基于Petri网的层次型入侵检测系统.doc-道客多多

资源描述

1、东南大学硕士学位论文基于Petri网的层次型入侵检测系统姓名：吴希申请学位级别：硕士专业：计算机软件与理论指导教师：罗军舟20050401，（），（）：，”：、（），），：，东南大学学位论文独创性声明及使用授权说明学位论文独创性声明本人声埘所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得东南大学或其它教育机构的学位或汪书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作明确的说明并表示了谢意。签名：显，盈二期：堑箜塾垒墨！塑二、关于学位论文使

2、用授权说明东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的复印什和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质沦文的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布（包括刊登）论文的全部或部分内容。论文的公布（包括刊登）授权东南大学研究生院办理。签名：蔓：盗导师签名：口期：彩蝴她研究背景第章引言随着计算机网络的普及年技术的进步，已经逐渐成为一项基础设施井深刻地影响了社会生活的各个方面。然而是在开放、自由的基础上产生的缺乏严格的管理体制来约束网络中的应用，在网络发展初期安全问题相对而肓被忽略了。年的蠕虫事件标志

3、着网络安全进入个新阶段，当时为了验证和这两个系统服务的安全漏洞，草率地把蠕虫商接鼍八，造成震惊世界的蠕虫事什”。（，计算机紧急响戍小组协调中心）发布的报告表明近年来处理的网络攻击事件数量呈逐年剧增趋势（图）。图：处理的安全事件统计网络安全技术中使用最为广泛的技术是防火墙，但防火墙只能阻截来自外部网的侵扰，内部网络的安全还需要对内部网的进行有效的审计和管理来实现”】。入侵检测对网络和土机行为进行审计，不但能够提供对内部网的审计功能【，判断是否有目络入侵存在，而且管理员可以根据入侵检测的反馈来判断当前的安全策略是否合适。公布的报告表明，网络攻击者的知识门槛越来越低，但他们的攻击手段却早现多

4、样化、复杂化（图），单纯依靠身份鉴别和防火墙等访问控制设备的防护型网络安令系统已经不能满足安全需求，入侵枪测技术得到了越来越广泛的重视。，最初称，：“ ，该统汁年月发布原始数据截至年第一二季度东南大学硬上学位论文图：网络攻击趋势国内外研究现状入侵检测概念传统意义上说，入侵检测（，）是对所有企图穿越被保护网络安全边界的行为的识别”。虽然真正意义上的网络攻击到年蠕虫事件后才山现，但入侵检测的相关研究却开始较早：入侵检测的概念首先由“丁年提出，”于年发表了第一个实用化的入侵检测模犁。根据（）的规范化作，入侵检测系统（）被定义为“由一个或多个传感器、分析器、管理器所组成，可自动分析系统行为，检测安

5、全事件的工具” 。图：入侵检测模型：，项日，编号系下属入侵检测作组，：，响应第章言入侵检测的分类由于着眼点的不同，对入侵检测的分类方法很多，最常见的是从榆测对象和检测方法这两个角度来对入侵检测进行分类埘】。检测对象根据检测对象的不同，可以将入侵检测划分成基于主机的入侵检测（，）、基于网络的入侵检测（，）。）基于丰机的入侵检测基丁土机的入侵检测系统通常是安装在被重点检测的主机之，通过采集和分析被控土机的系统口志、配置信息、校验和等数据发现潜在的安全事件。丰机入侵检测具备深入系统内部跟踪、对网络流量不敏感、无须添加额外设备等优点，但是也存在依赖土机审计能力、无法柃测针对网络的攻击、计

6、算耗费比较人的缺点。由于丰机入侵检测需要在端系统安装软件，所以端系统用户的抵触和部署升级等问题也比较难解决。早期的入侵检测系统多是基于星机的。）基于网络的入侵检测基于恻络的入侵检测最早由于年提出，其数据源自计算机网络，通常采片旁路侦听的方式获取网络流量的镜像或者采样，不需要在系统中添加额外的软什，其作对正常的网络应用基本没有影响。一个进行数据包分析的网络入侵榆测系统工作流程如图所示，该系统从咀太网侦听设备获取网络流黾，通过调用报图：简单网络入侵检测系统文捕获设备（或等）抓获其中的层数据包，进行解码羽偏移量计算，然斤调用规则匹配函数进行计算，倘若匹配成功则产生告警，否则就转

7、入下一轮循环。这个单包分析系统具有网络入侵榆测的全部特征：数据来自网络，存在个分析引擎，有告警输山（被动响应）。附录给出了在前期研究中实现的一个单包分析器结构。网络入侵检测傲采取旁路侦听的方式，具有检测范嗣大、不依赖于主机、不会破坏原有安全政策的优势，与此同时也带米难以适应网络流量的迷增、存在规避方式和需要增加特殊设备的问题。，一个跨平台网络数据捕获工具集，：，下的网络数据捕获设备东南人学硕士学位论文检测方法根据检测方法的不同，入侵检测可以划分为基于行为和基于知识两类，称作异常检测（，）和误用检测（，）。）异常检测异常检测的工作建立在如下假设基础上，即任何一种入侵行为都能够由于其偏离

8、止常或者（客观上）所期望的系统和用户活动规律而被检测出米。描述止常（合法、可接受）行为的模型则通过对收集的大量历史活动资判进行分析得到。异常检测根据用户的异常行为或对资源的异常访问来判断是否发生入侵行为，不断将当前系统状态和已有的合法行为模型作对比，如果发现当前系统状态偏离，止常的模型则认为出现了入侵。图：异常和入侵异常检测的虽人问题在于“异常”并不等于“入侵”，根据异常检测的通用原理我们町以简单地将网络行为的全集进行划分如陶，其中异常行为集合由偏左上方的椭吲表示，而入侵行为集合由偏右下方的椭圆表示，则：）异常行为集和入侵行为集的交集被称为正确接受集（）：）属异常行为集但不属于入侵行为

9、集的元素构成了错误拒绝集（）；）属入侵行为集但不属于异常行为集的元素构成了错误接受集（）；）不属于入侵行为集也不属丁异常行为集勺元素构成了正确拒绝集（）。在实际麻用中，错误接受集在入侵行为集中所占的比率被称作漏报率，而错误拒绝集在异常行为集中所占的比例被称作误报率。异常检测优势在于可以发现未知模式的攻击行为，系统具备一定适应能力，维护的：作量比较小；但是对网络的稳定性要求较高，随着网络应埘的复女性增加其误报率会人幅上升，并且可能被攻击者恶意训练。由丁：人工智能领域本身发展逐渐缓慢异常检测的误撤问题足一个比较禾难的入侵检测课题，也缺乏较实用的检测模型，并且异常检测通常需要一定的

10、训练期来构建正常行为模型，因此我们的研究没有选择基于异常检测的技术路线。）误用检测误用检测又称滥用检测方法是指根据已知的攻出力式定义好入侵模式库，通过计算已知模式足否出现来判断是否发生了入侵，即仟何不符合特定匹配条件（检测规则）的行为都是合法的或可接受的（哪怕其中包含隐蔽的入侵行为）。模式匹配【现在成为入侵检测领域内应用最广泛的检测手段和机制之一。存实际应用中模式旺配检测技术面对的问题主要有个：模式的提取模式的可调整性，增量匹配问题和优先级匹配问题（住事件流对系统的处理能乐力很犬的时候系统应该能够采取增量旺配的方式提高性能或者根据预设策略暂缓低优先级事件规则的处理）。年等对误用检测模型

11、进行了层次化分析【”，提出误用检测模型可以分为信第章引言息层、匹配引擎层、规则层和决策层，其中每一层不依赖别的层次而存在。信息层封装审计数据并向提供一个和被审计计算机系统的底层接，当新的审计数据源出现时，例如网络设备日志、网络报文或者系统网络服务只志等，可以集成到现有的误用检测系统框架中来。规则层则提供一个独立于系统的检测规则的中间表达形式和一个独立于特定系统的虚拟机以表达规特征所处的二下文环境，不同的规则描述方法可以独立于系统构架被实现。匹配引擎层封装来匹配的不同算法，提供在信息层和规则层基础上进行检测运算的功能，这样滥用检测系统就可以独立于特定的匹配算法，当新的匹醚机制庶用时可以

12、集成到系统中米。决策屡则封装了系统管理功能。信息层匹配弓擎层规蜊层审计数据、卜匹配；擎一图：误用检测通用模型图描述，一个通用误用检测模型；这种检测方法的缺点在于系统表现取决于特征库的选取（自动或者手动），因而维护的工作量较大，但其检测的准确度很高，检测速度快因而具有很好的实用性，而且每种检测结果都有己知攻击模式和可以预测的攻击后果（权限提升、信息泄漏等），有利于管理员采取措施或者制定自动响应政策，目前被广泛的应用于工业领域。因此我们的研究也选择基于误用检测进行。基于网络的误用检测根据前面的分析，本文选择采用基于嘲络的误用检测技术作为研究的基础通过考察，基于网络的误用检测可以从数据

13、采集的角度分为类：）单包入侵检测：单包的结构如图和附录所示，系统通过（原始奁接字）【】或者等文件设备从网络中不断捕获数据包，简单判断首部信息后选择对应的规则链，然后考察该规则链中的各个规则对负载（）数据进行匹配处理，如果命中（）则根据采取规则指定的响应动作。系统考察网络数据的单位是包，其二作流程如附录所示。这种检测技术比较原始，不能检测分布在不同包中的数据特的联合特征，也不能检测和会话状态相关的规则。由于考察的空问限制在同一个包范闸内，也很可能由于别有用心的攻击者通过伪造攻击数据而产生误报，形成新的攻击源。由于不需要维持数据或状态的缓存，单包检测系统的性能相对较高。）多包联合入侵检测：，

14、个开放源码的跨平台络数据包捕获晒数库，支持，：，很多文献小严格区分数据包和数据报等概念，本文以帧（），数据包（）和据文（）来严格区分数据链路层，层和层的不同数据单位，以流量（）泛指网络数蜊。东南大学顾士学位论文多包联合检铡技术同样以包为次检测的单位，并通过设置啶的缓冲区存储过去一段时间内系统的状态信息，比如隶属同会话的此前个事件，并在新命中事什产生时榆索和前面缓冲的事竹之间关系，判断命中符合更高一层的规则。这种检测方式能够判断分布在不同包内的特征通过逻辑谓词连接的联合特征，可是无法检测人为分割在不确数据色里面的层数据，例如住登录站点时，将“”分两次发送变成“”“”，因而也，：能解决规避

15、技术的挑战。这种检测技术具备啶程度的检测能力，比如将登录的用户名和服务器反馈的登录成功与否信息联合起来考察，但不能解决针对的规避问题。由丁规则的匹蹲己运算单位依然是数据包，因此多包联合检测系统的性能也比较高。）层入侵检测：通常基于层的按照一定的策略（比如按照内核的实现方式）从原始数据中还原层的会话数据，并选择一定的时机（例如会话结束时）提交分析引擎分析。这种可以对数据流中的网络服务原语进行分析，运用协议分析技术检测特定的网络协议，例如，和这种检测技术还原会话数据，使的检测空间扩艘到整个会话流，而且一定程度上避免，规避技术的影响，其难点在丁如何高效的缓冲会话数据和选择什么时机提交层数据到检测

16、引擎。由于必须维持会话的状态和数据，这种检测技术的计算量很大，性能不高，不适合于对强到达流网络服务的检测。由于历史原冈和的开放性，的实现方式并不统一，因此层入侵检测的最大问题在于其只能模仿其中一种策略进行数据的还原运算，和端系统实际表现不能非常严格保持一致，但对二重点保护的特定网络系统有较好的抗规避效果。随着技术的进步，述种入侵检测技术也在不断的发展。单包榆测系统可以通过协议分析等手段进一步减少匹配的数据范围，也可以根据负载中的报文首部信息（例如位）进行简单的会话状态判断。多包联合检测技术则适合剥人流量网络进行分布式采集和集中式检测。层入侵检测更多地被用于对特定环境的重点网络服务的

17、审计。入侵检测研究现状方面目前关于入侵检测的研究主要包括入侵检测体系结构、可替代检测技术和入侵响应这）入侵检羽体系结构：早期的入侵检测系统都娃单点式的，而没有考虑协同检测以及其他安全设备的互通问题美）人学分校的（，通用入侵检测框架，【】）研究探讨通用的入侵检测体系结构并引发，这个领域的相关研究，目前有基于主机代理基于分布式网络传感器，基二移动代理等研究方向。）检测技术：关于检测技术的研究一直比较活跃，虽初的研究很多都是基于特征检测（）的，因此各种高速匹配算法陆续出现【”。很多关于字符串匹配卡门动机方面的成果对后期的入侵检测研究具有极大的指导意义。年代以来，各种入，：第章一言侵检测技术纷纷出现

18、，检测算法的研究呈多样化趋势【。数据挖掘（）：一种从大量的实体数据中抽象出模型的处理技术，其发现潜在知谚的过程可用于建立入侵检测模型，序列模式的挖掘和高效维护算法是目前研究的重点。由于数据挖掘技术要求一定的训练期，并且运算耗费比较大，目前基于数据挖掘的入侵检测还缺乏比较实用的高效算法。免疫系统方法（）：由美国新墨两哥大学提出的基于免疫系统方法的入侵检测【】将生理免疫系统原理应用于系统保护机制中，其关键在于识别“自我（）”和“非自我（）”的能力，类似于免疫系统中决定实体无害利有害。该方法具备很好的前景，但由于必须丁事先对“自我”有完整的描述，很难成为入侵检测的彻底解决方案。有色网（

19、，）：这种检测方法用来描述榆测规则，采用的推理机制，按照字符匹配的原理在离散事什流内旺配给定模式的事件序列。年在总结攻击模式的分类的基础上使用有色网给山了一个原型系统，首次将有色网技术用于设计入侵检测的匹配引擎，但是基有色网的多模式匹配问题至今仍没有得到很好的结果。此后荚国大学的”从移动代理的角度进行研究也取得了开创性的进展。这种检测方法最大的优势在丁有色网的描述能力很强【，因而系统的规则表达方式很灵活，检测的正确率高。）入侵响应（）：指能够阻入侵行为、降低系统遭受的损失、甚至对系统进行恢复的系统，其作方式可以分为主动响应和被动响应两人类”，前者指不通过管理员直接对被攻击的目标系统采

20、取有针对性的保护动作，后者则并不直接对被攻击目标采取有针对性的动作【。这个领域内的研究主要从响应政策和响应机制两个角度进行。已有的不足本节介绍个试验，爿：由此引对已有的两方面漏报问题的关注与分析，本文的研究针对这两种漏报问题展开，侧最于分析解决第一类漏报问题。复杂攻击的检测通常有经验的攻击者会选择巾继攻击或者心受害主机做中继服务器来逃避入侵检测，其原理都是通过远程控制技术利中继土机向受害土机进行攻击，人为地将攻击的控制流和数据流分裂到不同的时间和不同的卒问里面，使传统意义上的很难检测。服务由二协议设计时专注丁开放性和使崩方便，所以常常被攻击者利用实施中继攻击，通常称做攻击。攻击（又称攻击或反

21、弹攻击）针对协议本身的漏洞进行，利用协议不审查命令参数的漏洞将数据通过服务器上载（）到别的主机任意端口，可能造成权限提升，恶意扫描等后果。该类攻击可以将事先载到相关目录下的恶意脚本二载到别的主机的网络端口上，形成信任关系的传递币】攻东南大学顺士学位论文击者权限的提升，也可以根据这种反射机制绕过防火墙进行连接试探，即网络扫描。关丁的漏洞详细信息可以参考的公告。由于该攻击利用规范的漏洞，通过第三方去连接目标，这样不仅使追踪攻击者变得困难，并且能够避开基于网络地址的访问限制，还能够绕过某些友好的防火墙【。这一类的攻击本质都是利中问受害主机即服务器之连接别的主机特权端口，而作为远干呈脚

22、本（）服务至今仍被广泛川来维护系统，备份文件，具有一定代表性，因此本文选择攻击实例。服务可以定制主机信任关系”，卜面观察通过服务的指令利用服务信任关系上载攻击脚本的攻击过程：；哇￥，：垒删雠：一一，）：，。世唧芏，垒捌州图攻击序列）在通过扫描或其他手段获取、上开放的服务信息，包括和服务：）事先在的服务器空内上传一个文件（攻击脚本）；）存上执行指令，指定目标为的端口，返还指令成功信息；）发起向的特权端口（这里以为例）连接；）命令控制传输内辑为文什；）返同信息，文什被上载到的端；）山丁和具备信任关系，主机将执行文什，主机被攻击。个简单的攻击文件的例子是“”，该脚本的实施会造成受害

23、主机的内核链接被删除。为安全的模拟攻击，主机上运行“，对：进行侦听，并将接受到的字符剑屏幕上。这一类攻击还包括，和利用或者等应用结合协议来打丌防伸通常系统在文件记录占任关系；服务常用端口”这罩的服务器为，个遵循的服务器，：”，儿命令，具为，境下的嘲络调试工具，常被黑窖用咀做中继服务来绕过防火墒或逃避入侵检测：第章引言火墙的访问控制等很多表现形式，其特点为是通过协议的漏洞通过服务器对第者进行攻击，传统的简单分析的入侵检测系统很难完整重构整个攻击过稃。图显示了通过控制台手进行攻击的指令，其中命令指定的上载端口号以两个削逗号隔开的阿拉伯数字形式给出，如果这两个数字按顺序为和，则端口号为（

24、）十罕司一一！：三一二时间图：攻击序列图图：攻击示意图这个攻击一共包含个步骤，其中可以通过网络数据分析来检测其中的步骤撕，而步骤的形式并不固定可以是端几扫描或主机扫描等，步骤分布在两个会话空问中，：（）一：平，：一：（）。传统的无法将这些不同仃点不同时刻信息保存下来综台分析，因而很难检测类似的复；攻击。本文研究的层次型入侵检测模型运用传统来发现可能属于复杂攻击某个步骤的行为，再对传统输出进行基于网的匹配运算来检测复杂攻击。规避入侵检测在研究过程中，我们在不同的平台进行了模拟攻击试验，包括和（），和，在使用系统缺省的工具进行控制连接的交互时，发现不同的系统会采取不同的数据传输方式

25、。考察一次登录实例，用户账号从系统为的主机登录到地址为，在平台上运行的服务器通常方式为到主机的端，待连接建立后输入指令“”。通过 ”捕获的网络包如图（省略了部分信息）。”这罩用号代替叫史密码”，皋于的州络嗅包器，遵循，柱：东南大学颤十学位论文图：捕获的平台报文山蚓可以清晰地看出， “”整个命令行在输入回年符之前就经被输出至会话、，进一步地观察数据包出现序列（附录）可以发现，在客户端每产生一个击键动作，就会有一个字节的数据被发送到服务器，不论是否为可硅示字符。层检测系统可能因此被规避：别有用心的用户可以通过控制发送到服务器端每个包所包含的负载和其出现顺序，将恶意指令分割斤再发送出去，

26、则层无法检测原语“”。爱器凳篓；。：；糕卅。图：捕获的平台报文采用下雄供的工具则表现另外一种性质。从地址为的服务器登录剑运行的服务器，以账号登录，同样的指令序列在中町以得到图。进步的观察报文数据序列（附录）则可以观察到这时终端程序维持个行缓冲，在用户输入刨车符时才将整个命令彳丁起提交，在我们的局域网环境下（以太网的为 “），由丁行信息的最大长度是，系统选择在一个数据包里面提交整个命令行。基于层的入侵检测以包为单市进行检测，而攻击者可以摹上述原理通过控制数据包的传输顺序等技术达到规避层入侵检测的目的，【对利川协议来规避入仪检测进行了深入的探讨。网络服务进程面对的是层传输来的数据

27、流，而层封装的是层负载，出于容错和可用性考虑，协议中两者并；要求完个一致，并且由于网络的开放性和历史原因，不同主机系统的分片和报义重组策略不尽相同。最第章引言初的设计是为了满足最人程度的可用性和开放性，忽略了网络安全问题利网络服务的规范性，目前检测规避技术已经很成熟，规避上具和脚本可以很容易的从网络中卜载得到，攻击者也小需要知道太多网络基本原理也可以实施检测规避，这个现象也符合陶所示趋贽。另外还有一种才：属丁漏报的问题，即针对入侵检测的攻击。攻击者可以不完成攻击而只要简单地将携带敏感数据的报文发送到入侵检测能够侦听的网络，采用自动化的脚本可以快速地大量发送定制的包，攻击代价非常小，而层

28、入侵检测系统则忙碌于大量的无效攻击，会造成记录日。基满，系统资源耗尽，数据库服务器拥塞等问题。本文研究采用重组（）和会话重组（）自方法来限制规避技术对入侵检测的影响。对复杂攻击的检测需要分析来自不同空间不同类犁的离散事件信息，需要一套理论和方法来规范什么信息需要被关注，什么信息需要被关联，哪些关联必须串行处理利哪些关联可以并发实施，有色网具备并发语义和强大的表达能力，因此本文采片】有色网来描述安令事件之间的关系，设计检测模型，并运用该模型从事件记录中匹配复杂攻击。有色网理论网网（）是异步）发系统建模与分析的一种重要具，它是由德国科学家教授丁年在其博士论文中首先创立的，先生用它来描述

29、离散事件之间的关系并试图由此创造一种兼徉计算机科学利物理两者的语苦利概念构架的“自然法”】：该构架能够很好地描述错综复杂的事件之问的顺序、并行、异步等关系。网的结构元素包括：库所（，位置）、变迁（）乖弧（）。库所用于描述能的系统局部状态（或生产资料、角色等静态因素），变迁用于描述修改系统状态的事件（或生产活动、活动等动态因素），而弧规定了局部状态和事件之间的关系：引述事什能够发牛的局部状态和由事件引发的局部状态转换。在网模型中，托肯（，标记）包含在库所中它们在库所中的动态变化表示系统的不同状态。网模犁的状态转换是局部的，仅仅涉及一个变迁通过输入弧和输出弧连接的库所的变化，利用这个

30、特性可以很容易地描述行行系统。关丁基本网系统的形式化定义“以参】本文不再复述。有色网随着计算机科学的发展，人”发现基本系统在实际应用，存在其固有的缺陷：对类似的事件（如“崩户登录失败”与“崩户登录火败” ）及类似的状态（如“用户登录失败一次”与“用户登录失败一次”），基本都要使用不同的变迁与库所描述，即使是简单的系统，模酗也相当庞人。为了解决这个问题，【卜介绍了增加托肖个性的系统东南大学硕上学位论文和有色网（，）等高级网系统。有色网的基本思路是给库所与变迁加上“颜色”（，类别），以区别类似的书件与状态的不同的实例。以托肯集合的多重集来定义每个库所的颜色集（）。例如：系统中管理两个州户“”和“ ”，库所，表示“用户登录失败”，为，的托肯集合为，那么的颜色集为（）（，）。则取颜色、，、）则表示状态：“州户登录失败一次，用户登录失败两次”。山丁相互类似的事件或状态南单一的变迁表示，因此模型简洁，规模变小。扩展了基本网系统，使之呵以支持彳同的类型标记（颜色），并支持变量的合一操作（）以及变迁约束条件（），从而减小了嘲的规模，使其在实际问题中的应用成为可能，关于有色网的标准化作也比较完整”“，的归档也有比较系统的技术方案【，本文的研究采用有色网来捕述网络攻击。下面给出的定义：）符号”表不多重集（或，

展开阅读全文