（计算机软件与理论专业论文）网络入侵检测系统中的控制中心和通讯代理.pdf

华中科技大学硕士学位论文 摘要 ? l 入侵检测作为种新型的网络安全技术，弥补了防火墙和其他安全防护手段的 不足，提供了入侵事件的实时检测。随着网络攻击手段逐步向分布式方向发展，且 、 采用了多种数据处理技术，其破坏性和隐蔽性也越来越强。相应地，入侵检测系统 也在向分布式方向发展。y 一种新的基于分布式代理的网络入侵检测系统d a - n i d s 参照了c i d f ( 通用入 侵检测框架) 入侵检测模型，将入侵检测系统中的功能部件划分为相对独立的组件， 组件之间采用统一的方式进行通讯；同时，将代理技术也运用到系统中，使得一些 组件成为可独立运行的代理程序，提供更加灵活的管理和配置，增强了入侵检测系 统的可协作性。 在这个基于分布式代理的网络入侵检测系统中，控制中心提供了直观而完备的 系统控制功能。包括代理控制、事件警报、数据查询、检测报告、回应处理等。代 理控制实现对各代理的配置，并有效控制其运行模式。事件警报显示探测分析代理 所检测到的可疑事件。数据查询提供对系统各项配置信息和事件信息的查询，得到 完整的入侵证据。检测报告给出系统的综合检测数据，供管理员分析。回应处理对 回应代理进行回应计划设定，并对回应代理的相关信息进行反馈。 通讯代理实现代理间的通讯。采用t c p 协议进行通讯。通讯代理使用公钥进行 ，7代理间的双向身份鉴别，并对通讯数据进行机密性和完整性保护，为d a - n i d s 系 统的自身代理的通讯安全提供有效的保障，实现了对入侵检测系统自身安全的保护。 t 1i ， 关键词：网络安全：入侵检测素统；代理斋崃；网络通讯：身移淹别 华中科技大学硕士学位论文 a b s t r a c t a san e wt e c h n o l o g yo f n e t w o r ks e c u r i t y ，i d s ( i n t r u s i o nd e t e c t i o ns y s t e m ) s u p p l i e sa g a po f t h es e c u r i t yp r o t e c t i o nw a y sb yu s i n gf i r e w a l l so rs o m e t h i n ge l s e ，s u p p l y i n gr e a l t i m ei n t r u s i o nd e t e c t i o n s w i t i lt h ed e v e l o p m e n to fn e t w o r ka t t a c k i n gm e t h o d st o w a r d s l t h ed i s t r i b u t e dd i r e c t i o n ，s u c ha st h ed d o sa t t a c k ，t h ea t t a c k i n gm e t h o d sa d o p ts o m e d a t a p r o c e s s i n gt e c h n o l o g y a n dm a k ei t sd e s t r u c t i o na n dc o n c e a l m e n ti n c r e a s e d c o r r e s p o n d i n g l y ，i d sh a sa l s ob e e nd e v e l o p e d t od i s t r i b u t e da r c h i t e c t u r e d a n i d s ，an e wd i s t r i b u t e da g e n t b a s e dn e t w o r ki n t r u s i o nd e t e c t i o n s y s t e m ， r e f e r r i n gt oc i d f ( c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k ) ，d i v i d i n gt h ef u n c t i o n a lp a r t s o fi d si n t or e l a t i v e l yi n d e p e n d e n tp a r t sw h i c ha d o p tt h es a m ec o m m u n i c a t i o nw a y s i n a d d i t i o n ，t h ea g e n tt e c h n o l o g yi s a l s ou s e di nt h i s s y s t e m ，t u r n i n g s o m ep a r t si n t o i n d e p e n d e n t l y e x e c u t i v ea g e n tp r o c e s s e s ，p r o v i d i n gm o r ef l e x i b l e m a n a g e m e n ta n d c o n f i g u r a t i o n i n d a n i d s ，a st h em a n a g e ro fi d sa g e n t ，c o n t r o lc e n t e rp r o v i d e se a s ya n d s e l f - c o n t a i n e df u n c t i o n sf o rs y s t e mc o n t r o l ，i n c l u d i n ga g e n t c o n t r o l ，e v e n ta l a r m ，d a t a q u e r y ，d e t e c t i o nr e p o r t ，a n dr e s p o n s e a g e n t c o n t r o lg i v e st h ec o n f i g u r a t i o no fi d s p r o x ya n dc o n t r o lt h er u n n i n gm o d eo fp r o x ye f f i c i e n t l y e v e n ta l a r md i s p l a y st h e s u s p i c i o u se v e n t sw h i c ha r ed e t e c t e db yd e t e c t i o na g e n t s d a t aq u e r yp r o v i d e st h e q u e r yo ft h ec o n f i g u r a t i o n d a t aa n de v e n ti n f o r m a t i o no fi d s ，g e t t i n g c o n v i c t i n g i n t r u s i o ne v i d e n c e d e t e c t i o nr e p o r ts u p p l i e st h eg e n e r a ld e t e c t i o nr e p o r to fi d sw h i c h i sa n a l y z e db ya d m i n i s t r a t o r r e s p o n s eo p e r a t i o nm a k e st h er e s p o n s ep l a no f r e s p o n s e a g e n t a n df e e d sb a c kt h er e s p o n s ei n f o r m a t i o n c o m m u n i c a t i o na g e n ti su s e dt oe s t a b l i s ht h ec o m m u n i c a t i o no f a g e n t s ，a d o p t i n g t c p p r o t o c o lt or e a l i z et h es o c k e tc o m m u n i c a t i o n c o m m u n i c a t i o na g e n tu s e sp k it o v e r i f yt h ei d e n t i t i e so f b o t hc o m m u n i c a t i o n a g e n t st oe a c ho t h e ra n dg i v e st h ep r o t e c t i o n o ft h ec o n f i d e n t i a l i t ya n di n t e g r a l i t yo fi n f o r m a t i o ni nc o m m u n i c a t i o nw h i c h p r o v i d e s - l i - 华中科技大学硕士学位论文 c o m m u n i c a t i o ns e c u r i t y f o rd a - n i d s ，r e a l i z i n g t h e s e l f - p r o t e c t i o n f o ri n t r u s i o n d e t e c t i o ns y s t e m k e yw o r d s ：n e t w o r ks e c u r i t y ；i n t r u s i o nd e t e c t i o ns y s t e m ；a g e n tt e c h n o l o g y ；n e t w o r k c o m m u n i c a t i o n ；i d e n t i t ya u t h e n t i c a t i o n u i 华中科技大学硕士学位论文 1 1 课题背景 1 1 1 网络安全问题 1绪论 以i n t e r n e t 为代表的全球信息化发展迅猛，信息网络技术的应用正日益普及和 广泛。应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业 务系统扩展，典型的如党政部门信息系统、金融业务系统、企业商务系统等。伴随 着网络的普及，安全日益成为影响网络效能的重要问题，而i n t e r n e t 所具有的开放 性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求，这主要表 现在： 开放性的网络，导致网络的技术是全开放的，任何一个人、团体都可能获得， 因而网络所面临的破坏和攻击可能是多方面的。例如：可能来自物理传输线路的攻 击，也可以对网络通信协议和实现实施攻击，可以是对软件实施攻击，也可以对硬 件实施攻击。 国际性的网络还意味着网络的攻击不仅仅来自本地网络的用户，还可以来自 。 i n t e r n e t 上的任何一个机器，也就是说，网络安全所面临的是一个国际化的挑战。 1 1 2 课题研究的目的和意义 当前，随着网络的延伸和扩展，越来越多的企业将自己的关键业务建于网络之 上，享受网络给它们带来的好处。然而，高度发达的网络也滋生了越来越多的网络 黑客，他们一般以企业为目标，通过网络侵入企业的主机，窃取重要的资料，或进 行破坏，使其陷入瘫痪，给企业造成巨大的损失。 华中科技大学硕士学位论文 防范网络攻击最常用的方法是防火墙。从技术的理论上来讲，防火墙属于最底 层的网络安全技术，而且随着网络安全技术的发展，现在的防火墙已经成为一种更 为先进和复杂的基于应用层的网关。然而，仅仅使用防火墙保障网络安全是远远不 够的，因为： 1 入侵者可以寻找防火墙背后可能敞开的后门： 2 防火墙完全不能阻止内部袭击： - 3 由于性能的限制，防火墙通常不能提供实时的入侵检测能力。另外，防火墙 对于病毒也是束手无策的； 4 防火墙只是网络间的过滤器，无分析综合能力，可能成为潜在的信息处理瓶 颈。 当然，解决网络安全的技术手段还有加解密技术，安全路由器等等。它们在防 范网络入侵中也有一定的作用。但是，网络安全是一个综合的、立体的工程，单纯 依靠一些防御工具不可能满足全部的安全要求。入侵检测系统便应运而生，它是一 种新型的网络安全技术，它之所以重要就是因为它可以弥补防火墙和其他手段的不 足，为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪 和恢复、断开网络连接等。 在八十年代早期，入侵者是在个人电脑上手工键入命令来侵入系统，最多能入 侵数十或上百个系统；在今天入侵者利用分布式的智能工具能侵入成千上万的系统。 在八十年代，入侵过程是一个相对长的过程，容易被发现和鉴别；而现在，入侵可 能发生在数秒之内，攻击者的行为也是及其隐蔽的。在八十年代，拒绝服务攻击很 少发生或者算不上是一种攻击，而在现在，实践证明拒绝服务攻击足以使任何商业 - 网站造成巨大的损失甚至系统崩溃。这些变化都给入侵检测技术带来严峻的挑战。 由于网络攻击的复杂性，因此，开展对网络入侵检测系统的研究是非常必要的， 而且由于网络入侵的复杂性，使得检测网络入侵也变得相当的复杂。而且每个网络 入侵检测系统都有它不能检测到的攻击，这样，如何更好的利用多种入侵检测系统 的优点，更好的检测入侵，对用户来说是最关心的问题。 虽然目前有很多成熟的入侵检测系统产品和入侵检测系统模型，但都有其局限 性，侧重于某一方面的检测，没有比较通用的检测方法。并且各自为政，互不兼容。 2 华中科技大学硕士学位论文 只能单一节点的监控，集中控制，抗风险能力差。针对这种情况，c o m m o n i n t r u s i o n d e t e c t i o nf r a l l l e w o r k ( 通用入侵检测框架) 应运而生。但c i d f 目前很不完善，只 是一种理论上的构架。代理技术作为一种提高系统灵活性和可配置性的技术也开始 运用到入侵检测系统中，所以开展对基于c i d f 的入侵检测系统的研究，并运用代 理技术来改善入侵检测系统的可配置性和灵活性，将对入侵检测系统的设计和运行 模式的研究有重要的意义。 1 2 国内外概况 随着网络攻击手段向分布式方向发展( 如目前出现的分布式d o s 攻击1 1 2 】) ， 且采用了各种数据处理技术，其破坏性和隐蔽性也越来越强。相应地，入侵检测系 统也在向分布式结构发展，采用分布式收集信息、分布处理、多方协作的方式，将 基于主机的i d s 和基于网络的i d s 结合使用，构筑面向大型网络的i d s ，而且对处 理速度及各相关性能的要求更高。目前已有的i d s 还远远不能满足入侵检测的需要。 入侵检测技术的主要研究方向有： 1 i d s 体系结构研究 i d s 是包括技术、人、工具三方面因素的一个整体，如何建立一个良好的体系 结构，合理组织和管理各种实体，以杜绝在时间上和实体交互中产生的系统脆弱性， 是当前i d s 研究中的主要内容，也是保护系统安全的首要条件。 i d s 体系结构的研究主要包括：具有多系统的互操作性和重用性的通用入侵检 。 测框架；总体结构和各部件的相互关系；系统安全策略；具有可伸缩性的统一i d s 系统结构；i d s 管理；d a r p 提出的通用入侵检测框架；具有可伸缩性、重用性的 系统框架；安全、健壮和可扩展的安全策略。 2 安全通信技术研究 目前，分布式系统的安全通讯机制也是研究领域的一个热点，包括i e t f 的入 侵检测报警协议( i n t r u s i o na l e r tp r o t o c o l ，简称i a p ) 、安全认证和远程控制等协议、 高效且具有互操作性的安全通道。 3 入侵检测技术研究 华中科技大学硕士学位论文 晷煎已有的入侵检测技术包括基于知识的检测和基于行为的检测n 基于知识的检测包括专家系统、模型推璜、状态转换图、信号分析、p e t f i n c t s 图等【3 5 1 。这荦中梭测由于依攒具体特征库进行判断，所以准确度报离、方便响应；毽 与具体系统依赖性太强，移植 生不好，维护工作踅大，受西有知识的限制，难以检 测出权力滥用。 基于行为的检测包括概率统计方法、享申经网络方法、专家系统、用户意图识剐、 t 计算杌免疫系统等。这种检测与系统相对无关，通用性较强：可检测出以前宋出现 过的攻击方法。它的主簧缺陷在予误检率很离。 篓予两者存在的优点和不足，褥且已谣翳依靠单一的入侵检测方法不可能检测 出所有入侵，所以现在的研究主簧集中在对已有的检测方法进行改进和对新检测法 的研究上，以期我到效率和效果柏一致的检测方法a 4 。响应策赂与恢复研究 i d s 识别出入侵后的响应策略是维护系统安全性、完整性的关键。i d s 的蟊标 是实现实时响应和恢复。实现i d s 的响应包括：向管理员和其它实体发国警报；进 行紧急处理：对于攻蠹的追踪、诱导和反击；对于攻击源数据的聚集以及i d 部件 的自学习和改进。 i d s 的恢复研究包括：系统状态一致性检测、系统数据的各份、系统恢复锇略 和恢复时梳。 5 协作式入侵检测技术研究 随着黑客入侵芋段的摄高，尤其是分布式、协同式、复杂模式攻击的蹬现和发 展，传统的单一、缺乏协作的入侵检测技术已经不能满足需求，需要有充分的协作 - 枫制。所谓协律主要包括两个方面； ( 1 ) 事件检测、分析和响应能力的协作； ( 2 ) 各部分所掌握的安全相关信息的共事。 尽管现在最好的商业产晶秘研究项耳中也只有简单的协作，铡如i s s 的 r e a l s e c u r e 入侵检测产品可以与防火壤搬作，a a f i d 6 中问一主枫上各史规型代理 之阔冒进行简单的信息共享，毽协作是一个璧要豹发展方肉。 6 建立黑客攻击模整以及主枫稻网络安全状态模型 华中科技大学硕士学位论文 对于黑客攻击的识别，现用的方法基本都是在已知攻击的基础上提取其特征， 然后将其加入特征库。但是现有的攻击特征库过于简单，没有扩展性和适应性，造 成较高的误报率和漏报率。 1 3 论文组织 1 绪论 对论文所涉及的课题背景，国内外概况，和论文组织进行了介绍。 2 入侵检测技术研究与分析 对入侵检测技术、入侵检测系统的发展、入侵检测系统的分类、c i d f 模型， 以及入侵检测中的代理技术进行了研究与分析 3 一种新的分布式代理入侵检测系统( d a - n i d s ) 提出一种基于分布式代理的网络入侵检测系统( d a n i d s ) ，并对其整体结构 进行了描述，同时，对其中控制中心和通讯代理的设计重点给予了介绍。 4 控制中心( c c ) 设计与实现 给出了控制中心的整体结构和各模块的功能和设计实现。 5 通讯代理设计( c a ) 设计与实现 给出了通讯代理的功能和结构，并提出代理间通讯相关的安全问题，如代理间 的身份鉴别，通讯数据的保护。给出了相关的解决方案。最后加以具体实现。 6 总结 华中科技大学硕士学位论文 2 入侵检测技术研究与分析 2 1 入侵检测技术 网络在被动保护自己不受侵犯的同时，能否采取某些技术，主动保护自身的安 全昵? 入侵检测技术7 棚是近2 0 年来出现的一种主动保护自己免受黑客攻击的一种 新型网络安全技术。入侵检测技术不但可以帮助系统对付网络攻击，而且扩展了系 统管理员的安全管理能力( 包括安全审计、监视、进攻识别和响应) ，提高了信息 安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这 些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况 下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。此外， 它还可以弥补防火墙的不足【9 】，为网络安全提供实时的入侵检测及采取相应的防护 手段，如记录证据用于跟踪和恢复、断开网络连接等。它以探测与控制为技术本质， 起着主动防御的作用，是网络安全中极其重要的部分。 2 2 入侵检测技术的发展 入侵检测是在1 9 8 0 年由a n d e r s o n 1 0 首先提出的，他将入侵行为划分为外部闯 入，内部授权用户的越权使用和滥用等三种类型，并提出用审计跟踪监视入侵威胁。 在1 9 8 6 年，为检测用户对数据库异常访问，在i b m 主机上用c o b o l 开发的 d i s c o v e r y 1 q 系统可说是最早的i d s 雏形之一。1 9 8 7 年，d e n n i n g 提出了一个经典的 异常检测抽象模型【l2 1 ，首次将入侵检测作为一种计算机系统安全的防御措施提出。 1 9 8 8 年，t e r e s al u n t 等人进一步改进了d e n n i n g 提出的入侵检测模型，并创建了 i d e s ”“( i n t r u s i o nd e t e c t i o n e x p e r ts y s t e m ) ，该系统用于检测对单一主机的入侵尝 华中科技大学硕士学位论文 试，提出了与系统平台无关的实时检测思想，1 9 9 5 年开发了i d e s 完善后的版本 - n i d e s ( n e x t o e n e r a t i o ni n t m s i o nd e t e c t i o ns y s t e m ) 1 1 钔，可以检测多个主机上的 入侵。美国军方和政府在1 9 8 8 年为u n i s y s 大型主机开发了h a y s t a c k o s 系统，为美 国国家计算机安全中心m u l t i c s 主机开发了m i d a s ”6 j ( m u l t i c si n t r u s i o n d e t e c t i o n a n d a l e r t i n gs y s t e m ) 。 1 9 8 9 年，l o s a l a m o s 美国国家实验室开发了w & s ( w i s d o m a n d s e n s e ) 系统， p l a n n i n gr e s e a r c h 公司开发了i s o a ( i n f o r m a t i o ns e c u r i t yo m c e r s a s s i s t a n t ) 。1 9 9 1 年，n a d i r ( n e t w o r k a n o m a l y d e t e c t i o na n di n t r u s i o nr e p o r t e r ) 与d i d s ( d i s t r i b u t e i n t r u s i o nd e t e c t i o ns y s t e m ) 提出了收集和合并处理来自多个主机的审计信息以检测 一系列主机的协同攻击。 1 9 9 4 年，m a r kc r o s b i e 和c e n es p a f f o r d 建议使用自治代理( a u t o n o m o u sa g e n t s ) 以便提高i d s 的可伸缩性、可维护性、效率和容错性。值得一提的是，其间，1 9 9 0 年，h e b e r e i n 等提出了一个新的概念：基于网络的入侵检测- n s m ( n e t w o r ks e c u r i t y m o n i t o r ) ，n s m 与此前的i d s 系统最大的不同在于它并不检查主机系统的审计记 录，它可以通过在局域网上主动地监视网络信息流量来跟踪可疑的行为。从此以后 入侵检测就被分为两个基本类型：基于主机的和基于网络的。 1 9 9 6 年提出的g r i d s ( g r a p h - b a s e d i n t r u s i o nd e t e c t i o ns y s t e m ) 的设计和实现 解决了入侵检测系统伸缩性不足的问题，该系统使得对大规模自动或协同攻击的检 测更为便利，这些攻击有时甚至可能跨过多个管理领域。f o r r e s t 等将免疫原理运用 到分布式入侵检测领域。近年来还有人把遗传算法、遗传编程运用到入侵检测中。 1 9 9 8 年r o s sa n d e r s o n 和a b i d ak h a t t a k 将信息检索技术引进到入侵检测。1 9 9 8 年开始，w l e e 等人提出和实现了在c i d f ( 通用入侵检测框架) 基础上实现多级 i d s ，它运用数据挖掘的方法对审计数据进行处理，提高了现有检测系统的准确度 和可扩展性。最近，c h e u n g ，s t e v e n 等人提出了入侵容忍( i n t r u s i o nt o l e r a n c e ) 概 念，它引入容错技术，扩充先前i d s 的功能，在不改变现有网络基础设施的前提下， 使系统不仅能够检测到可疑行为，还能进行系统诊断，查知违反安全策略的行为、 网络组件的操作错误，并自动阻止攻击行为的扩散，存储操作状态，即把检测仅当 作整个控制环节中的一个部分。 华中科技大学硕士学位论文 2 3 入侵检测系统的分类 对入侵检测系统可以根据所采用的检测的方法、检测的行为、审计源位置、使 用频率进行分类【l ”。 检测的方法描述了分析器的特征。当入侵检测系统使用它所监控的系统的通常 行为，我们称其为基于行为的。当入侵检测系统使用攻击的信息，我们称其为基于 知识的。检测的行为描述了入侵检测系统对攻击的回应行为。当入侵检测系统对攻 击的回应是修补漏洞或积极的行动( 关闭服务，终止非法连接) ，那么入侵检测系 统就称为积极的。如果入侵检测系统对攻击的回应仅仅是警报，就称为是被动的。 审计源位置区分那些入侵检测系统分析的输入信息。这些输入信息可以是审计记录， 系统日志或网络数据包。使用频率是一个不同的概念。某些入侵检测系统具有实时 连续的监控能力，而其它的则是周期性的。 前三种可以归为功能性特征的类别，因为它们相关于入侵检测引擎的内部工作， 如输入信息、推理机制等。第四种将r t i d o i l 8 】( 实时入侵检测) 和其它的入侵检测 系统区分开来。入侵检测系统分类结构如图2 1 所示。 图2 1 入侵检测系统分类图 功能性特征 非功能性特征 华中科技大学硕士学位论文 一 1 从审计源位置来区分，现有的入侵检测系统可分为基于主机和基于网络的两 种。前者通过监视与分析主机的审计记录检测入侵，并可针对不同操作系统的优点 捕获应用层入侵事件，缺点是依赖于主机及其审计子系统，实时性较差；后者则通 过在共享网段上侦听采集通信数据分析可疑现象，其优点是侦测速度快、隐蔽性好、 不那么容易遭受攻击、视野更宽、仅用较少的监视器、对主机资源消耗少。 2 从入侵检测的方法来区分，入侵检测系统主要有两种：即滥用检测和异常检 测。滥用检测( m i s u s ed e t e c t i o n ) 1 9 - 2 1 1 是对利用已知的系统缺陷和已知的入侵方法 进行入侵活动的检测。滥用检测的优点是可以有针对性地建立高效的入侵检测系统， 其精确性较高，主要缺陷是不能检测未知的入侵，也不能检测已知入侵的变种，因 此可能发生漏报。异常检测( a n o m a l yd e t e c t i o n ) 【2 。2 3 】需要建立目标系统及其用户 的正常活动模型，然后基于这个模型对系统和用户的实际活动进行审计，以判断用 户的行为是否对系统构成威胁。 3 从入侵检测系统的行为来区分，它又可分为主动系统和被动系统。前者采 取切断连接或预先关闭服务、注销可能的攻击者的登录等主动措施对抗攻击；后者 仅产生报警信号。现在主动的入侵检测系统采用蜜罐和反跟踪的技术，不仅能够记 录入侵行为，还能够引诱进而查知攻击者的具体信息，真正起到了阻止攻击的目的。 4 根据系统检测频率，它又可以分为实时连续入侵检测系统和周期性检测系 统。 2 4 c i d f 模型 c i d f 是由d a r p a ( 美国国防高级研究项目属) 在1 9 9 7 年提出的通用入侵检 测框架i z 。它所要实现的目标为：1 实现入侵检测系统和网络管理系统共享入侵 检测系统的事件产生组件，事件分析组件，数据库和回应组件；2 实现入侵检测系 统和网络管理系统共享审计记录，报告信息，和入侵模式信息等：3 实现互操作性 标准和使用a p i 函数集来统一实现和管理i d s ；4 设计独立于i d s 实现语言，操作 语言，和网络协议的开放的入侵检测框架标准 2 5 - 2 7 】。一个符合c i d f 架构的入侵检 华中科技大学硕士学位论文 测系统的描述如图2 2 所示。 图2 2c i d f 框架图 1 事件组件( e b o x e s ) ：收集或过滤事件数据的程序或模块。事件组件产生被 入侵检测系统处理的审计事件。 2 分析组件( a b o x e s ) ：分析由事件组件传递来的事件数据，并产生警报信息。 3 数据库组件( d - b o x e s ) ：存储由事件组件和分析组件传递来的数据信息，包 括处理过的和未处理过的，并提供检索和查询服务。 4 回应组件( r - b o x e s ) ：回应组件根据分析组件提供的警报来对攻击做出反 应。 5 管理服务器：提供对各组件的消息管理和安全控制。 c i d f 将入侵检测系统需要分析的数据统称为事件( e v e n t ) ，它可以是基于网络 的入侵检测系统中网络中的数据包，也可以是基于主机的入侵检测系统从系统日志 等其他途径得到的信息。它也对于各部件之间的信息传递格式、通信方法和标准a p i 进行了标准化。 事件组件的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事 件。分析组件分析得到的数据，并产生分析结果。回应组件则是对分析结果作出反 应的功能单元，它可以作出诸如切断连接、改变文件属性等强烈反应，甚至发动对 攻击者的反击，也可以只是简单的报警。数据库组件是存放各种中间和最终数据的 地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。 在现有的入侵检测系统中，经常用数据采集部分、分析部分和响应部分来分别 代替事件产生器、事件分析器和响应单元这些术语。且常用日志来简单的指代事件 华中科技大学硕士学位论文 数据库。 目前c i d f 标准还没有正式确立，也没有一个入侵检测商业产品完全使用该标准， 但因为入侵检测系统的特殊性，所以使得各种入侵检测系统的模型都有很大的相似 性。各种入侵检测系统各自为阵，系统之间的互操作性很差，因此各厂商都在按照 c i d f 进行信息交换的标准化工作。 2 5 入侵检测中的代理技术 2 5 1 移动代理技术 在w w w 应用中，移动代理( m o b i l ea g e n t ) 2 8 - 3 0 】作为一个移动代码技术，利用 a g e n t 具有的独立、自适应能力，能实现在各个网络节点之间流动、收集信息、节 点之间相互协作等。a r p a 同时提出了一种知识共享程序，k q m l 语言便是从这发展起 来，采用了a g e n t 的( a c l s ) 互相交互。移动代理在入侵检测系统中的应用就犹如 流动的哨岗，一方面通过与本地的固定哨交流获得信息，另一方面可以充分利用其 机动性，对网络检测进行灵活的动态配置，以及对攻击行为进行跟踪。 多代理协同检测与移动代理技术是入侵检测体系中一个比较新的研究方向【3 “， 移动代理技术的应用，实现负载动态平衡，以及由信息流动到代码移动，减少网络 负担。利用移动代理与多代理协作技术，还可以实现各种动态、灵活的检测技术。 移动代理技术具有以下优点： 1 o v e r c o m i n gn e t w o r kl a t e n c y 克服网路带宽的限制、网络时延的问题； 2 r e d u c i n gn e t w o r kl o a d 减轻网络传输负担； 3 a s y n c h r o n o u se x e c u t o ra n da u t o n o m y 实现异步执行和自治； 4 s t r u c t u r ea n dc o m p o s i t i o n 结构组件，可以很容易实现组件技术： 5 a d a p t i n gd y n a m i c a l i f 动态调整、增强系统适应性： 6 o p e r a t i n gi nh e t e r o g e n e o u se n v i r o n m e n t s 异构平台之间互操作； 7 r o b u s ta n df a u l t t o l e r a n tb e h a v i o r 健壮性和系统容错能力加强； 华中科技大学硕士学位论文 8 s c a l a b i l i t y 可伸缩性。 由于采用的是脚本语言，以牺牲速度为前提获得了跨平台的特性，因此在设计 时要考虑程序代码的长度，以及执行时的高效性。在入侵检测系统中应用还存在安 全认证，分布式的控制与知识共享的技术问题。目前在这些方面的研究还比较多。 2 5 2 a g e n t s ( 代理) 分布式网络系统结构 a g e n t s 代理技术【3 2 】具有功能的连续性、自主性、适应性，能够连续不断地感知 外界以及自身状态的变化，并自主产生相应的动作。在入侵检测系统中，利用a g e n t 的推理机制以及多a g e n t 之间的协同工作方式，可以完成知识库更新，模型过程描 述，动态模型识别等功能，这较传统的专家系统能取得更好的效率与效果：通过代 理技术还可以实现对环境变化的适应，充分利用网络资源，减轻服务器主机的工作 负担。 如图2 3 所示的个基于a g e n t 的分布式入侵检测系统中，每个a g e n t 能单独 实现针对宿主主机的整套检测方法，a g e n t s 之间还通过u d p 进行通讯，互相通告 发现异常情况和异常行为报告。 图2 3 基于a g e n t 分布式入侵检测系统结构 华中科技大学硕士学位论文 每个检测a g e n t 具有相同的结构模块，并且采用标准组件、按规定的数据标准 格式进行通讯，a g e n t 模块结构如图2 4 所示。 厂 图2 4 代理模块结构图 a g e n t 环境为a g e n t 提供本地的支持和认证；而每个a g e n t 从环境中获取所需 的数据，以及系统状态等。为了对移动代理的支持，a g e n t 环境中加入了d f 目录服 务以及a m s 代理管理系统等。每个a g e n t 通过向环境信息注册，通告其存在，并获 取一个全局唯一的标识号，利用这个标识号实现与其它a g e n t 的通讯。 2 5 3 分层结构 由于检测大部分工作都转移到各相关主机部分，每个a g e n t 利用数据库保存自 己的状态以及攻击特征知识库，而这些主机上资源的限制，并不能实现复杂的入侵 检测功能，同时由于信息的分布，在针对高层次攻击( 如协同攻击) 上，需要有多 个检测进行协同处理。因此在检测体系中往往考虑采用分层的结构，利用多个a g e n t 组合形成一个高层次的检测结构，信息在该结构中层层检测。层层提炼。分层检测 华中科技大学硕士学位论文 结构如图2 5 所示。 勰热 图2 5 分层检测结构 在该树形分层体系中，最底层的a g e n t s 群体为c o l l e c t i o nn o d e s ，负责收集 所有信息，并对信息进行最基本的处理，完成简单判断与处理任务。其特点是处理 数据量大，速度快，效率高，但只能对一些简单的攻击进行检测。第二类节点是 a g g r e g a t i o nn o d e s ，起一个承上启下的作用，每个节点都维护个与之相连的下级 节点链表，负责管理子节点，以及接受子节点处理后的数据，再进行高层次的关联 分析、判断，输出判断结果。在c o l l e c t i o nn o d e s 与c o r m n a n da n dc o n t r o ln o d e s 中间加入a g g r e g a t i o nn o d e s 可以减轻中央控制( c o n t r o lp o i n to f a d m i n i s t r a t i o n ) 的负担，增强系统的可伸缩性。这部分节点还可以按照可预见模 式进行主动信息搜索。系统最高层是c o m m a n d c o n t r o l ，这部分节点主要负责管 理功能，根据环境的要求可以动态调整节点层次关系图，实现系统的动态重配置。 通过灵活地组合不同的a g e n t 群体模式，产生多种检测结构，实现对各类复杂的攻 击检测。 2 5 4 目前基于a g e n t 的入侵检测系统 目前，a g e n t 技术已成为研究大型网络分布式入侵检测系统实现的一个热门方 向。在国外已经出现了许多基于a g e n t 的分布式入侵检测系统框架。 1 a u t o n o m o u sa g e n t sf o ri n t r u s i o nd e t e c t i o n ( a a f i d ) p u r d u e 大学设计的一种采用树形分层构造的a g e n t 群体，最根部的是监视器 a g e n t t 提供全局的控制、管理以及分析由上一层节点提供的信息，在树叶部分的 兰 华中科技大学硕士学位论文 a g e n t s 专门用来收集信息。一些处在中间层的a g e n t s 的控制，一方面可以起到信 息的预处理过程，把精炼的信息反馈给上层的监视器a 2 h u m m i n g b i r d 蜂巢 i d a h o 大学设计的一种分布式检测系统模型，该系统主要强调的是信息数据收 集的分布性和共享，中央处理器仍然负担着信息处理和控制的功能。 3 j a v aa g e n t sf o rm e t a l e a r n i n g c o l u m b i a 大学设计的一种基于智能a g e n t 和m e t a l e a r n i n g 3 3 。4 】技术的分布式 检测系统模型，采用一些人工智能技术如：神经网络、知识挖掘，使a g e n t 具有知 识建模和知识推理能力，还可以实现多a g e n t 之间的协作。 4 i n t e l l i g e n ta g e n t sf o ri n t r u s i o nd e t e c t i o n i o w a 州立大学采用一种类似j a m 的智能a g e n t 技术，各种智能a g e n t 在各个数 据收集点上移动，收集检测所需的特殊信息。在信息处理中还采用了标准的 s e q u e n c ei d e n t i f i c a t i o n 和m e t h o d sa n df e a t u r ev e c t o ri d e n t i f i c a t i o n 。系 统建立在树状分层结构上，最根部是一数据仓库，枝叶部分是各检测移动a g e n t s 。 中间部分是各种分类器a g e n t ，其作用是收集相应的信息进行判断和与其它a g e n t 相协作。采用代码移动而非数据信息移动，可以大大减少信息积聚点的网络负担。 5 a d v a n c e dt e l e c o m m u n i c a t i o n s i n f o r m a t i o nd i s t r i b u t i o np r o g r a m 该系统中央控制模块通过分发a g e n t 代码到各检测目的主机收集和分析主机信 息或网络信息。a g e n t s 是由遗传算法动态组建，通过在基因池中筛选组建a g e n t 代 码。 6 i n t r u s i o nd e t e c t i o na g e n ts y s t e m 该系统由日本i p a ( i n f o r m a t i o n t e c h n o l o g yp r o m o t i o na g e n c y ) 设计的一种 多主机检测式系统，该系统通过收集特定事件，跟踪检测可疑入侵者的行踪。该系 统也采用了移动代理技术，通过m o b i l ea g e n t s 在各主机之间移动跟踪检测可疑事 件，并通知m a n a g e r ，由m a n a g e r 分派特定的t r a c i n ga g e n t 到目的主机，由t r a c i n g a g e n t 根据情况动态实时产生i n f o r m a t i o n g a t h e r i n ga g e n t 来收集进一步的相关 信息，其中t r a c i n ga g e n t 还可以在网络主机之间移动，跟踪可疑行为的出处。 m a n a g e r 还负责收集、管理、分析由i n f o r m a t i o n g a t h e r i n ga g e n t 返回的信息。 1 5 华中科技大学硕士学位论文 2 6 小结 本章对入侵检测技术、入侵检测系统的发展、入侵检测系统的分类、通用入侵 检测框架( c i d f ) 、入侵检测中的代理技术进行了研究和分析。其中对入侵检测中 的代理技术和c i d f 给出了较为详细的描述。下一章将在这些研究和分析的基础上给 出一个新的分布式代理入侵检测系统结构设计方案。 华中科技大学硕士学位论文 3 一种新的分布式代理入侵检测系统d a - n i d s 3 1d a - n l d s 系统结构设计 3 j 1 系统概述 目前基于c i d f ( 通用入侵检测框架) 的入侵检测模型已经成为许多入侵检测系 统的参考模型。c i d f 模型将入侵检测的各个功能模块划分为相对独立的入侵检测 组件，既提供了一种开发的模块划分方式，同时也提供了组件开发的概念。 基于代理的技术已经被许多分布式系统所使用，它为分布式系统的分布式管理 和控