基于流量分析的网络安全系统研究.pdf

《基于流量分析的网络安全系统研究.pdf》由会员分享，可在线阅读，更多相关《基于流量分析的网络安全系统研究.pdf（59页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、北京工业大学硕士学位论文基于流量分析的网络安全系统研究姓名：李鹏申请学位级别：硕士专业：计算机应用技术指导教师：肖创柏20090201摘要摘要互联网迅速发展的同时，网络安全问题也只益严重。病毒、恶意攻击、非法访问等都容易影响网络的正常运行，网络设计和建设者们将多种网络防御技术综合应用到网络安全管理体系中，形成了入侵检测系统(N I D S)，它扩展了系统管理员的安全管理能力，帮助系统对付网络攻击，提高了信息安全基础结构的完整性。是防火墙的合理补充。入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程，它侧重于监视和保护网络。流量监控系统便是其中一种分析网络状况的有效方法，它是以

2、网络数据包作为信息源的入侵检测系统，从数据包流量分析角度，通过实时地收集和监视网络数据包信息，来检查是否有违反安全策略的行为和网络工作异常的迹象。在比较常见的几种网络流量分析软件和基于网络流量的入侵检测系统的设计思路的基础上，本文提出了一种基于S n o r t 的网络入侵检测系统。S n o r t 是一个强大的轻量级的网络入侵检测系统，它具有实时数据流量分析和同志I P 网络数据包的能力，能够进行协议分析，对内容搜索或者匹配。它能够检测各种不同的攻击方式，并对攻击进行实时警报。此外，本系统具有很好的扩展性和可移植性。本文分析了S n o a 系统的架构、工作流程和三维规则链表，并着重研究了

3、该系统的检测引擎及其采用的模式匹配算法。整个入侵检测系统采用网络流量监听与分析软件S n o r t+P H P+A p a c h e+M y S q l建立网络入侵检测系统。以S n o r t 监控当前网络的流量，将监控的数据记录在M y S q l 数据库中，在A C I D 与P H P 中生成直观的网页图形界面，以A p a c h e 发布，供网络管理员实时掌握当前的网络的状态。完成系统配置之后，用实验环境检测出各种入侵方式的特征值。在此基础上，着重研究和分析S n o r t 软件的规则集的算法思想和优化方案，并在校园网环境中进行检验。检验结果证明此系统能有效提高对异常网络流量

4、下的入侵的预警。关键词：网络管理；数据采集；流量分析；S n o r tA b s t r a c tl l l _ l-I II-I，曼!粤A b s t r a c tA tt h es a m et i m e，t h er a p i dd e v e l o p m e n to fI n t e m e t，n e t w o r ks e c u r i t yi s s u e si sb e c o m i n gi n c r e a s i n g l Ys e r i o u s V i r u s e s，m a l i c i o u sa t t a c k s，

5、u n a u t h o r i z e da c c e s st on e t w o r k sa r ev u l n e r a b l et ot h ei m p a c to fn o r m a lo p e r a t i o n N e t w o r kd e s i g n，a n db u i l d e r sw i l lh a v eav a r i e t yo fn e t w o r kd e f e n s et e c h n o l o g i e sa p p l i e dt on e t w o r ks e c u r i t ym a

6、n a g e m e n ts y s t e m。f o r m e dt h eI n t r u s i o nD e t e c t i o nS y s t e mf N I D S)I te x t e n d st h es y s t e mt h ea d m i n i s g a t o r ss e c u r i t ym a n a g e m e n tc a p a b i l i t i e st oh e l pt h es y s t e mt od e a lw i t hn e t w o r ka t t a c k s i m p r o v e

7、t h ei n f o r m a t i o ns e c u r i t yi n f r a s t r u c t u r ei n t e g r i t ya r er e a s o n a b l ef i r e w a l la d d e d I n t r u s i o nD e t e c t i o ni sa na t t e m p tt oi n v a s i o n，t h eo n g o i n gi n v a s i o no ri n t r u s i o nh a so c c u r r e dt oi d e n t i f yt h

8、 ep r o c e s s，w h i c hf o c u s e do nt h es u r v e i l l a n c ea n dp r o t e c t i o nn e t w o r k F l o wm o n i t o t i n gs y s t e mi So n eo fak i n do fa n a l y s i sa i le f f e c t i v ew a yt on e t w o r kc o n d i t i o n s，W h i c hi sb a s e do nn e t w o r kp a c k e ta sa l l

9、i n f o r m a t i o ns o u r c eI n t r u s i o nD e t e c t i o nS y s t e m，f r o mt h ep e r s p e c t i v eo fp a c k e tt r a f f i ca n a l y s i s，t h r o u g hr e a l t i m ec o l l e c t i o na n ds u r v e i l l a n c en e t w o r kp a c k e ti n f o r m a t i o n t oc h e c kw h e t h e r

10、i nv i o l a t i o no fs e c u r i t yp o l i c yb e h a v i o ra n ds i g n so fa b n o r m a ln e t w o r k T h i sa r t i c l ec o m p a r e ss e v e r a lc o m m o nn e t w o r kt r a f f i ca n a l y s i ss o f t w a r ea n dn e t w o r k-b a s e dI n t r u s i o nD e t e c t i o nS y s t e mf

11、l o wo fd e s i g ni d e a s T h i Sp a p e rp u t sf o r w a r daN e t w o r kI n t r u s i o nD e t e c t i o nS y s t e mb a s e do nS n o r t(s n i f f e ra n dm o r e)S n o r ti so n ep o w e r f u ll i g h t w e i 曲tn e t w o r kI D S I th a st h ea b i l i t yo fr e a l t i m ed a t aa n a l

12、y i n ga n dr e c o r d i n gI Pn e t w o r kd a t ap a c k e t s a n di tc a nb ea b l et op r o c e s sp r o t o c o la l s oC a nd e t e c tm a n ya n a l y z i n g，d i f f e r e n td e f i n i t ec o n t e n ts e a r c h i n go rm a t c h i n g S n o r ta l s oC a nd e t e c tm a n yd i f f e r

13、e n tw a y s，a n dt h e ng i v ear e a l t i m ea l a n 1 F u r t h e r m o r e，S n o r th a sg o o de x p a n s i b i l i t ya n dt r a n s a b i l i t y I nt h i sP a p If i r s t l yd e s c r i b et h eS n o r t Sa r c h i t e c t u r e，w o r k i n gf l o wa n dt h r e e d i m e n s i o n a ll i

14、n k e dl i s t a n dt h e ne s p e c i a l l ya n a l y z et h eD e t e c t i o nE n g i n eo ft h eS n o r ta n dt h eD e t e c t i o nE n g i n e Sp a t t e r nm a t c h i n ga l g o r i t h m s T h i Sa r t i c l ec o m p a r e ss e v e r a lc o n l m o nn e t w o r k 仃a m Ca n a l y s i ss o f t

15、 w a r ea n dn e t w o r k-b a s e di n t r u s i o nd e t e c t i o ns y s t e mf l o wd e s i g n,t h eu s eo fn e t w o r kt r a 筒Cm o n i t o r i n ga n da n a l y s i ss o f t w a r eS n o r t+P H P+A p a c h e+M y S q ls e tu pn e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m T oS n o

16、 r tm o n i t o r i n gn e t w o r kt r a 伍C w i l lm o n i t o rt h ed a t ar e c o r d e di nt h eM y S q ld a t a b a s e，i nA C I Da n dP H Pg e n e r a t e dp a g e si n t u i t i v eg r a p h i c a li n t e r f a c ef o rr e a l t i m en e t w o r ka d m i n i s t r a t o r st om a s t e rt h

17、ec u r r e n tn e t w o r ks t a t e C o m p l e t es y s t e mc o n f i g u r a t i o n，t h ee x p e r i m e n t a le n v i r o n m e n tu s e dt od e t e c tv a r i o u sf c l r m so fi n v a s i o ne i g e n v a l u e O nt h i sb a s i s，t h ef o c u so nr e s e a r c ha n da n a l y s i ss o f t

18、 w a r eS n o r tr u l es e to p t i m i z a t i o na l g o r i t h mi d e a sa n dp r o g r a m sa n dc a m p u sn e t w o r ke n v i r o n m e n t st oc a r r yo u ti n s p e c t i o n T h et e s tr e s u l t sp r o v et h a tt h i ss y s t e mc a ne f f e c t i v e l yi r e p r o v en e t w o r k

19、t r a 伍Cf o ra n o m a l yi n t r u s i o nu n d e rt h ee a r l yw a r n i n g K e y w o r d sN e t w o r km a n a g e m e n t；d a t ac o l l e c t i o n；t r a f f i ca n a l y s i s；S n o r tI I I 独创性声明本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或

20、其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。签名：日期：关于论文使用授权的说明p本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部分内容，可以采用影印、缩印或其他复制手段保存论文。(保密的论文在解密后应遵守此规定)签名：丝导师签名：日期：第一章绪论第一章绪论1 1 课题研究的背景介绍在信息化社会中，互联网在政治、军事、金融、商业、交通、电信、文教等领域发挥越来越大的作用，社会对网络信息系统的依赖性也越来越强。互联网是一种开放的面向所有

21、用户的技术，资源共享和信息安全是一对矛盾。互联网在提供信息共享并给我们带来极大便利的同时，其自身的安全问题也日益突显。根据计算机紧急情况响应组(C o m p u t e rE m e r g e n c yR e s p o n s eT e e n，C E R T)的统计数字显示，随着互联网的发展，安全事件数量不断上升。尤其是近两三年，出现了成倍增长的急剧上升趋势【1 1。根据粗略的统计，目前攻击手段大约有两三千种之多，常见的攻击手段有：后门程序、木马、缓冲区溢出攻击、扫描、密码破解攻击、拒绝服务攻击、分布式拒绝服务攻击、F I N G E R、F T P J 艮务攻击、T E L N E

22、 T 服务攻击、R P C 服务攻击、D N S 服务攻击、I C M P 协议攻击、W E B 服务攻击等等。以上这些只是部分常见攻击类型，每种攻击类型又包括了很多种不同的攻击方法，例如拒绝服务攻击就包括S y n F l o o d、U D P-F l o o d、P i n g F l o o d、L a n d-b a s e d A t t a c k、S m u r f A t t a c k、P i n gO fD e a t h 等多种攻击方法。由于I n t e r n e t 的开放互联性、网络协议自身的缺陷以及操作系统漏洞【2】、系统应用程序漏洞等多方面因素导致了网络环境

23、下的计算机系统存在很多的安全问题。目前国内网络安全的方向主要有以下几个方面-A 网络安全理论技术网络安全理论的核心技术是密码技术，其基础理论技术包括数据加密，数字签名和认证技术。而防火墙，V P N 和I D S 技术是随基础技术发展而来的应用技术。密码体制是密码技术中最核心的概念。该体制分为两大类对称密码体制私钥密码体制和非对称密码体制公钥密码体制。B 网络安全管理网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上很多企业、机构及用户的网站或系统都疏于这方面的管理。据I T 界企业团体从I T A A的调查显示，美国的企业对黑客攻击准备不足。目前，美国7 5 8 5 的网站都抵挡

24、不住黑客的攻击，约有7 5 的企业网上信息失窃，而在我国由于对信息安全重视程度不高，技术能力欠缺等原因，绝大多数的运营网站及企业网在网络安全管理方面都处于被动应付的状态【3】。C 黑客攻击黑客攻击是现阶段网络安全的最大威胁。现在互联网上有大量的黑客网站，北京工业大学工学硕-f：学位论文这些站点都介绍一些主要的攻击方法，介绍常见攻击软件的使用以及系统的一些漏洞，因而使互联网用户的系统、站点遭受攻击的可能性变大。尤其现在国内还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客攻击的隐蔽性好，杀伤力强，付出的代价小，因而黑客攻击成为网络安全的一大威胁。目前黑客攻击的手段和方法主要包括以下几个方面【4

25、】：1 进行弱口令破解。所谓口令破解就是指用一些软件解开经过加密的口令文档，或者采用绕开或者屏蔽口令保护的方法而达到目的，这类程序通过称之为“黑客 程序。2 特洛伊木马(T r o j a nH o r s e)：特洛伊木马源于希腊神话传说的一个故事，其思想就是将预谋的功能隐藏在公开的功能中，以掩盖真正的目的。一般的木马都有客户端和服务器端两个执行程序，其中客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序。攻击者要通过木马攻击特定的系统，所做的第一步是要把木马的服务器端程序植入到系统所在的电脑里面。目前木马入侵的主要途径还是先通过一定的方法把木马执行文件隐藏到被攻击者的电脑系

26、统里，当文件执行的时候，隐藏在里面的木马也开始执行。3 网络监听(S n i f f e r)：截获网络上传送的数据从而实现数据窃听。大多数黑客可以在一个以太网中的任何主机上进行监听。4 病毒攻击(V i r e s)：利用各种病毒对系统进行攻击。5 缓冲区溢出：缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量时，溢出的数据覆盖在合法数据上。理想情况是，程序检查数据长度且不允许输入超过缓冲区长度的字符串。但绝大多数程序都会假设数据长度总是与所分配的存储空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区又被称为堆栈，在各个操作进程之间，指令被临时存储在堆栈当中，

27、堆栈也会出现缓冲区溢出。当一个超长的数据进入到缓冲区时，超出部分就会被写入其他缓冲区，其他缓冲区存放的可能是数据、下一条指令的指针，或者是其他程序的输出内容，这些内容都被覆盖或者破坏掉。可见-d,部分数据或者一套指令的溢出就可能导致一个程序或者操作系统崩溃。缓冲区溢出是病毒编写者和特洛伊木马编写者偏爱使用的一种攻击方法。攻击者或者病毒善于在系统当中发现容易产生缓冲区溢出之处，运行特别程序，获得优先级，指示计算机破坏文件，改变数据，泄露敏感信息，产生后门访问点，感染或者攻击其他计算机。缓冲区溢出是目前导致“黑客”型病毒横行的主要原因。2 0 0 3 年爆发的“冲击波”病毒，就是利用缓冲区溢出漏洞

28、的典型。6 利用系统自身漏洞攻击：黑客利用各种系统漏洞进行相应攻击是比较常见的一种行为。7 拒绝服务攻击(D o S)：这种攻击行动使服务器充斥大量要求回复的信息，2第一章绪论消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供J 下常的网络服务。攻击过程如下：首先攻击者向服务器发送众多的带有虚假地址的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。1 2 课题研究的

29、现状与可行性国外己经有很多研究机构从事入侵检测系统的研究，其中包括S t a n f o r dR e s e a r c hI n s t i t u t e 的C o m p u t e rS c i e n c eL a b o r a t o r y(S R I C S L)，P u r d u eU n i v e r s i t y 的C O A S T(C o m p u t e rO p e r a t i o n sA u d i ta n dS e c u r i t yT e c h n o l o g y)研究小组，C o l u m b i aU n i v e r

30、s i t y 的W e n k eL e e 2 J 研究组和U n i v e r s i t yo fN e wM e x i c o 的S t e p h a n i eF o r r e s t 研究组等。在体系结构上，P u r d u e 大学C O A S T 小组首先将自治A g e n t的概念用到了入侵检测中【3】。在检测机理上，除专家系统、模式匹配等传统人工智能方法的研究外，还有计算机免疫系统的研究，在入侵检测中主要集中在数据文件的完整性保护以及病毒的有效控制方面。相应的许多国外的厂商也推出了一系列入侵检测系统的相关产品，如I n t e m e tS e c u r

31、i t yS y s t e m 公司的R e a l S e c u r e，C i s c o 公司的N e t R a n g e r，N e t w o r kA s s o c i a t e s 公司的C y b e r C o p，I n t r u s i o nD e t e c t i o n 公司的K a n eS e c u r i t yM o n i t o rf o rN T 和A x e n tT e c h n o l o g i e s 公司的O m n i G u a r d I n t r u d e rA l e r t 等。这些产品各有侧重，R e

32、a l S e c u r e 以简单高效著称；N e t R a n g e r 针对企业设计，适用范围主要是广域网；C y b e r C O P 集成了N e t R a n g e r 的引擎和攻击模式数据库，是N e t R a n g e r的局域网管理员版本；K a n eS e c u r i t yM o n i t o rf o rN T 则在T C P I P 检测方面做得较好。国内目前也推出了一些入侵检测产品，如“天镜”和“天融信等，但大部分仍然局限于己知漏洞的检测，对于未知的脆弱性研究较少【5】。目前有一部分研究机构将数据挖掘技术应用于入侵检测中。国外从事这方面研究的

33、主要有C o l u m b i aU n i v e r s i t y 的S a l v a t o r eS t o l f o 和W e n k eL e e 研究小组，国内方面近年来也有很多的高校和研究机构从事数据挖掘在入侵检测中的应用研究【5 1。在体系结构方面，上海交通大学信息安全工程学院的刘涛等人提出了一个基于数据挖掘的分布式入侵检测系统【6 l，可以检测分布式入侵行为和协同攻击；国防科技大学计算机学院的胡华平等人提出了面向大规模网络的入侵检测与预警系统的体系结构与组成【7 1，其中应用了数据挖掘和数据融合技术；浙江大学计算机科学与技术学院的胡敏、潘雪增等人探讨了实时环境下基于

34、数据挖掘的入侵北京1=业大学丁学硕士学位论文检测技术【J 飞北京邮电大学交换技术与通信网国家重点实验室的邹仕洪等人研究了基于C I D F 的自适应入侵检测系统【8】；宋世杰等人研究了基于数据挖掘的网络型误用入侵检测系统，从网络层和应用层两个层次进行了分析和实现。在相关算法方面，哈尔滨工业大学计算机科学与技术学院的杨武等人研究了如何利用各种高效模式匹配算法来优化S n o r t 的性能；武汉大学计算机学院软件工程国家重点实验室的罗敏等进行了基于无监督聚类的入侵检测算法的研究【9】。总之，入侵检测技术作为当前网络安全研究的热点，它的快速发展和极具潜力的应用前景需要更多的研究人员参与。只有在基础

35、理论研究和工程项目开发多个层面上同时发展，入侵检测系统才能全面提高整体检测效率。1 3 流量分析在入侵检测中的意义网络流量检测主要为对网络数据进行连续的采集，通过连续采集网络数据监测网络的流量。获得网络流量数据后对其进行统计和计算，从而得到网络及其主要成分的性能指标，定期形成性能报表，并维护网络流量数据库或R 志存储网络及其主要成分的性能的历史数据，网络管理员根据当前的和历史的数据就可对网络及其主要成分的性能进行性能管理，通过数据分析获得性能的变化趋势，分析制约网络性能的瓶颈问题。此外，在网络性能异常的情况下网络流量检测系统还可向网络管理者进行告警，判断是否出现了入侵，并按照事先拟定的规则集进

36、行处理，记录异常情况发生时的详细网络状况，使入侵得到及时发现和处理。实际上，网络流量检测中采集数据所用到的方法对于网络管理的其他方面也是适用的。例如，对于计费管理来说，现在一般的路由器中都有流量记载，网络流量信息通过路由器时，其流量信息都会在路由器的缓存(R A M)q b 保留下来，它的记录格式由四个字段组成，分别为源口地址、目标m 地址、包和字节数。所以计费系统所要完成的操作就是把这些流量信息从路由器中提取出来【1 0】。本文主要研究会产生异常流量的攻击行为，如端口扫描、F l o o d 型D O S 攻击和蠕虫等。正常流量的报文平均长度是一个较为稳定的数据，而扫描攻击会产生大量的短报文

37、，所以一旦出现大量扫描攻击发生，平均报文长度会有显著变化，因此报文平均长度可以作为一种测度。F l o o d 型D O S 攻击和扫描攻击有类似之处，亦即在攻击时一般会产生大量特定流量，这些特定流量会改变网络流量总体的统计性能【l。通过对流量统计研究发现，除了平均长度测度以外，还有一些网络流量统计特性，如：T C P 平均报文长度、U D P 平均报文长度、T C P 占总流量比重、U D P 占总流量比重以及各种T C P 和U D P 应用流量占总流量的比率等在大规模网络中均有较为稳定的统计值，当出现异常行为时，这些统计量的数值4第一章绪论将会发生明显的变化，因此可以选择用这些统计量作为

38、异常检测的测度指标，来判断流量异常行为的发生【12 1。所以，网络流量检测是入侵检测中一个非常基础也非常重要的一个环节。1 4 论文组织本文的主要研究内容是利用S n o r t 的规则集分析功能对网络流量数据进行研究。首先分析入侵检测技术的定义和过程，再归类介绍常见的流量分析软件的功能和意义，之后介绍S n o r t+P H P+A p a c h e+M y s q l 软件的安装流程和工作模式，以及S n 嘣软件的规则的算法分析及应用方法，最后用校园网数据对规则的算法进行实践。第一章绪论。首先对课题背景行了简介；然后对入侵检测技术研究现状以及流量分析技术在入侵检测过程中的应用领域进行了

39、阐述；并且说明了流量分析在入侵检测中的应用意义；最后说明了本论文的研究内容以及章节安排。第二章入侵检测技术。对入侵检测技术的发展过程进行了综述，介绍了入侵检测的定义和分类，并介绍了主要的入侵检测技术。第三章流量分析在入侵检测中的应用。简略介绍了常见的流量分析软件并比较了它们各自的优点和不足；对以S n o n 为基础构架成的整个入侵检测系统的各个软件的工作模式和配置过程作了简要介绍，分析各个模块的功能与特点；重点剖析S n o r t 中规则的算法。第四章S n o r t 规则的评估与实践效果。首先对规则的分析过程做出了介绍。然后先采用实验的方式来分析各种数据连接的特征值，主要用校园网中的流

40、量数据对规则算法进行分析验证，列出分析结果。结论。对全文工作进行小结，提出本论文的工作结果，并对今后的工作进行了展望。最后，给出了参考文献及致谢。5第-二章入侵榆测与流量分析第二章入侵检测与流量分析2 1 入侵检测的定义与发展历程对入侵检测的最简单的定义就是把它描述成一个能够读和解释路由器、防火墙、服务器和其它的网络设备的R 志文件内容的特殊工具。入侵是所有试图破坏网络信息的完整性、保密性、可用性、可信任性的行为。从严格意义上讲，入侵是一个广义的概念，不仅包括发起攻击的人取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝服务等危害计算机和网络的行为。入侵检测f I n t r u s

41、i o nD e t e c t i o n)就是对计算机网络和计算机系统的关键结点的信息进行收集分析，检测其中是否有违反安全策略的事件发生或攻击迹象，并通知系统安全管理员。一般把用于入侵检测的软件，硬件合称为入侵检测系统。1 9 8 0 年，J a m e sA n d e r s o n 在技术报告C o m p u t e rS e c u r i t yT h r e a tM o n i t o r i n ga n dS u r v e i l l a n c e 中首次提出了入侵检测这个概念。他将入侵威胁定义为：潜在的、有预谋、未经授权访问信息、操作信息，致使系统不可靠或无法使用

42、的企图，并将其分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想。1 9 8 7 年，D e n n i n g 提出入侵检测系统的抽象模型，首次将入侵检测的概念作为一种计算机系统安全防御措施提出。该模型建立在基于单一主机的若干审计数据文件基础之上，将系统使用时收集到的审计数据(如程序运行、系统登录、文件对象访问等)与目标特征文件匹配，从而检测到主机可能遭到的入侵。1 9 8 8 年，S R I 公司计算机科学实验室T e r e s aL u n t 等人创建了I D E S(I n t r u s i o nD e t e c t i o nE x p e r

43、 tS y s t e m)，该系统首次提出了利用专家系统检测单一主机的入侵尝试，同时提出了与系统平台无关的实时检测思想【1 3 1。19 9 0 年，H e b e r l e i n 等人开发出了N S M(N e t w o r kS e c u r i t yM o n i t o r)。该系统首次直接将网络流作为审计数据来源，主动监测网络流量中的异常数据。1 9 9 4 年，M a r kC r o s b i e 等人建议使用自治代理(a u t o n o m o u sa g e n t s)以提高I D S 的可伸缩性、可维护性、效率和容错性，这一方法与其他计算机科学领域的研

44、究非常相似。1 9 9 9 年以后，国际上的一些研究组织开展了标准化工作，目前对I D S 进行标准化工作的有两个组织：I E T F 的I n t r u s i o nD e t e c t i o nW o r k i n gG r o u p(I D W G)和C o m m o nI n t r u s i o nD e t e c t i o nF r a m e w o r k(C I D F)。C I D F 早期由美国国防部高级研究署(D A R P A)赞助研究，现在由C I D F 工作组负责，是一个开放组织。C I D F 阐述了一个入侵检测系统(I D S)的通用模型

45、。它将一个入侵检测系统分7北京工业大学工学硕十学位论文为以下组件：事件产生器(E v e n tg e n e r a t o r s)、事件分析器(E v e n ta n a l y z e r s)、响应单元(R e s p o n s eu n i t s)和事件数据库(E v e n td a t a b a s e s)。这四个部件所交换的数据都是通用入侵检测对象(g e n e r a l i z e di n t r u s i o nd e t e c t i o no b j e c t s(G I D O S)形式，并采用C I S L 来表示。2 2 入侵检测分类随着入

46、侵检测技术的发展，出现了大量的入侵检测系统，不同的入侵检测系统根据不同的应用具有不同的侧重点。当前，学术界根据不同的分类标准，将入侵检测系统分成不同的类别。如图2 1 所示。按体系结构和检测方法的分类是当前应用比较广泛的，在此只对这两种分类方法作简要介绍。2 2 1 按数据来源分类根据数据来源不同，分为三种主要的入侵检测系统：基于主机的I D S(H I D S)、基于网络的I D S(N I D S)和混合型I D S(D I D S)1 4】。1 基于主机的入侵检测系统(H I D S)基于主机的入侵检测系统历史最久，多用户计算机系统出现不久已有雏形。最早用于审计用户的活动，比如用户的登录

47、、命令操作、应用程序使用资源情况等。此类系统一般主要使用操作系统的审计跟踪日志作为输入，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息。其所收集的信息集中在系统调用和应用层审计上，试图从日志判断滥用和入侵事件的线索。2 基于网络的入侵检测系统(N I D S l由于来自网络的攻击事件逐渐成为信息系统的最大威胁，因而基于网络的入侵检测系统具有重要价值。基于网络的入侵检测系统在网络中的某一点被动地监听网络上传输的原始流量，通过线路窃听的手段对捕获的网络分组进行处理，从中获取有用的信息。基于网络的入侵检测系统通过对流量分析提取特征模式，再与已知攻击特征相匹配或与正常网络行为原型相比较来

48、识别攻击事件。与基于主机的入侵检测不同，基于网络的I D S 非常适用于检测系统应用层以下的底层攻击事件。3 混合分布式入侵检测系统(D I D S)混合分布式入侵检测系统可以从不同的主机系统、网络部件和通过网络监听方式收集数据，这些系统综合利用网络数据和来自主机系统中的审计信息来发现入侵行为。第二章入侵榆测与流量分析图2-1 入侵检测系统分类【l5 JF i g u r e2-1I n t r u s i o nD e t e c t i o nS y s t e mC l a s s i f i c a t i o n4 几种体系结构的比较基于主机的入侵检测要依赖于特定的操作系统和审计跟踪

49、日志获取信息，此类系统的原始数据来源受到所依附操作系统平台的限制，系统的实现主要针对某种特定的系统平台，在环境适应性、可移植性方面问题较多。另外，审记信息的粒度的选择也是一个很难的问题：当审计信息粒度较细时，数据量过于庞大和细化，而将有用的信息淹没在其中，反之，会漏掉有用的信息。所以现在的商用入侵检测产品几乎没有一种是单纯基于主机类型的。但是在获取高层信息以及实现一些特殊功能时，如针对系统资源情况的审计方面具有无法替代的作用。基于网络监听方式实现的入侵检测系统同基于主机的系统相比，在实时性、适应性、可扩展性方面具有其独特的优势，但此类系统也存在一些固有的弱点，比如更容易受到基于网络的拒绝服务等

50、恶意攻击，在高层信息的获取上更为困难，在实现技术上更为复杂等。但是也只有此类系统可以检测到某些种类的攻击，比如远程缓冲区溢出、网络碎片攻击等大量针对协议栈或特定网络服务的攻击手段。可以这样认为，基于主机的系统一般是根据攻击对系统的影响来判断攻击事件的，比如用户是否多次使用错误口令，文件状态是否非法改变等，时间上滞后于攻击本身。而基于网络的系统强调通过网络行为过程进行分析，不是依靠审计9北京-T 业大学1=学硕七学位论文攻击事件对目标系统带来的实际影响，而通过行为特征来发现攻击事件。比如网络上一旦发生了针对W i n d o w sN T 系统的攻击行为，即使其保护网络中没有N T 系统，基于网