（农业机械化工程专业论文）基于移动agent和遗传算法的入侵检测系统的研究.pdf

牛中农业人学2 0 0 8 扁硕i ：毕业论文 摘要 随着计算机网络技术的飞速发展和广泛应用，网络入侵造成的安全问题同益成 为人们关注的焦点。传统的被动防御措施，如防火墙技术、数据加密等传统网络安 全技术已不能很好地满足目i ； 网络安全的需求。入侵检测是近几年来出现的新型网 络安全技术。它有效弥补了传统网络安全技术的不足，为网络安全提供了实时的入 侵检测和相应的防护手段。 近几年来，关于入侵检测技术的研究发展很快，从早期的集中式入侵检测系统 发展到现在的分布式入侵检测系统。但随着网络规模的扩大，新的攻击方法层出不 穷，入侵检测技术还面临很多问题和不足。传统的数据处理技术处理能力有限，检 测效率低下，在需要处理的数据量呈指数级增长的情况下，难以完成检测任务，识 别未知攻击。 利用移动a g e n t 技术和遗传算法来解决入侵检测的相关问题，可以提高系统的 效率，可以使系统既可以对已知攻击有较好的识别能力，又具有检测未知攻击的能 力。本文分析了现有入侵检测技术的不足，参考了国内外相关研究项目的方法和设 计思路，结合移动a g e n t 技术和遗传算法的特性，将两者的优势引入网络入侵检测 系统的设计中，提出了一个基于移动a g e n t 和遗传算法的入侵检测系统模型 m a d i d s ，并做了深入研究。 本文所做主要工作如下： 首先简要介绍了入侵检测的必要性和入侵检测系统的研究现状；接着描述了当 前入侵检测系统所采用的通用检测技术，给出了入侵检测系统的定义和分类，以及 入侵检测系统的体系结构。 其次介绍了移动a g e n t 技术的相关概念，以及遗传算法的相关原理。提出了分 布式入侵检测系统模型m a d i d s ，并将遗传算法应用于模型中。重点分析了如何利 用遗传算法进行入侵检测，这是本文的难点和创新点。 最后开发了原型系统。利用林肯试验室训练数据得出了入侵检测系统的阈值。 在局域网环境下，模拟一些典型入侵行为，仿真完成入侵检测系统的检测任务。实 验结果表明该模型较原有模型具有更好的适应性，效率得到很大提高，而且能检测 到未知攻击。 本文创新部分： 系统对于网络性能要求较低，采用主从式分布式数据库，可以避免单点故障问 题。系统具有平台独立性、可扩展性强和可检测未知攻击等优点。遗传训练算法中 检测攻击部分采用i p 包中数据计算，计算方便、可靠。 关键词：入侵检测；移动a g e n t ；a g l e t s ；遗传算法 华中农业人学2 0 0 8 届硕l ：毕业论文 a b s t r a c t w i t ht h ec o m p u t e rn e t w o r kt e c h n o l o g yr a p i dd e v e l o p m e n ta n dt h ew i d e s p r e a d a p p l i c a t i o n ，t h es e c u r i t yp r o b l e mw h i c ht h en e t w o r ki n t r u s i o nc r e a t e si sb e c o m i n gt h e f o c a lp o i n td a yb yd a yw h i c ht h ep e o p l ep a ya t t e n t i o n 1 1 h et r a d i t i o n a lp a s s i v ed e f e n s e m e a s u r e , l i k et h ef i r e w a l lt e c h n o l o g y , t h ed a t ae n c r y p t i o na n ds o0 1 1 ，c a n tf u l f i l lt h en e e d o fp r e s e n tn e t w o r ks e c u r i t y i n t r u s i o nd e t e c t i o ni st h en e wn e t w o r ks e c u r i t yt e c h n o l o g y w h i c hc o m e sf o r t hw i t h i nt h el a s ts e v e r a ly e a r s i tm a k e su pt h ed i s a d v a n t a g et h a tt h e c o n v e n t i o n a ln e t w o r ks e c u r i t yt e c h n o l o g i e sr e f l e c to na n ds u p p l i e st h er e a l t i m ei n t r u s i o n d e t e c t i o na n dc o r r e s p o n d i n gp r o t e c t i o n i nt h el a s tf e wy e a r s ，f r o m e a r l yc e n t r a li d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) d e v e l o p m e n tt op r e s e n td i s t r i b u t e di d s ，t h er e s e a r c hd e v e l o p m e n ti sv e r yq u i c ka b o u tt h e i n t r u s i o nd e t e c t i o nt e c h n o l o g y b u ta l o n gw i m u n c e a s i n g e x p a n s i o no fn e t w o r ks c a l e , t h e n e wm e t h o do fa r a c ke m e r g e so n ea f t e ra n o t h e ri n c e s s a n t l y , t h ei d sa l s of a c e sm a n y q u e s t i o n sa n dt h ei n s u f f i c i e n c y i nt h ec o n d i t i o no fe x p o n e n t i a li n c r e a s i n gd a t ah a n d l e db y i d s ，i t sh a r df o rt h ec o n v e n t i o n a lp r o c e s s i n gd a t at e c h n i q u et oc o m p l e t et h ed e t e c t i o n t a s ka n dd i s t i n g u i s ht h eu n k n o w ni n t r u s i o n sb e c a u s eo ft h el i m i t e dp r o c e s s i n gd a t a c a p a c i t ya n dl o w e rd e t e c t i o ne f f i c i e n c y i fw eu t i l i z et h em o b i l ea g e n tt e c h n o l o g ya n dg e n e t i ca l g o r i t h m st os o l v et h e p r o b l e m so nt h ei n t r u s i o nd e t e c t i o n , i tc a ni m p r o v es y s t e me f f i c i e n c ya n di tw i l le n d o w i d sw i t hg o o dr e c o g n i z i n ga b i l i t yt ot h eu n k n o w na t t a c k sa sw e l la st ot h ek n o w no n e s 1 1 1 el a c ko fi n t r u s i o nd e t e c t i o nt e c h n o l o g yt h a te x i s th a sb e e na n a l y z e d m a k i n gr e f e r e n c e t ot h em e t h o d sa n dd e s i g n so ft h ec o r r e l a t i v er e s e a r c hp r o j e c t si na n da b r o a d ，t h en e t w o r k i n t r u s i o n d e t e c t i o nm o d e lb a s e do nt h em o b i l ea g e n tt e c h n o l o g ya n dg e n e t i ca l g o r i t h m s , c a l l e dm a d i d s ( m o b i l ea g e n td i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ) ，h a sb e e n p r e s e n t e da n dd o e sam o r ei n - d e p t hs t u d yt oi t t l l et w ot e c h n o l o g i e s 9 0 0 dc h a r a c t e r i s t i c s a r ei n t r o d u c e di nt h em o d e l t h em a i nw o r k so ft h i sp a p e ra r ea sf o l l o w i n g s ： f i r s to fa l lt h i sp a p e rb r i e f l yi n t r o d u c e so nt h en e e df o ri d sa n dt h ec u r r e n ts i t u a t i o n o fi d s ，a n dt h e nd e l i n e a t i o nt h ec u r r e n ti d st e c h n o l o g y n ei d s s d e f i n i t i o n , c l a s s i f i c a t i o na n ds y s t e ma r c h i t e c t u r ea r et h e np u tf o r w o r d s e c o n d ，t h i sp a p e ri n t r o d u c e st h er e l a t e dc o n c e p t so fm o b i l ea g e n ta n dt h er e l e v a n t p r i n c i p l e so fg e n e t i ca l g o r i t h m s n ei d sm o d e lc a l l e dm a d i d sh a sb e e np r o p o s e d ， a n dg e n e t i ca l g o r i t h m si su s e di nt h em o d e l f o c u s e so nt h ea n a l y s i so fh o wt ou s e i i 华中农业人学2 0 0 8 扁硕l ：毕业论文 g e n e t i ca l g o r i t h m si nt h ei d s ，t h i si st h ed i f f i c u l t i e sa n di n n o v a t i o n si nt h i sp a p e r t h ed e v e l o p m e n to fp r o t o t y p es y s t e mh a sb e e nf i n i s h e da n dt h et h r e s h o l do f i n t r u s i o n d e t e c t i o ns y s t e mh a sb e e no b t a i n e db yu s i n gt r a i n i n gd a t af r o mt h el i n c o l nl a b i nt h es i t u a t i o no fl a n ，w es i m u l a t e ds o m et y p i c a li n t r u s i o nb e h a v i o ra n dd e t e c t i o nt a s k o fi n t r u s i o nd e t e c t i o ns y s t e m t h ee x p e r i m e n t a lr e s u l ti n d i c a t e st h a tt h em o d e li sm o r e a d a p t a b i l i t ya n dh i g h e re f f i c i e n c yt h a no r i g i n a lo n e ，b e s i d e s ，i tc a nd e t e c tt h eu n k n o w n a t t a c k s t h ei n n o v a t i o no ft h i sp a p e r ： t h ed e m a n df o r t h es y s t e mn e t w o r kp e r f o r m a n c ei sc o m p a r e l yl o w i tm a i n l ya p p l i e s m a s t e r - s l a v ed a t a b a s e , a n dt h i sc a na v o i ds i n g l ep o i n tf a i l u r e t h es y s t e mp o s s e s s e st h e f o l l o w i n ga d v a n t a g e s ：w o r k b e n c hi n d e p e n d e n c e , s t r o n gs c a l a b i l i t ya n da b l et oc h e c kt h e u l l h o w na t t a c k t h ep a r to f c h e c k i n ga t t a c ki ng e n e t i ct r a i n i n ga l g o r i t h m sa p p l i e si p p a c k e t sd a t a , t h ec a l c u l a t ei sc o m v e n i e n ta n dr e l i a b l e k e yw o r d s ：i n t r u s i o nd e t e c t i o n ；t h em o b i l ea g e n t ；a g l e t s ；g e n e t i ca l g o r i t h m s i ! i 华中农业人学2 0 0 8 届硕i ：毕业论文 a c k a c l a p i a t c i 峨p b p f c i d f c n c e i u r c c c p u f i n g a h t t p l c m p i d s i p j d k m a d i d s m a e m y s q l p h p r s t s a s e q s q l s y n t c p u d p u r l 缩略语表 i v 确认 a g e n t 通信语言 应用程序编程接口 a g e n t 传输通信接口 a g e n t 传输协议 伯克利包过滤器 公共入侵检测框架 国家计算机网络应急技术处理协调中心 中央处理器 结束 遗传算法 超文本传输协议 网际控制报文协议 入侵检测系统 网际协议 j a v a 开发工具包 基于移动a g e n t 的分布式入侵检测系统 移动a g e n t 环境 中小型免费数据库 超文本预处理器 复位 静态a g e n t 序列 结构化查询语言 同步 传输控制协议 用户数据报协议 统一资源定位符 华中农业大学学位论文独创性声明及使用授权书 学位论文 危 如需保密，解密时间年月日 是否保密 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成 果尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发 表或撰写过的研究成果，也不包含为获得华中农业大学或其他教育机构的学位或证书 而使用过的材料，指导教师对此进行了审定与我一同工作的同志对本研究所做的任 何贡献均已在论文中做了明确的说明，并表示了谢意 研究生始尔仫屯 帆磁年g 月z , 日 学位论文使用授权书 本人完全了解华中农业大学关于保存使用学位论文的规定，即学生必须按照学 校要求提交学位论文的印刷本和电子版本；学校有权保存提交论文的印刷版和电子版， 并提供目录检索和阅览服务，可以采用影印、缩印或扫描等复制手段保存、汇编学位 论文。本人同意华中农业大学可以用不同方式在不同媒体上发表、传播学位论文的全 部或部分内容，并授权中国科学技术信息研究所和北京万方数据股份有限公司将本人 学位论文收录到( ( 中国学位论文全文数据库，并进行信息服务( 包括但不限于汇编、 复制、发行、信息网络传播等) ，同时本人保留在其他媒体发表论文的权力 注：保密学位论文( 即涉及技术秘密、商业秘密或申请专利等潜在需要提交保密的论 文) 在解密后适用于本授权书 学位论文作者始杆舷也翩执7 铲叶k 签名日期：矽寥年月1 签名日期：纱力年6 月i 卯 注：请将本表直接装订在学位论文的扉页和目录之间 华中农业人学2 0 0 8 届硕# 业论文 1 绪论 1 1 网络安全概述 1 1 1 网络安全的现状 计算机网络安全不仅对每个人都有现实意义，而且对一个国家的政治、经济和 国防安全也十分重要。随着现有网络环境的日益复杂以及攻击者手段的日益高明， 网络安全面临的威胁也越来越大。可以这样说，i n t e r n e v i n t r a n e t 技术的日趋成熟和快 速发展在给我们带来便利通信的同时，也带来了来自网络的威胁。这是由于i n t e r n e t 所依赖的t c p i p 协议族设计之初安全性方面考虑的不足导致难以适应安全网络、可 靠服务质量和低带宽等方面的需求。此外，根据国内外大量的调查统计表明，人为 或自然灾害所造成的计算机信息系统的损失中，管理不善所占的比列高达7 0 以上。 再者，软件开发过程中由于人为的疏忽或设计的缺陷，在设计规模的扩大的条件下 存在难以避免的不完备性将暴露得更加明显，如现在广泛使用的操作系统本身就存 在着不安全、不可修补的漏洞，这就使得黑客可以利用漏洞来进行进一步攻击。 根据美国防务新闻2 0 0 3 年5 月1 2 日的报告，2 0 0 2 年入侵国防部网络的企图约 发生4 5 0 0 0 次，国防部网络安全事故为1 8 9 0 次，美国商务和学术界网络信息安全事故 为8 2 0 9 4 次，预计2 0 0 3 年全年将达到1 8 万次以上。我国近年来计算机犯罪数量也以 3 0 以上的速度在增长，据有关部门统计，国内9 0 以上的电子商务网站存在严重 的安全漏洞，网络的安全问题正面临着日益严重的威胁( 李涛，2 0 0 4 ) 。 就我国而言，据国家计算机网络应急技术处理协调中一 二, ( c n c e r t c c ) 监测发 现，2 0 0 7 年我国大陆地区被植入木马的主机i p 数量增长惊人，是2 0 0 6 年的2 2 倍。感 染僵尸程序的境内外主机数达6 2 3 万个，其中我国大陆有3 6 2 万个i p 地址的主机被植 入僵尸程序，并有l 万多个境外控制服务器对我国大陆地区的主机进行控制。 c n c e r t c c 监测到发现中国大陆被篡改网站的数量近年来增长迅猛。2 0 0 7 年， c n c e r t c c 监测到中国大陆被篡改网站总数累积达6 1 2 2 8 个，比2 0 0 6 年增加了1 5 倍。2 0 0 3 年至2 0 0 7 年中国大陆网页被篡改情况年度统计如图1 1 所示( 2 0 0 7 年网络 安全工作报告，2 0 0 7 ) 。 图l - l2 0 0 3 年至2 0 0 7 年中国大陆网页被篡改情况年份统计 f i g 1 1s t a t i s t i co fy e a r sw h e nt h ew e bp a g e sa r ej u g g l e di nc h i n af r o m2 0 0 3t o2 0 0 7 从以上数据我们不难看出，随着网络安全事件的急剧增加，网络安全j 下逐渐成 为i n t e r n e t 及各项网络服务和应用的进一步发展所需解决的关键问题。信息与信息系 统的安全管理，也已经成为社会公共安全工作的重要组成部分。 华中农业人学2 0 0 8 届硕i 二毕业论文 1 1 2 网络安全的目标 网络安全目标主要涉及身份真实性、信息机密性、可审查性等八个方面的内容。 ( 1 ) 身份真实性对通信实体身份的真实性进行鉴别； ( 2 ) 信息机密性保证机密信息不会泄漏给非授权的人或实体，防止数据不受非 授权操作的破坏； ( 3 ) 信息完整性保证数据的致性和系统的完整性。防止非授权的人或实体对 数据进行建立、修改和破坏，非授权操作不能修改数据和操纵系统，保证系统的正 常运行； ( 4 ) 服务可用性防止合法用户对信息和资源的使用被不正当拒绝； ( 5 ) 不可否认性建立有效的责任机制，防止实体否认其行为； ( 6 ) 系统可控性能够控制使用资源的人或实体的使用方式； ( 7 ) 系统易用性在满足安全要求的条件下，系统应操作简单、维护方便； ( 8 ) 可审查性对出现的网络安全问题提供调查的依据和手段( 陈明，2 0 0 4 ) 。 1 1 3 动态网络安全模型叫2 d r 随着技术的不断发展，为了达到网络安全的目标，提出了p 2 d r 动态网络安全理 论模型。它的基本思想是以安全策略为核心，通过一致的检测、流量统计、异常分 析、模式匹配以及应用、目标、主机、网络入侵检查等方法进行安全漏洞检测，当 发现系统有异常情况发生时，根据系统安全策略做出快速响应。从而完成系统从静 态防护向动态防护的转化，达到保护系统安全的目的。 测d e t e c t i o n 图1 2 动态网络安全模型 f i g 1 - 2s e c u r i t ym o d e lo fd y n a m i cn e t w o r k 具体而言，p 2 d r 模型的内容包括( 如图1 2 所示) ： ( 1 ) 策略 它是p 2 d r 模型的核心内容。在具体实施过程中，策略规定了系统所要达到的 安全目标和为达到目标所采取的各种具体安全措施及实施强度等。安全措施的实施 必然会影响到系统运行的性能，以及牺牲用户操作的舒适度，因此安全策略必须按 需制定。 ( 2 ) 防护 它具体包括制定安全管理规则、进行系统安全配置以及安装各种安全防护设备， 如防火墙、v p n 设备等。 ( 3 ) 检测 在采取各种安全措施后，它根据系统运行情况的变化，对系统安全状态进行实 2 华中农业人学2 0 0 8 届硕i ：毕业论文 时的动态监控。 ( 4 ) 响应 一旦发现入侵活动或入侵结果，就需要系统做出及时的反应并采取措施，其中 包括：记录入侵行为、通知管理员、阻断进一步的入侵活动以及恢复系统正常运行 等( 唐正军和李建华，2 0 0 4 ) 。 这是一种动态的、安全性高的网络。防护、检测和响应组成了一个完整的、动 态的安全循环，在安全策略的指导下保证了信息系统的安全( 罗守山，2 0 0 4 ) 。 1 2 入侵检测的必要性 目前，对付破坏系统企图的理想方法是建立一个完全安全系统。但这样不仅要 求所有的用户能识别和认证自己，还要求用户采用各种各样的加密技术和强访问控 制策略来保护数据。而从实际上看，这一点是很难做到的。 一个实用的方法是建立比较容易实现的安全系统，同时按照一定的安全策略建 立相应的安全辅助系统，i d s 就是这样一类系统。现在，安全软件的开发方式基本 上就是按照这个思路进行的。就目前系统安全状况而言，系统存在被攻击的可能性。 如果系统遭到攻击，只要尽可能地检测到，甚至是实时地检测到，然后采取适当的 处理措施，就可以避免造成更大的损失。 过去，防范网络攻击最常用的方法是使用防火墙。为了更好地说明入侵检测的 必要性，我们要对入侵检测与防火墙的关系稍作介绍。很多人认为只要安装一个防 火墙就可保障网路的安全，实际上这是一个误解，仅仅使用防火墙保障网路安全是 远远不够的。首先，防火墙本身会有各种漏洞和后门，有可能被外部黑客攻破；其 次，防火墙不能阻止内部攻击，对内部入侵者来说毫无作用；再者，由于性能的限 制，防火墙通常不能提供实时的入侵检测能力；最后，有些外部访问可以绕开防火 墙。例如，内部用户通过调制解调器拨号上网就把内部网路连到了外部网路，而这 一连接并没有通过防火墙，防火墙对此没有监控能力。防火墙与入侵监测系统的关 系如图1 3 所示( 薛静锋等，2 0 0 4 ) 。 图1 3 入侵检测的重要地位 f i g 1 - 3i m p o r t a n ts t a t eo fi n t r u s i o n d e t e c t i o n 因此，仅仅依赖防火墙系统并不能保证足够的安全。而入侵检测系统可以弥补 防火墙的不足，为网路提供实时的入侵检测并采取相应的防护手段，如记录证据用 于跟踪入侵者和灾难恢复、发出警报，甚至终止进程、断丌网络连接等等。入侵检 测系统可以看做是防火墙之后的第二道安全闸门，是防火墙的重要补充，它在不影 华中农业人学2 0 0 8 届硕 ：毕业论文 响网路性能的情况下能对网路进行监测，从而提供对内部攻击、外部攻击和误操作 的实时检测。 入侵监测系统一般不是以采取预防的措施来防止入侵事件的发生，入侵检测作 为安全技术，其主要目的在于：第一，识别入侵者；第二，识别入侵行为：第三， 检测和监视已成功的安全突破：第四，为对抗入侵及时提供重要信息，阻止事件的 发生和事态的扩大。从这个角度看安全问题，入侵检测对于建立一个安全系统来说 是非常必要的，它可弥补传统安全措施的不足( 罗守山，2 0 0 4 ) 。 1 3 入侵检测系统的研究现状 入侵监测技术自2 0 世纪8 0 年代早期提出以来，经过2 0 多年的不断发展，从最初 的一种有价值的研究想法和单纯的理论模型，迅速发展出种类繁多的各种实际原型 系统，并且在近l o 年内涌现出许多商用入侵检测系统产品，成为计算机安全防护领 域内不可缺少的一种重要的安全防护技术。 1 9 8 0 年，a n d e r s o n 在其完成的一份技术报告中提出了改进安全审计系统的建议， 以便用于监测计算机用户的非授权活动，同时，提出了基本的检测思路。 1 9 8 4 年至1 9 8 6 年，乔治敦大学的d o r o t h yd e n n i n g a 壬t l s r f c s l ( s r i 公司计算机科学 实验室) 的p e t e rn e t m a a n n 联合开发了一个实时入侵检测系统，取名为i d e s ( i n t r u s i o n d e t e c t i o ne x p e r ts y s t e m ，入侵检测专家系统) ，它提出了异常活动和计算机不正当使用 之间的相关性。d e n n i n g 于1 9 8 7 年发表的论文“入侵检测模型( a ni n t r u s i o nd e t e c t i o n m o d e l ) ”( d o r o t h y ，1 9 8 7 ) 被公认为是入侵检测领域的另一篇开山之作，这个模型的意义 在于它是一般化的模型定义，与具体系统和具体输入无关。基本模型中的各个部件都 可根据实际系统的设计要求，加以具体实现，同时可以加以细化和进一步扩展。 d e n n i n g 的模型在有划时代意义的i d e s 原型系统中实现，i d e s 原型采用的是一个混合 结构，包括了一个统计分析组件和专家系统组件，同时实现了基于统计分析的异常检 测技术和基于规则的误用检测技术。 a n d e r s o n 的i d e s 的工作和报告导致了随后几年内的一系列系统原型的研究。 h a y s t a c k 是由s t e v es m a h a 主持，为美国空军密码支持中心开发的系统，用于美国空 军内部网络的安全检测。h a y s t a c k 采用两种不同的统计分析检测技术，检测系统的 异常行为。 m i d a s 由美国国家计算机安全中心f n c s c ) 为监视d o c k m a s t e r 系统而开发，于 1 9 8 9 年投入运行，m i d a s 是第一个监控与互联网连接的操作系统的入侵检测系统。 m i d a s 也是采用混合分析策略，把基于统计的异常检测和基于规则的专家系统方法 结合。 n a d i r 是由k a t h l e e nj a c k s o n 设计、l o sa l a m o s 国家实验室计算部门开发的，用 于监视l o sa l a m o s 的综合计算网络的用户活动。n a d i r 监视由专门的网络服务节点 产生的审计踪迹数据，由基于规则的专家分析和基于统计的特征轮廓两部分组成。 n a d i r 是8 0 年代最成功和最持久的i d s 之一。 1 9 9 0 年，加利福尼亚大学d a v i s 分校的l t h e b e r l e i n 等人开发出t n s m ( 网络监视 器) ，这是第一次把网络数据包作为入侵检测的主要数据源。n s m 截获网络数据包， 可用于监控异构网络环境下的异常活动。n s m 在入侵检测研究史上是一个具有重要 意义的罩程碑，它把入侵检测系统扩展到异构网络环境中。 由于i n t e r n e t 的发展及通信和计算带宽的增加，系统的互联性己经有了显著提高， 1 9 8 8 年发生的莫早斯蠕虫事件，使得人们对计算机安全的关注达到了前所未有的程 度，网络安全引起军方、学术界和企业的高度重视。d i d s ( 分布式入侵检测系统) 的 4 华中农业人学2 0 0 8 届硕i ：毕业论文 丌发是一个大规模的合作开发，由美国空军密码支持中心、l a w r e n c el i v e r m o r 国家 实验室、加利福尼亚大学的d a v i s 分校和h a y s t a c k 实验室参与，d i d s 首次尝试将主机 入侵检测和网络入侵检测集成，它采用中央控制台来解决关联处理和用户接口问题。 d i d s 可以在大型互联网中跟踪网络用户和文件，它是第一个具有这种能力的入侵检 测系统。d i d s 还可以从发生在系统不同的抽象层次的事件中发现相关数据或事件， d i d s 用一个6 层的入侵检测模型抽取数据相关性，每层代表了对数据的一次变换结 果。 1 9 9 4 年，s r i 开发出i d e s 系统的后继版本n i d e s f n e x t g e n e r a t i o ni n t r u s i o n d e t e c t i o ne x p e r ts y s t e m ) 系统，后者在系统整体结构设计和统计分析算法上有了较大 改进。进一步，s r i 开发了用于分布式环境的e m e r a l d ( e v e n tm o n i t o r i n ge n a b l i n g r e s p o n s e st oa n o m a l o u sl i v ed i s t u r b a n c e s ) 系统，该系统采用分布式和区域方法进行 大型网络环境下的网络监测、攻击隔离和自动响应，它明确将分布式检测架构进行 层次化的处理，并实现了不同层次上的分析单元，同时提供了开放的a p i 接口实现基 本架构下的组件互换功能。e m e r a l d 采用规则分析和统计相结合的检测方法，对 网络服务提供实时检测和保护。 1 9 9 9 年，l o sa l a m o s 的v p a x s o n 开发了b r o 系统，用于高速网络环境下的入侵检 测，b r o 系统在设计上考虑了鲁棒性、安全性，并且处理了许多反规避的技术问题。 1 9 9 9 年加利福尼亚大学d a v i s 分校发布t g r i d s ( g r a p h b a s e di n t r u s i o nd e t e c t i o n s y s t e m ) 系统，该系统试图为入侵检测技术扩展到大型网络环境提供一个实际的解决 方案。g r i d s 的主要设计目标是能够检测到网络环境下大规模的攻击行为，如：s w e e p 攻击、蠕虫攻击、跨域的协同式攻击等，g r i d s 也是采用基于层次化的处理架构， 各级网络和主机的活动都以一种设计的图表格式加以描述，然后采用基于规则的图 表处理引擎加以合并处理。 近年来，移动a g e n t 技术在入侵检测领域得到了越来越广泛的重视。p u r d u e 大学、 i o w a 州立大学是这方面的代表。相当多的理论研究论证了移动a g e n t 在入侵检测方面 的优势( p u t t i n ie ta 1 ，2 0 0 4 ) 。1 9 9 4 年，p u r d u e 大学的m a r kc r o s b i e 和g e n es p a f f o r d 在 论文d e f e n d i n g ac o m p u t e rs y s t e mu s i n ga u t o n o m o u sa g e n t s ( c r o s b i ea n d s p a f f o r d ，19 9 4 ) 中首次提出将轻量级的独立自治a g e n t ( a u t o n o m o u sa g e n t ) 应用于入侵检测系统，识别 入侵行为。用以提高入侵检测系统的适应性、扩展性、维护性及灵活性。这标志着 移动a g e n t 技术在入侵检测方面应用的开始。1 9 9 9 年1 0 月，w a y n ej a n s e n 等人在n i s t 报告中发表了a p p l y i n gm o b i l ea g e n t st oi n t r u s i o nd e t e c t i o na n dr e s p o n s e 文， ( j a n s e ne ta 1 ，1 9 9 9 ) 概要介绍了一些基于a g e n t 的入侵检测系统，如a a f i d 、 h u m m i n g b i r d 、j a m 、a t i r p 、i p a 等。详细定义了入侵检测系统的功能及性能需求， 列举了入侵检测系统中存在的问题和解决思路。这样在九十年代才开始有了一些针 对具体入侵行为或具体入侵过程进行的入侵检测研究，开发出相应的系统。目前国 外提出的基于移动a g e n t 的a 侵检测系统中具有代表性的是： p u r d u e 大学开发的a a f i d ( a m o n o m o u sa g e n t sf o ri n t r u s i o nd e t e c t i o n ，自治代理 入侵检测系统) ( s p a f f o r da n dz a m b o n i ，2 0 0 0 ) 采用了a g e n t 分层控制和报告的层次结 构，包括四类基本组件：a g e n t 、过滤器( f i l t e r ) 、转发器( t r a n s c e i v e r ) 和监视器( m o n i t o r ) 。 每台主机可以拥有多个用以监视主机上事件的a g e n t 。驻留在主机上的所有a g e n t l 甸转 发器报告。转发器作为中问节点监视控$ l j a g e n t 的运行和操作，包括启动、停止a g e n t 以及向a g e n t 发送配置命令。转发器将结果向监视器报告，每个监视器监视多个转发 器的操作。过滤器负责对获得的数据进行选择和提取。该系统的最大特点是a g e n t 的 独立性和自治性为系统提供了良好的扩展能力。同时，该体系结构允许冗余，一个 华中农业人学2 0 0 8 届硕i j 毕业论文 监视器失效不危及整个系统的操作。此外，a g e n t 之间不能直接通信，它们将消息发 送给转发器，由它来决定如何处理a g e n t 的配置信息。 美国i o w a j - h 立大学开发的m a i d s ( m o b i l ea g e n ti n t r u s i o nd e t e c t i o ns y s t e m ) f s l a g e l l ，2 0 0 1 ) 是一个基于移动a g e n t 技术的分布式入侵检测系统。它运用带有根和叶 子节点的软件故障树( s o t t w a r ef a u l tt r e e ，s f t ) 来为系统的入侵行为建模，用有色 p e t r i 网( c o l o r e dp e t r in e t ，c p n ) 技术建立了独立的a g e n t 入侵检测系统模型。根节点 表示失败的情况( 也就是一个成功的攻击) ，叶子节点表示一些基本事件，用边的布 尔表达式描述相互之间的关系。该系统提供了一个实现移动a g e n t 网络的有色p e t r i 网 体系结构。 在这之后，出现了许多著名的商用入侵检测系统。如i s s 公司的r e a l s e c u r e 、c i s c o 公司的n e t r a n g e r 以及n e t w o r ka s s o c i a t e s 公司的c y b e t c o p 等等都是基于网络的入侵 检测系统，n a 公司的c y b e rc o pm o n i t o r 以及c y b e r c o ps t i n g 是基于主机的入侵检测 产品。由此可见，国外的入侵检测产品已经比较成熟。 与国外相比，国内在这方面的起步较晚，相关领域的研究工作才刚刚起步，只 有少数的网络入侵检测软件问世，主流产品有： 华为3 c o m 的q u i d w a ys e c e n g i n ed 2 0 0 入侵检测系统。通过对网络流量进行监听 分析，d 2 0 0 可以对流经被保护网络的流量进行基于状态的内容特征匹配、协议跟踪 分析、流量异常探测三种技术的综合检测，同时，通过联动接口，d 2 0 0 可以通知交 换机、路由器、防火墙对网络攻击进行阻断，从而达到整体防御的目的。 联想的网御入侵检测系统。网御入侵检测系统采用分布式入侵检测系统构架， 综合使用模式匹配、协议分析、异常检测、重点监视、内容恢复、网络审计等入侵 分析与检测技术，全面监视和分析网络的通信状态，提供实时的入侵监控及相应的 防护手段，为网络创造全面纵深的安全防御体系。对检测出的违反安全策略的事件， 提供多种报警模式，并实现了与多种安全设备联动。 启明星辰的天闻入侵检测与管理系统。天闻入侵检测与管理系统利用全面流量 监测发现异常，结合地理信息显示入侵事件的定位状况，应用入侵和漏洞之间具有 的对应关联关系，给出入侵威胁和资产脆弱性之间的风险分析结果，从而有效地管 理安全事件并进行及时处理和响应。 绿盟科技的“冰之眼”入侵检测系统。“冰之眼”入侵检测系统1 2 0 0 系列具有 1 0 0 0 m 网络上6 4 b y t e ( t c ps y n ) 线速处理能力，是世界上x 8 6 体系唯一达到2 g b 线速的 n i d s 。其高速处理能力得益于先进的引擎架构：以协议解码为基础，配合以协议异常、 协议识别和攻击结果检测技术。 东软的n e t e y ei d s 入侵检测系统。n e t e y ei d s 入侵检测系统可对自身的数据库 进行自动维护和备份，不需要用户的干预：同时具备完整的多用户分权管理，支持多 级分布式管理，便于大规模部署，并可与防火墙联动，自动配置防火墙策略，组成 完整的网络安全解决方案。 现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法，这些方法 常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用 的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展， 使设计的入侵检测系统的防范能力不断增强，具有更广泛的应用前景。智能化方面 较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检 测软件或模块的结合使用。在这方面做得比较好的研究机构有斯坦福研究所( s r i ) ， 其所研究的下一代实时入侵检测专家系统使用统计的方法来统计特征变量的频度、 均值以及偏差等统计量来描述系统的正常状态。智能技术在入侵检测系统产品中的 6 华中农业人学2 0 0 8 届硕j ：毕业论文 应用还不广泛，主要有一些专家系统方面的应用，而智能化的检测方法还不多见。 由上可知，现有的基于移动a g e n t 的入侵检测系统研究多停留在防火墙中集成较 为初级的入侵检测模块阶段。此外，大部分系统是基于规则库的，只有少数系统具 有智能检测能力，检验率较低但网速要求较高。再者，真正将移动a g e n t 与入侵检测 结合起来的并不多，多数情况是分派数据收集a g e n t 采集数据。可以这样说，大部分 系统主要是针对a g e n t 的自主性研究，在