（模式识别与智能系统专业论文）基于智能agent的入侵检测系统的研究和实现.pdf

y 7 1 1 0 8 6 摘要 入侵检测作为现代动态安全防御体系的核心部件， 属于主动防御技术，它有 效地弥补了传统安全手段的不足。 通过构筑以入侵检测系统为核心的动态安全体 系，可以极大地提高网络空间的安全性。 随着信息技术的不断发展和应用领域需求的扩大， 入侵检测系统向着分布式 和智能 化的 方向 发展。 a g e n t 技 术作为 软 件构件技术和分布式人 工智能 技术相 综 合的研究成果， 在入侵检测领域有着广阔的应用前景。 本研究课题是基于这样的 前提:数字社区是人类社会的一个数字化映射，ma s技术作为迄今最为成功的 社会运作模拟工具， 运用此技术框架的安全防御体系具有作为更合适的安全防御 体系的潜力。 基于智能a g e n t 的 入侵检测系统研究的目 的 是通过运用m a s 技术搭建一个 通用的伸缩性好、 灵活的软件框架， 使网络安全领域的开发人员能快速地开发适 合企业应用环境的解决方案; 为入侵检测技术研究人员提供一个易于使用和理解 的研发和试验平台。 本文首先论述了 系统的三个立足点:动态安全、分布式入侵检测、 a g e n t 技 术的 概念以 及其研究 现况。 然后， 通过分 析在.s 中 应用多a g e n t 系统时堕 需 解 决的问 题， 提出了 多a g e n t 系统的开发 框架， 并 划分了 开 发 框架中 五 类开发者的 角色和职责。 再次， 提出了本文的研究重点适用于大规模异构网络的基于智 能a g e n t 的分布式入侵检测系统， 并对其体系 基础设施、 数据处理模型、 协 作模型、 组织模型、 应用a g e n t 模型等进行了 详细的论述。 最后， 我们基于这个 框架实现了一个原型系统a i a d - i d s ，介绍了其开发流程、详细设计以及原型的 测试结果，用实例验证了系统的可行性。 我们的系统作为安全领域开发的一个解决方案， 还是显得比较初步的。 所以， 在本文最后给出了进一步工作的设想。 关键字:ma s 技术，分布式入侵检测，a i a d - i d s ，协作，组织模型 扣 ab s t r a c t a s t h e k e rne l c o m p o n e n t o f t h e m o d e rn a c t i v e s e c u r i t y s y s t e m , i d s p r o m o t e s t h e me a s u r e o f i n f o r m a t i o n a s s u r a n c e f rom p a s s i v e t o a c t i v e , a n d a c t s a s t h e e ff e c t i v e c o m p l e m e n t t o t r a d i t i o n a l p r o t e c t i o n t e c h n i q u e s . i n t h e a r c h i t e c t u r e o f d y n a m i c s e c u r i t y , i d s c a n g r e a t l y c o n t r i b u t e t h e i n c r e a s e o f t h e s e c u r i t y o f c y b e r s p a c e wi t h t h e d e v e l o p m e n t o f t h e i n f o r m a t i o n t e c h n o l o g i e s a n d t h e d e e p r e q u i r e m e n t o f t h e a p p l i c a t i o n a r e a , t h e d i s t r i b u t e d a n d i n t e l li g e n t i z e d i d s h a s b e e n d e v e l o p e d i n t o t h e f o c u s o f t h e w h o l e r e a l m o f c y b e r s p a c e s e c u r i t y . o n t h e o t h e r h a n d , m a s , t h e j o i n t r e s e a r c h r e s u l t o f s o ft - c o m p o n e n t t e c h n o l o g y a n d a i , h a s b e e n w i d e l y a p p l i e d i n t h e a r e a o f i d s . o u r r e s e a r c h i s b a s e d o n t h i s p r o p o s a l : d i g i t a l c o m m u n i t y i s a m a p p i n g o f h u m a n c o m m u n i t y , h o w e v e r , t h e ma s i s t h e m o s t s u c c e s s f u l s i m u l a t i o n o f h u m a n c o m m u n i t y u n t i l n o w . s o , a g e n t - b as e d s o ft w a r e w i l l b e t h e m o r e s u it a b l e s e c u r ity t o o l . t h e p u r p o s e o f o u r r e s e a r c h i s t o d e v e l o p a n a u t o n o m o u s i n t e l l i g e n t a g e n t fr a m e w o r k f o r d i s t r i b u t e d i n t r u s i o n d e t e c t i o n s y s t e m , a n d t o b u i l d a s c a l a b l e a n d f l e x i b l e s o f t w a r e fr a m e w o r k w i t h ma s , w h i c h w i l l m a k e i t e a s y t o d e v e l o p a s e c u r i t y p r o j e c t f o r e n t e r p r i s e e n v i r o n m e n t , a n d p r o v i d e a c o n v e n i e n t t e s t - b e d f ir s t l y , w e p r e s e n t t h e t r i p o d o f o u r fr a m e w o r k : d y n a m i c s e c u r i t y m o d e l , d i d s , a n d ma s . a ft e r a n a l y z in g s e v e r a l p r o b l e m s w h i c h m u s t b e s o l v e d in t h e e n g a g e m e n t o f ma s i n i d s , w e p u t f o r w a r d t h e d e v e l o p m e n t p r o c e s s o f ma s a n d m a r k o f f t h e r o l e s a n d r e s p o n s i b i l i t i e s o f t h e f i v e k i n d s o f d e v e l o p e r s . s e c o n d l y , w e p r e s e n t t h e k e y - p o i n t s o f t h i s t h e s i s : a g e n t - b a s e d d i d s f r a me w o r k , w h i c h c a n f i t t h e l a r g e - s c a l e a n d h e t e r o g e n e o u s n e t w o r k s . we d e s c r i b e t h e f r a m e w o r k i n d e t a i l b y p r e s e n t i n g a l l o f i t s c o m p o n e n t s : i n f r a s t ruc t u r e , d a t a - p r o c e s s m o d e l , c o l l a b o r a t i o n m o d e l , o r g a n i z a t i o n m o d e l a n d a p p l i c a t i o n a g e n t m o d e l . f i n a l l y , w e p r e s e n t t h e i m p l e m e n t a t i o n o f t h e fr a m e w o r k s s o f t w a r e p r o t o t y p e a n d e x p l o r e t h e w h o l e d e v e l o p m e n t p r o c e s s . t h e r e s u l t s o f t h e t e s t p r o v e t h e f e a s i b i l i t y o f o u r fr a m e w o r k . h o w e v e r , t h e f r a m e w o r k i s r e l a t iv e l y r o u g h . s o , i n t h e l a s t o f p a p e r , w e p r o p o s e t h e f u t u r e wo r k o f o u r r e s e a r c h . k e y w o r d s : ma s t e c h n o l o g y , d i d s , a i a d - i d s , c o l l a b o r a t i o n , o r g a n i z a t i o n m o d e l t i 西北下业大学硕士学位论文 第一章 引合 第一章引 言 1 . 1课题背景 1 . 1 . 1杜会背景 随着全球信息化发展过程， 互联网络己经深入国民生活的各个角落。 然而在 其为大家带来越来越多的便利之后，矛盾的另一面出现了安全性得不到保 障。 问题在于作为信息网络的基础设施之安全设施， 没能与互连网络协调发 展。 首先表现为互联网的开放性、 多样性和计算机系统的复杂性使得互连网络不 可避免存在这样那样的软硬件漏洞; 如何保证网络信息系统的安全便成为制约互 联网的发展的特别重要的问题。 其次是由于安全问题的复杂性、 媒体的误导， 使 得用户缺乏相当的安全意识、 防范措施和采取适当的网络行为; 制定一定的信息 网络行为法律规范，以及为用户提供合适的安全防护工具是当前的迫切任务。 安全问题归根结底是一个社会问题。 安全的实质是不受损失，所以安全是以 损失获利程度效益来衡量。目 标责任人部署安全系统也是围绕此原则来实 施。 安全系统的开发同样如此。 如何有效的防止损失， 必须对如何造成损失 损失手段进行研究。 损失手段分为可防御和不可防御两种。 损失无非是由对手破 坏、自己 失误造成。相应的防御手段就是攘外、安内。 信息安全领域同样如此。 完整信息安全技术研究，矛与盾都不可缺少。 在中国互联网络面临大发展的今天， 业界人士己经形成了普遍的共识中 国互联网在基础设施的构建上已逐步走向成熟， 加强信息安全是目 前运营和维护 网络生态环境的关键所在。 我们必须采取各种可能的手段保护网络世界的信息安 全。除了提高国民的安全意识， 加强法律、法规、制度等管理措施外，还应使用 现代化的信息安全技术手段提高网络信息系统的安全能力， 这是在未来信息社会 中赢得生存和发展的必由之路。 1 . 1 . 2技术背景 互联网的普及使用和高速网的发展大大增加了联网系统受攻击的机会和频 率。 唾手可得的网络攻击工具， 使网络攻击呈现全球化、 普遍化、 协作化的趋势。 西北下业大学硕士学位论文 第一章 引合 第一章引 言 1 . 1课题背景 1 . 1 . 1杜会背景 随着全球信息化发展过程， 互联网络己经深入国民生活的各个角落。 然而在 其为大家带来越来越多的便利之后，矛盾的另一面出现了安全性得不到保 障。 问题在于作为信息网络的基础设施之安全设施， 没能与互连网络协调发 展。 首先表现为互联网的开放性、 多样性和计算机系统的复杂性使得互连网络不 可避免存在这样那样的软硬件漏洞; 如何保证网络信息系统的安全便成为制约互 联网的发展的特别重要的问题。 其次是由于安全问题的复杂性、 媒体的误导， 使 得用户缺乏相当的安全意识、 防范措施和采取适当的网络行为; 制定一定的信息 网络行为法律规范，以及为用户提供合适的安全防护工具是当前的迫切任务。 安全问题归根结底是一个社会问题。 安全的实质是不受损失，所以安全是以 损失获利程度效益来衡量。目 标责任人部署安全系统也是围绕此原则来实 施。 安全系统的开发同样如此。 如何有效的防止损失， 必须对如何造成损失 损失手段进行研究。 损失手段分为可防御和不可防御两种。 损失无非是由对手破 坏、自己 失误造成。相应的防御手段就是攘外、安内。 信息安全领域同样如此。 完整信息安全技术研究，矛与盾都不可缺少。 在中国互联网络面临大发展的今天， 业界人士己经形成了普遍的共识中 国互联网在基础设施的构建上已逐步走向成熟， 加强信息安全是目 前运营和维护 网络生态环境的关键所在。 我们必须采取各种可能的手段保护网络世界的信息安 全。除了提高国民的安全意识， 加强法律、法规、制度等管理措施外，还应使用 现代化的信息安全技术手段提高网络信息系统的安全能力， 这是在未来信息社会 中赢得生存和发展的必由之路。 1 . 1 . 2技术背景 互联网的普及使用和高速网的发展大大增加了联网系统受攻击的机会和频 率。 唾手可得的网络攻击工具， 使网络攻击呈现全球化、 普遍化、 协作化的趋势。 西北不业大学硕士学位论文 第一章 引言 从而网 络安全的广度、 深度和难度不再是单一的网络安全系统可以承受得起; 必 须拓展原有网络安全防护系统， 增加其控制和检测的精度、 广度和速度， 增强防 护反应的时效性、 动态性和智能水平，以及系统的可扩展性、 经济性。 将入侵检 测系统作为网络安全防护的核心工具， 同其他安全子系统联动， 是目 前比较热门 的称作主动安全的研究方向。 从实验室原型研究到推出商业化产品、走向市场并获得广泛认同，入侵检测 系统己经经历了二十余年的发展历程。 1 9 8 8 年的莫里斯蠕虫事件发生之后， 网络安全才真正引起了 美国军方、 学术 界和企业的高度重视。 美国空军、 美国国家安全局和美国能源部共同资助美国空 军密码支持中心、美国劳伦斯利弗摩尔国家实验室、美国加州大学戴维斯分校、 美国h a y s t a c k 实验室，开展对分布式入侵检测系统 ( d 工 d s )的研究， 将基于主 机和基于网络的检测方法集成到一起。 入侵检测的最初是通过对事件的日志的自 动行为分析实时的检测误用。 然而 随着网络的深入发展， 这种主要基于主机环境的静态的事后检测的入侵检测模型 和技术无法完全满足解决分布式、动态变化、发展迅速的i n t e rn e t 安全问题的需 要。 最近十年来， 入侵检测系统的结构已 经从最初的 集中式转向 分布式、 从单一 部件转向复合式部件，研究的重点也逐渐转移到系统框架的标准化上来。 从2 0 世纪9 0 年代到现在， 分布式入侵检测系统的 研发呈现出 繁荣局面， 并 在智能化和分布式两个方向取得了长足的进展。目 前，s r 工 / c s l 、普渡大学、加 州大学戴维斯分校、 洛斯阿拉莫斯国家实验室、 哥伦比亚大学、 新墨西哥大学等 机构在这些方面的研究代表了当前的最高水平。 现在， 入侵检测成长为通过分析事件记录及网络分组以提供预测、检测、响 应、 毁坏情况评估及起诉支持功能的一种系列化的安全模型和技术: 其遵循全局 安全策略检测外部威胁和内部威胁， 评价系统安全态势， 最终同其他安全子系统 ( 如o s 访问控制系统、审计系统、防火墙) 联合形成一个多层次的、具有不同 粒度的、针对不同关键目 标对象的、纵深的、主动的信息对抗工具。 在系统的结构实现方面， m a r k c r o s b i e 和g e n e s p a ff o r d 提出了自 主a g e n t 的 概念。其基本思想是利用分布的独立模块完成对入侵检测的数据采集和数据分 析， 通过所有模块的相互协作， 实现对整个系统的整体监控， 这种方法在系统开 销、可伸缩性、故障承受能力和机动性方面，都表现出了明显的优势。 西北s业大学硕士学位论文 第一章 引言 1 9 9 4 年， 美国p u r d u e 大学的j a i s u n d a r b a l a s u b r a m a n i y a n 等 人进一步 提出了 入 侵检 测中 使 用自 主 代理的 体系 结 构的a a f i d ( a u t o n o m o u s a g e n t s f o r i n t r u s i o n d e t e c t i o n ) 和a a f i d 2 。 自 治a g e n t 的 可以 广泛的 搜 集整个网 络环境内 的 各种信息， 包括主机日 志文件、网络上的数据包等。 a g e n t 甚至可以 是一个网管系统中的 m a n a g e r ， 可以 搜集各个网络设备的信息并对之加以 控制。 通过设计新的a g e n t , 可以针对新的各种数据源进行分析。 a a f 工 d 2 还提供了a g e n t 代码生成工具。 另一种采用分布式 a g e n t 系统架构的入侵检测系统是 e m e r a l d ( e v e n t mo n i t o r in g e n a b l i n g r e s p o n s e s t o a n o m a l o u s l i v e d i s t u r b a n c e s ) ，其原型系统由 s r i 的p h i l l i p p o r r a s 提出。 e m e r a l d主要面向 大型的、 基于松散架构的企业网 络。 e m e r a l d将网络系统划分为若干个相互独立的管理域，应用不同的安全 策略; e m e r a l d还为系统提供了 基于不同抽象层次的三种等级的监视机制; 其 还实现了模式管理和模式分析的分离。 e me r a l d系统架构的灵活性、 多层次的 抽象功能、 对第三方工具的开放性以及吸收借鉴的i d e s / n i d e s 系统特点， 使得 该系统成为入侵检测领域的先驱。 美国c o l u m b i a大学设计的一种基于智能a g e n t 和m e t a - l e a r n i n g的分布式 检测系统模型， 采用一些人工智能技术如: 神经网 络、 知识挖掘， 使a g e n t 具有 知识建模和知识推断能力，还可以实现a g e n t 之间的协作。 工 d a s ， 是日 本工 p a ( i n f o r m a t i o n - t e c h n o l o g y p r o m o t i o n a g e n c 必设计的 基于移动 a g e n t 的多主机检测系统。 其通过移动a g e n t 在各主机之间跟踪监测可疑事件， 分析入侵者的行踪。 美国 i o w a 大学计算 机安 全实验室 m a i d s ， 其 采用移动 a g e n t 技术， 特点 是 检测逻辑移动而不是监测数据传递， 从而获得系统负载平衡、 良 好的体系结构的 灵活性、容错性。其使用着色p e t r i 网来描述数据收集、分类和协作活动模型， 从而自 动生成a g e n t 代码。 入侵检测系统框架的 标准化进程中， 作出 最具有代表性工作的是c 工 d f 和工 e t f 入侵检测工作小组。c 工 d f的目的是解决入侵检测系统之间的互操作性，使之能 相互通信，协同工作;还可以使入侵检测系统与其他支持c i d f的安全系统配合 实施统一的配置响应和恢复策略;为了保证组件间通信的安全性，c i d f还提供 了c a认证机制。所以c 工 d f 本质上是构建分布式 工 d s的基础。另一方面，c 工 d f 还描述了一个完整的工 d s 通用结构模型，这个结构使用a g e n t 来实现十分自 然。 西北t业大学硕士学位论文 第一章 引言 i e t f 的入侵检测工作组 ( i n t r u s i o n d e t e c t i o n w o r k i n g g r o u p , i d wg ) 工作主 要 集中 在 制定 入 侵检 测交 互 协议 ( i n tr u s io n d e t e c t i o n e x c h a n g e p r o t o c o l , i d x p ) 和入侵检测消息交互格式 ( i n t r u s i o n d e t e c t i o n m e s s a g e e x c h a n g e f o r m a t , i d me f ) . i d me f 是为入侵检测系统之间进行事件通知、 信息共享而定义的标准 数据格式， 用于提高异质系统间的互操作性。 i d me f 使用x ml 进行表述。 i d x p 则是用于入侵检测实体间交换数据的应用层协议， 支持基于面向连接协议的交互 式认证，用于保证数据的完整性和保密性，可以用于idme f消息、未格式化文 本及二进制数据的交换。 n a i l a b的idi p定义了大规模网络实时入侵检测需要处理的( 一) 各个ids . f i r e w a l l . r o u t e r 、主机、安全管理组件之间的协作协议，( 二) 攻击者的跟踪定 位协议，( 三)全局自 动响应协议。并由此发展了a n - idr为核心、集扫描、检 测、 跟踪、 响应、修复为一体的主动网络安全体系构架。从而将安全的功能分布 到了所有的网络设备。 1 . 1 .3应用背景 软 件a g e n t 实际 上是一 个独立运行的 计算机程序， 具 有自 治 性、 智能 性和协 作性等特征。 a g e n t 技术为 分 布式计 算提供了 一种更 有效、 更灵活的实 现模式。 基于分布式a g e n t 的入侵检测系统具有以 下特点: ( 1 )将a g e n t 技术应 用于入 侵检测系统可以 解决 集中 式i d s现存的 很多问 题。 集中 式 系统 在高 速网 下 丢包的 问 题， 分 布 式a g e n t 在网 络 和 系 统 之 间 作出了 均衡。 分布式a g e n t 避免了 集中 式 系统的 单一失 效点问 题。 ( 2 )功能 在 广度和 深度的 扩展: 通过多a g e n t 之间 协同 形成一个高 层次的网 络单元模型， 获得全局安全态势。 检测点深入到网络上的每一个物理环 节，协作监测网络中的 协作式入侵活动。 ( 3 ) 结构上的开放性: 功能部件遵循相同通讯协议即可加入系统。 从而能使 众多 异构智能a g e n t 相 互协作， 涌现新的 功能。 能 适应不同 网 络规模、 网 络结构。 a g e n t 可以 独立测试和发布使系统开发变得容易。 ( 4 )动态自 适应能力:能 够很容易的独立开发新的a g e n t ， 使之能检测出 新 类型的 攻击。 用户也可以 针对环境的变化， 裁减或修改现有的a g e n t 结 构，演化为当前环境最优的系统。 西北t业大学硕士学位论文 第一章 引言 i e t f 的入侵检测工作组 ( i n t r u s i o n d e t e c t i o n w o r k i n g g r o u p , i d wg ) 工作主 要 集中 在 制定 入 侵检 测交 互 协议 ( i n tr u s io n d e t e c t i o n e x c h a n g e p r o t o c o l , i d x p ) 和入侵检测消息交互格式 ( i n t r u s i o n d e t e c t i o n m e s s a g e e x c h a n g e f o r m a t , i d me f ) . i d me f 是为入侵检测系统之间进行事件通知、 信息共享而定义的标准 数据格式， 用于提高异质系统间的互操作性。 i d me f 使用x ml 进行表述。 i d x p 则是用于入侵检测实体间交换数据的应用层协议， 支持基于面向连接协议的交互 式认证，用于保证数据的完整性和保密性，可以用于idme f消息、未格式化文 本及二进制数据的交换。 n a i l a b的idi p定义了大规模网络实时入侵检测需要处理的( 一) 各个ids . f i r e w a l l . r o u t e r 、主机、安全管理组件之间的协作协议，( 二) 攻击者的跟踪定 位协议，( 三)全局自 动响应协议。并由此发展了a n - idr为核心、集扫描、检 测、 跟踪、 响应、修复为一体的主动网络安全体系构架。从而将安全的功能分布 到了所有的网络设备。 1 . 1 .3应用背景 软 件a g e n t 实际 上是一 个独立运行的 计算机程序， 具 有自 治 性、 智能 性和协 作性等特征。 a g e n t 技术为 分 布式计 算提供了 一种更 有效、 更灵活的实 现模式。 基于分布式a g e n t 的入侵检测系统具有以 下特点: ( 1 )将a g e n t 技术应 用于入 侵检测系统可以 解决 集中 式i d s现存的 很多问 题。 集中 式 系统 在高 速网 下 丢包的 问 题， 分 布 式a g e n t 在网 络 和 系 统 之 间 作出了 均衡。 分布式a g e n t 避免了 集中 式 系统的 单一失 效点问 题。 ( 2 )功能 在 广度和 深度的 扩展: 通过多a g e n t 之间 协同 形成一个高 层次的网 络单元模型， 获得全局安全态势。 检测点深入到网络上的每一个物理环 节，协作监测网络中的 协作式入侵活动。 ( 3 ) 结构上的开放性: 功能部件遵循相同通讯协议即可加入系统。 从而能使 众多 异构智能a g e n t 相 互协作， 涌现新的 功能。 能 适应不同 网 络规模、 网 络结构。 a g e n t 可以 独立测试和发布使系统开发变得容易。 ( 4 )动态自 适应能力:能 够很容易的独立开发新的a g e n t ， 使之能检测出 新 类型的 攻击。 用户也可以 针对环境的变化， 裁减或修改现有的a g e n t 结 构，演化为当前环境最优的系统。 西北工业大学硕士学位论文第一章 引言 对 m a s系统的研究和应用也是当前软件行业的热点。 a g e n t 的研究领域包 括: a g e n t / m a s 模型、 a g e n t 交互与 协商、a g e n t 通信与通信语言、 联盟和组织、 a g e n t 标准、 移动 a g e n t 、面向a g e n t 的 程序设计、 面向a g e n t 的软件工程、 r o b o c u p 和各种应用等。 f i f a( 智能物理a g e n t 基金会) 作了 许多出 色的标准化工作。 其标准包括内 容如下: 、一一一少 a g e n t c o mmu n i c a t i o n a 一一- 一 沐 a g e n t i 丈 m a n a g e m e n t ) /- a ge n t m e ssage 气 t ra n s p o rt jj 一 n-g-prolocols 一一 unirativeacts ca 川e n l l o n g u 阳e s acl s e n t a t ror t r a n s p o rt p r n t o n o ls 一 一 义 夕 一 图1 . 1 f i p a 制 定的a g e n t 体系 面向a g e n t 的 分析和设计技术为m a s 的 应用开发为应用建模提供解决方案。 基于a g e n t 系统的分析和设计方法分为两个派别: 来源于0 0方法论，或扩充或调整从0 0过度到o a是相当自 然的。主 要用于解决系统的实现问题。 来源于知识工程或对其他技术的调整。主要用于解决系统在理论和应用 的建模问题。 u m l 是事实上0 0 建模的标准， 也是面向a g e n t 的 分析和设计技术的出 发点。 可以 扩展u m l ， 使之包含面向a g e n t 的分析和设计的建模语言。而u m l本身 也用于系统实现时的 对象级的精细建模。 可参考o d e l l . d e p k e . b a u e r 等人的工 作。 1 . 1 . 4课题意义及研究内 容 本论 文的 研究 题目 是“ 基于智能a g e n t 的 入 侵检 测系统” 。 研究目 的 在于 搭 建一个通用的入侵检测系统软件框架， 使研究开发人员能快速的开发符合企业应 用环境的安全防御解决方案。 并在此基础上实现一个面向大规模异构网络的基于 自 主智能a g e n t 的分布式网 络入侵检测系统原型。 基于自 主智能 a g e n t 的入侵检测系统 ( a u t o n o m o u s i n t e l l i g e n t a g e n t s f o r d i s t ri b u t e d i n t r u s i o n d e t e c t i o n s y s t e m ， 以 下简称a i a d - i d s ) 的 研制的目 的是将具 有诸多技术优势，具有良好发展前景的a g e n t 技术应用于入侵检测系统， 使其具 西北工业大学硕士学位论文第一章 引言 对 m a s系统的研究和应用也是当前软件行业的热点。 a g e n t 的研究领域包 括: a g e n t / m a s 模型、 a g e n t 交互与 协商、a g e n t 通信与通信语言、 联盟和组织、 a g e n t 标准、 移动 a g e n t 、面向a g e n t 的 程序设计、 面向a g e n t 的软件工程、 r o b o c u p 和各种应用等。 f i f a( 智能物理a g e n t 基金会) 作了 许多出 色的标准化工作。 其标准包括内 容如下: 、一一一少 a g e n t c o mmu n i c a t i o n a 一一- 一 沐 a g e n t i 丈 m a n a g e m e n t ) /- a ge n t m e ssage 气 t ra n s p o rt jj 一 n-g-prolocols 一一 unirativeacts ca 川e n l l o n g u 阳e s acl s e n t a t ror t r a n s p o rt p r n t o n o ls 一 一 义 夕 一 图1 . 1 f i p a 制 定的a g e n t 体系 面向a g e n t 的 分析和设计技术为m a s 的 应用开发为应用建模提供解决方案。 基于a g e n t 系统的分析和设计方法分为两个派别: 来源于0 0方法论，或扩充或调整从0 0过度到o a是相当自 然的。主 要用于解决系统的实现问题。 来源于知识工程或对其他技术的调整。主要用于解决系统在理论和应用 的建模问题。 u m l 是事实上0 0 建模的标准， 也是面向a g e n t 的 分析和设计技术的出 发点。 可以 扩展u m l ， 使之包含面向a g e n t 的分析和设计的建模语言。而u m l本身 也用于系统实现时的 对象级的精细建模。 可参考o d e l l . d e p k e . b a u e r 等人的工 作。 1 . 1 . 4课题意义及研究内 容 本论 文的 研究 题目 是“ 基于智能a g e n t 的 入 侵检 测系统” 。 研究目 的 在于 搭 建一个通用的入侵检测系统软件框架， 使研究开发人员能快速的开发符合企业应 用环境的安全防御解决方案。 并在此基础上实现一个面向大规模异构网络的基于 自 主智能a g e n t 的分布式网 络入侵检测系统原型。 基于自 主智能 a g e n t 的入侵检测系统 ( a u t o n o m o u s i n t e l l i g e n t a g e n t s f o r d i s t ri b u t e d i n t r u s i o n d e t e c t i o n s y s t e m ， 以 下简称a i a d - i d s ) 的 研制的目 的是将具 有诸多技术优势，具有良好发展前景的a g e n t 技术应用于入侵检测系统， 使其具 西北t业大学硕士学位论文第一章 引言 有一定的智能性，采用分布式的体系结构，符合当前入侵检测技术的发展趋势。 作为新一代的入侵检测系统 i .新的数据采集技术: a i a d -i d s 具有如下新功能: 高速网络、无线网络、移动网络， 网络互连技术使得数据源的获取变得更为复杂和多变。 要进行最新的数据采集方式和协议分析的研究。 层出不穷的新的 针对这个问题， 需 2 . 层次化和演进式的部署。因为a g e n t 之间的 松散藕合， 因此能成组部署， 并形成不同 层次级别单元结构。 每个a g e n t 执行不同的简单功能， 但却为 一个高级的结果服务。 需要时， 体系结构提供加入新组件或替换旧组件的 能力，更容易适应快速变化环境下的应用。 3 .集成先进的入侵探测组件:可以将诸如数据融合、数据挖掘、神经网络 技术作为检测部件融入到系统中，适应入侵检测系统智能化需要。 a i a d 一 工 d s原型系统的基本设计概念是: 遵循论文入侵检测系统框架， 使用 a g e n t 软构件技术， 构建一种分布式入侵检测与响应应用系统。 系统全局采用自 相似的模式部署。 一方面采用分布式的特点， 监控范围广， 充分利用网络计算资 源， 构建一个高层次的网络单元模型以适应网络系统的演化; 另一方面由于采用 了a g e n t 的 技 术， 检 测点 可以 达到网 络上的 满足一定 信息管理 规范的 数 据设 备。 而且系统可利用节点信息之间相关性可以作到全局网络安全策略的考虑。 作为完整的入侵检测的框架应该包括系统实现框架、 部件的通信模型、 入侵 建 模、 检 测 技术 模 型 和仿 真 评估 工 具。 一 方面， 其所 包 含安 全 模型 的 不 仅 仅 是 ta 击行为的识别， 还包括前导的攻击行为的建模、 攻击预测，以 及检测到攻击之后 的响应、 损失情况评估、 和起诉支持，是一个安全的完整流程。 另一方面， 这个 入侵检测系统框架不仅仅包括理论模型，还应该包括其实现框架，如基础设施 a p i 、通信包a p i 和其他开发和测试工具包。当然，在实现时可以相应裁减，或 分步实现。 这个框架应该满足如下要求: . 安全性与可靠性: 为实现不同的管理域之间i d s 信息共享同时又不泄漏本 管理域的敏感信息，要求各部件之间的通信具备认证与访问功能，敏感信 息的传输需要保证完整性与保密性;i d s 本身必须能抵抗各种攻击行为。 . 与其他网 络产品的 互操作性: i d s应该具备直接操作访问控制设备 ( 如防 火墙、 授权系统等) 的能力， 支持同t m n或s n m p v 3 的互操作， 控制正在 西北工业人学硕士学位论文 第一章 p, i 言 进行的攻击活动。 . 最后，入侵检测本身是安全管理的一部分，i d s需要与现有安全管理系统 集成，提供易操作的的界面，以降低对用户的专业技能要求。提供的配置 管理、性能管理、故障管理和统计分析报表等功能。 在a i a d - i d 框架设计中 采用a g e n t 软构件技术和面向a g e n t 的分析和建模技 术。使用迭代式开发流程。设计中充分利用已有的可靠的标准的设计。如 c 工 d f 或工 up 的现有a p i 。集成现有的开放式入侵检测系统。如改造 s n o r t 为检测框 架的下层组件。a 工 a d 一 工 d 5预期会具有 a g e n t 技术的诸多优势，可靠的安全性和 良好的互操作性。 1 . 2 论文组织 本论文后续章节的内容安排如下: 第二章介绍基本概念和体系，主要包括安全概念体系、入侵检测概念体系、 a g e n t 概念体系。 第三章在综合各方面技术的 基础上， 提出了 基于a g e n t 的分布式入侵检测系 统框架，包括系统术语框架和系统工作框架。 第四章描述了a i a d - i d s 原型系统设计和实现。 第五章总结全文，并提出系统框架实现的进一步工作。 西北工业人学硕士学位论文 第一章 p, i 言 进行的攻击活动。 . 最后，入侵检测本身是安全管理的一部分，i d s需要与现有安全管理系统 集成，提供易操作的的界面，以降低对用户的专业技能要求。提供的配置 管理、性能管理、故障管理和统计分析报表等功能。 在a i a d - i d 框架设计中 采用a g e n t 软构件技术和面向a g e n t 的分析和建模技 术。使用迭代式开发流程。设计中充分利用已有的可靠的标准的设计。如 c 工 d f 或工 up 的现有a p i 。集成现有的开放式入侵检测系统。如改造 s n o r t 为检测框 架的下层组件。a 工 a d 一 工 d 5预期会具有 a g e n t 技术的诸多优势，可靠的安全性和 良好的互操作性。 1 . 2 论文组织 本论文后续章节的内容安排如下: 第二章介绍基本概念和体系，主要包括安全概念体系、入侵检测概念体系、 a g e n t 概念体系。 第三章在综合各方面技术的 基础上， 提出了 基于a g e n t 的分布式入侵检测系 统框架，包括系统术语框架和系统工作框架。 第四章描述了a i a d - i d s 原型系统设计和实现。 第五章总结全文，并提出系统框架实现的进一步工作。 西北工业大学硕士学位论文第二章 基本概念体系 第二章 基本概念体系 2 . 1安全基础 2 .1 . 1基本概念 我们所关注的安全是指一个比计算机系统所包括的范围更广一些的领域内 安全问题，这个领域可称为数字空间，泛指存在可编程设备的 应用领域。 其中， 定义: 定义 i :目 标系统 指数字空间中 提供的所有服务。在不影响上下文时， 简称系统。 定义 2 : 实体 ( e n t i t y ) 指数字空间中 具有唯一 标识符的 可识 别对象， 实体 之间的 操作称为活动， 实体构成所有活动的参与者。 称能主动引发活动的实体为主动 实体( a c t iv e e n t i t y ) 或主动者( s u b j e c t ) 。 称只能 被动参与活动的 实体为被动 实体 ( p as s i v e e n t i ty ) 或受动者 ( o b j e c t ) . 定义 3 : 广义安全实体的行为完全符合系统的期望， 系统期望表达成安全规则， 也 就是说主体的行为必须符合安全规则对他的要求。 这是安全的直观的定义，按这个定义，认为一个系统是安全的，即是信任其 中的实体按期望运作或实体之间彼此信任对方按期望运作。 当实体只能作为一个 黑盒子存在于数字空间时， 对其行为的实际运作符合预期的期望是整个系统中实 体协同运作的前提假设。 当这个假设被证明是不成立或缺少证据时， 则系统就会 存在漏洞，而威胁就随之出现了。 定义 4 : 威胁在一定环境下， 在系统活动中存在的对安全规则的违背或导致损害的 潜在性。 定义 5 :实体的授权信任一个实体，并给予相应的允许活动集合。 定义 6 : 狭义安全 ( i s o 7 4 9 8 - 2 1 9 8 9 ) 满足如下要求的系统称为安全的: ( 1 ) 机 密 性 ( c o n fi d e n ti a l ity ) : 非 授 权的 实 体不 能 获 得 信息 或 使 用权。 ( 2 ) 完 较 性 ( i n t e g r it y ) : 非 授 权的 实 体 不能 修改 数 据。 ( 3 ) 可确认性 ( a c c o u n t a b i li ty ) : 确保一个实体的 作用可以 被唯一地追踪到该实体。 ( 4 ) 可用性 ( a v a i l a b il i t y ) : 根据授权实体的 请求， 资 源可被访问。 由