應(yīng)用移動代理的入侵檢測系統(tǒng)(IDS)的分析與設(shè)計

康延新，吳生武

(新疆公安廳，烏魯木齊 830000)

0 引言

隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)規(guī)模的不斷發(fā)展，針對網(wǎng)絡(luò)和計算機系統(tǒng)的攻擊已經(jīng)屢見不鮮，目前的網(wǎng)絡(luò)安全問題已經(jīng)成為人們關(guān)注的焦點。由于傳統(tǒng)的安全防護手段如防火墻等本身容易受到攻擊，且對于內(nèi)部網(wǎng)絡(luò)出現(xiàn)的問題經(jīng)常束手無策，而且，防火墻采用的靜態(tài)的被動的策略不能夠完全滿足安全需求，因此很多組織致力于提出更多更強大的主動策略和方案來增強網(wǎng)絡(luò)的安全性，其中一個有效的解決途徑就是入侵檢測。

入侵檢測系統(tǒng)(IDS，intrusion detection system)采用的是一種較為主動的技術(shù)，可以有效地彌補防火墻的不足，能有效地發(fā)現(xiàn)入侵行為和合法用戶濫用特權(quán)的行為。下面簡要介紹了入侵檢測系統(tǒng)，在分析現(xiàn)有的入侵檢測系統(tǒng)的基礎(chǔ)上，通過對分布式入侵檢測系統(tǒng)的模型的研究分析，對入侵檢測模型中基于用戶行為的IDS子系統(tǒng)進行了詳細設(shè)計。

1 入侵檢測技術(shù)

入侵檢測技術(shù)是一種主動保護網(wǎng)絡(luò)和系統(tǒng)安全的新型網(wǎng)絡(luò)安全技術(shù)，是目前網(wǎng)絡(luò)安全體系結(jié)構(gòu)中的重要組成部分。它從計算機系統(tǒng)和網(wǎng)絡(luò)中采集、分析數(shù)據(jù)，查找非授權(quán)訪問和可疑行為，并采取適當?shù)捻憫?yīng)措施來阻擋攻擊，降低可能的損失。

對一個成功的入侵檢測系統(tǒng)來講，它不但可使系統(tǒng)管理員時刻了解本機和網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬設(shè)備等)的任何變更，還能給本機和網(wǎng)絡(luò)安全策略的制訂提供指南，更為重要的一點是，它應(yīng)該管理、配置簡單，從而使非專業(yè)人員非常容易地獲得計算機網(wǎng)絡(luò)安全。而且，入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。無論IDS基于何種機制，根據(jù)Purdue大學(xué)的COAST組所提出的，它們都應(yīng)該能夠滿足下面的要求:

a)無人監(jiān)控下的持續(xù)運行(Run Continually);b)容錯(Fault Tolerant);c)抵抗顛覆(Resist Subversion);d)載入最小開銷(Minimal Overhead);e)可配置性(configurable);f)可自適應(yīng)性(Adaptable);g)擴展性(Scalable);h)提供良好的降級服務(wù)(Graceful Degradation of Service);i)可動態(tài)重配置(Dynamic Reconfiguration)。

現(xiàn)有入侵檢測的體系結(jié)構(gòu)有整體系統(tǒng)、層次系統(tǒng)、分布式系統(tǒng)、基于代理的系統(tǒng)。無論什么結(jié)構(gòu)的入侵檢測系統(tǒng)，第一步必須是獲得數(shù)據(jù)源。數(shù)據(jù)源的選取取決于所想檢測的內(nèi)容，為了檢測攻擊，入侵檢測系統(tǒng)必須能夠發(fā)現(xiàn)攻擊的證據(jù)，必需能夠獲得攻擊的真實的數(shù)據(jù)。入侵檢測利用的信息一般來自以下四個方面:系統(tǒng)日志和網(wǎng)絡(luò)日志文件，目錄和文件中的不期望的改變，程序執(zhí)行中的不期望行為，以及物理形式的入侵信息。獲得數(shù)據(jù)源后，接著就要對數(shù)據(jù)源進行分析和建模。目前主要有兩種方法用來解決入侵檢測問題，即基于異常檢測方法與誤用入侵檢測方法。在IDS實現(xiàn)系統(tǒng)中，常采用兩種方法相結(jié)合的方式。常用的異常檢測建模方法有:免疫系統(tǒng)的方法、協(xié)議驗證方法、檔檢測技術(shù)、感染檢測方法、神經(jīng)網(wǎng)絡(luò)檢測方法和優(yōu)化過濾方法等。常用的誤用檢測建模方法有:符號匹配方法及簡單模式匹配方法、專家系統(tǒng)方法、狀態(tài)轉(zhuǎn)移分析方法、遺傳算法和數(shù)據(jù)挖掘等。

所設(shè)計的基于用戶行為的入侵檢測系統(tǒng)引用的是數(shù)據(jù)挖掘建模方法，使用數(shù)據(jù)挖掘技術(shù)建立入侵檢測模型的目的是發(fā)現(xiàn)能用于描述程序和用戶行為的系統(tǒng)特性一致使用模式集，之后這個模式集由引導(dǎo)方法處理形成識別異常和誤用概要的分析檢測引擎。數(shù)據(jù)挖掘是從海量的資料中發(fā)現(xiàn)隱藏的不是很明顯的事實，從而判斷出入侵蹤跡。

2 基于移動代理的入侵檢測技術(shù)

移動代理(Mobile Agent)是近年來提出的新的分布式計算模式，是傳統(tǒng)的Client/Server分布計算模式的擴展，隨著計算機網(wǎng)絡(luò)的發(fā)展，特別是Internet應(yīng)用的急速增長和新型網(wǎng)絡(luò)應(yīng)用的出現(xiàn)，Client/Server模式的缺點日益明顯，基于這種情況，移動代理技術(shù)被提出來，它集軟件、通信、分布系統(tǒng)的技術(shù)于一身，彌補了傳統(tǒng)的Client/Server技術(shù)的不足，有著巨大的應(yīng)用前景。

移動代理是代理中的一種，是代碼、數(shù)據(jù)及執(zhí)行語境的軟件包，可以在執(zhí)行過程中，有目的地、自治地在網(wǎng)絡(luò)中移動，利用與各結(jié)點資源局部交互而完成分布任務(wù)的軟件實體，能在同構(gòu)或異構(gòu)網(wǎng)絡(luò)主機之間自主地進行遷移。換句話說，程序能自主地決定什么時候遷移到什么地方。它能在程序運行的任一點掛起，然后遷移到另一臺主機上，并接著這一點繼續(xù)往下執(zhí)行。這個程序能夠在任意點中斷自己的執(zhí)行，把自己傳輸?shù)搅硪慌_機器上，在新的機器上從它中斷的地方繼續(xù)執(zhí)行。在每一臺機器上，它與服務(wù)代理和其他資源交互以完成它的任務(wù)。

移動代理技術(shù)給分布式計算系統(tǒng)帶來諸多優(yōu)點，它能夠減輕網(wǎng)絡(luò)負擔，縮短網(wǎng)絡(luò)等待時間，協(xié)議封裝、異步自治執(zhí)行、動態(tài)自適應(yīng)、異構(gòu)環(huán)境運行，具有很強的健壯性和容錯能力。下面分析與IDS有關(guān)的移動代理的優(yōu)點。

a)減輕網(wǎng)絡(luò)負擔(Reducing Network Load)

目前IDS面臨的最迫切問題是要處理的數(shù)據(jù)量太大，這些數(shù)據(jù)有些來自網(wǎng)絡(luò)流量監(jiān)視，有些來自主機審計日志。一般地，IDS在本地可以處理這些數(shù)據(jù)的大部分，但處理抽象出來的結(jié)果仍要被送到網(wǎng)絡(luò)的其他地方等待進一步處理，并最終被送到中央控制器，由中央控制器對網(wǎng)絡(luò)所有節(jié)點發(fā)送來的抽象結(jié)果進行全面評估。而對網(wǎng)絡(luò)而言，抽象處理過的數(shù)據(jù)量仍是很大的通信負擔。代理可以減少這類數(shù)據(jù)傳輸，為減輕網(wǎng)絡(luò)負擔提供途徑。基于移動代理的數(shù)據(jù)查找和分析方法把原本需要在網(wǎng)絡(luò)間傳輸?shù)拇罅繑?shù)據(jù)在本地進行處理，減少了網(wǎng)絡(luò)流。原先是數(shù)據(jù)在網(wǎng)絡(luò)中傳輸，現(xiàn)在是移動代理被派到數(shù)據(jù)所在的機器上。也就是說，是把計算移向數(shù)據(jù)，不再是把數(shù)據(jù)移向計算。傳輸代碼量小于數(shù)據(jù)量的代理，可以減輕網(wǎng)絡(luò)負擔。

b)縮短網(wǎng)絡(luò)等待時間(Overcoming Network Latency)

為了防御對網(wǎng)絡(luò)的惡意攻擊，IDS除了要檢測和診斷網(wǎng)絡(luò)入侵，還要提供正確的響應(yīng)。盡管中央控制器能夠發(fā)送消息給網(wǎng)絡(luò)中的節(jié)點，向它們發(fā)出如何響應(yīng)某種特定攻擊的指令，但這種方法的問題是中央控制器需要響應(yīng)整個網(wǎng)絡(luò)中發(fā)生的大量事件，這樣會造成單點瓶頸。如果網(wǎng)絡(luò)節(jié)點與中央控制器的連接速度很慢，就難以提供實時的指令。移動代理可以幫助提高實時響應(yīng)的效率，因為它們能夠離開中央控制點，直接在遠端執(zhí)行任務(wù)，直接對大量事件進行響應(yīng)，從而減少了與中央控制點的通信量。此外，移動代理分布在網(wǎng)絡(luò)的各個地方，所以可以利用多條路由選擇的優(yōu)勢避免通信連接失敗的問題。

c)異步自治執(zhí)行(Executing Asynchronously＆Autonomously)

IDS體系結(jié)構(gòu)由一臺或幾臺中心主機(即中央控制器)協(xié)調(diào)，需要有可靠的通信路徑連接到網(wǎng)絡(luò)傳感器(Sensors)和中間處理節(jié)點。中央控制器起到的這種關(guān)鍵作用使它自身成為攻擊的主要目標之一。移動代理框架允許IDS在一個中央控制器失靈或通信連接失敗時能夠繼續(xù)工作。因為與消息傳遞、RPC不同，一旦某個移動代理從它的歸屬平臺(Home Platform)發(fā)送出來，無論它的歸屬平臺是否存在、網(wǎng)絡(luò)連接是否正常，移動代理都能夠自治地運行。

d)動態(tài)自適應(yīng)(Adapting Dynamically)

在網(wǎng)絡(luò)中，由于網(wǎng)絡(luò)配置、拓撲結(jié)構(gòu)、流量等隨時間不斷發(fā)生變化，網(wǎng)絡(luò)測試和監(jiān)視的內(nèi)容也需要隨之變化。網(wǎng)絡(luò)中的每個計算節(jié)點要求不同的測試，這些測試隨時間不斷變化，有些測試不再需要，有些新的測試需要加入。移動代理提供了一個通用的自適應(yīng)計算模型，在網(wǎng)絡(luò)和主機環(huán)境改變時，移動代理能夠被排除、收回、復(fù)制或進入睡眠。例如，當檢測某種攻擊有更好的移動代理檢測器出現(xiàn)時，就取代舊的版本。如果某個移動代理的誤替率太高，就會被取消或者中止。移動代理可以感知執(zhí)行環(huán)境的變化，自動對這些變化做出反應(yīng)。例如，如果主機平臺的計算負擔太重，性能無法達到Agent服務(wù)的期望，Agent和它的數(shù)據(jù)能夠遷移到另一臺能滿足計算要求的機器上。

e)異步環(huán)境運行(Naturally Heterogeneous)

大型企業(yè)網(wǎng)一般由許多不同的計算平臺和計算設(shè)備構(gòu)成，移動代理一個最大的好處就是能在應(yīng)用層實現(xiàn)互操作。移動代理可以獨立于計算和傳輸層、只依賴于執(zhí)行環(huán)境運行，為異構(gòu)系統(tǒng)的無縫集成提供了最佳的解決方法。也就是說，只要裝上移動代理平臺，移動代理在理論上能在任何網(wǎng)絡(luò)節(jié)點運行。

f)健壯性和容錯能力(Robust＆Fault-tolerant Behavior)

移動代理對外界環(huán)境的動態(tài)反映能力為建立健壯的、容錯能力強的分布式系統(tǒng)提供了便利。當一臺主機關(guān)機時，在它上面執(zhí)行的所有Agents都會被警告，并為Agents留出時間，讓它們保存現(xiàn)有的執(zhí)行狀態(tài)，確保轉(zhuǎn)移到其他主機能繼續(xù)原先的運行。移動代理對無連接運行的支持和分布式的設(shè)計模型，消除了單點崩潰問題，為移動代理提供了容錯特性。

3 應(yīng)用移動代理的入侵檢測系統(tǒng)設(shè)計

移動代理應(yīng)用于IDS，可以實現(xiàn)主機間的動態(tài)遷移，從而改變傳統(tǒng)的將數(shù)據(jù)傳送給程序(計算)的方式，改將程序(計算)傳送給數(shù)據(jù);此外，還能具有智能性、平臺無關(guān)性、分布的靈活性、低網(wǎng)絡(luò)數(shù)據(jù)流量、協(xié)作性等優(yōu)點。

應(yīng)用移動代理的入侵檢測系統(tǒng)是用移動代理來建立入侵檢測系統(tǒng)，整個系統(tǒng)是建立在移動代理平臺基礎(chǔ)上的。具體的系統(tǒng)的體系結(jié)構(gòu)，如圖1所示。

圖1 入侵檢測系統(tǒng)體系結(jié)構(gòu)

從圖1中可以看出，移動代理入侵檢測系統(tǒng)包括檢側(cè)管理器，Agent守護進程，傳感器，學(xué)習(xí)綜合Agent，信息收集與學(xué)習(xí)Agent，跟蹤Agent，遍歷Agent。

4 系統(tǒng)的工作流程

系統(tǒng)的工作流程有以下8個步驟。

a)每個目標節(jié)點的傳感器對網(wǎng)絡(luò)數(shù)據(jù)和主機數(shù)據(jù)時刻進行監(jiān)視，通過某些特殊途徑傳送給本節(jié)點的信息收集和學(xué)習(xí)Agent;b)信息收集與學(xué)習(xí)Agent在目標節(jié)點上收集與入侵可疑行為有關(guān)的內(nèi)容，并進行學(xué)習(xí)，并決定是否遷移到其他節(jié)點進行信息收集和學(xué)習(xí);c)信息收集與學(xué)習(xí)Agent完成任務(wù)后，將結(jié)果傳回給管理節(jié)點上的學(xué)習(xí)綜合Agent;d)檢測管理節(jié)點根據(jù)返回結(jié)果，決定是否發(fā)出跟蹤Agent進行入侵跟蹤;e)如果跟蹤Agent己到達入侵可疑行為源節(jié)點，或再也無法移動，就返回檢測管理器中，以便檢測管理器做出相應(yīng)的響應(yīng)(如調(diào)用反擊模塊等);f)檢測管理器中的學(xué)習(xí)綜合Agent根據(jù)對信息收集與學(xué)習(xí)Agent傳回的內(nèi)容進行分析與綜合，并將結(jié)果提交給檢測管理器;g)檢測管理器定期發(fā)出遍歷Agent遍歷它所管轄的網(wǎng)段，同時收集各個目標節(jié)點的信息，帶回檢測管理器交由學(xué)習(xí)綜合Agent進行分析與綜合，并將結(jié)果提交給檢測管理器;h)檢測管理器根據(jù)學(xué)習(xí)綜合Agent提交的結(jié)果進行入侵檢測和判斷。如果判斷發(fā)生了入侵，那么系統(tǒng)將采取一定措施進行防范，并且對入侵產(chǎn)生的后果進行處理，即轉(zhuǎn)入預(yù)替及實時響應(yīng)階段。

5 系統(tǒng)層次結(jié)構(gòu)及相關(guān)實現(xiàn)技術(shù)

依據(jù)功能將系統(tǒng)劃分為三個層次，系統(tǒng)層次圖如圖2所示。

圖2 系統(tǒng)層次結(jié)構(gòu)圖

②入侵預(yù)警及響應(yīng)

本系統(tǒng)將主動響應(yīng)和被動響應(yīng)模式有機結(jié)合了起來。

a)主動響應(yīng)

主動響應(yīng)的一種就是自動反擊，由跟蹤Agent來獲得入侵的來源，如果可以確定入侵的真實來源，則對該攻擊源實施反擊，反擊功能通過檢測管理器自動調(diào)用單獨的反擊模塊完成。如果跟蹤Agent不能判斷入侵的真實來源，那么可以讓安全管理人員進行用戶驅(qū)動響應(yīng)，由管理人員來判斷真實的入侵源并做出處理。

b)被動響應(yīng)

被動響應(yīng)是那些只向用戶提供信息而依靠用戶去采取下一步行動的響應(yīng)。

6 結(jié)語

(1)底層——數(shù)據(jù)源獲取

數(shù)據(jù)源的獲取和預(yù)處理是由傳感器和遍歷A-gent來完成的。傳感器位于每一個目標節(jié)點上，而遍歷Agent則由管理節(jié)點根據(jù)需要發(fā)出。移動代理入侵檢測系統(tǒng)的數(shù)據(jù)源分為三類，一種是網(wǎng)絡(luò)數(shù)據(jù)，一種是系統(tǒng)調(diào)用，一種是系統(tǒng)日志。網(wǎng)絡(luò)數(shù)據(jù)由傳感器中的網(wǎng)絡(luò)數(shù)據(jù)采集模塊來獲得，系統(tǒng)調(diào)用序列是由傳感器中的系統(tǒng)調(diào)用采集模塊來獲得，系統(tǒng)日志數(shù)據(jù)主要由通過傳感器中的系統(tǒng)日志監(jiān)控模塊來獲得。

(2)中間層——數(shù)據(jù)分析

數(shù)據(jù)分析是入侵檢測系統(tǒng)中最為核心的問題，由于數(shù)據(jù)源有網(wǎng)絡(luò)數(shù)據(jù)、系統(tǒng)調(diào)用、系統(tǒng)日志，相應(yīng)的數(shù)據(jù)分析層也由三個分析模塊組成:網(wǎng)絡(luò)分析模塊，主機系統(tǒng)調(diào)用分析模塊，用戶行為分析模塊。

(3)上層——人機界面與入侵響應(yīng)

在完成了對系統(tǒng)安全狀況的分析并對入侵行為做出判斷以后，接下來的任務(wù)就是讓有關(guān)人員和部門了解問題的存在并采取合適的措施，這個階段稱為預(yù)警及實時響應(yīng)階段。

①用戶分類

本系統(tǒng)針對安全管理人員的不同等級和不同需要對入侵分析結(jié)果進行合理裁剪后提供服務(wù)。因此，首先將安全管理人員進行分類，分為系統(tǒng)安全專家、系統(tǒng)管理員及安全調(diào)查員。

在研究現(xiàn)有的各種入侵檢測系統(tǒng)的基礎(chǔ)上，結(jié)合現(xiàn)在新興的移動代理技術(shù)，對將移動代理應(yīng)用到入侵檢測系統(tǒng)(IDS)中提出了設(shè)計思想和模塊分析。

［1］ 胡昌振.網(wǎng)絡(luò)入侵檢測原理與技術(shù)［M］.北京:北京理工大學(xué)出版社，2006.

［2］ FEINSTEIN B D.The Intrusion Detection Messageexchange Format［EB/OL］.(2005-07-31)draft-ietf-idwg-idmef-xml-14.txt.

［3］ 藍天明.基于神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)的研究［D］.南昌:南昌大學(xué)，2006.

［4］ (美)迪爾(Deal，R.A).Cisco路由器防火墻安全［M］.陳克忠，譯.北京:人民郵電出版社，2006.

［5］ Protocol Anomaly Detection for Network-based Intrusion Detection［EB/OL］.［2014-02-21］.http://www.sans.org/rr/intrusion/anomaly.php.

［6］ 陳健，張亞平，李艷.基于流量分析的入侵檢測系統(tǒng)研究［J］.天津理工學(xué)院學(xué)報，2008.