通用入侵检测对研究论文 .docVIP

通用入侵检测对象研究论文 　　摘要在入侵检测系统设计原理的基础上，结合各类分布式入侵检测系统及各系统内构件之间信息共享的需求，通过分析CISL语言的特点，描述了CISL语言用以表示通用入侵检测对象(GIDO)的生成规则，并以Linux系统审计日志中检测口令猜测攻击的内容演示了通用入侵检测对象的生成，编码等应用过程，最后给出一个模拟结果。 　　关键词入侵检测；通用入侵检测对象；通用入侵描述语言；语义标识符 　　1引言 　　计算机网络在我们的日常生活中扮演着越来越重要的角色，与此同时，出于各种目的，它正日益成为犯罪分子攻击的目标，黑客们试图使用他们所能找到的方法侵入他人的系统。为此，我们必须采取有效地对策以阻止这类犯罪发生。开发具有严格审计机制的安全操作系统是一种可行方案，然而综合考虑其实现代价，在许多问题上作出少许让步以换取减少系统实现的难度却又是必要的。因此，在操作系统之上，再加一层专门用于安全防范的应用系统成为人们追求的目标。入侵检测技术即是这样一种技术，它和其它安全技术一道构成计算机系统安全防线的重要组成部分。自从年提出入侵检测的理论模型后[1]，关于入侵检测的研究方法就层出不穷[5-7]，基于不同检测对象及不同检测原理的入侵检测系统被研制并投放市场，取得了显著成效，然而，遗憾的是这些产品自成一体，相互间缺少信息交流与协作，而作为防范入侵的技术产品，这势必削弱了它们的防范能力，因而如何使不同的入侵检测系统构件能够有效地交流合作，共享它们的检测结果是当前亟待解决的一个问题。入侵检测系统框架的标准化，数据格式的标准化[2]为解决这一问题作了一个有益的尝试。本文主要针对入侵检测数据格式的标准化——通用入侵检测对象进行分析应用，并通过一个实际例子介绍了我们的具体实践过程。 　　入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”[2-4]。从技术上划分，入侵检测有两种模型[2，4]：①异常检测模型(AnomalyDetection)；②误用检测模型(MisuseDetection)。按照检测对象划分有：基于主机、基于网络及混合型三种。 　　入侵检测过程主要有三个部分[4]：即信息收集、信息分析和结果处理。 　　2通用入侵检测对象(GIDO) 　　为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作，目前对IDS进行标准化工作的有两个组织：IETF的IntrusionDetectionWorkingGroup(IDWG)和CommonIntrusionDetectionFramework(CIDF)。CIDF早期由美国国防部高级研究计划局赞助研究，现在由CIDF工作组负责，是一个开放组织。CIDF规定了一个入侵检测系统应包括的基本组件。CISL(CommonIntrusionSpecificationLanguage，通用入侵规范语言)是CIDF组件间彼此通信的语言。由于CIDF就是对协议和接口标准化的尝试，因此CISL就是对入侵检测研究的语言进行标准化的尝试[8]。 　　CISL语言为了实现自定义功能，以S-表达式表示GIDO(GeneralizedIntrusionDetectionObjectis)，S-表达式以各类语义标识符(SemanticIdentifeers)为标记，分别有动作SID、角色SID、属性SID、原子SID、连接SID、指示SID和SID扩展名等类型。其范式如下： 　　：：=‘(’)’ 　　：：= 　　：：= 　　：：= 　　：：= 　　：：= 　　入侵检测组件交流信息时，以GIDO为标准数据格式传输内容，GIDO所包含的内容常来自于各类审计日志，网络数据包，应用程序的跟踪信息等。 　　CISL对S-表达式编码规则遵循递归原则，具体如下： 　　：：=’(’)’ 　　E[Sexpression]=length_encode(sid_encode(SID)E[Data]) 　　sid_encode(SID)E[Data] 　　：：= 　　E[Data]=Simple_encode(SimpleAtom) 　　：：= 　　E[Data]=Array_encode(ArrayAtom) 　　：：= 　　E[Data]=E[SExpressionList] 　　：：= 　　E[SExpressionList]：：=E[SExpression] 　　：：= 　　E[SExpressionList]：：=E[SExpression]e[SExpressionList] 　　对于每一个GIDO的基本成份SID，CISL都有规定的编码，通过这些编码本身的信息可知这些SID是原子SID还是非原子SID。原子SID在编码中不能继续分解，而是直接带有具