（计算机应用技术专业论文）入侵检测系统中移动agent迁移策略研究.pdf

入侵检测系统中移动a g e n t 迁移策略研究 摘要 随着计算机和网络技术的飞速发展，计算机安全问题日益突出。入侵 检测是计算机安全体系结构中的一个重要的组成部分。目前入侵检测系统 的研究已经有了长足的进步，开发出了许多针对不同需要的产品，但面对 日益更新的网络环境和层出不穷的攻击方法，传统构建入侵检测系统的方 法显得缺乏一定的有效性、适应性和可扩展性。 移动a g e n t 技术是为解决复杂、动态、分布式智能应用而提出的一种全 新的计算手段，涉及迁移策略、通信机制、安全体系等多方面技术，其中 迁移策略是其基础核心技术。所谓迁移策略即是指移动a g e n t 如何以最小 的代价迁移到目的地并完成任务，它的优劣直接影响到移动a g e n t 的性能 乃至其任务的完成。在入侵检测系统应用方面，移动a g e m 具有提高入侵 响应速度、减少网络负荷、动态适应、自治和异步执行、系统的可扩展性 和可维护性好、能解决不同入侵检测系统互操作和不稳定的网络服务质量 的问题等优势。 本文对入侵检测技术和移动a g e n t 技术进行了分析和研究，在此基础 上，借鉴已有的一些研究成果，总结了一种基于移动a g e n t 的分布式入侵 检测系统模型，采用以移动a g e n t 为组织单元的结构。兼顾基于主机入侵 检测系统和基于网络入侵检测系统的优点：然后在分析现有迁移策略的基 础上研究了一种改进的移动a g e n t 迁移策略，该策略考虑了服务质量和服 务价格等因素对迁移的影响来改进旅行图节点结构，并提出一种服务定位 方法来确定未知迁移节点以及允许a g e n t 回溯的方法来进一步确保a g e n t 任务的完成。该迁移策略能根据当前网络的软硬件环境和其他负载信息， 动态地为移动a g e m 规划出一条最佳迁移路径；该策略还能够避免网络断 连、主机故障及服务失效引起的迁移失败，保证移动a g e n t 迁移的顺利进 行。 关键词：入侵检测，移动a g e n t 。迁移策略 r e s e a r c ho nm i g r a t i o ns t r a t e g yo fm o b i l ea g e n ti n i n t r u s i o nd e t e c t i o ns y s t e m a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to ft h ec o m p u t e ra n dn e t w o r kt e c h n o l o g y ， c o m p u t e rs e c u r i t yi si n c r e a s i n g l ym o r ei m p o r t a n t t h ei n t r u s i o nd e t e c t i o ni s a ne s s e n t i a lc o m p o n e n to ft h es e c u r i t ya r c h i t e c t u r e s c u r r e n t l y , r e s e a r c ho f i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) h a sb e e nm a d eg r e a tp r o g r e s s an u m b e ro f p r o d u c t sf o rd i f f e r e n tn e e d sw e r ed e v e l o p e d b u ti nt h ef a c eo fr a p i dc h a n g e d ， u p d a t e dn e t w o r ke n v i r o n m e n t sa n dv a r i o u sn e wa t t a c km e t h o d s ，t os o m e e x t e n t ，t h et r a d i t i o n a lc o n s t r u c t i n gm e t h o do fi d ss e e m sl a c ko ft h ev a l i d i t y ， a d a p t a b i l i t ya n de x t e n s i b i l i t y m o b i l ea g e n tt e c h n o l o g yi san e wm e t h o di nt h er e s e a r c ho ft h ec o m p l e x ， d y n a m i c ，d i s t r i b u t e d a n di n t e l l i g e n tp r o b l e m s ，w h i c hi sc o n c e r n e da b o u t m i g r a t i o ns t r a t e g y , c o m m u n i c a t i o nm e c h a n i s m ，s e c u r i t ys y s t e m ，a n ds oo n t h em i g r a t i o ns t r a t e g yw h i c hi st h em o b i l ea g e n th o wt or e a c ht h ed e s t i n a t i o n a n dc o m p l e t ei t st a s kw i t ht h el o w e s tc o s ti st h eb a s ec o r et o p i co fi t t h e p e r f o r m a n c eo fm o b i l ea g e n ta n dt h ec o m p l e t i o no ft h et a s ka r ea f f e c t e db y t h em i g r a t i o ns t r a t e g y i nt h ei d s ，t h ei m p o r to fm o b i l ea g e n tc a ni n c r e a s et h e s p e e do fi n t r u s i o nr e s p o n s e ，r e d u c en e t w o r kl o a d ，a d a p te n v i r o n m e n t d y n a m i c l y , e x e c u t ei t s t a s ka u t o n o m o u s l ya n da s y n c h r o n o u s l y ，m a k et h e e x t e n s i o na n dm a i n t e n a n c eo ft h es y s t e ma r ee a s y , s o l v et h ep r o b l e ma b o u t t h ei n t e r o p e r a b i l i t yo fd i f f e r e n ti d sa n di n s t a b i l i t yi nt h eq u a l i t yo fn e t w o r k s e r v i c e sa n ds oo n i nt h i sd i s s e r t a t i o n ，w ea n a l y z ea n ds u m m a r i z et h et e c h n o l o g i e so fi d s a n dm o b i l ea g e n tf i r s t l y t h e nw ei n t r o d u c et h ed e s i g no ft h es y s t e m a r c h i t e c t u rm o d e lo fm o b i l ea g e n t b a s e dd i s t r i b u t e di d st h a tt h eu n i te e l li s m o b i l ea g e n t ，w h i c hh a st h ea d v a n t a g e so fh o s t - b a s e di d sa n dn e t w o r k b a s e d i d s t h en e x ti st op r o p o s ea ni m p o v e dm i g r a t i o ns t r a t e g yo nt h eb a s i so ft h e a n a l y s i so fe x i s t i n gk n o w l e d g e w ei m p r o v et h en o d eo ft h ei t i n e r a r yg r a p h a n dp r o p o s ean e wm e t h o dt ol o c a t eu n k n o w nn o d eb a s e do ns o m ec o n s t r a i n t c o n d i t i o nl i k et h eq u a l i t ya n dp r i c eo ft h es e r v i c ea n dg i v et h er e t r o s p e c t a b i l i t yt ot h em o b i l ea g e n tt oe n s u r eu l t e r i o r l yt h ec o m p l e t i o no fi t st a s k t h e s t r a t e g ya p p l i e st h o s em e t h o d si no r d e rt op e r c e i v ee f f e c t i v e l yt h ec h a n g e so f n e t w o r ke n v i r o n m e n ta n dd y n a m i c a l l yc h o o s et h eb e s tm i g r a t i o np a t hb a s e d o nt h e s ec h a n g e sa n dc o n s t r a i n tc o n d i t i o nw i t ht h ei t i n e r a r ym a p ，i tc a nl o c a t e u n k n o w nh o s ta n dt r a c eb a c kt or e d ot a s k t h es t r a t e g ya l s oa v o i d sm i g r a t i o n f a i l u r ec a u s e db yn e t w o r kd i s c o n n e c t i o na n dc o m p u t e r sn o d ec r a s h i n ga n d s e r v i c ei n v a l i d a t i o nt o c o m p l e t e t h em i g r a t i o no ft h em o b i l e a g e n t s u c c e s s f u l l y k e y w o r d s ：i n t r u s i o nd e t e c t i o n ，m o b i l ea g e n t ，m i g r a t i o ns t r a t e g y 1 1 1 插图清单 图2 1入侵检测的基本原理图8 图2 2d e n n i n g 的通用入侵检测系统模型9 图2 3入侵检测系统c i d f 模型1 0 图2 4 异常入侵检测模型1l 图2 5 误用入侵检测模型1 2 图3 1 移动a g e n t 系统1 9 图4 1 a g l e t 的系统框架图2 7 图4 2a t p 协议示意图2 7 图4 3 a g l e ta p i 模型( 基本通信模型) 2 8 图4 4a g l e t 的生存周期2 9 图4 5a g l e t 对象的转换过程3 0 图4 6 总体结构3 3 图4 7 基本体系结构3 4 图4 8 m a n a g e r 结构图3 5 图4 9a g e n tp l a t f o 珊结构3 6 图4 1 0 移动a g e n t 结构3 7 图5 1k 连接弧表示的三种移动语义4 3 图5 2 动态变化的旅行图4 4 图5 3k 连接弧的权4 6 图5 4 图5 2 对应的改进的旅行图4 9 图5 5 基于改进的旅行图的迁移策略算法流程图5 4 图5 6d d o s 攻击过程图5 6 图5 7 实例的旅行图5 7 图5 8 对应的可能解图。5 8 图5 9m a 迁移时间变化曲线5 9 v i i i 表4 表4 表4 表5 表格清单 a g i e t 事件表3 0 环境变量配置表3 l 移动代理系统安全性能比较3 9 主机特征参数4 5 i x 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成 果。据我所知，除了文中特别加以标志和致谢的地方外，论文中不包含其他人已经发表 或撰写过的研究成果。也不包含为获得 金胆王些太堂或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确 的说明并表示谢意。 学位论文作者签字：诗 签字日期：力旷8 年。6 月加日 学位论文版权使用授权书 本学位论文作者完全了解 金起王些太堂有关保留、使用学位论文的规定有权 保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅或借阅。本人 授拯金鳇王些太堂可以将学位论文的全部或部分论文内容编入有关数据库进行检 索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文 签字日期闷日 学位论文作者毕业后去向： 工作单位： 通讯地址： 导师签名： 签字日期多扩珲月矽日 电话。 邮编： 致谢 本论文是在我的导师叶震老师的悉心指导下完成的。在本文写作期 间，叶老师给予了我很多建设性的指导和帮助，并多次对文稿进行了细心 的审阅，使我能顺利的完成论文和学业。在此，我谨以最诚挚的心情向叶 老师表示衷心的感谢! 感谢实验室的兄弟姐妹，感谢他们在三年研究生学习期间从学习上、 生活中给予我的支持和帮助，与他们共度的这段学习时光充实而快乐，是 我一生中最难忘的回忆。 在此，我还要特别感谢我的女友和我的父母，在我忙于学业、研究和 准备论文的时候，是他们给予我最有力的支持和鼓励。 感谢我的家人及朋友对我的支持和帮助，以及他们为我所做的一切。 最后再次衷心的感谢所有关心和帮助过我的老师和同学们! i v 作者。方军 2 0 0 8 年6 月 1 1 研究的背景 第一章绪论 随着计算机和网络技术在社会生活各方面应用的飞速发展，计算机和计算 机网络已经成为人们生活中不可或缺的重要组成部分。当企业、银行与其他商 业与金融机构在电子商务热潮中纷纷进入i n t e n r e t ，以政府上网为标志的数字政 府使国家机关与i n t e r n e t 互联。通过i n t c r n e t 实现包括个人、企业与政府的全社会 信息共享己逐步成为现实。随着网络应用范围的不断扩大，越来越多的敏感信 息在网络上存储、操作和传输，造成越来越多的网络系统面临攻击和入侵的威 胁。无论政府、商务，还是金融、媒体的网站都在不同程度上受到入侵与破坏， 并且随着网络规模的不断扩大，网络安全事故的数量以及其造成的损失也在成 倍地增长，计算机网络安全问题日益突出，网络安全已成为国家与国防安全的 重要组成部分，同时也是国家网络经济发展的关键，成为整个社会关注的焦点。 现今网络正朝着宽带化、高速化的方向发展，而随着攻击者知识的日趋成 熟，攻击工具与手法的日趋复杂多样，网络信息安全问题日益严重。同时网络 攻击的动机从技术炫耀型转向利益驱动型，网络攻击的组织性、趋利性、专业 性和定向性继续加强，从而导致为获得经济利益的恶意代码和在线身份窃取成 为网络攻击的主流而瞄准特定用户群体的定向化信息窃取和勒索成为网络攻 击的新趋势。 截至2 0 0 7 年6 月，我国互联网用户已经从2 0 0 1 年的2 6 5 0 万激增到1 6 2 亿，而 计算机病毒感染率在连续两年呈下降趋势后又出现较大反弹达至f 9 1 。4 7 。2 0 0 6 年病毒发展出现另一种新趋势趋利性增强。2 0 0 6 年5 至6 月份相继出现针对 银行的木马、病毒事件和进行网络敲诈活动的。敲诈者一病毒。自2 0 0 6 年11 月 至2 0 0 7 年6 月，我国又连续出现“熊猫烧香一、“仇英 、。艾妮一等盗取网上 用户密码帐号的病毒和木马。病毒制造、传播者利用病毒木马技术的进行网络 盗窃、诈骗活动，通过网络贩卖病毒、木马，教授病毒编制技术和网络攻击技 术等形式的网络犯罪活动明显增多i ij 。世界著名的商业网站，如y a h o o ，b u y ， e b a y ，a m a z o n 都曾被黑客入侵，造成巨大的经济损失。甚至连专门从事网络安 全的r s a 网站也受到黑客的攻击。据初步估计，当今世界平均每2 0 秒钟就有一 起黑客事件发生，仅在美国每年造成的经济损失就超过1 0 0 亿美元。 对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设 施的安全已经成为刻不容缓的重要课题。 相对于传统的破坏手段而言，网络入侵具有以下特点：第一，网络入侵不 受时间和空间的限制。入侵者可以在任意时刻通过任意一个网络节点向另一个 网络节点发动攻击，而不必考虑这两个节点实际地理位置之间的距离远近，这 就使大规模的分布式入侵成为可能。比如困扰国际安全界多年的d o s 入侵：第 二，随着网络速度的不断提升，网络中正常传输的数据量也飞速增加，而入侵 数据往往混杂在大量正常的网络活动之中，很难有一种有效的手段将其分辨出 来；第三，入侵手段复杂多样，阶段式、分布式等新的入侵手段的出现，使得 入侵活动更具有隐蔽性和欺骗性：第四，与传统的破坏手段相比，网络入侵具 有更大的危害性。 对于网络安全来说，单纯的防火墙技术已暴露出明显的不足和弱点。比如： 无法解决安全后门的问题，不能阻止网络内部攻击，很难提供实时入侵检测能 力等。这种情况下，就需要提出更多、更强大的主动策略和方案来增强网络系 统的安全性，其中一个有效的解决途径就是采用入侵检测技术。入侵检测系统 能同时检测来自网络外部的恶意攻击和内部的破坏行为，以其动态防护的特点 而成为网络安全中极为重要的一个部分，可以弥补防火墙的不足，作为安全技 术其作用在于： ( 1 ) 识别入侵者。 ( 2 ) 识别入侵行为。 ( 3 ) 检测和监视己成功的安全突破。 ( 4 ) 为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大。 因此，将入侵检测引入网络安全防护中非常必要。但随着网络技术的发展， 网络体系结构日趋复杂，异构多样化的分布式环境和高带宽的网络流量都对入 侵检测技术提出了严峻考验，致使传统的入侵检测统虚警率高，协同检测分布 式攻击和实时响应能力不足，难以处理高带宽的数据流量。而分布式入侵检测 被公认为解决上述问题的最佳方案，因此成为了信息安全技术研究的热点( ”。 在入侵检测技术发展的同时，入侵技术也在更新，从规模与方法上都发生 了变化，攻击对象的转移就是其中的一个重要的。发展一，由攻击网络改为网 络的防护系统，且有愈演愈烈的形势。现在已经有了专门针对i d s 作攻击的报 道。攻击者详细地分析了i d s 的审计方式、特征描述、通信模式找出i d s 的弱点， 然后加以攻击。所以，如何增强i d s 的抗攻击性和安全性也获得了越来越多的 关注。 1 2 入侵检测系统简介 入侵检测( i n t r u s i o nd e t e c t i o n ) ，通过对计算机网络或计算机系统中的若干 关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略 的行为和被攻击的迹象【3j 。 与其他安全产品不同的是，入侵检测系统需要更多的智能，它应能对得到 的数据进行恰当分析，并得出有用的结果。入侵检测是对传统安全产品的合理 补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，包括安全 2 审计、监视、进攻识别和响应。 具体说来，入侵检测系统的主要功能有【4 5 l ： ( 1 ) 监测并分析用户和系统的活动，检测和记录网络中的安全违规行为。 ( 2 ) 评估系统关键资源和数据文件的完整性。 ( 3 ) 识别已知的攻击行为。 ( 4 ) 统计分析异常行为，报告计算机系统或网络中存在的安全威胁。 ( 5 ) 操作系统日志管理，并识别违反安全策略的用户活动。 1 3 入侵检测发展简史 1 9 8 0 年4 月，j a m e sp a n d e r s o n 在给美国空军所做的一份题为( c o m p u t e r s e c u r i t yt h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ) 的技术报告中指出。审计记录可以 用于识别计算机误用，他对威胁进行了分类，第一次详细阐述了入侵检测的概 念，将入侵尝试( i n t r u s i o na t t e m p t ) 或威胁( t h r e a t ) 定义为：潜在的有预谋未经授 权访问信息、操作信息、致使系统不可靠或无法使用的企图。以此为标志，国 外一些机构在8 0 年代就开展了基础研究工作。此后的2 0 多年间，入侵检测技术 到了很大发展。美国将这一领域作为计算机安全技术的研究重点，实施了如下 一代入侵检测专家系统n i d e s ( n e x tg e n e r a t i o ni n t r u s i o nd e t e c t i o ne x p e r t s y s t e m ) 、分布式入侵检测系统d i d s ( d i s t r i b u t e di d s ) 、网络入侵检测器n i d ( n e t w o r k si n t r u s i o nd e t e c t o r ) 、e m e r a l d ( e v e n tm o n i t o r i n ge n a b l i n gr e s p o n s e s t oa n o m a l o u sl i v e d i s t u r b a n c e s ) 等研究计划。我国也将信息安全技术列为重点发 展方向，得到了8 6 3 等项目的重点支持。 从1 9 8 4 年到1 9 8 6 年，乔治敦大学的d o r o t h yd e n n i n g 和s r i c s l ( s r i 公司计 算机科学实验室) 的p e t e rn e u m a n n 研究出了一个实时i d s 模型i d e s ，为构建i d s 提供了一个通用的框架”j 。 1 9 8 8 年的莫里斯蠕虫事件发生之后，网络安全才真正引起了军方、学术界和 企业的高度重视。导致了许多i d s 系统的研究开发。其中d i d s ( 分布式入侵检测 系统) 是入侵检测系统发展历史上的一个里程碑，它的检测模型采用了分层结 构。 1 9 9 0 年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯 分校的l t h e b e r l e i n 等人开发出t n s m ( n e t w o r ks e c u r i t ym o n i t o r ) ，该系统第 一次直接将网络流作为审计数据来源。从此之后，入侵检测技术的两大领域正 式形成：基于网络的i d s 和基于主机的i d s 6 l 。 19 91 年，n a d i r ( n e t w o r ka n o m a l yd e t e c t i o na n di n t r u s i o nr e p o r t e r ) 与 d i d s ( d i s t r i b u t ei n t r u s i o nd e t e c t i o ns y s t e m ) 提出了收集和合并处理来自多个主 机的审计信息以检测一系列主机的协同攻击【7 1 。 l9 9 4 年，m a r kc r o s b i e 和g e n es p a f f o r d 建议使用自治代理( a u t o n o m o u s 3 a g e n t s ) 以便提高i d s 的可伸缩性、可维护性、效率和容错性，该理念非常符合 正在进行的计算机科学其他领域( 如软件代理，s o f t w a r ea g e n t ) 的研究。 1 9 9 5 年开发了i d e s 完善后的版本- - n i d e s ( n e x t g e n e r a t i o ni n t r u s i o n d e t e c t i o ns y s t e m ) 可以检测多个主机上的入侵。 1 9 9 6 年g r i d s ( g r a p h - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) 的设计和实现，使得 对大规模自动或协同攻击的检测更为便利，这些攻击有时甚至可能跨过多个管 理领域。 同年，w l e e 提出了和实现了在c i d f ( c o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ) 上实现多极i d s ，并运用数据挖掘技术对审计数据进行处理。 2 0 0 0 年，普渡大学的d i e g oz a m b o n i 和e s p a f f o r d 提出了入侵检测的自治代 理结构，并实现了原型系统a f f i d 系统。 近些年来，入侵检测的主要创新包括：f o r r e s t 等将免疫原理运用到分布式 入侵检测领域。1 9 9 8 年r o s sa n d e r s o n 和a b i d ak h a t t a k 将信息检索技术引进到入 侵检测。 2 0 0 0 年2 月，对y a h o o ，a m a z o n ，c n n 等大型网站的d d o s ( 分布式拒绝服务1 攻击引发了对i d s 系统的新一轮研究热潮。 1 4 本文的内容结构 本文按以下结构进行组织： 第一章提出本文研究背景，并对入侵检测进行了简单介绍。 第二章详细介绍入侵检测原理和技术，阐述入侵检测系统的基本理论， 包括入侵检测系统的定义、分类、工作原理、体系结构、实现方法、评判标准 以及发展趋势等。 第三章介绍a g e n t 和移动a g e n t 技术，分析移动代理技术的特点、体系结构、 关键技术和安全性等，最后介绍在入侵检测系统中引入移动代理技术的研究情况。 第四章分析i b m 的a g l e t 系统，并在此基础上研究了基于移动a g e n t 的分布 式入侵检测模型，包括模型体系结构、各组成部分、工作流程和安全性分析等。 第五章介绍了移动a g e n t 迁移策略研究现状以及旅行计划和旅行图的概 念，分析了现有的两种迁移策略。最后研究了基于改进的旅行图的移动a g e n t 迁移策略。 1 5 本章小结 本章通过大量的调查数据指出了当前网络的安全状况和引入入侵检测系统的重要 性，给出了入侵检测的定义，并且简要介绍了入侵检测研究的发展简史，最后给出了 本论文的组织结构。 4 第二章入侵检测技术 入侵检测技术i d s 是一种主动保护自己免受攻击的网络安全技术。作为防 火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理 员的安全管理能力( 包括安全审计、监视、攻击识别和响应) ，提高了信息安 全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析 这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性 能的情况下能对网络进行监测。 2 1 入侵检测技术的定义 。入侵”( i n t r u s i o n ) 是一个广义的概念，不仅指攻击的发起人( 如恶意的黑 客) 取得超出合法范围的系统控制权，也包括了漏洞信息收集和造成拒绝服务访 ( d o s ，d e n i a lo f s e r v i c e ) 等危害计算机系统的行为。入侵的定义有多种，一种公 认的定义是由r h e a d y 等人提出的：入侵，是任何企图破坏资源的完整性、保 密性和可用性的行为集合。 对于入侵检测( i n t r u s i o nd e t e c t i o n ) ，一种定义认为它是一种试图通过观察 行为、安全日志或审计数据来检测针对计算机或网络入侵的技术，这种检测通 过手工或专家系统软件对日志或其它网络信息进行分析来完成。进行入侵检测 的软件与硬件的组合便是入侵检测系统1 8 l ( i n t r u s i o nd e t e c t i o ns y s t e m ，简称 i d s ) 。 2 2 入侵检测技术的分类 入侵检测系统有不同的分类标准，按照不同的分类标准可以得到不同的分 类结果，下面分别依据不同的分类标准对入侵检测进行分类。 2 2 1 按数据源分类 入侵检测系统按照分析的数据，可以分为基于主机的入侵检测系统和基于 网络的入侵检测系统。 ( 1 ) 基于主机的入侵检测系统 基于主机( h o s t b a s e di d s ) 的入侵检测系统通常是安装在被保护的主机上， 采用系统日志、应用程序日志等审计数据作为检测的数据源，然后从所在的主 机收集这些信息进行分析。基于主机的入侵检测系统一般只保护它所在的主机 系统。它监测系统事件和w i n d o w sn t 下的安全记录以及u n i x 坏境下的系统记 录，当发生变化时将新的记录与攻击标记相比较看它们是否匹配。如果匹 配，说明出现攻击，系统就会向管理员报警或向别的目标报告，以采取措施。 它的优点是能同时对付内、外部入员的攻击，可以利用操作系统本身提供 的功能，更准确地报告攻击行为且不需要额外的硬件等。但是这种类型的系统 依赖于主机操作系统审计和日志数据的准确性和完整性，但是一旦入侵者进入 主机并获取r o o t 权限则可以设法改变审计和日志，从而使h i d s 很难对入侵作出 正确判断。并且不同操作系统的审计和日志格式各不相同，造成h i d s 的可扩展 性不好，适用于一个系统的检测规则在另一个系统上就不能使用。另外，h i d s 不能检测基于网络的攻击，比如：域名欺骗、端口扫描等。并且，对主机的保 护还要占用一定的主机资源1 9 j 。 ( 2 ) 基于网络的入侵检测系统 基于网络( n e t w o r k b a s e di d s ) 的入侵检测系统一般安装在需要保护的网段 中，实时监视网段中传输的各种数据包，并对这些数据包进行分析和检测。如 果发现入侵行为或可疑事件，入侵检测系统就会发出警报甚至切断网络连接。 基于网络的入侵检测系统如同网络中的摄像机，只要在一个网络中安放一台或 多台入侵检测引擎，就可以监视整个网络的运行情况，在黑客攻击造成破坏之 前，预先发出警报。与h i d s 相比，n i d s 可以监视经过本网段的所有数据包， 但检测精确度较差。由于这种方式设有专门的检测服务器来监听和检测，在主 机资源方面要比h l d s 方式充裕。 n i d s 的优点可概括为：配置代价低，隐蔽性好，能检测到不成功的攻击和 恶意行为，不依赖检测系统的操作系统，不占用被检测系统的资源。每个网段 上只需安装一个或几个n i d s 便可监测整个网段的情况。由于有专门的计算机完 成此项工作，因此不会增加运行关键业务的主机的负载，并能较好地识别网络 层和传输层的入侵。n i d s 的缺点是不能精确知道目标系统发生的事件，也不大 可能重构系统应用层所发生的事件，精确度较差。在交换式的以太网中难以配 置，防入侵欺骗能力较差，无法对付来自网络内部的攻击( 因为内部攻击一般来 自网络内部的某个终端，没有网络数据包以供检测) 【1 0 l 。 ( 3 ) 混合入侵检测( h y b r i di d s ) 基于网络和基于主机的i d s 系统都能发现对方无法检测到的一些入侵行为。 它们有各自的优点，并且互为补充。所以一种真正有效的入侵检测系统应该是将 二者结合起来，以提供更加有效的入侵检测和保护措施。混合入侵检测系统就 是综合了h i d s 和n i d s 两种结构特点的入侵检测系统，既可发现网络中的攻击 信息，也可从系统日志中发现异常情况。 2 2 2 按系统结构分类 入侵检测系统按照其部件的分布情况，可以分为集中式入侵检测系统和分 布式入侵检测系统。 ( 1 ) 集中式入侵检测系统 6 集中式入侵检测系统( c e n t r a l i z e di n t r u s i o nd e t e c t i o ns y s t e m ，c i d s ) 中，无 论监视的网络有多少主机，数据分析都在一个固定的位置进行。c i d s 采用单个 数据分析组件进行数据分析，因此其扩展性较差，存在单点故障问题，同时也 耗费大量的通信和处理资源。 ( 2 ) 分布式入侵检测系统 分布式入侵检测系统( d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ，d i d s ) 则将数 据分析任务分配给多个处于不同位置的数据分析组件，这些组件采用完全分布 方式或分层方式进行协作。根据分布的程度，又可再分为部分分布式和完全分 布式结构。 2 2 3 按检测使用的分析方法分类 根据检测使用的分析方法可以分为异常入侵检测型和误用入侵检测型。 ( 1 ) 异常入侵检测型 异常检i 9 l l j ( a b n o r m a ld e t e c t i o n ) 又称为基于行为的检测，建立在系统正常工 作模式基础上。异常检测根据使用者的行为或资源使用状况的正常程度来判断 是否发生入侵，而不依赖于具体行为是否出现来检测。这类系统通过记录正常 情况下用户的活动建立被检测系统正常行为的参考库，然后通过与当前行为进 行比较来寻找偏离参考库的异常行为，偏离到达一定程度即认为发生入侵。 ( 2 ) 误用入侵检测型 误用入侵检测型( m i s u s ed e t e c t i o n ) 又称为基于知识的检测，通过对比已知 攻击手段及系统漏洞的模式特征来判断系统中是否有入侵发生。具体来说就 是根据静态的、预先定义好的模式集合来过滤网络中的数据流( 主要是i p 层) ， 一旦发现数据包特征与某个攻击模式相匹配，则认为是一次入侵。 2 2 4 按检测时机分类 入侵检测系统从时间上，可分为实时入侵检测系统和事后入侵检系统两种。 ( 1 ) 实时入侵检测系统 实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存 储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦 发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这 个检测过程是不断循环进行的。 ( 2 ) 事后入侵检测系统 事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据 计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，如果 有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期 或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。 7 2 3 入侵检测系统工作原理 i d s 通过实时的检测，检查特定的攻击模式、系统配置、系统漏洞、存在缺 陷的程序版本以及系统或用户的行为模式、监控与安全有关的活动，其基本原 理图见图2 1 。 l - - _ _ - _ - 图2 1 入侵检测的基本原理图 入侵检测系统会检测任何损害或企图损害系统的保密性、完整性或可用性 行为，他通过检测受保护系统的状态和活动、采用误用检测或者异常检测等方 式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段。 2 4 入侵检测系统体系结构 入侵检测系统是动态安全防御策略的核心技术，比较有影响的入侵检测系 统模型有：d e n n i n g 提出的通用入侵检测系统模型；c i d f 工作组提出的公共入 侵检测系统框架模型( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k c i d f ) 。其中， d e n n i n g 的通用入侵检测系统模型作为入侵检测发展历程中颇具影响力的实例， 给入侵检测领域的研究带来了相当重要的启示；c i d f 模型是在对入侵检测系统 进行规范化的过程中提出的，也是逐渐被入侵检测领域所采纳的模型。 2 。4 1 通用入侵检测系统模型 d o r o t h ye d e n n i n g 于1 9 8 7 年提出了一个通用的入侵检测系统模型，如图2 2 所示。该模型由以下六个主要部分组成：主体( s u b j e c t s ) 、客体( o b j e c t s ) 、审计 l 记录( a u d i tr e c o r d s ) 、行为轮廓( p r o f i l e s ) 、异常记录( a n o m a l yr e c o r d s ) 及活动规 贝t l ( a e t i v i t yr u l e s ) 。 在该模型中，主体是指目标系统上活动的实体，通常指的是用户，也可能 是代表用户行为的系统进程，或者是系统自身。主体的所有行为都是通过命令 来实现的。客体是指系统资源，如文件、命令、设备等。它是主体行为的接受 者。主体和客体没有明显的界限，往往在某一环境下的主体在另一环境下则会 成为客体。审计记录是指主体对客体进行操作而在目标系统上产生的记录，如 用户的登陆、命令的执行、文件的访问等都会在系统中产生相应的记录，可以 说是用户操作的痕迹。它是由主体、活动、客体、异常条件、资源使用状况、 时间戳构成的六元组。其中，活动即是指主体对客体的操作，如登陆、退出、 读、写等；异常条件是指主体活动出现异常情况时系统的状态；资源使用状况 是指系统的资源消耗情况；时间戳是指活动发生的时间。行为轮廓是指描述主 体对客体正常行为的模型，它包含有系统正常活动的各种相关信息。异常记录 是指当系统检测到异常行为时产生的记录，由事件、时间戳、行为轮廓组成。 活动规则是指系统用来判断是否是入侵的准则，以及当满足入侵条件时，系统 所采取的相应的对策。这个模型是个典型的异常检测的实现模型，对入侵检测 的研究和发展起着相当重要的推动作用。 规则设计 与更新 d 。l r 主体 1rl 规则集 包建 。， 1r 活动 审计记录 7 处理引擎 一7 耄妻 j 1 蜘屙l i 坦百口 ”1 更新 历史行为 p 新建行为特征 ，正常行为，行位 i 特征轮廓i 图2 2d e n n i n g 的通用入侵检测系统模型 2 4 2 入侵检测共有框架c i d f c i d f 模型是由c i d f 工作组提出的，而c i d f - i - 作组是t e r e s al u n t 发起的， 专门从事对入侵检测系统进行标准化的研究机构。他主要研究的是入侵检测系 统的通用结构、入侵检测系统各个组件的通信接口问题、通用入侵描述语言 ( c o m m o ni n t r u s i o ns p e c i f i c a t i o nl a n g u a g e ，c s l ) 以及不同入侵检测系统之间通 信问题等关于入侵检测的规范化问题。 9 c i d f 提出的入侵检测系统的通用模型如图2 3 所示，它将入侵检测系统分 为以下几个单元： ( 1 ) 事件产生器( e v e n tg e n e r a t o r s ) ( 2 ) 事件分析器( e v e n ta n a l y z e r s ) ( 3 ) 响应单元( r e s p o n s eu n i t s ) ( 4 ) 事件数据库( e v e n td a t a b a s e s ) i d 对象 图2 3 入侵检测系统c i d f 模型 c i d f 模型将入侵检测系统需要分析的数据统称为事件( e v e n t ) ，它可以是网 络中的数据包，也可以是从系统日志等审计记录途径获得的信息。 事件产生器即检测器，它从整个计算环境中获得事件，并向系统的其它部 分提供此事件：事件分析器分析得到的数据，并产生分析结果；响应单元则是 对分