（管理科学与工程专业论文）基于移动代理的p2p分布式入侵检测系统研究.pdf

山东师范大学硕士学位论文 摘要 互联网的开放性为信息的共享和交互提供了极大的便利，但同时也对信息的安全性提 出了严峻的挑战。随着网络的不断发展，攻击者的攻击模式和方法越来越复杂，攻击规模 日益扩大，信息安全已逐渐发展成为信息系统的关键问题。入侵检测作为一种主动的信息 安全保障措施，- 能根据入侵行为的踪迹和规律发现入侵行为，从而有效地弥补了传统安全 防护技术的缺陷，成为防火墙之后的又一道安全防线。 本文首先介绍了网络安全的概念及当前网络安全现状，说明了传统的安全防御措施存 在的缺陷与不足，进而引出了入侵检测系统的概念并详细介绍了其分类、检测方法等。接 着本文又介绍了移动代理技术和p 2 p 网络( 对等网络) 。移动代理是近几年来提出的一个新 概念，它提供了一个新的计算方式，即程序以软件代理的形式出现，能在一台主机上停止 对它的执行，并通过移动到另一台主机上恢复执行，具备移动性、灵活性、适应性、跨平 台性和代码可重用等特性。 本文随后又详细分析了现有的各种分布式入侵检测模型，引入分布级别的概念对模型 进行了分类，并探讨了各自的优缺点。 本文的主要研究工作及创新如下： 1 ) 提出了一种用于分布式入侵检测系统的层次化协作模型，这种模型综合了层次检测模 型和协作检测模型两者的优点； 2 ) 基于层次化协作模型设计了一种基于移动代理的p 2 p 分布式入侵检测系统结构，并 分析实现了部分组件的功能。通过分析系统对一个复杂入侵的检测过程阐述了它的工作流 程和原理，说明了这种体系结构检测某些攻击的有效性； 3 ) 分析了因移动代理技术的引入而引发的系统安全问题，并对几种具体的安全威胁设计 了解决方案； 4 ) 引入协议分析技术。即在对截获的数据包进行检测时，先使用协议分析的技术辨别数 据包的协议类型，再使用相应的数据分析程序来检测数据包，从而提高了系统的检测效率： 5 ) 对系统数据分析模块中使用的k r 模式匹配算法进行了并行化设计，并比较了原算 法和并行算法的时间复杂度和执行代价。结果证明在一定条件下，并行化算法要优于原算 法。 关键词：网络安全，a p i d s ，移动代理，p 2 p ，协议分析，分布级别 中图分类号：t p 3 9 3 山东师范大学硕士学位论文 a b s t r a c t t h eo p e n n e s so fi n t e r n e to f f e r sg r e a tc o n v e n i e n c eo fi n f o r m a t i o ns h a r i n ga n de x c h a n g e ， a c c o m p a n i e dw i t hc r u c i a lc h a l l e n g e st oi n f o r m a t i o ns e c u r i t y w i t ht h ed e v e l o p m e n to ft h e i n t e r n e t ，n o to n l yt h em o d e sa n dt h em e t h o d so fi n t r u s i o na r eb e c o m i n gm o r ea n dm o r e c o m p l i c a t e d ，b u ta l s ot h es c a l eo fi n t r u s i o ni se x p a n d i n g ，s e c u r i t yi s s u e sh a v ee v o l v e di n t ot h ek e y p r o b l e mo fi n f o r m a t i o ns y s t e m s a sak i n do fa c t i v em e a s u r eo fi n f o r m a t i o na s s u r a n c e ，i d sc a r l f i n dt h ei n t r u s i o nf r o mt h et r a c ea n dp a t t e r no ft h e i ra c t i o n s i th a sb e e na n o t h e rl i n eo fd e f e n c e b e h i n dt h ef i r e w a l l i ta c t sa st h ee f f e c t i v ec o m p l e m e n tt ot r a d i t i o n a lp r o t e c t i o nt e c h n i q u e s t h et h e s i sf i r s t l yi n t r o d u c e st h ec o n c e p t i o no ft h en e t w o r ks e c u r i t ya n dc u r r e n ts i t u a t i o ni n n e t w o r ks e c u r i t y t e c h n i q u e st h e ni ta n a l y z e s t h ed e f e c t so ft r a d i t i o n a ln e t w o r k s e c u r i t y t e c h n i q u e sa n dd i s c u s s e st h ei d s sc l a s s i f i c a t i o n d e t e c t i o nm e t h o d se t c t h et h e s i ss e c o n d l y p r e s e n t st h em o b i l ea g e n tt e c h n o l o g ya n dp 2 p m o b i l ea g c u ti sac o n c e p t i o r lb e e np u tf o r w a r d l a t e l y i to f f e r san e wc o m p u t i n gp a r a d i g mi nt h ef o r mo fas o f t w a r ea g e n t it c a l ls u s p e n di t s e x e c u t i o no nah o s tc o m p u t e r , c a r lt r a n s f e ri t s e l f t oa n o t h e ra g e n t b a s e dh o s to nt h en e t w o r k ，a n d c a l lr e s u m ee x e c u t i o no nt h en e wh o s t s ot h a tt h em o b i l ea g e n th a st h ep r o p e r t i e so fs u c ha s m o b i l i t y ，f l e x i b i l i t y , a d a p t a b i l i t y ，o p e r a t i n gi nh e t e r o g e n e o u se n v i r o n m e n t s ，r e u s i n gc o d ee t c t h et h e s i sa n a l y s i st h ee x i s t i n gk i n d so fd i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ，i n t r o d u c et h e d i s t r i b u t i o nl e v e la n dm a k et h ec l a s s i f i c a t i o no ft h es y s t e m s b a s e do np r e v i o u sr e s e a r c h ，t h em a j o rr e s e a r c hw o r k sa n di n i t i a t i v ep o i n t si nt h i sa r t i c l ea r e ： f i r s t l y , p r o p o s eah i e r a r c h i c a lc o o p e r a t i o nm o d e lo fd i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m t h em o d e ls y n t h e s i z e st h em e r i t so fh i e r a r c h i c a lm o d e la n dt h ec o o p e r a t i o nm o d e l s e c o n d l y ，p r o p o s eap 2 ps t r u c t u r em o d e lo f m o b i l ea g e n t b a s e dd i s t r i b u t e di n t r u s i o nd e t e c t i o n s y s t e m t h ef u n c t i o na n dc o n f i g u r a t i o no fa l lf u n c t i o nm o d u l e so ft h es y s t e mi sp a r t i c u l a r l y d i s c u s s e da n di m p l e m e n t e d ，w et a l ka b o u tt h ef r a m e w o r ko ft h i ss y s t e m ，a n dt h es t r u c t u r ea n d o p e r a t i o n a lp r i n c i p l eo f a l lk i n d so f a g e n ti nt h i ss y s t e m a c c o r d i n ga c c o r d i n gt ot h ec o m p l i c a t e d d e t e c t i o np r o c e d u r et os o m ei n t r u s i o n ，t h ew o r k f l o wa n do p e r a t i o n a lp r i n c i p l eo ft h es y s t e ma r e d e s c r i b e di nd e t a i l s f u r t h e r m o r e ，t h ea d v a n t a g e so f t h es y s t e ma r eg e f i e r a l i z e da tl a s t t h i r d l y , a n a l y s i st h es e c u r i t yp r o b l e mo ft h es y s t e mb e c a u s eo ft h em o b i l ea g e n t ，a n dd e s i g n t h es o l u t i o nt os e v e r a lk i n do fs a f et h r e a t s ： n e x t ，i n t r o d u c tt h et e c h n o l o g yo ft h ep r o t o c o la n a l y s i si tm e a n sw h e ne x a m i nt h ed a t a p a c k e t ，w oc a r l - u s et h ep r o t o c o la n a l y s i st e c h n o l o g yt od i s t i n g u i s ht h ep r o t o c o lt y p eo ft h e d a t a ，t h e n u s et h ec o r r e s p o n d i n gd a t a a n a l y s i sp r o c e d u r et oe x a m i nt h e d a t ap a c k e ts ot h e e x a m i n a t i o ne f f i c i e n c yc a l li m p r o v e d f i n a l l y ，t h ek ra l g o r i t h mu s e df o rs y s t e md a t aa n a l y s i sm o d u l ei sp a r a l l e l i z e dd e s i g n a n d t h r o u g ht h ec o m p a r i s i o nt h eo r i g i n a la l g o r i t h ma n dp a r a l l e la l g o r i t h m ，w ec a nf i n dt h a tu n d e rt h e 山东师范大学硕士学位论文 c e l t a i nc o n d i t i o n t 1 1 ep a r a l l e la l g o r i t h mw i l ls u r p a s st h eo r i g i n a la l g o r i t h m k e y w o r d s ：n e t w o r k s e c u r i t y , a p i d s ，m o b i l e _ a g e n t , p 2 p , p r o t o c o l a n a l y s i s ，d i s t r i b u t i o nl e v e l 独创声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。 据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写 过的研究成果，也不包含为获得( 注：如没有其他需要特别声明的，本栏 可空) 或其他教育机构的学位或证书使用过的材料。与我一同工作的同志对本研究所做的 任何贡献均己在论文中作了明确的说明并表示谢意。 学位论文作者签名： 导师繇剥方暇 学位论文版权使用授权书 本学位论文作者完全了解! 邈有关保留、使用学位论文的规定，有权保留并向国家有 关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人授权! i 兰撞可以将学 位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手 段保存、汇编学位论文。( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： 0 互脚 导师签字 参矛殴 签字日期：2 0 0 6 年4 月6 曰签字日期：2 0 0 6 年4 月6 同 山东师范大学硕士学位论文 1 1 目前现状 第一章前言 随着现在计算机网络攻击的不断增加，网络安全已成了人们日益关注的焦点。人们 通过对攻击事件的统计发现：大约有百分之五十到百分之七十的攻击事件都是发生在网 络内部f 1 ，而且常有被网络病毒感染的计算机程序附在电子邮件上进行传输，对于这 种情况，传统的防火墙就失去了作用。此外，目前有关网络安全问题的一些技术，如口 令认证、防火墙、数据加密、v p n 技术等等，总的来说都属于一种静态的防御系统。 随着现今黑客入侵事件的日益猖獗，只从静态防御的角度构造安全系统是远远不够的。 入侵检测是继防火墙、加密等传统安全防护技术之后的新一代防御技术，是用来检 测对计算机系统和网络系统，或者更广泛意义上的信息系统的非法攻击的安全措施。它 与网络运行管理系统相结合，可有效地监察网络用户的使用行为，不仅能检测网络外部 的入侵行为，也能随时监督系统内部的未授权用户行为，从而弥补了传统安全技术的不 足。 但现有的入侵检测系统大多数都采用了一种难以更改和难以重新配置的体系结构。 在大多数系统中，数据收集是通过单一的主机来完成的，并且把收集到的数据发送到单 独的分析器上进行数据分析，有些系统虽然采用了分布式的数据收集，但是数据分析也 往往是集中在一个组件中完成的。近年来出现了将代理技术引入到入侵检测系统中，通 过使用移动代理技术可以解决目前i d s 中存在的绝大数缺点。但是这些基于代理的分 布式i d s 大都采用的是层次化的结构，当多个下属的底层结点都向高层节点发送分析 结果时，容易在高层节点处形成处理瓶颈，并易成为攻击者的目标。 1 2 研究意义 相对于层次化的设计结构，协作式模型中各分析节点具有较大的自主性，不依赖于 指定的中心节点，可以减少系统瓶颈，提高系统的容错性。但纯粹的协作式系统也有缺 陷，就是各组件相互通信时，可能导致消息量过于庞大。 故本文综合两者的优点提出了一种层次化协作的分布式入侵监测系统( a p i d s ) ，该 系统引入移动代理的技术，提高了i d s 系统的智能性和灵活性，同时将各分析节点的 工作模式设为平等的协作模式。系统中各分析节点间不存在固定的连接和层次化的从属 关系，各节点可以主动要求其它节点协助以完成检测任务，这相当于摈弃了传统的固定 c l i e n t s e r v e r 模式，而采用了对大规模分布式计算更为合适的p 2 p ( p e e r - t o p e e r ) 2 ，3 ，4 1 2 1 2 作方式。这种方式有效的解决了系统瓶颈问题，从而在保证系统节点可控性和检测效率 的同时提高了系统的容错性和协作能力。 a p i d s 的意义在于它提供了一个无处不在计算的平台，将对等网络技术应用到移动 1 山东师范大学硕士学位论文 a g e n t 技术中，赋予了移动a g e n t 技术新的活力。在该平台中允许不同主机上的a g e n t 系统以及运行在其中的a g e n t 可以互相访问，任何一台主机上的a g e n t 系统可以不依赖 于中央服务器找到另外一台主机上的a g e n t 系统，从而访问该a g e n t 系统中的a g e n t 。 a g e n t 可以通过a g e n t 管理者找到它所需的a g e n t 进行通信，也可以移动到所需的a g e n t 系统中执行。另外：嵌入式设备也可以加入到网络中来，把自己提供的服务发布到网络 中，以服务a g e n t 的形式加入到某个a g e n t 管理者中，以便其它设各或a g e n t 访问，同 时运行在该设备上的a g e n t 也可以和网络上任何一台主机上的a g e n t 系统通信。 1 3 论文组织结构 本文其余内容安排如下： 第二章详细研究了网络安全现状及入侵检测技术的有关内容； 第三章是关于p 2 p 及移动a g e n t 技术的有关内容，首先介绍了p 2 p 技术的应用，然 后详细介绍了移动a g e n t 技术，分析了当前一些主要移动a g e n t 系统，重点介绍了i b m a g l e t ； 第四章提出了层次化协作模型，设计了一种基于移动代理的p 2 p 分布式入侵检测系 统一a p i d s ，并对系统中各部件的设计进行了描述： 第五章对系统的某些功能部件进行了详细设计，并对模式匹配算法( k r ) 进行了 并行化设计； 结束语对全文进了总结，并指出了系统中有待进一步研究的问题。 2 山东师范大学硕士学位论文 第二章网络安全现状及入侵检测技术综述 2 1 网络安全综述 互联网在全球正以迅猛的速度发展着，根据i n t e m e ts o f t w a r ec o n s o r t i u m 调查显 示，1 9 8 1 年8 月接入互联网( i n t e m e t ) 的计算机数仅为2 1 3 台，而美国e t f o r c a s t s 公司则 通过调查到2 0 0 5 年底，接入互联网的计算机数就己经达到了1 0 亿台。 然而，在人们享受到互联网所带来的便捷和高效时，也意识到由于互联网所依赖的 t c p i p 技术本身的先天不足，使他们正面临着信息泄漏、被盗取、被篡改和被破坏的 危险。据有关方面统计，目前美国每年由于网络安全问题而遭受的经济损失超过1 7 0 亿美元，德国、英国也均在数十亿美元以上，法国为1 0 0 亿法郎，日本、新加坡问题也 很严重。在国际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪己名列榜首。2 0 0 3 年，c s i f b i 调查所接触的5 2 4 个组织中【5 】，有5 6 遇到电脑安全事件，其中3 8 遇到 1 5 起、1 6 以上遇到1 l 起以上。囡与互联网连接而成为频繁攻击点的组织连续3 年 不断增加；遭受拒绝服务攻击( d o s ) n 从2 0 0 0 年的2 7 上升到2 0 0 3 年的4 2 。调查 显示，5 2 1 个接受调查的组织中9 6 有网站，其中3 0 提供电子商务服务，这些网站在 2 0 0 3 年1 年中有2 0 发现未经许可入侵或误用网站现象。更令人不安的是? 有3 3 的 组织说他们不知道自己的网站是否受到损害。据统计，全球平均每2 0 s 就发生1 次网上 入侵事件，黑客一旦找到系统的薄弱环节，所有用户均会遭殃。随着计算机网络知识的 普及，攻击者越来越多，知识日趋成熟，攻击工具与手法日趋复杂多样，网络环境也变 得越来越复杂，设备越来越多样化，不经意的疏忽便有可能造成安全的重大隐患。 目前网络中的安全威胁主要有： 1 黑客：指用户身份在通信时被非法截取： 2 限冒：指非法用户假冒合法用户身份获取敏感信息的行为； 3 数据窃取：指非法用户截获通信网络的数据； 4 否认：指通信方事后否认曾经参与某次活动的行为： 5 非授权访问； 6 哥巨绝服务：指合法用户的正当申请被拒绝、延迟、更改等； 7 错误路由。 事实上，网络入侵事件数目的不断增长正反映了互联网发展的迅速，近年来电子商 务的开展和普及，更加激化了入侵事件的增长趋势。与以往的入侵者大多是出于对互联 网本身的探索或检验自身技能的目的不同，现在越来越多的入侵行为更加明显的是出于 经济、政治或者军事利益的目的。所以，对这些猖獗入侵行为的觉察和防护成为各种商 业和政府机构日益迫切的要求。我们必须采取各种可能的手段保护网络世界的信息安 全。除了提高国民的安全意识，加强法律、法规、制度等管理措施外，还应当使用现代 化的信息安全技术手段提高网络信息系统的安全能力，这是在未来信息社会中能够生存 3 山东师范大学硕士学位论文 的必由之路。 2 2 入侵检测技术 2 2 1 入侵检测系统的概念 入侵检测系统( i n t r u s i o nd e t e c t i v es y s t e m ) 在i c s a ( i n t e m a t i o n a lc o m p u t e rs e c u r i t y a s s o c i a t i o n ，国际计算机安全协会) 入侵检测系统论坛被定义为：通过从计算机网络或计 算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反 安全策略的行为和遭到袭击的迹象的一种安全技术 6 】。入侵检测作为一种积极主动的 安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危 害之前拦截和响应入侵。个配置合理的防火墙加上完善的网络安全管理策略，可以对 付低水平的攻击行为，而入侵检测系统往往被认为是保护网络系统的第二道安全阀门。 入侵行为主要是指对系统资源的非授权使用，它可以造成系统数据的丢失和破坏、 可以造成系统拒绝对合法用户服务等危害。而入侵既包括由系统外部发起的攻击又包括 由系统内部发起的攻击( 有时也称之为误用) 。在安全体系中，i d s 是唯一一个通过数据 和行为模式判断其是否有效的系统。 i d s 系统主要有两大职责：实时监测和安全审计。实时监测实时的监视并分析网络 中所有的数据报文，发现并实时处理所捕获的数据报文；安全审计则通过对i d s 系统 记录的网络事件进行统计分析，发现其中的异常现象，得出系统的安全状态。 2 2 2 入侵检测系统的功能 入侵检测系统通过抓取并分析网络上的数据包，从而发现攻击者的足迹，对其攻击 行为进行阻止，并恢复受损数据及信息。一般来说，一个理想入侵检测系统的功能包括 以下几种 7 ： 1 自动地收集和系统相关的信息； 2 监视分析用户和系统的行为； 3 审计系统配置和漏洞； 4 评估敏感系统和数据的完整性； 5 识别攻击行为； 6 对异常行为进行统计； 7 进行审计跟踪，识别违反安全法规的行为： 8 使用诱骗服务器c 蜜罐”) 记录黑客行为。 当然，入侵检测发现入侵后所做出的晌应也是非常重要的，包括及时切断网络连接、 记录事件和报警等。 4 山东师范大学硕士学位论文 2 2 3 入侵检测系统的分类 一、入侵检测根据信息源的不同，分为基于主机型和基于网络型及基于路由型三类： 1 基于主机的入侵检测系统( h o s t b a s e di n t r u s i o nd e t e c t i o ns y s t e m ，h i d s ) 基于主机的i d s 运行于被检测的主机上，通过查询、监听当前系统的各种资源的使 用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。其监测的资源 主要包括：网络、文件、进程、系统目志等。当有文件被修改时，i d s 将新的记录条目 与已知的攻击特征相比较，看它们是否匹配。如果匹配，则会向系统管理员报警或者做 出适当的响应。基于主机的i d s 在发展过程中融入了其它技术。检测对关键系统文件 和可执行文件入侵的一个常用方法是通过定期检查文件的校验和来进行的，以便发现异 常的变化，反应的快慢取决于轮询问隔时间的长短。许多产品都是监听端口的活动，并 在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融 入到基于主机的检测环境中。 2 基于网络的入侵检测系统( n e t w o r k - b a s e di n t r u s i o nd e t e c t i o ns y s t e m ，n i d s ) 基于网络的入侵检测系统以网络包作为分析数据源。它通常利用一个工作在混杂模 式下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统 计分析等技术来识别攻击行为。一旦检测到了攻击行为，i d s 的响应模块就做出适当的 响应，：比如报警、切断相关用户的网络连接等。不同入侵检测系统在实现时采用的响应 方式也可能不同，但通常都包括通知管理员、切断连接、记录相关的信息以提供必要的 法律依据等。- 3 基于路由的入侵检测系统( r o u t e r b a s e d i n t r u s i o n d e t e c t i o ns y s t e m ，r i d s ) 基于路由的入侵检测系统通过监视经过路由器的数据包来检测入侵，这样就可以防 止入侵数据包进入到网络内，它和基于网络的入侵检测系统类似，二者都有相似的缺点。 h i d s 是对发生在组成网络的各种系统和设备上的与各种网络安全相关的活动进行 的监控，可以精确的判断针对本主机的入侵事件，并可立即对入侵事件做出反应，非常 适用于加密和交换环境，但它会占用主机宝贵的资源。而n i d s 只是监控流经本网段的 原始网络数据包，进行数据包分析，以发现入侵。这种入侵检测系统易丢包，因而精确 度较差，并且在交换网络环境难于配置，导致防范入侵欺骗的能力下降。但是它可以提 供实时的细粒度的网络监控并且不依赖主机的操作系统作为检测资源。因此，在实际应 用中，二者通常是配合在一起使用的，以提供跨平台的入侵监视解决方案。 二、根据检测使用的分析方法不同，分为异常检测和特征检测两类【8 ： 异常入侵检n o ( a b n o r m a ld e t e c t i o n ) 假设入侵者活动异常于正常主体的活动。根据这 一理念建立主体正常活动的“活动简档”，如c p u 利用率、内存利用率、文件校验和等。 将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能 是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法， 从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。 特征检n 0 ( s i g n a t u r e b a s e dd e t e c t i o n ) 又称误用检n i l ( m i s u s ed e t e e t i o n l ，这一检测假设 山东师范大学硕士学位论文 入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。由 于依据入侵模式库进行判断，因而检测准确度较高，并且由于检测结果有明确的参照， 管理员也便于采取相应措施，但却对新的入侵方法无能为力。其难点在于如何设计模式 既能够表达“入侵”现象又不会将正常的活动包含进来。 异常检测常用的概率统计方法对事件发生的次序不敏感，定义入侵的阈值比较困 难，太小的值会产生大量误报，太大的值则会产生大量的漏报。而另一种常使用的神经 网络方法【9 目前在理论和应用上都还不太成熟，其网络拓扑结构及各元素的权重比较 难以确定。而特征检测是根据已有的知识库，分析对网络上的数据流，当某部分条件满 足时，系统就判断为入侵行为发生。实践表明，计算机程序对单纯性的匹配比较容易实 现，因而特征检测成为入侵检测系统的基本实现手段。 三、根据数据分析组件所采用的处理方式不同，分为集中式和分布式两类： 集中式入侵检测系统( c e n t r a l i z e di n t r u s i o nd e t e c t i o ns y s t e m ，c i d s ) 和分布式入侵检 测系统( d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ，d i d s ) 两者的主要区别在于数据分析组件 的工作方式。c i d s 采用单个数据分析组件进行数据分析，因此其扩展性较差，存在单 点故障问题，同时也耗费大量的通信和处理资源。d i d s 则将数据分析任务分配给多个 处于不同位置的数据分析组件，这些组件采用完全分布方式或分层方式进行协作。因此， d i d s 的可扩展性较好。 四、根据时效性不同分为脱机分析和联机分析两类： 脱机分析指行为发生后，对产生的数据进行分析；而联机分析在数据产生的同时或 者发生改变时进行分析。 五、；入侵检测常用方法： 入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机 信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中9 5 是属于 使用入侵模板进行模式匹配的特征检测产品，其他5 是采用概率统计的统计检测产品 与基于日志的专家知识库系产品。 1 特征检测 特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当 被审计的事件与己知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检 测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广 泛。 该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。 2 统计检测 统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间 隔时间、资源消耗情况等。常用的入侵检测5 种统计模型为【1 0 ： 1 ；操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指 标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的 登录很有可能是口令尝试攻击： 6 山东师范大学硕士学位论文 2 ) 方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明 有可能是异常； 3 ) 多元模型，操作模型的扩展，通过同时分析多个参数实现检测； 4 ) 马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示 状态的变化，当一个事件发生时，或状态矩阵该转移的概率较d , n 可能是异常事件； 5 ) 时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该 时间发生的概率较低，则该事件可能是入侵。 统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可 用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常 操作的统计规律，从而透过入侵检测系统。 3 专家系统 9 用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识， 不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于 知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽 取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为i f - t h e n 结构( 也可以是复合结构) ，i f 部分为入侵特征，t h e n 部分是系统防范措施。运用专家 系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。 2 2 4 入侵检测系统的研究现状 分布式入侵检测是目前入侵检测乃至整个网络安全领域的热点之一，国内讲众多的 大学、研究机构、安全团体商业组织都致力于这方面的研究工作。到目前为止，还没有 严格意义上的分布式入侵检测的商业化产品，但研究人员已经提出并完成了多个原型系 统下面简单介绍一些有代表性的系统： 1 u cd a v i s 的d i d s ( d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ) 1 1 1 集成了两种已有的入 侵检测系统h a y s t a c k 和n s m ，前者用于多用户主机的系统日志分析，后者则针对网络 数据流的入侵检测i d s 综合了两者的功能，并在系统结构和检测技术上进行了改进 d i d s 由主机监视器、局域网监视器和控制器3 个组件组成，其核心组件采用基于规则 的专家系统作为分析引擎d i d s 虽然在结构上引入了分布式的数据采集和部分的数据 分析，但其核心分析功能仍然由单一的中心控制器来完成，因此并不是完全意义上的分 布式入侵检测。 2 g r i d s ( g r a p hb a s e di n t r u s i o nd e t e c t i o ns y s t e m ) 1 2 n 样由u cd a v i s 提出并完成， 该系统实现了一种在大规模网络中使用图形来描述网络行为的方法，其设计目标主要针 对大范围的网络攻击，例如扫描、协同攻击、网络蠕虫等g r i d s 白舳是陷在于只是给出 了网络连接的图形化表示，具体的入侵判断仍然需要人工完成，系统的有效性和效率也 有待进一步的验证。 3 e m e r a l d l ( e v e n tm o n i t o r i n ge n a b l i n gr e s p o n s e st oa n o m a l o u sl i v ed i s t u r b a n c e s ) j 1 3 】 7 山东师范大学硕士学位论文 主要面向大型的、基于松散架构的企业网络。由于系统资源和计算任务的高度分布性， 通常来说难以对这种应用环境进行监视和入侵分析。e m e r a l d 的方法是将网络系统 划分为若干个相互独立的管理域，每个域提供不同的网络服务，例如w w w 或f t p 。 不同域之间包含不同的信任关系，并且执行不同的安全策略。e m e r a l d 系统的灵活 性、多层次抽象能力和对第3 方工具的开放性等特点，有效地实现了检测任务的分布化， 提高了系统的适应性。 4 c m u 的j e dp i c k e l 和r o m a n d a n y l i w 提出了一种称为多管理域安全事件自动检测 ( a u t o m a t e dd e t e c t i o no fs e c u r i t ye v e n t st h a ta f f e c tm u l t i p l ea d m i n i s t r a t i v ed o m a i n ) 1 4 1 的分 布式检测结构。系统由感应器、收集器、支持库和分析引擎4 个组件构成。感应器检测 安全事件，并向中心的收集器汇报，后者进行日志记录和信息聚合。分析引擎则通过对 数据库中报警信息的分析，检测跨域的扫描、攻击或攻击趋势，并进行网络安全状况分 析。研究表明，该系统的扩展性、移植性、检测效率和安全性都比较好。 5c h r i s t o p h e rk r u g e l 和t h o m a st o t h 提出了一种分布式模式检测的方法1 5 1 ，将入侵 行为模式转化为一系列发生在不同主祝上的事件模式，通过多个检测结点问的信息交 互，不需要专门的主机进行集中式的相关分析，就可以实现分布式检测。作者定义了相 应的模式规范语言( p a t t e ms p e c i f i c a t i o nl a n g u a g e ) 和分布式检测算法。 6 t b a s s 提出了数据融合( d a t af u s i o n ) 1 6 1 的概念，将分布式入侵检测理解为在层次 化模型下对多感应器的数据综合问题。在这个层次化模型中，入侵检测的数据源经历了 从数据( d a t a j - 至f j 信息( i n f o r m a t i o n ) 再到知识( k n o w l e d g e ) 3 个逻辑抽象层次。 7 p u r d u e 大学的研究人员c r o s b i e 年hs p a f f o r d 提出了一种基于代理( a g e n t ) 的入侵检测 系统，称为入侵检测自治代理( a u t o n o m o u sa g e n t sf o ri n t r u s i o nd e t e c t i o n ，a a f i d ) 1 7 。 a g e n t 所具备的独立性和自治性为系统提供了良好的扩展能力。a a f i d 包含四个系统组 件：代理、转发器、监视器和过滤器，这些部件称为a a f i d 实体( e n t i t i e s ) ，而这些实 体所构成的整个i d s 就是所说的a a f i d 系统。这里模拟了一个由三台主机构成的系统。 图2 2 是图2 1 系统对应的逻辑结构图双向的箭头表示在实体间既有控制流，也有数 据流。它的逻辑结构如图所示： 图2 。1a a f i d 物理结构图 山东师范大学硕士学位论文 图2 2 a a f i d 逻辑结构图 一个a a f i d 系统可以分布在网络中任意数目的主机上。在一台主机上可以运行任 意数目的代理。代理可以通过过滤器来获取数据，也可以直接获取：每一台主机上的各 个代理将它们发现的事件和相关数据传输给收发器。每台主机上只有一个收发器，它监 管本机上的所有代理的运行情况。收发器将自身汇总的数据报告给一个或多个监视器。 监视器使用用户界面来提供信息给最终用户。a a f i d 所采用的正是分布式入侵检测体 系结构和代理机制，其中有很多值得学习和深入研究的地方。 8 由d a r p a 资助的通用入侵检测框架( c o m m o n i n t r u s i o n d e t e c t i o n f r a m e w o r k c i d f ) i s 是分布式入侵检测领域的重要研究项目，主要关注不同i d s 之间的互操作性。该项 目的b 的在于定义一种基础架构，使得入侵检测、分析及响应组件之间自啻眵共享信息。 c l d f 系统框架按功能可化分为事件发生器、分析引擎、数据库、响应引擎和目录服务 器4 仓组件。如图所示： 图2 - 3c i d f 体系结构 其中各组件功能如下： 事件发生器：采集并过滤事件数据的程序或模块； 分析引擎：分析事件数据和其他组件传送过来的各种数据； 事件数据库：存储各种原始的或已经加工过的数据，可以是复杂的数据库也可以是 简单的文本文件； 响应引擎：针对分析引擎产生的分析结果，根据响应策略采取相应的行为，并发出 命令响应攻击，如杀死进程，恢复连接等； 目录服务器：用于各组件定位其他组件，以及控制其他组件传递的数据并认证其他 组件的使用，以防止i d s 系统本身受到攻击。目录服务器可以管理和发布密钥，提供 组件信息和告诉用户组件的功能接口。 除了组件间交互协议之外，c i d f 还定义了一种通用入侵规范语言( c o m m o n i n t r u s i o n 9 山东师范大学硕士学位论文 s p e c i f i c a t i o nl a n g u a g e ，c i s l ) 用于入侵行为的规范描述，由于c i d f 在系统扩展性和规范 性上的优势，已经被许多研究人员所采用，作为构建分布式入侵检测系统的基本框架。 可以预测，随着分布式i d s 的发展，各种i d s 互操作和协同工作的迫切需要，各种i d s 必须遵循统一的框架结构，c i d f 将成为事实上i d s 的工业标准。 针对i d s 之间的互通性和互操作性，目前国际组织也正在制定相应的标准，其中最 著名的是i e t f 的i d w g ( i n t r u s i o nd e t e c t i o nw o r k i n gg r o u p ) 。其工作主要集中在入侵检测 交互协议( i n t r u s i o nd e t e c t i o ne x c h a n g ep r o t o c o l ，i d x p ) 19 和入侵检测消息交互格式 ( i n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g ef o r m a t ，i d m e f ) 2 0 。i d m e f