（计算机应用技术专业论文）基于代理的分布式入侵检测系统设计.pdf

山东大学硕士学位论文 摘要 随着黑客的日益猖獗，网络安全的重要性越发显现出来，随之产生的各种 网络安全技术也得到了不断地发展。在这些网络安全技术中，诸如口令认证、 安全审计、防火墙、加密技术，以及基于i p s e c 的v p n 技术等，总的来说都属 于一些静态的防御技术。人们发现仅仅从防御角度构件网络的安全性是不够的。 入侵检测系统就是在这种条件下产生的。网络入侵检测能够对网络中发生的入 侵事件和系统内部的攻击进行主动实时的检测，可以根据检测结果，对网络中 正在发生的入侵事件进行相应的响应。入侵检测系统和信息加密技术、病毒防 御技术以及防火墙技术一道成为保护网络安全的卫士。但是，目前在网络入侵 方面国内还没有成熟的产品出现。 本文提出了一种基于代理的、可配置的、分布式的入侵检测系统一一 a c d i d s ，解决了传统入侵检测系统体系结构中存在的不足。同时，在a c d i d s 系统中很好的融合了基于网络的入侵检测系统和基于主机的入侵检测系统的优 点。能够同时检测来自外部和内部的攻击。 模型采用层次化的结构框架，整个系统分为数据采集层、数据处理层、检 测匹配层、报警处理层：在实现结构上，系统采用一种分布式结构，分别由代 理( a g e m ) 、收发器( t r a n s c e i v e r ) 、监视器( m o n i t o r ) 、存储器( m e m o r i z e r ) 和报警响应器( a n n u n c i a t o ra n dr e s p o n d e r ) 完成相应的功能任务，各个部件之 间的通信由相应的接口完成。整个系统具有良好的适应性、实时性和可扩充性。 本文对各个部件的设计实现进行了详细的介绍，并对其中的关键问题进行了讨 论。 a c d i d s 最主要的优点是基于代理、可以重新配置，对代理进行重新配置 时系统不用重新启动就可以照常工作。在检测部件的实现上，使用了协议分析 和模式匹配相结合的方法，有效地减小了目标的匹配范围，提高了检测速度。 同时改进了匹配算法，采用多模式匹配算法( a c 1 3 m 算法) ，使得系统具有更好 的实时性能。在系统的安全规则数据库的更新过程中，系统不断对用于匹配的 安全规则进行及时的更新，从而可以尽量减少错报和漏报的现象，提高了整个 系统的检测准确性。 关键词：a c d i d s ，代理，协议分析，模式匹配 山东大学硕士学位论文 a b s t r a c t w i t hm o r ea n dm o r eh a c k e r s c o m b a t i n g t h e o t h e r s 、n e t w o r ks e c u r i t yi s b e c o m i n g m o r ea n dm o r e i m p o r t a n t a i lk i n d so f t e c h n o l o g i e so f n e t w o r ks e c u r i t ya r e c e a s e l e s s l yd e v e l o p e d w i t h t h e a d p e a r a n c e o f 山e i m p o r t a n c e o fn e t w o r k s e c u r i t y a m o n g a l lt h en e t w o r k s e c u r i t yt e c h n o l o g i e s ， s u c ha s p a s s w o r d a u t h e n t i c a t i o n ，s e c u r i t ya u d i t 、f i r e w a l l ，t e c h n o l o g yo fe n c r y p t i o n ，t h ev p nt e c h n o l o g y b a s e d o n i p s e c ，a n d s o o n ，a 1 1 t h e s e b e l o n g t o a k i n d o f s t a t i cd e f e n s i v e t e c h n o l o g y i t i sf o u n dt h a tt h en e t w o r k s e c u r i t yp l a c e do nd e n n i n g h a c k si sn o te n o u g h 0 ns u c h l i k eo fc o n d i t i o ni n t r u s i o nd e t e e t i o ni se m c e e d 1 1 l en e t w o r ki n t r u s i o ni sa b l et o m o n i t o rt h ei n t r u s i v ee v e n t sh a p p e n i n gi nt h en e t w o r ka n dt h ea t t a c k si n s i d et h e s y s t e m w e t a i lr e s p o n s et ot h ei n t r u s i v ee v e n t sh a p p e n i n gi nt h ep r o t e c t e dn e t w o r ki n ac o r r e s p o n d i n gw a y a c c o r d i n gt ot h ed e t e c t i n gr s u h s i n t r u s i o nd e t e c t i o ns y s t e m a p a r tf r o mt r a d i t i o ns e c u r i t yp r o t e c tt e c h n o l o g y , s u c ha sf i r e w a l la n dd a t ac r y p ta n d t h e va l lb e c a m et h es a f e g u a r dt ot h es e c u r i t yo f n e t w o r k w ed e s i g na nc o n f i g n r a b l ed i s t r i b u t ei n t r u s i o nd e t e c t i o ns y s t e mb a s e do n a g e n t _ 一a c d i d s w h i c h h a sg o o dd i s t r i b u t ea n d r e c o n f i g n r a b l ea b i l i t y i tc o m b i n e s t h en e t w o r k - b a s e di d sa n dh o s t - b a s e di d si n t oas y s t e m ，a n dc a nd e t e c tt h ei n t r u s i o n f r o mo u t s i d ea n di n s i d et h es y s t e m t h em o d e la d o p t sa l lh i e r a r c h i c a ls t r u c t u r a lf r a n l e ，a n dt h ew h o l es y s t e mi s d i v i d e di n t od a t a c o l l e c t i n g 。d a t ap r o c e s s i n g ，d e t e c t i o nm a t c h i n g a n da l e r r p r o c e s s i n g i nt h ei m p l e m e n t a t i o no ft h es t r u c t u r e ，t h es y s t e ma d o p t sak i n do f d i s t r i b u t e ds t r u c t u r e ，a n di s c o m p o s e do f 也ef o l l o w i n gc o m p o n e n t s ：a g e n t s t r a n s c e i v e r ，m o n i t o r ，m e m o r i z e r ，a n n u n c i a t o ra n d r e s p o n d e r 1 1 1 ec o m m u n i c a t i o n b e t w e e ne v e r yc o m p o n e n ti sc o m p l e m e n t e db v 也er e l e v a n ti n t e r f a c e t h ew h o l e s y s t e mh a sg o o da d a p t a b i l i t y ，e x t e n d i b i l i t ya n dd o e sw e l l i nt h ea s p e c to fr e a i t i m e t h ed e s i g na n di m p l e m e n t a t i o no f e v e r yc o m p o n e n ti si n t r o d u c e di nd e t a i li n t h ep a p e r ，a n dt h ek e yi s s u e sa r ed i s c u s s e d ，t o o t h em a j o rm e r i t so ft h en e wm o d e la r ei ti sb a s e do na g e n ta n dc a nb e r e c o n f i g u r a b l e t h es y s t e mm u s tn o tb er e b o o t e da n dc a nr u nn o r m a l l yw h e nw e r e c o n f i g u r et h ea g e n t a m o n g a l lo f t h o s e ，t h ec o m b i n a t i o n o f m ep r o t o c o la n a l y s i s a n d p a t t e r nm a t c h i n g i su s e di nt h ei m p l e m e n t a t i o no f t h e d e t e c t i n gc o m p o n e n t a n d t h a tr e d u c e st h em a t c h i n gr a n g eo ft h et a r g e t sa n di m p r o v e st h ed e t e c t i n gs p e e d a t t h es a m et i m e ，w ei m p r o v eo nt h em a t c h i n ga l g o r i t h m ( a c b ma l g o r i t h m l ，w h i c h m a k e st h es y s t e mh a v eb e r e rr e a lt i m ec a p a b i l i t y i nt h ec o u r s eo ft h eu p d a t eo ft h e s y s t e ms e c u r i t yr u l e sd a t a b a s e ，血es y s t e mu p d a t e st h es e c u r er u l e su s e di nm a t c h i n g i nt i m e ，w h i c hr e d u c e st h ep h e n o m e n ao ff a l s ea l a r m sa n df a i l u r er e p o r t sa n d i m p r o v e st h ed e t e c t i n ga c c u r a c yo f t h ew h o l es y s t e m k e y w o r d s ：a c d i d s ，a g e n t ，p r o t o c o la n a l y s i s ，p a r e mm a t c h i n g 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本论 文不包含任何其他个人或集体已经发表或撰写过的科研成果。对本 文的研究作出重要贡献的个人和集体，均已在文中以明确方式标明。 本声明的法律责任由本人承担。 论文作者签名： 。座玉幽 日期：墨! ! 生墨：垡 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学校保留或 向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅； 本人授权山东大学可以将本学位论文的全部或部分内容编入有关数据库进行检 索，可以采用影印、缩印或其他复制手段保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名：必导师签名： 日 期：趋：绝a 。缝 山东大学硕士学位论文 1 1 目前现状 第一章前言 信息技术的飞速发展和网络技术的全面应用将世界带入了一个全新的时 代。随着政府上网、电子商务等一系列网络应用的蓬勃发展，i n t e m e t 早已超越 了原来的单纯的学术环境，融入到社会的各个方面。世界上几乎每一个国家都 越来越依赖于计算机网络，包括通讯、能源、运输和公用事业网络，所涉及的 领域则包括国防、金融、工商业等各个方面。计算机网络已经成为一个国家、 一个企业寻求发展的基础设施。但随之而来的计算机网络攻击也不断增加，网 络安全成了人们日益关注的焦点 1 。目前网络安全系统主要采用的是以防火墙为 主的被动管理，但防火墙本身容易受到攻击，且对于内部网络出现的问题经常 束手无策，据统计大于3 5 的网络攻击是针对具有防火墙的系统，且有7 0 以 一l 的攻击是从内部进行的，所以这种被动的安全机制不能够满足目前的网络安 全需要。网络入侵检测系统是保障网络正常运行的重要工具，也是当前研究的 一个热点，它与网络运行管理系统相结合，可有效地检查网络用户的使用行为。 网络入侵检测系统的基本功能包括检测出正在发生的攻击活动；发现攻击活动 的范围和后果；诊断并发现攻击者的入侵方式和入侵地点，并给出解决建议， 以及收集并记录入侵的活动证据。 1 2 研究意义 现有的入侵检测系统大多数都采用了一种难以更改和难以重新配置的体系 结构。在大多数系统中，数据收集是通过单一的主机来完成的，并且把收集到 的数据发送到单独的分析器上进行数据分析，有些系统虽然采用了分布式的数 据收集，但是数据分析也往往是集中在一台主机一l 进行。针对这些问题我们将 移动代理技术应用到入侵检测系统中，解决目前入侵检测系统中存在的绝大多 数缺点。本课题所开发的基于代理的入侵检测系统，采用当今流行的入侵检测 技术，将基于主机的入侵检测与基于网络的入侵检测紧密的结合在一起，实现 山东大学硕士学位论文 了真正的分布式入侵检测。由于采用了代理，使得系统具有可以重新配嚣、易 于升级等优点，整个系统具有良好的实时性、适应性、安全性、可用性和可扩 展性，为保证主机和网络的安全提供了可靠的保障。 1 3 课题任务 为了真正实现课题的研究意义，实现系统的整体功能，课题的开发设计需 要完成以下几大功能部件：代理( a g c n t ) 、收发器( t r a n s c e i v e r ) 、监视( m o n i t o r ) 、 存储器( m e m o r i z e r ) 和报警响应器( a n n u n c i a t o ra n dr e s p o n d e r ) 。各个部件的 主要功能如下：代理主要完成对主机和网络数据的采集以及进行初步的分析等 功能；收发器是代理和外部的接口，它的主要任务是对代理进行管理、配置并 进行数据处理。监视器接收从收发器发送的数据并进行高层次的分析。存储器 保存已知入侵模式，各种a g e n t 采集到的原始数据以及经过初步分析以后得到的 数据，保存经过收发器、控制器分析得到的数据；报警响应器对检测出的入侵 行为做出相应的响应。 1 4 本文组织结构 第一章前言讨论了网络安全目前现状、课题的研究意义以及课题任务； 第二章分析了i n t e m e t 中存在的安全问题、面临的黑客攻击手段、建立网络 安全防护系统的关键、网络安全的现状及发展趋势，对入侵检测系统的分类、 系统模型、入侵检测技术、研究现状和发展趋势等进行了综述。 第三章探讨了a g e n t 技术以及该技术在入侵检测系统中的应用。a g e n t 技术 具有诸多技术优势，将其运用于入侵检测系统中可以解决入侵检测系统中存在 的许多问题。 第四章分析了现存入侵检测系统的种种不足，提出了一种新型的入侵检测 系统a c d i d s 。对这种新型的入侵检测系统进行了分析，并对系统中各个部 件的设计进行了描述。新型系统的最主要的优点是分布式的、基于代理、可以 重新配置。使的整个系统同时具有了基于网络的入侵检测系统和基于主机的入 侵检测系统的各种优点。 山东大学硕士学位论文 第五章对系统中的代理设计进行了着重描述。在提出的新型的入侵检测系 统中，代理是系统组件中最重要的组成部分。因此，在本文中对基于网络型的 的代理和基于主机型的代理的设计进行了详细的分析和描述。最后对代理中采 用的a c - b m 算法进行了详细的分析。 结束语对全文进行了总结并对一些问题进行了讨论。 山东大学硕士学位论文 第二章网络安全及入侵检测技术综述 2 1 网络安全综述 伴随着计算机网络技术的飞速发展，信息的处理和传递完全突破了时间和 地域的限制，网络化与全球化成为不可抗拒的世界潮流。i n t e r n e t 开始进入社 会的各个领域和环节，经济、文化、军事和社会生活越来越强烈地依赖网络。 虽然i n t e r n e t 的发展促进了技术的进步，但其本身的跨国界、无主管、不设防、 开放、自由、缺少法律约束等特性在带来机遇的同时也带来了巨大的风险，安 全自然成为影响网络效能的重要问题。而i n t e r n e t 所具有的开放性、国际性和 自由性在增加应用自由度的同时，对安全提出了更高的要求，这主要表现在： 开放性的网络，导致网络的技术是全开放的，任何一个人、团体都可能获 得，因而网络所面临的破坏和攻击可能是多方面的。例如：可能来自物理传输 线路的攻击，也可以对网络通信协议和实现实施攻击；可以是对软件实施攻击， 也可以对硬件实施攻击。 国际性的网络还意味着网络的攻击不仅仅来自本地网络的用户，它可以来 自i n t e r n e t 上的任何一台机器，也就是说，网络安全所面临的是一个国际化的 挑战。 自由意味着网络最初对用户的使用并没有提供任何的技术约束，用户可以 自由地访问网络，自由地使用和发布各种类型的信息。用户只对自己的行为负 责，而没有任何的法律限制。 尽管开放的、自由的、国际化的i n t e r n e t 的发展给政府机构、企事业单位 带来了革命性的改革和开放，使之能够利用网络提高办事效率和市场反应能力， 以便更具竞争力；可以通过i n t e r n e t 从异地取回重要数据，但同时又要面对 i n t e r n e t 开放带来的数据安全的新挑战和新危险。从而如何保护机密信息不受 黑客和间谍的入侵，己成为政府机构、企事业单位信息化健康发展所要考虑的 重要事情之一。 山东大学硕士学位论文 21 1 i n t e r n e t 中存在的安全问题 应用层 传输层 i p 层 机联网层 应用层 传输层 i p 层 机联网层 图2 - 1t c p i p 参考模型及协议 图2 1 中t c p i p 参考模型r 2 1 是伴随着i n t e r n e t 的出现而产生的，也是目前 应用最为广泛的网络协议结构。t c p i p 是一个协议族，具有互联能力强、网络 技术独立、支持多种应用协议等特点，但是，由于该协议在制定时，没有考虑 安全因素，因此协议中存在很多安全问题。主要有： 1 t c p i p 协议数据流采用明文传输，特别是在使用f t p ，t e l n e t 和h t t p 时，用户的帐号、口令都是以明文方式传输，因此数据信息很容易被在线窃听、 篡改和伪造。 2 源地址欺骗( s o u r c ea d d r e s ss p o o f i n g ) ，t c p i p 协议是用i p 地址来作 为网络节点的唯一标识，而节点的i p 地址又不是完全固定的，因此攻击者可以 在一定范围内直接修改节点的i p 地址，冒充某个可信节点的i p 地址进行攻击。 3 源路由选择欺骗( s o u r c er o u t i n gs p o o f i n g ) ，i p 数据包为测试目的设 置了一个选项一i p 源路由，源路由是指传送数据报的路由是由源主机指定的， 而不是由i p 协议根据路由选择表来选择的。从而使攻击者可以直接指明到达节 点的路由，利用这一选项进行欺骗，进行非法连接。 4 路由选择信息协议攻击( r i p a t t a c k s ) ，r i p 协议是用来在l a n 中发布动 态路由信息，它是为局域网中的节点提供一致路由选择和可达性信息而设计的， 但节点对收到的信息不进行真实性检查，因此攻击者可以在网上发布错误路由 信息，利用i c m p 的重定向信息欺骗路由器或主机，实现对网络进行攻击。 5 鉴别攻击( a u t h e n t i c a t i o n & t t a c k s ) ，目前防火墙系统只麓对i p 地址、 协议端口进行鉴别，而无法鉴别登录用户身份的有效性。 6 t c p 序列号欺骗，由于t c p 序列号可咀预测，因而攻击者可以构造一个i p 包对网 络的某个可信1 y 点进行攻击。 2 1 2 建立网络安全防护系统的关键 目前，网络安全技术远远落后于网络应用技术的发展水平。这是因为人们 对网络安全技术的研究是相对被动的，是在出现了较严重的计算机犯罪和涉及 其它安全问题的时候，人们才开始着手信息安全的研究，建立网络安全防护系 统。信息安全主要包括以下内容：保密性( 防止系统内信息非法泄漏) ；完整性 ( 防止系统内软件程序与数据不被非法删改和破坏) ；可靠性( 防止机器失效， 程序错误，传输错误，自然灾害等造成的计算机信息失误和失效) 等。从上述 研究内容来看，要建立一个安全性高的网络通常需要从以下几个方面进行：认 证、授权、审计、安全服务协议、流量过滤和防火墙、p 安全和加密传输。 2 1 3 网络安全的现状及发展趋势 迄今为止，人们已经针对网络安全制定了相关的安全法则和评测标准，试 图以此构筑一个相对稳固的安全系统。如：美国国防部o d ) 国家计算机安全中 心发布的可信计算机系统评价准贝u 防火墙难以防止来自内部网络的不安全问题。 | ，防火墙难以管理和配置，易造成安全漏洞。 ) r 防火墙的安全控制主要是基于i p 地址的，难以为用户在防火墙内外提供一 致的安全策略。 户防火墙只实现了粗粒度的访问控制。 山东大学硕士学位论文 正是因为这些原因，人们提出了入侵检测技术。 2 2 入侵检测系统概述 22 1 入侵检测的定义 入侵检测系统( i n t r u s i o nd e t e c t i v es y s t e m ) 在i c s a ( i n t e r n a t i o n a l c o m p u t e rs e c u r i t ya s s o c i a t i o n ，国际计算机安全协会) 入侵检测系统论坛被 定义为：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行 分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的 一种安全技术1 5 1 。入侵检测通常被认为是防火墙之后的第二道安全闸门。 “入侵”( i n t r u s i o n ) 是个广义的概念，不仅包括发起攻击的人( 如恶意的 黑客) 取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问 ( d o s ) 等对计算机系统造成危害的行为。入侵行为不仅指来自外部的攻击行为， 同时也指内部用户的未授权活动。从入侵策略的角度可将入侵检测的内容分为： 试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占 资源以及恶意使用。进行入侵检测的软件与硬件的组合便是入侵检测系统 ( i d s ) 。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须能 够将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大 大简化管理员的工作，保证网络安全地运行。 2 2 2 入侵检测系统的功能 入侵检测系统是通过收集网络中的有关信息和数据，对其进行分析发现隐 藏在其中的攻击者的足迹，并获取攻击证据，制止攻击者的行为，最后进行数 据恢复。总地来讲，入侵检测系统的功能有以下七种【6 】： ( 1 ) 监控、分析用户和系统的活动； ( 2 ) 核查系统配置和漏洞； ( 3 ) 评估关键系统和数据文件的完整性； ( 4 ) 识别攻击的活动模式并向网管人员报警； ( 5 ) 对异常活动的统计分析； ( 6 ) 操作系统审计跟踪管理，识别违反政策的用户活动： ( 7 ) 评估重要系统和数据文件的完整性： 山东大学硕士学位论文 一个成功的入侵检测系统，不仅可使系统管理员时刻了解网络系统( 包括程 序、文件和硬件设备等) 的任何变更，还能给网络安全策略的制订提供依据。 而且它应该管理配置简单，使非专业人员可以容易地完成配置管理。入侵检测 的规模还应根据网络规模、系统构造和安全需求的改变而改变。入侵检测系统 在发现入侵后，应及时做出响应，包括切断网络连接、记录事件和报警等。 2 2 ，3 入侵检测系统的分类 一、根据检测的数据来源分为两类【7 l ：一种是基于主机的入侵检测系统，另 一种是基于网络的入侵检测系统。 基于主机的入侵检测系统( h o s t b a s e di n t r u s i o nd e t e c t i o ns y s t e m ，简称 h i d s ) ：检测分析所需数据来自主机系统，通常是系统日志和审计记录。主要用 于保护服务器，需要在受保护的主机上安装专门的检测代理，实时监视可疑的 连接、检查系统日志及非法访问的闯入等，提供对典型应用的监视，如w e b 服 务器应用监视，从而发现攻击或误操作。 基于网络的入侵检测系统( n e t w o r k b a s e di n t r u s i o nd e t e c t i o ns y s t e m 简称 n i d s ) ：数据来源是网络上的数据流。主要用于实时监控网络传输的数据信息。 通过截获网络中的数据包，提取其特征并与知识库中已知的攻击模式( a t t a c k p 甜e m ) 相比较，从而达到检测的目的。 h i d s 是对发生在组成网络的各种系统和设备上的与各种网络安全相关的活 动进行的监控，可以精确地判断针对本主机的入侵事件，并可立即对入侵事件 做出反应，但它会占用主机宝贵的资源。而n i d s 只是监控流经本网段的原始网 络数据包，进行数据包分析，以发现入侵。这种入侵检测系统易丢包，因而精 确度较差。并且在交换网络环境难于配置，导致防范入侵欺骗的能力下降。但 是它可以提供实时的细粒度的网络监控。因此，在实际应用中，二者通常是配 合在一起使用的，以提供跨平台的入侵监视解决方案。 二、根据检测使用的分析方法分为两种 _ 7 i ：一种是基于异常入侵检测系统， 另一种是基于误用入侵检测系统。 ( 一) 异常入侵检测型( a b n o r m a ld e t e c t i o n ) 利用统计的方法来检测系统 的异常行为。首先定义检测假设：任何对系统的入侵和误操作都会导致系统异 山东大学硕士学位论文 常，这样对入侵的检测就可以归结到对系统异常的检测。检测原理： 1 为系统中存在的主体和对象( 如用户、工作组、c p u 负载、磁盘和内存 使用情况、网络的连接频度、单个用户的进程数等) 定义相应的统计量，通过 观察历史数据或一段时间的自学习，为每个统计量定义一个基值( 即期望值， 表示正常状态) ； ， 2 根据这些统计量利用统计方法建立系统正常运行时的轮廓模型( p r o f i l e m o d e l ) ，并通过某些数据处理( 如w e i g h t i n gf u n c t i o n ) 组合上述统计量，得到 一个总体度量值( 系统的正常值、健康值) ； 3 当系统活动时，原来定义的统计量就会发生变化，从而引起系统轮廓模 型状态( 及对应度量值) 的改变，一旦这种偏移量超过可接受的范围，即认为 系统发生异常，系统可能正受到入侵。这种检测方式的核心在于如何分析所在 系统的运行情况。按照所使用的分析方法，又可以分为以下几种入侵检测系统： f 1 ) 基于审计的攻击检测【5 】【8 】 基于审计信息的攻击检测工具以及自动分析工具可以向系统安全管理员报 告计算机系统活动的评估报告，通常是脱机的、滞后的。 ( 2 ) 基于神经网络的攻击检测技术 9 】 神经网络技术是对基于概率统计盼检测技术的改进，主要克服了传统的统计 分析技术所面临的以下几个问题1 9 1 ： a 1 难以表达变量之间的非线性关系； b 1 难以建立确切的统计分布； c 1 难以实施方法的普适性； d 1 实现算法比较昂贵； e 1 系统臃肿，难以裁剪 基于神经网络的技术能把实时检测到的信息有效地加以处理，做出攻击可 行性的判断，不过这种技术现在还不十分成熟，所以传统的统计方法仍将继续 发挥作用，也仍然能为发现用户的异常行为提供相当有参考价值的信息。 ( 3 ) 蒸于专家系统的攻击检测技术1 9 j 基于专家系统的检测技术是根据安全专家对可疑行为的分析经验形成一套 推理规则，构成专家系统。由此专家系统自动进行对所涉及的攻击操作的分析 工作。实现一个基于规则的专家系统是一个知识工程问题，而且其功能应当能 够随着经验的积累而利用其自学习能力进行规则的扩充和修正。在具体的实现 山东大学硕士学位论文 过程中，专家系统主要面临的问题是f 9 】： a ) 全面性问题。很难从各种入侵手段中抽象出全砸的规则化知识。 b ) 效率问题。需要处理的数据量过大，而且在大型系统中，很难获得实时 连续的审计数据。 ( 4 1 基于模型推理的攻击检测技术【9 】 基于模型推理的检测技术是根据入侵的行为程序建立具有一定行为特征的 模型，根据这些模型所代表的攻击意图的行为特征，实时检测恶意的异常行为。 这种技术存在的问题：建立模型时的工作量比其它技术的工作量大，在系统实 现时决策器如何有效的翻译攻击脚本是个问题。 ( 二) 误用入侵检测型( m i s u s ed e t e c t i o n ) ：通过对比已知攻击手段及系统 漏洞的模式特征来判断系统中是否有入侵发生。具体来说，就是根据静态的、 预先定义好的模式集合来过滤网络中的数据流( 主要是i p 层) ，一旦发现数据包 特征与某个攻击模式相匹配，则认为是一次入侵。 上述两种入侵检测分析方法各有优缺点，异常入侵检测方法可以识别未知 的新攻击形式，但同时因为使用了统计技术的原因，可能将正常的系统或用户 行为的改变视为入侵，从而造成虚报( f a l s ep o s “i v e ) 误用入侵检测方法则只能 检测到所使用的模式库中的己知的攻击类型，无法对付新型攻击，使用该检测 方法易造成漏报( f a l s e n e g a t i v e ) 。 三、综合分类( i n t e g r a t e dc l a s s i f i c a t i o n ) 法：【1 中提出了不同于异常检测 和误用检测方法的一种新的分类方法，如图2 3 示：其中：s 入侵检测技术 的全集；h 基于主机的入侵检测技术的集合；t 基于网络流量的入侵检 测技术的集合；a 基于异常分析方法的检钡4 技术的集合；m 基于误用分 析方法的检测技术的集合； 以上集合中， 和 分别构成s 的划分( p a r t i t i o n ) ，即 h u t = s ，且h n t = m ，a u m = s ，且a n m = 巾 在综合分类方法中，基本入侵检测技术有以下四类：h a = h n a ，数据来源 于主机，使用异常检测方法，如i d e s ；h m = h f lm ，数据来源于主机，使用误 用检测方法，如a i d ( a d a p t i v ei n t r u s i o nd e t e c t i o ns y s t e m ) ；t a = t n a ，数据 来源于网络，使用异常检测方法，如n s m ( n e t w o r ks e c u r i t ym o n i t o r ) ；t m = t 山东大学硕士学位论文 nm ，数据来源于网络，使用误用检测方法，如r e a l s e c u r e 。 图2 3 一种新型的综合分类法 这样， 构成了s 的一种新的分类方法，可以细粒度地 描述入侵检测技术的特征。 以上各种检测技术各有优缺点。比如：h a 便于检测对应用系统的攻击，但 是对系统性能影响大，不易扩展到大规模网络；t a 和t m 能够方便地检测出利 用网络协议的缺陷攻击系统的可能性，然而对于应用层的攻击却无能为力。因 此，e m e r a l d ( e v e n tm o 血。血ge n a b l i n gr e s p o n s e s t oa n o m a l o u sl i v e d i s t u r b a n c e s ) 等研究项目开始使用多种检测技术。 四、根据i d s 的体系结构分为两种：集中式入侵检测系统( c e n t r a l i z e d i n t r u s i o nd e t e c t i o ns y s t e m ，简称c i d s ) 和分布式入侵检测系统( d i s t r i b u t e d i n t r u s i o nd e t e c t i o ns y s t e m ，简称d i d s ) 。 两者的主要区别在于数据分析组件的工作方式。c i d s 采用单个数据分析组 件进行数据分析，因此其扩展性较差，存在单点故障问题，同时也耗费大量的 通信和处理资源。d i d s 则将数据分析任务分配给多个处于不同位置的数据分析 组件，这些组件采用完全分布方式或分层方式进行协作。因此，d i d s 的可扩展 性较好。 鉴于此，越来越多的研究者将对入侵检测的研究方向转移到了分布式入侵 检测体系结构上来。到目前为止，己有一些研究机构建立了分布式入侵检测系 统的实验性系统。u cd a v i s 的g r i d s 在每台主机上运行一个模块，它们向一台 固定的机器发送消息，然后在这台机器上建立网络活动的图形描述，用这个描 述来检测可能的入侵；n a d i r 系统使用已有的服务节点在l o s a l a m o s 国家实验 室的集成计算机网络( i c n ) 上进行分布式审计数据收集，然后由一个中心专家系 山东大学硕士学位论文 统来分析这些数据；其它的一些系统还有d i d s 和c s m 等。 这些分布式系统都是使用分布式组件来迸行数据收集，然后把数据传送到 处理中心，在处理中心进行统一处理。这并非完全的分布式系统，仍然存在一 些局限： 1 入侵检测实时性较差： 2 由于中央数据分析器是唯一的错误分析处，因此如果一个入侵者以某种 方式阻断它运行时，网络就得不到保护； 3 。由单一主机处理所有信息意味着被监控的网络规模将受限制，大量的数 据收集将导致网络通信过载； 4 不同入侵检测系统难以实现互操作。 这时，来源于分布式人工智能领域的移动代理( m o b i l e a g e n t ) 技术正悄然 向计算机领域的各个方面渗透，使得我们有可能利用该技术实现完全的分布式 入侵检测系统。本文正是在研究移动代理技术的基础上，设计了种分布式入 侵检测系统模型。 2 2 4 入侵检测系统的主要研究方向 近年来，入侵或攻击技术发生了很大的变化，主要表现在：入侵手段的多 样化：入侵主体对象的间接化( 即实施入侵与攻击的主体的隐蔽化) ；入侵规模 的扩大化( 从单个主机到整个网络，从一个网络到多个网络) ：入侵与攻击技术 的分布化( 分布式拒绝服务攻击d d o s 就是以分散在互联网上的大量主机系统 协同攻击目标主机的) ：攻击对象的转移( 由攻击网络改为攻击网络的防护系 统) 。随着网络入侵和攻击手段向分布式方向发展，且采用各种数据处理技术， 使其破坏性和隐蔽性也越来越强。相应地，入侵检测系统也在向分布式结构发 展，采用分布式收集信息、分布处理、多方协作的方式，将基于主机的i d s 和 基于网络的i d s 结合使用，构筑面向大型网络的i d s ，而且对处理速度及各相关 性能的要求更高。目前己有的i d s 还远远不能满足入侵检测的需要。入侵检测 技术的主要研究方向有： 1 i d s 体系结构的研究。i d s 是包括技术、人、工具三方面因素的一个整 体，如何建立一个良好的体系结构，合理组织和管理各种实体，以杜绝在时问 山东大学硕士学位论文 上和实体交互中产生的系统脆弱性，是当前i d s 研究中的主要内容，也是保护 系统安全的首要条件。 i d s 体系结构的研究主要包括：具有多系统的互操作性和重用性的通用入侵 检测框架；总体结构和各部件的相互关系；系统安全策略：具有可伸缩性的统 一i d s 系统结构；i d s 管理；d a r p a 提出的通用入侵检测框架c i d f ( c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k ) ；具有可伸缩性、重用性的系统框架；安全、健 壮和可扩展的安全策略。 2 安全通信技术的研究。目前，分布式系统的安全通信机制也是研究领域 的一个热点，包括i e t f 的入侵检测报警协议( i n t r u s i o na l e r tp r o t o c o l 简称i a p ) 、 安全认证和远程控制等协议、高效且具有互操作性的安全通道。 3 响应策略与恢复研究。i d s 识别出入侵后的响应策略是维护系统安全性、 完整性的关键。i d s 的目标是实现实时响应和恢复。实现i d s 的响应包括：向管 理员和其它实体发出警报；进行紧急处理；对于攻击的追踪、诱导和反击；对 于攻击源数据的聚集以及i d 部件的自学习和改进。i d s 的恢复研究包括：系统 状态一致性检测、系统数据的备份、系统恢复策略和恢复时机。 4 协作式入侵检测技术研究。随着黑客入侵手段的提高，尤其是分布式、 协同式、复杂模式攻击的出现和发展，传统的单一、缺乏协作的入侵检测技术 已经不能满足需求，需要有充分的协作机制。 协作是一个重要的发展方向，协作的层次主要有以下几种： a 同一系统中不同入侵检测部件之间的协作，尤其是主机型和网络型入侵 检测部件之间的协作，以及异构平台部件的协作； b 不同安全工具之间的协作； c 不同厂家的安全产品之间的协作； d 不同组织之间预警能力和信息的协作。 要实现协作，首先要考虑两个问题：一是信息表达的格式和信息交换的安 全协议；二是协作的模型。信息表达的格式有两个标准：d a r p a 的通用入侵检 测框架c i d f 中提出的c i s l ( c o m m o ni n t r u s i o ns p e c i f i c a t i o nl a n g u a g e ，简称 c i s l ) 语言：i e t f 的入侵检测工作组i d w g 中l a p 使用的另一套方案。两者各 有所长，有待进一步研究以确定一个统一的、能同时实现协作控制信息交换和 山东大学硕士学位论文 数据信息交换的通用标准。 2 2 5 国内外入侵检测技术的发展历程 】9 8 0 年4 月，j a m e sr a n d e r s o n 在题为 c o m p u t e rs e c u r i t yt h r e a tm o n i t o r i n g a n ds u r v e i l l a n c e ) ) ( 计算机安全威胁监控与监视) 的技术报告中，首次详细阐述 了入侵检测的概念。从1 9 8 4 年到1 9 8 6 年，乔治敦大学的d o r o t h yd e n n i n g 和 s r i i c s l ( s r i 公司计算机科学实验室) 的p e t e r n e u m a n n 研究出了一个实时入 侵检测系统模型，取名为i d e s ( 入侵检测专家系统) 。该模型由六个部分组成： 主体、对象、审计记录、轮廓特征、异常记录、活动规则。它独立于特定的系 统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个 通用的框架。1 9 8 8 年，s r i c s l 的t e r e s al t m t 等人改进了d e n n i n g 的入侵检测 模型，并开发出了一个i d e s 。该系统包括一个异常检测器和一个专家系统，分 别用于统计异常模型的建立和基于规则的特征分析检测。1 9 9 0 年，加州大学戴 维斯分校的lth e b e r l e i n 等人开发出了n s m ( n e t w o r ks e c u r i t ym o n i t o r ) ；该 系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成 统一格式的情况下监控异种主机。从此形成两大阵营：