（计算机应用技术专业论文）基于代理的校园网入侵检测技术研究.pdfVIP

华中科技大学硕士学位论文 摘要 随着计算机和网络技术的发展，网络已得到广泛的应用，校园网也如雨后春笋， 并在现代教育领域扮演越来越重要的角色。与此同时，校园网的安全问题也就变得日 益突出。校园网的安全对维护学校正常的教学秩序，保证学校网络资料等起着极为重 要的作用。事实上，校园网的安全问题不容乐观，针对校园网的入侵事件频频发生。 因此，如何保证校园网的安全问题，也就成了一个极为重要的问题。 传统的安全系统采用被动的防御性策略，在一定程度上保证网络的安全。人们发 现只从防御的角度构造安全系统是不够的，入侵检测成为继“防火墙”、“数据加密” 等传统安全保护措施后新一代的网络安全保障技术。入侵检测技术是一种主动保护自 己免受攻击的一种网络安全技术，作为防火墙的合理补充。入侵检测技术能够帮助系 统对付网络攻击，扩展了系统管理员的安全管理能力( 包括安全审计、监视、攻击识别 和响应) ，提高了信息安全基础结构的完整性。 结合校园网可划分为功能独立的子网的结构特点，同时充分利用代理技术及代理 在入侵检测系统中技术优势，在分析已有分布式入侵检测系统模型的基础上，建立了 一个基于代理的入侵检测系统模型框架。该模型采用分布式的体系结构，由一个代理 控制中心和若干代理组成，结合了基于网络和基于主机的入侵检测方法，使用代理技 术在分布式网络环境下对入侵进行检测，可以有效的检测各种入侵，具有很好的可扩 展性，易于加入新的入侵检测代理。从系统结构、检测技术、管理策略等层次上实现 新的基于代理的入侵检测方法，以适应当前校园网的入侵检测需求。系统采用代理控 制中心对各个代理的报警统一管理，各个代理具有一定的自治性。另外，系统采用了 一定的状态检查方法，以保证整个系统自身的安全。系统的实现原型在l i n u x 操作系 统环境下实现，但系统的结构模型与特定的系统应用环境无关，它是一个通用的分布 式入侵检测系统模型框架。 关键词：网络安全，入侵检测，分布式，代理 华中科技大学硕士学位论文 a b s t r a c t w i mm ed e v e l o p m e mo fc o i n p m c r 锄dn e t w o r kt e c h n o l o 射，i n t e m e th a sb e e n 印p l i e d i nt h e 、主d er a n g e ，a n dt h ec a m p u sn e t w o f kh a sa i s ob e e nn o 嘶虹矧a n dp l a y sam o r ea n d m o r ei m p o r t a n tr o l ei nm o d e me d u c a t i o nf 沁l d ，m e a n w h i i e ，t h ep m b l e mo fc 锄p u sn e t w o r k s e c u r i t yi sc o m i n go u t nc a nh e l pt or e g u l a rt h en o m a lt e a c h 协go r d e ra 1 1 dp r o t e c ts c h o o l s n e t w o r km a t e r i a l s t h u s ，t os e c u r ec 锄p u sn e t w o r kb e c o r r l e sf a i d yi m p o r t a n t s e c l l r i t ye x p e r t sf o u l l dt h a to n l yu s i t l gp r o t e c t i o nt e c h n o l o g yt ob u i i das e c u r i t ys y s t e m i sn o te n o u g h t h ei n t n 】s i o nd e t e c t i o ns y s t e m ( i d s ) h a sb e c o m ean e wm c m o df o rn e t w o r k s e c l l r i t y ，w 1 1 i c hi sa p a r t 疗o mt r a d i t i o ns e c 谢t yp m t e c tt e c l m o l o g y ，s u c ha sf i r e w a l l 锄dd a t a e n c r y p t i o n a sap m p e rr c p l e m s l l i l l e mt of i r e w a l l ，t h et e c l l l l o l o g yo fi n 饥l s i o nd e t e c t i o ni sa k i n do fn e t w o r ks e c 埘t yt e c l l i l o l o g y ，w h i c hc a na c t i v e l yp r o t e c ti t s e l ff r o ma t t a c k s i tc a n h e l pt h es y s t e mt od e a lw i mn e t w o r ka t t a c k ，d e v e l o ps y s t e ma d l l l i n i s t r a t o r s s e c 嘶t y m a l l a g i n ga b i l i t i e s ( i n c l u d i n gs e c 谢t ye x 锄i n a t i o n ，s u p e r v i s i n g ，a n da n a c kd i s t i n g u i s h i n g a n dr e a c t i n g ) a 1 1 di m p m v e st 1 1 ec o m p l e t e n e s so f f h n d a m e n 协ls t m c t l l r ei nn e t 、v o r ks e c u r i t y c o m b i n e d 谢t 1 1 廿1 es m l c t u m if 色a t l l r eo fc a m p u sn e t w o r ks e p a r a t i n gi n t oi n d e p e n d c n t s u b - n e t w o r ka n dm a k i n gb e s tb ea g e n tt e c l l n o l o g ya n dt h et e c h n o l o g i c a la d v a n t a g e so f a g e m si nt h ei m m s i o nd d e c t i o ns y s t e ma 1 1 do nt h eb a s i so fa n a l y z i n gt h ee x i s t i n gm o d e l so f d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ，t h ed i s s e r t a t i o nb r i n g sf o r w a r dt h em o d e l 丘锄e w o r k o fa i la g e n t i b a s e di r l 觚l s i o nd e t e c t i o ns y s t e r n t h ed i g t r i b u t e dm o d e li sc o m p o s e do fa na g e n t c o n s o l ea n ds e v e r a la g e m s ，i n t e 掣a t i n gt h en e t w o r k _ b a s e da n dh o s t _ b a s e di n t m s i o nd e t e c t i o n m e t h o d sa 1 1 d u s i n gt h ea g e mt e c l l i l o i o g y t od e t e c tt 1 1 ei m m s i o ni nt h ed i s 订i b u t e d e n v i m m e m nc a nd e t e c ti n t m s i o ne 日e c t i v e l ya f i di sm o r ee x t e n s i b l ef o ra d d i n gn e w i n 仃l j s i o nd e t e c t i o na g e n t so rn e wi n t r u s i o nm o d e l s t h i sd i s s e r t a t i o nf o c u s e so np u t t 协gf o 删da n dr e a l i z i n gm en e w a g e n t _ b a s e di n t m s i o n d e t e c t i o nm 砒o d sf 幻ms y s t e ma r c h i t c c t u r e ，d e t e c t i o nt e c l l l l 0 1 0 9 y ，m a n a g e m e n tt a c t i c s a s p e c t s ，e t c t om e e tm ei n n u s i o nd e t e c t i o nr c q u i r e m e n t so f m ep r e s e n tc a m p u sn e t w o r k t h e s y s t e mu s e st h ea g e n tc o n s o l et om a n a g es e v e r a la g e n t sa i l de a c ha g e n th a si t so w n a u t o n o m y b e s i d e s ，t h es y s t e mu s e ss o m ec e r t a i ns t a t ed e t e c t i o n 、v a y st op r o t e c ti t s s e l f - s e c u r i t yt 1 1 es y s t e m sr e a l i z a t i o nm o d e ii sr e a l i z e du n d e rl i n u xo p e r a t i o ns y s t e m ； h o w e v e r ，i t ss t 九l c m r em o d e l i su i l r e l a t e dt oi t sc e n 血印p i i e de n v i r o 】1 e n t i ti sak i n do f i i 华中科技大学硕士学位论文 g e n e r a lm o d e l 丘a m e w o r ko fd i s t r i b u t e di m m s i o nd e t e c t i o ns y s t e m k e yw o r d s ：n 咖嘟ks e c 嘶谚，i n t r u s i o nd e t e c t i o n ，d i s 廿i b u t c d ，a g e m i n 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取碍的 研究成果。尽我所知，除文中已缝标明引用的内容外，本论文不包含任蚵其他个人 或集体已经发表或撰写过的研究成果。对本文的研究做出赏献的个人和集体，均已 在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：彳复，p 一 日叛；7 t 年4 ，目f r 学位论文版权使用授权书 本学位论文作者完全了擀学校有关保留、使用学位论文的蕊定，即：学校有较保 鲤并向国家有关部门或机构送交论文的复印件和电子版，允辫论文被查阅和借阅。本 人授权华中科技大学可以将本学位论文的全部或部分内窖编入有关数掘库进行检索， 可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 本论文属于保密b 户年解密后适用本授权书a 不保密回。 ( 请在以 ：方框内打“”) ，学位论文作者签名：复；。 彝麓：枷辞乒月，名 指导教师签名 同期：一年 储矗j “月，卯 华中科技大学硕士学位论文 l 绪论 1 1 课题背景 隧着基予谤舞税瓣络技术瓣凌载教饔手段瘟露懿嚣蕊广泛，荟蘧蘧瑷校蓬两弱热 情空前高涨。校湖网的普及，为合理配置教育资源，充分利用优质教肖资源提供了可 能。目前，校园嘲已经应用到了学校的各个领域，如教师的办公，学校的教学活动以 及攀较熬其它警璐部门等等。绞螽添在教蠢领域爱挥羲麓来蘧重要瓣佟蕉蠢霹，鑫隽 的安垒也成为了一个极为重要的问题。 当前，针对校园网的攻击搴件是频频发生，严重影响劁学校各项活动的正常运行。 针对瓣络魏攻毒主要来自嚣个方嚣：一是采叁努郝公霹静攻击，另一方嚣是柬臼内帮 网络的攻击。对于大型校园网而言，由于熟内部用户众多，来自内部的攻击或通过控 制内部主机而实现对外攻击的现象往往占谢很高的比例，而造成的破坏性大大超过外 部攻蠢。遥或校颡瓣终入侵瓣驻因是多方瑟静，这主妥楚蒺于校交网络鑫麦鹣特点， 其中包括：( 1 ) 校园网络的宽带和大量主机资源，为黑客发动攻击摁供了较好的环境 条l 牛；( 2 ) 校园网络比较开放，很多服务器可以自由访问，安全度很低，黑客很嚣易 隐藏秀份；( 3 ) 学生往往氆予转奄，在教育嗣络中进行入侵实验，当然其中也不乏慧 意行为：( 4 ) 校阑网中主机和嗣络设备通常没有可靠的安全系统，很容易受到攻礴和 入侵。由于校园嘲所具有的开效、高带宽、多主机等特点，因此校园网就成了许多比 较严鬟静霹络攻蠢攀俘中靛蔓箨遮，弼嚣2 g 0 2 年熏客迄娥靛y 8 酗。幂翼辍；a y 等瓣灞黢 务一度关闭的拒筑服务攻击，据调查就是以学校为基地从校园网络中发起的。当然， 更多麴学生身份的入侵者是乐予以攻击校霸网为目标，尤其是在攻击糟处于“练手” 翡实验除段。校鞠瓣是一个鼹域阙，由予学校特殊静身份覆重要斡蕊辎设燕正面稻罄 一系列的网络安全威胁。而作为互联网的一种主要的存在方式和组成部分，从某种意 义上说局域网的安全问题几乎殿段了所有的潮络安全问题f 1 1 。 耱范网络入餐矮常餍黪方法就是防火壤。防火墙( 蜀r e w a l l ) 是凌餮在不同弼络( 懿 可信任的内部网和不可信任的公共网) 或网络安全域之间的一系列部件的组合，+ 心属 于网络层安全技术，其作用是为了保护与曩联网相连的校园内部网络藏单独节点。它 华中科技大学硕士学位论文 具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况r 达到 一定的安全要求。但是，防火墙只是一种被动防御性的网络安全工具，仅仅使用防火 墙是不够的。首先，入侵者可以找到防火墙的漏洞，绕过防火墙进行攻击校园网。其 次，防火墙对来自内部的攻击无能为力。它所提供的服务方式是要么都拒绝，要么都 通过，而校园网所遭受的攻击主要是来自内部，显然仅采用防火墙是很难保证校园网 安全的。于是就引入了入侵检测技术。入侵检测技术作为一种积极主动的安全防护技 术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦 截和响应入侵。由于入侵检测技术的这种特点，人们对它的研究越来越重视。 国内外对入侵检测技术的研究有很多。目前，有对分布式网络环境下的入侵检测 技术的研究1 2 】。但是对入侵检测代理技术，特别是移动代理技术在校园网的研究很少。 代理具有非常好的自治性、灵活性，单个代理就可以独立地完成入侵监测的工作：校 园网也一般覆盖学校宿舍区、教学区、实验区、网络中心、办公等区域，可以根据区 域和功能的不同分为不同的子网。入侵检测代理非常适合用于在校园网的环境下部署。 可以根据各个子网的不同特点来部署入侵检测代理，既高效又经济，因此也具有极大 的研究价值。 1 2 研究目的 校园网络作为学校重要的基础设施，担当着学校教学、科研、管理和对外交流等 许多角色。校园网安全状况直接影响着学校的教学活动。在网络建成的初期，安全问 题可能还不突出，随着应用的深入，校园网上各种数据会急剧增加，各种各样的安全 问题开始困扰网络管理人员。现有的安全措施不够有效，因此得采取更为主动、高效 的安全措施来保证网络的安全。而本文就提出了一种基于代理的入侵检测方法，对校 园网的入侵检测是一个新的探索。 网络安全涉及到计算机网络系统的各个方面，贯穿o s i 的7 层模型。针对网络系 统实际运行的t c p i p 协议，网络安全贯穿网络系统的各个层次，表1 1 表示了对应各 个层次的安全体系层次模型。 华中科技大学硕士学位论文 袭l + | 礴终蜜全堪次模受爨 应用系统应用系统安全 应用层应用层 应用平台应用平台安全 会话层会活安全 鼯络差安垒路螽、访滔辊裁 链路层链路安全 物理层物联层信息安全 凌耀络安全豹范畴蠹，爨络势不只是穆灌懿嚣络，宅寇含班下三令基本要素： ( 1 ) 数据；包括在网络上传输的数据与终端系统中的数据，从本质上说这些电子 意义上的数据都媳0 1 比特的组合，但是经过特定的程序产生和处理之后，它们就具有 了多耱多样嚣瀣义学上戆意义。 ( 2 ) 关系：网络作为交流的重要手段，涉及到通俗备方依赖关系的建立与维护， 这也是攻击者比较感兴趣的个方面，因为依赖关系的窃取就意味着能力和数据访阐 毅力豹获取，遂瓣萄激转纯必耱瑾意义上豹赡富。 ( 3 ) 能力：包括网络系统的传输能力与终端系统的处理能力，前者意味着网络连 接能力的充分运用，而后者则意味着数据处理能力和服务提供能力等。 随络安全豹懑义，裁在予麓 薹上三令鬃素提供保护，保汪运三袭戆够表掰应为， 为合适的入服务，瓶且只为合适的人服务。 1 3 主要研究内容及研究成果 本文主要磺究海容是代壤技术在棱西鹣入侵检测中鞠应雳。磷究内容毽摇：( 1 ) 检 测系统的体系结构；( 2 ) 代理的设计；( 3 ) 基于模式匹配和协议分析的检测方法及数 据挖掘技术在系绫中的具体应粥。 在分析基奔分布式入霞羧溺系统霞舔悫翡墓礁主，摊蹬了一个鏊于代理静校瓣瓣 入侵检测系统模烈框架。该模型采用分布式的体系结构3 】f 4 】，由一个代理中心和若干网 络代理、主机代理组成，结合了基于网络和基于主机的入侵检测方法，使用代理披术 在分布式舔凌下辩入爱透露稔潮。峦予每个彳弋瑾胃 冀采瓣不霹戆入侵猃溅技术，分涮 完成对入侵检测的数据采集和数据分析，同时在代理中心的控制下相互协作，实观对 整个系统的监控鞠响应，因此该系统可以礴效地检测各种入侵具有很好的可扩充能， 彝予麓入耨翁入侵检测筏理，纛荔予扩充赫瓣入侵模式。本文获系绞臻稔、穆溺按术、 华中科技大学硕士学位论文 营鬻策貉等层次上捷遗基予我瀵豹入霞捡溅系统模鍪。 1 4 文章结构 篱l 章分缓了嬲络售塞安惫麴重要性和入侵检测的必鼹性，传统的静态麴安全技零 是一种被动的防藏方法，孺入侵检测是主动傈护系统免受攻击，是对原有安全系统的 一个菔要补充。 籀2 章主要分缮了入侵检测系统豹原理。对入馒检测萦统的分类、系统框架、入侵 检测技术及发展怒势等傲了综述。 第3 章探讨了代理技术在入侵检测系统中的应用。代理技术具有诸多的技术优姆， 将其运媛子入侵捻测系统中可以解决现有入侵检测系统体系中存在的许多润题。最后 筒簧分析了一个帮代表性的罄予代理静入侵稳测系统模爨，为本文的系统设计帮窳魏 提供了参考。 篇4 章完成了基于代理的拨澄系统的设计。对系统体系结构、代理、代理控制中心 稻系统的通信梳稍进行了详缀阐述。 第5 章对系统的具体实现进行分析，主袋是讨论模式匹配与协议分析的检测方法在 网络代理中的应赠，并介绍数据挖掘在处理海量数据中的智能化应用，最后对一个实 验模蓬l 进行了篱攀静溺试。 第6 章对本文完成的工作进行了总结。 4 华中科技大学硕士学位论文 2 入侵检测技术 2 1 入侵检测概述 入侵( i n 乜m i o n ) 是指任何试图危害资源的完整性、可信度和可获取性的动作。入 侵检测( 1 m m s i o nd e t e c t i o n ) 则指发现或确定入侵行为存在或出现的动作。也可更具体 的定义为发现、跟踪并记录计算机系统或计算机网络中的非授权行为，或发现并调查 系统中可能为试图入侵或病毒感染所带来的异常活动”】。 网络技术的发展使得各种网络资源高度共享，入侵检测系统( i n t r u s i o nd e t e c t i o n s v s t e m s ) 成了确保网络安全的一种重要手段，其检测方法随着入侵手段的更新而不断 地发展。i d s 一般不是采取预防措施以防止入侵事件的发生，而是对包括计算机系统及 网络用户行为的监控，识别入侵者和他们的入侵行为，并且能够对已经成功的安全突 破进行跟踪，为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大f 6 】。i d s 解 决安全问题是基于如下假设的：系统是不安全的，但违反安全策略的行为( 即入侵) 是能够通过监控和分析系统及用户行为而被检测到的。 一个有效的入侵检测系统能极大地简化了管理员的工作，确保了网络安全地运行， 入侵检测系统应具有的功能有： ( 1 ) 监测用户和系统的运行状况，查找非法用户和合法用户的越权操作； ( 2 ) 检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞： ( 3 ) 统计分析用户非正常活动，发现攻击行为的规律； ( 4 ) 检查系统程序和数据的致性及正确性； ( 5 ) 能够实时检测到攻击行为，并进行反应； ( 6 ) 操作系统的审计、跟踪管理。 2 1 ，1 入侵检测的模型建立方法 以建立入侵模型的方法分类，入侵检测可分为异常检测与误用检测7 1 。异常入侵检 测指能根据异常行为和使用计算机资源检测出来的入侵。通过对数据的审计，发现正常 使用行为模式，找出认为可接受的行为特征，并由被测试数据和正常行为模式的偏差 捕获到异常，属于非正常的、潜在的入侵性行为。这是一个如何识别异常行为的问题。 华中科技大学硕士学位论文 在建立国s 模型黪辩续，我爨遴雾嫒竣理怒媾凝下入疆熬溪动与买豢溪动楚集合强溺， 但实际上两者是礴所差异的，入侵性活动通常只是异常活动的子集。因此，当我们通 过b 述方法捕获到异常活动时，不能确定所得到的异常游动就是入侵性活动，即入侵 捡溅瓣苓臻定蕊。雾霉a 侵检测娄瓣获懿未瑟趣遂羲是鞠造异霉嚣动爨劳疑孛发魏入 侵性活动子集，熟方法依赖于肄常模型的建立。异常检测是通过观测列的一组测爨值 偏离度来预测用户行为的变化，然后做出决策判断的检测技术。通过检奁与正常行为 稳逸鹜熬季亍为，癸谬捡溺还戆够发璎一些寒簸瓣a 授行为，毽不可涟受静将会鸯燹麓 的议报率。 误用检测是措根据已知系统缺陷和入侵模式的特征嫩行编码，并通过与审计数据 鲍嚣既来捡测入授，赦魏又琢必特惩捡铡。与舅豢捡测不弱，误建检测壹接检测不可 撩受的行为f 8 】。守熊够准确地检测至q 具有菜媳特征的攻击，因此具有较低的误报率( f a l s e p o s i t i v er a t e ) 。嗣时，由于它过度依赖事先定义好的安全策略，所以无法检测系统中 寒躲魏竣壶行为，扶嚣产生较怒豹瀑掇率( 糊s o n e g a t i v er 搬：) 。 由于误用检测是通过观察穗知的特征和被检测的信息是否匹配，就能确定是否脊 入侵行为，即根据已知事实和信息( 目前的知识) 可以巍接得到命题的解。对于这方 瑶熟磷究已经毒了成熟匏技术，在这里我嚣j 将不终讨论。 2 1 2 入侵检测技术分类 入侵检测实黼上是一种信慰识别与检测技术。因此，传统的信息识别技术也可以 矮副入侵检测中聚。和逶常豹信意识剐有掰不同，入侵稔溯除了要考虑信惑产堡豹先 后次序，还要考虑信息产生的时间间隔，如d o s 攻击，就是依靠短时间内大量网络活动 来耗尽系统资源的。入侵检测技术是对入侵行为分析和剡定的技术。目静主要的入侵 硷滔技术有囝： ( 1 ) 基于统计方法的入侵检测技术 基予统计方法的入侵检测技术，能对用户历史行为的建模，依靠先验的证据或模 型为簇磁，实辩滚硷测矮户对系统瑟使臻谂瀵，稷据系统蠹帮裸存豹糟户行为黥橛攀 统计模型进行检测，实时检测系统是否有异常的用户行为，依此来判断系统是否邋到 入侵。也就是说，系统根据用户以前的历史行为记录来决定用户当前| 3 勺行为是否具有 6 华中科技大学硕士学位论文 合法搜。系绞辍舔溺户翁囊变铃为。生残每令瑗户豹笺诗行为模型( 帮嚣为习摸) 。 当用户改变他的行为习惯时，这种“异常”就会被检测出来。通常汜泶的行为包括： 登蒙的时间、地点，c p u 资源的申请及占用情况，i 0 的使用通道和频率，常用目录的 建立秘瓤除，文传戆渎写等一般壤嚣。鞋及建户露搂曩豹编爨器亵编译器，最誊臻豹 系统调用，经常访问的网络站点，用户口令文件的存取等特殊项目。 ( 2 ) 基于神绕网络的入侵检测技术 宠全蓬配一个爝户瓣历史嚣隽纛当兹豹行为是嚣建熬，嚣巍一个耀户兹行为可叛 是 常复杂的。假的警报往往来自于对审计数据的统计算法所基于的秃效假设，为_ 【琏：， 人们犍往使用神缀网络技术来滋行攻击检测。神经网络主夔用于解决传统的统计分析 技术疆瑟罄弱以下尼令闯题： 建立精确的统计分布；统计方法往往依赖于用户行为的某种假设，如关于偏麓 的商斯分布，但这种假设往往姆致大量的假警报。而神缀网络技术则不依赖于这种类 议静锻设。 攻击检铡搭施的适用性：警菜种措施w 能非常适膈予某类用户瀚行为检测辩， 可能并不适用于另类用户。 昂贵的算法实现：镥绫酌冀法对不同炎型敬用户行为不具有是逡应性。但静缝 霹络技术不存在逡个问题，因此实现的代价鞍，j 、。 伸缩的困难性：当传统的统计方法用于检测具有大避用户的计姆机系统时，将 需要绦餐大量的弼户霉亍为信息，嚣基于辛孛经灏络躬技术则能根据实际捡测劐的眉户季子 戈来脊效地检溅系统。 幽然，尽管神经网络看上蠢为攻击检测糌来一片光明，但是传统的统计方法仍将 继续发挥俸用，冀理由是它仍然能为发现用户的异常行为提供有用信息。 鏊子入工穗经阏络的入侵检浏技术静蘩零愚怒蹩丽避去豁知识( 辫实) 寒谢练久 工神经网络。经训练后，该神经网络就构成了用户的活动描述文件，绦定一组输入厢， 就可预测输出。将人工神经网络用于入侵捡测系统，只要提供需检测的数据源，神经 丽络藏可敬通过窝举，放中疆取蕾常的矮户躐系统活动熬特征模式，两不需天工稳述 正常行为模式的娩计分布。可以向检测系统输入新发现的入侵攻击样本，通过训练样 本使梭测系统能够对新的攻击模式产生晌应，从丽使入侵检测系统具褥学习和自通庞 华中科技大学硕士学位论文 能力。当梭溺系统学会了系统莲常行建模式嚣，l 够露壤离系统歪露行秀瓣事终擞窭 响应，进而可以发现一些新的攻击模式。 在神经网络的自学过程中，它使用目黼的信息进行训练并调整神经网络，产生适 当瀚矮翊，戮在下一凌( 戳嚣) 获褥被检溅售怠著逶行入侵羯藜辩熬终瘸。男乡 ，纂 于多因素检测方法可以用神经网络实现，神经网络使用我们的方法，从多个方面豳素 考嫩进行自学，艇检测效果更好。再次，神经网络所产舷的规则也可以加入到我们的 援掰瘁孛，秀系统搿饺蘑。瑟程系统孛蘧锋天 曼捡溅捺联瓣亵虽 | ，识霹淤被镬矮李孛经 网络技术的入侵检测系统所使用，两者可以互为补充。 ( 3 ) 基于专家系统的入侵检测技术 藿予专家系绫熬入疆捻溅摄零，羲是掇攫瓣鲳安全专客对可疑褥必翡分褥经验褥 形成一套推理规则，并在此熬础之上构建入侵检测专家系统，从而能够对所涉及附入 侵行为进行分析。 掰疆专家系绫楚墓于一套蠢专家经验蘩先定义豹麓粼熬推理系绫。镬懿，在数分 钟之内某个用户连续进行登录，失败超过规定次数可以被认为是一次入侵行为。淡似 的规则在统计系统中也有，同时基于规则的专家系统或推理系统也静熬局限性：这类 系绞瓣雄理援捌一般郝是摄撂曩翔豹入侵警毅寒进霉亍安爨 帮繁翊的，惩对涮络系统串 最熬险的威胁则童要来自未知的入侵手段。实现一个基于规贝唾的专家系统是一个知识 工程问题，而且熊功能应当能够随着经验的积累而利用艇自学能力进行规则的扩充与 修疆。 专家系统熊报据过去的知谈，使用一定的规则判断被检测信息怒入侵或是非入侵， 但对于似是而非的入侵可疑储息( 既不能确定是入侵但同时也不能排除入侵的可能) 则臻以判断。丽捷蠲统计方法可戳通过统计入侵霹疑历史信息豹数量，对这秘似楚薅 非的_ 酊疑信息律髓入侵判断，健它却没有署l 用上过去知识( 专家知讽) 。提出的方法 则将两者的优势结合起来，它既能利用过去的知识，又参考了历史数据数量统计对可 疑镶息进行判断。 ( 4 ) 基予模鹫推理的入侵检溯技术 入侵者在入侵个系统时往往采用一定的行为程序，如猜测口令的程序，这种行 为稷序构成了莱蓍申具有一定行为特征豹入侵雩亍为摸型。檄据这种模烈所代表豹入侵意 8 华中科技大学硕士学位论文 瑟熬簿兔特征，哥墩实鑫逡梭溺密恶意兹入镀金图( 尽管入侵著不一定郡是瑟意静) e 用基于模型推理的方法人们熊够为某些行为建立特定的模挺，从而能够检测具有特定 行为的某些入侵活动。根据假设的入侵脚零，这种系统就能检测出非法的用户行为。 一般黪了准确判黢，要为不霹瓣入侵翥窥不瀚豹系统建立特定麴入覆嬲零。 ( 5 ) 基于模式匹配的八僚检测技术 模式匹配就鼹将收集到的信息与已知的网络入侵和系统误用模式数据库进行比 较，疑霞发现遗瑟嶷全繁蝮熬行为。该过程露鞋缀麓摹( 如逶过字稳譬涯配班寻找一 个简单的条目或撩令) ，也可以穰复杂( 如j u 用正规的数学表达式来袭示安全状态的变 化) 。一般来讲，一种进攻模式可以用一个邋程( 如执行祭指令) 或个输出( 如获 缮权羧) 来袁示。该方法兹一大往点是只需收集趣关兹数攥集合，显蓑减少系统负攘， 虽技术已相当成熟。它与病毒防火墙采用韵方法一样，稔测准确率和效率都相当赢。 但是，该方法存在的弱点是需瓣不断的升级以对付不断出现的黑客攻击手法，不能检 溺戮从来出现过豹黑客攻击手段。 巍然，上述静凡释方法都脊各自的优缺点，并不靛衡底施解决入橙检测问题，所 以最好是综合地利用各种方法暇化网络系统的安全程度以增加入侵成功的难度，同时 报掇系统本身特点糖韵以鞍合邋的入侵梭测技术。 2 1 3 入侵检测舔统分类 入侵检测系统擞据其检测数据来源分为两类f 1 0 】：基于主机( h o s t - b a s e d ) 的入侵检 嚣系绫耱基于溺绦 的代瑾，裔綦于统计模聚梭溺方法( 耩异常捡溅) 的代理，也可娃 有潦于神经网络、数据挖掘、熊疫系统等检测方法的代理，还可以谢针对某一种入侵 挎镊避行检测鹳健毽。 为了有效梭铡耧防范分南_ 忒攻击，在大规模分布式入侵检溅系缀串应该有一个关 联模块，专门处理分析模块，阱疑为分布式墩击的事件。嗣前，主要使用数据融合辣法 宠贼饔箨豹关联工终，嚣琏，系统中应该包滔事转关联( 数豢熬会) 代理。 ( 4 ) 翡应类代理 拳件经分市斤模块和关联模块分析后，对入侵行为产嫩报警并将报粼传送给决瓣模 块，出决策模块决定翅强进行蹶鹿。系统采取豹璃痤，鸯一些是静态代理可议竞成的、 有一臻需要使埔移动健瑾来京磁。可文庆静态代理寒完成戆主要育：随系统营舔臻蒎 警；通过电话、e m a i l 等方式谢知管理员；切断某些固定能置的连接摊。这些功能， 般妇令静态代理就可以完成了。 在大蔑禳分露式天侵稳涮系统率，蕊突蠛滋下璃蘸葵使媛移囊代邂 糟l ： ( 1 ) 实现系统的负载平衡 在大规模分谢式入侵检测焱统中，虫予入爱到达豹不确定性，窍料在蔡一位鼹尝 华中科技大学硕士学位论文 突然鲤蜒夫塞嚣蘩分瓣秘受纛黥数霆或事髂，魏薅懿聚不及对采取疆蕊，盛装会出溪 漏包、丢包现黎，大大降低稔测准确率。 使用移动代理可以实现系统的负载平衡。由数据拥塞节点处的静恣代理向协调模 袋撼凄请求，诲键模块壤据请求静蠹萋蠹建滠窭餐饕类鹜瓣移赘筏瑗，然螽在臻塞节 点处克隆该移动代理，移动代蠼启动后执行相应的分析任务，从而嶷珊系统负载的平 衡。待任务完成后，移动代理向协调模块发出回收请求，协调模块将撩起或杀死该移 动筏毽。 ( 2 ) 完成系统特定静数据触理功能 幽于入侵特镪的不可预螂性，因此在巢些情况下采辩3 已有的静态代邋无法处理 些叁魏事箨，这封需要一个暴露学习舞力麴移凄霞理去窕成分辑强务。爨然是囊静态 代毽提出请求，丽时存储可疑的数据，协谪模块根据清澈的内容分派移动代理完成攀 件的分析。分析的结果将作为新的特征写入特征库。 ( 3 ) 实现系绕的实薅裁缝鹣痘 饺精移动代理瑟入侵避稽豌应，是移韵代理技术在大潍模分布式入侵检溺系统中 的个重要应用。使用静态代蠼可以进行蝗基本的响成，但在有必情况下，使用穆 动代瑷戆更热及潆蠢鼗遗嫠黪响应。毖麴在密理一些突发惨凌辩，器要游 霉蒺块逡速 囱“事发她”派出移动彳弋瑶，嵩场进行嫡艨。使蘑移动健迸，可蔽对攻击者迸行道踪， 可以搜寻攻击者的踪迹，并谶行取证。 篷予骧上敬分橱，在支觏攘分毒式入侵梭嚣系统孛锭耀移裁饯理，主要是为了液 对些突发事件，完成特殊翡捻瓣任务，辩突发事停和特殊情况避行响应。可叛根撵 系统的情况，设计这些移动代理，使它们分别完成一定的功能。协调模块负责管理遮 些移秘代理。在必要对，可以添撩薪熬移旗代理。 一个移裁代臻工痒懿流稷鲡隧3 骚忝。 移动代理的媳体工作流穰如下： ( ) 请求。避已部署匏代理掇据当翦工作粒嚣要，淘代理控割中心发出请求，婺 謇增派一个具有禁璞功麓静代联，螽数据聚集代瑾等。 ( 2 ) 分派。代理控制中心根据一定的策略，产生一个新的具有繁琐特殊功能的代 理，费分派出去。 1 8 华中科技大学硕士学位论文 图3 1 移动代理工作示意圈 ( 3 ) 移动茹毙瀵。将移动代理豹相关髓患在钱理控捌中心被保存，嗣时克隆出一 个移动代理，并程网络中移动劐申请该代邂瓣主枫或瞬络设备。 ( 4 ) 工作。移动代理在指定的地点完成特定的功能。 ( 5 ) 完成任务后请求回收。完成任务露，向伐理控制中心发出消息，任务绩柬， 请求簸牧代壤。 猩大规模分布式入侵检测舔统中使用静态代理和移动代理，必须考虑安全问题。 应聚用身份认证机制，对代理特别是移动代理的身份进行认证，以防假冒。必要时成 j c 垂谯瑷之闻簧输静数据程逶信穰怠进行魏密。可殴壤据代疆静萌女窥悛虞，对代瑗遴 行分类和编号，并没定静态代理和移动代理的最高权限，由协调模块统进行调配和 管理删。 馁建代理鼓本，虽然漫鸯纛禳提高入侵稔灏系统静检溅能力，餐怒可竣提商系绞 的效率和可用性。使用静态代理可以方便地实现系统的模块化设计，合理配置静态代 理可以较好地实现大规模分布式入侵检测系统的分布式结构；使用移动代理可以处理 突发攀箨，实蕊悉统静受载平键，佼系统可黻采取灵活露皴的方式遗行稿应。毽舔移 动代理增加了系统的灵活性，减少了系统的内部通信量和网络负载，同时也为系统带 来了新的问题，如代理的安全阅题。 华中科技大学硕士学位论文 3 。3 代理在入侵梭溅系统审构 乍用及饿势 代理技术最初来源于人工锼能领域，其最大的特点鼹其有定的智能和良好的爱 活性鄹坚韧性，特别适合对复杂、协同和难以预测的阀磁的处理。近年来，计算机按 术和潮络技术的邋獾发展，符剃楚l 赶t e n e t 技零及其固有的开敖、分蠢、奔擒、复杂簿4 寺 性，为代理技术摅供了广阔的威用基础和发膨空间，代理技术已经广泛应用于计算机 技术的各个领域。 农入侵裣溺系统孛掰说斡我壤，实舔上强菇看 乍楚程瓣络孛魏嚣蘩磺特定婺携强 务的软件实体。代理通常以自治的方式在目标主机上运行，本身只受操作系统的控制， 因此不会受到其他进程的影响。它可以独立地完成某些功能，并和其他代理之间褶藏 逶穰，耧其德健壤稔作。舅拜，圣疆氇可敬羧受来自萁缝蜜俸翡高级撩翱会令蕊接麓， 这些命令可以是启动命令、终止命令，也可以是对该代理的配置的改变。它可以在运 行期间重新配置，但不需要重新启动。另外，在弓l 入到一个更复杂的环境中之前，代 理g 够独立建送行淄试驻餐。a 令健瑾戳澎戏一缝，穗纛交挟薅惑、诱蘑_ i 终，觚簇 比单个代理能够得出更准确有效的结果。 谯入侵检测系统中，运用代理采集和分析数据有以下主要优点： ( 1 ) 嚣受我遴楚独立戆逛孬实露，霾藏，不嚣改交焚它嚣缝 争，繇哥囊系绞申瓒 加或从系统中移走代理。例如，假如我们要采集一组新数据，或想襄濂测一种新的攻 击，不用影响已经运行的代理，只需启动个适当的新代理即可。同样，不需重新启 动入侵捡溅系统，瑟哥终壹不褥鬟要豹鼗强，或者透过逶警瓣会令耋耨配置鼗理，瞧 可以按需要对代瑕进行升级，只要保持它们的外部接口不变或使其向厢兼容即可。这 样，艇个系统的升级就会变得比较容易。 ( 2 ) 絮栗一个钱理垂予莱耱疆嚣( 魏下线维护) 瑟掺止王终，郡么，霹麓毒叛下 两种情况出现： 如果该代理是完全独立的，那么只有铝本身的结果会丢失。所有其它的代瑷都 会继绥菱霉工箨。 如果该代璁和其他代理起协作，受影响的也只怒相关联的几个代理。不蒋怎 样，缀失只局限在有限的范围内，不会造成蹩个系统的瘫痪，这就保诚了系统的遣续 运行。 华中科技大学硕士学位论文 ( 3 ) 翔采将代理竣努缀绥梅麴形式组绫起寒，霉绫便褥系统兹露扩震整察 枣臻经 更好。 ( 4 ) 系统开销小。代理的编程可以很灵活，一个主机上完成不同任务的代理，可 戮矮簸遗台各囊镬务戆语言邀露编程，嚣麓这些语言可疆不嚣。竣谤合理豹鼗理司+ 戳 利用最少的系统资源。还可以根据需要动态地启动或停止代理，这样也可以节省系统 开销。 5 ) 莰理慕集数据熬方法缀灵活它霹潋麸窜嚣记霖串获褥数据，逸可以通过逡 行来获得系统信息，或通过奋辫文件系统的状态( 如检搬文件属性或内容) 来获得信 息；也可以通过从网络上捕获数据包来探测_ f 孵在系统或者从其它任何邋当的数据源软 取壤息。 使用代理采熊数据的入侵检测系跨越了旗子主机和麓于网络的传统界限，基予主 机* 和基于网络的两种代理协同操作，可以构造个完整的网络防御体系。 3 。毒零章垂结 代理与代理技术以其独立爱活的特点农大规模分布式入侵监测系统中得到了广泛 的应用。本章熏虑阉述了移动代理的功能特点以及工作流程。提出了熬于移动代理麴 薪黧分布式入侵检测系统穰羹。缝合代理韵翡能特熹翻较霞穗结稳特点，代理在校颡瓣 的入侵检测中，恩加易于部署。 2 l 华中科技大学硕士学位论文 4 系统设计 4 1 设计原则 整个获霆露露划分成嚣个劝麓蘸鼙猿盛黪子霹，稷捺逮一蘩稳特点，挺凄了一令 分布式多层次体系环境下的雾代理入侵检测模型【”l 。代避可以独立地毙成入侵检测与 晌威工作，同时猩控制中心的控制下相互协作下，完成协同式入侵梭测任务。采用基 予饯鹾魏天受稳涮方法，每个代理帮畜一宠戆独立往，镣个检嚣帮佟都爱疆立翡稔溅 单意，尽量降低备检测部件的褶关性，不仪窳现数据收集的分布化，丽且将入侵检测 和襄时响应分布化，真正实现分布式检测。系统要基本遵循通用入侵检测系统的框架 缭鞫，羧礁保系统令嚣翡哥扩鼹程寨与葵寮琴凌嚣互撵髂缝。 4 2 系统体系结构 校露溺是在擎梭区域蠹为学校教育提供资源共享、绩感交滚寒协疑王辖魏计葵缀测 络龠惑系统，畜辩我稻氇磷校爨箍络信息蓉绫。宅有螽程纛特点帮溉簿，宅要兔学蔽 的缴育教学实现搬源共享、信息交流、引锊溅辅助教学及协同工作等功能。校园网蒯 终系统飙设诗上分为核心层、汇袋螟鄹接入鼹；双功熊上基本哥分为棱强网络中心、 教学予瓣、办公予薅、露禽鏊予瓣等。 根据校园网自身的结构特点，采用基予代理的分布溅多层次体系站构。各个代璞 分布予不弼豹网毁中，根据具钵情况采用趱当购数据采集积分辑方法+ 跫独立鲍入慢 捡测实箨。嚣鸯黪代蘧在瞎辩援瑾控惑审心熬控露l 帮秘淀下统一王俸，系凌在珂控 的范围内可以通过增加和减少代理的方式谶行伸缩【j 蝴f 2 m 。该结构独立于实体的物理 位鼹，其在网络上蜘分布如图4 。1 所示。嘲现有入侵检测系统 弋理的配置，也遵循 定懿蹶慰，蓥予勰络筑霞毽圭骚臻予藩范海帮鼹终蓉超翡致毒；基予主橇熬代理鹬予 保护檬有敏感信息的主机。代理可以配置予移个位置，撼体说明如下； ( 1 ) 代理1 ；将网络型的代理配置在校园网与外网的交汇处。可能会产生许多报 警t 薅这些穰警大多鼗是安垒瞽瑾受不美，熬。这释锻麴好憝是霹戳魏遂垂己匏始点 和防火墙暴露在多少攻击下。 ( 2 ) 代理2 ：将基于主机的代理配景夜湖络中心。i 鑫= 多站点提供了让孙部网络访 华中科拽大学硕士学位论文 溺鹊一令摇对独立懿子舞，嚣箨灾区。嚣必箨炎莲燕外部玻击熬重点，最努霹箨火嚣 的服务器安装基于主机的代理。 ( 3 ) 代理3 ；最常用的布凝方法是将然于网络的代理紧靠防火墙放置。由于所有 翦蠢帮雾羚部逶耧罄彗羲遵过转交蘧，霹魏入爱检嚣系缓霹获莛囊耀络蠹帮第一个安 全缔点的作用。 ( 4 ) 代理4 、代理5 、代理6 、代理7 ：相对代理3 傩言，主要用米检测各个子阕 靛入侵。 图4l 瑟予代理的入侵检测系统在校园嗣中盼分布 槎分析和储艇了国内外梢艇系统的基础上，并充分滞虑了本实验糍的网络环境的 蒙稳下，谩诗了本蓉绫鹣框蘩鳍稳，嚣餮4 。2 囊示。 基于误用检测的代理酶数攥主要来自黼络。在截获黼络数据包乏籍，首先避行联 处理，对信息进行过滤，然殿媳过协议解析器对网络协议进行解析，该结果在事件削 凌瓣审与援蘩磐释器瓣窭麓特餐集会透雩亍耩装匿嚣，热祭符合，臻认为煮入侵孬为发 生，并将裣涮结撩通过通信模块送代理控翻中心。 基于异常检搠0 的代理的数据主要来自撩统进程和审计数据。异常检测引擎采用遴 酶舅嚣捡嚣葵法并摄据系统轮瘴捡测天搜行建，劳将缝暴通过逶绩模块送旋理菠剃 2 3 华中科技大学硕士学位论文 中一。 代理控制中心在接收到代理的检测结聚以后，要对按收到的数据进行融合，以尽 量减少数据的冗余，并综合多个代理的检测结果，由控制器进行处理，以确保能够检 溅裂蘩个代理或少塞代理无法梭溺裂獒全羯魏戆入侵行为，翔一些分毒式黪凑强玫壹| ”l 。 代蠼控制中心的响应模块可以通过多种方式向安全管理员报警，如向安全管理员发送 电子邮件，发出报警声响或弹出提示，向蜜企管理员的传呼机或移动电话发送信息等。 嗡疲模块迄霹以袋鳎改变羁声投甄，注镂愆户，采矮蜜罐系统或断西狻理连接警未动 的响应方式，由