàn)、 安裝和使用。同時(shí)，合理地運(yùn)用不會(huì)對(duì)網(wǎng)絡(luò)造成很大負(fù)擔(dān)。更重要的是，簡(jiǎn)單使得內(nèi) 部合作成為很容易的工作：不同廠家的s n m p 模塊可以共同工作。 2 3 1s n m p 的工作原理和優(yōu)缺點(diǎn) 烈中的三個(gè)基本組成部分是：管理站( m a n a g e r s ) 、代理( a g e n t s ) 和管理信息 庫(kù)( m a n a g e m e n ti n f o r m a t i o nb a s e ，m i b ) 。管理站是系統(tǒng)中不可缺少的，至