基于代理的分布式入侵檢測系統(tǒng)設(shè)計 異常入侵檢測系統(tǒng)的設(shè)計原理
發(fā)布時間:2020-02-16 來源: 感悟愛情 點(diǎn)擊:
摘要:本文在分析現(xiàn)有入侵檢測方法,技術(shù)與系統(tǒng)的基礎(chǔ),基于入侵檢測的自治代理模型,給出了一種分布式多代理的入侵檢測系統(tǒng)模型,其核心思想是將原來的集中處理分布到網(wǎng)絡(luò)的觀測點(diǎn),對每類攻擊構(gòu)造相應(yīng)的代理程序。其優(yōu)點(diǎn)是處理速度快,布置方便。解決了單點(diǎn)故障。另外,采用CORBA技術(shù),實(shí)現(xiàn)了異構(gòu)環(huán)境下的跨平臺操作,為入侵檢測系統(tǒng)提供一條有效技術(shù)途徑。
關(guān)鍵詞:入侵監(jiān)測系統(tǒng);分布式處理;代理;CORBA
中圖分類號:TP393.08 文獻(xiàn)標(biāo)識碼:A
1 引言
CAI模型是信息安全最重要的表現(xiàn)形式,而網(wǎng)絡(luò)安全問題始終影響現(xiàn)行網(wǎng)絡(luò)中各類應(yīng)用的正常運(yùn)行,一個或幾個獨(dú)立的防范設(shè)備和系統(tǒng)已不足以處理網(wǎng)絡(luò)上的入侵事件。因此,構(gòu)建一個網(wǎng)絡(luò)安全防范體系則是解決網(wǎng)絡(luò)安全問題的有效途徑。該體系涉及多層次方面的保護(hù)機(jī)制與技術(shù)方法,其目的是使入侵者難于突破安全防線。入侵檢測技術(shù)IDS(Intrusion Detection System)是一種主動保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補(bǔ)充,入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、攻擊識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測。它可以防止或減輕上述的網(wǎng)絡(luò)威脅。
目前IDS有兩大主流技術(shù):基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS[1],入侵檢測技術(shù)已經(jīng)從理論[2][3]過渡到實(shí)用,形成了一批成型的產(chǎn)品并在網(wǎng)絡(luò)安全設(shè)備市場中占有一定份額,并正在向檢測率高、容錯能力強(qiáng)和易配置性好的分布式智能化方面演進(jìn)。然而當(dāng)前入侵檢測系統(tǒng)面臨的最主要挑戰(zhàn)是虛警率高和檢測速度慢。虛警率高可能是源于對攻擊行為(特征)理解不深入、不完全,使得檢測算法不是十分有效及各種控制閥值設(shè)置不當(dāng)?shù)纫蛩卦斐傻。而速率慢可能是由于檢測模型中所采用的集中數(shù)據(jù)收集與檢測判別處理方式所致。鑒于現(xiàn)行產(chǎn)品所依賴的檢測模型無法滿足實(shí)際需要,很有必要在現(xiàn)有的檢測模型基礎(chǔ)上進(jìn)行更新。
2 入侵檢測系統(tǒng)的特點(diǎn)
入侵技術(shù)的發(fā)展與演化主要反映在下列幾個方面:
入侵或攻擊的綜合化與復(fù)雜化。
入侵主體對象的間接化,即實(shí)施入侵與攻擊的主體的隱蔽化。
入侵或攻擊的規(guī)模擴(kuò)大。
入侵或攻擊技術(shù)的分布化。以往常用的入侵與攻擊行為往往由單擊執(zhí)行。由于防范技術(shù)的發(fā)展使得此類行為不能奏效。所謂分布式拒絕服務(wù)(DDOS)在很短的時間內(nèi)可造成被攻擊主機(jī)的癱瘓;诰W(wǎng)絡(luò)的入侵檢測的重點(diǎn)是網(wǎng)絡(luò)攻擊為,如TCP劫持,DNS欺騙,拒絕服務(wù)攻擊,該系統(tǒng)利用特定的網(wǎng)絡(luò)嗅探工具來實(shí)時截獲網(wǎng)上的數(shù)據(jù)包,借助統(tǒng)計和模式匹配等技術(shù)在捕獲的網(wǎng)絡(luò)流量中尋找入侵痕跡。但隨著網(wǎng)絡(luò)結(jié)構(gòu)與技術(shù)的變遷,NIDS的不足可歸結(jié)如下:
•交換式網(wǎng)絡(luò)結(jié)構(gòu)嚴(yán)重影響網(wǎng)絡(luò)數(shù)據(jù)的收集
•用于入侵檢測的機(jī)器處理速率和存儲容量難于滿足實(shí)際要求
•存在失效開放問題
為了解決由于檢測速度不足問題,人們提出分布式結(jié)構(gòu)等解決方案,現(xiàn)有的分布式入侵檢測系統(tǒng)(Distributed IDS)的處理思想是分布采集數(shù)據(jù)與集中處理。但其不足的表現(xiàn)如下:
•數(shù)據(jù)傳輸負(fù)荷過大分布式的數(shù)據(jù)采集器與集中處理機(jī)間的數(shù)據(jù)交換極大的浪費(fèi)網(wǎng)絡(luò)有效帶寬。
•集中處理器的計算性能難于滿足實(shí)際需求
•網(wǎng)絡(luò)傳輸時延時對某些實(shí)時檢測方法的可信度產(chǎn)生影響,基于過時的信息所作出判斷的可信度是不高的
•易產(chǎn)生單點(diǎn)故障
3 基于代理的分布式入侵檢測系統(tǒng)模型的設(shè)計
我們知道現(xiàn)有的入侵檢測系統(tǒng)通常是分散收集各類數(shù)據(jù)(各類日志,IP包等),集中檢測入侵行為,檢測方法是通過將收集的入侵?jǐn)?shù)據(jù)經(jīng)抽取特征后與入侵特征規(guī)則(誤用模式庫中的規(guī)則)及與正常的行為輪廓進(jìn)行比較以確定有誤用入侵行為或異常操作行為。入侵檢測集中處理方式對機(jī)器的處理的性能與資源占用提出了更高的要求,規(guī)則越多,匹配的時間就越長,但單方面的高性能卻不能有效進(jìn)行檢測。另外有些入侵行為不能歸納為由原有有限變量經(jīng)布爾運(yùn)算所能表示的規(guī)則,因此,無法利用原有的檢測代碼。若源代碼組織結(jié)構(gòu)不良,修改代碼則是一件繁瑣的工作。為了解決現(xiàn)行入侵檢測系統(tǒng)存在檢測主機(jī)處理速度慢、通信負(fù)載重、虛警率和漏報率高等問題,在分析AAFID(Automomous Agents for Intrusion Detectiong)模型的基礎(chǔ)上,提出一種基于代理的分布式入侵檢測系統(tǒng)邏輯處理模型(入侵檢測系統(tǒng)框架)[4]。
該模型的核心思想是:利用分布于網(wǎng)絡(luò)結(jié)構(gòu)中不同檢測域中的主機(jī)上代理(Agent)實(shí)時的進(jìn)行分布式數(shù)據(jù)收集與檢測處理,經(jīng)由一些監(jiān)測器對代理中的入侵檢測結(jié)果進(jìn)行綜合、儲存、發(fā)布,并通過代理管理服務(wù)器對代理進(jìn)行有效管理,以達(dá)到提高檢測性能之目的。
該模型的實(shí)體邏輯結(jié)構(gòu)如圖1所示,該系統(tǒng)由系統(tǒng)管理器、監(jiān)視器、代理管理服務(wù)器、收發(fā)器和代理等五個實(shí)體組成,它們的功能描述如下[5]:
代理器是一個獨(dú)立運(yùn)行的實(shí)體,在一臺主機(jī)上可以運(yùn)行多個代理。代理的功能既可以很簡單,比如僅僅監(jiān)控一個目錄下的文件是否被更改,也可以很復(fù)雜,比如從網(wǎng)絡(luò)接口上捕獲數(shù)據(jù)包進(jìn)行分析。代理可以直接獲取各類數(shù)據(jù)、檢測主機(jī)與子網(wǎng)上入侵行為、記錄檢測數(shù)據(jù)和自身的運(yùn)行狀態(tài)、并將有關(guān)信息傳輸給收發(fā)器。代理并不直接報警,它們之間也不通信。代理的檢測方式也很靈活,既可以是基于模式的誤用檢測,也可以是異常檢測。它的處理過程被封裝在內(nèi)部,對外是透明的。
收發(fā)器是主機(jī)對外通信的接口,一臺主機(jī)上只能運(yùn)行一個收發(fā)器,主機(jī)上的所有代理都把它們發(fā)現(xiàn)的事件和相關(guān)數(shù)據(jù)(也就是檢測結(jié)果)傳輸給收發(fā)器。收發(fā)器的職能主要是有:監(jiān)管本機(jī)上所有代理的運(yùn)行情況,包括啟動、停止代理;給代理傳遞配置命令,并根據(jù)升級服務(wù)器(一種特殊的監(jiān)控器)的要求更新代理,甚至添加新代理;對從代理收到的數(shù)據(jù)進(jìn)行簡單處理,主要是精簡,也可以聚合;與監(jiān)視器通信。
監(jiān)視器是DMAID[6]系統(tǒng)中最高層次的實(shí)體。每臺監(jiān)控器管理著多個收發(fā)器的運(yùn)行,它可以看到自己管理域內(nèi)的多個主機(jī)上提交的數(shù)據(jù),所以可以進(jìn)行高層次的相關(guān)性檢查,進(jìn)而檢測出涉及多臺主機(jī)的分布式攻擊行為。另外,在大型網(wǎng)絡(luò)中,還可以將多臺監(jiān)視器按層次進(jìn)行分級組織,即有些監(jiān)控器會向上一級的監(jiān)控器進(jìn)行匯報,形成一個類似樹形的結(jié)構(gòu),這樣可以保障數(shù)據(jù)冗余,避免單點(diǎn)故障。主監(jiān)測器的功能有與系統(tǒng)管理器的信息、代理管理及次監(jiān)測器通信;全局入侵檢測信息和代理運(yùn)行狀態(tài)信息的匯總處理與存儲;入侵結(jié)果信息的發(fā)布。次監(jiān)視器的功能有與主監(jiān)視器、代理管理器及收發(fā)器的通信;與一個或幾個網(wǎng)段的局部入侵檢測信息與代理運(yùn)行狀態(tài)信息的匯總處理與存儲;主監(jiān)視器的備份。
代理管理服務(wù)器管理代理的作用,主要功能是監(jiān)控各個代理的自身運(yùn)行狀態(tài);與主(次)監(jiān)視器的通信;確定代理運(yùn)行策略,裝載新的代理;與系統(tǒng)管理器通信。
系統(tǒng)管理器起著系統(tǒng)管理員與入侵系統(tǒng)聯(lián)系的作用,其主要功能是:設(shè)置與入侵檢測相關(guān)各種控制命令;查詢告警信息;啟動系統(tǒng)檢測。
該系統(tǒng)中各功能部件間的通信在應(yīng)用層作加密處理,以防止信息傳輸過程中的改攻擊,必要時功過RAS進(jìn)行認(rèn)證與鑒別,另外該模型通過主次監(jiān)控器互為備份,解決單點(diǎn)故障,次監(jiān)控器維護(hù)一張表,定時檢查主監(jiān)控器是否處于活動狀態(tài),若狀態(tài)異常,則提升自己作為一個新的主監(jiān)控器,并通知系統(tǒng)管理模塊、代理管理服務(wù)器模塊以及原來直接掛在住監(jiān)控器上的各節(jié)點(diǎn)收發(fā)器。
4 系統(tǒng)的實(shí)現(xiàn)結(jié)構(gòu)設(shè)計
現(xiàn)行的計算機(jī)網(wǎng)絡(luò)一般均呈現(xiàn)異構(gòu)性,我們所提出的DMAIDS的實(shí)現(xiàn)也必須在異構(gòu)的平臺上實(shí)施。CORBA(Common Object Request Broker Architecture)是一個在分布對象間進(jìn)行消息傳遞的體系結(jié)構(gòu),它為應(yīng)用程序提供了地理位置、編程語言、通信協(xié)議和操作系統(tǒng)的透明性,可以有效地解決異構(gòu)網(wǎng)絡(luò)中各功能組件間通信問題,實(shí)現(xiàn)真正意義上的跨平臺操作。分析DMAIDS中內(nèi)部功能實(shí)體的交互需求,我們認(rèn)為使用公共對象請求代理體系結(jié)構(gòu)CORBAC解決DMAIDS內(nèi)的通信是合適的。
針對所提的入侵檢測框架,通過CORBA的IDL所定義的各種功能實(shí)體,這些功能實(shí)體可以由不同的編程語言實(shí)現(xiàn),利用CORBA的ORB可以使分布在不同平臺上的功能實(shí)體進(jìn)行互操作,就可以解決我們所提模型在異構(gòu)平臺上的互操作問題;贑ORBA的入侵檢測系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)見圖2所示[7]。
在這個系統(tǒng)中,系統(tǒng)管理器、主次監(jiān)控器、代理管理器及收發(fā)器是基于CORBA的IDL構(gòu)造的,它們都是CORBA對象,它們之間的交互是通過IIOP協(xié)議完成。由于代理與收發(fā)器一般位于同一臺機(jī)器中,即同一平臺下,所以代理無須用CORBA來構(gòu)建。收發(fā)器與代理間的通信需設(shè)計專門的協(xié)議通信。
系統(tǒng)間的認(rèn)證協(xié)議與加密處理均封裝在基于IIOP協(xié)議之中完成。主監(jiān)控器,次監(jiān)控器與代理管理器一般位于不同的主機(jī)上,次監(jiān)控器隨所檢測的有關(guān)網(wǎng)絡(luò)的規(guī)模有關(guān),一般取決于宿主機(jī)的處理包的能力。代理一般位于目標(biāo)主機(jī)或?qū)iT用于入侵檢測的主機(jī)之中。例如在某些重要的應(yīng)用服務(wù)器和系統(tǒng)服務(wù)器上駐留多個類型的代理負(fù)責(zé)檢查本主機(jī)入侵狀態(tài)。又如在匯聚交換機(jī)的span端上接入主機(jī),運(yùn)行多種類型代理,專門檢測網(wǎng)絡(luò)攻擊狀態(tài)。
5 結(jié)論
本文提出的一種分布式多代理入侵監(jiān)測系統(tǒng)模型可以較為有效的解決普通分布式IDS中單點(diǎn)故障,網(wǎng)絡(luò)傳輸負(fù)載過大,主機(jī)計算性能瓶徑等問題,具有分布式多層次檢測與響應(yīng)能力,采用CORBA技術(shù),實(shí)現(xiàn)系統(tǒng)在異構(gòu)網(wǎng)絡(luò)環(huán)境下跨平臺的操作問題?奢^為方便對檢測代理進(jìn)行管理和擴(kuò)展,為入侵檢測系統(tǒng)實(shí)現(xiàn)方法研究進(jìn)行有益的探索。但系統(tǒng)穩(wěn)定性和運(yùn)行性仍需進(jìn)一步驗(yàn)證。
參考文獻(xiàn)
[1]Anderson J, James P. Computer Security Threat Monitoring and Surveillance. Fort Washington, PA: James P Anderson Co., 1980.
[2]CCIMB-99-031.“Common Criteria for Information Technology Security Evaluation” Vision 2.1.
[3]Eugene H. Spafford, Diego Zamboni. Intrusion Detection Using Autonomous Agents. Computer Networks, 2000, 34(6).
[4]Hochberg J, Jackson K, Stallings C, Nadir, an automated system for detecting network intrusion and misuse. Comput Secur , 1993,12(3).
[5]http://www.省略/productsf/tapfamilyf.html.
[6]http://blackice.省略/product_documentation.php.
[7]S. Staniford-Chen, “GrIDS ―― A Graph-Based Intrusion Detection System for Large Networks,” The 19th National Information Systems Security Conference (USA), 1996.
相關(guān)熱詞搜索:分布式 入侵 檢測系統(tǒng) 基于代理的分布式入侵檢測系統(tǒng)設(shè)計 分布式入侵檢測系統(tǒng) 分布式入侵檢測的特點(diǎn)
熱點(diǎn)文章閱讀