（计算机软件与理论专业论文）基于移动agent的分布式入侵检测系统技术与研究.pdf

摘要 y ? 3 8 4 3 0 入侵检测技术是目前安全领域中的一个研究热点，它足防火墙的合理补充，可 提供对内部攻击，外部攻击和漠操作的实时榆测，并可与防火墙、系统漏洞检测、 病毒防护等技术结合在起，构成较完整的安命防御体系。虽然目前入侵检测系统 的研究已经有长足的进步，丌发出y ：多针对不同需要的产品，但传统的入侵检测系 统仍存在着一些缺陷，例如在分靠性、灵活性、效率等方面还不尽如入意，凶此人 们开始探索新的技术，以求提高入侵柃测系统的整体性能。另一方面，近年来移动 a g e n t 技术的蓬勃发展，使它的研究应用不再局限一j ：最初的人工智能领域，而在包 括电子商务、个人助理、网络信息搜索、网络安全等多个研究领域获得了极大的发 展。本文就是借鉴了移动a g e n t 技术，在将a g e t 技术引入入侵检测领域方面做出 探索和研究，提出了基于移动a g e n t 的分布武入侵检测系统m a i d s 。该系统中将 数据的收集功能分配到各个m a 中，实现了任务的分担，使系统具有较好的性能和 灵活性；同时力求将基于丰机和基于网络的入侵检测技术结合在一起，增强系统的 检测能力。 本论文首先在对入侵检测系统和移动a g e n t 技术分别进行了总结和分析，在这 个基础上，借鉴已有的一些研究成果，提出了一个基于移动a g e n t 的入侵检测系统 的体系结构之后对m a i d s 系统的设计进行详细地阐述。在对m a i d s 系统地阐 述过程中，首先从整体进行了介绍，简要概括了系统四大组成部分入侵管理模 块、入侵检测模块、入侵分析模块和入侵检测模块的基本功能，然后依次详细阐述 了各个模块组成结构和功能及其实现方法，并且介绍了系统中的关键问题及其解决 方法。论文最后对m a i d s 系统进行了总结，简要分析了其特色，并提出了进一步 研究的方向。 关键词：入侵检测，移动a g e n t ，网络安全，m a i d s a b s t r a c t i nt h ep a s td e c a d e ，w i t ht h en e t w o r ka t t a c k sh a v i n gb e c o m em o r ec o m m o na n d s o p h i s t i c a t e d ，m o r e a n dm o r e s e c u r i t yt e c h n o l o g i e s a r e d e v e l o p e d a m o n g t h e s e t e c h n o l o g i e s ，i n t r u s i o nd e t e c t i o nt e c h n o l o g yi so n eo f t h ef o c u s e s ，i tc a nd e t e c tt h ea t t a c k s f r o mb o t ho u t s i d ea n di n s i d eo f n e t w o r k ，a n di ts h o u l db ea ni m p o r t a n tp a r to ft h ep e r f e c t s e c u r i t y a r c h i t e c t u r e t h er e s e a r c ho fi n t r u s i o nd e t e c t i o nh a s g r o w nc o n s i d e r a b l y n o w a d a y s ，a n d t h e r ea r eal a r g en u m b e ro fi n t r u s i o nd e t e c t i o n s y s t e m sh a v eb e e n d e v e l o p e d t oa d d r e s sd i f f e r e n tn e e d s h o w e v e r , t h et r a d i t i o n a li n t r u s i o nd e t e c t i o n s y s t e m s ( i d s s ) h a v e s o m e s h o r t c o m i n g s i nc e r t a i n a s p e c t s ，s u c h a s f l e x i b i l i t y , i n t e r o p e r a b i l i t ye t c t h e r e f o r e ，p e o p l eb e g i n t os e e kf o rn e w t e c h n o l o g i e s t h ed e v e l o p m e n to fm o b i l ea g e n tt e c h n o l o g yp r e s e n t san e wa p p r o a c hf o rt h e r e s e a r c ho fi d s t h i sp a p e r si sa ni n i t i a le x p l o r a t i o ni n t ot h er e l a t i v e l yu n e x p l o r e dt e r r a i n o f u s i n gm o b i l ea g e n t s ( m a s ) f o ri d s s ，a n d ad i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e mb a s e d o nm o b i l ea g e n t s m a i d si sb r o u g h to u t ，w h i c hm a k e st h es y s t e mh a v et a s k sa r e i m p l e m e n t e db y t w ot y p eo fd e t e c t i o nm a s ，w h i c hm a k e st h es y s t e mh a v ec e r t a i n f l e x i b i l i t y , i n t e r o p e m b i l i t ya n di n t e l l i g e n c ea sw e l la sg o o dp e r f o r m a n c e a f t e rp r o v i d i n gt h eb a c k g r o u n dk n o w l e d g eo fi n t r u s i o nd e t e c t i o ns y s t e ma n dm o b i l e a g e n t ，w ei n 打o d u c et h ed e s i g n o ft h e s y s t e ma r c h i t e c t u r ef i r s t l y , a n dt h e nb e g i nt o e x p o u n d t h ed e s i g na n di m p l e m e n t a t i o no fm a i d s i nd e t a i l a st om a i d s ，w ed i s c u s si ta sf o l l o w i n go r d e r f i r s t l y , w ei n t r o d u c et h ew h o l e s t r u c t u r eo fi t ，w h i c hm a i n l yi n c l u d e sf o u rp a r t s ：t h ep a r to fm a n a g e m e n t ，t h ep a r to f d e t e c t i o n ，t h ep a r to fa n a l y s i sa n d t h ep a r to fr e s p o n s e s e c o n d l y , e a c hm o d u l eo fm a i d s i s d i s c u s s e d ，i n c l u d i n gt h es t r u c t u r e ，t h ef u n c t i o na n dt h ei m p l e m e n t a t i o n a tl a s t ，w e f o c u so nt h ed i f f i c u l tp a r to ft h i ss y s t e m ，t h e nw ei n t r o d u c et h em e t h o d so fs o l v i n gt h e s e p r o b l e m s a tt h ee n do f t h i sd i s s e r t a t i o n ，w es u m m a r i z e t h ea d v a n t a g ea n dd i s a d v a n t a g e so f t h i s s y s t e m a n dd i s c u s st h ef u t u r er e s e a r c hd i r e c t i o n so f m a i d s ， k e y w o r d s ：i n t r u s i o nd e t e c t i o n ，m o b i l ea g e n t ，n e t w o r ks e c u r i t y , m a i d s 1 1 第一章绪论 第一章绪论 1 1 计算机网络安全现状 互联网的发展，历经了三个主要阶段：1 ) 2 0 世纪6 0 7 0 年代基于军事需求的发 明阶段；2 ) 2 0 世纪7 0 8 0 年代科研领域的应用于完善阶段；3 ) 2 0 世纪9 0 年代末至2 1 世纪初的商业化发展阶段。尤其是近些年，计算机和网络技术高速发展，i n t e m e t 的 规模迅速扩大。根据i s c 的调查，连入i n t e r n e t 的主机数已超出了线性增长。近年我 国基于i n t e m e t 的网络应用的发展也十分迅速。根据中国互联网信息中心c n n c 在 2 0 0 4 年1 月第十一次“中国互联网络发展状况统计调查”，我国上网计算机数约2 ，0 8 3 万台，比2 0 0 1 年同期增加1 0 6 ，其中专线上网计算机4 0 3 万，拨号上网计算机1 , 4 8 0 万。我国上网用户人数约5 ，9 1 0 万，比2 0 0 1 年同期增加1 6 2 ，其中专线上网的用户 人数约为2 ，0 2 3 万，拨号上网的用户人数约为4 ，0 8 0 万，i s d n 上网用户数4 3 2 万【2 i 。 i n t e m e t 不仅成为带动社会经济发展的新动力，也越来越深刻地影响到人类生产和生 活的各个方面。 随着计算机网络的广泛使用和网络之间信息传输量的急剧增长，一些机构和部门 在得益于网络加快业务操作的同对，其上网的数据也遭到了不同程度的破坏和复制， 数据的安全和自身的利益受到了严重的威胁，这使得网络环境中的信息安全已成为网 络发展中亟待解决的重大问题。 1 2 入侵检测技术 在技术上，网络安全领域包括多个方面的研究，例如防火墙技术，病毒防范技术 加密认证，漏洞检测，入侵检测系统、数据恢复等。在这些技术中，直接针对网络攻 击的主要措施是防火墙和入侵检测系统，防火墙和杀毒软件一样，是最常见的安全产 品之一，其技术已经相当成熟。它一般处于网络的边界，防范来自网络外的攻击；而 入侵检测系统是目前安全研究的一个热点，它可以作为防火墙的必要补充，也是本论 文中将要讨论的安全技术。 入侵检测系统作为防火墙的合理补充，扩展了系统管理员的安全管理能力( 包括 监视、识别和响应) ，被认为是防火墙之后的第二道安全闸门。它能在对网络影响较 小的情况下对网络进行监视，提供对内部攻击，外部攻击和误操作的实时检测，因此 成为完整的网络安全策略的一个熏要组成部分。从检测的数据源来分，入侵检测系统 分为基于主机和基于网络两种。 基于主机的入侵检测系统往往以系统日志、应用程序日志等作为数据源；基于网 络的入侵检测系统一般是通过监听本网段内的所有数据包来进行分析，以确定是否有 可疑入侵行为，它能够在入侵发生前发出报警通知。这两种模式各有利弊，二者结合 童垒型塑主生望些堡奎 是一个发展的趋势。 另一方面，由于目前入侵检测系统仍存在许多不足之处，只利用常规技术是不容 易解决某些问题的，因此需要在入侵检测研究领域中引入其它技术，而移动a g e n t 技术就是目前一个很热门的研究方向，它为入侵检测系统的研究开辟了一个新的思 路。 1 3 移动a g e n t 移动a g e n t 最早起源与人工智能领域，它具有移动性，自治性，能够感知外部环 境，并且能够根据自身设定的目标做出适当的反应，后来，a g e n t 的概念扩展到分布 式计算领域，用于个人助理、分布式信息获取和并行处理等方向。近些年来，随着 i n t e m e t 的蓬勃发展，移动a g e n t 的研究进入了一个新阶段，在电子商务、个性化搜 索引擎、信息分发、网络管理和网络安全等方面都显示了良好的应用前景。 移动a g e n t 最大的特色在于代码和状态的可移动性。它可以暂停在一个系统上的 执行，将代码和执行状态封装到字节流中，然后转移到网络中的另一个系统上，重新 恢复代码和状态并继续执行。这一特色是传统的程序不具备的，它使移动a g e n t 具有 许多优越性，例如灵活性、可扩展性、高效性等。 1 4 本文的工作 本论文主要在将移动a g e n t 技术引入入侵检测领域方面做出初步探索，提出了基 于移动a g e n t 技术的分布式入侵检测系统m a i d s ，将信息的检测分配到各个m a 中， 实现任务的分布式运行；并将基于主机与基于网络的入侵检铡技术结合在一起，由不 同的移动a g e n t 分别完成。总之，在追求良好的系统性能基础上，力求改善传统i d s 的一些缺陷，使系统具有较好的灵活性和可扩展性，并具有定的智能性。 由于本文属研究性课题，因此侧重于整个系统的设计与功能规划。本文在介绍系 统体系结构的基础之上，进一步阐述了系统的基本组成元素入侵管理模块，入侵 检测模块，入侵分析模块、入侵响应模块功能结构，以及各模块的详细设计及实现方 法，并用单独的一章探讨了本系统中的关键问题及解决方法，最后，论文分析了本系 统的优缺点，提出了今后研究的方向。 本论文分为七个部分，具体内容安排如下： 第一章简要介绍了目前网络安全的现状及相关的技术，并说明了本文的研究目的 和价值，概括了本文的主要工作； 第二章主要介绍入侵检测系统的相关知识； 第三章介绍了移动a g e n t 技术及其应用； 第四章提出了基于移动a g e n t 的分布式入侵检测系统的体系结构及m a i d s 系统 地实现框架，并对其进行了简要介绍； 2 第一章绪论 第五章对m a i d s 系统各组成模块的设计及实现做了详细的介绍： 第六章对m a i d s 系统的关键技术及解决方法做了进一步讨论； 第七章对本系统进行了总结，并提出了本系统今后的研究方向。 第二章入侵检测技术 第二章入侵检测技术 2 1 计算机信息系统安全 随着信息网络化的发展，信息安全的概念已经不局限于信息的保护，人们需要的 是对整个信息系统的保护和防御，包括对信息的保护、检测、响应和恢复能力等。 2 1 1 信息安全的目标 信息安全的目标，可以简化为c i a ，即保密性( c o n f i d e m i a l i t y ) 、完整性( i n t e g r i t y ) 和有效性( a v a i l a b i l i t y ) 川。 保密性：确保信息不泄露给非授权( 非法) 用户。 完整性：保护数据不被非法修改，完整性也被称为准确性( a c c u r a c y ) 。 有效性：保护信息或资源免受非法限制，即指网络、系统、硬件和软件是可靠的， 即使有中断服务的事件发生，也能快速的恢复正常。理想的，这些资源应不受拒绝服 务攻击( d e n i a l o f - s e r v i c e ) 的影晌。 2 1 2 信息系统安全评价准则 目前几个有影响的评价准则，分别是美国国防部提出的可信计算机系统评价准则 ( t c s e c ) 1 4 l ，西欧四国( 英、法、德、荷) 联合提出的信息技术安全评价准贝i j ( i t s e c ) 1 ”， 加、英、德、法、荷联合提出的信息技术通用安全评价准则( c c ) 1 6 j 。这些准则在很大 程度上给人们提供了安全保护的策略，t c s e c 将侧重点放在了系统的保密性方面， i t s e c 从保密性、完整性、可用性3 个方面提出了要求，c c 则进一步考虑了综合应 用可信计算机技术和密码技术，从更多的方面实施安全策略。这些准则的发布对o s 、 d a t a b a s e 等方面的安全发展超到了很丈的推动作用。但是随着网络的发展，这些 标准已经不能完全实行当前分布式、动态变化、迅速扩张的互联网安全的需要。 2 1 3 动态安全模型 针对日益严重的网络安全问题和越来越突出的安全需求，i s s ( i n t e m e ts e c u r i t y s y s t e m s ) 提出了p 2 d r 这样一种具有代表性的“动态安全模型”。该模型包括策略 ( p o l i c y ) 、防护( p r o t e c t i o n ) 、检测( d e t e c t i o n ) 、响应( r e s p o l l s e ) 四部分【”。 p 2 d r 模型是在整体的安全策略( p o l i c y ) 的控制指导下，在综合运用防护工具 ( r e s p o n s e ) 将系统调整到“风险最低”的状态。 2 2 入侵检测系统 221 入侵检测系统介绍 入侵检测系统就是通过对网络或主机系统的状态和活动的检测，分析出非授权的 网络访问和恶意的网络行为，迅速发现入侵行为和企图，为安全防范提供有效的手段， 而入侵检测就是实现入侵检测功能的软硬件系统。入侵检测研究基于的一个重要前提 青岛大学硕士生毕业论文 是：入侵行为和合法访问行为是可区分的，也就是说可以通过提取网络行为的某些特 征来分析判断该行为的合法性。 入侵检测系统的工作步骤如下f 8 l ： 信息收集 入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户的状态和行为。 入侵检测利用的信息来自于以下四个方面：网络数据包、系统和网络日志文件、目录 和文件中的不期望的改变、程序执行中的异常行为，其中第一种常用于网络入侵检测 系统，后面的常用于主机检测。 检测分析 对上述4 类收集到的有关系统、网络、数据及用户活动的状态和行为等信惠，一 般通过相应的检测技术进行分析，例如模式匹配、统计分析等技术。 响应 入侵检测系统对予检测到的入侵行为一般可以采取自动响应操作，最简单的自动 响应模式是通过警告窗口或电子邮件主动通知管理员，更主动的晌应是在攻击进行时 阻止攻击，然后阻断攻击者的迸一步接入。例如可以采取以下操作：通过向攻击者与 攻击目标主机之间的连接插入复位分组来切断t c p 连接；重新配置路由器和防火墙， 通过配置和过滤l p 、协议、甚至端口来阻断来自攻击者的数据包。此外，更积极的 响应还可以采用攻击诱骗的技术，例如“蜜罐”和“填充荦元系统”，“蜜罐”是试 图将攻击者从关键系统引诱开的诱骗系统，而“填充单元系统”则是在检测到攻击后， 将攻击者无缝的传递到一个特定的填充单元主枫中。 目前市场上有许多入侵捡测系统，这些产品在不同方面都有各自的特色。如何评 估这些产品是个需要解决的问题。虽然目前还没有统一的评估标准，但一般而言，可 以从以下几个方面来评价一个入侵检测系统的优劣： 自身的安全性 运行与维护系统的开销 入侵检测系统的负载能力以及可支持网络类型的多少 支持的入侵特征数 是否支持l p 碎片的重组，t c p 重组等 根据不同标准，入侵捡测系统可以有不同的分类，例如基于网络的i d s 和基于 主机的i d s ，异常检测i d s 和误用检测i d s ，集中式i d s 和分布式i d s 等，不同类型 的入侵检测系统具有不同的特点，有着各自的优势和劣势，就发展丽言，结合是一个 大趋势。 22 2 基于主机和基于网络的入侵检测系统 根据入侵检测系统中检测的信息源来分类，入侵检测有两种类型，基于主枫的入 第二章入侵检测技术 侵检测系统和基于网络的入侵检测系统。这两种模型具有互补性，基于网络的模型能 够客观地反映网络活动，特别是能够监视到系统审计的盲区；雨基于主机的模型能够 更加精确的监视主机中的各种活动。基于网络的模型受交换网络的限制，而基于主机 的网络不受交换网络的影响。 1 基于主机的入侵检测系统 基于主机的i d s ( h o s t b a s e di d s ) 通过分析特定主机上的行为来检测入侵，一般是 通过分析系统的审计数据( 例如基于应用，或基于事件日志) 来实现。因此，它们必 须从所监测的主机收集信息。 基于主机的i d s 具有如下优势：能够以很细的粒度分析主机上的行为，能够检 测到某些基于网络的i d s 不能发现的攻击；可以运行在使用加密的网络上，只要加 密信息在到达被监控的主机时或到达前解密；不受交换网络的影响。 另一方面，基于主机的i d s 也具有一定劣势：必须在每个被监控的主机上都安 排和维护信息收集机制。由于每台主机上的i d s 只能看见该主机收到的网络分组， 它不太适合于检测针对网络中所有主机的网络扫描，而且很难检测和应对拒绝服务攻 击，并占用它所监控的主机的计算资源。 2 基于网络的入侵检测系统 基于网络的i d s ( n e t w o r k b a s e di d s ) 通过捕获并分析网络数据包来实现对网络数 据流的实时监视，从而检测具有网络攻击特征的活动。基于网络的i d s 通常只需一 台性能较好的服务器来实现。捕获网络流量并进行分析。但在大规模网络中，可以考 虑由一组目的单一的主机组成，它们在网络中的不同部分收集数据，同时向管理控制 台报告攻击行为。 基于网络的i d s 具有如下优势：少量位置适当的基于网络的i d s 可以监控一个 大型网络；基于网络的i d s 对已有网络影响很小；基于网络的i d s 可以很好地避免 攻击。其劣势在于：在一个大型的或拥挤的网络中，基于网络的i d s 很难处理所有 的分组；基于网络的i d s 的许多优势并不适用于现代基于交换的网络；基于网络的 i d s 一般不能分析加密信息。 在这个分类中，还有一些不常用的分类类型( 严格而言也可归入前述两种类型中) 例如基于网关的i d s 和基于应用的i d s 。基于网关的检测系统就是从网关中提取数据 进行分析，达到保护系统的目的。基于应用的i d s 通过监控一个应用内发生的事件 来检测。 22 3 误用和异常入侵检测系统 1 误用检测 误用检测( m i s u s ed e t e c t i o n ) 又称为基于知识的检测，它建立在已知的入侵模式 库的基础上，误用入侵检测通过分析入侵行为的特征、条件、排列以及事件问关系。 7 一 童墨盔兰堡主皇兰些笙兰 对已知的入侵特征进行定义，并且将这些特征写进系统中，在检测时将网络上检测到 的行为与这些定义好的入侵特征进行定义，并将这些特征写进系统中。在检测时将网 络上检测到的行为与这些定义好的入侵特征进行比较，如果两者相同，则认为发生了 入侵。 2 异常检测 异常检测( a n o m a l yd e t e c t i o n ) 又称为基于行为的检测。建立在系统正常工作模 式基础上，异常检测根据使用者的行为或资源使用状况的正常程度来判断是否发生入 侵，而不依赖于具体行为是否出现来检测。这类系统通过记录正常情况下用户的活动， 建立被检测系统正常行为的参考库( 常用技术有统计方法、遗传算法、网络神经元技 术等) ，然后通过与当前行为进行比较来寻找偏离参考库的异常行为，偏离达到一定 程度即认为发生入侵。 2 2 4 集中式和分布式入侵检测系统 根据控制方式可分为分布式和集中式入侵检测系统。 1 集中式入侵检测系统 集中式入侵检测系统中，无论监视的网络有多少主机，数据分析都在一个固定的 位置进行。这类系统有i d e s ，i d i o t ，n a d i r ，n s m 等。 2 分布式入侵检测系统 分布式入侵检测系统中，可根据网络中主机的分布，将数据分析均匀的分布到许 多不同位置进行，这类系统有d i d s ，g r i d s ，e m e r a l d ，a a f i d 等。根据分布的 程度，又可在分为部分分布式和完全分布式结构( 或称完全分布和层次性分布式) 。 2 2 5 在线式和离线式入侵检测系统 此外，根据工作方式分类，入侵检测系统可以分为离线式检测系统和在线式检测 系统。其中，离线式检测系统是一种非实时工作的系统，在事后分析审计事件，从中 检查出可能的入侵事件，并对其进行分析。在线式检测则是对网络数据包或主机的审 计事件进行实时分析，可以及时做出反应，保护系统的安全。 2 3 入侵检测技术分析 应用于入侵检测系统中的技术有很多，不同类型的入侵检测系统采用的技术是不 一样的，但这些技术也不是独立的，它们存在着交叉的关系，在入侵检测中经常是结 合使用的。从大策略上而言，主要分为异常检测技术和误用检测技术，在这两种策略 中，又分为多种具体的技术，下面将简单讨论这些技术。 2 3 1 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式规则库进行比 较，从而发现违反安全策略的行为的技术l 。它常用于误用检测，该过程可以很简单 8 第二章入侵检测技术 ( 如通过字符串匹配以寻找一个简单的条目或指令) ，也可以很复杂( 如利用正规的 数学表达式来表示安全状态的变化) 。 模式匹配技术的优点在于：只需收集相关的数据集合，且技术已相当成熟；与病 毒防火墙采用的方法一样，检测准确率和效率都相当高。但它也存在缺陷，必须对攻 击模式本身进行描述，以提取攻击手段的特征，把已知的攻击方法翻译成可以为检钡9 模型所使用的模式并非一件容易的工作；并且它只能检测已知模式的攻击，不能检测 到从未出现的黑客攻击手段，因此需要不断的升级以对付不断出现的黑客攻击手法。 2 3 2 协议分析和命令解析 协议分析与命令解析也可以说是模式匹配技术的某种扩展，它的提出主要是区别 早期以字符串内容匹配为主的模式匹配技术，它结合高速数据包捕捉、协议分析和命 令解析来进行入侵检测，给入侵检测带来了许多优势：提高性能和准确性，并且系统 资源消耗小。 命令解析技术中，入侵检测引擎包括了多种不同的命令语法解析器，能对不同的 高层协议如t e l n e t 、f t p 、h t t p 、s n m p 、s m t p 、d n s 等的用户命令进行详细 地分析，以查出可能的入侵行为；而使用协议分析技术，则在检测时会按照协议将数 据包解码，还会进行诸如重组之类的工作，这可带来检测效率和准确性上的提高。 2 ，3 3 模型推理 攻击者攻击系统时往往采用一定的行为程序，如猜测口令的程序，这种行为程序 构成了某种具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征， 可以实时的检测出恶意的攻击企图。采用基于模型的推理方法能够为某些行为建立特 定的模型，编写对应的攻击脚本，以能够监视具有特定行为特征的某些活动从而检 测出非法的用户行为，常用于误用检测系统。为准确判断，一般要为不同的攻击者和 不同的系统建立特定的攻击脚本。当有证据表明某种特定的攻击模型发生时，系统应 当收集其它证据来确认它是否为真正的攻击，既不能漏报攻击，使信息系统受到损害， 又要尽可能的避免错报。 这种方法要求建立一个不同攻击者的各种攻击行为序列的数据库，这是其主要缺 点。因为这在大型系统中是不可能的，优点在于可以仅仅审计一些主要事件，减少了 系统的工作量。 2 3 4 状态转换 这种方法根据入侵者在进行入侵时所执行的某些行为序列的特征，为入侵行为建 立模型，将入侵行为表示为目标系统的状态转移，常用于误用检测系统。在分析审计 事件时，若系统按照已知入侵特征建立的布尔表达式，从安全状态转移到不安全状态， 则可认为是入侵事件。 这种方法的优点在于：可以减少审计事件的分析范围；可以检测协同攻击；可以 9 ! 垫查堂堡主圭望些堡苎 检测分布在多个对话中的攻击；在一定程度上可以预测下一步的攻击方向。同时也存 在缺点：能够检测的入侵检测形式简单；事件分析的复杂度高；对不能由审计事件表 达的入侵无法检测。 2 3 5 知识库专家库 所谓专家系统是基于一套根据专家经验事先定义的规则的推理系统，专家库的建 立依赖于知识库的完备性，而后者又取决于审计记录的完备性和实时性。基于专家系 统的攻击检测技术是根据安全专家对可疑行为进行分析检验所形成的套推理规则， 并构成相应的专家系统，进而对有关行为进行检测分析，这种技术常用于误用检测系 统，但有些专家库也提供了正常行为模型，可以用于异常检测系统。 总的来说，专家系统对历史数据的依赖性比基于统计技术的审计系统少。因此系 统的适应性比较强，可以较灵活地适应广泛的安全策略和检测需要。但迄今为止，解 决推理系统和谓词演算的可计算的技术还不成熟，而且专家系统往往是不可移植的， 其知识库也是不完备的，因而不宜单独用于入侵检测。 2 3 6 统计分析 基于统计分析的攻击检测技术依赖于对历史行为的建模以及早期的证据或模型， 这种技术常用于异常检测系统中。使用统计分析方法，需要首先给系统对象( 如用户、 文件、目录和设备等) 创建一个统计描述，统计正常使用时的一些测量属性( 如访问 次数、操作失败次数和延时等) ，生成主体的行为特征原型文件；运彳亍时检测系统检 测当前的状态，将测量属性的平均值与网络、系统的行为进行比较，当观察值在正常 值范围之外时，就认为有入侵发生。 统计手段的主要特点是它可以自适应学习用户行为或网络状态，完善特征文件， 从而具有较高检出率和可用性，能够检测到未知的入侵和较为复杂的入侵。但是，统 计方法具有一些明显的缺点。例如需要分析大量的审计数据，使有的阐值难以确定； 可能被入侵者训练；系统的正常行为模型建立困难等。 2 3 7 神经元网络 在入侵检测方面，目前软计算方法也是一个趋势，包括神经网络、遗传算法和模 糊技术1 3 3 i 。其中神经网络技术研究比另两个成熟些，该技术通常用于异常检测系统。 这种技术使用神经网络对系统审计数据进行处理，从中归纳总结出用户的行为模 式。并据此区分用户的行为正常与否；也可用网络中的正常数据包和已知的攻击数据 包对神经网络进行训练，然后再识别攻击。总之，它是以用户的正常行为特征信息的 量度值作为神经网络的输入来构造基于神经网络的入侵检测系统，能对实时检测得到 的信息进行有效的处理，并做出攻击可能性的判断。 神经网络具有自适应、自组织和自学习的能力，可用于解决传统的统计分析技术 所面临的问题，难于建立确切的统计分布，难于实现方法的普适性、算法实现比较昂 1 0 第二章入侵检测技术 贵、系统臃肿且难于剪裁等，从而能够处理处理些环境信息十分复杂、背景知识不 清楚的问题，并且这种技术允许样本有较大的缺损和畸变。 2 3 8 预测模式生成 预测模式生成技术用于异常检测系统，它是以如下假设为前提的：审计事件的序 列不是随机的而是符合可识别的模式。预测模式生成技术试图基于已经发生的事件来 预测未来事件，如果一个与预测统计概率偏差较大的事件发生，则被标志为攻击。 与普通的统计方法的区别在于它增加了对事件顺序和相互关系的分析，从而扩大 了检测范围。具体方法是先根据已有的事件集合按时间顺序统计出规律，并随时问的 变化和新事件的加入不断改变规律，当发生事件的时间规律发生异常时，即认为是入 侵。 这种方法的主要优点在于能够在一定程度上防止入侵者对系统的训练；其缺点在 于难以建立准确的系统事件随时问的发生规律，而且未被这些规律描述的入侵脚本将 不会被标志为入侵。 2 3 9 完整性分析 完整性分析技术主要关注某个文件或对象是否被更改，这经常包括文件和目录的 内容及属性。它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析 利用强有力的加密机制，称为消息摘要函数( 例如m d 5 算法) 。它能识别哪怕是微 小的变化。 这种技术的优点是不管何种入侵，只要是成功的攻击导致了文件或其它对象的任 何改变，它都能够发现，缺点是一般以批处理方式实现，不用于实时响应，通常用于 事后分析。尽管如此，完整性检测方法还应该是网络安全产品的必要手段之一。 2 4 入侵检测的相关标准 要防范分布式的网络攻击手段，大规模网络内的入侵检测系统就必须协同工作， 而要实现不同生产厂商的产品( 事实上，大网络中常会有不同检测系统存在) 之间的 协作，则需要实现它们之间的信息共享，以及实现不同厂商的通信和i d s 系统组件 之间的通信。这就导致了制定相应规范和标准的必要性。互联网工程任务组( i e t f ) 的入侵检测组( i d w g ) 发起制定了一系列的建议草案，从体系结构、a p i 、通信机 制、语言格式等方面规范 d s 的标准。i d w g 制定了几个草案，其中包括i d e m f ( k 侵检测消息交换格式) 和i d x p ( 入侵检测交换协议) 等。 2 4 1i d m e f 和l d x p i d w g 提出的建议草案包括三部分内容：入侵检测消息交换格式( i d m e f ) 、入 侵交换协议( i d x p ) 以及隧道轮廓( t u n n e l p r o f i l e ) 【1 0 】，本小节主要讨论前两个。 i d m e f ( i n t r u s i o n d e t e c t i o nm e s s a g ee x c h a n g ef o r n l a t ) 描述了入侵检测系统输出信 息的信息格式模型，并解释了使用此模型的基本原理。该数据模型使用x m l 实现， 并设计了x m l 文档类型的定义。自动入侵检测可以使用i d m e f 提供的标准数据格 式对可疑事件发出警报，提高商业、开放资源和研究系统之间的互操作性，它最适用 于入侵检测分析器( 或称为“探测器”) 和接收警报的管理器( 或称为“控制台”) 之 间的数据信道。 i d m e f 数据模型以面向对象的形式表示探测器传递给控制台的警报数据，设计 数据模型的目标是为警报提供确定的标准表达方式，并描述简单报警和复杂警报之间 的关系。所有i d m e f 最高层是i d m e f m e s s a g e ，每一种类型的消息都是该类的子类。 i d m e f 目前定义了两种类型的消息：a l e r t ( 警报) 和h e a r t b e a t ( 心跳) ，这两种消息 又分别包括各自的子类，以表示更详细的消息。 i d x p ( i n t r u s i o nd e t e c t i o ne x c h a n g ep r o t o c 0 1 ) 是一个用于入侵检测实体之间交换 数据的应用层协议，能够实现i d m e f 消息、非结构和二进制数据之间的交换，并提 供面向连接协议的异步交互通用应用协议，i d x p 的许多特色功能( 如认证、保密性 等) 都是由b e e p 框架提供的，i d x p 模型可分为几个阶段：建立连接，传输数据， 断开连接。 除了上述的标准外，i e t f 的一个工作小组正在通过加速制定用来广播网络攻击 警报协议i d m e p ，它是一个专用于网络入侵的告警协议，用以向专用安全应用程序 发出警报，并使应用程序和系统管理员快速共享网络攻击信息。 2 5 目前入侵检测系统存在的缺陷 目前入侵检测系统还很不完善，主要缺陷如下【坦1 ： 没有通用的构造方法 缺少效率 在不同的检测环境中缺少可移植性 有限的灵活性( 包括可调整性，伸缩性和动态配置能力) 有限的检测技术升级能力 规则集难以维护 没有性能和覆盖范围基准 没有测试效率的好方法 2 6 本章小结 本章通过对现有入侵检测系统的组成、入侵检测系统的分类、以及对现有入侵检 测系统的发展的阐述，提出了现有入侵检测系统存在的几个问题。在后面的章节将针 对这些问题提出一个全新、有效的入侵检测系统。 一笙三童鳖垫垒壁坐垫查 第三章移动a g e n t 技术 3 1 a g e n t 技术简要介绍 3 1 1 起源、概念 a g e n t 一词最初起源于人工智能领域i i ”，它是指模拟人类行为和关系，具有一定 智能并能够自主运行和提供相应服务的程序。它代表用户或另一个程序执行某些操作 集合。它具有自治性，能够感知外部环境，并且能够根据自身设定的目标做出适当的 反应。后来，a g e n t 的概念被扩展到分布式计算领域，用于个人助理、分布式信息获 取和并行处理等方向。近年来，随着i n t e m e t 的蓬勃发展，移动a g e n t 系统的研究引 起了广泛的关注。目前a g e n t 和移动a g e n t 技术已经在许多领域得到广泛应用，如电 子商务、个性化搜索引擎、电信网络服务和网络管理等，并都显示了良好的应用前景。 由于a g e n t 的应用如此广泛，因此有关a g e n t 的定义也是五花八门。几乎每个从 事a g e n t 研究的机构或小组都给出了各自的定义。每个定义都充分体现了定义者对 a g e n t 应用范围的理解。下面我们将通过a g e n t 应该具备的若干主要属性来勾勒出 a g e n t 的概念。 3 1 2 一般特性 自治性a g e m 的操作不需要人或其它程序的直接干预，它能够在一定程度上 控制所执行的操作和内部状态。 反应性a g e n t 能够感知环境( 例如物理世界、通过图形用户界面代表的用 户、其它a g e n t 、i n t e m e t 等等) ，并通过及时改变自身的操作或状态做出响应。 目标驱动性a g e n t 不仅简单的对环境做出反应，而且能够主动执行实现目标 所需的操作。 交互及协作性a g e n t 能够遥过某种a g e n t 通信语言与其它a g e n t ，本地环境或 用户进行交互，并通过协作共同完成某些任务。 除了以上基本属性之外，具体实现的a g e n t 还可以具有其它特性，例如智能性、 适应性和移动性等。 3 2 移动a g e n t 技术概述 3 ，2 1 移动a g e n t 的概念 a g e n t 的定义多种多样，其分类的标准也不同。例如有智能a g e n t 、自治a g e n t 、 接1 2 1a g e n t 、信息a g e n t 、移动a g e n t 等各种类型。本论文中采用其中一种分类法， 根据a g e n t 运行中可否移动作为依据，将a g e n t 分为两种类型的a g e n t ：静态a g e n t ( 般a g e n t ) 和动态a g e n t ( 移动a g e n t ) 1 1 4 1 o 静态a g e n t 在某个系统上执行后，就一直在该系统上运行，不具备移动能力。当 一一 童墨盔堂堡主圭兰些笙兰 需要了解其它系统上的信息，或者要与其它系统上的a g e n t 通信时，它通常通过远程 过程调用( r p c ) 等通信机制来实现。 而移动a g e n t 不同，根据w h i t e ，l a n g e ，c h e s s 等人的描述f 1 5 1 ，移动a g e n t 是一 个代替人或其他程序执行某种任务的程序，它在复杂的网络系统中能自主地从一台主 机移动到另一台主机，该程序能够选择何时、何地移动。在移动时，该程序可以根据 要求挂起其运行，然后转移到网络的其他地方重新开始或继续其执行，最后返回结果 和消息。它不受限于开始执行的环境，可以在网络中的主机之间移动。它的具体定义 多种多样，其中一种定义描述为“移动a g e n t 是一种独立的计算机程序，它可自主地 在异构网络上，按照一定的规程移动寻找台适的计算资源、信息资源或软件资源，利 用与这些资源同处一台主机或网络的优势，处理或使用这些资源，代表用户完成特定 的任务【1 6 j 。 3 2 2 特点 移动a g e n t 除了具有一般a g e n t 的特性外，最大特色就是还具有移动性。它可在 一定控制机制之下，暂停自身的执行，封装代码及状态，然后利用传输机制从一台主 机移动到另外一台主机，之后将代码实例化并恢复封存的状态，继续运行。在需要的 情况下，可由控制系统调回，或由移动a g e n t 自身决定返回源结点。 移动a g e n t 的提出使得a g e n t 技术具有了动态性和分布计算的特点，为分布式计 算提供了一种新的有效方式。移动a g e n t 实体之间的关系是一种动态的、对等的关系， 着重于自治基础上的合作，从而进一步扩展了a g e n t 处理事务的功能。 移动a g e n t 的移动性与c s 模型中的移动不同，在c s 模型中，网络中传输的是 数据，随着数据量的增加，这种以“计算”为中心的模型愈来愈显得不足：而移动 a g e n t 移动的是“计算”( 代码) ，减少了中间数据的传输，对于低带宽网络和可靠性 不好的网络更加有效和方便。 此外，在代码移动计算方面( 目前主要有三种模型) ，移动a g e n t 与其它技术也 不一样，具有更好的特性【1 8 1 1 1 9 1 ，它们的比较如下： 远程求值模型( r e v - r e m o t ee v a l u a t i o n ) ：客户机拥有执行一个服务的代码，而服 务器拥有资源，网络中传输的是过程代码，并且是由客户机“推”给服务器。 按需代码模型( c o d - c o d e o