（农业机械化工程专业论文）基于移动agent的入侵检测系统的研究.pdf

摘要 随着网络的飞速发展，我们需要应对的网络安全问题也越来越多诸如数字签 名、访问控制、防火墙之类的传统网络安全技术已不能很好地满足目前网络安全的 需求。网络安全问题正逐渐成为i n t e m e t 及各项网络服务和应用进一步发展所需解决 的关键问题。入侵检测是近几年来出现的新型网络安全技术。它有效弥补了传统网 络安全技术的不足，为网络安全提供了实时的入侵检测和相应的防护手段。 目前，对入侵检测系统的研究主要集中在入侵检测系统模型和入侵检测技术两 个方面。现有的系统模型随着网络规模的扩大和人们需求的不断增长，将增加传输 负载，造成通信“瓶颈”传统的数据处理技术处理能力有限，检测效率低下，在需 要处理的数据量呈指数级增长的情况下，难以完成检测任务，识别未知攻击。 利用移动a g e n t 技术和免疫原理来解决入侵检测的相关问题，已成为网络安全 研究领域的前沿课题。本课题分析了网络入侵检测系统的特定需求，参考了国内外 相关研究项目的方法和设计思路，结合移动a g e n t 技术和免疫系统的特性，从实际 应用的角度出发，将两者的优势引入网络入侵检测系统的设计，提出了一个基于移 动a g e n t 的免疫网络入侵检测系统m a g e n t l d s 模型，并对其做了较为深入的研究。 该模型是综合了分层和网状体系结构最佳特征的混合模型，在i b m a g l e t s 平台 运行。运用面向对象的设计方法，将系统按功能划分为数据采集a g e n t ，数据预处理 a g e n t 、检测分析a g e n t 、响应反馈a g e n t 、通信a g e n t 、数据管理a g e n t 、配置管理a g e n t 七个相互独立的子a g e n t ，在详细阐述各自功能基础上，分析它们间的协同工作过程。 本课题的主要工作概括如下： 从理论发展和实验系统两方面对比分析了国内外入侵检测系统的研究现状； 详细介绍了入侵检测系统和移动a g e n t 技术的相关概念； 提出了新的入侵检测系统模型m a g e n t l d s ，完善了入侵检测系统中“自我”、“非 我”等概念的数学表达；： 重点分析了用于入侵检测系统的免疫耐受模型，改进了检测分析a g e n t 采用的 否定选择核心算法思想，这是本文的难点和创新点； 开发了原型系统； 在局域网环境下，模拟一些典型入侵行为，仿真完成入侵检测系统的检测任务。 实验结果表明该模型较原有模型具有更好的适应性，且改进算法较原有方法检 测性能有所提高，能实现用较少的检测器覆盖同样的检测空间。 该系统充分利用移动a g e n t 的移动性、灵活性，免疫系统的耐受性、学习和认知、 分布性等特性，较好克服了目前入侵检测系统中存在的效率低、可移植性差、可调 整性、伸缩性有限、难以检测未知攻击等缺陷，为解决当前系统带宽占有率较高、 检测率较低、误检测率较高等一系列问题提供了一个可行的解决办法，具有一定的 理论研究和实际运用价值。 关键词：入侵检测：移动a g e n t ：a g l c t s ：t a h i t i ：免疫原理；否定选择算法。 a b s t r a c t a l o n gw i t hd e v e l o p i n go ft h en e t w o r kr a p i d l y , w eh a v et od e a l 、i t ht h em o r ea n d m o r en e t w o r ks e c u r i t yp r o b l e m s t h ec o n v e n t i o n a ln e t w o r ks e c u r i t yt e c h n o l o g i e s ，s u c ha s d i g i t a ls i g n a t u r e ，a c c e s sc o n t r o la n df i r e w a l l ，c a n tf u l f i l lt h en e e do fp r e s e n tn e t w o r k s e c u r i t y t h cn e t w o r ks e c u r i t yp r o b l e m sa l eg r a d u a l l yb e c o m i n gt h ep i v o t a lo n et h a tm u s t b e s o l v e df o rf a l t h e rp r o g r e s so ft h ei n t e m e ta n ds o m en e t w o r ks e r v i c e i n t r u s i o n d e t e c t i o ni st h en e wn e t w o r ks e c u r i t yt e c h n o l o g yw h i c hc o m e sf o r t hw i t h i nt h el a s t s e v e r a ly e a r s i tm a k e su pt h ed i s a d v a n t a g et h a tt h ec o n v e n t i o n a ln e t w o r ks e c u r i t y t e c h n o l o g i e sr e f l e c t0 0a n ds u p p f i e st h er e a l - t i m ei n t r u s i o nd e t e c t i o na n dc o r r e s p o n d i n g p r o t e c t t i o n a tp r e s e n t , t h er e s e a r c ho ft h ei d s 恤t r u s i o nd e t e c t i o ns y s t e m ) f o c u s e so nt h e m o d e lf o rt h ei d sa n dt h ei n t r u s i o nd e t e c t i o nt e c h n o l o g i e s w i t hu n c e a s i n g e x p a n s i o no f n e t w o r ks c a l ea n dt h eu s e r sd e m a n d , t h ee x i s t i n gs y s t e mm o d e l sb r i n go nt h eo v e r w e i g h t l o a d , t h eh i g h e rb a n dw i d t ha n dm e a s yt oi n d n t h eb o t t l e n e c ko fc o m m u n i c a t i o n i n t h ec o n d i t i o no fe x p o n e n t i a li n c r e a s i n gd a t ah a n d l e db yi d s ，i t sh a r df o r t h ec o n v e n t i o n - a lp r o c e s s i n gd a t at e d m i q l l ct oc o m p l e t et h ed e t e c t i o nt a s ka n dd i s t i n g u i s ht h et m k l l o w n i n t r u s i o n sb e a 箍u s eo ft h el i m i t e dp r o c e s s i n gd a t ac a p a c i t ya n dl o w e rd e t e c t i o ne f f i c i e n c y 。 i ti sav i g o r o u sr e s e a r c hu t i l i z i n gt h em o b i l ea g e n tt e c h n o l o g ya n de l 砌u n ep r i m # e l os o l v et h ep r o b l e m s0 1 1t h ei n t r u s i o nd e t e c t i o ni nt h en e t w o r ks e c u r i t ya l e , a s n e s p e c i f i cd e m a n d o f t h ei n t r u s i o nd e t e c t i o ns y s t e mb a s e do i lt h en e t w o r kh a sb e e na n a l y z e d i nt h ep a p e r m a k i n gr e f e r e n c et ot h em e t h o d sa n dd e s i g n so ft h ec o r r e l a t i v er e s e a r c h p r o j e c t si na n da b r o a d , t h en e t w o r ki n t r u s i o nd e t e c t i o nm o d e lb a s e do nt h em o b i l ea g e n t t e c h n o l o g ya n di m m u n ep r i n c i p l e ，c a l l e dm a g e n t l d s ，h a sb e e np r e s e n t e d 丘帅t h e a s p e c t so ft h ep r a c t i c a la p p l i c a t i o na n di u c u b r a t e d t h et w ot e c h n o l o g i e s g o o dc h a l a c t e - r i s t i c sa l ei n t r o d u c e di nt h em o d e l 1 1 圮m o d e lw h i c hh a si n t e g r a t e dt h eh i b e r a l c h ya n dn e tm o d e lr u n so nt h ep l a t f o r m c a l l e da # e t sd e v e l o p e db ym m a c c o r d i n gt o t h ef u n c t i o n s , t h es y s t e md e s i g n e db y o o d ( o b j e c t - o r i e n t e dd e s i g n ) c o n s i s t so ft h ea g e n tf o rc a p t u r i n gd a t a , t h ea g e n tf o r p r e p r o c e s s i n gd a t a , t h ea g e n tf o ra n a l y z i n gd a t a , t h ea g e n tf o rr e s p o n d i n g , t h ea g e n tf o r c o m m u n i c a t i n g , t h ea g e l l tf o rm a n a g i n gd a t a , t h ea g e n tf o rc o n f i g u r i n gw h i c ha i e i n d e p e n d e n t t h cf u n c t i o no ne a c ha g e n th a sb e e ne l a b o r a t e l yd e s c r i b e d n ep r o c e s s w h i c ht h e s ea g e n t sa i ec o o p e r a t i v ew i t he a c ho t h e rh a sb e e na n a l y z e dd e t a i l e d l y m t h em a i nt a s k s 伽t h es u b j e e ta f o l l o w i n g ： t h e p r e s e n ts i t u a t i o no ni d s b c l w e , c l l lh o m ea n do v c r s e l 皓h 鹤b r o u g h ti n t oc o m p a r i s o i lf i r o mt h ea s p c c 姆o f t h e o r ye v o l v i n ga n de x p e r i m e n t a ls y s t e m t h ec o n c e p t i o no i lt h ei d $ 柚dt h em o b i l ea g e n tt e e l a u o l o g yh a sb e e ni n t r o d u c e di l l d e t a i l t h el r l vi d sm o d e lc a l l e dm a g c n t i d sh a sb e e np r o p o s e da n dt h em a t l a c m a t i c a l c x p r e s s i o mo ft h ec o n c e p to nt l a ei d s 。s u c h 笛“s e l f a n d “n o m c l f , h a v eb c p e r - f e c t c d w eh a v ee o n c e n t r a t e x l0 1 1a n a l y z i n gt h ei m m u n ct o l e r a n tm o d e la p p l i e di nt h ei d s a n di m p r o v i n g0 nt h cn e g a t i v e s e l e a e t i o na l g o r i t l l mi d e an s e di nt h ea g e n tf o r a n a l y z i n g , w h i c ha ”t h ed i f f i c u l t i e sa n di n n o v a t i o n si nt l a ed i s s e r t a t i o n t h e i n m t o t y p i n gs y s t e ml l a sb e e nd c v c l o p c 正 t h ee m u l a t i o n a ld e t e c t i o nh a sb e e na c e o m p l i s l a c db ys i m u l a t i n gt h et y p i c a li n t r u s i o n - si nt h cl a n t h ee x p e r i m e n t a lr e s u l ti n d i c a t e st h a tf i l em o d e li si n o r ea d a p t i v et h a n t h ee x i s t i n go i i c b e s i d e s , t l a ce v o l u t i o n a r yn e g a t i v e - s e l e e t i o l aa l g o r i t h m w l a i e h 啪 c 舛e rt h es a m cd e t e c t i o ns p l i w i t ht h ef e w e rd e t e c t o r s , h a si m l o v e dt h ed e t e c t i n g e a p a b i t i t yt h a nt l a eo r i g i n a lm e t h o d m a k i n gk n 盯u o f t i l em o b i l ea g e n tt e e i m o l o g yf o r h i sg o o de h a z a e t c r i s t i e ss u c h 鹬 m o b i l i t ya n df l e x i b i l i t y , a n dt h ei l l l l l l i l t l 畦s y s t e mw h i e l ai sc h a r a c t e r i s t i co ft o l e r a n c e ，c o g - n i z a b l i t ya n dd i s t n b u t e c kt h es y s t e mh a so v l 。l c , a m et h eo l do i i i c s s h o r t c o m i n g s s u e l a 勰 l o w e re f l i e i c l a e y , w o l t 啦p o r t a b i l i t y , l i m i t e ds e a l a b i l i t ya n dd i f f i c u l tf o rd e t e c t i n gt l a e u n k n o w ni n t r u s i o i l s t h em a g e n t i d sh a so f f e r e daf e a s i b l ew a yf o rr e s o l v i n gs e r i e so f p r o b l e m sw h i c ho c c u ri nt h ep r e s e n ti d s $ u e l aa st l a eh i g h e rb a n dw i d t h , t h el o w e r d e t e c t i o nr a t e ，l a i g h c rn e g a t i v ed e t e c t i o nr a t e t h em a g e n t l d sh a sb e e nb o t l av a l u a b l ei n t h et h e o r e t i c a lr e s e a r c ha n dp r a c t i c a la p p f i c a t i o n k e yw o r d s = i n t r u s i o nd e t e c t i o n ；t h em o b i l ea g e n t ；a g l c t s ；t a h i t i ；i m m u n ep r i n c i p l e ； n e g a t i v e - s e l e e t i o - a l g o r i t h m a b a c k a c l a g a p i 舡c i 肿 b p f c f c n c e r t c c c p u 吣 f l n g ，( ) s h m i c m 咿 m | s 峪g m j d k m a e m a g e n t l d s m c p n s l ：a c o d b c p h p r s t s a s e 0 s i d s s q l s y n 册 u d p u r l v x d 缩略语表 v 抗体 确认 a g e n t 通信语言 抗原 应用程序编程接口 a g e n t 传输通信接口 a g e n t 传输协议 伯克利包过滤器 公共入侵检测框架 国家计算机网络应急技术处理协调中心 中央处理器 数据转换服务 结束 通用入侵检测对象 超文本传输协议 网际控制报文协议 入侵检测系统 入侵检测小组 网际协议 j a v a 开发工具包 移动a g e n t 环境 基于移动a g e n t 的入侵检测系统 传输控制协议 美国国家安全电信顾问委员会 开放数据库互连 超文本预处理器 复位 静态a g e n t 序列 语义标志符 结构化查询语言 同步 传输控制协议 用户数据报协议 统一资源定位符 虚拟设备驱动程序 华中农业大学学位论文独创性声明及使用授权书 学位论文 是否保密 舀 如需保密，解密时间年月日 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成 果尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他入已经发 表或撰写过的研究成果，也不包含为获得华中农业大学或其他教育机构的学位或证书 而使用过的材料，指导教师对此进行了审定与我一同工作的同志对本研究所做的任 何贡献均已在论文中做了明确的说明，并表示了谢意 研究生签名： 孑芍时间：砂，7 年，月5 日 学位论文使用授权书 本人完全了解。华中农业大学关于保存。使用学位论文的规定”，印学生必须按 照学校要求提交学位论文的印刷本和电子版本；学校有权保存提交论文的印刷版和电 子版，并提供目录检索和阅览服务，可以采用影印缩印或扫描等复制手段保存、汇 编学位论文本人同意华中农业大学可以用不同方式在不同媒体上发表、传播学位论 文的全部或部分内容 注：保密学位论文在解密后适用于本授权书 黼娩多号撇名：矽仍弋 枷期：砷年m 日柳挑叼年月夕日 注：请将本表直接装订在学位论文的扉页和目录之间 华中农业大学2 0 0 7 届硕士毕业论文 1 绪论 1 1 网络安全概述 1 1 1 网络安全的现状 随着现有网络环境的日益复杂以及攻击者手段的日益高明，网络安全面临的威 胁也越来越大。可以这样说，i n t e r n e t i n t r a n e t 技术的日趋成熟和快速发展在给我们带 来便利通信的同时，也带来了来自网络的威胁。这是由于i n t e r n e t 所依赖的删口协 议族设计之初安全性方面考虑的不足导致难以适应安全网络、可靠服务质量和低带 宽等方面的需求。此外，网络系统的管理是用户免受攻击的重要措施，但内部人员 对系统的攻击正逐渐成为一种普遍现象，如何有效提高人员管理的质量是一个需要 慎重考虑的问题。再者，软件开发过程中由于人为的疏忽或设计的缺陷，在设计规 模的扩大的条件下存在难以避免的不完备性将暴露得更加明显，如现在广泛使用的 操作系统本身就存在着不安全、不可修补的漏洞，这就使得黑客可以利用漏洞来进 行进一步攻击。 根据美国f b i 的调查，美国每年因为网络安全造成的经济损失超过1 7 0 亿美元。 7 5 的公司报告财政损失是由于计算机系统的安全问题造成的，只有1 7 的公司愿 意报告是由于黑客入侵造成的。大部分公司由于担心负面影响而不愿声张。在所有 的损失中虽然只有5 9 可以定量估算，但每个组织的平均损失已经达到4 0 万美元之 多( 薛静锋等，2 0 0 4 ) 就我国而言，据国家计算机网络应急技术处理协调中心( d a 承i y o c ) 统计报告 显示，2 0 0 5 年，c n c e 瑚 y c c 共收到国内外通过应急热线、网站、电子邮件等报告的 网络安全事件1 2 万多件，平均每月l 万多件。需要说明的是，2 0 0 5 年收到的事件报告 中约9 3 为扫描类网络安全事件。除扫描外的国内外网络安全事件报告共9 1 1 2 件。 2 0 0 5 年c n c e r t c c 接收的无论是非扫描类还是扫描类事件报告，与2 0 0 4 年 相比，数量都增长了一倍左右。与2 0 0 3 年相比，0 4 年和0 5 年事件报告数量的增长 更加明显。2 0 0 3 年至2 0 0 5 年事件报告数量比较情况如图1 所示。( 2 0 0 5 年网络安全 工作报告，2 0 0 5 ) 图1 - 12 0 0 3 年至2 0 0 5 年事件报告数量比较情况图 1 - 1c o m p a r i n gs t a t u s e rq u a n t i t yo ne v e n tr e p o r tf r o m2 0 0 3t o2 0 0 5 1 绪论 从以上数据我们不难看出，随着网络安全事件的急剧增加，网络安全正逐渐成 为i n t e r a c t 及各项网络服务和应用的进一步发展所需解决的关键问题。 1 1 2 网络安全的目标 网络安全目标主要涉及身份真实性、信息机密性、可审查性等八个方面的内容。 ( 1 ) 身份真实性对通信实体身份的真实性进行鉴别； ( 2 ) 信息机密性保证机密信息不会泄漏给非授权的人或实体，防止数据不受非授权 操作的破坏； ( 3 ) 信息完整性保证数据的一致性和系统的完整性。防止非授权的人或实体对数据 进行建立、修改和破坏，非授权操作不能修改数据和操纵系统，保 证系统的正常运行； ( 4 ) 服务可用性防止合法用户对信息和资源的使用被不正当拒绝； ( 5 ) 不可否认性建立有效的责任机制，防止实体否认其行为； ( 6 ) 系统可控性能够控制使用资源的人或实体的使用方式； ( 7 ) 系统易用性在满足安全要求的条件下，系统应操作简单、维护方便； ( 8 ) 可审查性对出现的网络安全问题提供调查的依据和手段。( 陈明，2 0 0 4 ) 1 1 3 动态网络安全模型甲d r 随着技术的不断发展，为了达到网络安全的目标，提出t f d r 动态网络安全理 论模型。它的基本思想是以安全策略为核心，通过一致的检测、流量统计、异常分 析、模式匹配以及应用、目标、主机、网络入侵检查等方法进行安全漏洞检测，当 发现系统有异常情况发生时，根据系统安全策略做出快速响应从而完成系统从静 态防护向动态防护的转化，达到保护系统安全的目的。 响 图1 - 2 动态网络安全模型 隐1 - 2 t h es e c u r i t ym o d e lo f d y n a m i cn e t w o r k 具体而言，p 2 d r 模型的内容包括( 如图1 2 所示) ： ( 1 ) 策略 它是p 2 d r 模型的核心内容。在具体实施过程中，策略规定了系统所要达到的 安全目标和为达到目标所采取的各种具体安全措施及实施强度等安全措施的实施 必然会影响到系统运行的性能，以及牺牲用户操作的舒适度，因此安全策略必须按 需制定。 ( 2 ) 防护 它具体包括制定安全管理规贝l j 、进行系统安全配置以及安装各种安全防护设备， 如防火墙、v p n 设备等。 2 华中农业大学2 0 0 7 届硕士毕业论文 ( 3 ) 检测 在采取各种安全措施后，它根据系统运行情况的变化，对系统安全状态进行实 时的动态监控。 “) 响应 一旦发现入侵活动或入侵结果，就需要系统做出及时的反应并采取措施，其中 包括：记录入侵行为、通知管理员、阻断进一步的入侵活动以及恢复系统正常运行 等。( 唐正军和李建华，2 0 0 4 ) 防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下 保证了信息系统的安全。( 罗守山，2 0 0 4 ) 1 2 入侵检测的必要性 1 2 1 传统的网络安全机制 传统的网络安全机制包括加密机制、数字签名机制、访问控制机制、数据完整 性机制、认证交换机制、防火墙等。( 陈明，2 0 0 4 ) 下面分别对它们做一个简要介绍。 ( 1 ) 加密机制 加密机制是一种在网络环境中对抗被动攻击行之有效的安全机制。它防止第三 者接触机密文件，从而达到防止信息被非法读取的目的。加密机制用于加密存储的 数据或流通中的信息，既可以单独使用，也可以同其他机制结合使用。但该方法只 能防止第三者获取真实数据，仅解决了安全问题的一个方面，并且加密机制并不是 牢不可破的。 ( 2 ) 数字签名机制 数字签名机制由对信息进行签名和对已签名的信息进行证实两个过程组成。前 者使用签名者的私有信息( 如私有密钥) ，后者使用公有信息( 如公开密钥) 用以鉴定 签名是否由签名者的私有信息产生。 ( 3 ) 访问控制机制 访问控制机制是根据实体的身份和相关信息决定该实体访问权限的机制。也就 是说，当一个实体( 主体) 试图非法使用一个未经授权的实体( 客体) 的资源时，访问 控制机制将拒绝这一企图，并将这一事件附带报告给审计跟踪系统，由它产生一个 报警或形成部分追踪审计访问控制机制通常采用访问控蒂j 信息库、认证信息( 如密 码) 、安全标签等一个或多个措施。 ( 4 ) 数据完整性机制 通信中，发送方根据要发送的信息产生一个额外信息( 如校验码) ，对其加密后 随信息本体一同发出。接收方收到信息本体后产生相应的额外信息，同接收到的额 外信息进行信息比较，用以判断在通信过程中信息本体是否被篡改过。数据完整性 机制可以发现网络上传输数据是否已被非法修改，从而保证用户不被非法数据欺骗。 ( 5 ) 认证交换机制 认证交换机制是以交换信息的方式确认实体身份的机制。它可以使用认证信息， 如发送方提供密码，接收方进行验证，也可利用实体所具有的特性，如指纹、视网 膜等来实现同级之间的认证。它是进行存取控制必不可少的条件 ( 6 ) 漏洞扫描机制 漏洞扫描机制是一种自动检测远端或本地主机安全脆弱点的机制。它通过对系 统当前的状况进行扫描、分析，找出系统中存在的各种脆弱性，在此基础上进一步 考虑对脆弱性的修补与清除 3 1 绪论 ( 7 ) 防火墙 防火墙是在一个不可信网络和一个可信网络之间的安全边界，常被形容为网络 安全的第一堵墙。它通过一定的安全策略规则检查网络包或服务请求，决定网络之 间的通信是否被允许，进而达到有效控制内部网络和外部网络之间的访问及数据传 送，实现保护内部网络的信息不受外部非授权用户的访问、信息过滤、限制网络互 访的目的。其中，被保护的网络称为内部网络或私有网络，而与内部网络或私有网 络相连的网络称为外部网络或公有网络。防火墙的实现利用了屏蔽路由器、堡垒主 机或者两者兼而有之。屏蔽路由器基于数据包的属性，如源地址、目的地址、端口 号以及方向来控制网络数据包的路由选择。堡垒主机是一台加固的其操作系统锁定 到最小服务计算机，它能运行代理服务器并对数据包进行过滤。( e s c a m i l l a ，1 9 9 9 ) ( 刘 文涛，2 0 0 4 ) 1 2 2 入侵检测在网络安全中的重要地位 入侵检测作为一种积极主动的安全防护技术，是传统网络安全机制的合理补充。 它被称为继防火墙之后的第二道安全闸门。它在不影响网络性能的前提下对网络进 行监测，从而提供了对内部攻击、外部攻击以及误操作的实时保护，在网络受到危 害之前进行拦截和响应入侵。 它的开发和应用增强了网络与系统安全的保护，成为目前动态安全工具的主要 研究方向从网络安全立体纵深、多层次防御的角度出发，引入入侵检测具有一定 的必要性。 图1 - 3 入侵检测的重要地位 瑰1 - 3i m p o r t a m ts t a t eo fi n t r u s i o nd e t e c t i o n 如图1 - 3 所示，传统的网络安全主要关注系统自身的防护和加固，这样很容易 导致系统在没有很好了解安全现状和没有很好抓住安全关键环节的前提下盲目建 设，造成资源浪费。此外，加密技术在密钥的生成、传输、分配和保存，加密算法 的安全性等方面也存在不足。漏洞扫描系统可以发现系统和网络存在的漏洞，但无 法对系统进行实时扫描。访问控制和受保护系统本身也存在着一定问题。系统可以 保证不让低级权限的用户做越权工作，但无法保证高级权限的用户做破坏工作，也 无法阻止低级权限的人通过非法行为获得高级权限 目前最常用也最主要的防火墙安全机制。虽然实现了对内外网络的防护，在解 决网络安全问题上卓有成效，但它难以管理和配置，容易造成安全漏洞。此外，它 还不能阻止因为内部入侵来源的广泛性( 企业内部心怀不满的员工、网络入侵者甚至 4 华中农业大学2 0 0 7 届硕士毕业论文 是竞争对手) 给网络安全带来的巨大威胁，难以实现对内部网络的控制。攻击者可以 窃听网络上的信息，窃取用户的口令、数据库的信息；还可以篡改数据库内容，伪 造用户身份，否认自己的签名；更有甚者可以删掉数据库的内容，摧毁网络节点， 释放计算机病毒，致使整个企业网络陷入瘫痪。 基于以上问题的解决难度，一个有效的方法就是建立比较容易实现的安全系统 入侵检测系统。只要尽可能的检测到系统遭受的攻击，采取适当处理措施，就 可以避免造成更大的损失入侵检测系统一般通过识别入侵者和入侵行为，检测、 监视已成功的安全突破，提供重要信息以对抗入侵，进而阻止入侵事件的发生和事 态的进一步扩大。从这个角度来说，入侵检测系统对于建立一个安全的网络环境来 说是非常必要的。它既可以有效弥补传统网络安全保护措施的不足，还可以尽可能 减少因不断发现的系统漏洞和不断发生的攻击造成的损失 t 3 入侵检测系统的研究现状 传统入侵检测系统多采用的层次模型，这在运用于大型网络时，由于高层节点 数量少，中央处理器处理负担大，因而巨大的通信容易在高层节点形成网络瓶颈， 难以监听网络上全部信息流。此外，传统的入侵检测系统多采用单个主机来收集和 处理数据，一旦高层节点过载甚至瘫痪，容易造成中央处理器的单点失效，整个系 统将无法得到有效保护，系统的可靠性较差。再者，由于系统的架构固定不变，难 以扩展和重新配置，难以充分利用系统的工作能力，造成了系统资源的浪费。同时， 大多数系统只能通过编辑配置文件、添加实体或安装新模块实现系统扩展，不能根 据网络的实际情况自行调整使之适应网络状态的需求( b a l a s u b r a m a n i y a ne ta 1 ， 1 9 9 8 ) ( 王晋等，2 0 0 5 ) 从1 9 8 0 年j a m e spa n d e r s o n 提出将审计记录用于识别计算机 误用开始，国外就开始着手对入侵检测系统的研究。1 9 8 5 年，美国海军资助s r i 构 建了入侵检测专家系统( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ，e s ) 入侵检测研究 中最有影响的一个系统，它第一个将统计和基于规则两种技术运用到应用系统。1 9 8 6 年，d o r o t h yed e n n i n g 发表的a ni n t r u s i o n d e t e c t i o nm o d e l ( - d e n n i n g ，1 9 8 6 ) 进行了 深入的入侵检测研究，提出了实时入侵检测专家系统的通用框架。该模型包括主体 ( s u b j e c t ) 、对象( o b j e c t ) 、审计记录( a u d i tr e c o r d ) 、简档( p r o f i l e ) 、异常记录( a n o m a l y r e c o r d ) 、活动规则( a c t i v i t yn a e ) 六个主要部分和可操作模型( o p e r a t i o n a lm o d e l ) 、 平均和标准方差模型( m e a na n ds t a n d a r dd e v i a t i o nm o d e l ) 、多变量模型( m u l t i v a r i a t e m o d e l ) 、m a r k o v 处理模型( m a r k o vp r o c e s sm o d e l ) 、时间序列模型( t i m es e r i e sm o d e l ) 五个统计模型。它是一个基于规则的模式匹配系统，独立于任何特殊系统，应用环 境、系统攻击或者入侵类型。1 9 9 0 年，t o d dlh e b e r l e i n 的an e t w o r ks e c u r i t y m o n i t o r ( h e b e r l e i ne td ，1 9 9 0 ) 文中介绍的n s m ( n e t w o r ks e c u r i t ym o n i t o r ，网络安 全监视器) 是一个面向局域网的入侵检测系统，用于分析来自以太局域网的数据以及 连接到该网的数据。它建立了一个四维空问矩阵( 源主机、目的主机、服务、连接d ) ， 矩阵中的每个单元代表从源主机到目的主机的一个连接。为了便于独立修改，该系 统采用模块化设计思想。设计五个独立的组件( 包捕获器、协议分析器、矩阵生成器、 矩阵分析器、矩阵存储器) 它首次使用网络数据包作为审计数据源，提出了基于网 络入侵检测的概念 近年来，移动a g e n t 技术在入侵检测领域得到了越来越广泛的重视。p u r d u e 大学、 i o w a 州立大学是这方面的代表相当多的理论研究论证了移动a g e n t 在入侵检测方面 的优势( p u t t i n ic ta 1 ，2 0 0 4 ) 1 9 9 4 年，p u r d u e 大学的m a r kc r o s b i e 和g e n es p a f f o r d 在 论文d e f e n d i n g ac o m p u t e rs y s t e mu s i n ga u t o n o m o u sa g e n t s ( c r o s b i ea n d s p a f f o r d ，1 9 9 4 ) 5 1 绪论 中首次提出将轻量级的独立自治a g e n t ( a u t o n o m o u sa g e n t ) 应用于入侵检测系统，识 别入侵行为。用以提高入侵检测系统的适应性、扩展性、维护性及灵活性。这标志 着移动a g e n t 技术在入侵检测方面应用的开始。1 9 9 9 t 9 1 0 月，w a y n ej a n s e n 等人在n i s t 报告中发表了a p p l y i n gm 0 b f i ea g e n t st oi n t r u s i o nd e t e c t i o na n dr e s p o n s e 文， ( j a n s e nc la 1 ，1 9 9 9 ) 概要介绍了一些基于a g e n t 的入侵检测系统，如a a f i d 、 h u m m i n g b i r d 、j a m 、a t i r p 、妇p a 等。详细定义了入侵检测系统的功能及性能需求， 列举了入侵检测系统中存在的问题和解决思路。这样在九十年代才开始有了一些针 对具体入侵行为或具体入侵过程进行的入侵检铡研究，开发出相应的系统目前国 外提出的基于移动a g 曲t 的入侵检测系统中具有代表性的是： p u r d u e 大学开发的a a h d ( a u t o n o m o u s a g e n t s f o r i n t r u s i o n d e t e c t i o n ，自治代理 入侵检测系统) ( s p a f f o r da n dz a m b o n i ，2 0 ) 采用 a g e n t 分层控制和报告的层次结 构，包括四类基本组件：a g e n t 、过滤器( f i l t e r ) 、转发器( t r a n s c e i v e r ) 和监视器 ( m o n i t o r ) 。每台主机可以拥有多个用以监视主机上事件的a g e n t 。驻留在主机上的所 有a g e n t 向转发器报告。转发器作为中间节点监视控制a g e n t 的运行和操作，包括启动、 停止a g c n l 以及向a g c n t 发送配置命令。转发器将结果向监视器报告，每个监视器监视 多个转发器的操作。过滤器负责对获缛的数据进行选择和提取。该系统的最大特点 是a g e n t 的独立性和自治性为系统提供了良好的扩展能力。同时，该体系结构允许冗 余，一个监视器失效不危及整个系统的操作此外，a g e n t 之间不能直接通信，它们 将消息发送给转发器，由它来决定如何处理a g e n t 的配置信息。 v i e n n a 大学的s p a r t a 系统( s e c u r i t yp o l i c ya d a p t a t i o nr e i n f o r c e dt h r o u g h a g e n t s ) ( k r u g e le ta 1 ，2 0 0 1 ) 是一个将移动a g e n t 技术运用到异质网络环境下，通过 识别并关联在网络中不同主机事件，用以检测是否有违反安全策略的行为发生的系 统。每台主机上需要最小化安装一个本地事件产生器、一个存储组件和一个移动 a g e n t 平台。为便于阐述算法的设计和系统的问题，设计了一种攻击模式语言( a t t a c k p a u e ml a n g u a g e ) 。它同传统的移动所有信息到中央节点进行集中分析处理的方法不 同，它收集某一事件的统计数据( 如属性值的极值或总数) ，利用移动a g e n t 技术来 进行事件数据的关联分析，增强了系统容错和升级的能力( k m g e la n d t o t h ，2 0 0 1 ， 美国i o w a 州立大学开发的m a i d s ( m o b i l ea g e n ti n t r u s i o nd e t e c t i o ns y s t e m ) ( s l a g e l l , 2 0 0 1 ) 是一个基于移动a g e n t 技术的分布式入侵检测系统。它运用带有根和 叶子节点的软件故障树( s o f t w a r ef a u l tt r e e ，s f r ) 来为系统的入侵行为建模，用有 色p e t r i 网( c o l o r e dp e t r in e t ，c p n ) 技术建立了独立的a g e n t ) l 侵检