（计算机软件与理论专业论文）基于代理的分布式入侵检测模型设计与分析.pdf

华中科技大学硕士学位论文 摘要 在当今高速发展的网络环境中，单独使用静态安全机制己不能适应需求。人们 提出了动态安全的思想，入侵检测是动态安全思想中的重要技术之一。在分布式应 用环境中，需要加强对入侵检测系统体系结构的研究，而不仅仅是检测方法。 建立了一种基于代理的分布式入侵检测模型( a d i d m ) ，它是在参照了通用入侵检 测框架( c i d f ) ，对已有的几种分布式入侵检测模型进行分析的基础上提出来的。 a d i d m 中入侵检测系统由多个不同层次的入侵检测部件组成，这些入侵检测部件由 检测代理、控制代理、通信代理等软件代理组成。每个独立的入侵检测部件既可以 独立使用，也可以组合起来成为一个功能更强的入侵检测系统。 a d i d m 中有两种入侵检测部件：基本检测部件( e d p ) 和综合检测部件( s d p ) ，e d p 的检测数据直接来自于主机或网络，s d p 的检测数据是从e d p 直接数据中提取出来 的间接数据。s d p 采取数据融合技术，主要防止分布式攻击。s d p 中的控制代理将这 些检测部件组合起来，它采用l d a p 目录访问技术存储相关检测点信息，l d a p 具有 很高的鲁棒性和可裁剪性，适合于多种类型数据的分布式存放。a d i d m 中通信代理 采用通用入侵检测对象( g i d o ) 来表示检测消息，以适应不同应用平台或操作系统。 通信代理还实现了代理之问的身份认证、传输加密和数据完整性保护，保证入侵检 测系统自身的安全。 一 a d i d m 提高了入侵检测系统的扩展性和裁剪性，可以建构在多种应用平台上， 适应现代网络环境高速、拓扑结构多变的特点，能够最大程度地发挥入侵检测的作 用。i 信代 觥测瑚械服糊撤弘飞麟测躲撒徘珉通信代理 华中科技大学硕士学位论文 a b s t r a c t ， w i t ht h er a p i dd e v e l o p m e n to fn e t w o r k - b a s e da p p l i c a t i o n s ，o n l yt h es t a t i c s e c u r i t y m e c h a n i s m sc a n n o tf u l f i l lt h er e q u i r e m e n t s t h et h e o r yo f d y n a m i cs e c u r i t yh a sb e e np u t f o r w a r d ，i nw h i c hi n t r u s i o n d e t e c t i o n p l a y s a v e r yi m p o r t a n tr o l e w h e ni n t r u s i o n d e t e c t i o ni su s e di nd i s t r i b u t e da p p l i c a t i o ne n v i r o n m e n t s ，t h er e s e a r c ho ni d ss h o u l db e f o c u s e do ni d sa r c h i t e c t u r e ，n o to n l yd e t e c t i o nm e t h o d s a n a g e n t b a s e dd i s t r i b u t e di n t r u s i o nd e t e c t i o nm o d e l ( a d i d m ) i sp r e s e n t e do nt h e b a s i so f a n a l y s e so f s e v e r a ld i s t r i b u t e di d s e x a m p l e s w i t hr e f e r e n c et oc i d f i na d i d m i d sc o n s i s t so fi n t r u s i o nd e t e c t i o np a r t so fv a r i o u sl e v e l s ，w h i c hc o n t a i ni n t r u s i o n d e t e c t i o na g e n t s ，c o n t r o la g e n t s ，c o m m u n i c a t i o na g e n t s ，e t c e v e r yi n t r u s i o nd e t e c t i o n p a r tc a nn o to n l yb eu s e da sa l li n d e p e n d e n ti d sb u ta l s oc o m p o s e a l le x t e n s i v ei d sw i t h o t h e ri n t r u s i o nd e t e c t i o n p a r t s t h e r ea r et w ok i n d so fb a s i ci n t r u s i o nd e t e c t i o np a r t si na d i d m o n ei se d p , t h e o t h e ri ss d ee d pd e t e c t st h e s y s t e mr u n n i n gi n f o r m a t i o nd i r e c t l y f r o mt h eh o s to r n e t w o r k ，w h e r e a ss d pf r o mw h a te d p sr e p o r ta c c o r d i n gt oc o n f i g u r a t i o n s t h ed a t a i n t e g r a t i o nt e c h n o l o g yi sa d o p t e di ns d p f o rt h ed i s t r i b u t e da t t a c k s i nc o n t r o la g e n t so f s d p , l d a pt e c h n o l o g yi si n t r o d u c e dt oc o m b i n ea l lt h ed e t e c t i o np a r t sb e c a u s el d a pi s as u i t a b l et o o lf o rt h es t o r a g ea n da c c e s so f m u l t i t y p ed a t a a sw e l la si t sh i g hr o b u s t n e s s a n d r e t r a c t i l i t y g i d o i su s e di nc o m m u n i c a t i o na g e n t st o e x p r e s st h em e s s a g eo f d e t e c t i o nr e s u l t ss ot h a tc o m m u n i c a t i o na g e n t sc a nc o n n e c te a c ho t h e ro nv a r i o u so s e s o r a p p l i c a t i o np l a t f o r m s t op r o t e c t i d s i t s e l f , s o m es e c u r i t y t e c h n o l o g i e s a r e i m p l e m e n t e d i nc o m m u n i c a t i o na g e n t ss u c ha s i d e n t i t ya u t h e n t i c a t i o n ，t r a n s m i s s i o n e n c r y p t i o n ，d a t ai n t e g r a l i t y , e t c ， a d i d mh a sh i g he x p e n s i b i l i t ya n dr e t r a c t i l i t y i tc a nb ei m p l e m e n t e do nv a r i o u s a p p l i c a t i o np l a t f o r m sa n da d a p t e dt o t h en e t w o r ke n v i r o n m e n t sw i t hh i g hs p e e da n d m u l t i t o p o l o g y , w h i c hh e l p si m p r o v e e f f e c t i v e n e s sa n d e f f i c i e n c yo f l d s 1 1 华中科技大学硕士学位论文 k 叫w o r d s ：i n t r u s i o nd e t e c t i o n ；d i s t r i b u t e di n t r u s i o nd e t e c t i o nm o d e l ；c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k ；s o f t w a r ea g e n t ；c o m m u n i c a t i o n a g e n t i l l 华中科技大学硕士学位论文 1 1 信息安全发展概论 1 绪论 在当今社会，信息已经成为最重要的资源之一。作为信息载体的计算机及网络 系统起着日趋重要的作用，基于计算机及网络系统的应用渗透到了社会生活的各个 方面，随着电子政务、电子商务的兴起，计算机及网络系统的应用层次逐渐加深， 越来越多的企业将关键业务建于网络之上，甚至许多涉及国家政治、军事、经济的 战略情报也要依赖计算机系统来处理。在这种情况下，计算机及网络系统的安全问 题凸现出来，针对这些系统的黑客行为已发生了很多起，它们通过网络侵入企业或 组织机构的主机，窃取重要的资料，或进行破坏活动，使计算机系统陷入瘫痪，给 企业甚至国家造成巨大的损失“。 在信息安全的发展史上有一个里程碑，这就是1 9 8 5 年美国国防部( d o d ) 国家计 算机安全中心( n c s c ) 发布的可信计算机安全评估准则( t c s e c ) “。这个准则主要 是针对操作系统、数据库等方面的安全，在计算机系统以主机为核心的时代起了非 常重要的作用，很多有名的安全产品都是基于这个标准。 t c s e c 重要的思想就是企图建立一套完整的安全体系，它要求实现身份认证”。、 数据加密”。、访问控制。1 。等各种安全机制。由于下列原因，这种理论上安全的系统 还没有在实际中完全实现： 1 t c s e c 的一些安全机制必须建立在安全的操作系统基础之上，但现今流行的 操作系统或多或少地存在着缺陷，而且很难研制出没有任何缺陷的操作系统”。即 使研制出这样的操作系统。取代那些已经投入商业使用的操作系统也不是很容易的 事情。 2 t c s e c 中提到的一些安全机制本身也存在着问题，如：防火墙不能防护内部 攻击、安全措施难以动态管理和配置、访问控制的粒度不容易掌握等。 3 t c s e c 中定义的完全安全系统存在着效率问题：越安全的加密机制效率更低， 访问控制的使用效率受访问控制的粒度和用户数量的影响很大。 华中科技大学硕士学位论文 4 根据软件工程理论，证明一个软件的正确性是不可能的事情“。即使按照 t c s e c 要求开发出来的软件，由于其复杂性极高，也很难测试。 随着网络技术和网络应用的深入发展，尤其是高速因特网的出现，原有的静态 安全模型和标准无法完全反应出因特网目前分布式、高速化、结构多变的特点，t c s e c 标准逐渐不能适应当前的技术需要。面对日益严重的网络安全问题和越来越突出的 安全需求，在传统的信息安全技术不能有效保护网络的情况下，“自适应网络安全模 型”和“动态安全模型”应运而生，即p 2 d r 。 1 2 动态安全模型简介 p 2 d r 模型是i s s ( 美国国际互联网安全系统公司) 于上个世纪九十年代末提出 的自适应网络安全模型( a n s m ) 。p 2 d r 模型如图1 1 所示，它包含四个主要部分： 图1 1p 2 d r 模拟示意图 p o l i c y ( 安全策略) ：安全策略是p 2 d r 安全模型的核心，所有的防护、检测、响 应都是依据安全策略实施的，安全策略为安全管理提供管理方向和支持手段。策略 体系的建立包括安全策略的制订、评估执行等。制订可行的安全策略一方面要深度 了解网络信息系统，另一方面要掌握最新的计算机安全技术。 p r o t e c t i o n ( 防护) ：防护通常是通过采用一些传统的静态安全技术及方法来实 现的，主要有防火墙、加密、认证、访问控制等方法。 d e t e c t i o n ( 检测) ：在p 2 d r 模型，检测是非常重要的一个环节，检测是动态响 应的依据，它也是强制落实安全策略的有力工具，通过不断地检测和监控网络和系 2 华中科技大学硕士学位论文 统，来发现新的弱点和威胁( 系统自身的脆弱性及外部威胁) ，以作出及时有效的响 应。 r e s p o n s e ( 响应) ：紧急响应在安全系统中占有最重要的地位，是解决安全潜在 性最有效的办法。从某种意义上讲，安全问题就是要解决紧急响应和异常处理问题。 要解决紧急响应问题，就要事先制订各种紧急响应的方案和准备工作。 可见p 2 d r 模型是在整体的安全策略( p o l i c y ) 的控制和指导下，在综合运用防 护工具( p r o t e c t i o n ，如防火墙、身份认证、加密、访问控制等) 的同时，利用检 测工具( d e t e c t i o n ，如漏洞评估、入侵检测等) 了解和评估系统的安全状态，通过 适当的响应( r e s p o n s e ) 将系统调整到“最安全”和“风险最低”的状态。防护、 检测和响应组成了一个完整的、动态的安全循环，即： 安全= 风险分析+ 执行策略+ 系统实施+ 入侵检测+ 实时回应 与t c s e c 相比，p 2 d r 更注意从整体上实施有针对性的安全机制： 首先，它增加了安全策略，即根据不同的应用环境，制定适合系统需求的安全 策略，并不一定象t c s e c 的那样面面俱到，影响到系统的效率； 其次，由于p 2 d r 不要求防护措施面面俱到，所以增加了检测功能和响应功能， 作为防护措施可能弱点的补充，共同构成个整体安全体系。 p 2 d r 安全模型提出了网络环境中“动态安全”的新概念，给出了一个动态安全 的解决方案。入侵检测系统以p 2 d r 为理论基础，是p 2 d r 体系中“检测”环节的重要 体现。 1 3 入侵检测系统国内外研究概况 1 3 1 入侵检测的发展历程 1 9 8 0 年j a m e sa n d e r s o n 将“入侵尝试”( i n t r u s i o na t t e m p t ) 定义为：潜在 的有预谋未经授权访问信息、操作信息、致使系统不可靠或无法使用的企图n “。 a n d e r s o n 同时提出用审计追踪来监视入侵威胁。但由于当时系统安全着重于考虑拒 绝未经认证主体对重要数据的访问，这一设想并没有得到重视。1 9 8 7 年d o r o t h ye d e n n i n g 提出入侵检测系统的抽象模型，首次将“入侵检测”作为一种计算机系统 3 华中科技大学硕士学位论文 安全防御的一种措施提出来，与加密、访问控制等传统措施相比，入侵检测是全新 概念的计算机安全措施“。 1 9 8 8 年迫使因特网五天不能使用的m o r r i si n t e r n e t 蠕虫事件引起了对全新计 算机安全概念的思索，入侵检测系统开发研制进入实用的阶段“。起初入侵检测系 统都是基于主机的系统，即通过监视与分析主机的审计记录来判断是否出现入侵。 1 9 8 8 年，t e r e s al u n t 等人创建了i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) ， 该系统提出了系统平台无关、实时检测的思想，i d e s 于1 9 9 5 年发展成为基于多个 主机的n i d e s ( n e x t - - g e n e r a t i o ni n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) 。1 9 9 0 年，h e b e r l e i n 等提出了基于网络的入侵检测n s m ( n e t w o r ks e c u r i t ym o n i t o r ) ， n s m 最大的特点在于它并不检查主机系统的审计记录，它可以通过在局域网上主动 监视网络信息流量来追踪可疑的行为。1 9 9 1 年，n a d i r ( n e t w o r ka n o m a l yd e t e c t i o n a n di n t r u s i o nr e p o r t e r ) 与d i d s ( d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ) 提出了收集和合并处理来自多个主机的审计信息以检测对一系列主杌的协同攻击。 为了提高入侵检测系统的可伸缩性、可维护性、效率和容错性，1 9 9 4 年，m a r kc r o s h i e 和g e n es p a f f o r d 建议使用自治代理( a u t o n o m o u sa g e n t ) 构建入侵检测系统，该 理念非常符合当时计算机科学其他领域的研究。1 9 9 6 年提出的g r i d s ( g r a p h b a s e d i n t r u s i o nd e t e c t i o ns y s t e m ) 也是为了解决这个问题，该系统能很方便地检测跨 越多个管理领域的大规模自动或协同攻击“。最近几年入侵检测系统的主要创新包 括：f o r r e s t 等将免疫原理运用到分布式入侵检测领域：r o s sa n d e r s o n 和a b i d a k h a t t a k 将信息检索技术引进到入侵检测“；c h e u n g 和8 t e v e n 等人提出了入侵容 忍( i n t r u s i o nt o l e r a n c e ) 技术“”等。 目前，国际上有了一些入侵检测系统的商业产品，如c i s c o 公司的n e t r a n g e r 、 n e t w o r ka s s o c i a t e s 公司的c y b e r c o p 、i n t e r n e ts e c u r i t ys y s t e m 公司的 r e a l s e c u r e 等。 国内对入侵检测系统的研究最近几年才开始，基本上属于学习阶段，不过还是 在检测理论和检测模型这两个方面取得了一定的进展“1 。在商用方面，也出现了 一些产品，如：n e t c o p 、s k y b e l l 等。 4 华中科技大学硕士学位论文 1 3 2 入侵检测近期研究热点 由于计算机应用环境和网络环境的变化，近期入侵检测系统的研究领域主要集 r ，1 中在以下几个方面“： 1 宽带高速网络的实时入侵检测系统。大量高速网络技术如a t m 、千兆以太网、 g 比特光纤网等在近年内不断出现，各种宽带网接入手段层出不穷。如何实现高速 网络下的实时入侵检测成为一个现实迫切的问题，它有两个方面的问题需要解决。 首先，入侵检测系统的软件结构和算法需要重新设计，为高速网络的应用环境提高 检测速度和效率。这主要是通过开发专用的硬件结构，并配以相应软件来实现。其 次，高速网络技术的不断进步和成熟引起了对网络协议的重新设计，新的高速网络 协议的设计也在探讨和试验之中，如何使现有的入侵检测系统适应和利用未来新的 网络协议结构是一个全新的问题。虽然目前国外市场已经推出了几款基于千兆以太 网环境的入侵检测系统产品，但是其性能指标还远未成熟。 2 大规模分布式入侵检测技术。传统的集中式入侵检测技术的基本模型是根据 应用的不同情况，在不同网段或主机中放置多个数据收集器收集当前本地状态信息， 然后集中处理这些收集来的信息。入侵检测系统有一个中央处理机构专门做这个工 作，中央处理机构能够给这些数据收集器发送一些命令，以调整不同数据收集器收 集的不同本地状态信息。这种模式有几个缺陷：首先，如果出现了大规模的从异质 网络节点上发起的复杂攻击行为，因为要处理来自各个传感器收集来的网络消息时 间，中央处理机构的业务可能会处于满负荷的状态，使入侵检测系统的检测作用降 低，造成对许多重大消息事件的泄漏，大大增加漏警概率。其次，由于网络传输的 时延问题( 大规模异质网络中尤其如此) ，从传感器发出的网络状态信息到达中央处 理机构时已经不能反映可能随着时间已经改变的当前状态，它只是反映了它刚被生 成时的网络状态情况。这种情况下，中央处理机构基于过时信息做出的判断可信度 大大降低。另外，异质网络环境所带来的平台差异性也将给集中式模型带来诸多困 难，因为每一种攻击行为在不同的操作系统环境中都表现出不同类型的模式特征， 而且已知的攻击方法数目非常之多。这样，在集中式模型的系统中，想要进行完全 的攻击模式匹配就已经非常困难了，更何况还要面对不断出现的新型攻击手段。 3 入侵检测技术的数据融合技术。在实际的入侵检测技术方面存在诸多缺陷： 5 华中科技大学硕士学位论文 首先，现有的实时检测技术难以找到合适的方法检测出受到良好训练的黑客发起的 复杂隐蔽攻击行为；其次，入侵检测系统会产生一些虚假警告问题，也是令许多网 络管理员头疼的事情；另外，对来自各种渠道的大量泛滥数据、系统消息等如果只 是孤立地考虑，往往反映不了真实情况，反而会浪费和降低入侵检测系统的处理能 力和检测性能。为解决上述问题，多传感器数据融合技术被提了出来：它能够把从 多个异质分布式传感器处得到的各种数据和信息综合在一个处理进程中，来评估整 个网络环境的安全性能。数据融合入侵检测系统的输入可以是传感器从网络处得到 的各种网络数据包，也可以是系统日志文件、s n m p 信息、用户资料信息、系统消息 和操作命令，系统输出是入侵者的身份估计和确定位置、入侵者的活动信息、危险 性信息、攻击等级和对整个入侵行为危险程度的评估等。入侵检测数据融合推理的 层次结构如图1 2 所示。 威胁分析个 形势评估l 高 入侵者行为 i中 入侵者身份 l 入侵级别 低 入侵存在性 i 图1 2i d s 数据融合椎殚屡次 4 先进检测算法的应用。入侵检测系统中最核心的部分是检测算法，如果检测 算法不恰当，即使入侵检测系统其余方面都非常完美，不仅不会起到很大的作用， 而且还因为检测错误，增加管理工作的难度。在入侵检测算法中，现在研究比较多 的有三种主要的学习算法：计算机免疫技术1 引、神经网络技术f 1 9 和遗传算法2 们。 通过上面对入侵检测热点研究领域的探讨，我们总结一下目前入侵检测系统在 技术方面面临着的一些挑战“。： 1 网络规模和复杂程度不断增长。在一个大型的异构网络环境中，入侵检测 6 华中科技大学硕士学位论文 系统面临着如何集成处理来自分布于网络各处实体的具有不同格式的相关信息，如 何在相互合作但是并不完全相互信任的组织之间来共享敏感的相关入侵行为信息， 如何管理域间合作进程以及如何保证在局部入侵检测系统失效的情况下仍能维护系 统全局的安全等： 2 预警技术，即如何在造成损失前及早发现入侵活动； 3 网络吞吐量非常大的情况下，入侵检测系统必须保证其性能仍然可靠。为 了保证发挥效能，网络入侵检测系统要能够分析所有的数据包。如果一个入侵检测 系统无法应付网络吞吐量的话，它就可能漏掉不少反映入侵活动的特征数据，从而 造成安全漏洞。 4 入侵模式特征的准确性。用来描述异常入侵行为的模式特征是误用检测系 统( m i s u s e ) 最重要的基石。特别是在用多种已知攻击模式进行组合攻击情况下， 如何保证所采用的特征集能够准确地描述这种攻击及其变种，是一个很棘手的问题。 5 入侵检测系统的评估。如同软件工程中对一个软件的评估，对入侵检测系 统的评估是一项非常复杂的工作。尤其是入侵检测系统不能在独立环境中检测，它 必需建立在一个实际网络平台环境中，以大量不同操作系统下各种入侵模式的复杂 测试数据为基础，更增加了入侵检测系统评估工作的难度。 1 4 本课题目的和意义 1 4 1 课题研究思路 分布式应用越来越广泛的情况下，需要研究出高效的分布式入侵检测系统。在 分布式应用领域，软件代理技术发挥着非常重要的作用，比较适合用来建构分布式 入侵检测系统。现在有不少基于软件代理技术的分布式入侵检测系统，每一个系统 对代理的理解都不相同，因而入侵检测系统的体系结构和实现技术也不一样。本文 提出了一种基于代理的入侵检测技术，将每个检测代理看成一个微入侵检测系统， 多个检测代理通过控制代理来联系，检测代理可根据要求进行灵活配置。l d a p 目录 服务是分布式环境中用来存储和查询信息的优秀方法之一，本系统将多个检测代理 和控制代理通过l d a p 目录服务有机地结合起来，充分满足了分布式的要求。通信代 7 华中科技大学硕士学位论文 理之间增添了身份认证、传输加密等安全机制，保证了代理以及系统自身的安全。 1 4 2 论文的组织结构 1 绪论。介绍了论文所涉及的课题背景，国内外研究概况，和论文的组织结构。 2 入侵检测技术基础。介绍了入侵检测技术的一些基本知识，包括入侵检测的 任务、入侵检测系统的基本结构、入侵检测技术的分类比较、入侵检测技术的标准 化和c i d f 模型等。 3 基于代理的分布式入侵检测模型设计思路。提出了一种基于代理的分布式入 侵检测模型a d i d m ，对其体系结构进行了描述，介绍了其中应用的一些关键技术。 4 a d i d m 的直接检测部件e d p 。介绍a d i d m 中的直接检测部件e d p 的系统组成， 阐述了其中各个代理的基本功能，详细介绍了检测代理i 的工作方式。 5 a d i d m 的综合检测部件s d p 。介绍a d i d m 中的基本检测部件s d p 的系统组成， 详述了检测代理i i 的工作原理和控制代理的实现方式。 6 a d i d m 的通信代理。通信代理是a d i d m 中相对独立的部件，是联系系统各个 部件的纽带。本章详细介绍了通信代理中g i d o 的实现以及通信代理如何提高入侵检 测系统自身的安全性。 7 系统总结。分析了a d i d m 系统的优缺点，提出了进一步研究值得考虑的思路， 对未来作了展望。 8 华中科技大学硕士学位论文 2 1 入侵检测的任务 2 入侵检测技术基础 入侵检测系统用来判断计算机系统和网络系统中是否存在对系统进行攻击或违 反安全策略的行为。入侵检测技术分析的依据是从计算机系统和网络系统中的若干 关键点收集的信息，入侵检测系统常常包含类似防火墙的数据报分析技术、类似反 病毒软件的特征匹配技术和智能化的异常检测技术。一般情况下，入侵检测系统主 要执行如下任务 2 3 埘 ： 监视、分析用户及系统活动； 系统构造安全弱点审计记录： 识别己知攻击的活动模式并向相关人士报警； 异常行为模式的统计分析； 评估重要系统和数据文件的完整性： 操作系统的审计跟踪管理，并识别用户违反安全策略的行为； 成功的入侵检测系统，除了能及时发现入侵行为之外，还应该具有以下几个特 点： 系统管理员能时刻了解网络系统( 包括程序、文件和硬件设备等) 的任何变 更： 系统管理员能根据网络系统的要求给网络安全策略的制订提供依据； 入侵检测系统的管理配置应尽量简单，使非专业人员容易使用； 入侵检测系统的规模应能适应网络规模、系统构造和安全需求的改变； 入侵检测系统在发现入侵后应及时响应，包括切断网络连接、记录事件和报 警等。 判断是否出现入侵行为时，会出现两种错误：误报和漏检“。误报( f a l s e p o s i r i v e ) 是指把合法的事件或行为判断为异常行为：漏检( f a l s en e g a t i v e ) 是 指把有入侵出现的事件或行为判断为合法行为。误报和漏检出现的概率分别定义为 误报率和漏检率，一般用试验和统计的方法估计入侵检测系统的误报率和漏检率。 9 华中科技大学硕士学位论文 误报率和漏检率用来估量入侵检测系统的准确性，若误报率和漏检率都很低， 表明这个入侵检测系统的准确性非常高。但是，在实际中误报和漏检是一对矛盾体， 不可能理想地达到同时很低的水平。在这种情况下，应该尽量考虑降低误报率“， 其次考虑降低漏检率，这样虽然会导致漏报入侵行为，但由于一个完整的入侵检测 系统是由多个层次的防护形成的组合体，即使某个入侵行为在某一层被漏掉，它还 必需经过其他各层的检测，被另外的某一层检测出来，因此被漏掉的可能性大大降 低。如果误报率很高，入侵检测系统的每个层次都可能发出入侵的警告，会降低入 侵检测的效率。 2 2 入侵检测系统的基本结构 入侵检测系统的基本结构如图2 1 所示，它至少由以下几个部分组成 1 2 3 图2 1 入侵检测系统的基本结构示意图 数据收集器，收集反映状态信息的审计数据，作为检测器的输入。数据收集 器收集的信息包括系统日志、审计数据、当前发生的事件、系统的状态、网络数据 包等： 检测器，分析数据收集器所收集的数据，根据检测算法判断是否出现入侵行 l o 华中科技大学硕士学位论文 为： 知识库，提供必要的数据信息支持，可以包括已知的入侵模式、正常工作模 型等； 7 控制器，根据警报信息，人工或自动做出反应动作。这是入侵检测系统对计 算机运行状态的反馈装置。 由于实际应用环境的限制和要求，不同入侵检测系统中各个部件所占的比重可 能不太一样，而且入侵检测系统和计算机应用系统也不是截然分开的，因而形成产 品的入侵检测系统的体系结构可能会有很大的差别。 2 3 入侵检测分类 根据分类标准的不同，入侵检测系统的分类方法也不一样，常见的包括按照检 测的目标、检测的方法、对入侵的响应、检测的频率等来分类“”“。 按照检测的方法入侵检测系统可以分为异常入侵检测( a n o m a l yd e t e c t i o i l ) 和 误用入侵检测( f i s u s ed e t e c t i o n ) 。异常入侵检测系统是指先建立系统的正常运行 模型，然后通过检测系统实际运行过程中系统状态偏离正常运行模型的程度来判断 是否出现了入侵行为；误用入侵检测系统则是通过检测当前系统的状态是否与已知 的入侵模式相匹配来判断是否出现了入侵行为。 按照入侵检测系统对入侵行为的响应可以分为主动和被动入侵检测系统。主动 入侵检测系统可能采取切断连接、关闭相关服务、注销潜在攻击者的登录等行为来 对付入侵行为，甚至采取蜜罐( h o n e y p o t ) “和反跟踪技术对入侵行为进行攻击； 被动入侵检测系统则只是发出报警信号，由系统管理员来处理。 按照检测的频率入侵检测系统可以分为实时连续的入侵检测系统和周期性入侵 检测系统。实时检测即对系统收集的信息做实时分析处理，并及时做出回应；周期 性系统则定期做入侵检测，例如定时检测日志和审计记录等等。 按照检测的目标入侵检测系统可以分为基于主机的、基于网络、分布式的、基 于文件完整性检查的，了解这种分类方法有助于清楚地理解入侵检测系统的体系结 构及其发展史。下面着重论述一下这几种类型的入侵检测系统。 1 基于主机的入侵检测系统。基于主机的入侵检测系统以系统日志、应用程序 日志、系统运行参数等为依据判断是否出现入侵，基于主机的入侵检测系统一般保 华中科技大学硕士学位论文 护主机所在的系统。在发展初期入侵检测几乎都是基于主机的，即在每个要保护的 主机上运行一个或多个代理程序，对主机的审计信息进行分析与检测，并报告安全 或可疑事件。由于基于主机的入侵检测系统只考虑系统局部范围的用户，因此大大 简化了检测任务。 基于主机的入侵检测系统具有以下优点：检测具有针对性，在各种入侵事件中 对各种服务器的攻击占了很大的比例，如果在这些服务器上安装基于主机的入侵检 测软件，其效果非常明显；接近实时的检测和应答，不需要额外的硬件：对网络流 量不敏感、易于用户剪裁、不易被欺骗等。其缺点也很明显：必须为不同平台开发 不同的程序；主机本身负荷增加；程序安装数量众多等。不过正因为它基于不同的 平台，所以可以利用不同操作系统提供的功能，针对不同操作系统的各种缺陷，增 强检测的准确度。基于主机的入侵检测系统不仅没有过时，反而起着越来越重要的 防范作用。 2 基于网络的入侵检测系统。基于网络的入侵检测系统以网络的数据包为依据， 数据包的收集方式一般是将一台机子的网卡设为混杂模式( p r o m i s c u o u sm o d e l ) ， 监听所有本网段内的数据包并进行判断( 如果是交换式局域网，采取另外的措施搜 取数据包) ，基于网络的入侵检测系统担负着保护整个网段的任务。目前基于网络入 侵检测系统的商业化产品多基于网络关键结点( 防火墙、路由器等) ，如a x e n t 公司 的n e t p r o w l e r 、i s s 公司的r e a l s e c u r e 和c i s c o 公司的n e t r a n g e r 。基于网络的入 侵检测系统有以下优点：配置代价低、隐蔽性好、能检测到不成功的攻击和恶意行 为、不依赖检测系统的操作系统，不占用被检测系统的资源等；一个网段上只需安 装一个或几个这样的系统，便可以监测整个网段的情况。但现在网络技术的发展， 使得这种入侵检测系统不能满足要求：在交换式以太网中搜集数据包的措施会增加 系统的复杂度；在高速局域网中，数据包数量增多很大，增加了数据包处理的难度， 当网速超过l o o b p s 时，对i p 包的处理能力渐渐成为入侵检测的瓶颈。 3 分布式入侵检测系统。基于主机的入侵检测系统要求在受保护的主机上都进 行安装，配置费用高，在实际中不可能普遍应用；而基于网络的入侵检测系统逐渐 受到高带宽网络、交换式网络、虚拟局域网、加密传输等高级网络应用技术的限制。 最好的策略是将两者相结合，现在商业上应用的基于网络的入侵检测系统都或多或 少地增加了一些基于主机的检测功能。以两种入侵检测技术的融合为基础，慢慢地 1 2 华中科技大学硕士学位论文 发展成为分布式的入侵检测系统。分布式入侵检测系统的设计思路为：将系统分为 数据收集、分析引擎、入侵响应系统三个模块，各个模块分布在不同的地方，它们 之间通过专门的安全通信连接起来，实现入侵检测的功能模块化和负载平衡分担。 由于分布地采用基于网络或基于主机的数据收集方式，系统有效地提高了检测速度。 专门使用了分析引擎，使得对系统上的各种信息处理更加完善，能够检测组合攻击 和进行攻击预测。分布式入侵检测系统还考虑了各模块之间处理上时间的不同，尽 量做到各子系统在时间上的协调处理。总之，整个分布式入侵检测系统把各模块根 据实际情况灵活部署，相互配合，提供集成化的攻击签名、检测响应、报告和事件 关联功能，共同完成检测入侵的任务。 4 文件完整性检查系统。文件完整性检查从严格意义上来说，应该算得上是基 于主机的入侵检测系统，由于它可以独立出来成一个完整的系统，而且没有必要随 时启动，所以有时也把它作为单独的一类入侵检测系统。文件完整性检查系统审查 计算机中自上次检查后文件变化的情况”。具体方法为：为每个文件计算摘要并将 这些摘要放置在一个数据库里，称为文件摘要数据库，每次系统文件合法的升级后， 系统都要更新文件摘要数据库中对应的记录。文件完整性检查系统在每次检查时， 它计算文件的数字摘要并将它与文件摘要数据库中的对应记录的值相比较，如不同， 则文件已被修改，表示可能发生了入侵行为：若相同，则文件未发生变化。文件的 摘要一般通过单向函数计算得到，最常用的是m d 5 报文摘要算法。从数学上分析， 攻克文件完整性检查系统，无论是从时间上还是从空间上都是不可能的。文件完整 性检查系统在发现攻击者安装的“后门程序”，改变系统配置和增加新用户等具有很 高的效率，在具体实现过程中，文件完整性检查系统可作为一个单独的模块编制程 序，根据需要来启动。当然文件完整性检查系统也有缺陷：首先是保护文件摘要数 据库自身安全的措施比较麻烦，为保障存放文件摘要的数据库自身的安全，数据库 自身可以采用p g p 加密或者存放在可移动介质的手段，但不能灵活配置；其次是做 一次文件完整性检查要消耗大量的时间。 2 4 入侵检测系统的标准化 入侵检测系统已有众多的商业产品出现，但与其他安全产品相比，还存在相当 多的问题，而且这些矛盾可能越来越尖锐。这些问题主要体现在：随着攻击者的安 1 3 华中科技大学硕士学位论文 全知识不断增加，其攻击手法发展变得复杂细致，还发展了自动化攻击工具；入侵 检测系统必须协调和适应多样性环境中不同的安全策略；不断增大的网络流量给检 测带来了很大的困难；还没有形成广泛接受的入侵检测术语和概念框架；不断变化 的入侵检测市场给入侵检测系统的购买和维护造成很大困难；采用不恰当的入侵响 应会造成风险：入侵检测系统自身容易受到攻击；大量的误报和漏报使入侵检测失 去它本来的作用。 在众多商用入侵检测产品存在上述问题，有一个根本的原因：入侵检测系统厂 商都自主设计开发系统，各自形成了一个自治的系统，彼此之间缺乏互操作性。为 了解决上述问题，制定入侵监测系统的行业标准已经成为当务之急，许多机构和厂 商已经进行了有益的探索“： 互联网工程工作组( i e t f ) 的入侵检测工作组( i d w g ) 制定的建议草案： 由美国国防部高级研究计划局( d a r p a ) 赞助研究，由c i d f 工作组负责的公共 入侵检测框架( c i d f ) ； i s s 的a n s a ( 自适应网络安全联盟，a d a p t i v en e t w o r ks e c u r i t ya 1 1 i a n c e ) 。 其中，d a r p a 提出的公共入侵检测框架( c i d f ，c o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ) “最早由加州大学戴维斯分校安全实验室起草，是入侵检测领域最有影 响力的建议，可能成为国际标准。 c i d f 是一套定义入侵检测系统中表达检测信息的标准语言以及系统各组件之 间的通信协议的规范。不同厂商或机构开发的入侵检测系统，只要符合c i d f 规范， 都可以共享检测信息，相互通信，协同工作，与其它安全系统组合实旅统一的配置 响应和恢复策略。由于c i d f 能协调不同入侵检测系统之间的互操作，实现各i d s 之间的组件重用，所以c i d f 也是构建分布式i d s 的基础。 c i d f 的规格文档由四部分组成，分别为： 体系结构( t h ec o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r ka r c h i t e c t u r e ) ，描 述一个入侵检测通用模型； 规范语言( ac o m m o ni n t r u s i o ns p e c i f i c a t i o nl a n g u a g e ) ，定义了一个用来 描述各种检测信息的标准语言： 内部通信机制( c o m m u n i c a t i o n i nt h ec o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ) ，定义了入侵检测系统组件之间进行通信的标准协议； 1 4 华中科技大学硕士学位论文 程序接口( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r ka p i s ) ，提供了一套标准 的应用程序接口( a p i 函数) 。 一 2 5 小结 本章简要地介绍了入侵检测技术的一些基础知识，包括入侵检测技术的分类、 入侵检测系统的系统组成、入侵检测的标准化问题等等。这些都是入侵检测技术研 究中比较重要的方面，是扩展研究入侵检测的基础。 1 5 华中科技大学硕士学位论文 3 基于代理的分布式入侵检测模型设计思路 在前面介绍入侵检测基本知识的基础上，从分析已有分布式入侵检测系统的缺 陷着手，提出了基于代理的分布式入侵检测模型( a d i d m ，a g e n t b a s e dd i s t r i b u t e d i n t r u s i o nd e t e c t i o nm o d e l ) 。这个模型是综合考虑了基于主机和基于网络入侵检 测系统的优点，针对计算机及网络系统的发展特点优化而成。 3 1 分布式入侵检测系统的难点 3 1 1 分布式入侵检测系统应用背景 随着计算机技术的发展和应用需求的提高，越来越多的信息处理系统发展成为 以网络计算为基础的分布式计算机系统。分布式计算机系统是指一组具有自治功能 的独立计算机经网络互联而成的计算机系统，这些计算机褶互协作，共同完成给定 的计算任务。分布式系统的特点是强调资源、任务、功能和控制的全面分布，这些 分布的组件既能独立地发挥自身的控制作用，又能相互配合，在彼此通信协调的基 础上形成一个整体。近年来，由于在一些关键技术如良好可靠性、优越的网络通信 机制和消息传递机制、实用的分布式文件系统和数据库系统、网络与系统管理平台 等方面的发展，以及个人计算机和工作站性能的不断提高