（计算机软件与理论专业论文）基于智能主体的分布式入侵检测系统.pdf

摘要 随着计算机和网络的普及和飞速发展，网络用户面临着 二1 益严重的安全问题， 网络入侵已经成为计算机安全和网络安全的最大威胁。入侵检测作为一个迅速发 展的新领域，已经成为网络安全研究中的一个极为重要的研究方向。 智能主体技术是一种新的软件设计模式，具有自主性、交互性和移动性等特 性。智能主体技术为包括入侵检测在内的基于网络的分布式计算等方面的应用提 供了一个全新的设计方案。因此，研究基于智能主体技术的分布式入侵检测技术 具有重要的理论意义和实际的应用价值。 本论文在总结目前基于智能主体技术的分稚式入侵检测系统所存在的问题 的基础上，提出和实现了一种基于智能主体技术的分布式入侵检测系统a d i d s 。 论文的创新之处在于： 第一，为了解决层次化入侵检测系统所存在的单点失效和处理能力瓶颈问 题，我们在a d i d s 系统中引入了功能冗余的设计思想。 第二，在a d i d s 系统中，各智能主体所执行的入侵检测任务侧重点不同， 没有必要对所有的智能主体都加载所有的功能构件，因此，我们在设计智能主体 的入侵检测功能时，采用了一种称为按需装配的方式。这种方式不仅大大减轻了 对主机和网络资源的消耗，而且提高a d i d s 系统的入侵检测的效率。 第三，充分利用了丌放源码的网络入侵检测系统s n o n 插件形式，来构建 a d i d s 系统中的逻辑构件库，这样智能主体可以根据入侵检测任务的需要，方 便地加载相应的功能构件，实现入侵检测功能上的自我增强。 第四，为了有效地处理各主机和网络段上的入侵检测系统上报给n s c c 的入 侵可疑活动的关联信息，给出了一个有用的关联信息处理方案。 关键词：网络安全，入侵检测，智能主体，按需装配 垒堕! 苎! b s t r a c t w i l ht h cp o p u l a r i z a t i o na n df a s td e v e l o p m e n to fh l t e m e t ，n e 呐o r ku s e r sf a c e i n c r e a s i n 弭ys c r i o u ss e c u r i t yi s s u e s ， t h u sn e t w o r ki n t l l l s i o nh a sb e c a m et h em o s t j m p o n a n tt h r e a tt ot h ec o m p u t e rs e c u r i t ya n dn e t w o r ks e c u r j t y 。i t m s i o nd e t e c t i o na s an e wf a s tg m w i n gf i e l dh a sb e c o m eo n eo ft h em o s ti m p o n a i l tr e s e a r c hd 打e c t i o n si n t h en e t w o r ks e c u r i t yr e s e a r c hf i e l d s 。 i n t e l l j g e n ta g e n ti e c h n o l o g yi s an e wk j n do fs o f t w a r ed e s i g n j n gm o d e 。 i n t e l l i g e n ta g e n t sa r ca u t o n o m o u s ，j n t e r a c t i v ea n dm o b i l a b l e ， t h u sa g e n tt e c h n o l o g y p r o v i d e s an o v e la n df e a s i b l e d e s i g n s c h e m ef o rn e t w o f kb a s e dd i s t r i b u t e d a p p l j c a t i o n si n c l u d ej n f r u s i o d e t e c t i o n 。 s oi ti sv e r yw o r t h ya n ds i g n i f i c a n tj nb o m a c a d e m ea n dp r a c t i v et od or e s e a r c hw o r ki nt h ei n t e l l i g e n ta g e n tb a s e do nd j s t r i b u t e d i n t r u s i o nd e t e c t i o nf i e l d 。 l nt h i sd i s s e n a t i o n ，w ei n v e s t i g a t ep r o b l e m si nt h ed i s t r i b u t e di n t r u s i o nd e t e c t i o n s y s t e m sb a s e do ni n t e l l i g e ma g e mt e c h n o l o g y ，a n d g i v e an o v e lk i n do f i d s a d l d s 。 t h em a i nw o r ka n dn o v e lp a n so ft h i sd i s s e r t a t i o na r e ： f i r s t l y ，o v e r c o m i n gt h ep r o b l e mo f s i n 掣ep o j n ti n v a l i d a t i o na n dt h eb o t l l e n e c ko f t r e a t m e n ta b j l n yi nh i e r a r c h i c a ls y s t e m ，w eu s e sam e t h o do fc o m p o u n dc o m p o n e n t s 。 f o re x a m p l e ，t h et a s k so fa nj n t e u i g e n ta g e n tc a nb ed o n ec o m p l e t e l yb yt h eo t h e f j n t e l l i g c n ta g e n t si na d i d s 。 s e c o n d l y ， e a c h “n do fi n t e l l i g e n ta g e n t so n l ys e r v e da ss o m es p e c i a lt a s k so f t h ei n t r u s j o nd e t e c t i o n， a n di n t e l l i g e n ta g e n t sn e e d n to w et ot h ea l lf b n c t i o n so f j n t r i l s j o nd e t c c t i o n 。s ow oa s s e m b l et h e s ei n t e l l i g e n ta g e n t sw i t ht h ef u n c t i o n a l c o m p o n e n t sf 沁mf u n c t i o n a lc o m p o n e n t sp o o l st om e e tt h en e e d so ft h ei n t r t l s i o n d e t e c t i o n 。t h i sm e t h o dn o to n l yc a i lr e d u c et h er e s o u r c e sc o n s u m p t i o no ft h ek e y c 彻1 p u t e r sa n dn e t w o r k ， b u ta l s oc a nr a i s ee 街c i e n c yo ft h ej n t m s i o nd e t e c t j o n s y s t e m - a d i d s 。 1 m i r d l y ，a d i d sm a k e sf i l l lu s eo fs n o n sp l u g i n m p o n e n t si l lc o n s t r i l c t i n g f l m c t i o n a lc 0 啪p o n e n t s p 0 0 1 so f a d i d s ， t h u st h e s ei n t e l l i g e n ta g e n t sc o n v e n i e n n y i i i 一 一一一 一一一_ _ _ 垒! ! 望里 1 0 a ds o m ef u n c t i o n a lc o m p o n e n t so nm eb a s i so ft h en e e do f t h ej n t m s i o nd e t e c t j o n 。 a tl a s t ， w eb r i n go u ta n d h e i g t l t e na d i d s sf i l n c t i o n 。 f o r t h l y ， t od e a l e f f e c t j v e i y w i t h c o n j u n c t i v ei n f 0 珊a t i o nh o ms o m e c o m p u t e r s o rp a n s o fn e t w o r ki d s ，w eg i v eo n eu s e f u la l g o r i t h mi oa 1 1 a l y s et h e s e c o n j u c t i v ei n f o 咖a t i o n 。 k e y w o r d s ：n e t w 。r ks e c u f i t y ；i n t m s i 。n d e t e c t i 。n ；i n t e l l i g e n ta g e n t ；1 0 a d d y n a m i c a l l y i v 9 6 7 9 6 郑重声明 本人的学位论文是在导师指导下独立撰写并完成的，学位论文没有剽窃、抄 袭等违反学术道德、学术规范的侵权行为，否则，本人愿意承担由此产生的一切 法律责任和法律后果，特此郑重声明。 靴蝣一名，出b 尚钞 驴。6 年r 月2 。日 lj，1，；*益 第一章绪论 第一章绪论 1 1 课题研究的背景 当今社会，计算机网络己渗透到社会的各个层面，业也成为人们日常生活 的重要内容，但是，由于计算机网络自身存在的局限性和信息资源的脆弱性， 使得计算机网络上的硬件资源、通信资源、软件及信息资源等因可预见的或不 可预见的各种原因而遭到破坏、更改、泄露或功能失效，使系统资源处于异常 状态甚至会引起系统的崩溃和瘫痪，给系统造成重大的损失。因此，如何保障 信息安全、防范网络入侵已经成为人们非常关注的问题。 网络入侵是指任何破坏资源完整性、机密性和可用性的行为，包括用户对 系统资源的误用等。相对于传统的破坏手段，网络入侵具有以下特点： ( 1 ) 网络入侵不受时间和空间的限制。从理论上讲，入侵者可以在任意时刻 通过一个网络节点向另一个网络节点发动快速而有效的入侵攻击，而不受这两 个节点实际地理位置之间的距离远近的约束； ( 2 ) 入侵者对网络的攻击常常淹没在大量正常的网络活动之中，具有较强的 隐蔽性； ( 3 ) 入侵工具和入侵手段随着入侵技术的飞速发展，变得丰富多样、随处可 见，阶段性、分布式等新型的入侵攻击手段的出现，使得入侵活动更具有复杂 性、欺骗性和严重的破坏性： ( 4 ) 与传统的破坏手段相比，网络入侵更具有危害性。目前解决网络安全问 题所采用的方法一般包括放火墙、数据加密和认证等。这些措施在维护网络和 信息资源的安全方面发挥了很大的作用，但其具有一定的局限性，比如对于入 侵者利用系统软件的错误和漏洞，甚至是利用合法的身份进行危及网络和系统 资源安全性的入侵攻击行为却显得无能为力。由于系统规模和复杂性的提高而 导致的系统软件和网络协议栈的缺陷和漏洞，所有这些都为入侵攻击者提供了 许多可供选择的入侵攻击途径。因此，除了采用放火墙等安全措施外，必须采 用入侵检测技术对入侵攻击行为做出迅速而准确的检测和响应。 入侵检测的思想是a n d e r s o n 于1 9 8 0 年首先提出的，d e l l i l j n g 对其进行了完 善。所谓入侵检测是指针对计算机资源和网络资源的入侵攻击行为进行识别和 响应的过程。入侵检测系统是位于防火墙之后的安全防御体系，与防火墙功能 第一审绪论 不同的是，入侵检测系统不仅可以防御来自系统外部的攻击，更能有效地防御 发生在系统内部的入侵。 a g e n t 技术及其应用模仿了自治的智能主体的集合，同一类的个体独立运 行，有着各自特定的目标，并且可以互相交换信息、互相协作。当前入侵检测 正朝着智能化、分布式的方向发展，a g e n t 技术是面向对象技术向软件智能化 发展的产物。a g e n t 的移动特性也为分布式计算提供了新的计算方式。因此， a g e n t 技术为当前入侵检测的发展提供了新的思路。当前a g e n t 技术正被许多 机构和研究实验室应用到入侵检测当中，t h eu n i v e r s i t yo fi d a h o 、p u r d u e u n i v e r s i t y 等都进行了相关的研究，并提出了自己的研究成果。 因此，本论文从网络入侵的特点出发，针对入侵者入侵网络和系统资源的 特点和手段，尤其面向特定网络的分布式入侵的特性，充分应用智能主体技术 在分布式计算方面的优点，将智能主体技术应用在入侵检测中设计和实现了一 种基于智能主体的分布式入侵检测系统a d i d s 。 1 2 本论文中的主要创新工作 第一，为了解决层次化入侵检测系统所存在的单点失效和处理能力瓶颈问 题，我们在a d i d s 系统中引入了功能冗余的设计思想。 第二，在a d i d s 系统中，各智能主体所执行的入侵检测任务侧重点不同， 没有必要对所有的智能主体都加载所有的功能构件，因此，我们在设计智能主 体的入侵检测功能时，采用了一种称为按需装配的方式。这种方式不仅大大减 轻了对主机和网络资源的消耗，而且能提高a d i d s 系统的入侵检测的效率。 第三，充分利用了开放源码的网络入侵检测系统s n o n 插件形式，来构建 a d i d s 系统中的逻辑构件库，这样智能主体可以根据入侵检测任务的需要，方 便地加载相应的功能构件，实现入侵检测功能上的自我增强。 第四，为了有效地处理各主机和网络段上的入侵检测系统上报给n s c c 的 入侵可疑活动的关联信息，给出了个有用的关联信息处理方案。 1 3 章节安排 本论文共分六章，具体安排如下： 第一章说明了本论文的研究背景和意义。 第二章介绍了入侵检测技术的基本概念和一些先进的入侵检测算法，最后 第一章绪论 分析了当前入侵检测技术的不足之处。 第三章主要介绍了智能主体技术及其在入侵检测中的应用情况，以及将智 能主体技术应用到入侵检测中所带来的优点和不足之处。 第四章提出了一个基于智能主体的分布式入侵检测系统模型a d i d s 。该系 统模型采用简单分层的设计思想( 共分两层) ，简化了传统分层式的分布式入侵 检测系统的结构，同时采取冗余设计思想，保证了a d i d s 系统的可用性和鲁棒 性。对于系统中的智能主体系统，提出了按需装配a g e n t 的设计理念。对于系 统中执行入侵检测任务的智能主体在初始部署时，根据入侵检测任务的划分， 仅需要一些常用的干十或几种入侵检测功能构件，随着入侵检测的进程，根据 完成任务的需要，再通过加载具有相应检测功能的构件来实现功能的自我增强。 这样做，既可以减轻静态组件的初始化处理所占用的处理时间和系统资源，又 可以减少移动智能主体所携带的代码量，减轻了由于移动智能主体的迁移所占 用的网络资源。 第五章主要讨论a d i d s 系统的实现问题，其中包括智能主体平台、智能主 体系统、以及各部件进行通讯的消息和智能主体的安全等方面。最后，利用s n o n 系统的丌放原码特性和各种灵活的功能插件形式，设计本论文中的执行入侵检 测任务的智能主体的实现方案。 第六章指出了以后研究工作的方向和重点。 第二章入侵检测基本概念和理论 第二章入侵检测基本概念和理论 入侵检测系统( i d s ，i n 仃u s i o nd e t e c t i o ns y s t e m ) 是用来识别针对计算机和网络 系统，或者更广泛意义上的信息系统的非法攻击，包括检测外界非法入侵者的恶 意攻击或刺探，以及合法用户超越使用权限的非法行动。 2 1 入侵检测与p 2 d r 安全模型 p 2 d r 是一个动态的计算机系统安全理论模型。它的指导思想比传统静态 安全方案有突破性提高。p 2 d r 是p o l i c v ( 策略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检测) 和r e s p o n s e ( 响应) 的缩写，特点是动态性和基于时问的特性。如图 2 1 所示。 图2 1p 2 d r 安全模型 p 2 d r 模型阐述了这样一个结论：安全的目标实际上就是尽可能地增大保护 时间，尽量减少检测时间和响应时间。入侵检测技术( i n i u r s i o nd e t e c t j o n ) 就是 实现p 2 d r 模型中“d e t e c t i o n ”部分的主要技术手段。在p 2 d r 模型中，安全策 略处于中心地位，但是从另一个角度来看，安全策略也是制定入侵检测中检测策 略的一个重要信息来源，入侵检测系统需要根据现有已知的安全策略来更好地配 置系统模块参数信息。当发现入侵行为后，入侵检测系统会通过响应模块改变系 统的防护措旖，改善系统的防护能力，从而实现动态的系统安全模型。因此，从 技术手段上分析，入侵检测可以看作是实现p 2 d r 模型的承前启后的关键环节。 2 2 入侵检测技术分类 入侵检测是检测和识别针对计算机和网络系统，或者更广泛意义上的信息系 统的非法攻击，或者违反安全策略事件的过程。它从计算机系统或者网络环境中 第二章入侵检测皋，丰= 概念和理论 采集数据，分析数据，发现可疑攻击行为或者异常事件，并采取一定的响应措施 拦截攻击行为，降低可能的损失。从数据来源看，入侵检测通常分为两类：基于 主机的入侵检测和基于网络的入侵检测。从数据分析手段看，入侵检测通常分为 两类：滥用( m i s u s e ) 入侵检测和异常( a n o m a l y ) 入侵检测。 2 2 1 主机、网络和分布式入侵检测 基于主机的入侵检测通常从主机的审计记录和日志文件中获得所需的主要 数据源，并辅之以主机上的其他信息，例如文件的属性、进程状态等，在此基础 上完成检测攻击行为的任务。基于网络的入侵检测通过监听网络中的数据包来获 取必要的数据来源，并通过协议分析、特征匹配、统计分析等手段发现当前发生 的攻击行为。 两种基本的入侵检测方法由于其采用的数据来源不同，而呈现不同的特点。 基于主机的入侵检测能够较为准确地检测到发生在丰机层次上的复杂攻击行为， 例如，对文件系统所进行的具有潜在风险的访问操作序列、对系统配置的修改以 及应用程序的异常运行情况等等。其中，许多发生在应用进程级别的攻击行为是 无法依靠基于网络的入侵检测来完成的。同时，基于主机的入侵检测系统也有若 干显而易见的缺点：首先，由于它严重依赖于特定的操作系统平台，所以，对不 同的平台系统而言，它是无法移植的。其次，它在所保护主机上运行，将影响到 宿主机的运行性能，特别是当宿主机是服务器的情况。另外，它通常无法对网络 环境下发生的大量攻击行为，做出及时的反应。与此对应的是，基于网络的入侵 检测能够实时监控网络环境下的数据流量，并发现潜在的攻击行为和做出迅速的 响应。另外，它的分析对象是网络协议，通常而言是标准化的，独立于主机的操 作系统类型，因此，一般没有移植性的问题。同时，它的运行丝毫不影响主机或 服务器的自身运行，因为基于网络的入侵检测系统通常采取独立主机和被动监听 的工作模式。 2 2 2 滥用和异常入侵检测 滥用入侵检测的技术基础是分析各种类型的攻击手段，并找出可能的“攻击 特征”集合。滥用入侵检测利用这些特征集合或者是对应的规则集合，对当前的 数据来源进行各种处理后，再进行特征匹配或者规则匹配工作，如果发现满足条 件的匹配，则指示发生了一次攻击行为。异常入侵检测的假设条件是对攻击行为 第二章入侵检测基奉概念年n 理论 的检测可以通过观察当前活动与系统历史正常活动情况之间的差异来实现的。异 常入侵检测通常都会建立一个关于系统正常活动的状态模型并不断的进行更新， 然后将用户当前的活动情况与这个正常的模型进行比较。如果发现了超过设定阈 值的差异程度，则指示发现了非法攻击行为。 比较而言，滥用入侵检测比异常入侵检测具备更好地解释能力，即明确指示 当前发生的攻击类型，因而在众多的商用系统中得到广泛应用。另一方面，滥用 入侵检测具备较高的检测率和较低的虚惊率，开发规则库和特征集合相对于建立 正常模型而言，也要更方便、更容易。滥用捡测的主要缺点在于一般只能检测到 已知的攻击模式，模式库只有更新才能检测到新的攻击方法。而异常检测的优点 是可以检测到未知的入侵行为，尽管可能无法明确指示是何种类型的攻击。从现 有的系统来看，大多数是基于滥用入侵检测技术。 2 3 入侵检测系统的c i d f 模型 为了提高i d s 产品、组件及与其他安全产品之间的互操作性，d a r p a ( 美国 国防高级研究计划署) 提出了公共入侵检测框架( c i d f ) ，c i d f 所做的工作主 要包括四部分：i d s 的体系结构、通信机制、描述语言和应用编程接口a p i 。 2 3 1c i d f 的体系结构 c i d f 是在i d e s 和n i d e s 系统的基础上提出了一个通用模型，将入侵检测 系统分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库。 c i d f 的基本模型框架入图2 2 所示。 图2 2c i d f 基本模型 在c i d f 模型中，事件产生器、事件分析器和响应单元通常以应用程序的形 式出现，而事件数据库则采用文件或数据流的形式。c i d f 模型将i d s 需要分析 的数据统称为事件( e v e n t ) ，它既可以是网络中的数据包，也可以是从系统日志 或其他途径得到的信息。这四个组件代表的都是逻辑实体，其中任何的一个组件 可能是某台计算机上的一个进程或线程，也可以是多个计算机上的多个进程，它 第二章入侵检测基本概念和理论 们之间采用g i d o ( g e n e r a li n t n l s i o nd e t e c t i o n0 b j e c t ：通用入侵检测对象) 格式 进行数据交换。g i d o 数据流可以是发生在系统中的审计事件，也可以是对审计 事件的分析结果。 事件产生器。事件产生器的任务是从入侵检测系统之外的计算环境中收集 事件，并将这些事件转换成c i d f 的g i d o 格式传送给其它组件。例如， 事件产生器可以是读取c 2 级审计记录并将其转换为g l d o 格式的过滤器， 也可以是被动地监听网络并根据网络数据流产生事件的另一种类型的过 滤器，甚至可以是s q l 数据库中产生事务描述事件的应用代码。 事件分析器。事件分析器负责分析从其他组件收到的g i d 0 ，并将产生的 分析结果传送给其它组件。分析器可以是一个基于统计模型的工具，检测 现在的事件是否满足先前所建立的正常模型；此外，事件分析器可以是一 个关系分析器，观察不同的事件之间的关系，并将关联事件进行汇聚处理， 以利于以后的进一步分析。 事件数据库。用来存储g i d o ，以备系统需要的时候使用。 响应单元。响应单元负责处理接收到的g i d o ，并据此采取相应的措施， 如杀死相关进程、复位网络会话连接以及修改文件权限。 由于c i d f 模型采用了标准格式g i d 0 来交换数据，所以这些组件也适用 于其他环境，这样就提高了组件之间的消息共享和互通的能力。 2 3 2c i d f 的通信机制 为了保证各个组件之间安全、高效的通信能力，c i d f 将通信机制构造成一个 三层模型：g i d o 层、消息层和协商传输层。 要实现有意义的通信过程，各组件就必须能正确理解相互之间所传递各种数 据的语义。g i d 0 层的任务就是提高组件之间的互操作性，所以g i d o 对如何表 示各种各样的事件语义进行了详细的定义。消息层确保被加密和认证的消息在防 火墙或n a t 等设备之间的传输可靠性。消息层只负责将数据从发送方传递到接 受方，而不携带任何有语义的信息；同样，g i d 0 层也只考虑所传递的语义，而 不关心这些信息怎样被传递。单一的传输协议无法满足c i d f 各种各样的应用需 求，只有当两个特定的组件对信道使用达成一致认识时，才能通信。协商传输层 负责规定g l d o 在各个组件之间的传输机制。 第二章入侵检测基率概念和理论 2 3 3c i d f 语言 c f 的总体目标是实现软件的复用和i d r ( 入侵检测与响应) 组件之问的互 操作性。首先，i d r 组件基础结构必须具有安全性、健壮性和呵伸缩性，c i d f 的工作重点是定义了一种应用层的语言c l s l ( 公共入侵规范语言) ，用来描述 i d r 组件之间传送的信息，以及制定一套对这些信息进行编码的协议。c i s l 可 以表示c i d f 中的各种信息，如原始事件信息( 审计踪迹记录和网络数据流信息) 、 分析结果( 系统异常和攻击特征描述) 、响应提示( 停i e 某些特定的活动或修改 组件的安全参数) 等等。 ， 2 4 入侵检测技术发展的若干方向 2 4 1 宽带高速网络的实时入侵检测技术 大量高速网络技术如a t m 、千兆以太网、g 比特光纤网等在近几年内不断 出现，在此背景下的各种宽带接入手段层出不穷，其中很多已经得到了广泛地应 用。如何实现高速网络下的实时入侵检测己成为一个现实的问题。 这需要考虑两个方面的问题。首先，入侵检测系统的软件结构和算法需要重 新设计，以适应高速网络的新环境，重点是提高运行速度和效率。丌发与设计相 适应的专用硬件结构，加上配合设计的专用软件是解决这方面问题的一个途径。 另一个问题是，随着高速网络技术的不断进步和成熟，新的高速网络协议的设计 也成为未来的一个发展趋势，如对t c p ，口协议的重新设计等，所以，现有的入 侵检测系统如何适应和利用未来的新的网络协议结构是一个全新的问题。 2 4 2 大规模分布式入侵检测技术 传统的集中式入侵检测技术的基本模型是在网络的不同网段中放置多个传 感器或探测器用束收集当前网络状态信息，然后这些信息被传送到中央控制台进 行处理和分析。或者更进一步的情况是，这些传感器具有某种主动性，能够接收 中央控制台的某些命令和下载某些识别模板等。 这种集中式入侵检测技术的基本模型具有几个明显的缺陷。首先，在面对在 大规模、异质结构网络基础上发起的复杂攻击行为，中央控制台的业务负荷将会 达到不可承受的地步，以至于没有足够能力处理来自四面八方的消息事件。这种 情况会造成对许多重大事件的遗漏，大大增加了漏警概率。其次，由于网络传输 第一章入侵检测雉本概念和理论 的时延问题，到达中央控制台的数据包中的事件消息只能反映了它刚被生成时的 环境状态情况，已经不能反映可能随着时间已经改变的当前状态。这将使基于过 时信息作出的判断的可信度大大降低，同时也使得反回去确认相关信息束源变得 非常困难。异质结构网络环境所带来的平台差异性也将给集中式模型带来诸多困 难。因为每一种攻击行为在不同的操作环境中都表现出不同的模式特征，而已知 的攻击方法数目非常之多。这样，在集中式模型的系统中，想要进行较为完全的 攻击模式的匹配就已经非常困难，更何况还要面对不断出现的新型攻击手段。 面对诸多难题，很多新的思路已经出现，其中一种就是策略分析( a t t a c k s t r a t e g y a n a l y s i s ) 方法。它采用了分布式智能代理的结构方式，有几个中央智能 代理和大量的分布式代理组成，其中本地代理负责处理本地事件，而中央代理负 责整体的分析工作。与集中式模型不同的是，它强调的是通过全体智能代理协同 工作来分析入侵者的攻击策略，中央代理扮演的是协调者和全局分析员的角色， 但绝不是唯一的事件处理者。这种方法有其明显的优点，但同时又带来了其他的 一些问题，如大量代理的组织和协作问题、相互之间的通信、处理能力和分析任 务的分配等等。 2 4 3 入侵检测的数据融合技术 目前的入侵检测技术还存在着许多问题和缺陷。首先，现有的实时检测系统 在技术上还不具备是以检测到有受到良好教育的黑客发起的复杂隐蔽攻击行为 的能力。其次，检测的虚假警告问题也是一个令网络管理员头疼的事情。同时， 来自各种渠道的大量泛滥数据、系统消息等常常没有得到很好和及时地处理，这 样非但无助于解决问题，反而浪费了和降低了i d s 系统的处理能力和检测性能。 为解决上述问题，多传感器数据融合技术提供了一条重要的技术途径。它能 够把从多个异质分布式传感器得到的各种数据和信息综合成为一个统一的处理 进程，来评估整个网络环境的安全性能。数据融合入侵检测系统的输入可以是从 网络嗅探器处得到的各种网络数据包，也可以是系统日志文件、s n m p 信息、用 户资料信息、系统消息和操作命令，系统输出是入侵者的身份估计和确定位置、 入侵者的活动信息、危险性信息、攻击等级和对整个入侵行为危险程度的评估的 功能。 2 4 4 先进检测算法的应用 第二章入侵检测基本概念和理论 以下是三种比较先进的入侵检测算法： 计算机免疫技术。 计算机免疫技术是直接受到生物免疫机制的启发而提出的。根据该理论，由 于计算机网络受到安全策略、计算机程序以及系统配置等多种因素中所可能包含 的错误的影响，所以总是处于易受入侵的状态。计算机免疫技术提供了以下思路， 即通过正常行为样本的学习来t 别出不符合常态概念的行为序列。在此方面已经 做了若干研究工作。一些实验建立在训练系统 ： 别代表f 常执行程序活动的系统 调用序列的基础上。这些实验发现若干系统调用形成的序列能够形成稳定的检测 特征，可用于检测在使用诸如s e n d m a i l 和l p r 程序时的异常情况。 神经网络技术 神经网络技术在入侵检测中的应用历史比较氏，并且一直在不断的发展。其 基本的思想是首先使用若干正常行为的样本来训练神经网络，然后检测任何偏离 这些行为标本的行为模式。研究人员还在“正常”训练样本集中加入随机模式， 期望减少检测的漏警率。时至今日，神经网络技术体现了强大的攻击模式分析能 力，它的优势包括能够处理带噪声的数据。 遗传算法 遗传算法在入侵检测中的应用历程还比较短，所取得的成果也有限。在一些 研究实验中，使用了若干字符串序列来定义用于分析检测的指令组。用于检测识 别正常或者异常行为的这些指令在训练阶段中不断进化，以提高分析能力。在训 练之前，代表指令的这些字符串所具有的分析检测能力很弱，但是通过任意重组 这些字符串的片段，就可以生成新的字符串，然后再选出检测能力最强的那些指 令字符串。这样重组、测试和选择的循环过程直进行，直到检测能力不再提高。 此时，这些字符串的检测能力已经得到很大提高，可以用于实际检测之中了。迄 今为止，只在若干小特征样本集的情况下进行了该算法的训练过程，所取得的结 果表明这种方法还需要提高区分异常与正常行为的能力。 2 。5 入侵检测系统面临的挑战 目前，入侵检测也面临着若干重要的挑战。这些挑战有些来自技术方面，有 些则来自非技术方面。技术方面的主要挑战包括： ( 1 ) 网络规模和复杂程度的不断增长。在一个大型的异构网络环境中，入侵检 第二章入侵检测基奉概念和理论 测系统所遇到的主要问题有：如何集成并处理来自分布在网络各处实体的具有不 同格式的各种相关信息，如何在相互合作但是并不完全相互信任的组织之问来共 享敏感的相关入侵行为信息，如何进行管理域间的合作进程以及如何保证在局部 入侵检测系统失效的情况下仍能维护系统全局的安全等。 ( 2 ) 如何在造成损失前及早发现入侵活动，即预警技术。 ( 3 ) 网络繁忙情况下的系统性能问题。为了保证发挥效能，网络入侵检测系统 必须分析所有的内向数据包。如果个入侵检测系统无法应付网络吞吐量的话， 它就可能漏掉不少反映入侵活动的特征数据，从而造成安全漏洞。 ( 4 ) 入侵模式特征的准确性。用来描述异常入侵行为的模式特征是滥用检测系 统的基石。如何保证所采用的特征集能够准确而又足以描述已知的各种攻击模式 及其变种，是一个重要的问题。 ( 5 ) 入侵检测系统的评估。时止今同，在这方面所做的工作非常少。对入侵检 测系统的评估测试是一项复杂的工作，因为i d s 不能在独立环境中检测，首先必 须建立一个实际网络平台环境。同时，还需要大量的包含各种测试入侵模式的复 杂数据，这些数据还要根据不同的操作系统平台和版本加以调整。 非技术因素包括如下三个方面： ( 1 ) 攻击者不断研究新的攻击模式，同时随着安全技术的普及，越来越多的人 进行了越来越多的入侵攻击尝试。 ( 2 ) 自动攻击的软件工具不断得到改进，使普通用户也能够利用它来进行网络 攻击。 ( 3 ) 各种机构对包括l d s 在内的安全技术的认识不足或者缺乏足够熟练的安 全管理员。 第三章智能主体在入侵检测系统中的应用简介 第三章智能主体技术在入侵检测系统中的应用简介 本章主要介绍智能主体技术及其在入侵检测系统中的应用情况。 3 1 移动智能主体技术综述 3 1 1 智能主体技术 智能主体技术。1 的诞生和发展是人工智能和网络技术相结合的产物，现如 今被广泛地应用在人工智能、网络管理、网络安全以及软件工程等领域。目前 智能主体在研究领域中尚没有一个理想的定义，但人们普遍认为：智能主体是 运行于动态环境f 的具有高度自治能力的实体。它能够接受其它实体的委托并 为之服务。因此，智能主体首先具有智能特性，它对环境有响应性、自主性和 主动性，同时，智能主体还具有社会特性。 智能主体的特性： 自治性( a u t o n o m y ) 智能主体一一般都具有自己的资源和局部于自身的控 制机制，能够在没有外界直接操纵下，根据自身的内部状态以及感知到的外部环 境信息，决定和控制自身的行为。 反应性( r e a c t i v i t y ) 智能主体能够感知到其所在的环境( 包括用户的 界面、实际的物理环境以及该环境中其它的智能主体等) ，并能够针对一些特定 的事件做出相应的反应。 交互性智能主体能够与其它对象以特定的语言进行各种各样的交互，也 能和其它各类a g e n t 一起有效地完成各种层次的协同工作。 主动性( p r o a c t i v i t y ) 智能主体能够遵循其承诺采取主动行动，表现 出面向目标( 包括静态目标和动态目标) 的行为。 推理性( r e a s o n i n g ) 智能主体可根据已有的知识和经验，以理性的方 式进行推理。智能主体的智能由三个主要部件来完成，即内部知识库、自适应 能力以及基于知识库的推理能力。 智能主体具有极大的灵活性和适应性，更加适合于开放、动态的网络环境， 也更能体现人类的社会职责。在上述几个特性中，自治性、反应性和交互性是 基本的，也称具有这三个特性的计算实体为反应式智能主体。 3 。1 2 智能主体的体系结构 第三章智能主体在入侵检测系统中的应用简介 旭e n t 的体系结构是指构造a g e n t 的方法学“1 ，它描述了a g e n t 的基本组成 成分及其作用、各成分的联系与交互机制、如何通过感知到的内外部状态确定 a g e n t 应采取的不同行动的算法，以及a g e n t 的行为对其内部状态和外部环境 的影响等。目前，人们以提出的a g e n t 的体系结构大致可分为以下三类： 1 审慎式体系结构( d e l i b e r a t i v ea r c h i t e c t u r e ) ：该结构来源于审慎思 维范例，认为a g e n t 拥有一个内部符号推理模型，这些a g e n t 通过参与规划以 及和其他a g e n t 的协商来达到目的。其主要特点是a g e n t 中包含了显式表示的 世界符号模型，a g e n t 的决策是通过基于模板匹配和符号操作的逻辑推理作出 的。该体系结构在分布式人工智能领域占主导地位。 2 反应式体系结构( r e a c t i v ea r c h i t e c t u r e ) ：该结构来源于b r o o k s 等 人的研究。这些旭e n t 并没有外界环境的内部符号模型，他们采用的是一种刺 激响应的活动模型。其特点是a g e n t 中包含了感知内外部状态变化的感知器、 一组对相关事件作出反应的过程，和一个依据感知器激活某过程执行的控制系 统，a g e n t 的活动是由于受到内外部某种“刺激”而发生的。该体系结构在目 前主流的分布式系统中占主导地位。 3 混合式体系结构( h y b r i da r c h i t e c t u r e ) ：该体系结构的特点是a g e n t 中包含了审慎式和反应史两个子系统。通常情况下，着两个子系统是分层次的， 前者建立在后者的基础上。 3 1 2 移动智能主体( m o b j i ea g e n t ) 7 1 随着i n t e r n e t 应用的逐步深入，特别是信息搜索、分布式计算以及电子商 务的蓬勃发展，人们越来越希望在整个i n t e r n e t 范围内获得最佳的服务，渴望 将整个网络虚拟成为一个整体，使智能主体能够在整个网络中自由移动，移动 智能主体的概念随即孕育而生。 移动智能主体的概念，即一个能在异构网络环境中自主地从一台主机迁移 到另一台主机，并可与其它智能主体或资源进行交互的软件实体。移动智能主 体是一类特殊的智能主体，它除了具有智能主体的基本特性自治性、响应 性、主动性和推理性外，还具有移动性，即它可以在网络上从一台主机自主地 移动到另一台主机，代表用户完成指定的任务。由于移动智能主体可以在异构 的软、硬件网络环境中自由移动，因此这种新的计算模式能有效地降低分布式 第三章智能主体在入侵椅测系统中的应用简介 计算中的网络负载、提高通信效率、动态适应变化了的网络环境，具有很好的 安全性和容错能力。 移动智能主体可以看成是智能主体技术与分布式计算技术相结合的产物， 它与传统网络计算模式有着本质上的区别。移动智能主体不同于远程过程调用 ( r p c ) ，这是因为移动智能主体能够不断地从网络中的一个节点移动到另一个 节点，而且这种移动是可以根据自身需要进行选择的。移动智能主体也不同于 一般的进程迁移，因为一般来说系统不允许进程自己选择千t 么时候迁移以及迁 移到哪罩，而移动智能主体却可以在任意时刻进行移动，并且可咀移动到它想 去的任何地方。移动智能主体更不同于j a v a 语言中的a p p l e t ，因为a p p l e t 只 能从服务器向客户机做单方向的移动，而移动智能主体却可以在客户机和服务 器之间进行双向移动。 虽然目前不同移动智能主体系统的体系结构各不相同，但几乎所有的移动 智能主体系统都包含移动智能主体( 简称m a ) 和移动智能主体服务设施( 简称 m a e ) 两个部分，其体系结构如图3 一l 所示。 竺生j a t p，竺 服务与接口 二 ! 二 服务与接口 【每虿 if 4 一 cm a l ( m a 2 】j lm a 31 cm a 4 m a 执行环境 姒执行环境 图3 1 移动a g e n t 系统 m a e 负责为m a 建立安全、正确的运行环境，为m a 提供最基本的服务( 包 括创建、传输、执行) ，实施针对具体m a 的约束机制、容错策略、安全控制和 通信机制等。 a 的移动性和问题求解能力很大程度上取取于m a e 所提供的服务， 一般来讲， l a e 至少应包括以下基本服务： 事务服务实现移动智能主体的创建、移动、持久化和执行环境分配； 事件服务包含智能主体传输协议和智能主体通信协议，实现移动智能主体 问的事件传递； 目录服务提供移动智能主体的定位信息，形成路由选择； 安全服务提供安全的执行环境； 1 4 第三章智能主体托入侵检测系统中的应用简介 应用服务提供面向特定任务的服务接口。 通常情况下，一个m a e 只位于网络中的一台主机上，但如果主机问是以高 速网络进行互联的话，一个似e 也可以跨越多台主机而不影响整个系统的运行 效率。m a e 利用a g e n t 传输协议( a g e n tt r a n s f e rp r o t o c 0 1 ，a t p ) 实现m a 在 主机间的移动，并为其分配执行环境和服务接口。m a 在m a e 中执行，通过a g e n t 通信语言( 腿e n tc o m m u n i c a t i o nl a n g u a g e ，a c l ) 相互通信并访问m a e 提供的 各种服务。 在移动智能主体系统的体系结构中，m a 可以细分为用户a g e n t ( u s e r 船e n t ， u a ) 和服务a g e n t ( s e r v e ra g e n t ，s a ) 。u a 可以从个m a e 移动到另一个m a e ， 它在m a e 中执行，并通过a c l 与其它m a 通信或访问m a e 提供的服务。u a 的主 要作用是完成用户委托的任务它需要实现移动语义、安全控