（计算机软件与理论专业论文）分布式入侵检测系统中移动agent的应用.pdf

中文摘要 摘要 髓着计算机网络技术的应用与发展，网络流量与日剧增，各种黑客技术层出 不穷，攻击事件时有发生，网络安全问题日益成为人们关注的焦点。入侵检测技 术是网络安全领域中的一个研究热点。作为防火墙的合理补充，入侵检测系统可 提供对内部攻击、外部攻击和误操作的实时检测，并可与防火墙、系统漏洞检测、 病毒防护等技术结合在起，构成较完整的安全防御体系。作为传统的静态安全防 护系统( 如身份认证、加密技术等) 的有效补充，入侵检测系统在信息安全领域 发挥越来越重要的作用。 由于传统的入侵检测系统仍存在着一些缺陷，例如在分布性、灵活性、效率 等方面还不尽如人意，因此人们开始寻求新的技术，以求提高入侵检测系统的整 体性能。为了解决这些问题，我们尝试了在入侵检测系统中引入移动a g e n t 技术， 力图使其在实时性、可扩展性、灵活性以及系统的容错能力等方面有较大的改善。 本文中，我们提出了基于移动a g e n t 的分布式入侵检测系统( m a d i d s ) 。该系统 采用入侵检测系统s n o r t 与m m 的a g l e t 移动代理平台相结合，使系统具有较好的 性能和灵活性，同时力求将基于主机与基于网络的入侵检测技术结合在一起，增 强系统的检测能力。 本文首先介绍了入侵检测系统的相关概念及工作原理，接着对移动a g e n t 技 术及其在入侵检测系统中的应用进行了深入的研究，并在此基础上提出了基于移 动a g e n t 的分布式的入侵检测系统( m a d i d s ) 的体系结构，并分析了该体系结构 特点。此外，本文还采用了面向对象思想和技术对m a d i d s 进行了详细的分析和设 计；同时针对目前入侵检测系统成为被攻击目标的现状和a g e n t 技术给系统带来 新的安全问题，又提出了相应的安全策略和安全机制。 关键词；入侵检测；入侵检测系统；移动a g e n t ；m a d i d s 英文摘要 a p p l i c a t i o no f m o b i l ea g e n ti nd i s t r i b u t e di n t r u s i o nd e t e c t i o n s y s t e m s a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fc o m p u t e rn e t w o r kt e c h n i q u e ，s e c u r i t yp r o b l e mh a s b e c o m et h em a i nf o c u st h a tp e o p l ec a l ea b o u t a st h es t r o n gs u p p l e m e n to ff i r e w a l l ， i n t r u s i o nd e t e c t i o ns y s t e m sc a nd e t e c ta t t a c k sf r o mb o t ho u t s i d ea n di n s i d eo f n e t w o r k s ， a n dt h e ys h o u l db ea ni m p o r t a n tp a r to f t h ep e r f e c ts e c u r i t ya r c h i t e c t u r e t h er e s e a r c ho fi n t r u s i o nd e t e c t i o nh a sg r o w nc o n s i d e r a b l yn o w a d a y s ，a n dal a r g e n u m b e ro fi n t r u s i o nd e t e c t i o ns y s t e m sh a v eb e e nd e v e l o p e ds oa st os a t i s f yd i f f e r e n t n e e d s h o w e v e r , t h e 仃a d i f i o n a l i n t r u s i o nd e t e c t i o ns y s t e m s ( i d s s ) h a v es o m e s h o r t c o m i n g si nc e r t a i na s p e c t s ，s u c h 鹤f l e x i b i l i t y , i n t e r o p e r a b i l i t ye t e t h e r e f o r e ，p e o p l e b c g i nt os e e kf o rn e wt e c h n o l o g i e st oi m p r o v et h ep e r f o r m a n c eo f i d s s i nt h i st h e s i s ，w et r yt oi n t r o d u c em o b i l ea g e n tt e c h n i q u ei n t oi d s st oi m p r o v e t h e i rf l e x i b i l i t y , i n t e r o p e r a b i l i t y , e x t e n s i b i l i t ya sw e l la st h e i rr e a l - t i m ep e r f o r m a n c e w e a l s op r e s e n t e dad i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e mb a s e do nm o b i l ea g e n t - m a d i d s ， w h i c hc o m b i n e st h ei d ss n o r ta n dm o b i l ea g e n tp l a t f o r ma 酉e t i nm a d i d s , t h e d e t e c t i o nt a s k sa r ei m p l e m e n t e db yt w ot y p e so f d e t e c f i o nm o b i l ea g e n t s ，w h i c he n a b l e t h es y s t e mh a v ec e r t a i nf l e x i b i l i t y , i n t e r o p e r a b i l i t ya n di n t e l l i g e n c e 器w e l la sg o o d p e r f o r m a n c e f i r s t l y , w ea n a l y z ea n ds u m m a r i z et h et e c h n o l o g i e so fi d s a n dm o b i l ea g e n t t h e n w ep u ta n e m p h a s i so nm o b i ba g e n tt e c h n i q u ea n di t sa p p l i c a t i o ni ni d s s a f t e r i n t r o d u c i n gt h ea g l c ti nm o b i l ea g e n ta n da n a l y z ei t ss y s t e mf r a m ea n do b j e c tm o d e l ， w ei n t r o d u c et h ed e s i g no ft h e s y s t e ma r c h i t e c t u r ea n de x p o u n dt h ed e s i g n a n d i m p l e m e n t a t i o no f m a d i d si n d e t a i l a tt h ee n do ft h i sp a p e r , w es u m m a r i z et h ea d v a n t a g e a n dd i s a d v a n t a g e so ft h i s s y s t e m , a n dd i s c u s st h ef u t u r er e s e a r c hd i r e c t i o n so f m a d i d s k e y w o r d s ：i n t r u s i o n d e t e c t i o n ；i d s ；m o b i l e a g e n t ；m a d i d s 大连海事大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：本论文是在导师的指导下，独立进行研究工作所取得的成果， 撰写成硕士学位论文 ! 佥盔式侵捡型丕统生整动g 垡的廛旦：。除论文中已 经注明引用的内容外，对论文的研究做出重要贡献的个人和集体，均已在文中以 明确方式标明。本论文中不包含任何未加明确注明的其他个人或集体已经公开发 表或未公开发表的成果。 本声明的法律责任由本人承担。 论文作者签名： 鹊乞稗 ；月钟日 学位论文版权使用授权书 本学位论文作者及指导教师完全了解“大连海事大学研究生学位论文提交、 版权使用管理办法”，同意大连海事大学保留并向国家有关部门或机构送交学位论 文的复印件和电子版，允许论文被查阅和借阅。本人授权大连海事大学可以将本 学位论文的全部或部分内容编入有关数据库进行检索，也可采用影印、缩印或扫 描等复制手段保存和汇编学位论文。 保密口，在年解密后适用本授权书。 本学位论文属于：保密口 不保密口( 请在以上方框内打“4 ”) 一嘲乞- 忽 静、 日期：川年；月中日 分布式入侵检测系统中移动a g e n t 的应用 第1 章绪论 随着计算机网络和信息技术的飞速发展，人们正经历一个前所未有的时代， 电子商务、电子政务、网上银行、门户网站、电子娱乐等一些曾经属于概念层面 上的东西逐渐进入了人们的生活，并在很大程度上改变了人们的生活方式。各种 新技术的涌现极大地提高了人们的工作效率，给企业带来可观的经济效益，同时 也带来了一些不容忽视的问题，各式各样的病毒日益泛滥、层出不穷的黑客技术 不断涌现、各种入侵事件时有发生，并且还有愈演愈烈之势。因此，网络安全问 题已经引起各国、各部门、各行业以及用户的广泛重视，成为当今信息技术发展 的主要领域之一。 入侵检测是当前安全防护领域的研究热点，它有别于传统的加密、身份认证、 访问控制、防火墙、安全路由等安全技术，是一种新型的主动网络安全防护技术。 入侵检测技术在以前的静态安全模型的基础上，增加了动态检测机制，通过实时 地检测系统内外状态的变化来发现不安全的行为，并及时地报警甚至采取一定的 防御措施来制止恶意的行为。 移动a g e n t 作为一种分布计算模式是分布并行计算技术研究的重点之一，同 传统的分布计算模式相比，移动a g e n t 在有效降低网络负载、克服网络延迟、协 议封装、自动执行、支持异构平台以及自适应性、健壮性、容错性等方面都有其 独特的优势。 本文旨在结合移动a g e n t 和入侵检测的优点方面作一些探讨，并尝试在移动 a g e n t 平台之上建立一种健壮性强、完全适合信息网需要的高效、高可靠性、灵活 性更高、易于扩展的分布式实时入侵检测，并通过实验验证本文的观点。 本课题得到国家自然科学基金项目“分布式智能异构数据集成支持系统的研 究”( 批准文号：6 0 1 7 2 0 4 3 ) 和“智能化语义网服务中本体集成机理与应用模式” ( 批准文号：6 0 6 7 2 0 3 1 ) 的资助，论文工作同时也是这两个项目的组成部分。 1 1国内外的研究现状 入侵检测是一种主动的网络安全防御措施，它不仅可以通过监测网络实现对 内部攻击外部攻击和误操作的实时保护，有效地弥补防火墙的不足。而且还能结 第1 章绪论 合其它网络安全产品，对网络安全进行全方位的保护。具有主动性和实时性的特 点，是防火墙重要的和有益的补充。 对入侵检测的研究最早可追溯到2 0 世纪8 0 年代，但受到重视和快速发展还 是在i n t e r n e t 兴起之后。按时间顺序，入侵检测技术的研究和发展历史概况如下： 1 9 8 0 年，a d e r s o n 1 1 首先提出了入侵检测的概念，他将入侵划分为外部闯入 内部授权用户的越权使用和滥用三种类型，并提出用审计追踪来监视入侵威胁。 1 9 8 6 年，为检测用户对数据库的异常访问，在i b m 主机上用c o b o l 开发的d i s c o v e r y 系统称为最早的基于主机的i d s 雏形之一。1 9 8 7 年，d e n n i n g 提出了一个经典的 入侵检测模型。首次将入侵检测的概念作为一种计算机系统的安全防御措施提出。 1 9 9 0 年出现了通过网络监听进行入侵检测的系统，1 9 9 1 年出现分布式入侵检测体 系。2 0 世纪9 0 年代中后期入侵检测的体系结构的研究又有了许多发展，例如m a r k c r o s b i e 和g e n es p a f f o r dc 2 1 的自治代理概念被广泛接受。对于i d s 系统的测试 也相应处于不断发展之中，1 9 9 6 年n i c h o l a sj p u k e t z a 等人提出通过模拟被监测 系统上用户的行为来测试i d s 系统的方法1 。1 9 9 8 ，1 9 9 9 年m i t 的l i n c o n l a b o r a t o r y 通过模拟美军空军基地的日常网络流量进行了i d s 系统的两次测试。 2 0 0 0 年时，m i t 在测试数据中加入了对于d d o s ( d i s t r i b u t e dd e n yo fs e r v i c e ) 攻击的模拟。2 0 0 1 年t e r r e n c ec h a m p i o n 等人专门对于i d s 系统检测d d o s 攻击 的能力进行了测量，同时还考虑了i d s 系统响应功能的评测嘲。与此同时，一些商 业厂家也给出了自己的入侵检测系统的评估方法。 入侵检测系统的发展的过程是从主机入侵检测系统到网络入侵检测系统，最 后发展到分布式入侵检测系统，并相继出现了许多成功的入侵检测系统及其产品。 近年来，网络攻击技术发生了很大的变化h 3 ：入侵手段的多样化；入侵主体对象 的间接化( 即实施入侵与攻击的主体的隐蔽化) ；入侵规模的扩大化( 从单个主机到 整个网络，从一个网络到多个网络) ；入侵与攻击技术的分布化( 如分布式拒绝服 务攻击d d o s 以分散在互联网上的大量主机系统协同攻击目标主机) ；攻击对象由 针对网络的攻击变为针对网络防护系统的攻击。随着网络入侵和攻击手段向分布 式方向发展，且采用各种数据处理技术，使其破坏性和隐蔽性也越来越强。相应 地，入侵检测系统也在向分布式结构发展，采用分布式收集信息、分布处理、多 方协作的方式，将基于主机的i d s 和基于网络的i d s 结合使用，构筑面向大型网 分布式入侵检测系统中移动a g e n t 的应用 络的i d s ，而且对处理速度及各相关性能的要求更高，即便如此，目前己有的i d s 仍远远不能满足入侵检测的需要。 关于移动a g e n t 应用于入侵检测1 最早见于1 9 9 9 年1 0 月w a y n ej a n s e n , p e t e r m e l t 等人发表的“应用移动a g e n t 于入侵检测和响应”一文。美国衣阿华州立大学 的“用于入侵检测的智能a g e n t ”、日本信息技术促进局的“入侵检测a g e n t 系统”、 酱度大学的“自治a g e n t 入侵检测系统( a a f i d ) ”、美国国防部高级研究局资助的 “高级电信脂息分布计划”等项目代表了现今的研究前沿。当前阶段基于移动 a g e n t 的入侵检测系统主要遵守m a s n 7 ( m o b i l ea g e n ts y s t e mi n t e r o p e r a b i l i t y f a c i l i t y ) 规范。 1 2研究的目的和意义 目前，多数入侵检测系统仍存在的一些亟待解决的问题或缺陷： ( 1 ) 结构存在问题。传统的入侵检测系统是基于中心式数据处理机制，信息通过 网络上几个节点收集并汇总到中心进行处理。这种系统结构存在的主要问题是数 据在探测器和中央控制单元之间的传输导致网络流量地加倍，占用了网络带宽。 此外，由于计算负载完全是由中央控制单元来负担，可能导致中央控制单元的业 务负荷达到不可承受的地步。怎样从这些大量的网络数据中发现攻击，提高系统 的运行效率、减少网络通信流量、节约带宽，是目前研究入侵检测系统器要考虑 的首要问题。 ( 2 ) 单点失效问题。目前大多数入侵检测系统，不论是分布式数据收集，集中 式处理的方式还是采用由中心主控节点协调分层结构的分布式数据处理，都是由 中心主控节点作最后分析，判断是否存在入侵行为。在这些系统中，只要主控节 点瘫痪，整个系统就不能工作。因此，如何增强入侵检测系统自身的安全性和健 壮性，也是目前入侵检测系统要考虑的问题之一。 ( 3 ) 系统的可配置性。随着近年来网络安全技术的发展，基于网络的计算机应 用系统已经成为了主流，网络资源十分丰富，特别是网络中关于黑客技术的介绍 和黑客工具越来越容易得到，造成黑客技术的空前发展和黑客队伍的扩大，黑客 攻击的方法和手段越来越复杂，也使新的攻击技术和攻击工具出现的频率增大。 动态地增加检测新的攻击的模块或删除已过时的模块也是目前入侵检测系统需要 第1 章绪论 考虑的问题。 ( 4 ) 跨平台性。入侵检测系统必须能够适用于多种不同的环境( 比如高速大容量 计算机网络环境等) ，并且在系统环境发生改变( 比如增加环境中的计算机系统数 量，改变计算机系统类型等) 时，入侵检测系统也应当能够适应这种变化。 因此，如何运用新技术、新方法加强对入侵检测技术的研究十分必要。为了 实现入侵检测技术的分布式和智能化，可以在系统中采用a g e n t 技术，它能将检 测任务智能地由集中式分散到被管理的网络资源上以实现分布式的入侵检测；利 用a g e n t 的自治性和协作性来完成复杂的检测任务；a g e n t 能够异步地处理任务， 相互通信和合作，从而增强了入侵检测系统的灵活性。 1 3本文的工作及论文的组织 本文的主要目标是在充分借鉴当前已有的i d s 研究成果的基础上，提出一种 新的i d s 体系结构。在我们的设计中，充分利用移动a g e n t 的移动性和自治性， 提供一种灵活有效的解决方案来解决传统i d s 中存在的问题。此外，不同于当前 大部分的分布式i d s 分布式数据收集一集中处理的特点，我们的系统在执行入侵检 测任务时，采用完全分布式的模式。对系统的分布式和模块化体系结构的定义和 描述是本文的首要工作。 第二章主要是对入侵检测系统进行综述。介绍入侵检测的相关概念、分类、 发展历史等。第三章对移动a g e n t 技术进行详细的介绍，并初步探讨了其在入侵 检测系统中的应用。第四章对m a d i d s 系统进行需求分析，通过对各种技术的比较 分析，确定系统所要采用的技术、平台、体系结构等。第五章着重探讨m a d i d s 的 设计和实现以及试验验证。最后对全文进行总结。 本文讨论了入侵检测技术和移动a g e n t 相关关键技术，然后对基于移动a g e n t 的分布式入侵检测系统模型给出了比较清晰的表述，最后给出了基于移动a g e n t 的分布式入侵检测系统模型实验系统的设计过程以及实验的效果，实验结果表明 本文所提出的基于移动a g e n t 的分布式入侵检测系统模型能够达到设计的预期。 分布式入侵检测系统中移动a g e n t 的应用 第2 章入侵检测系统 本章首先对入侵检测的相关概念、分类以及入侵检测的发展阶段作了详细的 介绍，接着对入侵检测的发展阶段及步骤进行了说明，最后阐述了入侵检测的公 共框架并重点介绍了基于a g e n t 的入侵检测系统。 2 1入侵检测的概念及分类 早在2 0 世纪8 0 年代初期，a n d e r s o n 将入侵定义为未经授权蓄意尝试访问信 息、篡改信息使系统不可靠或不能使用1 。入侵检测( i n t r u s i o nd e t e c t i o n ，i d ) 是 指发现非授权用户企图使用计算机系统( 如黑客) 或合法用户( 如内部用户) 滥用其特 权的行为的过程】。进行入侵检测的软件与硬件的组合便是入侵检测系统 ( i n t n 坞i o nd e t e c t i o ns y s t e m ，m s ) i d s 是近二十年来发展起来的新一代安全防范技术，它通过对计算机网络或系 统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行 为和被攻击的迹象。这是一种集检测、记录、报警、响应的动态安全技术，不仅 能检测来自外部的入侵行为，同时也监督内部用户的未授权活动。 按照不同的分类标准，入侵检测可以分为不同的类别，通常有下面几种分类 的方法：根据数据来源的不同，入侵检测系统可以分为基于主机( h o s t - b a s e d ) 的入 侵检测系统和基于网络( n e t w o r k - b a s e d ) 的入侵检测系统；根据检测方法不同，可以 分为基于误用的入侵检测系统和基于异常的入侵检测系统两类；根据响应方式不 同，可以分为主动( a c t i v e ) a 侵检测系统和被动( p a s s i v e ) a 侵检测系统两类；根据 i d s 处理数据的方式，入侵检测系统又可以分为集中式( c e n t r a l i z e d ) a 侵检测系统 和分布式( d i s t r i b u t e d ) 入侵检测系统两类。通常人们以前两种分类方式为主，下面 我们以前两种分类方式为主讨论入侵检测的分类。 ( 1 ) 基于主机( h o s t - b a s e d ) 的入侵检测和基于网络( n e t w o r k - b a s e d ) 的入侵检测 基于主机的入侵检测系统是入侵检测系统驻留在一台主机上，它分析和处理 该主机本身的数据，如系统和应用程序日志、网络通信记录等。这种类型的系统 检测范围有限，它只能监视它自身所在的主机环境，而不能检测对多个主机同时 发起的攻击，且入侵者一旦攻陷该主机，就可以通过修改系统日志、关闭检测模 第2 章入侵检测系统 块等方式逃避检测，它还有以下的缺陷：影响系统性能、配置和维护困难、易受 内部破坏、实时性较差。相对于基于主机的入侵检测系统，基于网络的入侵检测 系统通过分析特定网段的网络数据包来检测入侵。它能够在网络数据包中扫描已 知攻击模式，能够检测针对某个网段多台主机的攻击。基于网络的入侵检测系统 也有一些缺点，比如，数据包的重新装配( r e a s s e m b l y ) 问题、数据加密问题，高速 网络问题、异步交换式模式( a t m ) n 络问题。 ( 2 ) 异常入侵检测( a n o r m a l l yd e t e c t i o n ) 和误用入侵检测( m i s u s ed e t e c t i o n ) 异常入侵检测是指建立系统的正常模式轮廓，若实时获得的系统或用户的轮 廓值与正常值的差异超出指定的阂值，就进行入侵报警。异常入侵检测方法的优 点是不依赖于攻击特征，立足于受检测的目标，发现入侵行为；缺点是误报率高， 选择适当的系统( 用户) 特征集较难，且随环境变化很大，入侵者可以逐步训练 以改变正常轮廓接受其行为以及难于定量分析等。因此，如何对检测建立异常指 标，如何定义正常模式轮廓，降低误报率都是难以解决的课题。 目前，异常检测主要采用概率统计( p r o b a b i l i t ys t a t i s t i c a l ) 、神经网络( n e u r a l n e t w o r k ) 、免疫系统( i m m u n i t ys y s t e m ) 等方法。“”。 误用入侵检测又称为特征检测( s i 印a ：t 1 1 r ed e t e c t i o n ) ，是指根据己知的攻击特征 检测入侵，可以直接检测出入侵行为。误用检测方法的优点是误报率低，可以发 现已知的攻击行为。但是，这种方法检测的效果取决于检测知识库的完备性。因 而，特征库必须及时更新。此外，这种方法无法发现未知的入侵行为。缺点是已 知的入侵模式要手工进行编码，不能察觉未知入侵或已知入侵的变种。此外，近 年出现的混合型检测方法是上述两种方法的综合运用。 目前，基于误用的检测主要采用模式匹配( p a t e mm a t c h i n g ) 、专家系统( e x p e r t s y s t e m ) 、状态转移( s t a t et r a n s i t i o n ) 、协议分析( p r o t o c o la n a l y s i s ) 等方法“。 2 _ 2入侵检测的发展阶段 i d s 从开始形成至今己有二十多年了，根据一些标志性事件的发生和标志性研 究结果的出现，我们可以把它的发展历史分为以下几个时期：( 1 ) 奠基时期( 概念的 形成和模型的建立) ；( 2 ) 基于主机的入侵检测时期；( 3 ) 基于网络的入侵检测时期； ( 4 ) 分布式入侵检测时期；( 5 ) 基于标准的入侵检测时期。 分布式入侵检测系统中移动a g e n t 的应用 早期的i d s 都是集中式i d sn ”，包括基于主机和基于网络的i d ，他们的显著 特点是在固定数量的场地进行数据分析。基于主机的i d s 分析主机的审计数据， 直接监视一台主机，常与操作系统相结合。基于网络的i d s 被动地监视主机间的 通信，根据网络上数据包的内容和格式来推断其行为，分析对敏感信息的公开请 求和重复失败的违反系统安全策略的企图。 随着被监视的主机和网络数量的不断增加，网络结构的复杂性不断增加，网 络资源一般都是分布式的，而入侵活动也逐渐具有协作性。因此，集中式的i d s 就暴露出其局限性，如何将基于主机和网络的i d s 各自的优势结合起来，这就是 分布式i d s 产生的原因。目前对i d s 的研究趋向于设计和建立分布式的i d s ，由多 个检测实体监控不同的主机和网络部分，各实体间相互协作完成检测任务。 2 3入侵检测的步骤 根据入侵检测的步骤，将入侵检测的过程分为数据收集、数据分析以及入侵 响应三个阶段。 2 3 1 数据收集 数据收集是入侵检测的第一个阶段，i d s 收集到的数据是它进行检测和决策的 基础，因而其重要性是显而易见的，收集到数据的准确性、可靠性和效率直接影 响到入侵检测的效率和结果。如果收集数据的时延太大，系统很可能在检测到攻 击的时候，入侵者已经长驱直入；如果数据不完整，系统的检测能力就会大打折 扣；如果数据本身不正确，系统就无法检测某些攻击，从而给用户造成一种很虚 假的安全感，后果更不堪设想。 根据不同的分类标准，目前，数据收集主要有如下几种： ( 1 ) 基于网络和基于主机的数据收集 基于主机的数据收集是指从所监控的主机上获取的数据，目前所能检测到的 大部分入侵都是由主机上的活动引起的，如非法访问主机上提供的某项服务，篡 改主机上的重要数据等。 基于网络的数据收集则是通过被监视网络中的数据流获得数据，即发送的数 据量超过网络的承受能力，以至于使得合法数据包通信受阻。但在终端机上也照 样可以检测到这些攻击，例如，通过查看主机i c m p 层是否有大量的e c h o r e q u e s t 第2 章入侵检测系统 分组，也可以检测到是否有p i n g 洪流攻击发生。 基于网络的数据收集有时会比基于主机的数据收集效果更好，尤其是主机对 攻击行为没有反应的时候( 例如，攻击数据包指向的端口是关闭的) ，但即使在这 种情况下，也可以通过终端主机网络栈的底层检测到这些攻击。 ( z ) 直接监控和间接监控数据收集 我们把从数据生成地或属地直接获取数据的方法称为直接监控数据收集。如 从主机相应的内核结构中获取数据以直接监控某主机的c p u 负载情况，直接从 i n e t d ( u n i x 中，不是让每种服务的守护进程都在自己的端口上等待请求，而是将 代表各个服务守护进程等待请求的任务交给一个叫i n e t d 的服务进程) 获取关于 那些访问情况的数据以便直接监控j n e t d 后台进程所提供的网络服务的情况等。 此外，我们把从从能反映监控目标行为的数据源处获取数据的方法称为间接 监控数据收集。间接监控可以通过读取记录c p u 负载的日志文件，完成对主机c p u 负载的监控；通过读取i n e t d 后台进程所产生的日志文件，或通过类似 t c p - w r a p p e r s 的辅助程序，间接监控网络服务的访问情况；也可以通过监视发往 主机特定端口的数据包进行间接监控。 通常间接监控方法产生的数据量比较大，i d s 在使用间接数据源时，必须消耗 大量的资源对数据进行过滤和精简。直接监控方法只获取它需要的数据，所以生 成的数据量相对较小。此外，监控组件自身也会对数据进行分析，只有在检测到 相关事件时才产生结果，这样就减少了数据的存储量。 ( 3 ) 外部探测器和内部探测器 此外，根据入侵检测系统在实现数据收集时采用探测器不同，可以分为采用 外部探测器和内部探测器的数据收集方式。外部探测器和内部探测器在用于直接 数据收集时各有利弊。表2 1 列出了这两种类型探测器各自的优缺点。 分布式入侵检测系统中移动a g e n t 的应用 表2 1 外部探测器和内部探测器对比 t a b 2 1c o m p a r l s i o no f e x t e r i o rd e t e c t o r & i n t e r i o rd e t e c t o r 外部探测器内部探测器 优从主机上进行修改、添加或删在产生数据和使用数据之间的时延最 除等操作很容易；可以用任何合适小；不是分离的进程，所以不易被禁止或修 的编程语言实现。改；对主机的性能开销比较小；最后实现方 式是所监视程序的一部分，所以可以访问任 点务所必需的任何信息。 缺 有被入侵者禁止或修改的潜在需要集成到监视的程序中，所以实现难 可能；在数据生成和使用之间存在度较大；实现时，需要使用与被监视程序相 时延；探测器是分离的进程或额外同的语言；如果设计或实现不当，就会严重 加载的库，所以存在性能影响。依地损坏被监视程序的性能和功能；升级或修 靠系统或某些机制提供的信息，所改的难度大 点以信息获取能力有限。 2 3 2 数据分析 数据分析的任务是在提取到的庞大数据中找到入侵的痕迹。数据分析过程需 要将提取到的事件与入侵检测规则进行比较，从而发现入侵行为。一方面入侵检 测系统需要尽可能多的提取数据以获得足够多的入侵证据；另一方面由于入侵行 为的千变万化而导致判定入侵的规则越来越复杂。为了保证入侵检测的效率和满 足实时性的要求，数据分析需在系统的性能和检测能力之间进行权衡，合理的设 计分析策略，并且可能要牺牲一部分检测能力来保证系统的可靠性、稳定性、并 具有较快的响应速度。 分析策略是入侵分析的核心，系统检测能力很大程度上取决于分析策略。在 实现上，分析策略通常定义为一些完全独立的检测规则。基于网络的入侵检测系 统通常使用报文的模式匹配或模式匹配序列来定义规则，检测时将监听到的报文 与模式匹配序列进行比较，根据比较的结果来判断是否有非正常的网络行为。入 侵行为能不能被检测出来，主要就是看该入侵行为的过程或其他关键特征能不能 映射到基于网络报文的匹配模式序列上去。有的入侵行为很容易映射，如a r p 欺骗， 但有的入侵行为很难映射的，如从网络上下载病毒。对于有的入侵行为即使理论 第2 章入侵检测系统 上可以进行映射，但是在实现上是不可行的，比如说有的网络行为需要经过非常 复杂的步骤或较长的过程才能表现其入侵特征，这样的行为由于具有非常庞大的 模式匹配序列，需要综合大量的数据报文来进行匹配，因而在实际上是不可行的。 而有的入侵行为由于需要进行多层协议分析或有较强的上下文关系，需要消耗大 量的处理能力来进行检测，因而在实现上也有很大的难度。 2 3 3 入侵响应 当分析出入侵行为或发现可疑现象后，系统需要采取各种手段，尽量将入侵 所造成的损失降低到最小程度。通常采用的手段是保存现场并迅速申请干预。一 般通过产生事件报警，e m a i l 或寻呼来通知系统管理员。系统管理员可以及时的通 过事件报告发现系统的安全弱点，改进系统策略以加强系统的安全性。这是非常 必要的入侵响应手段，可以提供管理员强有力的手段加强网络系统的管理。 2 4入侵检测的公共入侵检测框架 入侵检测框架c n 3 f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 是一个阐述了入 侵检测系统的通用模型，由s s t a m f o r d 等人提出。它将一个入侵检测系统分为事 件发生器、事件分析器、响应单元、事件数据库四个组件：。 c i d f 将入侵检测系统需要分析的数据统称为事件。它可以是网络中的数据包， 也可以是从系统日志等其它途径得到的信息。该框架对各部件之间的信息传递格 式、通信方法和a p i 进行了标准化。 事件发生器的目的是从整个计算环境中获得事件，并向系统的其它部分提供 此事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结 果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应，也可 以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可 以是复杂的数据库，也可以是简单的文本文件。 在现有的入侵检测系统中，经常用数据采集部分、分析部分和响应部分来分 别代替事件产生器、事件分析器和响应单元这些术语，且常用日志来简单的指代 事件数据库。 c i d f 最早由加州大学戴维斯分校安全实验室主持起草工作。1 9 9 9 年6 月，i d w c 也就入侵检测也出台了一系列草案。但是，这两个组织提出的草案或建议目前还 分布式入侵检测系统中移动a g e n t 的应用 处于逐步完善之中，尚未被采纳为广泛接受的国际标准。不过，它们仍是入侵检 测领城最有影响力的建议，成为标准只是时间问题。 2 5 基于a g e n t 的入侵检测系统 a g e n t 可定义为n ”：“在某种特定环境下，能连续、自主地完成某项工作的软 件实体。它能根据环境的变化，灵活、智能地做出反应，并且可能从经验中获得 学习。”a g e n t 有静态和动态之分，静态的a g e n t 总是固定在单一的平台上，它只能 访问本地数据，并将结果返回给用户，从而大大的降低网络通信量和更好地使用 网络资源。而可移动的a g e n t 能够在一个平台上挂起，并且移动到另一个平台上， 从而可以避免在网络中传输大量的数据a g e n t 的一个突出特点就是自治性，每个 a g e n t 有自己的执行线程，并是由操作系统来调度执行。 将a g e n t 技术用在入侵检测中，是一种新的入侵检测模式。分布式i d s 系统一 般采用多个a g e n t ，每个a g e n t 完成一项特定的功能，各a g e n t 问通过通信互相协作 来完成入侵检测。在i d s 中，每个a g e n t 可以在一个主机上完成一项专门的安全监 视功能。由- 干a g e n t 是独立运行的实体，因此可以在不改变其他部件且不需要重新 启动i d s 就能加入、删除和重新配置a g e n t ，也可以用一组a g e n t 来分别完成简单的 功能，彼此交换信息以得出更复杂的结果。因此，可以使用a g e n t 技术构造分布式 i d s 。 第3 章移动a g e n t 技术及其在i d s 中的应用 第3 章移动a g e n t 技术及其在l d s 中的应用 由于其在可扩展性和检测效率上的优势，多数分布式的入侵检测系统采用等 级制的分布式结构进行数据处理和分析。然而该结构在系统的响应速度、网络负 载及部件安全性上都存在一定的缺陷。a g e n t 技术的引入，尤其是移动a g e n t ，由 于其移动性、智能性以及受损后的自恢复能力，使得入侵检测系统从扩展性、响 应速度及其降低网络负载上都有很大的改善，然而，移动a g e n t 也存在一些缺陷， 比如安全性等。 本章首先探讨移动a g e n t 的关键技术，包括基本体系结构、迁移与定位机制、 多a g e n t 交互方式、k q m l 语言介绍、移动a g e n t 的安全机制等，然后着重介绍其在 i d s 中的应用。 3 1 移动a g e n t 的概念 移动a g e n t 是分布式处理技术发展的最新成果之一，它是分布式计算和人工智 能结合的产物。作为一种特殊的a g e n t ，移动a g e n t 除t a g e n t 的共同特性之外，还 具有移动性，它可可以为一个独立的计算程序自主地在分布于异构的网络上，按 照一定的规则移动，寻找合适的计算资源、信息资源或软件资源，并利用与这些 资源同处于一台主机或网络的优势，处理或使用这些资源，代表用户完成特定的 任务。典型的a g e n t 应当是一个硬件或软件系统，系统应具有如下特征“： ( 1 ) 自治性( a u t o n o m y ) ：a g e n t 的运行在没有与环境的相互作用或来自环境的命 令的情况下自主执行任务，并对自己的内部状态和动作有一定的控制权； ( 2 ) 社会性( s o c i a b i l i t y ) ：a g e n t 可以通过某种a g e n t 语言( 如k q 札) 与人或其他 移动a g e n t 相互作用和通讯，通过相互通讯，可以和其它a g e n t 进行有效地协同工 作。各a g e n t 之间能够分工合作，合理地划分任务，均衡负载，完成任务。 ( 3 ) 反应性( r e a c t i v i t y ) ：a g e n t 处于一个环境之中并且作为这个环境的一部 分，它根据掌握的知识，能够感测这个环境的变化，对环境的改变作出及时、合 理的反应。 ( 4 ) 预动性( p r o a c t i v e n e s s ) ：a g e n t 能够展现出一种面向目标的行为。 ( 5 ) 学习性：单个a g e n t 的学习是指其通过与外界的交互作用，获取所在工作环 分布式入侵检测系统中移动a g e n t 的应用 境的特性，从而调整自身的行为与之相适应，通常有两种类型的学习方式：一是 集中的独立式学习，二是分布的汇集式学习。 一般情况下，一个移动a g e n t 系统至少应该包含移动a g e n t 和移动a g e n t 平台两 部分。移动a g e n t 平台是移动a g e n t 与其所驻留计算机软硬件资源的接口，负责管 理移动a g e n t ，为移动a g e n t 的生命周期、通讯、迁移、安全提供服务；移动a g e n t 平台所在的计算机称为驻留节点。 3 2 移动a g e n t 技术 虽然目前不同移动a g e n t 系统的体系结构各不相同，但几乎所有的移动a g e n t 系统都包含移动a g e n t ( 简称m r ) 和移动a g e n t 服务设施( 简称m a e ) 两个部分。 m a e 负责为m a 建立安全、正确的运行环境，为m a 提供最基本的服务( 包括创建、 传输、执行) ，实施针对具体m a 的约束机制、容错策略、安全控制和通信机制等。 姒的移动性和问题求解能力很大程度上取决于姒e 所提供的服务，一般来讲，m a e 至少应包括以下基本服务： ( 1 ) 事务服务：实现移动a g e n t 的创建、移动、持久化和执行环境分配； ( 2 ) 事件服务：包含a g e n t 传输协议和a g e n t 通信协议，实现移动a g e n t 问的事件 传递； ( 3 ) 目录服务：提供移动a g e n t 的定位信息，形成路由选择； ( 4 ) 安全服务：提供安全的执行环境； ( 5 ) 应用服务：提供面向特定任务的服务接口。 通常情况下，一个m a e 只位于网络中的一台主机上，但如果主机间是以高速网 络进行互连的话，一个m a e 也可以跨越多台主机而不影响整个系统的运行效率。m a e 利用a g e n t 传输协议( a g e n tt r a n s f e rp r o t o c o l ，a t p ) 实现m a 在主机间的移动，并 为其分配执行环境和服务接口。m a 在姒e 中执行，通过a g e n t 通讯语言( a g e n t c o m m u n i c a t i o nl a n g u a g e ，a c l ) 相互通信并访问m a e 提供的各种服务。 在移动a g e n t 系统的体系结构中，m a 可以细分为用户a g e n t ( u s e ra g e n t ，u a ) 和服务a g e n t ( s e r v e ra g e n t ，s a ) 。u a 可以从一个m a e 移动到另一个m a e ，它在m a e 中执行，并通过a c l 与其它m a 通信或访问m a e 提供的服务。u a 的主要作用是完成用 户委托的任务，它需要实现移动语义、安全控制、与外界的通信等功能。s a 不具 第3 章移动a g e n t 技术及其在i d s 中的应用 有移动能力，其主要功能是向本地的m a 或来访的m a 提供服务，一个m a e 上通常驻有 多个s a ，分别提供不同的服务。由于s a 是能不移动的，并且只能由它所在m a e 的管 理员启动和管理，这就保证了s a 不会是“恶意的”。u a 不能直接访问系统资源， 只能通过s a 提供的