1、 本科毕业论文 (科研训练、毕业设计 ) 题 目: 基于 XML 的入侵检测主体通讯机制 姓 名: 某 某 某学 院: 软 件 学 院系: 软 件 工 程 专 业: 软 件 工 程 年 级: 学 号: 指导教师(校内 ) : 职称: 教师(校外 ) : 职称: 年 月 日 厦门大学软件学院本科生毕业论文 题目:基于 XML 的入侵检测主体通讯机制 第 页 - 2 - 中文摘要 随着高速网络的快速发展、网络信息量的迅猛增长、网络攻击方式的不断翻新,网络入侵检测系统经过了由集中式处理到分布式处理、由单一主机到多主体 技术、由简单软件结构到通用功能模块设计、由数据信息流动到代码移动的变化 过程。目前
2、基于多主体技术的分布式入侵检测系统已经成为当前入侵检测领域的 研究热点 ,而良好的通讯机制是基于多主体技术的分布式入侵检测系统正常运行 的前提保证,本文根据入侵检测中主体间通讯的特点并结合目前的基于多主体技 术的分布式入侵检测系统的具体要求,提出了一种基于 的、适用于入侵检测 主体间协作和信息交换的通讯机制,可满足基于多主体技术的分布式入侵检测系统中各个主体间的通讯需求。 关键字: 分布式入侵检测系统 通讯语言 XML 厦门大学软件学院本科生毕业论文 题目:基于 XML 的入侵检测主体通讯机制 第 页 - 3 - Abstract With the rapid growth of high-s
3、peed networks, exponential increment of network information , constant variation of intrusion methods , intrusion detection system has been experienced the following evolution : from central process to distributed detection, from single host to N hosts , from simple software architecture to common f
4、unction module , from transferring the data across the network to dispatching an agent to local process . Now , more and more people pay more attention to the Agent based distributed intrusion detection system .For a better work ,the Agent based distributed intrusion detection system must has a good
5、 communication mechanism . Based on the characteristics of the communication between the intrusion detection hosts and the request of the Agent based distributed intrusion detection system , we designed a communication mechanism which is based on the XML language , and is good at co works and commun
6、ication between the intrusion detection hosts , this mechanism realizes the communication between the hosts of Agent based distributed intrusion detection system. : Distributed Intrusion Detection System , Communication language , XML 厦门大学软件学院本科生毕业论文 题目:基于 XML 的入侵检测主体通讯机制 第 页 - 4 - 第一章 . 引言 研究背景和研究意
7、义 随着网络技术的发展和应用范围的扩大 , 特别是 的兴起 , 许多商业组织开始把 作为他们最重要的商业运作手段,政府机构也把 作为向公众提供访问公共记录和信息的渠道,大众传媒的重心也逐渐向网络倾斜,人们越来越依赖于网络进行信息访问和信息处理,信息作为一种无形的资源也越来越得到人们的青睐,这一方面提供了资源的共享性,改变了以往单机工作 模式,提高了效率,但是另一方面,在带来便利的同时也急剧地增加了网络安全的脆弱性和计算机系统的非安全因素。 自 年莫里斯蠕虫事件发生以来,侵犯安全的事件报道便不绝于耳, 处理的安全事故逐年呈爆炸性增长。世界著名的商业网站,如 、 、 、 都曾被黑客入侵过,造成巨大
8、的经济损失,甚至连专门从事网络安全的 网站也曾受到过黑客的攻击。据美国联邦调查局( )的估计,年全美因网络安全问题而造成的损失约为 万亿美元。我国的网络安全形势 也十分严峻,频繁的黑客入侵事件和计算机病毒的泛滥,使我国的很多政府部门、 国家重要商业和教育机构都受到了不同程度的侵害,有些造成了严重的社会影响 和经济损失。如何有效保护重要的信息数据、提高计算机网络系统的安全性是当前必须考虑和解决的一个重要问题 1。 传统的网络安全技术主要包括:加密和数字签名机制、身份认证与访问控制机制、认证授权、安全审计、系统脆弱性检测、构筑防火墙系统等等。这些技 术 都发展得比较成熟,特别是防火墙技术,它能有效
9、地控制内部网络与外部网络之 间的访问及数据传送,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤信息的目的,防火墙配置的多样性和防护的有效性使它成为网络安全防线 的中流砥柱,但是防火墙对于从内部发出攻击却无能为力。任何一种单一的安全 技术都并非万能,而且随着攻击者经验日趋丰富,攻击工具与手法的日趋复杂多 样,传统单一的安全技术和策略已经无法满足对安全高度敏感的部门的需要。因 厦门大学软件学院本科生毕业论文 题目:基于 XML 的入侵检测主体通讯机制 第 页 - 5 - 此,网络安全的防卫必须采用一种纵深的、多样的手段,形 成一个多层次的防护 体系,不再是单一的安全技术和安全策略,而是多
10、种技术的融合,关键是各种安 全技术能够起到相互补充的作用,这样,即使当某一种措施失去效能时,其他的 安全措施也能予以弥补。传统的安全技术虽然取得了很大的成效,但是它也存在 一些固有的缺陷,比如访问控制可以拒绝未授权用户的访问,却并不能防止已授 权访问用户获取系统中未授权信息;防火墙可以将危险挡在外面,却无法挡住内 部的入侵。从网络安全的角度看,公司的内部系统被入侵、破坏与泄密是一个严重的问题,以及由此引出的更多有关网络安全的问题都应该引起重视。据统计, 全球 以上的入侵来自于内部。因此,传统的安全技术更多的是一种基于被动 的防护,而如今的攻击和入侵要求我们主动地去检测、发现和排除安全隐患,正
11、是在这样的环境下,入侵检测系统开始崭露头角,成为了安全市场上和研究上新 的热点,不仅愈来愈多的受到人们的关注,而且已经开始在各种不同的环境中发挥越来越重要的作用。 入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。 如何更高效地检测入侵是每个入侵检测系统( , )最关注的问题,基于主机的入侵检测( , )和网络节点入侵检测( )各有 其应用环境和优劣,但缺乏信息共享却是目前 的一个天生缺陷。较早出现的分布式 利用分布在网络中的传感器扩大了数据源的范围因而可以更好地检测入侵。这可以认为是在 内部共享信息的较早的实例。但多数
12、 只是简单地丰富了数据来源 , 并未有效地对信息共享进行细化 , 也没有对数据共享进行严格的访问控制 。 另外虽然数据的采集工作分布在不同的主机上进行 , 但最终的数据分析却是集中进行的 。 这样做带来的问题有两个 : 一是整个系统有一个中心控制点 , 该点的失效将导致整个系统失效 ; 二是集中 进行数据分析使负载集中在承担分析工作的主机上,限制了系统的可扩展性与效率的提高。 基于多主体技术的入侵检测系统是针对常见分布式入侵检测系统存在的不足所设计的一种基于多主体技术的分布式入侵检测系统。目前已成为人们研究的热点。 厦门大学软件学院本科生毕业论文 题目:基于 XML 的入侵检测主体通讯机制 第
13、 页 - 6 - 主体通讯是其与环境或其它主体进行协调、交流、合作和竞争的基础,多主体系统中需要解决的一个关键问题就是如何建立有效的通讯机制 2。目前,基于多主体技术的分布式入侵检测模式 3已经成为分布式入侵检测系统的一个重要 发展方向,因此如何在整个系统各个检测、分 析主体间建立有效的通讯机制就成为需要解决的关键问题。 目前主体通讯领域具有代表性的语言是 KQML4语言和 FIPA ACL 语言,虽然这两种语言可以较好地满足了主体通信的基本要求,较为灵活、通用,支持知识共享和主体合作,然而其本身不具有描述与入侵检测有关知识的能力,而且缺乏有关的标准化规范和实现平台 5。 而反观入侵检测领域
14、, 目前具有代表性的 , 一个是 CIDF( Common Intrusion Detection Framework)小组提出的通用入侵描述语言 CISL6 ( Common Intrusion Specification Language ), 另一个是 IDWG 小组提出的入侵检测消息交换格式 IDMEF7( Intrusion Detection Message Exchange Format ) 。 虽然 CISL 提供了一个合理的 、 丰富的词汇表来表述与网络计算机有关的一组具体事件 , 但表述能力有限 , 如对事件之间的关系 、 对特定属性的量化描述以及对不确定 、 不存在或否定
15、概念等信息进行表述时能力不足或较为复杂。 IDMEF 虽然制定了一套较为完善的入侵报警消息格式 , 但同 CISL 一样 , 缺乏完善的事件查询和回复机制,而这一点恰恰是多主体协作的基础 5。 由上述的分析可知,虽然基于多主体技术的入侵检测技术的研究已经取得了一定的成果,但在应用于入侵检测领域的主体通讯语言方面的研究却进展缓慢,缺乏一种能满足基于多主体技术的分布式入侵检测系统中主体间进行协作的通 讯机制。 研究内容 本文根据入侵检测主体之间通讯的特点和目前的通用语言的特点,提出了基于 的,适用于入侵检测主体间协作和数据交换的一种通讯机制,以满足未来基于多主体技术的分布式入侵检测系统中不同主体间
16、的通讯需求。并对该通讯机制的可行性进行了实验分析和验证,通过对入侵报警和不同主机之间的询问机制 的实验,说明了该通讯机制已基本满足我们提出的对于基于多主体技术的分布式 厦门大学软件学院本科生毕业论文 题目:基于 XML 的入侵检测主体通讯机制 第 页 - 7 - 入侵检测系统之间的通讯需求。 论文组织结构 本文将从以下几个方面进行说明: 第二章介绍基本的概念和相关的技术知识; 第三章介绍系统的设计方案,包括语言的通讯格式和通讯机制; 第四章介绍系统的实现方法和实验分析,最后是全文总结以及参考文献和致谢。 厦门大学软件学院本科生毕业论文 题目:基于 XML 的入侵检测主体通讯机制 第 页 - 8
17、 - 第二章 基本概念及相关技术 由于本通讯语言是用 XML进行封装,在基于多主体技术的分布式入侵检测系统上,利用 Snort8 作为入侵检测工具, 和 MySQL9 数据库进行数据存储的通 讯研究,所以本章将从入侵检测系统、 SNORT、 MYSQL和 XML等几个方面分别介绍。 入侵检测系统 入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力 ( 包括安全、审计、监视、进攻、识别和响应 ), 提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击外部攻击和 误操作 的实时保护。对
18、一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解 网络系统 ( 包括程序、文件和硬件设备等 ) 的任何变更还能给网络安全策略的制订提供指南。 入侵检测分类 根据数据源分类 的数据源一般来自网络数据和系统数据 。 根据数据源可以把 系统分为基于主机和基于网络的入侵检测。 网络型入侵检测 网络型入侵检测系统的数据源则是网络上的数据包。可以将某台主机的网卡 厦门大学软件学院本科生毕业论文 题目:基于 XML 的入侵检测主体通讯机制 第 页 - 9 - 设于混杂模式( ) 监听所有本网段内的数据包并进行判断或直接在路由设备上放置入侵检测模块 。 一般网络型入侵检测系统担负着保护整个网段的任务
19、。 一般来说 , 在防火墙之外的检测器采用基于网络的入侵检测系统 , 负责检测来自 的攻击。 主机型入侵检测 主机型入侵检测系统往往以系统日志 、 应用程序日志等作为数据源 , 当然也可以通过其他手 段 (如监督系统调用 ) 从所在的主机收集信息进行分析 。 主机型入侵检测系统保护的一般是所在的系统。防火墙内部的 , 和 等服务器是大部分攻击的目标 , 这些服务器应该安装基于主机的入侵检测系统以提高整体安全性。 根据检测方法分类 入侵检测根据检测方法可以分为两大类:异 常入侵检测和误用 入侵检测。 异常入侵检测 异常入侵检测根据用户的异常行为或者对资源的异常存取来判断是否发生入侵事件 。 例如
20、一个用户一般在早上九点到晚上五点之间登录到服务器 , 那么如果有一天,服务器发现该用户账号在午夜 点登录到服务器来,就认为是一次入侵事件 。 异常入侵检测要建立一个阀值来区分正常事件与入侵事件。 在此基础上把入侵分为外部渗 透 ( ), 内部渗 透 ( ),滥用( )。外部渗透指的是非授权用户试图使用系统 ; 内部渗透是合法用户试图访问非授权的数据 , 如经过窃权伪装或绕过访问控制;滥用指合法用户对数据和资源的滥用。 误用入侵检测 误用检测是根据已定义好的入侵模式,运用已知的攻击方法来判断入侵是否 厦门大学软件学院本科生毕业论文 题目:基于 XML 的入侵检测主体通讯机制 第 页 - 10 -
21、 出现。由于大部分入侵是利用了系统的脆弱性,所以通过分析入侵过程的特征、条件、排列以及事件间的关系,能具体描述入侵行为的迹象。 这种检测方法的优点是只关心必须用于匹配模式的数据项,也可减少需要监控事件的数量和类型;另外,由于统计量中没有浮点计算,所以检测效率高。但是,它也存在一定的缺点:可测量性和性能与模式数据库或规则库的大小 和体系 结构有关;同时,因为没有通用模式规格说明语言,可扩展性很差。基于这种技术方法的模型包括专家系统、模型推理、状态转移分析等。 及 工作组 的目的是使各个入侵检测研究项目可以共享信息和资源 , 便得各组件可以共享使用,并定义一系列协议和应用程序接口。 的概念首先由 ( ) ( )的 女士提出,随后 对 概念进行拓宽,并吸引了来自世界各地的参加者。 分布式入侵检测技术 入侵检测的核心是数据分析过程,通过对网络通讯、主机状态的实时分析,找出系统异常和遭受攻击的情况。早期的检测系统都是基于中心式的数据处理机制,信息通过网络上几个节点收集并汇总到中心进行分析。在网络规模小,层次 简单,通讯速度慢时,该机制可以做到信息实时的中心处理。但随着高速网络的发展,网络范围的拓宽,各种分布式网络技术、网络服务的发展,使原来的网络入侵检测系统很难适应此状况,因此有必要把检测分析过程也实现分布。 集中式检测结构实现相对容易,如图 。
