計算機網(wǎng)絡入侵檢測系統(tǒng)研究-

1、計算機網(wǎng)絡入侵檢測系統(tǒng)研究程德旺中國礦業(yè)大學(北京機電與信息工程學院,北京 (100083摘要:網(wǎng)絡安全已經(jīng)成為目前社會的熱點,對于傳統(tǒng)的安全防范技術已不能滿足安全應用的實際需求,網(wǎng)絡入侵檢測作為一種主動的安全防范技術應運而生,隨著網(wǎng)絡的飛速發(fā)展而發(fā)展。本文探討了當前網(wǎng)絡安全的現(xiàn)狀,介紹了入侵檢測系統(tǒng)的有關概念,分析了入侵檢測系統(tǒng)的構成與關鍵技術,最后介紹了入侵檢測系統(tǒng)的一個實例(Snort。關鍵詞:網(wǎng)絡,安全,入侵檢測系統(tǒng)中圖分類號:TP393.01.引言網(wǎng)絡技術是計算機技術和通信技術的結(jié)合。當今互聯(lián)網(wǎng)的發(fā)展已經(jīng)深入到社會的各個方面。對于個人而言,網(wǎng)絡改變了人們的生活方式;對于企業(yè)來說網(wǎng)絡改

2、變了企業(yè)的營銷方式和管理運作機制。網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然或是惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常的運行。隨著網(wǎng)絡的發(fā)展,信息化步伐的加快,隨之而來的一系列安全問題不斷涌現(xiàn),愈顯突出。網(wǎng)絡新業(yè)務的不斷興起,如電子商務、數(shù)字貨幣、網(wǎng)絡銀行,對網(wǎng)絡安全提出了更高的要求。黑客入侵事件的不斷發(fā)生,給人們敲響了警鐘,也給網(wǎng)絡安全提出了嚴峻的挑戰(zhàn)。二十一世紀是網(wǎng)絡信息安全的世紀。網(wǎng)絡和信息系統(tǒng)是現(xiàn)代社會最重要的信息基礎設施,是知識經(jīng)濟的基礎載體和支撐環(huán)境。信息安全關系到國家的存亡,經(jīng)濟的發(fā)展,社會的穩(wěn)定,因此,建立我國自主的網(wǎng)絡信息安全保障體系具有重

3、要意義。傳統(tǒng)的計算機網(wǎng)絡安全目標主要包括以下幾個方面1。(1可靠性,是網(wǎng)絡信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成規(guī)定的功能的特性。(2可用性,是網(wǎng)絡信息可被授權實體訪問并按需求使用的特性。(3保密性,是指防止信息泄露給非授權個人或?qū)嶓w,信息只為授權用戶使用的特性。(4完整性,是網(wǎng)絡信息未經(jīng)授權不能進行改變的特性。(5不可抵賴性,是在網(wǎng)絡信息系統(tǒng)的信息交互過程中,確信參與者的真實同一性。(6可控性,是對網(wǎng)絡信息的傳播及內(nèi)容具有控制能力的特性。傳統(tǒng)的網(wǎng)絡安全機制主要包括數(shù)據(jù)加密技術、漏洞掃描技術,訪問控制技術、VPN技術以及防火墻技術等2。(1數(shù)據(jù)加密是一種基本的安全機制,能夠防止信息被非法的

4、讀取。(2網(wǎng)絡漏洞掃描技術是一種基于因特網(wǎng)遠程檢測目標網(wǎng)絡或本地主機安全性的技術。(3訪問控制技術是按照事先確定的規(guī)則決定主體對客體的訪問是否合法的技術。(4 VPN技術,是指利用現(xiàn)有的不安全的公共網(wǎng)絡來構建具有安全性和獨占性成一體的虛擬網(wǎng)絡。(5網(wǎng)絡防火墻技術,是一種用來加強網(wǎng)絡之間訪問控制,防止外部網(wǎng)絡用戶通過非法手段從外部網(wǎng)絡進入內(nèi)部網(wǎng)絡,從而訪問內(nèi)部網(wǎng)絡資源,保護內(nèi)部網(wǎng)絡操作環(huán)境的互聯(lián)網(wǎng)設備。傳統(tǒng)網(wǎng)絡安全技術是一種靜態(tài)的系統(tǒng)安全模型,在技術上存在無法克服的缺陷與不足,主要表現(xiàn)為:無法實時報警,沒有自動響應功能。功能單一,無法形成一個有機聯(lián)系的安全體系。傳統(tǒng)網(wǎng)絡安全技術自身也存在不完善的

5、地方。入侵檢測檢測系統(tǒng)的應用,能使在入侵攻擊對系統(tǒng)發(fā)生危害前被檢測到,并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中,能減少入侵攻擊所造成的損失。在入侵攻擊后,可收集入侵攻擊的相關信息,作為防范系統(tǒng)的知識,添加到知識儲備庫中,增強系統(tǒng)的防范能力?？傊?入侵檢測系統(tǒng)是一種實時、主動的安全防護工具系統(tǒng),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時防護,克服了傳統(tǒng)網(wǎng)絡安全技術的缺陷與不足。2.入侵檢測系統(tǒng)概述入侵檢測技術是一種主動保護自己的網(wǎng)絡和系統(tǒng)免遭非法攻擊的網(wǎng)絡安全技術。它從計算機系統(tǒng)或者網(wǎng)絡中收集、分析信息,檢測任何企圖破壞計算機資源的完整性、機密性和可用性的行為,即查看是否有違反安全策略的

6、行為和遭到攻擊的跡象,并做出相應的反應。加載入侵檢測技術的系統(tǒng)被稱之為入侵檢測系統(tǒng)(IDS, Intrusion Detection System。2.1 入侵檢測系統(tǒng)主要功能(1 監(jiān)控、分析用戶和系統(tǒng)的活動。入侵檢測系統(tǒng)通過獲取進出某臺主機及整個網(wǎng)絡的數(shù)據(jù),或通過查看主機日志等信息來實現(xiàn)對用戶和系統(tǒng)活動的監(jiān)控。(2 發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象。一方面是入侵檢測系統(tǒng)對進出網(wǎng)絡或主機的數(shù)據(jù)進行監(jiān)控,看是否存在對系統(tǒng)入侵的行為;另一方面是評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性,看系統(tǒng)是否遭到了入侵3。(3 記錄、報警和響應。入侵檢測系統(tǒng)在檢測到攻擊后,應該采取相應的措施來阻止攻擊或響應攻擊。2.2 入侵檢

7、測系統(tǒng)分類根據(jù)不同的分類標準,入侵檢測系統(tǒng)可以分為不同的類別。根據(jù)原始數(shù)據(jù)的來源,可分為基于主機的入侵檢測系統(tǒng),基于網(wǎng)絡的入侵檢測系統(tǒng)以及基于應用的入侵檢測系統(tǒng)。根據(jù)檢測原理可分為異常入侵檢測和誤用入侵檢測。根據(jù)體系結(jié)構可分為,集中式、等級式和協(xié)作式。根據(jù)工作方式則分為離線檢測和在線檢測?；诰W(wǎng)絡的入侵檢測系統(tǒng)主要用于實時監(jiān)控網(wǎng)絡關鍵路徑的信息,偵聽網(wǎng)絡上的所有分組,采集數(shù)據(jù),分析可疑現(xiàn)象。2.3 入侵檢測系統(tǒng)的原理通過收集網(wǎng)絡中的有關信息和數(shù)據(jù),對其進行分析,發(fā)現(xiàn)隱藏在其中的攻擊者的足跡,并獲取攻擊證據(jù)和制止攻擊者的行為,最后進行數(shù)據(jù)恢復,從而達到保護用戶網(wǎng)絡資源的目的。2.4 入侵檢測主要

8、技術(1 基于統(tǒng)計的檢測方法,它在基于主機和基于網(wǎng)絡的入侵檢測系統(tǒng)中都有應用。(2 基于貝葉斯推理的檢測方法(3 神經(jīng)網(wǎng)絡技術。神經(jīng)網(wǎng)絡檢測技術對于用戶的行為具有學習和自適應能力,能根據(jù)實際檢測到的信息有效的加以處理并做出判斷,這就有效的避免了統(tǒng)計方法的缺點4。(4 模式匹配技術(5 協(xié)議分析技術(6 狀態(tài)分析技術等等。2.5 入侵檢測系統(tǒng)發(fā)展趨勢(1 大規(guī)模分布式入侵檢測。分布式系統(tǒng)是現(xiàn)代IDS主要發(fā)展方向之一,能夠在數(shù)據(jù)收集、入侵分析和自動響應方面最大限度地發(fā)揮系統(tǒng)資源的優(yōu)勢,其模型具有很大的靈活性5。(2智能化入侵檢測?，F(xiàn)階段常用的智能化方法有神經(jīng)網(wǎng)絡、遺傳算法、模糊技術、免疫原理等方法

9、,此外,利用專家系統(tǒng)來構建IDS也是常用的智能化入侵檢測方法。(3 入侵檢測的數(shù)據(jù)融合。數(shù)據(jù)融合入侵檢測系統(tǒng)可以整合從網(wǎng)絡嗅探器處得到的各種網(wǎng)絡數(shù)據(jù)包,系統(tǒng)日志,SNMP信息,用戶資料,系統(tǒng)消息,操作命令。系統(tǒng)輸出入侵者的身份估計和確定位置,入侵者的活動信息,攻擊等級以及對整個入侵行為危害程度的評估等等。3 入侵檢測系統(tǒng)的關鍵技術3.1 網(wǎng)絡數(shù)據(jù)包截獲機制分析以太網(wǎng)采用CSMA/CD(載波偵聽/沖突檢測技術來實現(xiàn)網(wǎng)絡數(shù)據(jù)幀的傳輸。載波偵聽是指在網(wǎng)絡中的每個主機都具有同等的權利,在傳輸自己的數(shù)據(jù)時,首先監(jiān)聽信道是否空閑。如果信道空閑,就傳輸自己的數(shù)據(jù),如果信道被占用,就等信道空閑。沖突檢測防止兩

10、個主機同時檢測到網(wǎng)絡沒有被使用時而產(chǎn)生的沖突。在CSMA/CD模式下,以太網(wǎng)的數(shù)據(jù)幀傳輸使用廣播機制,所有同一網(wǎng)段上的主機都可以看到該網(wǎng)段上傳輸?shù)臄?shù)據(jù)幀,自然也能完成所有網(wǎng)絡包的截獲和分析5。在交換網(wǎng)中,數(shù)據(jù)包經(jīng)過一定的路由從源主機到達目的主機,因此就不能利用以太網(wǎng)的廣播特性截獲數(shù)據(jù)包。典型的數(shù)據(jù)包截獲手段是在路由器上設置監(jiān)聽端口,將流經(jīng)路由器的所有的數(shù)據(jù)包通過一個監(jiān)聽端口輸出,從而實現(xiàn)數(shù)據(jù)包的截獲。在以太網(wǎng)中,以太網(wǎng)卡有兩個種接受方式:混雜模式和非混雜模式?；祀s模式下,網(wǎng)卡不管數(shù)據(jù)幀中的目的地址是否與自己的地址匹配,都接受下來;非混雜模式下,網(wǎng)卡只接收目的地址與自己地址相匹配的數(shù)據(jù)幀和廣播數(shù)

11、據(jù)幀。為了截獲以太網(wǎng)上的數(shù)據(jù)包,應設置網(wǎng)卡為混雜模式。伯克利包過濾(Berkeley Packet Filter, BPF是一種使用Unix內(nèi)核的數(shù)據(jù)包截獲機制。它是包括Libpacp庫在內(nèi)的許多數(shù)據(jù)包截獲庫函數(shù)工作的基礎。3.2 入侵檢測引擎的分析設計在網(wǎng)絡入侵檢測系統(tǒng)中,入侵檢測引擎的設計是其中的關鍵部分。檢測引擎可分為規(guī)則解析、協(xié)議解析、預處理和數(shù)據(jù)包檢測四大部分6。規(guī)則解析是根據(jù)用戶設定的需求進行檢測的攻擊類型,讀取相應的規(guī)則文件,并對文件中的規(guī)則進行逐條解析,建立起檢測所需的規(guī)則鏈表。協(xié)議解析的入口函數(shù),為每個數(shù)據(jù)包分配一個包結(jié)構,該結(jié)構里記錄了各個協(xié)議層次的信息以及其他一些檢測所需

12、的數(shù)據(jù),在協(xié)議解析的整個過程中,會填寫包結(jié)構的各個字段。預處理是按順序初始化預處理插件鏈表,每個表項有一個處理函數(shù)和處理參數(shù),預處理過程可能會繼續(xù)完成包結(jié)構,也可能產(chǎn)生報警,這里報警使用單一的報警方式,主要由預防IP地址冒充、IP分片重組、TCP流重組等模塊組成。檢測模塊函數(shù),規(guī)則分為報警、記錄、通過三個集合,在detect中分別用不同的集合進行檢測,對于每類規(guī)則集合,進入遍歷規(guī)則樹函數(shù), 這里的規(guī)則又分為TCP/UDP/ICMP/IP四個集合,根據(jù)當前數(shù)據(jù)包的類型進入相應的子集合。檢測引擎的總體工作流程如下所示: 圖1 檢測引擎工作流程圖3.3 入侵檢測規(guī)則語言的設計目前商業(yè)的IDS產(chǎn)品采用

13、基于規(guī)則的檢測方式,IDS規(guī)則的描述方式和檢測選項直接反映了IDS探測器對檢測內(nèi)容及方法的支持能力,因此探討IDS探測器的規(guī)則描述是一個非常重要的問題5。入侵檢測規(guī)則語言因產(chǎn)品不同而各異,但基本上要滿足下列要求:a準確性,即檢測規(guī)則語言能夠正確地描述入侵行為的特征,減少誤報率。b完整性,即檢測規(guī)則語言能夠描述大多數(shù)現(xiàn)有的入侵攻擊手段,能靈活的加以擴充以期能對未來發(fā)現(xiàn)的入侵行為進行刻畫。c簡潔性,既檢測規(guī)則語言在適合需求的前提下,應盡可能的簡化,使得維護更新比較容易。例如NFR公司開發(fā)設計的N-Code語言,已成功地應用于其公司的IDA系統(tǒng)。4 入侵檢測系統(tǒng)的構成4.1 系統(tǒng)總體設計一種基于TCP/IP協(xié)議分析的NIDS構架圖2 圖2 基于TCP/IP協(xié)議分析NIDS架構圖4.2 網(wǎng)絡數(shù)據(jù)包捕獲模塊要對網(wǎng)絡進行分析,首先需要對流經(jīng)網(wǎng)絡的數(shù)據(jù)包進行采集。網(wǎng)絡數(shù)據(jù)包捕獲模塊工作在鏈路層,將網(wǎng)卡接口設置成混雜模式,將網(wǎng)絡上傳輸?shù)臄?shù)據(jù)包截取下來,供協(xié)議解析模塊使用。4.3 網(wǎng)絡協(xié)議解析模塊協(xié)議分析的過程就是將數(shù)據(jù)鏈路層捕獲的數(shù)據(jù)包根據(jù)協(xié)議的基本結(jié)構,去掉各層協(xié)議加上的報文首部,并根據(jù)報文首部的協(xié)議標識確定接受數(shù)據(jù)的上層協(xié)議,在根據(jù)相關協(xié)議數(shù)據(jù)格式進行分析,從而截取可能是攻擊行為的特征碼。4.4 存儲模塊數(shù)據(jù)存儲模塊的主要作用是用來存儲網(wǎng)絡引擎捕獲的原始