（计算机应用技术专业论文）基于对等结构的分布式入侵检测技术研究.pdf

南京邮电大学硕士研究生学位论文 摘要 摘要 目前，人们的日常生活已经和网络紧密地联系在一起。而由此带来的网络信息安全性 问题目益突出。入侵检测系统作为一种积极主动的安全防护技术，己成为一个重要的研究 热点。 传统的入侵检测系统采用c s 、层次等结构。在这些结构中，除了单点失效、伸缩能 力不足和扩展性不强等问题外，网络数据的快速增长使硬件性能瓶颈问题日益突出。一种 解决方案是采用p 2 p 中全分布非结构的拓扑结构，将检测任务分为若干正交的集合交予分 布在网络中的各个节点，从而使入侵检测系统性能得到近似线性的提高，避免了单点失效 的问题，同时具有灵活的伸缩和扩展能力。 但这种结构也有其不足之处。所有节点完全对等，节点若要掌握全网情况，合理分配 资源，会增大节点间的通信量，增加网络负担。同时所有节点都要进行类似的重复计算， 也造成资源的浪费。另外，节点失效时系统会面临工作集丢失的问题。 为解决上述问题，同时继承全分布式非结构入侵检测系统的优点，本文引入p 2 p 网络 中半分布式的拓扑结构，设计了基于半分布式对等结构的入侵检测系统( i n t r u s i o n d e t e c t i o ns y s t e mb a s e do np a r t i a l l yd e c e n t r a l i z e dp e e r t o p e e rt o p o l o g y ：p d p i d s ) 。 本文详细设计了p d p i d s 的各个模块以及系统工作机制和时序，改进了入侵检测系统的整 体性能，增强了系统的扩展和伸缩能力。最后在w i n d o w s 平台下采用包装s n o r t 的方式， 开发了主要模块，并进行了测试验证。 关键词：分布式入侵检测，对等网，网络安全 南京邮电大学硕上研究生学位论文 a b s t r a c t a b s t r a c t t o d a y ，p e o p l e sd a i l yl i f ei sc l o s e l yc o m b i n e dw i t ht h en e t w o r k a sar e s u l t ，t h es e c u r i t yo f n e t w o r ki n f o r m a t i o ni sm o r ei m p o r t a n t i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) a sa na c t i v e i n s t r u m e n tf o rs e c u r i t yp r o t e c t i o n ，h a sb e c o m ear e s e a r c h i n gh o t s p o t t r a d i t i o n a li d sa r eb a s e do nc so rh i e r a r c h i c a ls t r u c t u r e f o l l o w i n gw i t ht h e s es t r u c t u r e s ， t h e r eh a v eb e i n gs o m ed e f e c t ss u c ha sk e yn o d ef a i l u r er i s k ，i n a d e q u a t ef l e x i b i l i t ya n ds c a l a b i l i t y a n dm o s ti m p o r t a n ti st h a tt h er a p i dg r o w t ho ft r a f f i co nn e t w o r km a k e st h eb o t t l e n e c k so f h a r d w a r ep e r f o r m a n c em u c hm o r eo b v i o u s f o rt h i si s s u e ，as o l u t i o nb a s e do np 2 pd e c e n t r a l i z e d u n s t r u c t u r e dt o p o l o g yd i v i d e st h ee n t i r et a s ki n t oan u m b e ro fo r t h o g o n a lw o r k l o a ds e t s ，a n dr u n t h o s es e t so nt h en o d e sw h i c hh a sb ed i s t r i b u t e do nt h en e t w o r k u s i n gt h i ss t r u c t u r e ，i d sg e t sa l i n e a r p e r f o r m a n c ei m p r o v e m e n ta p p r o x i m a t e l ya n dc a ne x p a n dc a p a c i t yf l e x i b l y ，w h i l e a v o i d i n gt h er i s ko fk e yn o d ef a i l u r e b u tt h i sm o d e la l s oh a si t ss h o r t c o m i n g s i ti sh a r dt ou s er e s o u r c er a t i o n a l l y b e c a u s ea l lo f t h en o d e sa r ec o m p l e t e l yi n d e p e n d e n t ，i no r d e rt og e tt h ew h o l ei n f o r m a t i o no nn e t w o r k ，f i r s t l y ， i tw i l li n c r e a s et h ev o l u m eo ft r a f f i cb e t w e e nn o d e s ，a sar e s u l t ，i n c r e a s et h eb u r d e nt ot h e n e t w o r k ，s e c o n d l y ，a l ln o d e sn e e dt or u ns i m i l a rc a l c u l a t i o n t h i si sak i n do fr e s o u r c e sw a s t i n g i na d d i t i o n ，t h ei d sw o u l dl o s ew o r k l o a di fo n en o d ed o e s n tw o r k t or e s o l v et h e s e p r o b l e m sb u tk e e pt h ea d v a n t a g e s ，t h ep a p e ri n t r o d u c e sp a r t i a l l y d e c e n t r a l i z e dt o p o l o g yi n t oi d sa n dd e s i g n sa ni n t r u s i o nd e t e c t i o ns y s t e mb a s e do np a r t i a l l y d e c e n t r a l i z e dp e e r t o p e e r t o p o l o g y ：p d p i d s i n t h i s p a p e r ，w ed e s i g n e d p d p i d s s a r c h i t e c t u r e ，c o m p o n e n tf u n c t i o na n d w o r k i n gm e c h a n i s mt oi m p r o v ei d sp e r f o r m a n c e t o s i m u l a t es y s t e m ，b a s e do nw i n d o w s ，w ed e v e l o p e dm a i nm o d e l so fp d p i d sa saw r a p p e rt h a t w r a ps n o r t ，a n dt e s t e di t k e y w o r d ：d i s t r i b u t e di n t r u s i o nd e t e c t i o n ，p e e r - t o - p e e r , n e t w o r ks e c u r i t y 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名：址日期：兰型 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电大学研究生部办理。 研究生签名：垂士墨 导师签名：叁0日期：。妒尸年，f 南京邮电大学硕上研究生学位论文第一章绪论 1 1 网络安全的现状 第_ 章绪论 计算机网络技术的发展使信息的传送和处理突破了时间和地域的限制，互联网的爆炸 性发展更进一步为人类的信息交互、科学、技术、文化、教育、生产的发展提供了极大的 便利。i n t e r n e t 在为人类发展创造一个更广阔天地的同时，也为入侵者提供了一个便利的 场所。在互联网上，信息的泄漏、被盗取、被篡改和被破坏的危险时时刻刻都存在1 1 】。 一般来说，网络安全威胁主要来自以下几个方面：病毒、黑客攻击、网络产品物理方 面的安全性、网络内部用户滥用权限、防火墙和主机的配置不合理【2 1 、应用程序存在安全 漏洞、网络协议的安全性1 3 】( 比如网络核心协议t c p 本身缺乏安全方面的考虑) 、操作系统的 安全性( 比如最流行的操作系统w i n d o w s 存在不少的安全漏洞f 4 1 ) 以及缺乏有效的手段监视 和评估网络的安全性。 从1 9 9 8 年开始，位于美国卡内基梅隆大学的c e r t c c ( 计算机紧急响应小组协调中心) 就开始调查入侵者的活动。并给出了黑客入侵攻击方式的四种最新趋势1 5 】： 趋势一：攻击过程的自动化与攻击工具的快速更新，主要反应在： l 、攻击工具的自动化程度继续不断增强。自动化攻击涉及到的四个阶段都发生了变 化。 2 、扫描潜在的受害者。从1 9 9 7 年起开始出现大量的扫描活动。目前，新的扫描工具 利用更先进的扫描技术，更具威胁性，并且具有更高的扫描速度。 3 、入侵具有漏洞的系统。以前，对具有漏洞的系统的攻击是发生在大范围的扫描之 后的。现在，攻击工具已经将对漏洞的入侵设计成为扫描活动的一部分，这样大大加快了 入侵的速度。 4 、攻击扩散。2 0 0 0 年之前，攻击工具需要一个人来发起其余的攻击过程。现在，攻 击工具能够自动发起新的攻击过程。例如红色代码) f 1 n i m d a 病毒这些工具就在1 8 个小时之 内传遍了全球。 5 、攻击工具的协同管理。自从1 9 9 7 年起，随着分布式攻击工具的产生，攻击者能够 更加有效地发起一个分布式拒绝服务攻击。协同功能利用了大量大众化协议，耍n i r c ( i n t e r n e tr e l a yc h a t ) 等协议的功能。 趋势- - ：攻击工具的不断复杂化，当今攻击工具的三个重要特点是反检测功能、动态 南京邮电大学硕士研究生学位论文第一章绪论 行为特点以及攻击工具的模块化，主要反映在： 1 、反检测攻击者采用了能够隐藏攻击工具的技术。这使得安全专家想要通过各种 分析方法来判断新的攻击的过程变得更加困难和耗时。 2 、动态行为。以前的攻击工具按照预定的单一步骤发起进攻，而现在的自动攻击工 具能够按照不同的方法更改它们的特征，如随机选择、预定的决策路径或者通过入侵者直 接的控制。 3 、攻击工具的模块化。和以前攻击工具仅仅实现一种攻击相比，新的攻击工具能够 通过升级或者对部分模块的替换完成快速更改。而且，攻击工具能够在越来越多的平台上 运行。例如，许多攻击工具采用了标准的协议，如i r c 和h t t p 进行数据和命令的传输，这 样，想要从正常的网络流量中分析出攻击特征就更加困难了。 趋势三：漏洞发现得更快。主要反映在： 每一年报告给c e r t c c 的漏洞数量都成倍增长【刨。c e r t c c 公布的漏洞数据2 0 0 0 年为 1 0 9 0 个，2 0 0 1 年为2 4 3 7 个，2 0 0 2 年已经增加至4 1 2 9 个。可以想象，对于管理员来说想要跟 上补丁的步伐是很困难的，而且，入侵者往往能够在软件厂商修补这些漏洞之前首先发现 这些漏洞。随着发现漏洞的工具的自动化趋势，留给用户打补丁的时间越来越短，尤其是 缓冲区溢出类型的漏洞，其危害性非常大而又无处不在。 趋势四：渗透防火墙。本文常常依赖防火墙提供的一个安全的边界保护。但现实情况 是： 1 、已经有绕过典型防火墙的技术，女n i p p ( t h ei n t e r n e tp r i n t i n gp r o t o c 0 1 ) 和w e b d a v ( w e b - - b a s e dd i s t r i b u t e da u t h o r i n ga n dv e r s i o n i n g ) 。 2 、特定特征的“移动代码”( 女h a c t i v e x 控件，j a v a 和j a v a s c r i p t ) ，使得保护存在漏 洞的系统以及发现恶意的软件更加困难。 另外，随着i n t e r n e t 网络上计算机的不断增长，所有计算机之间存在很强的依存性。 一旦某些计算机遭到了入侵，它就有可能成为入侵者的栖息地和跳板，作为进一步攻击的 工具。 对于防范网络安全威胁，一种方法是建立一个安全系统以满足用户系统的保密性、完 整性、可用性和可控性要求。这就要求所有的用户能识别和认证自己，还要采用各种各样 的加密技术和访问控制策略来保护数据。 但是，在实践中，建立完全安全的系统是根本不可能的。m i l l e r 给出一份有关当前流 行的操作系统和应用程序的研究报告川，指出软件中不可能没有缺陷，设计和实现一个整 体安全系统相当困难。要将所有己安装的带安全缺陷的系统转换成安全系统需要相当长的 2 堕塞堕皇奎兰堡圭婴壅竺兰垡笙奎 薹二童笙堡 时间；加密技术本身存在的一定问题：安全系统易受内部用户滥用特权的影响；安全访问 控制等级和用户的使用效率成反比；访问控制和保护模型本身存在一定的问题：在软件工 程中存在软件测试不充足、软件生命周期缩短、大型软件复杂度高等难解的问题；用户大 量的应用程序和数掘处理对现有系统的依赖性，使一个新的且更具安全性的系统来替代有 缺陷的系统的代价太高。 考虑到以上提到的种种困难，一个实用的方法是，在建立比较容易实现的安全系统的 同时按照一定的安全策略建立相应的安全辅助系统，入侵检测系统( i n t r u s i o nd e t e c t i o n s y s t e m ，i d s ) 就是这样一类系纠8 1 。如果系统遭到攻击，需要尽可能早地检测、甚至是实 时地检测到，然后采取适当的处理措施。即使采取了认证技术、访问控制和防火墙等技术 后，系统仍然需要入侵检测。入侵检测系统可以弥补防火墙的不足，为网络安全提供实时 的入侵检测及采取相应的防护手段，如：记录证据、跟踪入侵、恢复或断开网络连接等。 入侵检测这一安全领域课题，近年来成为学术界和业界的研究热点【9 1 。 1 2 入侵检测系统研究现状 1 2 1 入侵检测概述 入侵检测( i n t r u s i o nd e t e c t i o n ) 是在1 9 8 0 年由j a m e sa n d e r s o n 首先提出的，是对入 侵行为( 或企图) 的发觉【1 0 1 。i d s 与采取预防措施以防止入侵事件的发生不同，其作为安全 技术的作用在于；识别入侵者；识别入侵行为；检测和监视已经发生的入侵事件，并做出 相应处理；为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大。 入侵检测是通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分 析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测的软件 与硬件的组合便是入侵检测系统，它一般包括三个部分：数据的采集、入侵分析检测和响 应与恢复】。由于它是与网络运行管理系统相结合的，能够有效地监察网络用户的行为， 不仅能检测网络外部的入侵行为，也能随时监督系统内部的未授权用户行为，从而弥补了 传统安全技术的不足。 按照不同的分类标准，传统的i d s 有多种分类方法i 眨】。根据发现入侵行为的检测方法 的不同，入侵检测技术中主要采用两类检测方法：异常检测技术和误用检测技术f 1 3 】。异常 检测模型是基于普通的用户行为来比较查找入侵攻击【1 4 】 1 5 】，而误用检测模型是基于恶意 用户行为匹配来发现入侵攻击【1 6 1 。 根据检测对象的不同可分为基于主机的入侵检测系统( h o s t b a s e di d s ，h i d s ) 和 3 南京邮电大学硕士研究生学位论文第一章绪论 基于网络的入侵检测系统【1 8 】( n e t w o r k b a s e di d s ，n i d s ) 。h i d s 的数据来源于主机系统的 审计日志。通过对系统曰志和审讳记录的不断监控和分析来发现攻击后操作。n i d s 的数据 来源于网络的信息流，它在网络上监听整个网段上的信息流，通过对捕获网络数据包进行 分析，能够检测该网段上发生的网络入侵。 根据检测系统自身体系结构的不同，i d s 可分为：集中式入侵检测系统( c e n t r a l i z e d i n t r u s i o nd e t e c t i o ns y s t e m ，c i d s ) 和分布式入侵检测系统( d i s t r i b u t e di n t r u s i o n d e t e c t i o ns y s t e m ，d i d s ) 1 9 】。传统的集中式入侵检测系统是在网络的各个网段上放置多 个检测器采集当前的网络状态信息，然后由中央控制台集中进行分析和处理。但当有大规 模入侵行为时，超过了中央控制器的承受能力，会造成许多事件的遗漏，增加了漏报的概 率。而且，网络的时延不能实时地反应当前的网络状态，也可能降低一定的准确性。随着 网络系统结构变得日益复杂，广泛采用分布式应用环境、海量存储和高带宽的传输技术， 都使得集中式的入侵检测越来越不能满足系统的安全需求。通过将主机检测和网络检测结 合起来，并且采用协同的方式，共享整个网络的信息资源，从而出现了分布式入侵检测技 术。当前，分布式入侵检测是入侵检测乃至整个网络安全领域的热点之一。 1 2 2 入侵检测系统的标准 为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作，但 由于入侵检测技术的复杂性，入侵检测系统实现的多样性，这些标准化工作进展非常缓慢， 尚没有被广泛接受的标准出台。 对于入侵检测的标准化工作，目前，c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 和i d w g ( i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ) 这两个国际组织负责都试图对入侵检测系 统进行标准化。 l 、c i d f c i d f 全称是通用入侵检测框架( t h ec o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 2 0 】。c i d f 早期由美国国防部高级研究计划局赞助研究，后来由c i d f - f 作组负责。实际上，c i d f 已经 成为一个开放共享的资源。 c i d f 所做的工作主要包括四部分：入侵检测系统的体系结构、通信机制，描述语言和 应用编程接d a p i 【2 1 1 。下面简单的阐述其体系结构： c i d f 提出了一个通用模型，将入侵检测系统分为四个基本组件：事件产生器、事件分 析器、响应单元和事件数据库。c i d f 结构如图l 一1 所示。 在这个模型中，事件产生器、事件分析器和响应单元通常以应用程序的形式出现，而 4 南京邮电大学硕士研究生学位论文第一章绪论 事件数据库则往往是文件或数据流的形式。上述的数据提取模块、数据分析模块和结果处 理模块允别对应c i d f 中的事件产生器、事件分析器和响应单元。 c i d f 将i d s 需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统 日志或其他途径得到的信息。 输入：原始事件源 图1 i 通用入侵检测系统结构图 以上四个组件只是逻辑实体，一个组件可能是某台计算机上的一个进程甚至线程，也 可能是多个计算机上的多个进程，它们以g i d o ( g e n e r a li n t r u s i o nd e t e c t i o no b j e c t ) 格 式进行数据交换。g i r o 是对事件进行编码的标准通用格式( 由c i d f 描述语言c i s l 定义) ， g i d o 数据流可以是发生在系统中的审计事件，也可以是对审计事件的分析结果。 1 、事件产生器 事件产生器的任务是从入侵检测系统之外的计算环境中收集事件，并将这些事件转换 成c i d f 的g i d o 格式传送给其他组件。例如，事件产生器可以是读取c 2 级审计踪迹并将其转 换为g i d o 格式的过滤器，也可以是被动地监视网络并根据网络数据流产生事件的另一种过 滤器，还可以是s o l 数据库中产生描述事务的事件的应用代码。 2 、事件分析器 事件分析器分析从其他组件收到的g i d o ，并将产 生的新g i d o 再传送给其他组件。分析 器可以是一个轮廓描述工具，统计性地检查现在的事件是否可能与以前某个事件来自同一 个时间序列；也可以是一个特征检测工具，用于在一个事件序列中检查是否有己知的滥用 攻击特征：此外，事件分析器还可以是一个相关器，观察事件之间的关系，将有联系的事 件放到一起，以利于以后的进一步分析。 3 、事件数据库 用来存储g i d o ，以备系统需要的时候使用。 4 、响应单元 响应单元处理收到的g i d o ，并据此采取相应的措施，如杀死相关进程、将连接复位、 修改文件权限等。由于c i d f 有一个标准格式g i d o ，所以这些组件也适用于其他环境，只需 南京邮电大学硕十研究生学位论文第一章绪论 要将典型的环境特征转换成g i d o 格式，这样就提高了组件之间的消息共享和互通。 2 、i d w g i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ) 下属的i d w g ( i n t r u s i o nd e t e c t i o nw o r k i n g g r o u p ) 定义了入侵检测信息交换格式( i n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g ef o r m a t ， i d m e f ) 2 2 】。i d m e f 和c i d f 相似，对组件间的通信进行了标准化，但它只标准化了一种通信 场景，即数据处理模块和警告处理模块间的警告信息的通信。i d m e f 的目的在于定义入侵 检测模块和反应模块，以及可能需要和这两者通信的管理模块感兴趣的信息交换的数据格 式和交换过程。 i d m e f 对i d s 的体系结构定制：分析器( a n a l y z e r ) 检测出入侵，并要通过t c p i p 网络发 送警告信息给管理者( m a n a g e r ) ，警告的格式以及通信的方法就是i d m e f 所要标准化的内 容。可以分为两个部分： 1 、数据格式规范：表示交换信息的数据格式或语言【2 3 1 。 2 、通信规范：确定如何打包传输这些数据的通信协议【2 4 1 。 1 2 3 入侵检测系统的相关技术 在传统的入侵检测系统中，数据收集是通过单一的主机来完成的，并且把收集到的数 据发送到单独的分析器上进行数据分析，有些系统虽然采用了分布式的数据收集，但是数 据分析也往往是集中在一个组件中完成的。系统只依靠有限的几个传感器( 就运算能力来 说通常是一个) 和唯一的一个事件分析器中来获取，处理和分析网络中的所有数据，从而 不可避免地会在检测过程中产生数据丢失和处理瓶颈的问题。系统的扩展和伸缩能力的不 足也是当自玎入侵检测系统的问题。随着各种技术的成熟，为提高入侵检测系统的性能，移 动代理、p 2 p 以及基于消息发布订阅的通信技术等被应用于入侵检测系统中。 一、移动代理技术 代理( a g e n t ，也叫智能体) 是研究分布式计算的一个蕈要概念是一个功能实体，能够 感知环境变化，对变化做出判断和推理，并形成决策控制相应的行为1 2 5 1 。在异构的网络环 境中，移动代理( m o b i l ea g e n t ) 是在自我控制之下，可以从一台机器移动到另一台机器的 自治的程序【26 。这种自治移动程序的特点是，它可以在任意的执行点挂起，将自己传送到 另外一台机器，然后在这台新的机器上，从挂起点继续执行。与普通的代理最大的不同之 处在于它在不同的主机之间迁移而不需停止运行【2 7 】。 a g e n t 是自治的、协作的、自组织的和移动的。a g e n t 技术及其应用模仿了自治的智能 个体的集合，同一类的个体独立运作，有着各自特定的目标，并且可以互相交换信息，相 6 南京邮电大学硕士彤f 究生学位论文第一章绪论 互协作。当前入侵检测系统正朝着智能化、分布式的方向发展，a g e n t 技术是面向对象技 术向软件智能化发展的产橛，a g e n t 的移动特性也为分布式计算提供了新的计算方式，因 此，a g e n t 技术为当前入侵检测的发展提供了新的思路。近几年来有研究者将代理技术引 入到入侵检测系统中，通过移动自治程序来代替数据的移动，解决网络瓶颈和处理器瓶颈 等问题。 二、基于消息发布订阅的通信技术 对于分布式协作模型中各个组件之间的通信，如何保证系统组件快速而又廉价地获得 需要的数据是一个重要的问题。特别是在完全对等的d i d s 中，组件之间通过网状结构互连， 任意两个组件之间有可能存在多个连接路径。不仅如此当入侵发生时，检测节点能够获得 与攻击相关的本地信息，却无法得知受到攻击的其它节点的位置，也就无法得知其相关信 息。而保证通信的有效性就必须获知通信的目的地点并选择正确的、代价低廉的路径转发 数据。传统的方法是采用广播机制，在系统网络中广播数据，以使数据有效地传播到每个 目的地。但由于广播的代价过于高昂，过多地占用了带宽。当检测节点间的通信频繁发生 时，会给网络带来巨大的负担。 发布订阅( p u b l i s h s u b s c r i b e ) 方法【2 8 1 可以很好地解决这一问题，能够有效减少冗余 数据在网络中的传播。基于内容的消息转发不是基于通信主体的地址进行消息传递，而是 基于内容的订阅通知( s u b s c r i b e n o t i f i c a t i o n ) 。通信主体( 消息的发送端和接收端) 无 需获得对方的地址信息，仅仅发布对感兴趣内容的订阅和通知消息即可。 科罗拉多大学软件工程研究实验室的可扩展的互联网事件通知体系结构( s c a l a b l e i n t e r n e te v e n tn o t i f i c a t i o na r c h i t e c t u r e ，s i e n a ) 1 2 9 j 【3 0 l 的基于内容( c o n t e n t b a s e d ) 的消息转发机制就是其中之一。s e i n a 通过在广域网络上布置服务器组成的网络，为客户 端提供事件通知服务的接入点。客户端使用接入点广告事件信息，发布通知，订阅感兴趣 的通知：事件通知服务通过接入点向客户端传递通知。 将发布订阅方法应用在d i d s 中，可以提供一种多对多的通信机制，通过路由算法和 处理策略传输消息到达目的地，并有效地减少了冗余数据在网络中的传播。即：当检测节 点之间需要协作时，协作的发起方发布通知( 协作请求) ，而协作的响应方( 事先订阅了该 消息) 就会收到该协作请求。 三、对等网络体系结构 对等网络( p e e r t o p e e r ，p 2 p ) ，其技术最大的意义在于不依赖中心节点而依靠网络 边缘节点自组织对等协作的资源发现形式【3 1 1 。常见的对等网络拓扑结构有四种类型：中心 化拓扑、全分布式非结构化拓扑、全分布式结构化拓扑和半分布式拓扑。 7 南京邮电大学硕士研究生学位论文第一章绪论 p 2 p 最根本的思想，同时也是它与c s 最显著的区别在于网络中的节点兼有c 1 l e n t 和 s e r v e r 的双重身份：既为其他节点提供服务，也享用其他节点提供的服务。网络中的每个 节点的地位都是对等的，又称对等网络。p 2 p 是一个相对底层的技术，从应用角度来看， p 2 p 最为人们所熟知的应用在于文件共享。但不仅仅如此，对等网络在对等计算、协同工 作、边界服务、分布式计算等领域显示出了强大的优势。 采用对等结构的分布式应用具有良好的伸缩和扩展能力。因此，研究者从i d s 的体系 结构入手，将对等网络的拓扑结构引入到入侵检测系统中来，用以提高i d s 系统的性能， 增强i d s 的伸缩、扩展等能力。文献 3 2 3 3 提出了一种p e e r i d s 模型。该模型的思想是首 先将入侵检测任务视为w o r k l o a d 集，并将该集分为若干正交的子集，将各个子集交予运行 在对等检测点的实例执行，各个运行的实例根据自身的负载情况主动将w o r k l o a d 子集推出 去( p u s h ) 或者拉进来( p u l l ) ，以提高i d s 的整体性能。 1 3 本文的组织结构 本文针对入侵检测系统的系统结构进行了研究，介绍了入侵检测系统的基本概念和 p 2 p 对等网络，并从提高入侵检测系统效率的角度，着重分析了一种采用全分布式非结构 化拓扑的入侵检测系统p e e r i d s 。在此基础上，提出了一种基于半分布式网络拓扑的入侵 检测系统p d p i d s ，在继承p e e r i d s 优点的基础上，对其负载平衡等问题进行了改进，最后 实现了p d p i d s 系统的主要模块并进行了测试验证。全文组织结构如下： 第一章介绍了网络安全和入侵检测系统的研究现状。 第二章介绍了网络安全基本要素，入侵检测系统，以及检测方法和分类。 第三章。介绍对等网络以及对等网络在入侵检测中的应用，较为详细的研究了全分布 式非结构化拓扑的入侵检测系统p e e r i d s ，并指出了其优点以及不足。 第四章在分析了p e e r i d s 不足的基础上，结合对等网中的半分布式拓扑结构，引入超 级节点，提出了一种基于半分布式对等网拓扑结构的入侵检测系统模型一p d p i d s ，并说明 了系统的整体设计和各个模块的功能定义，详细地论述了系统的几种工作机制。 第五章采用包装现有入侵检测工具s n o r t 的办法，给出了p d p i d s 实现的具体方法， 开发了主要模块并进行了验证测试，最后对实验结果做出了分析说明。 第六章对全文进行了总结，并对未来的工作进行了展望。 8 南京邮电人学硕士研究生学位论文第二章入侵检测系统 第二章入侵检测系统 在网络安全领域，近年来入侵检测越来越受到人们的重视，本章从网络安全的基本概 念开始，介绍入侵检测系统。 2 1 网络安全基本概念 2 ，1 1 网络的基本要素 在互联网上，信息的泄漏、被盗取、被篡改和被破坏的危险时时刻刻都存在，人们越 来越重视网络安全问题。从网络安全角度，网络包含以下三个要素： l 、数据：包括在网络中传输的数据与端系统中的数据。 2 、关系：网络作为交流的重要手段，涉及到通信各方依赖关系的建立与维护。 3 、能力：包括网络系统的传输能力与端系统的处理能力，前者意味着网络连接能力 的充分应用，而后者则意味着数据处理能力和服务提供能力。 2 1 2 网络面临的攻击 从网络的三个要素入手，一般可将网络攻击分为以下几类： 一、数据攻击：这种攻击针对数据而来，主要有： 1 、信息获取：利用诸如地址扫描、端口扫描等技术，或者利用某些网络服务来获 取网络和用户信息，例如f i n g e r 服务，w h o i s 服务和s m b 服务等。 2 、非法获取数据：超越权限来获取数据，包括主机数据的非法获取和网络传输数 据的非法获取。 3 、篡改数据：修改主机或者网络上的数据。这一般需要与对能力的攻击结合进行， 即首先获得非法权限，然后修改主机数据或截取并篡改网络数据以达到攻击的目的。 二、身份冒充：这种攻击的着眼点在于网络中的信任关系，主要有： l 、地址伪装：由于一些比较老的服务是根据i p 地址来建立信任关系，这种攻击 方式就是通过修改工p 来进行冒充活动。这种攻击首先对真正被信任的主机进行拒绝服 务攻击，使它处于非活动状态再实旌冒充行为。 2 、会话重放：记录有效会话的全过程，在需要时重新发生，以达到攻击目的。 3 、特洛伊木马：在合法的程序中加入恶意代码，通过合法程序的执行来运行恶意 9 南京邮电大学硕上研究生学位论文第二章入侵检测系统 代码来进行攻击。 4 、陷阱门：在系统的合法程序中加入后门代码，它利用了用户对系统程序的信任， 一般是在攻击成功之后为了进行进一步的攻击而引入的。这方面一个著名的例子是k e n t h o m p s o n ，它在早期的u n i x 系统中通过修改c 语言的编译器加入后门。 三、非法使用服务：这种攻击目的在于非法利用网络的能力，主要有： i 、主机缓存区溢出：本地的非特权用户利用系统的漏洞成为特权用户，这种攻击 主要是利用了系统堆栈具有可执行权限的漏洞，近几年来这种类型的漏洞可以说是层 出不穷。 2 、远程缓冲区溢出：利用网络服务的漏洞来远程获取特权用户的权利，例如 s e n d m a i l 和i i s 的漏洞等。 3 、利用系统服务漏洞的攻击：利用系统正常服务的各种漏洞，来获取正常情况 下无法获取的数据，例如通过c g i 获得p a s s w d 文件的漏洞，u n i c o d e 漏洞等。 4 、拒绝服务：这种攻击的目的是干扰网络的正常运行，它针对全部三个要素，即 干扰用户合法的获取数据，有妨碍合法的信任关系的建立，还有阻止系统提供服务， 主要包括：占用网络带宽：妨碍正常的网络流量，干扰正常工作，甚至占用全部带宽， 例如s m u r f 攻击等；干扰服务：干扰系统提供的各种网络服务，降低服务性能，例如 s y nf l o o d 等；本地关机：利用系统缺陷( 例如：x 8 6 指令集的缺陷) 可能会使非特权用 户也能够关机：远程关机：远程使主机d o w n 机，例如早期的w i nn u k e 攻击。 2 。1 3p p d r 模型与入侵检测 网络安全基本上是一个实践性的技术领域，大部分的理论是经验的汇集，因此给出一 个形式化的定义是困难的。一般认为网络安全是指保护网络系统中的软件、硬件及信息资 源，使之免受偶然或恶意的破坏、篡改和泄露，保证网络系统的正常运行、网络服务不中 断。 网络安全针对网络三元素提供保护，保证上述三元素为合适的人服务，而且只为合适 的人服务： 1 、数据保护：包括数据的机密性保护和完整性保护。 2 、关系保护：包括身份鉴别与安全地建立、维护信赖关系。 3 、能力保护：包括对网络系统的传输功能与端系统的处理功能的保护。 前期，人们往往以一种建立“安全堡垒”的思想，单二地从“防守”的角度来考虑网 络安全问题，在计算机网络中构筑各种各样的堡垒、防线，采用一些静态安全技术及方法 1 0 南京邮电太学日十研究生学位论文= 蹬榆缝 试图劳永逸地解决网络的安全问题，这些技术包括身份认证、数据加密、防火墙等技术。 但事实证明，人们的努力并没有得到预想的安全效果，网络攻出事件依然层出不穷。针对 同益严重的刚络安令问题和越来越突出的安伞需求，“动态安全模型”应运而生。所谓动 态安全模型足指一个计算机网络系统的安全状态处于动态之中，它面临的安全威胁是多方 面的，而且是发展变化的，囡此其所需要的安全防护技术也是多方向的，而且需要不断加 强和调整，在这个动忐的过程中，入侵检测起着重要作用。如图2l 所示，p p d r 是一个动 态的计算机网络系统安全理论模型( p o l l c y ( 策略) ，p r o t e c t i o r ( 防护) 、d e t e cl i o n ( 检测) 和r e s p o n s e ( 响应) ) 。其特点是动态性和基于时间特性。p p d r 模型如图21 所示。 图2 1p p d r 模型示意蚓 策略是该模型的核心，在具体实施过程中，策略意味着网络安全要达到的目标，它还 决定了为达到目标所采取的具体安全措施以及各种措施的强度。 防护是安全的第一步，它的基础是检测与响应的结果。具体包括安全规则、进行系统 的安全配置工作以及安装各种防护设备，例如：防火墙、v p n ( 虚拟专用网) 设备、防病毒 软件、加密和认证系统等。 检测即引对各种软件层出不穷的漏洞，采取有效的于段对网络的运行进行监控，其包 括：异常监视、模式发现。 响应是在发现丁攻击或攻击企图之后，需要系统做出及时地反应并采取措施。 阳d r 模型有自己的理论体系，有数学模型作为其论述基础基于时间的安全理论 ( t i m eb a s e ds e c u r i t y ) 。该理论的娃基本原理认为：信息安全相关的所有安全活动，无 论是攻击行为、防护行为、检测行为和响应行为等都要消耗时间。同此可虬用时问作为度 量柬衡量个系统的安全性和安全能力。 p p d r 模型可以用典型的数学公式米表达安全的需要。设眦为系统为了保护安全目标设 置各种保护后的防护删间，或者理解为在这样的保护方式下，黑客( 入侵者) 攻击安全目标 所花费的时问；眦为从入侵行开始发动入侵开始，系统能够榆测到入侵行为所花费的时问； r t j j 从发现入侵行为开始，系统能够做出足够的响应，将系统调整到f 常状态的时间；e t 塑室塑皇奎兰堡主婴壅竺兰垡笙茎蔓三雯全堡堡型墨竺 为系统在攻击下的暴露时间。则有以下两个公式【9 】： 公式1 ：p t d t + r t 公式2 ：e t = d t + r t ，( 假设p t = 0 ) 公式1 表明，针对于需要保护的安全目标，如果上述数学公式满足，则防护时间大于 检测时间加上响应时间，也就是在入侵者危害安全目标之前就能够被检测到并及时处理。 公式2 的前提是假设防护时间为0 ，d t 与r t 的和就是该安全目标系统的暴露时间e t 。针 对于需要保护的安全目标，如果e t 越小系统就越安全。 通过上面两个公式的描述，实际上给出了安全一个全新的定义：“及时的检测和响应 就是安全”，“及时的检测和恢复就是安全”。因此p p d r 模型阐述了这样一个结论：安全 的目标实际上就是尽可能地增大保护时间，尽量减少检测时间和响应时间。 2 2 入侵检测系统的基本概念 入侵检测技术就是实现p p d r 模型中“d e t e c t i o n ”部分的主要技术手段。在p p d r 模型 中，安全策略处于中心地位，但是从另一个角度来看，安全策略也是制定入侵检测中检测 策略的一个重要信息来源，入侵检测系统需要根据现有已知的安全策略信息，来更好地配 置系统。当发现入侵行为后，入侵检测系统会通过响应模块改变系统的防护措施，改善系 统的防护能力，从而实现动态的系统安全模型。因此，从技术手段上分析，入侵检测技术 可以看作是实现p p d r 模型的承前启后的关键环节。 入侵( i n t r u s i o n ) 是指任何企图破坏资源的完整性、机密性及可用性的活动集合。 s m a h a 从分类角度将入侵分为尝试性闯入、伪装攻击、安全控制系统渗透、泄露、拒绝服 务、恶意使用六种类型。总括来 兑，入侵表示系统发生了违反系统安全策略的事件。 入侵检测( i n t r u s i o nd e t e c t i o n ) 是指通过检查操作系统的审计数据或网络数据包信 息来检测系统中违背安全策略或危及系统安全的行为或活动，从而保护系统的资源不受拒 绝服务攻击、防止系统数据的泄露、篡改和破坏。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 是指能够通过分析与系统安全相 关的数据来检测入侵活动的系统，包括入侵检测的软件和硬件的组合，简称i d s 。从系统 所执行的功能上来考虑，i d s 必须包括如下三个基本的功能部件： 1 、数据提取模块：其作用在于为系统提供数据，数据的来源可以是主机上的日志信 息、变动信息，也可以是网络上的数据信息，甚至是流量变化等。数据提取模块在获得数 据之后，需要对数据进行简