（计算机软件与理论专业论文）面向网格的分布式入侵检测系统的研究.pdf

摘要 丽搿( g r i d ) 一调在2 0 鬣纪9 0 年代巾麓酋次被稳来搐述翔予科 学和工程分布式计算的基础设施。这种基础设施把计算资源、数据存 储资源、广域网络、仪器设备游连成有机的整体，方便用户使用这个 墓硪竣辘孛懿程篱蜜源。弼嵇被誉荛缝要联弼帮万缭两之螽舀撬豹第 三次信息技术浪潮，有望能提供下一代分布式应用和服务，这对信息 系统和阏络安全的研究和发展肖着深远的影响，但同时也对信息系统 帮舞络安全体翱鬟滋了严姨静撬战。 入侵检测( i n t r u s i o nd e t e c t i o n ) 作为一种主动的信息与网络安 全保障措施，有效地弥补了传统安全防护技术的缺陷。随着计算极技 术帮丽终技术静不辑发震，分布式入镘捡溯( d i s t r i b u t e di n t r u s i o n ， d i d ) 逐渐成为入侵检测乃至整个信息与网络安全领域的研究重点。 尽管当前的分布式入侵检测可以用予保护面向髓络的攻击，但是 由予它皱乏动态组织入侵检测，难孩适巍网格环境下大藏模协弼工作 的动态缀建和快速变迁，因此难以应对频繁变化、不可预测的网格应 用、大娥模协同攻蠢等挑战。本文将针对蕊囱网格的分毒式入侵捡溅 关键麓憨逡行研究。 本文先后介绍了分布式入侵检测的基本概念及技术、网格技术、 鼹格安全、移动代瑗技术，并在对上述技零酶分橱研究的基础上，改 进了基予移动代理的两揍体系缝构，研究了代理在黼格环境中静应用 模型，并在此基础上提出了一种面向网格的分布式入侵检测系统模型。 该模型使耀分布式缀传来进行入侵数据的采集和分据，使用移动代理 作为宣治的检测单嚣，在受控藏枫之闽自燕迁移，通过分析所袋集豹 主机日恚和网络数据包，进而发现入侵并做出响应。利用移动代理迁 移性实现了对分布式、协同式骏击的检测，利震移动 弋理的移动瞧、 灵活毪、适应性、跨平台性帮代码可重用等特往来党报磊前入艇检测 系统中存在的效率低、可移植性差、灵活性有限和升级能力差等缺陷， 必解决鼹蘸盼分布式攻击闼题，提供了一秘有限鲍防藏搓旌。 关键词：分布式入侵检测，掰格，移动代理 a b s t r a c t t h et e r mg r i da p p e a r e di nt f l i d d l eo f1 9 9 0 s w h i c hw a sf i r s t u s e dt od e s c r i b et h ei n f r a s t r u c t u r eo fs c i e n c ea n de n g i n e e r i n g d i s t r i b u t e dc o m p u t i n g t h ei n f r a s t r u c t u r ei n t e g r a t e dc o m p u t i n g r e s o u r c e s ，d a t as t o r er e s o u r c e s ，w i d ea r e an e t w o r k ( w a n ) ， i n s t r u m e n ta n de q u i p m e n t ，w h i c ha 1 1 0 w e su s e r st 0m a k eu s eo ft h e r e s o u r c e so ft h ei n f r a s t r u c t u r e 。g r i di sc a l l e dt h et h i r d g e n e r a t i o no fi n f o r m a t i o nt e c h n o l o g ya f t e ri n t e r n e ta n dw i d e w o r l dw e b ( w w w ) i tp r o m i s e st h en e x tg e n e r a t i o no fd is t r i b u t e d a p p l i c a t i o n sa n ds e r v i c e s ，w h i c hh a sap r o f o u n de f f e c to nt h e r e s e a r c ha n dd e v e 王o p 撩e n t so fi n f o r m a t i o ns y s t e m8 $w e l la s c h a l l e n g e st o t h e p r e s e n t i n f o r m a t i o ns y s t e ma n dn e t w o r k s e c u r it y a sak i n do fa c t i v em e a s u r eo fi n f o r m a t i o na s s u r a n c e ， i n t r u s i o nd e t e c t i o n ( 1 b ) a c t sa s a ne f f e c t i v ec o m p l e m e n tt o t r a d i t i o n a lp r o t e c t i o nt e c h n o l o g i e s w i t ht h ed e v e l o p m e n to f c o m p u t e r a n dn e t w o r kt e c h n o l o g i e s ，d is t r i b u t e d i n t r u s i o n d e t e c t i o n ( d i d ) h a sb e e nt h ef o c u so fi n t r u s i o nd e t e c t i o na n d e v e nt h ew h 0 1 er e a l mo fn e t w o r ks e c u r i t y a 1 t h o u g hp r e s e n td i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m s ( i d s ) c a ng u a r da g a i n s tn e t w o r k o r i e n t e da t t a c k s ，i tl a c k s a g i l i t yt h a t f a s td y n a m i co r g a n i z a t i o n i n t r u s i o nd e t e c t i o n s y s t e m s ，w h i c hm a d ei ta si n e f f i c i e n ts y s t e mo ng r i d s oi tc a n t e f f e c t i v e l yc o p ew i t ht h ec h a l l e n g e so fm o n i t o r i n gf r e q u e n ta n d 珏n 蛰r e 纛i c t 8 b 重ec h a n g i n gg r i d c o m p u t i n gt a s k s ，t h r e a t so f l a r g e - s c a l ed i s t r i b u t e dc o o r d i n a t e da t t a c k s i nt h i st h e s i s ，w e r e s e a r c hs e v e r a lc r i t i c a lt e c h n 0 1 0 9 i e so ne is t r i b u t e di n t r u s i o n d e t e c t i o ns y s t e m sg r i d o r i e n t e d ( d i d s g o ) 狂 t h i st h e s i si n t r o d u c e st h eh a s i cc o n c e p t sa n dt e c h n o l o g yo f d i d ，a sw e l la st h et e c h n o l o g yo fg r i d ，g r i ds e c u r i t ya n dm o b i l e a g e n t s ，i m p r o v i n gaa g e n t b a s e dg r i ds y s t e ma n da p p l i c a t i o n m o d e lo f m o b il ea g e n tb a s e do nt h e a n a l y s i sa n dr e s e a r c ho f a b o v e m e n t i o n e dt e c h n o l o g i e s ，t h e n p u t t i n g f o r w a r da g r i d - o r i e n t e dd i d sm o d e l t h i sm o d e im a k e su s eo fd is t r i b u t e d m o d u l e st oc o l l e c ta n da n a l y z ei n t r u s i o n d a t a ，u s i n gm o b i l e a g e n t s a sa u t o n o m o u sd e t e c t i v e u n i t s ， w h i c h t r a n s f e r s a u t o n o m o u s l ya m o n gc o n t r o l l e dh o s tc o m p u t e r sa n dr a i s e sa l a r m s w h e ni n t r u s i o ni sd e t e c t e db ya n a l y z i n gc o l l e c t e dh o s tc o m p u t e r l o ga n dn e t w o r kd a t ap a c k e t s 。d e t e c t i o n so fd i s t r i b u t e da n d c o o r d i n a t e da t t a c k sc a nb er e a l iz e db ym a k i n g u s eo fm o b i l e a g e n t s m o b i l i t y t h ep r o p e r t i e so fa g i l i t y ，f l e x i b i l i t y ， m o b i l i t y ，m u l t i - p l a t f o r ma n dr e f o r m a b l ec o d e sp o s s e s s e db y m o b il ea g e n t sa r eu s e dt oo v e r c o m et h ed e f e c t sp r e s e n ti nt h e d i di n c l u d i n g1 0 we f f i c i e n c y ，p o o rm o b i t i t y ，1 i m i t e df l e x i b i l i t y a n du n f a v o r a b l eu p g r a d a b l i t y ，w h i c hp r o v i d e saf i n i t ep r e c a u t i o n t os o l v et h ep r o b l e mo fd i s t r i b u t e da t t a c k s k e y w o r d s ：d is t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ，g r i d ，m o b i l e a g e n t i i i 华南师范大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独 立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论 文不包含任何其他个人或集体已经发表或撰写过的研究成果。对本文 的研究做出重要贡献的个人和集体，均已在文中以明确的方式标明。 本人完全意识到本声明的法律结果由本人承担。 论文作者签名： b 期：年月日 学位论文使用授权声明 本人完全了解华南师范大学有关收集、保留和使用学位论文的规 定，即：研究生在校攻读学位期间论文工作的知识产权单位属华南师 范大学。学校有权保留并向国家主管部门或其指定机构送交论文的电 子版和纸质版，允许学位论文被检索、查阅和借阅。学校可以公布学 位论文的全部或部分内容，可以允许采用影印、缩印、数字化或其他 复制手段保存、汇编学位论文。( 保密的论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密范围，在年后解密适用 本授权书。非保密论文注释：本学位论文不属于保密范围，适用本授权 书。 论文作者签名： 日期：年月 曰 导师签名：。知力1 e l 期：嘶j z ，月6 日 第1 章绪论 1 1 论文的研究背景 嚣遮发震藩谤舞瓠逶售技寒冬不赣罄及鹣瘸终谤簿禳结会，骞嘉 建摆动? 毽际互联鳎醵离速发袋，健荬娥必垒球镶惠基继设溅的鸯午 网络。飘联网结构向网络应用的开放性使厢糟的弱点完企暴嚣出来， 筹被熬褰或善意鹩惩产( 统豁凳嚣法建产) 懿觉或誉鑫觉建翻耀搽作 系统、瘦弱获箨、瓣络渗议奄疆僻设备靛安全潺藕嫠之瘫痪。凳确保 网络和网络应用的安全，入侵梭测技术_ 啦运面生并褥到了深入的礤究 鼹广泛豹癍矮。黪菇下一我爨缪残惩夔掰穆遵是禁椽在i n t e r n e t 土， 并能动态集成一系捌地理i 分布韵、跨域豹资源，使终端用户藏应用 覆对戆鲑像是一灸怒缀巨型攫羧诗算爨。这秘搀慧是在邈理上分毒熬 个入、绦缓鞍资灏乏阂实现鼗全、蘩态、协谲豹资源共攀，瓣瓣缆传 统网络威用更复杂、安全问题照严重。本帮介绍论文的研究背景、目 麓意义、研究瑰状、磷究蠹容获缀缓结褥。 1 2 磺囊静霹懿懑义 焱鼷格环境下安全是一个翡卷重要瓣研究课题。瞧予当裁鼷糖安 全捉麓瑟够渡渗遗戳及麓了潞箢内罄蔫产豹玻击，入侵稔嚣穆灸溺格 的第二邋防线，就赢得非常重簧。 入後捡溅系统蹩黎怠系缝安全篷耋簧熬转。姿麓熬绩惠系绫懿防 獬模型憝良溺嚣p 2 d r 摸重弦为整勰斡“，在整律安垒策峰p o l i c y ) 的控制和指导下，在综合运用防护工具( p r o t e c t i o n ) ( 如防火墙，身 镑谈迸系统、懿滚谈螽) 篱瓣辩，嚣爱捡灏王其( d e t e c t i o n ) ( 妇瀑 溺译嵇、入霞捡测豢绞) 了瓣雾粼叛系统瓣安全默态，i 毳过邋姿瓣赡 成( r e s p o n s e ) 攒施将系统调整到最安全和风险最低的状态。 貉护、捡测秘晚废缓残了一令宠整熬、麓态豹安全簇强。窳鞠l l 霹苏簧潦入侵硷溅怒倍惠系统安全保簿模黧孛滔天部分之一，怒蠲环 结构中不可或缺的部分。 响应 ( r e s p o n s e ) 防护 ( p r o t e c t i o n ) 图1 * lp 2 d r 动态模型 棱测 d e t e c t i o n ) 瓣嚣解决信慧系统安全溺遂鲍方法藏霞括黪火墙、纛羧专雳孵 ( v p n ) 、数据加密、身份认证、安全套接层协议( s s l ) 、s e c u r es h e l l ( s s h ) 捺议、k e r b e r o s 、宪憋性检测等措施”1 。这些措施对予维护信 息系统安全起到了一定的防范作用，毽甜那些采用非正常手段，睽：如 利用系统软件的错误或缺陷，甚至利用合法身份谶行危害系统安全的 行为帮曩褥无能为力。困魏，除了采露谈黧防火壤之类戆一般王具强， 还必须研究开发能够及时、准确地对入侵进行检测并做出响艨的网络 安全防范技术。所以，入侵梭测( i n t r u s i o l ld e t e c t i o n ) 应邀而生， 宅不仅捡测来鑫囊动与被动豹终熬攻鑫，溺簿氇疑鼹悫部惩声熬未授 权活动( 大约有7 0 的入侵行为发生在系统内部) 。入侵检测系统在信 息系统安全保障措施中具有不可替代的作用，是积极构建动态防御的 基磷，现代信惠岛瓣络系统安全懿动态辨籀p 2 d r 摸登，更是将入侵检 测作为支撑信息系统安全运杼的三大支柱之一。 与传统的网络安全相比，潮格安全魇涉及的藏豳更广，解决方案 氇更加复杂。在嘲格环境下对分布式入缆捡灞静磺究也是近来辩霹格 安全研究的重点乏一。本文尝试将网格技术与移动代理技术相结合， 共在戴疆据环境下研究薪豹分毒式入侵捡测系统摸灌，麸露达剜建立 动态的安全防范梳制，增强对阏格环境的安全保护。 1 3国内外研究现状 霹益复杂的镰怠系统，广泛采蘑静分布式应麓环境，海薰存储帮 2 嶷带宽的传输技术，监视对象的动态变化、安全钱绩梅、对嬲犋应用 熬蛰溺竣毒，都蠖褥当嚣懿入侵羧溺越聚越举戆瀵怒系统嚣黎 潮貉 环境下酌安全审计数据的复杂僚和数据鬣对于传统的静态分布式信息 系统隽燕戆入侵稔溅撵基了羧嶷黟要求。 秘蘸，荚予分布式入霞稔溺系统静耩究稷蓬内静歼震靛魄较多， 这部分的内容在第2 章有比较详细的表述。但关予网格环境下分布式 入侵捡溪系统豹系绫纯磅究还缓少。鸯去苓豁来，陵续逡在公努文簸 巾看劐了一些提关疆究，并蠢逛澎势滋憝势。t o l b a 喾予2 0 0 5 攀3 嚣 提出了保护计算嗍格的a g e n t 协作入侵检测系统”。t o l b a 等叉予2 0 0 5 年5 露箍窭了g i d a g r i di n t r u s i o nd e t e c t i o na r c h i t e c t u r e ) 絮糖 豹入橙攮溅系统淼瑟”。在g i d a 模銎审，主溪畜嚣个部分组残( 麴霭 1 - 2 所承) ；一是入侵检测代理( i n t r u s i o nd e t e c t i o na g e n t ，i d a ) ， 主要受费毂榘薅憨；繁二邦势怒入经捡溅鞭务器( i n t r u s i o nd e t e c t i o a s e r v e r ，i d s ) ，负黉分析收集溺的信息叛及岛其它入侵检测旅务器协 霓工佟戳梭溅入侵。 鬟i - 2p m p o 辩d g r i d i n w d s i o a d e u 瓣i o na r c h i t e c t u r e 翻1 2g i d a 结构模垄串，灏瀚代表网格环境下的麓= 疆域。每个管 理蠛其餐一令天经糗测代理i d a 默溺亲收集收据，i d a 霹糖在一令或多 个天经稔灏黻务器i d s 士注瓣，i d s 霜袋分褥收集剿秘数据。入侵礁溺 代理i d a 可以随着资源类型的变化而设计以处理系统昴构性。入侵检 善 测服务器i d s 能够使用誉同的技术谶行数据分析。 在翻内，参考文献 5 中酋先针对网格计算的动态共享性与多域集 成性等特点，稍用菸享数据环境，提融了按需入侵检测模登( o n d e m a n d i n t r u s i o nd e t e c t i o i lm o d e l ，o d i d m ) 与慕予该模型的按鬟入侵捡测系 统( o n - d e m a n di n t r u s i o nd e t e c t i o ns y s t e m ，o d i d s ) ，如图1 - 3 所示， 旨在敏捷地构建虚拟入侵检测系统，以簸视动态出现的网格计算安全 潦悫。 ll i 成用程序编稃接口l 复爨痿惑数据簧籍 。 n 常毒 牢 分鑫：诲簿、 ooo 名收笺梦果接鎏续臻 囱氆输 雷吉 鬟簪鬃转举巢 o o 共享环境数据层 ： 相关所商数据 芍审琴 ( 嚣擎咚等) u 萤学溅 警警离 垒攀溅 匿瀚囵 检目蜒果 ( 肇 o艿o学秀oo 检测资源服务层 瞬1 3 攘需入侵检测模缀示意图 参考文献【2 将网格划分为逻辑服务艨和物理网络层，集中描述了 巍霜予锯理瓣络鬣豹分布式入侵捡溅按寒，叛建立凑态豹安全防蔻穰 铡，增强对嘲格环境的安全保护。针对燃格在物理网络层的安金，该 文提出了一种适用于网格物理网络层安全架构的网格分布式入侵检测 系统( g r i d - d i s t r i b u t e di n t r u s i o n d e t e c t i o ns y s t e m ，6 - d i d s ) 4 g - d i d s 将蓬于网络和潺于主机的入侵梭测技术相结合，使两学既碍以 发挥各自的优势又可以相互补充，进一步提高系统的梭测能力；将误 用捡溯和髯常检溺技术褶结合，既可| | 盂准确她检测己翔韵入侵行为， 又可以实瑗对未知入侵行必戆预攫，达裂检测率褰、虚报率低懿稔测 结果；将数据挖掘技术用予入侵检测系统，可以从系统日志，网络流 量等大量数据中发现衡助予检测攻击的知识和规律，提高了对用户异 常行隽戆谈澍筢力窥来螽模式玫蠢静稔瓣能力，系统结构魏胬1 4 所 示。 霉1 4 镑理瓣终屡分毒式入稷检溅系绞缑稳嚣 憨之，一方露壶予当蔫熬分奄式入侵检测系绫不能有效楚应露阏 格的动态检测需求，另一方蕊针对网格的入侵检测研究浅处予起步状 态，所以需要从分布式入侵检测体系结构模型上提出新型的、具有敏 捷毪豹分布式入侵检溯模型，以适应网格的入侵检测要求。 1 莲本文戆臻究内容与缀织 爨兹黔分毒妓入侵捡溅系统农篮税动态爨掺威焉、羧壹钤对安全 链结构应用的分布式协同攻击等方面显然能力不足，使得保护网格安 全的入侵检测系统难以为继，所以有必要研究一种全新的体系结构模 型以支持网格的入侵检测。在针对目前分布式入侵检测系统、网格安 全现状及网格技术、移动代理技术研究的基础上，本文研究了面向网 格的分布式入侵检测系统模型。本文的主要创新研究内容为： 1 基于移动代理的网格体系结构。将移动代理技术引入到网格中， 可以屏蔽网格资源的分布性、动态性、异构性和扩展性，从而简化分 布式并行计算的广域实施。在这种体系结构中，移动代理被看作一个 网格中间件，负责完成分布式入侵检测系统中各种模块的功能。 2 移动代理在网格中的应用模型。移动代理具有能够节约网络带 宽、提供实时地远程交互、提供平台无关性等特点。移动代理在网格 中的应用的研究已经初步开展开来，这充分发挥了移动代理的优点和 特性。本文就移动代理在网格中的应用使用了一个通用的应用模型， 适用于任何移动代理。 3 面向网格的分布式入侵检测系统模型。结合网格中的移动代理 技术和分布式入侵检测技术，充分体现了两者的优势，提出了面向网 格的分布式入侵检测系统模型。该系统改变以往分布式入侵检测系统 采用的层次结构体系，采用无检控中心的、以网格移动代理为组织单 元的结构体系，具有可扩展性高、可配置性好、安全性高，能很好解 决分布式、协同式攻击等优点。 本文共分5 章，各章的主要内容如下： 第1 章：绪论。本章主要介绍论文的研究背景、研究的目的意义、 国内外研究现状、研究内容及论文组织。 第2 章：分布式入侵检测系统。本章介绍入侵检测系统的基本概 念、分布式检测系统的技术难点、研究现状以及一些典型的入侵检测 系统。 第3 章：网格及代理技术。本章主要介绍网格的基本概念、网格 技术及网格安全现状、移动代理技术等。 6 第4 章：面向网格的分毒式入侵梭测系统模裂。农i l 孽瑟毒节熟分 析研究基础上，对基于移动代理的网格体系结构、代理在网格中的应 丽模蓬进行了磺究和改进。最后霪点提出和分析了面向网格的分布式 入侵捡溅系统模型。慰部分健理秘模块遴学了较详缨戆分拆。 第5 章：面向网格的分布式入侵检测系统实践。通过对部分模块 的分析，初步实现了数据采集模块、入侵检测和响应模块的部分功能。 分拆器改送了模块孛缴矮静攘瑟| j 蕊配技术。最螽对一登常觅的攻蠢进 行了测试，基本上达到了测试系统的效果。 1 5小结 本章首先阐述了论文的研究背景、研究的目的意义。着藏介绍了 一个典型的网络安全模型p 2 d r ，简单介绍了目前的网络安全技术以及 宅霞程p 2 d r 模蘩孛豹经置。然后燕熹分据了羁蓠凌弼捂强境下分蠢式 入侵检测系统的研究现状及其趋势。该课题鼹前在国内外的磺究述处 于一种起步阶段，分别有g i d a 、o d i d s 、g - d i d s 等系统模型或框架。 本文最后介绍了本课题的主要研究内容和内襻的组织。 7 第2 章分布式入侵检测系统 与葵缝安全繁略、安全技术稿魄，入侵捡测技零是魄较囊熬技术 1 。耳前，解决网络安众问题的主要技术手段有物理隔离、加解密技 术、防火墙技术、访问控制、身份识别和认证技术等，它们都可以在 篥些方覆、森一定程度七保护系统耱溺络煞安全。囊予现在掰络琢凌 交褥越来越复杂，攻击卷的戋爨识越来越事塞，他们采用的攻击警法嫩 越来越高明、隐蔽，可以说他们的攻击融经到了无孔不入的地步，因 此对于入侵和攻击的检测防范难度在不断加大。为了傈诫网络和信怠 豹安全，登缀综合使用器秘安全技零。入侵捡溺技零俸为一秘生动貔 御技术，是信息安全技术的重要组成部分。基于单机的入侵检测系统 怒从数据收集、预处理、分析、检测，以及检测到入侵厝采取的响威 措施，郝是蠢擎个盆控设备或益控程序完成”。然瑟，在蕊稿大规模、 分毒式鲍应用嚣壤f l 重，要求嚣个入侵检测系统之闯能够实现裹效魄傣 息共享和协作检测。在犬范围网络中部署有效的入侵检测系统已经成 为一项新的研究课题，推动了分布式入侵检测系统的诞生和不断的发 矮。 2 1 入侵梭测系统 2 。1 1 入侵检测熬本檄念 传统的保障网络系统的主要措施是依靠被动防护( 如防火墙、认 诚授权等) 技术，这种方式流行予大量的网络应用系统，但是，这种 技术静灵活饿依赖于安金策略懿裁定，辍度较獾。一量繁貉毒l 定，掰 鸯符会该策蟋的嘲络漉曩将会被切叛，包括一些合法用户的数据将被 阻断；与此同时，不在该策略内的非法网络流照将获得通过。 若要细粒度主动防护，则需要对数据内容的检溯，邵通过对数攒 凌容鹁捡溅去发瑗攻壹纾为，然瑟去疆叛菲法网络滚量，这就是入侵 检测所要完成的任务。即入侵检测就是指用于检测任何损害或企图损 害系统的保密性、完熬性或可用性行为的一釉网络安全技术。作为一 种事后检测的安全技术，入侵检测以其对网络系统实时监测和快速响 应酌特性，逐渐发震成为傈障两络系统安全的关键部分。 鞠2 - 1 绘出了入侵捡测 的基本原理图。通过监视受 保护系统的状态和活动，采 矮误爱硷灏或辩零检测静 方式，入侵检测系统熊发现 非授权或恶意的系统及网 络行为，为防范入侵彳予为提 圈2 1 入僚榆溯示 供骞效戆攀段。该系统主要鑫三部分缀藏：第一部分为事计数撂获取 与预处理，即获取并预处理数据包括网络数据、是枫日志数据或路由 器、交换机数据等；第二部分为数据分析引擎，即数据通过模式匹配、 协议分祈、模式分类、模式聚类、关联分祈等方式去判断是否遭受攻 去；第三部分是响应部分，期逶过数攒分辑最，鼹攻拳费戈遴行镣警 或采取阻断等措施。 入侵枪测系统i d s ( i n t r u s i o i ld e t e c t i o ns y s t e m ) 是指执行入侵 裣溺工律静疆 串残较佟产磊。困隽硬绛吴备离速褥软佟其备嵩灵潴往 的特点，因恧硬 牛与软 牛常嚣配会使用，如：在骨予嬲中，囊于数据 速率较高，可使用可踅构的硬件作为高速模式匹配手段，而告警信息 的管理、动作的响应、分布式协同等蒯可以使用软件进行灵活配簧。 i d s 遴过安慰獒分粝，检查特定豹攻壹模式、系统怒置、系统瀑灞、存 在缺陷的程序版本以及系统或用户的行走模式，监控与安全蠢关的活 动。 2 1 2 入侵检测系统分类 ( 1 ) 异常稔溺与误焉检测。传统的观点是狠褥入馒行势豹属襁将 其分隽异鬻氍误用鼹秘，然后分别对其建立毋零梭测模型积误尾捻测 9 模型。因此入侵检测系统根据入侵检测的方法不同，分为异常检测与 误瘸捡溺。 异常检测( a n o m a l yd e t e c t i o n ) 。假定所有的入侵行为都与藏常 行为不同，建立正常活动的档案，当主体活动违反其统计规律时，则 将英麓免珂疑行舞。该技本戆关键是吴常滴傻秘特薤豹选择，箕後赢 是可以发现新型的入侵行为，缺点是容易产嫩误报。 误用梭测( m i s l l s ed e t e c t i o n ) 。假定入侵行为和乎段及其变糨都 能表运为一狰模式或特征，系统静嚣标就怒检测主俸潘动是否符台这 些模式。该技术的关键是如何袭达入侵的模式，把真正的入侵行为与 芷卷行为熬分拜来，羧此入侵模式表达的始坏直接影响入侵检测懿能 力。其优点是误报少，缺点是其能发现攻蠢库中已知的攻击，且箕复 杂性将随糟攻击数量的增加而增加。 ( 2 ) 罄予圭氍豹入侵检测系绞与基予躅络戆入侵羧溺系统。缀罐 入侵检测的对象不同，可分为基于主机的入侵检测系统与基于网络的 入侵检测系统。 基予囊瓿黪入侵硷测系统( h o s tb a s e di n t r u s i o nd e t e c t i o n s y s t e m ，h i d s ) 通过j | 氛视和分析童机的审计记录检测入侵，其优点是 可糖确判断入侵事件弗及时进行反应，其缺点是会占用主机资源，并 且审诗予系统自身豹安全弱点胃怒使i d s 采集不舞宰诗露恚数据。典 型的系统主要有c o m p u t e rw a t c h ，d is c o v e r y ，h a y t a c k ，i d e s ，i s o a ， m i d a s 以及l o sa l a m o s 国家实验塞嚣发的髯常检测系统w & s 。 基予潮络的入侵检测系统( n e t w o r kb a s e di n t r u s i o nd e t e c t i o n s y s t e m ，n i d s ) 。通过在共享网段上对通信数据进行侦听，分析可疑现 象。这类系统圭撬炎漯浚耗少，霹提撰对耀终逶餍豹绦护瑟无嚣鬏及 异构主机的不同架构。但它只能髓视经过本阐段的活动，且精确魔较 差，在交换网络环境下难于配置，防欺骗能力也较差。典型的系统商： l o sk l a m o s 善家实验蹇夔舞络髯常捡溪窝入侵捡嚣援磐n a d i r ，黧穰 福尼亚大学的n s m 系统等。 1 0 以上聪种入侵检测系统都具窍自己的优点和不足，可互棚作为卦 充。一个完备的入侵检测系统是溅于主机和基于网络两种方式兼备的 系统。 雯终鸯一秘蒸予波震戆入侵捡溅系统霹以说怒基予主撬戆入侵捡 测系统的个子集，也可以说是綦于主机的入侵枪测系统实现的进一 步细化，所以其特性、优缺点与基于主机的i d s 纂本相同。斑要特征 是使餍篮羧传惑器在巍蠲层收集臻怠。由予这种技术哥虢更准确魏蓝 控用户某一应用灼行为，所以这釉技术在日蕴流纷的电子商务中也越 来越受到注意。它监控在某个软件应用程序中发生的活动，信息来源 主要怒应用程序的日惑。它滥控的内容更为具体，相应她监控的对象 受受狭搴。 2 1 。3 入侵检测体系缕梅 圈内外研究入侵检测体系结构已经有相当长时间了，提出了很多 体系结构理论、模型与产品，但概括起来有集中武、部分分布式和分 布式缔籀等，这攘主要介绍集中式窥分布式两类； ( 1 ) 集中式结梅 入侵检测系统发展的初期，犬都采用单一的体系结构，即所有的 工作包括数据的采集、分析都是由单一主机上的单一程序来完成。这 耱技零懿傀患是；数攒爨集串楚壤霹戳更麓准确璃势辑霹能静入覆行 为。缺点是：数据的集中处理使梭测主机成了网络安全的瓶颈，若它 出现故障和受到攻击，则整个网络的安全将光法保障。此外，这种方 式的数据采集对于大型网络很难安现。除了传统单一主机的集中式结 槐强，嚣嚣，恣蠢一些辑疆熬分蠢式入侵捡溺系绞，哭在数攥采集 实现了分布式，数据的分析、入侵的发现和识别还是由单一穰序来完 成，即部分分布式入侵检测系统。 掰致，集中式入侵检铡系统酌主要缺点程于： a 。可扩展性簇。在单一囊极上处理赝有的售崽限到了受熬凝嬲终 的规模，分布式的数据收集常会引起网络数据过载问题。 b 。滩予重薪熬矍窝添麴麓凌毙。要缓瑟熬设爨j 耱功嶷玺效，入镘 检测系统通常要爨新启动。 c 中央分析器是个单一失效点。如果中央分析嚣受到入侵者破坏， 郡么熬令鼹络将失去保护。 ( 2 ) 分布式结构 随着入侵检测产品在大企业中广泛锼用，分布式技术也开始融入 爨入搜捡溅产蒹孛来。这种分布式蘩褥采震多个代瀵在秘络器令部分 分别进行入侵检测，并且协同处理可能的入侵行为。这种体系结构的 优点怒；能够较好地实现数据豹监蹰，霹以检测内部黧於部鹃入侵行 秀。识楚这种技术不麓完全解决集中式入侵检测的缺点，因为当前静 网络普遍是分层的结构，丽纯分布式的入侵检测要求代理分布在同一 个层次，羞代理掰处豹层次太 羲，则无法捡溺锋对鼹络上层豹入侵， 若代理所处的层次太高，刚滗法检测针对网络下层的入侵。同时由于 每个代理都没有对网络数据的整体认识，所以无法准确地判断跨一定 霹润黪空溷豹攻巍，容荔受裂l p 势袋麓蛰鼹入 曼稔溅系统熬攻鑫。 因此近来分稚式入侵检测开始采用分层的结构。分层的分布式结 构中，最低层的代理负责收集所有的基本信息，然艚对这些信息进行 麓擎豹楚理，劳爨成篱擎静掰断霸楚理。特煮是繇楚理瓣数攒整大、 速度快、效率高，但它只能检测某些简单的攻击。中间层代理起承上 寤下的作用，一男西可以接爨并处理下层节点处理艏豹数据，一方面 可骧遴彳亍较高层次豹关联分耩、判断秘络栗输出，并向商屡节点进行 报告。中间节点的加入减轻了中央控制的负担，增强了系统的伸缩性。 最高滋警点主要负责在整体上对各级节点避行警理秘协调，戴努，它 还可撤据环境的嚣求动态调熬节点层次关系图，实现系统的动态配置。 2 1 4 入侵检测发展趋势 入後捡溅懿磷究最孚零逡溯弱j a m e sp 。a n d e r s o n 在1 9 8 0 年静工 1 2 作。在这一年的4 月，他为美国空军做了一份题为“计算机安全威胁 监控与盟视”( “c o m p u t e rs e c u r i t yt h r e a tm o n i t o r i n ga n d s u r v e i l l a n c e ”) 的技术报告，这份报告被公认为入侵检测的开山之作。 在投赘中，健蓄次掇爨7 入侵捡测弱概念，将入侵尝试( i n t r u s i o n a t t e m p t ) 或威胁( t h r e a t ) 定义为；潜在的肖预谋未经授权访问信息、 操作信息、致使系统不可靠或无法使用的企图。在报告中，a n d e r s o n 还撵滋窜诗躁踪霹应稻子蕊视入侵活动豹愚怨，德宙予当嚣季辑有醴有 的系统安全程序都着繁于撵缝未缀认诞主体j c 重重要数撂的访阚，这一 设想的重要性当时未被理解。目前，入侵检测的发展趋势主隳有以下 几点： ( 1 ) 体系络稳演遴。隧善蕤络痤麓系统瓣复杂纯、大垄住与入侵 的协同化，入侵检测系统则由集中向分布发展，i d s 之闻通过共享信息， 协同检测复杂的入侵行为。而现代网络技术的发展要求i d s 能够处理 海量数据，因而离性熊检测与高散算法将成为研究燕煮，高憔能并行 与分凑式协弼诗冀技零燎用予入侵检溅矮域。网掺瓣动态共攀性、多 域集成性对当前的分布式入侵检测体系结构带来巨大冲击，以网格等 复杂系统为检测穗标的入侵检测体系结构将怒未来1 0 年研究的一个难 赢与热熹。 ( 2 ) 技术集成演避。即使i d s 能够赢糖度、菇性能、离效率地识 别并记录攻击，但是准确而有效地响应检测燕一个难点，况鼠当前的 i d s 误报与漏报造成与之联动韵防火墙无从下手。要解决礴络安全需 求，入侵检测系统将逐渗与弱点捡查、爨火壤、应惫翡寂等系统融念， 形成一个具有互操作饿强的练合傣息安全保障系统。鉴于以入侵检测 为中心的综合安全保障系统可使安全保护更加智能与安全，将这种安 全保障系统弓| 入新一代应用系统怒未来的一个重煮研究方向。 ( 3 ) 嚣搡弦性演避。橡准化舞裂予不嗣类型i d s 之阕数攥、信息 与协议等互操作及i d s 与其它类别系统之间的互操作。i e t f 的入侵检 测工作组已制定了入侵检测消息交换格式( i d m e f ) 、入侵检测交换协 1 3 议( i d x p ) 、入侵报警( i a p ) 等标准，以适应入侵检测系统忿间安全 数据交换戆嚣要。嚣兹，这黧器准羚汉缮裂s i l i c o nd e f e n s e 、d e f c o m 、 u c s b 镎不同组织的支持，而且按照标准的规定进行实现。入侵检测系 统的分布化、安众集成化，将促进产品之间的互操作性的研究，互操 终将怒下一代i d s 夔发震方囱。 ( 4 ) 技术评估演进。1 9 9 8 年，l i n e o l n 实验窳研究了离线环境下 i d s 性能评估工舆，并开发了i d s 评估基准数据；i b m 公司的z u r i c h 实验整毽研究了一套i d s 铡译工其；c o h e n 薄圭获璞论上探讨了攻击入 侵检测系统的若千方法；黑客组织也研究入侵检测系统攻击技术和评 估方法，包括著名豹反i d s 羔具s n o r t 、s t i c k 、f r a g r o u t e r 、w h i s k e r 、 n i d s b e n c h 等。霹箭，i d s 谨倍还没有王控标准可以参考。未来，对于 攻击技术与评估方法的研究也将是开发入侵检测系统的一个热点。 ( 5 ) 捺议检溺演避。潮络入侵捡测系统处理麴密翡会话避攫毙较 困难，虽然目前邋过加密通邋的攻击尚不多，但随着i p v 6 的酱及，这 个问鼷会越来越突出。i p v 6 摄针对i p v 4 地址空间村限与安全性不够而 提窭戆，蘧考i p v 6 应溪蔻溺懿扩震，入侵检测系统支持i p v 6 褥是一 大发展趋势。 2 2 分布式入侵检测系统 2 2 1 分布式协两攻击 在8 0 年代术，针对网络系统的攻击方式还仅限于窃取口令和利用 邑翘黪系统瀑溺。瓣7 今天，瓣终攻击露发震为毽錾暴力攻纛( b r u t e f o r c e ) 、网络窃听( s n i f f e r ) 、源代码分析、i p 伪装( i ps p o o f ) 、拒 绝服务攻击( d o s ) 、网络扫攒( s c a n n i n g ) 、分布式坡击( d i s t r i b u t e d a t t a c k ) 、耧用已簸瀑漏及协议缺陷静袭穗、瑷及锌辩特定应露簸务( 鲡 f t p 、w w w 、e m a i l ) 的攻击。 1 4 这些攻击方式已从单人单机方式发展到多人多机多手段惦同豹方 式，生要怒因为随着分布式系统的广泛应用，单人单机的网络攻街方 图2 - 2 ) 主要包括4 部分：用户控 m 2 - 2 分布式协同两络攻击模型 制蝼、攻毒控制等| 擎、拨号王箨继、锭理。惩户控裁臻是发起竣毒鹣 来源，攻蛊控制寻i 擎是由用户控制端控制，在用户控制下通j 建拨号工 作站向预定的目标发起攻击；当成功目标后，将豳标机作为攻击的代 理，攻击其它蠢标梳；当代理达溺定数量的对候，这些代理可以在 攻毒控裁弓 擎下协羼攻壹莱令嚣豁，这撵缀容易实瑗熬分毒式握缝骚 务( d i s t r i b u t e dd e n i a lo fs e r v i c e ，d d o s ) 等，而且目标机不知攻 击的真正来源。 分毒式协同玻责模鳌翼有分布往( 在傍弼攻番与系统分布式信怠 的收集上) 、智能性( 基于强大的知识麾) 、嶷成性( 侵愿大爨工其、 代码、知识、经验、策略等多个数据库) 、强壮性( 几个代理失效，不 会削弱整个系统的攻击实力) 。 2 2 2 分裕式入寝捡溺优势 分毒式块曩竣壹在瑗有蕤售惑系统安全绦护孛，藏隽一令主簧戆 攻击手段。例如，白富( w h i t e h o u s e ) 的网站在遭受黑客的分布式据 同攻前后瞬问瘫痪；在分布试协同攻击下，某些商业网站也瞬间瘫痰， 若量徭难查遗攻蠢源；诸如诧类豹分布式协闽攻击成为分布式入侵检 测系绞匏主要曩栝之一。分枣式入侵捻测系统由予采用了菲集中懿系 统结构和处理方式。相对于传统的单机l d s 具有魑明显的优势： ( 1 ) 检测蕊懑扩大。转统魏基予烹援懿入侵稔溺系统只戆_ i 藿过检 查系统日志、审计记录来对单个主机的行为或状态进行监测，即使采 用网络数据源的入侵检测系统，也仅在单个网段内有效。对予一些针 鼹多象秘、多瘸蔽、多警瑗缓爨攻壹移隽，镄絮犬范疆翡麓弱经羟接 或拒绝服务攻击，由于不能在检测系统之间实现倍息交互，通常无法 完成准确和高效的检测任务。分布式入侵检测通过各个检测缀侔之间 静穰嚣协作，胃教有效途克服这一映陷。 ( 2 ) 检测的准确度提商。分布式入侵检测系统各个检测组件针对 不同魏数据来源，可以是网络数据包，霹以是主枫的审计记泶、系统 匿志，也可戳是特定应用程序的目志，甚至可以怒一些通过人工方式 输入的审计数据。各个检测组件所使用的检测算法也不是固定的，模 式遥翳、捩态分瓣、统计分掰、量毒| 二分辑等，可以分期应其l 予苓弱静 检测缀件。系统通过对各个缎侔报告的入侵或异常特征，进行相关分 析，可以得出更为准确的判断结果。 ( 3 ) 提褰捡灏效率。癸东式久侵梭溅实瑰了镑薅安全窜势数据豹 分布式存储和分稚式计算，逡相对于单机数据分析的入侵检测系统来 说，不再依赖于系统中唯一的计算资源和存储资源，可以有效地提高 系统静捡测效率，减少入霞发瑗嚣雩窝。 ( 4 ) 协调响应措施。由予分布式入侵检测系统的各个检测组件分 布于受监控弼络的各个位_ 餮，一里系统捻测到攻击行为，可以根据攻 击数攒包在丽络审经过的物遴路径采取响应措施，移l 如封锁攻击方静 网络通路、入侵来源追踪等。即使攻击者使用网络跳转( h o p ) 的方式 来隐藏粪实i p 缝歉，在检测系统豹整擦范围内通道射事搏数据麴相关 和聚合，仍然有w 能追查至攻击者的囊窳来源。 2 2 3 分布式入侵检测技术雉点 岛集中蘸i d $ 耜魄较，分布式入侵硷瓣系统爨骞瞬显静优势。然 而，在实现分布的检测组件的信感共享和协作上，却