（计算机应用技术专业论文）分布式入侵检测系统中的移动智能体研究.pdf

摘要 本文基于课题“基于智能体技术的入侵检测系统体系结构研究”。在对当前 入侵检测体系结构进行了大量研究以后，我们提出了一种基于智能体的分布式入 侵检测系统结构，并对该结构及其相关技术进行了深入研究，为在复杂的网络环 境下实现实时的入侵检测提供了一种有效的途径。 本文提出的基于智能体的分布式入侵检测系统的体系结构与其他典型的分 布式系统之间有显著不同，通过使用两种容错方式能够弥补层次型分布式结构的 单点失效，并且采用合理的控制策略解决了对等式结构中的管理和控制问题。本 文详细介绍了整个系统的结构框架和各部分之间如何协同工作，并重点阐明了为 何要采用智能体技术以及如何将它运用于入侵检测中。分布式入侵检测系统的健 壮性一直是分布式系统设计的重点，本文中所述的基于智能体的入侵检测系统对 此给出了有效的解决方案。 本文所提出的入侵检测系统模型为基于主机和基于网络的入侵检测部件提 供了接口，能够综合使用误用检测和异常检测方法，从而既能检测已知攻击又能 检测未知攻击。 本文另一个重点是设计了一种用于分布式入侵检测系统中的移动智能体系 统，为移动智能体提供了移动和信息交互的平台。移动智能体系统的执行建立在 j a v a 虚拟机上，通过使用j a v a 技术中的r m i 实现了移动智能体的迁移，并采 用适当的安全策略保证了移动智能体和主机的安全。最后，本文描述了移动智能 体系统中定义的主要接口和类。 【关键词】智能体入侵检测移动智能体j a v a 虚拟机 a b s t r a c t t h i sd i s s e r t a t i o ni sb a s e do nt h ep r o j e c to ft h ea r c h i t e c t u r eo f a n a g e n t s 。b a s e d d i s t r i b u t e di n t r u s i o nd e t e c t i o n s y s t e m ( a b d i d s ) w i t ht h e r e s e a r c ho ft h et y p i c a ld i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m s ( d i d s ) ，w e p r o p o s e af r a m e w o r km o d e lo fn e wd i d sb a s e do n a g e n t s t h e a r c h i t e c t u r eo f a b d i d sm e n t i o n e dh e r eh a sm a n yr e m a r k a b l ed i f f e r e n c e s w i t ho t h e rd i d s s 0 nt h eo n eh a n d i ta v o i d st h e s i n g l e p o i n tf a i l u r e t h r o u g ht w o k i n d so ff a u l t - t o l e r a n c em e t h o d s o nt h eo t h e rh a n d i ts o l v e s t h ep r o b l e mt h a ta g e n t sa r ed i 硒c u l tt ob em a n a g e da n dc o n t r o l l e di nt h e p o i n t t o 。p o i n td i s t r i b u t e d i d s m o r e o v e r , w e i n t r o d u c et h ew h o l e f r a m e w o r ka n dh o wi t sc o m p o n e n t s c o o p e r a t ei nd e t a i l s t h i sm o d e lp r o v i d e st h ei n t e r f a c ef o ri d sb a s e dn e t w o r ka n d1 d s b a s e dh o s t ，w h i c hi st h ef o u n d a t i o no ft h ec o o p e r a t i o na m o n gd i f f e r e n t a g e n t s a n o t h e rb e n e f i ti st h ec o m b i n a t i o no f a n o m a l y i n t r u s i o nd e t e c t i o n a n dm i s u s ei n t r u s i o nd e t e c t i o n ，s ot h ea t t a c kk n o w no ru n k n o w n c a nb e d e t e c t e d o n eo ft h eh i g h l i g h t si nt h ea b d i d si st h ei n t r o d u c t i o no fm o b i l e a g e n t ( m a ) w h i c hc a ni n s p e c tt h es t a t u so fe v e r yn o d ea n dd i s t r i b u t e c o n f i g u r a t i o np a r a m e t e r s t h em o b i l ea g e n ts y s t e ma p p l i e db ya b d i d s p r o v i d e sap l a t f o r mf o rm a t om i g r a t ea n dc o m m u n i c a t e i t se x e c u t i o n l a y e ri sj a v av i r t u a lm a c h i n e b ym e a n so fj a v a s 砌呱，w ea c c o m p l i s h m a s m i g r a t i o n i no r d e rt op r o t e c tm a sa n dh o s t s ，w ed e s i g na d a p t i v e s e c u r i t ys t r a t e g y a tl a s t ，w ei n t r o d u c et h em a i ni n t e r f a c e sa n dc l a s s e s d e f i n e di nt h em o b i l e a g e n ts y s t e m k e yw o r d s ：a g e n t ，i n t r u s i o nd e t e c t i o n ，m o b i l ea g e n t ，j a v av i r t u a l m a c h i n e 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特另t l d n 以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名 日期：游月习日 o ， ， 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名： 日期：渺印年五月凹日 年 入侵检测中的移动智能体研究 1 1 安全问题 第一章绪论 随着信息技术的飞速发展和网络技术在社会生活的各个领域中更加广泛的 应用，信息的获取、存储以及发布变得更加敏感。通过网络进行的信息交互使得 在人与人之间存在的信任关系延伸到了互联网络中，从而引出了人们对信息保 护、信息安全的重视。不仅如此，近年来黑客们对一些政府网络和企业网络等的 攻击，加之计算机病毒在网络中的肆虐传播，更加使人感到安全性威胁如影随形。 因此，人们已经意识到了计算机和网络的发展需要信息安全技术的保障。随着安 全意识的提高，人们在安全领域的探索和研究正在日益深入下去。技术的发展预 示着信息安全将大有作为。 总的说来，计算机安全威胁的根源有以下几个方面： ( 1 ) 软件设计的漏洞其中包括管理计算机软硬件资源的操作系统和作为支撑 软件的编译器，以及数据库管理软件等，也包括提供服务的各种应用程序， 协议栈等。这些软件由于规模庞大，功能复杂，在设计的过程中缺乏安全 理论的指导或者没有完全贯彻安全原则等种种因素，引发了被入侵者利用 的漏洞。 ( 2 ) 系统在使用过程中配置不当操作系统本身有一些安全策略，但在初始安 装时为了照顾用户友好性使用的是默认配置，如果用户不谨慎配置系统， 就有可能使攻击者轻易突破系统的安全防线，获得非授权访问权限甚至系 统特权，从而造成严重后果。 ( 3 ) 脆弱性口令大多数人的口令或密码都设置成自己或家人相关的数字、名 字等的组合，攻击者很容易通过猜测口令或取得口令文件后利用口令字典 等工具进行攻击。 而对于计算机的攻击，m a h o n e y 将它分为了至少六种类型：蠕虫、病毒、服 务器客户端攻击、网络攻击( 如拒绝服务攻击) 、r o o t 权限攻击。从这个分类中 我们可以看到，计算机入侵已经涉及到主机和网络的方方面面。 1 2 安全策略 任何系统都无法保证绝对的安全，人为的操作失误、自然灾害及硬件故障都 是难以用技术手段来解决的。我们所期望的安全是按照人们预想的方式执行，有 效保护各种信息，并且尽可能的协助管理员避免操作失误。因此安全问题主要涵 入侵检测中的移动智能体研究 盖安全性、完整性、保密性、可用性等几个方面。 12 1 安全性 安全性主要包括内部和外部安全。内部安全是指与系统本身相关的软硬件以 及周围环境的安全问题。外部安全的范围包括物理硬件如隔离计算机的围墙这类 的设施、负责保护计算机终端的人员、保护计算机硬件措施以及限制人员使用等 等。主要采取的安全策略是访问控制、认证与鉴别、加密等。 ( 1 ) 访问控制 计算机最基本的安全机制就是访问控制，访问控制是防止对未授权资源使用 的有效方式。它采取两种方式来实现计算机的安全性：一是授予访问权限，决定 何种用户具有对何种数据的何种访问权限；二是实施访问权限，验证访问系统的 用户是否合法，是否具有对某种资源的访问权( 读、写、执行等) 。计算机系统 使用安全属性集合来关联某个用户和他的访问权限从而决定一个用户是否可以 访问一个文件。 ( 2 ) 认证与鉴别 为了保证系统或用户有充分的能力辨别某个用户访问某个文件的合法性，必 须提供识别每个用户的手段。为此，计算机系统为每个用户提供了一个唯一用户 i d ，并且任何人不能更改和伪造，例如系统提供给用户的密钥，用户的指纹、声 音，银行帐号等等。鉴别的过程就是把一个用户与唯一识别符相结合的过程，也 是取得计算机信任的过程。不仅用户与系统之间存在这样的关系，系统与系统之 间也存在认证与鉴别。在后一种情况下，处理认证与鉴别的程序需要更加谨慎， 以防恶意系统冒充友好系统获得信任。 ( 3 ) 加密 安全的另一个重要方面是信息的保护，而加密则是信息保护的一种重要手 段。通过加密，可以隐藏数据文件以及所传输的内容，防止未授权用户监听，还 可以检测到数据受到的有意篡改和意外的更改，另外也为文件的阅读者提供了一 个验证机制。整个加密的过程如下图示： 1 2 2 完整性 图1 1 加密过程 入侵检测中的移动智能体研究 完整性是保护计算机系统内代码和数据不被非法删除和修改的一种技术。它 分为软件完整性和数据完整性。 ( 1 ) 软件完整性 在应用环境下，软件源码的泄漏、软件升级或增加组件等为攻击者提供了有 利的机会。计算机病毒就是利用了软件完整性的缺陷，通过在系统或应用软件中 附带病毒程序来传播的。软件设计者可以在软件中留下后门，为以后的攻击开一 个入口从而实现轻松入侵系统。在一个大系统内，保护合法软件不被修改就需要 对此进行鉴别。鉴别的过程不能包括在该软件中，并且也不能被暗中破坏。因此， 一般需要些受保护的硬件来完成。 ( 2 ) 数据完整性 数据完整性是计算机用户十分关注的重要闯题。所谓数据完整性是指存储在 计算机中的或者在计算机系统之间传输的数据不受非法删除、修改和破坏，以保 持数据整体的完整。 1 2 3 保密性 保密性是计算机安全的另一个重要方面，它主要是利用密码技术对信息进行 加密处理，防止信息非法泄漏。加密既是对传输过程中的数据进行保护的重要方 法，也是对存储在各种媒质中的数据内容加以保护的有效手段。系统安全是我们 的最终目标，而加密是保障信息安全实现这个目标的核心技术。 1 2 4 可用性 虽然计算机中信息的安全和保密非常重要，但也不能因噎废食。保护信息的 目的也是为了合法用户的安全使用，因此信息和系统资源应该是持续有效的，而 且对于授权用户也是可用的。 尽管通过以上各种策略实施系统的安全保护，但是保障信息安全是一个动态 过程，并没有一劳永逸和绝对的安全策略，现有的方案仅仅是在多种条件限制下 的折中选择。建立一个完备的安全系统几乎是不可能的，因为： ( 1 ) 要将现在已安装的系统转换成安全的系统需要相当的时间； ( 2 ) 加密技术本身存在一定问题； ( 3 ) 安全系统易受内部用户滥用特权的攻击； ( 4 ) 安全访问控制等级与用户的使用效率成反比； ( 5 ) 访问控制和保护模型本身存在问题； 入侵检测中的移动智能体研究 ( 6 ) 软件工程中存在的软件测试不足、软件生命周期短以及大型软件复杂 性等难以解决的问题； ( 7 ) 用户大量的应用程序和数据处理对现有系统的依赖导致替换系统的非 常高的代价。尽管如此，为系统建立一种应对攻击的辅助系统却是可行的，而入 侵检测系统( i n t r u s i o n d e t e c t i o ns y s t e m ，i d s ) 就是这样的一个系统a 1 3 入侵检测系统的重要性 l o d i n 为入侵作了如下定义：“一组试图破坏资源的完整性、保密性或可用 性的行为集合”，“一个人或代理者试图以已建立的非法策略侵入或滥用别人的系 统的行为”。s u n d a r a m 定义入侵威胁是有意的非授权访问信息、操纵信息或使一 个系统不可用。而入侵检测就是针对这些对资源和系统的破坏行为做出的识别和 响应。 入侵检测系统是防火墙的必要补充。作为重要的安全工具，入侵检测系统可 以对系统资源和网络流进行实时检测，及时发现试图闯入系统或网络的攻击者， 还可预防合法用户对资源的误操作。入侵检测系统是为那些配备了防火墙和验证 措施的系统准备的。传统的防御技术是一种静态的安全防范技术，缺乏对网络环 境下复杂多变的攻击手段的主动响应。入侵检测在其上加了一层安全性。入侵检 测技术是p 2 d r ( p o l i c yp r o t e c t i n g d e f e n s er e s p o n s e ) 安全模型的一个重要组成部 分，是动态安全技术的最核心技术之一。 1 4 本课题的研究价值及本文主要完成的工作 1 4 1 课题研究意义 本文课题源于总装部的预研项目基于智能体的入侵检测系统体系结构研 究，研究的目的是为了能够实现具有高效、健壮、可扩展的入侵检测系统。 由于应用的分布性越来越普遍，因此当前入侵检测系统的结构几乎都采用了 分布式的体系结构。然而分布式结构本身存在一些缺陷，本课题针对这些缺点进 行了深入分析，采用了智能体技术及移动智能体技术来解决分布式系统中存在的 问题。 智能体技术也是人工智能研究的范畴，而移动智能体是一种具有特殊性质的 智能体，它的良好的分布式计算模式非常适用于架构分布式的入侵检测系统。因 此，研究移动智能体技术在入侵检测系统中所扮演的角色将有助于推动入侵检测 体系结构研究的发展。 虽然目前也有一些成熟的移动智能体系统的产品，但是其安全性和系统效率 入侵检测中的移动智能体研究 并不乐观。尤其是安全性，对于入侵检测系统本身意义重大。另外，经过大量的 文献查阅及技术分析发现，由于移动智能体技术目前并不成熟，因此并没有针对 各个领域普适的移动智能体平台存在。构建一个在特定应用中的轻量级的、安全 的移动智能体平台是我们入侵检测系统结构研究必须完成的一部分工作。 移动智能体的研究不仅对入侵检测系统有重要意义，而且对于移动智能体技 术及其应用也有较大的促进作用。本文所研究的移动智能体技术具有十分突出的 安全模式，而其中统一的事件处理模型易于系统的扩展，因此，除了应用在入侵 检测系统中而外，还可以应用于银行及类似的电子交易中。 综上所述，入侵检测中的移动智能体研究具有很大的理论价值和市场发展前 景。 1 4 2 本文所作的主要工作 在大量的查阂资料、分析讨论及实验后，本文提出了一个安全的移动智 能体的设计模型，并实现了主要的功能模块。 本人参与了入侵检测系统研究及相关工作的全过程，主要完成的工作有 以下一些： ( 1 ) 和课题组的同学一起共同设计了一个基于智能体的入侵检测系统体系结 构，并详细定义了移动智能体在入侵检测系统中的功能和工作方式； ( 2 ) 独立完成了移动智能体的系统结构设计； ( 3 ) 详细设计了移动智能体的自主移动方式，并采用j a v a r m i 实现了其移动 性： ( 4 ) 移动智能体的安全是系统的关键，本文借助于k e r b e r o s 算法的思想提出 了一种简单可靠的安全通信模型。 ( 5 ) 移动智能体要完成与本地模块的通信就必须要实现通信机制，本文设计了 一种基于消息模型的通信模型，并采用j a v a b e a n 的消息处理方式实现了 其中的消息处理模块。 论文的组织结构如下：第一章为绪论，通过介绍目前安全问题的重要性和现 有安全策略提出了建立入侵检测系统的必要性这问题；第二章和第三章分别就 入侵检测技术和移动智能体技术有关问题进行了阐述；第四章分析了目前流行的 几种结构的优劣，提出了一个具有更好的分布性和健壮性的基于智能体的入侵检 测系统；第五章主要介绍m a b d i d s 中设计的移动智能体，包括它的内部结构、 运行机制、通信协议以及安全和容错原理；第六章总结了我们所做的工作，探讨 了移动智能体系统和入侵检测系统需要改进的方向。 入侵检测中的移动智能体研究 2 1 介绍 第二章入侵检测发展现状研究 入侵检测方面最早的工作是由j a m e s e a n d e r s o n 进行的，他于1 9 8 0 年首先提 出用审计日志来监控计算机威胁。当时审计记录的重要性并没有引起足够的重视 而通常使用的安全策略仅仅是拒绝来自于未授权节点的敏感数据的访问。三年以 后美国安全局定义了一套评估计算机安全控制有效性的标准，称为桔皮书。而后 来随着d e n n i n g 提出入侵检测的抽象模型，更多的人开始从事入侵检测系统及检 测方法上的研究。经过二十多年的努力，入侵检测已取得了很大的进步。目前不 但有较强的理论研究基础，也出现了很多功能强大的产品，例如防火墙、v p n 、 各种端口扫描器等。但是黑客也越来越狡猾，黑客工具越来越复杂，而我们的系 统和网络相对来说仍然是脆弱的。这需要我们更加深入的研究工作。 入侵检测领域主要涉及入侵检测系统模型和入侵检测的方法。到目前为止检 测模型主要为：通用的入侵检测模型、网络入侵检测模型、主机入侵检测模型、 自治a g e n t 模型、基于行为的检测模型、预定模式生成模型、基于知识库的入侵 检测模型等，而检测技术既有模式匹配、统计分析、数据挖掘，还有利用神经网 络和生物遗传和免疫学的入侵检测方法以及其他一些方法。下面将针对入侵检测 的各个方面进行讨论。 2 2 入侵检测方法 入侵检测的方法根据分析引擎可以分为三类：异常检测方法、误用检测方法 和混合检测方法。异常检测是基于行为模式的检测方法，误用检测是基于知识的 检测方法。异常检测支持者认为用户的正常行为与异常行为之间的差别很小，不 能使用普通的特征检测方法作为发现误用的基础。而误用检测支持者则认为“正 常”与“非正常”之间的区别很大，仅仅通过提取某些特征参数来描述正常行为 模式是没有实际意义的。事实上，两种方法各有优缺点，互补型的检测方法能兼 顾两者的优点，提高检测效率。 2 2 1 误用检测 误用检测首先要从系统审计跟踪数据中训练误用模式构建模式库，针对经过 预处理的系统审计数据和网络数据，检查是否含有与模式库匹配的入侵行为标 志。这种检测方法的主要优点是能够准确识别已知攻击，但是需要及时更新误用 模式库，而且由于模式库的构建是对于具体的系统而言的，因此移植性不够好。 入侵检测中的移动智能体研究 误用检测方法大致有基于规则的专家系统、状态迁移分析法、模型推理法及基于 条件概率的分析方法等。 2 2 1 1 基于规则的专家系统 误用检测问题通常使用规则来描述行为模式，这样建立的检测系统称为专家 系统。在这样的系统中，与定义域相关的决定性知识和在知识库上执行推理的引 擎是分离的。其基本思想是：在规则库中每个检测规则都是一个特殊场景的编码， 通过对审计数据以相应的入侵签名迸行模式匹配来检测该场景的出现。然而，正 如我们前面提到的，入侵检测规则要有定的通用性才能检测出相同攻击的不同 变种。入侵检测专家系统i d e s 就是一个使用通用专家系统p - b e s t 的例子，另 p b - 个入侵检测系统o s i r i s 则使用p r o l o g 规则。 2 2 1 2 状态迁移分析法 状态迁移分析法是使用有限状态机模型来表示和检测入侵过程的方法。它主 要使用一个高层的状态迁移图，迁移图中的节点表示系统的状态，弧线表示一次 状态的迁移。攻击模式的状态对应于系统状态，并具有迁移到另外状态的触发条 件。状态迁移法通过弧线将连续的状态连接起来表示状态改变所需要的事件，允 许把事件类型植入到模型中，而且不需要同审计记录一一对应。 在该方法中，入侵以攻击者执行的活动序列来描述，所有入侵者的攻击过程 都可以看作是从有限的特权开始，利用系统存在的脆弱性，逐步提升自身的特权， 从而到达最终的危害状态。用于误用检测的状态迁移分析引擎包括一组状态迁移 图，各自代表一种入侵或渗透模式。状态迁移图中的迁移是由用户的动作和行为 标定的。每次当新的行为发生时分析引擎都检查所有的状态迁移图，查看是否导 致系统的状态迁移。 最早实现状态迁移系统的是基于u n i x 主机的u s t a t 系统。u s t a t 使用规范 的记录格式，一个三元组：( 主体，动作，客体) 表示主体对客体执行的动作。 主体属性包括真实用户i d ，有效用户i d 和执行动作的用户组i d 。动作属性包 括动作类型、进程i d 和时间戳。客体属性包括一些可能的属性，如客体名称、 授权模式、属主、组属主、索引号、设备号、文件系统i d 和主机名等。系统中 的审计记录要转换成以上的标准格式。动作范围有：r e a d ，w r i t e ，d e l e t e ，e x e c u t e ， e x i t ，m o d i f y o w n e r ，m o d i f y p e r m ，r e n a m e 和h a r d l i n k 。在u s t a t 中使用状态 迁移图进行入侵检测的过程如下。在一个给定的时间内，在审计跟踪数据中许多 入侵场景已经部分呢匹配了，这表明在个体的状态迁移图中一些标签d o m g z u o 已经使系统到达某些状态。如果到达了某一迁移图标的终态，推理机就可以断言 相对于状态迁移图表的入侵场景已经成功了。虽然如此，对每个迁移图来说，推 入侵检测中的移动智能体研究 理引擎希望紧跟当前的状态的是签名动作，这样下一个状态的状态声明就是正确 的。如果在状态迁移表中出现了这样的动作，推理引擎将系统转入下一个状态。 显然，如果当前状态的状态声明不正确的话，推理引擎将状态迁移图移回到最近 的声明正确的状态。如果入侵活动被检测到了，沿着迁移过程所收集的相关信息 就传送到决策引擎，决策引擎为安全管理员提供所进行的入侵的报告。 状态迁移分析法为入侵模式提供了一种直观的、与审计记录无关的表示法， 利用状态迁移法可以描述出构成特定攻击模式的特征行为序列。但是也有一些缺 点，比如当前状态的断言和特征行为需要手工编码，而且这种断言和特征行为不 适合描述更加复杂的入侵。另外就是这种状态迁移的方法检测速度比较慢。实际 使用中要将它与其他检测方法结合使用。 2 2 1 3 基于条件概率的检测方法 基于条件概率的误用入侵检测方法将入侵方式对应于一个事件序列，通过观 测到事件发生情况来推断入侵出现。这种方法依据是外部事件序列，根据贝叶斯 定理进行推理检测入侵。若令e s 表示事件序列，先验概率为p ( i n t m s i o n ) ，后验 概率为p ( e s l i n t r u s i o n ) ，事件出现的概率为p ( e s ) ，则： p ( i n t r u s i o nl e s ) = p ( e s l l m r u s i o n ) p ( i n t r u s i o n ) p ( e s ) 由于通常网络安全专家可以给出先验概率p ( i n t r u s i o n ) ，对入侵报告数据统计 处理得出p ( e s l t n t r u s i o n ) 和p ( e s f h t m s i o n ) ，于是可以计算出： p ( e s ) 2 ( ( p ( e s l i n t r u s i o n ) 一p f a s i - i n t r u s i o n ) ) xp ( e s l i n t m s i o n ) + p ( e s l i n t r u s i o n ) 故可以通过事件序列的观测，从而推算出p ( i n t r u s i o n l e s ) 。基于条件概率的 误用检测方法是在概率理论基础上的一个普遍的方法。它是对贝叶斯方法的改 进，其缺点就是先验概率难阻给出，而且事件的独立性难以满足。 2 2 1 4 着色p e t r i 网 这种方法最初是由p u r d u eu n i v e r s i t y 的s a n d e e pk u m a r 和g e n e s p a f f o r d 设计 的。与普通方法不同，该方法给出了一个基于模式匹配的计算模型，保证了分类 中的所有类别都被描述和匹配。匹配模型包括： 上下文描述：允许在匹配中可以把各种包含入侵标签的事件关联起来。 伴随语义：为混杂在同一事件流中的几个入侵模式提供支持( 可能属于多个 事件源) 。 动作说明：当模式匹配成功以后，指定动作可被执行。 其基本计算思想是利用着色p e t r i 网( c p - n e t s ) 来描述和检测入侵。在一个c p - n e t s 中，整个特征匹配过程由标记( t o k e n ) 的动作构成，标记的颜色表示上下文。 - 8 入侵检测中的移动智能体研究 标记在审计记录数据的驱动下，从初始状态向最终状态逐步前进。在这个过程中， 当发生标记的颜色改变的事件时，预示着目前的系统环境满足了特征匹配的条 件，这个时候就可以采取相应的响应措施。 c p ，n e t 也包含些连接状态与迁移之间的有向弧。每个迁移和个事件类型 相关( 这个事件类型就是标记) ，事件出现在事件流中时迁移就被触发。 2 2 2 异常检测 异常检测方法基于用户的行为轮廓，包含建立基于用户和系统活动的正常活 动轮廓和观察实际用户行为相对于已建立的正常活动轮廓之间的偏差。偏差的程 度表示异常与否，如果异常则需要提高对相应用户的可疑度。理想地，在计算机 系统中某个用户的日常使用将遵循一个可识别的行为模式，它充当用户身份的特 征符。用户唤起的应用程序、命令和通用程序集合通常由该用户所指派的工作性 质所决定的。但是在实际中有可能随着用户权限的提升，他正常的活动轮廓就会 随时间而变化。这样他原有的轮廓也必须随之不断适应这种变化。另一方面，如 果考虑应用程序的行为轮廓而不考虑用户的行为轮廓也是可行的。应用程序行为 轮廓在异常检测方面更加可靠，特别是像特洛伊木马一样的伪装程序。 一个统计轮廓就是一组度量m l ，m 。，每个都与用户行为的某一方面相 关。比如一组度量可以是：c p u 的利用，i o 的使用，常访问的文件，错误率， 网络连接等等。包含在模式中的度量也是和定义活动异常的门限或范围相关的。 确定一个给定的审计记录相对于这些活动模式出现偏差的程度，可以检查被报告 的活动是否超越了门限或超出了可接受的范围。 异常检测一个显著的优点是能够检测到未知的攻击，并且如果度量集选择适 当或者能够恰当的适应行为模式的变化的话，不需要经常修改异常检测就能奏 效。但这种检测方法有个关键的地方就是如何建立正常行为模式，以及如何利用 该模型对当前的系统用户行为进行比较从而判断处于正常模式的偏离程度。另 外，异常检测方法没有考虑到事件发生的时间顺序，而只考虑了最终的累积方法。 而且，对于每个主体都要建立一个模型，这样就难以选择统一的参数。 2 2 2 1 基于特征选择的异常检测方法 这种方法是通过从一组度量中挑选能检测出入侵的度量构成子集来准确 预测或分类已检测到的入侵。直接判断符合实际的度量是复杂的，因为合适地选 择度量子集依赖于检测到的入侵类型，一个度量集对所有的各种各样的入侵类型 不可能是足够的。预先确定特定的度量来检测入侵可能会错过单独的特别的环境 下的入侵。最理想的检测入侵度量集必须动态地决策判断以获得最好的效果。假 ，9 - 入侵检测中的移动智能体研究 设与入侵潜在相关的度量有n 个，则这n 个度量构成子集数是2 “个。由于搜索 空间同度量数十级数关系，所以在度量子集中进行穷尽寻找的开销不会是有效 的。m a c c a b e 提出遗传方法来搜索整个度量子空间以寻找正确的度量子集。其方 法是使用学习分类器方案生成遗传交叉算子和基因突变算子，除去降低预测入侵 的度量子集，这些子集采用遗传算子产生更强大的度量子集取代。这种方法采用 与较高的预测度量子集相结合，允许搜索的空间大小比其他的启发式搜索技术更 有效。 2 2 2 2 基于神经网络的异常检测方法 神经网络是模拟人类实际的神经网络的数学方法，包括很多功能上类似于神 经元的处理单元，这些处理单元使用加权连接进行交互。神经网络中的知识是以 其中的结构来编码的，通过学习，神经网络可以得到更好的控制、识别效果。神 经网络应用到入侵检测系统中已经证明了它的有效性。 利用神经网络进行入侵检测的方法分为两个阶段，第一个阶段首先要设计出 入侵分析模型的检测器，并用代表用户正常行为的样本模式进行训练。在第二个 阶段，神经网络以用户活动数据作为输入以确定该活动和训练的得到的样本模型 相似到什么程度。神经网络能够自适应的学习正常用户和系统活动模型，而这种 学习仅仅依赖于活动数据本身。特别的，它们不对所期望的数据统计分布做预言 假设，也不使用描述用户行为的固定特征集。从这点上来讲，基于神经网络的异 常检测方法克服了修正统计特征的困难，与特征子集的选择好坏无关。 神经网络的权值影响着它的效果，设定合适的权值至关重要。因此有人提出 了使用遗传算法来确定和修改权值的方法，称为进化神经网络，以使神经网络工 作的更好。但是，由于神经网络运用到入侵检测中时并不为检测结果提供解释信 息，因此神经网络不能被认为是基于统计的异常检测的替代品，而是一种有价值 的补充。 2 2 2 3 基于贝叶斯网络异常检测方法 贝叶斯网络是实现贝叶斯定理揭示的学习功能，发现大量变量之间的关系， 进行预测、分类等数据分析的有力工具。基于贝叶斯网络异常检测方法是通过建 立起异常入侵检测贝叶斯网，然后将其用作分析异常检测结果。贝叶斯网络允许 以图形方式表示随机变量间相关的原因，并通过指定一个小的与邻接节点相关的 概率集计算随机变量的联合概率分布。按给定全部节点组合，所有根节点的先验 概率和非根节点概率构成这个集。贝叶斯网络是一个有向图d a g ，有向图中弧 表示父节点和孩子节点依赖关系。这样，当随机变量的值变成可知时，就允许把 它吸收成为证据，按给定的这个证据为其他的剩余随机变量条件值判断提供计算 入侵检测中的移动智能体研究 框架。但是，通常判断根节点先验概率值和每个有向弧连接矩阵是重要的。 2 2 2 ，4 统计分析法 最早采用的异常检测技术还是统计分析技术。检测系统维护一个由行为模式 组成的统计知识库，每个模式采用一系列系统度量来表示特定用户的正常行为。 模式中包含的各个向量每天均以指数形式衰减，同时将新的用户行为产生的审计 数据放到知识库中，计算出新的模式向量存储在知识库中。由s i l l 的研究者开发 的i d e s n i d e s 中采用误用检测和基于统计分析的异常检测结合的混合型架构， 其中统计分析的异常检测技术主要使用了如下方法来计算：当每产生一条新的审 计记录时，使用下列公式计算出i s ( i d e ss c o r e ) 值： i s = ( s l ，s 2 ，s n ) c “( s l ，s 2 ，s n ) 其中，s ；是用于描述行为模式的度量，( s i ，s 2 ，s 。) c 。表示相关矩阵或向量的逆 矩阵。统计分析的优点主要是维护方便，不需要更新和维护数据库。但是实时性 差，不能提供对入侵行为的实时检测和自动响应。所有的统计分析都无法反应事 件在时间上的先后顺序。对于统计分析所采用的参数，门限制值等，如何选取恰 当的值，也是使用这种方法的困难所在。 其它一些比较新的分析方法也运用到入侵监测系统中，如数据挖掘、遗传算 法、免疫算法、a g e n t 等等，既可以用在误用检测中也可以为异常检测所用。新 的更加有效的方法还有待研究。 2 - 3 入侵检测系统体系结构研究 最早的入侵检测模型是由d o r o t h y d e n n i n g 在1 9 8 6 年提出的，对之后的绝大 多数入侵检测系统产生了重大影响。目前的入侵检测系统主要有基于主机的入侵 检测系统、基于网络的入侵检测系统、混合型入侵检测系统( 包括分布式入侵检 测系统和基于a g e n t 的入侵检测系统) 和基于文件的入侵检测系统。 2 3 1 主机型入侵检测系统 基于主机的入侵检测系统通常驻留在某个主机上，对该主机上的审计日志和 网络连接进行检测和监控。主机型入侵检测系统的优点在于对于分析可能的攻击 行为非常有效，能够分析出执行了哪些命令，打开了哪些文件，运行了什么程序 等等。由于主机上的数据量要比网络数据流量小丽且相对单纯些，因此相比网络 型入侵检测系统而言，主机型入侵检测系统的误报率更低。但是，主机型入侵检 测系统一般是安装在被检测的系统上，这样就带来一些弊端，例如降低了被检测 系统的效率，入侵检测系统本身暴露在不安全的环境中。另外，主机型入侵检测 入侵检测中的移动智能体研究 系统依赖于服务器固有的日志与监控性能。如果服务器没有配置同志功能，则必 须重新配置，这将给运行中的业务系统带来不可预见的性能影响。 2 3 2 网络型入侵检测系统 网络型入侵检测系统主要针对网段中的数据包进行分析来发现入侵。它主要 放置在一些重要的网段内，一旦发现数据包中有与定义的入侵规则匹配的现象， 或者某种可疑特征超过限定的阈值，就立即切断网络连接。目前的大多数入侵检 测产品都是基于网络的，像s n o d 、n f r 、s h a d o w 等。 网络入侵检测的优点是：它能够检测出来自网络的攻击和米授权的非法访 问；一个网络型入侵检测系统不会改变主机的任何配置，也不会影响主机的资源 利用；网络入侵检测系统和路由器、交换机不同，它不会成为整个系统的关键路 径。网络入侵检测系统的失败不会影响整个系统的正常上作。而且安装这样一个 检测系统也很方便。 但是网络入侵检测系统也有它的缺点：网络入侵检测系统一般采用规则匹配 的检测方法，这种方法对于大量的复杂的与时间顺序相关的攻击可能会失效。另 外，它对经过加密的会话过程难以处理。虽然目前通过加密通道的入侵还不是很 多，但是一旦出现将难以应对。 2 3 3 混合型入侵检测系统 鉴于前两种入侵检测系统都有各自的缺点以及两种系统的互补性，实际系统 中经常是把二者结合在一起使用。通过列主机审计日志和网络数据流的检测更加 全面的发现和检测入侵行为。目前已经有很多入侵检测系统是建立在两种数据源 之上，结合了多种模型。比较典型的是s t e v e n r s n a p p 等提出的分布式入侵检测 系统( d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ，d i d s ) ，p u r d u eu n i v e r s i t y 大学 c o a s tl a b 提出的自治a g e n t 的入侵检测结构( a na r c h i m c t i l r ef o ri n t r u s i o n d e t e c t i o nu s i n g a u t o n o m o u s a g e n t s ) a 2 , 3 3 1d i d s 结构分析 随着异种计算机网络互联的急速膨胀和分布式资源的访问及共享，怎样控制 这些资源变得更加迫切。由于多个独立计算机相比于单台机器生成的审计数据要 更多，而这些数据是分布在不同的系统上，入侵检测系统不仅要完成对本地数据 进行检测，也需要全面了解整个网段内的攻击信息。d i o s 就是应这种需求而提 出来的。d i d s 主要有三个部件：主机监控器、网络监控器和中央控制器。其主 要构架如图所示。主机监控器分布在每台主机上，每个局域网段都有一个网络监 控器。d i d s 能够处理某些主机没有配置监控器的情况，因为中央控制器可以从 入侵检测中的移动智能体研究 各个网络监控器获得这些主机所在的局域网上的活动记录。主机监控器和网络监 控器主要负责搜集非授权的或可疑的活动的证据，而中央控制器主要是针对这些 数据的分析和评估。主机监控器和网络监控器都按照一定的通信协议独立提交各 自的数据，而中央控制器也能够向下层的网络监控器和主机监控器发送控制信息 和报警信息。 图2 - 1 d i d s 框架 d i d s 的优点是能够将主机型入侵检测方法和网络型入侵检测方法结合，而 且能够针对特定的网络攻击如d o o r k n o b 搜集到更加全面的数据，提供了用户监 控整个网络的便捷方式，将分布蕊控和数据精简与集中式的数据分析结合起来。 但是它的实时性还有待提高，也存在单点失效的问题。 2 3 3 2a a f i d a a f i d 是美国普渡大学开发的应用自治代理的分布式入侵检测系统。它将自 治代理作为最底层元素进行数据收集和分析，并采用了利于扩展的层次结构的体 系结构a 整个系统由三个部分组成：代理( a g e n t ) 、转发器( t r a n s c e i v e r ) 和监控 器( m o n i t o r ) 。各部分的物理分布如下图示： 入侵检测中的移动智能体研究 图2 2 a a f i d 系统结构 一个a a f i d 系统可以分布在网络中任何数量的主机上。每个主机上有任意 数目的a g e n t 监视着主机上的敏感事件。主机上的所有a g e n t 都将自己的发现报 告给一个转发器，转发器是该主机中监控主机上的所有a g e n t 的部件，拥有启动、 停止和提取a g e n t 提供的数据的权利，转发器将它的结果报告给一个或多个监控 器，而每个监控器监督多个转发器的执行。由于监控器可以获得广泛的网络数据， 因而可以相互作用并发现涉及多台主机的入侵。按层次形式组织的监控器依次向 更高层的监控器报告。另外，一个转发器将报告发往多个监控器以利用冗余来避 免因一个监控器失效而带来的问题。一个监控器的任务是提供信息并从用户获得 控制命令。各部分对应的逻辑结构图如下： 图2 - 3 a a f i d 逻辑结构 入侵检测中的移动智能体研究 2 。4 入侵检测的标准化 入侵检测系统应该易于同其他安全产品共享资源，协调完成整个系统的安全 防范任务，这意味着必须符合标准化的入侵检测体系结构规范。 对于入侵检测的标准化工作，有两个国际组织进行这方面的工作：c o r n m o n i n t t l a s i o nd e t e c t i o nf r a m e w o r k ( c i d f ) 和i n t r u s i o nd e t e c t i o n w o r k i n gg r o u p ( i d w g ) 。 2 4 1c l d f c i d f 标准化组织认为：入侵行为如此广泛和复杂，需要i d s 系统之间的合 作来检测跨越多个网络或跨越较长时间段的攻击。为了尽量减少标准化工作， c i d f 把i d s 系统合作的重点放在了不同组件间的合作上。c i d f 提出一个通用 的入侵检测框架，并对此框架内各个部件之间通信协议和通信a p i 进行标准化， 屏蔽其实现细节，使得不同i d s 能在组件级实现相互通信。 c i d f 主要包含如下4 个方面的内容： ( 1 ) 体系结构( a r c h i t e c t u r e ) ：提出了i d s 的通用体系结构，用以说明i d s 各 组件间通信的环境。 ( 2 ) 通信( c o m m u n i c a t i o n ) ：说明i d s 各种不同组件间如何通过网络进行通信。 主要描述各组件间如何安全地建立连接以及安全地通信，包括组件间的鉴 别和认证。 ( 3 ) 语言规范( l a n g u a g e ) ：i d s 各组件间通过公共入侵规范语言( c o m m o n i n t