分布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn)

分布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn)分布式入侵監(jiān)測系統(tǒng)設(shè)計與實現(xiàn)mboy()摘 要隨著黑客入侵事件的日益猖獗，人們發(fā)現(xiàn)只從防御的角度構(gòu)造安全系統(tǒng)是不夠的。入侵檢測技術(shù)是繼“防火墻” 、 “數(shù)據(jù)加密”等傳統(tǒng)安全保護措施后新一代的安全保障技術(shù)。他對計算機和網(wǎng)絡(luò)資源上的惡意使用行為進行識別和響應(yīng)，它不僅檢測來自外部的入侵行為，同時也監(jiān)督內(nèi)部用戶的未授權(quán)活動。本文提出一種基于部件的入侵檢測系統(tǒng)，具有良好的分布性能和可擴展性。他將基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)有機地結(jié)合在一起，提供集成化的檢測、報告和響應(yīng)功能。在網(wǎng)絡(luò)引擎的實現(xiàn)上，使用了協(xié)議分析和模式匹配相結(jié)合的方法，有效減小目標(biāo)的匹配范圍，提高了檢測速度。同時改進了匹配算法，使得網(wǎng)絡(luò)引擎具有更好的實時性能。在主機代理中的網(wǎng)絡(luò)接口檢測功能，有效地解決了未來交換式網(wǎng)絡(luò)中入侵檢測系統(tǒng)無法檢測的致命弱點。關(guān)鍵字 入侵檢測；模式匹配分布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn)AbstractWith more and more site intruded by hackers, security expert found than only use crypt technology to build a security system is not enough. The Intrusion Detection is a new security technology, apart from tradition security protect technology, such as firewall and data crypt. IDSs watch the computer and network traffic for intrusive and suspicious activities. they not only detect the intrusion from the Extranet hacker, but also the intranet users.We design a component-based Intrusion Detection System, which has good distribute and scalable ability. It combine the network-based IDS and host-based IDS into a system, and provide detection, report and respone together.In the implement of the network engine, the combination of network protocol analyze and pattern match technology is used, and reduce scope to search. We also improved pattern match algorithm, the network engine can search intrusion signal more quickly. We use network interface detection in host agent, which will enable the IDS work on switch network fine.Keyword IDS; pattern match分布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn)目 錄引言 .1第一章 入侵檢測系統(tǒng)概述 .21.1 TCSEC 難以適應(yīng)新的網(wǎng)絡(luò)環(huán)境 .21.2 P2DR：動態(tài)安全模型 .41.3 入侵檢測系統(tǒng) .51.3.1 入侵檢測系統(tǒng)的分類 .51.3.2 入侵檢測系統(tǒng)的發(fā)展趨勢 .81.4 CIDF 模型 .11第二章 分布式入侵檢測系統(tǒng) .122.1 現(xiàn)有入侵檢測系統(tǒng)的不足 .122.2 主要功能要求 .132.3 系統(tǒng)概述 .142.4 系統(tǒng)部署 .15第三章 網(wǎng)絡(luò)引擎和主機代理 .193.1 網(wǎng)絡(luò)引擎的設(shè)計 .193.1.1 檢測匹配方法的改進 .193.1.2 網(wǎng)絡(luò)引擎設(shè)計 .213.2 主機代理 .253.2.1 數(shù)據(jù)來源 .253.2.2 代理結(jié)構(gòu) .26第四章 存儲系統(tǒng)和分析系統(tǒng) .294.1 存儲系統(tǒng) .294.1.1 數(shù)據(jù)載入 .294.1.2 數(shù)據(jù)縮減 .304.1.3 推與拉技術(shù) .314.2 分析系統(tǒng) .324.2.1 基于行為的檢測 .324.2.2 基于知識的檢測 .34第五章 控制臺與響應(yīng)系統(tǒng) .375.1 控制臺 .375.1.1 事件管理 .375.1.2 安全管理 .385.1.3 報告生成 .38分布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn)5.1.4 部件管理 .385.1.5 誤報警管理 .395.2 響應(yīng)系統(tǒng) .395.2.1 常用響應(yīng)技術(shù) .40第六章 系統(tǒng)自身的安全 .436.1 對付攻擊 .446.2 安全通信 .45第七章 網(wǎng)絡(luò)引擎實現(xiàn) .527.1 檢測規(guī)則 .527.1.1 規(guī)則格式 .527.1.2 規(guī)則選項 .557.2 匹配算法 .59結(jié)束語 .62致謝 .63參考文獻 .64分布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn)1引言在計算機安全的發(fā)展中，系統(tǒng)安全模型在逐步的實踐中發(fā)生變化。由一開始的靜態(tài)的系統(tǒng)安全模型逐漸過渡到動態(tài)的安全模型，如 PDR2模型。PDR2 表示 Protection、Detection、Recovery 和 Response，即保護、檢測、恢復(fù)和響應(yīng)。檢測已經(jīng)是系統(tǒng)安全模型中非常重要的一部分。入侵檢測作為一種積極主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測理應(yīng)受到人們的高度重視，這從國外入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出。在國內(nèi)，隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來越多，迫切需要具有自主版權(quán)的入侵檢測產(chǎn)品。但現(xiàn)狀是入侵檢測還不夠成熟，處于發(fā)展階段，或者是防火墻中集成較為初級的入侵檢測模塊?？梢?，入侵檢測技術(shù)應(yīng)該進行進一步的研究。本課題是網(wǎng)絡(luò)安全實驗室自擬課題“網(wǎng)絡(luò)數(shù)據(jù)分析”的一部分。我們的目標(biāo)是設(shè)計一個分布式的入侵檢測系統(tǒng)，它具有可擴展性、跨平臺性、安全性和開放性，并實現(xiàn)了其中的網(wǎng)絡(luò)引擎部分。目前入侵檢測品主要廠商有 ISS 公司（RealSecure） 、Axent 公司（ITA、ESM） ， 以 及 NAI（CyberCop Monitor） 。他們都在入侵檢測技術(shù)上有多年的研究。 其中 ISS 公司的 RealSecured 的智能攻擊識別技術(shù)是當(dāng)前 IDS 系統(tǒng)中最為先進的。入侵檢測系統(tǒng)在未來的網(wǎng)絡(luò)安全和軍事斗爭中將起到非常重要的作用。在經(jīng)濟領(lǐng)域中它可以及時發(fā)現(xiàn)、阻攔入侵行為，保護保護企業(yè)來自不滿員工、黑客和競爭對手威脅，保證企業(yè)信息信息平臺的正常運轉(zhuǎn)。入侵檢測系統(tǒng)作為一種商品也具有非常大的市場和效益。分布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn)2第一章 入侵檢測系統(tǒng)概述信息系統(tǒng)的安全問題是一個十分復(fù)雜的問題，可以說信息系統(tǒng)有多復(fù)雜，信息系統(tǒng)安全問題就有多復(fù)雜；信息系統(tǒng)有什么樣的特性，信息系統(tǒng)安全就同樣具有類似的特性。信息安全是一種很難量化的概念，我們可以把信息系統(tǒng)的“性能” 與“安全”做一個簡單的對比。針對網(wǎng)絡(luò)吞吐量、主機的運算速度、數(shù)據(jù)庫的 TPC 指標(biāo)等這類性能問題，用戶可以根據(jù)自己的業(yè)務(wù)要求、資金條件等方面考慮取舍。系統(tǒng)性能的高低在一定程度上可以通過量化指標(biāo)來表現(xiàn)。換句話說，系統(tǒng)性能的提高，用戶雖然摸不到，但卻是可以看到的。而“安全”是一個非常難于量化的指標(biāo)，真正是一個看不見摸不著的東西。因此安全問題很容易表面上受到重視，而實際上沒有真正得到重視。 “什么事情也沒有 ”實際上就是安全的最高境界。但是， “什么事情也沒有”也正是導(dǎo)致忽視安全問題的原因所在。實際上，安全就是防范潛在的危機。1.1 TCSEC 難以適應(yīng)新的網(wǎng)絡(luò)環(huán)境在信息安全的發(fā)展史上有一個里程碑，這就是 1985 年美國國防部（DoD）國家計算機安全中心（NCSC）發(fā)布的可信計算機安全評估準(zhǔn)則（TCSEC） 1。這個準(zhǔn)則的發(fā)布對操作系統(tǒng)、數(shù)據(jù)庫等方面的安全發(fā)展起到了很大的推動作用。但是隨著網(wǎng)絡(luò)的深入發(fā)展，這個標(biāo)準(zhǔn)已經(jīng)不能完全適應(yīng)當(dāng)前的技術(shù)需要，因為這個主要基于 HostTerminal 環(huán)境的靜態(tài)安全模型和標(biāo)準(zhǔn)無法完全反應(yīng)分布式、動態(tài)變化、發(fā)展迅速的 Internet 安全問題。傳統(tǒng)的信息安全技術(shù)都集中在系統(tǒng)自身的加固和防護上。比如，采用 B 級操作系統(tǒng)和數(shù)據(jù)庫、在網(wǎng)絡(luò)出口配置防火墻、在信息傳輸和存儲中采用加密技術(shù)、使用集中的身份認(rèn)證產(chǎn)品等。然而，單純的防護技術(shù)有許多方面的問題：首先，單純的防護技術(shù)容易導(dǎo)致系統(tǒng)的盲目建設(shè)，這種盲目包括兩分布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn)3方面：一方面是不了解安全威脅的嚴(yán)峻和當(dāng)前的安全現(xiàn)狀；另一方面是安全投入過大而又沒有真正抓住安全的關(guān)鍵環(huán)節(jié)，導(dǎo)致不必要的浪費。舉例來說，一個水庫的大壩到底應(yīng)當(dāng)修多高？大壩有沒有漏洞？修好的大壩現(xiàn)在是否處在危險的狀態(tài)？實際上，我們需要相應(yīng)的檢測機制，例如，利用工程探傷技術(shù)檢查大壩的質(zhì)量是否符合要求、觀察當(dāng)前的水位是否超出了警戒水位。這樣的檢測機制對保證大壩的安全至關(guān)重要。當(dāng)發(fā)現(xiàn)問題之后就需要迅速做出響應(yīng)，比如，立即修補大壩的漏洞并進行加固；如果到達警戒水位，大壩就需要有人 24 小時監(jiān)守，還可能需要泄洪。這些措施實際上就是一些緊急應(yīng)對和響應(yīng)措施。其次，防火墻策略對于防范黑客有其明顯的局限性 4。防火墻技術(shù)是內(nèi)部網(wǎng)最重要的安全技術(shù)之一，其主要功能就是控制對受保護網(wǎng)絡(luò)的非法訪問，它通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對內(nèi)屏蔽外部危險站點，用以防范外對內(nèi)、內(nèi)對外的非法訪問。但也有其明顯的局限性，諸如：.防火墻難于防內(nèi)。防火墻的安全控制只能作用于外對內(nèi)或內(nèi)對外，即：對外可屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，封鎖外部網(wǎng)上的用戶連接內(nèi)部網(wǎng)上的重要站點或某些端口，對內(nèi)可屏蔽外部危險站點，但它很難解決內(nèi)部網(wǎng)控制內(nèi)部人員的安全問題。即防外不防內(nèi)。而據(jù)權(quán)威部門統(tǒng)計結(jié)果表明，網(wǎng)絡(luò)上的安全攻擊事件有 70%以上來自內(nèi)部攻擊。.防火墻難于管理和配置，易造成安全漏洞。防火墻的管理及配置相當(dāng)復(fù)雜，要想成功的維護防火墻，要求防火墻管理員對網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解。防火墻的安全策略無法進行集中管理。一般來說，由多個系統(tǒng)（路由器、過濾器、代理服務(wù)器、網(wǎng)關(guān)、堡壘主機）組成的防火墻，管理上有所疏忽是在所難免的。根據(jù)美國財經(jīng)雜志統(tǒng)計資料表明，30%的入侵發(fā)生在有防火墻的情況下。.防火墻的安全控制主要是基于 IP 地址的，難于為用戶在防火墻內(nèi)外提供一致的安全策略。許多防火墻對用戶的安全控制主要是基于用戶所用機器的 IP 地址而不是用戶身份，這樣就很難為同一用戶在防火墻內(nèi)外提供一致的安全控制策略，限制了企業(yè)網(wǎng)的物理范圍。.防火墻只實現(xiàn)了粗粒度的訪問控制。防火墻只實現(xiàn)了粗粒度的訪問控制，且不能與企業(yè)內(nèi)部使用的其它安全機制（如訪問控制）集成使用，這樣，企業(yè)就必須為內(nèi)部的身份驗證和訪問控制管理維護單獨的數(shù)據(jù)庫。再次，保證信息系統(tǒng)安全的經(jīng)典手段是“存取控制” 或“訪問控制”，這種手段在經(jīng)典的以及現(xiàn)代的安全理論中都是實行系統(tǒng)安全策略的最重要的手段。但迄今為止，軟件工程技術(shù)還沒有達到 A2 級所要求的形式分布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn)4生成或證明一個系統(tǒng)的安全體系的程度，所以不可能百分之百地保證任何一個系統(tǒng)（尤其是底層系統(tǒng)）中不存在安全漏洞。而且，無論在理論上還是在實踐中，試圖徹底填補一個系統(tǒng)的安全漏洞都是不可能的，也還沒有一種切實可行的辦法解決合法用戶在通過“身份鑒別” 或“身份認(rèn)證”后濫用特權(quán)的問題。1.2 P2DR：動態(tài)安全模型-針對日益嚴(yán)重的網(wǎng)絡(luò)安全問題和越來越突出的安全需求， “可適應(yīng)網(wǎng)絡(luò)安全模型” 和“ 動態(tài)安全模型 ”應(yīng)運而生 5。圖 11 P2DR 模型P2DR 模型包含 4 個主要部分：Policy（安全策略）Protection（防護）Detection（檢測）Response（響應(yīng)）-P2DR 模型是在整體的安全策略（Policy）的控制和指導(dǎo)下，在綜合運用防護工具（Protection，如防火墻、操作系統(tǒng)身份認(rèn)證、加密等手段）的同時，利用檢測工具（Detection，如漏洞評估、入侵檢測等分布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn)5系統(tǒng)）了解和評估系統(tǒng)的安全狀態(tài)，通過適當(dāng)?shù)捻憫?yīng)（Response）將系統(tǒng)調(diào)整到“最安全 ”和“風(fēng)險最低”的狀態(tài)。防護、檢測和響應(yīng)組成了一個完整的、動態(tài)的安全循環(huán)。1.3 入侵檢測系統(tǒng)入侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為、對異常行為進行統(tǒng)計、自動地收集和系統(tǒng)相關(guān)的補丁、進行審計跟蹤識別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。由于入侵檢測和響應(yīng)密切相關(guān)，而且現(xiàn)在沒有獨立的響應(yīng)系統(tǒng)，所以決大多數(shù)的入侵檢測系統(tǒng)都具有響應(yīng)功能。1.3.1 入侵檢測系統(tǒng)的分類按獲得原始數(shù)據(jù)的方法可以將入侵檢測系統(tǒng)分為基于網(wǎng)絡(luò)的入侵檢測和基于主機的入侵檢測系統(tǒng)。1基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測出現(xiàn)在 80 年代初期，那時網(wǎng)絡(luò)還沒有今天這樣普遍、復(fù)雜，且網(wǎng)絡(luò)之間也沒有完全連通。在這一較為簡單的環(huán)境里，檢查可疑行為的檢驗記錄是很常見的操作。由于入侵在當(dāng)時是相當(dāng)少見的，在對攻擊的事后分析就可以防止今后的攻擊?，F(xiàn)在的基于主機的入侵檢測系統(tǒng)保留了一種有力的工具，以理解以前的攻擊形式，并選擇合適的方法去抵御未來的攻擊。基于主機的 IDS仍使用驗證記錄，但自動化程度大大提高，并發(fā)展了精密的可迅速做出響應(yīng)的檢測技術(shù)。通常，基于主機的 IDS 可監(jiān)測系統(tǒng)、事件和 Window NT 下的安全記錄以及 UNIX 環(huán)境下的系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時，IDS 將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會向管理員報警并向別的目標(biāo)報告，以采取措施?；谥鳈C的 IDS 在發(fā)展過程中融入了其它技術(shù)。對關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的入侵檢測的一個常用方法，是通過定期檢查校驗和來進行的，以便發(fā)現(xiàn)意外的變化。反應(yīng)的快慢與輪詢間隔的頻率有直接的關(guān)系。分布式入侵檢測系統(tǒng)設(shè)計與實現(xiàn)6最后，許多產(chǎn)品都是監(jiān)聽端口的活動，并在特定端口被訪問時向管理員報警。這類檢測方法將基于網(wǎng)絡(luò)的入侵檢測的基本方法融入到基于主機的檢測環(huán)境中。盡管基于主機的入侵檢查系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢查系統(tǒng)快捷，但它確實具有基于網(wǎng)絡(luò)的系統(tǒng)無法比擬的優(yōu)點。這些優(yōu)點包括： 性能價格比高 在主機數(shù)量較少的情況下，這種方法的性能價格比可能更高。盡管基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)能很容易地提供廣泛覆蓋，但其價格通常是昂貴的。配置一個入侵監(jiān)測系統(tǒng)要花費$10,000 以上，而基于主