（计算机应用技术专业论文）基于移动代理的可动态构建分布式入侵检测系统研究.pdf

摘要 随着计算机网络技术的迅速发展，网络对社会生活的影 响力越来越大，网络安全问题也变得越来越重要，针对网络 信息安全的入侵攻击形式也不断翻新，入侵检测系统作为一 种主动的信息安全防御技术，近年来已成为网络安全研究的 熟点 另一方面，移动代理技术作为目前计算机科学领域的一 门新兴技术，其独特的迁移性和自治性给分布式计算带来了 巨大的革新。随着入侵检测技术的发展和应用，移动代理技 术也开始被引入到分布式入侵检测技术的研究中 本文在对入侵检测的产生发展及其现状以及入侵和入侵 检测技术分析研究的基础之上，提出了一种基于移动代理的 可动态构建分布式入侵检测系统模型，该模型使用移动代理 作为分布式系统组件来进行入侵数据的采集及分析，利用移 动代理的可迁移能力实现了对分布式，协同式攻击的检测， 利用移动代理的移动性、灵活性、适应性，跨平台性来克服 目前分布式入侵检测系统中存在的灵活性差，伸缩性、动态 构建能力有限以及升级能力差等缺陷，可以有效提高分布式 入侵检测系统的检测效率和准确度，为移动代理技术在分布 式入侵检测系统中应用做出了有益尝试。 本文还论述了该模型基于目前流行的移动代理平台一 i b ma g le ts 上的实现，并进行了基本测试和验证 关键词：入侵检测；网络安全；分布式入侵检测；移动代理； 动态构建；伸缩性 a b s t r a e t ， w i t ht h ef a s td e v e l o p m e n to fc o m p u t e rn e t w e r kt e c h n o l o g y ，t h e n e t w o r kh a sm o r ea n dm o r ei n f l u e n c eo ns o c i a ll i f e ，t h en e t w o r k s e c u r i t yq u e s t i o na l s ob e c o m e sm o r ea n dm o r ei m p o r t a n t ，t h e r ea r e m a n yn e ww a y st oa t t a c kt h es e c u r i t yo ft h en e t w o r k ，i nr e c e n ty e a r s i d sa so n ek i n do fa c t i v ei n f o r m a t i o ns e c u r i t yd e f e n s et e c h n o l o g yh a s b e c o m e sah o ts p o ti nn e t w o r ks e c u r i t yr e s e a r c h o nt h eo t h e rh a n d ，m o b i l ea g e n t s t e c h n o l o g y a sa ne m e r g i n g t e c h n o l o g y i nt h ec o m p u t e rs c i e n c ed o m a i na t p r e s e n t ，i t su n i q u e m i g r a t o r ya n dt h ea u t o n o m yh a v eb r o u g h tah u g ei n n o v a t i o nf o rt h e d i s t r i b u t e dc o m p u t i n g ，a l o n gw i t ht h ei dt e c h n o l o g yd e v e l o p m e n ta n d t h ea p p l i c a t i o n ，t h em o t i o na g e n t st e c h n o l o g ya l s os t a r t st oi n t r o d u c ei n t h er e s e a r c ho fd i s t r i b u t e di n t r u s i o nd e t e c t i o nt e c h n o l o g y b a s e do nt h ep r o d u c t i o na n dd e v e l o p m e n to ft h ei d s ，a n da n a l y s i s o ft o d a y si d ，t h i st h e s i si n t r o d u c e sam o d e lo fd i s t r i b u t e di n t r u s i o n d e t e c t i o n s y s t e m ( d i d s ) b a s e do nm o b i l ea g e n t s ，t h en e wo n e i s r e g a r d e dag r e a tp r o g r e s si na p p l y i n gd i s t r i b u t e dc o m p o n e n t st oc o l l e c t a n da n a l y z et h ei n t r u s i o nd a t a t h ef r a m e w o r km a k e su s eo ft h e p r o p e r t i e so fm o b i l ea g e n t ss u c ha sm o b i l i t y ，f l e x i b i l i t y ，a d a p t a b i l i t y ， o p e r a t i n gi nh e l e r o g e n e o u se n v i r o n m e n t s ，r e u s i n gc o d et oo v e r c o m ea n u m b e ro fs h o r t c o m i n g so fc u r r e n t l yd e p l o y e di d s ，s u c ha sl o c ko f e f f i c i e n c y ，l a c ko fp o r t a b i l i t ya m o n gm o n i t o r e de n v i r o n m e n t s ，j i m i t e d f l e x i b i l i t y ( i n c l u d e ss c a l a b i l i t ya n dd y n a m i cr e c o n f i g u r a t i o n ) ，l i m i t e d u p g r a d a b i t i t y ，e t c i tm i g h te n h a n c et h ed i s t r i b u t e di n t r u s i o nd e t e c t i o n s y s t e m se f f i c i e n c ya n da c c u r a c y ，a n di t m a d eab e n e f i c i a la t t e m p tt o t h ea p p l i c a t i o no fm o b i l ea g e n t st e c h n o l o g yi nt h ei d s t h i st h e s i sa l s oe l a b o r a t e dt h i sm o d e lb a s e do np r e s e n tp o p u l a r m o b i l ea g e n t sp l a t f o r m i b ma g l e t so nr e a l i z a t i o n ，a n dh a sc a r r i e do n t h eb a s i ct e s ta n dt h ec o n f i r m a t i o n k e yw o r d s ； i n t r u s i o nd e t e c t i o n ；n e t w o r ks e c u r i t y ；d i s t r i b u t e di n t r u s i o n d e t e c t i o n ；m o b i l ea g e n t ：d y n a m i cc o n s t r u c t ；f l e x i b i l i t y 创新点声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果，在论文中有以下创新点： 1 引入移动代理技术，以提高分布式入侵检测系统的可扩展性 和动态自适应配置能力； 2 系统中设计了协同分析代理和分析代理，以解决简单入 侵和协同式、分布式入侵的检测； 3 系统中设计了较完善的安全防护机制和稳定性控制机制； 4 系统中设计了完整的系统通信机制。 尽我所知，到目前国内外文献未见报道。 作者：鱼! 垦皇日期：赴z ：y 辽宁工程技术大学硕士擘位论文 1引言 1 1研究的背景 近几年来，随着计算机技术和通讯技术的迅速发展，网 络正在逐渐改变着人们的工作方式和生活方式。而随着网络 的开放性、互连性、共享性程度的不断扩大，网络对社会生 活的影响力越来越大，网络安全问题也变得越来越重要 网络安全的实质就是对网络信息的保密性、完整性、有 效性进行的保护】 保密性就是要保证信息不泄漏给非授权的个人和实体， 只有合法用户才能使用，这是网络信息安全最重要的要求 完整性要求信息在存储或传输过程中不被非法修改、 增删和破坏，这是网络信息系统安全的基本要求 可用性要求保护合法用户访问网络信息系统时免受非 法限制，即保证网络，系统、硬件和软件的可靠性，即使有 中断服务的事件发生，也能快速地恢复正常 现有的安全机制大多通过访问控制、加密、防火墙等技 术来保护计算机和网络系统信息安全，这些技术基本上都是 基于静态安全模型被动防护的思想来保障网络安全的，而随 着网络攻击手段的不断翻新以及被防护系统复杂度的逐步提 高，单纯利用这些技术已经远远不能满足网络安全的需要， 人们越来越需要的是对整个信息网络的全面保护和防御，以 确保安全性，这包括对系统的保护、检测和反应能力的同时 具各安全保障体系必须从静态的被动保护转到动态的主动 防御，以强调网络信息系统在整个生命周期中的防御和恢复， 基于这样一种需求，人们提出了很多主动安全模型，其中最 著名的就是2 0 世纪9 0 年代末美国i s s 公司提出的p 2 d r 模型1 2 】 p 2 d r 模型是一个动态的计算机系统主动安全理论模型， 辽宁工程技术大学硕士学位论文 p 2 d r 是p o l i c y ( 安全策略) ， ( 检测) ，r e s p o n s e ( 响应) ， 特性 p r o t e c t i o n ( 防护) ，d e t e c t i o n 其特点是动惫性和基于时间的 p 2 d r 模型是在整体的安全策略( p o i i c y ) 的控制和指导下。 在综合运用防护工具 ( p r o t e c t i o n ，如防火墙、 操作系统身份认证，加密 等手段) 的同时，利用检 测工具( d e t e c t i o n ，如漏洞 评估、入侵检测等系统) 了解和评估系统安全状 态，通过适当的响应 ( r e s p o n s e ) 将系统调整到 。最安全”和。风险最低” 的状态在p 2 d r 框架下， 防护，检测和响应组成了 图1 1p 2 d r 模型 一个完整的、动态的安全循环。 近些年来，在国内外信息安全领域，入侵检测技术逐渐 成为研究熟点，入侵检测的概念可以这样定义：当计算机系统 被攻击或入侵时，能及时监测器行为，并做出反应。其目标 是识别针对计算机系统和网络系统，或者广义的信息系统的 非法攻击，包括检测外界非法入侵者的恶意探测和攻击，以 及内部合法用户滥用权限的行为，入侵检测技术是实现p 2 d r 模型中d e t e c t i o n ( 检测) 的关键技术手段，它的作用在于承 接防护和响应过程，提供了对内部攻击，外部攻击和误操作 的实时保护，力争在网络系统受到危害之前拦截和响应入侵 与传统的访问控制技术相比较，入侵检测技术不再是一种被 动预防性的安全技术，而是一种全新的主动防御技术。 辽宁工程技术大学硕士学位论文 一3 一 1 2研究的目的和意义 ， ， 面对大量的安全问题，入侵检测作为一种关键的网络安 全技术得到了广泛的应用和研究随着网络规模的迅速扩大， 体系单一的入侵检测系统已经不能满足大规模网络的入侵检 测需求，c m u s e i 的分析报告指出，未来入侵检测防护系统框 架将朝着分布式的方向发展，目前，入侵检测的研究正逐步 向分布式应用环境转变 近几年来，国内外在分布式应用环境下的入侵检测系统 的体系结构设计、实践上已经取得一定的成果如普渡大学 提出了的a a f i d 等系统，这些系统和技术各有其优点，对本 课题的研究有借鉴之处 然而，尽管目前人们提出了许多分布式入侵检测系统模 型并进行了实现，但是大多数分布式入侵检测系统仍存在以 下缺陷： ( 1 ) 系统体系结构不够灵活，系统大多采用静态方式搭 建，当遇到某些攻击时导致系统部分失效，系统体系结构不 能及时应对意外的攻击事件做出响应和调整； ( 2 ) 系统的配置和维护需要系统管理员进行手工操作， 需要耗费大量的人力资源，而且易于产生人为的失误； ( 3 ) 可扩展性差，由于黑客手段的多样化入侵检测系统 会面临大量的新的攻击事件，部分入侵检测系统不能跟随黑 客攻击技术的发展而更新换代导致系统失效 针对入侵检测系统以上缺点，本文的研究围绕移动代理 技术在入侵检测系统中的应用展开，移动代理是目前最为先 进的一种分布式智能计算技术，在分布式环境中应用有着明 显的优势，本文将研究重点放在了构造一种新的基于移动代 理技术的可以动态构建的分布式入侵检测系统模型并加以实 现，希望通过努力能对移动代理技术在分布式网络入侵检测 辽宁工程技术大学硕士学位论文 一4 一 系统的应用做出有益尝试， 足进行一定的改进 设计的系统能够对前述缺点和不 一。 ， 1 3本文的结构与进行的工作 在本章内容的基础上，第二章主要介绍和分析传统入侵 检测系统的概念，通用模型、入侵检测系统的分类、优缺点、 检测分析的方法以及其优缺点；第三章则主要介绍移动代理 的一些相关知识；第四章进一步分析现有的分布式入侵检测 系统的不足和移动代理技术在分布式入侵检测中应用的可行 性，提出一种新的基于移动代理技术的可动态构建的分布式 入侵检测系统的模型，并给出了该系统的模型结构及各部分 功能；第五章先介绍了阐述了i b ma g l e t s 系统的有关内容， 然后基于i b ma g i e t s 系统阐述了系统实现中的相关内容，并 对系统进行了测试：第六章总结全文，给出了论文研究工作 的特色、不足和今后的研究方向 辽宁工程技术大学硕士擘位论文 2入侵检测技术 ， ， 一 2 1 入侵检测的定义和功能 目前，关于入侵检测的定义存在很多提法，在本文中采 取了美国国家安全通信委员会( n s t a c ) 下属入侵检测小组 ( i d s g ) l9 9 7 年给出的定义，即入侵及入侵检测的概念可以 被定义为l3 1 ： 入侵( i n t r u s i o n ) 是对信息系统的非授权访问以及( 或 者) 未经许可在信息系统中进行的操作 入侵检测( i n t r u s i o nd e t e c t i o i l ) 是对企图入侵、正在 进行的入侵或者已经发生的入侵进行识别的过程 所有能够执行入侵检测任务和功能的系统，都可以被称 为入侵检测系统( i n t r t l s i o nd e t e c t i o ns y s t e l ，缩写为i d s ) ， 其中可以包括软件系统和软硬件结合的系统。入侵检测系统 对系统进行实时监控获取系统的审计数据或网络数据包，然 后将得到的数据进行分析并判断系统或网络是否出现异常或 入侵行为，一旦发现异常或入侵行为，发出报警并采取相应 的保护措施 一般地，入侵检测系统主要应该具有以下功能f 4 l ； ( 1 ) 监测用户和系统的运行状况，查找非法用户和合法 用户的越权操作； ( 2 ) 检测系统配置正确性和安全漏洞并提示管理员修补 漏洞； ( 3 ) 通过对用户非正常活动的分析以发现攻击行为的规 律； ( 4 ) 检查系统程序和数据的一致性及正确性； ( 5 ) 能够实时检测到攻击行为并进行反应； ( 6 ) 操作系统的审计跟踪管理 辽宁工程技术大学硕士学位论文 一6 而在实际的系统中，人们则往往根据实际的应用环境和 应用需求，对上述功能进行有选择的实现。 。 一个完善的入侵检铡系统必须具有以下特点； ( 1 ) 经济性：即入侵检测系统运行必须保证不影响被 检测系统的正常运行； ( 2 ) 时效性：即必须及时地发现各种入侵行为并做出 响应； ( 3 ) 安全性：即入侵检测系统自身必须安全； ( 4 ) 可扩展性：即可以对新的攻击在不改变入侵检测 系统原有机制和体系结构的情况下进行检测 2 2入侵检测技术的发展历程 入侵检测技术自2 0 世纪s 0 年代早期提出以来，经过了2 0 多年的不断发展，已经从最初的一种有价值的研究想法和单 纯理论模型，迅速发展出种类繁多的各种实际原型系统和商 用入侵检测系统产品对于入侵检测技术的研究，也已从早 期的审计跟踪数据分析，到实时入侵检测系统，再到目前应 用于大型网络的分布式检测系统，逐步发展成为了具有一定 规模和理论体系的研究领域 早在1 9 8 0 年4 月，j 8n l e sp a n d e r s o n 为美国空军做了一 份题为( c o m p u t e rs e c u r i t yt h r e a tm o n i t o r i n ga n ds u r v e i l l a n c e ) p j 的技术报告，第一次详细阐述了入侵检测的概念，他提出了 利用审计跟踪数据监视入侵活动的思想，这份报告被公认为 是入侵检测的开山之作。 从1 9 8 4 年到19 8 6 年，d e n n i n g 和n e u m a n n 在s r i 公司内设 计和实现了著名的实时入侵检测系统模型i d e s ( 入侵检测专 家系统) ，该系统是早期入侵检测系统中最有影响力的系统之 一d e n n i n g 在1 9 87 年基于i d e s 发表的论文。a n ir l t r us io n d e t ec t i o nm o d e l ( 入侵检测模型) ”【6 】中提出了入侵检测的 辽宁工程技术大学硕士学位论文一7 - 基本模型，并提出了几种可用于入侵检铡的统计分析模型， 该论文被认为是入侵检测的又一开山之作j 正式启动了入侵 检测领域中的研究工作 随着i n t e r n e t 的发展，特别是1 9 8 8 年的莫里斯蠕虫事件 发生之后，网络安全开始真正引起了美国军方，学术界和企 业的高度重视，人们认识到单纯依靠主机审计信息进行入侵 检测已难以适应网络安全的需要19 9 0 年加州大学d a y is 分校 的t o d dh e b e r l e i n 等人开发出了n s m ( n e t w o r ks e c u r i t ym o n i t o r ， 网络安全监控器) ，并在i e e e 发表有关论文“an e t w o r ks e c u r i t y m o n i t o r ( 网络安全监控器) ”，标志着入侵检测第一次直接将 网络数据包作为了审计分析数据来源。 n s m 系统之后。在加州大学d a y is 分校等多个部门联合下 开展了对d i d s ( 分布式入侵检测系统) 的研究，该系统首次 将主机入侵检测和网络入侵检测技术进行了集成，具备在目 标网络环境下跟踪特定用户异常的能力 此后，随着人工智能等相关技术的发展，人们相继提出 将状态转移分析思想、有色p e t r i 网理论、人工免疫原理等用 于入侵检测系统来提高检测的智能性、准确性和实时性，都 取得了一定的成果 2 0 世纪9 0 年代末，由于a g e n t ( 自治代理) 技术在计算机 领域的广泛应用，人们开始考虑将该技术应用于入侵检测领 域，2 0 0 0 年，普渡大学的d i e g oz a m b o n i 和e s p a f f o r d 提出了 分布式入侵检测的自治代理结构，并实现了原型系统a f i d 系 统目前，随着移动代理( m o b i l ea g e n t ) 技术的提出， 如何利用移动代理技术构建有效的分布式入侵检测系统已成 为入侵检测研究领域的新问题 2 3入侵检测系统的通用模型和组成 在入侵检测技术的发展过程中，国内外研究者提出了多 辽宁工程技术大学硕士学位论文 种入侵检测系统的模型，这里主要给出一个比较著名的通用 系统模型一c i d f 模型l 引 。 。 公共入侵检测框架( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ，简 称c i d f ) 是由美国国防高级研究计划署( d a r p a ) 提出建议， 美国加州大学d a v is 分校安全实验室主持起草的一个入侵检 测系统标准，目的是为了提高i d s 产品、组件与其它安全产品 之间的互操作性在c i d f 中提出了一个入侵检测的通用模型， 图2 1c i d f 的通用模型 将入侵检测系统分为4 个基本组件：事件产生器、事件分析器， 响应单元和事件数据库，结构如图2 一l 所示 c i d f 将i d s 需要分析的数据统称为事件，它可以是网络中 的数据包，也可以是从系统日志或其他途径得到的信息 ( 1 ) 事件产生器 事件产生器的任务是从入侵检测系统之外的计算环境中 收集事件，并将这些事件转换成c i d f 的g i d 0 格式传送给其他 组件例如，事件产生器可以是读取c 2 级审计踪迹并将其转 换为g i d o 格式的过滤器，也可以是被动地监视网络并根据网 络数据流产生事件的另一种过滤器，还可以是s q l 数据库中产 生描述事务的事件的应用代码 辽宁工程技术大学硕士学位论文 一9 一 ( 2 ) 事件分析器 事件分析器分析从其他组件收到的g i 。d o 并将产生的新 g i d o 再传送给其他组件分析器可以是一个轮廓描述工具， 统计性地检查现在的事件是否可能与以前某个事件来自同一 个时间序列：也可以是一个特征检测工具，用于在一个事件序 列中检查是否有己知的滥用攻击特征；此外，事件分析器还 可以是一个相关器。观察事件之间的关系，将有联系的事件 放到一起，以利于以后的进一步分析。 ( 3 ) 事件数据库 用来存储g i d o ，以备系统需要的时候使用 f4 ) 响应单元 响应单元处理收到的g i d o ，并据此采取相应的措施，如 杀死相关进程，将连接复位，修改文件权限等 以上四个组件只是逻辑实体，一个组件可能是某台计算 机上的一个进程甚至线程，也可能是多个计算机上的多个进 程，它们以g i d o ( 统一入侵检测对象) 格式进行数据交换g i d o 是对事件进行编码的标准通用格式( 由c i d f 描述语言c i s l 定 义) ，它可以是发生在系统中的审计事件，也可以是对审计事 件的分析结果。 c i d f 中给出的通用模型是一个影响深远的逻辑框架，直 到目前为止，大多数入侵检测系统在逻辑结构设计上仍然基 本遵循该模型的架构 2 4入侵检测技术分类及优缺点 根据分类基准的不同，入侵检测技术分类的方法较多 ， 下面分别介绍。 i 按照数据来源的分类 入侵检测系统按照数据来源分类，可以分为三类：基于 主机的入侵检测系统( h i d s ) 、基于网络的入侵检测系统c n i d s ) 辽宁工程技术大学硕士学位论文 一1 0 一 和分布式入侵检测系统( 混合型) ( 1 ) 基于主机的入侵检测系统( h i d s 卜 基于主机的入侵检测系统通常从被检测主机的审计记录 和日志文件，并辅之以主机上的其他信息，例如文件系统属 性、进程状态等，在此基础之上完成检测攻击行为的任务， 一般只能检测系统所在的主机上发生的入侵活动在基于主 机的i d s 中。检测软件可以安装在被监控的主机上，也可以单 独运行，跟踪记录这台服务器上的非授权访问企图或其它恶 意行为 从技术发展的历程来看，入侵检测系统是从主机审计的 基础上开始发展的，因而早期的入侵检测系统，如d e nr l i n g 的 i d e s ，基本上都是基于主机的入侵检测系统 基于主机的入侵检测技术由于采用了系统的审计记录和 日志文件作为数据源，而且可以在被检测的主机上运行或者 为被检测的主机单独运行，因此具有以下优点： a 能够较为准确地检测到发生在主机系统高层的复杂 攻击行为，包括许多发生在应用进程级别上的攻击，而这类 攻击行为往往是基于网络入侵检测无法检测到的； b 基本上不需要增加新的硬件。 不过，基于主机的入侵检测技术也存在一些缺陷： a 严重依赖与特定的系统平台，所以基本上无法在不同 系统平台上移植； b 如果在被检测主机上运行，会影响主机的运行性能； c 无法对网络环境下的大量攻击行为进行检测和响应 ( 2 ) 基于网络的入侵检测系统( n i d s ) 基于网络的入侵检测技术主要是通过被动地监听网络中 的流量，捕获数据包来获得必要检测数据来源，并通过协议 分析，特征匹配，统计分析等手段发现来自网络中的当前发 生的攻击行为。n s m 系统就是较早的基于网络的入侵检测系 辽宁工程技术大学硕士擘位论文 一1 1 一 统 1 基于网络的入侵检测技术具有以卞优点k a 能够实时监控网络中数据流量，对当前发生的和潜在 的攻击行为进行检测和迅速响应： b 独立于被检测网络中主机的系统类型，不存在移植性 问题； c 通常采用专门独立主机和被动监听的工作模式，运行 不会影响到其它被检测主机的运行效率； d 。系统配置容易，基本不用更改网络拓扑结构和其它被 检测主机 同时，它也具有以下局限性： 8 只能检测同一网段，无法直接检测交换式网络中不同 网段主机的攻击行为； b 在高速网络中，数据包捕获和处理速度往往无法适应 需求，会发生丢包的现象，从而影响检测的准确性； c 无法检测发生在应用进程级别上的攻击 ( 3 ) 分布式( 混合型) 入侵检测系统 2 0 世纪9 0 年代后，人们开始尝试将上述两种检测技术结 合起来，最早实现这种集成的是d i d s 系统，研究者称其为混 合型( t t y b r i d ) 系统不过，从技术发展看，该类技术所体 现的主要思想本质上就是分布式检测架构的思路，因此，习 惯上也将其称为分布式入侵检测技术。 分布式入侵检测系统一般由多个部件组成，这些部件可 根据检测的需要和网络的拓扑特点分布在网络的各个部分， 完成相应的功能，分别进行数据采集，数据分析等通过中 心的控制部件进行协调和综合，产生检测结果和做出响应， 在这种结构下，不仅可以检测到针对单独主机的入侵，也可 以检测到针对整个网络的攻击行为 关于分布式入侵检测本文在第四章还会有较详细叙述 辽宁工程技术大学硕士学位论文 一1 2 2 按照检测工作方式分类 按照入侵检测系统的工作方式可以将入镘检测分为离线 检测系统和在线检测系统两类 ( 1 ) 脱机检测系统 脱机检测系统是非实时工作的系统，它在事后分析审计 事件，从中检查入侵活动。脱机检测并不会间隔太长时间。 所谓的脱机只是相对于联机而言的 脱机检测技术从表象上看对有效的防范和响应是很不利 的，但实际上这种方法用在某些需要占用大量系统资源的检 测或网络流量过大的检测环境下往往比联机检测更有优势， 当然，该技术无法带来实时检测和响应能力 ( 2 ) 联机检测系统 联机检测系统就是在数据产生或者发生改变同时对其进 行检查，以发现攻击行为并立即响应 联机检测可以带来对攻击行为的实时检测和响应。但对 系统资源要求较高 3 按照数据分析方法分类 根据数据分析方法分类，可以将入侵检测系统分为两类， 即异常检测系统和误用检测系统关于数据分析方法具体内 容，本文将下节详细叙述 2 5入侵检测系统数据分析方法及优缺点 当前，大多数入侵检测系统虽然在外在的功能接口、分 布形式等呈现出许多不同，但从系统构成来看，这些系统都至 少包括数据提取、数据分析、响应处理3 个主要部分，图2 2 表示了它们的联系。三个部分中，数据分析则明显在系统中 居于核心地位，数据分析方法选取得当与否，直接影响着整 个系统的检测效率和准确率 辽宁工程技术大学硕士学位论文 一1 3 一 因此，入侵检测技术也可以按照数据分析方法分为两类， 而这也引出了数据分析方法的分类，即数钮盼析方法也可以 分为两大类：异常( a n 0 m a l y ) 检测方法和误用( m is us e ) 检 测方法 图2 - 2 入侵检测基本组成 1 异常( n o m a l y ) 检测方法 异常检测假定所有的入侵活动都必须是异常的活动，基 于这种假设，如果我们能够为系统建立一个正常活动的特征 文件( p r o f “e ) ，从理论上来说我们就能够将所有与正常特 征不同的系统状态视为可疑企图，从而发现入侵 异常检测根据使用者的行为或资源使用状况来判断是否 入侵，通过运行在系统或应用层的监控程序监控用户的行为， 通过将当前主体的活动情况与用户p r o f i l e 进行比较，当活动 情况有超越异常阀值时则被判断为入侵异常检测技术试图 用定量方式描述可按受的行为特征，以区分非正常的、潜在 的入侵行为对于异常阀值与特征的选择是异常检测方法的 关键 异常检测方法的优势在于： ( 1 ) 可以检测出以前从未出现的新的入侵行为； ( 2 ) 与具体系统无关，通用性较强 然而，事实上，入侵活动集合与异常活动集合很多时候 并非完全重合，用户的行为模式往往经常改变，因此，异常 检测方法具有以下局限性； ( 1 ) 误检和漏检率高； ( 2 ) 难以防范入侵者有预谋的训练攻击 辽宁工程技术大学硕士学位论文 一1 4 一 实践中，异常检测常用的方法如下： ( 1 ) 统计异常检测方法； ” 。 ( 2 ) 基于特征选择异常检测方法； ( 3 ) 基于神经网络异常检测方法； ( 4 ) 基于贝叶斯聚类异常检测方法； ( 5 ) 基于机器学习异常检测方法； ( 6 ) 利用数据挖掘技术发现异常检测方法 2 误用( m is us e ) 检测方法 误用检测又被称为特征检测，它假定所有的入侵行为和 手段( 及其变种) 都能够被表达成一种模式或特征，那么所 有已知的入侵方法都可以用匹配的方法发现 误用检测方法根据已经定义好的入侵模式，通过判断这 些入侵模式是否出现来检测入侵行为误用检测方法的关键 是如何表达入侵的模式，将真正的入侵与正常行为区分开来 误用检测方法的优势在于： ( 1 ) 检测准确度高，出错几率小； ( 2 ) 可靠性强 然而，事实上，入侵活动集合与异常活动集合很多时候 并非完全重合，用户的行为模式往往经常改变，因此，误用 检测方法具有以下局限性； ( 1 ) 具体系统依赖性强，系统维护工作量大，移植性差； ( 2 ) 只能检测已知入侵行为，对未知的入侵行为检测无 能为力 实践中常见的误用检测方法大致有以下几种： ( 1 ) 专家系统； ( 2 ) 模式匹配与协议分析方法； ( 3 ) 按键监视方法； ( 4 ) 状态转换分析方法； ( 5 ) p e t r i 网方法 辽宁工程技术大学硕士擘住论文 3移动代理技术 3 1代理与移动代理 计算机智能化和网络化进程促成了软件代理技术的迅速 堀起和广泛应用，移动代理技术则是为了解决复杂、动态、 分布式智能应用而提出的一种全新的计算手段，是计算机软 件技术的又一次深刻变革i l o i 软件代理技术最早可以追溯到人工智能研究初期阶段， 19 7 7 年h e w i t t 在研究c o n c u r r e n ta c t o rm o d e l 时就首次提出 了具有自组织性、反应机制和同步执行能力的软件模型，这 就是最初的软件代理思想此后从7 0 年代末到9 0 年代初，科 学家都将精力集中于对软件代理理论的研究，并从系统的角 度提出了一些基本概念软件代理的具体实践始于9 0 年代， 期间人们进行了一些非常成功的尝试( 如p le i a d e s ，a r c h o n 计划等) ，并对软件代理有了进一步的认识，例如m i c r o s o f t 就认为：“a g e n t 是受人委托代表或代替用户行为，其智能性 显示或表现在其优良的判断力或合理的思想” 目前软件代理在研究领域中尚没有一个理想的定义，但 人们普通认为：软件代理是运行于动态环境的、具有高度自 治能力的实体，它能够接受其它实体的委托并为之服务，不 难看出，软件代理首先具有智能特性，它对环境有响应性、 自主性和主动性；同时，软件代理还具有社会特性在计算 机领域，代理可认为是被授权的个人软件助理，是一种在分 布式系统或协作系统中能持续自主地发挥作用的计算机实 体 软件代理属于人工智能的范畴，它在一定程序上模拟了 人类社会的行为和关系，具有一定的智能并能够自主运行， 向其它软件实体提供相应的服务软件代理具有极大的灵活 辽宁工程技术大擘硕士学位论文一1 6 一 性和适应性，更加适合于开放，动态的网络环境 随着网络技术及应用的蓬勃发展，。人钔越来越希望在整 个网络内，可以让代理在网络中自由移动并执行以完成某些 功能，这就是移动代理( m o b i lea g e l l t ) 的思想 2 0 世纪9 0 年代初，g e n e r a lm a g ic 公司在推出其商业系统 t e l es c r i p t 时第一次提出移动代理的概念，即一个能在异构 网络环境中自主地从一台主机迁移到另一台主机，并可与其 它代理或资源交互的软件实体，从此开创了移动代理技术的 新纪元 目前，和代理技术一样，移动代理作为一门新兴技术， 迄今为止尚没有一个完整且恰当的定义，从本质上看，移动 代理就是指能在同构或异构网络主机之间自主地进行迁移的 有名字的程序，程序能自主地决定什么时候迁移到什么地方， 它能在程序运行的任一点挂起，然后迁移到另一台主机上， 接着继续往下执行 移动代理是一种特殊的代理，一般情况下它需要运行在 特定的虚拟机环境中，它与普通程序的最大不同，就是它可 以在运行期间在虚拟机之间迁移而无需中止程序的执行 移动代理也不同于远程执行，移动代理能够不断地从一 个网络位置移动到另一个位置，能够根据自己的选择进行移 动，移动代理也不同于进程迁移，一般来说，进程迁移系统 不允许进程选择什么时候和迁移到哪里，而移动代理带有状 态，所以可根据应用的需要在任意时刻移动到它想去的任何 地方移动代理也不同于a p p l e t ，后者只能从服务器向客户 单方向移动，而移动代理可以在客户和服务器之间双向移 动 3 2移动代理的特点和优势 移动代理是一个全新的概念，虽然目前还没有统一的定 辽宁工程技术大学硕士学位论文 一1 7 一 义，但它至少具有如下一些基本特征： 身份唯一性：移动代理必须具有特定的身份，能够代表 用户的意愿； 移动自主性：移动代理必须可以自主地从一个节点移动 到另一个节点，这是移动代理最基本的特征，也是它区别与 其它代理的标志； 运行连续性：移动代理必须能够在不同的地址空问中连 续运行，即保持运行的连续性具体说来就是当移动代理转 移到另一节点上运行时，其状态必须是在上一节点挂起时那 一刻的状态 移动代理技术融合了人工智能和分布式计算技术，具有 以下优势： ( 1 ) 主机间动态迁移在传统的构架中，代理是固定在 特定的主机上的，工作时需要将得到的数据发送给上一级处 理器或者其它代理，这样需要一个比较复杂的通信过程，而 移动代理则可以在运行期间直接进行主机间的迁移，就是说 可以从一个场地采集所需要的数据并处理之后，不终止进程 而直接迁移到另一台主机上继续运行，极大简化了数据的处 理过程，从而使数据的可操纵性和全局性有了根本的改变； ( 2 ) 智能性由于移动代理可以自由她在主机之间进行 迁移，使得代理的运行场地不再局限在某一个特定位置，从 而比较容易获得全面和有针对性的数据，在这些数据的基础 上，代理可以充分利用现有的人工智能和统计技术，做出更 加及时和准确的判断，这种特性使得移动代理与传统代理相 比往往可以更有效地自主完成某一个特定的任务； ( 3 ) 平台无关性多数移动代理采用与平台无关的语言， 这样的程序可以跨平台运行，由于主流的平台无关语言例如 j a y a 在各种操作系统上都有其相应的实现，所以选用这些语 言的移动代理可以很容易地完成跨平台的连接，另外，一般 辽宁工程技术大学硕士学位论文 1 8 一 的移动代理体系都建立了与移动代理相配套的平台无关的通 信协议遥过这些协议。代理之间无须建立直接的通信连接， 而是利用虚拟机提供相应的消息服务简化消息传递的操作， 在这个基础上，可以更容易地开发异构平台上的应用系统； ( 4 ) 分布的灵活性移动代理运行在整个分布式系统中， 而不是固定在某一个特定的位置，这样一旦需要它，可以将 自己或者所需的其它移动代理直接发送到所需的主机现场迸 行本地操作，这样提高了操作的灵活性，同时也消除了传统 代理间通信时对复杂通信协议的依赖性； ( 5 ) 低网络数据流量由于结构上的特殊性，移动代理 可以实时对所采集到的数据进行过滤，然后将关键数据提出， 而无需像传统的代理体系那样，将各个主机的所有数据都汇 集到一个中央服务器中，由这个服务器进行综合处理，然后 再向相关的代理转发，这样可以明显减少经过网络上的数据 流量，从而提高网络的总体可用性； ( 6 ) 代理问合作代理机制通过虚拟机系统的通信机制 可以实现多个代理之间的合作，这种合作有多种模式；相同 的代理之间互相协作可以防止系统和代理失效，一旦有代理 失效，其它代理可以采取措施通过承担起失效代理的任务或 者启动新的代理的办法来进行失效弥补；异种代理之间也可 以进行互补性合作，多个不同功能的代理协作完成共同目标， 这样有利于将总体功能模块化，减少单个代理所完成的功能， 从而降低代码的复杂度。缩短调试过程，利用这个特性可以 进一步增强代理的可靠性。 3 3移动代理的体系结构 尽管目前不同的移动代理系统的体系结构各不相同，但 几乎所有的移动代理系统都包括两大基本部分1 1 1 l ；移动代理 ( m o b i1 ea g e n t ) 和移动代理服务器( m o b i l ea g e r i ts e r v e r ) 辽宁工程技术大学硕士学位论文一1 9 图3 - i 移动代理的体系结构 如图3 1 所示，移动代理通过移动代理服务器实现其在网 络上的移动和相应动作，移动代理服务器提供移动代理的执 行环境和控制机制，它根据用户的要求产生相应的移动代理， 通过移动代理传输协议( a g e n tt r a n s f e rp r o t o c o l 简称a t p ) 发送到远程主机上执行相应的任务。移动代理服务器中的控 制机制负责移动代理的行为，如代理的复制、挂起、中止、 移动等，通过安全机制限制移动代理对本地资源的访问，起 到保护远程主机或移动代理的作用当代理需要迁移时由迁 移机制负责代理的移动 3 4移动代理系统 移动代理技术虽然已经研究了很多年，但直到1 9 9 6 年才 出现了真正实用的移动代理系统，目前已经从理论探索进入 到实用阶段，涌现出了一系列较为成熟的开发平台和执行环 境 理论上移动代理可以用任何语言编写( 如c c + + 、j a y a 、 p e r l 和p y t h o n 等) ，并可在任何机器上运行，但考虑到移动代 理本身需要对不同的软硬件环境进行支持，所以最好还是选 择在一个解释性的、独立于具体语言的平台上开发移动代理。 j a v a 是目前开发移动代理的一门理想语言，因为经过编译后 的j a y a 二迸制代码可以在任何具有j a v a 解释器的系统上运 行，具有很好的跨平台特性 辽宁工程技术大学硕士学位论文 - 2 0 一 目前使用的移动代理系统大致可以分为兰类。一类是基 于传统解释语言的，一类是基于j a y a 语言，的。另一类则是基 于c o r b a 平台的下面介绍几个典型的移动代理系统，它们代 表了当今移动代理技术的基本方向和潮流： ( 1 ) g e n e r a lm a g i c 公司的0 d ys s e y 作为移动代理系统专用语言的最早尝试，g e n e r a lm a g i c 公司开发的t e l e s c r i p t 曾经在过去的几年里被广泛采用 近几年，伴随着j a y a 语言的迅速发展及其跨平台特性的 逐步完善，t e le s c r i p t 的优势慢慢消失，g e n e r a lm a g ic 公司 随后开发了一个完全用j a v a 实现的移动代理系统0 d y s s e y ，它 能够支持j a v ar m i ，m ic r os o f td c o m ，以及c o r b a1 1 0 p o d y s s e y 继承了t e l es c r i p t 中的许多特性，是目前被广泛使用的一个 移动代理开发平台 ( 2 ) i b m 公司的 9 1e ts f i 2 j a g l e t s 是最早基于j a y a 的移动代理开发平台之一，这个 名字来源于a g e n t 和a p p l e t ，可以简单地将其看成具有代理行 为的a p p l e t 对象a g le t 以线程的形式产生于一台机器，需要 时可以随时暂停正在执行的工作，并将整个a 9 1 e t 分派到另一 台机器上，然后继续执行尚未完成的任务从概念上讲，一 个a g le t 就是一个移动j a y a