前言：本站為你精心整理了入侵檢測對象應(yīng)用范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要在入侵檢測系統(tǒng)設(shè)計原理的基礎(chǔ)上，結(jié)合各類分布式入侵檢測系統(tǒng)及各系統(tǒng)內(nèi)構(gòu)件之間信息共享的需求，通過分析CISL語言的特點，描述了CISL語言用以表示通用入侵檢測對象(GIDO)的生成規(guī)則，并以Linux系統(tǒng)審計日志中檢測口令猜測攻擊的內(nèi)容演示了通用入侵檢測對象的生成，編碼等應(yīng)用過程，最后給出一個模擬結(jié)果。

關(guān)鍵詞入侵檢測；通用入侵檢測對象；通用入侵描述語言；語義標(biāo)識符

1引言

計算機網(wǎng)絡(luò)在我們的日常生活中扮演著越來越重要的角色，與此同時，出于各種目的，它正日益成為犯罪分子攻擊的目標(biāo)，黑客們試圖使用他們所能找到的方法侵入他人的系統(tǒng)。為此，我們必須采取有效地對策以阻止這類犯罪發(fā)生。開發(fā)具有嚴(yán)格審計機制的安全操作系統(tǒng)是一種可行方案，然而綜合考慮其實現(xiàn)代價，在許多問題上作出少許讓步以換取減少系統(tǒng)實現(xiàn)的難度卻又是必要的。因此，在操作系統(tǒng)之上，再加一層專門用于安全防范的應(yīng)用系統(tǒng)成為人們追求的目標(biāo)。入侵檢測技術(shù)即是這樣一種技術(shù)，它和其它安全技術(shù)一道構(gòu)成計算機系統(tǒng)安全防線的重要組成部分。自從DorothyE.Denning1987年提出入侵檢測的理論模型后[1]，關(guān)于入侵檢測的研究方法就層出不窮[5-7]，基于不同檢測對象及不同檢測原理的入侵檢測系統(tǒng)被研制并投放市場，取得了顯著成效，然而，遺憾的是這些產(chǎn)品自成一體，相互間缺少信息交流與協(xié)作，而作為防范入侵的技術(shù)產(chǎn)品，這勢必削弱了它們的防范能力，因而如何使不同的入侵檢測系統(tǒng)構(gòu)件能夠有效地交流合作，共享它們的檢測結(jié)果是當(dāng)前亟待解決的一個問題。入侵檢測系統(tǒng)框架的標(biāo)準(zhǔn)化，數(shù)據(jù)格式的標(biāo)準(zhǔn)化[2]為解決這一問題作了一個有益的嘗試。本文主要針對入侵檢測數(shù)據(jù)格式的標(biāo)準(zhǔn)化——通用入侵檢測對象進行分析應(yīng)用，并通過一個實際例子介紹了我們的具體實踐過程。

入侵檢測是指“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖”[2-4]。從技術(shù)上劃分，入侵檢測有兩種模型[2，4]：①異常檢測模型(AnomalyDetection)；②誤用檢測模型(MisuseDetection)。按照檢測對象劃分有：基于主機、基于網(wǎng)絡(luò)及混合型三種。

入侵檢測過程主要有三個部分[4]：即信息收集、信息分析和結(jié)果處理。

2通用入侵檢測對象(GIDO)

為解決入侵檢測系統(tǒng)之間的互操作性，國際上的一些研究組織開展了標(biāo)準(zhǔn)化工作，目前對IDS進行標(biāo)準(zhǔn)化工作的有兩個組織：IETF的IntrusionDetectionWorkingGroup(IDWG)和CommonIntrusionDetectionFramework(CIDF)。CIDF早期由美國國防部高級研究計劃局贊助研究，現(xiàn)在由CIDF工作組負(fù)責(zé)，是一個開放組織。CIDF規(guī)定了一個入侵檢測系統(tǒng)應(yīng)包括的基本組件。CISL(CommonIntrusionSpecificationLanguage，通用入侵規(guī)范語言)是CIDF組件間彼此通信的語言。由于CIDF就是對協(xié)議和接口標(biāo)準(zhǔn)化的嘗試，因此CISL就是對入侵檢測研究的語言進行標(biāo)準(zhǔn)化的嘗試[8]。

CISL語言為了實現(xiàn)自定義功能，以S-表達式表示GIDO(GeneralizedIntrusionDetectionObjectis)，S-表達式以各類語義標(biāo)識符(SemanticIdentifeers)為標(biāo)記，分別有動作SID、角色SID、屬性SID、原子SID、連接SID、指示SID和SID擴展名等類型。其范式如下：

<SExpression>：：=’(<SID><Data>’)’

<Data>：：=<SimpleAtom>

<Data>：：=<ArrayAtom>

<Data>：：=<SExpressionList>

<SExpressionList>：：=<SExpression>

<SExpressionList>：：=<SExpression><SExpressionList>

入侵檢測組件交流信息時，以GIDO為標(biāo)準(zhǔn)數(shù)據(jù)格式傳輸內(nèi)容，GIDO所包含的內(nèi)容常來自于各類審計日志，網(wǎng)絡(luò)數(shù)據(jù)包，應(yīng)用程序的跟蹤信息等。

CISL對S-表達式編碼規(guī)則遵循遞歸原則，具體如下：

<SExpression>：：=’(<SID><Data>’)’

E[Sexpression]=length_encode(sid_encode(SID)E[Data])

sid_encode(SID)E[Data]

<Data>：：=<SimpleAtom>

E[Data]=Simple_encode(SimpleAtom)

<Data>：：=<ArrayAtom>

E[Data]=Array_encode(ArrayAtom)

<Data>：：=<SExpressionList>

E[Data]=E[SExpressionList]

<SExpressionList>：：=<SExpression>

E[SExpressionList]：：=E[SExpression]

<SExpressionList>：：=<SExpression><SExpressionList>

E[SExpressionList]：：=E[SExpression]e[SExpressionList]

對于每一個GIDO的基本成份SID，CISL都有規(guī)定的編碼，通過這些編碼本身的信息可知這些SID是原子SID還是非原子SID。原子SID在編碼中不能繼續(xù)分解，而是直接帶有具體的值。值有簡單類型和數(shù)組類型[8]。

GIDO以各類SID為標(biāo)志，組成樹形結(jié)構(gòu)，根結(jié)點為該GIDO的標(biāo)志SID，各子樹的根結(jié)點為相應(yīng)的對該GIDO所描述的事件起關(guān)鍵作用的SID。編碼時，每棵子樹的根結(jié)點前附加該子樹所有孩子結(jié)點編碼的總長度，以遞歸方式完成GIDO編碼，一個詳細(xì)的實例可參考文獻[8]。

3通用入侵檢測對象的應(yīng)用

我們以Linux環(huán)境為例，在檢測口令猜測攻擊中，系統(tǒng)的日志文件會產(chǎn)生以LOGIN_FAILED為標(biāo)志的日志記錄[9-10]。在IDS的事件產(chǎn)生器中，讀取日志文件中含有LOGIN_FAILED的記錄生成GIDO。

例：Jul3108：57：45zd213login[1344]LOGIN_FAILED1from192.168.0.211FORJohnAuthenticationfailure。相應(yīng)的GIDO為：

{Login

{Outcome

{ReturnCodeACTION_FAILED}

)

(When

(BeginTimeJul3108：57：43)

)

(Initiator

(IPV4Address192.168.0.211)

(UsernameJohn)

)

(Receiver

(Hostnamezd213)

))

其編碼過程除了遵循前面所描述的規(guī)則外，還使用了文獻[2]所建議的各類API。它們分別用于生成存放GIDO的空樹、向空樹附加根結(jié)點、附加數(shù)據(jù)、附加子樹及對整個樹編碼。

當(dāng)一個GIDO由事件產(chǎn)生器完成編碼后，便發(fā)送至事件分析器按一定的規(guī)則分析所接收的GIDOs以便確定是否有入侵發(fā)生，若有則將有關(guān)信息發(fā)至控制臺。對口令猜測攻擊的GIDO，一個可行的處理流程如圖1所示。

假定系統(tǒng)檢測到30秒內(nèi)發(fā)生了三次或以上登錄失敗，認(rèn)為系統(tǒng)受到入侵，便發(fā)出相應(yīng)報警信息。則本例輸出結(jié)果(從不同終端登錄)如圖2所示。

圖1對口令猜測攻擊事件產(chǎn)生的GIDO的處理流程

圖2一個口令猜測攻擊的模擬檢測結(jié)果

4結(jié)束語

本文在深入分析入侵檢測基本原理及入侵檢測說明語言CISL基礎(chǔ)上，對入侵檢測對象GIDO的編碼進行了詳細(xì)說明。在系統(tǒng)設(shè)計的實踐過程中，分別使用了入侵檢測標(biāo)準(zhǔn)化組織提出的草案中包含的有關(guān)接口。但在本文中也只是針對一類特定入侵的事件說明如何生成并編碼GIDOs。事實上，入侵檢測系統(tǒng)各構(gòu)件之間的通信本身也需要安全保障，這一點參考文獻[8]，可利用GIDO的附加部分來實現(xiàn)，其中所用技術(shù)(諸如簽名，加密等)可借鑒目前一些較成熟的安全通信技術(shù)。

參考文獻

[1]DorothyE.DenningAnIntrusion-DetectionModel[J].IEEETransactionsonsoftwareEngineering，1987，13(2)：222-232

[2]蔣建春，馬恒太等網(wǎng)絡(luò)入侵檢測綜述[J].軟件學(xué)報2000.11(11)：1460-1466

[3]GB/T18336，信息技術(shù)安全技術(shù)安全性評估標(biāo)準(zhǔn)[S]。

[4]蔣建春，馮登國。網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M]，國防工業(yè)出版社，北京，2001

[5]KumarS，SpaffordEH，AnApplicationofPatterMatchinginIntrusionDetection[R]，TechnicalReportCSD-7r-94-013，DepartmentofComputerScience，PurdueUniversity，1994。

[6]JstinDoak.IntrusionDetection：TheApplicationofaFeatureSelection-AComparisonofAlgorithmsandtheApplicationofWideAreaNetworkAnalyzer[R].DepartmentofComputerScience，Universityofcolifornia，Davis1992.

[7]DusanBulatovic，DusanVelasevi.AdistributedIntrusionDetectionSystem[J]，JournalofcomputerSecurity.1999，1740：219-118

[8]http：//gost.isi.edu/cidf

[9]葉和平.基于LINUX環(huán)境的入侵檢測系統(tǒng)研究[D]廣州中山大學(xué)2002

[10]周巍松LINUX操作系統(tǒng)分析與高級教程[M]，北京：機械工業(yè)出版社2000.3