（计算机应用技术专业论文）ipv6下基于移动代理的入侵检测系统研究.pdf

论文题目：i p v 6 下基于移动代理的入侵检测系统研究 专业：计算机应用技术 硕士生：温钰( 签名) 遐筵 指导教师：龚尚福 ( 签名) ，埏丝 摘要 随着计算机网络技术的快速发展，网络安全问题越来越受到人们的重视。入侵检测 技术作为一种主动的安全防护技术，能够及时地检测到各种恶意入侵并进行响应，入侵 检测系统已成为网络安全研究的一个热点。i p v 6 作为下一代i n t e m e t 的网络协议，对网 络安全提出了新的挑战。因此，研究i p v 6 下的入侵检测系统具有重要的意义。 本文详细分析了已有的传统入侵检测系统和基于移动代理的入侵检测系统的现状， 介绍了移动代理在入侵检测技术中的应用及优势。在此基础上，采用典型的移动代理系 统i b ma g l e t s 设计了一种新的i p v 6 下基于移动代理的入侵检测系统框架，并设计了不 同功能的移动代理。该模型使用分布式组件来进行入侵数据的收集及分析，是对传统的 集中式入侵检测系统的一大改进，移动代理可以自治的在各主机之间自主迁移，分析数 据进而发现入侵，利用移动代理的这种迁移性实现了对分布式攻击的检测，为解决目前 的分布式攻击问题，提供了一种有效的防范措施。 文章主要对系统中的数据收集a g e n t 、数据分析a g e n t 、规则库和综合分析a g e n t 这四个关键部件以及系统中a g e n t 的通信机制进行了设计并在移动代理平台一i b m a g l e t s 上进行了验证。论文分析和实现了数据包捕获技术和协议分析技术，定义了规则 语句，对模式匹配技术和协议分析技术进行了比较，并分析比较了几种经典的规则匹配 算法。 该系统将移动a g e n t 技术应用于入侵检测，将任务处理和数据分布到网络各个结点 上，解决了传统的集中式入侵检测系统的缺陷，能充分利用网络资源协同完成入侵检测 任务，通过自我学习提高系统的入侵检测能力。 关键词：i p v 6 ；移动代理；入侵检测；协议分析 研究类型：应用研究 s u b j e c t ：r e s e a r c ho ni p v 6i n t r u s i o nd e t e c t i o ns y s t e mb a s e do nm o b i l e a g e n t s p e c i a l t y ：a p p l i e dt e c h n o l o g yo fc o m p u t e r n a m e：w e ny h i n s t r u c t o r ：g o n gs h a n g f u a b s t r a c t ( s i g n a t ur e ) ( s i g n a t u r e ) 讹r lh w i t ht h er a p i dd e v e l o p m e n to ft h ec o m p u t e rn e t w o r kt e c h n o l o g y ，t h en e t w o r ks e c u r i t y h a sb e e nm o r ea n dm o r ea t t a c h e di m p o r t a n c et ob yp e o p l e a sak i n do fa c t i v es e c u r e p r o t e c t i o nt e c h n o l o g y ，i n t r u s i o nd e t e c t i o nc a nd e t e c t ss o r t so fm a l i c i o u sa t t a c k si nt i m ea n d r e s p o n d s ，r e s e a l c ho fi d sh a sb e e nah o ti s s u e t h en e x tg e n e r a t i o np r o t o c a li p v 6b r i n g sa n e w c h a l l e n g et ot h en e t w o r ks e c u r i t y t h e r e f o r e ，i ti si m p o r t a n tt os t u d yi n t r u s i o nd e t e c t i o n s y s t e mo fi p v 6 i nt h i sp a p e r ，e x i s t i n gt r a d i t i o n a li d sa n dm o b i l ea g e n tb a s e di n t r u s i o nd e t e c t i o ns y s t e m s a l ea n a l y z e di nd e t a i l ，a n dt h ea d v a n t a g e so fm o b i l ea g e n t sa p p l i c a t i o ni ni n t r u s i o nd e t e c t i o n t e c h n o l o g i e sa l ei n t r o d u c e d a c c o r d i n gt oa l l d i s c u s s e da b o v e ，t h ea u t h o ra d o p t st y p i c a l m o b i l ea g e n ts y s t e mi b ma g l e t st od e s i g naf r a m e w o r ko fi p v 6i d sb a s e do nm o b i l ea g e n t a n dv a r i o u sf u n c t i o n a lm o b i l ea g e n t s c o m p a r i n gw i t ht h et r a d i t i o n a lc e n t r a l i z e di n t r u s i o n d e t e c t i o ns y s t e m ，t h en e wo n ei sr e g a r d e da sag r e a tp r o g r e s si na p p l y i n gd i s t r i b u t e d c o m p o n e n t st oc o l l e c ta n da n a l y z et h ei n t r u s i o nd a t a a sa na u t o n o m o u su n i t ，t h em o b i l e a g e n t sa r ea b l et om i g r a t et o t h em o n i t o r e dh o s t s ，a n a l y z et h ed a t aa n df i n di n t r u s i o n b e h a v i o r s t h i sm o d e lc a nb eu s e dt op r e v e n tt h ed i s t r i b u t e da t t a c k s i naw o r d ，t h em o d e l i sa ne f f e c t i v es e c u r i t y - d e f e n s i v em e c h a n i s m t h ef o u rk e yp a r t s ：d a t ac o l l e c t i o na g e n t ，d a t aa n a l y s i sa g e n t ，r u l e sb a s e m e n t ，s y n t h e s i s a n a l y s i sa g e n ta n dc o m m u n i c a t i o nm e c h a n i s mo fa g e n t si ns y s t e ma l ed e s i g n e da n dv a l i d a t e d 、撕t l li b ma g l e t s ，aj a v a - b a s e dm o b i l ea g e n tp l a t f o r m t h et e c h n o l o g yo f c a p t u r i n gt h ed a t a p a c k e t sa n dt h ep r o t o c a la n a l y s i sa l ea n a l y s e d r u l es e n t e n c e sa l ed e f i n e d p a t t e r nm a t c ha n d p r o t o c a la n a l y s i st e c h n o l o g ya l ed i s c u s s e da n df o u rk i n do fp a t t e r nm a t c ha r i t h m a t i c sa r e a n a l y s e da n dc o m p a l e d t h ei d sp r o p o s e di n t h i st h e s i si sb a s e do nm o b i l ea g e n tt e c h n i q u e ，b yw h i c hi d s d i s t r i b u t e sd a t aa n dt a s k st ot h en o d e si nt h en e t w o r k s t h u si d sc a nm a k eb e s tu s eo f r e s o u r c e so ft h en e t w o r k st os o l v et h es h o r t a g eo fc o n v e n t i o n a lc e n t r a l i z e di d s m o r e o v e r ， t h i sn e wa r c h i t e c t u r ee n a b l e si d st oe n h a n c ed e t e c t i o nc a p a b i l i t yt h r o u g hs e l f - s t u d y 。 k e yw o r d s ：i p v 6 m o b i l ea g e n ti n t r u s i o nd e t e c t i o np r o t o c a la n a l y s i s t h e s i s ：a p p l i c a t i o nr e s e a r c h 压姿料技丈学 学位论文独创性说明 本人郑重声明：所呈交的学位论文是我个人在导师指导下进行的研究工作 及其取得研究成果。尽我所知，除了文中加以标注和致谢的地方外，论文中不 包含其他人或集体已经公开发表或撰写过的研究成果，也不包含为获得西安科 技大学或其他教育机构的学位或证书所使用过的材料。与我一同工作的同志对 本研究所做的任何贡献均已在论文中做了明确的说明并表示了谢意。 学位论文作者签名：龃日期：2 8 年稠f i ，日 学位论文知识产权声明书 本人完全了解学校有关保护知识产权的规定，l l p 研究生在校攻读学位期 间论文工作的知识产权单位属于西安科技大学。学校有权保留并向国家有关部 门或机构送交论文的复印件和电子版。本人允许论文被查阅和借阅。学校可以 将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩 印或扫描等复制手段保存和汇编本学位论文。同时本人保证，毕业后结合学位 论文研究课题再撰写的文章一律注明作者单位为西安科技大学。 保密论文待解密后适用本声明。 学位论文作者签名：主丛钰 指导教师签名：缈扔 c 秒杏年石, e lf e l 1 绪论 1 1 研究背景 1 绪论 i n t e m e t 已遍及世界1 8 0 多个国家，容纳了6 0 多万个网络，为1 亿多用户提供了多 样化的网络与信息服务。网络正在逐步改变人们的工作方式和生活方式，成为当今社会 发展的一个主题。 随着网络上电子商务、电子现金、数字货币和网络银行等业务的兴起以及各种专用 网( 如金融网) 的建设，网络与信息系统的安全与保密问题显得越来越重要。目前，全世 界每年由于信息系统的脆弱性而导致的经济损失逐年上升，安全问题日益严重。网络安 全问题己成为国家网络经济发展的关键，是影响国家与国防安全的重要组成部分，引起 了人们广泛的关注和研究。据统计9 9 的大公司都发生过大的入侵事件，世界著名的商 业网站，如y a h o o ，e b a y 等都曾被黑客入侵，造成巨大的经济损失，甚至连专门从事网 络安全的r s a 网站也受到黑客的攻击。 因此，对入侵攻击的检测与防范，保障计算机系统、网络系统及整个信息基础设施 的安全，己经成为刻不容缓的重要课题。 随着计算机网络信息技术的快速发展，网络入侵和攻击事件与日俱增，网络信息安 全形势日趋严峻和复杂化，对i n t e m e t 的安全问题也提出了更高的要求。由于t c p f i p 协 议发展的初衷是遵循开放性的原则，以网络用户互信为基础，在网络安全方面没有作过 多的考虑，使得现行t c p i p 网络协议体系结构本身就存在许多安全隐患。为了改善现 有t c p i p 协议在安全等方面的不足，i n t e m e t 工程专i qd 组( i n t e m e te n g i n e e r i n gt a s k f o r c e ，简称为i e t f ) 之中的一个工作组，即下一代网络协议( i p n g ) i 作组于1 9 9 4 年9 月 提出了一个正式的草案“t h er e c o m m e n d a t i o nf o rt h ei pn e x tg e n e r a t i o np r o t o c o l ，19 9 5 年底确定了i p n g 协议规范，称为i p v 6 。 目前的网际协议i p v 4 即将耗尽的有限地址空间和地址分配的严重不均匀，越来越 不能适应互联网的发展。以i p v 6 为基础的下一代互联网，以其1 2 8 位的超长地址空间 和增强的安全性，越来越得到人们的关注。美国国防部于2 0 0 3 年6 月已经宣布其网络 到2 0 0 8 年要全部过渡到i p v 6 t u ；中国的c e r n e t 2 主干网是目前世界上规模最大的纯 i p v 6 网络，已于2 0 0 4 年开通并已开始运行。这些都表明i p v 6 已经由试验阶段走向实际 应用阶段。虽然i p v 6 利用i p s e c 协议解决了数据加密及身份认证问题，保证数据在不安 全的网络上进行安全传输，但仍存在一些缺吲2 。随着各种基于i p v 6 应用技术研究的不 断发展，各种针对i p v 6 环境下的入侵技术也会迅猛发展起来。因此，尽快研究i p v 6 环 境下的入侵检测系统( i d s ) 是当务之急。 西安科技大学硕士学位论文 入侵检测系统近年来得到了快速发展。传统的入侵检测系统大多是使用单主机系统 进行数据的收集和分析，随着网络技术的发展，这类入侵检测系统的缺点也就越来越明 显。现有的分布式入侵检测系统大多是用分布式组件进行数据收集，然后将收集到的数 据传送到一个处理中心由处理中心进行统一处理。这种结构在性能上有了极大的改进， 但仍然存在以下局限性【3 1 1 4 ： ( 1 ) 入侵检测实时性较差； ( 2 ) 入侵检测由各个检测引擎独立完成，缺乏综合分析和协同工作能力； ( 3 ) 可扩展性差； ( 4 ) 大量数据收集将导致网络通信过载。 移动代理指的是能够自行决定在网络的各个节点之间移动，代表其它实体进行工作 的一种软件实体。它能自行选择运行地点和时机，根据具体情况中断当前自身的执行， 移动到另一设备上恢复运行，并及时将有关结果返回【5 】。移动代理在大规模、分布式、 跨平台的应用中具有独特的优势。将移动代理技术应用到入侵检测系统中可具有以下优 点：能够实现全局范围内的入侵检测功能，具有清晰的系统结构和良好的可扩展性；具 有优良的可移植性；占用较少的网络系统和主机资源，减少出现瓶颈的可能1 6 1 。 1 2 课题国内外研究现状 入侵检测系统的研究起始于8 0 年代，国外对入侵检测系统的研究较早，其相关技 术比较成熟，而国内相关领域的系统研究尚处于初级阶段。 自2 0 世纪9 0 年代以来，入侵检测系统的发展呈现出百花齐放的繁荣局面，在智能 化和分布式两个方向取得了很大的进展，其中比较有代表性的系统如n i d e s 1 7 1 、b r o 引、 e m e r a l d p l 、i d a 1 们、a a f i d f l l l 和m a i d s 1 列。近年来国外许多科研实体、高等院校 等单位对于入侵检测体系结构和高效的检测算法加大了研究【1 3 ”】。p u r d u e 大学正在研 究基于自治a g e n t 技术的分布式入侵检测模型；加州大学d a v i s 分校研究重点放在通用 入侵检测系统构架上；m a r y l a n d 大学巴尔的摩分校正在研究基于策略的大规模分布式入 侵检测模型；s 1 l i 国际正在开发一种分层的基于组件级联的入侵检测工具e m e r a l d ， 此模型为未来的入侵检测研究指明了方向；c a l i f o r n i a 大学的s a n t ab a r b a r a 分校开发的 n e t s t a t 采取了状态迁移分析方法进行实时的入侵检测。还有像f o r r e s t 等人将免疫原 理运用到分布式入侵检测领域，r o s sa n d e r s o n 和a b i d ak h a t t a k 将信息检索技术引进到 了入侵检测系统。 国内在入侵检测问题上偏向于应用方面，也设计开发了些i d s ，如清华大学设计 了一个3 层结构( 园区网络监视站、子网监视站、受监视主机) 的i d s ，分析大型t c p i p 网络中的网络行为【l5 j ：设置i p 陷阱( 受保护子网中的一些专门用于捕捉异常网络流量 包的地址) ，并引入了神经网络方法。复旦大学设计了一个分布式入侵监视系统的模 2 1 绪论 型，在被监视的多个主机上各设置代理，通过安全的r p c 将收集的数据交给中央监视 器处理，整个系统采用专家系统完成对入侵的分析。具有代表性的国内入侵检测系统有 以下几个：深圳市安络科技有限公司的网络入侵检测系统一网警；北京天融信网络安全 技术有限公司的“冰之眼”网络入侵侦测系统；东软集团有限公司开发的网络入侵检测 系统n e t e y ei d s2 0 等等。 伴随i p v 6 应用技术的迅速发展，i p v 6 环境下的入侵技术也相应出现并呈现快速增 长势头，i p v 6 环境下的入侵检测研究已经得到了国内外安全专家的普遍关注。 国外对i p v 6 环境下的入侵检测的研究主要集中在对i p v 6 本身的安全性的讨论以及 i d s 相应改变方面，例如印度的坎普尔印第安大学计算机科学与工程系的y o g e s h c h a u h a n 在”s e c u r i t yi nt h ew a k eo f i p v 6 ”中提出，随着i p v 6 的进一步普及，i p v 6 中将强 制使用i p s e c 等安全措施，进而分析了它们对i p v 6 环境下的入侵所带来的变化，提出了 i p v 6 本身的协议安全性、i d s 以及防火墙的配合是未来网络有效防护的手段【16 1 。a r r i g o t r i u l z i 在2 0 0 3 年发表的一篇”i n t r u s i o nd e t e c t i o ns y s t e ma n di p v 6 ”的论文中提到i p v 6 对 i d s 提出了新的挑战，目前的i d s 要在i p v 6 环境下作很大的改动，但是没有提出具体 的解决方案【l7 1 。国内研究主要集中在i n t e r n e t 的进一步发展，网络高速化和大规模 导致现有的i d s 变化的探讨。 移动代理( m o b i l ea g e n t ，简称m a ) 技术是近几年的新兴技术。目前，国外对基 于m a 的入侵检测技术的研究，己经取得了部分成果。普渡大学的s p a f f o r d 教授等提出 并实现的a a f i d ( a u t o n o m o u sa g e n t sf o r i n t r u s i o nd e t e c t i o n ) 是一个分布式的入侵检测系 统，它是第一个利用自动代理进行入侵检测的模型。美国i o w a 州立大学提出并实现的 m a i d s 是一个多级的、利用移动代理技术的入侵检测系统。哥伦比亚大学( c o l u m b i a u n i v e r s i t y ) 研究小组开发的j a m ( j a v aa g e n t sf o rm e t a - l e a m i n g ) 框架系统将后向学习和 分布式数据挖掘用于入侵检测。日本的信息技术促进代理处( i n f o r m a t i o n - t e c h n o l o g y p r o m o t i o na g e n c y i p a ) 开发的基于多主机的入侵检测代理系统( i n t r u s i o nd e t e c t i o na g e n t s y s t e m i d 柚是最具有代表性也是最成功的利用移动a g e n t 的i d s 系统，它的最大特点 是实现了入侵追踪。我们国家在基于m a 技术的i d s 方面的研究起步较晚，虽然近几年 来国内各大高校也开始这方面的研究，但大多限于理论方面。 1 3 论文的主要工作和章节安排 本文首先对入侵检测系统进行了详细介绍，论述和分析了移动代理技术，基于现有 的成熟的入侵检测技术，结合移动a g e n t 技术应用于入侵检测系统的优势，设计了一种 新型的在i p v 6 环境下基于移动a g e n t 技术的入侵检测系统，系统采用j a v a 技术实现跨 平台的分布性，利用代理来实现分布式信息的采集与分析，采用派发移动代理的方法降 低入侵检测系统对于网络带宽的占用，采用数据加密、数字签名等技术防止针对入侵检 3 西安科技大学硕士学位论文 测系统的攻击，能够解决传统入侵检测技术和手段由于体系结构的限制而无法解决的问 题。具体工作主要包括以下三个部分： ( 1 ) 研究了入侵检测系统的模型和几种典型的入侵检测方法，对现有的入侵检测技术 进行了分析和比较。 ( 2 ) 研究了移动a g e n t 系统中的几个关键技术，重点分析了移动a g e n t 技术应用于入 侵检测系统的优势。 ( 3 ) 设计了一个i p v 6 下基于移动代理技术的分布式入侵检测系统。给出了整个系统 的体系结构和工作流程，完成了系统中的几个关键部件的设计开发工作并在移动代理平 台- i b ma g l e t s 上对系统中的a g e n t s 在主机间的通信进行了验证。 本文的章节安排如下： 第一章：绪论。本章介绍了课题的研究背景，通过分析本课题在国内外的研究现状， 提出了该课题研究的必要性。 第二章：入侵检测系统概述。本章介绍了入侵检测系统中的几个概念，详细阐述了 入侵检测系统的组成结构以及三种不同的分类方法。 第三章：移动代理技术。本章介绍了移动代理的概念、特性以及移动代理系统的体 系结构，详细论述了移动代理系统中的几个关键技术以及移动代理技术应用于入侵检测 系统的优势，最后对移动代理平台进行了介绍。 第四章：基于m a 的i d s 的系统设计。本章设计了一个基于移动代理的入侵检测系 统，对系统中的各部件进行了功能描述，给出了系统的工作流程。 第五章：基于m a 的i d s 系统主要组件设计。本章对系统中的数据收集a g e n t 、数 据分析a g e n t 、综合分析a g e n t 以及规则库这几个主要部件进行了详细分析与设计，并 提出了在系统中加入信息板部件，采用a t p 通信协议来实现a g e n t 间的通信并在移动代 理平台i b m a g l e t s 上进行了验证。 第六章：结论及展望。 1 4 本章小结 本章首先指出了目前的入侵检测系统存在的问题，然后阐述了国内外对入侵检测系 统以及移动代理技术的研究现状，由此得出研究和发展i p v 6 环境下基于移动代理技术 的入侵检测系统对于下一代因特网的安全有效运行具有十分重要的意义。最后列出了本 论文的具体工作以及各章节的主要内容。 4 2 入侵检测系统概述 2 入侵检测系统概述 2 1 入侵检测系统的概念 入侵 5 】( i n t r u s i o n ) 是指任何对系统资源的非授权使用行为，它对资源的完整性、 保密性和可用性造成破坏，可使用户在计算机系统或网络系统中失去信任，使系统拒绝 为合法用户服务等。入侵检测( i n t r u s i o nd e t e c t i o n ) 是对入侵行为的发觉，就是要识别 计算机系统或网络上企图实施或正在进行的入侵活动。入侵检测对系统中用户或系统行 为的可疑程度进行评估，并据此鉴别系统中的当前行为是否正常，从而帮助系统管理员 进行安全管理，并对系统所受到的攻击采取相应的对策。入侵检测系统( i n t r u s i o n d e t e c t i o ns y s t e m ) 就是完成入侵检测任务的系统，包括计算机软件和硬件的组合。 2 2 入侵检测系统的组成 入侵检测系统一般至少应包括三个部分：数据收集、数据分析和响应。组成框图如 图2 1 所示。 数据收集 数据分析 响应 图2 1入侵检测系统框图 ( 1 ) 数据收集模块 数据收集是入侵检测的第一步，收集的内容主要包括系统、网络、文件数据及用户 活动的状态和行为等，收集的信息的可靠性和准确性对入侵检测的好坏起着关键作用。 数据收集可以位于计算机系统或网络中的若干不同关键点。入侵检测利用的数据来源主 要包括系统或网络中的审计信息、物理形式的入侵信息及系统的静态配置。 系统和网络中的审计信息 审计信息可以来自于系统和网络的日志文件。日志文件中记录了各种行为类型，每 种类型又包含着不同的信息，如记录“用户活动 类型的日志中会包含登录、用户i d 5 囝拭 西安科技大学硕士学位论文 改变、用户对文件的访问、授权和认证信息等内容。通过日志文件可以观察到目录和文 件中不期望的改变，特别是那些正常情况下限制访问文件的改变，所以分析日志中的记 录能够发现成功的入侵或入侵企图。 物理形式的入侵信息 物理形式的入侵包括两方面的内容：未经授权对网络硬件的连接和对物理资源的未 授权访问。 系统静态配置的检测 系统静态配置的检测主要是对系统文件的内容或系统表的检测，用于发现系统是否 已经遭到攻击或者破坏。对静态配置的检查一般对事后分析特别是安全结构和策略的设 计极为重要。 ( 2 ) 数据分析模块 数据分析是入侵检测中非常关键的一步，它要对收集到的数据进行整合、浓缩还需 要对数据特征进行提取。常用的分析方法主要有模式匹配、统计分析和完整性分析三种， 前两种用于实时入侵检测，完整性分析用于事后分析。 模式匹配 模式匹配是一种通过将收集到的信息与已知的网络入侵和系统应用模式相比较，来 发现违背安全行为的方法。运用模式匹配的方法只需要收集建立相关模型所需的数据集 合，大大减轻了系统的负担，但是需要不断地更新模式库，它不能检测到从未出现过的 攻击。 统计分析 统计分析是用系统对象的统计性变量刻画主体特征的方法，统计性特征一般包括主 体特征变量( 如访问次数、操作失败次数等) 的出现频率、均值、方差、统计概率分布 等。特征变量的统计特征用于与网络、系统中的当前行为进行比较，如果观察值在正常 值之外，认为有入侵发生。这种方法可以检测到未知的入侵，但是不适应用户正常行为 的突然改变。 完整性分析 完整性分析主要用于事后分析系统中的文件或对象是否被更改，包括文件和目录的 内容、属性等。只要入侵行为导致了文件或其他对象的任何改变，它都能够发现，但是 是在攻击造成破坏后，所以不适用于实时地跟踪和制止入侵行为。 ( 3 ) 响应 系统发现入侵行为时所采取的一系列行动就是响应。响应技术分为主动和被动两 种，主动的响应措施包括在系统的某些部分采取的自动干涉行为，被动响应主要是指将 i d s 发现的可疑现象报告给系统或网络管理员，然后由管理员根据i d s 系统的报告采取 相应的措施，相应措施有切断危险连接、i p 地址跟踪、虚假服务器( 即“蜜罐 技术) 6 2 入侵检测系统概述 等。响应还需要考虑如何终止入侵或攻击，并尽快恢复受影响的服务和丢失的数据。 2 3 入侵检测系统的分类 入侵检测系统的分类方法大致有三种，分类依据分别是数据来源的不同，分析技术 的不同和系统结构的不同。 2 3 1 根据数据来源不同分类 ( 1 ) 基于主机的入侵检测系统 基于主机的入侵检测系统( 1 8 】( h o s t b a s e di d s ，简称h i d s ) 通常是安装在被保护的 主机上，采用系统日志、应用程序日志等审计数据作为检测的数据源，从所在的主机上 收集这些信息进行分析，所以审计数据的准确性和完整性是这种检测系统的关键问题。 基于主机的入侵检测系统一般只能检测该主机上发生的入侵。其模型如图2 2 所示。 图2 2h i d s 模型 优点： 精确判断针对本主机的入侵事件 h i d s 检测的目标主要是主机系统和本地的用户。 监控视野集中 h i d s 可以很容易地监控系统的一些活动，如对敏感文件、目录、程序或端口的存 取。比如：h i d s 可以监督所有用户登录及退出的情况，以及每位用户连接到网络以后 的行为。 适用于被加密的环境 h i d s 使用的是操作系统提供的信息，经过加密的数据包在到达操作系统后，都已 经被解密，所以h i d s 能很好地处理包加密的问题。 对网络流量不敏感 h i d s 检测发生在主机上的活动，处理的都是操作系统事件或应用程序事件而不是 7 西安科技大学硕士学位论文 网络包，所以高速网络对它没有影响。 不需要额外的硬件 缺点： 检测疏漏 由于审计数据是检测系统的关键问题，一些入侵者就会将主机审计子系统作为攻击 目标而避开入侵检测系统。 配置和维护困难 如果系统中的每台主机都安装i d s ，代价将相当高，如果只选择部分重要的主机进 行保护，则又会出现保护的盲点。 占用主机较多资源 安装在主机上的h i d s 会记录所有的传输信息，要求数据库有相当大的磁盘空间。 ( 2 ) 基于网络的入侵检测系统 基于网络的入侵检测系统( n e t w o r k b a s e di d s ，简称n i d s ) 通常安放在某个网段， 来源于网络的信息流作为检测的数据源，n i d s 通过在共享网段上对通信数据的侦听采 集数据，分析可疑现象。一般将某个网段中的一个网络接口设置为混杂模式( p r o m i s c u o u s m o d e ) ，就可以截获该网段传输的所有数据包。其模型如图2 3 所示。 i t x t e r n e t 图2 3n i d s 模型 优点： 监测速度快 n i d s 能够很快监测到攻击并做出反应。 经济性好 n i d s 可以在一个点上监测整个网络中的数据包，不必像h i d s 那样，需要在每一 台主机上都安装检测系统，因此是一种经济的解决方案。 操作系统无关性 n i d s 检测网络包时并不依靠操作系统来提供数据，因此有着对操作系统的独立性。 攻击者不易转移证据 n i d s 使用正在发生的网络通信进行实时攻击的检测。 8 2 入侵检测系统概述 缺点： 数据加密问题 传统的n i d s 工作在网络层，无法分析上层的加密数据，从而也无法检测到加密后 入侵网络包。 0 漏检问题 n i d s 要侦听网络上的每一个数据包，而网络规模的扩大会增加监测系统的负荷， 使得实时监测和响应能力下降，从而增大漏检机率。 2 3 。2 根据检测技术的不同分类 ( 1 ) 异常检测 异常检测( a n o m a l yd e t e c t i o n ) 又称为基于行为的检测，它通过建立一个对应系统 或用户的“正常的活动 的特征轮廓来检测可能的入侵，特征轮廓是对系统静态配置的 描述或是对系统或用户正常行为的描述。当检测系统运行时，首先产生当前行为的相应 轮廓，并与已有的正常行为特征轮廓做比较，如果发生显著偏离则认为是发生异常。其 模型如图2 4 所示。 更新模型 动态生成的模型 图2 4异常检测模型 优点：可以检测出以前没有出现过的攻击方法。 缺点：误报率较高。对于编码和数据存储等系统静态形式而言，正常与异常之间的 界限较容易定义，而对于系统中动态的用户行为和程序行为，其可接受的行为和不可接 受的行为之间的界限较难以定义，因此会产生较高的误报率。 伫) 误用检测 误用检测( m i s u s ed e t e c t i o n ) 又称为基于知识的检测或特征检测，它是建立在对于 任何一种已知的攻击都可以使用某种模式或者特征描述方法进行表示这一基础上的。误 用检测系统首先以某种抽象形式对所有已知类型的攻击模式进行形式化描述，事先定义 某些特征的行为是非法的，然后将观察对象与之进行比较来做出判断，如果入侵者的攻 击方式恰好匹配上检测系统中的模式库，则检测出入侵。其模型如图2 5 所示。 优点：可以有针对性地建立高效的入侵检测系统，误报率较低。 缺点：检测范围受到已知知识的局限，不能检测出未知的入侵活动或已知入侵活动 的变异；系统的维护工作量较大，移植性较差。 9 西安科技大学硕士学位论文 修正现有模型 添加新的规则 图2 5 误用检测模型 2 3 3 根据系统实现的结构分类 ( 1 ) 集中式入侵检测系统 集中式入侵检测系统( c e n t r a l i z e di n t r u s i o nd e t e c t i o ns y s t e m ，简称c i d s ) 指数据 的分析和处理都在同一台主机上完成的系统结构。早期的入侵检测系统大都采用这种结 构，由于系统处理效率低下，不能满足大规模和高宽带网络的安全防护要求，而且检测 准确率较低，漏报和误报较多，对分布式攻击和拒绝服务攻击的检测和防范能力较弱， 现在已经基本不用。 ( 2 ) 分布式入侵检测系统 分布式入侵检测系统( d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ，简称d i d s ) 是将数据 分析任务分配给多个处于不同位置的数据分析组件，各组件相互协作共同完成检测任 务。根据分布的程度，又分为两种： 完全分布式结构 系统中设有全局控制中心，分布性和容错性能好，但管理和进行信息综合较困难， 难以判断相互间有联系的入侵。典型的系统有墨西哥大学提出的基于人工免疫的系统。 部分分布式结构 介于单一结构和完全分布式结构，采用多级别的分布式结构可以解决集中管理和分 布处理的矛盾，典型的系统有s p a f f o r d 提出的自治代理结构。 2 4 入侵检测方法 入侵检测系统经过了二十几年的发展，其中出现了很多入侵检测方法，下面将详细 介绍几种经典的入侵检测方法。 ( 1 ) 基于统计分析的异常检测技术 统计分析用于异常检测主要是通过设置极限阈值的方法将检测数据与已有的正常 行为加以比较，如果超出极限值，就认为是入侵行为。统计分析方法的优点是：能够发 现任何企图的入侵行为，而且更少依赖于特定的操作系统。它的缺点是：统计测量对事 件发生的次序不敏感，单纯的统计入侵检测系统可能不会发觉实践当中依次相连的入侵 1 0 2 入侵检测系统概述 行为；另外，基于统计的异常检测难以确定判断异常的阈值，阈值设置偏低或偏高均会 导致误报警事件。 ( 2 ) 模式匹配的方法 模式匹配的方法用于误用检测，它首先建立一个攻击特征库，事先定义某些特征的 行为是非法的，然后检查捕获的数据包是否包含这些攻击特征，以此判断数据包是不是 攻击。模式匹配方法的优点是：算法简单、准确率高，缺点是：只能检测已知攻击，模 式库需要不断更新。 ( 3 ) 基于神经网络的入侵检测技术 使用神经网络【l9 j 进行异常检测时，首先要将审计日志或正常网络访问行为的信息通 过数据信息与处理模块的处理产生输入向量，再使用神经网络对输入向量进行处理，从 中提取用户正常行为的模式特征，并以此创建用户行为特征轮廓。这要求系统事先对大 量实例进行训练，找出偏离轮廓的用户行为。 “) 基于专家系统的入侵检测方法 专家系统用于误用检测时，一般将有关的入侵知识转化为i f - t h e n 结构，条件部分为 入侵特征，t h e n 部分是系统防范措施。运用专家系统防范入侵行为的有效性完全取决于 专家系统知识库的完备性。其缺点是：攻击特征的提取有较大难度，速度难于满足实时 性的要求。 ( 5 ) 基于数据挖掘的入侵检测技术 将数据挖掘技术应用于入侵检测领域【2 0 】，需要利用数据挖掘中的关联分析、序列模 式分析等算法提取相关的用户行为特征，并根据这些特征生成安全事件的分类模型，应 用于安全事件的自动鉴别。一个完整的基于数据挖掘的入侵检测模型要包括对审计数据 的采集，数据预处理、特征变量选取、算法比较、挖掘结果处理等一系列过程。数据挖 掘技术【2 i 】可以适应处理大量数据的情况，数据挖掘程序可以自动的处理搜集到的审计数 据，为各种入侵行为和正常操作建立精确的行为模式。数据挖掘方法的关键是开发出有 效的数据挖掘算法和相适应的分布式体系。 ( 6 ) 基于数据融合的入侵检测技术 数据融合技术通过综合来自多个不同数据源的数据，对有关事件、行为以及状态进 行分析和推论。在网络中从不同角度、不同位置收集反映网络系统状态的数据信息，然 后在对这些信息进行相应分析和结果融合的基础上，给出检测系统的判断结果和响应措 施。数据融合技术中的算法很多，应用到入侵检测系统中的目前主要有贝叶斯算法。 ( 7 ) 基于协议分析的入侵检测技术 协议分析是新一代的入侵检测探测攻击的主要技术，它利用网络协议的高度规则性 快速探测攻击的存在。协议分析技术对协议进行解码，减少了入侵检测系统需要分析的 数据量，从而提高了检测的速度，由于协议比较规范，因此协议分析的准确率比较高。 西安科技大学硕士学位论文 它弥补了模式匹配技术的计算量大、探测准确性低等问题。另外，协议分析还可以对碎 片攻击进行探测。 2 5 本章小结 本章首先介绍了入侵、入侵检测以及入侵检测系统的概念，然后介绍了入侵检测系 统的三个组成部分：数据收集、数据分析和响应模块，阐述了入侵检测系统的三种分类 方法以及每种分类对应系统的优缺点，最后详细介绍了几种经典的入侵检测方法。 1 2 3 移动代理技术 3 1 移动代理概述 3 移动代理技术 3 1 1 移动代理的定义 移动代理【2 2 1 即移动a g e n t ，是2 0 世纪9 0 年代初g e n e r a lm a g i c 公司为了商业应用而 提出并且第一个实现的。移动代理指的是能够自行决定在网络的各个节点间移动，代表 其他实体( 人或其他a g e n t ) 进行工作的一种软件实体。它能自行选择运行地点和时机， 根据具体情况中断当前自身的执行，移动到另外一个设备上恢复执行并及时将有关结果 返回。移动的目的是使程序的执行尽可能靠近数据源，降低网络通信开销，节省带宽， 平衡负载，加快任务的执行，从而提高分布式系统的处理效率。 3 1 2 移动代理的特性 ( 1 ) 自主性 自主性指行动上的独立性，a g e n t 一旦被初始化以后就独立执行，不需要后来的直 接干预，它控制着自身的内部状态和外部行为，也可以被授权去做出某种决定，完成一 些重要的事情。 ( 2 ) 反应性 反应性指a g e n t 能够感知和作用于它所处的环境，从而对环境的变化做出及时的响 应。环境可以是用户、其它a g e n t 集合等。 ( 3 ) 能动性 能动性指a g e n t 不仅能对所处环境作出响应，还能主动地展现面向目标的行为。 a g e n t 能够探测到适合用户目标的有利场景，通知用户这个场景出现的时机。为了达到 目标，a g e n t 不是光等着接收指令，它会做一些初始化工作。 ( 4 ) 通信性 通信性指a g e n t 之间的交互。a g e n t 之间的交互和联系不是固定不变的，为了协作 完成一件复杂的任务，一些a g e n t 可以形成a g e n t 群，a g e n t 之间的接e 1 可以在运行中 协商，从而减少a g e n t 之间的耦合性，a g e n t 可以以最小的代价和较小的冲突加入系统 或从系统中删除。 ( 5 ) 移动性 移动性指a g e n t 可以在一个网路上随时随地自主的从一台主机迁移到另一台主机 上。a g e n t 将代码和数据封装在执行的一个线程中，每个a g e n t 独立于其他的a g e n t ， 1 3 西安科技大学硕士学位论文 正在运行中的a g e n t 状态可以被存储且传送到新主机上，a g e n t 程序可以被恢复并且继 续从暂停的地方开始执行。 3 2 移动a g e n t 系统的体系结构 移动a g e n t 系统一般包括两个部分：a g e n t ( 包括静态a g e n t 和移动a g e n t ) 和移动 a g e n t 服务器。移动a g e n t 服务器基于a g e n t 传输协议a t p 实现a g e n t 在服务器间的转 移，并为其分配执行环境和服务接口；a g e n t 在移动a g e n t 服务器中执行，通过a g e n t 通信语言相互通信并访问移动a g e n t 服务器提供的服务，如图3 1 所示。 移动a g e n t 服务器移动a