（计算机应用技术专业论文）分布式入侵检测系统关键技术研究(1).pdf

分布式入侵检测系统关键技术研究 分布式入侵检测系统关键技术研究 中文提要 入侵检测系统在计算机网络系统安全中起着关键作用。本文在深入分析了当前入 侵检测技术研究现状的基础上，提出并构建了一个完整的基于移动代理的分布式入侵 检测系统。该系统具有比传统入侵检测系统更好的检测性能以及具有可靠性、健壮性 和自适应性等优点。 本文所提出的分布式入侵检测系统关键技术包括一个平台和三个子系统即：基于 移动代理的入侵检测平台、基于主机系统调用序列分析的入侵检测子系统、基于主机 用户行为关联分析的入侵检测子系统、基于网络数据包免疫分析的入侵检测子系统。 本文首先界定了分布式入侵检测系统的基本特征和关键技术要素，然后描述了移 动代理平台的基本特性，分析了智能移动代理在分布式入侵检测系统的关键性平台作 用。接着提出了一种移动代理的位置透明性方案，该方案有效解决移动代理平台位置 管理和消息传递的基础问题。最后提出一种基于移动代理的入侵检测平台，给出系统 的体系结构，阐述实现的关键技术，并进行了相关测试。 大部分入侵行为都必须通过系统调用来达到它们破坏系统的目的。基于特定程序 的系统调用序列具有一定稳定性的原理，本文提出一种系统调用序列分析的系统模型 以及详细设计方案。采用将运行于核心态的调用信息拷贝到用户缓冲区中，提取所需 的系统调用信息。然后在无入侵的情况下，经过海量的正常的系统调用序y d - n 练得到 正常模式库。最后将实时监测到的特定程序的系统调用序列与正常的系统调用模式库 进行匹配，采用汉明距离计算出他们的最大相似度，以判定是否出现入侵异常。最后 对系统调用序列分析检测模块在移动代理平台下的实现进行了相关测试。 有许多入侵行为都是合法用户的非正常操作来达到破坏系统的目的。与系统调用 序列分析不同的是，用户行为分析主要涉及到合法用户的非法或误操作模式。基于普 通用户的操作行为具有前后的关联性原理，本文提出一种基于用户行为关联分析的系 统模型以及详细的设计方案。首先定义了主机合法用户的行为特征和行为模式，采用 静态和动态相结合的方式进行用户行为模型的建立，然后根据操作系统日志信息，针 中文提要分布式入侵检测系统关键技术研究 对用户的每次登陆会话产生用户行为特征数据，采用递归式相关函数算法来对关联序 列进行相似度的计算，以判定是否出现非常行为。最后对用户行为关联分析检测模块 在移动代理平台下的实现进行了相关测试。 网络数据包分析可以对某个网段的网络数据流进行大规模的分析处理，可以有效 监控大规模的计算机网络。由于免疫系统天然的分布性，非常契合入侵检测系统的需 求。本文提出一种移动代理平台下的网络数据包免疫分析系统模型以及详细的设计方 案。采用最简单的二进制方式表达网络数据包的自我特征；特征之间的距离采用欧拉 距离的计算方式；检测器的初始产生采用简单的r 连续匹配穷举法，各个检测子节点 均可以自主产生属于自己的检测器集合；设置一个总体检测集合库，用于存放源自于 各个检测节点所带来的经过初选的检测集，并通过基于克隆选择的二次精英机制产生 后代种群。经过各个节点的自体首次免疫耐受，再经过总检测库基于克隆选择的二次 精英机制搜索产生优化种群，可以使得系统的各个节点和总控节点都在不断的进化当 中，使得检测器所产生的无效检测漏洞概率大大降低。 最后自主设计并实现了一个基于移动代理的分布式入侵检测系统原型系统，实验 表明移动代理的平台完全能够作为分布式入侵检测系统的可靠的、安全的平台，运行 其上的系统调用序列分析、用户行为关联分析、网络数据包免疫分析完全能够达n t 预期目标。 关键词：入侵检测；移动代理；序列分析；关联分析；人工免疫 i i 作者：陈云芳 导师：王汝传 r e s e a r c ho f k e yt e c h n o l o g i e so f d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m a b s t r a c t r e s e a r c ho fk e yt e c h n o l o g i e so fd i s t r i b u t e di n t r u s i o n d e t e c t i o ns y s t e m a b s t r a c t i n t r u s i o nd e t e c t i o ns y s t e mp l a y sak e yr o l ei nt h ed o m a i no fc o m p u t e rn e t w o r k s e c u r i t y b a s e do ni n - d e p t ha n a l y s i so ft h ec u r r e n ti n t r u s i o nd e t e c t i o nt e c h n o l o g i e s ，t h e p a p e rp r o p o s e da n de s t a b l i s h e dac o m p l e t ed i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e mb a s e d o nt h em o b i l ea g e n tp l a t f o r m t h es y s t e mh a sb e t t e rd e t e c t i o np e r f o r m a n c ew i t hr e l i a b i l i t y , r o b u s t n e s sa n da d a p t a b i l i t y , a n do t h e ra d v a n t a g e sa sw e l la st r a d i t i o n a li n t r u s i o nd e t e c t i o n s y s t e m s t h e k e yt e c h n o l o g i e so f d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e mp r o p o s e di nt h i sp a p e r i n c l u d eo n ep l a t f o r ma n dt h r e es u b s y s t e m s i n t r u s i o nd e t e c t i o np l a t f o r mb a s e do nm o b i l e a g e n t ，h o s ti n t r u s i o nd e t e c t i o ns u b s y s t e mb a s e do ns e q u e n c ea n a l y s i so ft h es y s t e mc a l l s ， h o s ti n t r u s i o nd e t e c t i o ns u b s y s t e mb a s e do na s s o c i a t e da n a l y s i so ft h eu s e rb e h a v i o ra n d n e t w o r ki n t r u s i o nd e t e c t i o ns u b s y s t e mb a s e do ni m m u n ea n a l y s i so ft h en e t w o r kp a c k e t t h i s p a p e rd e f i n e st h e b a s i cc h a r a c t e r i s t i c sa n dt h e k e yt e c h n i c a le l e m e n t s o f d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ，a n dt h e nd e s c r i b e st h ek e yr o l eo fi n t e l l i g e n t m o b i l ea g e n tp l a t f o r mi nt h ed i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e mp l a t f o r m t h e n ，a s c e n a r i oo ft h em o b i l e a g e n tl o c a t i o nt r a n s p a r e n c yi sb r i n g e df o r w a r d ，w h i c hc a n e f f e c t i v e l ys o l u t el o c a t i o nm a n a g e m e n ta n dm e s s a g i n ga b o u tf o u n d a t i o np r o b l e m so f m o b i l ea g e n tp l a t f o r m f i n a l l y , ak i n do fa r c h i t e c t u r em o b i l ea g e n t - b a s e dd i s t r i b u t e d i n t r u s i o nd e t e c t i o ns y s t e m ，o nt h ek e yt e c h n o l o g yp l a t f o r m ，a n dt h er e l a t e dt e s t s m o s to ft h ei n v a s i o nc a na c h i e v et h ep u r p o s eo ft h e i rd e s t r u c t i o nv i as y s t e mc a l l s b a s e do nt h es t a b i l i t yp r i n c i p l eo fs y s t e mc a l l ss e q u e n c ew i t ht h es p e c i f i cp r o c e d u r e s ，t h i s p a p e rp r e s e n t sas y s t e ma r c h t i t e c t u r ea sw e l la sad e t a i l e dd e s i g nb a s e do ns e q u e n c e a n a l y s i so fs y s t e mc a l l f i r s t l y , e x t r a c t i n gt h es y s t e mc a l l si n f o r m a t i o nb yc o p y i n gt h e k e r n e li n f ot ot h eu s e rb u f f e r t h e n ，n o r m a lm o d ed a t a b a s ei sb u i l ta f t e raf l o o do ft h e i i i a b s t r a c tr e s e a r c ho f k e yt e c h n o l o g i e so f d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m n o r m a ls y s t e mc a l l ss e q u e n c et r a i n i n gu n d e rn o i n v a s i o nc i r c u m s t a n c e s f i n a l l y , t h e s y s t e mc a l l ss e q u e n c e ，w h i c hi so b t a i n e db yt h er e a l t i m em o n i t o r i n gs p e c i f i cp r o c e d u r e s ， m a t c ht h ep a t t e mw i t ht h en o r m a lm o d ed a t a b a s e ，c a l c u l a t et h e i rg r e a t e s ts i m i l a r i t yb y h a m m i n gd i s t a n c et od e t e r m i n ew h e t h e rt h e r eh a si n v a s i o n t h er e a l i z a t i o no fi n t r u s i o n d e t e c t i o ns u b s y s t e mb a s e do ns e q u e n c ea n a l y s i so fs y s t e mc a l li nm o b i l ea g e n tp l a t f o r m h a sb e e nr e l a t e dt e s t s m a n yi n v a s i o n sa r eb r i n g e db yi l l e g l eo p e r a t i o no fl e g i t i m a t eu s e r st oa c h i e v et h e p u r p o s e d i f f e r e n tw i t hs e q u e n c ea n a l y s i so fs y s t e mc a l l ，u s e rb e h a v i o ra n a l y s i sm a i n l y r e l a t e dt o l e g i t i m a t eu s e r so fi l l e g a lo rm i s u s eo p e r a t i o nm o d e b a s e do nt h er e l e v a n c e p r i n c i p l e sb e t w e e nt h eb e f o r ea n da f t e ro r d i n a r yo p e r a t i o no fu s e rb e h a v i o r , t h i sp a p e r p r e s e n t sas y s t e ma r c h t i t e c t u r ea sw e l la sad e t a i l e dd e s i g nb a s e do nc o r r e l a t i o na n a l y s i so f u s e rb e h a v i o r f i r s t l y , l e g i t i m a t eu s e rb e h a v i o r a lc h a r a c t e r i s t i c sa n dp a t t e m sa r ed e f i n e db y u s i n gac o m b i n a t i o no fs t a t i ca n dd y n a m i cu s e rb e h a v i o rm o d e l t h e n ，a c c o r d i n gt ot h e o p e r a t i n gs y s t e ml o gi n f o r m a t i o n ，u s e rb e h a v i o rd a t ai sb u i l to nu s e rs e s s i o nb ye a c hl o g i n f i n a l l y , c a l c u l a t et h es i m i l a r i t yo fc o r r e l a t i o ns e q u e n c eb yr e c u r s i v ec o r r e l a t i o nf u n c t i o n a l a l g o r i t h mt od e t e r m i n ew h e t h e rt h e r eh a si n v a s i o n t h er e a l i z a t i o no fi n t r u s i o nd e t e c t i o n s u b s y s t e mb a s e do nc o r r e l a t i o na n a l y s i so fu s e rb e h a v i o ri nm o b i l ea g e n tp l a t f o r mh a s b e e nr e l a t e dt e s t s n e t w o r kp a c k e ta n a l y s i sc a ne f f e c t i v e l ym o n i t o rl a r g e s c a l ec o m p u t e rn e t w o r k sb y a n a l y s i sa n dp r o c e s s i n go fl a r g e - s c a l en e t w o r k sd a t a f l o w t h en a t u r a ld i s t r i b u t i o no f i m m u n es y s t e mi ss u i t a b l ef o rt h en e e d so fd i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m t h i s p a p e rp r e s e n t sas y s t e ma r c h t i t e c t u r ea sw e l la sa d e t a i l e dd e s i g nb a s e do ni m m u n ea n a l y s i s o fn e t w o r kp a c k e t si nm o b i l ea g e n tp l a t f o r m t h es e l f - c h a r a c t e r i s t i c so fn e t w o r k p a c k e ti s e x p r e s s e d 、析t 1 1m o s ts i m p l eb i n a r ya n dt h ed i s t a n c eb e t w e e nt h ep a c k e tc h a r a c t e r i s t i c si s e x p r e s s i o nw i t he u l e rd i s t a n c e 。t h ed e t e c t i o ns e tf o rt h ei n i t i a lu s ec o m ei n t ob e i n gb y e x h a u s t i v em e t h o do fs i m p l erc o n t i n u o u sm a t c h m o r e o v e r , v a r i o u sd e t e c t i o ns u b n o d e s c a nb ei n d e p e n d e n t l yp r o d u c et h e i ro w nd e t e c t o rs e t i ts e tu pa p o o lf o ro v e r a l ld e t e c t i o n s e tf o rs t o r a g es e t sd e r i v e df r o mt h ev a r i o u ss u b - n o d e sw h i c hh a sf i l t e r e d ，a n dp r o d u c e i v r e s e a r c ho fk e y t e c h n o l o g i e so fd i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m a b s t r a c t f u t u r eg e n e r a t i o n so ft h ee l i t ep o p u l a t i o nb a s e do nt h es e c o n d a r ym e c h a n i s mt h r o u g h c l o n a ls e l e c t i o n a f t e ra l l ，u n d e r g o i n gi m m u n et o l e r a n c eo fs u b n o d e sa n dt h ec l o n a l s e l e c t i o no fo v e r a l ln o d eb a s e do nt h es e c o n d a r ye l i t es e a r c hm e c h a n i s m s ，t h ei n t r u s i o n d e t e c t i o ns y s t e mc a nm a k ea l lt h es u b - n o d e sa n do v e r a l ln o d ei nc o n s t a n te v o l u t i o n t h e p r o b a b i l i t yo fd e t e c t i n gv u l n e r a b i l i t i e si n v a l i dg r e a t l yr e d u c e d f i n a l l y , ad i s t r i b u t e di n t r u s i o nd e t e c t i o np r o t o t y p es y s t e mb a s e do nm o b i l ea g e n t p l a t f o r mi sp r o p o s e da n di m p l e m e n t e d e x p e r i m e n tr e s u l t ss h o wt h a tm o b i l ea g e n t p l a t f o r mi sf u l l yc a p a b l eo fd i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e ma sr e l i a b l ea n ds e c u r e p l a t f o r m s ，a n dt h es e q u e n c ea n a l y s i ss u b s y s t e mb a s e do ns y s t e r hc a l l ，r e l a t i o n a la n a l y s i s s u b s y s t e mb a s e do nu s e r s b e h a v i o r , i m m u n ea n a l y s i ss u b s y s t e mb a s e do nn e t w o r kp a c k e t s ， w h i c hr u no nt h em o b i l ea g e n t p l a t f o r m ，c a na c h i e v et h ed e s i r e do b je c t i v e sc o m p l e t e l y k e y w o r d s ：i n t r u s i o nd e t e c t i o ns y s t e m ，m o b i l ea g e n t ，s e q u e n c ea n a l y s i s ，c o r r e l a t i o n a n a l y s i s ，a r i t i f i c a li m m u n es y s t e m v a u t h o r ：c h e ny u f a n g a d v i s o r ：能n gr u c h u a n 图表目录 图1 1d e n n i n g 入侵检测模型4 图1 2 入侵检测通用框架5 图3 1 代理的概念框图3 0 图3 2 移动代理的参考模型3 2 图3 3 基于域的树状名字服务3 5 图3 4 本地代理提供位置信息3 5 图3 5 前向代理提供位置信息3 6 图3 - 6 公告牌实现消息交互3 7 图3 7 影子代理实现位置管理3 7 图3 8s p c 方式实现位置管理3 8 图3 - 9 移动代理位置透明性系统仿真环境3 9 图3 1 0 移动代理位置透明方案4 0 图3 1 1 各种位置管理和消息传递的开销比较4 3 图3 1 2 分布式入侵检测系统结构图。4 4 图3 1 3 系统开发模块架构4 6 图3 1 4 分布式入侵检测系统的控制台。4 9 图4 1 系统核心态和用户态示意图5 5 图4 2 网络、应用程序与系统核心关系图5 6 图4 3 截获和控制系统调用原理图5 8 图4 4 系统调用序列的局部稳定性5 9 图4 5 基于系统调用序列分析框架模型6 3 图4 - 6 系统调用获取方式。6 4 图4 7 系统调用序列分析系统总体结构6 5 图4 8 系统调用数据源和序列检测的接口6 7 图4 - 9 序列检测和入侵检测系统的接口6 7 图4 1 0 序列检测模式匹配模块的学习功能7 3 图4 1 1 序列分析规则库7 3 图5 1 序列模式匹配算法示意图8 1 图5 2 基于用户行为的关联分析框架模型8 3 图5 3 用户行为采集模块流程图8 6 图5 4 用户登陆类型判断算法8 8 图5 5 堆栈变化示意图9 0 图5 - 6 递归式相关函数算法流程9 3 图5 7 用户行为采集9 6 图5 8 用户行为建模9 6 图5 - 9 用户行为分析9 7 图6 1 生物免疫模型1 0 0 图6 2 生物免疫与计算机安全的关联1 0 1 图6 3 抗原结构1 0 2 图6 4 基因进化。1 0 2 图6 5 抗原与抗体的亲和力1 0 3 图6 6 克隆选择。1 0 4 图6 7 免疫系统二次应答10 5 图6 8 人工免疫系统的工程框架- 10 6 图6 - 9 手写数字识别效果图10 9 图6 1 0 形态空间模型1 1 0 图6 11 产生检测器集合111 图6 1 2 免疫检测入侵11 2 图6 13 检测生成空间1 l7 图6 1 4 服务器( n o d e s e r v e r ) 类图j 1 2 4 图6 1 5 免疫检测细胞( d e t e c t o r ) 类图1 2 5 图6 16 网络传感器的可靠性测试1 2 6 图6 17c p u 占用率1 2 7 图6 18 传感器的有效性测试12 7 图6 1 9 学习后的规则库1 2 8 表3 1 几种位置管理方案开销比较4 2 表4 1 三种系统调用检测方法的比较6 0 表4 2 正常的系统调用短序列7 1 表4 3 与异常短序列比较的正常短序列7 l 表4 4 异常序列的比较7 2 表5 1 用户行为特征的数据结构7 9 表5 - 2 用户行为模式的数据结构定义7 9 表5 3l i n u x 系统日志8 4 表6 1 不同识别方法的识别率比较1 0 9 表6 2 否定选择模型符号定义118 分布式入侵检测系统关键技术研究 缩略语表 缩略语表 【1 p 2 d r ：p ( y l i c yp r o t e c t i o nd e t e c t i o nr e s p o n s e 策略，防护，检测，反应 2 3 4 5 c i d f ：c o m r n o nh a t r u s i o nd e t e c t i o nf r a m e w o r k 入侵检测通用框架 i d w g ：i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p 入侵检测工作组 i d s ：i n t r u s i o nd e t e t i o ns y s t e m 入侵检测系统 d i d s ：d i s t r i b u t e d i n t r u s i o nd e t e t i o ns y s t e m 分布式入侵检测系统 【6 d p s ：d i s t r i b u t e dp r o b l e ms o l v i n g 分布式问题求解 【7 m a s ：m u l t i a g e n ts y s t e m 多代理系统 8 a c l ：a g e n tc o m m u n i c a t i o nl a n g u a g e 代理通信语言 9 a i s ：a r t i f i c i a li m m u n es y s t e m s 人工免疫系统 1o i c a r i s ：i n t e r n a t i o n a lc o n f e r e n c eo na r t i f i c i a li m m u n es y s t e m s 国际人工免疫系 统会议 11 】a p c ：a n t i g e np r e s e n t i n gc e l l 抗原提呈细胞 【1 2 【1 3 【1 4 1 5 1 【1 6 a n n ：a r t i f i c i a ln e u r a ln e t w o r k 人工神经网络 s v m ：s u p p o r tv e c t o rm a c h i n e s 支持向量机 h m m ：h i d d e nm a r k o vm o d e l 隐马尔可夫模型 p c a ：p r i n c i p a lc o m p o n e n ta n a l y s i s 主成分分析 p c ：p r i n c i p a lc u r v e s 主曲线 1 4 9 苏州大学学位论文独创性声明及使用授权声明 学位论文独创性声明 本人郑重声明：所提交的学位论文是本人在导师的指导下，独立 进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文 不含其他个人或集体已经发表或撰写过的研究成果，也不含为获得苏 州大学或其它教育机构的学位证书而使用过的材料。对本文的研究作 出重要贡献的个人和集体，均已在文中以明确方式标明。本人承担本 声明的法律责任。 研究生签名：王盔兰苤日期：竺：呈：查：三口 学位论文使用授权声明 苏州大学、中国科学技术信息研究所、国家图书馆、清华大学论 文合作部、中国社科院文献信息情报中心有权保留本人所送交学位论 文的复印件和电子文档，可以采用影印、缩印或其他复制手段保存论 文。本人电子文档的内容和纸质论文的内容相一致。除在保密期内的 保密论文外，允许论文被查阅和借阅，可以公布( 包括刊登) 论文的 全部或部分内容。论文的公布( 包括刊登) 授权苏州大学学位办办理。 研究生签名：1 鱼兰整日期：2 ：! ：三：三： 导师签名： 分布式入侵卡令测系统关键技术研究 第l 章绪论 1 1 课题来源及意义 第1 章绪论 上个世纪后半期互联网的出现对整个人类社会产生了重大而深远的影响。个人用 户通过互联网获取信息，企业用户通过网络发布产品信息，政府部门也通过互联网进 行办公。然而，据中国互联网发展状况统计报告显示 1 】，超过六成的中国互联网用 户的计算机曾被入侵过，个人信息被盗。 正是由于面临网络安全的巨大威胁，各国政府纷纷投入巨大的人力物力从事网络 安全研究，加强信息安全防御体系，保护各自的国家利益。美国从2 0 0 0 年到2 0 0 3 年实施“信息系统保护国家计划v 1 0 ”，提高防止信息系统被入侵与破坏的能力。我 国对信息安全十分重视，1 9 9 9 年就开始进行全面部署，“九五”末期紧急启动了8 6 3 信息安全应急计划，“十一五”期间科技部又在9 7 3 计划、国家8 6 3 计划、国家科技 攻关计划和科技创新基金计划中对信息安全技术的研究和开发进行了专项扶持。 本文主要讨论的是一个与入侵检测系统密切关系的话题，课题的研究基于以下背 景： 一网络的大规模应用，但是网络协议以及运行其上的软件本身却并不安全 根据中国互联网络发展状况统计 1 显示，截至2 0 0 7 年1 2 月我国网民数已增至 2 1 亿人，家庭上网计算机数量为7 8 0 0 万台，w w w 站点数已达1 5 0 万个。权威的 h o b b e s 因特网大事记 2 也表明，截至2 0 0 7 年底全球共有上网计算机4 4 亿台，w w w 服务器超过1 亿。社会对网络的依赖性也越来越强，与此同时安全隐患对社会的影响 也越来越大，从个人隐私到企业利益乃至国家安全都与网络安全休戚相关。由于因特 网的基础t c p i p 协议在设计时主要注重互联和互操作，对安全问题的考虑较少，安 全性的先天不足因网络的跨国界性、不设防性和缺少法律约束性而被加剧。另外各种 操作系统和应用软件日趋复杂，在这类软件中存在安全漏洞是难以避免的。网络协议 和各种软件固有的安全缺陷构成了网络不安全的内因。 一 黑客事件的频繁爆发，攻击复杂所需知识简单化，但影向却越来越大 第l 章绪论分布式入侵检测系统关键技术研究 据中国国家计算机网络应急技术处理协调中心 3 的监测数据显示，目前中国的 互联网世界中，有5 个僵尸网络操控的“肉鸡”规模超过1 0 万台，个别僵尸网络能达 到3 0 万台规模。经济损失过亿的全球十大计算机病毒所带来的损失总和超过5 0 0 亿 美元。使用网络的人员已经不是在因特网初期仅仅限于科技人员和学生，而是包括社 会各个阶层的人员。用户的多样化也使入侵的目的和动机更加复杂，由最初的少数几 名黑客仅仅出于好奇心和显示自己高深技术的目的，发展到今天大量黑客因利益驱使 盗用资源、窃取机密、破坏网络。同时由于网络的普及，黑客工具软件流行，使得攻 击网络所需要的技术下降，而强度上升。网络安全性急剧恶化，c n c e r t c c2 0 0 7 年上半年网络安全工作报告 4 的安全事件统计数字清楚地说明了这一点。人员成分 的多样化和黑客攻击技术的快速发展构成了网络不安全的外因。 一传统安全技术与产品缺少对整个网络体系的纵深防护 传统的安全技术主要包括识别与验证技术和访问控制技术。识别与验证技术是指 通过某种技术手段鉴定身份，基于它的产品包括传统的用户名、密码以及当前流行的 各种智能卡。识别与验证技术是确定用户身份的必要手段，但由于密码可能被猜到或 通过社会工程的方法得到，所以仅仅具备强大的识别与认证技术并不能保证系统的安 全。访问控制技术最主要的产品是防火墙，其假设被保护网络具有明确定义的边界和 服务，并且网络安全的威胁仅仅来自外部网络，通过尽可能地对外部网络屏蔽有关被 保护网络的信息、结构来实现对网络的安全保护。防火墙的主要局限是防外不防内， 且仅适用于有边界的网路。而且防火墙可能会被攻破或者被绕过。无论是识别认证技 术还是访问控制技术都是一种被动的防护措施，尽管它们的存在大大降低了系统被滥 用的风险，但并不能对系统是否真的没有被入侵有任何保证。 正是在此背景下，美国国际互联网安全系统公司在9 0 年代末提出了自适应网络 安全模型a n s m ( a d a p t i v en e t w o r ks e c u r i t ym o d e l ) 亦称为p 2 d r ( p o l i c yp r o t e c t i o n d e t e c t i o n r e s p o n s e ：策略、防护、检测、反应) 5 】，它已成为目前国际上较实际并可 指导信息系统安全建设和安全运营的安全模型框架。p 2 d r 是指一个完整的信息安全 架构应该以安全策略为中心通过防护、响应、检测动态结合，达到保障信息安全的目 的。 在这个模型中，检测起着极其重要的纽带作用，具体说来：1 ) 检测是静态防护 分布武入侵检测系统关键技术研究 第1 章绪论 转化为动态防护的关键。充分了解当前的安全状况，明确防护重点以及防护漏洞。2 ) 检测是动态响应的依据。根据准确的检测结果采取合适的响应方式以制止进一步的安 全事件。3 ) 检测是落实或强制执行安全策略的有力工具。安全策略必须能够根据系 统当前状态动态调整并强制执行。 早在2 0 世纪8 0 年代初期，a n d e r s o n 6 将入侵定义为：未经授权蓄意尝试访问 信息、篡改信息、使系统不可靠或不能使用。h e a d y 7 认为入侵是指试图破坏资源的 完整性、机密性及可用性的行为集合。s m a h a 从分类角度指出 8 】：入侵包括尝试性 闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。我们认 为：入侵的定义应与受害目标相关联，该受害目标可以是一个大的系统或单个对象。 判断与目标相关的操作是入侵的关键在于对目标的操作是否超出了目标的安全策略 范围。入侵检测通过收集操作系统、系统程序、网络数据包等信息，发现违背安全策 略或危及系统安全的行为，完成对入侵的检测并留下证据，为数据恢复和事故处理提 供依据。具有入侵检测功能的系统称为入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ) ， 简称i d s 。 当今的入侵检测系统是最流行的主动网络安全防护技术，它是一种用来发现外部 攻击和合法用户滥用特权的一种方式，是动态安全技术中核心的技术之一。 本课题得到国家高科技项目8 6 3 7 0 7 项目( 2 0 0 2 a a 7 7 6 0 3 2 ) 、信息安全国家重点 实验室开放课题项目( 2 0 0 2 0 2 0 3 ) 和南京邮电大学青蓝计划项目( n y 2 0 7 0 8 1 ) 的资 助。 1 2 入侵检测系统 1 2 1 基本模型和相关协议 最早的入侵检测模型是d e r m i n g 9 在1 9 8 6 年提出来的，该模型主要根据主机系 统审计记录数据，生成有关系统的若干轮廓，并监测轮廓的变化差异发现系统的入侵 行为。模型主要由事件生成器( e v e n tg e n e r a t o r ) 、规则集( r u l es e t ) 和活动p r o f i l e 三个部件组成，如图1 1 所示。 笫i 章绪论 分布式入侵检测系统关键技术研究 设计新的 p r o f i l e 定义新的规则 修改已有的规则 图1 - 1d e n n i n g 入侵检测模型 在d e n n i n g 入侵检测模型中，事件生成器负责提取系统活动的信息，来源可以是 系统的审计记录、网络数据，也可以是某个应用子系统。这里的“事件 ，不是指一 个具体事件，而是一个相对抽象的概念，可能是一系列数据记录合并而成