（计算机应用技术专业论文）分布式入侵检测系统节点联动算法研究.pdf

硕十论文分布式入侵检测系统节点联动算法研究 摘要 随着网络技术的发展，网络安全问题受到越来越多的重视。入侵检测作为一种主动 的安全防护手段，在保护系统不受攻击当中起着重要的作用，是安全防御体系中必不可 少的一个组成部份。 本文着重对分布式入侵检测系统结构的各个节点间的联动进行了分析。紧接着本文 通过对s n o r t 2 7 0 1 的源代码的分析，使我们了解了s n o n 初始化，规则集的划分与多 模匹配状态机的建立，检测的过程以及输出。 本文在此基础上设计并实现了一个基于s n o r t 2 7 0 1 的无中心服务器的分布式入侵 检测系统。该系统中的单个系统在检测到攻击，或通过其他信任系统得到新规则后，会 把检测到攻击的那条规则或新规则加密后发送给所有信任自己的系统。而收到该规则的 系统会分析该规则是否已经存在，如果不存在，那么就把该规则动态添加进自己的系统， 并把该规则发送给信任自己的系统。反之，什么都不用做。最后我们用攻击软件对系统 进行攻击实验，实验结果表明：通过该分布式入侵检测系统的联动，一旦有系统检测到 攻击，能够快速有效的通过发送对应规则的密文，让其他没有检测该攻击能力的系统具 备检测该攻击的能力。 关键词：入侵检测，分布式系统，联动，s n o r t a b s t r a c t 硕上论文 a b s t r a c t w i t ht h ed e v e l o p m e n to fn e t w o r kt e c h n o l o g y , t h en e t w o r ks e c u r i t yh a sr e c e i v e dm o r ea n d m o r ec o n c e r n i n t r u s i o nd e t e c t i o ni sak i n do ft e c h n o l o g yt h a tc a np r o v i d ea c t i v es e c u r i t y p r o t e c t i o n i tp l a y sav e r yi m p o r t a n tp a r ti np r o t e c t i n go u rs y s t e mf r o ma t t a c k s i ti s a n e c e s s a r yp a r to ft h es e c u r i t ys y s t e m t h i sp a p e rg i v e se m p h a s i so nt h ea n a l y s i so ft h ed i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m s a r c h i t e c t u r ea n dt h ec o o p e r a t i o na m o n gd i f f e r e n tn o d e s w ek n o wt h ei n i t i a l i z a t i o n ，t h e c l a s s i f i c a t i o no fr u l e s ，t h ec o m p i l eo fm u l t i p a t t e r ns e a r c he n g i n e ，t h ep r o c e s so fd e t e c t i o n a n dt h eo u t p u t ，b yt h ea n a l y s i so fs n o r t - 2 7 0 1 ss o u r c ec o d e t h i sp a p e rr e a l i z e sad i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e mb a s e do ns n o r t - 2 7 0 1 ，w i t h o u t c e n t e rn o d e i ft h es y s t e md e t e c t sa l li n t r u s i o no rg e tan e wr u l ef r o mo t h e rt r u s t e ds y s t e m s ，i t w i l ls e n dt h en e wr u l eo rt h er u l et h a td e t e c t st h ei n t r u s i o nt oo t h e rs y s t e m st h a tt r u s ti t a f t e r o t h e rs y s t e m sr e c e i v et h er u l e ，t h e ym u s tc h e c kw h e t h e ri ta l r e a d ye x i s t e do rn o t i ft h er u l e d o e sn o te x i s t ，t h e yw i l lp u tt h i sr u l ei n t ot h es y s t e mw i t h o u tr e s t a r t i n gt h es y s t e m i fi th a s a l r e a d ye x i s t e d ，t h e yw i l ld on o t h i n g a tl a s t ，s e v e r a la t t a c ks o f t w a r eh a v eb e e nu s e di n s e v e r a le x p e r i m e n t sf o rd e t e c t i n gt h es y s t e m sp e r f o r m a n c e r e s u l t sh a v es h o w nt h a ti tr u n s w e l l i fas y s t e md e t e c t sa ni n t r u s i o n ，i tw i l ls e n dt h ee n c r y p t e dr u l ew h i c hc a nc h e c kt h i s a t t a c kt oo t h e rs y s t e m sa n do t h e rs y s t e m sw i l lg e tt h i sr u l ea n dp u ti ti n t ot h es y s t e mq u i c k l y s oo t h e rs y s t e m sc a nc h e c kt h i sk i n do fa t t a c k k e yw o r d s ： i n t r u s i o nd e t e c t i o n ，d i s t r i b u t e ds y s t e m ，c o o p e r a t i o n ，s n o r t l i 声明户i 刃 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在 本学位论文中，除了加以标注和致谢的部分外，不包含其他人已经发 表或公布过的研究成果，也不包含我为获得任何教育机构的学位或学 历而使用过的材料。与我一同工作的同事对本学位论文做出的贡献均 已在论文中作了明确的说明。 研究生签名：耋鱼盘沙缪年么月y 少日 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅 或上网公布本学位论文的全部或部分内容，可以向有关部门或机构送 交并授权其保存、借阅或上网公布本学位论文的全部或部分内容。对 于保密论文，按保密的有关规定和程序处理。 研究生签名：盗j 鱼盎沙矽吕年月、，矿日 硕l z 论文分布武入侵检测系统节点联动算法研究 1 绪论 1 1 课题背景 目前，网络安全问题已经引起社会各方面的重视。根据c n n i c ( 中国互联网络信息 中心) 2 0 0 8 年1 月公布的中国互联网络发展状况统计报告l l j 中可以知道中国网民中只有 2 5 的人没有碰到网络安全问题。根据c n c e r t c c ( 国家计算机网络应急技术处理协 调中心) 公布的2 0 0 7 年上半年网络安全报告【2 】中发现 n i m a y a ( 熊猫烧香) ”2 0 0 7 年初 出现流行趋势，截至到2 月底，c n c e r t c c 监测发现有1 l 万个i p 地址的主机被“熊猫 烧香”病毒感染。半年时间内c n c e r t c c 接收到的网络仿冒事件和网页恶意代码事件， 已分别超出0 6 年全年总数的1 4 6 和1 2 5 ，我国大陆地区被种植入木马的主机i p 远 远超过去年全年，增幅达2 1 倍。我国大陆被篡改网站数量比去年同期增加了4 倍，比 去年全年增加了近1 6 9 由于网络安全问题的被重视，人们需要网络安全工具来保护自己的系统不受攻击， 就需要构筑一个安全防御体系。9 0 年代末美国i s s 公司提出了自适应安全系统模型，即 集策略( p o l i c y ) 、防护( p r o t e c t i o n ) 、检测( d e t e c t i o n ) 、反应( r e s p o n s e ) 为一体的安 全模型( p p d r 模型) 【3 】，其中入侵检测构成其核心技术。检测的主要任务有，检测防 护部份阻止不了的入侵，检测入侵的前兆，入侵事件的归档，网络受威胁程度的评估， 入侵事件的恢复。入侵检测系统( i d s ) 是一种已经受到广泛的承认的安全主件，有着 许多其他安全产品做不到的功能。入侵检测已经成为安全防御体系中必不可少的一个组 成部份。 1 2 入侵检测的发展 1 9 8 0 年，j a m e se a n d e r s o n 首先提出了入侵检测的概念，并将入侵行为划分为外部 闯入、内部授权用户越权使用和滥用，并提出用审计追踪来监视入侵威胁。1 9 8 7 年， d o r o t h yed e n n i n g 发表论文“入侵检测模型”( a ni n t r u s i o nd e t e c t i o nm o d e l ) 1 1 4 1 , 首次将 入侵检测作为一种计算机安全防御措施提出，该模型为构建入侵检测系统提供了一个通 用的框架，但是它的最大缺点是它没有包含已知系统漏洞或者攻击方法的知识，而这些 知识在许多情况下是非常有用的信息。 。 直到19 9 0 年，h e b e r l e i n 等提出基于网络的入侵检测- n s m ( n e t w o r ks e c u r i t y m o n i t o r ) 这一新概念，从此入侵检测被分为两个基本类型：基于主机的入侵检测和基于 网络的入侵检测。 进入2 0 世纪9 0 年代后，出现了把基于主机和基于网络的入侵检测结合起来的早 1 绪论硕一 论文 期尝试，最早实现此种集成能力的原型系统是分布式入侵检测系统d i d s ，它将n s m 和 h a y s t a c k 组件集成到一起，并采用中央控制台来解决关联处理和用户接口的问题。典型 的d i d s 是管理端探测器结构，n i d s 作为探测器放置在网络的各个地方，并向中央 管理平台汇报情况。攻击日志定时地传送到管理平台，并保存在中央数据库中，新的攻 击特征库则能发送到各个探测器上。每个探测器能根据所在网络的实际需要配置不同的 规则集。报警信息能发到管理平台的消息系统，用各种方式通知i d s 管理员。现在有 人根据此种数据来源混合的方式，称此类系统为“混合型”( h y b r i d ) 系统。最著名的明确 体现分布式架构的早期系统为s r i 的e m e r a l d 系统，它明确将分布式检测架构进 行层次化的处理，并实现了不同层次上的分析单元，同时提供了开放的a p i 接口，实 现基本架构下的组件互换功能，之后，u cd a v i s 设计了g r i d s ( g r a p h b a s e di d s ) 系统， 这也是处理可扩展性问题的一次有益尝试。后来的p u r d u e 大学设计并原型实现的 a a f i d 系统体现了基于自治代理的分布式架构思想。各种分布式协作的入侵检测模型 不断被提出，例如i n d r a 系统1 2 4 j ，c o o p e r a t i v e a i s 1 2 1 ，等等。 并且在入侵检测系统的发展过程中，其他领域的研究成果被不断的引入，比如专家 系统，神经网络，免疫系统，基于代理的检测，数据挖掘，规则树，动态规划，混沌分 类系统，使得入侵检测系统得到了更大的发展。 1 3 入侵检测技术发展趋势 虽然入侵检测发展迅速，短短的几十年中取得如此大的成就。但是有些问题还时存 在的，综合这些问题我们可以认为近年来入侵检测技术的主要发展方向有f 8 】【9 】【1 川： ( 1 ) 分布式入侵检测与通用入侵检测架构第一层含义，即针对分布式网络的攻击的 检测方法；第二层含义即使用分布式的方法来检测分布式的攻击。传统的i d s 一般局限 于单一的主机或网络构架。而如今的大型网络应用正朝着分布式的迅速发展。在检测针 对分布式系统的攻击和分布式攻击时，传统的i d s 存在明显的不足，主要在于不同的i d s 系统之间不能很好的、地协同工作和i d s 收集、分析数据源难等问题。为解决这些问题， 需要分布式入侵检测技术与通用入侵检测构架。 ( 2 ) 智能的入侵检测网速的大幅度提高要求检测系统具有更高的数据包分析处理 能力，这就需要耗费更多的计算能力，这对现有计算机性能是一个较大考验。将人工智 能应用于入侵检测领域，可以大大提高i d s 的性能。而且现在入侵方法种类越来越繁杂， 其隐蔽性也越来越高尽管已经有智能体、神经网络与遗传算法在入侵检测领域的应用研 究，但这些技术还很不成熟，存在自学习、自适应能力差等诸多问题，需要对智能化的i d s 加以进一步地研究以解决其自学习与自适应能力差的问题。入侵检测性能的主要量度是 误警率、检测率及检测速度，当一个系统的检测率很高而误警率很低时我们才认为其性 能很好，这也需要通过智能化的研究来达到这个目标。 2 硕七论文分布式入侵检测系统节点联动算法研究 ( 3 ) 应用层入侵检测许多入侵的语义只有在应用层才能理解。例如用基于解析数据 包的技术检测口令猜测攻击，只有在应用层解析数据包“用户数据”字段才能理解其语 义。目前的i d s 仅能检测如w e b 之类的通用协议，而不能处理如l o t u s n o t e s 、数据库系 统等其他的应用系统。 ( 4 ) j k 侵检测的评价方法在很大程度上i d s 也是一个软件系统，从软件工程的角度 就肯定存在i d s 的软件评价这一重要问题，评价指标包括i d s 复杂性、可用性、可靠性、 鲁棒性等。从而设计通用的入侵检测测试与评估方法和平台，实现对不同i d s 的有效评 价已成为当前i d s 的另一重要研究与发展领域。 ( 5 ) 全面的安全防御方案同一系统中不同入侵检测部件之间的协作，不同安全工具 之间的协作，不同厂家的安全产品之间的协作，不同组织之间预警能力和信息的协作i d s 的发展方向。目前国外一些研究机构已经开发出了应用于不同操作系统的几种典型的入 侵检测系统，它们通常采用静态异常模型和规则的误用模型来检测入侵。这些i d s 的检 测基本是基于服务器或基于网络的。 1 4 本论文主要工作 本文在对现有的分布式协同入侵检测模型进行分析和研究的基础上，设计与实现了 一种协作的模式。主要的研究工作如下 曲总结了当前入侵检测技术的发展； 分析了目前入侵检测所面临的问题； c ) 研究分析了分布式协同入侵检测系统结构； m 分析s n o r t 2 7 0 1 源代码； e ) 设计并实现了一个基于s n o r t 2 7 0 1 的分布式的入侵检测系统； f ) 对该系统进行试验并分析。 论文组织结构如下： 第一章：绪论，介绍课题背景，入侵检测的发展及趋势； 第二章：介绍了入侵检测的概念，并对入侵检测的数据源、现有入侵检测技术的分 类，分布式入侵检测系统结构进行了分析； 第三章：介绍s n o r t ，分析s n o r t 2 7 0 1 的源代码； 第四章：分布式入侵检测系统的设计与实现； 第五章：对系统的实验测试； 第六章：总结与展望。 3 2 入侵检测系统概述 硕上论文 2 入侵检测系统概述 2 1 入侵检测系统 入侵的定义有多种，一种较流行的定义是由r h e a d y 等人提出的f 4 1 ：入侵是任何企图 破坏资源的完整性、保密性和可用性的行为。 机密性指信息在存储和传输过程中不让未授权的人看到。对于计算机和网络系统， 机密性指系统的存在性、内部结构等属性不让未授权的实体所得，它是最重要的安全问 题。 完整性指的是数据在存储过程中不会被未授权的人修改、插入、删除、重发等，而 影响数据的内容。完整性威胁直接影响数据本身的有效性，也是个严重的安全问题。 可用性指用户可用的一些资源由于攻击而无法正常访问。可用性安全威胁影响用户 的工作效率。 入侵检测是指对指向计算机和网络资源的恶意行为的识别和响应过程，是一种试图 通过观察行为、安全日志或审计数据来检测针对计算机或网络入侵的技术。为此目的所 研制的系统就是入侵检测系统( i d s ) 。 在文献【1 0 l 1 1 1 中，入侵检钡i j ( i n t r u s i o nd e t e c t i o n ) 通过对系统数据的分析，有效地发现非 授权的访问和攻击行为【1o 】【1 它通过从计算机系统中的日志文件、计算机网络中的若干 关键结点等处收集相关信息，并分析这些信息，检查系统或网络中是否有违反安全策略 的行为和遭到袭击的迹象，在不影响系统性能的情况下能对网络进行监测。入侵检测系 统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 贝j j 是入侵检测的软件或是硬件实现i d s 的主要作用 是：识别入侵者；识别入侵行为；检测和监视已有的安全漏洞；为对抗入侵提供信息，并及时 做出响应。 2 2 入侵检测技术分类 根据发现入侵行为的检测方法的不同，入侵检测技术中主要采用两类检测方法异常 检测技术和误用检测技术。 2 2 1 异常检测技术( a n o m a l yd e t e c t i o n ) 异常检测技术又称为基于行为的入侵检测技术，它假定了所有的入侵行为都有异常 特性，通过发现系统使用行为模式中的改变来进行检测。 描述正常或者合法活动的模型是对过去通过各种渠道收集到的大量历史活动资料分 析得到，系统将它与当前的活动情况进行对比，如果发现当前状态偏离了正常的模型状 态，则发出警告。这类方法的主要优点是检测率很高，甚至有可能检测出以前未出现过 4 硕士论文 分布式入侵检测系统节点联动算法研究 的攻击方法较少依赖特定系统环境，通用性较强而且大大增强了对合法用户越权的检测 能力。主要缺点首先是由于难以确定性问题而导致较高的误检率。异常检测技术的优点 在于可以在一定程度上实现对未知入侵行为的预报，它的缺点是存在较高的误报率。异 常检测技术的关键在于用户行为的建模，阀值的选取，以及系统特征量的选择。目前， 常用的基于异常的检测技术主要有以下几种。 ( a ) 基于审计的统计方法 该技术是从审计记录中抽取出一些入侵检测的度量进行统计，为每个用户建立一个 正常行为特征的统计概要文件。当用户行为与它以前建立的统计概要文件有差异时，则 认为可能有入侵发生。概率统计分析的优点是能应用成熟的概率统计理论，误用检测系 统不需要经常更新和维护。但是它也有明显的缺点：统计测量本质上排除了考虑事件间 顺序主要缺点是对事件的发生次序不敏感，单纯的统计入侵检测系统可能不会发觉事件 当中相互依次相连的入侵行为，对于单一统计入侵检测系统，入侵者可能诱导系统对所 监视的特定事件模式失效，难以确定异常阈值，闽值设置偏低或偏高均会导致误报警事 件。 ( b ) 基于神经网络方法 神经网络方法是利用一个包含很多计算单元的网络来完成复杂的映射函数的，这些 单元通过使用加权的连接相互作用。一个神经网络知识根据单元和它们权值问连接编码 成网络结构，实际的学习过程是通过改变权值和加入或移去连接进行的。一般分为两个 阶段，在第一阶段，由样本训练神经网在第二阶段，神经网接收用户的活动数据并与训 练的样本进行比较，以相似到什么程度来判断用户的行为。不正常的数据将使神经元的 状态，连接或权重发生相当大的变化。神经网络能适应性地学习正常用户和系统活动的 模型，这种学习仅仅依赖于活动数据本身。神经网络技术应用于入侵检测领域的优势： 具有概括和抽象的能力，对不完整输入信息具有一定的容错处理能力；具有高度的学习 和自适应能力；独有内存计算和存储特性。使用神经网络的优点是可以很好地处理噪声 数据，因为它只与用户行为相关，而不依赖于任何低层数据特性的统计。 ( c ) 基于数据挖掘方法 由于单独依靠手工方法从大量的审计记录中发现异常情况时非常困难的，w e e k el e e 和s a l v a t o r e j s t o l f o 将数据挖掘技术应用到入侵检测研究领域中。数据挖掘又称数据库 中的知识发现，是指从大型数据库或数据仓库中提取隐含的、未知的、异常的及有潜在 应用价值的信息或模式。 入侵检测中的数据挖掘技术主要涉及到下列三种类型： ( 1 ) 聚类算法，目标是将特定的数据项归入预先定义好的某个类别。入侵数据很少且 与正常数据有很大差别，就可以把检测入侵看成异常点的检测问题。采用聚类的思想， 由于有很多正常数据，正常数据会聚集在一起成为一大簇。相对于正常数据，入侵数据 s 2 入侵检测系统概述硕上论文 很少，则聚类之后单独会聚成一小簇。因此，可以先对数据进行聚类分析，再将小簇数 据标识为入侵，即得出新的异常行为模式，再由系统自动转换为检测规则。 ( 2 ) 关联分析算法，用于确定数据记录中各个字段之间的联系，基于贝叶斯网的检测 算法就是一种典型的关联分析算法。贝叶斯网络是一种基于网络结构的有向图解描述， 适用于表达和分析不确定和概率性事物，可从不完全或不确定的知识或信息中做出推 理。 ( 3 ) 系列分析算法，发掘数据集中存在的系列模式，即不同数据记录问的相关性。系 列分析算法能够发现按照时间顺序，在数据集中经常出现的某些审计事件系列模式。在 入侵检测中，通过对这些系列模式的发觉和分析，能够提示开发者在检测模型中加入若 干反应时间特性和统计特性发面的特征度量参数。 这种方法的优点在于适应处理大量数据情况，但是对于实时入侵检测则还存在问题， 需要开发出有效的数据挖掘算法和相适应的体系。 2 2 2 误用检测技术( m i s u s ed e t e c t i o n ) 误用检测技术又称为基于知识的入侵检测技术，它是假定所有入侵行为和手段及其 变种都能够表达为一种模式或特征，所有己知的入侵方法都可以用匹配的方法发现。 系统首先将所有入侵行为及其变种进行分析，提取检测特征，构建攻击模式。通过 系统当前状态模式与攻击模式的匹配，判断是否为入侵行为。它能够准确地检测到某些 特征的攻击，但却过度依赖事先定义好的安全策略，所以无法检测系统未知的攻击行为， 漏报的情况比较多。为了提高检测的准确率，必须不断更新入侵模式库，以对付不断出 现的黑客攻击手法误用检测技术实现的关键在于入侵行为的描述。目前，常用的基于误 用的监测技术主要有以下几种误误用检测技术。 ( a ) 基于专家系统的误用检测技术 专家系统是运用知识进行推理的计算机程序。专家系统把某一领域里被公认的权威 专家的知识或法规及各种规则精选出来，并用某种形式表示出来，计算机将根据这些 知识去模仿专家分析问题的方法和解决问题的策略，求得问题的解答。基于专家系统误 用入侵检测是根据安全专家对可疑行为的分析检验所形成的一套推理规则进行检测，并 在此基础之上构成相应的专家系统。所谓的规则，即是知识，其是通过将安全专家的知 识表示成i f t h e n 规则形成专家知识库。然后，运用推理算法进行入侵检测。当规则 的全部条件都满足时，动作才会执行。入侵特征的抽取与表达是建立专家系统的关键。 但是这种技术主要缺点在于知识的组织困难，并且只能检测已知的入侵模式。 ( b ) 基于状态转移分析的检测技术 状态转移分析方法工作的基础是状态转换图或表，以此检测已知的攻击信息。状态 转换图用来表示一个事件序列。该方法来源于一个事实，即所有入侵者都是从某一受限 6 硕十论文分布式入侵检测系统节点联动算法研究 的特权程序开始来探测系统的脆弱性以获得结果。 基于p e t r i 网分析的入侵检测是一种典型的状态转移分析技术。每个入侵标签被表达 为一个模式，该模式表达事件和它们的内容间的关系。关系模式准确的表达了一个成功 的入侵和企图。状态转移分析方法的优点是与攻击的过程无关只与系统状态的变化相 关，所以无需对攻击手段进行研究。 ( c ) 基于遗传算法的检测技术 遗传算法加，是进化算法的一个实例，来自达尔文自然选择这一概念。遗传算法有 能力处理多维优化问题，其中，染色体由将要优化的变量的代码值组成。在入侵检测中， 对事件数据的假设矢量被定义和测试以决定其是否有效，然后根据测试的结果设计和测 试一个改进的假设。这个过程一直重复直到找到一个解决方案。在遗传算法中涉及两步 一是对问题用一串位进行编码，二是发现适应函数以按评价标准测试群体中的每个个 体。若适应函数设计得很好，则检测率可能会较高，而误等率会很低。 2 3 入侵检测系统的分类 2 3 1 主机型入侵检测系统( h o s tb a s e di d s ) 主机型入侵检测系统保护的一般是其所在的系统，它是以主机的审计记录为主要数 据来源，通过对其进行分析来检测入侵行为。它不对网络数据包进行检测，而是对系统 日志提供的大量数据进行整理和分析。早期的检测系统多为基于主机的。其主要优点是 信息源完备，系统产生的日志是归类有序的，它准确记录了每个用户的行为序列，这样 便可以精确监控每个用户的行为，同时也使得对信息源处理简单、一致。其次，对某些 特定的攻击十分有效，比如，审计日志能够显示出由缓冲溢出攻击引起的优先级转移的 情况，从而能够有效的检测缓冲区溢出攻击。 2 3 2 网络型入侵检测系统( n e t w o r kb a s e di d s ) 基于网络入侵检测系统最早出现于1 9 9 0 年。它主要用于防御外部入侵攻击。它通过 监控出入网络的通信数据流，依据一定规则对数据流的内容进行分析，从而发现协议攻 击、运行已知黑客程序的企图和可能破坏安全策略的特征，做出入侵攻击判断。其主要 优点平台独立性。它以网络数据作为信息源，而网络传输的数据源都是形式统一的报文， 与主机平台无关。由于它通常位于网络的接入点，所有的通信都会通过这里。所以，它 的信息源涵盖了整个内部网络，有利于根据信息的相关性做出全局推断。网络型入侵检 测系统保护的对象是整个网段，它将计算机的网卡设为混杂模式，以网络上的数据包作 为数据源，监听本网段内所有的数据包并进行判断，从而检测该网段上发生的网络入侵。 7 2 入侵检测系统概述硕上论文 2 4 分布式入侵检测系统结构分析 目前，分布式入侵检测和协作模式已经成为安全领域的研究热点。许多的组织和大 学已经在这个方向进行研究，并取得了一些成果。主要可分为三类分布式入侵检测系统。 2 4 1 集中式结构的分布式入侵检测系统 集中式结构的主要特征，它只有一个中央处理单元，可以有多个分布于不同主机的 采集器。采集程序负责把当地的数据发送到中央处理单元进行分析处理。这种结构的主 要缺点是性能瓶颈及单点失效。因为中央处理能力有限，限制了系统的扩展，而且当中 央处理单元崩溃的时候，整个入侵检测系统就失效了。典型的系统有： ( a ) d i d s ( d i s t r i b u t e di n t r u s i o n d e t e c t i o ns y s t e m ) d i d s 是由主机代理( h o s ta g e n t ) 、l a n 代理( l a na g e n t ) 和管理器( d i d s d i r e c t o r ) 三大部份组成。主机代理和l a n 代理各自收集自己感兴趣的安全事件，然后 把这些事件传递给管理器，然后由管理器作出反映。很明显处于系统中心的管理器是个 瓶颈，并且系统就分了一层，它缺乏可扩展性，不是一个真正的分布是入侵检测系统。 ( b ) g r l d s ( g r a p h b a s e di n t r u s i o nd e t e c t i o ns y s t e m ) g r i d s 是1 9 9 6 年提出，致力于解决当代绝大多数入侵检测系统伸缩性不足。g r i d s 的使用，运行在每个主机上的数据模块向图机报告信息，由图机建立一个状态图来描述 网络的活动，并通过它来检测可能的攻击。此外，还提供了一种机制，这种机制允许使 用第三方的安全工具作为数据的来源。它的缺陷在于只是给出了网络连接的图形化表 示，具体的入侵判断仍然需要人工完成，而且系统的有效性和效率都有待验证和提高。 2 4 2 层次式结构的分布式入侵检测系统 等级式结构为树状，最底层作为数据的采集点。中间是汇聚节点，对采集到的数据 进行简单的操作，最上层通常是命令和控制节点。这种结构可以看作是集中式结构的升 级版。其协作的模式是将整个受保护网络按其功能或地理位置分成若干独立的保护子 网，然后将他们按其功能或地域的隶属关系连接成树状结构。他们之间的协作入侵检测 则是一种迭代依赖于其父亲节点和兄弟节点间的分布式入侵检测协作关系。这种结构因 数据有一个流向，可减少数据交互，便于管理。但该种协作是一种由上层控制下层的协 作系统，也就是说其兄弟节点间的协作关系必须通过其父亲节点协调来完成。这使得该 系统的层次结构关系会影响到系统的漏检率和检测效率。因此，该种结构的入侵检测系 统存在着协作过于依赖组织结构，扩展不够灵活，且各节点协作负载不够均衡，即父节 点的平均负载将高于其子节点。典型系统有： ( a ) e m e r a l d ( e v e n tm o n i t o r i n ge n a b l i n gr e s p o n s e s t oa n o m a l o u sl i v ed i s t u r b a n c e s ) e m e r a l d 是层次式结构的分布式入侵检测系统。它吸取了i d e s n i d e s 的经验， 8 硕士论文 分布式入侵柃测系统节点联动算法研究 关注的重点由一系列的主机转移到整个网络。e m e r a l d 它的主要组成部份包括：服务 监视器( s e r v i c em o n i t o r ) ，域监视器( d o m a i nm o n i t o r ) ，企业监视器( e n t e r p r i s em o n i t o r ) 。 这三级监控器都采用相同的体系结构：用于异常检测的模式引擎，用于攻击特征分析的 特征引擎，以及对各个引擎输出结果进行综合分析的分析部件。在各个模块的资源对象 可以被用户来配置，并且资源对象可以被e m e r a l d 系统多个监控器重用。在最低一 级，服务监控器支持对域内单个网络服务的。 入侵检测工作，包括读取活动记录和审计事件、攻击特征分析以及统计分析。域监 控器综合各个服务监控器的信息，提供域范围内的入侵观察，而企业监控器则执行域间 的分析来获得全局范围的威胁，它关心的是对于网络服务的类似蠕虫的攻击和域间攻 击。基于签名的通讯信道允许不同的服务监控器之间进行通讯。 ( b ) a a f i d ( a u t o n o m o u sa g e n tf o ri n t r u s i o nd e t e c t i o n ) a a f i d 是由p u r d u e 大学设计的一种采用树形分层结构的基于代理( a g e n t ) 的分布 式入侵检测系统。a a f i d 由四个部份构成：代理( a g e n t ) ，收发器( t r a n s c e i v e r ) ，监 视器( m o n i t o r ) ，用户界面( u i ) 。代理处于树形分层结构的叶子节点，负责信息的采 集，实际可认为是一台主机上运行的采集数据的服务进程，收发器是处于代理之上的节 点，主要的任务是数据的处理和转发，而监视器是收发器之上的节点：主要的任务与收 发器相同。它们之间的最大的区别就是，收发器只能控制当前一台主机上的代理，而监 视器可以控制多个主机上的代理。体系结构图如图2 4 2 1 。 扩 图2 4 2 1a a f i d 系统体系结构图 ( c ) 基于多a g e n t 的动态层次化分布式入侵检测系统 9 2 入侵柃测系统概述 硕士论文 南京大学的吴骏，王崇骏，陈世福提出了一种基于多a g e n t 的动态层次化分布式入 侵检测系统1 2 引。他们引入对手b d i ( b e l i e f - d e s i r e i n t e n t i o n ) 模型，通过实现多代理之 间的协作来有效提高传统分布式入侵检测系统的系统地性能。如图2 4 2 2 所示，该系统 可分为四层，从底层到顶层分别是t a ( t r a c e r a g e n t ) 、b a ( b a s i ca g e n t ) 、s a ( s u p e r v i s o r a g e n t ) 和m a ( m o n i t o r a g e n t ) 。后三种代理( b a 、s a 、m a ) 是分析代理。它的优点 在于改进了传统的基于多a g e n t 系统的分布式入侵检测模型，提出了一种动态建立的层 次化结构，并提出了对其运行进行支持的基本方法体系。动态建立的逻辑结构，提高了 系统的健壮性；对手思维状态模型的引入，使系统能提早发现各种入侵意图，在一定程度 上提高了系统的智能性和实时性。文中提出了节点加入的算法，s a 或m a 退出时相应 节点所需要进行的选举算法，也应该考虑其他节点退出的情况。文中提到的负载平衡应 该只是一种理论上的研究，到实际的应用还是有一段距离的。 图2 4 2 2 基于多a g e n t 的动态层次化分布式入侵检测系统 2 4 3 完全分布式的入侵检测系统 为了避免层次化协同检测存在的缺点，引入了完全分布式对等协同检测模型。完全 分布式模型中的组件是对等的，不存在逻辑上的从属关系，提高了系统的可靠性。缺点 是在整个网络范围内，增加了所监控主机的工作负荷，如通信机制、审计开销、踪迹分 1 0 硕十论文分布式入侵检测系统节点联动算法研究 析等，可能导致通信量过于庞大。典型的系统有： i n d r a 系统是由r a m a p r a b h u ，j a n a k i r a m a n ，m a r c e lw a l d v o g e l ，q iz h a n g 三人2 0 0 3 年提 出的，它是完全分布式( 对等) 协同检测系统中的一种，主要思想有两个，一个是当一 个系统检测到攻击时，就通过p 2 p 手段来散步这个信息。另一个是每个节点都有一个后 台程序( i n d r ad a e m o n s ) ，来检测入侵并且基于它以前的数据的记忆来加强访问控制。通 过一个邻居观察的思想，辨别出已经被入侵的节点，然后分发这个消息达到检测的效果。 c o o p e r a t i v ea i s ( a r t i f i c i a li m m u n es y s t e m ) 是f l 了k a t j al u t h e ra n dr a i n e rb y e ，t a n s u a l p c a na n d a c h i mm ”u l l e r ，s , a h i n a l b a y r a k ，他f f 2 0 0 7 年提出来的。这是一个分布式的入 侵检测系统，它由n 个基于免疫机理的入侵检测系统组成，每个系统都有记录一个协作 链表。其中有一个节点作为服务器，主要是为了新节点加入到该大系统。主要运行过程 如下： 初始化 向服务器发送注册信息 发送更新信息 向链表中的协作节点发送更新信息 接收信息 s w i t c h 信息类型 c a s e 服务器发来的协作节点链表 把这些节点加到自己的协作链表上 c a s ek 节点发来的更新信息 f o r所有在协作链表里面的节点 i f 节点是k 根据发来的信息执行操作 e l s e 节点不是k 增加他的年龄 i f 年龄) 一个指定的极限值 从链表中巴该节点删除 i fk 节点不在协作链表里面 把k 节点加入到协作链表 退出消息： 把发送者从协作链表中删除 请求协作链表消息： 把协作链表发给客户 系统的主要思想就是每个小的检测系统间是相互信任的，并且当一个系统一个检测 1 1 2 入侵检测系统概述 硕士论文 因子检测到一个严重的攻击时，这个系统将这个因子发给协作检测系统共享。 北京邮电大学的林昭文，任兴田，马严中提出一种a d c m ( a g e n t b a s e dd i s t r i b u t e d c o o p e r a t i v em o d e l ) 【1 3 】模型，主要的结构如图2 4 3 1 所示 图2 4 3 1a d c m 中单个l d d 结构图 它在不同的逻辑区域之间的通信实现协作，如图所示，这就是一个l d d ( l o g i cd e t e c t i o n d o m a i n s ) ，它可能是一个局域网，在每个l d d 当中，有且仅有一个m a ( m a s t e ra g e n t ) ， 一个c a ( c o o p e r a t o ra g e n t ) ，以及数个e a ( e n t i t ya g e n t s ) 分布在服务器或路由监视器当中， 所有的这些代理都向m a 注册。e a 是最基本的检测单元，被a d c m 管理的主机或子网 可以根据要求运行多个e a 。m a 是a d c m 模型的中心节点，记录着各个代理的能力， 并利用它来帮助服务的提供者和接收者之间建立联系。c a 的作用是为了和外部的l d d 中的节点进行协作，由两个作用，一是接收外部传来的协作信息，另外一个是由本地 e a 驱动，向外部l d d 发送报告。a d c m 具有分布式协作入侵检测的优点，并且具有 很好的可扩展性。 在文献【2 2 】中作者就提出了一种通讯机制来解决有中心节点的分布入侵检测系统 的缺点，并且描述了实现负载平衡的一种策略。这种通讯机制的实现主要有信息交换引 擎( e x c h a n g i n gi n f o r m a t i o ne n g i n e ) ，信息交换协议( i n f o r m a t i o ne x c h a n g i n gp r o t o c 0 1 ) ， 监控数据库( m o n i t o r i n gs e s s i o nd a t a b a s e ) 等成份。 由于完全分布式模型与对等网的结构类似，网络中不存在主控节点，每个检测组件 1 2 硕r 十：论文分布式入侵检测系统节点联动算法研究 都能与其它组件相互通信，所以，检测组件可以是数据处理组件和数据收集组件的结合 体，也可以二者之一。通常将监控网络划分成数个小监控域，每个监控域布置基于网络 和基于主机的数据收集组件，基于主机的数据收集组件和数据处理组件可以结合成为一 个检测组件。如果没有其它的数据处理组件，那么就由这个检测组件接收监控域内的其 它数据收集组件产生的数据。 完全分布式模型的研究刚刚兴起，除了对分布式入侵检测的体系结构的研究，研究 者还关注对等节点之间的通信、信任、授权等问题。分布式系统的组通信机制、事件通 知服务等中间件技术开始进入研究者的视野。但由于这些技术存在安全等问题，而且由 于系统中没有全局控制中心，所以管理和进行信息综合比较困难，基于完全分布式模型 的分布式入侵检测从实验室研究到工业应用还有很长一段路要走。 1 3 3s n o r t 入侵检测系统硕上论文 3s n o r t 入侵检测系统 3 1s n o r t 系统 s n o r t 的创始人是m a r t yr o e s c h ，现在s n o r t 已经发展的非常强大，有了核心的开发团 队和官方站点( w w w s n o r t o r g ) 。 s n o r t 是以开放源代码( o p e ns o u r c e ) 形式发行的一个高性能、跨平台的轻量级网 络入侵检测系统，在网络安全方面有着极高的地位，并且应用十分广泛。s n o r t 运行在 l i b p c a p 库( w i n d o w s 下是w i n p c a p ) 基础之上，系统代码遵循g n u g p l 协议。是一个轻 量级的网络入侵检测系统。所谓的轻量级是指在检测时尽可能低地影响网络的正常操 作，一个优秀的轻量级的网络入侵检测系统应该具备跨系统平台操作，对系统影响最小 等特征并且管理员能够在短时间内通过修改配置进行实时的安全响应，更为重要的是能 够成为整体安全结构的重要成员。s n o r t 作为其典型范例，它可以运行在多种操作系统 平台，例如u n i x 系列和w i n d o w s ，与很多商业产品相比，它对操作系统的依赖性比 较低，其次用户可以根据自己的需要及时在短时问内调整检测策略。 s n o r t 集成了多种告警机制来提供实时告警功能，包括：s y s l o g 、用户指定文件、 u n i x s o c k e t 、通过s m b c l i e n t 使用w i n p o p u p 对w i n d o w s 客户端告警。s n o r t 采用基 于规则的网络信息搜索机制，对数据包进行内容的模式匹配，从中