（计算机应用技术专业论文）基于径向基函数神经网络的多agent入侵检测系统研究.pdf

哈尔滨理工大学工学硕士学位论文 基于径向基函数神经网络的多；a g e n t , i n 侵检测系统 研究 摘要 计算机网络和信息技术的快速发展，使人们日常生活及工作环境对计算 机网络和信息技术的依赖越来越密切，对网络安全的要求也越来越高当前 网络安全防护技术有很多，如防火墙，访问控制和数据加密等。但是这些技 术都是静态防御技术，不能完全确保网络的安全和抵御黑客的攻击。在此背 景下，主动且动态地对网络进行安全防护的入侵检测系统不可避免地成为网 络安全发展的一个新方向，是传统网络安全技术的必要补充。 神经网络具有并行计算，非线性，自适应学习和调整，可以分析处理不 完整有失真的数据，抗干扰能力强等特性，使其在入侵检测领域中得以应 用。b p 网络是应用最广泛的一种神经网络，在入侵检测领域已经得到应 用。与b p 网络相比，径向基函数( r b f ) 神经网络不需要进行反向误差传播 的计算，而是完全前向的计算过程，具有训练时间短且不易收敛到局部最小 的优点，并且其函数逼近能力、模式识别与分类能力都优于b p 网络，因此 将径向基函数应用于入侵检测能够克服传统入侵检测系统的一些不足。 代理( a g e n t ) 是一个功能实体，能够感知环境变化，对变化做出判断和 推理，并形成决策控制相应的行为，从而完成一项任务。代理的上述优点使 其应用于入侵检测系统中，成为入侵检测技术的一个新的研究热点。 基于径向基函数和代理技术具有的这些优点，本文将两者结合起来同时 应用于入侵检测，提出了基于径向基函数神经网络的多a g e n t 入侵检测系统 模型。该模型中的模块都应用了基于r b f 神经网络的a g e n t ，每个a g e n t 都能互助与协作，使系统具有智能性、分布性、实时性和联动性的特点，能 够提供全方位的网络安全防御和系统保护，本文对其核心部分基于r b f 神 经网络的a g e n t 的结构设计、算法改进、仿真实验等方面进行了深入研究， 并对多个a g e n t 的互助与协作机制进行了讨论。该模型具有良好的易用性和 扩展性，是一种开发安全管理系统的有效手段。 关键词径向基函数；神经网络；a g e n t ；入侵检测 哈尔滨理工大学工学硕士学位论文 r e s e a r c ho fi n t r u s i o n d e t e c t i o ns y s t e mb a s e do n m u l t i - a g e n to fr a d i a lb a s i cf u n c t i o nn e u r a l n e t w o r k a b s t r a c t p e o p l e sd a i l yl i f ea n d w o r ki n c r e a s i n g l yd e p c n do nc o m p u t e rn e t w o r ka n d i n f o r m a t i o nt e c h n o l o g yb c c j 3 t u s eo ft h e i rf a s td e v e l o p m e n t s , a n dt h er e q u i r e m e n to f t h en e t w o r ks e c u r i t ya l s ob g x 沁m e sh i g h e ra n dh i g h e r b u tt h e r ea l eap l e n t yo ft h e c u r r e n tp r o t e c t i o nt c c h n o l o g i e so ft h en e t w o r ks e c u r i t y , s u c ha sf i r e w a l l , a c c e s s c o n t r o l l i n ga n dd a t ae n c r y p t i o na n ds oo n , a l lt h e s et e c h n o l o g i e s 啪n o te n t i r e l y p r o t e c tt h en e t w o r ks e c u r i t ya n dp r e v e n tt h eh a c k e r sa t t a c k s o , r e s e a r c h i n ga n d d e v e l o p i n gn e wi n t r u s i o nd e t e c t i o ns y s t e m ，w h i c h 啪i n i t i a t i v e l ya n dd y n a m i c a l l y p r o t e c tt h en e t w o r k , i n v a l i d l yb e o o m ean e wp r i m a r yd i r e c t i o no ft h en e t w o r k s e c u r i t y n e u r a ln e t w o r k so u t s t a n d i n ga b i l i t i e so fp a l a l l dc o m p u t i n g , n o n - l i n e a r i t y , s e l f - a d a p t i v e ，h a n d l i n gd i s t o r t i o nd a t a ，a n t i - j a m m i n g , m a k ei t s e l fav e r ys i g n i f i c a n tt o o l a p p l y i n gi nt h ei n t r u s i o nd e t e c t i o nf i e l d b pn e t w o r k , o n eo ft h em o s tw i d e l yu s e d n e u r a ln e t w o r k s ，i sa l r e a d ya p p l i e di nt h ei n t r u s i o nd e t e c t i o nf i e l d i nc o m p a r i s o n w i t hb pn e t w o r k , r b fn e u 珊n e t w o r ki sn o ta l le i l o rb a c kp r o p a g a t i o nm e t h o db u t a l le n t i r ef r o n tp r o p a g a t i o nm e t h o d i t st r a i n i n gt i m ei ss h o r ta n di ti sn o te a s yt o c o n v e r g et ot h e l o c a lm i n i m u m t h ef u n c t i o na p p r o x i m a t i o na b i l i t y ，p a t t e r n r e c o g n i t i o na n dc l a s s i f i c a t i o na b i l i t ya l eb e t t e rt h a nb p 、n e t w o r k t h e r e f o r ei n t r u s i o n d e t e c t i o ns y s t e mb a s e do nr b fw i ho v e r c o m es h o r t c o m i n g so ft h et r a d i t i o n a l i n t r u s i o nd e t e c t i o ns y s t e m t h ea g e n t ( a g e n t ) i saf u n c t i o ne n t i t yt of e e lt h ec h a n g e so fe n v i r o n m e n ta n d r e a c tt ot h ec h a n g e s t h ea g e n t sa d v a n t a g e sa b o v em a k ei tb e c o m ean e wr e s e a r c h a r e ao fi n t r u s i o nd e t e c t i o nt e c h n i q u ew h i l ea p p l y i n gt oi n t r u s i o nd e t e c t i o ns y s t e m i nt h i sa r t i c l e ，t h ea u t h o rp r o p o s e di n t r u s i o nd e t e c t i o ns y s t e mm o d e lb a s e do n m u l t i - a g e n to fr a d i a l b a s i cf u n c t i o nn e u r a ln e t w o r kt h r o u g h a p p l y i n gt o t w o 哈尔滨理工大学工学硕士学位论文 t e c h n o l o g yi nt h ei n t r u s i o nd e t e c t i o nf i e l d ，b e c a u s eo ft h e s ea d v a n t a g e so fr a d i a l b a s i cf u n c t i o n sa n da g e n tt e c h n o l o g y m o d u l eo ft h i sm o d e li sa g e n tb a s e do i lr b f n e u r a ln e t w o r ka n de v e r ya g e n tc a nc o o p e r a t i v ee a c ho t h e r i t si n t e l l i g e n c e , d i s t r i b u t i o n , r e a l - t i m er e s p o n s ea n di n t e r a c t i v ef e a t u r e sp r o v i d ec o m p r e h e n s i v e n e t w o r kd e f e n s ea n ds y s t e m sp r o t e c t i o nf o ru s e r s i nt h i sa r t i c l et h ea u t h o rd e e p l y r e s e a r c hs t r u c t u r ed e s i g n ，a l g o r i t h mi m p r o v e m e n t , a n de m u l a t o rt e s tb a s e do na g e n t o fn e u r a ln e t w o r k t h i sm o d e lh a st h eg o o du s a b i l i t ya n dt h ee x t e n d i b i l i t ya n di sa n e f f e c t i v em e t h o do fd e v e l o p i n gs e c u r i t ym a n a g e m e n ts y s t e m k e y w o r d s r a d i a lb a s i cf u n c t i o n , n e u r a ln e t w o r k , a g e n t , i n t r u s i o nd e t e c t i o n - m 、 哈尔滨理工大学硕士学位论文原创性声明 本人郑重声明：此处所提交的硕士学位论文基于径向基函数神经网络的 多a g e n t 入侵检测系统研究，是本人在导师指导下，在哈尔滨理工大学攻读硕 士学位期间独立进行研究工作所取得的成果。据本人所知，论文中除已注明部分 外不包含他人已发表或撰写过的研究成果。对本文研究工作做出贡献的个人和集 体，均已在文中以明确方式注明。本声明的法律结果将完全由本人承担。 作者签名= 0 拖两 日期：2 删爹年弓月心日 哈尔滨理工大学硕士学位论文使用授权书 基于径向基函数神经网络的多a g e n t 入侵检测系统研究系本人在哈尔滨 理工大学攻读硕士学位期间在导师指导下完成的硕士学位论文。本论文的研究成 果归哈尔滨理工大学所有，本论文的研究内容不得以其他单位的名义发表。本人 完全了解哈尔滨理工大学关于保存、使用学位论文的规定，同意学校保留并向有 关部门提交论文和电子版本，允许论文被查阅和借阅。本人授权哈尔滨理工大学 可以采用影印、缩印或其他复制手段保存论文，可以公布论文的全部或部分内 容。 本学位论文属于 保密口，在年解密后适用授权书。 不保密曰。 ( 请在以上相应方框内打) 僦名：艳叼 嗍摊例妒 剔磁氧卅恸矿 嗍：蝣多刖娟 1 1 课题背景 第1 章绪论 针对众多的入侵行为，为了加固我们的网络，人们研究制定并应用了各种 安全策略和工具。当前网络安全防护技术有很多，如防火墙，访问控制和数据 加密等，这些技术都是静态防御技术，而如今的网络攻击和入侵要求我们必须 主动地去检测，发现和排除安全隐患正是在这样的环境下，主动且动态地对 网络进行安全防护的入侵检测系统不可避免地成为网络安全发展的一个新方 向，不仅愈来愈多的受到人们的关注，而且已经开始在各种不同的环境中发挥 越来越重要的作用。 入侵检测技术是一种为了保护计算机网络系统安全而设计的用于检测违反 安全策略行为的技术。它通过对计算机网络或系统中的若干关键点收集信息并 对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象。这是一 种集检测、记录、报警、响应的动态安全技术，不仅能检测来自外部的入侵行 为，同时也监督内部用户的未授权活动。可以说入侵检测技术是继“防火 墙黟、鬈数据加密挣等传统安全保护措施后新一代的安全技术 1 1 入侵检测系统最早是基于主机的体系结构，之后出现了基于网络的体系结 构，目前几乎所有的入侵检测系统都集中在宽带高速的实时入侵检测、大规模 智能入侵检测、入侵检测的数据融合技术等方面，而对智能入侵检测尤其是基 于神经网络的智能入侵检测技术是入侵检测系统的发展方向之一，它能够主动 发现已知和未知攻击，通过自学习检测出未知攻击，为防范不可预知性入侵提 供了可靠保证。因此，本题目具有很高的理论研究意义及应用价值。 1 2 国内外相关研究现状 入侵检测技术自2 0 世纪8 0 年代早期提出以来，经过2 0 多年的不断发 展，从最初的一种有价值的研究想法和单纯的理论模型，迅速发展出种类繁多 的各种实际原型系统，并且在近1 0 年内涌现出许多商用入侵检测系统产品， 成为计算机安全防护领域内不可缺少的一种重要的安全防护技术【2 j 。 入侵检侧的研究最早可以追溯到1 9 8 0 年4 月，j a m e sp a n d e r s o n 为美国空 哈尔滨理工大学工学硕士学位论文 军做了一份题为( c o m p u t e rs e c u r i t yt h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ) ( 计算 机安全威胁监控与监视) 的技术报告，第一次详细阐述了入侵检测的概念【3 l 。他 提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内 部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想。这 份报告被公认为是入侵检测的开创性工作。 1 9 8 4 - 1 9 8 6 年，d e n n i n g 和n e u m a n n 设计和实现了著名的实时入侵检测系 统模型，取名为d e s ( 入侵检测专家系统) 。该模型由六个部分组成：主体、 对象、审计记录、轮廓特征、异常记录、活动规则它独立于特定的系统平 台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用 的框架1 4 j 。 1 9 8 7 年，d e n n i n g 首次提出异常检测抽象模型，将入侵检测作为一种计算 机系统的安全防御措施。该通用模型被后来的许多入侵检测系统所采用。被认 为是入侵检测研究的又一里程碑。 1 9 9 6 年，新墨西哥大学f o r r e s t 提出基于计算机免疫学的入侵检测技术。 1 9 9 7 年，c i s c o 公司开始将入侵检测技术嵌入到路由器，同时，i s s 公司 发布了基于w i n d o w s 平台的r e a ls e c u r e 入侵检测系统。自此拉开了商用网络 入侵检测系统的发展序幕。 1 9 9 8 年，a n d e r s o n 将信息检索技术引进到入侵检测。 1 9 9 9 年，通用入侵检测框架c i d f 开始讨论；砌p p 盱将数据挖掘技术应用 于入侵检测闭。 2 0 0 2 年，入侵检测交换协议i d x p 完成。 可以看出，在发展的早期阶段( 1 9 8 4 - 1 9 9 5 年) ，入侵检测还仅仅是一个有 趣的研究领域，还没有获得计算机用户的足够注意。这是因为，当时的流行做 法是将计算机安全的大部分预算投入到预防性措施上，例如加密、身份验证、 访问控制等，而将检测和响应等排斥在外。到了1 9 9 6 年后，才逐步出现了大 量的商用入侵检测系统。值得一提的是，早期的入侵检测系统几乎都是基于主 机的，但是过去的1 0 年里最流行的商业入侵检测系统大多却是基于网络的。 为了提高入侵检测系统产品、组件及与其他安全产品之间的互操作性，美 国国防高级研究计划署( d e f e n s ea d v a n c e dr e s e a r c hp r o j e c ta g e n c y ，简称 d a r p a ) 和i n t e r a c t 工程任务组( i n t e m e te n g i n e e r i n gt a s kf o r c e ，简称肼) 的 入侵检测工作组( i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ，简称i d w g ) 发起制订了 一系列建议草案，从体系结构、a p i 、通信机制、语言格式等方面规范i d s 的 标准。d a r p a 提出的建议是公共入侵检测框架( c o m m o ni n t r u s i o nd e t e c t i o n 哈尔滨理工大学工学硕士学位论文 f r a m e w o r k ，简称c d f ) ，最早由加州大学d a v i s 分校安全实验室主持起草工 作，c i d f 正在开发和讨论之中，有可能成为入侵检测系统的标准。国内的入 侵监测系统的研究在近几年才开始，在检测理论( 有遗传算法、基于攻击分类 的监测、模糊推理) 、检测模型( 分布式协作模型、多a g e n t ) 、商用产品 ( n e t c o p 、天眼、s k y b e l l ) 的研究上取得一定的进展1 6 。 近几年随着网络及其安全技术的飞速发展，一些新的入侵检测技术相继出 现，主要包括：人工神经网络、遗传算法、模糊技术、移动代理、计算机免疫 学、数据挖掘、协议分析加命令解析技术等。其中，基于神经网络的入侵检测 技术发展得尤为突出1 7 l 。 神经网络应用于入侵检测领域的主要优势是：具有概括和抽象能力，对不 完整输入信息具有一定程度的容错处理能力；具有高度的学习和自适应能力； 具有内在并行计算和存储特性。前人已在神经网络领域作了若干研究，并且有 多种可用的神经网络模型可供使用，如基于b p 网络的入侵检测系统和基于 r b f 网络的入侵检测系统 s l 。b p 网络在入侵检测中的应用较多，但是存在局 部最优问题，训练速度慢，效率低，在某种程度上限制了其应用范围。与b p 网络同属前馈神经网络的r b f 网络在一定程度上克服了这些问题。具有训练 时间短且不易收敛到局部最小的优点，既能检测已知的入侵，也能在一定程度 上检测出未知入侵，并且网络的函数逼近能力、模式识别与分类能力都优于 b p 网络嗍。 1 3 现有系统存在的不足 如今的入侵检测系统不尽如人意，虽然开发者一直致力于通过改进和改良 现有的技术克服这些局限性，然而有些局限性是固有的，是由现有入侵检测系 统的体系结构造成的。其中，最常见的局限性如下： 1 缺乏有效性虽然一些分布式入侵检测系统在数据收集上实现了分布 式，但是数据的分析、入侵的检测还是由单个程序完成的。当要求处理的事件 非常多时，就无法对事件进行实时分析，从而会导致入侵检测系统因来不及处 理过量数据或丢失网络数据包而失效【l o l 。这在如今的大型网络中非常多见。 2 有限的灵活性如今的入侵检测系统是与操作系统相关的，且当进行 升级或重新配置时，需要重新启动。 3 单点失效当入侵检测系统自身因受到攻击或其他原因而不能正常工 作时，其保护功能就会丧失。 哈尔滨理工大学工学硕士学位论文 4 有限的响应能力传统的入侵检测系统将注意力集中在检测攻击。虽 然检测很有用，但系统管理员常常无法立即分析入侵检测系统的报告，并采取 相应的行动。这就使攻击者在系统管理员采取行动前有机可乘。 5 缺乏对入侵检测关键组件的保护入侵检测作为应用系统的防护措 施，也要面对很多攻击。一般而言，入侵检测系统并不能保证检测出所有的攻 击，如果攻击把入侵检测系统某一组件攻破，那么入侵检测系统的检测功能就 会大打折扣i n l 。 6 缺乏有效的协同现在入侵检测系统大多只是针对特定网段、特定主 机的数据进行分析，还不能将来自不同源的信息进行协同分析，这会影响对某 些攻击的检测【切。 i d s 尽管是计算机网络安全的重要组成部分，但它不是一个完全的计算机 网络系统安全解决方案，它不能替代其它安全系统，如访问控制、身份识别与 认证、加密、防火墙等。 1 4 课题来源、研究内容及意义 1 4 1 课题来源 本课题来源于哈尔滨理工大学校园网安全管理建设工程。该课题以理工校 园网为研究对象，全面研究校园网的安全管理和相应的防范措施。 1 4 2 研究内容 通过分析目前的信息安全现状，可知传统的安全技术己经不能完全保证网 络安全。入侵检测( i n t r u s i o nd e t e c t i o n ) 作为安全防范的最后一道防线，可以及 时发现系统漏洞及入侵动机和行为，促使管理人员及时修正，显著地减少被入 侵的可能性。因此，将入侵检测引入网络安全防护是非常必要的。 本论文的主要研究内容包括： 1 研究了入侵检测的分类、作用及技术发展。 2 研究了人工神经网络在入侵检测中的应用，重点研究了径向基函数神 经网络在入侵检测中的应用及广阔前景。 3 分析了a g e n t 技术应用于入侵检测系统的优势，提出了基于a g e n t 的 入侵检测系统框架，对检测模块i d a 采用了r b f 神经网络结构，并对多 哈尔滨理工大学工学硕士学位论文 a g e n t 的互助和协作进行了详细阐述。 4 对基于r b f 神经网络的多a g e n t 入侵检测系统模型进行了总体设计， 主要包括模型的层次结构设计、模型中模块设计，然后对事件a g e n t ( e 砧、入 侵检测a g e n t ( i d a ) 的结构设计和功能实现进行了详细叙述。 5 给出了系统模型的仿真与测试，主要包括仿真实验过程以及实验结果 的分析。 1 4 3 研究意义 在当今的全球信息化潮流中，计算机网络安全问题不仅仅影响到电子商 务、电子政务等网络业务的发展，甚至影响到国家安全和国家稳定。信息战、 网络空间战的概念早就被提出，另外，网上的恐怖活动、政治团体不良信息传 播都可能对国家利益构成巨大威胁，因此网络安全问题己经被提高到关系到国 家战略安全的高度。 随着网络攻击手段的日益复杂化、多样化和自动化，传统的入侵检测系统 ( m s ) 己经不能满足安全需求。为了应对目前越来越频繁出现的分布式、多目 标、多阶段的组合式网络攻击和黑客行为，提高在高带宽、大规模网络环境下 入侵检测的效率、降低漏报率和缩短检测时间，主动且动态地对网络进行安全 防护已是当务之急。 因此，研究安全高效的入侵检测技术具有重大的现实意义和应用价值。 哈尔滨理工大学工学硕士学位论文 2 1 引言 第2 章入侵检测概述 随着网络技术的发展，越来越多的计算机连接到了网络上，互联网或本地 的局域网，这给予了黑客通过网络对计算机进行攻击和非法获取资源和数据提 供了方便。因此迫切需要提供一种安全措施来检测、防范攻击或对系统资源和 数据的未授权访问【1 3 l 。当然完全避免此类安全事件是不可能的，所能做到的是 尽可能的发现入侵的企图和入侵的行为，然后采用有效的措施阻止入侵、向有 关人员报警，然后尽可能的恢复系统、修补漏洞。 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理 员的安全管理能力，提高了信息安全基础结构的完整性。它从计算机网络系统 中的若干个关键点收集信息，并分析这些信息，看看网络中是否有违反安全策 略的行为和遭到袭击的迹象入侵检测被认为是防火墙之后的第二道安全闸 门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外 部攻击和误操作的实时保护。 有研究表明5 0 为| 的攻击来自网络内部，因此，防火墙在防范网络入 侵方面是远远不够的，能否成功的阻止网络黑客及网络蠕虫病毒的入侵，保证 计算机和网络系统的安全和正常运行，己经成为互联网络系统发展的关键问 题，由此而产生了对入侵检测的迫切需要1 1 4 1 。入侵检测技术是为保证计算机系 统的安全而设计并配置的一种能够及时发现并报告系统中未授权现象或异常现 象的技术，是一种用于检测计算机网络和系统中违反安全策略行为的技术。 2 2 入侵检测系统的必要性 在网络与信息安全策略中引入入侵检测系统，主要有两方面的原因： 第一个原因是网络和系统中存在着入侵行为，并且这种行为越来越多，危 害越来越大。入侵行为的存在是因为网络及系统存在漏洞。 一般来说，系统的安全特性主要包括：机密性，完整性和可用性。入侵和 攻击主要就是破坏了系统安全的以上特性。例如，非法用户盗取了系统的管理 员密码后，就可以完全控制该主机，为所欲为。本来无权访问的文件或数据， 哈尔滨理工大学工学硕士学位论文 现在可以访问，就破坏了系统的机密性；入侵者如果还改变了系统原有的配 置，改变了文件的内容，修改了数据，就破坏了系统完整性；攻击者使用拒绝 服务攻击，使得目标主机的资源被耗尽，网络带宽被完全占用，就破坏了系统 一的可用性。入侵者的企图不同，对系统安全特性的破坏也就不同，但不管是破 坏了哪一个特性，都会对系统和网络安全构成严重威胁。因此，保障网络和系 统的安全，就是保护系统的机密性、完整性和可用性不被破坏 第二个原因是其他安全策略不能完成网络安全的所有保护功能，需要入侵 检测系统的加入。防火墙技术是网络与信息安全领域的一项重要技术，它是要 保护的网络或系统与外界之间的一道安全屏障。它通过加强网络间的访问控 制，阻止内部网络的敏感数据被窃取的目的。它规定了哪些内部服务可以被外 界访问，外界的哪些人可以访问内部的服务，以及哪些外部服务可以被内部人 员访问。但防火墙只是一种被动的防御技术，它不是万能的，它无法识别和防 御来自内部网络的滥用和攻击，如内部员工恶意破坏、删除数据、越权使用设 备，也不能有效防止绕过防火墙的攻击，如公司的员工将机密数据用便携式存 储设备随身带出去造成泄密、员工自己拨号上网造成攻击进入等 1 5 1 其他的安全技术，如密码技术、访问控制、身份识别和认证等，也都是被 动的防护技术，当攻击者绕开或攻破它们后，它们就无能为力了。物理隔离技 术是一种比较保险的网络安全技术，但有很多场合不能使用物理隔离的方法进 行网络的防护而入侵检测技术作为一种主动防护技术，可以在攻击发生时记 录攻击者的行为、发出报警，必要时还可以追踪攻击者。它既可以独立运行， 也可以与防火墙等安全技术协同工作，更好地保护网络。因此，入侵检测系统 是整个网络安全防护体系中一个重要组成部分，其功能和地位是其他安全策略 无法替代的。 一个安全系统至少应该满足用户系统的机密性，完整性及可用性要求。但 是，随着网络连接的迅速扩展，特别是i n t e r a c t 大范围的开放以及金融领域网 络的接入，越来越多的系统遭到入侵攻击的威胁，这些威胁大多是通过挖掘操 作系统和应用服务程序的弱点或者缺陷来实现的。 目前，对付破坏系统企图的理想方法是建立一个安全系统。但这样不仅要 求所有的用户能够识别和认证自己，还要求用户采用各种各样的加密技术和访 问控制策略来保护数据。而从实际上看，这一点是很难做到的，原因如下： 第一，要将所有己安装的带安全缺陷的系统转换成安全系统是不现实的， 即使真正付诸于实践，也需要相当长的时间。 第二，加密技术方法本身存在一定的问题，如密钥的生成、传输、分配和 哈尔滨理工大学工学硕士学位论文 保存，加密算法的安全性。 第三，访问控制和保护模型本身存在一定的问题。 第四，静态的安全控制措施不足以保护安全对象属性。通常，安全访问控 制等级与用户的使用效率成反比。在一个系统中，担保安全特性的静态方法可 能会过于简单、不充分，或者是系统过度地限制用户例如，静态安全措施未 必能阻止由于违背安全策略造成的对数据文件的浏览，强制访问控制仅允许用 户访问具有合适通道的数据，造成系统使用的不便。因此，一种动态的安全措 施( 如行为跟踪) 对检测或尽可能地阻止入侵是必要的。 第五，安全系统易受内部用户滥用特权的攻击。一些安全技术( 如防火 墙) ，能够防止一些外部攻击，对来自于内部的攻击就无能为力了。 第六，在实践当中，建立完全安全系统根本是不可能的。现今的操作系统 和应用程序中不可能没有缺陷在软件工程中存在着软件测试不充足、软件生 命周期缩短等问题。由于市场竞争激烈，软件生命周期正不断地缩短，常常导 致软件设计或测试不充分并且，有些软件的规模越来越大，复杂度越来越 高，运行中用户的操作行为、软件安装平台、软件与软件之间交互的不可控制 性都可能带来问题。虽然，软件商经常会针对某些具体缺陷发布一些修补软 件，但只能将系统的安全状态持续一段时间。此外，设计和实现一个整体安全 系统也相当困难【擒。 基于上述几类问题的解决难度，一个实用的方法是建立比较容易实现的安 全系统，同时按照一定的安全策略建立相应的安全辅助系统，i d s 就是这样一 类系统。现在，安全软件的开发方式基本上就是按照这个思路进行的。就目前 系统安全状况而言，系统存在被攻击的可能性。如果系统遭到攻击，只要尽可 能地检测到，甚至是实时地检测到，然后采取适当的处理措施，就可以避免造 成更大的损失。 过去，防范网络攻击最常用的方法是使用防火培。很多人认为只要安装一 个防火墙就可以保障网络的安全，实际上这是一个误解，仅仅使用防火墙保障 网络安全是远远不够的。首先，防火墙本身会有各种漏洞和后门，有时能被外 部黑客攻破；其次，防火墙不能阻止内攻击，对内部入侵者来说毫无作用；再 者，由于性能的限制，防火墙通常不能提供实时的入侵检测能力；最后，有些 外部访问可以绕开防火墙。例如，内部用户通过调制解调器拨号上网就把内部 网络连到了外部网络，而这一连接并没有通过防火培，防火墙对此没有任何监 控能力。 因此，仅仅依赖防火墙系统并不能保证足够的安全。而入侵检测系统可以 哈尔滨理工大学工学硕士学位论文 弥补防火墙的不足，为网络提供实时的入侵检测并采取相应的防护手段，如记 录证据用于跟踪入侵者和灾难恢复、发出警报，甚至终止进程、断开网络连接 等等。入侵检测系统可以看作是防火墙之后的第二道安全闸门，是防火墙的重 要补充，它在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻 击、外部攻击和误操作的实时检测。 入侵检测系统一般不是以采取预防的措施来防止入侵事件的发生，入侵检 测作为安全技术，其主要目的在于：第一，识别入侵者；第二，识别入侵行 为；第三，为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大。从 这个角度看安全问题，入侵检测对于建立一个安全系统来说是非常必要的，它 可以弥补传统安全保护措施的不足。 2 3 入侵检测系统的定义和作用 入侵检测是指在特定的网络环境中发现和识别未经授权的和恶意的攻击和 入侵，并对此做出反映的过程。而入侵检测系统是一套运用入侵检测技术对计 算机或网络资源进行实时检测的系统工具入侵检测系统一方面检测未经授权 的对象对系统的入侵：另一方面还监视授权的对象对系统资源的非法操作入 侵检测系统的作用有以下几种： l 。监视、分析用户和系统的运行状态，查找非法用户和合法用户的越权 操作 2 检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞。 3 对用户非正常活动的统计分析，发现攻击行为的规律。 4 检查系统程序和数据的一致性和正确性。 5 能够实时的对检测到的入侵行为进行响应。 6 对操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 由于入侵检测技术在网络安全防护中所起的作用至关重要，因此受到了广 泛的重视。 2 4 入侵检测系统的分类 随着入侵检测技术的发展，到目前为止出现了很多入侵检测系统，不同的 入侵检测系统具有不同的特征。根据不同的分类标准，入侵检测系统可分为不 同的类型。 哈尔滨理工大学工学硕士学位论文 2 4 1 根据原始数据的来源分类 入侵检测系统根据其原始数据的来源分为两类：基于主机的入侵检测系统 和基于网络的入侵检测系统。 1 基于主机的入侵检测系统基于主机的入侵检测系统主要用于保护运 行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入 侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指 出有人正在入侵或已经成功入侵了系统。通过查看日志文件，能够发现入侵企 图或成功的入侵，并很快地启动相应的应急响应程序。通常，基于主机的i d s 可监测系统、事件、w i n d o wn t 下的安全记录以及u n i x 环境下的系统记录， 从中发现可疑行为。当有文件发生变化时，i d s 将新的记录条目与攻击标记相 比较，看它们是否匹配。如果匹配，系统就会向管理员报警并向别的目标报 告，以采取措施。对关键系统文件和可执行文件的入侵检测的一个常用方法是 定期检查，以便发现意外的变化。此外，许多m s 还监听主机端口的活动，并 在特定端口被访问时向管理员报警。 尽管基于主机的入侵检测系统不如基于网络的入侵检测系统快捷，但它确 实具有基于网络的系统无法比拟的优点。这些优点包括： ( 1 ) 能确定攻击是否成功。主机是攻击的目的所在，所以基于主机的i d s 使用含有已经发生的事件信息，可以比基于网络的i d s 更加准确地判断攻击是 否成功。 ( 2 ) 监控力度更细。基于主机的i d s 监控的目标明确、视野集中，它可以 检测一些基于网络的i d s 不能检测的攻击。 ( 3 ) 配置灵活。每一个主机有其自身基于主机的i d s ，用户可以根据自己 的实际情况对其进行配置。 【4 ) 对网络流量不敏感。基于主机的i d s 一般不会因为网络流量的增加而 放弃对网络行为的监视。 ( 5 ) 不需要额外的硬件。 基于主机的入侵检测系统的主要缺点是：它会占用主机的资源，在服务器 上产生额外的负载；它缺乏平台支持，可移植性差，因而应用范围会受到严重 限制。 2 基于网络的入侵检测系统基于网络的入侵检测系统主要用于实时监 控网络关键路径的信息，侦听网络上的所有分组来采集数据，分析可疑现象。 基于网络的入侵检测系统使用原始网络包作为数据源。它通常利用一个运行在 哈尔滨理工大学工学硕士学位论文 混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务，当然也 可能采用其他特殊硬件获得原始网络包f 1 7 1 。 基于网络的i d s 有许多仅靠基于主机的入侵检测法无法提供的功能。它有 以下优点： ( 1 ) 监测速度快。基于网络的监测器通常能在微秒或秒级发现问题。而大 多数基于主机的产品则要依靠对最近几分钟内审计记录的分析。 ( 2 ) 隐蔽性好一个网络上的监测器不像一个主机那样明显和易被存取， 因而也不那么容易遭受攻击。基于网络的监视器不运行其他的应用程序，不提 供网络服务，可以不响应其他计算机，因此可以做得比较安全。 【3 ) 视野更宽。基于网络的i d s 可以检测一些主机检测不到的攻击，如基 于网络的s y n 攻击等，还可以检测不成功的攻击和恶意企图。 ( 4 ) 较少的监测器。由于使用一个监测器就可以保护一个共享的网段，所 以不需要很多的监测器。 ( 5 ) 攻击者不易转移证据。基于网络的i d s 使用正在发生的网络通信进行 对实时攻击的检测，所以攻击者无法转移证据。被捕获的数据不仅包括攻击的 方法，而且还包括可识别黑客身份和对其进行起诉的信息 ( 6 ) 操作系统无关性。基于网络的i d s 作为安全监测资源，与主机的操作 系统无关与之相比，基于主机的系统必须在特定的、没有遭到破坏的操作系 统中可能正常工作，生成有用的结果。 仍可以配置在专门的机器上，不会占用被保护的设备上的任何资源。 基于网络的入侵检测系统的主要缺点：只能监视本网段的活动，精确度不 高；在交换环境下难以配置；防入侵欺骗能力较差；难以定位入侵者l l s l 。 通常来说，基于主机的入侵检测系统只能检侧单一主机系统，而基于网络 的入侵检测系统可以对本网段多个主机进行检测，多个分布于不同网段上的网 络入侵检测系统可以采用协同工作的方式，以提供更强的入侵检测能力。 2 4 2 根据检测原理分类 传统的观点是根据入侵行为的属性将其分为异常和误用两种，然后分别对 其建立异常检测模型和误用检测模型。异常入侵检测是指能够根据异常行为和 使用计算机资源的情况检测出入侵的方法。它试图用定量的方式描述可以接受 的行为特征，以区分非正常的、潜在的入侵行为。误用入侵检测是指利用己知 系统和应用软件的弱点攻击模式来检测入侵的方法。与异常入侵检测不同，误 哈尔滨理工大学工学硕士学位论文 用入侵检测能检测出不利的或不可接受的行为，而异常入侵检测是检测出与正 常行为相违背的行为。综上，根据系统所采用的检测模型，将入侵检测分为两 大类：异常( a n o m a l y ) 入侵检测系统和误用( m i s u s e ) 入侵检测系统。 1 异常入侵检测异常入侵检测是建立在如下假设基础之上的，即任何 一种入侵行为都能由于其偏离正常或者所期望的系统和用户的活动规律而被检 测出来异常检测基于己经掌握的被保护对象的正常工作模式，并假定这种工 作模式是相对稳定的在这种入侵检测系统中一般要先建立一个初始模型，该 模型反映了被保护的网络系统、操作系统或应用系统的正常行为。在被保护对 象的运行过程中，入侵检测系统将当前监测到的活动情况与初始正常模型相比 较，当发生偏差超过设定值时，则认为有异常情况发生，产生报警。 该方法的优点在于能够检查出利用新的或不可预见的弱点进行入侵的企 图，由此可能发现一些新的攻击行为；同时，它较少地依赖特定的操作系统环 境，移植性较好。 异常入侵检测的主要缺陷在于误报率很高。因为不可能对整个系统内的所 有用户行为进行全面的描述，况且每个用户的行为是经常改变的，尤其在用户 数目众多，或工作目的经常改变的环境中其次，在许多环境下，为用户建立 正常行为的特征轮廓和对用户活动的异常性报告的确定都比较困难。同时并不 是所有入侵者的行为都能够产生明显的异常性。所以在入侵检测系统中，仅使 用基于行为异常性检测技术并不可能检测出所有的入侵行为。而且，有经验的 入侵者还可以通过缓慢地改变他的行为，来改变入侵检测系统中的用户正常行 为轮廓，使其入侵行为逐步“合法化 2 误用入侵检测误用入侵检测的技术基础是分析各种类型的攻击手 段，并找出可能的“攻击特征一集合。误用入侵检测利用这些特征集合或者是 对应的规则集合，对当前的数据来源进行各种处理后，再进行特征匹配或者规 则匹配工作。如果发现满足条件的匹配行为，就按照一定的策略进行响应，如 报警、阻断恶意连接或记录日志等。这里所指的“特征匹配 根据不同的具体 实现手段而各不相同，从最基本的字符串匹配到基于状态转移的分析模型等。 根据数据来源的不同，“特征 的含义也随之不同。 误用入侵检测的优点在于具有非常低的误报率，并且因为检测结果有明确 的参照，从而有利于安全管理人员采取清晰明确的预防保护措施。 然而，误用入侵检测的一个明显缺陷在于，检测范围受己知攻击行为知识 的局限。攻击技术在不断发展，收集到所有最新的攻击行为特征模式是不可能 的，维护工作也特别大；而且，将具体入侵手段抽象成知识也很困难。另一个 哈尔滨理工大学工学硕士学位论文 存在的问题是可移植性不好，因为关于网络攻击的信息绝大多数是与主机的操 作系统、软件平台和应用系统密切相关的。另外，难以检测出内部人员的入侵 行为，如合法用户的泄漏，因为这些入侵行为并没有利用系统脆弱性1 1 9 1 误用入侵检测最适用于已知攻击行为的可靠检测，但是它仅能检侧出已知 的入侵行为。 常用的误用入侵检测技术有专家系统( e x p e r ts y s t e m ) 技术、特征分析 ( s i g n a t u r ea n a l y s i s ) 技术、状态转移分析( s t a t e - t r a n s i t i o na n a l y s i s ) 技术等。 2 5 入侵检测面临的问题及其发展前景 2 5 1 面临的主要问题 如今的入侵检测系统不尽如人意，虽然开发者致力于通过改进和改良现有 技术克服这些局限性。然而有些局限性是固有的，是由现有入侵检测系统的体 系结构造成的。其中，最常见的局限性如下： 1 缺乏有效性虽然一些分布式入侵检测系统在数据收集上实现了分布 式，但是数据的分析、入侵的检测还是由单个程序完成的。当要求处理的事件 非常多时，就无法对事件进行实时分析，从而会导致入侵检测系统因来不及处 理过量数据或丢失网络数据包而失效。这在如今