（计算机应用技术专业论文）基于代理的分布式入侵检测系统的分析与设计.pdf

，塑坚盔堂堡主堂焦丝壅x 墨2 量9 8 3 摘要 随着互联网的迅速发展，网络安全问题越来越受到人们的重视。随着攻击者知 识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足 当前的需要，网络的防卫必须采用一种纵深的、多样的手段。与此同时，当今的网 络环境也变得越来越复杂。在这种环境下，入侵检测技术成为了网络信息安全领域 研究的热点和重点。 本文对入侵检测系统的发展历程，发展现状和发展趋势作了详细介绍。同时也 介绍了入侵检测的标准化工作，分别对c i d f 和i d w g 进行了剖析。鉴于分布式入侵 检测正成为入侵检测领域的发展方向，我们着重对分布式入侵检测系统进行了分析 和研究。同时介绍了国内外分布式入侵检测研究的现状，分析了它们各自的特点。 本文在研究了国内外相关入侵检测相关技术的基础上，设计了一个基于代理的 分布式入侵检澍系统原型 - d i d s ( a g e n t - b a s e dd i s t r i b u t e di n t r u s i o n d e t e c t i o ns y s t e m ) 。该系统原型设结合软件代理技术和分布式技术，主要包括控 制中心代理模块和检测代理模块。控制中心模块主要负责系统管理配置和对综合入 侵的分析检测，检测代理模块负责网络节点的入侵检测。该原型设计了基于多代理 间相互通信协同检测的体系框架，通过各代理的协同检测，构建了一个层次化的防 护体系架构。 【关键字】网络安全入侵检测分布式代理 浙江大学硕士学位论文 a b s t 憎c t a st t l ef 斑d c v e l o p m e mo fi n t e 孙i e t ，m en e t w o r ks e c 嘶t yp r o b l e mi sb e c o m i n g m o r ea n dm o r ei n l p o r t 觚t a st 1 1 ea t c 眦k e 璐盯eb e c o m i n gm a _ t l l r e ，a n dt l l e 舭kt o o l sa 1 1 d w a y s a r e b e c o m i n g谢o u s t h e f i m 、砌l s 缸锄e g y c a n n o l o n g e rc o n t e n tt l l e r e q i l i r e m e m t h ed c f e n s eo f m 帅m r kn dt ob ed e e pa n dm u l t i p l e x a tt h es 锄et i m e ，t 1 1 e n e t w o r ke r m m n i m mi sb e c o m i n gm o r ea n dm o r ec o m p l e x i nt l l i ss i t u a i o n ，i n t r u s i o n d c t e c t i o nt c c h o n o l g yh 粥b e c o m et h ef o c u sp o i n to f n e t w o r ks e c u r i t yr e s e a r c h t h i sp 印e ri n t r o d u c e s 也el l i s t o r y ，t h ec u r r e mr c s e a r c hs 扭t u s a n dm ed e v e l pd i r e c t i o n s a b o u ti n t m s i o nd e t e c t i o nt e c h n o l g y a n dt l l i sp a p e ra l s oi n 臼州u c e st l l es t a l l d a r d i z a t i o n w o r ko fi m m s i o nd e t e c t i o n ，i n c l u d i r 培c i d fa n di d w g a st h ei m p o r t a n to fd i s t r i b u t e d 砷舶s i o nd e t e c t i o nt e c h n o l o g y l 蛐sp a p c ri n 缸d d u c e sa l l da n a l y z e st h ed i s t r i b u t c di m r u s i o n d e t e c t i o ns y s t e m a n da tt l l es 锄et i i l l e ，i ts h o wu st h ec l l i t e mr e s e a f c ha b o u td i s t r i b u t e d i 1 1 扭膪i o nd 酏哪i o ns y 鼬锄j 上lt h ew o d d ，a n da n a l y z e st h ed i f f e r e n tc h a r a c t c r i s t i c so f t l l e m 0 nt h eb 嬲e m e mo fc u 删t 咒a r c ho ni n t n l s i o nd e t e c t i o nt e c l l i l o l o g y w ed e s i g na p r o t o t y p e o fa g e n t b a s e dd i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ，w h i c his c a l l e d a d i d s t h i sp r o t o t y p e c o 舶b i n e ss o f t w a r e a g e n tt e c h n o l o g ya n d d i s t r i b u t et e c h n o l o g y i ti sc o m p o s e do fc o n t r o lc e n t e ra g e n ta n dd e t e c t i o n a g e n t s t h ec o n 由lc e n t c ra g e n tm 趾a g e st l l ed e t e c t i o na g e n t sa n dd e t e c t ss o m e d i s m b u t e da t t a c ke v e n t s t h ed e t e c t i o na g e 玎临d e t c c tm ei m m s i o no nt h en e t w o r k n o d e s t h i sp r o t o t y p ed e s i g n s 锄a r c l l i t e c t l l r eb 嬲e do nm u l t i - a g e m s sc o m m u n i c a t i o na n d c o l l a b r o a t i o n b y 也ec o l l a b o 州o no fm e s ea g e n t s ，w ec o n s h l l c tal l i e m c h i c a ld e f e n d i n g s y s t e m 【k i y w o r d 】n e 佃o r ks 睇u 一劬i n t m s i o nd e t e c t i 蛐，d i s 打m u t e d ，a g e t i l 浙江大学硕士学位论文 第一章绪论 1 1 互联网现状和信息安全 互联网的发展引起了新的产业革命，变革了经济的运行模式，对人类社会的 影响是深刻的。由于互联网对于社会资源的巨大节约及其产生的社会效应，尽管 受到包括制度、观念、语言在内的各种障碍的制约，互联网仍然在全球范围内得 到了飞速发展。 2 0 0 6 年1 月1 7 日，中国互联网络信息中心( c n n i c ) 在京发布“第十七次中 国互联网络发展状况统计报告”。报告显示，截至2 0 0 5 年1 2 月3 1 日，我国上网用 户总数突破l 亿，为1 1 1 亿人，其中宽带上网人数达到6 4 3 0 万人。目前，我国网 民数和宽带上网人数均位居世界第二。国家顶级域名c n 注册量首次突破百万，达 到1 0 9 万，成为国内用户注册域名的首选，稳居亚洲第一。上网计算机数达到4 9 5 0 万台，网络国际出口带宽达到1 3 6 1 0 6 m ，网站数达到6 9 4 万个。i p 地址总数达到 7 4 3 9 万个，仅次于美国和日本，位居世界第三。 当越来越多的公司将其核心业务向互联网转移的时候，网络安全作为一个无 法回避的问题呈现在人们面前。传统上，公司一般采用防火墙作为安全的第一道 防线。而随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的 防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一 种纵深的、多样的手段。与此同时，当今的网络环境也变得越来越复杂，各式各 样的复杂的设备。需要不断升级、补漏的系统使得网络管理员的工作不断加重， 不经意的疏忽便有可能造成安全的重大隐患。在这种环境下，入侵检测系统成为 了网络安全研究的热点，不仅愈来愈多的受到人们的关注，而且已经开始在各种 不同的环境中发挥其关键作用。 入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术。作为 防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理 员的安全管理能力( 包括安全审计、监视、攻击识别和响应) ，提高了信息安全 基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些 信息。 1 2 课题研究意义 目前由于网络技术和规模的不断发展，越来越多的政府机构、企业和个人将 自己的计算机连接到了互联网上，特别是随着宽带技术的发展，很多的用户已经 浙江大学硕士学位论文 长期与互联网处在连接的状态。然而，在人们广泛地利用网络资源的同时，针对 网络和计算机系统的攻击变得越来越普遍，攻击手法也越来越复杂。尽管这些攻 击各有千秋，有的是针对计算机系统和软件的漏洞，有的是针对网络系统本身的 安全缺陷，但是这些攻击都或多或少对网络和主机造成了破坏。另一方面，由于 检测技术的局限性，很多网络入侵检测系统产生的虚假警报太多，而且检测效率 低下，这些问题都严重影响了人们对入侵检测系统的信心，解决这些局限性己经 成为刻不容缓的重要问题。 随着分布式的应用越来越引起人们的重视，研究出高效的分布式入侵检测 系统成了目前的研究热点，而同时软件代理技术在分布式应用领域中发挥着非常 重要的作用，非常适合用来构建分布式的入侵监测系统。通过本文对这两者进行 有机结合的研究，为今后分布式入侵检测技术的研究拓宽了思路。 1 3 本文研究内容 入侵检测系统是一种新型网络安全技术。是软件和硬件的结合体。入侵检测 系统能弥补防火墙的不足，为受保护网络提供有效的检测手段及采取相应的防护 措施：入侵检测系统是一个全新的、迅速发展的领域，已成为网络安全中极为重 要的一个课题；入侵检测系统的方法和产品也在不断的研究和开发之中，入侵检 测系统已经完成从实验室原型到商业产品的过渡，在网络安全中初步展现出其重 要价值。 本文的主要研究内容包括： 1 入侵检测系统的发展历史、研究现状以及未来的发展趋势。 2 分布式入侵检测系统的体系结构和研究现状，分布式技术和代理技术的 意义和作用。 3 设计了一个基于代理( a g e n t ) 的分布式入侵检测系统( a d i d s ) 的原型。实 现了分布式的体系架构和基于代理的软件设计思想的结合。该原型设计 了基于多代理间相互通信协同检测的体系框架，通过各代理的协同检测， 构建了一个层次化的防护体系架构。对基于代理的分布式入侵检测课题 进行了深入探讨研究。 浙江大学硕士学位论文 第二章入侵检测系统概述 2 1 入侵检测系统的发展历程 入侵检测从诞生到现在己经有2 0 多年的历史了，在其发展史上有几个里程碑。 1 9 8 0 年4 月，j a m e sp a n d e r s o n 为美国空军做了一份题为c 0 m p u t e rs e c u r i t y t h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e 【2 i ( 计算机安全威胁监控与监视) 的技 术报告，第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和 威胁的分类方法。并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了 利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之 作。 从1 9 8 4 年到1 9 8 6 年，乔治敦大学的d o r o t h yd e n n i n g 和s r i c s l ( s r i 公司计 算机科学实验室) 的p e t e rn e u m a n n 研究出了一个实时入侵检测系统模型，取名 为i d e s p i ( 入侵检测专家系统) 。该模型由六个部分组成：主体、对象、审计记 录、轮廓特征、异常记录、活动规则。它独立于特定的系统平台、应用环境、系 统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。 1 9 8 8 年，s r i c s l 的t e r e s al u n t 等人改进了d e n n i n g 的入侵检测模型，并开 发出了一个i d e s 。该系统包括一个异常检测器和一个专家系统，分别用于统计异 常模型的建立和基于规则的特征分析检测。 1 9 9 0 年是入侵检测系统发展史上的个分水岭。这一年，加州大学戴维斯分 校的l - t h e b e r l e i n 等人开发出了n s m ( t w o r ks e c u r i t ym o n i t o r ) 。该系统 第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格 式的情况下监控异种主机。从此之后，入侵检测系统发展史翻开了新的一页，两 大阵营正式形成：基于网络的i d s 和基于主机的i d s 。 1 9 8 8 年的莫里斯蠕虫1 4 i 事件发生之后，网络安全才真正引起了军方、学术界 和企业的高度重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、 劳伦斯利弗摩尔国家实验室、加州大学戴维斯分校、h a y s t a c k 实验室，开展对分 布式入侵检测系统( d i d s ) 1 5 l 的研究，将基于主机和基于网络的检测方法集成到 一起。d i d s 是分布式入侵检测系统历史上的一个里程碑式的产品，它的检测模型 采用了分层结构，包括数据、事件、主体、上下文、威胁、安全状态等6 层。 从2 0 世纪9 0 年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面， 并在智能化和分布式两个方向取得了长足的进展。目前，s r i c s l 、普渡大学、 加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学 等机构在这些方面的研究代表了当前的最高水平。 目前，我国计算机网络的发展水平、安全技术和管理手段都落后于国际水平。 浙江大学硕士学位论文 我国在安全方面的研究经历了通信保密、计算机数据保护两个发展阶段，正在进 入网络安全的研究阶段。对系统脆弱性评估及入侵检测的研究，国内还刚刚开始。 我们入侵检测的发展还处于初级阶段，其研究领域非常广阔，涉及的内容也非常 的多，许多关键技术都未取得突破性进展。为了提高信息系统的防护能力，我们 应尽快填补这方面的空白。 2 2 入侵检测系统的功能和意义 入侵行为主要是指对系统资源的非授权使用，它可以造成系统数据的丢失 和破坏，可以造成系统拒绝对合法用户服务等危害。而入侵检测系统则是将电子 数据处理、安全审计、模式匹配及统计技术等有机地融合在一起，通过分析被检 测系统的审计数据或直接从网络捕获数据，发现违背安全策略或危及系统安全的 行为和活动，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动 阻止可能的破坏。因此，为了保证网络系统的安全，就需要有种能够及时发现 并报告系统中未授权或异常现象的技术，即入侵检测技术。 目前由于网络技术和规模的不断发展，越来越多的政府机构、企业和个人将 自己的计算机连接到了互联网上，特别是随着宽带技术的发展，很多的用户已经 长期与互联网处在连接的状态。然而，在人们广泛地利用网络资源的同时，针对 网络和计算机系统的攻击变得越来越普遍，攻击手法也越来越复杂。尽管这些攻 击各有千秋，有的是针对计算机系统和软件的漏洞，有的是针对网络系统本身的 安全缺陷，但是这些攻击都或多或少对网络和主机造成了破坏。而入侵检测系统 的出现帮助人们能够更好的应对当前复杂的网络状况，成为了今后网络安全技术 的一个重要研究方向。 2 3 入侵检测的标准化 为了提高i d s 产品、组件及与其他安全产品之间的互操作性，美国国防高级 研究计划署( d a r p a ) 和互联网工程任务组( i e t f ) 的入侵检测工作组( i d w g l 6 1 ) 发起制订了一系列建议草案，从体系结构、a p i 、通信机制、语言格式等方面规 范i d s 的标准。 d a r p a 提出的建议是公共入侵检测框架( c i d 旷j ) ，最早由加州大学戴维斯 分校安全实验室主持起草工作。1 9 9 9 年6 月，i 脚g 就入侵检测也出台了一系列 草案。但是，这两个组织提出的草案或建议目前还正处于逐步完善之中，尚未被 采纳为广泛接受的国际标准。不过，它们仍是入侵检测领域最有影响力的建议， 浙江大学硕士学位论文 成为标准只是时间问题。 2 3 1c i d f 通用入侵检测框架c i d f ( c o 岫o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 所做的 工作主要包括四部分：i d s 的体系结构、通信机制、描述语言和应用编程接口a p i 。 c i d f 提供了一种基础架构、使得入侵检测，分析及响应组件之间能够共享信息。 在c i o f 的体系框架中，分为事件发生器( e v e n tg e n e r a t o r s ) ，分析引擎 ( a n a l y s i se n g i n e ) ，响应引擎( r e s p o n s ee n g i n e s ) 和数据库( d a t a b a s e s ) 四个 组件。各组件之间以通用入侵检测对象( g e n e r a l i z e di n t r u s i o nd e t e c t i o n o b j u e t s ，g i d 0 ) 的形式交换数据，其数据格式由通用入侵规范语言( c o 】n f f l o n i n t r u s i o ns p e c i f i c a t i o nl a n g u a g e ，c i s l ) 来定义。c i d f 提供了一种称之为配 对( m a t c h m a k i n g ) 的服务，可以用于组件之间的交互，包括搜索可与之协作的组 件、通知其他组件本组建的存在、要求服务和提供服务等功能。这可以帮助系统 按照功能对c i d f 组件进行组合。为了保证组件问通信的安全性，c i d f 还提供了 c a 认证机制。c i d f 消息( 即g i d o 包) 可以包括认证头，内容也可以加密。 2 3 1 1c i d f 的体系结构 c i d f 在i d e s 和n i d e s 的基础上提出了一个通用模型，将入侵检测系统分为 四个基本组件：事件产生器、事件分析器、响应单元和事件数据库。结构如图5 所示。 在这个模型中，事件产生器、事件分析器和响应单元通常以应用程序的形式 出现，而事件数据库则往往是文件或数据流的形式，很多i d s 厂商都以数据收集 部分、数据分析部分和控制台部分三个术语来分别代替事件产生器、事件分析器 和响应单元。 c i d f 将i d s 需要分析的数据统称为事件，它可以是网络中的数据包，也可 以是从系统日志或其他途径得到的信息。 以上四个组件只是逻辑实体，一个组件可能是某台计算机上的一个进程甚至 线程，也可能是多个计算机上的多个进程，它们以g i ( 统一入侵检测对象) 格式进行数据交换。g i d 0 是对事件进行编码的标准通用格式( 由c i d f 描述语言 c i s l 定义) ，它可以是发生在系统中的审计事件，也可以是对审计事件的分析结 果。 浙江大学硕士学位论文 输“ 纰j ， 输入：峨研f 。缸们r 洲! 图2 2 1 事件产生器 事件产生器的任务是从入侵检测系统之外的计算环境中收集事件。并将 这些事件转换成c i d f 的g i d o 格式传送给其他组件。例如，事件产生器可以 是读取c 2 级审计踪迹并将其转换为g i d 0 格式的过滤器，也可以是被动地监 视网络并根据网络数据流产生事件的另一种过滤器，还可以是s q l 数据库中 产生描述事务的事件的应用代码。 2 事件分析器 事件分析器分析从其他组件收到的g i d 0 ，并将产生的新g i d o 再传送 给其他组件。分析器可以是一个轮廓描述工具，统计性地检查现在的事件 是否可能与以前某个事件来自同一个时间序列：也可以是一个特征检测 工具，用于在一个事件序列中检查是否有已知的滥用攻击特征：此外，事 件分析器还可以是一个相关器，观察事件之间的关系，将有联系的事件放 到一起，以利于以后的进一步分析。 3 事件数据库 用来存储g i d o ，以备系统需要的时候使用。 4 响应单元 响应单元处理收到的g i d o ，并据此采取相应的措施，如杀死相关进 程、将连接复位、修改文件权限等。 由于c i d f 有一个标准格式g i d o ，所以这些组件也适用于其他环境， 浙江大学硕士学位论文 只需要将典型的环境特征转换成g i d 0 格式，这样就提高了组件之间的 消息共享和互通。 2 3 1 2c i d f 的通信机制 为了保证各个组件之间安全、高效的通信，c i d f 将通信机制构造成一个 三层模型：g i d 0 层、消息层和协商传输层。 要实现有目的的通信，各组件就必须能正确理解相互之间传递的各种数据 的语义，g i d 0 层的任务就是提高组件之间的互操作性，所以g i d o 就如何表示各 种各样的事做了详细的定义 消息层确保被加密认证消息在防火墙或n a t 等设备之间传输过程中的可靠性。 消息层只负责将数据从发送方传递到接收方，而不携带任何有语义的信息；同样， g i d o 层也只考虑所传递信息的语义，而不关心这些消息怎样被传递。 单一的传输协议无法满足c i d f 各种各样的应用需求，只有当两个特定的组件 对信道使用达成一致认识时，才能进行通信。协商传输层规定g i d o 在各个组件 之间的传输机制。 c i d f 的通信机制主要讨论消息的封装和传递，主要分为四个方面： 1 配对服务 配对服务采用了一个大型目录服务l d a p ( 轻量级目录访问协议) ，每个组件都 要到此目录服务进行注册，并通告其他组件它所使用或产生的g i d o 类型。在此 基础上，组件才能被归入它所属的类别中，组件之间才能互相通信。 配对服务还支持一些安全选项( 如公钥证书、完整性机制等) ，为各个组件之 间安全通信、共享信息提供了一种统一的标准机制，大大提高了组件的互操作性， 降低了开发多组件入侵检测与响应系统的难度。 2 路由 组件之间要通信时，有时需经过非透明的防火墙。发送方先将数据包传递给防 火墙的关联代理，然后再由此代理将数据包转发到目的地。c i d f 采用了两种路 由：源路由和绝对路由。 3 消息层 消息层要实现的功能包括： ( 1 ) 提供一个开放的体系结构。 ( 2 ) 使消息独立于操作系统、编程语言和网络协议。 ( 3 ) 简化向c i d f 中增添新组件的过程。 ( 4 ) 支持鉴定与保密等安全需求。 ( 5 ) 同步( 封锁进程与非封锁进程) 。 4 消息层处理 7 浙江大学硕士学位论文 消息层处理规定了消息层消息的处理方式，它包括四个规程：标准规程、可靠 传输规程、保密规程和鉴定规程。 2 3 2i d w g 入侵检测工作组i d w g ( i n t r u s i o nd e t e c t i o nw o r kg r o u p ) 的任务是：定义 数据格式和交换规程，用于入侵检测与响应( i d r ) 系统之间或与需要交互的管 理系统之间的信息共享。i d w 6 提出的建议草案包括三部分内容：入侵检测消息 交换格式( i n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g ef o r m a t ，i d m e f ) 、入侵检测 交换协议( i n t r u s i o nd e t e c t i o ne x c h a n g ep r o t o c a l ，i d x p ) 以及隧道轮廓 ( t u n n e lp r o f i 】e ) 。 2 3 2 1i d m e f i d m e l 描述了表示入侵检测系统输出信息的数据模型，并解释了使用此模 型的基本原理。该数据模型用) ( m l 实现，并设计了一个x m l 文档类型定义。自动 入侵检测系统可以使i d m e f 提供的标准数据格式对可疑事件发出警报，提高商 业、开放资源和研究系统之间的互操作性。i d m e f 最适用于入侵检测分析器( 或 称为“探测器”) 和接收警报的管理器( 或称为“控制台”) 之间的数据信道。 1 i d m e f 的数据模型 i d m e f 数据模型以面向对象的形式表示探测器传递给控制台的警报数据， 设计数据模型的目标是为警报提供确定的标准表达方式，并描述简单警报和复杂 警报之间的关系。 i d m e f 数据模型各个主要部分之间的关系如图2 3 所示。 浙江大学硕士学位论文 倒2 3 所有i d m e f 消息的最高层类是i d m e f m e s s a g e ，每一种类型的消息都是该 类的子类。i d m e f 目前定义了两种类型的消息：a l e r t ( 警报) 和h e a r t b e a t ( 心 跳) ，这两种消息又分别包括各自的子类，以表示更详细的消息。 需要注意的是。i 蹦e f 数据模型并没有对警报的分类和鉴别进行说明。例 如，对一个端口的扫描，一个分析器可能将其确定为一个多目标的单一攻击，而 另一个分析器可能将其确定为来自同一个源的多次攻击。只有一个分析器决定了 发送的警报类型，数据模型才能规定怎样对这个警报进行格式化。 i d m e f 数据模型是用统一建模语言( u m l ) 描述的。u m l 用一个简单的框架 表示实体以及它们之间的关系，并将实体定义为类。i d m e f 包括的主要类有 i d m e f m e s s a g e 类、a l e r t 类、h e a r t b e a t 类、c o r e 类、t i m e 类和s u p p o r t 类， 这些类还可以再细分为许多子类。 2 使用x m l 描述i d m e f 文档标记 r d w g 最早曾提出两个建议实现i d m e f ：用s m i ( 管理信息结构) 描述一 个s n m p m i b 和使用d t d ( 文档类型定义) 描述x 札文档。i d w g 在1 9 9 9 年9 月和2 0 0 0 年2 月分别对这两个建议进行了评估，认为x m l 最能符合i d m e f 的要求，于是，在2 0 0 0 年2 月的会议上决定采用x m l 方案。 x m l 是s g m l ( 标准通用标记语言) 的简化版本，是i s o8 8 7 9 标准对文 浙江大学硕士学位论文 本标记说明进行定义的一种语法。作为一种表示和交换网络文档及数据的语 言，x m l 能够有效地解决h t m l 面临的许多问题，所以获得了业界的普遍青 睐。1 9 9 8 年1 0 月，w w w 联盟( w 3 c ) 将x m l 作为一项建议公布于众。此后不 久，w w w 联盟又发布了一份建议，定义了x m l 文档中的名字空间。 x m l 是一种元语言即一个描述其他语言的语言，它允许应用程序定 义自己的标记，还可以为不同类型的文档和应用程序定义定制化的标记语 言。 x m ld t d ( 文档类型定义) 可用来声明文档所用的标记，它包括元素( 文 档包括的不同信息部分) 、属性( 信息的特征) 和内容模型( 各部分信息之 间的关系) 。 2 3 2 2i d x p i d x p p l ( 入侵检测交换协议) 是一个尉于入侵检测实体之间交换数据的应 用层协议，能够实现i d m e f 消息、非结构文本和二进制数据之间的交换，并提供 面向连接协议之上的双方认证、完整性和保密性等安全特征。i d x p 是b e e p 的一 部分，后者是一个用于面向连接的异步交互通用应用协议，i d x p 的许多特色功 能( 如认证、保密性等) 都是由b e e p 框架提供的。i d x p 模型如下： 1 建立连接 使用i d x p 传送数据的入侵检测实体被称为i d x p 的对等体，对等体只能 成对地出现，在b e e p 会话上进行通信的对等体可以使用一个或多个b e e p 信道传输数据。 对等体可以是管理器，也可以是分析器。分析器和管理器之间是多对多 的关系，即一个分析器可以与多个管理器通信，同样，一个管理器也可以与 多个分析器通信；管理器与管理器之间也是多对多的关系，所以，一个管理 器可以通过多个中间管理器接收来自多个分析器的大量警报。但是，i d x p 规定，分析器之间不可以建立交换。 入侵检测实体之间的i d x p 通信在b e e p 信道上完成。两个希望建立i d x p 通信的入侵检测实体在打开b e e p 信道之前，首先要进行一次b e e p 会话，然 后就有关的安全特性问题进行协商，协商好b e e p 安全轮廓之后，互致问候， 然后开始i d x p 交换。 2 传输数据 一对入侵检测实体进行b e e p 会话时，可以使用i d x p 轮廓打开一个或多 个b e e p 信道，这样就可以使用额外的信道建立额外的b e e p 会话。但是，大 多数情况下，额外信道都应在已有的b e e p 会话上打开，而不是用i d x p 轮廓 打开一个包含额外信道的新b e e p 会话。 1 0 浙江大学硕士学位论文 在每个信道上，对等体都以客户机服务器模式进行通信，b e e p 会话发 起者为客户机，而收听者则为服务器。 在一次b e e p 会话时，使用多个b e e p 信道有利于对在i d x p 对等体之间 传输的数据进行分类和优先权设置。例如，一个管理器m 1 在向另一个管理 器m 2 传送警报数据时，可以用不同的信道传送不同类型的警报数据，在每 个信道上管理器m 1 的作用都相当于一个客户器，而m 2 则对不同信道上的数 据作出相应的处理。 3 断开连接 在有些情况下，一个i d x p 对等体可以选择关闭某个i d x p 信道。在关闭 一个信道时，对等体在0 信道上发送一个“关闭”元素，指明要关闭哪一个 信道。一个i d x p 对等体也可以通过在0 信道上发送一个指明要“关闭”o 信道的元素，来关闭整个b e e p 会话。 在上面这个模型中，i d x p 对等实体之间采用了一个b e e p 安全轮廓实 现端到端的安全，而无需通过中间的代理建立安全信任，因此，只有i d x p 对等体之间是相互信任的，而代理是不可信的。 2 4 入侵检测系统的发展趋势 无论从规模与方法上入侵技术今年来都发生了变化。入侵的手段与技术也 有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面： 入侵或攻击的综合化与复杂化。入侵手段有多种，入侵者往往采取一种攻 击手段。由于网络防范措施的多重化，攻击的难度增加，使得入侵者在实施入侵 或攻击时往往同时采用多种入侵手段，以保证入侵的成功率，并可在攻击实施的 初期掩盖攻击或入侵的真实目的。 入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。 通过一定 的技术，可掩盖攻击主题的源地址及主机位置。即使用了隐蔽技术后，对于被攻 击对象攻击的主题是无法直接确定的。 入侵或攻击的规模扩大。对于网络的入侵与攻击，在其初期往往是针对于 某公司或一个网站，其攻击的目的可能为某些网络技术爱好者的猎奇行为，也不 排除商业的盗窃与破坏行为。由于战争对于电子技术和网络技术的依赖性越来越 大，随之产生、发展、逐步升级到电子战与信息战。对于信息战，无论其规模与 技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论的。信息战的成 败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。 入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由 于防范技术的发展使得此类行为不能奏效。所谓分布式拒绝服务( d d 0 s ) 在很短 浙江大学硕士学位论文 的时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常的 通信无差异，所以往往在攻击发动的初期不易被确认，分布式攻击是近期最常用 的攻击手段。 攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为 却发生了策略性的改变，由攻击网络改为攻击网络的防护系统，且有愈演愈烈的 形势。现在已经有了专门针对i d s 作攻击的报道。攻击者详细的分析了i d s 的审 计方式、特征描述、通信模式找出i d s 的弱点，然后加以攻击。 今后的入侵检测技术大致可朝下述三个方向。 分布式入侵检测；第一层含义，即针对分布式网络的攻击的检测方法；第二 层含义即使用分布式的方法来实现分布式的攻击，其中的关键技术为检测信息的 协同处理与入侵攻击的全局信息的提取。 智能化入侵检测：即使用智能化的方法与手段来进行入侵检测。所谓的智能 化方法，现阶段常用的有神经网络、遗传算法、模颧技术、免疫原理等方法，这 些方法常用于入侵特征的辨识与泛化。利用专家系统的地思想来构建入侵检测系 统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不 断升级与扩展，使设计的入侵检测系统防范能力不断增强，应该具有更广泛的应 用前景。应用智能体的概念来进行入侵检测的尝试也有报道。较为一致的解决方 案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块 的结合使用。 全面的安全防御方案：即使用安全工程风险管理的思想与方法来处理网络安 全问题，将网络安全做为一个整体工程来处理。从管理，网络结构，加密通道， 防火墙，病毒防护，入侵检测多方位全面对所关注的网络作全面的评估，然后提 出可行的全面解决方案。 第三章分布式入侵检测系统及相关技术介绍 传统的入侵检测系统，通常都属于自主运行的单机系统。无论基于网络数据 源还是基于主机数据源；无论采用误用检测技术，或是异常检测技术，在整个数 据的处理过程中，包括数据的收集、预处理、分析、检测，以及检测到入侵后采 取的响应措施，都由单个监控设备或监控程序来完成。然而，在面对当前普遍的 大规模、分布式的应用环境时，这种传统的单机方式就遇到了极大的挑战。在这 种条件下，要求各个入侵检测系统( 监控设备或监控程序) 之间能够实现高效的 信息共享和协作检测。在大范围网络中部署有效的入侵检测系统已经成为一项新 的研究课题，推动了分布式入侵检测系统( d i s t r i b u t e di n t r u s i o nd e t e c t i o n 浙江大学硕士学位论文 s y s t e m ，d i d s ) 的诞生和不断发展。 分布式入侵检测是耳前入侵检测乃至整个网络安全领域的研究热点之 一。国内外众多的大学、研究机构、安全团体、商业组织都致力于此方面的研究 工作。到目前为止，还没有严格意义上成熟的分布式入侵检测系统的商业化产品， 但研究人员已经提出并实现了多种原型系统。通常采用的方法中，一种是对现有 的i d s 进行规模上的扩展，另一种则通过i d s 之间的信息共享来实现。具体的处理 方法上也分为两种：分布式信息收集、集中处理；分布式信息收集、分布式处理。 前者以d i d s 【1 0 】、n a d i r 【l l l 、a s a x l l 2 j 为代表。后者则采用了分布式计算的方法，降 低了对中心计算能力的依赖，同时也减少了对网络带宽带来的压力，因此具有更 好的发展前景。 3 1 分布式入侵检测的优点 分布式入侵检测由于采用了非集中的系统结构和处理方式，相对于传统的单 机i d s 具有一些明显的优势： 1 - 检测大范围的攻击行为 传统的基于主机的入侵检测系统只能通过检查系统日志、审计记录来对单 个主机的行为或状态进行监测。即使是采用网络数据源的入俊检测系统也仅在 单个网段内有效。对于一些针对多主机、多网段、多管理域的攻击行为，例如大 范围的脆弱性扫描或拒绝服务攻击，由于不能在检侧系统之间实现信息交互，通 常无法完成准确和高效的检测任务。分布式入侵检测通过各个检测组件之间的相 互协作，可以有效地克服这一缺陷。 2 提高检测的准确度 不同的入侵检测数据源反映的是系统不同位置、不同角度、不同层次的运 行特性，可以是系统日志、审计记录或网络数据包等。传统的入侵检测系统为了 简化检测过程和算法复杂度，通常采用单一类型的数据源。这一方而可以提高系 统的检测效率，但另一方面也导致了检测系统输入数据的不完备。另外，检测引 擎如果采用单一的算法进行数据分析，同样可能导致分析结果不够准确。分布式 入侵检测系统各个检测组件针对不同的数据来源，可以是网络数据包，可以是主 机的审计记录、系统日志，也可以是特定应用程序的日志，甚至可以是一些通过 人工方式录入的审计数据。各个检测组件所使用的检测算法也不是固定的，模式 匹配、状态分析、统计分析、最化分析等，可以分别应用于不同的检测组件。系 统通过对各个组件报告的入侵或异常特征，进行相关分析，可以得出更为准确的 判断结果。 3 提高检测效率 浙江大学硕士学位论文 分布式入侵检测实现了针对安全审计数据的分布式存储和分布式计算，这 相对于单机数据分析的入侵检测系统来说，不荐依赖于系统中唯一的计算资源和 存储资源，可以有效地提高系统的检测效率，减少入侵发现的时间。 4 协调响应措施 由于分布式入侵检测系统得各个检测组件分布于受监控网络的各个不同位 置，一旦系统健侧到攻击行为，可以根据攻击数据包在网络中经过的物理路径采 取响应措施，例如封锁攻击方的网络通路、入侵来源追踪等。即使攻击者使用网 络跳转的方式来隐藏真实i p 地址，在监测系统的监控范围内通过对事件数据的相 关和聚合，仍然有可能追查到攻击者的真实来源。 3 2 现有分布式入侵检测结构分析 3 2 1 集中式协同检测 集中式协同入侵检测仅仅将其数据收集组件分布到网络中，而数据处理任务 仍然由一个或固定的几个组件承担。这样的系统实质上不能称之为真正的分布式 入侵检测系统。在分布式入侵检测系统中，不仅数据收集组件是分布的，数据处 理组件数量也应与网络中被监测主机的数量成正比。数据处理组件是集中式协同 检测中最为重要的组件，一旦失效，那么攘个入侵检测系统也将陷入瘫痪。攻击 者可能针对这一点，对系统中的数据处理组俘发动攻击，成功的攻击带来的获利 无疑是巨大的。 数据处理组件需要处理众多数据收集组件发送而来的数据，因此要求有高性能 的处理能力，和网络吞吐能力。因为集中式协同检测由于其数据处理组件的数量 是固定的，所以当被监测的网络规模扩大时，无法相应地对数据处理组件进行扩 充，缺乏可扩展性。 3 2 2 层次化协同检测 顾名思义，层次化协同检测就是以层次化结构布置数据处理组件。数据处理组 件划分为多个级别，低层组件从数据收集组件获得原始数据，经过提炼、精简后 提交给更高层的数据处理组件。从f i d ，e m e r a l d 和s h o m a r 是层次化协同检测的例 子。 从f i d 结构中有三个部件：代理( a g e n t s ) 、收发器( t r a n s c e i v e r s ) 和监控器 ( m o n i t o r s ) ，代理是独立运行的监测主机的实体，收发器布置在每个被监测的主 1 4 浙江大学硕士学位论文 机上，监控器是高层的控制和处理实体。代理是数据收集部件，收发器和监控器 都兼具控制和数据处理功能。收发器接收和处理代理发送来的报告，监控器接收 和处理它所控制的收发器发来的简化过的信息。因此，从f i d 对数据的处理是层 层精简的，并且只能在一个主机内部实现主动的数据请求。 e m e r a l d 将所监测的网络分成三个层级：服务( s e r v i c ea n a l y s i s ) 、域 ( d o m a i n w i d ea n a l y s i s ) 和企业( e n t e r p r i s e w i d ea n a l y s i s ) ，每层有相应的服 务监控器( s e r v i c em o n i t o r s ) 执行分析功能。每层的监控器之间可以通过基于订 阅( s u b s c r i p t i o n _ b a s e d ) 的通信机制互相协作，但层与层之间不能通过这种机制 传递数据，上层监控器通过接收下层监控器发送的报告建立对监控域状态的视 图。 s h o m a r 是一种更为灵活的分层结构。通过一个i d s 管理器( i d s ma n a g e r ) 组织不同的检测器( i ds e r v i c e s ) 成为一个i d s 集群( i d sc l u s t e r ) ，而底层的i d s 集群又可以成为上层i d s 集群的检测器。s h o 姒r 支持任意两个实体的通信，而无 需考虑他们在分层中的位置，因而它结合了对等和分层的优点，具有很强的灵活 性。 层次化协同检测主要存在以下几个缺点： 层次化处理 数据处理中存在层次。数据处理发生在所有层次上，这意味着一