第一章概述

1.1研究背景、目的及意义

随着电子技术的发展,特别是集成电路工艺水平的进步,计算机已经成为人类生活一个不可或缺的工具,计算机网络得到了迅速普及,计算机互联网正深刻地改变着人们的工作、生活和学习,已经成为了信息交流和共享的主要媒介之一。计算机互联网具有覆盖范围广、传播速度快和信息容量大等传统媒介所无法比拟的优势,此外还具有高度的交互性与开放性,对人类社会政治、军事、经济、科技、文化等多个方面都产生了深远的影响,可以毫不夸张地说,计算机网络技术的发展水平已经成为衡量一个国家综合实力的重要标志。

我们知道,计算机网络联结形式多样,网络终端分布不均勻,同时计算机网络还具有互联性和开放性的特点,计算机网络安全面临多种挑战,当前面临的最主要的威胁有:

*物理层次的安全威胁。物理层次的威胁主要包括:自然灾害,设备故障,物理破坏,电磁干扰,电力系统故障,人为操作失误(比如删除重要文件、电脑硬盘格式化等等),显然物理安全主要是指物理介质层次上对存储的信息、传输及处理的信息进行安全保护,这类安全具有突发性。?

网络安全漏洞。网络安全漏洞包括管理漏洞和技术漏洞两大类,主要是指网络系统硬件/软件在安全方面存在缺陷或隐患。网络安全漏洞的形式主要包括网络安全系统软件/硬件或通信协议设计上广泛存在的漏洞、数据库的安全漏洞以及操作系统的漏洞等等几种情况。攻击者利用这些漏洞可以妨碍甚至中断系统的正常工作,有时甚至还可以在未经授权的情况下获得系统的访问权或者提高访问的权限从而危害网络系统的安全。

?用户不安全使用存在的隐患。这类安全隐患主要是安全管理方面的,比如系统备份不完整、用户随意公幵自己的账号及密码转借给他人或者操作不当造成的安全危险漏洞等等。安全管理上的漏洞是最隐蔽也是最危险的隐患,即使有最先进的网络安全设备和技术,如果没有高素质的用户来使用或者管理不善,即便是最好的安全防御措施也是不堪一击的。

近年来,互联网的主干网络、网络应用、TCP/IP网络协议三个层次都受到了各种各样的安全威胁或攻击,信息安全特别是网络安全问题越来越凸显出来了,因此,网络信息安全的入侵检测技术和防御技术的研究十分重要。

在计算机网路技术快速发展的同时,网络信息安全问题成为一个制约计算机网络发展壮大的重要因素并且这个问题变得日益突出和严重这些年,网络攻击活动、大规模失泄密等信息安全事件数不胜数,涉及的范围越来越广,造成的影响和危害也越来越大2002年10月,负责管理全球互联网运作的13台根域名服务器受到DDoS (Distributed Denial of service)分布式拒绝服务攻击,其中有9台因此而一度中断服务[3]。2003年1月,全球因特网遭受大规模的“蠕虫病毒攻击”,包括美洲、欧洲、亚洲、澳洲在内的全球大部分地区的网络服务一度受到严重影响,韩国全国的因特网曾出现了大面积的服务中断情况[3]。2011年对于网络安全界可称得喧器不断,事件频出。其中最著名的莫过于不断爆出的数据泄露事件、闹得沸沸扬扬的手机隐私安全问题以及多起重大的高级持续性威胁(APT)攻击事件。网站数据库信息泄漏引爆网民的安全恐慌:最近引起众多关注的莫过于国内主流专业技术网站、社交平台以及电子商务、电子政务网站爆发的用户数据泄露事件,包括CSDN、人人网、天涯、当当网、百合网等众多互联网公司,随后又有关于多家银行用户数据泄漏的遥传。2011年我们看到过太多数据泄漏事件,4月份开始索尼遭遇的黑客事件,直接导致其在线PlayStation网络中7700万客户的信息,包括信用卡账号被窃,损失1.7亿美元;为花旗银行、百思买集团(Best Buy)等知名企业提供广告服务的电邮行销公司Epsilon的数百万笔消费者的电子邮件被盗。如果说这些主要发生在国外的数据泄漏案并没有让我们有切肤之痛,那么在年底发生的众多国内互联网用户数据泄漏事件让我们对于互联网的信息安全产生了严重的怀疑。加上部分网站并没有对用户信息釆取妥善的安全措施,甚至采用明文形式保存用户密码等关键信息,这些信息泄漏事件为企业对于网站安全、数据库安全的保护敲响了警钟。这些信息泄漏事件最大的受害者便是用户,因为这些事件导致的改密码狂潮也说明人们对于网站信息安全的强烈质疑,严重危害了互联网的发展壮大。从国外的类似事件来看,韩国数据泄漏事件的扩大升级直接导致了韩国废除网络实名制。

目前,我国网络信息安全水平比较低,排在全球最不发达的第四类国家之列。国内计算机网络系统中所使用的各类硬件或者软件中,具有自主知识产权的极少,绝大部分都是从国外引进的产品。社会各个领域的大型计算机网路工程主要都是由国内几个大的系统集成商所垄断,这些集成商大多缺乏专业的网络安全技术的支撑。网络信息安全已经成为影响国家安全和利益的关键问题,提高我国网络信息安全水平、保障国家计算机网络系统的安全迫在眉睫。根据我国相关的发展规划,将建立积极防御的信息安全保障制度和保障体系,努力提高网络系统防护、入侵检测和网络安全事件应急响应的能力。网络信息安全技术目前也已经成为我国高技术领域的研究主题之一⑴。

网络安全是抵御来自内部与外部的各种形式的威胁以确保通信网络与信息安全的整个过程。在网络安全策略中定义了策略框架,策略框架通过风险评估分析以保护连接在网络上的各种资产。网络安全策略对连接在整个网络中的各个不同资产分别定义了不同的访问限制与访问的规则。网络安全策略同时还是用户与管理员在建立、使用和审计网络安全状况时的信息重要来源。一旦确定了网络安全策略,下一步要完成的就是以网络安全设计的方式来实现此策略。通常网络安全设计中需要包含以下几个要素:?

设备的安全性能,比如用于密码管理及不同网络组件中的SSH ( SecureShell Protocol)安全外壳协议等等。?防火墙,它是一个由软件和硬件设备组合而成、在内部网与外部网之间、专用网与公共网之间的界面上所构造的保护屏障。參远程访问虚拟专用网络(Virtual Private Network, VPN)集中器,VPN是在公用网络上建立专用网络的技术。參入侵检测。?

网络安全认证、授权和统计服务器(即AAA, Authentication ,Authorization, Accounting)和其他网络上有关的AAA服务器。?

不同网络终端上的访问控制或者限制机制,例如ACL (Access ControlList)访问控制列表和CAR (Committed Access Rate)承诺访问速率等等。目前,解决计算机网络和信息安全问题的方法主要有信息加密技术和网络访问控制技术。

其中,信息加密技术主要用于数据信息加密、隐蔽信息传输以及用户身份认证等等,网络访问控制技术主要用来抵御各种外来的攻击来实现对系统的安全性保护。当前,市场上比较流行、又能代表安全防护产品未来的发展方向的商品大致有以下几类:网络防火墙、IDS (Intrusion Detection System)入侵检测系统、VPN (Virtual Private Network)虚拟专用网、安全服务器用户认证产品、、安全路由器、CA (Certificate Authority)电子签证认证机构、PKI (Public Key Infrastructure)公幵密销基础设施产品、安全操作系统、安全数据库及安全管理中心等。按照系统安全来划分,关于网络安全技术的研究主要包括攻击与防御两个方面。攻击技术主要包括计算机网络扫描、监听、隐身、入侵和后门等多个方面。防御技术则主要包括操作系统的安全配置、计算机防火墙技术、信息加密技术和网络入侵检测等几个方面。入侵检测是用于检测计算机通信网络系统中入侵行为的网络信息安全技术,它主要通过监控计算机网络系统的状态、行为以及系统的使用情况,来检测系统外部的入侵者利用系统的安全缺陷所进行的攻击行为入侵检测系统(Intrusion Detection System,简称IDS)在网络信息安全中具有非常主要的地位,被认为是计算机防火墙之后的第二道安全“闹门”,入侵检测方法和若干关键技术己成为近年来网络信息安全领域的研究热点之一 [6二@。

1.2国内外研究现状及不足

1.2.1国内外研究现状入侵检测技术的研究最早可以追溯到二十世纪七十年代末,当时就开始了入侵检测的基础理论和应用基础研究工作?。入侵检测的概念由美国的JamesEAnderson提出,EAnderson将入侵检测技术分为外部入侵、内部越权和内部滥用三类,另外,他还提出基于审计数据来进行入侵检测的构想。

六年以后,W. T. Temer幵发了一套名为Discovery的系统,该系统最初目的是为了监测数据库的访问情况,但它最终却成为了入侵检测系统的鼻祖。此后的若干年里,对入侵检测系统的研究和实现不断深入,大量的学者提出了他们自己的许多构想,比如:Lunt就明确提出,入侵检测应具有开放性、与平台无关性等特征。上世纪九十年代之后,随着互联网的迅速普及,入侵检测系统也从传统的单机版、局域网版发展到了整个互联网的层面。Heberlein在他的“A NetworkSecurity Monitor(—个网络安全监测器)” 一文中首次提出了基于网络的入侵检测系统的概念「"]。从此,入侵检测系统跨入了一个新的研究方向。网络因具有数据量大、变化迅速、节点异构等特点,它对入侵检测系统的健壮性、适应性、有效性和效率提出了更高更新的要求。免疫原理、遗传算法以及自治代理等技术纷纷应用到了入侵检测系统之中。1994年,MarkCrosbie以及他的同事们提出了一个基于自治代理技术的入侵检测系统;1996年,Forrest又在入侵检测系统中首次引入了免疫原理数据挖掘首次应用于入侵检测系统是出现在 1998 年,W. Lee 在论文‘‘Mining audit data to build an intrusiondetectionmodels”里面首次将数据挖掘技术运用到审计数据的处理上。随着W. lee构想的提出,入侵检测系统的研究也开始逐渐转向于将数据挖掘技术同入侵检测相结合以及将网络数据流分析与审计挖掘相结合14]。

目前,应用最广泛的入侵检测技术主要包括误用检测技术和异常检测技术两大类["]。误用检测技术通过对网络入侵行为进行分析与表示,从而对入侵进行检测。这种技术一般是将网络入侵(攻击)的行为表示成一种模式或者特征,并根据已知的入侵行为与系统存在的缺陷建立入侵特征或模式数据库,检测时将被监测的系统或者用户的实际行为模式与数据库中入侵模式进行匹配,根据匹配结果来判断是否存在入侵行为“5]。异常检测技术则是对系统或用户的正常行为(轮廓)进行分析和表示,当被监测的系统或用户的实际行为与其正常行为存在一定差异时,即认为有入侵存在,异常检测的优点是不需要过多有关系统缺陷的知识,能够检测出未知入侵或新出现的入侵模式_。按照审计数据的来源和所监控的对象来分,入侵检测系统可分为主机型、网络型和混合型系统三种形式主机型入侵检测系统使用的审计数据主要来自操作系统的审计记录、系统日志以及应用程序日志,此类系统保护的一般是单个主机,网络型入侵检测系统的信息源则是网络上的原始数据包,这类系统通常担负着保护一个网段的任务,混合型入侵检测系统能够同时分析来自主机的审计数据和网络上的数据包,系统由多个部件组成,一般采用分布式结构['7]。随着计算机网络通信技术的发展,入侵检测技术也随之得到了不断的提高,入侵检测系统的应用也越来越广泛。目前,在欧美计算机网络比较发达的国家,入侵检测系统的应用己经十分普遍,特别是在一些政府重要部门和军事机构中,入侵检测系统已经成为保障计算机网络安全所必须的工具之一["]。

我国对入侵检测技术的研究起步较晚,入侵检测技术的水平以及入侵检测商用产品的性能都落后于国外,应用范围也十分有限。但随着我国计算机网络通信技术应用范围的进一步扩大,包括国防事业单位、政府机构、企事业单位在内的社会各个部门对网络的安全性能的要求将会越来越高,进而对网络入侵检测系统产生更大的需求。同时由于国外幵发的入侵检测系统的引入会对国防、政府以及企业的计算机网络带来潜在的威胁,因此从国外引进的方式不能够彻底解决我国对入侵检测产品的迫切需求。所以,致力于拥有我国自主知识产权的高性能入侵检测系统的研究从某种程度上来说是国家安全的迫切需要。从国际范围来看,目前国际上入侵检测技术的研究主要集中在美国,而且许多的研究成果都直接或间接地得到了美国政府或美国军方的支持,并且在许多领域得到了应用_。

美国参与入侵检测技术研究的高等院校主要有普渡(Purdue)大学、新墨西哥(New Mexico)大学和加利福利亚(California)大学等等。除此之外,一些公司也开发了一些入侵检测系统,比较典型的有美国敏源国际(ISS)有限公司幵发的RealSecure系统、Cisco公司幵发的NetRanger入侵检测系统、Axent公司开发的NetProwler系统以及CyberSafe公司开发的的Centrax系统等等,这些公司开发的系统都具有比较完善的功能及实用性。国内起步则相对较晚,大部分的研究都只是跟踪、模仿国外的入侵检测技术为主。当然,近年来,我国对于入侵检测技术的研究经费投入也在不断增加,一些关于入侵检测技术的国家自然科学基金项目和国家“863项目”正在开展,并取得了一些可喜的成果。国防科技大学、清华大学、中国科学院、中南大学、西安电子科技大学、南京大学、浙江大学等单位[19-3?都在进行相关研究,大量的硕士和博士研究生选择入侵检测作为其毕业课题研究方向?],并取得了丰硕的研究成果,为入侵检测技术的进步作出了重要贡献。随着我国计算机网络应用的不断扩展,社会各个方面,包括国防事业单位、政府部门和企事业单位等等在内,对入侵检测系统将会产生较大需求。所以,致力于具有高检测效率(包括高检测精度和高检测速度)的入侵检测技术的研究是我们刻不容缓的任务。

1.2.2入侵检测技术

1.入侵检测系统分类入侵检测按照不同的分类标准可以有多种分类结果,比较常见的分类标准包括:按检测方式(detection mode)、使用频率(usage frequency)、审计源(audit source)以及反应机制(response mechanism)。

(1)按检测方式分类入侵检测按照最常见的分类方式可以分类为两种:误用检测与异常检测,本节后续也将按照这种通用的分类方式对入侵检测系统进行详细介绍。误用检测利用一个异常行为规则数据库来分辨是否可以允许相应的操作,任何与规则数据库中的规则相符合的操作都将被禁止。而异常检测则恰恰相反,它会建立一个正常操作的用户模型,任何一个与正常操作不符合的操作行为都将被禁止。异常检测的原理是将每一个例外都认为是一次可能的攻击,这种检测方法能够检测到未知的攻击,而误用检测却只能检测已知的攻击。基于误用检测的入侵检测系统还可以继续细分为无状态和有状态两种,无状态的误用检测系统只利用已有的审计事件,而有状态的误用检测系统在判断攻击时不仅利用己有的审计事件,还会利用以前的审计事件。基于异常检测的入侵检测系统也可深入划分为自学习和基于规则两种,两者的区别在于基于规则的入侵检测系统会提前完全指定正常规则,而自学习系统通常都需要有一个训练过程,通过这个训练过程,让系统知道哪些是正常的网络行为。

(2)按体系结构分类按照入侵检测系统的体系结构分类,入侵检测系统一般分为集中式、等级式和协作式三种类型。集中式入侵检测系统只有一个中央入侵检测服务器,尽管这类系统可能有多个审计程序分布在不同主机上。审计程序将从本地主机上收集到的各类网络和操作数据踪迹发送给中央入侵检测服务器统一进行分析、检测和处理。这种集中式入侵检测系统也存在一些缺陷,比如在检测系统可配置性、可伸缩性等方面就比较致命;等级式入侵检测系统首先定义并划分若干个不同等级的监控区域,每个入侵检测系统单独负责一个指定的监控区域,同一级别的入侵检测系统单独负责所监控区域的监控和分析,然后再将本地的分析结果一并传给上一级的入侵检测系统,然而这种入侵检测系统容易受网络拓扑结构改变所带来的影响,具有不稳定的特点,且检测系统的整体安全性能并没有得到实质性的提高;协作式入侵检测系统将中央入侵检测服务器的任务分配给多个基于主机的入侵检测子系统,这些入侵检测系统独立运作、不分等级,负责监控当地主机的特定活动,这种结构使得该类型的入侵检测系统在安全性和可扩展性等方面都得到了较为显著的增强,但这也是以增加系统维护开销成本为代价,因为中央监控主机的工作负荷将大大地增加。

(3)按审计源分类基于入侵检测的审计源,可以把入侵检测系统划为三种类型:基于网络审计数据(network-based)、基于主机审计数据(host-based)和基于应用审计数据(application-based)。基于网络的入侵检测,传感器会从一个受保护的网络中收集之前的数据报文来确定一个网络的正常状态;基于主机的入侵检测,传感器会从主机的操作系统中获得审计历史数据;基于应用的入侵检测,传感器则是从对应用户空间的应用程序和软件中去获取操作日志文件。

(4)其他分类方式分类其他分类方式主要是指按反应机制或使用频率来划分入侵检测系统,按反应机制主要是根据系统面对攻击时的反应进行划分,主要分为两种,一种是主动反应入侵检测系统,另一种是被动反应入侵检测系统;按使用频率可以划分为在线和离线两种。