（计算机应用技术专业论文）agent在入侵检测中的应用研究.pdf

摘要 摘要 伴随着网络的发展，安全问题日益突出。传统的安全手段已经不能满足现代网络安 全的发展要求，以防火墙为代表的被动防御措施已经不合时宣。作为第二道防线的入侵 检测系统，以其主动防御的特点有效的弥补了防火墙的不足。 随着网络规模的不断扩大，将入侵检测系统应用于大规模高速网络成为入侵检测系 统研究的新的立足点。同时，黑客入侵的方法也正变得越来越多样化和复杂化，范围也 从针对待定主机的攻击上升为针对网络的全面攻击。因此，传统的入侵检测系统已不能 得到满意的检测结果和检测效率。研究人员发展了许多新的技术，而采用a g e n t 的分布 式系统是一种较好的解决办法。 a g e n t 技术作为新一代分布式计算的关键技术受到了研究人员的重视并逐步成为当 今分布式计算技术研究的热点之一。将其应用到大规模分布式入侵检测系统中，不仅具 有理论意义而且具有实用价值。 本文在研究入侵检测与a g e n t 技术的基础上，提出了一个应用a g e n t 技术的大规模 分布式的入侵检测系统框架，对其中的数据采集a g e n t 、入侵检测a g e n t 、系统通信、 信息收集a g e n t 、响应a g e n t 、追踪a g e n t 、管理与通信a g e n t ，以及与防火墙的协作等 进行了设计和部分实现。 关键词 防火墙，入侵检测，a g e n t 北京工业大学工学硕+ 论文 a b s t r a c t a c c o m p a n y i n gw i t ht h ed e v e l o p m e n to fn e t w o r k ，s a f ep r o b l e mi so u t s t a n d i n g i n c r e a s i n g l y t h et r a d i t i o n a ls a f em e a n sc a n ts a t i s f yt h ed e v e l o p m e n to ft h e m o d e r nn e t w o r k p a s s i v ed e f e n d o o fm e a s u r e s ，s u c ha sf i r e w a l1 ，h a v eb e e nu n p o p u l a r b et h es e c o n dd e f e n s e1 i n e i d sm a k e su pt h es h o r t a g eo ff i r e w a l lw i t hi t sc t i v e d e f e n s i v ec h a r a c t e r is t i c s a l o n gw i t hs c a l e u po fn e t w o r ks c a l e ，i tb e c o m e san e ws t a n do fi d sr e s e a r c h t h a ta p p l y i n gi d st ol a r g e s c a l ea n dh i g h s p e e dn e t w o r k a tt h es a m et i m e 。t h e m e t h o d sf o ri n v a d i n gb e c o m em o r ea n dm o r ev a r i o u sa n dc o m p l i c a t e d s c o p ea t t a c k e d i sf r o mp a r t i c u l a rh o s tt ot h ew h o l eo fn e t w o r k t h e r e f o r e ，t h et r a d i t i o n a li d s h a v n tg e tt h es a t i s f i e dd e t e c t i o nr e s u l ta n dt h ed e t e c t i o ne f f i c i e n c i e s t h e r e s e a r c h e r sd e v e l o p e dm a n yn e wt e c h n i q u e s t h ed i s t r i b u t e ds y s t e mt h a ta p p l y s a g e n ti sag o o ds o l u t i o n a st h en e wg e n e r a t i o n k e yt e c h n i q u eo fd i s t r i b u t e dc a l c u l a t i o n ，a g e n t g r a d u a l l yb e c o m e st h eh o t s p o tr e s e a r c h e do fd i s t r i b u t e dc a l c u l a t i o nt e c h n i q u e n o w a d a y s a p p y i n gi tt ol a r g e s c a l ed i s t r i b u t e di d sn o to n l yh a st h et h e o r i e s m e a n i n gb u ta l s oh a s t h ep r a c t i c a lv a l u e o nt h eb a s i so fs t u d y i n gi d sa n da g e n tt e c h n i q u e ，t h i sp a p e rp u t sf o r w a r d al a r g e - s c a l ed i s t r i b u t e ds t r u c t u r eo fi d st h a ta p p l y sa g e n tt e c h n i q u e t h i s p a p e rd e s i g n sd a t ac o l l e c t i o na g e n t ，d a t aa n a l y s ea g e n t ，s y s t e mc o m m u n i c a t i o n s ， r e s p o n s ea g e n t ，t r a c ea g e n t ，i n f o r m a t i o ng a t h e ra g e n t ，a n dc o o p e r a t i o nw i t h f i r e w a l l f u r t h e r m o r e ，t h i sp a p e rr e a l i z e sp a r t so fs y s t e m i k e y w o r d s 】f i r e w a l l ，t n t r u s i o nd e t e c t i o n ，a g e n t i i 独创性声明 本入声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。 尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰 写过的研究成果，也不包含为获得北京工业大学或其它教育机构的学位或证书而使用过 的材料。与我同工作的同志对本研究所做的任何贡献均己在论文中作了明确的说明并 表示了谢意。 虢玲日期 关于论文使用授权的说明 太j s j f ， d 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权保留送 交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部分内容，可以 采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 豁蠲赴聊签榉嘲型 第1 章绪论 第1 章绪论 1 1 网络安全现状 随着信息技术的发展与应用，信息安全的内涵在不断的延伸，从最初的信息保密性 发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻击、防范、检 测、控制、管理、评估”等多方面的基础理论和实施技术。 网络安全是信息安全中的重要研究内容之一，也是当前信息安全领域中的研究热 点。 1 1 1 网络面临的主要威胁 1 1 1 1 黑客的攻击 黑客技术逐渐被越来越多的人掌握和发展，目前，世界上有2 0 多万个黑客网站， 这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞，因而系统、站点 遭受攻击的可能性就变大了。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手 段，使得黑客攻击的隐蔽性好，破坏力强，是网络安全的主要威胁。 黑客对网络的攻击方式是多种多样的，一般来讲，攻击总是利用系统配置的缺陷、 操作系统的安全漏洞或通信协议的安全漏洞来进行的。到目前为止，已经发现的攻击方 式超过2 0 0 0 种，这些攻击大概可以划分为以下几类： ( 1 ) 拒绝服务攻击。一般情况下，拒绝服务攻击是通过使被攻击对象的系统关键资 源过载。从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种， 它是最基本的入侵攻击手段，也是最难对付的入侵攻击之一，典型示例有s y nf l o o d 攻 击、p i n gf l o o d 攻击、l a n d 攻击、w i n n u k e 攻击等。 ( 2 ) 非授权访问尝试。攻击者对被保护文件进行读、写或执行的尝试，也包括为获 得被保护访问权限所做的尝试。 ( 3 ) 预探测攻击。在连续的非授权访问尝试过程中，攻击者为了获得网络内部的信 息及网络周围的信息，通常使用这种攻击尝试，典型示例包括s a t a n 扫描、端口扫描和 i p 半途扫描等。 ( 4 ) 可疑活动。可疑活动是通常定义的“标准”网络通信范畴之外的活动，也可以 北京工业大学工学硕士论文 指网络上不希望有的活动，如i pu n k n o w np r o t o c o l 和d u p l i c a t ei pa d d r e s s 事件等。 ( 5 ) 协议解码。协议解码可用于以上任何一种非期望的方法中，网络或安全管理员 需要进行解码工作，并获得相应的结果，解码后的协议信息可能表明期望的活动，如 f t uu s e r 和p o r t m a p p e rp r o x y 等解码方式。 近几年，网络攻击行为日趋复杂，各种方法相互融合，使网络安全防御更加困难。 报告显示，c n c e r t c c 在2 0 0 4 年共收到国内外报告的网络安全事件6 4 6 8 6 件，同 2 0 0 3 年全年收到1 万3 千多件报告数量相比，2 0 0 4 年网络安全事件报告数量大大增加。 攻击者行为可用图卜1 表示： 图卜1 攻击者行为 f i g u r e1 1 t h ea c t i o no fa t t a c k e r 1 1 1 2 网络的缺陷 因特网的共享性和开放性使网络安全存在先天不足，因为其赖以生存的t c p i p 协 议簇缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会因局部故障而影响信 息的传输，基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和方便性等方 词存在着不适应性。 2 第1 章绪论 _ i i i i i i i w i _ ! ! _ ，_ _ _ | 曼 1 1 1 3 软件钓漏洞或“后门” 随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在， 比如常用的操作系统，无论是i n d o w s 还是u n i x 几乎都存在或多或少敢安全漏漏，众 多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。大家熟悉的震 荡波、中国黑客等病毒都是利用微软系统的漏洞给企业造成巨大损失，可以说任何一个 软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在潺洞，这也 是网络安全的主要威胁之一。 1 1 1 4 企业网络内部不正当行为 网络内部用户的误操作、资源滥用和恶意j 行为等，使得再完善的防火墙也无法抵御 和做出反应。 1 1 2 防火墙的不足 防火墙在目前的网络安全产品中具有举足轻重的作用，它能较为有效地保护网络内 部的安全，控制对受保护网络的非法访问。它通过监视、限制、更改通过网络的数据流 一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用以防范外对 内、内对外的非法访问。 防火墙作为网络安全的种防护手段得到了广泛的应用，它可以起到一定的防护作 用。但是，月前仅仅使用防火墙保护网络安全是远远不够的，其具有一定的局限性，不 能提供完全的网络安全性，原因如下： ( 1 ) 入侵者可以找到防火墙背后可能敞开的后门。 ( 2 ) 防火墙完全不能阻止来自内部的袭击，而通过调查发现，5 0 的攻击都将来自 于内部。 ( 3 ) 由于性能的限制，防火墙通常不能提供实时的入侵检测能力，而这一点，对于 现在层出不穷的攻击技术来说是至关重要的。 ( 4 ) 防火墙对于病毒也束手无策。 ( 5 ) 在攻击发生后，利用防火墙保存的信息难以调查和取证。防火墙由于自身的功 能所限。难以识别复杂的网络攻击并保存相关的信息。 ( 6 ) 防火墙是种静态的安全技术。需要人工来实旅积维护，不能主动跟踪入侵者。 因此，认为在i n t e r n e t 入口处部署防火墙系统就足够安全的想法是不切实际的。 已经存在一一些绕过典型防火墙配置的技术，如 p p ( t h ei n t e r n e tp r i n t i n gp r o t o c 0 1 ) 北京工业大学工学硕士论文 和w e b d a v ( w e b b a s e dd i s t r i b u t e da u t h o r i n ga n dv e r s i o n i n g ) 等。 由此可见，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的 防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深 的、多样的手段。 传统防火墙目益暴露出来不足和弱点，引发了人们对入侵检测系统技术的研究和应 用。入侵检测系统作为防火墙之后的第二道安全闸门，弥补了防火墙的不足，它在不影 响网络性能的情况下对网络进行监测，从而提供对外部攻击、内部攻击和误操作的实时 保护。 入侵检测技术是继物理隔离、防火墙技术、加解密技术、访问控制等传统安全保护 措施后，新一代的安全傈障技术。它作为一种主动防御技术，是信息安全技术的重要组 成部分，是传统计算机安全机制的重要补充。 入侵检测系统愈来愈多地受到人们的关注，而且已经在各种不同的环境中发挥关键 作用。 1 2 入侵检测含义与分类 1 。2 1 入侵检测含义 入侵检测( i n t r u s i o nd e t e c t i o n ) “1 ，顾名思义，便是对入侵行为的发觉。它通过 对计算机网络或计算机系统中的若于关键点收集信息并对其进行分析，从中发现网络或 系统中是否有违反安全策略的行为和被攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测系统( i n t r u s i o nd e t e c t i o n s y s t e m ，简称i d s ) 。 入侵检测系统执行的主要任务包括。1 ：监视、分析用户及系统活动；审计系统构造 和弱点：识别、反映己知进攻的活动模式，向相关人士报警；统计分析异常行为模式： 评估重要系统和数据文件的完整性：审计、跟踪管理操作系统，识别用户违反安全策硌 的行为。入侵检测一般分为三个步骤：信息收集、数据分析、响应。 入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补 充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力( 包 括安全审计、监视、攻击识别和响应) ，提高了信息安全基础结构的完整性。它从计算 4 第1 章绪论 机网络系统中的若 二关键点收集信息，并分析这些信息，得出有用的结果，为网络安全 提供实时的入侵检测及采取相应的防护手段。 入侵检测的作用主要有以下几个方面： ( 1 ) 若能迅速检测到入侵，则有可能在造成系统损坏或数据丢失之前识别并驱除入 侵者。 ( 2 ) 若能迅速检测到入侵，可以减少损失，使系统迅速恢复正常工作，对入侵者造 成威胁，阻止其进一步的行动。 ( 3 ) 通过入侵检测可以收集关于入侵的技术资料，可用于改进和增强系统抵抗入侵 的能力。 1 2 2 入侵检测系统分类 入侵检测系统可以作如下几种分类。1 ： ( 1 ) 按照控制策略分类 控制策略描述了i d s 的各元素是如何控制的，以及i d s 的输入和输出是如何管理的。 按照控制策略i d s 可以划分为集中式i d s 、部分分布式i d s 和全部分布式i d s 。在 集中式i d s 中，一个中央节点控制系统中所有的监视、检测和报告。在部分分布式i d s 中，监控和探测是由本地的一个控制点控制，层次似的将报告发向一个或多个中心站。 在全分布式i d s 中，监控和探测是使用代理进行分析并做出响应决策。 ( 2 ) 按照同步技术分类 同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。 按照同步技术划分，i d s 划分为间隔批任务处理型i d s 和实时连续性i d s 。在间隔 批任务处理型i d s 中，信息源是以文件的形式传给分析器，一次只处理特定时间段内产 生的信息，并在入侵发生时将结果反馈给用户。在实时连续型i d s 中，事件一发生，信 息源就传给分析引擎，并且立刻得到处理和反映。实时i d s 是基于网络i d s 首选的方案。 ( 3 ) 按照信息源分类 按照信息源分类是目前最通用的划分方法，它分为基于主机的i d s 、基于网络的i d s 和分布式i d s 。基于主机的i d s 通过分析来自单个的计算机系统的系统审计踪迹和系统 目志来检测攻击。基于主机的i d s 是在关键的网段或交换处通过捕获并分析网络数据包 来检测攻击。分布式i d s ，能够同时分析来自主机系统日志和网络数据流，系统由多个 部 牛组成，采用分布式结构。 北京丁业大学 ：学硕士论文 置_ i i ii i 皇璺笪笪曼曼蔓曼| 曩田鼻曩寞 ( 4 ) 按照分析方法分类 按照分析方法i d s 划分为误用检测型i d s 和异常检测型i d s 。误用检测型的i d s 中 首先建立一个对过去各种入侵方法和系统缺陷知识的数据库，当收集到的信息与库中的 原型相符合时则报警。异常检测型i d s 是建立在如下假设的基础之上的，即任何一种入 侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。 ( 5 ) 按照响应方式分类 按照响应方式i d s 划分为主动响应i d s 和波动响应i d s 。当特定的入侵被捡测到时， 主动i d s 会采用以下三种响应：收集辅助信息；改变环境以堵住导致入侵发生的漏洞； 对攻击者采取行动。被动响应i d s 则是将信息提供给系统用户，依靠管理员在这信息 的基础上采取进一步的行动。 1 3 研究内容 本课题研究内容主要包括以下几点： ( 1 ) 入侵检测系统的模型、检测技术，以及存在的闳题； ( 2 ) a g e n t 相关技术； ( 3 ) 如何将a g e n t 技术应用到入侵检测系统中，既能充分利用a g e n t 技术的优点， 又能弥补传统入侵检测系统的缺陷； ( 4 ) 如何设计系统模型； ( 5 ) 模型中的各组成部分的组成和结构如何，各部分如何设计和实现。 ( 6 ) 系统中如何通信等。 1 4 本章小结 本章首先介绍了网络当前面临的主要威胁。接薏分车斥了防火壤产品存在的缺陷以及 入侵检测系统的必要性，然后介绍入侵检测的概念及其分类，最后介绍了本课题的主要 研究内容。 第2 章入侵检测系统理论 第2 章入侵检测系统理论 2 。1 入侵检测方法 入侵检测技术主要分为异常入侵检测技术和误用入侵检测技术两种。 2 1 1 异常入侵检测技术 2 。1 。1 。1 检测原理及常用方法 异常入侵检测技术也被称为基于行为的检测，其基本前提是假定所有的入侵行为都 是异常的。其原理是，首先建立系统或用户的正常行为特征轮廓，通过比较当前的系统 或用户的行为足否偏离正常的行为特征轮廓来判断是否发生了入侵。而不是依赖于具体 行为是否出现来进行检测的，从这个意义上来讲，异常检测是一种间接的方法。 常用的具体方法有：统计异常检测、基于特征选择异常检测、基于贝叶斯推理异常 检测、基于贝叶斯网络异常检测、基于模式预测异常检测、基于神经网络异常检测、基 于贝叶斯聚类异常检测、基于机器学习异常检测和基于数据挖掘异常检测等。 其中具有代表性的检测方法是统计分析方法。统计分析方法首先给系统对象( 如用 户、文件、目录和设备等) 创建一个统计描述，统计正常使用时的些测量属性( 如访闯 次数、操作失败次数和延时等) 。测量属性的平均值将被用来与网络、系统的行为进行 比较，任何观察值在正常值范围之外时，就认为有入侵发生。 2 1 1 2 关键问题及缺点 异常检测的关键问题包括以下两个： ( 1 ) 特征量的选择。异常检测首先是要建立系统或用户的e 常行为特征轮廓，这 就要求在建：蓝正常模型时，选取的特征量既要能准确地体现系统或用户的行为特征，又 能使模型最优化。 ( 2 ) 参考闵值的选定。在实际的网络环境下，入侵行为和异常行为往往不是一对一 的等价关系，这样就会导致检测结果的误报和漏报的产生。由于异常检测是先建立正常 的特征轮廓作为比较的参考基准，这个参考基准即参考阀值的选定是非常关键的，阈值 定的过大，那漏报率会很高；阈值定的过小，则误报率就会提高。合适的参考阈值的选 7 北京工业大学 ：学硕士论文 定是影响这一检测方法准确率的至关重要的因素。 从异常检测的原理可以看出，该方法的技术难点在于正常行为特征轮廓的确定、特 征量的选取，以及特征轮廓的更新。由于这几个因素的制约，异常检测的误报率很高， 但对于未知的入侵行为的检测非常有效。此外，由于需要实时地建立和更新系统或用户 的特征轮廓，这样所需的计算量很大，对系统的处理性能要求会很高。 2 1 2 误用入侵检测技术 2 1 。2 1 检测原理及常用方法 误用入侵检测技术也被称为基于知识的检测，其基本前提是假定所有可能的入侵行 为都能被识别和表示。其原理是，首先对已知的攻击方法进行攻击签名( 攻击签名是指 用一种特定的方式来表示已知的攻击模式) 表示，然后根据已经定义好的攻击签名，通 过判断这些攻击签名是否出现来判断入侵行为的发生与否。 常用的具体方法有：基于条件概率误用检测、基于专家系统误用检测、基于状态迁 移误用检测、基于键盘监控误用检测和基于模型误用检测等。 其中具有代表性的检测方法是模式匹配方法。模式匹配就是将收集到的信息与已知 的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可 以很简单( 如通过字符串匹配以寻找一个简单的条目或指令) ，也可以很复杂( 如利用正 规的数学表达式来表示安全状态的变化) 。一般来讲，一种进攻模式可以用一个过程( 如 执行一条指令) 或一个输出( 如获得权限) 来表示。 2 2 2 2 关键问题及缺点 误用检测的关键问题是攻击签名的正确表示。误用检测是根据攻击签名来判断入侵 的，那如何有效地根据对己知的攻击方法的了解用特定的模式语言来表示这种攻击，将 是该方法的关键所在，尤其攻击签名必须能够准确地表示入侵行为及其所有可能的变 种，同时又不会把非入侵行为包含进来。由于很大一部分的入侵行为是利用系统的漏洞 和应用程序的缺陷，那么通过分析攻击过程的特征、条件、排列以及事件间的关系，就 可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助，而且对 即将发生的入侵也有预警作用，因为只要部分满足这些入侵迹象就意味着可能入侵行为 的发生。 误用检测是通过将收集到的信息与已知的攻击签名模式库进行比较，从而发现违 背安全策略的行为的。那么它就只需收集相关的数据，这样系统的负担明显减少。该方 第2 章入侵检测系统理论 法梭测的准确率和效率都比较高，但是它也存在一些缺点： ( 1 ) 不能检测未知的入侵行为。由于其检测机理是对己知的入侵方法进行模式提 取，对于未知的入侵方法由于缺乏知识就不能进行有效的检测。 ( 2 ) 与系统的柏关性很强。对于不同的操作系统由于其实现机制不同，对其攻击 的方法也不尽相同，很难定义出统一的模式库。另外由于已知知识的局限，难以检测出 内部人员的入侵行为，如合法用户的泄漏。 2 。2 入侵检测系统标准化 目前的入侵检测系统大都是独立研究与开发的，不同系统之间缺乏互操作性和互用 性。一个入侵检测系统的模块无法与另一个入侵检潲系统钓模块进行数据共享，这对入 侵检测系统的发展造成了极大的障碍。 为解决入侵检测系统之闻的互操作性，国际上的一些研究组织开展了标准化工作， 目前对i d s 进行标准化工作的主要有两个组织：作为国际互联网标准的制定者i e t f 的 r n t r u s i o rd e t e c t i o nw o r k i n gg r o u p ( i d w g 入侵检测工作组) 和c o m m o ni n t r u s i o n d e t e c ti o nf r a m e w o r k ( c i d f ，通用入侵检测框架) 。 2 2 。1l d w g i d w g 任务是定义数据格式和交换规程，用于入侵检测与响应( i d r ) 系统之问或与需 要交互的管理系统之间的信息共享。i g w g 提出的建议苹案包括三部分内容；入侵检测信 息交换格式( i n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g ef o r m a t ，简称i d m e f ) 、入侵检 测交换协议( i nl u s i o n9 e r e c t i o ne x c h a n g ep r o t o c e l ，简称 d x p ) 以及隧道轮摩 ( t u n n e lp r o f i l e ) 。 2 2 1 1i d m e f 1 d m e f 描述了表示入侵检测系统输出信息的数据模型，并解释了使用此模型的基本 原理。该数据模型用x m l 实现，并设计了个x m l 文档类型定义。自动入侵检测系统可 以使用i d 瓶f 提供的标准数据格式对可疑事件发出警报，提高商业、开放资源和研究系 统之间的互操作性。i d b i e f 最适用于入侵检测分析器和接收警报的管理器之间的数据信 道。 i d m e f 数据模型以面向对象的形式表示探测器传递给控制台的警报数据，设计数据 模型的目标是为警报提供确定的标准表达方式。并描述简单警报和复杂警报之间的关 北京工业火学工学硕士论文 系。 所有i d m e f 消息的最高层类是i d m e f - m e s s a g e ，每一种类型的消息都是该类的子类。 i d m e f 目前定义了两种类型的消息：a l e r t 和h e a r t b e a t ，这两种消息又分别包括各自的 子类，以表示更详细的消息。 2 2 1 2l d x p 1 d x p 是一个用于入侵检测实体之间交换数据的应用层协议，能够实现i d m e f 消息、 非结构文本和二进制数据之间的交换，并提供面向连接协议之上的双方认证、完整性和 保密性等安全特征。i d x p 是b e e p 的一部分，后者是个用于面向连接的异步交互通用 应用协议，i d x p 的许多特色功能( 如认证、保密性等) 都是由b e e p 框架提供的。 i d x p 通信过程包括建立连接、传输数据、断开连接三个步骤。 1 建立连接 使用i d x p 传送数据的入侵检测实体被称为i d x p 的对等体，对等体只能成对地出现，在 b e e p 会话上进行通信的对等体可以使用一个或多个b e e p 信道传输数据。 对等体可以是管理器，也可以是分析器。分析器和管理器之间是多对多的关系，即一个分 析器可以与多个管理器通信，同样，一个管理器也可以与多个分析器通信；管理器与管理器之 间也是多对多的关系，所以，一个管理器可以通过多个中间管理器接收来自多个分析器的大量 警报。但是，i d x p 规定，分析器之间不可以建立交换。 入侵检测实体之间的i d x p 通信在b e e p 信道上完成。两个希望建立i d x p 通信的入侵检 测实体在打开b e e p 信道之前，首先要进行一次b e b p 会话，然后就有关的安全特性问题进行 协商，协商好b e e p 安全轮廓之后，互致问候，然后开始i d x p 交换。 2 。传输数据 一对入侵检测实体进行b e e p 会话时，可以使用 d x p 轮廓打开一个或多个b e e p 信道， 这样就可以使用额外的信道建立额外的b e e p 会话。但是，大多数情况下，额外信道都应在已 有的b e e p 会话上打开，而不是片ji d x p 轮廓打开一个包含额外信道的瓤b e e p 会话。 在每个信道上，对等体都以客户机服务器模式进行通信，b e e p 会话发起者为客户机，而 收听者则为服务器。 3 断开连接 在关闭一个信道时，对等体在o 信道上发送一个“关闭”元素。指明要关闭哪一个信道。一 个i d x p 对等体也町以通过在0 信道七发送一个指明要“关闭”0 信道的元素，来关闭整个b e e p o 第2 章入侵检测系统理论 量曼皇皇邕 fi l l i w i i i , i 曼f 寞皇皇皇舅皇 会话。 在实际应用中，i d w g 给出了告知一询问模型，如图2 - i ： 2 2 2c i d f 图2 一li d w g 体系结构 f i g u r e2 1 t h es y s t e ms t r u c t u r eo fi d w g c i d f 所做的工作主要包括四部分：i d s 的体系结构、通信机制、描述语言和应用编 程接口a p i 。它将一个入侵检测系统分为四个组件：事件产生器、事件分折器、响应单 元和事件数据库。 c i d f 体系结构如下图2 3 ： 图2 - 2c i d f 体系结构 f i g u r e2 - 2t h es y s t e ms t r u c t u r eo fc i d f 1 1 北京工业大学工学硕士论文 事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事 件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果作出反应 的功能单元，它可以作出切断连接、改变文件属性等反应，也可以只是简单的报警。事 件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是 简单的文本文件。 2 2 2 1c i d f 的通信机制 为了保证各个组件之间安全、高效的通信，c i d f 将通信机制构造成个三层模型： g i d o 层、消息层和协商传输层。 要实现有目的的通信，各组件就必须能正确理解相互之间传递的各种数据的语义， g i d o 层的任务就是提高组件之间的互操作性，所以g i d o 就如何表示各种各样的事件做 了详细的定义。 消息层确保消息在防火墙或n a t 等设备之间传输过程中的可靠性。消息层只负责将 数据从发送方传递到接收方，而不携带任何有语义的信息；同样，g i d o 层也只考虑所传 递信息的语义，而不关心这些消息怎样被传递。 单一的传输协议无法满足c i d f 各种各样的应用需求，只有当两个特定的组件对信 道使用达成一致认识时，才能进行通信。协商传输层规定g i d o 在各个组件之间的传输 机制。 2 2 2 2c l d f 语言 c i d f 的总体目标是实现软件的复用和i d r ( 入侵检测与响应) 组件之间的互操作性。 首先，i d r 组件基础结构必须是安全、健壮、可伸缩的，c i d f 的工作重点是定义一种应 用层的语言c i s l ( 公共入侵规范语言) ，用来描述i d r 组件之间传送的信息，以及制定一 套对这些信息进行编码的协议。c i s l 可以表示c i d f 中的各种信息，如原始事件信息( 审 计踪迹记录和网络数据流信息) 、分析结果( 系统异常和攻击特征描述) 、响应提示( 停止 某些特定的活动或修改组件的安全参数) 等。 c i s l 使用了一种被称为s 表达式的通用语言构建方法，s 表达式可以对标记和数据 进行简单的递归编组，即对标记加上数据，然后封装在括号内完成编组，这跟l i s p 有 些类似。s 表达式的最开头是语义标识符( 简称为s i d ) ，用于显示编组列表的语义。例 如下面的s 表达式： ( d e l e t e 第2 章入侵检测系统理论 ( c o n t e x t ( h o s t n a m e m y h o s t t o a d c o n ) ( t i m e 2 3 ：2 6 ：j 9j u n2 12 0 0 4 ) ) ( i n it i a t o 6 ( u s e r n a m ex x x ) ) ( s o u r c e ( f il e n a m ee t c p a s s w o r d ) ) ) 这个例予描述了这样一个事件：用户x x x 在2 3 ：2 6 ：1 9j u n2l2 0 0 4 删除了m y h o s t t o a d t o m 主机上的文件e t c p a s s w o r d 。 2 3 2 3c l d f 的a p i 接口 c i d f 的a p i 负责g i d o 的编码、解码和传递，它提供的调用功能使得程序员可以在 不了解编码和传递过程具体细节的情况下，以一种很简单的方式构建和传递g i d o 。 c i d f 的a p i 为实现者和应用开发者都提供了很多的方便，它分为两类：g i d o 编码 解码a p i 和消息层a p i 2 。3 入侵检测系统研究现状 1 9 8 0 年，j a m e sp a n d e r s o n 第一次系统阐述了入侵检测的概念，并将入侵行为分 为外部渗透、内部渗透和不法行为三种。之后，1 9 8 6 年d o r o t h ye d e n n i n g 提出实时异 常检测的概念并建立了第一个实时入侵检测模型。1 9 9 0 年，l t h e b e r l e i n 等设计出监 视网络数据流的入侵检测系统n s m ( n e t w o r ks e c u r i t ym o n i t o r ) 。自此之后，入侵检测 系统才真j 下发展起来。 2 3 1 现有系统及其存在的问题 入侵检测系统经过2 0 多年的发展，已经成为网络安全体系的一个重要组成部分。 最近几年，入侵检测技术越来越受到人们的重视，此领域的研究不断深入，出现了多种 类型和品牌的入侵检测系统。 在现有的入侵检测系统中，有一些是研究结构或大学实验室设计实现的，这些i d s 主要是出于研究目的，可以把这些系统称之为原型系统。比较有代表性的原型系统有： 乔治敦大学提出的实时的入侵检测系统抽象模型i d e s ( 入侵检测专家系统) ，美国 p u r d u e 大学设计的m f i d 系统，日本i p a 开发i d a 系统，以及g r i d s 系统。 另外有一些是已得到广泛应用的商业产品系统，如：i s s 公司的r e a l s e e u r e 、n a i 公司的c y b e r c o pm o n i t o r 、c i s c o 公司的n e t r a n g e r 、c a 公司的s e s s i o n w a l l 3 等。 北京工业大学工学硕士论文 国内的该类产品也出现不少，中联绿盟、中科网威、启明星辰等公司都推出了自己的产 品。 另外还有一些免费、开放源代码的产品，最典型的代表就是s n o r t 。 入侵检测系统作为网络安全防护的重要手段，有很多地方值得进一步深入研究。目 前的i b s 还存在以下的很多问题，有待于进一步完善。 ( 1 ) 体系结构的扩展性差。目前大多数i d s 由于体系结构的缺陷只能应对简单的实 验网络，不适用于大规模的网络。 ( 2 ) 缺乏协作。在大型网络中，网络不同的部分可能使用了不同的入侵检测系统或 其它安全产品，它们之间不能交换信息，不能协作，这使得发现分布式攻击困难，即使 发现了攻击时也难以有效的从源头上阻断攻击。 ( 3 ) 有限的响应能力。传统的入侵检测系统将注意力集中在检测攻击，虽然检测很 有用，但系统管理员常常无法立即分析入侵检测系统的报告，并采取相应的行动。这就 使攻击者在系统管理员采取行动前有机可乘。 ( 4 ) 缺乏有效的协同。现在的入侵检测系统大多只是针对特定网段、特定主机的数 据分析，还不能将来自不同源的信息进行协同分析，这会影响对某些攻击的检测。 ( 5 ) 处理速度上的瓶颈。随着高速网络技术如a t m 、千兆以太网等的相继出现，如 何实现高速网络下的实时入侵检测是急需解决的问题。 2 3 2 与a g e n t 技术的结合 近年来，攻击越来越分布化与复杂化，入侵者在实施入侵时往往同时采取多种入侵 手段，咀提高入侵的成功率，井可在攻击实施的初期掩盖入侵的真实目的；同时实施入 侵与攻击的主体呈现隐蔽化。因此，i d s 也需要研究新的技术来应对日益复杂化的攻击。 研究人员发展了许多新的技术，雨采用a g e n t 的分布式系统是一种较好的解决办法 a g e n t 技术具备不少优点，如可以自主完成特定的功能，具备一定的职能等。应用 a g e n t 的入侵检测系统，可以将a g e n t 植入到目标系统，数据的收集、检测以及入侵的 响应都可以在目标系统来完成，不再需要把检测数据发到数据处理中一t l , 进行处理，这样 大大提高了入侵检测的实时性，而且避免了网络通信过载的问题，从而提高了系统的工 作效率。 a g e n t 可以根据不同的策略、环境和分析检测机制来设计和实现。如对于核心主机 的入侵保护，既可以采取采集系统日志文件，来发现目录和文件中的不期望的改变或者 1 4 第2 章入侵检测系统理论 ! _ i i i i i ii in | e 目! 自曩 用户不l f 常的或不期望的行为；也可以直接监听网络数据，分析网络上的每一个数据包 是否具有某种攻击特征来发现是否具有入侵行为。这样将基于网络的入侵检测系统与基 于主机的入侵检测系统结合起来。 由于a g e n t 是独立的功能实体，在一个多代理系统中，单个的a g e n t 能够增加到系 统中去或从系统中删除，并且能够对某个a g e n t 进行重新配置，而不会影响到系统的其 它部分，从而可以通过添加新的a g e n t 或者修改新的检测规则来发现新的入侵行为，这 就较好地解决了常规入侵检测系统的缺陷。 此外，可以移动的a g e n t ，可以就地分析、处理问题，进行数据收集，还可以对入 侵进行追踪等。a g e n t 技术的特点和优点，正好可以弥补现有入侵检测系统的一些缺点 和不足。 近几年研究人员将a g e n t 技术引入到入侵检测系统中，陆续开展了此方面的研究， 比较典型的系统或模型主要有i p a 和a a f i d 。 ( 1 ) 日本i p a 9 于发的树状分级代理系统i d a ( i n t r u s i o nd e t e c t i o na g e n ts y s t e m ) ， 它是一个基于多主机的入侵检测系统，i d a 并不分析所有的用户行为，它只监视可能与 入侵有关的特殊行为。它采用一种分级的结构，根节点是中央管理器，代理作为叶子节 点。 ( 2 ) 美国p u r d u e 大学c e r i a s 工程组丌发的入侵检测模型? ；a f i d ( a u t o n o m o u s a g e n t sf o ri n t r u s i o nd e t e c t i o n ) ，它是一种分布式结构的入侵检测系统。它采用分 布式部件进行数据收集，各部件按层次型的结构组织在各自所在的主机进行检测，并在 检测到入侵时采取响应。 2 4 本章小结 本章主要介绍了常用的入侵检测方法、i d w g 和c i d f 模型，以及i d s 的研究现状。 北京工业大学工学硕士论文 wi ! 鲁皇量蔓曼 3 。1a g e n t 概念 第3 章a g e n t 技术 人工智能和计算机网络的飞速发展，引发了分布式计算新一轮的研究热潮，这期间 最引入注目的就是软件a g e n t 。 软件a g e n t 技术的诞生和发展是人工智能和网络技术相结合的产物。从7 0 年代末 至09 0 年代初，科学家集中精力对软件a g e n t 理论进行了研究，并从系统的角度提出了 一些基本概念。软件a g e n t 的具体实践开始于9 0 年代。 软件a g e n t 目前还没有一个统一的定义，一般认为软件a g e n t 是运行于动态环境的、 具有高度自治能力的实体，它能够接受其它实体的委托并为之服务。 a g e n t 具有自主性、交互性、反应性和主动性等特点。a g e n t 既能独立地完成自己 的工作，又能与其它a g e n t 协作共同完成某项任务，而且a g e n t 能够接受控制并能感知 环境的变化而影响环境。 3 2a g e n t 概念结构和体系结构 a g e n t 的概念结构如图3 - 1 所示 图3 - 1a g e n t 概念结构 f i g u r e3 - 1 t h ec o n c e p ts t r u c t u r eo fa g e n t 第3 章a g e n t 技术 定义层将a g e n t 描述成一个自治的理性实体，包括a g e n t 的学习推理机制、目标、 资源和技能等。组织层定义了a g e n t 与其他a g e n t 的关系。合作层指明了a g e n t 的社会