1、 591 论文网 www.591LW.comWindows 下入侵检测系统的研究与设计摘 要入侵检测技术是对传统的安全技术(如防火墙)的合理补充。它通过监视主机系统或网络,能够对恶意或危害计算机资源的行为进行识别和响应。通过与其它的安全产品的联动,还可以实现对入侵的有效阻止。入侵检测系统的研究和实现已经成为当前网络安全的重要课题。本文从研究入侵技术入手,分析了入侵过程的各个阶段、各种入侵方法,总结了网络安全事故的根源。然后,介绍了入侵检测方法的分类,分析了各种入侵检测方法和字符串匹配的算法。研究表明基于规则的入侵检测系统是现在入侵检测系统设计的最主要的技术,基于这一理论,设计开发了一个基于规则
2、匹配的特征检测方法的响应模块。系统开发环境为 VC+ 6.0,数据库采用MYSQL 数据库。通过该系统可以有效的实现对入侵的检测,并且具有用户友好性。关键词: 入侵检测;响应模块;规则匹配591 论文网 www.591LW.comThe Research and Design of Intrusion Detection SystemBased on WindowsDesign of Response ModuleAbstractThe intrusion detection technology is complementarities for traditional security pr
3、otecting technology, such as firewalls. It can identify and response to malice activities by monitoring the host system or the Internet. It also can prevent intrusion activities with the linkage of other security technology. The research and development of IDS has become the important subject about
4、network security.This thesis begins with studying attacking technology, including analyzing every stage of an intrusion stage and various attacking methods, summarizing the fundamental reasons of various network security incidents and the trend of attacking technology, afterwards, introducing the cl
5、assification of the intrusion detection system, analyzing various intrusion detection methods and string-matching algorithm. Through research to make clear that the intrusion detection system based on rules is the most important intrusion detection technology, because of this theory, the design has
6、developed a response module based on the rule match characteristic examination method. The system development environment is VC+ 6.0; the database adapts the MYSQL database. This system can implement the effective realization to the intrusion detection, and the interface of this software is friendly
7、.Key words: Intrusion detection; Response module; Rule-matching591 论文网 www.591LW.com目 录论文总页数:26 页1 引 言 11.1 背景 11.2 国内外研究现 状 11.3 本文的主要工作 12 理论基础 12.1 入侵基本概念 22.1.1 安全与入侵的概念 22.1.2 入侵的步骤 22.1.3 黑客攻击的方法 32.1.4 安全威胁的根源 62.2 入侵检测技术 62.2.1 入侵检测的概念 62.2.2 入侵检测系统的基本结构构成 72.2.3 入侵检测的分类 72.2.4 入侵检测方法 92.3 B
8、M 算法 113 系统总体设计 .133.1 系统概述 .133.2 系统总体结构框架 .133.3 开发环境 .144 响应模块设计实现 .144.1 规则库设计实现 .144.2 事件分析设计与实现 .174.2.1 规则解析 .174.2.2 规则匹配流程 .184.3 输出模块的设计 .194.3.1 响应输出流程 .194.3.2 日志数据库设计 .204.4 模块集成实现 .205 系统测试和分析 .215.1 攻击检测测试 .215.1.1 测试目的 .21591 论文网 www.591LW.com5.1.2 测试过程 .215.1.3 测试结果分析 .215.2 误报和漏报测试
9、 .225.2.1 测试目的 .225.2.2 测试过程 .225.2.3 测试结果分析 .23结 论 .23参考文献 .24致 谢 .25声 明 .26591 论文网 www.591LW.com第 1 页 共 26 页1 引 言1.1 背景近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展。依赖防火墙建立
10、网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球 80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全
11、闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。1.2 国内外研究现状入侵检测技术国外的起步较早,有比较完善的技术和相关产品。如开放源代码的 snort,虽然它已经跟不上发展的脚步,但它也是各种商业 IDS 的参照系;NFR 公司的 NID 等,都已相当的完善。虽然国内起步晚,但是也有相当的商业产品:天阗 IDS、绿盟冰之眼等不错的产品,不过国外有相当完善的技术基础,国内在这方面相对较弱。1.3 本文的主要工作本文从分析现有网络中存在的安全说起,指出了现有的网络所面临的安全威胁,主要介绍了基于特征(signature-ba
12、sed)的网络入侵检测技术,阐述了由入侵检测理论所构建的入侵检测平台,监测并分析网络、用户和系统的活动,识别已知的攻击行为,统计分析异常行为。在本文的后面针对基于 windows 平台并基于特征(规则)的入侵检测系统响应模块的设计与实现作了详细的说明,阐述了什么是入侵检测、如何检测、如何响应等一系列问题,同时也给出了一套完整的设计思想和实现过程。2 理论基础591 论文网 www.591LW.com第 2 页 共 26 页2.1 入侵基本概念2.1.1 安全与入侵的概念安全定义广义的计算机安全的定义:主题的行为完全符合系统的期望。系统的期望表达成安全规则,也就是说主体的行为必须符合安全规划对它
13、的要求。而网络安全从本质上讲就是网络上信息的安全,指网络系统的硬件、软件及其系统中数据的安全。网络信息的传输、存储、处理和使用都要求处于安全的状态。根据 OSI 狭义的系统与数据安全性定义:1. 机密性(Confidentiality):使信息不泄露给非授权的个人、实体和进程,不为其所用;2. 完整性(Integrity):数据没有遭受以非授权的个人、实体和进程的窜改,不为其所用;3. 可确认性(Accountability):确保一个实体的作用可以被独一无二地跟踪到该实体;4. 可用性(Auailability):根据授权实体的请求可被访问与使用。入侵定义Anderson 在 80 年代早期
14、使用了“威胁”概念术语,其定义与入侵含义相同。将入侵企图或威胁定义为未授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。Heady 给出另外的入侵定义:入侵是指有关试图破坏资源的完整性、机密性及可用性的活动集合。Smaha 从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。 2.1.2 入侵的步骤黑客通常采用以下的几个步骤来实现入侵目标主机的目的。1、搜集信息:寻找目标主机并分析要攻击的环境。2、实施入侵:获取帐号和密码,登录主机。3、提升权限:黑客一旦获得目标主机普通用户的帐号,便可以利用一些登录工具进入目标主机,进入以后,他们会想方设法的
15、到超级用户的权限,然后进行任意操作。4、攻击活动的实施:黑客获取了超级用户权限后,就可以在目标系统上为所欲为。根据各自不同的目的,黑客在攻克的目标系统上进行不同的破坏活动,例如窃取敏感资料、篡改文件内容,替换目标系统 WWW 服务的主页是黑客示威591 论文网 www.591LW.com第 3 页 共 26 页常采用的手段。5、清除日志记录:黑客在退出被攻克的目标前通常要进行一些善后处理。2.1.3 黑客攻击的方法1、网络监听网络监听最初是为了协助网络管理员监测网络传输的数据,排除网络故障而开发的技术,然而网络监听也给以太网安全带来了极大的隐患。监听是通过将网络接口设为混杂模式,从而接收经过它
16、的所有网络数据包,达到偷看局域网内其它主机的通讯的目的。反监听的方法是:将网络分段,把不可信任的机器隔开以防止被监听;加密,大量的密文让黑客无所适从。2、端口扫描端口扫描的基本原理是扫描方通过向目标系统的不同端口发送具有特殊位的数据包,并记录目标做出的应答,通过分析得出关于目标的相关信息。根据数据包的类型可分为:TCP 扫描、UDP 扫描、ICMP 扫描。其中 TCP 扫描包括:TCP connect()扫描、TCP SYN 扫描、TCP SYN|ACK 扫描、TCP ACK 扫描、TCP FIN 扫描、TCP 空扫描、TCP Xmax 树扫描(往目标端口发送一个设置了FIN|URG|PUSH
17、 位的分组。);ICMP 扫描包括:ICMP 查询报文请求及应答扫描、ICMP 差错报文扫描;UDP 扫描包括:UDP 端口不可达扫描等。3、口令入侵口令入侵是指攻击者使用合法的用户帐号和口令登录到目标主机,然后再实施攻击行为。攻击者通过猜测、监听和破解用户口令等方法获得对主机或网络的访问权,登录目标系统访问资源,安装后门等。防范方法:一方面强制用户选择安全的口令;另一方面限制口令文件的访问,例如只让管理员可读。4、特洛伊木马特洛伊木马程序是指非法驻留在目标系统中,提供隐秘的、非用户所希望的程序。特洛伊木马程序可用于窃取目标系统的敏感信息(例如用户名和口令)、记录用户的键盘操作,直至远程控制目
18、标系统。特洛伊木马程序一般采用客户/服务器方式,驻留到目标系统中的程序作为服务器端,接收客户端(在黑客的主机上)的控制命令。要利用特洛伊木马程序,关键一点是怎样让特洛伊木马程序能驻留到目标系统中去,这一般需要使用欺骗手段让目标系统上的用户执行一个程序或者某个动作从而完成特洛伊木马程序的安装。黑客在成功入侵后也常在目标系统中安装特洛伊木马程序以便长期控制目标系统。防范方法:经常检查系统中运行的服务或开启的端口号,如果陌生的服务591 论文网 www.591LW.com第 4 页 共 26 页程序在运行或陌生的端口号被开启,就应该进一步查清是正常启动的新服务还是特洛伊木马程序。特洛伊木马程序为了能
19、在每次系统启动的时候自动启动,必须要修改注册表项,所以通过检查注册表也可以发现特洛伊木马程序,目前已有专用的防范软件来记录系统的状态及其修改并可擒获非法修改。5、缓冲区溢出缓冲区溢出就是向堆栈中分配的局部变量传递超长的数据,导致数据越界而覆盖它后面的堆栈区域。黑客利用缓冲区溢出覆盖程序或函数的返回地址,当程序或函数返回时指针指向黑客设计的位置,使黑客的恶意代码得以执行而获得系统中的用户权限甚至特权用户权限。缓冲区溢出是目前最常见的攻击收集。缓冲区溢出攻击又可分为远程溢出攻击和本地溢出攻击,本地溢出攻击是黑客获得普通用户权限后提升自己权限采用的方法;远程溢出攻击是黑客获得普通用户权限后提升自己权
20、限常采用的方法;远程溢出攻击则可以在没有系统的任何帐号的情况下获得系统中的用户权限,甚至直接获得特权用户权限。防范缓冲区溢出的方法是在程序设计时记住进行越界检查。6、拒绝服务 DOS(Denial of Service)拒绝服务是就攻击结果而言的,指目标主机不能为用户提供正常的服务,即破坏目标系统的可用性。要达到这一目的,有几种不同的方法:服务超载、报文洪水攻击使系统变慢,以阻止处理常规工作、SYN、分布式拒绝服务攻击。7、暗藏 ICMP 通道ICMP (因特网控制报文协议)是 IP 层上的差错和控制协议。Ping 命令是利用 ICMP 的回应请求报文来探测一个目的机器是否可以连通和有响应。任
21、何一台机器接收到一个回应请求,都返回一个回应应答报文给原请求者。因为 ping命令的数据报文几乎会出现在每个网络中,许多防火墙和网络都认为这种数据无危险而让其通过。黑客正是利用了这一点,用 ICMP 数据包开一个暗藏的通道。ICMP 数据包有一选项可以包含一个数据段,尽管其中的有效信息通常是时间信息,实际上任何设备都不检查其数据内容,这样它包含任何数据,成为黑客传递信息的载体。利用此通道,可以秘密向目标主机上的木马程序传递命令并在目标机器上执行,也可以将在目标主机上搜集到的信息传送给远端的黑客,作为一个秘密用户与用户、用户与机器间通信的方法。 防范的方法是设置 ICMP 数据包的智能过滤器。8
22、、欺骗欺骗可以分为以下几种:IP 欺骗在 UNIX 网络中可以有被信任的主机。如果一个主机将信任扩展到另一台主591 论文网 www.591LW.com第 5 页 共 26 页机,那么两台主机上都有的相同名字的用户,可以从被信任的主机上登录到这台主机上,而不必提供口令。信任也可被扩充到一些选中的机器上的不同用户,而最终可到任何主机上的任何用户。除 rlogin 外,rpc,rdist,rsh 等(称为 R*命令)都可使用信任方案。当从远程主机上启动任何 R*命令,接收的主机仅检查发送机器的 IP 地址是否符合授权信任的主机,如果符合,命令就被执行;若不符合,就拒绝命令或要求口令。由于 Inte
23、rnet 协议缺乏源 IP 地址认证,IP欺骗攻击就是利用这个弱点。若入侵者的主机为 illegal,目标主机为 target,信任主机为 friend,入侵者将 illegal 的 IP 地址改为 friend 的 IP 地址,即入侵者将发向目标主机的数据包中源地址改为被信任主机的地址,这样 target 就会相信 illegal,允许它访问。防范的方法是禁用基于 IP 地址的信任关系:将 MAC 与 IP 绑定等。路由欺骗通过伪造或修改路由表来故意发送非本地报文以达到攻击目的。路由欺骗的分为:基于 ICMP 的路由欺骗、基于 RIP 的路由欺骗、基于源路径的欺骗。DNS 欺骗DNS 完成
24、IP 地址到域名之间的相互转换,从 DNS 服务器返回到响应一般为Internet 上所有的主机所信任。黑客只需先于域名服务器所发送给客户机一个伪造的响应数据报就可欺骗客户机连接到非法的主机上,或者先在服务器验证一个可信任的客户机名的 IP 地址时欺骗服务器。防范方法是用转化得到的 IP 地址或域名再次作反向转换验证。Web 欺骗Web 欺骗通过创建某个 WWW 网站的一个复制图像,从而达到欺骗该网络用户的目的。如果用户访问这个假冒的网站,从用户角度来说感觉不到任何差别,但是用户的一举一动都在黑客的监视之下,用户提交的任何敏感信息(例如信用卡的帐号和密码)都成了黑客的猎物。台湾的某个电子商务网
25、站就曾遭到黑客冒充,造成大量用户的信用卡密码被盗。为了实施 Web 欺骗,黑客必须引诱用户去访问这个假冒的网站,一般有以下方法:利用前面介绍的 DNS 欺骗;创建错误的 Web 索引,指示给搜索引擎;把错误的 WEB 连接发送给用户。防范的方法是:禁止浏览器中的 Javascript、ActibeX 功能,使黑客不能改写浏览器的信息栏来隐藏自己;通过浏览器提供的 WEB 属性或者直接查看HTML 源文件发现错误的 URL。TCP 会话劫取TCP 会话劫取是入侵者强行强占已经存在的连接。入侵者监视一个会话已经通过口令或其他较强的身份验证之后,就抢占这个会话。例如一个用户用591 论文网 www.
26、591LW.com第 6 页 共 26 页login 或其他终端会话连接到远程主机上,身份验证之后,入侵者抢占该连接。TCP 会话劫取需要综合使用拒绝服务、监听和 IP 欺骗的方法。2.1.4 安全威胁的根源五花八门的攻击方法让人眼花缭乱,那么为什么会有这么多的漏洞让黑客有机可乘呢?概括地说,安全威胁的根源主要是三个方面:1.网络协议设计和实现中的漏洞TCP/IP 协议族在规则之初是为了方便地实现信息的共享,设计时注重的是开放和灵活,未能对安全性(身份鉴别和信息保密等)给予足够的考虑。这在当时的历史条件下是适用的,但在今天这样商业和政府广泛参与、INTERNET 普遍应用的条件下,INTERN
27、ET 缺乏安全性的先天不足就给无孔不入的黑客许多可乘之机。例如监听、暗藏的 ICMP 通道、SYN 洪水、IP 欺骗、DNS 欺骗、TCP 会话劫取、路由欺骗等都是利用了网络协议设计上的漏洞。各种类型的 TCP/IP 协议的软件实现中的漏洞更是五花八门,例如著名的 OOB 攻击就是利用了WINDOWS 操作系统的早期版本中 TCP/IP 协议栈实现上的一个漏洞。2.计算机软件设计和实现中的疏漏包括作为计算机核心的操作系统和作为支撑软件的编译器和数据库管理系统,也包括提供服务的应用程序等,这些软件往往由于功能复杂、规模庞大,又没有安全理论的指导或安全原则未能贯穿始终,甚至有的在设计之初就没有考虑
28、安全问题,导致了诸如缓冲区溢出、符号连接和后门等各种各样的攻击手段,这些漏洞一旦被发现,就可对系统的安全构成致命的威胁。3. 系统和网络使用过程中的错误配置及误操作完善的安全防范体系包括安全准则的正确执行,人为疏忽会造成系统错误配置。如果配置不当,攻击者就可以很容易突破防线,获得非授权访问能力甚至是系统特权。由此可见,只要杜绝了计算机系统在设计、实现和使用上的错误,黑客就束手无策了,这也是计算机工作者梦寐以求的一个理想。但是,经验证明程序错误和其它人为错误造成的安全隐患是不可能完全避免的。在这样的条件下,具有主动防御能力的入侵检测技术就显的尤为重要。2.2 入侵检测技术2.2.1 入侵检测的概
29、念1980 年 4 月,在 James P.Anderson 为美国空军做的题为 :计算机安全威胁监控与监视(“Computer Security Threat Monitoring and Surveillance”)的技术报告中,首次提出了入侵(威胁 threat)的概念:潜591 论文网 www.591LW.com第 7 页 共 26 页在的有预谋未经授权访问信息、操作信息、致使系统不可靠或无法使用的企图。Heady 认为入侵是指试图破坏资源的完整性、机密性及可用性的行为集合。关于入侵检测的概念,还有许多从不同角度的定义。入侵检测是对发生在计算机系统或网络中的事件进行监控及对入侵信号的分
30、析过程。使监控和分析过程自动化的软件或硬件产品称为入侵检测系统(Intrusion Detection System),简称 IDS。一个完整的入侵检测系统必须具有:经济性、时效性、安全性、可扩展性的特点。2.2.2 入侵检测系统的基本结构构成CIDF(Common Intrusion Detection Frame,公共入侵检测框架)提出了通用模型,将入侵检测系统分为四个基本组件:事件产生器、事件分析器、响应单元和事件数据库,见下图。输入:原始事件源图 2.1 公共入侵检测框架(CIDF)的体系结构(1)事件产生器(Event generators)事件产生器是入侵检测系统中负责原始数据采集
31、的部分,它对数据流、日志文件等进行追踪,然后将收集到的原始数据转换为事件,并向系统的其他部分提供此事件。(2)事件分析器(Event analyzers)事件分析器接收事件信息,然后对它们进行分析,判断是否是入侵行为或异常现象,最后把判断的结果转换为警告信息。(3)事件数据库(Response units )事件数据库是存放各种中间和最终数据的地方。(4)响应单元(Response units )响应单元根据警告信息做出反应,如切断连接、改变文本属性等强烈的反应,也可能是简单地报警。它是入侵检测系统中的主动武器。输出:事件的有关信息输出:原始或低级事件响应单元事件分析器 事件数据库事件产生器输
32、出:高级中级事件输出:反应或事件591 论文网 www.591LW.com第 8 页 共 26 页2.2.3 入侵检测的分类根据原始数据的来源分类:(1)基于主机(host-based)的入侵检测系统该系统获取的数据来源于运行该系统所在的主机。它通过监视和分析主机的审计记录和日志文件来检测入侵。基于主机的入侵检测系统主要用于保护运行关键应用的服务器。由于需要在主机上安装软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和稳定性都会造成影响。(2)基于网络(network-based)的入侵检测系统该系统获取的数据来源是网络上传输的数据包。它通过监听网络上的
33、所有分组来采集数据,分析可疑现象。基于网络的入侵检测系统主要用于实时监控网络上的关键路径(某一共享网段)。只需把它安装在网络的监听端口上,对网络的运行影响较小。(3)混合型入侵检测系统毋庸质疑,混合型就是既基于主机又基于网络。基于主机的和基于网络的IDS 具有互补性,基于网络的入侵检测能够客观地反映网络活动,特别是能够监视到系统审计的盲区;而基于主机的入侵检测能够更加准确地监视系统中的各种活动。由于近些年来,混合式病毒攻击的活动更为猖獗,单一的基于主机或者单一的基于网络的 IDS 无法抵御混合式攻击,因此,采用混合型的入侵检测系统可以更好的保护系统。根据分析方法分类(1)误用检测(特征检测 s
34、ignature-based)误用检测是基于已知的系统缺陷和入侵模式,所以又称为特征检测。误用检测是对不正常的行为建模,这些不正常的行为是被记录下来的确认的误用和攻击。通过对系统活动的分析,发现与被定义好的攻击特征相匹配的事件或事件集合。该检测方法可以有效地检测到已知攻击,检测精度高,误报少。但需要不断更新攻击的特征库,系统灵活性和自适应性较差,漏报较多。商用 IDS多采用该种检测方法。(2)异常检测(anomaly-based)异常检测是指能根据异常行为和使用计算机资源的情况检测出入侵的方法。它试图用定量的方式描述可以接受的行为特征,以区分非正常的、潜在的入侵行为。也就是,异常检测是对用户的
35、正常行为建模,通过正常行为与用户的行为进行比较,如果二者的偏差超过了规定阈值则认为该用户的行为是异常的。异常检测的误报较多。目前,大多数的异常检测技术还处于研究阶段,基本没591 论文网 www.591LW.com第 9 页 共 26 页有用于商业 IDS 中。根据体系结构分类(1)集中式入侵检测系统集中式 IDS 有多个分布在不同主机上的审计程序,仅有一个中央入侵检测服务器。审计程序将当地收集到的数据踪迹发送给中央服务器进行分析处理。随着服务器所承载的主机数量的增多,中央服务器进行分析处理的数量就会猛增,而且一旦服务器遭受攻击,整个系统就会崩溃。(2)等级式(部分分布式)入侵检测系统等级式
36、IDS 中定义了若干个等级的监控区域,每个 IDS 负责一个区域,每一级 IDS 只负责所监控区的分析,然后将当地的分析结果传送给上一级 IDS。等级式 IDS 也存在一些问题:首先,当网络拓扑结构改变时,区域分析结果的汇总机制也需要做相应的调整;其次,这种结构的 IDS 最后还是要将各地收集的结果传送到最高级的检测服务器进行全局分析,所以系统的安全性并没有实质性的改进。(3)分布式(协作式)入侵检测系统分布式 IDS 是将中央检测服务器的任务分配给多个基于主机的 IDS,这些IDS 不分等级,各司其职,负责监控当地主机的某些活动。所以,其可伸缩性、安全性都等到了显著的提高,并且与集中式 ID
37、S 相比,分布式 IDS 对基于网络的共享数据量的要求较低。但维护成本却提高了很多,并且增加了所监控主机的工作负荷,如通信机制、审计开销、踪迹分析等。分布式 IDS 是本文研究一个重点。根据时效性分类(1)脱机分析:就是在行为发生后,对产生的数据进行分析,而不是在行为发生时进行分析。如对日志的审核、对系统文件的完整性检查等。(2)联机分析:就是在数据产生或者发生改变的同时对其进行检查,以发现攻击行为,这种方式一般用于对网络数据的实时分析,并且对系统资源要求比较高。不同的分类方法体现的是对入侵检测系统不同侧面的理解。入侵检测的核心在于对事件的分析,所以分析分类方法是较重要的。2.2.4 入侵检测
38、方法1、模式匹配模式匹配是传统的、最简单的入侵检测方法。该方法需要建立一个攻击特征库,检查接收到的数据中是否包含特征库中的攻击特征,从而判断是否受到攻击。它的算法简单、准确率高,但是只能检测到已知攻击,对已知攻击稍加591 论文网 www.591LW.com第 10 页 共 26 页修改就可以躲过检测,漏报现象严重,模式库需要不断更新。对于高速大规模的网络来说,由于要分析处理大量的数据包,该方法的速度就成为了问题。2、协议分析协议分析是对模式匹配的智能扩展,它利用网络协议的高度规则性快速探测攻击的存在。它的提出弥补了模式匹配技术的一些不足,如计算量大、探测准确率低等。另外,协议分析还可以探测碎
39、片攻击。例如:假设袭击执行的基础协议是虚构的 BGS 协议,攻击要求非法变量 foo 必须传递到 BGS 型字段中。如果 BGS 协议允许隔字节为空,那么模式匹配将无法发现 fx00ox00ox00,相反,协议分析则能够跳过空字节,如期发出警报。3、专家系统专家系统使用基于规则的语言为已知攻击建模,它把审计事件表述成语义的事实,推理引擎根据这些规则和事实进行判定。专家系统的建立依赖于知识库的完备性,知识库的完备性取决于审计记录的完备性和实时性。4、统计分析统计分析是通过设置极限阈值等方法,将检测数据与已有的正常行为加以比较,如果超出极限值,则认为是入侵行为。常用的入侵检测统计分析模型有:操作模
40、型,方差,多元模型,马尔可夫过程模型,时间序列分析。5、数据挖掘数据挖掘是数据库中的一项技术,它的作用是从大型数据库中抽取知识。对于入侵检测系统来说,也需要从大量的数据中提取出入侵的特征。因此,将数据挖掘技术引入入侵检测系统中,通过数据挖掘程序处理收集到的审计数据,为各种入侵行为和正常操作建立精确的行为模式,这是一个自动的过程。数据挖掘的关键点在于算法的选取和一个正确的体系结构的建立。6、神经网络神经网络具有自适应、自组织和自学习的能力,可以处理一些环境信息复杂、背景知识不清楚的问题。将神经网络技术应用于入侵检测系统,以检测未知攻击。来自审计日志或正常网络访问行为的信息,经数据信息预处理模块的
41、处理后即产生输入向量。使用神经网络对输入向量进行处理,从中提取用户正常行为的模式特征,并以此创建用户的行为特征轮廓。这要求系统事先对大量实例进行训练,具有每一个用户行为模式特征的知识,从而可以找出偏离这些轮廓的用户行为。7、模糊系统模糊理论在知识和规则获取中具有重要的作用。人类思维、语言具有模糊性,模糊思维形式和语言表达具有广泛性、完美和高效的特征。人们的许多知591 论文网 www.591LW.com第 11 页 共 26 页识是模糊的,模糊知识在控制和决策中具有巨大的作用。由于计算机网络中的正常行为和异常行为难以很好界定,使用模糊逻辑推理方法,入侵检测系统的误报率则会降低。8、免疫系统免疫
42、系统是一个复杂的多代理系统。将免疫系统应用到入侵检测当中,本质上是设计和实现一个分布式智能多代理系统。免疫的基本原理是分辨本体(正常)和异体(异常)。在入侵检测领域,本体是被监控网络的正常行为,异体是网络的异常行为。9、遗传算法遗传算法是基于自然选择,在计算机上模拟生物进化机制的寻优搜索法.在自然界的演化过程中,生物体通过遗传、变异来适应外界环境,一代又一代地优胜劣汰,发展进化。遗传则模拟了上述进化现象。它把搜索空间映射为遗传空间,即把每个可能的解编码为一个向量,称为一个染色体,向量的每个元素称为基因。所有染色体组成群体,并按预定的目标函数对每个染色体进行评价,根据结果给出一个适应度的值。算法
43、开始时先随机地产生一些染色体,计算其适应度,根据适应度对各染色体进行选择复制、交叉、变异等遗传操作,剔除适应度低的染色体,留下适应度高的染色体,从而得到新的群体。由于新群体的成员是上一代群体的优秀者,继承了上一代的优良形态,因而明显优于上一代。遗传算法就这样反复迭代,向着更优解的方向进化,直至满足某种预定的优化指标。10、数据融合数据融合是针对一个系统中使用多个和(或)多类传感器这一特定问题展开的一种新的数据处理方法,因此数据融合又称多传感器信息融合或信息融合。多传感器信息融合的基本原理就像人脑综合处理信息的过程一样,它充分利用多个传感器资源,通过对各个传感器及其观测信息的合理支配和使用,将各
44、种传感器在空间和时间上的互补与冗余信息根据某种优化准则组合起来,产生对观测环境的一致性解释和描述。它的最终目的是利用多个传感器共同或者联合操作的优势,来提高整个系统的性能。把数据融合引入入侵检测领域,可以从不同角度、不同位置收集反映网络状态的数据信息,如网络数据包、系统日志、系统操作者发出的口令等。对这些信息进行分析和结果融合,给出检测系统的判断结果和响应措施。在实际的应用和研究中,通常不采用单一的检测方法而是采用多种检测方法相结合的方式来检测攻击。以上所介绍的方法有些还处于研究阶段,不能达到一定的检测精度,漏报、误报现象较为严重,还有待进一步的研究。591 论文网 www.591LW.com
45、第 12 页 共 26 页2.3 BM 算法Boyer-Moore(BM)算法,又叫做快速字符串搜索算法,它是一种非常有效的字符串匹配算法。主要应用于一些程序的字符串处理,比如:搜索,替代等。这种算法的时间复杂度低于线性,所以是现在用的最多的一种方法。BM 算法从匹配串(模式串:pattern)的最右端的第一个字符开始从右至左扫描,匹配字符串(text),一旦发生不匹配就用两种规则向右移动模式串,直到匹配。这两种规则分别叫做:好后缀规则(good-suffix shift)、坏字符规则(bad-character shift)。好后缀规则(good-suffix shift)假设在模式串的字符
46、 xi=a,字符串的字符 yi+j=b 处不匹配,即 xi+1 m-1=yi+j+1 j+m-1=u, and xi != y i+j。有两种情况发生:1、如果在 x 后面的其他位置还包括好后缀 u,且与 u 相邻左端的字符 xi-n=c 不等于 xi=a,这时把在 x 后面的其他位置出现的 u 与 y 中的 u 对齐,并比较 xi-n与 yi+j。依次类推,示意图如下:图 2.1 好后缀规则, u 出现的位置前的字符 c!=a2、如果没有出现与 u 相同的字符串则找到与 u 的后缀相同的 x 的最长前缀 u,向右移动 x,使 v 与 y 中 u 的后缀相对应。示意图如下:图 2.2 好后缀规
47、则, 只有 u 的一部分前缀出现在 x 中 坏字符规则(bad-character shift)1、从右到左的扫描过程中,发现 xi与 yj不同,如果 x 中存在一个字符 xk与 yi相同,且 k$HOME_NET any(msg:“ SCAN nmap XMAS“; flow:stateless;flags:FPU,12;reference:arachnids,30;classtype:attempted-recon; sid:1228; rev:7;),它的 flags 为 FPU,12 是因为它检测了保留位里的低两位。2、用检测系统对扫描攻击进行检测得到结果如 5.3 图:图 5.3 检
48、测结果此测试用的扫描软件是 nmap-4.20,进行的扫描命令为:nmap sX 192.168.0.19。通过测试,一切正常。但是值得注意的是攻击软件的数据特征591 论文网 www.591LW.com第 23 页 共 26 页会随时变化,为了应对这种随时变化的情况就需要:编写的规则要一般化,具有针对性;随时注意攻击特征的变化,修改规则库。5.2 误报和漏报测试入侵检测系统(IDS)是多层安全体系架构的关键组成部分。但目前的入侵检测技术还不够完善,存在大量误报和漏报现象。误报是指在安全事件并没有发生时 IDS 报告发现了攻击,漏报是指在安全事件发生时 IDS 却没有发出报警。漏报和误报不仅阻碍了 IDS 的进一步应用,也使得一些专家对 IDS 的存在价值提出置疑。5.2.1 测试目的1、检测系统是否会有一般基于误用的入侵检测的通病:误报和漏报。5.2.2 测试过程1、首先建立相对的规则。2、选择能引发告警的数据包。3、发送数据包进行测试。5.2.3 测试结果分析表 5.2 误报和漏报测试结果及说明测试项目 测试结果 分析说明误报测试 会产生 大多数的攻击软件发送的数据包都没有按照RFC 中定义的来组织,而一些正常的软件有时也会发生相同的现象。这就使得误报的情况会发生。漏报测试 会产生 由于基于误用的入侵检测系统只能对已知的攻击行为进行检测,所以对一些未知的攻击行为
