（计算机应用技术专业论文）dids实体通信机制的研究与实现.pdf

哈尔滨工程大学硕士学位论文 摘要 随着网络技术的发展、网络入侵技术综合化、入侵手段隐蔽化、 入侵对象间接化、入侵规模扩大化的趋势与来越严重，传统的单机 入侵检测系统的局限性越来越明显，分布式入侵检测系统得到了广 泛应用。分布式入侵检测系统是一种分布于网络环境的入侵检测系 统，用来监视与网络相连的主机及网络自身，综合运用基于主机和 基于网络的检测技术。从网络的不同节点检测恶意攻击行为。其关 键技术是监测信息的协同处理与入侵供给全局信息的提取。 分布式入侵检测系统面临的个问题就是如何解决多个入侵检 测系统实体之间的信息交换。本文在课题组所提出的基于代理的分 布式入侵检测系统框架模型的基础上，设计了让这些应用于不同操 作系统的不同的实体间能够实现信息交换的分布式入侵检测系统实 体通信机制。通信机制的制定就是要将异构的入侵检测实体检测到 的信息转换成为一种统一的数据格式，也使得并用一定的形式表示 出来。 首先对所提出的基于代理的分布式入侵检测系统框架模型进行 简要介绍，对编程语言、通信机制、容错机制和安全机制进行了讨 论。其次对系统的分布式入侵检测实体通信机制进行设计，确定了 其中的主要数据结构、通信模型、通信连接方式、通信语言和a g e n t 安全性的实现，并对系统数据模型与消息格式设计进行了详细设计。 最后，本文使用k q m l 语言对i a d l d s 中实体通信过程的关键点进 行了形式化描述，并使用j a v a 语言实现了系统关键点，从理论 ：和 实际上证明了系统通信机制设计的可行性。 关键词：网络安全；分布式入侵检测；代理；通信机制：k q m l 哈尔滨工程大学硕士学位论文 a b s t r a c t w i t ht h ed e v e l o p m e n to fn e t w o r kt e c h n o l o g ya n dt h ei n t e g r a t i o n o fn e t w o r ki n t r u s i o nt e c h n o l o g y ，t o g e t h e rw i t ht h et e n d e n c yo f t h e c o v e r u po fi n t r u s i o nm e a n s ，t h ei n d i r e c t i o n o fi n t r u s i o no b j e c t ，a n d t h ee x p a n s i o no fi n t r u s i o ns c a l eb e i n gm o r ea n dm o r es e r i o u s ，t h e l i m i t a t i o no ft r a d i t i o n a ls i n g l ec o m p u t e ri n t r u s i o nd e t e c t i o ns y s t e m i s o b v i o u sa n dd i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e mi sa p p l i e dw i d e l y d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e mi sa ni n t r u s i o nd e t e c t i o ns y s t e m d i s t r i b u t e di nt h en e t w o r k ，w h o s eg o a li st od e t e c tm a r v e l o u si n t r u s i o n b e h a v i o r so fd i f f e r e n tn o d e si nt h en e t w o r kb ym o n i t o r i n gn e t w o r ka n d t h eh o s t sc o n n e c t e dw i t h i ta n d s y n t h e t i c a l l yu s i n g d e t e c t i o n t e c h n o l o g yb a s e do nb o t hh o s ta n dn e t w o r k t h ek e yt e c h n o l o g i e sa r e c o o r d i n a t e dh a n d l i n go fd e t e c t i o n i n f o r m a t i o na n da b s t r a c t i o no f i n t r u s i o ng l o b a li n f o r m a t i o n aq u e s t i o nf a c e db yd i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e mi sh o w t o i m p l e m e n tt h e i n f o r m a t i o ne x c h a n g eb e t w e e ns e v e r a li n t r u s i o n d e t e c t i o ns y s t e me n t i t i e s ，b a s e do nt h ed i s t r i b u t e di n t r u s i o nd e t e c t i o n s y s t e mm o d e lb a s e do na g e n ta d v a n c e db yo u rt e a m ，t h i sp a p e rd e s i g n s t h ee n t i t yc o m m u n i c a t i o nm e c h a n i s mo fd i s t r i b u t e di n t r u s i o nd e t e c t i o n s y s t e m t o i m p l e m e n tt h e i n f o r m a t i o n e x c h a n g eb e t w e e nd i f f e r e n t e n t i t i e sa p p l i e di nd i f f e r e n to p e r a t i o ns y s t e m s t h ee s t a b l i s h m e n to f t h ec o m m u n i c a t i o nm e c h a n i s mi st ot r a n s f o r mt h ei n f o r m a t i o nd e t e c t e d b yi s o m e r o u si n t r u s i o nd e t e c t i o ne n t i t i e si n t o au n i f o r md a t af o r m a t a n de x p r e s s e si ti ns o m ew a y f i r s t ，t h i sp a p e rb r i e f l y i n t r o d u c e st h ed i s t r i b u t e di n t r u s i o n d e t e c t i o ns y s t e mm o d e lb a s e do na g e n ta n dd i s c u s s e st h ea s s e m b l e l a n g u a g e ，c o m m u n i c a t i o n m e c h a n i s m ，t o l e r a n c em e c h a n i s m a n d s e c u r i t ym e c h a n i s m s e c o n d ，i td e s i g n st h ec o m m u n i c a t i o nm e c h a n i s m o fd i s t r i b u t e di n t r u s i o nd e t e c t i o ne n t i t yo fs y s t e ma n dc o n f i r m sm a j o r 哈尔滨工程大学硕士学位论文 d a t as t r u c t u r e ，c o m m u n i c a t i o nm o d e l ，c o m m u n i c a t i o nc o n n e c t i o nm o d e ， c o m m u n i c a t i o nl a n g u a g ea n dt h ei m p l e m e n t a t i o no fa g e n ts e c u r i t y a n di ta l s od e s i g n st h es y s t e md a t am o d e la n di n f o r m a t i o nf o r m a ti n d e t a i l a tl a s t ，t h i sp a p e rd e s c r i b e sf o r m a l l yt h ek e yp o i n t si nt h ee n t i t y c o m m u n i c a t i o np r o c e s so fs y s t e mu s i n gk q m l ，i m p l e m e n t sk e yp o i n t s o ft h es y s t e mi nj a v al a n g u a g e ，a n dc e r t i f i e st h ef e a s i b i l i t yo ft h e c o m m u n i c a t i o nm o d e li nt h e o r ya n dp r a c t i c e k e y w o r d s ：n e t w o r ks e c u r i t y ；d i s t r i b u t e di n t r u s i o nd e t e c t i o n ；a g e n t c o m m u n i c a t i o nm e c h a n i s m ；k q m l 哈尔滨工程大学 学位论文原创性声明 本人郑重声明：本论文的所有工作，是在导师的指 导下，由作者本人独立完成的。有关观点、方法、数据 和文献的引用已在文中指出，并与参考文献相对应。除 文中已注明引用的内容外，本论文不包含任何其他个人 或集体已经公开发表的作品成果。对本文的研究做出重 要贡献的个人和集体，均已在文中以明确方式标明。本 人完全意识到本声明的法律结果由本人承担。 ：撂 哈尔滨：张人学硕1 j 学何论文 1 1 网络安全概述 第1 章绪论 随着网络复杂性、规模和速度的迅速增氏以及人们对网络的依赖程度的 增加，网络已经成为人们生活中不可缺少的部分。根据中国互联网络信息中 心( c n n i c ) 调查统计，截至2 0 0 5 年6 月3 0h ，我幽互联网用户数量超过 l 亿户，其中宽带上网用户达到5 3 0 0 人，上网计算机总数为4 5 6 0 万，比2 0 0 4 年上半年增长9 3 0 万人，网民数和宽带上网人数均位居全球第二。根据报告 【2 1 的显示，到2 0 0 5 年底，全球火约有7 2 亿用于连入_ ：联网进行信息交互或 者商业运作。互联网i f 在不断高速发展，与此g j 时瓦联网的y l ：放性和安全漏 洞带来的安全风险也无时不在。 根据国际权威应急组织c e r t c c 的统计2 0 0 5 年h j - f l - 其收到漏洞报 告2 8 7 4 个，平均每天超过1 5 个。自1 9 9 5 年以来攻击收到漏洞报告总数1 9 6 0 0 个，从近两年统计情况来看报告漏洞数量处于较高的水平。表1 1 就是从2 0 0 0 年到2 0 0 5 年初的漏洞发现情况。表i 2 显示了从1 9 9 9 年到2 0 0 3 年c e r t c c 统计的计算机入侵事件数量。 表1 1c e r t c c 发布的漏洞数量报告 年份 2 0 0 02 0 0 l2 0 0 22 0 0 32 0 0 4 2 0 0 5 上半年 漏洞数量1 ，0 9 l 2 4 3 7 4 ，1 2 93 ，7 8 43 ，7 8 02 ，8 7 4 袭1 2c e r t c c 统计的计算机入侵事件 年份 1 9 9 92 0 0 02 0 0 l2 0 0 22 0 0 3 入侵事件数量 9 ，8 5 9 2 1 7 5 6 5 2 ，6 5 8 8 2 ，0 9 4 1 3 7 ，5 2 9 网络用户的急速增加与网络安全的h 益紧迫，这使得人们需要采取越来 越多的手段来维护网络的安全。最初安全性的维护手要依靠防火墙。利用 防火墙技术，经过仔细的配置，通常能够在内外网络之删提供安全的网络保 障屏障，降低内部网络受到攻击的风险。但是仅仅使用防火墙来保护网络内 部的安全是不够的。首先，入侵者可以寻找防火墙背后】。能敲丌的后门。其 哈尔滨j ：群火学硕十学位论文 次，防火墙完全不能阻止来自内部的攻击，对于来自内部的局域网的攻击防 火墙形同虚设。第三，由于性能的限制，防火墙通常只能实现粗粒度地过滤， 无法提供实时的监测能力。f 是因为这些原因，人们提出了入侵检测技术。 1 2 国内外研究现状 入侵检测( i n t r u s i o nd e t e c t i o n ) ，顾名思义，便是对入侵行为的发觉。它 通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析， 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入 侵检测的软件与硬件的组合便是入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ， 简称i d s ) 吼 l9 8 0 年4 月，j a m e spa n d e r s o n 在题为c o m p u t e rs e c u r i t yt h r e a t m o n i t o r i n ga n ds u r v e i l l a n c e ) ) ( 计算机安全威胁j l f 控与监视) 的技术报告f f 】， 首次详细阐述了入侵检测的概念。从1 9 8 4 年到1 9 8 6 年，乔治敦大学的 d o r o t h yd e n n i n g 和s r i c s l ( s r i 公司计。算机科学实验室) 的p e t e r n e u m a n n j i ) 究出了一个实时入侵检测系统模型，墩名为i d e s ( 入侵检测专家系统) 。 陔模型由六个部分组成：主体、对象、审计记录、轮廓特征、异常记录、活 动规则。它独立于特定的系统平台、应用环境、系统弱j _ 以及入侵类型，为 构建入侵检测系统提供了一个通用的框架。1 9 8 8 年。s r i c s i 的t e r e s al u n t 等人改进了d e n n i n g 的入侵检测模型，并丌发 l j 了一个i d e s 。该系统包括一 个异常检测器和个专家系统，分别用于统计异常模型的建立和基于规则的 特征分析检测。1 9 9 0 年，加州大学戴维斯分校的i ，t i l e b e r l e i n 等人丌发出了 n s m ( n e t w o r ks e c u r i t ym o n i t o r ) 。该系统第 次直接将网络流作为审计数据 来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从 此形成两大阵营：基于网络的入侵检测系统和基于主机的入侵检测系统。 刚络的迅速发腱使得现在的网络资源一般都是分散分f i j 的”1 ，这使得传 统的单机入侵检测系统的局限性越来越明恩，分伽式入侵检测系统( d i d s ) 应时而生，得到了广泛的应用。 莫罩斯蠕虫事件发生之后，美团空军、国家安全局_ j f f j 能源部共同资助空 军密码支持中心、劳伦斯利弗摩尔国家实验室、加州大学戴维斯分校、 2 哈尔滨哪人学硕十学位论文 h a y s t a c k 实验室，开展对分布式入侵检测系统d i d s 的研究，将基于主机和 基于网络的检测方法集成到一起。d i d s 是分布式入侵检测系统历史上的一 个罩程碑式的产品，它的检测模型采用了分层结构，包括数据、事件、主体、 上f 文、威胁、安全状态等6 层。 从2 0 世纪9 0 年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣 局面，并在智能化和分布式两个方向取得了氏足的进展。目i j i ，s r i c s l 、 普渡大学、d n , j 大学戴维斯分校、洛斯阿拉莫斯圈家实验室、哥伦比亚大学、 新聚两哥大学等机构在这些方面的研究代表了当前的最高水平。 国外从八十年代初就丌始了对入侵检测的研究，而国内入侵检测的研究 滞后很多。市场几乎全部为国外厂商占据。如：i s s 的r e a l s e c u r e 包括基t ： 主机的s y s t e ma g e n t 以及基于网络的n e t w o r ke n g i n e 两个套件：c i s e o 公司 的n e t r a n g e r 是一种企业级规模的实时入侵检测系统；中科网威的“天眼” 入侵检测系统、启明星辰的s k y b e l l ( 天阗) 是国内少有的几个入侵检测系统。 基于代理的入侵检测系统是新兴的研究方向，现有产品较少。“天一猫鹰 h m 1 d s ”入侵检测系统是一种基于代理的分布式入侵检测系统，可以根据需 要将代理灵活的部署，利用代理捕捉入侵和可疑的事件，在入侵成功之前发 现并阻止入侵，即使入侵成功了也能尽快发现以减少损失，这样很大程度上 提高了网络的安全性。 分布式既指外部攻击所采用的形式，又指检测系统所采取的检测方式。 它是一种分御于网络环境的入侵检测系统，用束监视与网络相连的主机及网 络自身，综合运用基于主机和基于网络的检测技术，从嘲络的不同节点检测 恶意攻击行为。它与传统基于单机的入侵检测系统相比，优势在于数据源和 分析引擎的分布化，既保证了检测系统可以获得多个层次、多个角度的安全 审计数据，又有效地实现了数掘处理任务的分厕i 化和协作化，提i 岛了系统的 处理效率和准确性。与之相对应，如何保证检测单元之例的信息交互，保h e 针对分布式数据的分布式处理可以高效地进行，是分撕j 式入侵检测的技术难 点之一。 由于人工智能与分前i 式技术的发展，从h ：纪9 0 年代起，a g e n t 技术成 为新一代分铂式处理的研究热点。a g e n t 本质l 是代表j t j ，1 - 在网上寻找合作 伙伴，进行交互并最终完成用户指派的任务的个划象。i tj 于单个的a g e n t 1 哈尔滨i 程人学硕十学位论文 i i i i i 的能力很有限，训。以利用多个a g e n t 协作在异构的捌络上寻找合适的资源完 成用户提出的任务。在a g e n t 系统中，对a g e n t 协同性的支持主要集中于对 通信机制的研究。这样就能克服分布式入侵检测带宽和时延的限制，同时能 解决分栉式入侵检测中信息交互所面临的问题”i 。使用a g e n t 来实现分布式 入侵检测是一个有力的选择。本文主要研究多a g e n t 实现分布式入侵捡测系 统中的实体通信机制问题。 1 3 代理实现关键问题研究简介 a g e n t 的实现涉及到多方面技术，其中主要有以f ，l 项关键技术【8 】： 1 编程语言： a g e n t 系统的编程语言可以是编泽型的，电可以是解释型 的。出于对平台无关性的考虑，一般都采用解释型的语吉( 如c 、c 十十、j a v a ) 。 山于j a v a 语占具有良好与平台无关性，大多数a g e n t 系统采用j a v a 语言。 2 通信机制：在a g e n t 系统中可采用的通信手段很多，有r p c 、r m i 、 m e s s a g e 、数据共享方式( 仅在本地有效) 等。它的通信连接方式可以选择： 黑板方式、联邦方式、广播方式和点到点方式。 4 容错机制”o l ：为了保证a g e n t 在异构环境中的诈常运行，考虑到服务 器异鬻、网络故障、目标主枫不可达等各类异常情况的出现，必须提供容错 手段，确保a g e n t 完成任务。大多数的系统都用提供a g e n t 非易失存储器 备份的方法来确保其丢失后能恢复运行。 5 安全机制：安全性足a g e n t 系统中重要的问题，它足任何a g e n t 系 统都必须解决的。安全机制既要保h e 主机不受恶意a g e n t 的攻击，又要保证 合法a g e n t 不受宿主机器的非法侵害。 1 4 课题研究目的和意义 分布式入侵检测系统面临的一个问题就是如何解决多个入侵检测系统实 体之间的信息交换。分布式入侵检测系统在实际应用中会面临多个操作系 统平台，如w i n d o w s 操作系统或l i n u x 操作系统等：会应用多个入侵检测系 统组件，有基于主机的也有基于网络的。如果让这些应用于不同操作系统的 4 哈尔滨工程大学硕士学位论文 不同的实体间实现信息交换，就需要从通信结构、信息格式等方面规范入侵 检测系统的标准。通信机制的制定就是要将异构的入侵检测实体检测到的信 息转换成为一种统一的数据格式，并用一定的形式表示出来。 i m e m e t 已经不断深入社会生活的各个角落，计算机和网络安全对政府及 各行业的影响越来越显著，对i d s 的研究及实现不论在商业上还是在军事上 都具有重要的实际意义。本课题是国防科工委十五预研项目一“网络安全技 术：抗入侵和恢复技术”的子项目，主要是解决分布式入侵检测系统实体的 通信机制，在充分了解现有的分布式入侵检测系统的通信机制基础上提出一 个分布式入侵检测系统实体的通信机制系统，明确系统将要通信的实际内容， 并对通信内容的通信格式和通信消息进行定义。在整个项目中具有承上启下 的作用，是连接各个实体的中间环节。实体之间通过定义的命令格式进行交 互，使得入侵检测系统实体之间或与需要交互的管理体系之间的信息共享。 在分布式系统中，通信机制的设置具有很重要的地位和意义。但在已有 的研究中都没有全面地对通信格式的定义和设计。本课题从主要数据结构、 通信模型和通信协议这三个方面，全面地设计和定义了分布式入侵检测系统 实体的通信机制系统。详细描述了信息流动过程，使用k q m l 吾言和j a v a 语 言对系统关键点进行了形式化描述和实现。 1 5 论文的组织结构 本文的其他章节安排如下： 第二章：将会介绍本课题组所设计的一个基于代理的分布式入侵检测系 统，描述系统的模型结构和个部分实体的功能，最后介绍系统中所涉及到的 通信机制关键问题的设计。 第三章：将主要针对系统的具体要求，设计并确立实体问通信机制。对 系统的数据模型和消息格式做了详细定义和说明，并使用k q m l 进行了形式 化的表述。 第四章：使用k q m l 语言和j a v a 语言对系统关键点进行形式化描述和实 现。 哈尔滨r 群人学硕十学何沦文 第2 章分布式入侵检测系统 针对目前现有的大多数入侵检测系统，无论是基于网络还是基于主机， 都使用单一独立的结构来进行集中的数据收集和分析这一特点，本课题组设 训了 个基于代理的分前j 式入侵检测系统( i n d e p e n d e n ta g e n t s b a s e d d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ，简称i a d i d s ) ，并描述了i a d i d s 的 模型结构和个部分实体的功能，最后对系统中所涉及到的通信机制关键问题 的设计作了简要介绍。 2 1 系统框架结构与各部件功能介绍 i a d i d s 是基于自主a g e n t 模型的。在系统中，应用山一系列互连的实 体构成。这些实体就是可以对行为( a c t i v i t y ) 做出反应的“a g e n t ”。将这样 的a g e n t 加到分类实体模型中，就允许应用的设计者通过分布式的应用能很 容易地添加新的功能而无需改变它的其它主要实体。构成一个应用的实体和 a g e n t 可能分竹i 存不同| 1 勺网络节点h 这样可以将一个应用的任务分布地执 行，可以解决因火量分析数据传输而产生的网络瓶颈问题，并增强了实刚性 和可靠性。 所有的a g e n t 的活动是根据一个基于行为事件的运行模型米进行的。一 个事件被一个a g e n t 接收后，触发一个反应，并且它自己也可能发出一个新 的事件。一个完整的执行过程是： 事件接收一反应一事件发生j 。 2 1 1 系统框架结构 i a d i d s 主要山检测器( d e t e c t o r ) 、管理器( m a n a g e r ) 和通讯器 ( c o m m u n i c a t o r ) 构成，此外还包括用户接口( u i ) 和数据库( d a t a b a s e ) ， 如图2 1 所示。 在系统中，机内的各实休按照层次结构进行组织，其中管理器处于最高 的层次，而检测器则处1 ：较低的层次：机问秆1 i 办作的实体则处于对等的地 位，各实体问无控制中心。 哈尔滨i 群人学硕十学化论文 图2 1 系统框架图 2 1 2 部件功能介绍 在i a d i d s 的模型是由四大关键实体组成的，分别是检测器、管理器、 通讯器和其他实体。 1 检测器( d e t e c t o r ) 检测器是本模型的基本检测单元。一台主机中可以运行任意多个 d e t e c t o r ，负责监视主机某个方面的运行情况，对异常或感兴趣的行为生成报 告，井向上级实体管理器进行汇报。d e t e c t o r 足个独矗运行、完成一定检 测任务的程序实体，有其独立的数掘来源和检测模式，并可以用任何编程语 言来编写。它可以单独实现检测任务，或多检测器相互协作，对网络和系统 用户的异常或可疑行为进行检测。d e t e c t o r 不产生任何警报。通常情况下， 对一到多个由d e t e c t o r 产生的报告，管理器会向用户发出一个警报。 系统框架本身并不对d e t e c t o r 的功能进行任何特殊的限制，因此d e t e c t o r 是模型中最具灵活性的部分。它可以监视主机系统的某一个特殊事件( 例如， 单位时间内处于连接状念的t c p 数量) ，也可以是一个复杂的软件( 例如，一 个轻量级的入侵检测系统s n o r t ) 。只要一个程序能够按照规定的方式对管理 器读取或输出信息，就可以作为系统的一个检测器运行。这样就极大的增强 了系统的可扩展性。 2 管理器( m a n a g e r ) 管理器在主机内是最高层次的实体。它负责控制各d e t e c t o r 的运作情况， 哈尔滨i ：捌人学硕十学何论义 包括开扁和停l e 主机中d e t e c t o r 的运作：检查d e t e c t o r 的工作状态并负责 向系统管理员报告；对下级实体d e t e c t o r 产生的报告进行汇总、分析和精简， 并产生警报。管理器同时肩负着机内d e t e c t o r 间消息传递的功能。d e t e c t o r 仞始化时，会向其l 二绂实体m a n a g e r 注册，这样存m a n a g e r 中就保存了它所 控制的所有d e t e c t o r 的i d 。当d e t e c t o r 需要机内通信时，只需要给出目标 d e t e c t o r 的i d ，m a n a g e r 就会将源d e t e c t o r 标准输入和输出重新定向到目标 d e t e c t o r ，实现机内d e t e c t o rf 刚的协作。 3 通讯器( c o m m u n i c a t o r ) 通讯器在逻辑上与管理器并无层次关系，它负责建立与维护机问通信信 道。它在每台主机上是唯一的，是协作主机间通信的桥梁。当检测器d e t e c t o r 要传送数据时，它指定目标d e t e c t o r ( 包括目标主机和检测器的标识) ，按照 m e s s a g e 类的定义将数据封装为消息，然后卜传给m a n a g e r 。m a n a g e r 判断目 标地址非本主机，则将消息继续上传。c o m m u n i c a t o r 首先检查是否与目标机 有通信信道存在( 即是否有t c p 连接) ，如果有，直接发送消息，否则协商 后建立连接。远程主机j 二的c o m m u n i c a t o r 接收到消息后，按照反向的过程进 行传送。当连接建立后会一直保持丌放状态，这样，后续消息的传送就比较 简单了。c o m m u n i c a t o r 是消息传送的中介部件，可以为消息提供路出服务。 它保存有一张结点路由表，存储与其通信的结点的地址信息，同时也可以向 其它结点查询未知结点的地址信息。 c o m m u n i c a t o r 的机间通信服务与m a n a g e r 的机内通信服务有相似的地 方，但二者最大的不同是m a n a g e r 在消息传送时，仅仅需要将输入、输l 乜描 述符重定向，而c o m m u n i c a t o r 则要进行路由的选择和更新、信道的建立和维 护等工作。这也是将机间通信选择一个独立的代理工作的原因。 4 其它实体 系统中的部件还包括了用户接口( u i ) 和数据库( d b ) 。通过用户接口，管 理员可以实时的发布命令，与系统交互。数据库是用来存储系统活动数据的 实体，保存管理器提交的数据，加入时m 因素或事件序列，以利于事件匹配， 以及提供实体学习的知识库。 哈尔滨小j ! ；! 大学硕士学位论文 2 。1 3 系统特性 系统模型中，机内的各实体按照层次结构进行组织，其中管理器处于最 高的层次而检测器则处于较低的层次；机间相互协作的实体则处于对等的 地位，各实体问无控制中心。这种结构的最明显的好处就是防止单点失效。 在a a f i d 模型中，t r a n s c e i v e r 和m o n i t o r 按照层次结构组织，因此这两 个实体就成为失效关键点，如果一个t r a n s c e i v e r 或m o n i t o r 失效或运行异常， 山该收发器或监视器向下的所有节点就全部都失效。而在i a d i d s 模型中， 每个检测器d e t e c t o r 都是独立的入侵检测实体，如果管理器m a n a g e r 或通讯 器c o m m u n i c a t o r 失效，只会影响到相应主机中d e t e c t o r 的数据收集和消息传 递，不会影响到d e t e c t o r 的拒常运行。此外，在a a f i d 系统中，m o n i t o r 是 模型中最高层的实体。m o n i t o r 接收来自所有收发器的消息，然后进行高层次 的相关分析。m o n i t o r 接收其它用户的m o n i t o r 的指令而控制收发器和另外的 监视器运行。这样导致m o n i t o r 成为整个系统的关键点，如果监视器除了问 题，整个系统就无法f 常运行了，这与分布式检测的原则是相违背的。在 i a d i d s 模型中并不存在这样的最高级实体。m a n a g e r 提供用户接1 3 同时它 也是分布的，一个m a n a g e r 记录本机的检测信息和系统状态，通过 c o m m u n i c a t o r 可以探查其它m a n a g e r 的状态。这样即使某个m a n a g e r 出现问 题，也不会影响整个系统的运行和检测。 此外系统具有的优点还包括如：代理设计灵活、良好的可扩展性，以及 分布式结构便于协作检测复杂攻击等等。 2 2 i a d i d s 通信机制的设计 通信机制就是对通信方式的设计，它包括通信各个方面的衡量和选择。 下面将简要介绍i a d i d s 的通信机制的一些关键问题的设计。 22 1 通信数据结构 在i a d i d s 中，管理器m a n a g e r 和通讯器c o m m u n i c a t o r 都必须维护一定 的信息以辅助和控制信息的传递。m a n a g e r 部仆负责髓记在本主机上运行的 代理，以及它的主要检测功能；而c o m m u n i c a t o r 部件负责为主机上的代理与 9 哈尔滨i 科人学硕十! 学位论文 协作代理进行交互提供一个通信接口，完成寻址与消息转发的功能。因此， m a n a g e r 和c o m m u n i c a t o r 上都需要维护一定数量的表来完成通信和协作工 作。 m a n a g e r 上需要维护的是d e t e c t o r l d 表和d e t e c t o r 内部协作表。 d e t e c t o r l d 表主要是记录在m a n a g e r 上注册的d e t e c t o r 的i d 、注册时间消息 和状态等，用于m a n a g e r 对d e t e c t o r 的控制。d e t e c t o r 协作表主要记录与一 个d e t e c t o r 协作的其他d e t e c t o r 的i d 。内部协作表用于记录内部协作过的 d e t e c t o r 的l d 及协作检查到的攻击种类。数据结构如图2 2 和2 | 3 所示。 j d e t e l d r e g i s t e r t i m e j c o n d i t i o n t y p e l 图2 2d e t e c t o r l d 表 d e t e l di n d e t e l d c l a s s 图2 3d e t e c t o r 内部协作表 c o m m u n i c a t o r 维护有两个表，一个是地址映射表，记录了主机名、i p 地 址和m a c 地址的对应关系；另外一个是协作表，记录了最近发生协作的代 理对。数掘结构如图2 4 和2 5 所示。 h o s t i pm a c 图2 4c o m m u n i c a t o r 的地址表 d e t e l d c l a s se x d e t e l d - - - - - - - - - - - - - - - - - - - * 一- - - - - - - - - - - - - - - - + - - - - - ，j 。，。一 幽2 5 c o m m u n i c a t o r 的协作表 d e t e l d ( a g e n ti d ) ：d e t e c t o r 的标识，在每台主机：是唯一的。代理新加 入或者重新启动后，会向上级实体管理器发送消息，请求登记。管理器接受 请求，并分配给它个主机内唯一的标识。在代理的整个生命期内，这个标 i j = 是不能改变的。 r e g i s t e r t i m e ：d e t e c t o r 的注册时问。 c o n d i t i o n t y p e ：d e t e c t o r 所处的状态。有r u n i n g ( 证在运行) 、s u s p e n d i n g ( 挂起) 和d e l e t i n g ( 正在删除) 这三种状态。 i n d e t e l d ( i n t e r i o r d e t e l d ) ：同一主机内部进行协作的d e t e c t o r i d 号。 哈尔滨工程大学硕士学位论文 e x d e t e i d ( e x t e r i o r d e t e i d ) ：不同主机间进行协作的d e t e c t o r i d 号。 c l a s s ：采用协议分析的方法拟对以下攻击做出警报：l a n d 攻击、s y n f l o o d 攻击、p i n go f d e a t h 、s m u r f 攻击、t e a r d r o p 攻击、u d p s t r o m 攻击和未 知攻击。攻击在类中的表示如表2 1 所示： 表2 1c l a s s 类的分类 代码对应攻击 0 0 0 l a n d 攻击 0 0 1s y n f l o o d 攻击 0 1 0 p i n go f d e a t h 攻击 0 1 1 s m u r f 攻击 1 0 0 t e a r d r o p 攻击 1 0 1 u d p s t o r m 攻击 1 1 0 未知攻击 h o s t ( h o s tn a m c ) ：主机的标识，它在网络范围内是唯一的。为了保持 h o s t 与i p 对的有效性，隔一定时问扫描地址表，并进行测试，及时更新无用 的映射。 i p ：主机的i p 地址。 m a c ；主机的m a c 地址。 2 2 2 通信模型 i a d i d s 中各组件之间存在着三种通信模式，分别是d e t e c t o r 与m o n i t o r 间通信，m o n i t o r 与c o m m u n i c a t o r 间通信，c o m m u n i c a t o r 与c o m m u n i c a t o r 间通信。其中前两种属于机内通信，而后者属于机间的通信，采用s o c k e t 连 接的t c p 。 1 d e t e c t o r 与m o n i t o r 间通信 主要包括两种类型的消息：命令和查询。作为a g e n t 的上级实体，m o n i t o r 执行对它的控制功能，这通过发送命令消息完成，包括启动或者停止运作命 令、安全状态回送命令等等。当a g e n t 需要主机之内其它代理的信息时，会 发出查询信息给管理器。 2 m a n a g e r 与c o m m u n i c a t o r 间通信 1 1 哈尔滨一栏火学硕士学位论文 m a n a g e r 收到上报的消息后，如果需要其它主机的协作，会将消息继续 转发给c o m m u n i c a t o r 。在这个过程中，m a n a g e r 并不对消息作任何的处理。 而是直接通过p i p e ，通过输入输出描述符冲定向，上传消息。c o m m u n i c a t o r 收到协作主机的应答信息，首先拆除包头信息，并从中提取信息填写协作表 和地址表，然后消息的主体以相同的方式传给m o n i t o r 处理。 3 c o m m u n i c a t o r 与c o m m u n i c a t o r 间通信 c o m m u n i c a t o r 之间在网络上建立连接，进行必要的信息交互，它们都是 通过建立s o c k e t 连接，进行网络通信。 2 2 3 通信连接方式 在a g e n t 中，通信连接方式由如下4 种情况：黑板方式、联邦方式、广 播方式和点到点方式1 1 6 i 。 1 黑板方式 在分布式人工智能中，黑板实际上是一个共享存储区。各个a g e n t 通过 直接对黑扳内容进行读和写来获得消息、结果或过程信息。黑板系统的特点 是集中控制、共享存储结构、解决单一问题、效率高。其缺点是：集中控制 由调度程序完成，调度程序的复杂性和性能往往成为整个系统的瓶颈；共享 数据结构难以灵活地使用异构数据源：解决单任务使得黑板系统无法有效 地完成棚互关联的任务。再加上黑板系统的可靠性差所以一些可靠性要求 很高的系统中很难采用黑板结构作为基本结构。在分布式问题求解系统中， 往往采用的是黑板模型通信方式。 2 联邦方式 当系统中的a g e n t 的数目相当巨大时，直接通信方式的通信量和成本是 相当惊人的。一种流行的替代方式便是将这些a g e n t 按照联邦方式进行组织。 各组a g e n t 内部均配置了一个媒介子a g e n t 。各个a g e n t 只于本组内的媒介 子直接通信，通过它来接收、转发消息。这大大减少了a g e n t 之间的连接链 路数目。 3 广播方式 在这种方式下，每个a g e n t 所发 _ l _ j 的每条消息会被所有的a g e n t 接收到。 这种方式下的消息分为两种类型：公共消息和定向消息。公共消息是发送给 哈尔滨i 程人：学硕f ：学位论文 所有a g e n t 的。定向消息是发给某个a g e n t 的，其他a g e n t 也能收到，只不 过在消息内容中加上该a g e n t 的标志。该a g e n t 若发现该标志，则予以处理； 其他a g e n t 发现没有自己的标志，则不予理会。这种方式往往用于系统比较 简单，消息种类和数量均比较少的情况。 4 点到点方式 一般采用t c p i p 协议，在通信双方a g e n t 间建立直接的物理连接链路。 t c p i p 协议能够保证信息包的安全到达，因为它实现了端到端的确认。物理 连接意味着一个a g e n t 必须知道系统中别的a g e n t 的位置。a g e n t 的地址要 么是作为从别的a g e n t 接收到的广播信息的一部分，要么从一个负责系统中 的a g e n t 注册的中心对象那旱获得。 现在大部分a g e n t 建立语言和平台都是使用的点到点的直接通信方式， i