基于攻击树的多层次入侵检测及其在Linux上的原型

【摘要】： 入侵检测是计算机安全领域的一个重要技术，也是当前计算机安全理论研究的一个热点。最近IEEE上几乎每个月都有新的入侵检测方面的论文。这几年，我国政府也对入侵检测研究投入了较大的重视。2000年6月，863把入侵检测研究列入信息安全技术应急计划。 入侵(Intrusion)指的就是试图破坏计算机保密性，完整性，可用性或可控性的一系列活动。当前入侵活动往往不是一次性的，孤立的活动，而往往是由一系列入侵活动组成的。多层次入侵(Multi-stage Intrusion)指的就是这一类的入侵活动。入侵检测(Intrusion Detection)就是对计算机网络和计算机系统的关键结点的信息进行收集分析，检测其中是否有违反安全策略的事件发生或攻击迹象，并通知系统安全管理员。一般把用于入侵检测的软件，硬件合称为入侵检测系统(Intrusion Detection System)。 第一章介绍了计算机安全、网络安全、入侵检测的一些基本概念及相关术语。 第二章首先介绍了入侵检测的分类并详细介绍了各种异常入侵检测及基于特征的入侵检测方法。然后介绍了分布式入侵检测系统。 第三章首先介绍多层次入侵检测，然后引入攻击树来表示多层次入侵，并提出了一个基于攻击树的攻击说明语言。另外，还使用攻击树来对系统安全事前分析，并提出了权重的计算算法。最后，引入形式化语言Z语言来对攻击模式进行描述，并以IP-Spoofing为例构造了一个IP_Spoofing攻击模式。 第四章给出了一个层次式入侵检测系统的详细说明并在Linux操作系统上实现了一个层次式入侵检测框架。 第五章讨论了当前入侵检测系统的发展趋势及主要难点，并提出本文的不足之处及未来的工作。 1．使用攻击树对系统安全进行事前分析，并提出了权重的计算算法。分析员先根据系统情况建立一棵攻击树，然后给所有的叶子结点赋值(经验方式)，就可以计算出攻击树上所有结点的值。另外文中使用攻击树对大规模入侵进行建模，并提出了一个基于攻击树的攻击说明语言，而且使用该语言描述了IP_Spoofing攻击。 2．Z(Obiect-Z)语言具有强大的形式化表示功能，文中引入Z语言来对攻击模式进行描述，提出了攻击树的结点及三个关系操作符在Z语言中的表示方式，并给出了IP_Spoofing攻击的Z语言描述，最后探讨了使用Z模式进行入侵检测。 3．定义了层次式入侵检测各部件的功能并在Linux上实现了一个层次式入侵检测框架ACIDS，并验证了本文提出方法的可行性。在系统实现中，应用了网络数据包捕捉，socket、带外数据、管道等编程技术。