【正文】 分析時(shí)首先針對(duì)每一種入侵方法確定系統(tǒng)的初始狀態(tài)和被入侵狀態(tài)，以及導(dǎo)致?tīng)顟B(tài)轉(zhuǎn)換的轉(zhuǎn)換條件，即導(dǎo)致系統(tǒng)進(jìn)入被入侵狀態(tài)必須執(zhí)行的操作(特征事件)。這種方法的缺陷也和所有基于知識(shí)的檢測(cè)方法一樣，即需要經(jīng)常為新發(fā)現(xiàn)的系統(tǒng)漏洞更新知識(shí)庫(kù)。 基于知識(shí)的檢測(cè)基于知識(shí)的檢測(cè)指運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過(guò)判斷這些入侵模式是否出現(xiàn)來(lái)檢測(cè)。則這個(gè)特征值可以用所有Si值的加權(quán)平方和來(lái)表示：　　M=a1s12+ a2s22+…+ ansn2，ai0，其中ai表示每一特征的權(quán)重。分析系統(tǒng)可以采用兩種類(lèi)型的檢測(cè)技術(shù)，基于行為的檢測(cè)和基于知識(shí)的檢測(cè)。 推與拉技術(shù)存儲(chǔ)系統(tǒng)從事件發(fā)生器（網(wǎng)絡(luò)引擎、主機(jī)代理）和其他部件中提取數(shù)據(jù)有兩種方案：推(PUSH)和拉(PULL)。 數(shù)據(jù)縮減 即使編寫(xiě)的很好的過(guò)濾器也會(huì)出現(xiàn)誤報(bào)警。第一種選擇的優(yōu)點(diǎn)在于，一旦制定了載入原始數(shù)據(jù)的方法并對(duì)它們進(jìn)行處理，就解決的數(shù)據(jù)載入的所有問(wèn)題。因?yàn)橥ǔ＞W(wǎng)絡(luò)數(shù)據(jù)都是停留在換的網(wǎng)段內(nèi)部。對(duì)于用戶(hù)行為的分析也是一個(gè)監(jiān)測(cè)方面。一個(gè)進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。 主機(jī)代理基于主機(jī)的入侵檢測(cè)要依賴(lài)于特定的操作系統(tǒng)和審計(jì)跟蹤日志獲取信息，此類(lèi)系統(tǒng)的原始數(shù)據(jù)來(lái)源受到所依附具體操作系統(tǒng)平臺(tái)的限制，系統(tǒng)的實(shí)現(xiàn)主要針對(duì)某種特定的系統(tǒng)平臺(tái)，在環(huán)境適應(yīng)性、可移植性方面問(wèn)題較多。數(shù)據(jù)分析函數(shù)不僅僅由數(shù)據(jù)包觸發(fā)，也可以是系統(tǒng)定義的某一個(gè)事件來(lái)觸發(fā)?？梢园阉械膮f(xié)議構(gòu)成一棵協(xié)議樹(shù)，一個(gè)特定的協(xié)議是該樹(shù)結(jié)構(gòu)中的一個(gè)結(jié)點(diǎn)，可以用一棵二叉樹(shù)來(lái)表示（如圖3－3）。HTTP協(xié)議規(guī)定第55字節(jié)是URL開(kāi)始處，我們要檢測(cè)供給特征“GET /cgibin/./phf”，因此要仔細(xì)檢測(cè)這個(gè)URL。但以上的匹配方法卻不能檢測(cè)。4．使用具有網(wǎng)絡(luò)接口檢測(cè)功能的主機(jī)代理。如果檢測(cè)器要在交換網(wǎng)絡(luò)中工作，就必須對(duì)它進(jìn)行測(cè)試。2. 檢測(cè)器在防火墻內(nèi)有一些研究者認(rèn)為檢測(cè)器應(yīng)放在防火墻內(nèi)部，這種做法也有幾個(gè)充分理由，他們認(rèn)為，如果攻擊者能夠發(fā)現(xiàn)檢測(cè)器，就可能會(huì)對(duì)檢測(cè)器進(jìn)行攻擊，從而減小攻擊者的行動(dòng)被審計(jì)的機(jī)會(huì)，防火墻內(nèi)的系統(tǒng)會(huì)比外面的系統(tǒng)脆弱性少一些，如果檢測(cè)器在防火墻內(nèi)就會(huì)少一些干擾，從而有可能減少誤報(bào)警 。也可以采取保護(hù)性措施，如切斷入侵者的TCP連接、修改路由器的訪問(wèn)控制策略等。圖2－1 ODID系統(tǒng)框圖 ODIDS的主要部件有：網(wǎng)絡(luò)引擎(Network Engine)、主機(jī)代理(Host Agent)、存儲(chǔ)系統(tǒng)(Storage System)、分析系統(tǒng)(analyzer)、響應(yīng)系統(tǒng)(Response System)、控制臺(tái)（Manager Console）?？蓴U(kuò)展性要求：因?yàn)榇嬖诔汕先f(wàn)種不同的已知和未知的攻擊手段，它們的攻擊行為特征也各不相同。借或網(wǎng)絡(luò)的每一個(gè)數(shù)據(jù)包，并分析、匹配其中是否具有某種攻擊的特征需要花費(fèi)時(shí)間和系統(tǒng)資源。基于異常的檢測(cè)技術(shù)的核心是維護(hù)一個(gè)入侵模式庫(kù)。2．基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)技術(shù)[12]如上所述，基于審計(jì)統(tǒng)計(jì)數(shù)據(jù)的攻擊檢測(cè)系統(tǒng)，具有一些天生的弱點(diǎn)，因?yàn)橛脩?hù)的行為可以是非常復(fù)雜的，所以想要準(zhǔn)確匹配一個(gè)用戶(hù)的歷史行為和當(dāng)前的行為是相當(dāng)困難的。在下一代的入侵檢測(cè)系統(tǒng)中，將把現(xiàn)在的基于網(wǎng)絡(luò)和基于主機(jī)這兩種檢測(cè)技術(shù)很好地集成起來(lái)，提供集成化的攻擊簽名、檢測(cè)、報(bào)告和事件關(guān)聯(lián)功能。所以攻擊者無(wú)法轉(zhuǎn)移證據(jù)。在這方面，基于主機(jī)的IDS是基于網(wǎng)絡(luò)的IDS完美補(bǔ)充，網(wǎng)絡(luò)部分可以盡早提供警告，主機(jī)部分可以確定攻擊成功與否2．基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源。l 視野集中 一旦入侵者得到了一個(gè)主機(jī)的用戶(hù)名和口令，基于主機(jī)的代理是最有可能區(qū)分正常的活動(dòng)和非法的活動(dòng)的。這類(lèi)檢測(cè)方法將基于網(wǎng)絡(luò)的入侵檢測(cè)的基本方法融入到基于主機(jī)的檢測(cè)環(huán)境中。防護(hù)、檢測(cè)和響應(yīng)組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)。即防外不防內(nèi)。但是，“什么事情也沒(méi)有”也正是導(dǎo)致忽視安全問(wèn)題的原因所在。本課題是網(wǎng)絡(luò)安全實(shí)驗(yàn)室自擬課題“網(wǎng)絡(luò)數(shù)據(jù)分析”的一部分。作者簽名：　　 　 　　 日　 期：　　 　 　　 學(xué)位論文原創(chuàng)性聲明本人鄭重聲明：所呈交的論文是本人在導(dǎo)師的指導(dǎo)下獨(dú)立進(jìn)行研究所取得的研究成果。他對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)，它不僅檢測(cè)來(lái)自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶(hù)的未授權(quán)活動(dòng)。本人授權(quán)　　 　 　大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫(kù)進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。入侵檢測(cè)系統(tǒng)在未來(lái)的網(wǎng)絡(luò)安全和軍事斗爭(zhēng)中將起到非常重要的作用。傳統(tǒng)的信息安全技術(shù)都集中在系統(tǒng)自身的加固和防護(hù)上。一般來(lái)說(shuō)，由多個(gè)系統(tǒng)（路由器、過(guò)濾器、代理服務(wù)器、網(wǎng)關(guān)、堡壘主機(jī)）組成的防火墻，管理上有所疏忽是在所難免的。在這一較為簡(jiǎn)單的環(huán)境里，檢查可疑行為的檢驗(yàn)記錄是很常見(jiàn)的操作。l 更加細(xì)膩 這種方法可以很容易地監(jiān)測(cè)一些活動(dòng)，如對(duì)敏感文件、目錄、程序或端口的存取，而這些活動(dòng)很難在基于網(wǎng)絡(luò)的系統(tǒng)中被發(fā)現(xiàn)。因?yàn)樗鼈儾恍枰诰W(wǎng)絡(luò)上另外安裝登記、維護(hù)及管理的硬件設(shè)備。實(shí)際上，許多客戶(hù)在最初使用IDS時(shí)，都配置了基于網(wǎng)絡(luò)的入侵檢測(cè)。l 占資源少 在被保護(hù)的設(shè)備上不用占用任何資源。檢測(cè)主要判別所搜集到的數(shù)據(jù)特征是否在所收集到的入侵模式庫(kù)中出現(xiàn)。由此專(zhuān)家系統(tǒng)自動(dòng)進(jìn)行對(duì)所涉及的攻擊操作的分析工作。它將一個(gè)入侵檢測(cè)系統(tǒng)分為以下組件：l 事件產(chǎn)生器（Event generators）l 事件分析器（Event analyzersl 響應(yīng)單元（Response units ）l 事件數(shù)據(jù)庫(kù)（Event databases ）CIDF將入侵檢測(cè)系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱(chēng)為事件（event）,它可以是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)中網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是基于主機(jī)的入侵檢測(cè)系統(tǒng)從系統(tǒng)日志等其他途徑得到的信息。在如今每天都有新漏洞發(fā)布、每天都有新的攻擊方法產(chǎn)生的情況下顯然不能滿足安全需求。適應(yīng)性也包括入侵檢測(cè)系統(tǒng)本身對(duì)其宿主平臺(tái)的適應(yīng)性，即：跨平臺(tái)工作的能力，適應(yīng)其宿主平臺(tái)軟、硬件配置的各種不同情況。 存儲(chǔ)系統(tǒng)的作用是用來(lái)存貯事件產(chǎn)生器捕獲的原始數(shù)據(jù)、分析結(jié)果等重要數(shù)據(jù)。在大型網(wǎng)絡(luò)中，分析系統(tǒng)工作負(fù)載大、存儲(chǔ)系統(tǒng)工作量也大，所以應(yīng)該分布在不同的計(jì)算機(jī)上。它們可不僅僅是個(gè)口號(hào)。由于交換機(jī)不采用共享媒質(zhì)的辦法，傳統(tǒng)的采用一個(gè)sniffer來(lái)監(jiān)聽(tīng)整個(gè)子網(wǎng)的辦法不再可行。他的分析速度快、誤報(bào)率小等優(yōu)點(diǎn)是其它分析方法不可比擬的。協(xié)議分析有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié)議的知識(shí)快速地判斷攻擊特征是否存在。網(wǎng)絡(luò)監(jiān)聽(tīng)模塊的過(guò)濾功能的效率是該網(wǎng)絡(luò)監(jiān)聽(tīng)的關(guān)鍵，因?yàn)閷?duì)于網(wǎng)絡(luò)上的每一數(shù)據(jù)包都會(huì)使用該模塊過(guò)濾，判斷是否符合過(guò)濾條件。協(xié)議名稱(chēng)是該協(xié)議的唯一標(biāo)志。如發(fā)現(xiàn)一個(gè)HTTP請(qǐng)求某個(gè)服務(wù)器上的“/cgibin/phf”,這很很可能是一個(gè)攻擊者正在尋找系統(tǒng)的CGI漏洞。通過(guò)查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)程序。日志分析： 日志分析是最早出現(xiàn)的入侵檢測(cè)的方法，開(kāi)始于六、七十年代。比如對(duì)于斷口掃描的檢測(cè)，在網(wǎng)絡(luò)接口防護(hù)中檢測(cè)對(duì)本地主機(jī)的斷口掃描比在網(wǎng)絡(luò)引擎中檢測(cè)要容易得多。2. 網(wǎng)絡(luò)棧在數(shù)據(jù)包到達(dá)主機(jī)網(wǎng)絡(luò)接口檢測(cè)器之前即已將它們解密。如果每個(gè)數(shù)據(jù)得到就提交一次，這樣對(duì)信息處理會(huì)提供方便但對(duì)影響系統(tǒng)的運(yùn)行性能。這個(gè)數(shù)據(jù)庫(kù)應(yīng)該建立多重索引和優(yōu)化，以便能夠進(jìn)行最有效的搜索。經(jīng)過(guò)一段時(shí)間的觀察，攻擊者就能夠判斷出哪些是檢測(cè)器所忽略的。尤其在用戶(hù)數(shù)目眾多，或工作目的經(jīng)常改變的環(huán)境中。其次，定義是否入侵的判斷閾值也比較困難。并且檢測(cè)范圍受已知知識(shí)的局限，尤其是難以檢測(cè)出內(nèi)部人員的入侵行為，如合法用戶(hù)的泄漏，因?yàn)檫@些入侵行為并沒(méi)有利用系統(tǒng)脆弱性。檢測(cè)時(shí)先將這些攻擊腳本的子集看作系統(tǒng)正面臨的攻擊。雖然很復(fù)雜的入侵特征能用Petri網(wǎng)表達(dá)得很簡(jiǎn)單，但是對(duì)原始數(shù)據(jù)匹配時(shí)的計(jì)算量卻會(huì)很大?！　∧Ｐ屯评矸椒ǖ膬?yōu)越性有：對(duì)不確定性的推理有合理的數(shù)學(xué)理論基礎(chǔ)，同時(shí)決策器使得攻擊腳本可以與審計(jì)記錄的上下文無(wú)關(guān)。在具體實(shí)現(xiàn)中，專(zhuān)家系統(tǒng)主要面臨一下問(wèn)題：1. 全面性問(wèn)題，即難以科學(xué)地從各種入侵手段中抽象出全面的規(guī)則化知識(shí)；2. 效率問(wèn)題，即所需處理的數(shù)據(jù)量過(guò)大，而且在大型系統(tǒng)上，如何獲得實(shí)時(shí)連續(xù)的審計(jì)數(shù)據(jù)也是個(gè)問(wèn)題。根據(jù)用戶(hù)的代表性命令序列訓(xùn)練網(wǎng)絡(luò)后，該網(wǎng)絡(luò)就形成了相應(yīng)用戶(hù)的特征表，于是網(wǎng)絡(luò)對(duì)下一事件的預(yù)測(cè)錯(cuò)誤率在一定程度上反映了用戶(hù)行為的異常程度。用于描述特征的變量類(lèi)型有：1)操作密度：度量操作執(zhí)行的速率，常用于檢測(cè)通過(guò)長(zhǎng)時(shí)間平均覺(jué)察不到的異常行為；2)審計(jì)記錄分布：度量在最新紀(jì)錄中所有操作類(lèi)型的分布；3)范疇尺度：度量在一定動(dòng)作范疇內(nèi)特定操作的分布情況；4)數(shù)值尺度：度量那些產(chǎn)生數(shù)值結(jié)果的操作，如CPU使用量，I/O使用量。但拉結(jié)構(gòu)有一個(gè)很好的應(yīng)用就是隱藏檢測(cè)器。 系統(tǒng)提供兩種保存原始數(shù)據(jù)的設(shè)置方式：按時(shí)間和按存儲(chǔ)容量。為了提高檢測(cè)粒度，就可以將提交的數(shù)量適量增大。我們選擇現(xiàn)有的數(shù)據(jù)庫(kù)系統(tǒng)來(lái)建立存儲(chǔ)系統(tǒng)。隨著網(wǎng)絡(luò)速度的加快，有時(shí)候網(wǎng)絡(luò)傳感器的工作速度可能無(wú)法跟上網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)乃俣取９粽咭话愣紩?huì)添加、刪除或更改一些敏感的文件獲得權(quán)限或者留下后門(mén)，所以檢測(cè)這些文件的改變可以得到攻擊的信息。3．程序執(zhí)行中的不期望行為網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶(hù)起動(dòng)的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫(kù)服務(wù)器。對(duì)于已經(jīng)有的分析功能，可以在入侵特征數(shù)據(jù)庫(kù)中添加新的入侵特征，以增強(qiáng)現(xiàn)有模式匹配分析方法的檢測(cè)能力。圖3－3 協(xié)議樹(shù)示意圖數(shù)據(jù)分析：數(shù)據(jù)分析模塊的功能是分析某一特定協(xié)議數(shù)據(jù)，得出是否關(guān)注該主機(jī)的結(jié)論。數(shù)據(jù)包監(jiān)聽(tīng)設(shè)備驅(qū)動(dòng)程序直接從數(shù)據(jù)鏈路層取得網(wǎng)絡(luò)數(shù)據(jù)包不加修改地傳遞給運(yùn)行在用戶(hù)層的應(yīng)用程序，他在不同的WINDOWS系統(tǒng)下是不同。2〕 IP協(xié)議規(guī)定IP包的第24字節(jié)處有一個(gè)1字節(jié)的第四層協(xié)議標(biāo)識(shí)。下面給出一個(gè)例子可以很高的說(shuō)明其工作原理。優(yōu)點(diǎn)：可得到幾乎所有關(guān)鍵數(shù)據(jù)。4. 檢測(cè)器的其他位置檢測(cè)器最通常的位置在防火墻外，但這當(dāng)然不是唯一一個(gè)對(duì)機(jī)構(gòu)有利的擺放位置。DMZ 是介于ISP和最外端防火墻界面之間的區(qū)域。同時(shí)負(fù)責(zé)分布式攻擊進(jìn)行檢測(cè)。 系統(tǒng)概述 ODIDS系統(tǒng)是基于部件的分布式入侵檢測(cè)系統(tǒng)。但入侵檢測(cè)系統(tǒng)不能很好的和其他安全產(chǎn)品協(xié)作。在現(xiàn)有的入侵檢測(cè)系統(tǒng)中，經(jīng)常用數(shù)據(jù)采集部分、分析部分和響應(yīng)部分來(lái)分別代替事件產(chǎn)生器、事件分析器和響應(yīng)單元這些術(shù)語(yǔ)。用基于模型的推理方法人們能夠?yàn)槟承┬袨榻⑻囟ǖ哪Ｐ?，從而能夠監(jiān)視具有特定行為特征的某些活動(dòng)。審計(jì)系統(tǒng)實(shí)時(shí)地檢測(cè)用戶(hù)對(duì)系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保持的用戶(hù)行為的概率統(tǒng)計(jì)模型進(jìn)行監(jiān)測(cè)，當(dāng)發(fā)現(xiàn)有可疑的用戶(hù)行為發(fā)生時(shí)，保持跟蹤并監(jiān)測(cè)該用戶(hù)的行為?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以研究負(fù)載的內(nèi)容，查找特定攻擊中使用的命令或語(yǔ)法，這類(lèi)攻擊可以被實(shí)時(shí)檢查包序列的入侵檢測(cè)系統(tǒng)迅速識(shí)別。l 視野更寬 基于網(wǎng)絡(luò)的入侵檢測(cè)甚至可以在網(wǎng)絡(luò)的邊緣上，即攻擊者還沒(méi)能接入網(wǎng)絡(luò)時(shí)就被發(fā)現(xiàn)并制止。基于主機(jī)的入侵檢測(cè)系統(tǒng)可安裝在所需的重要主機(jī)上，在交換的環(huán)境中具有更高的能見(jiàn)度。一旦發(fā)生了更改，基于主機(jī)的IDS就能檢測(cè)到這種不適當(dāng)?shù)母?。如果匹配，系統(tǒng)就會(huì)向管理員報(bào)警并向別的目標(biāo)報(bào)告，以采取措施。再次，保證信息系統(tǒng)安全的經(jīng)典手段是“存取控制”或“訪問(wèn)控制”，這種手段在經(jīng)典的以及現(xiàn)代的安全理論中都是實(shí)行系統(tǒng)安全策略的最重要的手段。這些措施實(shí)際上就是一些緊急應(yīng)對(duì)和響應(yīng)措施。系統(tǒng)性能的高低在一定程度上可以通過(guò)量化指標(biāo)來(lái)表現(xiàn)。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。關(guān)鍵字 入侵檢測(cè)；模式匹配AbstractWith more and more site intruded by hackers, security expert found than only use crypt technology to build a security system is not enough. The Intrusion Detection is a new security technology, apart from tradition security protect technology, such as firewall and data crypt. IDSs watch the puter and network traffic for intrusive and suspicious activities. they not only detect the intrusion from the Extranet hacker, but also the intranet users.We design a ponentbased Intrusion Detection System, which has good distribute and scalable ability. It bine the networkbased IDS and hostbased IDS into a system, and provide detection, report and respone together.In the implement of the network engine, the bination of network protocol analyze and pattern match technology is used, and reduce scope to search. We also improved pattern match algorithm, the network engine can search intrusion signal more quickly. We use network interface detection in host agent, which will enable the IDS