（計(jì)算機(jī)軟件與理論專業(yè)論文）入侵檢測(cè)系統(tǒng)分析引擎的研究與實(shí)現(xiàn).pdf

東南大學(xué)學(xué)位論文 蜂5 礎(chǔ)如療 獨(dú)創(chuàng)性聲明及使用授權(quán)說明 一、學(xué)位論文獨(dú)創(chuàng)性聲明 本人聲明所呈交的學(xué)位論文是我個(gè)人在導(dǎo)師指導(dǎo)下進(jìn)行的研究工作及取得的研究成果n 盡我所知，除了文中特別加以標(biāo)注和致謝的地方外，嗆文中不包含其他人已經(jīng)發(fā)表或撰寫過 的研究成果，也不包含為獲得東南大學(xué)或其它教育機(jī)構(gòu)的學(xué)位或證書而使用過的材料。與我 一同工作的刊志對(duì)本研究所做的任何貢獻(xiàn)均已在論文中作了明確的說明并表示了謝意。 二、關(guān)于學(xué)位論文使用授權(quán)說明 東南大學(xué)、中國科學(xué)技術(shù)信息研究所、國家圖書館有權(quán)保留本人所送交學(xué)位論文的復(fù)印 件和電子文檔，可以采用影印、縮印或其他復(fù)制手段保存論文。本人電子文檔的內(nèi)容和紙質(zhì) 論文的內(nèi)容相一致。除在保密期內(nèi)的保密論文外，允許論文被查閱和借閱，可以公布( 包括 刊登) 論文的全部或部分內(nèi)容。論文的公布( 包括刊登) 授權(quán)東南大學(xué)研究生院辦理。 簽名：牡導(dǎo)師簽名：二三阻日期： 0 們弓t l ) 摘要 隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛使用，網(wǎng)絡(luò)之間信息的傳輸量不可避免的急劇增長， 針對(duì)網(wǎng)絡(luò)進(jìn)行的入侵和攻擊行為也層出不窮，提高網(wǎng)絡(luò)的安全性和可靠性成為人 們目前關(guān)心和研究的主要問題。 入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊 和誤操作的實(shí)時(shí)保護(hù)，對(duì)入侵攻擊的檢測(cè)與防范已經(jīng)成為刻不容緩的重要課題， 入侵檢測(cè)產(chǎn)品仍具有較大的發(fā)展空間。 分析引擎作為入侵檢測(cè)系統(tǒng)的核心，它的實(shí)現(xiàn)方式在很大程度上決定了系統(tǒng) 運(yùn)行的速度、性能和有效性。從技術(shù)途徑來講，目前已經(jīng)研究和做出實(shí)現(xiàn)的分析 技術(shù)已經(jīng)有幾十種，但實(shí)際應(yīng)用的產(chǎn)品中仍僅僅限于模式匹配和統(tǒng)計(jì)描述兩種基 本方法。因此，除了完善常規(guī)的、傳統(tǒng)的技術(shù)( 模式識(shí)別和完整性檢測(cè)) 外，應(yīng) 重點(diǎn)加強(qiáng)分析引擎的相關(guān)技術(shù)研究，在方法的選擇和優(yōu)化上使入侵檢測(cè)系統(tǒng)的效 率有更大的提高。 本文從網(wǎng)絡(luò)安全現(xiàn)狀出發(fā)，簡(jiǎn)單介紹了各種相關(guān)的網(wǎng)絡(luò)安全技術(shù)和國內(nèi)外相 關(guān)領(lǐng)域的研究動(dòng)態(tài)，對(duì)現(xiàn)有的入侵檢測(cè)分析技術(shù)進(jìn)行了跟蹤研究和深入理解。在 此基礎(chǔ)上，針對(duì)原有的s o i d s 原型系統(tǒng)中存在的問題，提出了一種改進(jìn)的分析 引擎實(shí)現(xiàn)機(jī)制，將基于s t a t ( s t a t et r a n s i t i o na n a l y s i st e c h n o l o g y ，狀態(tài)轉(zhuǎn)換技 術(shù)) 的輔助模塊加入其中，與原有的模式匹配模塊相結(jié)合提供更好的檢測(cè)效果和 靈活性。論文中對(duì)狀態(tài)轉(zhuǎn)換技術(shù)在理論上做了詳細(xì)的論述和分析，介紹了它的基 本原理、構(gòu)造及實(shí)現(xiàn)方法，借鑒了國外當(dāng)前主要基于s t a t 的入侵檢測(cè)系統(tǒng)的實(shí) 現(xiàn)機(jī)制，并給出了項(xiàng)目中具體的設(shè)計(jì)與實(shí)現(xiàn)方案，同時(shí)對(duì)未來的工作做了展望。 關(guān)鍵詞：網(wǎng)絡(luò)安全入侵檢測(cè)誤用檢測(cè)狀態(tài)轉(zhuǎn)換分析技術(shù)( s t a t ) 變塑苧塑墮墮：! ! 鯊蘭 壘壁墊型墨絲竺塑型竺塑嬰塑：! 壅些 a b s t r a c t w i t ht h ee x t e n s i v eu s eo fc o m p u t e rn e t w o r k ，t h ei n f o r m a t i o nt r a n s m i s s i o n q u a n t i t y i s i n e v i t a b l yi n c r e a s i n gr a p i d l y ，a n dt h e r e a l s oc o m eo u tm o r ea n dm o r e n e t w o r k a i m e di n t r u s i o na n da t t a c ka c t i v i t i e s i m p r o v i n gt h es e c u r i t ya n dr e l i a b i l i t yo f n e t w o r kh a sb e c o m et h em a i ni s s u et h a tp e o p l ec a r ea n ds t u d y a sa na c t i v es e c u r i t yd e f e n s et e c h n o l o g y , i n t r u s i o nd e t e c t i o no f f e r st h er e a l t i m e p r o t e c t i o nf r o m i n n e r & o u t e ra t t a c k sa n dm i s u s e o p e r a t i o n t h ed e t e c t i o na n d d e f e n s e o fi n t m s i o na n da t t a c kh a v eb e c o m eav i t a lr e s e a r c hf o c u s t h ei n t r u s i o nd e t e c t i o n p r o d u c t ss t i l lh a v ew i d es p a c eo fd e v e l o p m e n t a n a l y s i se n g i n e i st h ec o r eo fi n t r u s i o nd e t e c t i o n s y s t e m ( m s ) ，a n di t s r e a l i z a t i o nm e c h a n i s m m o s t l yd e c i d e st h es p e e d ，p e r f o r m a n c ea n d e f f e c t i v e n e s so ft h e i d s s f r o mt h ep o i n to ft e c h n o l o g y , t h e r ea r et e n so fm a i na n a l y s i st e c h n i q u e sb e i n g r e s e a r c h e dc u r r e n t l y ，b u tm o s tp r a c t i c a l p r o d u c t so n l ya d o p tt h e2b a s i cm e t h o d s ： p a t t e r nm a t c ha n ds t a t i s t i c sd e s c r i p t i o n t h e r e f o r e ，b e s i d e sp e r f e c t i n gt h er o u t i n ea n d t r a d i t i o n a lt e c h n i q u e s ，s u c ha sp a t t e m r e c o g n i t i o na n d i n t e g r a l i t yc h e c k i n g ，w es h o u l d e m p h a s i z et h e c o r r e l a t e d t e c h n i q u er e s e a r c h o fa n a l y s i se n g i n e ，a n di m p r o v et h e e f f i c i e n c yo f i d s b y t h ec h o i c ea n d o p t i m i z a t i o no f m e t h o d s b e g i n n i n gw i t ht h ea c t u a ls i t u a t i o no fn e t w o r ks e c u r i t y ，t h i sp a p e rb r i e f l yi n t r o d u c e s s o r t so fr e l a t e dn e t w o r ks e c u r i t yt e c h n o l o g i e sa n dt h er e s e a r c ht r e n d so fr e l a t e df i e l d s a th o m ea n da b r o a d ；t h e ns t u d i e s d e e p l yt h e c u r r e n ti n t r u s i o nd e t e c t i o n a n a l y s i s t e c h n i q u e s b a s e do nt h e s e r e s e a r c h e sa n da i m e da tt h ep r o b l e m si nt h eo r i g i n a l s o i d s p r o t o t y p es y s t e m ，i tp u t sf o r w a r da ni m p r o v e da n a l y s i sr e a l i z a t i o nm e c h a n i s m ， w h i c ha d d sa na s s i s t a n tm o d u l eb a s e do ns t a t ( s t a t et r a n s i t i o n a n a l y s i st e c h n o l o g y ) i nt h e a n a l y s i se n g i n e t o p r o v i d e ab e t t e rd e t e c t i o ne f f e c ta n d f l e x i b i l i t yb y c o o p e r a t i n g w i t ht h eo l d p a t t e r n m a t c h i n g m o d u l e i t t h e o r e t i c a l l y d i s c u s s e sa n d a n a l y z e si nd e t a i lt h es t a t et r a n s i t i o na n a l y s i st e c h n o l o g y ，a n dp r e s e n t st h eb a s i c t h e o r y ，s t r u c t u r e a n dr e a l i z a t i o no f s t a t a l s o ，r e f e r r i n g t ot h e i m p l e m e n t i n g m e c h a n i s mo ft h ed o m i n a t i n gi d sb a s e do ns t a t , t h ep a p e rp r e s e n t st h ep r a c t i c a l i m p l e m e n t a t i o np r o j e c t a tl a s t ，i td e s c r i b e ss o m ep r o s p e c t so ff u t u r ew o r k k e yw o r d s ：n e t w o r ks e c u r i t y ，i n t r u s i o nd e t e c t i o n ，m i s u s ed e t e c t i o n ，s t a t 3 艘轉(zhuǎn)測(cè)系繞骨審列【擎晌 i j 究，安瑚 1 1 研究背景 第一章引言 i n t e r n e t 是在開放、自由的基礎(chǔ)之上應(yīng)運(yùn)而生的，但也正因如此，網(wǎng)絡(luò)運(yùn)營 中的安全問題相對(duì)就被忽略了，因此現(xiàn)有網(wǎng)絡(luò)可以說是漏洞百出，形形色色的網(wǎng) 絡(luò)罪犯利用可能存在的種種弊病進(jìn)行攻擊，如竊取機(jī)密信息，刪改網(wǎng)絡(luò)系統(tǒng)文件， 肆意破化數(shù)據(jù)，甚至導(dǎo)致系統(tǒng)崩潰。在美國，包括雅虎、e b a y 公司、亞馬遜、 微軟、e t r a d e 、z d n e t 、c n n 在內(nèi)的各大頂級(jí)網(wǎng)站均曾接連遭到來歷不名的電子 攻擊，經(jīng)濟(jì)損失達(dá)數(shù)十億美元【l 】。此外，大量免費(fèi)下載的黑客軟件在網(wǎng)間傳遞， 借助這些傻瓜式的黑客軟件，幾乎任何電腦愛好者都可以成為黑客，使得黑客隊(duì) 伍不斷壯大。網(wǎng)絡(luò)安全已成為國家與國防安全的重要組成部分，同時(shí)也是國家網(wǎng) 絡(luò)經(jīng)濟(jì)發(fā)展的關(guān)鍵。 在這種情況下，如何提高網(wǎng)絡(luò)的安全性和可靠性成為人們目前關(guān)心和研究的 主要問題。對(duì)入侵攻擊的檢測(cè)與防范、保障計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)及整個(gè)信息基 礎(chǔ)設(shè)施的安全己經(jīng)成為刻不容緩的重要課題。 網(wǎng)絡(luò)體系結(jié)構(gòu)的開放性特征和計(jì)算機(jī)軟件本身固有的特性使得網(wǎng)絡(luò)入侵仍 然非常普遍，并且在目前的條件下入侵問題很難通過提出新的安全策略來徹底解 決，因此，研究和檢測(cè)網(wǎng)絡(luò)入侵行為就變得非常重要和有意義，入侵檢測(cè)已經(jīng)成 為網(wǎng)絡(luò)安全中一個(gè)重要的研究方向而越來越受到重視，它作為一種積極主動(dòng)地安 全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受 到危害之前攔截和響應(yīng)入侵。在國內(nèi)，隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來越多， 迫切需要具有自主版權(quán)的入侵檢測(cè)產(chǎn)品。但現(xiàn)狀是入侵檢測(cè)僅僅停留在研究和實(shí) 驗(yàn)樣品( 缺乏升級(jí)和服務(wù)) 階段，或者是防火墻中集成較為初級(jí)的入侵檢測(cè)模塊。 可見，入侵檢測(cè)產(chǎn)品仍具有較大的發(fā)展空間。 一般來講，提到入侵檢鋇4 時(shí)，都會(huì)側(cè)重于評(píng)估和衡量它監(jiān)測(cè)和發(fā)現(xiàn)非法網(wǎng)絡(luò) 行為的能力，也就是通過采用或設(shè)計(jì)一種什么樣的分析引擎實(shí)現(xiàn)機(jī)制能夠更充分 的發(fā)揮“入侵檢測(cè)”這一安全保護(hù)的功能。而從技術(shù)途徑來講，要想使入侵檢測(cè) 系統(tǒng)發(fā)揮其強(qiáng)大的監(jiān)測(cè)與報(bào)警功能，關(guān)鍵是要采用一種有效的分析檢測(cè)方法，因 此可以說，分析引擎的實(shí)現(xiàn)技術(shù)是入侵檢測(cè)技術(shù)中的核心，它從根本上最終決定 了整個(gè)系統(tǒng)工作的能力，其模塊的實(shí)現(xiàn)機(jī)制也在很大程度上影響了整個(gè)系統(tǒng)運(yùn)作 的效率。而且，隨著入侵攻擊模式的層出不窮和變化多端，對(duì)于入侵檢測(cè)分析技 術(shù)研究的要求就越來越迫切，不僅僅要求提高和完善現(xiàn)有技術(shù)的功能，還要不斷 的探索新的檢測(cè)方法，使得系統(tǒng)能夠更高效地發(fā)揮其發(fā)現(xiàn)及響應(yīng)入侵行為的作 6 用。因此，除了要繼續(xù)完善常規(guī)的、傳統(tǒng)的技術(shù)( 模式識(shí)別和完整性檢測(cè)) 外， 應(yīng)重點(diǎn)加強(qiáng)分析引擎的相關(guān)技術(shù)研究，在方法的選擇和優(yōu)化上使入侵檢測(cè)系統(tǒng)的 效率和性能有更大的提高。 1 2 入侵檢測(cè)分析技術(shù)研究現(xiàn)狀及面臨的主要問題 1 2 1 入侵檢測(cè)分析技術(shù)研究現(xiàn)狀 正是由于在廣泛應(yīng)用的國際互聯(lián)網(wǎng)上，黑客入侵事件不斷發(fā)生，不良信息大 量傳播，網(wǎng)絡(luò)安全監(jiān)控管理理論和機(jī)制的研究受到重視，黑客入侵手段的研究分 析，系統(tǒng)脆弱性檢測(cè)技術(shù)，報(bào)警技術(shù)，信息內(nèi)容分級(jí)標(biāo)識(shí)機(jī)制，智能化信息內(nèi)容 分析等研究成果已經(jīng)成為眾多安全工具軟件的基礎(chǔ)。 計(jì)算機(jī)網(wǎng)絡(luò)的安全性主要包括網(wǎng)絡(luò)服務(wù)的可用性( a v a i l a b i l i t y ) 、網(wǎng)絡(luò)信息 的保密性( c o n f i d e n t i a l i t y ) 和網(wǎng)絡(luò)信息的完整性( i n t e 鰣t y ) 。網(wǎng)絡(luò)安全中系統(tǒng)安 全產(chǎn)品使用最廣泛的技術(shù)之一是防火墻，目前在全球連入i n t e r n e t 的計(jì)算機(jī)中約 有三分之一是處于防火墻保護(hù)之下。但防火墻只能阻截來自外部網(wǎng)絡(luò)的侵?jǐn)_，而 對(duì)于內(nèi)部網(wǎng)絡(luò)的安全還需要通過對(duì)內(nèi)部網(wǎng)絡(luò)的有效控制和管理來實(shí)現(xiàn) 2 】。 入侵檢測(cè)系統(tǒng)是指監(jiān)視( 或者在可能的情況下阻止) 入侵或者試圖控制你的 系統(tǒng)或者網(wǎng)絡(luò)資源等不良行為的系統(tǒng)，是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，其目的 是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段。選擇入侵檢測(cè)系統(tǒng)，應(yīng)特別注意 其主要性能的情況，包括：協(xié)議分析及檢測(cè)能力、解碼效率( 速度) 、自身安全的 完備性、精確度及完整性防欺騙能力、模式更新速度等等，而這些性能中的絕 大部分都是與其分析引擎實(shí)現(xiàn)技術(shù)息息相關(guān)的。 從9 0 年代開始，開始有了一些針對(duì)具體入侵行為或具體的入侵過程進(jìn)行的 入侵檢測(cè)的研究和系統(tǒng)，9 4 年以后逐漸出現(xiàn)一些入侵檢測(cè)的產(chǎn)品，根據(jù)它們所 采用的實(shí)際分析技術(shù)的特點(diǎn)，下面列出了三個(gè)比較有代表性的產(chǎn)品及其引擎實(shí)現(xiàn) 機(jī)制： c i s c o 公司的n e t r a n g e r ，系統(tǒng)結(jié)構(gòu)分為兩部分：監(jiān)測(cè)網(wǎng)絡(luò)包和發(fā)告警的傳感 器，以及接收并分析告警和啟動(dòng)對(duì)策的控制器。在檢測(cè)問題時(shí)不僅觀察單個(gè)包的 內(nèi)容，而且還看上下文，即從多個(gè)包中得到線索。這是很重要的一點(diǎn)，因?yàn)槿肭?者可能以字符模式存取一個(gè)端口，然后在每個(gè)包中只放一個(gè)字符。如果一個(gè)監(jiān)測(cè) 器只觀察單個(gè)包，它就永遠(yuǎn)不會(huì)發(fā)現(xiàn)完整的信息。n e t r a n g e r 是目前市場(chǎng)上基于 網(wǎng)絡(luò)的入侵檢測(cè)軟件中經(jīng)受實(shí)踐考驗(yàn)最多的產(chǎn)品之一。 n a i ( n e t w o r ka s s o c i a t e s ，i n c ) 公司的c y b e r c o p ，n e t w o r ka s s o c i a t e s 從c i s c o 那里取得授權(quán)，將n e t r a n g e r 的引擎和攻擊模式數(shù)據(jù)庫用在c y b e r c o p 中。發(fā)揮 n e t w o r kg e n e r a l 在提煉包數(shù)據(jù)上的經(jīng)驗(yàn)，使用戶易于查看和理解。像在s n i f f e r 中一樣，它在幫助文檔里結(jié)合了專家知識(shí)。c y b e r c o p 還能生成可以被s n i f f e r 識(shí) 別的蹤跡文件。 is s ( i n t e m e t s e c u r i t ys y s t e m ，國際互聯(lián)網(wǎng)安全系統(tǒng)) 公司的r e a l s e c u r e 【j 1 4 j ， 與n e t r a n g e r 和c y b e r c o p 類似，r e a l s e c u r e 在結(jié)構(gòu)上也是兩部分。引擎部分負(fù) 責(zé)監(jiān)測(cè)信息包并生成告警，控制臺(tái)接收?qǐng)?bào)警并作為配置及產(chǎn)生數(shù)據(jù)庫報(bào)告的中心 點(diǎn)。它是計(jì)算機(jī)網(wǎng)絡(luò)上自動(dòng)實(shí)時(shí)的入侵檢測(cè)和響應(yīng)系統(tǒng)。它無妨礙地監(jiān)控網(wǎng)絡(luò)傳 輸并自動(dòng)檢測(cè)和響應(yīng)可疑的行為，在系統(tǒng)受到危害之前截取和響應(yīng)安全漏洞和內(nèi) 部誤用，從而最大程度地為企業(yè)網(wǎng)絡(luò)提供安全。 在實(shí)現(xiàn)分析這個(gè)入侵檢測(cè)系統(tǒng)的核心功能方面有不同的方法，這個(gè)過程中， 涉及到隔離己知典型行為的特征模式( 誤用檢測(cè)) 和使用數(shù)學(xué)方法描述異常的用 戶行為( 異常檢測(cè)) 。這方面的研究已經(jīng)使用到的技術(shù)有早期就開始采用的專家 系統(tǒng)、統(tǒng)計(jì)度量方法、有色p e t r i n e t 、神經(jīng)網(wǎng)絡(luò)，以及免疫系統(tǒng)、遺傳算法、數(shù) 據(jù)挖掘等近年來熱點(diǎn)較多的方法。 盡管已經(jīng)探索和實(shí)現(xiàn)了許多新技術(shù)在誤用和異常檢測(cè)中的應(yīng)用，但大多數(shù)比 較通用的商業(yè)產(chǎn)品還是僅僅限于執(zhí)行模式匹配、用戶及系統(tǒng)活動(dòng)和使用模式的基 本統(tǒng)計(jì)描述。據(jù)公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心的報(bào)告，國內(nèi) 送檢的入侵檢測(cè)產(chǎn)品中9 5 是屬于使用入侵模板進(jìn)行模式匹配的特征檢測(cè)產(chǎn)品， 其他5 是采用概率統(tǒng)計(jì)的統(tǒng)計(jì)檢測(cè)產(chǎn)品與基于日志的專家知識(shí)庫系產(chǎn)品。 v ，特征檢測(cè)：特征檢測(cè)對(duì)己知的攻擊或入侵的方式作出確定性的描述，形成相 應(yīng)的事件模式。當(dāng)被審計(jì)的事件與已知的入侵事件模式相匹配時(shí)，即報(bào)警。 原理上與專家系統(tǒng)相仿。其檢測(cè)方法上與計(jì)算機(jī)病毒的檢測(cè)方式類似。目前 基于對(duì)包特征描述的模式匹配應(yīng)用較為廣泛。該方法預(yù)報(bào)檢測(cè)的準(zhǔn)確率較高， 但對(duì)于無經(jīng)驗(yàn)知識(shí)的入侵與攻擊行為無能為力。 統(tǒng)計(jì)檢測(cè)：統(tǒng)計(jì)模型常用異常檢測(cè)，在統(tǒng)計(jì)模型中常用的測(cè)量參數(shù)包括：審 計(jì)事件的數(shù)量、間隔時(shí)間、資源消耗情況等。常用的入侵檢測(cè)5 種統(tǒng)計(jì)模型 為： 1 ) 操作模型：該模型假設(shè)異?？赏ㄟ^測(cè)量結(jié)果與一些固定指標(biāo)相比較得 到，固定指標(biāo)可以根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)平均得到，例如， 在短時(shí)間內(nèi)的多次失敗的登錄很有可能是口令嘗試攻擊： 2 ) 方差：計(jì)算參數(shù)的方差，設(shè)定其置信區(qū)間，當(dāng)測(cè)量值超過置信區(qū)間的 范圍時(shí)表明有可能是異常； 3 ) 多元模型：操作模型的擴(kuò)展，通過同時(shí)分析多個(gè)參數(shù)實(shí)現(xiàn)檢測(cè)； 4 ) 馬爾柯夫過程模型：將每種類型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移 矩陣來表示狀態(tài)的變化，當(dāng)一個(gè)事件發(fā)生時(shí)，或狀態(tài)矩陣該轉(zhuǎn)移的概 率較小則可能是異常事件； 5 ) 時(shí)間序列分析，將事件計(jì)數(shù)與資源耗用根據(jù)時(shí)間排成序列，如果一個(gè) 新事件在該時(shí)問發(fā)生的概率較低，則該事件可能是入侵。 莖堡鑒塑! 簍墮蘭 型壁型塑竺叢壁型絲竺翌 統(tǒng)計(jì)方法的最大優(yōu)點(diǎn)是它可以“學(xué)習(xí)”用戶的使用習(xí)慣，從而具有較高檢出 率與可用性。但是它的學(xué)習(xí)能力也給入侵者以機(jī)會(huì)通過逐步“訓(xùn)練”使 入侵事件符合正常操作的統(tǒng)計(jì)規(guī)律，從而透過入侵檢測(cè)系統(tǒng)。 專家系統(tǒng)：用專家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，經(jīng)常是針對(duì)有特征入侵行為。所謂 的規(guī)則，即是知識(shí)，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無 通用性。專家系統(tǒng)的建立依賴于知識(shí)庫的完備性，知識(shí)庫的完備性又取決于 審計(jì)記錄的完備性與實(shí)時(shí)性。入侵的特征抽取與表達(dá)，是入侵檢測(cè)專家系統(tǒng) 的關(guān)鍵。在系統(tǒng)實(shí)現(xiàn)中，將有關(guān)入侵的知識(shí)轉(zhuǎn)化為i f t h e n 結(jié)構(gòu)( 也可以是 復(fù)合結(jié)構(gòu)) ，條件部分為入侵特征，t h e n 部分是系統(tǒng)防范措施。運(yùn)用專家系 統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識(shí)庫的完備性。 如果入侵檢測(cè)產(chǎn)品要有效的發(fā)揮其保護(hù)現(xiàn)實(shí)系統(tǒng)的功能，研究并綜合應(yīng)用高 級(jí)分析技術(shù)并把它們轉(zhuǎn)換成商業(yè)產(chǎn)品就是必然的要求【7 i 。 此外，目前的入侵檢測(cè)系統(tǒng)大部分是基于各自的需求和設(shè)計(jì)獨(dú)立開發(fā)的，不 同系統(tǒng)之間缺乏互操作性和互用性，這對(duì)入侵檢測(cè)系統(tǒng)的發(fā)展造成了障礙，因此 d a r p a ( t h ed e f e n s ea d v a n c e dr e s e a r c hp r o j e c t sa g e n c y , 美國國防部高級(jí)研究計(jì) 劃局) 在1 9 9 7 年3 月開始著手c i d f ( c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k ，公 共入侵檢測(cè)框架) 標(biāo)準(zhǔn)的制定。現(xiàn)在加州大學(xué)d a v i s 分校的安全實(shí)驗(yàn)室已經(jīng)完成 c i d f 標(biāo)準(zhǔn)p j ，i e t f ( i n t e m e te n g i n e e r i n gt a s kf o r c e ，i n t e m e t 工程任務(wù)組) 成立 了i d w g ( i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ，入侵檢測(cè)工作組) 負(fù)責(zé)建立i d e f t 6 】 ( i n t r u s i o nd e t e c t i o n e x c h a n g ef o r m a t ，入侵檢測(cè)數(shù)據(jù)交換格式) 標(biāo)準(zhǔn)，并提供支 持該標(biāo)準(zhǔn)的工具，以更高效率地開發(fā)i d s 系統(tǒng)( i n t r u s i o nd e t e c t i o ns y s t e m ，入侵 檢測(cè)系統(tǒng)) 。國內(nèi)在這方面的研究剛開始起步，目前也已經(jīng)開始著手入侵檢測(cè)標(biāo) 準(zhǔn)i d f ( i n t r u s i o nd e t e c t i o nf r a m e w o r k ，入侵檢測(cè)框架) 的研究與制定。 1 2 2 入侵檢測(cè)分析技術(shù)存在的主要問題 任何分析技術(shù)都不可能檢測(cè)出所有的入侵攻擊行為，它們的實(shí)現(xiàn)原理決定了 它們只是分別從某個(gè)角度側(cè)重于針對(duì)某一類或某些類的違法行為進(jìn)行監(jiān)測(cè)。根據(jù) 分析引擎在入侵監(jiān)測(cè)系統(tǒng)中所擔(dān)任的角色和實(shí)現(xiàn)的功能，可以看出目前分析技術(shù) 研究中需要著重解決的問題也就是它所面臨的挑戰(zhàn)： 誤報(bào)： 誤報(bào)是指被入侵檢測(cè)系統(tǒng)測(cè)出并做出警報(bào)的所謂“違法”行為，實(shí)際是正常 的和合法的使用受保護(hù)網(wǎng)絡(luò)和計(jì)算機(jī)的行為。假警報(bào)不但令人討厭，并且降低了 入侵檢測(cè)系統(tǒng)的有效性和工作效率。而且，攻擊者還可以而且往往是利用包結(jié)構(gòu) 偽造無威脅“正常”假警報(bào)，以誘使收受人把入侵檢測(cè)系統(tǒng)關(guān)掉。沒有一種入侵 檢測(cè)分析技術(shù)是能夠完全避免誤報(bào)的，應(yīng)用系統(tǒng)總會(huì)發(fā)生錯(cuò)誤，原因汪汪在于： 塑苧王竺三：i _ ：堅(jiān)蘭 簍竺墮墨塑墮豎業(yè)墅塑生墮 ( 1 ) 缺乏共享信息的標(biāo)準(zhǔn)機(jī)制和集中協(xié)調(diào)的機(jī)制，不同的網(wǎng)絡(luò)及主機(jī)有不同的 安全問題，不同的入侵檢測(cè)分析技術(shù)也有各自的功能；( 2 ) 缺乏揣摩數(shù)據(jù)在段 時(shí)間內(nèi)行為的能力；( 3 ) 缺乏有效跟蹤分析等。 精巧及有組織的攻擊： 攻擊可以來自四方八面，可以是一群人組織策劃且分布在多個(gè)節(jié)點(diǎn)協(xié)同攻擊 的方式；或者是攻擊行為被認(rèn)為的分解為多個(gè)步驟，在一段相當(dāng)?shù)臅r(shí)期內(nèi)力求不 為人知的緩慢的進(jìn)行。這種情況下，分析引擎就需要注意保留前期的信息積累， 增強(qiáng)上下文相關(guān)分析，單單靠針對(duì)每個(gè)報(bào)文的一次性模式匹配的方法顯然將無法 有效的檢測(cè)到這些入侵行為。如果再加上攻擊者技術(shù)高超的攻擊，并且花費(fèi)很長 時(shí)間準(zhǔn)備，或發(fā)動(dòng)全球性攻擊，要找出這樣復(fù)雜的攻擊是一件難事。 另外，高速網(wǎng)絡(luò)技術(shù)，尤其是交換技術(shù)以及加密信道技術(shù)的發(fā)展，使得通過 共享網(wǎng)段偵聽的網(wǎng)絡(luò)數(shù)據(jù)采集方法顯得不足，而巨大的通信量對(duì)數(shù)據(jù)分析也提出 了新的要求。 1 3 研究目標(biāo)及內(nèi)容 本文依托于江蘇省應(yīng)用基礎(chǔ)研究項(xiàng)目的“入侵檢測(cè)理論與技術(shù)研究”( 項(xiàng)目 編號(hào)b j 0 0 0 0 0 2 ) ，以實(shí)驗(yàn)室已經(jīng)成型的面向服務(wù)的入侵檢測(cè)原型系統(tǒng)s o d s 為基 礎(chǔ)，根據(jù)現(xiàn)有的各種先進(jìn)檢測(cè)技術(shù)和革新思想，對(duì)這個(gè)系統(tǒng)不完善的模塊進(jìn)行進(jìn) 一步的緬化和功能改善，以提高其靈活性和高效性，使其具備更好的實(shí)用性，將 其改造成一個(gè)適合投入實(shí)際使用的產(chǎn)品化入侵檢測(cè)系統(tǒng)。 原有的s o i d s 原型系統(tǒng)已經(jīng)實(shí)現(xiàn)了基本的監(jiān)測(cè)、分析、響應(yīng)、管理等基本功 能，建立m o b i l ea g e n t s 的工作平臺(tái)( 王巍巍同學(xué)碩士論文) ；參考了i e t f 制定 的c i d f 公共入侵檢測(cè)框架標(biāo)準(zhǔn)和i d e f 入侵檢測(cè)數(shù)據(jù)交換格式，初步實(shí)現(xiàn)了告警 信息的輸出及基本響應(yīng)功能( 趙銘同學(xué)碩士論文) 。我的工作就是通過研究國內(nèi) 外現(xiàn)有的各種分析引擎機(jī)制，根據(jù)其優(yōu)缺點(diǎn)，對(duì)現(xiàn)有基于行為的簡(jiǎn)單字符串匹配 的模式匹配算法進(jìn)行改進(jìn)和補(bǔ)充，使用改進(jìn)的a c - 酬模式匹配算法提高字符串匹 配的效率( 王吳同學(xué)畢業(yè)論文) ；同時(shí)采用效率更高的分析引擎，將基于狀態(tài)轉(zhuǎn) 換分析的入侵檢測(cè)分析技術(shù)引用作為輔助模塊，系統(tǒng)通過對(duì)事件序列進(jìn)行分析來 判斷入侵是否發(fā)生。這種改今后的系統(tǒng)對(duì)于基于協(xié)議攻擊的入侵手段有較強(qiáng)的分 析能力，而且系統(tǒng)軟件部署相當(dāng)容易，也可提供實(shí)時(shí)網(wǎng)絡(luò)監(jiān)視，并且監(jiān)視粒度更 細(xì)致。 論文中對(duì)入侵檢測(cè)系統(tǒng)的分析引擎技術(shù)進(jìn)行了深入研究，并針對(duì)部分常見攻 擊模式實(shí)現(xiàn)了基于狀態(tài)轉(zhuǎn)換分析技術(shù)的識(shí)別功能模塊。本文共分七章，第二章對(duì) 入侵檢測(cè)系統(tǒng)基本原理和原有的原型系統(tǒng)實(shí)現(xiàn)機(jī)制進(jìn)行了概要介紹；第三章對(duì)各 種分析引擎技術(shù)進(jìn)行了分析和深入研究，并針對(duì)原型系統(tǒng)中的分杳廳技術(shù)和在此基 礎(chǔ)上提出的所做的工作進(jìn)行了陳述；第四章具體分析了狀態(tài)轉(zhuǎn)換技術(shù)s t a t 的原 理、構(gòu)造，給出了加入的輔助模塊的設(shè)計(jì)方案；第五章介紹了系統(tǒng)實(shí)現(xiàn)的軟硬件 環(huán)境，實(shí)驗(yàn)所需網(wǎng)絡(luò)環(huán)境的構(gòu)建，以及系統(tǒng)中用到的其他相關(guān)技術(shù)，并給出模塊 最終的具體實(shí)現(xiàn)方法：在第六章中描述了分析引擎在這個(gè)入侵檢測(cè)系統(tǒng)中的應(yīng)用 和實(shí)際的應(yīng)用情況，并對(duì)改進(jìn)后的系統(tǒng)進(jìn)行了總結(jié)，介紹了其實(shí)際運(yùn)行的性能和 效果；最后第七章是對(duì)整個(gè)項(xiàng)目和論文的總結(jié)，并對(duì)未來的工作做了展望。 至：! ：! ：坐：! 里生： 蘭! 望! 型壘竺竺塹鹽望塑型蔓! ：! ! 旦 第二章i d s 入侵檢測(cè)系統(tǒng)概述 2 1 入侵檢測(cè)簡(jiǎn)介 入侵檢測(cè)把傳統(tǒng)的電子數(shù)據(jù)處理( e d p ，e l e c t r o n i cd a t ap r o c e s s i n g ) 、安全 審計(jì)、最優(yōu)模式匹配及統(tǒng)計(jì)技術(shù)融合在一起，已成為現(xiàn)代網(wǎng)絡(luò)安全技術(shù)的重要組 成部分。在入侵檢測(cè)之前就已經(jīng)出現(xiàn)了審計(jì)技術(shù)，它主要用于：確定和保持系統(tǒng) 活動(dòng)中每個(gè)人的責(zé)任；重建事件；評(píng)估損失；監(jiān)測(cè)系統(tǒng)問題區(qū)；提供有效的災(zāi)難 恢復(fù)；阻止系統(tǒng)的不證當(dāng)使用。所有審計(jì)過程的前提是有一個(gè)支配審計(jì)過程的規(guī) 則集，規(guī)則的確切形式和內(nèi)容隨審計(jì)過程的具體內(nèi)容而變。圖2 1 描述了一個(gè)基 本的審計(jì)過程7 1 。 團(tuán)圓 圃圓。 團(tuán)圓。 圖2 i 基本審計(jì)系統(tǒng) 7 0 年代，隨著計(jì)算機(jī)的處理速度、使用數(shù)量的增長以及體積的減小，對(duì)計(jì) 算機(jī)安全性能的要求顯著增加。1 9 8 3 年7 月到1 9 8 6 年1 1 月美國斯坦福研究院 進(jìn)行了一項(xiàng)編號(hào)為6 1 6 9 的計(jì)劃，即s t a t i s t i c a l t e c h n i q u e s d e v e l o p m e n t f o r a n a u d i t t r a i ls y s t e m ( 審計(jì)跟蹤系統(tǒng)的統(tǒng)計(jì)技術(shù)發(fā)展) ，該計(jì)劃表明可以通過行為特征來 區(qū)分不同用戶。這些統(tǒng)計(jì)過程有可能將審計(jì)跟蹤信息量減少1 0 0 倍，與此同時(shí)表 明檢測(cè)入侵企圖能達(dá)到高度的準(zhǔn)確性。1 9 8 4 年到1 9 8 6 年，d o r o t h yd e n n i n g 和 p e t e rn e u m a n n 研究并發(fā)展了一個(gè)實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型，即i d e s ( 入侵檢測(cè)專 家系統(tǒng)) 1 8 。其中提出的反常活動(dòng)和計(jì)算機(jī)不正當(dāng)使用之間的相關(guān)性成為許多8 0 年代入侵檢測(cè)研究和系統(tǒng)原型的基礎(chǔ)，比較典型的系統(tǒng)包括：為檢測(cè)和阻止t r w 公司的在線信用數(shù)據(jù)庫中的安全問題而設(shè)計(jì)的專家系統(tǒng)d i s c o v e r y ；由t r a c o r a p p l i e ds c i e n c e s 公司和h a y s t a c k 為美國空軍密碼支持中心開發(fā)的h a y s a t c k 系統(tǒng) 9 1 ；由美國國家計(jì)算機(jī)安全中一0 ( n c s c ) 為監(jiān)視d o c k m a s t e r 系統(tǒng)而開發(fā)的m u l t i c s 入侵檢測(cè)和報(bào)警系統(tǒng)( m i d a s ) 1 0 1 ；由l o sa l a m o s 國家實(shí)驗(yàn)室計(jì)算部門開發(fā)的 網(wǎng)絡(luò)審計(jì)執(zhí)行官和入侵報(bào)告者n a d i r 1 l 】；由加利福尼亞大學(xué)d a v i s 分校開發(fā)的 網(wǎng)絡(luò)系統(tǒng)監(jiān)視器n s m l l2 1 ；以及由l o sa l a m o s 國家實(shí)驗(yàn)室的防衛(wèi)和安全小組以及 o a k r i d g e 國家實(shí)驗(yàn)室合作開發(fā)的w i s d o m a n ds e n s e 【13 1 。到了9 0 年代，分布式入 侵檢測(cè)系統(tǒng)d i d s t ”1 的研究與開發(fā)又將集成基于主機(jī)和網(wǎng)絡(luò)監(jiān)視方法的概念引入 了入侵檢測(cè)的領(lǐng)域，并進(jìn)一步提出了移動(dòng)代理等新的嘗試。 十多年來，人們進(jìn)行了上千種i d s 研究。在這種情況下，入侵檢測(cè)技術(shù)成為 市場(chǎng)上新的熱點(diǎn)。如今已經(jīng)有近百種入侵檢測(cè)系統(tǒng)問世。入侵檢測(cè)是防火墻的合 理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力( 包括安全 審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)) ，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算 機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反 安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全 閘門，在不影晌網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外 部攻擊和誤操作的實(shí)時(shí)保護(hù)。 2 2 入侵檢測(cè)系統(tǒng)概念 通俗的講，入侵檢測(cè)系統(tǒng)就是“計(jì)算機(jī)和網(wǎng)絡(luò)用來防止小偷的警報(bào)系統(tǒng)”， 或者說，“入侵檢測(cè)系統(tǒng)搜索闖入計(jì)算機(jī)系統(tǒng)的入侵者并及時(shí)報(bào)警”【7 l 。也可以 理解為，當(dāng)系統(tǒng)處理的信息被認(rèn)為是有價(jià)值時(shí)，它們自然就成了攻擊的目標(biāo)。而 入侵檢測(cè)系統(tǒng)就是用來檢測(cè)未經(jīng)授權(quán)對(duì)計(jì)算機(jī)資源進(jìn)行非法使用的行為的系統(tǒng)， 是檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過程。 一個(gè)成功的入侵檢測(cè)系統(tǒng)，不僅可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)( 包括程 序、文件和硬件設(shè)備等) 的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供依據(jù)。它 應(yīng)該管理配置簡(jiǎn)單，使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。入侵檢測(cè)的規(guī)模還 應(yīng)根據(jù)網(wǎng)絡(luò)規(guī)模、系統(tǒng)構(gòu)造和安全需求的改變而改變。它可在網(wǎng)絡(luò)系統(tǒng)受到危害 之前攔截并及時(shí)做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。 所謂的網(wǎng)絡(luò)入侵是指對(duì)接入網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)的非法進(jìn)入，即有攻擊者未經(jīng) 合法的手段和程序而取得了使用該系統(tǒng)資源( 包括處理能力) 的權(quán)利。網(wǎng)絡(luò)的入 侵表現(xiàn)為攻擊者取得了進(jìn)入系統(tǒng)或多次進(jìn)入系統(tǒng)的能力；和或取得了訪問系統(tǒng) 中資源的能力；和或取得了在系統(tǒng)中運(yùn)行自己的程序的能力。網(wǎng)絡(luò)入侵的目的 有很多種，或者是取得使用該系統(tǒng)的存儲(chǔ)能力、處理能力以及訪問其存儲(chǔ)的內(nèi)容 的權(quán)利；或者是作為進(jìn)入其他系統(tǒng)的跳板；或者是想破壞這個(gè)系統(tǒng)( 使其毀壞或 喪失服務(wù)能力) 1 5 o 而入侵檢測(cè)就是通過對(duì)運(yùn)行系統(tǒng)的狀態(tài)和活動(dòng)的檢測(cè)，分析 出非授權(quán)的網(wǎng)絡(luò)訪問和惡意的網(wǎng)絡(luò)行為，迅速發(fā)現(xiàn)入侵行為和企圖，并為入侵防 范提供有效的手段。因此，入侵檢測(cè)基于的一個(gè)重要前提就是：入侵行為和合法 訪問行為是可以區(qū)分的，也就是說可以通過提取網(wǎng)絡(luò)行為的數(shù)字特征來分析判斷 該行為的合法性。因此一個(gè)基本的入侵檢測(cè)系統(tǒng)需要解決兩個(gè)問題：一是如何充 分并可靠的提取這種包含關(guān)鍵行為特征的數(shù)據(jù)；二是如何高效并準(zhǔn)確的判定該行 為的合法性。在此基礎(chǔ)之上就可以進(jìn)一步實(shí)現(xiàn)網(wǎng)絡(luò)對(duì)抗、動(dòng)態(tài)策略、入侵學(xué)習(xí)等 功能。 入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā) 現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安 全策略行為的技術(shù)。違反安全策略的行為有：入侵一非法用戶的違規(guī)行為；濫用 一用戶的違規(guī)行為。 利用審計(jì)記錄，入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)，從而達(dá)到限 制這些活動(dòng)，以保護(hù)系統(tǒng)的安全。入侵檢測(cè)系統(tǒng)的應(yīng)用，能使在入侵攻擊對(duì)系統(tǒng) 發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻 擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相 關(guān)信息，作為防范系統(tǒng)的知識(shí)，添加入知識(shí)庫內(nèi)，以增強(qiáng)系統(tǒng)的防范能力。 由以上分析可知，一個(gè)入侵檢測(cè)系統(tǒng)具備的基本功能應(yīng)該包括： 監(jiān)視用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作； 檢測(cè)系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞； 對(duì)用戶的非正?；顒?dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律； 檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性，如計(jì)算和比較文件系統(tǒng)的校驗(yàn)和； 能夠?qū)嵤?duì)檢測(cè)到的入侵行為做出反應(yīng)； 操作系統(tǒng)的審計(jì)跟蹤管理。 在功能上一個(gè)入侵檢測(cè)系統(tǒng)至少應(yīng)該包括：提供事件記錄流的信息源；發(fā)現(xiàn) 入侵跡象的分析引擎；以及基于分析引擎的結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件。圖2 2 給 出了一個(gè)基本的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)，各部件的功能如下所述： 圖2 2 入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu) 事件提取模塊：負(fù)責(zé)提取與被保護(hù)系統(tǒng)相關(guān)的運(yùn)行數(shù)據(jù)或記錄，并負(fù)責(zé) 對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單的過濾和格式化轉(zhuǎn)換，以方便分析模塊的引擎進(jìn)行處理； 4 入侵分析模塊：在提取到的運(yùn)行數(shù)據(jù)中找出入侵的痕跡，將授權(quán)的正常 訪問行為和非授權(quán)的不j f 常訪問行為區(qū)分開來，分析出入侵行為并通知相應(yīng)模 塊，此外，這個(gè)模塊還應(yīng)具有學(xué)習(xí)和適應(yīng)新攻擊模式的智能性； 入侵響應(yīng)模塊：在分析出入侵行為后被觸發(fā)，根據(jù)入侵行為產(chǎn)生響應(yīng)， 如切斷攻擊者與主機(jī)的連接、封鎖用戶帳戶、重新配置和恢復(fù)服務(wù)、生成日志文 件等。響應(yīng)代理可以與防火墻和操作系統(tǒng)交互，申請(qǐng)暫停或封鎖接下來來自這 用戶的所有連接。 遠(yuǎn)程管理模塊：由于單個(gè)入侵檢測(cè)系統(tǒng)的檢測(cè)能力和檢測(cè)范圍的限制， 入侵檢測(cè)系統(tǒng)一般采用分布式監(jiān)視集中式管理的結(jié)構(gòu)，多個(gè)監(jiān)測(cè)單元運(yùn)行于網(wǎng)絡(luò) 中的各個(gè)網(wǎng)段或系統(tǒng)上，通過遠(yuǎn)程管理功能在一臺(tái)管理站點(diǎn)上實(shí)現(xiàn)統(tǒng)一的管理和 監(jiān)控。 2 3 入侵檢測(cè)系統(tǒng)分類 從技術(shù)和檢測(cè)范圍上看，入侵檢測(cè)系統(tǒng)基本上分為基于網(wǎng)絡(luò)的產(chǎn)品和基于主 機(jī)的產(chǎn)品?；旌系娜肭謾z測(cè)系統(tǒng)可以彌補(bǔ)一些基于網(wǎng)絡(luò)和基于主機(jī)的片面性缺 陷。 基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品( n i d s ) 【1 7 ”1 放置在比較重要的網(wǎng)段內(nèi)，不停的 監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對(duì)每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析。如果 數(shù)據(jù)包與系統(tǒng)內(nèi)置的某些規(guī)則吻合，入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào)甚至直接切斷網(wǎng) 絡(luò)連接。目前，大部分入侵檢測(cè)產(chǎn)品是基于網(wǎng)絡(luò)的，比較著名的有s n o r t 、n f r 、 s h a d o w 等。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能夠檢測(cè)那些來自網(wǎng)絡(luò)的攻擊，它能夠檢測(cè)到超過授權(quán)的 非法訪問。由于它不會(huì)在業(yè)務(wù)系統(tǒng)的主機(jī)中安裝額外的軟件，從而不會(huì)影響這些 機(jī)器的c p u 、i o 與磁盤等資源的使用，不會(huì)影響業(yè)務(wù)系統(tǒng)的性能。但網(wǎng)絡(luò)入侵 檢測(cè)系統(tǒng)只檢查它直接連接網(wǎng)段的通信，不能檢測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包。在使用 交換以太網(wǎng)的環(huán)境中就會(huì)出現(xiàn)監(jiān)測(cè)范圍的局限。而且，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)為了性 能目標(biāo)通常采用特征檢測(cè)的方法，它可以檢測(cè)出普通的一些攻擊，而很難實(shí)現(xiàn) 些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè)。另外，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)處理加 密的會(huì)話過程較困難，隨著i p v 6 的普及，這個(gè)問題會(huì)越來越突出。 基于主機(jī)的入侵檢測(cè)產(chǎn)品( i - u d s ) 通常是安裝在被重點(diǎn)檢測(cè)的主機(jī)之上【1 9 馴，主要是對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如 果其中主體活動(dòng)十分可疑( 特征行為或違反統(tǒng)計(jì)規(guī)律) ，入侵檢測(cè)系統(tǒng)就會(huì)采取相 應(yīng)措施。主機(jī)入侵檢測(cè)系統(tǒng)通常情況下比網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)誤報(bào)率要低，因?yàn)闄z 測(cè)在主機(jī)上運(yùn)行的命令序列比檢測(cè)網(wǎng)絡(luò)流更簡(jiǎn)單，系統(tǒng)的復(fù)雜性也少得多，通常 能夠提供更詳盡的相關(guān)信息。但是，在服務(wù)器本身上安裝入侵檢測(cè)系統(tǒng)會(huì)降低應(yīng) 用系統(tǒng)的效率，而且它依賴于服務(wù)器固有的日志與監(jiān)視能力，除了監(jiān)測(cè)自身的主 機(jī)以外，根本不監(jiān)測(cè)網(wǎng)絡(luò)上的情況。對(duì)入侵行為的分析的工作量將隨著主機(jī)數(shù)目 增加而增力。 基于網(wǎng)絡(luò)的入侵檢測(cè)產(chǎn)品和基于主機(jī)的入侵檢測(cè)產(chǎn)品都有不足之處，單純使 用一類產(chǎn)品會(huì)造成主動(dòng)防御體系不全面。但是，它們的缺憾是互補(bǔ)的。如果這兩 類產(chǎn)品能夠無縫結(jié)合起來部署在網(wǎng)絡(luò)內(nèi)，則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體 系，綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種結(jié)構(gòu)特點(diǎn)的入侵檢測(cè)系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中 的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況，這就是混合型入侵檢測(cè)系統(tǒng)。 按照分析引擎的實(shí)現(xiàn)方法，又可將入侵檢測(cè)分為基于行為的和基于知識(shí)的。 基于行為的檢測(cè)是指根據(jù)使用者的正常行為規(guī)律或資源使用狀況來判斷是否發(fā) 生了入侵，也稱為異常檢測(cè)( a n o m a l yd e t e c t i o n ) ；基于知識(shí)的檢測(cè)也稱為誤用 檢測(cè)( m i s u s ed e t e c t i o n ) ，是指運(yùn)用已知的攻擊方法，根據(jù)已定義好的入侵模式， 通過比較實(shí)際用戶行為與這些入侵模式是否匹配來檢測(cè)，若匹配則視為入侵行 為。在后面的一章將會(huì)對(duì)這兩類分析技術(shù)做詳細(xì)的陳述。 2 4 入侵檢測(cè)及分析技術(shù)發(fā)展趨勢(shì) 無論從規(guī)模與方法上入侵技術(shù)近年來都發(fā)生了變化。入侵的手段與技術(shù)也有 了“進(jìn)步與發(fā)展”： 入侵或攻擊的綜合化與復(fù)雜化。 入侵主體對(duì)象的間接化，即實(shí)施入侵與攻擊的主體的隱蔽化。 入侵或攻擊的規(guī)模擴(kuò)大。 入侵或攻擊技術(shù)的分布化。分布式攻擊是近期最常用的攻擊手段。 攻擊對(duì)象的轉(zhuǎn)移。由攻擊網(wǎng)絡(luò)改為攻擊網(wǎng)絡(luò)的防護(hù)系統(tǒng)，且有愈演愈烈的趨 勢(shì)。現(xiàn)已有專門針對(duì)i d s 作攻擊的報(bào)道。 相應(yīng)的，今后的入侵檢測(cè)及分析技術(shù)大致可朝下述三個(gè)方向發(fā)展： 分布式入侵檢測(cè)：第一層含義，即針對(duì)分布式網(wǎng)絡(luò)攻擊的檢測(cè)方法；第二層 含義即使用分布式的方法來檢測(cè)分布式的攻擊，其中的關(guān)鍵技術(shù)為檢測(cè)信息的協(xié) 同處理與入侵攻擊的全局信息的提取。 智能化入侵檢測(cè)：即使用智能化的方法與手段來進(jìn)行入侵檢測(cè)。所謂的智能 化方法，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，這 些方法常用于入侵特征的辨識(shí)與泛化。利用專家系統(tǒng)的思想來構(gòu)建入侵檢測(cè)系統(tǒng) 也是常用的方法之一。特別是具有自學(xué)習(xí)能力的專家系統(tǒng)，實(shí)現(xiàn)了知識(shí)庫的不斷 更新與擴(kuò)展，使設(shè)計(jì)的入侵檢測(cè)系統(tǒng)的防范能力不斷增強(qiáng)，應(yīng)具有更廣泛的應(yīng)用 前景。應(yīng)用智能體的概念來進(jìn)行入侵檢測(cè)的嘗試也已有報(bào)道。較為一致的解決方 案應(yīng)為高效常規(guī)意義下的入侵檢測(cè)系統(tǒng)與具有智能檢測(cè)功能的檢測(cè)軟件或模塊 的結(jié)合使用。 全面的安全防御方案：即使用安全工程風(fēng)險(xiǎn)管理的思想與方法來處理網(wǎng)絡(luò)安 全問題，將網(wǎng)絡(luò)安全作為一個(gè)整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、 防火墻、病毒防護(hù)、入侵檢測(cè)多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估，然后提 出可行的全面解決方案。 “多層次防護(hù)”【2 1 l 就是應(yīng)用和實(shí)施一個(gè)基于多層次安全系統(tǒng)的全面信息安全 策略，在各個(gè)層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品以增加攻擊都侵入時(shí)所需花費(fèi)的時(shí) 問、成本和資源，從而有效地降低被攻擊的危險(xiǎn)，達(dá)到安全防護(hù)的目標(biāo)。目前， 多層次防護(hù)已經(jīng)成為網(wǎng)絡(luò)安全的主流策略。 “分層安全防護(hù)”就提出了這樣一種思路：結(jié)合不同的安全保護(hù)因素，例如防 病毒軟件、防火墻和安全漏洞檢測(cè)工具，來創(chuàng)建一個(gè)比單一防護(hù)有效得多的綜合 保護(hù)屏障。分層的安全防護(hù)成倍地增加了黑客攻擊的成本和難度，從而大大減少 了他們的攻擊頻度。入侵檢測(cè)系統(tǒng)負(fù)責(zé)進(jìn)行攻擊檢測(cè)，防火墻和強(qiáng)制訪問控制系 統(tǒng)負(fù)責(zé)攻擊防范，攻擊后的恢復(fù)則由自動(dòng)恢復(fù)系統(tǒng)來解決。這三大方向體現(xiàn)了在 網(wǎng)絡(luò)安全防護(hù)上的多層安全防護(hù)的思想。在使用了多層安全防護(hù)措施以后，企圖 入侵信息系統(tǒng)的黑客要付出成數(shù)倍的代價(jià)才有可能達(dá)到入侵目的。這時(shí)，你的信 息系統(tǒng)的安全系數(shù)就得到了大大的提升。 可能發(fā)生的另一個(gè)趨勢(shì)就是硬件版本的入侵檢測(cè)系統(tǒng)和安全網(wǎng)絡(luò)工具箱集 成在一起 _ ”，以使用戶能夠處理與持續(xù)的連接到i n t e r n e t 上相關(guān)的安全問題。集 成的安全和網(wǎng)絡(luò)工具箱可能會(huì)包括網(wǎng)絡(luò)接口硬件( 保護(hù)集線器和路由器) 、防火 墻、連接加密器、w e b 服務(wù)器和其它用來加強(qiáng)更快更安全連接的功能。 需要強(qiáng)調(diào)的是，網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程，不是單一的產(chǎn)品或技術(shù)可以完全 解決的。一個(gè)完整的安全體系應(yīng)該是一個(gè)由具有分布性的多種安全技術(shù)或產(chǎn)品構(gòu) 成的復(fù)雜系統(tǒng)，既有技術(shù)的因素，也包含人的因素，通過這些技術(shù)的綜合使用， 才能為用戶提供一個(gè)整體的、立體的、有效的安全解決方案，以有效的解決網(wǎng)絡(luò) 所面臨的安全威脅。 2 5s o i d s 原型系統(tǒng)簡(jiǎn)介 原有的s o i d s ( s e r v i c eo r i e n t e di n t r u s i o nd e t e c t i o ns y s t e m ) 是一種面向服 務(wù)的入侵檢測(cè)系統(tǒng)【2 “。它將基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)有機(jī)的結(jié)合在 起，有效的利用兩者的優(yōu)勢(shì)，提供集成化的檢測(cè)報(bào)告和響應(yīng)功能，在體系結(jié)構(gòu)上 具有良