（計算機軟件與理論專業(yè)論文）入侵檢測系統(tǒng)分析引擎的研究與實現(xiàn).pdf

東南大學學位論文 蜂5 礎(chǔ)如療 獨創(chuàng)性聲明及使用授權(quán)說明 一、學位論文獨創(chuàng)性聲明 本人聲明所呈交的學位論文是我個人在導(dǎo)師指導(dǎo)下進行的研究工作及取得的研究成果n 盡我所知，除了文中特別加以標注和致謝的地方外，嗆文中不包含其他人已經(jīng)發(fā)表或撰寫過 的研究成果，也不包含為獲得東南大學或其它教育機構(gòu)的學位或證書而使用過的材料。與我 一同工作的刊志對本研究所做的任何貢獻均已在論文中作了明確的說明并表示了謝意。 二、關(guān)于學位論文使用授權(quán)說明 東南大學、中國科學技術(shù)信息研究所、國家圖書館有權(quán)保留本人所送交學位論文的復(fù)印 件和電子文檔，可以采用影印、縮印或其他復(fù)制手段保存論文。本人電子文檔的內(nèi)容和紙質(zhì) 論文的內(nèi)容相一致。除在保密期內(nèi)的保密論文外，允許論文被查閱和借閱，可以公布( 包括 刊登) 論文的全部或部分內(nèi)容。論文的公布( 包括刊登) 授權(quán)東南大學研究生院辦理。 簽名：牡導(dǎo)師簽名：二三阻日期： 0 們弓t l ) 摘要 隨著計算機網(wǎng)絡(luò)的廣泛使用，網(wǎng)絡(luò)之間信息的傳輸量不可避免的急劇增長， 針對網(wǎng)絡(luò)進行的入侵和攻擊行為也層出不窮，提高網(wǎng)絡(luò)的安全性和可靠性成為人 們目前關(guān)心和研究的主要問題。 入侵檢測作為一種積極主動的安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊 和誤操作的實時保護，對入侵攻擊的檢測與防范已經(jīng)成為刻不容緩的重要課題， 入侵檢測產(chǎn)品仍具有較大的發(fā)展空間。 分析引擎作為入侵檢測系統(tǒng)的核心，它的實現(xiàn)方式在很大程度上決定了系統(tǒng) 運行的速度、性能和有效性。從技術(shù)途徑來講，目前已經(jīng)研究和做出實現(xiàn)的分析 技術(shù)已經(jīng)有幾十種，但實際應(yīng)用的產(chǎn)品中仍僅僅限于模式匹配和統(tǒng)計描述兩種基 本方法。因此，除了完善常規(guī)的、傳統(tǒng)的技術(shù)( 模式識別和完整性檢測) 外，應(yīng) 重點加強分析引擎的相關(guān)技術(shù)研究，在方法的選擇和優(yōu)化上使入侵檢測系統(tǒng)的效 率有更大的提高。 本文從網(wǎng)絡(luò)安全現(xiàn)狀出發(fā)，簡單介紹了各種相關(guān)的網(wǎng)絡(luò)安全技術(shù)和國內(nèi)外相 關(guān)領(lǐng)域的研究動態(tài)，對現(xiàn)有的入侵檢測分析技術(shù)進行了跟蹤研究和深入理解。在 此基礎(chǔ)上，針對原有的s o i d s 原型系統(tǒng)中存在的問題，提出了一種改進的分析 引擎實現(xiàn)機制，將基于s t a t ( s t a t et r a n s i t i o na n a l y s i st e c h n o l o g y ，狀態(tài)轉(zhuǎn)換技 術(shù)) 的輔助模塊加入其中，與原有的模式匹配模塊相結(jié)合提供更好的檢測效果和 靈活性。論文中對狀態(tài)轉(zhuǎn)換技術(shù)在理論上做了詳細的論述和分析，介紹了它的基 本原理、構(gòu)造及實現(xiàn)方法，借鑒了國外當前主要基于s t a t 的入侵檢測系統(tǒng)的實 現(xiàn)機制，并給出了項目中具體的設(shè)計與實現(xiàn)方案，同時對未來的工作做了展望。 關(guān)鍵詞：網(wǎng)絡(luò)安全入侵檢測誤用檢測狀態(tài)轉(zhuǎn)換分析技術(shù)( s t a t ) 變塑苧塑墮墮：! ! 鯊蘭 壘壁墊型墨絲竺塑型竺塑嬰塑：! 壅些 a b s t r a c t w i t ht h ee x t e n s i v eu s eo fc o m p u t e rn e t w o r k ，t h ei n f o r m a t i o nt r a n s m i s s i o n q u a n t i t y i s i n e v i t a b l yi n c r e a s i n gr a p i d l y ，a n dt h e r e a l s oc o m eo u tm o r ea n dm o r e n e t w o r k a i m e di n t r u s i o na n da t t a c ka c t i v i t i e s i m p r o v i n gt h es e c u r i t ya n dr e l i a b i l i t yo f n e t w o r kh a sb e c o m et h em a i ni s s u et h a tp e o p l ec a r ea n ds t u d y a sa na c t i v es e c u r i t yd e f e n s et e c h n o l o g y , i n t r u s i o nd e t e c t i o no f f e r st h er e a l t i m e p r o t e c t i o nf r o m i n n e r & o u t e ra t t a c k sa n dm i s u s e o p e r a t i o n t h ed e t e c t i o na n d d e f e n s e o fi n t m s i o na n da t t a c kh a v eb e c o m eav i t a lr e s e a r c hf o c u s t h ei n t r u s i o nd e t e c t i o n p r o d u c t ss t i l lh a v ew i d es p a c eo fd e v e l o p m e n t a n a l y s i se n g i n e i st h ec o r eo fi n t r u s i o nd e t e c t i o n s y s t e m ( m s ) ，a n di t s r e a l i z a t i o nm e c h a n i s m m o s t l yd e c i d e st h es p e e d ，p e r f o r m a n c ea n d e f f e c t i v e n e s so ft h e i d s s f r o mt h ep o i n to ft e c h n o l o g y , t h e r ea r et e n so fm a i na n a l y s i st e c h n i q u e sb e i n g r e s e a r c h e dc u r r e n t l y ，b u tm o s tp r a c t i c a l p r o d u c t so n l ya d o p tt h e2b a s i cm e t h o d s ： p a t t e r nm a t c ha n ds t a t i s t i c sd e s c r i p t i o n t h e r e f o r e ，b e s i d e sp e r f e c t i n gt h er o u t i n ea n d t r a d i t i o n a lt e c h n i q u e s ，s u c ha sp a t t e m r e c o g n i t i o na n d i n t e g r a l i t yc h e c k i n g ，w es h o u l d e m p h a s i z et h e c o r r e l a t e d t e c h n i q u er e s e a r c h o fa n a l y s i se n g i n e ，a n di m p r o v et h e e f f i c i e n c yo f i d s b y t h ec h o i c ea n d o p t i m i z a t i o no f m e t h o d s b e g i n n i n gw i t ht h ea c t u a ls i t u a t i o no fn e t w o r ks e c u r i t y ，t h i sp a p e rb r i e f l yi n t r o d u c e s s o r t so fr e l a t e dn e t w o r ks e c u r i t yt e c h n o l o g i e sa n dt h er e s e a r c ht r e n d so fr e l a t e df i e l d s a th o m ea n da b r o a d ；t h e ns t u d i e s d e e p l yt h e c u r r e n ti n t r u s i o nd e t e c t i o n a n a l y s i s t e c h n i q u e s b a s e do nt h e s e r e s e a r c h e sa n da i m e da tt h ep r o b l e m si nt h eo r i g i n a l s o i d s p r o t o t y p es y s t e m ，i tp u t sf o r w a r da ni m p r o v e da n a l y s i sr e a l i z a t i o nm e c h a n i s m ， w h i c ha d d sa na s s i s t a n tm o d u l eb a s e do ns t a t ( s t a t et r a n s i t i o n a n a l y s i st e c h n o l o g y ) i nt h e a n a l y s i se n g i n e t o p r o v i d e ab e t t e rd e t e c t i o ne f f e c ta n d f l e x i b i l i t yb y c o o p e r a t i n g w i t ht h eo l d p a t t e r n m a t c h i n g m o d u l e i t t h e o r e t i c a l l y d i s c u s s e sa n d a n a l y z e si nd e t a i lt h es t a t et r a n s i t i o na n a l y s i st e c h n o l o g y ，a n dp r e s e n t st h eb a s i c t h e o r y ，s t r u c t u r e a n dr e a l i z a t i o no f s t a t a l s o ，r e f e r r i n g t ot h e i m p l e m e n t i n g m e c h a n i s mo ft h ed o m i n a t i n gi d sb a s e do ns t a t , t h ep a p e rp r e s e n t st h ep r a c t i c a l i m p l e m e n t a t i o np r o j e c t a tl a s t ，i td e s c r i b e ss o m ep r o s p e c t so ff u t u r ew o r k k e yw o r d s ：n e t w o r ks e c u r i t y ，i n t r u s i o nd e t e c t i o n ，m i s u s ed e t e c t i o n ，s t a t 3 艘轉(zhuǎn)測系繞骨審列【擎晌 i j 究，安瑚 1 1 研究背景 第一章引言 i n t e r n e t 是在開放、自由的基礎(chǔ)之上應(yīng)運而生的，但也正因如此，網(wǎng)絡(luò)運營 中的安全問題相對就被忽略了，因此現(xiàn)有網(wǎng)絡(luò)可以說是漏洞百出，形形色色的網(wǎng) 絡(luò)罪犯利用可能存在的種種弊病進行攻擊，如竊取機密信息，刪改網(wǎng)絡(luò)系統(tǒng)文件， 肆意破化數(shù)據(jù)，甚至導(dǎo)致系統(tǒng)崩潰。在美國，包括雅虎、e b a y 公司、亞馬遜、 微軟、e t r a d e 、z d n e t 、c n n 在內(nèi)的各大頂級網(wǎng)站均曾接連遭到來歷不名的電子 攻擊，經(jīng)濟損失達數(shù)十億美元【l 】。此外，大量免費下載的黑客軟件在網(wǎng)間傳遞， 借助這些傻瓜式的黑客軟件，幾乎任何電腦愛好者都可以成為黑客，使得黑客隊 伍不斷壯大。網(wǎng)絡(luò)安全已成為國家與國防安全的重要組成部分，同時也是國家網(wǎng) 絡(luò)經(jīng)濟發(fā)展的關(guān)鍵。 在這種情況下，如何提高網(wǎng)絡(luò)的安全性和可靠性成為人們目前關(guān)心和研究的 主要問題。對入侵攻擊的檢測與防范、保障計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)及整個信息基 礎(chǔ)設(shè)施的安全己經(jīng)成為刻不容緩的重要課題。 網(wǎng)絡(luò)體系結(jié)構(gòu)的開放性特征和計算機軟件本身固有的特性使得網(wǎng)絡(luò)入侵仍 然非常普遍，并且在目前的條件下入侵問題很難通過提出新的安全策略來徹底解 決，因此，研究和檢測網(wǎng)絡(luò)入侵行為就變得非常重要和有意義，入侵檢測已經(jīng)成 為網(wǎng)絡(luò)安全中一個重要的研究方向而越來越受到重視，它作為一種積極主動地安 全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受 到危害之前攔截和響應(yīng)入侵。在國內(nèi)，隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來越多， 迫切需要具有自主版權(quán)的入侵檢測產(chǎn)品。但現(xiàn)狀是入侵檢測僅僅停留在研究和實 驗樣品( 缺乏升級和服務(wù)) 階段，或者是防火墻中集成較為初級的入侵檢測模塊。 可見，入侵檢測產(chǎn)品仍具有較大的發(fā)展空間。 一般來講，提到入侵檢鋇4 時，都會側(cè)重于評估和衡量它監(jiān)測和發(fā)現(xiàn)非法網(wǎng)絡(luò) 行為的能力，也就是通過采用或設(shè)計一種什么樣的分析引擎實現(xiàn)機制能夠更充分 的發(fā)揮“入侵檢測”這一安全保護的功能。而從技術(shù)途徑來講，要想使入侵檢測 系統(tǒng)發(fā)揮其強大的監(jiān)測與報警功能，關(guān)鍵是要采用一種有效的分析檢測方法，因 此可以說，分析引擎的實現(xiàn)技術(shù)是入侵檢測技術(shù)中的核心，它從根本上最終決定 了整個系統(tǒng)工作的能力，其模塊的實現(xiàn)機制也在很大程度上影響了整個系統(tǒng)運作 的效率。而且，隨著入侵攻擊模式的層出不窮和變化多端，對于入侵檢測分析技 術(shù)研究的要求就越來越迫切，不僅僅要求提高和完善現(xiàn)有技術(shù)的功能，還要不斷 的探索新的檢測方法，使得系統(tǒng)能夠更高效地發(fā)揮其發(fā)現(xiàn)及響應(yīng)入侵行為的作 6 用。因此，除了要繼續(xù)完善常規(guī)的、傳統(tǒng)的技術(shù)( 模式識別和完整性檢測) 外， 應(yīng)重點加強分析引擎的相關(guān)技術(shù)研究，在方法的選擇和優(yōu)化上使入侵檢測系統(tǒng)的 效率和性能有更大的提高。 1 2 入侵檢測分析技術(shù)研究現(xiàn)狀及面臨的主要問題 1 2 1 入侵檢測分析技術(shù)研究現(xiàn)狀 正是由于在廣泛應(yīng)用的國際互聯(lián)網(wǎng)上，黑客入侵事件不斷發(fā)生，不良信息大 量傳播，網(wǎng)絡(luò)安全監(jiān)控管理理論和機制的研究受到重視，黑客入侵手段的研究分 析，系統(tǒng)脆弱性檢測技術(shù)，報警技術(shù)，信息內(nèi)容分級標識機制，智能化信息內(nèi)容 分析等研究成果已經(jīng)成為眾多安全工具軟件的基礎(chǔ)。 計算機網(wǎng)絡(luò)的安全性主要包括網(wǎng)絡(luò)服務(wù)的可用性( a v a i l a b i l i t y ) 、網(wǎng)絡(luò)信息 的保密性( c o n f i d e n t i a l i t y ) 和網(wǎng)絡(luò)信息的完整性( i n t e 鰣t y ) 。網(wǎng)絡(luò)安全中系統(tǒng)安 全產(chǎn)品使用最廣泛的技術(shù)之一是防火墻，目前在全球連入i n t e r n e t 的計算機中約 有三分之一是處于防火墻保護之下。但防火墻只能阻截來自外部網(wǎng)絡(luò)的侵擾，而 對于內(nèi)部網(wǎng)絡(luò)的安全還需要通過對內(nèi)部網(wǎng)絡(luò)的有效控制和管理來實現(xiàn) 2 】。 入侵檢測系統(tǒng)是指監(jiān)視( 或者在可能的情況下阻止) 入侵或者試圖控制你的 系統(tǒng)或者網(wǎng)絡(luò)資源等不良行為的系統(tǒng)，是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，其目的 是提供實時的入侵檢測及采取相應(yīng)的防護手段。選擇入侵檢測系統(tǒng)，應(yīng)特別注意 其主要性能的情況，包括：協(xié)議分析及檢測能力、解碼效率( 速度) 、自身安全的 完備性、精確度及完整性防欺騙能力、模式更新速度等等，而這些性能中的絕 大部分都是與其分析引擎實現(xiàn)技術(shù)息息相關(guān)的。 從9 0 年代開始，開始有了一些針對具體入侵行為或具體的入侵過程進行的 入侵檢測的研究和系統(tǒng)，9 4 年以后逐漸出現(xiàn)一些入侵檢測的產(chǎn)品，根據(jù)它們所 采用的實際分析技術(shù)的特點，下面列出了三個比較有代表性的產(chǎn)品及其引擎實現(xiàn) 機制： c i s c o 公司的n e t r a n g e r ，系統(tǒng)結(jié)構(gòu)分為兩部分：監(jiān)測網(wǎng)絡(luò)包和發(fā)告警的傳感 器，以及接收并分析告警和啟動對策的控制器。在檢測問題時不僅觀察單個包的 內(nèi)容，而且還看上下文，即從多個包中得到線索。這是很重要的一點，因為入侵 者可能以字符模式存取一個端口，然后在每個包中只放一個字符。如果一個監(jiān)測 器只觀察單個包，它就永遠不會發(fā)現(xiàn)完整的信息。n e t r a n g e r 是目前市場上基于 網(wǎng)絡(luò)的入侵檢測軟件中經(jīng)受實踐考驗最多的產(chǎn)品之一。 n a i ( n e t w o r ka s s o c i a t e s ，i n c ) 公司的c y b e r c o p ，n e t w o r ka s s o c i a t e s 從c i s c o 那里取得授權(quán)，將n e t r a n g e r 的引擎和攻擊模式數(shù)據(jù)庫用在c y b e r c o p 中。發(fā)揮 n e t w o r kg e n e r a l 在提煉包數(shù)據(jù)上的經(jīng)驗，使用戶易于查看和理解。像在s n i f f e r 中一樣，它在幫助文檔里結(jié)合了專家知識。c y b e r c o p 還能生成可以被s n i f f e r 識 別的蹤跡文件。 is s ( i n t e m e t s e c u r i t ys y s t e m ，國際互聯(lián)網(wǎng)安全系統(tǒng)) 公司的r e a l s e c u r e 【j 1 4 j ， 與n e t r a n g e r 和c y b e r c o p 類似，r e a l s e c u r e 在結(jié)構(gòu)上也是兩部分。引擎部分負 責監(jiān)測信息包并生成告警，控制臺接收報警并作為配置及產(chǎn)生數(shù)據(jù)庫報告的中心 點。它是計算機網(wǎng)絡(luò)上自動實時的入侵檢測和響應(yīng)系統(tǒng)。它無妨礙地監(jiān)控網(wǎng)絡(luò)傳 輸并自動檢測和響應(yīng)可疑的行為，在系統(tǒng)受到危害之前截取和響應(yīng)安全漏洞和內(nèi) 部誤用，從而最大程度地為企業(yè)網(wǎng)絡(luò)提供安全。 在實現(xiàn)分析這個入侵檢測系統(tǒng)的核心功能方面有不同的方法，這個過程中， 涉及到隔離己知典型行為的特征模式( 誤用檢測) 和使用數(shù)學方法描述異常的用 戶行為( 異常檢測) 。這方面的研究已經(jīng)使用到的技術(shù)有早期就開始采用的專家 系統(tǒng)、統(tǒng)計度量方法、有色p e t r i n e t 、神經(jīng)網(wǎng)絡(luò)，以及免疫系統(tǒng)、遺傳算法、數(shù) 據(jù)挖掘等近年來熱點較多的方法。 盡管已經(jīng)探索和實現(xiàn)了許多新技術(shù)在誤用和異常檢測中的應(yīng)用，但大多數(shù)比 較通用的商業(yè)產(chǎn)品還是僅僅限于執(zhí)行模式匹配、用戶及系統(tǒng)活動和使用模式的基 本統(tǒng)計描述。據(jù)公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心的報告，國內(nèi) 送檢的入侵檢測產(chǎn)品中9 5 是屬于使用入侵模板進行模式匹配的特征檢測產(chǎn)品， 其他5 是采用概率統(tǒng)計的統(tǒng)計檢測產(chǎn)品與基于日志的專家知識庫系產(chǎn)品。 v ，特征檢測：特征檢測對己知的攻擊或入侵的方式作出確定性的描述，形成相 應(yīng)的事件模式。當被審計的事件與已知的入侵事件模式相匹配時，即報警。 原理上與專家系統(tǒng)相仿。其檢測方法上與計算機病毒的檢測方式類似。目前 基于對包特征描述的模式匹配應(yīng)用較為廣泛。該方法預(yù)報檢測的準確率較高， 但對于無經(jīng)驗知識的入侵與攻擊行為無能為力。 統(tǒng)計檢測：統(tǒng)計模型常用異常檢測，在統(tǒng)計模型中常用的測量參數(shù)包括：審 計事件的數(shù)量、間隔時間、資源消耗情況等。常用的入侵檢測5 種統(tǒng)計模型 為： 1 ) 操作模型：該模型假設(shè)異?？赏ㄟ^測量結(jié)果與一些固定指標相比較得 到，固定指標可以根據(jù)經(jīng)驗值或一段時間內(nèi)的統(tǒng)計平均得到，例如， 在短時間內(nèi)的多次失敗的登錄很有可能是口令嘗試攻擊： 2 ) 方差：計算參數(shù)的方差，設(shè)定其置信區(qū)間，當測量值超過置信區(qū)間的 范圍時表明有可能是異常； 3 ) 多元模型：操作模型的擴展，通過同時分析多個參數(shù)實現(xiàn)檢測； 4 ) 馬爾柯夫過程模型：將每種類型的事件定義為系統(tǒng)狀態(tài)，用狀態(tài)轉(zhuǎn)移 矩陣來表示狀態(tài)的變化，當一個事件發(fā)生時，或狀態(tài)矩陣該轉(zhuǎn)移的概 率較小則可能是異常事件； 5 ) 時間序列分析，將事件計數(shù)與資源耗用根據(jù)時間排成序列，如果一個 新事件在該時問發(fā)生的概率較低，則該事件可能是入侵。 莖堡鑒塑! 簍墮蘭 型壁型塑竺叢壁型絲竺翌 統(tǒng)計方法的最大優(yōu)點是它可以“學習”用戶的使用習慣，從而具有較高檢出 率與可用性。但是它的學習能力也給入侵者以機會通過逐步“訓練”使 入侵事件符合正常操作的統(tǒng)計規(guī)律，從而透過入侵檢測系統(tǒng)。 專家系統(tǒng)：用專家系統(tǒng)對入侵進行檢測，經(jīng)常是針對有特征入侵行為。所謂 的規(guī)則，即是知識，不同的系統(tǒng)與設(shè)置具有不同的規(guī)則，且規(guī)則之間往往無 通用性。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于 審計記錄的完備性與實時性。入侵的特征抽取與表達，是入侵檢測專家系統(tǒng) 的關(guān)鍵。在系統(tǒng)實現(xiàn)中，將有關(guān)入侵的知識轉(zhuǎn)化為i f t h e n 結(jié)構(gòu)( 也可以是 復(fù)合結(jié)構(gòu)) ，條件部分為入侵特征，t h e n 部分是系統(tǒng)防范措施。運用專家系 統(tǒng)防范有特征入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性。 如果入侵檢測產(chǎn)品要有效的發(fā)揮其保護現(xiàn)實系統(tǒng)的功能，研究并綜合應(yīng)用高 級分析技術(shù)并把它們轉(zhuǎn)換成商業(yè)產(chǎn)品就是必然的要求【7 i 。 此外，目前的入侵檢測系統(tǒng)大部分是基于各自的需求和設(shè)計獨立開發(fā)的，不 同系統(tǒng)之間缺乏互操作性和互用性，這對入侵檢測系統(tǒng)的發(fā)展造成了障礙，因此 d a r p a ( t h ed e f e n s ea d v a n c e dr e s e a r c hp r o j e c t sa g e n c y , 美國國防部高級研究計 劃局) 在1 9 9 7 年3 月開始著手c i d f ( c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k ，公 共入侵檢測框架) 標準的制定?，F(xiàn)在加州大學d a v i s 分校的安全實驗室已經(jīng)完成 c i d f 標準p j ，i e t f ( i n t e m e te n g i n e e r i n gt a s kf o r c e ，i n t e m e t 工程任務(wù)組) 成立 了i d w g ( i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ，入侵檢測工作組) 負責建立i d e f t 6 】 ( i n t r u s i o nd e t e c t i o n e x c h a n g ef o r m a t ，入侵檢測數(shù)據(jù)交換格式) 標準，并提供支 持該標準的工具，以更高效率地開發(fā)i d s 系統(tǒng)( i n t r u s i o nd e t e c t i o ns y s t e m ，入侵 檢測系統(tǒng)) 。國內(nèi)在這方面的研究剛開始起步，目前也已經(jīng)開始著手入侵檢測標 準i d f ( i n t r u s i o nd e t e c t i o nf r a m e w o r k ，入侵檢測框架) 的研究與制定。 1 2 2 入侵檢測分析技術(shù)存在的主要問題 任何分析技術(shù)都不可能檢測出所有的入侵攻擊行為，它們的實現(xiàn)原理決定了 它們只是分別從某個角度側(cè)重于針對某一類或某些類的違法行為進行監(jiān)測。根據(jù) 分析引擎在入侵監(jiān)測系統(tǒng)中所擔任的角色和實現(xiàn)的功能，可以看出目前分析技術(shù) 研究中需要著重解決的問題也就是它所面臨的挑戰(zhàn)： 誤報： 誤報是指被入侵檢測系統(tǒng)測出并做出警報的所謂“違法”行為，實際是正常 的和合法的使用受保護網(wǎng)絡(luò)和計算機的行為。假警報不但令人討厭，并且降低了 入侵檢測系統(tǒng)的有效性和工作效率。而且，攻擊者還可以而且往往是利用包結(jié)構(gòu) 偽造無威脅“正?！奔倬瘓螅哉T使收受人把入侵檢測系統(tǒng)關(guān)掉。沒有一種入侵 檢測分析技術(shù)是能夠完全避免誤報的，應(yīng)用系統(tǒng)總會發(fā)生錯誤，原因汪汪在于： 塑苧王竺三：i _ ：堅蘭 簍竺墮墨塑墮豎業(yè)墅塑生墮 ( 1 ) 缺乏共享信息的標準機制和集中協(xié)調(diào)的機制，不同的網(wǎng)絡(luò)及主機有不同的 安全問題，不同的入侵檢測分析技術(shù)也有各自的功能；( 2 ) 缺乏揣摩數(shù)據(jù)在段 時間內(nèi)行為的能力；( 3 ) 缺乏有效跟蹤分析等。 精巧及有組織的攻擊： 攻擊可以來自四方八面，可以是一群人組織策劃且分布在多個節(jié)點協(xié)同攻擊 的方式；或者是攻擊行為被認為的分解為多個步驟，在一段相當?shù)臅r期內(nèi)力求不 為人知的緩慢的進行。這種情況下，分析引擎就需要注意保留前期的信息積累， 增強上下文相關(guān)分析，單單靠針對每個報文的一次性模式匹配的方法顯然將無法 有效的檢測到這些入侵行為。如果再加上攻擊者技術(shù)高超的攻擊，并且花費很長 時間準備，或發(fā)動全球性攻擊，要找出這樣復(fù)雜的攻擊是一件難事。 另外，高速網(wǎng)絡(luò)技術(shù)，尤其是交換技術(shù)以及加密信道技術(shù)的發(fā)展，使得通過 共享網(wǎng)段偵聽的網(wǎng)絡(luò)數(shù)據(jù)采集方法顯得不足，而巨大的通信量對數(shù)據(jù)分析也提出 了新的要求。 1 3 研究目標及內(nèi)容 本文依托于江蘇省應(yīng)用基礎(chǔ)研究項目的“入侵檢測理論與技術(shù)研究”( 項目 編號b j 0 0 0 0 0 2 ) ，以實驗室已經(jīng)成型的面向服務(wù)的入侵檢測原型系統(tǒng)s o d s 為基 礎(chǔ)，根據(jù)現(xiàn)有的各種先進檢測技術(shù)和革新思想，對這個系統(tǒng)不完善的模塊進行進 一步的緬化和功能改善，以提高其靈活性和高效性，使其具備更好的實用性，將 其改造成一個適合投入實際使用的產(chǎn)品化入侵檢測系統(tǒng)。 原有的s o i d s 原型系統(tǒng)已經(jīng)實現(xiàn)了基本的監(jiān)測、分析、響應(yīng)、管理等基本功 能，建立m o b i l ea g e n t s 的工作平臺( 王巍巍同學碩士論文) ；參考了i e t f 制定 的c i d f 公共入侵檢測框架標準和i d e f 入侵檢測數(shù)據(jù)交換格式，初步實現(xiàn)了告警 信息的輸出及基本響應(yīng)功能( 趙銘同學碩士論文) 。我的工作就是通過研究國內(nèi) 外現(xiàn)有的各種分析引擎機制，根據(jù)其優(yōu)缺點，對現(xiàn)有基于行為的簡單字符串匹配 的模式匹配算法進行改進和補充，使用改進的a c - 酬模式匹配算法提高字符串匹 配的效率( 王吳同學畢業(yè)論文) ；同時采用效率更高的分析引擎，將基于狀態(tài)轉(zhuǎn) 換分析的入侵檢測分析技術(shù)引用作為輔助模塊，系統(tǒng)通過對事件序列進行分析來 判斷入侵是否發(fā)生。這種改今后的系統(tǒng)對于基于協(xié)議攻擊的入侵手段有較強的分 析能力，而且系統(tǒng)軟件部署相當容易，也可提供實時網(wǎng)絡(luò)監(jiān)視，并且監(jiān)視粒度更 細致。 論文中對入侵檢測系統(tǒng)的分析引擎技術(shù)進行了深入研究，并針對部分常見攻 擊模式實現(xiàn)了基于狀態(tài)轉(zhuǎn)換分析技術(shù)的識別功能模塊。本文共分七章，第二章對 入侵檢測系統(tǒng)基本原理和原有的原型系統(tǒng)實現(xiàn)機制進行了概要介紹；第三章對各 種分析引擎技術(shù)進行了分析和深入研究，并針對原型系統(tǒng)中的分杳廳技術(shù)和在此基 礎(chǔ)上提出的所做的工作進行了陳述；第四章具體分析了狀態(tài)轉(zhuǎn)換技術(shù)s t a t 的原 理、構(gòu)造，給出了加入的輔助模塊的設(shè)計方案；第五章介紹了系統(tǒng)實現(xiàn)的軟硬件 環(huán)境，實驗所需網(wǎng)絡(luò)環(huán)境的構(gòu)建，以及系統(tǒng)中用到的其他相關(guān)技術(shù)，并給出模塊 最終的具體實現(xiàn)方法：在第六章中描述了分析引擎在這個入侵檢測系統(tǒng)中的應(yīng)用 和實際的應(yīng)用情況，并對改進后的系統(tǒng)進行了總結(jié)，介紹了其實際運行的性能和 效果；最后第七章是對整個項目和論文的總結(jié)，并對未來的工作做了展望。 至：! ：! ：坐：! 里生： 蘭! 望! 型壘竺竺塹鹽望塑型蔓! ：! ! 旦 第二章i d s 入侵檢測系統(tǒng)概述 2 1 入侵檢測簡介 入侵檢測把傳統(tǒng)的電子數(shù)據(jù)處理( e d p ，e l e c t r o n i cd a t ap r o c e s s i n g ) 、安全 審計、最優(yōu)模式匹配及統(tǒng)計技術(shù)融合在一起，已成為現(xiàn)代網(wǎng)絡(luò)安全技術(shù)的重要組 成部分。在入侵檢測之前就已經(jīng)出現(xiàn)了審計技術(shù)，它主要用于：確定和保持系統(tǒng) 活動中每個人的責任；重建事件；評估損失；監(jiān)測系統(tǒng)問題區(qū)；提供有效的災(zāi)難 恢復(fù)；阻止系統(tǒng)的不證當使用。所有審計過程的前提是有一個支配審計過程的規(guī) 則集，規(guī)則的確切形式和內(nèi)容隨審計過程的具體內(nèi)容而變。圖2 1 描述了一個基 本的審計過程7 1 。 團圓 圃圓。 團圓。 圖2 i 基本審計系統(tǒng) 7 0 年代，隨著計算機的處理速度、使用數(shù)量的增長以及體積的減小，對計 算機安全性能的要求顯著增加。1 9 8 3 年7 月到1 9 8 6 年1 1 月美國斯坦福研究院 進行了一項編號為6 1 6 9 的計劃，即s t a t i s t i c a l t e c h n i q u e s d e v e l o p m e n t f o r a n a u d i t t r a i ls y s t e m ( 審計跟蹤系統(tǒng)的統(tǒng)計技術(shù)發(fā)展) ，該計劃表明可以通過行為特征來 區(qū)分不同用戶。這些統(tǒng)計過程有可能將審計跟蹤信息量減少1 0 0 倍，與此同時表 明檢測入侵企圖能達到高度的準確性。1 9 8 4 年到1 9 8 6 年，d o r o t h yd e n n i n g 和 p e t e rn e u m a n n 研究并發(fā)展了一個實時入侵檢測系統(tǒng)模型，即i d e s ( 入侵檢測專 家系統(tǒng)) 1 8 。其中提出的反?；顒雍陀嬎銠C不正當使用之間的相關(guān)性成為許多8 0 年代入侵檢測研究和系統(tǒng)原型的基礎(chǔ)，比較典型的系統(tǒng)包括：為檢測和阻止t r w 公司的在線信用數(shù)據(jù)庫中的安全問題而設(shè)計的專家系統(tǒng)d i s c o v e r y ；由t r a c o r a p p l i e ds c i e n c e s 公司和h a y s t a c k 為美國空軍密碼支持中心開發(fā)的h a y s a t c k 系統(tǒng) 9 1 ；由美國國家計算機安全中一0 ( n c s c ) 為監(jiān)視d o c k m a s t e r 系統(tǒng)而開發(fā)的m u l t i c s 入侵檢測和報警系統(tǒng)( m i d a s ) 1 0 1 ；由l o sa l a m o s 國家實驗室計算部門開發(fā)的 網(wǎng)絡(luò)審計執(zhí)行官和入侵報告者n a d i r 1 l 】；由加利福尼亞大學d a v i s 分校開發(fā)的 網(wǎng)絡(luò)系統(tǒng)監(jiān)視器n s m l l2 1 ；以及由l o sa l a m o s 國家實驗室的防衛(wèi)和安全小組以及 o a k r i d g e 國家實驗室合作開發(fā)的w i s d o m a n ds e n s e 【13 1 。到了9 0 年代，分布式入 侵檢測系統(tǒng)d i d s t ”1 的研究與開發(fā)又將集成基于主機和網(wǎng)絡(luò)監(jiān)視方法的概念引入 了入侵檢測的領(lǐng)域，并進一步提出了移動代理等新的嘗試。 十多年來，人們進行了上千種i d s 研究。在這種情況下，入侵檢測技術(shù)成為 市場上新的熱點。如今已經(jīng)有近百種入侵檢測系統(tǒng)問世。入侵檢測是防火墻的合 理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力( 包括安全 審計、監(jiān)視、進攻識別和響應(yīng)) ，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算 機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反 安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全 閘門，在不影晌網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外 部攻擊和誤操作的實時保護。 2 2 入侵檢測系統(tǒng)概念 通俗的講，入侵檢測系統(tǒng)就是“計算機和網(wǎng)絡(luò)用來防止小偷的警報系統(tǒng)”， 或者說，“入侵檢測系統(tǒng)搜索闖入計算機系統(tǒng)的入侵者并及時報警”【7 l 。也可以 理解為，當系統(tǒng)處理的信息被認為是有價值時，它們自然就成了攻擊的目標。而 入侵檢測系統(tǒng)就是用來檢測未經(jīng)授權(quán)對計算機資源進行非法使用的行為的系統(tǒng)， 是檢測計算機網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過程。 一個成功的入侵檢測系統(tǒng)，不僅可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)( 包括程 序、文件和硬件設(shè)備等) 的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供依據(jù)。它 應(yīng)該管理配置簡單，使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。入侵檢測的規(guī)模還 應(yīng)根據(jù)網(wǎng)絡(luò)規(guī)模、系統(tǒng)構(gòu)造和安全需求的改變而改變。它可在網(wǎng)絡(luò)系統(tǒng)受到危害 之前攔截并及時做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。 所謂的網(wǎng)絡(luò)入侵是指對接入網(wǎng)絡(luò)的計算機系統(tǒng)的非法進入，即有攻擊者未經(jīng) 合法的手段和程序而取得了使用該系統(tǒng)資源( 包括處理能力) 的權(quán)利。網(wǎng)絡(luò)的入 侵表現(xiàn)為攻擊者取得了進入系統(tǒng)或多次進入系統(tǒng)的能力；和或取得了訪問系統(tǒng) 中資源的能力；和或取得了在系統(tǒng)中運行自己的程序的能力。網(wǎng)絡(luò)入侵的目的 有很多種，或者是取得使用該系統(tǒng)的存儲能力、處理能力以及訪問其存儲的內(nèi)容 的權(quán)利；或者是作為進入其他系統(tǒng)的跳板；或者是想破壞這個系統(tǒng)( 使其毀壞或 喪失服務(wù)能力) 1 5 o 而入侵檢測就是通過對運行系統(tǒng)的狀態(tài)和活動的檢測，分析 出非授權(quán)的網(wǎng)絡(luò)訪問和惡意的網(wǎng)絡(luò)行為，迅速發(fā)現(xiàn)入侵行為和企圖，并為入侵防 范提供有效的手段。因此，入侵檢測基于的一個重要前提就是：入侵行為和合法 訪問行為是可以區(qū)分的，也就是說可以通過提取網(wǎng)絡(luò)行為的數(shù)字特征來分析判斷 該行為的合法性。因此一個基本的入侵檢測系統(tǒng)需要解決兩個問題：一是如何充 分并可靠的提取這種包含關(guān)鍵行為特征的數(shù)據(jù)；二是如何高效并準確的判定該行 為的合法性。在此基礎(chǔ)之上就可以進一步實現(xiàn)網(wǎng)絡(luò)對抗、動態(tài)策略、入侵學習等 功能。 入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā) 現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安 全策略行為的技術(shù)。違反安全策略的行為有：入侵一非法用戶的違規(guī)行為；濫用 一用戶的違規(guī)行為。 利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限 制這些活動，以保護系統(tǒng)的安全。入侵檢測系統(tǒng)的應(yīng)用，能使在入侵攻擊對系統(tǒng) 發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻 擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相 關(guān)信息，作為防范系統(tǒng)的知識，添加入知識庫內(nèi)，以增強系統(tǒng)的防范能力。 由以上分析可知，一個入侵檢測系統(tǒng)具備的基本功能應(yīng)該包括： 監(jiān)視用戶和系統(tǒng)的運行狀況，查找非法用戶和合法用戶的越權(quán)操作； 檢測系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補漏洞； 對用戶的非正?；顒舆M行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律； 檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性，如計算和比較文件系統(tǒng)的校驗和； 能夠?qū)嵤z測到的入侵行為做出反應(yīng)； 操作系統(tǒng)的審計跟蹤管理。 在功能上一個入侵檢測系統(tǒng)至少應(yīng)該包括：提供事件記錄流的信息源；發(fā)現(xiàn) 入侵跡象的分析引擎；以及基于分析引擎的結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件。圖2 2 給 出了一個基本的入侵檢測系統(tǒng)結(jié)構(gòu)，各部件的功能如下所述： 圖2 2 入侵檢測系統(tǒng)的體系結(jié)構(gòu) 事件提取模塊：負責提取與被保護系統(tǒng)相關(guān)的運行數(shù)據(jù)或記錄，并負責 對數(shù)據(jù)進行簡單的過濾和格式化轉(zhuǎn)換，以方便分析模塊的引擎進行處理； 4 入侵分析模塊：在提取到的運行數(shù)據(jù)中找出入侵的痕跡，將授權(quán)的正常 訪問行為和非授權(quán)的不j f 常訪問行為區(qū)分開來，分析出入侵行為并通知相應(yīng)模 塊，此外，這個模塊還應(yīng)具有學習和適應(yīng)新攻擊模式的智能性； 入侵響應(yīng)模塊：在分析出入侵行為后被觸發(fā)，根據(jù)入侵行為產(chǎn)生響應(yīng)， 如切斷攻擊者與主機的連接、封鎖用戶帳戶、重新配置和恢復(fù)服務(wù)、生成日志文 件等。響應(yīng)代理可以與防火墻和操作系統(tǒng)交互，申請暫停或封鎖接下來來自這 用戶的所有連接。 遠程管理模塊：由于單個入侵檢測系統(tǒng)的檢測能力和檢測范圍的限制， 入侵檢測系統(tǒng)一般采用分布式監(jiān)視集中式管理的結(jié)構(gòu)，多個監(jiān)測單元運行于網(wǎng)絡(luò) 中的各個網(wǎng)段或系統(tǒng)上，通過遠程管理功能在一臺管理站點上實現(xiàn)統(tǒng)一的管理和 監(jiān)控。 2 3 入侵檢測系統(tǒng)分類 從技術(shù)和檢測范圍上看，入侵檢測系統(tǒng)基本上分為基于網(wǎng)絡(luò)的產(chǎn)品和基于主 機的產(chǎn)品?；旌系娜肭謾z測系統(tǒng)可以彌補一些基于網(wǎng)絡(luò)和基于主機的片面性缺 陷。 基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品( n i d s ) 【1 7 ”1 放置在比較重要的網(wǎng)段內(nèi)，不停的 監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析。如果 數(shù)據(jù)包與系統(tǒng)內(nèi)置的某些規(guī)則吻合，入侵檢測系統(tǒng)就會發(fā)出警報甚至直接切斷網(wǎng) 絡(luò)連接。目前，大部分入侵檢測產(chǎn)品是基于網(wǎng)絡(luò)的，比較著名的有s n o r t 、n f r 、 s h a d o w 等。 網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠檢測那些來自網(wǎng)絡(luò)的攻擊，它能夠檢測到超過授權(quán)的 非法訪問。由于它不會在業(yè)務(wù)系統(tǒng)的主機中安裝額外的軟件，從而不會影響這些 機器的c p u 、i o 與磁盤等資源的使用，不會影響業(yè)務(wù)系統(tǒng)的性能。但網(wǎng)絡(luò)入侵 檢測系統(tǒng)只檢查它直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)包。在使用 交換以太網(wǎng)的環(huán)境中就會出現(xiàn)監(jiān)測范圍的局限。而且，網(wǎng)絡(luò)入侵檢測系統(tǒng)為了性 能目標通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現(xiàn) 些復(fù)雜的需要大量計算與分析時間的攻擊檢測。另外，網(wǎng)絡(luò)入侵檢測系統(tǒng)處理加 密的會話過程較困難，隨著i p v 6 的普及，這個問題會越來越突出。 基于主機的入侵檢測產(chǎn)品( i - u d s ) 通常是安裝在被重點檢測的主機之上【1 9 馴，主要是對該主機的網(wǎng)絡(luò)實時連接以及系統(tǒng)審計日志進行智能分析和判斷。如 果其中主體活動十分可疑( 特征行為或違反統(tǒng)計規(guī)律) ，入侵檢測系統(tǒng)就會采取相 應(yīng)措施。主機入侵檢測系統(tǒng)通常情況下比網(wǎng)絡(luò)入侵檢測系統(tǒng)誤報率要低，因為檢 測在主機上運行的命令序列比檢測網(wǎng)絡(luò)流更簡單，系統(tǒng)的復(fù)雜性也少得多，通常 能夠提供更詳盡的相關(guān)信息。但是，在服務(wù)器本身上安裝入侵檢測系統(tǒng)會降低應(yīng) 用系統(tǒng)的效率，而且它依賴于服務(wù)器固有的日志與監(jiān)視能力，除了監(jiān)測自身的主 機以外，根本不監(jiān)測網(wǎng)絡(luò)上的情況。對入侵行為的分析的工作量將隨著主機數(shù)目 增加而增力。 基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品和基于主機的入侵檢測產(chǎn)品都有不足之處，單純使 用一類產(chǎn)品會造成主動防御體系不全面。但是，它們的缺憾是互補的。如果這兩 類產(chǎn)品能夠無縫結(jié)合起來部署在網(wǎng)絡(luò)內(nèi)，則會構(gòu)架成一套完整立體的主動防御體 系，綜合了基于網(wǎng)絡(luò)和基于主機兩種結(jié)構(gòu)特點的入侵檢測系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中 的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況，這就是混合型入侵檢測系統(tǒng)。 按照分析引擎的實現(xiàn)方法，又可將入侵檢測分為基于行為的和基于知識的。 基于行為的檢測是指根據(jù)使用者的正常行為規(guī)律或資源使用狀況來判斷是否發(fā) 生了入侵，也稱為異常檢測( a n o m a l yd e t e c t i o n ) ；基于知識的檢測也稱為誤用 檢測( m i s u s ed e t e c t i o n ) ，是指運用已知的攻擊方法，根據(jù)已定義好的入侵模式， 通過比較實際用戶行為與這些入侵模式是否匹配來檢測，若匹配則視為入侵行 為。在后面的一章將會對這兩類分析技術(shù)做詳細的陳述。 2 4 入侵檢測及分析技術(shù)發(fā)展趨勢 無論從規(guī)模與方法上入侵技術(shù)近年來都發(fā)生了變化。入侵的手段與技術(shù)也有 了“進步與發(fā)展”： 入侵或攻擊的綜合化與復(fù)雜化。 入侵主體對象的間接化，即實施入侵與攻擊的主體的隱蔽化。 入侵或攻擊的規(guī)模擴大。 入侵或攻擊技術(shù)的分布化。分布式攻擊是近期最常用的攻擊手段。 攻擊對象的轉(zhuǎn)移。由攻擊網(wǎng)絡(luò)改為攻擊網(wǎng)絡(luò)的防護系統(tǒng)，且有愈演愈烈的趨 勢?，F(xiàn)已有專門針對i d s 作攻擊的報道。 相應(yīng)的，今后的入侵檢測及分析技術(shù)大致可朝下述三個方向發(fā)展： 分布式入侵檢測：第一層含義，即針對分布式網(wǎng)絡(luò)攻擊的檢測方法；第二層 含義即使用分布式的方法來檢測分布式的攻擊，其中的關(guān)鍵技術(shù)為檢測信息的協(xié) 同處理與入侵攻擊的全局信息的提取。 智能化入侵檢測：即使用智能化的方法與手段來進行入侵檢測。所謂的智能 化方法，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，這 些方法常用于入侵特征的辨識與泛化。利用專家系統(tǒng)的思想來構(gòu)建入侵檢測系統(tǒng) 也是常用的方法之一。特別是具有自學習能力的專家系統(tǒng)，實現(xiàn)了知識庫的不斷 更新與擴展，使設(shè)計的入侵檢測系統(tǒng)的防范能力不斷增強，應(yīng)具有更廣泛的應(yīng)用 前景。應(yīng)用智能體的概念來進行入侵檢測的嘗試也已有報道。較為一致的解決方 案應(yīng)為高效常規(guī)意義下的入侵檢測系統(tǒng)與具有智能檢測功能的檢測軟件或模塊 的結(jié)合使用。 全面的安全防御方案：即使用安全工程風險管理的思想與方法來處理網(wǎng)絡(luò)安 全問題，將網(wǎng)絡(luò)安全作為一個整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、 防火墻、病毒防護、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估，然后提 出可行的全面解決方案。 “多層次防護”【2 1 l 就是應(yīng)用和實施一個基于多層次安全系統(tǒng)的全面信息安全 策略，在各個層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品以增加攻擊都侵入時所需花費的時 問、成本和資源，從而有效地降低被攻擊的危險，達到安全防護的目標。目前， 多層次防護已經(jīng)成為網(wǎng)絡(luò)安全的主流策略。 “分層安全防護”就提出了這樣一種思路：結(jié)合不同的安全保護因素，例如防 病毒軟件、防火墻和安全漏洞檢測工具，來創(chuàng)建一個比單一防護有效得多的綜合 保護屏障。分層的安全防護成倍地增加了黑客攻擊的成本和難度，從而大大減少 了他們的攻擊頻度。入侵檢測系統(tǒng)負責進行攻擊檢測，防火墻和強制訪問控制系 統(tǒng)負責攻擊防范，攻擊后的恢復(fù)則由自動恢復(fù)系統(tǒng)來解決。這三大方向體現(xiàn)了在 網(wǎng)絡(luò)安全防護上的多層安全防護的思想。在使用了多層安全防護措施以后，企圖 入侵信息系統(tǒng)的黑客要付出成數(shù)倍的代價才有可能達到入侵目的。這時，你的信 息系統(tǒng)的安全系數(shù)就得到了大大的提升。 可能發(fā)生的另一個趨勢就是硬件版本的入侵檢測系統(tǒng)和安全網(wǎng)絡(luò)工具箱集 成在一起 _ ”，以使用戶能夠處理與持續(xù)的連接到i n t e r n e t 上相關(guān)的安全問題。集 成的安全和網(wǎng)絡(luò)工具箱可能會包括網(wǎng)絡(luò)接口硬件( 保護集線器和路由器) 、防火 墻、連接加密器、w e b 服務(wù)器和其它用來加強更快更安全連接的功能。 需要強調(diào)的是，網(wǎng)絡(luò)安全是一個系統(tǒng)工程，不是單一的產(chǎn)品或技術(shù)可以完全 解決的。一個完整的安全體系應(yīng)該是一個由具有分布性的多種安全技術(shù)或產(chǎn)品構(gòu) 成的復(fù)雜系統(tǒng)，既有技術(shù)的因素，也包含人的因素，通過這些技術(shù)的綜合使用， 才能為用戶提供一個整體的、立體的、有效的安全解決方案，以有效的解決網(wǎng)絡(luò) 所面臨的安全威脅。 2 5s o i d s 原型系統(tǒng)簡介 原有的s o i d s ( s e r v i c eo r i e n t e di n t r u s i o nd e t e c t i o ns y s t e m ) 是一種面向服 務(wù)的入侵檢測系統(tǒng)【2 “。它將基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)有機的結(jié)合在 起，有效的利用兩者的優(yōu)勢，提供集成化的檢測報告和響應(yīng)功能，在體系結(jié)構(gòu)上 具有良