（计算机应用技术专业论文）基于移动agent的分布式网络入侵检测系统研究.pdf

摘要 摘要 入侵检测作为一种积极主动的网络安全防护技术，已经成为网络安全体系中 不可或缺的重要组成部分。移动a g e n t 技术有很多优点适合于入侵检测系统，特 别是分布式入侵检测系统。目前国内外对移动a g e n t 应用于入侵检测的研究尚处 于起步阶段，许多理论和实践问题还没有得到很好地解决。 首先，本文结合入侵检测系统的相关理论，以移动a g e n t 技术为基础，设计 了一个基于移动a g e n t 的完全对等分布式网络入侵检测系统模型。模型中各入侵 检测a g e n t 在平等的协作模式下进行沟通和协作，避免了系统关键节点的处理“瓶 颈 ，能有效地检测分布式入侵行为。 其次，对系统中入侵检测a g e n t 、系统通信和报警信息日志等关键模块进行 了详细设计，并对系统进行了初步仿真实验。系统以开源程序s n o r t 为内核、以 文中构造的数据表存放入侵报警信息日志、以一种新设计的协议进行通信。实验 结果表明，本文设计的模型具有较好的可扩展性、较快的响应速度和较高的检测 识别率。 此外，文中对传统的b m 算法在匹配顺序和坏字符启发两个方面进行了改进， 并将改进后的算法作为系统检测机制中字符串匹配的核心算法，提高了系统的检 测效率。 本系统模型虽然在理论设计上能较好地实现分布式入侵检测功能，但仍需在 管理智能化、响应实时化、检测方式多样化等方面做更进一步的研究工作。 关键词：网络安全分布式入侵检测移动a g e n ts n o r t a b s t r a c t a b s t r a c t i n t r u s i o nd e t e c t i o n ，b e i n gap r o a c t i v en e t w o r ks e c u r i t yp r o t e c t i o nt e c h n o l o g y ，h a s b e c o m ea l le s s e n t i a lc o m p o n e n ti nn e t w o r ks e c u r i t ys y s t e m m o b i l ea g e n tt e c h n o l o g y h a sm a n ya d v a n t a g e sf o rt h ei n t r u s i o nd e t e c t i o ns y s t e m ，p a r t i c u l a r l yi ss u i t e dt o d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m a th o m ea n da b r o a d ，t h er e s e a r c ho fm o b i l e a g e n ta p p l i e dt ot h ei n t r u s i o nd e t e c t i o ni ss t i l la ta ne a r l ys t a g e m a n yt h e o r e t i c a la n d p r a c t i c a li s s u e sh a v en o ty e tb e e ns a t i s f a c t o r i l yr e s o l v e d f i r s to fa l l ，c o n n e c t i n gw i t hr e l a t i v et h e o r yo fi n t r u s i o nd e t e c t i o ns y s t e m ，t h i s p a p e rd e s i g n e dam o d e lo fc o m p l e t ea n de q u a ld i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ， b a s e do nt h em o b i l ea g e n tt e c h n o l o g y t h ei n t r u s i o nd e t e c t i o na g e n t si nt h em o d e l c o m m u n i c a t ea n dc o l l a b o r a t ei ne q u a lc o l l a b o r a t i o nm o d e i ta v o i d st h e ”b o t t l e n e c k ”o f t h ek e yn o d e si nt h es y s t e ma n dc a ne f f e c t i v e l yd e t e c tt h ed i s t r i b u t e di n t r u s i o n s e c o n d l y ，i ti sm a d et h a tad e t a i l e dd e s i g no fk e ym o d u l e s ，s u c ha s ，i n t r u s i o n d e t e c t i o na g e n t ，s y s t e mc o m m u n i c a t i o na n da l a r mi n f o r m a t i o nl o g t h ei n i t i a l e m u l a t i o ne x a m i n a t i o ni sa l s om a d e t h ed e s i g nt h o u g h t sa r et a k i n go p e n - s o u r c e p r o g r a m so fs n o r ta si t sc o r e ，s t o r i n gi n t r u s i o na l a r mi n f o r m a t i o nl o gw i t ht h ed a t a t a b l ec o n s t r u c t e di n t h i s p a p e r , c a r r y i n g o n c o r r e s p o n d e n c eb a s e do n an e w c o m m u n i c a t i o np r o t o c o l s e x p e r i m e n t a lr e s u l t si n d i c a t et h a tt h em o d e lc o n s t r u c t e di n t h i sp a p e rh a sb e t t e rs e a l a b i l i t y ，r a p i dr e s p o n s es p e e da n dh i g hr a t eo fd e t e c t i o na n d i d e n t i f i c a t i o n i na d d i t i o n ，t w oa s p e c t so fo r d e rm a t c h i n ga n db a dc h a r a c t e r se l i c i t a t i o nt o w a r d s t h et r a d i t i o n a lb ma l g o r i t h ma l ei m p r o v e di n t h i sp a p e r ，t h ei m p r o v e da l g o r i t h mi s u s e da sac o r eo ft h es t r i n gm a t c h i n ga l g o r i t h m si ns y s t e md e t e c t i o nm e c h a n i s m ， i n c r e a s i n gt h ee f f i c i e n c yo fi n t r u s i o n a l t h o u g ht h es y s t e mm o d e lc a nb ew e l li m p l e m e n t e dt od i s t r i b u t e di n t r u s i o n d e t e c t i o ni nd e s i g nt h e o r y ，b u tf u r t h e rs t u d yw i l lb ed o n eo nt h e i n t e l l i g e n t m a n a g e m e n t ，r e a l t i m er e s p o n s ea n d v a r i o u sm e t h o d so fd e t e c t i o n k e y w o r d s ：n e t w o r ks e c u r i t y d i s t r i b u t e di n t r u s i o nd e t e c t i o nm o b i l ea g e n t s n o r t 西安电子科技大学 学位论文独创性( 或创新性) 声明 秉承学校严谨的学风和优良的科学道德，本人声明所呈交的论文是我个人在 导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标 注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成 果；也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的 材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说 明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切的法律责任。 本人签名：日期2 1 1 堡：笪：! 西安电子科技大学 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。学校有权保 留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部或部分内 容，可以允许采用影印、缩印或其它复制手段保存论文。同时本人保证，毕业后 结合学位论文研究课题撰写的文章一律署名单位为西安电子科技大学。 ( 保密的论文在解密后遵守此规定) 本学位论文属于保密，在一年解密后适用本授权书。 本人签名：翅 导师签 日期2 1 竺：查：! ， 醐丞碰：么 第章绪论 第一章绪论 1 1 研究背景 随着i n t e r n e t 迅猛发展，计算机网络在社会经济和生活的各个领域正在迅速 普及，整个社会对网络的依赖程度越来越大。众多的企业、组织、政府部门与机 构都在组建和发展自己的网络，并连接到i n t e m e t 上，以充分共享、利用网络的 信息和资源，计算机网络已经成为国家重要的经济基础和命脉。 然而，计算机网络的共享性、开放性在为社会带来便利与高效的同时，也带 来了各种各样的问题，其中安全问题尤为突出。据上海金融报报道，2 0 0 5 年 我国有8 0 的企业、政府机关的网络系统曾经遭受过病毒和黑客的攻击；另据北 京国卫博达科技信息有限公司统计分析国外一黑客站点每天公布出来的黑客链接 数据表明：2 0 0 6 年度平均每天有1 0 多个中国政府网站被攻破。可见，网络安全 问题已成为信息时代人类共同面临的挑战。了解网络面临的各种威胁，防范和消 除这些威胁，实现真正的网络安全已经成了网络发展中的重中之重。 对于网络安全，传统的防御策略是防火墙、数据加密、身份认证以及访问控 制、操作系统加固等静态安全防御策略。然而随着入侵技术的不断发展，攻击手 段日趋复杂化和多样化，这些被动的、静态的安全防御体系已经无法满足当前安 全状况的需要。以防火墙技术为例，装有防火墙的网络不能防范通过防火墙以外 的其它途径的攻击；不能防范来自内部变节者和其他不经心的用户们带来的威胁； 不能完全防止传送已感染病毒的软件和文件等。在此背景下，一种主动安全防御 策略入侵检测技术应运而生。 由于入侵检测所需要分析的数据源仅是记录系统活动轨迹的审计数据，其几 乎适用于所有的计算机系统。作为网络安全保障的一个重要环节，它很好地弥补 了访问控制、身份认证等传统保护机制的不足，成为目前动态安全工具的主要研 究和开发方向。 然而，随着入侵技术的分布化、入侵主体的隐蔽化、攻击对象的转移，传统 的入侵检测技术在日益复杂的入侵技术和手段面前显得越来越力不从心。现有的 入侵检测系统均不同程度地存在着缺乏灵活性( 包括可扩展性、动态可重配置性 等) 、容易形成数据瓶颈、单点失效、不同入侵检测系统间互操作性差等问题。于 是，一些其它相关学科的思想和技术开始陆续被引入到入侵检测领域，比如免疫 理论、协同理论、数据挖掘、代理技术等等。 2 基于移动a g e n t 的分布式网络入侵检测系统研究 1 2 研究现状 作为分布式技术和a g e n t 技术相结合的产物，移动a g e n t 技术有很多优点适 合于入侵检测系统，特别是分布式入侵检测系统。将移动a g e n t 技术应用到网络 入侵检测系统中，可具有这样一些优点：具有清晰的系统结构和良好的可扩展性； 能实现全局范围内的入侵检测功能；具有优良的可移植性能和平台无关性；减轻 网络通信负载，防止出现数据“瓶颈 等等。因此，基于移动a g e n t 的入侵检测 系统研究已经成为近几年入侵检测领域的一个热门研究方向。 目前，国内外对移动a g e n t 应用于入侵检测领域的研究还处于起步阶段，国 外许多实验室( 包括美国的爱达荷大学、新墨西哥大学、陆军研究实验室、爱荷 华州大学，普渡大学和日本的信息技术促进组织) 都在从事将a g e n t 技术应用到 入侵检测系统当中的研究工作。下面简单地介绍几个该领域的研究项目。 1 a t i d p 美国陆军研究实验室的a t i d p ( a d v a n c e dt e l e c o m m u n i c a t i o n i n f o r m a t i o n d i s t r i b u t i o nr e s e a r c hp r o g r a m ) t 1 】项目提出将移动a g e n t 应用于检测计算机弱点。虽 然它没提出将移动技术应用于入侵检测，但是其弱点评估模块能很容易地被入侵 检测模块所替代，这样就可以得到一个新的基本的入侵检测系统。 2 i d a i d a ( i n t r u s i o nd e t e c t i o n a g e n ts y s t e m ) ，是由日本的i p a 开发的一套入侵检测 系统。它是基于多主机的i d s 系统，采用移动a g e n t 追踪入侵者和收集信息，监 视与入侵行为有关的特定事件，并将其称为“留下的可疑入侵标记 ( m a r k sl e f tb y s u s p e c t e di n t r u d e r ，m l s i ) 。一旦发现m l s i ，i d a 会收集与m l s i 有关的信息进 行分析，判断是否是有入侵发生。 3 m 岫s n i s t ( n a t i o n a li n s t i n l t eo fs t a n d a r dt e c h n o l o g y ) 是首先明确提出将移动a g e n t 技术应用于入侵检测系统理论( 即m a i d s ) 的研究组织。他们目前正致力于m a i d s 具体原型的建立，虽然尚无完整的原型，但己经完成了可在网络中随机移动的 m a i d s 部件【2 1 。 n i s t 给出并具体分析了移动a g e n t 应用于入侵检测的未来五个主要研究方 向：i d s 性能的提高、新攻击检测模型、新体系结构模型、现有体系结构的改进、 i d s 对攻击的响应【3 】。 我国在基于移动a g e n t 的入侵检测方面的研究起步较晚，虽然近几年来国内 各大高校也开始这方面的研究，但大多限于理论方面，目前还没有成熟的基于移 动a g e n t 技术的入侵检测产品出现。 第一章绪论 3 1 3 本文工作 本文在阐述入侵检测系统的原理、分类、标准化等内容的同时，针对目前入 侵检测领域的热门方向基于a g e n t 技术的入侵检测系统开展了大量研究工 作，设计了一种基于移动a g e n t 的分布式网络入侵检测系统模型，并对系统中的 关键模块进行了详细设计，同时进行了系统初步仿真实验。 本文所做的工作主要有： 1 阐述了入侵检测系统相关理论 本文对入侵检测系统的原理、分类、标准化、发展历程以及最新发展动向进 行了详细阐述，比较分析了现有几种典型的分布式入侵检测系统模型的优缺点。 2 研究了移动a g e n t 技术 本文对移动a g e n t 的工作原理及属性进行了深入研究，并分析了构建基于移 动a g e n t 的入侵检测系统的优势。 3 设计了一种基于移动a g e n t 的完全对等分布式网络入侵检测系统模型 综合网络拓扑结构、系统可扩展性等因素，本文设计一种完全对等的分布式 网络入侵检测模型。在此基础上，引入移动a g e n t 技术，充分利用a g e n t 的移动 性、协同性等特性，有效地实现了检测任务的分布化，克服了传统入侵检测系统 存在的单点失效、缺乏灵活性、容易形成数据瓶颈、不同入侵检测系统间互操作 性差等弱点，提高了检测系统的整体性能。 4 分析了以s n o r t 为内核的网络入侵系统的工作原理 本文分析了w i n p c a p ( w i n d o w sp a c k e tc a p t u r el i b r a r y ) 的体系结构以及开源程 序s n o r t 中的包解码器、预处理程序、规则分析等组件的工作原理及流程。 5 改进了b m 模式匹配算法 本文在分析b m 模式匹配算法原理的基础上，以提高模式匹配效率为出发点， 对传统的b m 算法在匹配顺序和坏字符启发两个方面进行了改进。 6 设计了一种通信协议n e w l d x p 为确保系统高效、安全地进行通信，本文利用基于u d p 的c i d f 消息机制， 设计了一种通信协议n e w i d x p 。各个a g e n t 都是采取请求响应工作方式，超时 重发都是由各个a g e n t 来完成。这种粗粒度的可靠性保证机制，使得系统的资源 占用率明显下降，较好地解决了传统通信中的可靠性差、通信瓶颈等问题，且简 单方便。 7 构造了两个数据表l o g t a b l e 和a l e r t t a b l e 。 系统以s o l s e r v e r 为后台数据库存放报警信息日志，本文设计了两张数据表 l o g t a b l e 和a l e r t t a b l e 用于存放报警信息日志。 4 基于移动a g e n t 的分布式网络入侵检测系统研究 8 进行了系统仿真实验。 为验证系统性能，主要对系统的可扩展性和检测性能两个方面进行了初步仿 真实验，并分析了实验结果。 1 4 论文结构安排 本论文的其它章节安排如下： 第二章入侵检测系统概述：主要介绍了入侵检测系统的原理、分类、标准化 ( c i d f 模型) 以及入侵检测的历史进程，并对现有几种典型的分布式入侵检测 系统模型进行了分析比较，最后对今后入侵检测技术的发展方向进行了预测。 第三章基于移动a g e n t 的分布式网络入侵检测系统模型设计：对移动a g e n t 技术做了深入研究，在此基础上设计了一种基于移动a g e n t 的完全对等分布式网 络入侵检测系统模型，并对模型中各功能模块进行了功能设计，介绍了整个系统 的大致工作流程。 第四章系统设计与仿真：本章对系统中入侵检测a g e n t 、移动a g e n t 控制平 台中的系统通信模块和报警信息日志等关键模块进行了详细设计，并通过初步仿 真实验验证了系统的可扩展性和检测性能。 第五章结束语：对本文工作进行了总结，并展望了下一步的研究方向，以期 能够有新的突破。 第二章入侵检测系统概述 5 第二章入侵检测系统概述 入侵是指试图破坏资源的完整性、机密性及可用性的活动集合1 4 1 。入侵检测， 顾名思义，是对入侵行为的发觉，它对( 网络) 系统的运行状态进行监视，发现 各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可 用性。进行入侵检测的软件与硬件的组合便是入侵检测系统( i n t r u s i o nd e t e c t i o n s y s t e m ，t d s ) 。入侵检测系统作为网络与信息安全防护体系的重要组成部分，提 供了对内部攻击、外部攻击和误操作的实时保护，在计算机系统受到危害之前拦 截和响应入侵。其主要通过以下几种活动来完成任务：监视分析用户及系统活动； 对系统配置和弱点进行审计；识别与已知攻击模式匹配的活动；对异常活动模式 进行统计分析；评估重要系统和数据文件夹的完整性；对操作系统进行审计跟踪 管理，并识别用户违反安全策略的行为。 本章将对入侵检测系统的原理、分类、标准化、发展历程以及最新发展动向 等方面进行阐述，并分析比较现有几种典型的分布式入侵检测系统模型。 2 1 入侵检测系统原理 1 入侵检测系统历史进程 1 9 8 0 年4 月，j a m e sp a n d e r s o n 为美国空军做了一份题为( ( c o m p u t e rs e c u r i t y t h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ) ) ( 计算机安全威胁监控与监视) 的技术报告， 第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分 类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计 跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。 1 9 8 7 年d e n n i n g 在i e e e 上发表了题为a ni n t r u s i o n d e t e c t i o nm o d e l ) ) 【5 j ( 入 侵检测模型) 的学术报告，再次引起了人们对入侵检测的强烈关注。在这篇文献 中，提出了一个重要的入侵检测系统的抽象模型，首次将入侵检测的概念作为一 种全新的、与传统加密认证和访问控制完全不同的计算机系统安全防御措施而提 出，被认为是对入侵检测研究具有推动性的工作。 1 9 8 8 年，l u n t 等人进一步改进了d e n n i n g 提出的入侵检测模型，并开发了入 侵检测专家系统i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) ，该系统用于检测对单一 主机的入侵，提出了与系统平台无关的实时检测思想；1 9 9 0 年，加州大学d a v i s 分校的l t h e b e r l e i n 等人开发出了n s m ( n e t w o r ks e c u r i t ym o n i t o r ) 系统。该系 统第一次直接将网络流作为审计数据来源。n s m 与此前的入侵检测系统最大的不 6 基于移动a g e n t 的分布式网络入侵检测系统研究 同在于它并不检查主机系统的审计记录，而是通过在局域网上主动地监视网络数 据包流来追踪可疑行为。 由于i n t e r n e t 的发展及通信和计算机带宽的增加，系统的互联性有了显著的 提高，人们对网络安全的关注也显著地增加。在美国空军、国家安全局和能源部 的资助下，由美国空军密码支持中心、l a w r e n c el i v e r m o r 国家实验室、加州大学 d a v i s 分校和h a y s t a c k 实验室共同参与研究，将基于主机的入侵检测系统同基于 网络的入侵检测系统集成到一块，采用了分层的结构，形成了分布式的入侵检测 系统，大大增强了对入侵攻击检测的能力。 从2 0 世纪9 0 年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面， 并在智能化和分布式两个方面取得了巨大的进步。数据挖掘、人工免疫、信息检 索、容错技术、代理技术也渗透或融合到了入侵检测系统中，从而将入侵检测系 统的发展推向了一个新的高度。 2 入侵检测系统原理 一般地，i d s 由数据提取、数据分析和结果处理三个功能模块组成，图2 1 给出了一个通用的入侵检测系统结构。 数数结 两 据 卜 据 卜 果 提 新摧宝件 喜件 分 y 处 取析理 图2 1 入侵检测系统结构图 图2 1 中的模块划分是非常粗略的，而且省略了诸如界面处理、配置管理等 模块。 其中： ( 1 ) 数据提取模块的作用在于为系统提供数据。数据的来源可以是主机上的 日志信息、变动信息，也可以是网络上的数据信息，甚至是流量变化等。数据提 取模块在获得数据之后，需要对数据进行简单的处理，如简单的过滤、数据格式 的标准化等，然后将经过处理的数据提交给数据分析模块。 ( 2 ) 数据分析模块的作用在于对数据进行深入地分析，发现攻击并根据分析 的结果产生事件，传递给结果处理模块。数据分析的方式多种多样，可以简单到 对某种行为的计数( 如一定时间内某个特定用户登录失败的次数，或者某种特定 类型报文的出现次数) ，也可以是一个复杂的专家系统。该模块是整个入侵检测系 统的核心。 第二章入侵检测系统概述 7 ( 3 ) 结果处理模块的作用在于i d s 发现入侵后应该根据预定的策略及时地作 出响应，包括切断网络连接、记录事件和报警等。响应一般分为主动响应( 阻止 攻击或者影响攻击进程) 和被动响应( 记录和报告所检测出的入侵事件) 两种类型。 主动响应由用户驱动或系统本身自动执行，可对入侵者采取行动( 如断开连接) 、 修正系统环境或收集有用信息；被动响应则包括告警、设置s n m p ( 简单网络管 理协议) 陷阱等。 因此，i d s 作为一种积极主动的安全防护技术，有以下几个基本功能： 从系统的不同环节收集信息 分析该信息，试图寻找入侵活动的特征 自动对检测到的行为作出响应 纪录并报告检测过程结果 2 2 入侵检测系统分类 随着入侵检测技术的发展，出现了很多入侵检测系统，不同的入侵检测系统 具有不同的特征。根据着眼点的不同，对入侵检测技术的分类方法很多，下面分 别描述根据不同的分类标准对入侵检测系统进行的分类。 1 根据数据来源分类 入侵检测系统要对其所监控的网络或主机的当前状态作出判断，并不是凭空 臆测，它需要以原始数据中包含的信息为基础作出判断。按照原始数据的来源， 可以将入侵检测系统分为基于主机的入侵检测系统、基于网络的入侵检测系统和+ 混合型的入侵检测系统。 ( 1 ) 基于主机的入侵检测系统 基于主机的入侵检测系统( h o s t b a s e di d s ，h i d s ) j 通常采用系统日志、应用程 序日志等审计数据作为检测的数据源，然后从所在的主机收集这些信息进行分析 来发现入侵活动。这种检测方法首先要求系统根据配置信息中设定需要审计的事 件，这些事件一旦发生，系统就将具体参数记录在日志文件中。检测系统则根据 一定的算法对日志文件中的审计数据进行分析，最后得出结果报告。能否及时采 集到审计事件是这种系统的关键之一，有的入侵者会将主机审计子系统作为攻击 目标以避开入侵检测系统。所以，此类系统获取数据的依据是系统运行所在的主 机，保护的目标也是系统运行所在的主机。 这种方法的优点是可以提供更好的应用层安全，在网络传输被加密的情况下 仍能工作。但也存在一些重大缺点，因为h i d s 驻留在受监控主机，所以对整个 网络的拓扑结构认识有限，基于主机的入侵检测系统不能检测出针对未安装h i d s 主机的攻击。从本质上说，基于主机的入侵检测系统是在主机受到攻击之后通过 8 基于移动a g e n t 的分布式网络入侵检测系统研究 检查日志和错误消息来进行检测的，这带来了各种问题：一些攻击在数据写入日 志之前就控制了主机，有效地避开了h i d s 。基于主机的入侵检测系统依赖主机 与入侵分析员的通信，因此一些使主机完全失去能力的攻击由于阻断了主机与入 侵分析员的通讯而可以不被注意地进行。 基于主机的入侵检测系统处理流程如图2 2 所示。 i 。”。一一。j l 匿懵厦墨趣蛩取l ! l 审计数据i 原始审l 审计数据i 相关审i 审计数据l检测安伞管： !i 卜_ 纠卜纠卜叫 j： ：l 收集器 i 计数据i 过滤器 i 计数据。1 分析器 l结果、理人员 ： i： i ! ( 2 ) 基于网络的入侵检测系统 基于网络的入侵检测系统( n e t w o r k b a s e di d s ，n i d s ) 输入数据来源于网络上 传输的数据包，保护的目标是网络的运行，它能够检测该网段上发生的网络入侵。 一般基于网络的入侵检测系统通过将网卡设置为混杂模式来监视并分析网络上传 输的所有数据包，判断是否有入侵行为。一旦检测到了攻击行为，入侵检测系统 的报警部件就发出通知并对攻击采取相应的防御手段，通常包括通知管理员、中 断连接或为法庭分析和证据收集而做会话记录。 与基于主机的系统相比，基于网络的入侵检测系统更为安全也不易中断。其 应该运行在一台加固的主机上，该主机应该只支持入侵检测相关的服务，这样该 主机就更为健壮。基于网络的入侵检测系统没有依赖于受监控主机的完整性和可 用性的缺点，因而它的监控不易被中断。 由于设计上的因素，基于网络的入侵检测系统存在一些固有的缺点。比如， 基于网络的入侵检测系统为了保证效率就必须非常高效地捕获网络上的大量流 量。当网络流量随时间以指数规律增长时，其必须能够抓取所有这些流量并及时 地进行分析。因此，基于网络的入侵检测系统必须小心放置、调整，以避免丢包； 同时，基于网络的入侵检测系统也易受到i d s 逃避技术的攻击。黑客们已经发现 了许多隐藏恶意流量以躲开基于网络入侵检测系统检测的方法。其中一个方法是 在网络连接时发送超出最大容许长度的包来避开基于网络入侵检测系统的检测。 另一个逃避n i d s 的方法是在加密对话期发送攻击，能有效地隐藏攻击，躲过基 于网络入侵检测系统的检测。 通常，将基于网络的入侵监测系统放置在防火墙或网关后，就像网络嗅探器 一样捕获所有内传或外传的数据包。但它并不延误数据包的传送，因为它对数据 包来说仅仅是进行监视。通过在共享网段上侦听采集通信数据分析可疑现象，它 第二章入侵检测系统概述 9 对主机资源消耗少；并且由于网络协议是标准的，可以对网络提供通用的保护而 无需顾及异构主机的不同架构。但其缺陷是对于加密数据无法进行判吲6 1 。 基于网络的入侵检测系统处理流程如图2 3 所示。 i i - _ _ - - - - - - - - - - - - - - - - - j 图2 3 基于网络的入侵检测系统处理流程 ( 3 ) 混合型的入侵检测系统 混合型的入侵检测系统既是基于主机的又是基于网络的，因此混合型入侵检 测系统一般是分布式的。目前许多机构的网络安全解决方案都同时采用了基于主 机和基于网络的两种入侵检测系统，因为这两种系统在很大程度上是互补的， 2 根据分析方法分类 在入侵检测领域中，根据数据分析方法( 检测方法) 的不同，可以将入侵检 测系统分为误用检测模型和异常检测模型。概括起来说，两者的区别在于前者主 要是为入侵行为建立能够代表入侵特征的规则或模式，而后者则主要是将目标的 正常和合法活动构造成相应的行为模型。 ( 1 ) 误用检测模型 误用检测模型( m i s u s ed e t e c t i o nm o d e l ) 又叫基于知识的检测模型，或基于 特征的检测模型，是对已知的入侵方法或利用已知的系统漏洞进行入侵活动的检 测模型。这种方法假定所有的入侵行为都能够表达为一种模式或具备一定的特征， 利用这种模式来建立入侵行为特征库，通过特征匹配的方法来发现入侵行为。目 前，比较有代表性的误用检测技术主要有专家系统( e x p e r ts y s t e m s ) 、状态转移 分析( s t a t et r a n s i t i o na n a l y s i s ) 和模式匹配( p a t t e r nm a t c h i n g ) 等，其中在商用 系统中较多被应用的是模式匹配技术。 基于误用的入侵检测方法有如下优点： 检测准确度高、虚警率低。这种方法由于依据具体特征库进行判断，所 以检测准确度很高、虚警率低。 方便管理员作出相应措施。可检测出所有对系统来说是已知的入侵行为， 系统安全管理员能够很容易地知道系统遭受到的是哪种入侵攻击并采取 相应的行动。 但是，基于误用的入侵检测方法还存在如下缺点： 对未知攻击行为检测困难，漏报率高。因为只能根据已知的入侵序列和 1 0 基于移动a g e n t 的分布式网络入侵检测系统研究 系统缺陷的模式来检测系统中的可疑行为，所以不能处理新的入侵攻击 行为以及未知的、潜在的系统缺陷。另外，对于系统内部攻击者的越权 行为，由于他们没有利用系统缺陷，因而也很难检测到。 系统的依赖性太强。它对具体系统的依赖性太强，使得系统的移植性不 好，维护工作量大，而且将具体入侵手段抽象成知识也很困难。 ( 2 ) 异常检测模型 异常检测模型( a n o m a l yd e t e c t i o nm o d e l ) ，又叫基于行为的检测模型。是通 过建立目标系统及用户的正常行为模型，监测系统和用户的活动是否偏离正常行 为模型，从而作出决策判断。这种方法是假定所有的入侵活动是异常于正常主体 行为的，如果能检测到所有的异常活动，就能检测出所有的入侵活动。其中，行 为模型的对象可以是用户、主机或其它一些能够反映系统变化并且需要被监测的 目标，而对象正常和合法行为的确定以及将其描述成行为模型则是这类技术的核 心所在。目前，比较有代表性的异常检测技术主要有统计分析( s t a t i s t i c a l m e a s u r e s ) 、神经网络( n e u r a ln e t w o r k s ) 和数据挖掘( d a t am i n i n g ) 等，其中最 为典型的是统计分析方法。 基于异常的入侵检测方法有以下优点： 基于异常的入侵检测与系统相对无关，通用性较强，它有可能检测出以 前未出现过的攻击方法。 基于异常的入侵检测不需要操作系统及其安全性缺陷专门知识，就能有 效地检测出冒充合法用户的入侵。 但是入侵活动并不总是与异常活动相背离，存在着四种可能性：入侵而非异 常、非入侵且异常、非入侵且非异常、入侵且异常，所以这种检测方法有着自身 的局限性【7 】。所以，基于异常的入侵检测方法还存在着如下缺点： 误检率高。因为它不可能对整个系统内的所有用户行为进行全面的描述， 况且每个用户的行为是经常改变的。尤其在用户数目众多，或者工作目 的经常改变的环境中，这个缺陷尤为突出。 阈值难以确定。为用户建立正常行为模式的特征轮廓和对用户活动的异 常性报警门限值的确定都比较因难。不是所有入侵者的行为都能够产生 明显的异常性，有经验的入侵者还可以通过逐渐改变他的行为，来改变 入侵检测系统中的用户正常行为模式，使其入侵行为逐步变为合法。 3 根据响应方式分类 按照响应方式的不同，入侵检测系统又可以分为被动响应的入侵检测系统和 主动响应的入侵检测系统。 ( 1 ) 被动响应的入侵检测系统将检测结果及时地报告给系统安全管理员，系 统管理员根据经验进行相应的处理。 第二章入侵检测系统概述 ( 2 ) 主动响应的入侵检测系统则根据检测系统结果采取断开连接、结束会话 等措施减小损失。 4 根据分布性分类 按照系统各个模块运行的分布方式不同，入侵检测系统可以分为集中式入侵 检测系统和分布式入侵检测系统( d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ，d i d s ) 。 ( 1 ) 集中式入侵检测系统 这种结构的入侵检测系统可能有分布于不同主机上的多个审计程序，但只有 一个中央入侵检测服务器，审计程序将当地收集到的数据踪迹发送给中央服务器 进行分析处理。显然，这种结构的i d s 在可伸缩性、鲁棒性和可配置性方面存在 致命的缺陷，主要表现如下： 数据来源单一。一般的i d s 数据来源往往只是来自网络数据报、系统日 志、应用程序日志或者对系统扫描的其中之一，即使有个别的系统采用 多种数据来源，也往往不能反映或者协调这些不同来源之间的入侵事件 的联系，所以其对现代黑客常常采用的分步攻击或者组合攻击无能为力。 数据传输负荷过大。随着网络规模的增加，主机审计程序和服务器之间 传送的数据量就会骤增，从而导致网络性能恶化。 单点失效。一旦中央服务器出现故障，整个系统就会陷入瘫痪状态。 系统配置复杂。根据各个主机的不同需求配置服务器非常复杂。 不同系统协同处理能力差。在大型网络中，网络不同的部分可能使用了 不同的入侵检测系统，但现存的入侵检测系统之间不能够交换信息，使 得发现了攻击时难以找到攻击的源头，甚至给入侵者制造了攻击的漏洞。 ( 2 ) 分布式入侵检测系统 系统的各个模块分布在网络中不同的计算机、设备上，各个模块协同工作。 一般来说，分布性主要体现在数据源上，并且数据源可以是异构的；同时对数据 的处理组件也应是分布式的。这种分布式的入侵检测系统能够克服上述集中式的 缺点，但是同时也带来了其它问题，比如组件间的通信问题，检测信息的协同处 理和入侵的全局信息提取等问题。 分布式入侵检测有两个方面的含义：第一，针对分布式网络攻击的检测方法； 第二，使用分布式的方法来实现对攻击的检测，其中的关键技术是检测信息的协 同处理与入侵攻击全局信息的提取。 现有的分布式入侵检测系统的处理思想是分布采集数据与集中处理，其不足 主要表现如下1 8 】： 数据传输负荷过大，分布式的数据采集器与集中处理机间的数据交换极 大地浪费了网络有效带宽。 集中处理器的计算性能难以满足实际需求。 1 2 基于移动a g e n t 的分布式网络入侵检测系统研究 网络传输时延对某些实时检测方法的可信度产生影响，基于过时的信息 所作出的判断的可信度不高。 易产生单点故障。 由于分布式入侵检测系统是本文研究重点，下一节将对现有几种典型的分布 式入侵检测系统模型进行分析比较。 2 3 几种典型的分布式入侵检测系统模型 在分布式入侵检测系统发展过程中，各种成熟的系统模型相继出现，并陆续 应用于各种入侵检测产品中。现对目前已有的分布式入侵检测系统进行分类，并 对每种类别进行分析和比较【9 1 。 1 集中式协同检测 集中式协同检测将其数据收集组件分布到网络中，而数据处理任务仍然由一 个或固定的几个组件承担，这样的系统实质上不能称之为真正的分布式入侵检测 系统。在分布式入侵检测系统中，不仅数据收集组件是分布的，数据处理组件数 量也应与网络中被监测主机的数量成正比。 这种结构在网络结构简单的情况下具有很大的优势，可以实时融合所有的信 息，得出全局的状况，处理精度高、方法灵活。但同时也存在着自身的缺陷，尤 其是在复杂的网络情况下，面临着如下问题： ( 1 ) 数据处理组件是集中式协同检测中最为重要的组件，一旦失效，那么整 个入侵检测系统也将陷入瘫痪，系统的鲁棒性差。攻击者可能针对这一点，对系 统中的数据处理组件发动攻击。 ( 2 ) 数据处理组件需要处理众多数据收集组件发送来的数据，因此要求有高 性能的处理能力和网络吞吐能力，容易产生系统瓶颈。 ( 3 ) 因为集中式协同检测数据处理组件的数量是固定的，所以当被监测的网 络规模扩大时，无法相应地对数据处理组件进行扩充，缺乏可扩展性。 集中式协同检测结构如图2 4 所示： 图2 4 集中式协同检测结构图 第二章入侵检测系统概述 1 3 2 层次化协同检测 层次化协同检测以层次化结构布置数据处理组件。数据处理组件划分为多个 级别，低层组件从数据收集组件获得原始数据，经过提炼、精简后提交给更高层 的数据处理组件，高层节点综合多个低层的处理结果，作出高层判断。底层节点 在逻辑上属于高层节点。 层次化协同检测结构如图2 5 所示。 步抽象的方式对安全审计数据进行提炼，从而发现大范围的分布式攻击。但是同 时也产生了其它一些不足之处： ( 1 ) 层次化处理 数据处理中存在层次。数据处理发生在所有层次上，这意味着一个新的分布 式攻击会导致模型中的许多层次需要改变，以对此作出响应。 ( 2 ) 数据提炼 所有层次都需要数据提炼，每一层只报告报警事件给高级层次。对于系统范 围的层次来说，什么是重要的事件是依情况决定的，所以很难在低层上进行推断。 如果进行严格地提炼，可能会丢失一些系统范围上需要注意的事件，而如果提炼 不严格，高层的分析器将会被下层发来的大量数据所充斥。为数据提炼找到一个 合适的折中还是尚待解决的问题。 ( 3 ) 所有层次上都存在瓶颈模块 无论基于误用检测还是基于异常检测，分析引擎通常都使用复杂的模块分析 系统审计日志、用户行为和系统状态。在c p u 、磁盘i o 和内存方面，这些模块 都需要耗费大量的资源。而在上面提到的层次化协同检测系统中，这些模块存在 1 4 基于移动a g e n t 的分布式网络入侵检测系统研究 于所有的层次上。此外，这些模块要花费昂贵的代价进行冗余复制以达到错误容 忍。 ( 4 ) 组件间被动地相互作用 i d s 的组件之间以被动的方式交互作用。以低层组件的分析结果为基础，为 高层组件生成数据，并没有提供一种机制能让组件向其它组件主动查询。 3 完全分布式协同检测 为了避免层次化协同检测存在的缺点，引入了完全分布式协同检测模型。完 全分布式模型中的组件是对等的，不存在逻辑上的从属关系，各节点之间的消息 是完全分布的，不依赖指定的中心节点，这样可以减少系统瓶颈，提高系统的容 错性。而且每个数据处理组件都能够对全局性的入侵行为进行检测和报警。其