（通信与信息系统专业论文）基于移动代理技术的入侵检测系统研究与实现.pdf

重庆邮电大学硕士论文摘要 摘要 随着计算机和网络技术的普及和应用，网络安全变得越来越重要。入侵检测 是计算机安全体系结构中非常重要的组成部分，它是一种通过检测分析系统或网 络审计数据来发现入侵行为并采取保护措施的一种技术。入侵检测系统可以检测 到多种恶意的网络流量攻击和计算机非法使用行为。从而弥补了传统防火墙的不 足。然而随着网络环境的日益复杂，新的攻击方法不断出现，传统的入侵检测系 统已经缺乏一定的有效性、适应性和可扩展性。为了克服这些缺点，本文将移动 代理( m o b i l e a g e n t ) 技术引入到入侵检测系统中，提出了基于移动代理的分布式 入侵检测系统。该系统将轻量级入侵检测系统s n o r t 与i e i m 的的a g l c t 移动代理平 台相结合，由代理协作完成检测任务，从而提高检测系统的有效性和灵活性。 本论文首先对入侵检测系统和移动代理技术分别进行了介绍，并阐述了m m 公司的a g l e t 平台与s n o r t 的规则编写，然后提出了基于移动代理技术的入侵检测 系统模型，该模型由控制服务器( c o n t r o ls e t v e r ) 和受检主机( h o s t ) 二部分组成， 其中控制服务器由主机管理单元、a g e n t 管理单元和响应单元三个单元构成，而受 检主机则包括入侵检测模块和数据库m y s q l ，接着对该系统的各功能单元模块进行 了详细的设计与实现，实时地为各个代理分配任务。从而提高了入侵检测的效率， 减少网络负担。最后对该系统进行了新主机注册、检铡代理、移动维护代理的测 试，并提出了未来研究的方向。 系统采用j a v a 作为开发语言，并基于i b m 公司的a m c t 代理平台，基本实现 了基于移动代理技术的入侵检测系统的设计思想。 关键词：网络安全，入侵检测系统，移动代理 重庆邮电大学硕士论文摘要 a b s t r a c t w i t ht h er a p i d d e v e l o p m e n to fc o m p u t e r sa n dn e t w o r kt e c h n o l o g i e s ，n e t w o r k s e c u r i t yi sb e c o m i n gm o r ea n dm o r ei m p o r t a n t i n t r u s i o nd e t e c t i o ns y s t e mg o s ) i s 觚 e s s e n t i a lc o m p o n e n to fn e t w o r ks e c u r i t ys y s t e m sa n du s e dt od e t e c tm a n yt y p e so f m a l i c i o u sn e t w o r kt r a f f i ca n dc o m p u t e ru s a g et h a tc a n tb ed e t e c t e db yac o n v e n t i o n a l f i r e w a l l b e c a u s eo fc o m p l i c a t e dn e t w o r k i n ge n v i r o n m e n ta n dt h ea p p e a r a n c eo fn e w a t t a c km e t h o d s ，t os o m ee x t e n t ，t h e r ea r es o m el i m i t a t i o n sf o rt r a d i t i o n a li d si nt h e a s p e c t so f e f f i c i e n c y ，e x t e n s i b i l i t ya n da d a p t a b i l i t y t h ed e v e l o p m e n to fm o b i l ea g e n tt e c h n o l o g yp r e s e n t san e ww a yo fr e s e a r c ho n i d s t h i sp a p e ri n t r o d u c e sad i s t r i b u t e di d sb a s e do nm o b i l ea g e n t s ，w h i c hc o m b i n e s s n o r ta n dm m a g l e tt o g e t h e r i nt h i ss y s t e m ，a g e n t si m p l e m e n td e t e c t i o nt a s k s ，s ot h e s y s t e mh a sf l e x i b i l i t ya sw e l la sg o o dp e r f o r m a n c e a f t e ri n t r o d u c i n gt h eb a c k g r o u n dk n o w l e d g eo fi d sa n dm o b i l ea g e n t s ，t h em o d e l o fl d sb a s e do nm o b i l ea g e n t sa r ep r o v i d e da n di t sc o n s i s to f c o n t r o ls e r v e ra n dh o s t s t h ec o n t r o ls e r v e ri n c l u d e sh o s tm a n a g e m e n tu n i t , a g e n tm a n a g e m e n tu n i ta n d r e s p o n s eu n i ta n dh o s t si n c l u d ei n t r u s i o nd e t e c t i o nu n i ta n dd a t a b a s e t h e ne a c hu n i t s o ft h i ss y s t e mi sd e s i g n e da n di m p l e m e n t e di nd e t a i l e d i nt h ee n d , t h e r ea l es o m e e x p e r i m e n t st oc o n f i r mt h ef e a s i b i l i t yo f t h es y s t e m u s i n gl a n g u a g ej a v a , t h es y s t e mi sc o n s t r u c t e do nt h em o b i l ea g e n tp l a t f o r mo f m m a g l c t st oc o m p l e t et h ed e t e c t i o no fs o m er e p r e s e n t a t i v ei n t r u s i o n k e y w o r d s ：n e t w o r ks e c u r i t y , i n t r u s i o nd e t e c t i o ns y s t e m ，m o b i l ea g e n t i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及 取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论 文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得重庆 鲣电盔堂或其他教育机构的学位或证书而使用过的材料。与我一同工作 的同志对本研究所傲的任何贡献均已在论文中作了明确的说明并表示谢 意。 学位论文作者签名：募右霞签字日期：渺7 年钿日 学位论文版权使用授权书 本学位论文作者完全了解重废邮电太堂有关保留、使用学位论 文的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘， 允许论文被查阅和借阅。本人授权重鏖整壹盍堂可以将学位论文的 全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等 复制手段保存、汇编学位论文 ( 保密的学位论文在解密后适用本授权书) 学位论文作者始秘茛 导师繇 签字日期：7 叼年多月日 签字日期：哆叼年月多 重庆邮电大学硕士论文 第一章绪论 第一章绪论 1 1 论文的研究背景和意义 随着i n t e m e t 的飞速发展，网络已经影响到社会生活的方方面面，网络安全也 成为世界各国共同关注的焦点。传统的安全技术，例如：加密、身份认证、访问 控制、防火墙等，大都以静态和被动的方式保障信息安全，已经不能满足现在信 息安全的需要。现代的安全技术已经开始由静态系统安全模型逐渐过渡到动态安 全模型r p d r 2 模型【0 1 l ，p d r 2 表示p r o t e c t i o nd e t e c t i o nr e c o v e r y 和r e s p o n s e ，即 保护、检测、恢复和响应，其中的d e t e c t i o n 就是指的入侵检测。可以看出，现在 的安全技术更注重提高系统的入侵检测能力、时间的反应能力和找到入侵破坏后 的快速恢复能力。而作为系统安全模型中非常重要的部分入侵检测技术，可 以很好地弥补访问控制、身份认证和防火墙不能解决的安全问题，己逐渐成为信 息安全研究领域中的热点和重要课题。 如今的政府、银行、大企业等机构都有自己的内网资源，这些机构通常在防 火墙系统上投入大量的资金，在i n t e r n e t 入口处部署防火墙来抵御外来的攻击和威 胁，而内部却缺乏必要的安全措施。据统计，全球8 0 以上的入侵来自于网络内 部，对于企业内部人员所做的攻击，防火墙形同虚设m j 。 入侵检测系统是对防火墙有益补充，入侵检测系统能在入侵攻击对系统发生 危害之前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击，因此能将入 侵攻击造成的损失降低。即使在入侵攻击发生后，入侵检测系统也能通过收集相 关信息，作为防范系统的知识。入侵检测被认为是防火墙之后的第二道安全闸门， 它在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击、 误操作的实时保护，大大提高网络的安全性。 入侵检测系统具有以下特有作用： l 、入侵检测系统可以发现攻击者。当将网络入侵检测系统的探测器放置于企 业网的周边、防火墙之外时，它能很有效地揭示针对企业攻击的本质。也就是说， 如果有黑客针对企业内部网络、甚至防火墙本身进行攻击时，入侵检测系统能及 时给予提醒，并告知攻击的来源。 2 、入侵检测系统可以发现攻击者的攻击手段。例如当黑客获取了服务器的 r o o t 权限时，我们就需要知道黑客是如何做到的，只有这样我们才能防止类似事件 重庆邮电大学硕士论文第一章绪论 的再次发生。优秀的入侵检测系统能提供攻击的特征描述，甚至包括一个个按键 的回放，这样有助于安全专家分析该攻击过程，由此得出系统或配置的漏洞，从 而防止以后受到同样的攻击。， 3 、入侵检测系统可以发现合法用户的非法操作。防火墙的功能是阻止外部网 络对内部网络的访问，而在内网中安置入侵检测系统，就能发现来自于内部网的 非授权用户访问，确定威胁是来自于一般员工的误操作，还是不满员工的恶意行 为或者合约商的非授权访问。入侵检测系统可以放置于任何关键区域内，例如非 军事化区( d e m i l i t a r i z e dz o n e ，d m z ) 或者在防火墙内部的边界上。 4 、入侵检测系统可以灵活地配置在需要的工作环境中。将网络入侵检测系统 的探测器配置在特定的更敏感的网段中，或者将基于主机的入侵检测系统安放在 关键服务器中，偶然的、可疑的威胁将通过入侵检测系统来验证，攻击和非授权 行为能被及时地发现，先进的安全组件互动机制还能修改安全策略来阻止进一步 的攻击，这使安全风险得到有效的控制和减轻。 5 、入侵检测系统可以为法律提供必要的法律证据。在我国，电子证据也已经 逐渐成为一种新的证据形式被逐步接受，网络入侵检测系统的信息提供了网络行 为的视图，它通过从多个点收集的标准化数据，不仅用于事件关联和发现攻击， 也可用于行为跟踪。隐藏在旁路的入侵检测系统往往不容易被黑客发现而删除记 录，其中保存完好的数据往往是作为法庭起诉的有力证据。 现存的入侵检测系统主要采用的是分布式结构。但一直存在着检测速率较低、 漏报和误报率高等问题。如何从根本上提高入侵检测系统的性能就成为了急需解 决的问题。 移动代理是一个能在异构网络中自主地从一台主机迁移到另一台主机，并可 与其他代理或资源交互的程序，它实际上是代理技术与分布计算技术的有机结合。 移动代理技术将服务请求动态地移到服务器上运行，使代理较少依赖网络传输这 一中间环节，从而避免了大量数据在网络内进行传输，降低了系统对带宽的依赖； 同时，移动代理不需要统一调度，由用户创建的代理可以在异步的不同节点上运 行，待任务完成后再将结果传送给用户；为了完成某项任务，用户可以创建多个 代理，同时在一个或若干个节点上运行，形成并行求解的能力；此外，它还具有 自治性和智能路由等特性。 将移动代理应用到入侵检测系统，能够充分利用移动代理的优点，而且还能 更好地实现网络负载平衡，减少入侵检测系统的误报率，使该系统具有防范分布 式攻击的能力。 虽然基于移动代理的入侵检测系统技术有着传统入侵检测技术所不具备的优 越性，并且非常适合于大型网络中的分布式应用，然而就在它给入侵检测系统带 2 重庆邮电大学硕士论文第一章绪论 来诸多好处的同时，也带来了新的安全问题和其它不足之处。移动代理技术的应 用所带来的自身安全问题是首先要考虑的，因为移动代理要移动到其他主机上执 行相应的代码，所以权限和信任问题是安全问题的核心。 因此，在移动代理自身安全 导到有效解决的前提下，移动代理在入侵检测系 统领域将会有一个很好的应用前景。 1 2 论文的主要工作和组织结构 本文围绕入侵检测系统与移动代理技术进行了研究，针对移动代理技术的优 点与特性，结合当前的入侵检测系统，构造了一种构建分布式入侵检测系统的新 思想基于移动代理技术的入侵检测系统模型。该模型采用j a v a 技术实现了跨 平台的分布性，利用自治的移动代理来发现入侵行为、通知其他主机已有入侵行 为发生以及定期更新检测系统的规则库，同时因为采用了派发移动代理的方法， 所以降低了入侵检测系统对网络带宽的占用。这一技术能解决传统入侵检测技术 和手段由于体系结构的限制无法解决的问题，如可动态更新配置、支持分布式的 检测以及可伸缩性等。因而在理论上它是对入侵检测技术发展的新贡献。 本论文的主要工作如下： l 、入侵检测系统的研究； 2 、移动代理技术的研究： 3 、设计了一个基于移动代理技术的分布式入侵检测模型； 4 、通过实验室测试来验证该模型的可行性。 、 论文组织结构如下： 第一章：绪论。主要介绍论文的研究意义和主要工作。综述了网络安全的现 状以及入侵检测系统在网络安全体系中的重要性，并根据传统入侵检测系统所存 在的问题，提出将移动代理技术应用到入侵检测系统中。 第二章：入侵检测系统。主要阐述入侵检测系统的基本概念、分类，入侵检 测系统的标准化以及目前的入侵检测系统面临的主要问题等相关理论。 第三章：对移动代理技术进行了研究，主要介绍移动代理技术的概念、优点 和体系结构。 第四章：基于对入侵检测系统与移动代理技术的研究，在基于j a v a 的移动代 理平台i b ma g l e t s 上，构建了一个基于移动代理技术的分布式入侵检测系统模型， 并详细阐述了该系统的各功能模块。 第五章：对建立的模型进行了相关测试，验证了该模型的可行性。 第六章：总结与展望。 重庆邮电大学硕士论文第二章入侵检测系统概述 第二章入侵检测系统概述 入侵检测技术是一种主动保护自己免受攻击的网络安全技术。作为防火墙的 合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展系统管理员的安全管 理能力( 包括安全审计、监视、攻击识别和响应) ，提高了信息安全基础结构的完 整性。 2 1 入侵检测系统简介 2 2 1 入侵检测系统的概念 1 9 8 0 年4 月，j a m e sa n d e r s o n 为美国空军做了一份题为 c o m p u t e rs e c u r i t y t h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ) ) ( 计算机安全威胁监控和监视) 的技术报告，第 一次详细阐述了入侵和入侵检测的概念。 入侵( i n t r u s i o n ) 行为主要指对系统资源的非授权使用，以及任何企图破坏系 统资源完整性( i n t e g r i t y ) 、保密性( c o n f i d e n t i a l i t y ) 和可用性( a v m l a b i l i t y ) 的行 为，它可能造成系统数据的泄密、丢失与破坏，甚至会造成系统拒绝对合法用户 服务等后果。入侵者可以分为两类：外部入侵者( 系统中的非法用户，即黑客) 和内部入侵者( 有越权使用系统资源行为的合法用户) 1 0 3 1 。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称i d s ) 是检测入侵行为的计算 机系统，包括计算机软件和硬件的组合。入侵检测系统对系统进行实时监控，获 取系统的审计数据或网络数据包，然后对得到的数据进行分析，根据分析的结果 判断系统或网络是否出现异常或入侵行为，一旦发现异常或入侵行为，即发出报 警并采取相应的保护措施。 2 2 2 入侵检测系统的要求 作为一种安全防护系统，入侵检测系统旨在增强网络系统的可靠性。因此， 入侵检测系统就成为了网络系统的重要组成部分，因而它自身也应该具有足够的 可靠性，而不论它是基于何种机制。下面是入侵检测系统应该具备的特性i 叫： 1 、必须在没有( 或很少) 的人工干预下不间断地运行。 4 重庆邮电大学硕士论文第二章入侵捡测系统概述 2 、必须具有容错能力，即使系统崩溃也能继续运转，且重新启动后无需重建 知识库。 3 、有很强的抗攻击能力，能抵御破坏，能够监测自身以确保不被攻击者修改。 4 、有尽可能小的系统开销，避免影响系统( i d s 所处环境) 内其它组件正常 操作。 5 、易于部署，这主要体现于在不同操作系统和体系结构内的可移植性、简单 的安装机制，以及操作员易于使用和理解。 6 、能检测出攻击。包括不能将合法的活动误认为是攻击、不应遗漏任何真正 的攻击、应尽可能迅速及时地报告入侵活动等功能。 2 2 3 入侵检测系统的基本结构 虽然目前存在很多的入侵检测模型和入侵检测系统，但一个典型的入侵检测 系统一般由数据采集、数据分析和事件响应三个部分组成。 ，一个通用的入侵检测系统结构如图2 1 所示。 副差 l l 集刮| | | 酬蠢 l 应刮| | 图2 1 入侵检测系统的通用模型 1 、数据收集 数据收集是入侵检测的第一步，包括收集系统、网络数据、用户活动状态和 行为数据。需要在网络系统中的若干不同关键点( 不同网段和不同主机) 收集信 息，除了尽可能扩大检测范围的因素外，还有一个重要的因素就是来自于一个数 据源的信息有可能看不出疑点，而来自于几个数据源的信息的不一致性却是可疑 行为或入侵行为的最好标志。获得数据之后，需要对数据进行简单处理，如流数 据的解码、字符编码的转换等等。然后将处理后的数据提交给数据分析模块。 2 、数据分析 数据分析是入侵检测系统的核心部分。这个环节主要是对数据进行深入分析， 根据攻击特征集发现攻击，并根据分析的结果产生响应事件，触发事件响应。数 据分析的方法较多，如模式匹配、协议分析、行为分析和统计分析等等。 3 、事件响应 事件响应在发现入侵行为后会及时做出响应，包括切断网络连接、记录事件 和报警等。响应又可分为主动响应和被动响应。主动响应由用户驱动或系统自动 重庆邮电大学硕士论文 第二章入侵检测系统概述 执行；被动响应择包括报警、通知、日志记录等等。另外，还可以按策略配置响 应，分别采取立即、紧急、适时、本地的长期和全局的长期等行为。 2 。2 入侵检测系统的标准化 随着网络规模的扩大，网络入侵的方式、类型、特征各不相同，入侵活动变 得复杂而又难以捉摸。这使得某些入侵的活动靠单一入侵检测系统不能检测出来， 如分布式攻击；而不同的入侵检测系统之间没有协作。结果造成缺少某种入侵匹 配模式而导致入侵检测系统不能发现新的活动。 为了提高入侵检测产品、组件及与其他安全产品之间的互操作性，美国国防 高级研究计划署( d a 船a ) 提出了公共入侵检测框架c i d f ( c o m m o ni n t r u s i o n d e t e c t i o nf r a m e w o r k ) 1 0 5 1 2 0 i 。c i d f 是一套规范，它定义了入侵检测系统表达检测 信息的标准语言以及入侵检测系统组件之间的通信协议，符合c i d f 规范的入侵检 测系统可以共享检测信息，相互通信，协同工作，还可以与其它系统配合实施统 一的配置响应和恢复策略。 c i d f 的标准化工作重点在于集成各种入侵检测系统使之协同工作，实现各入 侵检测系统之问的组件重用，所以c i d f 也是构建分布式入侵检测系统的基础。 c i d f 将一个入侵检测系统分为一些彼此独立又相互协作的组件【0 5 1 0 6 1 ： l 、事件产生器( e v e n tg e n e r a t o r s ) 2 、事件分析器( e v e n ta n a l y z e r s ) 3 、响应单元( r e s p o n s eu n i t s ) 4 、事件数据库( e v e n td a t a b a s e s ) 图2 2 给出了c i d f 的系统体系结构。c i d f 将入侵检测系统需要分析的数据 称为事件，它可以是网络中的数据包，也可以是从系统日志或其他途径得到的信 息。 数据提取模块为系统提供数据，数据的来源可以是结点上的日志信息，变动 信息，也可以是网络上的数据信息。这些都可作为数据源。数据提取模块在获取 数据之后需对数据进行简单处理，如简单的过滤、数据格式的标准化等，然后将 经过处理的数据提交给数据分析模块。数据分析模块对数据进行深入分析，发现 攻击并根据分析的结果产生事件，传递给结果处理模块。数据分析的方式多种多 样。数据分析模块是入侵检测系统的核心。结果处理模块用于告警和反应。 6 重庆邮电大学硕士论文 第二章入侵检测系统概述 图2 2 入侵检测系统结构图 下面分别对它的四个部件做详细说明： l 、事件产生器 入侵检测的第一步就是信息收集，收集的内容包括整个计算机网络中的系统、 网络，数据及用户活动的状态和行为。这些由事件产生器来完成。研究数据收集 机制的重要性是显而易见的：就准确性、可靠性和效率而言，入侵检测系统收集 到的数据是它进行检测和决策的基础。如果收集数据的时延太大，系统很可能在 检测到攻击的时候，入侵者已经长驱直入；如果数据不完整，系统的检测能力就 会大打折扣；如果数据本身不正确，系统就无法检测某些攻击，从而给用户造成 一种很虚假的安全感，后果不堪设想。入侵检测很大程度上依赖于信息收集的可 靠性、正确性和完整性。因此要确保收集、报告这些信息的软件工具的可靠性。 这些软件本身应具有相当强的坚固性。能够防止被篡改而收集错误信息。 入侵检测利用的信息一般来自以下四个方面： 1 ) 系统和网络日志文件 黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日 志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和 不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过 查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应 程序。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录 “用户活动”类型的日志，就包含登录、用户d 改变、用户对文件的访问、授权 和认证信息等内容。很显然地，对用户活动来讲，不正常的或不期望地行为就是 重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。 2 ) 目录和文件中的不期望的改变 网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私 有数据文件经常是黑客修改和破坏的目标。目录和文件中的不期望的改变( 包括 7 重庆邮电大学硕士论文 第二章入侵检测系统概述 修改、创建和删除) ，特别是那些正常情况下限制访问的，很可能就是一种入侵产 生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件， 同时为了隐藏系统中他们的表现及活动痕迹，都会尽力区替换系统程序或修改系 统日志文件。一 3 ) 程序执行中的不期望行为 网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特 定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来 实现。每个进程执行在具有不同权限的环境中，这种环境控制着进程可访问的系 统资源、程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现， 操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输、 设备和其它进程，以及与网络间其它进程的通讯。 一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会 将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方 式操作。 4 ) 物理形式的入侵信息 这包括两个方面的内容，一是未授权的对网络硬件连接；二是对物理资源的 未授权访问。黑客会想方设法突破网络的周边防卫，如果他们能够在物理上访问 内部网，就能安装他们自己的设备和软件。依此，黑客就可以知道网上的由用户 加上去的不安全( 未授权) 设备，然后利用这些设备访问网络。例如，用户在家 里可能安装m o d e m 以访问远程办公室，与此同时黑客正在利用自动工具来识别在 公共电话线上的m o d e m ，如果一拨号访问流量经过了这些自动工具，那么这一拨 号访问就成为了威胁网络安全的后门。黑客就会利用这个后门来访问内部网，从 而越过了内部网络原有的防护措施，然后捕获网络流量，进而攻击其它系统，并 窃取敏感私有信息等等。 可以将数据收集分成直接监控和间接监控两种方法。 直接监控：从数据生成地或属地直接获取数据。例如，如果要直接监控某结 点的c p u 负载情况，就需要从结点相应的内核结构中获取数据；如果要直接监控 i n e t d ( i n t e r n e t 超级服务器，是监视一些网络请求的守护进程) 后台进程所提供的 网络服务情况，就需要直接从i n e t d 获取关于那些访问情况的数据。 间接监控：从能反映监控目标行为的数据源处获取数据。还以前面的两个例 子为证，间接监控可以通过读取记录c p u 负载的日志文件，完成对结点c p u 负载 的监控；通过读取i n e t d 后台进程所产生的日志文件，或通过类似t c p - w r a p p e r s 的辅助程序，间接监控网络服务的访问情况；也可以通过监视发往结点特定端口 的数据包进行间接监控。 重庆邮电大学硕士论文 第二章入侵检测系统概述 数据收集可采用外部探测器和内部探测器。 有些入侵检测系统在实现数据收集时采用了外部探测器和内部探测器，如普 渡大学的自发性代理人入侵检测系统( a u t o n o m o u sa g e n tf o ri n t r u s i o nd e t e c t i o n , , a f i d ) ，使用外部探测器时，监控组件与被监控程序分离，而内部探测器则在所 监控的程序代码内实现。 2 、事件分析器 事件分析期是入侵检测系统的核心。其效率高低直接决定了整个入侵检测系 统的性能。事件分析器可以采用不同的入侵检测技术，可根据具体情况综合采用 多种检测技术。事件分析器分析从其他组件收到的通用入侵检测对象( g d o ) ， 并将产生的新g d o 再传送给其他组件。分析器可以是一个轮廓描述工具，统计 性地检查现在的事件是否可能与以前某个事件来自同一个时间序列；也可以是一个 特征检测工具，用于在一个事件序列中检查是否有已知的滥用攻击特征；此外，事 件分析器还可以是一个相关器，观察事件之间的关系，将有联系的事件放到一起， 以利于以后的进一步分析。几种分析方法如下所示： 1 ) 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行 比较，从而发现违背安全策略的行为。该过程可以很简单( 如通过字符串匹配以寻 找一个简单的条目或指令) ，也可以很复杂( 如利用正规的数学表达式来表示安全状 态的变化) 。一般来讲，一种进攻模式可以用一个过程( 如执行一条指令) 或一个输 出( 如获得权限) 来表示。该方法的一大优点是只需收集相关的数据集合，显著减少 系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和 效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑 客攻击手法，不能检测到从未出现过的黑客攻击手段。 2 ) 统计分析 统计分析方法首先给系统对象( 如用户、文件、目录和设备等) 创建一个统计描 述，统计正常使用时的一些测量属性( 如访问次数、操作失败次数和延时等) 。测量 属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围 之外时，就认为有入侵发生。例如，统计分析可能标识一个不正常行为，因为它 发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检 测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常 行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基 于神经网络的分析方法，目前正处于研究热点和迅速发展之中。 3 ) 完整性分析 完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的 重庆邮电大学硕士论文 第二章入侵检测系统概述 内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性 分析利用强有力的加密机制，称为消息摘要函数( 例如m d s ) ，它能识别哪怕是微 小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成 功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处 理方式实现，不用于实时响应。尽管如此，完整性检测方法还应该是网络安全产 品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块， 对网络系统进行全面地扫描检查。 3 、事件数据库 事件分析数据库是存放各种中间和最终数据地方的统称，它可以是复杂的数 据库，也可以是简单的文本文件。考虑到数据的庞大性和复杂性，一般都采用成 熟的数据库产品来支持。事件数据库的作用是充分发挥数据库的长处，方便其他 系统模块对数据的添加、删除、访问、排序和分类等操作。 4 、响应单元 当事件分析器发现入侵迹象后，入侵检测系统的下一步工作就是响应，而响 应的对象并不局限于可疑的攻击者。目前完善的入侵检测系统具有以下响应功能： 根据攻击类型自动终止攻击；终止可疑用户的连接甚至所有用户的连接，切断攻 击者的网络连接，减少损失：如果可疑用户获得帐号，则将其禁止；重新配置防 火墙更改其过滤规则，以防止此类攻击的重现；向管理控制台发出警告指出事件 的发生：将事件的原始数据和分析结果记录到日志文件，并产生相应的报告；向 安全管理人员发出提示性的警报，可以通过鸣铃或发e - m a i l ；可以执行一个用户 自定义程序或脚本，方便用户操作，同时也提供了系统扩展的手段。 在一般入侵检测系统中，事件产生器和事件分析器是比较重要的两个组件， 在设计时采用的策略不同，其功能和影响也有很大的区别，而响应单元和事件数 据库则相对来说比较固定。 。 2 3 入侵检测系统分类 目前的入侵检测系统主要有3 种分类方法7 1 【o 扪，分叙如下： 2 3 1 根据检测时采用的技术分类 根据检测时采用的技术分类，分为两种： 、 1 、基于异常检测的检测系统 基于异常检测的检测系统根据使用者的行为或资源使用状况来判断是否入 o 重庆邮电大学硕士论文 第二章入侵检测系统概述 侵，而不依赖于具体行为是否出现来检测，能发现一些未知的入侵行为。其优点 是对具体系统的依赖性相对较小。缺点在于误检率很高，尤其在用户数目众多或 工作行为经常改变的环境中。 异常检测( a n o m a l yd e t e c t i o n ) 依赖于一个假定：即用户行为表现为是可预 测的、一致的系统使用模型，而入侵者活动异常于用户地活动。根据这一理念建 立用户正常活动的“行为模型”。进行检测时，将使用者的行为或资源使用状况与 “行为模型”相比较，从而判断该活动是否是入侵行为。异常检测的基础是反常 活动和计算机不正当使用之间地相关性。 但异常检测的完成仍必须验证，因为我们无法判定给定的度量集是否完备。 因此异常检测作为一种可靠而强壮的系统保护机制仍需要迸一步研究。 异常检测中通常采用的方法包括：d e n n i n g 原始模型；量化分析：统计度量； 非参统计度量；基于规则的方法；神经网络等等。 2 、基于误用检测的检测系统 基于误用检测的检测系统大多是通过对一些具体的行为判断和推理，从而检 测出入侵。通常是标识一些己知的入侵行为。其优点是由于依据具体特征库进行 判断，准确率较高。缺点在于对具体的系统依赖性太强，移植性不好。 误用检测( m i s u s ed e t e c t i o n ) 又称特征检测( s i s n a t u r e b a s e dd e t e c t i o n ) ，这一 检测假设入侵者的活动可以用一种模式来表示，系统的目标是检测主体活动是否 符合这些模式。它通过某种方式预先定义入侵行为，然后监视系统的运行，并从 中找出符合预先定义规则的入侵行为。其难点在于如何设计模式既能够表达“入 侵”现象又不会将正常地活动包含进来。 该方法的一大优点是只需收集相关的数据集合并根据具体特征库进行判断， 显著减少了系统负担，且技术己相当成熟。最适用于已知使用模式的可靠检测， 它可以将已有的入侵方法检测出来，但对新的入侵方法无能为力。它与病毒防火 墙采用的方法类似，检测准确率和效率都相当高。但是，该方法存在的弱点在于 具体系统依赖性太强，系统移植性不好，且不能检测到从未出现过的黑客攻击手 段，需要不断的升级以对付新出现的入侵手段。 误用检测包括以下一些方法：专家系统；状态转换法；模式匹配：模型推理 等。 2 3 2 按系统检测的对象分类 按系统检测的对象进行分类，分为如下三种1 2 2 1 ： l 、基于主机的入侵检测系统( h i d s ) ：早期基于主机的入侵检测是通过监视 重庆邮电大学硕士论文第二章入侵检测系统概述 与分析主机的审计记录来检测入侵。这些系统的实现也不全在目标主机上，例如 使用网络将主机的信息传送到中央分析单元。基于主机的入侵检测系统在发展过 程中也融入了其它技术，如通过定期检查关键系统文件和可执行文件以便发现意 外的变化。另外还将基于网络的入侵检测的方法融入到基于主机的检测环境中， 如监听并一记录特定端口的活动等。基于主机的入侵检测系统具有如下的优点 0 8 1 2 2 ：可监视特定的系统活动；适用于加密的及交换的环境：对网络流量不敏感；不 要求额外的硬件设备。 2 、基于网络的入侵检测系统( n i d s ) ：基于网络的入侵检测系统在共享网段 上对通过网络的所有通信业务数据进行侦听，采集原始网络包作为数据源并分析 可疑现象。由于这类系统并不需要主机提供严格的审计，因而对主机资源消耗少， 并且由于网络协议是标准的，它可以提供对网络通用的保护而无需顾及异构主机 不同架构。基于网络的入侵检测系统具有如下的优点：可检测低层协议的攻击； 攻击者不易转移证据：实时检测和响应；可靠性好；操作系统无关性；不占用被 检测系统的资源。但是，基于网络的入侵检测系统也有如下一些明显的弱点；容 易受到拒绝服务攻击；不适合于交换式网络；不适合于加密环境。 3 、混合入侵检测( h y b r i di d s ) 。 基于网络和基于主机的s 系统都能发现对方无法检测到的一些入侵行为， 它们有各自的优点，并且互为补充。所以一种真正有效的入侵检测系统应该是将 二者结合起来，以提供更加有效的入侵检测和保护措施。混合入侵检测系统就是 综合了h i d s 和n i d s 两种结构特点的入侵检测系统，既可发现网络中的攻击信息， 也可从系统日志中发现异常情况。它最终可能是i d s 市场的主角。 2 3 3 根据工作方式分类 根据工作方式来分，分为如下两种： i 、实时入侵检测( 在线式) ：对网络数据包或主机的审计数据等进行实时分 析，可以快速反应，保护系统的安全。但在系统规模较大时，难以保证实时性。 2 、事后入侵检测( 离线式) ：通过事后分析审计事件和文件等，从中检测入 侵事件。这可以分析大量事件，调查长期的情况，有利于其它方法建立模型。但 由于是在事后进行，不能对系统提供及时的保护。而且很多入侵在完成后都将审 计事件去掉，从而导致无法进行分析。 2 重庆邮电大学硕士论文 第二章入侵检测系统概述 2 4 入侵检测系统面临的主要问题 目前的入侵检测系统主要面临着三大挑战唧】【”l 。 1 、如何提高入侵检测系统的检测速度，以适应网络通信的要求。 网络安全设备的处理速度一直是影响网络性能的一大瓶颈，虽然入侵检测系 统通常以并联方式接入网络，但如果其检测速度跟不上网络数据的传输速度，那 么检测系统就会漏掉其中的部分数据包，从而导致漏报而影响系统的准确性和有 效性。在入侵检测系统中，截获网络的每一个数据包。并分析、匹配其中是否具 有某种攻击的特征需要花费大量的时间和系统资源，因此大部分现有的入侵检测 系统只有几十兆的检测速度，随着百兆、甚至千兆网络的大量应用，入侵检测系 统技术发展的速度已经远远落后于网络速度的发展。 2 、如何减少入侵检测系统的漏报和误报，提高其安全性和准确度。 基于模式匹配分析方法的入侵检测系统将所有入侵行为和手段及其变种表达 为一种模式或特征，检测主要判断网络中搜集到的数据特征是否在入侵模式库中 出现。因此，面对每天都有新的攻击方法产生和新漏洞发布，攻击特征库不能及 时更新是造成入侵检测系统漏报的一大原因。而基于异常发现的入侵检测系统通 过流量统计分析建立系统正常行为的轨迹，当系统运行时的数值超过正常阈值， 则认为可能受到攻击，该技术本身就导致了其漏报误报率较高。另外，大多入侵 检测系统是基于单包检查的，协议分析得不够，因此无法识别伪装或变形的网络 攻击，也造成大量漏报和误报。 3 、如何提高入侵检测系统的互动性能，从而提高整个系统的安全性能。 在大型网络中，网络的不同部分可能使用了多种入侵检测系统，甚至还有防 火墙、漏洞扫描等其他类型的安全设备，这些入侵检测系统之间以及入侵检测系 统和其他安全组件之间如何交换信息，共同协作来发现攻击、做出响应并阻止攻 击是关系整个系统安全性的重要因素。例如，漏洞扫描程序例行的试探攻击就不 应该触发入侵检测系统的报警；而利用伪造的源地址进行攻击，就可能联动防火 墙关闭服务从而导致拒绝服务，这也是互动系统需要考虑的问题。 重庆邮电大学硕士论文第三章移动代理技术 第三章移动代理技术 ， 智能化分布式计算是计算机网络时代的一项崭新而关键的技术。当前的分布 式计算都是基于传统“c l i e n t s e r v e r ”模式，通过远程调用或消息传递等方式实现 跨平台操作，比较适合稳定的网络环境和应用场合。随着计算机网络的发展，特 别是i n t e m e t 应用的急速增长和移动设备的接入，“c l i e n t s e r v e r ”模式的缺点日益 明显。例如客户机和服务器在计算过程中必须一直维持连接，计算过程有大量的 中间结果需要传输，浪费带宽，因而难以适应移动计算的低带宽、高延时、不稳 定的网络环境。融合了人工智能和分布式计算技术的移动代理( m 0 b i l e a g e n t ) 将 成为分布式计算的一个重要组成部分。这一技术不仅能实现更灵活的分布式异步 计算，而且将把网络计算带入一个全新的智能化时代。有理由相信，m o b i l e a g e n t 将成为未来i n t e m e t 环境中主流的网络计算技术。 3 1 移动代理的含义 根据w h i t e 1 2 ”，l a n g e t l 2 】f 2 1 】，c h e s s 1 3 】【2 1 1 等的描述，移动代理是一个代替人 或其它程序执行某种任务的程序，它在复杂的网络系统中能自主地从一台主机移 动到另一台主机，该程序能够选择何时、何地移动。在移动时，该程序可以根据 要求挂起其运行，然后转移到网络的其它地方重新开始或继续其执行，最后返回 结果和消息。 移动代理的特点之一是移动性( m o b i l i t y ) ，这是它和一般代理的区别所在。 移动代理的移动一般是在异质主机上持续移动。由于移动代理会在运行状态下挂 起、移动，然后继续执行，因此移动的对象除了程序外，还必须有代理的当前运 行状态信息和相应的数据。移动代理的特点之二是自主性( a u t o n o m y ) ，移动代理 能在没有人或其它代理直接干涉和指导的情况下持续运行。并能控制其内部状态 和动作。代理的移动一般是由代理自主决定进行的。移动代理的这两个特点把它 与其它相近的概念区分了开来。 3 2 移动代理的模型 移动代理系统由m o b i l e a g e n t ( m a ) 和m o b i l e a g e n t 环境( m a e ) 两个部分 组成。m a e 是一个分布在网鍪各种计算设备上的软件系统，它也被称为m o b i l e 1 4 重庆邮电大学硕士论文 第三章移动代理技术 a g e n t 服务器或m o b i l ea g e n t 平台。它一般建立在操作系统之上，为m a 提供运行 的环境。m a 则是只能存活在m a e 中的软件实体。m a 的移动便是从一个m a e 移动到另一个m a e 。从抽象的角度来说，一个移动代理系统应该具有如下的基本 模型： 3 2 1 命名和定位模型 移动代理系统中有很