（计算机应用技术专业论文）基于移动代理的入侵检测系统关键技术研究与实现.pdf

摘要 摘要 随着计算概嗣络瘦用豹蒋霞，嗣络安垒已经成鸯不容忿视静淘越。如今数据 勰密、病毒耢护程序、翡火璃、入授梭测等随蝰安全防护措施戥避成熟。防火墙 自够阻断大多数来自外部韵入餐攻击，键仍会程一豁分绕过防火墙渗透到网络内 部。入侵捡鞭4 不仪可以谈涮寒蠡外部救攻密行为，也珂默检测采自内部掰缀的泰 授椒活秘发破坏，成为继防火墙之后瞬络安全第二邀防线，日盏樽到重视。而攻 击工其与平法馘憝复杂多榉，对入锼检测蒜统静藩求也越来越嘉。羁嚣宥投多莲 于圭枫和基予飕络静入侵梭测系统，存在薄诸多不足，后来有了分布式入侵检测 鬣统，其牲糍也有待馥避。为提高入侵检测系统的性艉和效率，有关维缓提出萋 于代理按术的入经梭测系统，糕蓠茜有一定的讶究成荣。 本文详细分析了已有酶传统 橙检测系统帮基于移动代理的入侵检测累统 的现状，介缮移动代理在入侵检测搜术中静应蠲及优势。在诧蒸磷主，荣耀搀型 移动代理系统i b ma 妞括设计了一种基于移鼢代理的入餐捡测系统穰禁，势设计 了不问功能酌移动代理，分析多个移动代臻协作进行数据采集与罪踪检测入侵墩 密静避粳，遮臻移动代理蜜时鼹踪监携嬲终设备霸主机，了鹚嬲络上翰流爨移主 枫的欹番，_ 弗对结果数据进行分柝审计，做出宠韵响虚。 传统静入镘捡溅系统采集分拆大璧豹主勰日恚或者鼹终数据包流煎，黪低 了器统鞠性能。本文秘雕够动代瑷的鞠糍蛙与移动性茅bs 啪( s n 磴kn 醐忡r k m 嚣n 8 麟艄嫩p l o b 稔议的篙单搿效豹牵孥性，透过移动载理接嚣动态姻粟嶷岛 志及s n 艇p m m ( 豫嫩g o 粥嘛撕。鞋b 8 s c ) 中主帆和爵辫襁荚的数据，并剿 埔豁i m p 的扩展协议a g m 隘辩s n m pm m 进行扩充，为数据采集提供了受多 嬲数据巍。率文疑鑫选用几种典型熬强湛m 蹦o f s e w i c e ) 攻毒工具对数攒采巢 横块进行瓣试与葱单的结果分析，通过在不简情况下对褶荚参数静联察，诱爨 了数据采集的脊效憔。 关键谲入侵梭测；移动代理；s 硪僻；a 磐或 a a c t a b s t r a c t a 1 0 n gw i 廿l t h ep o p u l 撕z a t i o no fc o m p u t e rn e t w o r k 印p l i c a d o n s ，n e t w o r k s e c u r i t yh a sb e c o m eac o n c 锄f h lp r o b l e m a tp r e s e n t ，n e 帆o r ks e c u r i t yd c f b n d i n g m e a s u r e s ，s u c ha sd a t ae n c r y p t i o n ，锄t i - v i n l sp r o g m m ，f i r e w a l la n d 咖s i o nd e t e c t i o n ， b e c o m em o r ea i l dm o r em a t l l r e f i r e w a l lc a i li t e r d i c tm o s to fm ei n 仃u d e da t t a c k s f 如me x t e r i o r b u tap a r to fm 唧s t i l lc a np a s sa r o u n dt 1 1 ef i r c w a l lt om ei n t e m a l 玎就w o r k h m u s i o nd e t e c t i o nc a l l t0 n l yi d 锄t i f yt l l ea g 霉_ c s s i v ea c t i 啊t i e sf 汹e x t e r i o r b u ta l s od e t e c tu n a u t h o r i z e da c t i 访t i e s 鼢dd e s n u c t i o n sf 如mt l l ei n t e i n a ln e t 、o r k n b e c a m es e c o n d a r yl i n eo fd e f e n s ef o rn e t w o f ks e c 谢t va f t e rf i r e w a l la n db ea l t a c h e d i m p o r t a n c ei n c r e 镐i n 出y - t b 0 1 s 趾dt 枷q u e s f o ra 扯a c k sa r ei i l c r e 粕i 1 1 9c o m p l e xa n d v a r i o u s ，s oah i g 坤o w e r e di n o nd e t 枷o ns y s t e mi sd 廿n 姐d e d 。c 1 l 】删l y 也e r e a r em a n vi i l n l l s i o nd e t e c t i o ns y s t 锄sb a s e do nh o s t sa l l dn e t w o r l ( a n dt h e r ee x i s t m a n ys l o r t a g e s ，a f t e 刑a r dd i s 仃i b u t e di n 吣i o nd 种刚o ns y s t e mo c c u n d ，i t s p e r f o n n a n c en e e d st ob ei i i l p r o v e dt o o f o re i l l l 眦e m e n to ft h ee f n c i e i l c ya n d p e r f o 珊a i l c eo fi m m s i o nd c t c c t i o ns y s t e m ，c o n c e m e do r g a i l i z a t i o i l sp u tf o r w a r d i n 衄l s i o nd e t e c t i o ns ) ，s t 黜sb a s c d0 na 舭l tt e c h n o l o g y ，n o w l e r ea r es e v 训r c s e 础 p r o d u c t i o n s t h i sp a p e ra n a l y z e de x i s t i n g 脚i t i o n a li 1 1 m l s i o nd e t e c t i o ns y s t 锄sa n dm d b i l e a g e n tb a s e d 协t m s i o nd e t e c t i o ns y s t e m si nd e t a i l ，a n di n t r o 血c e dm ea d v a n t a g e so f m o b i l e a g e n t sa p p l i c a t i o ni n i n 恤l s i o nd e t e c t i o nt e c h l o l o 西e s a c c o r d i i l gt oa 1 1 d i s c u s s e da b o v e ，a d o p t e dt ) i p i c a lm 曲i l ea g c n ts y s t e i l lm ma 西e t st od e s i 弘a 丘锄e w o r ko fm o b i l ea g e n tb a s e di 1 1 订u s i o nd e t e c t i o ns y s t 锄a n dv a r i o u s 触c t i o n a l i n o b i l ea g e n t s ，a i l a l y z e dd a t ac o l l e c t i o n ，d e t e c t i o na i l dt r a c i n go fi 咖d i n ga 钍a c k so f t l l ec o n c l l 仃朗tm u l t i p l em o b i l ea g e n t s t h o s e 埘【o b i l ea g e l l t s 仃a c ea n dw a t c ht l l e n c t w o r ke q l l i p m e i l t sa n dh o s t s 证r e a lt i m e ，猷d yn c tn o wa n ds t a h l so f 也eh o s t s ， 锄l y z ea n da u d i t l eo u t c o i n ed a 忸，t h e ng i v er e a l t i m ea l a r r n sf b rm ea g g r c s s i v e a c t i v i t i e s t r a d m o n a l 缸恤培i o nd e t e c d o ns y s t e mc o n e c ta n da 1 1 a l y z eal a r g en m n b c ro f h o s t sl o gf i l e so rn e t w o r kp a c k e t s ，i tw i l lr e d u c em ep 盯f 0 1 m a n c eo fs y s t 眦t h i s p a p e rm d k cu s eo ft h ei m e n i g e n c ea n dm o b i l i t yo fm o b i l ea g e l l t ，s i i r l p l e n e s sa i l d e 街c i e l l c yo fs n m p ( s i m p l en e 柳o r km 卸a g e m e n tp r o t o c 0 1 ) ，c o l l c c t1 0 9f i l e s ，h o s t a n dn e t w o r kr e l a t e dd a t ai ns n 【pm i b ( d 觚a g 锄e n th l f o m a t i o nb 硒e ) d y n 锄i c a l l ya c c o r d i l l gt on e e dv i am o b i l ea g e n t h lp l u s ，p r 0 v i d em o r er e s o u r c e sf o r d a t ac o n e c 如gb ym a k i n gu s eo f m es n n 口e x t c n s i o np r o t o c o la g e i 喊t oe x t c n dm e s 皿m m a t1 a s t ，t h i sp a p e rc h o s ea 脚t y p i c a ld o s ( d e n j a lo fs e r v i c e ) a 仕a c k t o o l st ot e s td a t ac o l l c c t i o nm o d u l ea n da i l a l y z et h cr c s u l t ，p r o v e d 也ea v a i l a b i l i t yo f m ed a t ac 0 1 1 e c t i o nb yo b s e r v i n gr e l a t e dp a 御e t e f si l lv 撕o u ss t a t u s k e y 帅r d sh l 仃u s i o nd e t e c t i o n ；m 0 b i l ea g e n t ；s n m p ；a g l e t 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育 机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示了谢意。 签名：鱼疆鲤煎日期：坦15 ：i 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有 权保留送交论文的复印件，允许论文被查阅和借阅：学校可以公布论文的全部 或部分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 日期：竺! ! ! ：7 第1 章绪论 1 1 课题研究背景 第l 章绪论 互联网最大的特点就是开放性，而因此造成的各种损失也是巨大的。据统计， 9 9 的大公司都曾遭到不法入侵的攻击，其中包括讪0 0 、e b a ”b u y 、a m a z o n 等大型商业公司，就连专门从事网络安全的r s a 网站也难选一劫。网络安全产 品包括防火墙、入侵检测系统、防病毒网关、v p n 、物理隔离卡等，其中以防火 墙、入侵检测系统、v p n 最为广泛。如今网络安全不再是简单的几种技术，而是 一个系统的工程，从网络管理、网络结构、加密通道、防火墙、病毒防护和入侵 检测等多方位因素对所关注的网络做出评估，然后提出可行的解决方案1 1 “。而 用户需要的也是从系统需求分析到产品的专业化整体解决方案，网络安全领域进 入了全方位、专业化的发展道路，网络安全市场开始多样化，从而对网络安全产 品与其它安全产品的兼容与交互性提出了更高的要求。 如今大多数公司企业到政府机关都有内部的网络，它们对外部的用户来访一 般都设置了很高的门槛，但是往往忽略了来自公司内部的各种不法行为，这些内 部的攻击入侵行为往往也难以防范。据统计，网络攻击入侵有8 0 来自内部用户 的违法行为，防火墙能过滤大部分来自外部的攻击，而绕过或者骗过防火墙透入 到内部网络的一部分，还有一些内部员工对公司资源的滥用和对资源的未授权访 问就需要入侵检测系统来识别并采取相应的措施阻”。 入侵检测系统主要从保护网络的安全和主机系统的安全两方面八手。网络 的安全可以检测那些关键的网络设备，通过某种途径读取这些网络设备的各种参 数或者设黉这些参数来改变网络上的不利现状。主机系统的安全可以通过监视主 机系统的审计日志文件【8 】和其它与系统相关的数据来发现一些不法的行为，然后 可以根据不同操作系统修改相关的系统文件，合理的设置用户权限和文件的属 性、读写权限等。入侵检测的对象应包括已发生的和正在发生的攻击，早期预警 可以及时发现入侵攻击迹象，保障网络信息安全，把损失降低到最小。 入侵技术在不断发展，入侵检测技术也需要不停的完善，它以网络攻击技术 研究为依托，通过跟踪入侵技术的发展增强检测能力。一个有效的入侵检测系统 研究为依托，通过跟踪入侵技术的发展增强检测能力。一个有效的入侵检测系统 北京工业大学工学硕士学位论文 不仅需要识别已知的入侵模式，还要有能力对付未知的入侵模式，而预先了解所 有可能的入侵方法是很困难的。入侵活动可以具有很大的时间跨度和空间跨度， 也给入侵检测技术带来了很大的困难。同时入侵检测系统应有一定的判别能力校 正误报和漏报，提高检测的准确性。 1 2 课题研究现状及发展趋势 国外早已开展了入侵检测技术及早期预警系统的研究，在一些重要的政治、 军事和经济网络上实施监控。 网络入侵性活动是由不同类型的个人或组织，出于不同目的，采用不同技术， 在不同地点和时间，针对不同目标而发动的。诸多的不同及其不同的组合规定了 检测对象的多样性，随之也出现了不同种类的入侵检测系统。现有的很多入侵检 测系统都是基于网络或者主机的，这些系统都有一定的缺点，后来有了分布式入 侵检测系统，但是由于系统的性能等问题还是不能很好的满足要求。 移动代理( m o b i l ea g e m ，m a ) 的出现给入侵检测技术带来了新的希望。目前 国外许多实验室( 包括美国的爱达荷大学、新墨西哥大学、陆军研究实验室、爱 荷华州大学，普渡大学，和日本的信息技术促进组织) 都在从事将代理技术应用 到入侵检测系统的研究工作阻1 如。美国陆军研究实验室a t d p ( a d v 趾c e d t c l e c o m m u n i c a t i o n s 胁f o m a t i o nd i s t 曲u t i o nr e s e a r c hp r o g r a m ) 项目提出将移动代 理应用于检测计算机的弱点。虽然它没提出将移动技术应用于入侵检测，但是其 弱点评估模块能很容易的被入侵检测模块所替代，这样就可以得到一个新的基本 的入侵检测系统。下面将简单介绍从事这方面的几个项目： ( 1 ) a a f d ：a a f d ( a u t o n o m o u s a g e m sf o rh l t n l s i o nd e t e c t i o n ) 是一个分布式 的入侵检测系统，它是由美国p u r d u e 大学c e r 认s 工程组开发的第一个利用自 动代理进行入侵检测的模型。 a a f i d 采用树形分层结构的代理群体，根结点是监视器代理，它提供全局 的控制，并管理和分析由下一层提供的信息。处在叶子结点的代理专门用来收集 信息。处在中间层的代理被称为收发器，它们实现对底层代理的控制，还可以起 到信息预处理的作用，把精练的信息反馈给上层的监视器。 a a f i d 结构包含四个组成部件：代理( a g e n t ) 、过滤器( f i l t 哪、收发器 第l 章绪论 ( t r a n s c c i v e r ) 和监视器( m o n j t o r ) 。 每台主机中可配置任意数量的代理，用于监视该主机内发生的任何有意义的 事件。代理可以使用过滤器以系统无关的方式获取数据。每台主机内的所有代理 把它们的发现结果汇报给收发器。 收发器能够启动、停止和配置代理，简化来自代理的数据，将结果报告给一 个或多个监视器。每台主机拥有一个收发器，监管该主机内所有代理的操作。 监视器能够访问网络范围的数据，因此它们能够实现更高级的关联，以检测 涉及多台主机的入侵。监视器可以组织成层次结构，在这种结构下一个监视器可 依次向高级监视器报告。同样收发器可向多个监视器报告，这样在某个监视器失 效的情况下，能够提供冗余和抵抗能力。最后监视器向用户接口提供信息，从用 户接口接收控制命令。 该系统先后采用了a a f d l ( 采用p e l l 、t c 们x 、c 混和编程方式) 和a a f d 2 ( 完全采用p e r l 编程) 两个原型。a a f d 2 体系结构的一个实例布局如图1 1 所示， 其逻辑结构如图1 2 所示。 图1 1a a f d 2 系统实例布局图 f i g l 聆1 1i a y 伽to f a a f 2s y s t e mi s t a n c e 北京王她大学工学硕士学位论文 匿l - 2 武a f 静2 系统实铡逻辑缀缀麓 f i 辨l r e1 2b 垂c a ls 拓u c t l l f eo f a a f m 2s y s t e mm s t a l l c e ( 2 ) m a ；m a ( m 吣i o n d 。t c c t i o n a g e ms y 8 t e m ) 是由日本的u 城 啦白艘鲥o n * 妣i l n o i o g y 。m o “o 觳a g 黜c y ) 开发的一簿基予多主枧的入侵羧测系 统。它采霸溅a 竣集痿崽窝遥踩入侵考，整瓷与入 受行羹有关靛特定豢转，并 将之称为“翻下的可疑入侵标记”( m a r k s l e r b y s u s p e c t e d h t n i d e “m l s l ) 。一 旦发现m l s l ，a 会收集与舭s i 有关的信息，进行分析，判断是否发生了入 侵。 其结搀絮嚣i 一3 瑟示。该系统包会管理器8 蛭鞠a g e r ) 、簧感器( s 强s o r s ) 、追踪 代理( 矗a c 矗毽a g e n t ) 、信息收集代理( 疆髓n a l i o n - 耐l l 捌n g a g e n 玲、公告授滞诫l c t 穗 b o a r d ) 和消息板( m e s s a g eb o a r d ) 鼯部件。 管理器负责分析信息收熊代理收集到的信息以检测是否发生入侵，管理移 动代理和公辨叛，提供人枫接翻。每令网段有一拿镣壤器。 传惑嚣分毒予每个嚣菰圭狡，蓝凌系统目恚，搜索谶s l 。瑟暴发璇醚醛l 就报告给管避器。 入侵路由追踪代理简称为追踪代理，用于追踪入侵的路径，确定入侵的发 起点。追踪代理可以自动从一台机器迁移到另一台机器以追踪入侵。信息收集代 理是一令移麓代理，它在嚣拣系统主浚集与狐s l 蠢美熬癌惑。遥踩我联瀵黥入 侵时，当它每迁移到一台机器辩，就会激活该机器内的信患收集代理强收集与 m l s i 相关的信息。信息收集代理收集到所需信息厝，就会移动到管理器所在机 器，把信息放入公告板。即d a 系统利用移动代理( 信息收集代理) 的移动性向上 第l 犟缮论 级( 镣理嚣) 报告可疑事臀。 公告板和消息板魑一个公糟的区域，追踪代骥和信惠收集代理都可访问 它，它是信息交换的通道。在每个目标系统内都有一个公告板，濑过公告板，追 臻我壤羧憩知道宅蓊要滋费麴逡踩是蚕京其它代理酪在进毒亍，戳确定下一步嚣 标。哭肖管璎器所在机器霄公告檄，用于记录信息收集代理从舀标系统收集到的 痿患。警公惫援串筑蘩惑羧累戮一定程疫，怒遘拿门隈篷，警臻嚣羲会褥窭发 生入侵的结论。 1 妇t a1 啦e t b b b ：b u l k t i n b o a r d姒：i n g a g e n t 燃器；醚# 辐8 嚣砖 王a ll # 翻嘲i 峨诹酬毂葚a g 张 图l _ 3 m 魄系统结构豳 巍g 噼l o 觚e 嘛o f 韬i a ( 3 m 恤i d s ：m a i d s 是美国i o w a 州立大学提出并实现的多级的、利用穆动 代理技零熬入侵检溺系统，其系绞臻榜翔鬻l 碡掰零。该系统与鼬a 系统瓣区剩 在于m a 系统乖j 用代理的移动褴报告可疑攀件，雨谈系统是莽j 粥代理通信完成 魏馁努。鹾a 豹s 系绞不饺没毒麓定戆垂数，落没蠢窳经懿定义麓滋之麓貔区 别。s 由被监控主机( m o n j t o r e d h o s t ) 和分析中心( a n a l y s t 毡l o c a t i o n ) 构成， 每个被监控烹枫有一个本地数据薅、一个代联服务器釉本地数攥淡源，分橱中心 毪鸯个代疆暇务器，逐蠢管理掰宥代理服务嚣熬控话平台。 被监控主瓿包含本热数器摩a 国试d 积南黼螃、代壤平台a 黝ts 删辩本速 数据爨源( l o c a ld a t as o l i r c e s ) 。分析器包禽一个代理平台和撩镑面板( c o n s o l e a p p l i c a t i o n ) 。控制面板维护被监控主机和活动代理的列表。 北京工业大学工学硕士学位论文 翻1 赫a 妨s 俸系结穆毽 f g u r el 珥a r c h i 把她h 弓o f m a l d s 入侵检测技术豹发展趋势是分布式入侵检测、智能优入侵检测和全面的安全 防御方察。 分蠢式入侵梭溺傻建分露式瓣方法捡溺分蠢式懿液密，关键按拳为缝溅铸怠 的协同处理与入侵攻击的全局信息的提取。 智能化入侵检测使用智能化的方法与手段进行入侵梭测。所谓的智能化方法 有神经溺络、遗传算法、模糊技术、兔疫原理、专家系统等，它啊j 常用于入侵特 征豹辨别与泛像，笼萁是其霄爨学习鼹力豹专家系统安魂了知识瘁豹不颧瑟赣与 扩展，使入侵稔溯系统的防范辘力不断增强，暴有广泛的应用前景。 全面的安愈防御方案把网络安众视为一个整体的工程，从管理、网络结构、 加密通道、防火墙、病毒防护、入侵检测等多方面对网络进行评估，提出全褥虢 可行的解决方寨。 岳 第l 章缝论 1 3 论文主要工作及章节安排 本文戆主要工终妇下； ( 1 ) 基于移动 弋避靛入侵检测系统糕絮设计； s n m p 协议与移动代理技术的集成设计； ( 3 ) 数据采集模块的设计与实现。 本文各章走容组织翔下： 第一章介绍了漾戆研究豹鹜豢、入侵稔溯蓉统国内乡 磷究瑷状帮越嚣掰存在 的润越，并提出了本文的主要工作。第= 章介绍入侵检测系绕的通爝框架，阐述 了入侵检测基本概念、入侵梭测系统的分炭。第三章在分橱移动代理平台m m a g l e t s 的框架和其移动代理实现的基础上设计了基于a g l c t s 的入侵检测系统结构 势分绥了葵器令缝戏攘块的凌齄露系统孛移葫健理装耱 睾浚耧。籀溜搴设诗了移 动代理与s n m p 代瑗的接口，奁此基础上实现了数据采集代瑗功能。第五章采 用一些典型的d 田s 攻击程窿对系统嘏关模块进行测试，并给出了测试结果。第 六章对本文工作及系统设计实现的不足做如了总结，并对以后的工作进行了展 望。 1 4 本章小结 本章是全文的绪论，阐述入侵检测技术在网络安全中的爨臻性和入侵检测拽 拳丽临的闯遂，对基予代理技术斡入侵梭测系统的现状进行了详细的分析和比 较，在j 毙基懿上提壅了本文鹣主要工 摹。 第2 章入侵棱测襄统体系结构 第2 耄入侵检测系统体系结构 2 1 入侵检测系统的概念 入侵不致畿括繇意黪黑骞墩褥越龄螽法蕊围黥寒绫接制牧，键包攒收集滚濑 穰患，造成菠绝访阉蒋对诗算砉毽系绞造成燕害静褥菇。蠢骏潦检测藏楚邋过从诗 簿毒 - 瓣络蘩统牵豹麓予关键纛浚集蔷意，势分辑这些绉怠，簸控鬻络率楚番青遗 魇安垒策略的行为或者入侵行为。进行入侵检涮豹软件与硬件黝缀食便是入侵捡 测券统漱嫩端i o nd 懿c c 蛀s 粥继黻，瓣s ) h 鞘m 。与箕它安全产品不髑的楚入侵棱 溺系统篙鬃嚣多弱麓麓，絮必须黠数撰灏避符分辑，褥出脊藤的结栗。个台格 黪入橙稔溺系统l 大大浆蘧纯管理员熬王终，爨诞蝴络安全戆逡孵。入侵检测蓉 统静象要功能有靛测弗分祈用户帮系统的活动、棱黉系统配鬻和漏洞、洋估系绕 哭键资源鞠数据文件的完整牲、识别叠熟鲍攻击褥为、统计分橱异鬻行必、操捧 系统稳惑餐灌并识测逐厦安全蘸略的髑户潴渤。 入侵梭溅系绕够谖糍篷不攀鬟誊鹣活动，这耱潇凌胃慕鑫予麴络多 部耪 海都。入侵捡澜系统鹣斑蘑，鼹缆在入侵骏毒瓣蒸绞发生危警翥菪检溯割入侵竣鸯， 并剩用攮警舄防护系统驱逐入经竣击。它能减少簸在发生的入侵玻击蹶造成韵掇 失，始暴入侵竣进教裳了，牧集入侵凌奄的楣关甓患，侔梵骑范熬经验知识，添 麴戮知识痒内，隘增强蓉统静茨范能力。 2 2 入侵检测系统模型 必解决入侵梭测系统之间鹣邋搡偌瞧，懑涿上酌一些姘究缀织群震了禄准能 工佟，簿裁对m s 避毒亍榕准纯正律瓣蠢麟个缀缀：c 劲f ( e o 疆黼雌瓠s i 徽 转e t e c 畦糍辩a 搬g 谨斓黟毯薯联鹣| e 拱e t 鹣藩撼醺鹚巍嫌翔端磅鹣w g 馥烟瑟l 蝴 d e t e c t i o nw b 淄n g 汹n p ) 。c 拗f 早期随荧国窝防部高级研究计划餍赞助研究， 现在杰c 鼬f 工作缀爨黉，怒一个开放缎缀l 煳。 e 戳弹鬻透了入侵捡溅系统麓邋璃穰蹙。e 璐f 入侵捻浏聚绫缝梭魏隧蕾l 黼 添。 j b 意工业大学王学硕士学镀论文 圈2 - le 掰f 嚣系臻麴黢 鞘黜持冬l 越零h i l e c 抛瓣o f c m f f 将粉s 需装分褥煞数瓣统称淹事髂鼢e 鹞_ 绩它冒浚是鼷绦中的数据稳， 也可以燕从系统日志等藻它途径得到的信息。 上述摸蘩备模块臻熊分攒翔下： ( 1 ) 事释产耋器警嘲tg 辩懒螃：宅匏霹鹣蕊麸熬个诗箨环凌枣获褥攀终， 莠悫系绞豹嫠它部分提供她攀谗。 2 攀绺分孝厅嚣藿v e 懿| a 萎鑫l 粥哟：努辑褥戮憋数黎，并产生努援绻祭。 ( 3 ) 响应单元( r e s p o 螂el 删t ) ：是对分析结果徽出殿应的功能单元，它w 以做 出切断逮拔、改交文件瓣性簿强烈发液，也耐以必建麓攀驰报警。 鞲) 事件数据癔衄e n td a t 鱼b a s e ) ：孀于存放各种中瓣釉簸终数据，它磷黻建复 杂的数据库，落可以是筒单的文零文件。 在遮个模型中，事件产擞器、事件分析器和响应单元均以稳序的形式出现， 蔼事箨数禚露舞l 藏往是交侉黢数据漉豹影式。在教黼s 中经常霜鼗掇聚纂熬分、 分薪部分霸藏稍套部分聚分鬟代蘩豢箨产奎嚣、攀传分橱器窝晌庭攀嚣这鍪泰 语，鞭事移数据鬻常零疆悫慕麓蘩熬攒筏。 璐w g 主蘩爨黉稀宠入侵稔溺系缝之阕熬事僚惑豹数攘格式秘交羧蘩怒瓣方 式，以满足系娩餐理的需要。剐g 蚋饪务熄定义入侵检测系绕、响应系统和宅 髓需要交夏熬管理系统之阀黝共寥蔼患、数撼格式秘交换程序。 2 3 入侵检测系统分类 按照数据来源分炎： 嚣2 苹入侵检测系统体系结构 1 ) 蒸予主瓤戆入侵羧溅聚绞：一般主要镬璃搽终系统魏窜诗蠢泰俸蠢数蕹 源，也可与主机系统进行交飘获得不存在于系统圈恣中的信息。其所收集的信息 集中在系统调用和应用层审计上，试图从日志判断滥用和入侵事件的线索。它安 装在被保护主机上，具有对主机日志与监视能力的依赖性，这样一方蕊髀低主枫 主瘦蠲系缝熬效率，男一方露，翔暴主懿没存配鬟趱志功戆，瓣嚣娶黧精嚣耋， 这样可绘业务系统带来不可预觅的影响。还有黛谣部署基于主梳的入侵检测系 统成本较大，而那些未安装主机入侵检测系统的机器将成为保护的育点。最后基 于主机的入侵检测系统除了榆测主机自身以外，不关心网络上的情况【。 ( 2 ) 蕊予阚络的入侵检测系统：通过监听并获取阏络设备在网络上健输的原 始滚量戆臻意，对获取装数攥遴缮处理，麸中获壤眷舞豹售惑，罨每溅知攻击特 征相匹配溅与正常网络行为原型相比较来识别攻谢事件。基于网络的入侵检测系 统为提高恍能通常采用特征枪测的方法，它可以梭测出普通的一些骏前，而很难 实现一些笈杂的需要大量计算与分析的攻击捡测。它会将大量的数据传网分析系 统孛，簸溪数莛雹会产生大爨瓣分掇数摆浚羹。一熬系统采惩一定方法城乡黉赣 的数据量，辩入侵判断的决策由传感器实现，而巾央控制台成为状态藤示与通信 中心，不辫作为入侵行为分析器。这样的系统中的传感器协同工作熊力较弱。 ( 3 ) 分布式入侵检测系统：这种入侵检测系统能够同时分析来自激机系统的 窜计日悉翻羽络数据滚，一般为癸蠢式绩季萼，由多令郄终组成。大多分露式入授 检溺系统怒潮霹分布式部锌遴瑟数器收集，然蠢摭数据传送妥处理串。豁，在照瑾 中心进行统一处理。这种方式的局限是入侵检测燕时性较差，由于中央数据分析 器是唯一的处理模块，因此如果一个入侵者以某种方式阻止它运行时。网络就得 不到保护。融单一主机处理所鸯信息意味着被监控的鼹络规模将受限制，大量的 鼗据凌集将警致嚣络遴薅过载，不霹入缦硷溅系绞滚滚实瑗互操俸。 按照聚用的方法分类：藻予行为的攻击捻测系统、基于模型推理的攻击检 测系统和采用两者混合检测的攻击检测系统。 - 按照时间分类：实时攻击检测系统和事后攻诲检测系统。 露入嫒捡嚣技术分为如下凡耱： ( 1 ) 辫常入侵裣溺：记录耀户在系统上的活动，势盈横据这些记录稍建溪魂 的统计报错。如果报告表明宦与正常用户的使用谢明显的不同，那么梭测系统就 北求王啦大学工学硕士学位论文 会将这群麓灞劝横为入侵。 ( 2 ) 误用入侵检测：事先对已知的入侵方式进行定义，并且将这些方式写迸 系统中，将网络上检测到的攻击与系统定义的已知入侵方式进行对比，如果两者 相同，则认为发生了入侵。 2 4 本耄小缝 本章对标准化的入侵检测系统体系结构及其各模块的功能与协作检测流程 进行了详细的介绍，并讨论了入侵检测系统的概念蒂】入侵检测的分类。通过这些 讨论对入餐缎溯系统蠢了一个整嚣豹分撰，蠹论文下一步弱骚究骰准务。 第3 章基于移动代理的入侵检测模型 第3 章基于移动代理的入侵检测模型 3 1 移动代理 3 1 1 移动代理介绍 移动代理的概念是2 0 世纪9 0 年代初由g e n e m lm a g i c 公司在推出商业系统 t e l e s c 啷t 时提出的。在异构的网络中移动代理可以自主的从一台主机迁移到另 一台主机，且可与其它的移动代理和本地资源交互，是代理技术与分布式计算技 术相结合的产物。传统的客户端和服务器之间通信时需要连续的连接，而移动代 理可以移动到服务器上与服务器直接在本地进行交互，这样就不用占用网络资 源。移动代理与单纯的移动代码不同，它迁移的内容包括它的代码和运行状态。 移动代理是一种网络计算，它能够自行选择运行地点和时机，根据具体情况中断 自身的执行，移动到另一设备上恢复运行，并及时将有关结果返回【 】。 m a 的价值在于计算能力的传递，它迁移到待处理数据所在的端点执行特定 的任务，网络上不会有大量数据的传输，只需返回操作结果或执行状态，所以能 平衡负载，提高完成任务的时效。尤其在待处理的数据量比较大且网络带宽不足 的情况下m a 可以有效地减少网络拥塞的情况，以提高管理系统的质量。m a 还 可提供实时的远程交互、支持离线计算、提供定制化服务、易于分发服务、提供 平台无关性和提供更自然的电子商务模式等功能。 3 1 2 移动代理互操作性 许多厂商都分别推出自己的移动代理系统，由于设计结构与采用技术上的 差异，较难相互协调工作。为解决互操作问题，o m g ( o b j e c tm 趴a g e m e n tg r o u p ) 组织提出了m a s 球( m o b i l ea g e l l ts y s t e mm t e r o p 咖b i l i t yf a c i l 呦规范，并介绍一 种移动代理系统问互操作的插件m a s 球a d d o n 。有了m a s 的支持，各个结点 上的代理即使是异种的也可以将自己的部分任务交给其它结点的代理完成。 已有实验证明m a s a d d o n 插件的有效性，即解决了移动代理系统之间互 操作的问题，对于移动代理系统的进一步应用有极大的推动作用。m a s i f 规范 北京王救太学工学硕士学位论文 兹框黎主要的一令接西是m 艨秘耐嚣接露，它提供注精、注镑、蠢谗移磷代理 系统的服务。m a f f i n d e r 插件的作用如图3 一l 所示。 惠； 糍询a s 匿3 一| m a s 糟幽捶孛 示意藤 f g u r e3 - lm a 8 l f a d d o np l u 哥i ns 妇浦m a p 其工作i j i c 糨如下： 疆) m a f 磁蕊e f 接露窿瑟移动锭遴系魏摆关黪铸惑； g ) 移裁代毽系统接鑫裁网穗关方法接收港求端代壤戆请求； ( 3 ) 得到代理的类型，并谶彳亍认证； ( 4 ) 认诫成功，代理系统接口樽到m a f f i n d c r 按黼的引用 f 5 ) m 雉翠i 嘲e f 接丑剩瘸浪瓣瘁中静甥关信息，褥剿请求端想要麴羁趟邋信 f 6 ) 请求端的移动代理迁移刹鼹的地，完成工佟，然后返匿。 3 1 3 移动代理系统结构 蓼动 弋理系绞蠹嚣夫帮分鼹成，蓼凄蓑瑾蠢移褥代鹱鼗务器。移动筏璎裳主 视间迁移，怒由移动代理服务潞避过代理传输协议( a 辨n tt r 孤s 聩p r o t o c o l ，a t p ) 实现的，移动代理到达一台主机盾移动代理服务器为其分配执行环境芹口服务接 口。移动代理在移动代理服务器端执行并遇过代理通信语谢( 蛳 e 强秘i 鞠娃潍嘲8 爹，a e 玲耍摇逶箍著谤籍鼹务器挺鬟蕊各顼瓣务。 a e l 憝基于语言一章亍蕊鹣璨论，定义了移穗代理和执行舔境之间协漆进程 的语法和语义。目前常用的a c l 肖k q m 脚w l 酣g eq 呻e r ya n dm a n i p u l a t i o i l l a i l g u a g e ) 和f p a ( f o l l n d a t i o n o f i n t e l l i g e n t p h y s i c a l a g e m ) ，格式大体相l 瞧。 第3 章基于移动代理的入侵拯测模型 勰p 定义了移蚤霞逄簧赣鹣语法帮语义，其棼突现了移动代理褒砉l l 【行环境之 间的移动机制。m m 提出a t p 框架结构定义了组原语性的接口和蕊础消息集， 是a t p 协议实现的浓缩。a t p 的结构如图3 2 所泳。 a d i s p a t c h ( 分派) a t r - e 圭c t ( 召豳)t p f e t c h ( 提取) p 协 协 议 m e s s a g e ( 消息) 议 r e s p ( 响应) 豳3 2a 限示意图 f i g u r e3 - 2 a t p s k e t c k m a p 移动代理的体系结构如图3 。3 所示。 圈3 3 移动代理的结构模黧潮 f i g u i e3 3s 乜m c t u i eo f m 0 b i l e a 舭n t 其中嚣模块的功能分析如下： ( 1 ) 安全代理：移动代理翱与外赛逶信的接口，定义了移动代理安全策略， 可敬茨j 乏终努嚣凌对移动饩毽懿 法访淹； ( 2 ) 环境交互模块：移动代理通过环境交互横块获知外部环境并作糟于外部 环境，环境交互模块实现a c l 语义，保证使用a c l 的移动代理和外部环境之间 北京工业大学工学硕士学位论文 的正确通信和协调； ( 3 ) 知识库：移动代理所认识的世界和自身模型，迁移过程中获取的知识和 任务求解方法和结果存在知识库里； ( 4 ) 内部状态集：移动代理执行过程中的当前状态； ( 5 ) 约束条件：移动代理创建者为了保证移动代理的行为和性能而定义的约 束，如返回发送点的时间、在迁移站点停留的时间和任务完成程度等，一般创建 者才对这些约束有修改权限； ( 6 ) 路由策略：决定移动代理的迁移路径，可以是静态的被管设备列表或者 是基于某些规则的动态路由。 3 1 4 移动代理系统的安全性 现有的基于j a v a 的移动代理系统基本上都采用了j a v a 的沙箱安全模型作为 其安全机制的实现基础，但是j a v a 安全模型本身就存在一些缺点，而移动代理 系统对安全性有着特殊的要求，重视移动代理系统的安全性研究有着重要的意 义。移动代理系统的安全性可以从以下几个方面考虑： ( 1 ) 不同移动代理之间的通信安全保护； ( 2 ) 保护移动代理受到恶意的攻击，即保护移动代理所在的主机的安全； ( 3 ) 保护移动代理本身受到恶意的攻击。 3 2 基于移动代理的i d s 优势 移动代理在大规模的分布式跨平台的应用中拥有独特的优势。移动代理的工 作平台可以在不同的系统中运行。通过在各个操作系统中运行移动代理系统，可 以屏蔽硬件和操作系统的平台细节，使代理获得统一的界面。在此基础上，移动 代理可以在虚拟机之间自由迁移而无需终止程序的运行。移动代理还有多代理合 作的特性，通过移动代理系统的通信机制，实现多代理之间的协作。 移动代理技术的发展和应用为克服目前使用静态构件的d s 的缺陷提供了 可能性。m a 的移动性和自主性不仅能实现网络范围的入侵检测功能，具有良好 的可移植性，而且对网络系统和主机的资源占用较低，避免出现网络瓶颈。移动 代理使分布式入侵检测更灵活。将移动代理技术应用到入侵检测当中，有以下几 第3 章基于移动代理的入侵检测模型 个优点： ( 1 ) 减轻网络负载，减少网络延时：m a 通过将中央节点的处理功能分散在网 络中的各个节点上，让代理在这些节点上自主地处理数据，能大大减少发往中央 主机的数据量，提高了实时性。利用代理的移动特性可以将计算代码发送到目的 主机，从而消除了发送大量数据的必要性，减轻了网络负载。 ( 2 ) 自治连续异步的运行：分布式的多代理体系结构中，代理是自治独立的 实体，一些代理停止工作时，其它代理可以继续工作。代理在目的主机上连续自 治地工作，虽然在中央主机失效和通信连接中断的情况下不能同中央控制点进行 通信，但仍可执行它自身的任务。 ( 3 ) 能动态配置以适应网络变化：网络的配置、拓扑和流量特性随着时问不 断变化，所以检测对象和检测内容也会不断的变化。由于代理自身的独立性，可 以独立的启动和停止代理的运行，从而只需动态配置d s 而没有必要重新启动 它。 ( 4 ) 在异构环境下运行：代理独立于计算机和传输层，通过虚拟机和主机平 台上的解释器可以在任何有代理平台的节点上运行。 ( 5 ) 增强d s 的健壮性和容错能力：移动代理对无连接操作的支持和分布式 的设计模型解决了单点失效的问题，也提高了系统的容错性。 ( 6 ) 多点检测：多点检测是指通过分析来自多个主机、应用程序或网络接口 的事件来检测分布式或渐进性的攻击。移动代理可以在分布式数据源间移动，收 集各个点的数据，进行多点检测，因而可以将对网关、主机、服务器等的攻击关 联起来，发现协同攻击。 3 3 移动代理系统i b ma g l e t s 3 3 1i b m a 9 1 e t s m m a g l e t s 是由日本m m 公司所提出的用纯j a v a 开发的m a 技术，本文开 发语言采用支持平台无关性的j a v a ，开发环境选用e c l i p s e 3 o ，再把a g l e t s 开发 包嵌入到开发环境里，这样代理的生成，派遣等操作就可以通过a g l e t s 实现。 a 西e t s 软件开发包( a g l e ts o f l w a r cd e v e l o p m e t t ，a s ( ) 包含了a g l e t s 北京工业大学工学硕士学位论文 a p i 的j a v a 类文件、扩展文件、诸多例子、源代码、t a l l i t i 界面及一个a m c t s 服 务器浏览器。在运行了t a l l j t i 服务器的本地与远程主机上m a 的设计与迁移及 m a 之间的跨主机通信变得很容易。这个a p i 也包含了有关在j a v a 应用程序里 运行a 西e t s 服务器的类。 a 西e t s 提供了较实用的移动代理运行平台一a 酉e t w o r l ( b e l l c h ，开发者在此