第19卷第4期湖南文理学院学报(自然科学版)Vol.19No.4 2007年12月J ournal of Hunan University of Arts and Science(Natural Science Edition)Dec.2007文章编号:1672-6146(2007)04-0080-03Linux下的入侵检测选择李博1,李擘2(1.湖南财经高等专科学校信息管理系,湖南长沙410000;2.湖南长沙电信公司,湖南长沙410000)摘要:介绍了入侵检测系统的定义和作用,对现有入侵检测方法和算法进行了分析和选择.主要研究了Linux环境下的入侵检测系统的属性和开发方法,并针对实际情况下的系统开发进行了分析选择.关键词:入侵检测;LIDS;Snort;portsentry中图分类号:TN911文献标识码:A计算机网络在现代生活和工作中的作用越来越重要,人们越来越依赖网络.并且,面对不段“更新”的漏洞和攻击技术,网络数据安全正在寻找一个能最大限度提高数据准确性、可靠性和效率的完整防御体系.而入侵检测系统通过动态探查网络内的异常情况,及时发出警报,有效的弥补了其他静态防御工具的不足,完全改变了传统网络安全防护体系被动防守的局面.而且其可视化的安全管理,使网络管理员一目了然并迅速做出处理.目前,随着越来越多的主机使用Linux系统,Linux系统的安全问题日益成为研究的热点和人们关注的焦点.1入侵检测系统概述入侵检测是指监视或者在可能的情况下,阻止入侵或者试图控制系统或者网络资源的努力.入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术.作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)[1],提高了信息安全基础结构的完整性.一般来说,入侵检测系统可分为基于主机的入侵检测(HIDS)和基于网络的入侵检测系统(NIDS).主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析.主机型入侵检测系统保护的一般是所在的系统.网络型入侵检测系统的数据源则是网络上的数据包往往将一台机子的网卡设于混杂模式()[],监听所有本网段内的数据包并进行判断.一般网络型入侵检测系统担负着保护整个网段的任务.从技术上,入侵检测分为两类:一种基于误用(misuse-based),另一种基于异常情况(anomaly-based) [3].对于基于误用的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息.检测主要判别这类特征是否在所收集到的数据中出现.而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验等.然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象.这种检测方式的核心在于如何定义所谓的“正常”情况.对这两种检测方法进行分析对比:首先异常检测难于定量分析,“正常”情况的界定有一种固有的不确定性.而误用检测会遵循定义好的模式,能通过对审计记录信息做模式匹配来检测,缺点是只能检测已知的入侵方式.所以这两类检测机制都不完美.就具体的检测方法来说,每种方法都有自己的优势,但都不能包治百病,所以对入侵检测方法的研究还需要继续深入.我们在这里选择基于规则的入侵检测方法,这样有利于减少系统开发的理论瓶颈,充分利用现有资源,提高开发效率.2linux系统安全性的介绍Linux操作系统是一套开放的多人多工的Unix-like操作系统,它本身稳定性强,具有多工能力和超强的网络功能,以及容易建构网络sever的特点,使得越来越多的部门或个人选择Linux构建主机.Linux开放的源代码为实现Linux主机安全系统提供了极大的方便——能够获得系统调用的充分信息.可以通过修改主机系统函数库中的相关系统调用,引入安全控制机制,从而将防火墙对于网络信息的处理和操作系统中用户使用资源的访问控制紧密结合起来,让防火墙模块和操作系统配合起来协. promise mode2第4期李博,李擘Linux下的入侵检测选择81同工作,从而对主机进行更为完善的保护.对系统,最严重的攻击都是Linux利用系统的安全漏洞而获得超级用户权限从而达到控制root系统的目的.我们知道,系统调用是内核(system-call) Linux用来向用户提供服务的唯一途径.黑客们利用系统的漏洞侵入以后,通常都是通过非法执行一些敏感的系统调用来完成攻击.由于系统的Linux 代码都是公开的,我们就可以基于公开的内核代码来截获系统调用,并根据设定的规则来检验系统调用是否是恶意的,起到入侵检测和防范的功能.随着Internet上Linux主机的增加,越来越多的安全漏洞在当前的GNU/Linux系统上发现.因为Linux 是一个开放代码的系统,黑客就会很容易的攻击这个系统,取得root权限,在现有的GNU/Linux下,他就可以做任何他想做的事情.然而在Linux系统中,用户和内核的交互是通过系统调用来完成的,与之对应的是,大多数对系统的攻击最终也是通过非法执行Linux系统调用来达到目的.所以通过监控系统调用,阻止非法的系统调用,则可以检测并阻止大多数入侵行为,达到了保护系统的作用.3Linux系统下入侵检测的主要方法基于内核的入侵检测:例如LIDS,主要思路是内核中实现了参考监听模式以及强制访问控制(Mandatory Access Control)模式[4].即使你获得了root的权限,一些重要文件和操作还是受限的.实现的主要功能有:保护硬盘上任何类型的重要文件和目录,如/bin、/sbin、/usr/bin、/usr/sbin、/etc/rc.d 等目录和其下的文件,以及系统中的敏感文件,如passwd和shadow文件,防止未被授权者(包括Root)和未被授权的程序进入,任何人包括Root都无法改变,文件可以隐藏.保护重要进程不被终止,任何人包括root也不能杀死进程,而且可以隐藏特定的进程.防止非法程序的RAW IO操作,保护硬盘,包括MBR保护等等.集成在内核中的端口扫描器,LIDS能检测到扫描并报告系统管理员.LIDS还可以检测到系统上任何违反规则的进程.来自内核的安全警告,当有人违反规则时,LIDS会在控制台显示警告信息,将非法的活动细节记录到受LIDS保护的系统log文件中.LIDS还可以将log信息发到你的信箱中.LIDS还可以马上关闭与用户的会话.总的来说,LIDS实现了保护、响应、检测的功能,从而使L x中的内核安全模式得以实现基于网络的入侵检测例如S,S是一个基于libpcap的数据包嗅探器,并可以作为一个轻量级的网络入侵检测系统(NIDS).Snort作为其典型范例,首先可以运行在多种操作系统平台,例如UNIX系列和Windows9X.与很多商业产品相比,它对操作系统的依赖性比较低;其次用户可以根据自己的需要在短时间内调整检测策略.就检测攻击的种类来说,据最新数据表明Snort共有21类1271条检测规则,其中包括对缓冲区溢出,端口扫描和CGI攻击等.Snort作为开源软件填补了只有商业入侵检测系统的空白,可以帮助中小网络的系统管理员有效地监视网络流量和检测入侵行为.主要思路是采用基于规则的网络信息搜索机制,对数据包进行内容的模式匹配,从中发现入侵和探测行为.其实现的主要功能有:完成实时流量分析和对网络上的ip包登录进行测试,能完成协议分析,内容查找匹配,能用来探测多种攻击和嗅探.总的来说, snort是一个强大的轻量级的网络入侵检测系统,具有很好的扩展性和可移植性.是一个高性能的入侵检测系统,适用于大中小型网络,尤其适用一些无力承受大型商业入侵检测系统高昂费用中小型公司.因为现在以太网业务的普及,我们在Linux下选择了开发一个基于网络的入侵检测系统进行实验分析.端口扫描入侵检测:例如portsentry.一个端口就是一个潜在的通信通道,也就是一个入侵通道.对目标计算机进行端口扫描,能得到许多有用的信息.进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行.主要思路是:利用监控tcp/udp端口的工具,以daemon的形式运行在被保护的机器上,运行期间,它会监听指定的tcp/udp 端口,portsentry监控的端口活动都会被报告并可设置某些参数,如果检测到一个端口扫描行为,它就会根据对方的ip地址,对其采取相应的防护措施.系统日志检测:例如logcheck,是一种基于主机的日志检测系统.主要思路,利用日志检测系统,自动检查日志文件,以发现安全入侵和不正常的活动.用logtail程序来记录读到的日志文件的位置,下一次运行时从记录位置开始处理新的信息.从而文件中的异常消息通常表示一些黑客正在尝试入侵或是正在侵入系统.文件完整性检查:例如tripwire,主要思路是检查计算机中自上次检查后的文件变化情况,在一定程度上可以检测到系统的入侵行为是完整性检查中最全面的工具,有一套有关数据和网络完inu.:nort nort.tripwire82湖南文理学院学报(自然科学版)2007年整性保护的工具.完成的主要功能有检测和报告系统中任意文件被改动、增加、删除的详细情况,可以用于入侵检测,损失的评估和恢复,证据保存等多个用途.4当前流行的入侵检测算法人工免疫算法[5]:随着人类对生命体研究的进一步深入,很多生命体中的规则都被运用到计算机以及其他相关学科上来,演化计算、人工免疫系统就是其中的一部分.基于的主要思路在于,人体的免疫系统是一个复杂的,综合的分布式系统.具有对自我和非我细胞的识别能力,而且对已识别过的入侵细胞具有记忆能力,当再次遇到的时候会以平时若干倍的速率识别并且杀死它.联系到相似性,可将原理使用到入侵检测中去.人体免疫系统归根结底是进行“自我”和“非我”的识别.基于协议分析:目前的入侵检测大多基于简单模式匹配.由于匹配的进行,算法的计算量是巨大的,而且有着高的漏报率与误报率.简单的协议分析基于将数据看作不同字节的随机数据流,而实际上包的字节是按一定规则组织的.我们可以基于已知包的结构,根据相应位置信息的分析,从而截取可能是攻击行为的特征码进行比较,这样大大减轻计算量,避免了对内容比较产生的误报,称为协议分析.协议技术比较适合初期的入侵检测系统的开发,而且技术成熟,应用广泛,所以我们选择了这个入侵检测技术进行分析研究.数据挖掘技术:操作系统的日益复杂和网络数据流量的急剧增加,导致了审计数据以惊人速度剧增,如何在海量的审计数据中提取出具有代表性的系统特征模式,以对程序和用户行为做出更精确的描述,是实现入侵检测的关键.生物检测技术:入侵检测系统与生物检测技术存在许多相似之处.我们在生物技术中常常用到DNA序列的问题,DNA的排列方式是对生物个体有很重要的作用,由此生物技术产生了DNA序列的比对模型和方法.生物检测入侵检测系统,其思路来自于DNA的比对模型,即通过对2个DNA序列的比对从而就序列的相似性给出一个分值,由分值来估定序列的相似性.我们在具体的入侵检测中可以运用半全局算法(Semi-global alignments)来进一步优化比对算法,从而可以实现待测序列与已知序列的检测神经网络技术神经网络技术在入侵检测中研究的时间较长,并在不断发展.早期的研究通过训练向后传播神经网络来识别已知的网络入侵,进一步研究识别未知的网络入侵行为.今天的神经网络技术已经具备相当强的攻击模式分析能力,它能够较好地处理带噪声的数据,而且分析速度很快,可以用于实时分析.现在提出了各种其他的神经网络架构诸如自组织特征映射网络等,以期克服后向传播网络的若干限制性缺陷.5linux系统下入侵检测选择最后选择在Linux开发的入侵检测系统机构如下:数据采集模块:通过利用以太网的广播特性监听网络数据包,然后用libpcap进行数据捕获,并选择了libnids函数库进行采集数据帧的协议分析,分离数据流,为进一步分析处理做准备.数据分析模块:因为选择了误用作为入侵检测的方法,所以建立一个确定的入侵规则库是关键.在系统中,采用了Snort方法进行入侵扫描,简单高效.告警箱设置:体现入侵行为,发出告警信息,比较简单.参考文献:[1]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信,2002,6:28-32.[2]赵旦峰.基于Linux系统局域网混杂模式网卡的检测与应用[J].应用科技,2005(3):1-2.[3]李旺.分布式网络入侵检测系统NetNumen的设计与实现[J].软件学报,2002,13(8):1723-1728.[4]陈远,周朴雄.Linux下主机入侵检测系统的研究[J].计算机系统应用,2002(4):24-27.[5]葛丽娜,钟城.基于人工免疫入侵检测检测器生成算法[J].计算机工程与应用,2005,23:149-152.The Attribute of the Invasion ExaminationSystem under the LinuxLI Bo1,LI Bo2(1.Hunan Financial College,Changsha,Hunan,41000;2.Changsha Telecom Comporation,Changsha,Hunan,41000)T y x ,I y(下转第5页).:Abstract:his article simpl introduces the invasion e amina-tion the invasion method and the invasion arithmetic.t mainl8第4期张晓丹,肖晓强椭圆曲线密码的一种合适的对算法85l个点加运算.用五元联合稀疏形式表示代替三元联合稀疏形式表示,快速Shamir算法能够减少(0.5-0.387)l个点加运算,即0.11lI+0.23lM个基域运算,而预计算需要12I+24M个基域运算,所以快速Shamir算法总共可以减少(0.11l-12)I+(0.23l-24)M个基域运算.若192=l,大约可以减少10I+20M个基域运算.表2不同的j出现的概率jρ位置j概率00.75010.43880.399160.3871280.3871600.3871920.3872240.3872560.3872结论本文分析了椭圆曲线点群标量乘法对的计算思路,然后给出一种新的计算标量乘法对的算法——五元联合稀疏形式表示的Shamir算法,该算法在同类算法中具有明显的优势.由于目前很多的椭圆曲线密码体制需要计算标量乘法对,所以本文的研究非常有必要.参考文献:[1]Gordon D M.A Survey of Fast Exponentiation Methods[J].Journal ofAlgorithms,2006,27:129-146.[2]Koyama K,Tsuruoka Y.Speeding up Elliptic Cryptosystemsby Using a Signed Binary Window Method.In:Brickell EF ed.Advance in Cryptology-Crypto’92.LNCS740[M].Berlin\Heidelberg:Springer-V erlag,1998.345-357.[3]Solinas A.Low-Weight Binary Representations for Pairs ofIntegers[J].Technical Report of National Security Agency, USA,2000.[4]ElGamal T.A Public-key Cryptosystem and a SignatureScheme Based on Discrete Logarithms[J].IEEE Transac-tions on Information Theory,1985,31:469-472.[5]Cohen H,Miyaji A,Ono T.Efficient Elliptic CurveExponentiation Using Mixed Coordinates.In:Ohta k,Per D eds[M].Advances in Cryptology-Asiacrypt’98.LNCS1514.Berlin\Heidelberg:Springer-V erlag,2004.51-65.A Fast Algorithm on Pair s for Elliptic Cur veCryptosystemsZHANG Xiao-dan1,XIAO Xiao-qiang2(1.Jishou University,Jishou,Hunan,416000;2.DefenceInstitute of Technology,Changsha,Hunan,410073)Abstract:In the application of Elliptic Curve Cryptography, the pairs of scalar multiplication calculation are required to perform.The pairs of scalar multiplication always use the three element joint sparse form.A fast Shamir-like algorithm is derived from five element joint sparse form,and its advantage over the three element joint sparse form is demonstrated.Key Words:elliptic curve cryptosystem;pair of scalar multip-lication;five element joint sparse form收稿日期:2007-06-25作者简介:张晓丹(1980-),男,助教,研究方向为计算机网络安全.(责任编校:刘刚毅) (上接第82页)studied the attribute of the invasion examination system under the Linux,and put for words the method to open up the inva-sion examination.Key words:invasion examination;LIDS;Snort;portsentry收稿日期:2007-07-08作者简介:李博(1980-),男,在职研究生,研究方向为信息技术.(责任编校:谭长贵)。
