（管理科学与工程专业论文）基于多agent的分布式分层入侵检测系统的研究与实现.pdf

出表师范天学簸土论文皋卡多a g e n l 鸱静布式分联入侵锰科系统的麟宄j 簧蕊 摘要 黼潜诗簿梳技术和黼络技术的发展，黼络安全阔题窝得越采越重蕊。船密技 零、醛穴瀵技拳等接统的瓣络安全技术己经无港瀵戆隧踌安全靛需求，入霞捻灏 技术应遮丽生。入馒检测技术能够逖行动态的菁既实时的检测，并且具鸯响应功能。 入覆褴灏系绫又蹙p 2 d r ( p o l i c yp r o t e c t i o nd e t e c t i o nr e s p o n s e ，筒称p 2 d r ) 动态 安全模激的一个霞要组戚部分。圆此，对入侵裣浏技术进行深入探索和研究就畏 褥茏为甏要帮有实际意义了。 爨麓诗箨瓿科学发爆，a g e n t 在天王智能葶鞑诗冀辊科举赛弱缝整变绥麓蓥耋 疑。a g e n t 自& 够模拟人类的行为，其存自治性、社会性、逡应性、智能性等人类 熬特性。a g e n t 浆瘦弱涉及到人类聿士会生活豹袋个舒韭援壤。学术器嬲工姥暴弱 研究人懿越来越懿视a g e n t 系统的理论研究和陂阁研究。 本文嚣久搜羧溅技零嚣a g e n t 技拳徽了缨致翡分褫罨 突，鲶趱了一个基予多 a g e n t 灼分鼷入蠖捡测躲系统摸型，算对系统遴行设计实现。主要工佟镪援： l 、鉴予入侵检测戡零对网络安全掰超的羹簧俸耀，本文对警今袭全产菇静 濒秀入侵检测系统o d s ) 进行了探索研究，分亭厅了误用捡测与异常捡测的优缺点。 深入深讨了多a g e n t 技术的成雨与实现。 2 、零文鲶爨令鏊专二多a g e n t 懿分器捡测黪系统摸凝，并姆数缀颥鲶理鼓 零积数攒融会技术应用予系绞当中。在系统中，黢综合了基于是鬻行为黪入侵检 测窝纂予特链熬入侵捡溺技零，在酝餮上叉采蠲了主掇鬣凝j j 瑟掰络配黉赣蔓鬣合 的方式。 3 、在系统禳翟设计上采爝了分布式体系籀梭，分震式入蹬梭灞。设计了控 割类a g e n t 筝巍联络中心秽撵受不弱任务懿秘关、主魏，捡溯及策臻等疆类 a g e n t ，囊它蜘缀成了多a g e n t 系统，每个a g e n t 采用逶囊的且霄赝不嘲驰入 受 缎测方法强数据采源，题a g e n t 之阀耀蔓汝羼、提互服势。因她骶统掰以对入侵 行为进行全面的检测，宵效谶僳护计算机网络的安全。 4 、本文黯器类a g e n t 靛动畿进行了详缨熬攥透，最麓绘交了一个硷溺a g e n t 戆实臻安铡。 5 、遴傍是；萱秘分衣式系统郝懿要着辫考惑游淘题，零文潜a g e n t 瓣邋信像 蕊 山束师范犬学 - k 论史基于多a g e n t 鲍分布式分簏 经检测系统的醋究与实现 俸了送一步静搽讨，最终选定管遘( 馥e ) 俸为a g e n t 内豁透信方式，s o c k e t 嚣鬼 a g e n t 删通信方式。 本文的主要创新工作在给岛t 一个基于多a g e n t 的系统模甏，并将数据预始 理技术鄹数据融合技术应用于入侵检测系统，针对任务设计出多种a g e n t 类，它 们在网络中采取分布式结构，在检测入侵上采用分层式入侵检测。 关键字：i d s 多a g e n t 网络安众 论文分类号：t p 3 9 3 。0 8 掰 山东帅范大学硕l 论文 撼十多a g e n t 的分布式分层入侵检测系统的币j f 究b 实现 a b s t r a c t w i t ht h ed e v e l o p m e n to ft h et e c h n o l o g yo ft h ec o m p u t e ra n dn e t w o r k t e c h n o l o g y ，t h en e t w o r ks e c u r i t yq u e s t i o nb e c o m e s m o r ea n dm o r ei m p o r t a n t t h et r a d i t i o n a is e c u r i t yt e c h n o l o g y e n c r y p t i o n ，f i r ew a l lt e c h n o l o g y ，e t c ，b e u n a b l et om e e tn e t w o r ks e c u r i t y sd e m a n d s s oi n t r u s i o nd e t e c t i o nt e c h n i q u e e m e r g e a st h et i m e s r e q u i r e i n t r u s i o nd e t e c t i o n t e c h n i q u e c a nc a r r yo n d y n a m i ca n d r e a l - t i m e d e t e c t i n g a n d h a v e r e s p o n d i n g f u n c t i o n i n t r u s i o n d e t e c t i o ns y s t e mi sa nj m p o r t a n lc o m p o n e n to fl h ep 2 d rf p o l i c yp r o t e c t i o n b e t e c t i o nr e s p o n s e ，a b b r e v i a t e da sp 2 d r ) ，w h i c hi sad y n a m i cs a f em o d e l s ot of u r t h e ri n v e s t i g a t et h ei n t r u s i o nd e t e c t i o nt e c h n i q u el sv e r yi m p o r t a n ta n d h a v ea c t u a lm e a n i n g s w i t h c o m p u t e r s c i e n t i f i c d e v e l o p m e n t a g e n t b e c o m e s i n c r e a s i n g l y i m p o r t a n ti na r t i f i c i a l | n t e l l i g e n c ea n dc o m p u t e r a g e n tc a ni m i t a t et h eh u m a n b e h a v i o r a n dh a v eh u m a nc h a r a c t e r i s t i c ，s u c h a s a u t o n o m y , s o c i a l i t y ， a d a p t a b i l i t y ，i n t e l l i g e n t t h ea p p l i c a t i o no fa g e n t i n v o l v e se a c hf i e l do ft h el i f eo f h u m a ns o c i e t y t h er e s e a r c h e r so fa c a d e m i aa n di n d u s t r i a ip a ya t t e n t i o nt o t h e o r e t i c a ir e s e a r c ha n d a p p l i c a t i o no fa g e n ts y s t e r n t h i s p a p e rr e s e a r c h e s l h ei n t r u s i o nd e t e c t i o n t e c h n i q u e a n da g e n t t e c h n o l o g y , a n dg i v e sa n dd e s i g n sad i s t r i b u t e da n dd e l a m i n a t e di n t r u s i o n d e t e c t i o ns y s t e mm o d e ib a s e do nm u l t i a g e n t t h em a i nw o r ki n c l u d e ： 1 s e e i n gt h ei m p o r t a n tf u n c t i o no f t h ei n t r u s i o nd e t e c t i o nt e c h n i q u e f o rt h e n e t w o r ks e c u r i t y ，t h i sp a p e rr e s e a r c ht h ei n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) a n d a n a l y z et h ev i r t u ea n dd i s a d v a n t a g eo f t h em i s u s ed e t e c t i o no ra n o m a l y b a s e d h a v e d e e p l yp r o b e di n t ot h ea p p l i c a t i o no fm u l t i - a g e n tt e c h n o l o g y 2 t h i sp a p e rp r o v i d e sad e l a m i n a t e dd e t e c t i o ns y s t e mm o d e ib a s e do n m u l t i a g e n t ，a n da p p l i e st h ed a t ap r e d i s p o s et e c h n o l o g ya n dd a t ai n t e g r a t i o n t e c h n o l o g y i nt h e s y s t e m 1 n l h e s y s t e m a p p l y i h ei n t r u s i o nd e t e c t i o n t e c h n i q u eo ft h eb a s e do nu n u s u a lb e h a v i o ra n ds i g n a t u r e b a s e d a n da d o p t t h e w a y o fh o s ta n dn e t w o r kc o n f i g u r a t i o nc o o p e r a t i n ge a c ho t h e r 3 a d o p t t h ed i s t r i b u t e ds y s t e ms t r u c t u r ei nt h es y s t e mm o d e i d e s i g n a n d d e l a m i n a t et od e t e c t d e s i g na g e n to fc o n t r o l l i n gt y p ea sc e n t e ra n dg a t e w a y , h o s t c o m p e e r i n g ，d e t e c t i o n ，t a c t i c s f o u rt y p e sa g e n to ft a k i n gc h a r g e o f d i 怕r e n tt a s k m a k eu po fm u l t i a g e n ts y s t e m e a c ha g e n ta d o p tad i f f e r e n t i n t r u s i o nd e t e c t i o nm e t h o da n dd a t as o u r c e a n dn o tb e t w e e na g e n te a c h o t h e rj nc 0 0 r d i n a t i o nw i t h n o te a c ho t h e rs e r v e ，s ol h es y s t e mc a nc a r r yo n o v e r a l i d e t e c t i n g t ot h eb e h a v i o ro f i n t r u d i n g p r o t e c tt h es e c u r i t yo fl h e c o m p u t e rn e t w o r ke f f e c t i v e l y 4 t h ef u n c t i o no fa l lk i n d so fa g e n t sc a r r i e so nd e t a l i e dd e s c r i p t i o ni nl h i s p a p e r ；p r o v i d ear e a l i z a t i o ni n s t a n c eo fd e t e c t i n ga g e n tf i n a l l y 5 c o m m u n i c a t i o nq u e s t i o ni n a n yd i s t r i b u t e ds y s t e mn e e dt oc o n s i d e r e m p h a t i c a l l y , s ot h i sp a p e r m a k ef u r t h e rd i s c u s s i o nt h ea g e n t sc o m m u n i c a t i o n t o o ，s e l e c tp i p e ( p i p e ) a sc o m m u n i c a t i o nw a yi n s i d ea g e n ta n ds o c k e ta s v 幽表烬氟是掌醺t 论文 穗子多a 鳓辞韵分毒式分疆凡撞祷嚣舔凌蘸舔究譬菇髓 c o m m u n i c a t i o nw a yb e t w e e n a g e n tf i n a l l y t h em a i ni n n o v a t i o no ft h i sp a p e ri sp r o v i d i n ga s y s t e mm o d e lb a s e do n m u l t i - a g e n t , a n da p p t i e st h ed a t ap r e - d i s p o s et e c h n o i o g ya n dd a t ai n t e g r a t i o n t e c h n o l o g yi nt h ei n t r u s i o nd e t e c t i o ns y s t e m d e s i g n i n gm a n yk i n d so fa g e n t s t ot h e t a s k ，t h e ya d o p tt h ed i s t r i b u t e d s t r u c t u r ei 1 1t h en e t w o r ka n dt h e d e l a m i n a t e dd e t e c t i o n k 姆w o r d s ：i d s m u r i - a g e n l n e t w o r k s e c u r i t y c l a s s i f i c a t i o nn 0 。：蕈p 3 9 3 。转8 独创声明 y 6 8 4 3 2 8 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为 获得( 注：如没有其他需要特别声明的，本栏可空) 或其他教育机构的学位或证书使用过的材料。与我一同工作的同志对 本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：导师签字 签字日期：2 0 0 4 年月 日 签字日期：2 0 0 4 年月 日 山东师范人学硕1 ：论义 基于多a g e n t 的分布，分层入侵榆测系统的研究与实现 第一章绪论 1 1 计算机网络安全及存在的问题 自从1 9 4 6 年世界上的第一台计算机问世以来，计算机技术以惊人的速度不断 地向前发展。现今的计算机不仅仅是用于科学计算的快捷工具，而且已经广泛地 应用于各个领域。在政府机关、企业、银行及军事机构等国家重要部门都使用计 算机建立信息系统，管理和处理各种信息和情报。随着网络技术的出现和发展， 计算机技术和网络技术又为银行、政府机关、商业、企业及个人通信提供了相当 便利的条件，大大加快了信息发布和传播的速度。 但是在网络技术发展的同时也带来了一系列安全问题，攻击者可以通过各种 技术手段非法接收、劫持、修改一些本来无权使用的秘密信息，更有甚者，他们 还冒充合法用户操纵计算机终端进行恶意破坏。1 9 8 8 年1 1 月2 同，“蠕虫”病毒 在网络中迅速蔓延，短短几个小时，致使上千台计算机不能工作；1 9 9 5 年8 月2 1 日，美国一设防严密的银行的网络系统遭到入侵者的攻击，损失现金高达1 1 6 0 ) j - 美元：2 0 0 0 年2 月以来，y a h o o 、e b a y 、a m a z o n 等国外著名网站相继遭到入侵者 的攻击，蒙受巨大损失；2 0 0 1 年夏季的“红色代码”等病毒借助网络迅速传播， 给全球造成了严重损失。这些著名的网络安全事件只是为数巨大的网络安全事件 的冰山一角。据美国联邦调查局的报告，计算机犯罪是商业犯罪中最大的犯罪类 型，每次犯罪的平均金额为4 5 0 0 美元，每年计算机犯罪造成的经济损失高达5 0 亿美元，平均每2 0 秒就发生一起入侵网络的计算机安全事件。 以上事例说明了受到攻击的网络和计算机给社会造成了严重的损失。失去计 算机和网络的安全就意味着个人、银行、企业、政府机关、军事部门等私有的、 保密的信息受到破坏，威胁到它1 1 的财产、生存和发展。如何保护合法用户的利 益不受侵犯，保护信息不受破坏；如何使开放的网络体系环境中目标主机受到保 护；如何能实时检测网络中存在的攻击行为或检测系统存在的漏洞等，己经成为 当今计算机安全和网络安全的关键问题。 一、计算机安全 按照国际标准化组织的定义，可以把计算机安全描述为：“为数据处理系统建 立和采取的技术和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或 恶意的原因而遭破坏、更改、显露”。 从总体上讲，计算机安全包括物理安全和逻辑安全。 物理安全 计算机系统物理安全主要是指为保证计算机设备和通信线路及设施( 建筑物 等) 的安全。一是预防地震、雷电等自然灾害，满足设备正常运行环境的要求而 采用的技术和方法；二是采取必要的措施防止计算机设备被盗，设定安全管理规 山东师范大学硕士论文 皋于多a g e n t 的分布式分层八经检测系统的础f 究与实现 定；三是为防止电磁辐射泄漏而采取的低辐射产品、屏蔽或反辐射技术和各种设 备的备份等。 逻辑安全 计算机逻辑安全主要包括以下几个方面的含义： a ) 机密性( c o n f i d e m i a l i t y ) ：信息不泄露给非授权用户、实体或过程，或供 其利用的特性。明文的信息经过加密后变成密文，只有那些经过授权而掌握解密 密钥的合法用户，才能通过解密算法将密文还原成明文。 b ) 完整性( i n t o ：g r i t y ) ：数据未经授权不能进行改变的特性。即信息在存储或 传输过程中保持不被修改、不被破坏和丢失的特性。 c ) 可用性( a v a i l a b i l i t y ) ：可被授权实体访问并按需求使用的特性。安全系统 能够对用户授权提供其某些服务，即经过授权的用户可以得到系统资源，并且能 享受系统所提供的服务。 二、网络安全 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安 全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络 系统的部件、程序、数据的安全性，它通过网络信息的存储、传输和使用过程体 现。网络安全包括物理安全和逻辑安全。 网络安全从其本质上来讲就是网络上的信息安全。信息安全是指防止信息财 产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨识、控制。 从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控 性的相关技术和理论都是网络安全的研究领域。 三、网络安全的目标 网络安全目标可以分为以下几个方面： 1 ) 网络服务的可用i 生( a v a i l a b i l i t y ) ：在发生攻击时，网络服务必须是可用的。 2 ) 网络信息的保密性( c o n f i d e n t i a l i t y ) ：网络服务必须能够防止敏感信息的泄 漏。 3 ) 网络信息的完整。l 生( i n t e g r i t y ) 网络服务必须保证服务者提供的信息内容不 被非法篡改。 4 ) 网络信息的非否认性( n o r e p u d i a t i o n ) ：即抗抵赖性，网络服务必须保证服 务的提供者不能否认其所提供的数据及内容，同时数据的接收者不能否认已接收 了的数据及内容。 5 ) 网络运行的可控。l 生( c o n t r o l a b i l i t y ) ：包括网络运行的物理的可控性和逻辑的 可控性等，能够有效地控制网络用户的行为及信息的传播范围。 四、当今网络安全中存在的主要问题 1 ) 计算机病毒 2 山东师范大学硕士论文 基十多a g e n t 的分布式分崖入侵检测系统的研究与实现 目前全球已发现5 万余种计算机病毒，并且还在以每天1 0 余种的速度增长。 谈到病毒问题应该谈谈特洛伊木马( t r o j a nh o r s e ) 和蠕虫( w 0 1 t 1 1 s ) 问题。它们 虽然不是严格的病毒，但不仅和病毒的危害性相当，而且一般也会伴随着病毒一 起向用户发起攻击。特洛伊程序一般由编程人员编制，在公开的功能下隐藏了用 户所不希望的具有破坏性的功能，掩盖了其真实企图。蠕虫则是一个或一组程序， 它可以从一台机器向另一台机器传播，与病毒不同的是，它不需要修改宿主程序 就能传播。 2 ) 黑客的攻击 黑客己不再高深莫测，黑客技术也逐渐被越来越多的人掌握，世界上也有2 0 多万个黑客网站在介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞，因 而系统、网站遭受攻击的可能性越来越大。尤其现在还缺乏针对网络犯罪卓有成 效的反击和跟踪手段，使得黑客攻击的隐蔽性好、“杀伤力”强，是网络安全的主 要威胁。黑客攻击比病毒破坏更具目的性，因而也更具有危害性。 3 ) 管理的欠缺 网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上，很 多企业、机构及用户的网站或系统都疏于这方面的管理。据i t 界企业团体i t a a 的调查显示，美国9 0 的i t 企业对黑客攻击准备不足。目前，美国7 5 到8 5 的 网站都抵挡不住黑客的攻击，约有7 5 的企业网上信息失窃，其中2 5 的企业损 失在2 5 万美元以上。此外，管理的欠缺还可能出现系统内部人员泄露机密或外部 人员通过非法手段截获而导致机密信息泄漏。 4 ) 网络的缺陷 因特网的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的 t c p i p 协议缺乏相应的安全机制。而且因特网最初的设计考虑是该网不会因局部 故障而影响信息的传输，基本没有考虑安全问题，因此它在安全可靠、服务质量、 带宽和方便性等方面存在着不适应性。 5 ) 软件的漏洞或“后门” 随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的 存在，无论是w i n d o w s 还是u n x 几乎都存在或多或少的安全漏洞，众多的各类 服务器、浏览器、一些桌面软件等等都被发现存在安全隐患。 6 ) 网络内部用户的误操作、资源误用和恶意行为 再完善的防火墙也无法抵御来自网络内部的攻击，也无法对网络内部的资源 误用做出反应。 7 ) 技术的开放性 i n t e r n e t 不安全的另一个因素是因为人们很容易从i n t e r n e t 上获得相关的核心 技术资料，特别是有关i n t e m e t 自身的技术资料，比如r f c 、f a q 文档；各类应用 3 山东师范大学硕士论文 基十多a g e n t 的分布式分层入侵榆测系统的研究与实现 程序源代码，如t c p i p 、s e n d m a i l 、f t p 等：还有各类安全工具的源代码也是公 开免费的，象颇有争议的s a t a n 、c r a c k 等。这些资料拿出来共享其愿望是好的， 但也难免会产生事与愿违的效果。 1 2 常用网络安全技术分析 为了保护i n t e m e t 上信息、服务和访问的安全性，人们开发了多种安全协议和 技术。网络安全基本技术，主要有存取控制、数据完整性、加密技术、用户认证 技术、安全协议、防火墙技术、v p n 技术和入侵检测技术等。 1 ) 存取控制 存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全 理论的重要方面主要包括人员限制、数据标识、权限控制，它一般与身份验证 技术一起使用，赋予不同身份的用户以不同的操作权限，以实现不同安全级别的 信息分级管理。 2 ) 数据完整性 完整性证明是在数据传输过程中，验证收到的数据和原来数据之间保持一致 的证明手段。检查和是最早采用的数据完整性验证的方法，它虽不能保证数据的 完整性，只能起到基本的验证作用，但由于它的实现非常简单( 一般都由硬件实现) ， 现在仍然广泛应用于网络数据的传输和保护中。 3 ) 加密技术 加密是一种最基本的安全技术，主要用在数据存储、数据传输和口令技术中。 加密算法大致可分为对称加密( 秘密密钥) 和非对称加密( 公开密钥) 两种。代表算法 分别是d e s 算法、r s a 算法。d e s 算法速度快，故为大多数系统所用，但其安全 性较r s a 算法低：而r s a 算法的速度较慢。加密技术最终将被集成到系统和网络 中，如i p v 6 就有了内置加密支持。 4 ) 用户身份认证 用户身份认证即校验用户访问系统和使用信息的资格，它是网络安全的关键 技术。用户认证机制主要有传统口令机制、s h a d o w 口令机制、采用挑战应答机制 的强用户认证机制、k e r b e r o s 认证、数字签名等。身份验证技术是在计算机中最早 应用的安全技术，现在也仍在广泛应用，它是互联网上信息安全的第一道屏障。 5 ) 安全协议 目前的t c p i p ( i p v 4 ) 没有考虑到安全性，在t c p i p 下一版本( i p v 6 ) 中就增加 了a h 和e s p 机制及其它安全措施。i n t e m e t 层安全协议有s p 3 、n l s p 、i p s e c 、i k m p 等；传输层安全协议有s s l 、p c t 等；应用层安全协议有p e m 、s h t t p 、s s h 、 k e r b e r o s 等。但在目前使用的安全协议与已广泛使用的协议存在着兼容性问题。 6 ) 防火墙技术 防火墙技术是目前较为流行的一种网络安全技术，它在内部网络和外部网络 4 山东师范大学硕士论文 基十多a g e n t 的分布式分层入侵榆测系统的研究与实现 之间设置一个系统来控制内外网络主机之间的访问。它基于对内部网络用户和主 机的信任来实施内部网络整体安全性。防火墙有很多类型，但大体可以分为两类： 一类是基于p a c k e tf i l t e r ( 包过滤型) ，另一类是基于p r o x ys e i c e ( 代理服务) 。防火 墙技术可结合加密技术、用户身份认证技术，也可使它提供对安全协议的支持， 是一种比较有效的保护网络安全的方法。 7 ) v p n 技术 虚拟专用网络( v p n ) 通过在i n t e r n e t 的基础设施上建立逻辑隧道、网络层的加 密以及采用口令保护、身份验证、权限设置、防火墙等措施，保证数据的完整性， 避免被非法窃取。在实现了用户数据传输需求的同时，又满足了网络安全的要求。 8 ) 入侵检测技术 入侵检测和漏洞检测技术是网络安全技术的重要组成部分，它们不但可以实 现复杂的信息系统安全管理，而且还可以从目标信息系统和网络资源中采集信息， 进而分析出来自网络外部和内部的入侵信号和网络系统中的漏洞，及时发出警告 或实时对其做出反应。 入侵检测具有监视分析用户和系统行为、审计系统配置、评估敏感系统和数 据完整性、识别攻击行为、对异常行为进行统计、自动收集和系统相关的补丁、 进行审计跟踪识别违反安全规定的行为、使用诱骗服务器记录黑客行为等功能， 使系统管理员可以有效地监视、审计、评估自己的系统。 1 3 动态网络安全模型及入侵检测在其中的位置和作用 一、动态网络安全模型 传统静态安全技术的不足：防火墙技术、数据加密技术等除了入侵检测以外 的传统的安全措施只能进行静态防护，它们属于静态的系统安全模型，一旦越过 了它们的安全防线，这些技术就会失去作用。这些安全技术手段存在着各自的缺 陷，总的来说它们的不足之处表现在以下三个方面： 1 ) 无法实时监测和报警，更没有自动响应功能： 2 ) 功能单一，没有形成一个信息共享的完整的安全体系结构； 3 ) 其自身的功能也是不完善的、不健全的、不安全的。 威胁网络安全的因素是多样化的，因此网络安全是一个系统工程。在网络安 全的范畴内，网络并不是物理的网络，它包含了数据、关系和能力三个基本要素， 网络安全的意义就是为这三个要素提供保护。为达到以上三个目的，在实践经验 和理论研究的基础上，提出了一些安全模型。其中较有代表性的是p d r 和p 2 d r 模型。 p d r 和p 2 d r 的网络安全理论模型，即可适应网络安全理论模型。p d r 最早 由全球领先的入侵检测系统提供商i s s 公司提出，它的含义是：防护( p r o t e c t i o n ) 、 检测( d e t e c t i o n ) 、响应( r e s p o n s e ) 。而p 2 d r 是在p d r 的基础上增加了核心策略 5 山东师范大学硕+ 论文 基十多a g e n t 的分布式分层入侵榆测系统的研究与实现 ( p o l i c y ) ，其模型示意图如图所示。 p 登城镇魁示爨幽 p 2 d r 模型包含4 个主要部分： p o l i c y ( 策略) p r o t e c t i o n ( 防护) d e t e c t i o n ( 检测) r e s p o n s e ( 响应) p 2 d r 模型是在整体的安全策略( p o l i c y ) 的控制和指导下，在综合运用防护 工具( p r o t e c t i o n ，如防火墙、操作系统身份认证、加密等手段) 的同时，利用检 测工具( d e t e c t i o n ，如漏洞评估、入侵检测等系统) 了解和评估系统的安全状态， 通过适当的响应( r e s p o n s e ) 将系统调整到“更安全”和“风险更低”的状态。防 护、检测和响应组成了一个完整的、动态的安全循环。图中虽然是一平面的循环， 但实际上是一个螺旋上升的过程，经过了一个p 2 d r 循环之后，进行防护的水平 将会得到提高。从图中可以看出，策略是这个模型的核心，在具体的实施过程中， 策略意味着网络安全要达到的目标，它决定了各种措施的强度。在制定好策略之 后，网络安全的其他几个方面就要围绕着策略进行。在这个模型中检测和防护处 于一个同等重要的位置，入侵检测系统也就作为一个系统在网络安全中发挥其重 要作用。 二、入侵检测在安全模型中的位置和作用 对于p 2 d r 模型，入侵检测就是模型中的检测部分，它的作用在于承接防护 和响应的过程。 网络安全近几年的热点发展过程基本上是按照以下顺序进行的： 防火墙技术的研究：在网络边界保卫内部网。 v p n 技术的研究：连接分散的内部网，完成内部网外延的扩大，与防火 墙技术结合比较紧密。 认证p k i 技术的研究：进一步扩大内部网的外延，同时建立广义的信任关 系。 6 山东师范大学硕士论文 基于多a g e n t 的分布式分层入侵榆测系统的研究与实现 入侵检测技术的研究。 可以看出，除了入侵检测技术，其它几项都是立足于防，从这个发展趋势可 以看出，在不断加强防护的同时，人们己经越来越意识到只有防护是不够的，近 年来，频繁发生的网络攻击事件也证明了这种观点。入侵检测起了别的安全技术 所起不到的作用，作为最后一道安全防线，入侵检测保护着其他安全子系统。 国外对网络安全的研究起步较早，入侵检测产品开始主要是一些漏洞检测工 具包以及端口扫描工具，现在己有一些成型的入侵检测产品出现。国内也已经开 始进行这方面的研究工作，也已有成型的产品出现。随着网络技术和安全技术的 不断发展，入侵检测技术也必然会在网络安全中扮演越来越重要的角色，对入侵 检测及其相关技术进行研究也具有了非常重要的意义和价值。 1 4 入侵检测研究的必要。眭分析 计算机网络安全应提供保密性、完整性及抵抗拒绝服务的能力，但是由于联 网用户的增加，越来越多的系统受到入侵者的攻击，他们利用操作系统或者应用 程序的缺陷企图破坏系统。为了对付这些攻击企图，可以要求所有的用户确认并 验证自己的身份，并使用严格的访问控制机制，还可以用各种密码学方法对数据 提供保护，但是这并不完全可行，而且访问控制和保护模型本身也存在问题，这 里有以下方面的因素： 1 ) 弱口令。如果口令是弱口令且己破解，那么访问控制措施就不能够阻止受 到危害的授权用户的信息丢失或者破坏。 2 ) 静态安全措施不足以保护安全对象属性。通常，在一个系统中，静态安全 措施可能过于简单和不充分，或者系统过度地限制用户。因此，一种动态的方法 如行为跟踪对检测和尽可能阻止安全突破是必要的。 3 ) 动态安全方法如行为跟踪能够检测和阻止安全事故。 4 ) 工程领域的困难复杂性，软件无错近期内不可能解决。 5 ) 系统软件缺陷披露。 6 ) 软件生命周期缩短和软件测试不充分。由于市场竞争激烈，软件生命周期 f 在不断地被缩短，这样常常导致劣质的设计或测试不充分，甚至会加重软件工 程危机问题。 7 ) 修补系统软件缺陷并不常令人满意。由于修补系统软件缺陷的复杂性，计 算机系统不安全状态将持续一段时间。 8 ) 大型软件都具有复杂性。 由于蓄意未授权尝试有可能造成非授权访问信息、泄漏信息、系统不可靠或 不可用，因此必须设计系统的安全机制以保护系统资源与数据以防止恶意入侵， 但是企图完全防止安全问题的出现在目前看来是不现实的。可以尽力检测出这些 入侵以便在过后修补这些漏洞。入侵检测作为安全技术的主要目的有： 7 山东师范大学硕士论史幕于多a g e n t 的分布式分层入侵检测系统的研究与实现 1 ) 识别入侵者； 2 ) 识别入侵行为； 3 ) 检测和监视己成功的安全突破； 4 ) 为对抗措施及时提供重要信息； 从这个角度看待安全问题，入侵检测非常必要它将弥补传统安全保护措施 的不足。 8 山东师范大学硕i = i , 仓s c 皋于多a g e n t 的分布式分层入侵检测系统的研究与实现 第二章入侵检测技术研究 2 1 入侵检测技术分析 一、入侵 安德逊于1 9 8 0 年引入入侵检测概念时，将入侵定义为故意非授权的企图进行 以下活动的潜在可能性，这些活动包括： 访问信息。 修改信息。 致使系统不可靠或不可用。 二、入侵的方法 美国i d gi n f o w o r l d 测试中心小组开发了一种可以称之为b e n c l m l a r k i n g 类型的 测试基准：i w s s l 6 。该小组收集了若干种典型且可以公开得到的攻击方法，对其 进行组合，形成i w s s l 6 。i w s s l 6 组合了四种主要类型的攻击手段： 收集信息 获取访问权限 拒绝服务( d e n i a lo fs e r v i c e ) 逃避检侧 三、入侵检测的界定 目前美国国际计算机安全协会( 1 c s a ) 对入侵检测的定义是：入侵检测是通过 从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现 网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 四、入侵检测研究的内容 入侵检测作为一种积极主动地安全防护技术，提供了对外部攻击、内部攻击 和误操作的实时保护，在网络系统受到危害之前进行拦截和响应。 入侵检测技术的研究开发主要内容如下： 监视、分析用户及系统活动。 识别反映已知进攻的活动模式并向相关人士报警。 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 异常行为模式的统计分析。 评估重要系统和数据文件的完整性。 五、入侵检测利用的信息 1 1 系统和网络日志文件 黑客在进攻过程中经常在系统日志文件中留下他们的踪迹，因此，充分利用 系统和网络同志文件信息是检测入侵的重要手段。日志中包含发生在系统和网络 上的不寻常和不期望的活动的证据，这些证据可以指出有人正在入侵或已成功入 9 山东师范大学顾士论义基于多a g e n t 的分布武分层入侵榆测系统的研究与实现 侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动 相应的应急响应机制。 2 】目录和文件中的不期望的改变 网络环境中的文件系统包含很多软件和数据文件，其中包含重要信息的文件 和私有数据文件，经常是黑客修改或破坏的目标。目录和文件中的不期望的改变， 特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。黑 客经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中 他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。 3 ) 程序执行中的不期望行为 网络系统上执行的程序一般包括操作系统、网络服务、用户起动的程序和特 定目的的应用，例如数据库服务器。每个在系统上执行的程序由一个到多个进程 来实现。每个进程运行在具有不同权限的环境中，这种环境控制着进程可访问的 系统资源、程序和数据文件等。一个进程的运行行为由它运行时执行的操作来表 现，操作包括计算、文件传输、以及与网络中其它进程的通讯。 一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会 将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方 式操作。 2 2 入侵检测系统研究 一、入侵检测系统的功能 入侵检测系统f k t r u s j o nd e t e c t i o ns y s t e m ，缩写为d s ) 是试图实现检测入侵行 为的计算机系统，包括计算机软件和硬件的组合。入侵检测系统对系统进行实时 监控，获取系统的审计数据或网络数据包，然后将得到的数据进行分析，判断系 统或网络是否出现异常或入侵行为，一旦发现异常或入侵情况，发出报警并采取 相应的保护措施。 入侵检测系统可以完成以下功能： 检测和分析用户和系统活动 审核系统配置和漏洞 评估系统和数据文件的完整性 识别反映己知攻击模式的行为 统计分析异常行为模式 操作系统审计数据管理，并支持对反映违反策略的用户行为的识别。 有些系统提供一些另外的特点，包括： 自动安装供应商提供的软件补丁 安装并运行诱骗服务来记录入侵者信息 二、 入侵检测系统的分类 1 0 山东师范大学硕士论文基十多a g e n t 的分布式分层入侵检测系统的研究与实现 i d s 的数据源一般来自网络数据和系统数据。因此，根据数据源可以把i d s 系统分为基于主机入侵检测系统( r i d s ) 和基于网络的入侵检测系统( n i d s ) 。 1 、基于主机的入侵检测系统 基于主机的入侵检测出现在8 0 年代初期，那时网络还没有今天这样普遍、复 杂，且网络之间也没有完全连通。在这一较为简单的环境里，检查可疑行为的检 验记录是很常见的操作。由于入侵在当时是相当少见的，在对攻击的事后分析就 可以防止今后的攻击。 现在的基于主机的入侵检测系统仍使用验证记录，但自动化程度大大提高， 并发展了精密的可迅速做出响应的检测技术。通常，基于主机的i d s 可监测系统、 事件和w i n d o w n t 下的安全记录以及u n i x 环境下的系统记录。当有文件发生变 化时，i d s 将新的记录条目与攻击标记相比较，看它们是否匹配。如果匹配，系统 就会向管理员报警并向别的目标报告，以采取措旌。 基于主机的i d s 在发展过程中也融入了其它技术。对关键系统文件和可执行 文件的入侵检测的一个常用方法，是通过定期检查校验和来进行的，以便发现意 外的变化。反应的快慢与轮询间隔的频率有直接的关系。现在的许多产品都是监 听端口的活动，并在特定端口被访问时向管理员报警，这类检测方法将基于网络 的入侵检测的基本方法融入到基于主机的检测环境中。 尽管基于主机的入侵检查系统不如基于网络的入侵检查系统快捷，但它确实 具有基于网络的系统无法比拟的优点。这些优点包括： 性能价格比高在主机数量较少的情况下，这种方法的性能价格比可能更高。 尽管基于网络的入侵检测系统能很容易地提供广泛覆盖，但其价格通常是昂贵 的。 更加细腻这种方法可以很容易地监测一些活动，如对敏感文件、目录、程序 或端口的存取，而这些活动很难在基于网络的系统中被发现。基于主机的i d s 监视用户和文件访问活动，包括文件访问、改变文件权限、试图建立新的可执 行文件或试图访问特权服务。例如，基于主机的i d s 可以监督所有用户登录及 退出登录的情况，以及每位用户在联接到网络以后的行为。基于网络的系统要 做到这个程度是非常困难的。基于主机技术还可监视通常只有管理员才能实施 的非正常行为。操作系统记录了任何有关用户帐号的添加、删除、更改的情况。 一旦发生了更改，基于主机的i d s 就能检测到这种不适当的