（计算机应用技术专业论文）基于代理的分布式协作入侵检测系统的研究与设计.pdf

哈拳滨：l ：瓣大学磺士学位论文 摘要 入侵检测是动态网络安全模趔中的关键环节。随着网络规模的扩大，网 络攻击更加分匆化和协网化。这娥要求入侵检测系统也必颂向允匆式、协同 化方向发展。本文研究的主要内容是基于代理的分布式协作入侵检测系统， 爨的在予建立西囱大规模网络的分布式入侵检测缀型系统，羞重关注检测代 联的实现和代理之间的协作机制。 论文首先对当前网络的安全间题及器种解决方案进行了简单分析，说明 了入侵检测在网络安全体系中的筵要性。介绍了入侵检测的定义、功能、分 类以及主要检测技术。 接着，论文介绍了三稀典型的分布式入侵检测系统瀚协作丰凡制，分析了 它们各自的优点和缺点。引入袋用基于内容的消息转发机制的事件通知服 务，在此基础上捣建对等结构的分布式入侵检测系统穰型。论文对事件通知 服务器的拓扑结构，消恩路出算法和路幽处理策略进行u 详细的阐述。 入侵检测代璞实现了分布式入侵检测系统最基本韵稔测功熊。代瑗采渭 协议分析技术，协议分析从网络通信协泌特有的规则性出发，戴目前比较先 谶的信息检测技术，克稚了传统模式蕊鬣技术的一些根本往缺陷。论文x 章裣 测代理的各个功能模块进行了详细阐述。 随着置联网应用酶深入，网络蠕虫对计算视系统安全和阏络安全的威胁 同益增加。论文在最后对蠕虫的典型攻击过程进行了分析，得出蠕虫自身活 动蕊一黧特点：节点闻的逶信在扫獾阶簸会产生援多无散豁连接，在添盎代 码运输阶段的通信模式里现相似性，具有对多的特点。基于这些特点，利 稻特征稔测技术鞠入侵稔溺代臻之闯豹貉作，实袋了辩嘲络臻虫静检测。 笑键字：入侵裣灞；漆议分辑；汝箨；发京i f f 阕；蠕虫 哈尔滨工程大学硕十学位论文 a b s tr a c t i n t r u s i o nd e t e c t i o ns y s t e mi st h ek e yt a c h eo ft h ed y n a m i cn e t w o r ks e c u r i t y m o d e l a st h ee x p a n d i n go ft h en e t w o r k s c a l e ，t h en e t w o r ka t t a c kb e c o m e d i s t r i b u t i n ga n dc o l l a b o r a t i v e s oi tr e q u i r e st h a tt h ei n t r u s i o nd e t e c t i o ns y s t e m a l s od e v e l o pt o w a r dd i s t r i b u t i n ga n dc o l l a b o r a t i o n t h em a i nc o n t e n to ft h i sp a p e r i sd e s i g no fd i s t r i b u t e dc o l l a b o r a t i v ei n t r u s i o nd e t e c t i o ns y s t e mb a s e da g e n t ，a n d t h ep u r p o s ei sb u i l d i n gad i s t r i b u t e di n t r u s i o nd e t e c t i o np r o t o t y p es y s t e mt h a ti si n t h ef a c eo ft h el a r g e s c a l en e t w o r k t h ee m p h a s i so ft h ep a p e ri si m p l e m e n t a t i o n o ft h ed e t e c t i o na g e n ta n dt h ec o l l a b o r a t i v em e c h a n i s ma m o n ga g e n t s t h i sp a p e rb r i e f l ya n a l y z e st h ec u r r e n tn e t w o r ks e c u r i t yp r o b l e ma n ds o m e k i n d so fs o l u t i o n s ，a n de x p l a i n st h ei m p o r t a n c eo ft h ei n t r u s i o nd e t e c t i o ns y s t e m i nt h en e t w o r ks e c u r i t ys y s t e m t h ep a p e ri n t r o d u c e st h ed e f i n i t i o n ，f u n c t i o n ， c l a s s i f i c a t i o na n dt h em a i nd e t e c t i o nt e c h n o l o g yo fi n t r u s i o nd e t e c t i o n a n dt h e n ，t h ep a p e rp r e s e n tt h r e er e p r e s e n t a t i v ec o l l a b o r a t i v em e c h a n i s mo f t h ed i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ，a d v a n t a g ea n dd i s a d v a n t a g eo f t h e ma r e a n a l y z e d b a s e do nt h ee v e n tn o t i f i c a t i o ns e r v i c et h a ta d o p t st h ec o n t e n t - b a s e d c o m m u n i c a t i o nm e c h a n i s m ，ap e e r - t o p e e rd i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m m o d e li sp r o p o s e d t h ep a p e re x p a t i a t e so nt h et o p o l o g yo ft h ee v e n tn o t i f i c a t i o n s e r v i c e ，t h er o u t i n ga r i t h m e t i co ft h em e s s a g ea n dt h es t r a t e g yo ft h er o u t i n g m a n a g e m e n t i n t r u s i o nd e t e c t i o na g e n ti m p l e m e n t st h eb a s i cd e t e c t i o nf u n c t i o no ft h e d i s t r i b u t e di n t r u s i o nd e t e c t i o n s y s t e m t h ea g e n ta d o p t sp r o t o c o l a n a l y s i s t e c h n o l o g y p r o t o c o l - a n a l y s i st e c h n o l o g yp r o c e e df r o mt h ep e c u l i a rr e g u l a r i t yo f t h en e t w o r kc o m m u n i c a t i o np r o t o c o li sar e l a t i v e l ya d v a n c e dd e t e c t i o nt e c h n i q u e a tp r e s e n t ，a n di th a so v e r c o m es o m ef u n d a m e n t a ld e f e c t so ft h et r a d i t i o n a lp a t t e r n m a t c ht e c h n o l o g y t h ep a p e re x p a t i a t eo ne a c hf u n c t i o nm o d u l eo ft h ed e t e c t i o n a g e n t w i t ht h ew i d ea p p l i c a t i o no ft h ei n t e r n e t ，w o r m st h r e a tt o s e c u r i t yo f 哈尔滨一型大学硕十学位论文 c o m p u t e rs y s t e m a n ds e c u r i t yo fn e t w o r ki n c r e a s e sd a yb yd a y t h ep a p e r a n a l y z e s t h e r e p r e s e n t a t i v e a t t a c k p r o c e s s o fw o r m ，a n de d u c e ss o m e c h a r a c t e r i s t i c so fw o r m so w na c t i v i t y ：t h ec o m m u n i c a t i o na m o n gn o d e sw i l l p r o d u c em a n yn o n e f f e c t i v ec o n n e c t i o n si nt h es c a n n i n gs t a g e ，a n di nt h es t a g et h a t t h ew o r m sc o d ei st r a n s p o n e d ，t h ec o m m u n i c a t i o na m o n gn o d e sa p p e a rs i m i l a r i t y a n dt h em o d e lo fr a d i a t i o n s ob a s e dt h e s ec h a r a c t e r i s t i c s ，w ec a ni m p l e m e n t d e t e c t i o no fw o r mb yc h a r a c t e rd e t e c t i o na n dt h ec o l l a b o r a t i o no fi n t r u s i o n d e t e c t i o na g e n t k e y w o r d s ：i n t r u s i o nd e t e c t i o n ；p r o t o c o la n a l y s i s ；c o l l a b o r m i o n ；s u b s c r i b e p u b l i s h ； w o m 哈尔滨工程大学 学位论文原创性声明 本人郑重声明：本论文的所有工作，是在导师的指 导下，由作者本人独立完成的。有关观点、方法、数据 和文献的引用已在文中指出，并与参考文献相对应。除 文中已注明引用的内容外，本论文不包含任何其他个人 或集体已经公开发表的作品成果。对本文的研究做出重 要贡献的个人和集体，均已在文中以明确方式标明。本 人完全意识到本声明的法律结果由本人承担。 作者( 签字) ： 聿否星 日期p 卯墨年弓月，日 哈尔滨一 程大学硕士学位论文 第1 肇绪论 随羞馈惑技术的发展，i n t e m e t 褥到了迅猛的发展。电子裹务、电子敢 务、远程教育、网络虚拟丰区等己经走进人们的生活。计算机网络在政治、 军攀、经济、工业、商业、交通、f 莰信、文教等方甄的作用只益增大。社会 对计算机网络的依赖也f i 益增强。湖络己经成为现代 l ：会生产、生活中不可 或缺的一部分，并熙必将成为2 l 眭十纪全球最重要的基础设施。但烂，嘲络 固有的开放性，尤其是i n t e m e t 的跨国界悔，使网络一开始就面临巨大的安 全风险。而网络协议、各种软件的不完善以及网络篱理人员的错误使这种风 险成为现实豹灾难，网络入侵事件不断发生。 。 网终安全问题及英对策 1 1 ，1 网络蟊临的主要威胁 同益严蘑的网络信息安全问题，不仅使连接到因特劂的仓业、机构以及 霜户蒙受嚣太静经济损失， i | i 蘸使国家静安全与参粳蔼稿严重藏耱。慧结超 来，网络安全问题主要有以下几个方面【l 】： ( 1 ) 黑容静玫壹 黑客技术被越来越多的人掌握和发展，目前，1 t t ：界上肖2 0 多万个黑容 溺瓣，这些继点都奔绍一篷攻击方法毒l 致逡软爱：豹镬j ；| 浚及系绞鹣一些漏 洞。因而系统、站点遭受攻击的可能性就变大了，尤其是现在还缺乏针对网 络獬器缀有戏效豹爱壶窝麟踩手段，接褥蒸客攻击瓣隐蔽穗籍，黢坏力大， 足网络安垒的主要威胁。 钽) 警璨鹁欠缺 网络系统的管理足企业、机构及用户免受攻击的重戮措施。但足事j 实 上，援多金犍、撬搀及埂户的网络藏系绞帮藏予逡穷巍静餐褒。撼l t 赛企 业团体i t a a 的调鸯显示，茨国9 0 的i t 众业对黑客攻击准备不怒。 ( 3 ) 鄹终戆竣陵 哈尔滨工程大学硕士学位论文 i n t e r n e t 赖以生存的t c p i p 协议族缺乏相应的安全机制，因为因特网最 初的设计考虑的是该网络不会因局部故障而影响信息的传输，基本没有考虑 安全问题，因此在确保安全可靠，服务质量和带宽等方面存在着不适应性。 ( 4 ) 软件的漏洞 随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可能 避免地存在。我们常用的操作系统，无论是w i n d o w s 还是u n i x 几乎都存 在或多或少的安全漏洞，众多的各类服务器，浏览器，一些桌面软件，等等 都被发现存在安全隐患。任何一个软件都可能会因为程序员的一个疏忽，设 计中的一个缺陷等原因而存在漏洞。 ( 5 ) 企业网络内部 再完善的防火墙也无法抵御来自网络内部的攻击，无法对网络内部用户 的误操作，资源滥用和恶意行为做出反应。 ( 6 ) 计算机病毒 目前全球己发现5 万余种计算机病毒，并且还在以每天1 0 余种的速度 增长。此外还有特洛伊木马( t r o j a nh o r s e ) 和蠕虫( w o r m s ) 问题。它们虽然不 是严格的病毒，但不仅和病毒的危害性相当，而且一般也会伴随着病毒一起 向用户发起攻击。 1 1 2 网络安全的目标 从技术角度来说，网络信息安全与保密的目标主要表现在系统的保密 性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。 ( 1 ) 可靠性 可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定功能 的特性。可靠性是系统安全的最基本要求之一，是所有网络信息系统的建设 和运行目标。 ( 2 ) 可用性 可用性是网络信息可被授权实体访问并按需求使用的特性。即网络信息 服务在需要时，允许授权用户或实体使用，或者是网络部分受损或需要降级 使用时，仍能为授权用户提供有效服务。 哈尔滨啊鼙人学硕十学位论文 ( 3 ) 保密性 保密性是指防止信息泄漏给非授权个人或实体，信息只为授权用户使用 的特性。保密性是保障网络信息安全的重要手段。 ( 4 ) 完整性 完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或 传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等 破坏的特眭。 ( 5 ) 不可抵赖性 不可抵赖性也称作不可否认性，在网络信息系统的交互过程中，确信参 与者的真实同一性。即，所有参与者都不可能否认或抵赖曾经完成的操作或 承诺。利用信息源证据可以防止发信方否认已发送信息，利用递交接收证据 可以防止收信方事后否认已经接收的信息。 ( 6 ) 可控性 可控性是对网络信息的传播及内容具有控制能力的特性。 1 1 3 传统网络安全技术 为了保护i n t e r n e t 上信息、服务和访问的安全性：，人们j 1 ：发了多种安全 i 办议和技术。网络安全基本技术主要有存取控制、数据完整性、加密技术、 用户认证技术、安全协议、防火墙技术和v p n 技术等【2j 。 ( 1 ) 存取控制 存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络 安全理论的重要方面，主要包括人员限制、数据标以、权限控制，它一般与 身份验证技术一起使用，赋予不同身份的用户以不同的操作权限，以实现不 同安全级别的信息分级管理。 ( 2 ) 数据完整性 完整性证明是在数据传输过程中，验证收到的数据和原来数据之间保持 一致的手段。检验和是最早采用的数据完褴性验证的方法，它虽只能起到基 本的验证作用，但由于它的实现非常简单( 一般都由硬f l 二实现) ，现在仍然广 泛应用于网络数据的传输和保护中。 哈尔滨t 程大学硕1 ：学位论文 i ；ii ii # ；掌；赫赫；篁黼喾；搿篇；篇喾；毒拦；盏黼；昔端喾；盏黼 ( 3 ) 烟密技术 加密是一种最旗本的安全技术，主要闱在数据存储、数据传输和1 2 1 令敞 术中。热窭葵法大致可分必对豫搬密f 秘密密钥季h 菲对称加密( 公开密钥) 鼹 种。代表算法分别怒d e s 算法、r s a 算法。加密技术最终将被集成到系统 彝弱终中，盎bi p v 6 裁蠢了内萋鸯鞋寮支持。 ( 4 ) 用户身份认证 用户身份认迁鼯技验翅户访阉系绞弱使用信息的资缝，它是网络安全的 关键技术。 ( 5 ) 安全协议 安全协议对信恩进行编码加密，能保护信息的宪整性，使在必趣一致团 体的交流和集会中保护非保密信患成为可熊。垦瓣最具吸g l 力的弼种协议鼹 安众套接口层“s s l ) 协议和互联网蜜全协议( i p s e c ) ，s s l 一般用束保护w e b 服务器和w e b 测览器之间的通信。i p s e c 协议用于建立用户群之间的加密嶷 拟主机网络( v p n ) 。 ( 6 ) 防火墙技术 舫火墙技术通过在内部网络和外部网络之间设置一个系统来控制网络内 外主枫之间的访问。它基予对内部网络用户葺主机的信任来实施内部网络的 整体安全後。防火墙有很多类型，但大体可以分为两类：一类是基于p a c k e t f i l t e r ( 包过滤型) ，另一类是基于p r o x ys e r v i c e ( 代理服务) 。 ( 7 ) v p n 技术 虚拟专用网络( v p n ) j l t i 过在i n t e r n e t 的基础设施上建立逻辑飚道、蜘络 层的加密以及采翔鞠令保护、身份验证、权限设嚣、防火墙等猪旒，傈证数 据的完整性，避免被非法窃取。在实现用户数据传输需求的同时，满足了网 络窳全静要求。 。 ，4 网络安全模型一p r 1 。 4 1 动态薅络安全模型 传统静态安全技术的不足：防火墙技术、数搬加密技术等传统的安全措 施只能进行静态| l j ! i 护，它们属于静态的系统安全模型，一冀突破了它们的安 哈尔滨工程大学硕士学位论文 全防线，这些技术就会失去作用。这些安全技术手段存在着各自的缺陷，总 的来说它们的不足之处表现在以下三个方面【3 j l 4 j ： ( 1 ) 无法实时监测和报警，更没有自动响应功能； ( 2 ) 功能单一，没有形成一个信息共享的完整的安全体系结构； ( 3 ) 其自身的功能也是不完善的、不健全的、不安全的。 为克服这三个方面的不足，在实践经验和理论研究的基础上，提出了一 些动态安全模型，其中具有代表性的是p p d r 模型。 p p d r 模型包含4 个主要部分：安全策略( p o l i c y ) 、防护( p r o t e c t i o n ) 、检 测( d e t e c t i o n ) 、响应( r e s p o n s e l 。如图1 1 所示。 图1 1p p d r 模型示意图 p p d r 模型是在整体的安全策略的控制和指导下，在综合运用防护工具 ( 如防火墙、操作系统身份认证、加密等手段) 的同时，利用检测工具( 如漏洞 评估、入侵检测等系统) 了解和评估系统的安全状态，通过适当的响应将系 统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个 完整的、动态的安全循环。图中虽然是一平面的循环，但实际j ：足一个螺旋 上升的过程，经过了一个p p d r 循环之后，进行防护的水平将会得到提高。 从图中可以看出，策略是这个模型的核心，网络安全的其它几个方面围绕着 策略进行。在模型中检测和防护、响应处于一个同等重要的位置，入侵检测 系统也就作为一个系统在网络安全中发挥着重要作用。 ( 1 ) 策略 策略是模型的核心，在具体的实施过程中，策略意味着网络安全要达到 的目标，它决定了各种措施的强度。追求安全一般会牺牲用户使用的舒适 度，还有整个网络系统的运行性能，因此策略的制定要按照需要进行。 5 哈尔滨一l ：程大学颂j ：学位论义 ( 2 ) 防护 防护是动态安全模型中一个重凝的环节，它预先阻止攻击发生条件的产 ! t ，进攻蠢誊无法蹶裂遮入缦。它馁捶系绫安全爨护、网络安全貔护、谊惑 安企防护三个部分。系统安全防护雉指对操作系统安全的防护；网络安全防 护怒擐霹终篱理及妫络传蠊安全的防护；偿感安全防护是揍对数攒本身像褒 陀、完整性、可用性的保护。 ( 3 ) 检测 采取了各种安全防护擗施并不意昧着网络系统的安全性就得劁了保障。 遂避防护，系统能隰止大多数入l 受枣l 牛的发生，毽它不能黻止蹶鸯的攻击。 特别是那些利用新的系统缺陷、新的攻击手段的入侵，防护相对于攻击者来 溅怒滞后的。因此安全政紫躲第二个安全羼障就是检测。巍发现入侵居入侵 检测系统会通过响应模块改变系统的防护措施，改善系统的防护能力，从而 实现动态的系统安全模型。因此，从作用已分聿厅，入侵检测可以嚣作是实现 p p d r 模型的承前确后的关键环节。 检测的作用包括： 1 ) 异常监视：发现系统的异常情况如熏要文件的修改，不诿常的登录 等。 2 ) 模式发现：发现己知的攻击行为。 ( 4 ) 响墩 在发现了攻击企图或者攻击之焉，需要系统及时地进行反应，这包括： 1 ) 报告；无论系统自动化程度多高，都需要让管理员蜜| i 道是鞭有入侵发 生。 2 ) i 己录；必须将所有的情况泡录下来，包括入侵的各个细节以及系统的 反斑。 3 ) 反威：进行相应的处理以阻止进一步的入侵。 4 ) 羧熨：清除入侵造成的影确，佼系统俊复j f 常运行。 1 1 4 2 入侵检测系统在模型中的位置和作用 对于p p d r 模穗，入侵裣溯就是模鼙中煎捡溺鄢分，它的 笮攒在予承接 防护和响应的过程，是p p d r 理论实现的关键环节，起到了别的安全技术起 不剿酌俸鞠。 6 堕叠选三矍丕堂堕主堂垡堡苎 1 2 入侵检测系统概述 1 2 1 入侵检测系统的定义及其功能 入侵检测( i n t r u s i o nd e t e c t i o n ) 是指对入侵行为的发觉。它通过对计算 机网络或计算机系统中若干关键点收集到的信息进行分析，从中发现网络或 系统中是否有违反安全策略或危害系统安全的行为。入侵检测是动态安全技 术的核心技术之一。进行入侵检测的软件与硬件的组合便是入侵检测系统。 与其它安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得 到的数掘进行分析，并得出有用的结果。 入侵检测系统的功能主要有以下几点： ( 1 ) 识别入侵者； ( 2 ) 识别入侵行为； ( 3 ) 检测和监视已成功的安全突破； ( 4 ) 为对抗措施及时提供重要信息； 1 2 2 入侵检测系统的原理 入侵检测系统为了在特定的网络环境巾发现和识别未经授权的、恶意的 入侵耵1 攻击，并刘此做山反应，它一方面检测未经授权的划苏( 人或程序1 入 侵系统，另一方面还监视授权对象对系统资源的非法操作。入侵检测作为一 种积极主动的安全防护技术，提供了对内部、外部和误操作的实时保护，在 网络系统受到危害时拦截和响应入侵。 一般的入侵检测系统都包括以下几个部分【8 1 ： ( 1 ) 信息收集 信息收集是入侵检测的第一步，其内容包括系统同志、网络数据包、用 户活动的状态和行为等。通常需要在计算机网络系统中的若二f 个不同关键点 ( 不同网段和不同主机) 收集信息，这除了尽可能扩大检测范围的因素外，还 有一个重要的原因就是从一个源收集的信息有可能看不出疑点，但对从几个 源收集的信息进行融合后击| j 可能发现入侵。 ( 2 ) 信息分析 哈尔滨下程大学硕士学位论文 收集到信息之后，需要对信息进行安全性分析，从中发现攻击或入侵的 痕迹：从而达到检测入侵的目的。常用的信息分析方法有：模式匹配、统计 分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则 多用于事后分析。 ( 3 ) 信息存储 为了便于系统管理员对攻击信息进行查看和分析，需要将入侵检测系统 收集到的信息进行保存，存储的信息同时也为攻击保留了数字证据。另外， 信息分析所得到的重要结果也需要进行存储。 ( 4 ) 攻击响应 在对攻击信息进行分析并确定攻击的类型后，再对检测到的攻击进行相 应的处理：如发出警报、给系统管理员发出邮件、短信等。或者，利用自动 装置直接处理，如切断连接、过滤攻击者的i p 地址、根除入侵者留下的后 门以及数据恢复等。 1 2 3 入侵检测系统的分类 入侵检测按照不同的标准，有不同的划分方法。 ( 1 ) 按照数据来源的不同可以分为基于主机h i d s ( h o s ti n t r u s i o n d e t e c t i o ns y s t e m ) 、基于网络n i d s m e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m ) 着r l 混 合型入侵检测系统【5 j 。 基于主机的入侵检测系统是指系统获墩数据的依据是系统运行所在的主 机，保护的对象也是系统运行所在的主机，它主要负责监视与分析主机的审 计记录。 基于网络的入侵检测系统是指系统获取的数据足网络传输的数据包，保 护的足网络的运行【6 l 。 混合型入侵检测系统，是指能够同时分析来自主机系统审计r j 志和网络 数据流的入侵检测系统，一般为分布式结构，由多个部件构成。 ( 2 ) 按照检测方法的不同可以分为异常检测和误用检测两种i ”。 异常检测是指首先总结j f 常操作应该具有的特征( 用户轮廓) ，当用户活 动与f 常行为有重大偏离时即被认为是入侵。异常检测系统的效率取决于用 滁馨揍一l ：糕大学矮士掌穆论文 户轮廓的完备性和监控的频率。由于不需要对每种入侵行为进行定义，因此 畿有效硷潮未知豹入覆。 误用检测是指收集非诈常操作的行为特征，建立相关的特循库，当监测 黪鬻户或系统簿菇与痒中貔记录相匹配瓣，系绞就认茭逮穆行为楚入侵。浚 用检测能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使 懋浚震捡 燮l 无能为力。 ( 3 ) 按系统静模块的运行方式分为集中式、分布式。 集中式：系绕豹莠令摸块，锻疆数爨弱牧豢与分辑以及确应模块都集中 在一台主机运行，这种方式适用于网络环境比较简单的情况。 分鑫式：系统麴各个模块分东在嬲终中不同豹计算机、设誊上，一般寒 、娆分向蚀主要体现在数据收集模块一b ，例如有些系统引入的传感器 ( s e n s o r ) 。如聚鄹络环境毙较复杂、数据量比较大，那么数援分辑模块逛 会分布，般是按照层次的原则进行组织。 1 2 4 入侵检测常用方法 入俊捡测方法是i d s 系统确定巽霉零搏发生弱关键手段番 ；_ l ；潍，蹩入镘 检测的核心。通常入侵枪测方法分为异常检测和误用检测两种，在实际商用 i d s 系绫中逶豢粼结合捷蠲这弼秘方法。 1 24 1 异常检测方法 吴鬻捡测依赖于是豢摸型的建立，不嗣摸型擒藏誉翻豹捡测方法。在准 备阶段通过自适j 陂学习建立正常行为活动集；在使用阶段一方丽通过观察到 瓣测量镶偏离度寒颈测髑户行为的变化，然螽份援决繁刿颧，男一方露继续 修正行为集【0 】。 异零捡测方法主要巍以下，l 嵇： ( 1 ) 统计异常检测 统计方法是黪常检测中痤用缀多的一秘方法。首先，检测器根据用户对 象的动作为每个用户都建立一个用户特征表，遇过比较当前特褫与已存储定 溅的以斡特征，判颧是磷是异常行为。搦户特援表需要报据审计避录不颛加 l 三l 更新。 争 瞎象演j l ：程大学鹾士譬蹙论文 i i 这种方法的优越性程于能应用成熟的概率统计理论，但也有一些明恩的 不足之处，毙熬，完全依靠绫诗疆论可黪瀑捧熙蹙列援羧蘧关驳攀嵇鹣入侵 行为。其次，定义入侵的判断阀值也比较困难，阀值太低则漏枪率太高，阀 绫太襄剡误援率舞裹。 ( 2 ) 然于特征选择的异常检测 该方法是透：i 霪从一缀度量中拣选麓捻溺出入侵貔度辍擒戏予集寒壤确预 测或分豢已检测到的入侵。判断符合实际的度量很复杂，一个度量集对所有 熬各秘务撵静入搜类型不可能是慰够熬。鼹理怨豹入搜检测瘦爨集必须动态 地决策以获得最好的效聚。 ( 3 ) 臻子贝n 簸摧理的异誊梭测 该方法是通过在任意给定的时刻，测量a ，a 2 ，”变量值推理判 颧系统是否有入侵事 牛发生。其中每个a j 变量炭示系统不同方薅妻特链强l 磁盘i ，o 的活动数量) 。 ( 4 ) 旗子神经嬲络的异常检测 这种方法是利用神缀网络技术来进行入侵检测。其鹈本思懋跫用系列 僖息单元( 命令瑚 练神经单元，这样在绘定一组输入睡，就可以预测出输 鲢。与统计理论相比，神经嘲络更好地淡达了变量间的非线形关系，并能自 动学习并更毅。 ( 5 ) 麓于数掘挖掘的骅常检溅 计算机联网导致大擞审计记渌，而舅这些配渌大多足以文件形式存放， 若单独依靠手工方法去发现记录中的异常现象燕不够韵，也不容易找出审计 配录间的相互关系。将数据挖掘技术应用到入侵检测研究领域中，从审计数 稻或数掭流中稳撒感兴趣静知识和潜在的有用信怠，并利用这黧知谈去检测 辨常入侵。基于数据挖掘的方法可以处理大量数摆。但炬，剥1 实时入侵检 测还存程许多问题，需要开发交有效的数据挖掘算法和稠对应静体系。 另外还有基于贝叶新网络的异常检测、基于模式预测的异常检测、糕于 受盱斯聚类翡吴鬻检测翻基予褫器学习瓣舞露检测等方法。 1 24 2 误用检测方法 误臻入侵羧测静裁爨建，入侵行为麓按照墓释方式送行特鬣编码。入侵 特征描述了安全攀件或其它误用事件的特征、条件、排列和关系u 。 l n 烩杰 滨：l 程大学赣士学位论文 误用检测方法主要有以下几种： ( 1 ) 鏊手专家系绞豹误爝检测 该技术根据安全专家对可疑行为的分析经验米形成套推骥规则，然后 在此基础上建立艇应豹专家系统，由此专家系统囊动对掰涉及熬入馒行为进 行分析。该系统皮当能够随着经验的积累而利崩戴自学习能力进行规则的扩 充翻修焉。 ( 2 ) 熬于模型推理的误用检测 该技术营先使用一羊孛摧述挂语言将耪磅入侵行为表示为特定的模式特 征，这种模式相当于一种对攻击行为的熬名，愚攻击的唯一识别标志。入侵 捻测系统运毒亍时从网络或主概中提取数撼，熄数撼与预先定义好的各静模式 进行匹配。如果艘现匹配成功的数据则表示模式对应入侵行为的发生。 另鲫还有基予条件概率的误髑检测、基于状感迁移姻误用检测等方法。 1 ，3 论文的内容及组织结构 1 3 1 论文的斑要内容 从入侵检测系统酶发展方向来看。分布式入侵检测建必然盼选择。因 此，当前很多学者提出了分匆式入侵检测概架，如d d i s ，g r i d s ， e m e r a l d ，a a f i d 。这些分布式入侵裣测模翟酶数攥采集禳块徽翻了分 布，但是，数据分析模块都采取了树状的层次结构，也就是下绒数据采集模 浚把它采集舞静数据提交给上层数据分析模块，睡上层模决送行。这种数据 分析机制是必要的，因为有些状态分析需要全局数据的协同子分析模块对 这些鼗舔豹分轿无能为力，只畿疆它稻撬交给萁父分轿模块。聚终在校分辑 模块形成一个集中的分析单元，很容易引起性能瓶颈。因此，要真正完全实 璃一个分麝式静入侵检溺系统，必矮骰弱羧器分褥处理熬完全分布，麴魏蠢1 能合理分配负载，适应处理网络中大量信息的需要。 本文在基于内容熬溺惑转发梳翻静蘩确主，提瀣一静新鏊静分森式入侵 检测系统框架。该系统具有以下特点： ( 1 ) 代理穰铡 本系统的各个检测代理都是独立存在的实体，具有传统a g e n t 技术的各 l 哈尔滨工程大学硕士学位论文 秘饯蠡。毙摄好她羧照实黪零境的嚣要实瓣加入毅瓣代理以扩充系统鲍检测 能力。加入新的代嫒对原来系统没有丝毫影响，及大地改善了系统的可扩展 能力。 ( 2 ) 对等式架构 本系统采用对等式体系絮梅。熬个系统出若于执行a 侵检测功熊的代理 ( a g e n t ) 组成。这些代理分布在各个监测主机或内郗网络的接入点上。这样 便可以监控憋个网络中所鸯的通信情况，僳鹫分布式系统的优点。系统的器 个入侵检测代理都怒相对独立的，没有主从之分，互相协作共同完成对整个 网络的入侵检测。即使某个入侵检测代理失效，其它代理也能够正常完成入 侵椽测功能。这样，减少了集中控制的风险。 ( 3 ) 完全的分礤式数据分析机制 系统中检测代瑷作为独立的捡测实钵分散在整个潮络中，它承担了其漩 控范围内的全部的数据分析功能。各个代理并没商采用层次架构的组纵方 式，它们的数蠢分祈是完全分布 i ，不存在传统屡次结翰的分稚式入馒检测 系统所带来的集中数据分析问题。 ( 4 ) 独特的协俸裣测程檠 为满足入侵检测系统各个检测代理之间相互怫作的需要，本系统中引入 鏊予肉容的漕怠转发辊裁。梭瓣节悫可激遴过发布有关魏次攻裔信惠的订阅 消恩，向其它节点订阅相关信息；并通过消息转发机制提供报警信息给其它 节点。消慧转发辊涮逶过路舀算法秘楚理策略传输消怠翻秘静，羧大袋菠媲 减少了广播产生的网络流墩。 1 3 ，2 论文的组织结构 论文慧菸分六章。各章的内容安稀如下： 第一章：主要介绍当前计算机网络安全面临的一些主要问题，及目胁的 安全策酶，讨论了入侵裣溯技术磷究的必鬟往。缓着绘淝了入畿检溺酌定 义、基本原理和分类方法，最后介绍了入侵检测的些常用方法。 第二章；首先对瑷有瀚分靠式入侵裣测系统存在兹闯题遥葶亍了灏橱，给 出了本系统采用的分稚式结构。 哈尔滨i j 程大学硕士学位论文 第三章：详细介绍了入侵检测代理的设计。入侵检测代理实现了系统的 基本入侵检测功能，本章详细介绍了入侵检测代理的各个功能模块。 第四章：在本系统中，入侵检测代理之间采用基于发布，订阅的消息转 发技术来进行协作。本章对消息订阅发布系统的模型、关键技术及其特点 进行了介绍。 第五章：在消息订阅发布的各种数据模型中，本系统采用的是基于内 容的消息转发机制。本章详细介绍了基于内容的消息转发机制。阐明了消息 通知服务器所采用的拓扑结构和协议、通知和订阅消息的路由算法及各种消 息在服务器处所采用的处理策略。 第六章：利用前面章节构造的分布式入侵检测系统，在对网络蠕虫进行 分析的基础上，实现对网络蠕虫的检测。 1 4 本章小结 随着网络应用的迅猛发展。如何确保网络安全成为了非常重要的问题。 本章首先阐述了网络面临的主要威胁、网络安全要达到的目标以及臼i i l 广泛 应用的网络安全技术，说明了传统静态网络安全技术的不足，以及具有代表 的解决方案p p d r 模型。而入侵检测正是p p d r 模型的关键环节。接着 沦文对入侵检测的定义、主要功能、入侵检测原理、分类方法和常用的检测 技术进行了介绍。最后，给出论文的主要内容和组织结构。 哈尔滨一| = 程大学硕士学位论文 第2 章基于协作的分布式网络入侵检测系统模型 对于目前的入侵检测系统，无论采用何种数据来源( 基于主机的检测和 基于网络的检测) ，采用何种检测方法( 误用检测和异常检测) ，在整个数 据处理过程中，包括数据的收集、预处理、分析、检测，以及检测到入侵行 为后采取的响应措旌，都由单个监控设备或监控程序完成。然而在大规模、 分布式的应用环境中，这种传统的单机方式遇到了极大的挑战。在这种环境 下，要求各个入侵检测系统( 监控设备或监控程序) 之间能够实现高效的信息 共享和协作检测。 我们把协作定义为检测代理i d a 为完成某项特定的安全检测而与其它 相关的i d a 交换信息的过程。尽管并非每个i d a 都需要别的i d a 协助才能 实现其检测功能，但在很多场景下，确实需要i d a 间交换信息才能更好地 完成检测任务，甚至对某些入侵来说，必须要通过协作爿能成功地检测。 2 1 对入侵检测代理间协作的需要 对于来自单个主机或单个工作域内的攻击，集中式的入侵检测就可以完 成入侵检测任务。但是分布式协同攻击却是现在众多攻击手段中常见的一 种，研究人员发现对于这种攻击需要检测来自多个节点或工作域的数据源 仅凭单一主机直接获得的数据往往不足以得到正确的结果。为了检测出分靠 式协同攻击，检测代理之间需要进行协作。 分布式协同攻击是指一类多个攻击者采取分布方式、在同一攻击策略指 导下对同一个目标发起攻击或探测的行为，其攻击的技术手段和攻击步骤出 统一的攻击策略在各攻击者之间协调从而达到协同“。由于采用了多点协同 攻击方式，每个点的攻击特征就很弱，甚至在不同的管理域内，其初始状态 往往是正常的网络数据包，使用常规方式难以检测。另外，在被攻击处易于 确定攻击，但攻击流已经形成，很可能已经造成服务r f l 断。因此，需要在攻 击路径的适当位置发现攻击痕迹，并将不同位置的迹象迅速合成整体攻击特 征，能够提高攻击检测精度。这都需要对分柿在网络中不同位置的大量攻击 可疑信息进行迅速汇集和分析，因此协作是十分必要和有效的方法。 l4 哈零滨：箨夫学硕士学位论文 2 2 目前已有的协作机制 2 2 1 集中式协作检测 集中式褥俸裣灞仅褥其鼗藁浚集缓棒分毒到阏络中，蔼鼗霸处理锤务仍 然由一个或固定的几个组件承担。这种结构的最大优点魁：可以充分利用各 个数据浚集维辞键供的详缩数器，经遥融合嚣褥班a 侵耩嚣。集中式缝梭热 图2 1 所示。 图2 1 集中式协作检测结构 逮捞熬爨l 睾枧剁存农三个主要熬缺煮： ( 1 ) 熬个协作机制存在单点必效的危险 数撼处理缎件是集中式穆鄹检测中羧是重娶戆缀转，一丝失散，那么整 个入侵棱测系统也将陷入瘫痪。攻击者可能针对这一点，对系统中的数据处 理缀 孛发动攻毒，瑟攻责一旦成功，那么八缓梭测系统将失效。 ( 2 ) 对性能的要求很高 数掇处瑾缎传需要她理众多数据收集组件发送礞柬的数据，因此要求有 很高的处理能力和网络释吐能力。 ( 3 ) 缺乏可扩展性 集中式协同检测由于其数掘处理组件的数鬣是固定的，所以当被败测的 随络规模扩大时，无法蝴应地对数据处理组件逃行扩充，缺乏w 扩展性。 2 ，2 2 层次化协作检测 层次化协同检测就魑以层次化结构布置数槲处理组件。数撕处理组件划 蹬尔滨“：程夫学臻士学位论文 分为多个级别，低层组件从数据收集组件获得原始数据，经过掇炼、精简后 键交绘雯蒜基懿数据整溪鳃舞，粥整2 。2 菠示。 圈2 2 层次化协作检测结构 层次仡j 办阊稳测主要存在以下几个缺点： ( 1 ) 胺次化处理 数攒处理中存在层次。数据处理发生存所有澄次上，这意睬着一个新的 分布式攻击会导数模型巾的许多层次需鼹改变，以对此做出晌皮。 ( 2 ) 数据提练 所有层次都需要数撕提炼，每一层只报告报警事件给更商屡次。对于系 统范围的层次采说，什么是重要的事份怒依情况决定的，所黻徽难在低朦上 进行推断。如果进行严格的提炼，可能会丢失一些系统范围上需要注意的事 件，两翔莱提炼不严格，商罄酶分析器将会被下绥发柬篱大董数据鹰充斥。 为数据提炼找到个合适的折中还是尚待解决的问题。 ( 3 ) 所有瑟次上帮存在瓶舔模块 无论采用误用检测还是异常检测，分析引擎通常都使用复杂的模块分析 哈尔滨一( 栏大学硕十学位论文 系统审计日志、用户行为和系统状态。在c p u 、磁盘i o 和内存方面，这 些模块都需要耗费大量的资源。而在层次化协同检测系统中，这种模块存在 于所有的层次上。 ( 4 ) 组件间被动的相互作用 t d s 的组件之间以被动方式交互作用。以低层组件的分析结果为基础， 为高层组件生成数据。没有提供一种机制能让组件向其它组件主动查询。 2 2 3 完全对等的分布式协作检测 为了避免层次化协作检测存在的缺点，引入了完全对等的分布式协作检 测模型。如图2 3 所示，完全对等模型中的组件是对等的，不存在主控组 件，不存在逻辑上的从属关系，提高了系统的可靠性。系统中的所有组件相 互通信、协作，实际上每个组件都能够对全局性的入侵进行检测和报警。 图2 3 完全对等分布式协作检测结构 但是完全对等的分布式协作检测也存在缺点：在整个网络范围内，可能 导致通信量过于庞大。而且随着网络规模的扩大，组件数量的增加，通信量 会越来越大，同样会造成通信数据过载。l ；l ，盘n 有1 3 个组件两两通信，则每个 组件都要与( n 一1 ) 个组件进行通信，所以整个结构的通信量将是n ( n 一1 ) 2 的数量级，随着n 的增长而呈几何级数的增长。 完全对等模型中，检测组件可以是数据处理组件和数据收集组件的结合 体，也可是二者之一。通常将监控网络划分成数个小监控域，每个监控域布 哈尔滨l 科人学硕一l 学位论文 置基于网络和基于主机的数据收集组件，基于主机的数据收集组件和数据处 理组件可以结合成为一个检测组件。如果没有其它的数据处理组件，那么就 由这个检测组件接收监控域内的其它数据收集组件产生的数据。 2 3 系统采用的协作机制 根据上面的分析，本系统采用了完全对等的分布式协作检测模型。但是 各组件之间的通信采用基于内容的消息转发机制，以解决完全对等协作模型 通信量的问题。如图2 4 所示。 l d s 消息 。 慕于内容的