(計(jì)算機(jī)應(yīng)用技術(shù)專業(yè)論文)基于cve特征的ids規(guī)則庫的研究與實(shí)現(xiàn).pdf_第1頁
(計(jì)算機(jī)應(yīng)用技術(shù)專業(yè)論文)基于cve特征的ids規(guī)則庫的研究與實(shí)現(xiàn).pdf_第2頁
(計(jì)算機(jī)應(yīng)用技術(shù)專業(yè)論文)基于cve特征的ids規(guī)則庫的研究與實(shí)現(xiàn).pdf_第3頁
(計(jì)算機(jī)應(yīng)用技術(shù)專業(yè)論文)基于cve特征的ids規(guī)則庫的研究與實(shí)現(xiàn).pdf_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

哈爾濱理工大學(xué)工學(xué)碩士學(xué)位論文 基于c v e 特征的i d s 規(guī)則庫的研究與實(shí)現(xiàn) 摘要 近年來,互聯(lián)網(wǎng)在國際上得到了長足的發(fā)展,但網(wǎng)絡(luò)本身的安全性問題 也就顯得更為重要,網(wǎng)絡(luò)安全的一個主要威脅就是通過網(wǎng)絡(luò)對信息系統(tǒng)的入 侵。網(wǎng)絡(luò)入侵指試圖破壞信息系統(tǒng)的完整性、機(jī)密性或可控性一系列活動。 與此同時,隨著入侵手段和技術(shù)的不斷發(fā)展和演化,如何通過計(jì)算機(jī)對入侵 進(jìn)行實(shí)時檢測,防范和保障計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)及整個信息系統(tǒng)的安全就 成為目前眾多網(wǎng)絡(luò)安全手段中的核心技術(shù)。 本論文在全面分析、了解國內(nèi)外入侵檢測系統(tǒng)的系統(tǒng)結(jié)構(gòu)、構(gòu)建方法和 運(yùn)行特點(diǎn)的基礎(chǔ)上,結(jié)合實(shí)際需要提出開發(fā)一個基于c v e 特征的實(shí)時入侵檢 測系統(tǒng)。該系統(tǒng)將c v e 所列的弱點(diǎn)風(fēng)險(xiǎn)作為入侵檢測的主要對象,深入的 研究了c v e 漏洞特征、體系結(jié)構(gòu),并且把其特征有效的進(jìn)行了提取和概括, 在此基礎(chǔ)上構(gòu)筑了具有c v e 特征的規(guī)則庫,并建立起基于網(wǎng)絡(luò)和主機(jī)的實(shí)時 入侵檢測系統(tǒng),對網(wǎng)絡(luò)攻擊進(jìn)行識別,最大限度的進(jìn)行網(wǎng)絡(luò)安全的防護(hù)。本 論文著重于該入侵檢測系統(tǒng)的核心一一基于c v e 特征的規(guī)則庫的研究與實(shí) 現(xiàn)。本系統(tǒng)自定義了一種基于c v e 標(biāo)準(zhǔn)的規(guī)則描述方法,這種描述方法簡單、 高效、易于實(shí)現(xiàn),能夠描述絕大多數(shù)的c v e 入侵行為,并且能夠及時迅速的 更新與升級。同時,在此規(guī)則庫的支持下,系統(tǒng)提供了集成化的檢測、報(bào)告 和響應(yīng)的功能。在網(wǎng)絡(luò)引擎的實(shí)現(xiàn)上,使用了協(xié)議分析和規(guī)則匹配相結(jié)合的 方法,有效的提高了系統(tǒng)的實(shí)時響應(yīng)速度、數(shù)據(jù)處理速度、同時降低了系統(tǒng) 的漏報(bào)率和誤報(bào)率,大大的增強(qiáng)了入侵檢測系統(tǒng)的防范能力。 本系統(tǒng)以c v e 標(biāo)準(zhǔn)作為規(guī)則庫的數(shù)據(jù)源,形成并建立了入侵檢測系統(tǒng)的 規(guī)則庫,為入侵檢測系統(tǒng)規(guī)則庫提供了可靠的國際權(quán)威性標(biāo)準(zhǔn),對于入侵檢 測系統(tǒng)的標(biāo)準(zhǔn)化具有極大的推動作用。 關(guān)鍵詞c v e ;入侵檢測;數(shù)據(jù)源;規(guī)則庫 墮筌鎏詈三奎蘭三蘭翌圭蘭竺蘭蘭 一 r e s e a r c ha n di m p l e m e n to fi n t r u s i o nd e t e c t i o n s y s t e mr u l e b a s e do nc v ec h a r a c t e r s a b s t r a c t r e c e n t l y , n e t w o r kh a sag r e a td e v e l o p m e n ti nt h ew o r l d ,w h i l et h es e c u r i t y o fn e t w o r ki ss t a n d i n go u t t h em a i nt h r e a tc o m e sf r o mi n t r u s i o n so nn e t w o r k n e t w o r ki n t r u s i o ni sd e f i n e da sa n ys e to fa c t i o n st h a ta t t e m p tt oc o m p r o m i s et h e i n t e g r i t y , c o n f i d e n t i a l i t y , a v a i l a b i l i t yo fi n f o r m a t i o ns y s t e m a tt h es a m et i m e , i n t r u s i o nt e c h n i q u ea n dm e a s u r e s h a v eag r e a td e v e l o p m e ma n dc h a n g e s ,h o wt o d e t e c ta n dp r o t e c tc o m p u t e rs y s t e ma n dn e t w o r ks y s t e ma n da l lt h ei n f o r m a t i o n s y s t e m ss a f e t yh a sb e e n ac o r eo f t e c h n i q u ei nm a n yn e t w o r ks e c u r i t ym e a n s o nt h eb a s eo fa n a l y z i n gt h es t r u c t u r e ,b u i l d i n gm e t h o d sa n dr u n n i n g c h a r a c t e r so ft h ei n t r u s i o nd e t e c t i o ns y s t e m ,a n da c t o r d i n gt ot h ep r a c t i c a l r e q u i r e m e n t s ,t h i sp a p e rp u t sf o r w a r dar e a l - t i m ei n t r u s i o nd e t e c t i o ns y s t e m b a s e do nc y e ( c o m m o n 礦l f n e r a b i l i t i e sa n de x p o s u r e s ) c h a r a c t e r s t h em a i n r e s e a r c ho b j e c t sa r et h ev u l n e r a b i l i t i e s & e x p o s u r e si nc v ef o ri n t r u s i o n d e t e c t i o ni nt h i ss y s t e m s i n c ed e e pr e s e a r c h i n gt h ec h a r a c t e r sa n ds t r u c t u r eo f c v ea n dp i c ku pa n ds l i mu pi t e f f e c t i v e l y , w eb u i l tar u l eb a s ew i t hc v e c h a r a c t e r s ,a n db u i l tar e a l t i m ei n t r u s i o nd e t e c t i o ns y s t e mb a s e do nn e t w o r k a n dh o s t ,w h i c hc a ni d e n t i f ya t t a c ko fn e t w o r ka n df a r t h e s t s a f e g u a r dt h e n e t w o r k ss a f e t y t h em a i nt a s ko ft h i sp a p e ri st h er e s e a r c ha n di m p l e m e n to f r u l eb a s eb a s e do nc v e 。w h i c hi st h ek e r n e lo ft h i si d s t h i ss y s t e mu s e d d e s c r i b el a n g u a g eo fr u l eb a s e do ns t a n d a r dc v e ,t h i sd e s c r i b em e a s u r ei ss i m p l e , e m c i e n ta n de a s yt oi m p l e m e n t i tc a nd e s c r i b em o s tc v ei n t r u s i v ea c t i o n sa n d u p d a t eo ru p g r a d er a p i d l y w i t ht h er u l eb a s e sh o l d i n gu p t h es y s t e mp r o v i d e d e t e c t i o n , r e p o r ta n dr e s p o n s et o g e t h e r i nt h ei m p l e m e n to ft h en e t w o r ke n g i n e , t h ec o m b i n a t i o no fn e t w o r kp r o t o c o la n a l y s i sa n dp a t t e r nm a t c ht e c h n o l o g yi s u s e d ,t h ei n t r u s i o nd e t e c t i o ns y s t e mi m p r o v e di t sr e s p o n s es p e e d ,d a t aa n a l y z i n g s p e e da n dr e d u c et h em i s sa l a r mr a t ea n df a l s ea l a r mr a t e ,a l lt h e s ec h a r a c t e r s m a k et h i si n t r u s i o nd e t e c t i o ns y s t e mh a v em u c hm o r e p r o t e c t i n gc a p a c i t y i i - 墮璽鎏堡三盔蘭三蘭鎏圭蘭些鎏三 t h i ss y s t e mu s e ds t a n d a r dc v ea sr u l eb a s e sd a t ar e s o u r c e ,f o r m e da n d b u i l tt h er u l eb a s e o ft h ei n t r u s i o nd e t e c t i o ns y s t e m i tp r o v i d er e l i a b l e f o u n d a t i o nf o rt h er u l eb a s eo ft h ei d s ,w h i c hc a np r o m o t et h es t a n d a r d i z e p r o c e s so f i n t r u s i o nd e t e c t i o ns y s t e m k e y w o r d sc v e ;i n t r u s i o nd e t e c t i o n ;d a t ar e s o u r c e ;r u l eb a s e 1 i i 墮塹堡壘三奎蘭三蘭塑圭蘭堡鎏三 1 1c v e 的發(fā)展和意義 第1 章緒論 漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從 而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。隨著i n t e m e t 的發(fā)展, 利用漏洞攻擊網(wǎng)絡(luò)的事件層出不窮,影響到很大范圍的軟硬件設(shè)備,包括操作 系統(tǒng)本身及其支撐軟件,網(wǎng)絡(luò)客戶和服務(wù)器軟件,網(wǎng)絡(luò)路由器和安全防火墻等, 嚴(yán)重威脅著網(wǎng)絡(luò)信息安全。 國外一直在進(jìn)行對漏洞的相關(guān)研究,漏洞的理論、漏洞的分類、漏洞數(shù)據(jù) 庫、通用漏洞檢測、漏洞修補(bǔ)等都是研究側(cè)重點(diǎn)。在漏洞庫的研究領(lǐng)域比較有 代表性的要屬m i t r e 公司的c v e ( c o m m o nv u l n e r a b i l i t i e s & e x p o s u r e s - - 公共弱點(diǎn) 風(fēng)險(xiǎn)) 列表。c v e 是個行業(yè)標(biāo)準(zhǔn),為每個弱點(diǎn)風(fēng)險(xiǎn)確定了惟一的名稱和標(biāo)準(zhǔn)化 的描述,可以成為評價相應(yīng)入侵檢測和弱點(diǎn)風(fēng)險(xiǎn)掃描等工具產(chǎn)品和數(shù)據(jù)庫的基 準(zhǔn)【l 】。目前c v e 收錄的漏洞已經(jīng)達(dá)到3 0 5 2 個正式條目,另外還有5 6 2 1 個候選 條目。 c v e 的出現(xiàn),對于安全性產(chǎn)品開發(fā)的規(guī)范規(guī)范來說是個好消息,而且使得 在網(wǎng)絡(luò)安全領(lǐng)域內(nèi)系統(tǒng)漏洞庫和安全工具的數(shù)據(jù)共享變得更加容易。c v e 標(biāo)準(zhǔn) 表是對公眾公開的,在發(fā)布上沒有權(quán)限,這使得c v e 標(biāo)準(zhǔn)在i d s 領(lǐng)域及信息安 全領(lǐng)域里將扮演關(guān)鍵的角色。它可以使得i d s 更加具有互用性,增強(qiáng)各個安全 組織之間的交流與合作。隨著大家對c v e 認(rèn)識的增強(qiáng),與c v e 兼容的產(chǎn)品在 市場上也將獲得競爭優(yōu)勢。用戶和網(wǎng)絡(luò)安全管理員可以通過采用“c v e 兼容” 的產(chǎn)品,或者要求你的安全產(chǎn)品廠商達(dá)到c v e 兼容的水平,以保證企業(yè)級安全 應(yīng)用的需求口1 。目前國外已經(jīng)有超過2 8 個漏洞庫和工具聲明與c v e 兼容。另外, 用戶還可以參考c v e 字典和相應(yīng)的數(shù)據(jù)庫建立自己的網(wǎng)絡(luò)安全防范體系,而且 所有的這些風(fēng)險(xiǎn)項(xiàng)都可以通過c v e 索引迅速地找到相應(yīng)的修補(bǔ)控制措施。使 i d s 兼容c v e 對于i d s 的發(fā)展非常有利,c v e 標(biāo)準(zhǔn)增加了公司和組織安全報(bào)告 的一致性,各種i d s 產(chǎn)品可以以c v e 標(biāo)準(zhǔn)來產(chǎn)生攻擊事件描述信息,這更加有 利于安全信息的共享和發(fā)布效率,還能更加有效的分析從而發(fā)現(xiàn)大規(guī)模的攻擊 模式。 竺查堡呈三奎蘭王蘭量圭蘭竺蘭蘭 1 2i d s 概述 入侵就是指試圖破壞計(jì)算機(jī)的保密性、完整性、可用性或可控性的一系列 活動。入侵活動包括非授權(quán)用戶試圖存取數(shù)據(jù),處理數(shù)據(jù),或者妨礙計(jì)算機(jī)的 正常運(yùn)行等等。入侵檢測就是對入侵行為的發(fā)覺,它通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算 機(jī)系統(tǒng)中的若干個關(guān)鍵點(diǎn)收集信息,并對其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或者系統(tǒng) 中是否有違反安全策略的行為和被攻擊的跡象,并發(fā)出警報(bào)。 一般采用防火墻作為安全的第一道防線,但是隨著攻擊技術(shù),攻擊工具和 攻擊手段的日趨復(fù)雜多樣,單純的防火墻策略已經(jīng)無法滿足需要。在這種環(huán)境 下,入侵檢測系統(tǒng)越來越受到人們的重視,并且成為防火墻的有利補(bǔ)充,在各 種不同的環(huán)境中發(fā)揮重要的作用。它能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴(kuò)展系統(tǒng)管 理員的安全管理能力( 包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng)) ,提高信息安全 基礎(chǔ)結(jié)構(gòu)的完整性。它在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測,從而提 供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)。 入侵檢測系統(tǒng)( i n t r u s i o nd e t e c t i o ns y s t e m ,i d s ) 是一個試圖通過基于特征 或誤用檢測或兩者的結(jié)合的技術(shù)來實(shí)現(xiàn)入侵檢測的計(jì)算機(jī)程序【3 】。 1 2 1 入侵檢測系統(tǒng)的功能 具體來說,入侵檢測系統(tǒng)的功能有: 監(jiān)視、分析用戶及系統(tǒng)活動; 系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì); 識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報(bào)警; 異常行為模式的統(tǒng)計(jì)分析; 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性; 操作系統(tǒng)的審計(jì)跟蹤管理,并識別用戶違反安全策略的行為【4 l 。 對一個成功的入侵檢測系統(tǒng)來講,它不但可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系 統(tǒng)( 包括程序、文件和硬件設(shè)備等) 的任何變更,還能給網(wǎng)絡(luò)安全策略的制訂 提供指南。更為重要的一點(diǎn)是,它應(yīng)該管理、配置簡單,從而使非專業(yè)人員非 常容易地獲得網(wǎng)絡(luò)安全。而且,入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造 和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后,會及時作出響應(yīng),包 括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。 哈爾濱理工大學(xué)工學(xué)碩士學(xué)位論文 1 2 2 入侵檢測系統(tǒng)的組成 典型的i d s 包含四個基本的部件:探測器、參照信息數(shù)據(jù)庫、分析與響應(yīng) 器和用戶界面( 控制臺) ,如圖1 1 所示。 圖1 - 1 典型i d s 的組成 f i g 1 - lt h ec o m p o s i n go f c l a s s i c a li d s 1 探測器分布在臺或者多臺計(jì)算機(jī)系統(tǒng)、或者網(wǎng)絡(luò)設(shè)備中的功能部件中, 它負(fù)責(zé)按照一定的要求或者規(guī)則收集用戶、服務(wù)、系統(tǒng)或者網(wǎng)絡(luò)數(shù)據(jù)流信息, 把它們組織成適當(dāng)格式的審計(jì)數(shù)據(jù)并送交分析器。 2 參照信息數(shù)據(jù)庫負(fù)責(zé)存儲并維護(hù)分析器所能夠理解的標(biāo)準(zhǔn)信息( 如正常的 對象模型或者攻擊特征編碼等) 的功能部件。 3 分析與響應(yīng)器以參照信息數(shù)據(jù)庫中的信息為基準(zhǔn),對審計(jì)數(shù)據(jù)進(jìn)行比較分 析,給出分析報(bào)告并送交控制臺。如果發(fā)現(xiàn)入侵,則采取適當(dāng)?shù)拇胧? 報(bào)警、 反擊入侵者等) ,或者給出對策建議。 4 用戶界面又可以稱為i d s 的控制臺,用戶可以通過它配置系統(tǒng),控制系 統(tǒng)的行為,也可以通過它瀏覽i d s 的報(bào)告或報(bào)警信息等。在協(xié)作式的i d s 中, 可以有多個分析器,各個分析器、探測器中可包含專門負(fù)責(zé)協(xié)作的功能部件。 1 3 入侵檢測的分類 1 3 1 基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測 入侵檢測系統(tǒng)的數(shù)據(jù)一般來自與網(wǎng)絡(luò)數(shù)據(jù)和基于主機(jī)的安全日志文件。因 此可以根據(jù)數(shù)據(jù)源分為基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測口】。 1 基于網(wǎng)絡(luò)的入侵檢測基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)( n i d s ) 放置在比較重要 的網(wǎng)段內(nèi),不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包 進(jìn)行特征分析。如果數(shù)據(jù)包與內(nèi)置的某些規(guī)則吻合,入侵檢測系統(tǒng)就會發(fā)出警 報(bào)甚至直接切斷網(wǎng)絡(luò)連接。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個網(wǎng)段的任 務(wù),可以在放火墻之外采用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng),負(fù)責(zé)檢測來自i n t e m e t 的攻擊。 網(wǎng)絡(luò)入侵檢測系統(tǒng)的優(yōu)點(diǎn): 網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠檢測那些來自網(wǎng)絡(luò)的攻擊,它能夠檢測到超過授權(quán) 的非法訪問。一個網(wǎng)絡(luò)入侵檢測系統(tǒng)不需要改變服務(wù)器等主機(jī)的配置。由于它 不會在業(yè)務(wù)系統(tǒng)的主機(jī)中安裝額外的軟件,從而不會影響這些機(jī)器的c p u 、f o 與磁盤等資源的使用,不會影響業(yè)務(wù)系統(tǒng)的性能。 由于網(wǎng)絡(luò)入侵檢測系統(tǒng)不像路由器、防火墻等關(guān)鍵設(shè)備方式工作,它不會 成為系統(tǒng)中的關(guān)鍵路徑。網(wǎng)絡(luò)入侵檢測系統(tǒng)發(fā)生故障不會影響正常業(yè)務(wù)的運(yùn)行。 布署一個網(wǎng)絡(luò)入侵檢測系統(tǒng)的風(fēng)險(xiǎn)比主機(jī)入侵檢測系統(tǒng)的風(fēng)險(xiǎn)少得多。 網(wǎng)絡(luò)入侵檢測系統(tǒng)近年內(nèi)有向?qū)iT的設(shè)備發(fā)展的趨勢,安裝這樣的一個網(wǎng) 絡(luò)入侵檢測系統(tǒng)非常方便,只需將定制的設(shè)備接上電源,做很少一些配置,將 其連到網(wǎng)絡(luò)上即可。 網(wǎng)絡(luò)入侵檢測系統(tǒng)的弱點(diǎn): 網(wǎng)絡(luò)入侵檢測系統(tǒng)只檢查它直接連接網(wǎng)段的通信,不能檢測在不同網(wǎng)段的 網(wǎng)絡(luò)包。在使用交換以太網(wǎng)的環(huán)境中就會出現(xiàn)監(jiān)測范圍的局限。而安裝多臺網(wǎng) 絡(luò)入侵檢測系統(tǒng)的傳感器會使布署整個系統(tǒng)的成本大大增加。 網(wǎng)絡(luò)入侵檢測系統(tǒng)為了性能目標(biāo)通常采用特征檢測的方法,它可以檢測出 普通的一些攻擊,而很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時間的攻擊檢測。 網(wǎng)絡(luò)入侵檢測系統(tǒng)可能會將大量的數(shù)據(jù)傳回分析系統(tǒng)中。在一些系統(tǒng)中監(jiān) 聽特定的數(shù)據(jù)包會產(chǎn)生大量的分析數(shù)據(jù)流量。一些系統(tǒng)在實(shí)現(xiàn)時采用一定方法 來減少回傳的數(shù)據(jù)量,對入侵判斷的決策由傳感器實(shí)現(xiàn),而中央控制臺成為狀 蘭奎鎏墨三查蘭三蘭堡當(dāng)蘭堡篁塞 態(tài)顯示與通信中心,不再作為入侵行為分析器。這樣的系統(tǒng)中的傳感器協(xié)同工 作能力較弱。 網(wǎng)絡(luò)入侵檢測系統(tǒng)處理加密的會話過程較困難,目前通過加密通道的攻擊 尚不多,但隨著i p v 6 的普及,這個問題會越來越突出。 2 基于主機(jī)的入侵檢測基于主機(jī)的入侵檢測系統(tǒng)( h i d s ) 通常是安裝在被 重點(diǎn)檢測的主機(jī)之上,主要是對該主機(jī)的網(wǎng)絡(luò)實(shí)時連接以及系統(tǒng)審計(jì)日志進(jìn)行 智能分析和判斷。如果其中主體活動十分可疑( 特征或違反統(tǒng)計(jì)規(guī)律) ,入侵檢 測系統(tǒng)就會采取相應(yīng)措施。 主機(jī)入侵檢測系統(tǒng)的優(yōu)點(diǎn): 主機(jī)入侵檢測系統(tǒng)對分析“可能的攻擊行為”非常有用。舉例來說,有時 候它除了指出入侵者試圖執(zhí)行一些“危險(xiǎn)的命令”之外,還能分辨出入侵者干 了什么事:他們運(yùn)行了什么程序、打開了哪些文件、執(zhí)行了哪些系統(tǒng)調(diào)用。主 機(jī)入侵檢測系統(tǒng)與網(wǎng)絡(luò)入侵檢測系統(tǒng)相比通常能夠提供更詳盡的相關(guān)信息。 主機(jī)入侵檢測系統(tǒng)通常情況下比網(wǎng)絡(luò)入侵檢測系統(tǒng)誤報(bào)率要低,因?yàn)闄z測 在主機(jī)上運(yùn)行的命令序列比檢測網(wǎng)絡(luò)流更簡單,系統(tǒng)的復(fù)雜性也少得多。 主機(jī)入侵檢測系統(tǒng)可布署在那些不需要廣泛的入侵檢測、傳感器與控制臺 之間的通信帶寬不足的情況下。主機(jī)入侵檢測系統(tǒng)在不使用諸如“停止服務(wù)”、 “注銷用戶”等響應(yīng)方法時風(fēng)險(xiǎn)較少。 主機(jī)入侵檢測系統(tǒng)的弱點(diǎn): 主機(jī)入侵檢測系統(tǒng)安裝在我們需要保護(hù)的設(shè)備上。舉例來說,當(dāng)一個數(shù)據(jù) 庫服務(wù)器要保護(hù)時,就要在服務(wù)器本身上安裝入侵檢測系統(tǒng)。這會降低應(yīng)用系 統(tǒng)的效率。此外,它也會帶來一些額外的安全問題,安裝了主機(jī)入侵檢測系統(tǒng) 后,將本不允許安全管理員有權(quán)力訪問的服務(wù)器變成他可以訪問的了。 主機(jī)入侵檢測系統(tǒng)的另一個問題是它依賴于服務(wù)器固有的日志與監(jiān)視能 力。如果服務(wù)器沒有配置日志功能,則必需重新配置,這將會給運(yùn)行中的業(yè)務(wù) 系統(tǒng)帶來不可預(yù)見的性能影響。 全面布署主機(jī)入侵檢測系統(tǒng)代價較大,企業(yè)中很難將所有主機(jī)用主機(jī)入侵 檢測系統(tǒng)保護(hù),只能選擇部分主機(jī)保護(hù)。那些未安裝主機(jī)入侵檢測系統(tǒng)的機(jī)器 將成為保護(hù)的盲點(diǎn),入侵者可利用這些機(jī)器達(dá)到攻擊目標(biāo)。 主機(jī)入侵檢測系統(tǒng)除了監(jiān)測自身的主機(jī)以外,根本不監(jiān)測網(wǎng)絡(luò)上的情況。 對入侵行為的分析的工作量將隨著主機(jī)數(shù)目增加而增加。 3 混合型入侵檢測基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品和基于主機(jī)的入侵檢測產(chǎn)品都 有不足之處,單純使用一類產(chǎn)品會造成主動防御體系不全面。但是,它們的缺 晴爾濱埋工人學(xué)工學(xué)碩士學(xué)位論文 憾是互補(bǔ)的。如果這兩類產(chǎn)品能夠無縫結(jié)合起來部署在網(wǎng)絡(luò)內(nèi),則會構(gòu)架成一 套完整立體的主動防御體系,綜合了基于網(wǎng)絡(luò)和基于主機(jī)兩種結(jié)構(gòu)特點(diǎn)的入侵 檢測系統(tǒng),既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息,也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。 1 3 2 基于特征的入侵檢測和異常檢測 入侵檢測根據(jù)所采用的技術(shù)不同可以分為基于特征的入侵檢測與異常檢測 兩種。 1 ?;谔卣鞯娜肭謾z測基于特征檢測的i d s 將符合已知入侵特征的行為視 為入侵,它事先對已知的攻擊方法進(jìn)行分析,提取其特征,并將它們編碼為程 序可以理解的形式,存放在參照信息數(shù)據(jù)庫中,以便分析器據(jù)以對實(shí)際的審計(jì) 數(shù)據(jù)進(jìn)行比較分析,一旦發(fā)現(xiàn)真實(shí)的信息與信息庫中的特征相匹配,則報(bào)警。 其工作過程如圖1 2 所示。 圖1 - 2 基于特征的1 d s f i g 1 - 2t h ei d sb a s e d0 1 2c h a r a c t e r 基于特征檢測的i d s 能夠很好地檢測出那些特征已經(jīng)被存儲在信息庫中的 入侵,誤報(bào)率很小。但是,它無法檢測出偏離“標(biāo)準(zhǔn)特征”或者新的入侵方式, 因此,一旦發(fā)現(xiàn)新的攻擊方式或者攻擊方式變異,就必須更新特征信息庫,而 實(shí)際上,新的攻擊方式或者攻擊方式的變異總是源源不斷地出現(xiàn),這就是這一 體系結(jié)構(gòu)的困難所在。另外,如何準(zhǔn)確地總結(jié)攻擊方式或正常應(yīng)用的特點(diǎn)并將 它們表述為程序所能夠理解的編碼語言并非易事。 2 異常檢測基于異常檢測( a n o m a l yd e t e c t i o n ) 的i d s 首先從歷史數(shù)據(jù)中提 取目標(biāo)系統(tǒng)有關(guān)對象( 一個組用戶、某一主機(jī)、網(wǎng)絡(luò)等) 的正常模型( 比如, 善 靈菩 妥 蘭奎鎏翌三查蘭三蘭堡圭耋堡簍塞 用戶實(shí)體模型特征指標(biāo)可能包括t e l n e t 或者f t p 通常的持續(xù)時間,其間交互的 數(shù)據(jù)量,使用時n 時間段等信息,主機(jī)實(shí)體模型特征指標(biāo)可能包括平均的c p u 使用率,用戶數(shù)等) ,模型可以通過統(tǒng)計(jì)閾值、規(guī)則、變量關(guān)系式或者模式序列 等方式來表示;然后,將正常對象模型和實(shí)際收集的審計(jì)數(shù)據(jù)輸入分析部件中 進(jìn)行對比分析,偏離正常模型的行為將視為入侵。基于異常檢測的i d s 的典型 工作過程如圖1 3 所示。 圖1 - 3 基于異常的i d s f i g 1 - 3t h ei d sb a s e do i la b n o r m i t y 由于事先沒有對攻擊模式作任何假設(shè),這類i d s 檢測出未知攻擊方式的可 能性較大;不足之處是數(shù)據(jù)處理量較大,而且參數(shù)、閩值的選擇是個難題,不 同時間、不同條件下,各個“正常狀態(tài)”之間可能有很大的差距,定義嚴(yán)格的 正常模型可以降低漏報(bào)率,而誤報(bào)率卻升高:反之,寬松定義的“正?!狈秶?降低了誤報(bào)率,而漏報(bào)率卻升高。 基于特征的檢測和基于異常的檢測這兩種方法各有所長,被其中某種依據(jù) 忽視掉的入侵,很可能會被另外一個所識別,因此,結(jié)合使用可以提高i d s 正 確檢測入侵的能力,有助于提供一個完整的入侵監(jiān)測系統(tǒng)。 竺查堡堡三奎蘭三蘭絲圭蘭堡蘭圣 1 4i d s 存在的主要問題和發(fā)展趨勢 1 4 1 存在的主要問題 盡管世界上許多國家對入侵檢測都非常重視,并投入了很大精力,開發(fā)者通 過改善和優(yōu)化已有的技術(shù)來提高i d s 性能,但現(xiàn)在的i d s 本身存在著不少問題 【6 j 。主要體現(xiàn)在以下幾方面: 1 缺少有效性i d s 評價事件經(jīng)常是要實(shí)時的。它的代價因素有操作代價、 破壞代價、響應(yīng)代價等,這些代價在當(dāng)今網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大、帶寬增加時,是非 ??捎^的。 2 誤警率高誤警就是i d s 對本來不是入侵攻擊的事件而誤發(fā)警報(bào)。檢測率 和誤檢率是一對矛盾的概念,二者的關(guān)系可由r o c 曲線圖反映。因而,人們應(yīng)在 檢測率和誤檢率之間權(quán)衡利弊,作出選擇?,F(xiàn)在的i d s 多追求高檢測率,忽視了 誤檢率,嚴(yán)重地影響了系統(tǒng)的精確性。 3 自身易受攻擊由于i d s 本身是軟件程序,所以它有可能存在漏洞。因 此,i d s 往往容易成為黑客攻擊的目標(biāo),一旦黑客攻擊成功,那它所管理的網(wǎng)絡(luò)都 不能得到保護(hù),后果不堪設(shè)想。 4 缺少統(tǒng)一的構(gòu)建方法學(xué)一般情況下,從可用的部件構(gòu)建i d s 的代價是相 當(dāng)大的,這主要是由于在i d s 系統(tǒng)內(nèi)缺少結(jié)構(gòu)化的方法學(xué)。同時,由于入侵檢測 系統(tǒng)的內(nèi)部缺乏有效的信息共享和協(xié)同機(jī)制,限制了攻擊的檢測能力。 5 自學(xué)習(xí)能力大多數(shù)i d s 難以自動發(fā)現(xiàn)新的攻擊方式。通常,添加i d s 檢 測規(guī)則依賴于手工方式,更新緩慢,這就限制了i d s 的有用性。 1 4 2 發(fā)展趨勢 隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)規(guī)模的不斷發(fā)展,人們對于計(jì)算機(jī)網(wǎng)絡(luò)的依賴也不斷 增強(qiáng)。與此同時,針對網(wǎng)絡(luò)系統(tǒng)的攻擊越來越普遍,攻擊手法日趨復(fù)雜。i d s 也隨著網(wǎng)絡(luò)技術(shù)和相關(guān)學(xué)科的發(fā)展而日趨成熟,其未來發(fā)展的趨勢主要表現(xiàn)在 以下方面。 1 寬帶高速實(shí)時的檢測技術(shù)大量高速網(wǎng)絡(luò)技術(shù)如a t m 、于兆以太網(wǎng)等近年 里相繼出現(xiàn),在此背景下的各種寬帶接入手段層出不窮。如何實(shí)現(xiàn)高速網(wǎng)絡(luò)下 的實(shí)時入侵檢測已經(jīng)成為現(xiàn)實(shí)面臨的問題。目前的千兆i d s 產(chǎn)品其性能指標(biāo)與 實(shí)際要求相差很遠(yuǎn)。要提高其性能主要需考慮以下兩個方面:首先,i d s 的軟 哈爾濱理工大學(xué)工學(xué)碩士學(xué)位論文 件結(jié)構(gòu)和算法需要重新設(shè)計(jì),以期適應(yīng)高速網(wǎng)的環(huán)境,提高運(yùn)行速度和效率; 其次,隨著高速網(wǎng)絡(luò)技術(shù)的不斷發(fā)展與成熟,新的高速網(wǎng)絡(luò)協(xié)議的設(shè)計(jì)也必將 成為未來發(fā)展的趨勢,那么,現(xiàn)有i d s 如何適應(yīng)和利用未來的新網(wǎng)絡(luò)協(xié)議將是 一個全新的問題。 2 大規(guī)模分布式的檢測技術(shù)傳統(tǒng)的集中式i d s 的基本模型是在網(wǎng)絡(luò)的不同 網(wǎng)段放置多個探測器收集當(dāng)前網(wǎng)絡(luò)狀態(tài)的信息,然后將這些信息傳送到中央控 制臺進(jìn)行處理分析。這種方式存在明顯的缺陷。首先,對于大規(guī)模的分布式攻 擊,中央控制臺的負(fù)荷將會超過其處理極限,這種情況會造成大量信息處理的 遺漏,導(dǎo)致漏警率的增高。其次,多個探測器收集到的數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸會 在一定程度上增加網(wǎng)絡(luò)負(fù)擔(dān),導(dǎo)致網(wǎng)絡(luò)系統(tǒng)性能的降低。再者,由于網(wǎng)絡(luò)傳輸 的時延問題,中央控制臺處理的網(wǎng)絡(luò)數(shù)據(jù)包中所包含的信息只反映了探測器接 收到它時網(wǎng)絡(luò)的狀態(tài),不能實(shí)時反映當(dāng)前網(wǎng)絡(luò)狀態(tài)。 面對以上問題,新的解決方法也隨之產(chǎn)生,例如普渡大學(xué)丌發(fā)的a a f i d 系 統(tǒng),該系統(tǒng)是p u r d u e 大學(xué)設(shè)計(jì)的一種采用樹形分層構(gòu)造的代理群體,最根部的 是監(jiān)視器代理,提供全局的控制、管理以及分析由上一層節(jié)點(diǎn)提供的信息,在 樹葉部分的代理專門用來收集信息。處在中間層的代理被稱為收發(fā)器,這些收 發(fā)器一方面實(shí)現(xiàn)對底層代理的控制,一方面可以起到信息的預(yù)處理過程,把精 練的信息反饋給上層的監(jiān)視器。這種結(jié)構(gòu)采用了本地代理處理本地事件,中央 代理負(fù)責(zé)整體分析的模式。與集中式不同,它強(qiáng)調(diào)通過全體智能代理的協(xié)同工 作來分析入侵策略。這種方法明顯優(yōu)于前者,但同時帶來一些新的問題,如代 理間的協(xié)作、代理間的通信等。這些問題仍在進(jìn)一步研究之中。 3 數(shù)據(jù)挖掘技術(shù)操作系統(tǒng)的日益復(fù)雜和網(wǎng)絡(luò)數(shù)據(jù)流量的急劇增加,導(dǎo)致了 審計(jì)數(shù)據(jù)以驚人速度劇增,如何在海量的審計(jì)數(shù)據(jù)中提取出具有代表性的系統(tǒng) 特征模式,以對程序和用戶行為作出更精確的描述,是實(shí)現(xiàn)入侵檢測的關(guān)鍵。 數(shù)據(jù)挖掘技術(shù)是一項(xiàng)通用的知識發(fā)現(xiàn)技術(shù),其目的是要從海量數(shù)據(jù)中提取 對用戶有用的數(shù)據(jù)。將該技術(shù)用于入侵檢測領(lǐng)域,利用數(shù)據(jù)挖掘中的關(guān)聯(lián)分析、 序列模式分析等算法提取相關(guān)的用戶行為特征,并根據(jù)這些特征生成安全事件 的分類模型,應(yīng)用于安全事件的自動鑒別。一個完整的基于數(shù)據(jù)挖掘的入侵檢 測模型要包括對審計(jì)數(shù)據(jù)的采集,數(shù)據(jù)預(yù)處理、特征變量選取、算法比較、挖 掘結(jié)果處理等一系列過程。這項(xiàng)技術(shù)難點(diǎn)在于如何根據(jù)具體應(yīng)用的要求,從用 于安全的先驗(yàn)知識出發(fā),提取出可以有效反映系統(tǒng)特性的特征屬性,應(yīng)用適合 的算法進(jìn)行數(shù)據(jù)挖掘。另一技術(shù)難點(diǎn)在于如何將挖掘結(jié)果自動地應(yīng)用到實(shí)際的 i d s 中。目前,國際上在這個方向上的研究很活躍,這些研究多數(shù)得到了美國 國防部高級計(jì)劃署、國家自然科學(xué)基金的支持。但我們也應(yīng)看到,數(shù)據(jù)挖掘技 術(shù)用于入侵檢測的研究總體上來說還處于理論探討階段,離實(shí)際應(yīng)用還有相當(dāng) 距離。 4 更先進(jìn)的檢測算法在入侵檢測技術(shù)的發(fā)展過程中,新算法的出現(xiàn)可以有 效提高檢測的效率。以下三種機(jī)器學(xué)習(xí)算法為當(dāng)前檢測算法的改進(jìn)注入新的活 力。它們分別是計(jì)算機(jī)免疫技術(shù)、神經(jīng)網(wǎng)絡(luò)技術(shù)和遺傳算法。 計(jì)算機(jī)免疫技術(shù)是直接受到生物免疫機(jī)制的啟發(fā)而提出的。生物系統(tǒng)中的 脆弱性因素都是由免疫系統(tǒng)來妥善處理的,而這種免疫機(jī)制在處理外來異體時 呈現(xiàn)了分布的、多樣性的、自治的以及自修復(fù)的特征,免疫系統(tǒng)通過識別異常 或以前未出現(xiàn)的特征來確定入侵。計(jì)算機(jī)免疫技術(shù)為入侵檢測提供了一下思路, 即通過正常行為的學(xué)習(xí)來識別不符合常態(tài)的行為序列。在這方面已經(jīng)作了若干 研究工作,仍有待于進(jìn)一步深入。 神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測中研究的時間較長,并在不斷發(fā)展。早期的研究 通過訓(xùn)練向后傳播神經(jīng)網(wǎng)絡(luò)來識別已知的網(wǎng)絡(luò)入侵,進(jìn)一步研究識別未知的網(wǎng) 絡(luò)入侵行為。今天的神經(jīng)網(wǎng)絡(luò)技術(shù)已經(jīng)具備相當(dāng)強(qiáng)的攻擊模式分析能力,它能 夠較好地處理帶噪聲的數(shù)據(jù),而且分析速度很快,可以用于實(shí)時分析?,F(xiàn)在提 出了各種其他的神經(jīng)網(wǎng)絡(luò)架構(gòu)諸如自組織特征映射網(wǎng)絡(luò)等,以期克服后向傳播 網(wǎng)絡(luò)的若干限制性缺陷。 遺傳算法在入侵內(nèi)檢測中的應(yīng)用時間不長,在一些研究試驗(yàn)中,利用若干 字符串序列來定義用于分析檢測的指令組,用以識別正?;蛘弋惓P袨榈倪@些 指令在初始訓(xùn)練階段中不斷進(jìn)化,提高分析能力。該算法的應(yīng)用還有待于進(jìn)一 步的研究。 5 入侵響應(yīng)技術(shù)當(dāng)i d s 分析出入侵行為或可疑現(xiàn)象后,系統(tǒng)需要采取相應(yīng) 手段,將入侵造成的損失降到最小程度。一般可以通過生成事件告警、e m a i l 或短信息來通知管理員。隨著網(wǎng)絡(luò)的日益復(fù)雜和安全要求的提高,更加實(shí)時的 和系統(tǒng)自動入侵響應(yīng)方法正逐漸被研究和應(yīng)用。這類入侵響應(yīng)大致分為三類: 系統(tǒng)保護(hù)、動態(tài)策略和攻擊對抗。這三方面都屬于網(wǎng)絡(luò)對抗的范疇,系統(tǒng)保護(hù) 以減少入侵損失為目的,動態(tài)策略以提高系統(tǒng)安全性為職責(zé),而入侵對抗則不 僅可以實(shí)時保護(hù)系統(tǒng),還可實(shí)現(xiàn)入侵跟蹤和反入侵的主動防御策略。 總之,入侵檢測技術(shù)作為當(dāng)前網(wǎng)絡(luò)安全研究的熱點(diǎn),它的快速發(fā)展和極具 潛力的應(yīng)用前景需要更多的研究人員參與。i d s 只有在基礎(chǔ)理論研究和工程項(xiàng) 目。 1 開發(fā)多個層面上同時發(fā)展,才能全面提高整體檢測效率。 蘭堡鎏堡二盔耋三蘭罌圭蘭絲耋蘭 2 可重用和可擴(kuò)展性好。由于要采用了面向?qū)ο蟮木幊谭椒?,程序代碼的可 重用性強(qiáng),且易于移植。而且,由于系統(tǒng)要用跨平臺的語言j a v a 進(jìn)行編寫并采 用通用的接口標(biāo)準(zhǔn),系統(tǒng)也易于移植。 1 5 本課題的研究目的與意義 目前,入侵技術(shù)變得更加綜合化、復(fù)雜化,入侵規(guī)模也不斷擴(kuò)大。與此同 時,由于網(wǎng)絡(luò)安全設(shè)備的處理速度低,一般的入侵檢測系統(tǒng)又有較高的誤報(bào)率 和漏報(bào)率,并且互動的性能不強(qiáng)。所以為了滿足對入侵檢測系統(tǒng)實(shí)時、低誤報(bào) 率、低漏報(bào)率、互動、標(biāo)準(zhǔn)化的要求,必須研究開發(fā)新型的入侵檢測系統(tǒng)。本 課題要開發(fā)基于c v e 特征的實(shí)時入侵檢測系統(tǒng)。該系統(tǒng)將c v e 所列的弱點(diǎn)風(fēng) 險(xiǎn)作為入侵檢測的主要對象,并且對于入侵的特征進(jìn)行辯識與泛化,實(shí)時對網(wǎng) 絡(luò)攻擊進(jìn)行識別,最大限度的進(jìn)行網(wǎng)絡(luò)安全的防護(hù),構(gòu)建起基于誤用和基于異 常相結(jié)合的入侵檢測系統(tǒng),使入侵檢測系統(tǒng)的防范能力大大增強(qiáng),對于入侵檢 測體統(tǒng)的標(biāo)準(zhǔn)化與進(jìn)一步發(fā)展具有極大的推動作用,有廣泛的應(yīng)用前景。 哈爾濱理工大學(xué)工學(xué)碩士學(xué)位論文 第2 章基于c v e 的i d s 總體結(jié)構(gòu)設(shè)計(jì) 2 1 入侵檢測系統(tǒng)通用模型 目前大部分的入侵檢測系統(tǒng)都是獨(dú)立研究與開發(fā)的,不同系統(tǒng)之間缺乏互 操作性和互用性。一個入侵檢測系統(tǒng)的模塊無法與另一個入侵檢測系統(tǒng)的模塊 進(jìn)行數(shù)據(jù)共享,在同一臺主機(jī)上兩個不同的入侵檢測系統(tǒng)無法共存,為了驗(yàn)證或 改進(jìn)某個部分的功能就必須重新構(gòu)建整個入侵檢測系統(tǒng),而無法重用現(xiàn)有的系 統(tǒng)和構(gòu)件。在這種情況下引入了入侵檢測系統(tǒng)的標(biāo)準(zhǔn)一一c i d f ( c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k ) ,c i d f 是為了解決不同入侵檢測系統(tǒng)的互操作性 和共存問題而提出的入侵檢測的框架】- 【”】。它闡述了一個入侵檢測系統(tǒng)( i d s ) 的通用模型。它將一個入侵檢測系統(tǒng)分為以下組件】。 事件產(chǎn)生器( e v e n t g e n e r a t o r s ) 事件分析器( e v e n t a n a l y z e r s ) 響應(yīng)單元( r e s p o n s e u n i t s ) 事件數(shù)據(jù)庫( e v e n t d a t a b a s e s ) 這個通用模型的體系結(jié)構(gòu)如圖2 1 所示。 這四個組件使用g i d o ( g e n e r a l i z e di n t r u s i o nd e t e c t i o no b j e c t s ) 來交換數(shù)據(jù), g i d o 在c i d f 工作組的c i s l ( c o m m o ni n s t r u s i o ns p e c i f i c a t i o nl a n g u a g e ) 文檔中 定義。一個g i d o 有以下幾中作用:記錄某個時間發(fā)生的某個事件;根據(jù)某些 事件得出的匯報(bào)報(bào)告;一個執(zhí)行某個動作的指令。 c i d f 將i d s 需要分析的數(shù)據(jù)統(tǒng)稱為事件( e v e n t ) ,它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包, 也可以是主機(jī)的入侵檢測系統(tǒng)從系統(tǒng)日志等其他途徑得到的信息,同時也對各 部件之間的信息傳遞格式、通信方法和a p i 進(jìn)行標(biāo)準(zhǔn)化。 事件產(chǎn)生器的目的是從整個計(jì)算環(huán)境中獲得事件,將這些事件轉(zhuǎn)換成c i d f 的g i d o 格式并向系統(tǒng)的其他部分提供此事件。 事件分析器分析得到的g i d o 數(shù)據(jù),并產(chǎn)生分析結(jié)果傳送給其他組件。事件 分析器可以是一個輪廓描述工具,統(tǒng)計(jì)性的檢查現(xiàn)在的事件是否可能與以前的 某個事件來自同一個時間序列;也可以是一個特征檢測工具,用于在一個事件 序列中檢查是否有己知的攻擊特征;此外,事件分析器還可以是一個相關(guān)器, 觀察事件之間的關(guān)系,將有纖細(xì)的事件放到一起,以利于以后的進(jìn)一步分析。 哈爾濱理工大學(xué)工學(xué)碩士學(xué)位論文 響應(yīng)單元則是對分析結(jié)果作出反應(yīng)的功能單元,它可以作出切斷連接、改變 文件屬性等強(qiáng)烈反應(yīng),甚至發(fā)動對攻擊者的反擊,也可以只是簡單的報(bào)警。 事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方,以備系統(tǒng)需要的時候使用。 既可以是復(fù)雜的數(shù)據(jù)庫,也可以是簡單的文本文件。 分析數(shù)據(jù),得出結(jié)果 輸出。反應(yīng)或事件 輸入:原始事件 圖2 - 1c i d f 體系結(jié)構(gòu) f i g 2 - 1t h es t r u c t u r eo f c i d f 由于c i d f 有一個標(biāo)準(zhǔn)格式g i d o ,所以這些組件也適用于其他環(huán)境,只需 要將典型的環(huán)境特征轉(zhuǎn)換成g i d o 格式,這樣就提高了組件之間的消息共享和 互通【1 4 】。 在這個模型中,事件產(chǎn)生器、事件分析器、和響應(yīng)單元通常以程序的形式出 現(xiàn),而事件數(shù)據(jù)庫則往往是文件或數(shù)據(jù)流的形式。 2 2 基于c v e 特征的i d s 總體結(jié)構(gòu)設(shè)計(jì) 本系統(tǒng)基于入侵檢測系統(tǒng)的標(biāo)準(zhǔn)c i d f 模型,并為其高效、實(shí)用做了相應(yīng) 的擴(kuò)展,把c v e 字典作為其標(biāo)準(zhǔn)的數(shù)據(jù)源,形成了基于c v e 的實(shí)時入侵檢測 系統(tǒng)的總體結(jié)構(gòu),如圖2 - 2 所示。 蘭璽釜堊三查蘭三蘭墨圭蘭竺耋鑾 一、。鬻h 黜h _ 蓮等 宴 麓 l _ a | 盥 一的 補(bǔ) 救 譙j 9 = l 匹韻瞄l i 毫障 ,摧 麓 f 培 四e 期臻噼 c 亡v 疊規(guī)則i l 蜆囊i ,i 、 一規(guī)更搬| i v 、黼l 。 e l 塑1 宰 典 圖2 - 2 基于c v e 的實(shí)時入侵檢測系統(tǒng)總體結(jié)構(gòu)圖 f i g 2 - 2t h es t r u c t u r eo f r e a l - t i m ei d sb a s e do i lc v e 各部分的功能及采取的技術(shù)方案如下: 1 分組捕捉器;通過入侵檢測系統(tǒng)所屬的宿主操作系統(tǒng)內(nèi)核中所提供的分組 捕捉機(jī)制,為入侵檢測系統(tǒng)提供從物理網(wǎng)絡(luò)( 網(wǎng)絡(luò)接口卡) 直接收集數(shù)據(jù)鏈路層 網(wǎng)絡(luò)原始信息的能力。該部分對于保證整個入侵檢測系統(tǒng)的效率和可移植性至 關(guān)重要。 2 網(wǎng)絡(luò)協(xié)議解碼器:實(shí)現(xiàn)相當(dāng)于計(jì)算機(jī)系統(tǒng)中網(wǎng)絡(luò)協(xié)議棧的功能,其功能是 由分組捕捉器獲得的原始網(wǎng)絡(luò)信息。根據(jù)不同的網(wǎng)絡(luò)協(xié)議解碼相應(yīng)的分組數(shù)據(jù) 結(jié)構(gòu),并將這一解碼的協(xié)議分組信息提交。 3 c v e 特征的提取:對于網(wǎng)絡(luò)協(xié)議解碼器提交的協(xié)議分組信息,通過某種 形式化的描述,提取出c v e 特征。 4 模塊化、層次化的c v e 特征規(guī)則庫。 5 規(guī)貝l j 的獲?。和ㄟ^對c v e 字典的研究分析、推理論證,構(gòu)建c v e 規(guī)則庫。 6 模式匹配:將提取的c v e 特征與c v e 規(guī)則庫進(jìn)行模式匹配。由于本系統(tǒng) 搜集到較完整的c v e 條目,具有比較豐富的規(guī)則庫,同時對網(wǎng)絡(luò)進(jìn)行實(shí)時檢測, 哈爾濱理工大學(xué)工學(xué)碩士學(xué)位論文 因此對速度的要求很高,采用一種高效的匹配策略,能匹配一般的網(wǎng)絡(luò)速度, 且算法易于擴(kuò)充,使得新的攻擊方法出現(xiàn)時,能夠方便迅速的更新檢測手段。 系統(tǒng)通過入侵檢測的模式匹配算法將當(dāng)前檢測的數(shù)據(jù)包與系統(tǒng)中的規(guī)則庫 進(jìn)行比較,從而判斷當(dāng)前的數(shù)據(jù)包是否為入侵行為,然后根據(jù)檢測結(jié)果作出響 應(yīng)。其過程的簡單原理如圖2 3 所示。 2 3 系統(tǒng)的具體部署 圖2 - 3 系統(tǒng)過程原理 f i g 2 - 3t h es y s t e m sp r o c e s s 由于本系統(tǒng)以c v e 為規(guī)則庫的標(biāo)準(zhǔn)數(shù)據(jù)源,所以入侵檢測具有針對性,同 時系統(tǒng)即可基于單機(jī),又可以適用于小型的局域網(wǎng)?;趩螜C(jī)的入侵檢測系統(tǒng) 只能保護(hù)它所在的計(jì)算機(jī),但由于計(jì)算機(jī)的網(wǎng)卡設(shè)置的是非混雜模式,所以會 大大減少對于c p u 的占用率。其網(wǎng)絡(luò)拓?fù)淙鐖D2 - 4 所示。 墮查鎏塞三查蘭三蘭塑圭蘭鳘蘭蘭 圖2 - 4 h i d s 視圖 f i g 2 - 4v i e wo f h i d s 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以監(jiān)視整個網(wǎng)絡(luò),由于本系統(tǒng)規(guī)模不大,所以 適用于小規(guī)模的局域網(wǎng),將其置于h u b 內(nèi)的關(guān)鍵處,其網(wǎng)卡應(yīng)設(shè)置為混雜模式, 它可以監(jiān)視網(wǎng)絡(luò)中的所有數(shù)據(jù)包,但對于c p u 的占用率較高。其網(wǎng)絡(luò)拓?fù)淙鐖D 2 5 所示。 圖2 - 5 n i d s 視圖 f i g 2 - 5v i e wo f n i d s 同時我們也可以對其進(jìn)行組合應(yīng)用,不但設(shè)置基于主機(jī)的i d s 即時保護(hù)主 機(jī),同時布置多個i d s 在內(nèi)網(wǎng)中的關(guān)鍵點(diǎn),有效的預(yù)防外來的入侵,提供對于 哈爾濱理工大學(xué)工學(xué)碩上學(xué)位論文 網(wǎng)絡(luò)與主機(jī)的深層次防護(hù)。 2 4 系統(tǒng)特點(diǎn) 基于c v e 的實(shí)時入侵檢測系統(tǒng)從設(shè)計(jì)到實(shí)現(xiàn),本著系統(tǒng)本身必須盡可能完 善與健壯的原則,系統(tǒng)結(jié)構(gòu)合理,邏輯關(guān)系慎密,能有效的保證規(guī)則庫的安全 性,不會向其宿主計(jì)算機(jī)系統(tǒng)以及其所屬的計(jì)算機(jī)環(huán)境中引入新的安全問題及 安全隱患。 本系統(tǒng)采用最先進(jìn)的數(shù)據(jù)采集技術(shù),通過對c v e 漏洞特征進(jìn)行細(xì)致、科學(xué)、 有效的分類,形成了系統(tǒng)化、模塊化的c v e 特征規(guī)則庫,加之系統(tǒng)采用了高效 的模式匹配算法,有效的提高了數(shù)據(jù)檢索的效率。能夠盡快的發(fā)現(xiàn)攻擊或者攻 擊的企圖,阻止進(jìn)一步的攻擊活動,把破壞控制在最小限度,并能夠記錄下攻 擊過程的全部網(wǎng)絡(luò)活動,可作為證據(jù)回放。 由于本系統(tǒng)把c v e 作為標(biāo)準(zhǔn)的數(shù)據(jù)源,建立了一種基于c v e 特征的入侵 規(guī)則庫,把入侵檢測系統(tǒng)的體系結(jié)構(gòu)與使用策略區(qū)分丌,能夠保證在新的攻擊 類型出現(xiàn)時,可以通過隨時更新規(guī)則庫,而無需對入侵檢測系統(tǒng)本身進(jìn)行改動 的情況下,使系統(tǒng)能夠檢測到新的攻擊行為,并且在入侵檢測系統(tǒng)的整體功能 設(shè)計(jì)上,也建立了一種可以擴(kuò)展的結(jié)構(gòu),以便系統(tǒng)結(jié)構(gòu)本身能夠適應(yīng)未來可能 出現(xiàn)的擴(kuò)展要求。 本系統(tǒng)能夠適用于多種不同的環(huán)境,比如高速大容量計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境,并 且在系統(tǒng)環(huán)境發(fā)生改變,本入侵檢測系統(tǒng)依然能夠基本不做改變而正常工作。 2 5 本章小結(jié) 在本章中首先介紹了入侵檢測的通用模型c i d f ,隨后主要介紹了基于c v e 特征的實(shí)時入侵檢測系統(tǒng)的總體設(shè)計(jì)方案以及實(shí)現(xiàn)方法,詳細(xì)介紹了本系統(tǒng)的 特點(diǎn),并提出了系統(tǒng)的具體部署方案,該系統(tǒng)克服了以往的入侵檢測系統(tǒng)實(shí)時 性、擴(kuò)展性不強(qiáng)的弱點(diǎn),大大提高了入侵檢測的效率。 哈爾濱理工大學(xué)t 學(xué)碩士學(xué)位論文 第3 章入侵特征的提取 入侵檢測是一個涉及很多方面的多變量高復(fù)雜度的問題,近年來,不同的學(xué) 者從不同的角度對入侵檢測技術(shù)進(jìn)行了研究,出現(xiàn)了很多新的思想和新的方法, 如基于模型推理的檢測方法、基于專家系統(tǒng)的檢測方法、基于數(shù)據(jù)挖掘的檢測 方法、基于神經(jīng)網(wǎng)絡(luò)的檢測方法、基于免疫系統(tǒng)的檢測方法等。這些檢測方法 各有優(yōu)缺點(diǎn),分別從不同的角度刻畫了某些種類的入侵行為的特征,并相應(yīng)地給 出了比較行之有效的解決方法【1 ”。衡量一個入侵檢測系統(tǒng)好壞的指標(biāo)是檢測率、 誤報(bào)率和實(shí)時性,一個好的入侵檢測系統(tǒng)應(yīng)該具有盡可能高的檢測率、盡可能低 的誤報(bào)率和盡可能好的實(shí)時性。而入侵檢測的檢測率依賴于所采集信息的完備 性,誤報(bào)率依賴于所采集信息的準(zhǔn)確性,而實(shí)時

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論