（计算机软件与理论专业论文）一种基于移动代理的对等的入侵检测系统模型.pdf

一种基于移动代理的对等的入侵检测系统模型摘要 摘要 随着网络以及通信技术的发展和普及，基于网络的应用越来越多，大量的 信息网络化，网络给个人、公司和社会带来快捷便利的同时，安全问题也日益 突出。目前应用于网络安全的技术主要有认证、访问控制、审计、加密、防火 墙等，这些技术有一个共同的弱点：被动防御。入侵检测系统可以通过对行为、 网络日志、审计数据或者网络上其他可以获得的信息进行处理，主动检测到对 系统的入侵行为。由于入侵检测系统先天的优越性，自出现以来就迅速得到发 展。 传统的入侵检测系统采用c s 结构，中央管理器因被攻击而瘫痪，那么整个 系统将不能正常运转。目前存在的分布式入侵检测系统存在一些缺陷，或者数 据通信量大，或者检测效率低、反应时间长。 本文针对现存入侵检测系统的缺陷，结合移动代理技术的优点，提出一种基 于移动代理的对等的入侵检测系统模型p i d s ( am o d e lo fm o b i l ea g e n t - b a s e d p e e r - t o p e e ri n t r u s i o nd e t e c t i o ns y s t e m ) 。p i d s 是基于主机和基于网络相结合的 混合型入侵检测系统，解决了“单点失效”问题，同时群体决策时可以选择采 用无权重投票算法和静态权重的投票算法之一。 文章详细描述系统的框架结构，各种组件的功能，相互间的协同过程，以及 系统的工作原理。并在n s 2 平台上对几种典型的入侵检测系统和p i d s 进行了 仿真，对他们的多种性能参数，如负载、平均负载、时延、平均时延、检出率 和误检率进行比较，结果显示p i d s 在以上几个方面的综合性能上有很好的表 现。除了对静态权重算法进行仿真外，还对动态投票算法进行了讨论，开展了 一些创新性的工作。 关键词：分布式，入侵检测，移动代理，对等 中图分类号：t p 3 第1 页共5 8 页 一种基于移动代理的对等的入侵检测系统模型 a b s t r a c t a b s t r a c t w i t ht h ea d i i kd e v e l o p i n ga n dp o p u l a r i z a t i o no fn e t w o r ka n dc o m m u n i c a t i o n t e c h n o l o g y , m o r ea n dm o r ea p p l i c a t i o n sb a s eo l ln e t w o r ka n dal a r g eq u a n t i t yo f i n f o r m a t i o ns p r e a d so nt h ei n t e r a c t c o m i n ga l o n gw i mt h ec o n v e n i e n c ea n ds h o r t c u t m a d eb v 也en e t w o r k ，i tf a c e sm o r ea n dm o r ec r i t i c a l l ys a f ep r o b l e m s c u r r e n t l y , t h e r ea r es e v e r a ln e t w o r ks a f e t yt e c h n o l o g i e s ，s u c ha sa u t h e n t i c a t i o n ，a c c e s sc o n t r o l ， a u d i t e n c r y p t i o na n df i r e w a l l ，e t c h o w e v e r , t 1 1 c yh a v eac o m m o nd r a w b a c k ，p a s s i v e d e f e n d i n t r u s i o nd e t e e t i o ns y s t e m ( i d s ) c a na c t i v e l yf i n dt h ei n t r u s i o na c t sb y h a n d l i n gt h ei n f o r m a t i o nf r o m 也ea c t i v i t i e s ，n e t w o r kl o g s ，a u d i t i n gd a t aa n d s o m e t h i n ga c q u i r e dt h r o u g ho t h e l w a y s i d sh a sd e v e l o p e dq u i c k l ys i n c ei ta p p e a r e d f o ri t sb o r na d v a n t a g e s t h et r a d i t i o n a li d sf o l l o w st i l ec sa r c h i t e c t u r e ，s ot h ew h o l es y s t e mc a nn o tr u n n o r m a l l yi ft h ec e n t r a lm a n a g e rf a l l st o 1 2 1 1 1f o rb e i n ga t t a c k e d e x i s t i n gi d s sh a v e s o m ef a u l t s m a y b ei ti sh e a v y - c o m m u n i c a t i o n ，l o w e f f i c i e n t ，o rl o n g - l a t e n c y am o b i l ea g e n t - b a s e dp e e r - t o - p e e ri n t r u s i o nd e t e c t i o ns y s t e m ( p i d s ) w i t hm o b i l e a g e n t si sp r e s e n t e di nt h i sa r t i c l ea g a i n s t t h ed r a w b a c k so ft h ep r e c e d i n gi d s s p i d s i sam i x e di d s i ti sn o to n l yah o s t - b a s e di d s ，b u ta l s oan e t w o r k - b a s e di d s i t r e s o l v e st h eo n e - n o d e f a i l u r ep r o b l e m a tt h es a m et i m e ，i tm a k e sc o l l e c t i v ed e c i s i o n b yn o w e i g h tv o t i n ga l g o r i t h mo rs t a t i c - w e i g h tv o t i n ga l g o r i t h m t h ea r t i c l ed e s c r i b e st h es y s t e ma r c h i t e c t u r e ，e a c hc o m p o n e n tf u n c t i o n , c o o p e r a t i o n b e t w e e nc o m p o n e n t sa n dt h ew o r kt h e o r y s e v e r a lc l a s s i ci d s sa n dp i d sa r e s i m u l a t e do nn s 2p l a t f o r m t h e nt h ec o m p a r i s o n so fs e v e r a lp a r a m e t e r ss h o wt h a t t h es y n t h e t i cp e r f o r m a n c eo fp i d si st h eb e s t t h e s ep a r a m e t e r sc o n t a i nl o a d ， a v e r a g el o a d ，l a t e n c y , a v e r a g el a t e n c y , i d e n t i f i c a t i o nr a t i o , i n c o r r e c ti d e n t i f i c a t i o n r a t i o t h er e s u l t so fs i m u l a t i o ni n d i c a t et h a tt h eh o l i s t i ep e r f o r m a n c e so fp i d sa r e b e t t e r w ed i s c u s st h et h i n g so nd y n a m i cv o t i n ga l g o r i t h m k e y w o r d s ：d i s t r i b u t e d i n t r u s i o nd e t e c t i o ns y s t e m m o b i l ea g e n t p e e r t op e e r c l a s s i f i e a t i o nc o d e ：t p 3 第2 页兆5 8 页 种基于移动代理的对等的入侵检测系统模型第一章引言 第一章引言 随着网络以及通信技术的发展和普及，接入互联网的主机急剧膨胀，1 9 8 1 年8 月接入互联网的主机才仅仅2 1 3 台，而到了2 0 0 3 年1 月连接互联网的主机 已经达到1 7 ，0 0 0 ，0 0 0 多刽”。中国互联网络信息中心( c n n i c ) 2 0 0 5 年7 月发布的中国互联网发展状况统计报告显示无论是上网总人数还是入网的计算 机总数都在快速上升，网络用户所在行业比例则显示政府、企业对网络的依赖 性越来越高。 图i 历次调查上网计算机总数( 万台) 第3 页共5 8 页 一种基于移动代理的对等的入侵检测系统模型 第一章引言 图3 近两次调查网民在几种主要行业的分布比例 中国互联网的发展情况是世界互联网发展的一个缩影，基于i n t e m e t 的应用 越来越多，无论是军事、经济、工业、商业、交通、教育等对网络的依赖性都 在增强。在信息化的进程中，i n t e r n e t 上的信息量正在持续快速地增长，形式几 乎包罗万象：数据、文件和文档等。1 9 9 7 年一个叫做w o r l dw i d ew e bw o r m 的 w e b 搜索引擎号称可以检索到1 1 0 ；0 0 0 个页面【2 j ，而今天w w w g o o g l e t o m 则声 称可以索引超过l o 亿个w e b 站点，支持超过2 2 0 种文件格式【3 】。 1 1 网络安全事件 网络给个人、企业以及整个社会带来快捷和便利的同时，安全问题也日益 突出。在互联网上，信息的泄漏、被盗取、被篡改和被破坏的危险时时刻刻都 存在。c e r t ( 计算机紧急响应小组) 自从1 9 8 8 年成立以来，统计到的网络安 全事件每年都以指数增长，从1 9 8 8 年的全年很少的几次到1 9 9 8 年全年5 0 0 0 次 左右，近年来的发展势头更为迅猛，2 0 0 2 年接近9 0 0 0 0 次，增长惊人【4 j 【5 】。 网络安全问题也表现出三个方面的特征，相关安全事件越来越频繁地发生， 比如未授权访问、系统入侵和病毒感染等：攻击手段越来越先进，安全事件也 更难检测和处理；而且病毒通过网络迅速蔓延，其影响也越来越大，对个人、 第4 页共5 8 页 一种基于移动代理的对等的入侵检测系统模型 第一章引言 组织甚至国家都造成巨大损失。 1 9 8 8 年，m o r r i s 蠕虫发作，导致全球6 0 0 0 多台i n t e m e t 服务器因被感染而 瘫痪，造成的损失超过1 0 0 0 万美元【6 】。1 9 9 4 年末，俄罗斯黑客弗拉基米尔利 文与其伙伴通过圣彼得堡的一家小软件公司的联网计算机上以电子转帐方式， 从c i t y b a n k 银行在纽约的计算机主机里窃取1 1 0 0 万美元。据美国金融时报 报道，世界上平均每2 0 秒就发生一次入侵国际互联网络的计算机安全事件，仅 美国每年因此造成的损失就高达1 0 0 亿美元。 2 0 0 0 年2 月8 日到1 0 日，黑客首次成功地攻击了号称“世界上最可靠的网 站之一”的y a h o o ! ，三天后，又攻击了e b a y 、f t r a d e 和a m a z o n 等近十家著名 网站，使这些网站相继瘫痪。 红色代码病毒在2 0 0 1 年7 月8 日上午到9 日午夜的1 4 个小时内感染了大 约3 5 9 ，0 0 0 台计算机，最快时每分钟感染2 ，0 0 0 斜”。红色代码病毒造成的 损失超过2 0 亿美元，随后几个月内又出现几个威力更强的变种，其中红色代码 i i 蠕虫造成的损失估计为1 2 亿美元。在2 0 0 3 年1 月s q ls l a m m e r 蠕虫爆发， l o 分钟内感染了超过9 0 的弱点计算机【8 】。2 0 0 3 年8 月1 1 日，冲击波病毒利 用w i n d o w s 操作系统的r p c 和d c o m 漏洞几天之内席卷整个互联网，导致无 数的服务器宕机，造成极大的经济损失。 当前针对计算机网络的攻击已经成为全球性的难题。随着网络安全事件的 频繁发生，网络安全防范的重要性和必要性也愈加凸显，网络安全问题已经引 起政府、企业以及计算机用户的充分重视。根据美国r i p t e c h 公司2 0 0 2 年7 月 发布的 r i p t e c hi n t e r n e ts e c u r i t yt h r e a tr e p o r t ) ( 互联网安全威胁报告) 【9 】，在 2 0 0 2 年上半年的6 个月时间里，分布在3 0 多个国家4 0 0 家公司在2 0 0 2 年上半 年总共遭到约1 8 万起网络攻击，攻击次数比2 0 0 1 年下半年高出2 8 ，2 0 0 2 年 全年要比2 0 0 1 年高出6 4 。 1 2 安全问题与对策 网络面临的安全威胁主要来自下面几方面： l 、网络自身的缺陷 第5 页共5 8 页 一种基于移动代理的对等的入侵检测系统模型 第一章引言 互联网的基础，t c p i p 协议族( i p v 4 ) 在最初的设计时主要考虑的是如何在 网络上正确地传递信息，而基本没有考虑安全问题，缺乏相应的安全机制，存 在着安全隐患。 2 、软件漏洞或“后门” 随着软件系统规模的不断增大，系统中也不可避免地存在安全漏洞。无论 是操作系统，还是各类服务器、浏览器和应用软件都存在着安全隐患。而且软 件设计人员为了调试方便或其它的原因在软件中设置的“后门”也常常被攻击 者利用。 3 、黑客的攻击 黑客是互联网上一个特殊的群体，他们利用网络中的漏洞和系统缺陷，攻 击网络中的服务器，进行非法的活动，如修改主页、破坏系统文件、窃取机密 信息、阻塞网络等。现在黑客工具软件越来越成熟，黑客技术正被越来越多的 人掌握，黑客攻击己成为网络安全的主要威胁之一。 4 、管理的欠缺 严格管理网络系统可以最大程度的保证企业、组织以及个人用户免受攻击。 但事实上大多数网络都疏于管理，无形中给黑客和病毒的入侵创造便利之门。 这也是网络不安全的一个重要因素。 5 、内部威胁 同外部的攻击相比，网络内部的用户的误操作、资源滥用和恶意行为更加 难以防范。由于内部用户熟悉网络的配置情况、安全漏洞，因此会对网络造成 更大的破坏。 由于存在以上的安全威胁，另外入侵工具层出不穷，这些工具和系统漏洞 信息在互联网上也极易得到，所以网络正遭受着越来越多的攻击。攻击的手段 主要有病毒( v i r u s e s ) 、蠕虫( w o r m ) 、特洛伊木马( t r o j a nh o r s e ) 、逻辑炸弹( l o g i c a l b o m b ) 、口令破解( p a s s w o r dc r a c k i n g ) 、扫描( s c a n n i n g ) 、拒绝服务( d e n i a l o f - s e r v i c e ) 等。因此，保障网络和信息安全正成为日益关注的焦点问题。 近年来随着电子商务和电子政务的发展，入侵的目的有所变化，与以往的 入侵者大多是出于对互联网本身的探索或检验自身技能的目的不同，现在越来 越多的入侵行为是出于经济、政治或者军事等目的。因此对这些入侵行为检测 第6 页共5 8 页 一种基于移动代理的对等的入侵检测系统模型 第一章引言 和防护成为各种组织和机构面临的日趋严重的问题。 信息安全的目标是要保证信息的完整性( i n t e g r i t y ) 、机密性( c o n f i d e n t i a l i t y ) 、 可用性( a v a i l a b i l i t y ) 和可控性( c o n t r o l l a b i l i t y ) “。 完整性：要求信息在存储或传输过程中未经授权不被非法修改、增删和 破坏 机密性：就是要保证信息不泄漏给非授权的个人和实体，只有合法用户 才能对机密的或者受限的数据进行访问 可用性：要求保护合法用户访问信息系统时免受非法限制，即保证网络、 系统、硬件和软件的可靠性，即使有中断服务的事件发生，也能快速地 恢复正常 可控性：是指可以控制授权范围内信息的流向及行为方式，有的也称为 不可否认性( n o n r e p u d i a t i o n ) 针对存在的网络安全问题，通过怎样的机制来保护计算机和网络系统的安 全呢? 现有的安全机制主要包括访问控制、加密、防火墙等技术。 l 、访问控制( a c c e s sc o n t r 0 1 ) 识别与认证是网络安全最常用的、最基本的安全措施之一。其实现方式主 要有：通过用户名时别使用者是否是系统的合法用户；通过1 ：3 令字( p a s s w o r d ) 或智能卡( s m a r tc a r d ) 等方式来验证使用者是否是其所宣称的那个用户：通过c a 认证【l l 】的方法确定用户的身份。借助识别与认证( i & a ) ，可以在很大程度上限制 非法用户对系统的访问，起到对系统的保护作用。通过认证的用户，按照用户 性质设置其对网络或系统资源的访问权限，进步保护资源。 识别与认证可以阻止非法用户进入系统，鉴别合法用户并记录其活动，但 是面临着口令破解和网络嗅探的威胁。 访问控制通过设定相应的规则限制用户使用系统资源的范围。但为每一个 系统资源设置访问权限是一项非常复杂的任务，无论是厂商还是系统管理员都 有可能错误地配置访问规则。同时众多的应用程序中存在的漏洞都可以被利用 来获得更高的权限。 2 、数据加密( e n e r y p td a t a ) 对敏感数据进行加密，以保护数据，常见对称密码学和公钥密码学理论， 第7 页共5 8 页 一种基于移动代理的对等的入侵检测系统模型第一章引言 但是没有绝对安全的密码系统【”】 在网络应用中一般采取两种加密形式：对称密钥和公开密钥j 采用何种加 密算法则要结合具体应用环境和系统，而不能简单地根据其加密强度来作出判 断。因为除了加密算法本身之外，密钥合理分配、加密效率与现有系统的结合 性，以及投入产出分析都应在实际环境中具体考虑。 对称密钥的常见加密标准为d e s 等，当使用d e s 时，用户和接受方采用 6 4 位密钥对报文加密和解密，当对安全性有特殊要求时，则要采取i d e a 和三 重d e s 等。作为传统企业网络广泛应用的加密技术，秘密密钥效率高，它采用 k d c 来集中管理和分发密钥并以此为基础验证身份，但是并不适合i n t e m e t 环 境。 在i n t e m e t 中使用更多的是公钥系统。即公开密钥加密，它的加密密钥和解 密密钥是不同的。一般对于每个用户生成一对密钥后，将其中一个作为公钥公 开，另外一个则作为私钥由属主保存。常用的公钥加密算法是r s a 算法，加密 强度很高。具体作法是将数字签名和数据加密结合起来。发送方在发送数据时 必须加上数据签名，做法是用自己的私钥加密一段与发送数据相关的数据作为 数字签名，然后与发送数据一起用接收方密钥加密。当这些密文被接收方收到 后，接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名，然 后，用发布方公布的公钥对数字签名进行解密，如果成功，则确定是由发送方 发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高， 而且并不要求通信双方事先要建立某种信任关系或共享某种秘密，因此十分适 合i n t e m e t 网上使用。 3 、防火墙( f i r e w a l l l 防火墙为可信网络域和不可信网络域之间提供了一个安全边界，通过包过 滤或代理服务器的方式，阻挡或隔离不可信网络域对可信任网络域的访问，从 而达到保护可信网络域的目的。防火墙通过过滤特定类型或特定地址的数据包 来保护可信网络域。但是防火墙必须要允许特定的数据( 如h t l 甲包) 通过，这样 不可信网络域和可信网络域才能交换信息。因此，任何针对允许流量的攻击， 都有可能被用来入侵网络。同时防火墙的配置也是十分复杂的，不当的配置同 样会变成入侵的漏洞。并且防火墙对于内部人员的破坏往往无能为力，防火墙 第8 页共5 8 页 种基于移动代理的对等的入侵检测系统模型第一章引言 还无法解决安全后门问题。 随着网络连接的迅速扩展，特别是i n t e r n e t 大范围的开放以及金融领域网络 的接入，越来越多的系统遭到入侵攻击的威胁。解决计算机系统安全问题的一 个理论就是重新设计并构建完全安全的计算机系统，实现可信计算。事实上， 建立所谓“完全安全”的系统仅在理论上存在可能性，即要求所有的用户能识 别和认证自己，同时采用各种各样的加密技术和强访问控制策略来保护数据， 这在实践中难以实现。 如何去保护自己的信息不被窃取、销毁或者滥用呢? 传统的方法中防火墙 被用来防止未授权连接，反病毒软件可以检测被病毒感染的文件。尽管它们不 断地得到改进【l3 】【l ”，但它们都不是完善的解决方案，只适合在某些情况下使用。 前者不能识别一个活动是否合法，而后者只能检测到被感染的文件并修复它们， 但对入侵无能为力。近年来，在国内外安全领域，入侵检澳y ( i n t r u s i o n d e t e c t i o n ， i d ) 技术逐渐成为研究热点，入侵检测是对入侵行为的发觉。它从计算机网络或 者计算机系统中的关键节点收集信息并进行分析，从中发现网络中或者系统中 是否有违反安全策略的行为或者被攻击的迹象。其目标是识别针对计算机系统 和网络系统，或者广义的信息系统的非法攻击，包括检测外界非法入侵者的恶 意探测和攻击，以及内部合法用户滥用权限的行为。与传统的访问控制技术相 比较，入侵检测技术不是一种预防性的安全技术，而是一种主动的防御技术， 其技术发展的基础及其重要性建立在如下假设基础之上： 1 ) 任何现实的计算机系统都不是完全安全的，即存在可供攻击者利用的安 全漏洞。 2 ) 当系统遭到入侵攻击时，如果能够及时甚至实时地检测到攻击行为的发 生，然后采取适当的措施，将能够大大降低系统的安全风险。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 可以针对网络中潜在的攻 击向系统管理员发出警告，以便管理员及时采取适当措施避免损失。因此它被 广泛认为是一个很好的安全解决方案。 第9 页共5 8 页 3 种基于移动代理的对等的入侵检测系统模型 第一章引言 1 3 研究的目的和意义 目前应用于网络安全的技术主要有认证、访问控制、审计、加密、防火墙 等，这些技术有一个共同的弱点：被动防御。入侵检测系统可以通过对行为、 网络日志或审计数据或者网络上其他可以获得的信息进行处理，主动检测到对 系统的入侵行为。由于入侵检测系统先天的优越性，自出现以来就迅速得到发 展。 传统的入侵检测系统无论采用c s 结构还是分布式结构，具有中央管理器的 系统都存在所谓的“单点失效”问题，即中央管理器遭到攻击而瘫痪的话，整 个系统将无法运转。目前存在的对等的分布式入侵检测系统或者数据通信量大， 或者检测效率低、反应时间长。 本文针对己存在入侵检测系统的缺陷，结合移动代理技术的优点，提出一 种基于移动代理的对等的入侵检测系统模型p i d s ( am o d e lo fm o b i l e a g e n t b a s e dp e e r - t o - p e e ri n t r u s i o nd e t e c t i o ns y s t e m ) 。此模型采用节点自主发现与 邻居接点投票相结合的决策机制，能够主动发现网络中存在的入侵行为，很好 地解决了现存入侵检测系统中存在的负载过大，反应时间长，检测效率低等缺 点，是一种比较有效的入侵检测模型。 1 4 章节安排 互联网上发展迅速，基于网络的应用越来越多，网络对于人们日常工作和 生活，以及企业和政府的运转越来越不可或缺。与此同时网络的安全威胁也越 来越重，病毒、网络攻击等安全事件的破坏威力无比，常见的网络安全防范措 施和手段介绍，以及入侵检测基础的出现，国内外的发展状况，本文研究意义 都在第一章引言中作了简单的介绍。其他章节的安排如下： 第二章，主要介绍入侵检测系统出现的必然性，入侵检测系统的分类，常见 的入侵检测系统分析，目前存在的问题，以及入侵检测系统的发展方向等。 第三章，介绍移动代理技术的出现，移动代理技术的特点和移动代理的工作 原理。 第1 0 页共5 8 页 一种基于移动代理的对等的入侵检测系统模型 第一章引言 第四章，将移动代理技术运用到入侵检测系统中，提出对等的基于移动代理 的入侵检测系统模型。然后介绍系统的架构和具体的各组件功能，以及投票算 法。 第五章，介绍仿真环境，分别针对无权重投票算法和静态权重的投票算法进 行仿真，并对仿真的结果进行分析和比较。 第六章，给出结论，并对进一步的工作进行展望。 1 5 创新性工作 本文的创新性工作主要有以下几点： l 、将移动代理技术引入到对等的入侵检测系统架构中，提出一个基于移动 代理的对等的混合型的入侵检测系统模型，所谓混合型是此模型采取了自主发 现与邻居投票相结合的决策机制。 2 、提出了静态权重和动态权重两种投票算法，并把静态权重投票算法应用 到系统模型中，进行了仿真分析和比较。针对动态权重的投票算法也从理论上 进行了简单的分析，由于时间的限制没有进行仿真研究。 第1 1 页兆5 8 页 一种基于移动代理的对等的入侵检测系统模型第二章入侵检测系统 第二章入侵检测系统 2 1 入侵检测技术 入侵检测系统从网络或者计算机系统中收集信息，并对其进行分析，以发现 网络或计算机系统中存在的违反安全策略的活动或者遭到袭击的迹象。入侵检 测通过以下几种途径来实现： 1 ) 监视分析用户和系统活动 2 ) 对系统弱点进行监视 3 ) 识别与已知的攻击模式相匹配的活动 4 ) 对异常活动模式进行分析 5 ) 对重要的系统和数据文件的完整性进行评估 6 ) 识别违反安全策略的用户活动 早在1 9 8 0 年j a m e s a n d e r s o n 就提出了入侵检测的概念【1 6 】，1 9 8 7 年d o r o t h y d e n n i n g 实现了第一个入侵检测模型【1 8 。 眄稠 口 审计应用 志网络包 图4d e n n i n g 的入侵检测系统模型 第1 2 页共5 8 页 动 一种基于移动代理的对等的入侵检测系统模型第= 章入侵检测系统 该模型包括事件产生器( e v e n tg e n e r a t o r ) 、活动记录器( a c t i v i t yp r o f i l e ) 和规 则集( r u l es e t ) 三个核心组件。事件产生器负责收集事件信息，活动记录器保存 监视中的系统和网络状态，规则集是一个检查事件和状态的检查器引擎。当事 件在数据源中出现时，就改变活动记录器中的变量，系统根据规则集中的规则、 模型、模式和统计结果进行入侵判断。这三个部分是独立的子系统，可以分布 在不同的计算机上。 入侵检测过程一般包括数据收集和数据分析。数据收集也称为数据采集，包 括网络上传输的内容、系统审计数据和用户连接的状态和行为。数据分析是对 收集到的数据进行处理。它是入侵检测的核心。一般包括三种技术手段：模式 匹配、统计分析和完整性分析。 模式匹配就是将收集到的信息与已知的网络入侵和系统误用数据库模式进 行比较，从而发现违背安全策略的行为。此方法的优点是只需收集相关的数据 集合，显著降低系统负载，技术成熟，检测准确率和效率相当高。弱点也很明 显，它对数据库中不存在的未知攻击模式无法处理。 统计分析方法首先给信息对象( 如用户、连接、文件、目录和设备等) 创建 一个统计描述，统计一些正常使用时的关键属性( 如访问次数、操作失败次数、 延时等) 。测量属性的平均值用来与网络或系统的行为进行比较，任何观察行为 的属性值在偏差之外就认为存在入侵。其优点是可以检测到未知的入侵和复杂 的入侵，缺点是误报和漏报率高。 完整性分析与前两种技术不同，不是实时检测的手段，而是用于事后分析。 主要关注某个对象或者文件是否被更改，它在发现被更改、被特络伊化的应用 程序方面特别有效，能识别极为微小的变化。 2 2 入侵检测的必要性 网络安全威胁一般有外部闯入、内部渗透和不当使用三种类型。外部闯入是 指未经授权的计算机系统或者网络的用户入侵：内部渗透是指已经授权的计算 机系统用户访问未许可的数据：不当使用是指用户虽然经过授权，但对系统数 据或者资源的使用不合法或者滥用权限。 第1 3 页共5 8 页 一种基于移动代理的对等的入侵检测系统模型第二章入侵检测系统 一般来说，网络安全威胁主要来自以下几个方面【 】： 1 1 病毒 2 ) 黑客攻击 3 ) 网络产品物理方面的安全性 4 1 网络内部用户滥用权限 5 ) 防火墙和主机的配置不合理 6 1 应用程序存在安全漏洞 7 ) 网络协议方面的安全性，比如网络核心协议t c p i p 本身缺乏安全方面 的考虑 8 ) 操作系统的安全性，比如最流行的操作系统w i n d o w s 存在不少的安全 漏洞 9 ) 缺乏有效的手段监视和评估网络的安全性 一个安全系统应该满足用户系统的保密性、完整性、可用性和可控性要求。 但是，随着网络连接的迅速扩展，特别是i n t c m e t 大范围的开放以及金融网络的 接入，越来越多的系统遭到入侵攻击的威胁。这些威胁大多是通过挖掘操作系 统和应用服务程序的弱点或者缺陷来实现的。1 9 8 8 年的“蠕虫事件”就是一个 很好的实例1 5 】。 对付破坏系统企图的理想方法是建立个完全安全的系统，这就要求所有的 用户能识别和认证自己，还要采用各种各样的加密技术和强访问控制策略来保 护数据。而实际上，这几乎是不可能的。 1 ) 在实践中，建立完全安全的系统是根本不可能的。m i l l e 0 ”1 给出一份有 关当前流行的操作系统和应用程序的研究报告，指出软件中不可能没有 缺陷，设计和实现一个整体安全系统相当困难 2 ) 将所有己安装的带安全缺陷的系统转换成安全系统需要相当长的时间 3 ) 加密技术本身存在的一定问题 4 ) 安全系统易受内部用户滥用特权的影响 5 ) 安全访问控制等级和用户的使用效率成反比 6 ) 访问控制和保护模型本身存在一定的问题 7 ) 在软件工程中存在软件测试不充足、软件生命周期缩短、大型软件复杂 笫1 4 页兆5 8 页 一种基于移动代理的对等的入侵检测系统模型第二章入侵检测系统 度高等难解的问题 8 ) 用户大量的应用程序和数据处理对现有系统的依赖性，使一个新的且更 具安全性的系统来替代有缺陷的系统的代价太高 考虑到以上提到的种种困难，一个实用的方法是，建立比较容易实现的安全 系统，同时按照一定的安全策略建立相应的安全辅助系统，d s 就是这样一类 系统。如果系统遭到攻击，需要尽可能早地检测、甚至是实时地检测到，然后 采取适当的处理措施。采取了认证技术、访问控制和防火墙等技术后，系统仍 然需要入侵检测。 d s 一般不是采取预防的措施以防止入侵事件的发生，入侵 检测作为安全技术的作用在于： 幻识别入侵者。 b ) 识别入侵行为 c ) 检测和监视已成功的安全突破 d ) 为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大 因此，入侵检测是非常必要的。 2 2 入侵检测系统分类 入侵检测系统主要可分为基于主机，基于网络两种类型【1 9 】1 2 0 l f 2 “，另外还细 分的分布式的入侵检测系统。 1 基于主机的入侵检测系统 基于主机的入侵检测系统监视系统、事件和操作系统的安全日志，当有文件 发生变化时，入侵检测系统将记录条目与攻击标记进行比较，如果匹配就向管 理员报警或者向其他的目标报告。基于主机的入侵检测系统也通过监视、检验 关键的系统和可执行性文件，以及监听端口来发现入侵行为。 它的优点主要有： 1 ) 监视所有的系统活动。能够监视所有的用户登录退出，甚至用户所有的 操作、审计系统在日志里做的策略改变、监视系统文件的改变和可执行 文件的改变。能发现细微的变化，检测率高。性价比高，需要的主机少； 对网络流量不敏感。 第1 5 页共5 8 页 一种基于移动代理的对等的入侵检测系统模型 第二章入侵检测系统 2 ) 其次，对某些特定的攻击十分有效，比如，审计日志能够显示出由缓冲 溢出攻击引起的优先级转移情况，从而能够有效的检测缓冲区溢出攻 击。 3 ) 适应交换和加密环境。可以灵活地在多个关键主机上安装配置基于主机 的入侵检测系统，而不用考虑交换和网络拓扑问题。某些类型的加密对 于网络入侵来说也很难准确判断攻击的具体位置，而这对于基于主机的 入侵检测来说并不是问题。 4 ) 能准确地判断攻击是否成功。基于主机的入侵检测系统可以将攻击事件 同已经发生过的入侵事件信息进行比较，相对于基于网络的入侵检测系 统来说，它可以准确地判断攻击是否成功。 其主要缺点是： 1 ) 首先信息源与操作系统密切相关。由于各个操作系统平台的日志形式不 同，所以系统不能通用于各种平台，必须为不同的操作系统开发不同的 i d s 版本，这必然造成人力财力的浪费。 2 ) 其次，信息源单一，缺乏相关性，随着黑客入侵技术的不断发展，系统 入侵通常发生在整个网络范围内，涉及一系列的主机，如分布式拒绝服 务攻击( d d o s ) ，所以仅依靠单一主机的信息源是无法做出准确判断的。 3 ) 对网络底层攻击检测困难，尽管日志记录了大量的网络事件信息，但是 通过审计日志不能发现网络数据包的内容或底层攻击，基于主机i d s 会 由于在日志中找不到相应的信息而忽略某些攻击。 2 基于网络的入侵检测系统 基于网络的入侵检测系统利用通过网络的原始数据包作为数据源，利用工作 在混杂模式下的网卡实时分析所有通过共享网络的数据包。它通过模式或者字 节匹配，频率或穿越阀值以及次要事件的相关性等技术来识别攻击标志。为了 能够捕获入侵攻击行为，基于网络i d s 必须位于能够看到所有数据包的位置， 无论是环网内部、安全网络中紧随防火墙之后还是其它子网的路由器环网关之 后。 它具有： ， 1 ) 成本费用低。基于网络的入侵检测系统不需要在大量的主机上安装软 第1 6 页共5 8 页 一种基于移动代理的对等的入侵检测系统模型第二章入侵检测系统 件，允许在重要的端口检查面向多个网络的数据流。一个网段只需要安 装一套软件就能监控整个网段的通信，侦测速度快。 2 ) 信息全面。基于网络的入侵检测系统会检测数据包的包头，因此不会遗 漏关键信息。 3 ) 隐蔽性好，不易被发现，基本上不提供对外服务，比较坚固。 4 ) 视野宽，攻击者在进入网络的边缘很可能即被发现。 5 ) 能够检测到不成功的攻击或者恶意企图。 6 ) 与操作系统无关等优点。 其主要缺点是： 1 ) 首先对经过加密的数据流无法进行分析、识别、匹配。 2 ) 其次，难以精确控制用户的行为。基于网络i d s 只能从用户交换的报文 中粗略的判断用户的行为，但是不能判断用户行为对目标系统造成的影 响，从而忽略某些入侵攻击行为，比如，用户运行了一个缓冲区溢出程 序，网络i d s 只能够断定用户在执行一个程序，却无法判断用户执行的 程序是否合法。 3 分布式的入侵检测系统 分布式i d s 最早出现于1 9 9 1 年，它在网络中不同位置安放若干个探测节点， 按照制订的规则搜集、整理信息，然后统一交给中央主控节点，由中央主控节 点按照规则对信息进行分析判断，从而做出是否入侵的判断。 分布式i d s 可以分为两类：主机分布和网段分布。早期的分布式i d s 多属 于主机分布，即若干个i d s 分散在网络中的若干个主机上执行，同时又由中央 节点对各主机的相关信息做出综合判断。现在的分布式i d s 多属于网段分布， 即在若干网段上搜集信息，由中央节点进行信息处理，执行入侵检测功能。 分布i d s 将信息搜集整理功能和入侵分析判断功能分散在整个网络范围内 的多个检测节点上，提高了整个系统的入侵检测效率，并且有对多个节点同时 入侵检测的能力。但由于全部检测节点依赖于中央主控节点协同工作，一旦主 控节点受到攻击，整个系统也就瘫痪。因此分布式i d s 的安全系数不高，容易 产生单点失效问题。 第1 7 页共5 8 负 种基于移动代理的对等的入侵检测系统模型 第= 章入侵检测系统 2 3 常用的系统模型分析 入侵检测概念自从1 9 8 0 年由j a m e s 提出以来【l ”，入侵检测技术得到广泛而 深入的研究，基于各种技术和结构的入侵检测系统得以实现。这里我们介绍几 种典型的入侵检测系统，包括传统的c s 结构的i d s 系统，采用分层机构的分 布式i d s 系统以及采用对等结构的分布式i d s 系统，分别分析其优点和存在不 足，以及缺陷如何被进一步克服。 2 3 1 传统的c s 结构的i d s 系统 早期的入侵检测系统采用传统的c s 结构，系统分为s e r v e r 和c l i e n t 两部 分，c l i e n t 负责收集可疑事件的信息，然后传递到s e r v e r 端，由其统一分析处 理，c l i e n t 和s e r v e r 要保持实时的连接。 图5 传统的c s 结构的入侵检测系统 这种传统的入侵检测系统优点如下： 1 结构简单 2 反应速度快，效率高 缺点也很明显： 1 所有的信息由s e r v e r 分析处理，其负载比较大 2 s e r v e r 被攻击后，整个系统就瘫痪了，存在单点失效问题 3 几乎所有功能集中在s e r v e r 端，功能集中，层次不清楚，不利于升级 第1 8 页共5 8 页 一种基于移动代理的对等的入侵检测系统模型 第二章入侵检测系统 4 无法检测到d d o s 等分布式攻击 2 3 2 采用分层结构的分布式i d s 系统 为解决传统c s 的入侵检测系统中存在的结构层次不清，难以升级，应对 分布式攻击等问题，安全系统专家提出并实现了采用分层结构的分布式的入侵 检测系统。系统通常采用三层结构，最底层的是监视代理，负载收集可疑行为 的信息，然后传递到控制器层，控制器层负载提炼关键信息并转发到最上层的 管理器，管理器对信息进行分析处理，并做出适当的反应。 豳6 采用分层结构的分布式入侵检测系统 采用此结构的系统比传统的c s 结构的入侵检测系统已经有不少改进，分 层结构利于系统的升级，采用分布式结构可以检测到d d o s 等分布式攻击。系 统中依然存在中央管理器，虽然控制器可以分担一部分功能，使得中央控制器 的负载有所减少，但中央管理器所在的主机遭到攻击整个系统就不能正常运转 了，单点失效问题未能解决。 2 3 2 采用对等结构的分布式i d s 系统 通常情况下，网络安全是非常重要的，入侵检测系统存在的单点失效是一个 非常严重的问题，为了克服这个缺点，于是有专家提出采用对等结构的分布式 的入侵检测系统。在这样的系统中，所有的节点都是平等的，不再有中央管理 第1 9 页共5 8 页 一种基于移动代理的对等的入侵检测系统模型第二章入侵检测系统 器，每个节点中的程序组建、结构和系统配置都是一样的，这样网络中某个节 点瘫痪，不会影响到整个系统的运转。 c o o r d i n a t o r i c 训 t上 t上 c o n t r o l l e rc o n t r o l l e r t上t上 m o n i t o rm o n i t o t a g e n ta g e n t 图7 采用对等结构的分布式入侵检测系统 采用对等结构的入侵检测系统没有集中的分析处理单元，因此通常采用投票 算法来解决分布式的统计和可疑行为分析处理。通常一个节点发现可疑行为， 然后发起一个投票过程，向邻居节点发送投票请求，统计所有的投票后得到一 个结论。 采用对等结构的入侵检测系统可以很好的解决单点失效问题，但是早期的系 统由于算法等原因。系统存在效率低，误报率高等缺点。 2 4 国内外的研究状况 、 1 9 8 0 年4 月，j a m e sea n d e r s o n 第一次详细阐述了入侵检测的概念u 6 1 ，他 将入侵尝试( i n t r u s i o na t t e m p t ) 或威胁( t h r e a t ) 定义为：潜在的、有预谋的、未经 授权的访问信息、操作信息，致使系统不可靠或无法使用的企图。入侵检测则 是对入侵尝试或潜在威胁的发觉。 1 9 8 6 年，d o r o t h y d e n n i n g 和s r f c s l 的p e t e r n e u m a n n 研究出了第一个实 时入侵检测系统模型i d e s ( i n t r u s i o nd e