（计算机应用技术专业论文）入侵检测系统中代理的应用及其容错技术研究.pdf

华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文i摘摘 要要随着网络技术的日益普及和发展，网络入侵造成的危害性也越来越大。入侵检测系统是继“防火墙” 、 “数据加密”等传统安全保护措施后的又一种新的网络安全技术，它用于计算机和网络资源上的恶意使用行为进行识别和响应。通过对当前常见的入侵检测系统的研究和分析，发现系统由多个组件组成，且各种组件都极易失效或受到攻击。一旦系统某个组件发生了失效，将导致整个入侵检测系统局部或全面瘫痪，为网络入侵、攻击提供了可乘之机。为了解决上述问题，可以在现有的基于移动代理的入侵检测系统基础上，对入侵检测系统架构进行改进，将入侵检测系统的代理划分为静态代理和移动代理两类。静态代理负责管理协调移动代理和处理入侵检测；移动代理按照一定的路线，在各个主机间移动，收集信息。各代理分工合作，相互协调。并且参照主备份容错模型、执行一次容错模型、滑动窗口容错模型以及代理的工作特性，分别为各种代理设计了容错、失效恢复机制，在一定程度上实现了入侵检测系统失效的自动恢复机制。综合考虑，引入失效恢复机制后的入侵检测系统在不影响网络带宽和检测效率的前提下，极大的改善了系统自身的健壮性和安全性。 这种入侵检测系统框架模型，为同类系统的设计提供了一种思路和方法。关键词：关键词：网络安全，入侵检测，代理，移动代理，容错华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文iiabstractwith the increasing popularity and development of network technology， thedanger of network intrusion is growing. the intrusion detection is a new securitytechnology， apart from traditional security technologies， such as “firewall” and “dataencryption”. intrusion detection system (ids) use to detect the intrusion activities，which come from network.on the basis of research and analysis of the common ids， we found the idshave a number of components， and all components of ids are very ineffective orattacked. once any component failure， ids would be leaded to a partial or completeparalysis， and the system would open to any aggressor.a new intrusion detection system， which is based on existing mobile agentintrusion detection systems， has been designed to resolve the above issues. the idscontains 2 kinds of agents. one is static agent and another is mobile agent. staticagents primarily responsibilities are managing system-wide mobile agents， anddealing with the intrusion of detection; mobile agent migrate among different hostsaccording to certain itinerary to collect the information. both of the agents focus ontheir own tasks， and cooperate with the others. considering main backup module，once execution module， slipping window module and the characteristics of agentswork， fault-tolerant，recovery mechanism have been designed for each agent torealize the robustness for ids.consider all these， with the utilizing of recovery mechanism， the safety androbustness of the system are improved greatly when the ids based on agent does notinfluence net-band and detection effectiveness. the ids framework model is designed.it also provides a method for the design of similar system.key words: networks security，intrusion detection，agent，mobile agent, fault-toleranti独创性声明独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 日期： 年 月 日学位论文版权使用授权书学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密， 在_年解密后适用本授权书。本论文属于 不保密。（请在以上方框内打“” ）学位论文作者签名： 指导教师签名： 日期： 年 月 日 日期： 年 月 日华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文11 绪 论1 绪 论1.1 网络安全的重要性网络安全的重要性随着人类社会生活对 internet 需求的日益增长，网络安全逐渐成为 internet以及各项网络服务和应用进一步发展所需要解决的关键问题，尤其是从 1993 年以来，随着 internet/intranet 技术日趋成熟，通过 internet 进行的各种电子商务和电子政务活动日益增多，很多组织和企业都建立了自己的内部网络并将之与internet 联通。这些电子商务和政务应用和企业网络中的商务秘密便是攻击者的目标。据有关方面统计，目前网络攻击手段多达数千种，使网络完全问题变得极其严峻。目前美国每年由于网络安全问题而遭受的经济损失超过 170 亿美元，德国、英国也均在数十亿美元以上，法国为 100 亿法郎，日本、新加坡问题也很严重1。在国际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪已名列榜首。2003 年，csi/fbi 调查所接触的 524 个组织中，有 56%遇到电脑安全事件，其中38%遇到 1-5 起、16%以上遇到 11 起以上。因与互联网连接而成为频繁攻击点的组织连续 3 年不断增加： 遭受拒绝服务攻击 （dos） 则从 2000 年的 27%上升到 2003年的 42%。调查显示，521 个接受调查的组织中 90%有网站，其中 30%提供电子商务服务， 这些网站在 2003 年 1 年中有 20%发现未经许可入侵或误用网站现象2。更令人不安的是，有 33%的组织说他们不知道自己的网站是否受到损害。据统计，全球平均每 20s 就发生 1 次网上入侵事件，黑客一旦找到系统的薄弱环节，所有用户均会遭殃2。1.2 现有网络安全技术现有网络安全技术随着 internet 的发展，网络安全技术也在网络攻击对抗中不断发展。从总体上看，经历了从静态到动态、从被动防范到主动防范的发展过程。目前，主要的网络安全技术有身份识别与认证、访问控制、加密、防火墙、虚拟专用网和入侵检测系统35。华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文21. 访问控制访问控制防止对资源的未授权使用，包括防止以未授权方式使用某一资源。访问控制需采取两种措施：一种是识别与确证来访系统的用户，即身份认证；另一种是决定该用户对某一系统资源可进行何种类型的访问（读、写、运行等等） 。为了使计算机系统更加安全，需要两种不同类型的访问控制：自主访问控制与强制访问控制。自主访问控制是一种最普通的访问控制手段。在自主访问控制下，用户可以按自己的意愿对系统参数作适当修改以决定哪个用户可以访问他们的文件。一个用户（或一段用户程序或一个进程）可以有选择地与其他用户共享他的文件。强制访问控制是用户与文件都有一个固定的安全属性。系统利用安全属性来决定一个用户是否可以访问某个文件。安全属性是强制性的，它是由安全管理员或操作系统根据限定的规则分配的，用户或用户的程序不能修改安全属性。如果系统认为具有某一安全属性的用户不适于访问某个文件，那么任何人（包括文件拥有者）都无法使该用户具有访问文件的能力。2. 鉴别与认证在可信的计算机信息系统初始运作时，首先要求用户标识自己的身份，并使用保护机制，如（口令、证书等）来鉴别用户的身份；阻止非授权用户访问用户身份鉴别数据。通过为用户提供惟一标识，计算机可信信息系统能够使用户对自己的行为负责。计算机可信信息系统还具备将身份标识与该用户所有可审计行为相关联的能力。具体地说，鉴别与认证（identification and authentication）机制可以根据对你的要求分为三个类别：你了解什么，你有什么和你是什么。每个类别都包括系统向用户索要的“机密”以及只有用户和系统知道的这个“机密”信息。如果用户提供的“机密”与系统所保存的信息相符合，系统就证实用户的身份并且允许用户对系统的访问。3. 加密信息的保密性是信息安全的一个重要方面。早期的安全机制只有加密，通过执行多种功能来保护信息，可以有效地隐蔽数据文件和所传输的内容，消除未授权者监视的可能性，还可以检测到数据的意外更改或有意地篡改，加密还可以为文档的作者提供验证。保密的目的是防止敌手破译信息系统中的机密信息，加密华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文3是实现信息保密性的一种重要手段。所谓数据加密就是使用数学方法来重新组织数据，使得除了合法的接收者外，任何其他人要想恢复原先的“信息” （将原先的信息称为“明文” ）或读懂变化后的“消息” （将变化后消息称作“密文” ）是非常困难的。将密文变换明文的过程称作解密。可用一个数据加密系统实现上述过程，现用图 1.1 来描述该系统。加密技术是保障信息安全的核心技术，它可以在计算机和网络通信中用来解决身份鉴别、访问控制以及信息的保密性、完整性、不可否认性。若在互连、互通、互操作意义下应用密码技术。就必须拥有行业自主的子系列密码算法（包括序列密码、分组密码、公开密钥密码、hash 函数等） 、保证安全性的应用协议、安全应用密码的密钥管理系统以及与系统平台的安全无缝结合。数据信息 密文 数据信息 m图 1.1 加密技术原理图4. 防火墙技术防火墙是近期发展起来的一种保护计算机网络安全的技术，它根据一些规则来过滤 ip 地址以阻止外面的人对被保护的网络进行访问，即所有的防火墙都具有一个共同的特性，即根据源 ip 地址来决定允许或拒绝某些访问的能力。ip 地址是 internet 上最普遍的身份索引，internet 上大多数简单的身份认证都是以 ip地址为依据的。所有的网络设备都在暂时或永久地捕获来访者的 ip 地址，目的是为了向来访者发送数据。防火墙就是通过这种手段而构筑的一道阻止网络中的黑客访问某个机构网络的屏障，这也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立的相应网络通信监控系统来隔离内部和外部网络，以阻挡外部网络的侵入。目前的防火墙主要有包过滤防火墙、代理防火墙和双穴主机防火墙 3 种类型。5. vpn（虚拟专用网）vpn 是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术加密算法加密密钥 kf解 密 密 钥解密算法华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文4所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用 internet 公共数据网络的长途数据线路。所谓专用网络，是指用户为自己定制一个最符合自己要求的网络。虚拟专用网是企业网在因特网等公共网络上的延伸。虚拟专用网通过安全的私有的数据通道将远程用户、公司分支机构内部网、公司业务伙伴的企业网连接起来，构成一个扩展的企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处于一个独立的网络之中。6. 入侵检测 3入侵检测是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。1.3 入侵检测系统概述入侵检测系统概述1.3.1 入侵检测系统的现状入侵检测系统的现状入侵检测系统是近二十多年发展起来的新一代安全防范技术，它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。这是一种集检测、记录、报警、响应的动态安全技术，不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动6。入侵检测是检测和识别针对计算机系统和网络系统，或者更广泛意义上的信息系统的非法攻击，或者违反安全策略事件的过程。它从计算机系统或者网络环境中采用数据，分析数据，发现可疑攻击行为或者异常事件，并采用一定的响应措施拦截攻击行为，降低可能的损失。入侵可以定义为任何企图破坏信息或资源的机密性、完整性、以及可用性的行为7。它通过收集网络系统中的若干关键点信息并进行分析，达到发现网络系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统 （ids-intrusion detection system） 概念的诞生是在 1980年， jamesanderson 发表了文章computer security threat monitoring and surveillance ，这篇文章介绍了对网络上用户的行为及信息进行审计的一种方法8。随着文章的华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文5发表， “检测”这个概念逐渐被用户所接受，anderson 对于入侵检测的理论也成为入侵检测系统设计及开发的基础。在 1983 年，sri 组织和 dorothy 博士开始了为一个政府项目而工作，将一些新的技术应用到入侵检测系统的开发当中。一年以后，dorothy 博士帮助建立起了第一个入侵检测的模型：入侵检测专家系统。这项工作为入侵检测技术的发展提供了良好的基础并带动了入侵检测基础的发展9。到了 1990 年初入侵检测技术开始商业化， “干草堆”实验室第一个推出一个商业化的入侵检测工具 stalker10。同时，美国空军的密码技术中心也开发出一种审计安全衡量系统（asim ，audit security measurement system）11，用于监视美国空军网络传输数据。而 asim 项目的开发小组在 1994 年也发展成了一家商业公司 the wheel group12，他们的产品 netranger，是第一个用于商业化的网络入侵检测系统。从此，入侵检测市场逐渐扩大并开始带来收入，渐渐为市场所主导。入侵检测系统是防火墙的合理补充，帮助系统对付网络的攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应） ，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行检测，从而提供对内部攻击、外部攻击和误操作的实时保护13。入侵检测系统是一个试图通过基于特征或误用检测或两者的结合的技术来实现入侵检测的计算机程序。具体说来，入侵检测系统的主要功能有14：1. 监视、分析用户及系统活动；2. 系统构造和弱点的审计；3. 识别反映已知进攻的活动模式并向相关人士报警；4. 异常行为模式的统计分析；5. 评估重要系统和数据文件的完整性；6. 操作系统的审计跟踪管理，并识别用户违反安全策略的行为；对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制定提供华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文6指南，更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测系统的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时做出响应，包括切断网络连接、记录事件和报警等15。1.3.2 入侵检测系统所面临的主要问题以及发展趋势入侵检测系统所面临的主要问题以及发展趋势从 20 世纪 90 年代到现在，入侵检测系统的研发呈现出百家争鸣的局面，并在智能化和分布式两个方向取得了长足的进展。但是，在入侵检测的技术发展上还是存在着以下主要缺陷16：1. 网络安全设备的处理速度低；2. 入侵检测系统的漏报和误报高；3. 入侵检测系统的互动性能差，整个系统的安全性能低；随着网络技术和网络规模的不断发展，人们对于计算机网络的依赖也不断增强。与此同时，针对网络系统的攻击越来越普遍，攻击手法日趋复杂。ids 也随着网络技术和相关学科的发展而日趋成熟，其未来发展的趋势主要表现在以下方面17。1. 宽带高速实时的检测技术大量高速网络技术如 atm、千兆以太网等近年里相继出现，在此背景下的各种宽带接入手段层出不穷。如何实现高速网络下的实时入侵检测已经成为现实面临的问题。目前的千兆 ids 产品其性能指标与实际要求相差很远。要提高其性能主要需考虑以下两个方面：首先，ids 的软件结构和算法需要重新设计，以期适应高速网的环境，提高运行速度和效率；其次，随着高速网络技术的不断发展与成熟，新的高速网络协议的设计也必将成为未来发展的趋势，那么，现有 ids如何适应和利用未来的新网络协议将是一个全新的问题。2. 大规模分布式的检测技术传统的集中式 ids 的基本模型是在网络的不同网段放置多个探测器收集当前网络状态的信息，然后将这些信息传送到中央控制台进行处理分析。这种方式存在明显的缺陷。首先，对于大规模的分布式攻击，中央控制台的负荷将会超过其处理极限，这种情况会造成大量信息处理的遗漏，导致漏报警率的增高。其次，多个探测器收集到的数据在网络上的传输会在一定程度上增加网络负担，导致网华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文7络系统性能的降低。再者，由于网络传输的时延问题，中央控制台处理的网络数据包中所包含的信息只反映了探测器接收到它时网络的状态，不能实时反映当前网络状态。面对以上问题，新的解决方法也随之产生，例如普渡大学开发的 aafi 系统18，该系统是 purdue 大学设计的一种采用树形分层构造的代理群体，在根部的是监视器代理，提供全局的控制、管理以及分析由上一层节点提供的信息，在树叶部分的代理专门用来收集信息。处在中间层的代理被称为收发器，这些收发器一方面实现对底层代理的控制，一方面可以起到信息的预处理过程，把精练的信息反馈给上层的监视器。这种结构采用了本地代理处理本地事件，中央代理负责整体分析的模式。与集中式不同，它强调通过全体智能代理的协同工作来分析入侵策略。这种方法明显优于前者，但同时带来一些新的问题，如代理间的协作、代理间的通信等。这些问题仍在进一步研究之中。总之，入侵检测技术作为当前网络安全研究的热点，它的快速发展和极具潜力的应用前景需要更多的研究人员参与。ids 只有在基础理论研究和工程项目开发多个层面上同时发展，才能全面提高整体检测效率19。1.4 论文的主要工作论文的主要工作本文在研究传统入侵检测系统的基础上，发现传统入侵检测系统具有很多无法避免的问题，已经无法适应现代网络发展的需要。虽然分布式入侵检测系统能检测到许多传统入侵检测系统所无法检测的网络攻击，但大多数分布式入侵检测系统还不够完善，自身也存在各式各样的缺陷。把代理技术应用到入侵检测系统中，是一个有益的尝试，希望利用代理的优点，特别是移动性以减少网络阻塞，提高系统的实时性、伸缩性、灵活性。同时研究了代理的容错能力，确保了系统自身的安全性。本文一共分为五章。第一章：分析了目前网络安全的重要性，并简单的介绍入侵检测系统的国内、外研究现状、以及发展趋势。第二章：介绍了入侵检测系统的工作原理，将入侵检测系统分为主机入侵检测系统、网络入侵检测系统和分布式入侵检测系统 3 类，并对之进行了分析、总华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文8结了各自的优缺点。分析了常见的几种入侵检测的技术。第三章：对代理技术进行了定义和分类，介绍了代理技术的内容、组成部分和特点。讨论了代理的关键问题。第四章：对基于代理的入侵检测系统提出了一套设计方案，包括系统的结构设计和代理设计。系统结构主要包括三大部分，数据采集模块、数据分析模块和管理模块。其中多个模块中都包含代理以完成一定的通信和检测工作。详细的介绍了系统中代理的工作流程。第五章：对系统安全的重要性给出说明，简要的介绍了几种代理容错模型，提出了系统中的各种代理失效后的容错和恢复机制。第六章：总结了全文的思想，指出了基于代理的入侵检测系统的优、缺点，最后对未来的工作提出展望。华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文92 入侵检测技术基础2 入侵检测技术基础2.1 入侵检测与入侵检测与 p2dr 安全模型安全模型p2dr20模型是一个动态的计算机系统安全理论模型，如图 2.1 所示。它的指导思想比传统静态安全方案有突破性提高。p2dr 是 policy（策略） 、protection（防护） 、detection（检测）和 response（响应）的缩写，特点是动态性和基于时间的特征。图 2.1 p2dr 安全模型p2dr 模型阐述了这样一个结论：安全的目标实际上就是尽可能地增大保护时间，尽量减少检测时间和响应时间。入侵检测技术（intrusion detection）就是实现p2dr 模型中的“detection”部分的主要技术手段。在 p2dr 模型中，安全策略处于中心地位，但是从另一个角度来看，安全策略也是制订入侵检测中检测策略的一个重要信息来源，入侵检测系统需要根据现有已知的安全策略信息来更好地配置系统模块参数信息。当发现入侵行为后，入侵检测系统会通过响应模块改变系统的防护措施，改善系统的防护能力，从而实现动态的系统安全模型。因此，从技术手段上分析，入侵检测可以看作是实现 p2dr 的承前启后的关键环境。2.2 入侵检测技术分类入侵检测技术分类入侵检测是检测和识别针对计算机系统和网络系统，或者更广泛意义上的信p d dp华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文10息系统的非法攻击，或者违反安全策略事件的过程。它从计算机系统或者网络环境中采集数据，分析数据，发现可疑攻击行为或者异常事件，并采用一定的响应措施拦截攻击行为，降低可能的损失。2.2.1 基于主机的入侵检测系统基于主机的入侵检测系统基于主机的 ids21（host intrusion detection systems，hids）在操作系统、应用程序或内核层次上对攻击进行监控。hids 有权检查日志、错误消息、服务和应用程序权限、以及受监控主机的任何可用资源27。另外，hids 应该了解应用程序。它应该知道如何区分正常的应用程序数据和异常数据，并且能够监控进行解码和操作的应用程序数据。hids 的优点在于它拥有对主机的访问特权。hids 能更好地确定攻击是否成功。由于恶意的流量看起来与正常的流量非常相似，所以网络型 ids21（network intrusion detection systems，nids）常常会产生错误警报。由于 hids 产生误报量比 nids 少，因此 hids 在检测真正的入侵上更为准确。hids 借助它的访问特权，监控主机中不易被其他系统访问的特殊组件。操作系统的特殊组件，如 unix 系统的 passwd 文件和 windows 系统的注册表，可以被监控以防滥用。如果这一类型的组件被 nids 监控则要冒很大的风险。hids 要与它所驻留的系统协调一致，并且要具备该被监控主机的一些深入的仅能为 ids 所知的知识。因此 hids 要具备一些关于主机和其正常行为的特殊知识。发送到主机的流量可能被 nids 检测为完全正常，但是可能会被 hids 认为是异常和恶意的。因此，hids 能发现 nids 所不能发现的攻击。基于主机的入侵检测系统也有一些重大的缺点。因为它们驻留在受监控的主机，所以对整个网络的拓扑结构认识有限。hids 不能检测出针对未安装 hids主机的攻击。攻击者可以控制一台未安装 hids 的机器，然后对受到保护的主机进行合法访问，这时 hids 将毫无用处。为了监控入侵尝试，hids 必须安置在每一台危险的主机上。如果一个组织中危险主机的数量不断增长，这将导致成本过高。在主机层次上运行 ids 意味着你需要为想要保护的每一种操作系统准备一个版本的 hids。即使你的组织能够负担这些费用，有勉强够用的版本的 hids或者仅仅能维持系统的运行，也不可能提供完全的保护。从本质上说，hids 是在主机受到攻击之后通过检查日志和错误消息来进行华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文11检测的，这带来了各种问题。一些攻击在数据写入日志之前就控制了主机，有效地避开了 hids。hids 依赖主机与入侵分析员的通信，因此一些使主机完全失去能力的攻击由于阻断了主机与入侵分析员的通讯而可以不被注意地进行。2.2.2 基于网络的入侵检测系统基于网络的入侵检测系统nids 放置在网络基础设施的关键区域，监控流向其他主机的流量。基于网络的入侵检测系统发展迅速并且比 hids 更为人们所接受。nids 的成本比 hids更低，因为它通过一个装置就能保护一大片网段。通过 nids，入侵分析员可以对网络内部和其周围发生的情况有个全方位的认识。对特殊主机或攻击者的监控力度可以相对容易地得到加强或是减弱。与 hids 相比，nids 更为安全也不易中断。nids 应该运行在一台加固的主机上，该主机应该只支持入侵检测相关的服务，这样该机就更为健壮。nids 没有依赖于受监控主机的完整性和可用性的缺点，因而它的监控不易被中断。由于不依赖主机的安全性，与 hids 相比，nids 的证据不易被破坏。那是因为 nids 将其捕获的数据存储在不同的机器上，所以攻击者不能轻易地删除攻击的证据。由于设计上的因素，nids 存在一些固有的缺点。nids 为了保持效率就必须非常高效地捕获网络上的大量流量。当网络流量随时间以指数规律增长时，nids必须能够抓取所有这些流量并即时进行分析。通常，nids 必须小心放置、调整以避免丢包。因此常常需要在中心路由器或者交换机的下游放置多个 nids。nids 也易受到 ids 逃避技术的攻击。黑客们（黑客指那些对网络进行攻击的人，后文同）已经发现了许多隐藏恶意流量以躲开 nids 检测的方法。其中一个方法是在网络连接时发送超出最大容许长度的包来避开 nids 的检测。当出现包过长时，数据会被分隔在多个包内，这称为分段。主机接受了这些分段的包后，必须重新装配它们以正确读取数据。不同的操作系统用不同的规则装配这些包：有些从第一个包开始依次向后，然而有些则相反。只要分段是连续不重叠的，用什么装配规则结果会各不相同。选择正确的装配规则来检测分段攻击是 nids 面临的一个问题。另一个避开 ids 的方法更为简单。因为 nids 捕获在网络中传输的流量，所以阻挠窃听的安全措施会阻止 nids 的这一工作。加密流量常常被用于安全的互华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文12联网网络通信并且日益成为递送保密情报的标准。有些 nids 支持在 ids 引擎分析之前对流量信息解密，但是这又产生了一个新的问题，即一些组织可能不愿接受这种功能。而当前的 nids 还远没有达到完善的境界，仍然存在这样那样的问题，其中一部分问题是采用被动协议分析技术构建的 ids 所无法克服的，主要有以下一些缺陷22。1. 扩展性差：nids 通过将网卡设置成混杂模式来被动监听网络通讯。这就造成了系统的扩展性比较差。例如：当为 l0m 网络设计的 nids 应用到 l00m 网络中去时就会造成比较高的丢包率，通常需要改变整个系统的结构才能解决问题。2. 单点错误：目前大多数的商业 ids 都采用了一个中央控制部件，它用于管理各个探测器的工作，以及对各个探测器产生的事件信息进行相关分析以此来检测分布式协同攻击。当这个中央控制部件由于本身设计缺陷或受到攻击而瘫痪时，整个 nids 也就随之失效了。3. 漏报警和误报警率较高：现有的 nids 系统往往仅仅对来自于网络中单个链接或是单个主机的有关信息进行分析，缺乏有效的关联分析方法，因而漏报警特别是协同攻击的漏报警率比较高。同时简单的字符串匹配是当前 ids 所采用的主要检测手段，因而也相应存在误报警率高的问题。nids 自身易受到攻击：所有 nids 的攻击检测都是基于被动协议分析的。这种机制在根本上有一定的缺陷，易于受到如下三种攻击23。1. 渗透攻击（insertion attack） ：对同一个网络 ip 包，一个 ids 系统会接受，而一个目标终端系统则有可能拒绝。这种缺陷让黑客可以使用渗透攻击使得基于字符串匹配的特征分析失效。2. 欺骗攻击（evasion attack） ：和渗透攻击相反，攻击者也可以巧妙的设计一些特定的 ip 包，使得 ids 系统会拒绝而目标终端系统接收。欺骗攻击使得 ids漏报率提高。渗透攻击和欺骗攻击都是由 ids 系统和目标系统的 tcpip 协议栈的实现差异造成的。3. 拒绝服务攻击（denial of service attack） ：当前针对 ids 系统本身的攻击主要有两种。一种是使 ids 系统资源耗尽，另一种就是触发 ids 系统的主动响应华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文13机制从而造成拒绝服务， 例如当 ids 系统对一个误报警信息进行某种响应 （e g 通知防火墙封掉攻击源 ip）就很可能造成拒绝服务。2.2.3 分布式入侵检测系统分布式入侵检测系统分布式ids最早出现于1991年，它在网络中不同位置安放若干个探测节点，按照制订的规则搜集、整理信息，然后统一交给中央主控节点，由中央主控节点按照规则对信息进行分析判断，从而做出攻击入侵的判断24。分布式ids可以分为两类：主机分布和网段分布25。早期的分布式ids多属于主机分布，即若干个ids分散在网络中的若干个主机上执行，同时又由中央节点对各主机的相关信息做出综合判断。现在的分布式ids多属于网段分布，即在若干网段上搜集信息，又中央节点进行信息处理，执行入侵检测功能。分布式 ids 将信息搜集整理功能和入侵分析判断功能分散在整个网络范围内的多个检测节点上，提高了整个系统的入侵检测效率，并且有对多个节点同时入侵检测的能力。但由于全部检测节点依赖于中央主控节点协同工作，一旦主控节点受到攻击，整个系统也就瘫痪。因此分布式 ids 的安全系数不高，容易产生单点失效问题。2.3 检测入侵的方法检测入侵的方法ids 有几种检测入侵的方法，它们分别适用与监控不同的类型的入侵，ids一般会采用几种检测方法。2.3.1 特征检测特征检测特征检测对那些试图以非标准手段使用系统的安全时间进行鉴别。ids 中存储着已知的入侵行为描述，以此为根据比较系统行为。当某方面的系统调用与一种已知的入侵行为描述匹配时，一次警报就会被提交给 ids 分析员。对已知入侵行为的描述称为特征。特征必须能准确描述某一种特殊入侵行为的特点，同时要避免其他行为引起的误报。在 nids 中，通过对协议元素或是网络流量的内容进行匹配而产生一类特殊的特征。当 nids 检测出流量与某一特征匹配时，就会发出警报。针对 internet 安全系统 blackice defender 的大量 icmp包远程拒绝服务（dos）攻击就是一个易于理解的例子。blackice defender 是一套常见的针对家庭和小企业使用的个人防火墙。一位华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文14安全研究者发现通过向受 blackice 保护的主机发送非常大的 icmp 包会引起该机器的远程主机系统崩溃。 为了检测针对 blackice 的攻击， 任意一个长度超过 10000字节的 icmp 包就会被描述为一条特征。实际上超出这一长度的 icmp 包是不常见的，因此这一特征不会引起大量的误报。特征检测是检测已知攻击的最为准确的技术。当一个特征与一次入侵匹配时，就会产生一个警报。另外，差不多每一种类型的恶意流量都能被一种唯一的特征所鉴别。因此，大部分恶意流量都能被 ids 用特征检测捕获。虽然存在一些攻击能逃过特征检测，但是它们是很小一部分并且可以用其他手段检测出来。特征检测也具有一定的局限性。特征检测并不关心进行特征匹配的行为的意图，因此即使是正常流量也会触发警报。正常流量常常与恶意流量极为相似，因而采用特征检测的 nids 容易产生误报。特征检测需要提前了解攻击，以便对其给出精确的特征描述。由于没有准确的特征描述，这使得采用特征检测的 ids 对未知攻击无能为力。有时候，仅仅修改一个比特就能使攻击避开 ids 的检测。新的攻击需要新的特征， 攻击手段的增长使得特征库随之也不断增长。 在 ids入侵检测时，每一个包都要与所有的特征进行匹配。随着网络带宽的增长，计算花费代价也越来越大。当带宽超出了 ids 的承受能力时，ids 就会漏包或者丢包。这种情况下，漏报就会变的很严重。虽然特征检测存在上述缺点，但是目前在市场上，采用特征检测的 ids 还是性能最突出、最可靠的。2.3.2 异常检测异常检测异常性检测是指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测。该方法与系统相对无关，通用性较强。它甚至有可能检测出以前从未出现过的攻击方法，不象基于行为的检测那样受己知脆弱性的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述，况且每个用户的行为是经常改变的，故其主要缺陷在于误检率很高，尤其在用户数目众多，或工作目的经常改变的环境中。其次由于统计简表要不断更新，入侵者如果知道某系统在检测器的监视之下，他们能慢慢地训练检测系统，以至于最初被认为是异常的行为，经一段时间训练后也被认为是正常的了。华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文15异常性检测方法主要有以下几种。1. 概率统计方法概率统计方法是异常性检测方法中应用最早也是最多的一种方法。首先，检测器根据用户对象的动作为每个用户都建立一个用户特征表，通过比较当前特征和己储存定型的以前特征，从而判断是否为异常行为。用户特征表需要根据审计记录情况不断的加以更新。2. 基于数据挖掘的异常检测方法计算机联网导致大量审计记录，而且审计记录大多是以文件形式存放（如unix 系统 sulog） ，若单独依靠手工方法去发现记录中的异常现象是不够的，往往是操作不便， 不容易找出审计记录间的相互关系， wenke lee 利 salvatore j.stolfo将数据挖掘技术应用到入侵检测的研究领域中，从审计数据或数据流中提取感兴趣的知识，这些知识是隐含的、事先未知的、潜在的有用信息，提取的知识表示概念、规则、规律、模式等形式，并可利用这些知识去检测异常入侵和已知的入侵。基于数据挖掘的异常检测方法目前已有现成的 kdd 算法可以借用，这种方法的优点是可适应处理大量数据的情况，但是，对于实时入侵检测则还存在问题，需要开发出有效的数据挖掘算法和相适应的体系。2.3.3 完整性检验完整性检验完整性检验是一种简单且高效的监控入侵者的方法。它为系统的每个文件生成一个校验和，然后定期地将这个校验和与源文件比较，以确保文件没有被修改。如果文件未授权修改，就会发出警报。任何一个系统正常运作时都会带来大量文件规则的变化。因此，必须小心调整完整性检验 ids，以避免误报。当发生合法的变化时，需要重置校验和。完整性检验可以用于检测网页的篡改。攻击者常常可以进入未打补丁的对外的 web 服务器显示的内容。完整性检验 ids 能对特殊的 web 页面文件产生校验和并对其监控。当攻击者改变 web 页面的内容时，校验和检验失败，从而引起相关人员的注意。网站发布的网页文件不能频繁更改，否则会引起大量的误报。另外，ids 可以被配置成自动回滚恢复到文件的初始状态。完整性检验也有其局限性。完整性检验技术的主要缺点是需要访问受监控主机上的敏感文件。这就意味着它是一种严格的基于主机的入侵检测系统，也就是华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文16说，它继承了 hids 所有功能缺陷和缺点。另外，校验和会因与掺假的源文件进行匹配而改变，从而使完整性检验 ids 失去作用。将校验和存储专用的加固服务器上，能降低这一风险，但是不能完全将其排除。2.4 入侵检测系统评估的主要性能指标入侵检测系统评估的主要性能指标根据不同的网络环境和要求，可以设计出多种多样的入侵检测系统。评估一个入侵检测系统的好坏主要有如下指标。1. 可靠性：系统具有容错能力和可连续运行性。2. 可用性：系统开销要尽量小，不会严重降低主机和网络系统性能。3. 可测试性：通过攻击实验可以检测系统运行。4. 适应性：对系统来说必须是易于开发和添加新的功能，能随时适应系统环境的改变。5. 实时性：系统能尽快地觉察入侵企图以便制止入侵活动和限制破坏。6. 准确性：检测系统具有低的误报率和漏报率。7. 安全性：检测系统必须难于被欺骗和能够保护自身安全。2.5 本章小结本章小结本章从计算机的安全模型入手，详细的介绍了当今入侵检测技术的三种分类方法：基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统。并对hids和nids的优缺点做了进行比较。在第三节，探讨了入侵检测的三种方法：特征检测、异常检测和完整性检测。最后给出了入侵检测系统的7条评估的标准。华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文173 代理技术基础3 代理技术基础3.1 代理的定义代理的定义代理（agent）的研究可追溯到 70 年代分布式人工智能的研究，主要分两条研究主线，一条围绕经典人工智能展开，主要研究 agent 的拟人行为，多 agent 协商模型等，其研究方向可分为 agent 理论、agent 体系结构、agent 语言、多 agent 系统等，这些 agent 也被称为“智能 agent”或“强定义”的 agent；另一条从 90 年代左右到现在，以应用研究为主，将经典人工智能关于 agent 的“强定义”弱化，拓宽了 agent 的应用范围，新的研究方向主要包括界面 agent，基于 agent 的软件工程等。由于 agent 的应用范围非常广，在不同的领域有不同的概念与功能，所以目前还没有一个统一的广泛被大家接受的定义。广义的 agent 可包括人类、物理世界中的移动机器人和信息世界中的软件机器人。狭义的 agent 专指信息世界中的软件实体。它们具有一定程度的智能，其智能化的程度可以从简单的预定义规则到复杂的自学习人工智能推理机。agent 可以代表其它实体如用户、系统资源或其他程序自主地运行，并常常是事件或时间驱动的；它可与用户、系统资源或其它 agent 进行通信以执行自己的任务；更先进的 agent 可与其他 agent 合作承担单个 agent 无法完成的任务。agent 还可根据需要从一个系统迁移到另一个系统上运行。尽管 agent 没有统一的定义，但大多数研究者认为，agent 至少应具有以下属性。1. 自治性代理可以控制自己的活动，当用户将任务委派给代理之后，它无论遇到什么情况，都应当设法独立地完成用户的请求。代理可以在没有人或其它代理直接干预下完成任务，并能对自身行为和内部状态进行控制。2. 社会性代理能够与人或其它代理相互作用和通讯，通过相互通讯，可以和其它代理进行有效地协同工作。各代理之间能够分工合作，合理地划分任务，均衡负载，完成任务。3. 反应性华 中 科 技 大 学 硕 士 学 位 论 文华 中 科 技 大 学 硕 士 学 位 论 文18代理处于一个环境之中并且作为这个环境的一部分，它根据掌握的知识，能够感测这个环境的变化，对环境的改变做出及时、合理地反应，同时逐渐建立自己的活动规划，以应付未来可能感测到环境的变化。它还能根据内部知识和外部激励来决定并控制自己的行为。4. 学习性单个代理的学习是指其通过与外部世界的交互作用，获取所在工作环境的特性，从而调整自身的行为与之相适应。通常有两种类型的学习方式：一是集中的独立式学习，如单个代理创建新的知识结构或通过实践来学习。二是分布的汇集式学习。如一组代理通过交换知识或观察别的代理行为的学习。5. 移动性可以从一台计算机移动到另一台计算机。代理的移动一般是在异质主机上持续移动。由于代理会在运行状态下挂起、移动，然后继续执行，因此移动的对象除了程序外，还必须有代理的当前运行状态信息和相应的数据。移动 agent