【正文】 果、網(wǎng)絡(luò)上其他入侵檢測系統(tǒng)發(fā)送來數(shù)據(jù)等都可以觸發(fā)一個(gè)始數(shù)據(jù)分析函數(shù)的啟動(dòng)檢測。一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個(gè)葉子的路徑。 可以看出，利用協(xié)議分析可以大大減小模式匹配的計(jì)算量，提高匹配的精確度，減少誤報(bào)率。 傳統(tǒng)的模式匹配的檢測方法的問題根本是他把網(wǎng)絡(luò)數(shù)據(jù)包看作是無序的隨意的字節(jié)流。 分 布式入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 19 第三章 網(wǎng)絡(luò)引擎和主機(jī)代理 網(wǎng)絡(luò)引擎的設(shè)計(jì) 網(wǎng)絡(luò)引擎通過分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，得到可能入侵的信息。 TCP 是雙向協(xié)議，分析員必須確保計(jì)策器能從對話雙方接收信息。如果本應(yīng)該被防火墻封鎖的攻擊滲透近來，檢測器在防火墻內(nèi)檢測到或就能發(fā)現(xiàn)防火墻的設(shè)置失誤。也可以采取主動(dòng)的反擊策略，對攻擊者進(jìn)行如 DOS 攻擊等，但這種以毒攻毒的方法在法律上是不許可的。 分 布式入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 15 網(wǎng)絡(luò)引擎和主機(jī)代理屬 于 CIDF 中的 事件產(chǎn)生器（ Event generators）。所以必須建立一種機(jī)制，把入侵檢測系統(tǒng)的體系結(jié)構(gòu)與使用策略區(qū)分開?，F(xiàn)有的入侵檢測系統(tǒng)在 10M網(wǎng)上檢查所有數(shù)據(jù)包中的幾十種攻擊特征時(shí)可以很好地工作。對于已知得攻擊，它可以詳細(xì)、準(zhǔn)確的報(bào)告報(bào)告出攻擊類型，但是對未知攻擊卻效果有限，而且入侵模式庫必須不斷更新。錯(cuò)發(fā)的警報(bào)往往來自于對審計(jì)數(shù)據(jù)的統(tǒng)計(jì)算法所基于的不準(zhǔn)確或不貼切的假設(shè)。相信未來的集成化的入侵檢測產(chǎn)品不僅功能更加強(qiáng)大，而且部署和使用上也更加靈活方便。被捕獲的數(shù)據(jù)不僅包括的攻擊的方法，而且還包括可識別黑客身份和對其進(jìn)行起訴的信息?；诰W(wǎng)絡(luò)的IDS 通常利用一個(gè)運(yùn)行在隨機(jī)模式下網(wǎng)絡(luò)的適配器來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。 ? 易于用戶剪裁 每一個(gè)主機(jī)有其自己的代理，當(dāng)然用戶剪裁更方便了。 盡管基于主機(jī)的入侵檢查系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢查系統(tǒng)快捷，但它確實(shí)具有基于網(wǎng)絡(luò)的系統(tǒng)無法比擬的優(yōu)點(diǎn)。 入侵檢測系統(tǒng) 入 侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置 和 漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為、對異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集和系 統(tǒng) 相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識別違反安全法規(guī) 的行為、使用誘騙服務(wù)器記錄黑客行為等功能， 使 系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評估自己的系統(tǒng)。而據(jù)權(quán)威部門統(tǒng)計(jì)結(jié)果表明，網(wǎng)絡(luò)上的安全攻擊事件有 70%以上來自內(nèi)部攻擊。實(shí)際上，安全就是防范潛在的危機(jī)。我們的目標(biāo)是設(shè)計(jì)一個(gè)分布式的入侵檢測系統(tǒng)，它具有可擴(kuò)展性、跨平臺性、安全性和開放性，并實(shí)現(xiàn)了其中的網(wǎng)絡(luò)引擎部分。對本文的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式標(biāo)明。分布式入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 分布式入侵監(jiān)測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 摘 要 隨著黑客入侵事件的日益猖獗，人們發(fā)現(xiàn)只從防御的角度構(gòu)造安全系統(tǒng)是不夠的。本人完全意識到本聲明的法律后果由本人承擔(dān)。 目前入侵檢測品主要廠商有 ISS 公司（ RealSecure）、 Axent 公司（ ITA、ESM）， 以 及 NAI（ CyberCop Monitor）。 TCSEC 難以適應(yīng)新的網(wǎng)絡(luò)環(huán)境 在 信息安全的發(fā)展史上有一個(gè)里程碑，這就是 1985 年美國國防部（ DoD）國家計(jì) 算 機(jī)安全中心（ NCSC）發(fā)布的可信計(jì)算機(jī)安全評估準(zhǔn)則（ TCSEC） [1]。 .防火墻難于管理和配置，易造成安全漏洞 。 由于入侵檢測和響應(yīng)密切相關(guān)，而且現(xiàn)在沒有獨(dú)立的響應(yīng)系統(tǒng)，所以決大多數(shù)的入侵檢測系統(tǒng)都具有響應(yīng)功能。這些優(yōu)點(diǎn)包括 ： ? 性能價(jià)格比高 在主機(jī)數(shù)量較少的情況下，這種方法的性能價(jià)格比可能更高。 ? 較少的主機(jī) 基于主機(jī)的方法有時(shí)不需要增加專門的硬件平臺。它的攻擊辯識模塊通常使用四種常用技術(shù)來識別攻擊 標(biāo)志： ? 模式、表達(dá)式或字節(jié)匹配 ? 頻率或穿越閥值 ? 次要事件的相關(guān)性 ? 統(tǒng)計(jì)學(xué)意義上的非常規(guī)現(xiàn)象檢測 一旦檢測到了攻擊行為， IDS 的響應(yīng)模塊就提供多種選項(xiàng)以通知、報(bào)警并對攻擊采取相應(yīng)的反應(yīng)。許多黑客都熟知審記記錄，他們知道如何操縱這些文件掩蓋他們的作案痕跡，如何阻止需要這些信息的基于主機(jī)的系統(tǒng)去檢測入侵 。 對各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。 SRI 的研究小組利用和發(fā)展神經(jīng)網(wǎng)絡(luò)技術(shù)來進(jìn)行攻擊檢測。基于異常發(fā)現(xiàn)的檢測技術(shù)則無法準(zhǔn)確判別出攻擊的手法，但它可以（至少在理論上可以）發(fā)現(xiàn)更廣泛的、甚至未知的攻擊分法?，F(xiàn)在很多網(wǎng)絡(luò)都是 50M、 100M 甚至千兆網(wǎng)絡(luò)，網(wǎng)絡(luò)速度的發(fā)展遠(yuǎn)遠(yuǎn)超過了數(shù)據(jù)包模式分析技術(shù)發(fā)展的速度。一個(gè)已經(jīng)建立的入侵檢測系統(tǒng)必須能夠保證在新的攻擊類型出現(xiàn)時(shí)，可以通過某種機(jī)制在無需對入侵檢測系統(tǒng)本身進(jìn)行改動(dòng)的情況下，使系統(tǒng)能夠檢測到新的攻擊行為。網(wǎng)絡(luò)引擎截獲網(wǎng)絡(luò)中的原始數(shù)據(jù)包，并從其中尋找可能的入侵信息或其他敏感信息。 控制臺是整個(gè)入侵檢測系統(tǒng)和用戶交互的界面。也許將檢測器放在防火墻內(nèi)部的最大理由就是設(shè)置良好的防火墻能夠阻止大部分的“幼稚腳本”的攻擊，使檢測器不用將大部分的注意力 分散在這類攻擊上。還必須對檢測器進(jìn)行測試以保證它能從交換位置可靠地發(fā)送數(shù)據(jù)。他不單單是一個(gè)數(shù)據(jù)產(chǎn)生和傳輸?shù)墓ぞ?，也具有一定的分析能力。他對該網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)部結(jié)構(gòu)完全不了解。 網(wǎng)絡(luò)引擎設(shè)計(jì) 網(wǎng)絡(luò)引擎一般可分為以下幾部分：數(shù)據(jù)包截獲、協(xié)議分析、數(shù)據(jù)分析、引擎管理和安全通信。在程序中動(dòng)態(tài)地維護(hù)和配置此樹結(jié)構(gòu)即可實(shí)現(xiàn)非常靈活的協(xié)議分析功能。這些靈活的觸發(fā)方式提供了良好的可配置性，也提供了一個(gè)開放的分布的平臺使各種分析技術(shù)在一個(gè)系統(tǒng)中工作。 數(shù)據(jù)來源 主機(jī)代理的數(shù)據(jù)來源不像網(wǎng)絡(luò)引擎的數(shù)據(jù)來源那樣單一，它可以在系統(tǒng)所能夠訪問的有必要的所有地方獲得數(shù)據(jù)來分析。 代理結(jié)構(gòu) 從以上可以看出，主機(jī)代理的數(shù)據(jù)來源比網(wǎng)絡(luò)引擎復(fù)雜得多，由于數(shù)據(jù)源的不同，分析方法也各不一樣。 主機(jī)網(wǎng)絡(luò)接。 主機(jī)代理分為日志分 析、文件檢測、主機(jī)網(wǎng)絡(luò)接口檢測、用戶行為監(jiān)測及管理模塊和安全通信。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或己成功入侵了系統(tǒng)。使用了快速的模式匹配算法，所有的攻擊方法被表示為模式信號存放在入侵特征數(shù)據(jù)庫中，當(dāng)前的數(shù)據(jù)如果和數(shù)據(jù)庫中某種特征匹配，就指出這是這種入侵行為。 樹的結(jié)點(diǎn)數(shù)據(jù)結(jié)構(gòu)中應(yīng)包含以下信息：該協(xié)議的特征、協(xié)議名稱、協(xié)議代號，下級協(xié)議代號，協(xié)議對應(yīng)的數(shù)據(jù)分析函數(shù)鏈表。由于效率的需要，有時(shí)要根據(jù)設(shè)置過濾網(wǎng)絡(luò)上的一些數(shù)據(jù)包，如特定 IP，特定 MAC地址、特 定協(xié)議的數(shù)據(jù)包?？墒蔷W(wǎng)絡(luò)通信協(xié)議是一個(gè)高度格式化的、具有明確含義和取值的數(shù)據(jù)流，如果將協(xié)議分析和模式匹配方法結(jié)合起來，可以獲得更好的效率、更精確的結(jié)果。 檢測匹配方法的改進(jìn) 模 式匹配是第一代和第二代入侵檢測系統(tǒng)所使用的基于攻擊特征的網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)。 分 布式入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 18 對于交換式以太網(wǎng)交換機(jī)，問題則會(huì)變得復(fù)雜。 3. 防火墻內(nèi)外都有檢測器 “越多越好”、“各有優(yōu)勢”你可能聽過這類口號。 系統(tǒng)部署 對于一個(gè)小型的網(wǎng)絡(luò)，一般把分析系統(tǒng)、存儲(chǔ)系統(tǒng)和控制臺安裝在同一個(gè)計(jì)算機(jī)上，這既是從系統(tǒng)成本上考慮，也可以增加整個(gè)系統(tǒng)的反應(yīng)速度。但他們也具有數(shù)據(jù)分析功能，對于已知的攻擊，在這些部件中所用模式匹配的方法來檢測可以大大提高系統(tǒng)的處理速度，也可以減少分析部件的工作量及系統(tǒng)網(wǎng)絡(luò)傳輸?shù)挠绊憽? 適應(yīng)性要求：入侵檢 測系統(tǒng)必須能夠適用于多種不同的環(huán)境，比如高速大容量計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，并且在系統(tǒng)環(huán)境發(fā)生改變，比如增加環(huán)境中的計(jì)算機(jī)系統(tǒng)數(shù)量，改變計(jì)算機(jī)系統(tǒng)類型時(shí)，入侵檢測系統(tǒng)應(yīng)當(dāng)依然能夠不作改變正常工作。但現(xiàn)在很多入侵檢測系統(tǒng)沒有提供了某種如“推技術(shù)”的方法來時(shí)刻更新攻擊特征。 CIDF 模型 Common Intrusion Detection Framework (CIDF)闡述了一個(gè)入侵檢測系統(tǒng)（ IDS）的通用模型。 3． 基于專家系統(tǒng)的攻擊檢測技術(shù) 進(jìn)行安全檢測工作自動(dòng)化的另外一個(gè)值得重視的研究方向就是基于專家系統(tǒng)的攻擊檢測技術(shù)，即根據(jù)安全專家對可疑行為的分析經(jīng)驗(yàn)來形成一套推理規(guī)則，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的專家系統(tǒng)。 對于基于模式匹配的檢 測技術(shù)來說，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。與之相比，基于主機(jī)的系統(tǒng)必須在特定的、沒有遭到破壞的操作系統(tǒng)中才能正常工作，生成有用的結(jié)果。 基于網(wǎng)絡(luò)的 IDS有許多僅靠基于主機(jī)的入侵檢測法無法提供的功能。這些使得基于主機(jī)的系統(tǒng)效率很高。配置一個(gè)入侵監(jiān)測系統(tǒng)要花費(fèi)$10,000 以上，而基于主機(jī)的入侵檢測系統(tǒng)對于單獨(dú)－代理標(biāo)價(jià)僅幾百美元，并且客戶只需很少的費(fèi)用用于最初的安裝。 1．基于主機(jī) 的入侵檢測系統(tǒng) 基于主機(jī)的入侵檢測出現(xiàn)在 80 年代初期，那時(shí)網(wǎng)絡(luò)還沒有今天這樣普遍、復(fù)雜，且網(wǎng)絡(luò)之間也沒有完全連通。防火墻的安全策略無法進(jìn)行集中管理。 但 是隨著網(wǎng)絡(luò)的深入發(fā)展，這個(gè)標(biāo)準(zhǔn)已經(jīng)不能完全適應(yīng) 當(dāng) 前的技術(shù)需要，因?yàn)檫@個(gè)主要基于 環(huán)境的靜態(tài)安全模型和標(biāo)準(zhǔn)無法完全反 應(yīng) 分布式、動(dòng)態(tài)變化、發(fā)展迅速的 Inter 安全問題。 其中 ISS 公司的 RealSecured 的智能攻擊識別技術(shù)是當(dāng)前IDS 系統(tǒng)中最為先進(jìn)的。本人授權(quán) 大學(xué)可以將 本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。他對計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識別和響應(yīng)，它不僅檢測來自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。 作者簽名： 日 期： 分布式入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 學(xué)位論文原創(chuàng)性聲明 本人鄭重聲明：所呈交 的論文是本人在導(dǎo)師的指導(dǎo)下獨(dú)立進(jìn)行研究所取得的研究成果?？梢姡肭謾z測技術(shù)應(yīng)該進(jìn)行進(jìn)一步的研究。 “什么事 情 也沒有 ”實(shí)際上就是安全的最高境界。 防火墻的安全控制只能作用于外對內(nèi)或內(nèi)對外，即：對外可屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，封鎖外部網(wǎng)上的用戶連接內(nèi)部網(wǎng)上的重要站點(diǎn)或某些端口，對內(nèi)可屏蔽外部危險(xiǎn)站點(diǎn)，但它很難解決內(nèi)部網(wǎng)控制內(nèi)部人員的安全問題。 圖 1－ 1 P2DR 模型 P2DR 模型包含 4 個(gè)主要部分： Policy（安全策略） Protection（防護(hù)） Detection（檢測） Response（響應(yīng)） P2DR 模型是在整體的安全策略 （ Policy） 的控制和指 導(dǎo)下，在綜合運(yùn)用防護(hù)工具 （ Protection， 如防火墻、操作系統(tǒng)身份認(rèn)證、加密等手段）的同時(shí)，利用檢測工具（ Detection， 如漏洞評估、入侵檢測等系統(tǒng)）了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)?響應(yīng)（ Response） 將系統(tǒng)調(diào)整分 布式入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 5 到 “最安全 ”和 “風(fēng)險(xiǎn)最低 ”的狀態(tài)。最后，許多產(chǎn)品都是監(jiān)聽端口的活動(dòng)，并在特定端口被訪問時(shí)向管理員分 布式入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 6 報(bào)警。而基于網(wǎng)絡(luò)的系統(tǒng)有時(shí)會(huì)檢測不到這些行為。當(dāng) 操作系統(tǒng)及基于主機(jī)的系統(tǒng)發(fā)現(xiàn)即將到來的業(yè)務(wù)時(shí)，數(shù)據(jù)流已經(jīng)被解密了 ? 確定攻擊是否成功 由于基于主機(jī)的 IDS 使用含有已發(fā)生事件信息，它們可以比基于網(wǎng)絡(luò)的 IDS 更加準(zhǔn)確地判斷攻擊是否成功。 ? 攻擊者不易轉(zhuǎn)移證據(jù) 基于網(wǎng)絡(luò)的 IDS 使用正在發(fā)生的網(wǎng)絡(luò)通訊進(jìn)行實(shí)時(shí)攻擊的檢測。在這方面，基于主機(jī)的 入侵檢測系統(tǒng) 對基于網(wǎng)絡(luò)的 入侵檢測系統(tǒng) 是一個(gè)很好的補(bǔ)充，人們完全可以使用基于網(wǎng)絡(luò)的 入侵檢測系統(tǒng)分 布式入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 9 提供早期報(bào)警，而使用基 于主機(jī)的 入侵檢測系統(tǒng) 來驗(yàn)證攻擊是否取得成功。這種辦法同樣適用于檢測程序的 行為以及對數(shù)據(jù)資源（如文件或數(shù)據(jù)庫）的存取行為。 基于模式匹配的檢測技術(shù)和基于異常發(fā)現(xiàn)的檢測技術(shù) ，所得出的結(jié)論有非常大的差異。 分 布式入侵檢測系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 12 第二章 分布式入侵檢測系統(tǒng) 現(xiàn)有入侵檢測系統(tǒng)的不足 入侵檢測系統(tǒng)不能很好的檢測所有的數(shù)據(jù)包：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)難以跟上網(wǎng)絡(luò)速度的發(fā)展。實(shí)時(shí)入侵檢測可以避免常規(guī)情況下，管理員通過的對系統(tǒng) 日志進(jìn)行審計(jì)以查找入侵者或入侵行為線索時(shí)的種種不便與技術(shù)上的限制。部件之間通過統(tǒng)一的網(wǎng)絡(luò)接口進(jìn)行信息交換，這樣既簡化了部件之間的數(shù)據(jù)交換的復(fù)雜性，使得部件非常容易地分布在不同主機(jī)上，也給系統(tǒng)提供了一個(gè)擴(kuò)展的接口。響應(yīng)包括消極的措施，如給管理員發(fā)電子郵件、消息、傳呼等。這樣做對站點(diǎn)的好處就是：可以看到自己的站點(diǎn)和防火墻暴 露在多少種攻擊之下。檢測器可以工作在這種環(huán)境中，但如果交換機(jī)的跨接端口沒有正確設(shè)置，入侵檢測將無法進(jìn)行工作。 缺點(diǎn)：必須購買額外的設(shè)備 (Tap)；若所保護(hù)的資源眾多， IDS 必須配備眾多網(wǎng)絡(luò)接口。例如，對于 WEB 服務(wù)器 GET /cgibin/phf HEAD /cgibin/phf GET //cgibin/phf GET /cgibin/foobar/../phf GET /cgibin/./phf GET%00/cgibin/phf GET /%63%67%69%2d%62%69%6e/phf 都是合法而且有效的。該數(shù)據(jù)包是一個(gè) HTTP協(xié)議的數(shù)據(jù)包。 圖 3－ 2