基于網(wǎng)管系統(tǒng)的分布式入侵檢測模型研究

孫 蔚

（陜西工業(yè)職業(yè)技術(shù)學(xué)院 信息工程學(xué)院，陜西 咸陽 712000）

入侵檢測系統(tǒng)（IDS）是一種對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)時(shí)智能監(jiān)控，能準(zhǔn)確地檢測到入侵，并對(duì)入侵進(jìn)行及時(shí)有效的響應(yīng)的安全機(jī)制。目前入侵檢測技術(shù)所面臨最嚴(yán)峻的挑戰(zhàn)是如何提高檢測率和降低誤報(bào)率[1]。入侵檢測系統(tǒng)分析數(shù)據(jù)的主要來源于網(wǎng)絡(luò)原始數(shù)據(jù)包，但是，僅僅分析這些原始數(shù)據(jù)是不夠的。要提高檢測率，入侵檢測系統(tǒng)必須通過整合多元化信息，交叉分析檢測結(jié)果以提高準(zhǔn)確性。另外，現(xiàn)在許多入侵檢測系統(tǒng)尤其是商業(yè)產(chǎn)品的檢測技術(shù)主要使用模式匹配技術(shù)，但模式匹配技術(shù)只能檢測已知的入侵攻擊[2]。隨著許多新的攻擊形式出現(xiàn)，僅僅使用誤用檢測技術(shù)本身是不夠的，異常檢測也應(yīng)該在入侵檢測中扮演更重要的角色。

1 入侵檢測和網(wǎng)絡(luò)管理整合模型

安全管理是網(wǎng)管系統(tǒng)(NMS)的一個(gè)重要的組成部分，并已成為一個(gè)積極而重要的研究領(lǐng)域。一般來說，安全管理包括安全方面的訪問控制，認(rèn)證，公開密鑰體系（PKI）等。在網(wǎng)絡(luò)管理系統(tǒng)中(NMS)，分析的主要數(shù)據(jù)資來源于管理信息庫（MIBs）。但是，僅僅管理信息庫（MIBs）的記錄是不能滿足入侵檢測系統(tǒng)數(shù)據(jù)分析需求的。例如 網(wǎng)絡(luò)連接或IP包頭數(shù)據(jù)是檢測到一些攻擊行為的非常重要的信息。此外，當(dāng)進(jìn)行攻擊的情景分析時(shí)，管理信息庫（MIB）的數(shù)據(jù)就是不完整的。而且目前的網(wǎng)絡(luò)管理系統(tǒng)(NMS)對(duì)入侵檢測系統(tǒng)發(fā)出的警報(bào)缺乏有效的分析和管理能力[3-4]。這樣的管理缺陷會(huì)使安全管理不完整。以此應(yīng)在網(wǎng)絡(luò)管理的領(lǐng)域中設(shè)置應(yīng)答入侵檢測的分析和故障處理能力?，F(xiàn)行的網(wǎng)絡(luò)安全設(shè)置的做法是在網(wǎng)絡(luò)中孤立的安裝入侵檢測系統(tǒng)和網(wǎng)管系統(tǒng)，兩者相對(duì)獨(dú)立，他們之間幾乎沒有聯(lián)系和信息共享。本文研究的目的就是要研究如何把入侵檢測和網(wǎng)絡(luò)管理在審計(jì)數(shù)據(jù)來源，分析技術(shù)，系統(tǒng)結(jié)構(gòu)和部署策略等方面進(jìn)行結(jié)合。通過集成入侵檢測系統(tǒng)和網(wǎng)絡(luò)管理，來改善的入侵檢測系統(tǒng)的效果和加強(qiáng)安全管理功能。

1.1 系統(tǒng)架構(gòu)

在今天的網(wǎng)絡(luò)環(huán)境中，由于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得更加復(fù)雜和攻擊方法＂多變＂ ，入侵檢測系統(tǒng)是很難在網(wǎng)絡(luò)上只有一個(gè)觀察點(diǎn)的狀態(tài)下實(shí)現(xiàn)有效地監(jiān)測和分析。因此，我們的系統(tǒng)架構(gòu)設(shè)計(jì)是分布式、層次化的。我們將系統(tǒng)架構(gòu)的保護(hù)和分析作用域劃分為為本地分析（local analysis ），區(qū)域分析（ region alanalysis） 和全局分析（globalanalysis ）三層。在一個(gè)高速、高負(fù)載的網(wǎng)絡(luò)環(huán)境下，一般的入侵檢測系統(tǒng)不能及時(shí)準(zhǔn)確的檢測到所有對(duì)網(wǎng)絡(luò)的可能攻擊，因此，在我們的體系結(jié)構(gòu)中將在每一個(gè)子網(wǎng)中使用多種專用入侵檢測器，每個(gè)檢測器檢測不同的攻擊行為[5]。例如，基于主機(jī)的入侵檢測器，可以分析的BSM審計(jì)數(shù)據(jù)、系統(tǒng)調(diào)用的痕跡、或者是根據(jù)shell的調(diào)用監(jiān)測被檢測主機(jī)的應(yīng)用程序和用戶行為的變化。至于網(wǎng)絡(luò)入侵檢測器負(fù)責(zé)檢測被攻擊者利用的網(wǎng)絡(luò)協(xié)議的弱點(diǎn)。所有的入侵代理的部署都是基于整個(gè)系統(tǒng)的安全政策略安排。舉例來說，我們可以在關(guān)鍵服務(wù)器上安裝基于主機(jī)的入侵代理，以保護(hù)他們不被攻擊。在路由器或交換機(jī)上安裝基于網(wǎng)絡(luò)的入侵代理，監(jiān)測網(wǎng)絡(luò)流量運(yùn)行。

每個(gè)檢測關(guān)聯(lián)器（ID Correlator）在其網(wǎng)域中管理相關(guān)本地的檢測代理（ID Agents），整合本地的安全事件或本地入侵代理發(fā)出警報(bào)，及本網(wǎng)域內(nèi)的入侵警報(bào)。檢測關(guān)聯(lián)器其負(fù)責(zé)其覆蓋作用域內(nèi)安全活動(dòng)，并將結(jié)果報(bào)告給入侵檢測管理器。入侵檢測管理器負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的入侵檢測，如校園網(wǎng)。它綜合多個(gè)網(wǎng)域的入侵檢測關(guān)聯(lián)器的檢測報(bào)告進(jìn)行全局分析。以檢測那些更完整和復(fù)雜的攻擊[6]。入侵檢測管理器給網(wǎng)絡(luò)管理員發(fā)出最后的入侵檢測報(bào)告，入侵檢測管理器負(fù)責(zé)除了安全管理之外整個(gè)網(wǎng)絡(luò)管理的工作。檢測關(guān)聯(lián)器和入侵檢測管理器向相應(yīng)的接收器發(fā)出基于安全政策的入侵響應(yīng)命令。

圖1 入侵檢測的分層體系結(jié)構(gòu)Fig.1 Hierarchical intrusion detection architecture

1.2 檢測代理

在本系統(tǒng)的研究模型下，一個(gè)檢測代理負(fù)責(zé)某一特定類型的入侵檢測，在每個(gè)檢測代理都3個(gè)檢測引擎：簽名引擎、輪廓引擎、MIB引擎，其中簽字引擎?zhèn)戎赜谕ㄟ^檢查已知的對(duì)簽名攻擊行為以檢測入侵。輪廓引擎負(fù)責(zé)在異常檢測的基礎(chǔ)上檢測網(wǎng)絡(luò)或用戶行為是否偏離正常。這兩個(gè)引擎使用的是＂傳統(tǒng)＂式的數(shù)據(jù)源（如BSM記或原始網(wǎng)絡(luò)數(shù)據(jù)包）。MIB引擎檢側(cè)與MIB相關(guān)的MIB對(duì)象，并比較它們與正常的MIB的輪廓差別以檢測入侵。不同檢測代理（ID Agent）根據(jù)他們檢測目標(biāo)可以包含一個(gè)或一組檢測引擎。當(dāng)檢測引擎檢測到到異常行為時(shí)將與知識(shí)庫中的存儲(chǔ)規(guī)則集和攻擊模式進(jìn)行比較，以判斷是否發(fā)生入侵。同時(shí)通過簡單網(wǎng)絡(luò)管理協(xié)議（Snmp）接口，將檢測代理的檢測警報(bào)和檢測關(guān)聯(lián)器控制信息封裝進(jìn)Snmp數(shù)據(jù)包發(fā)給檢測關(guān)聯(lián)器。

1.3 檢測關(guān)聯(lián)器

在我們的架構(gòu)中，檢測關(guān)聯(lián)器是一個(gè)重要的組成部分。檢測關(guān)聯(lián)器主要職責(zé)是將整合分析檢測代理發(fā)送的警報(bào)信息以確定入侵的性質(zhì)，預(yù)測入侵的趨勢，對(duì)入侵采取響應(yīng)適當(dāng)?shù)男袆?dòng)，并防止?jié)撛诘娜肭?，最后發(fā)送警報(bào)給檢測管理器作進(jìn)一步的入侵分析和全局化的分析，其工作過程是由警報(bào)采集模塊接受從檢測代理發(fā)出的事件或警報(bào)。然后由安全關(guān)聯(lián)引擎將檢測代理發(fā)送的警報(bào)器與知識(shí)庫中相關(guān)模型進(jìn)行模式匹配，分析相關(guān)性，預(yù)測和確定入侵的目的和趨勢。

檢測關(guān)聯(lián)器的知識(shí)庫主要存儲(chǔ)網(wǎng)絡(luò)知識(shí)，如網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)部件信息等。它會(huì)存儲(chǔ)檢測關(guān)聯(lián)器相關(guān)的信息，舉例來說，如果相關(guān)檢測引擎采用基于規(guī)則推理（rbr）的檢測技術(shù)，該規(guī)則集將被儲(chǔ)存在知識(shí)庫。如果相關(guān)檢測引擎的核心技術(shù)是規(guī)則推理，那么知識(shí)庫會(huì)存儲(chǔ)案例庫進(jìn)行知識(shí)積累，同樣入侵攻擊知識(shí)，如攻擊情景，入侵簽名也會(huì)被儲(chǔ)存在知識(shí)庫。假如對(duì)于一可疑行為，如果檢測關(guān)聯(lián)器沒有現(xiàn)有的入侵反應(yīng)知識(shí)可提供，那么檢測關(guān)聯(lián)器將響應(yīng)責(zé)任發(fā)送給檢測管理器，由檢測管理器將給知識(shí)庫增加新的反應(yīng)的知識(shí)，供今后使用。

2 基于信息管理庫（MIB）的檢測代理

由于檢測分析任務(wù)由檢測代理完成，使得這種分布式和和層次化的入侵檢測系統(tǒng)(IDS)可以使用在高速網(wǎng)絡(luò)環(huán)境下[7]。在入侵檢側(cè)和網(wǎng)絡(luò)管理的集成環(huán)境下，有兩個(gè)層次的關(guān)聯(lián)，在較低的層面上，我們需要將相關(guān)的多種來源的信息發(fā)送給檢測代理，以確定哪些地方發(fā)生了入侵。在較高的層面上，檢測關(guān)聯(lián)器和檢測管理器全局關(guān)聯(lián)分析攻擊的情況和協(xié)調(diào)偵查分布式攻擊。這種分級(jí)關(guān)聯(lián)體系要實(shí)現(xiàn)的目標(biāo)是：降低誤報(bào)率和較高的檢出率；并且對(duì)分布式攻擊有較好的分析能力。

入侵檢測系統(tǒng)的高誤報(bào)率的一個(gè)重要因素是缺乏足夠的信息。檢測代理可通過監(jiān)測和分析網(wǎng)絡(luò)數(shù)據(jù)包來觀察不同目地的主機(jī)的信息，但是不同的操作系統(tǒng)執(zhí)行網(wǎng)絡(luò)協(xié)議的細(xì)節(jié)有所不同。如果網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)是唯一的信息來源，入侵檢測系統(tǒng)可能產(chǎn)生虛假警報(bào)，它認(rèn)為＂可疑＂的流量實(shí)際上是“無害”的。在我們的系統(tǒng)架構(gòu)中，檢測引擎關(guān)聯(lián)不同的檢測代理發(fā)出的警報(bào)，如果真的有入侵攻擊則向檢測關(guān)聯(lián)器發(fā)出最后警報(bào)報(bào)告。這種通過結(jié)合多種來源的異常信息以確定異常攻擊的模式是非常有效的。

為了提高入侵檢測的檢測效率，在檢測代理增加信息管理庫（MIB）檢測模塊也是必要的。例如，對(duì)于如拒絕服務(wù)攻擊（DoS）以流量為基礎(chǔ)的攻擊模式，流量統(tǒng)計(jì)是較好的檢測方式。不過由于目前大多數(shù)入侵檢測系統(tǒng)使用原始數(shù)據(jù)包的作為網(wǎng)絡(luò)入侵檢數(shù)據(jù)來源，因此入侵檢測引擎需要在計(jì)算相關(guān)原始數(shù)據(jù)包的統(tǒng)計(jì)數(shù)字的基礎(chǔ)上去檢測異常流量。而這種方法在空間上和時(shí)間的效率都低。實(shí)際上，網(wǎng)管系統(tǒng)（NMS）提供了一套全面的網(wǎng)絡(luò)活動(dòng)的變化統(tǒng)計(jì)數(shù)據(jù)，這對(duì)異常檢測是非常寶貴的。舉例來說，MIB II就有許多對(duì)象代表流量信息以及網(wǎng)絡(luò)和主機(jī)的配置信息。當(dāng)我們安裝簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）時(shí)就附帶了信息管理庫（MIBs）.因此我就可以用它來進(jìn)行入侵檢測。此外，根據(jù)一些MIB II對(duì)象的出錯(cuò)統(tǒng)計(jì)信息還可以進(jìn)行檢測預(yù)測。而RMON MIB也是檢測代理監(jiān)測連接主機(jī)的網(wǎng)絡(luò)應(yīng)用和應(yīng)用程序運(yùn)行的一個(gè)很好的數(shù)據(jù)來源。因此，我們認(rèn)為，利用網(wǎng)絡(luò)管理系統(tǒng)（NMS）的信息可以緩解入侵檢測系統(tǒng)（IDS）信息的收集和計(jì)算的工作量。

另外，入侵檢測系統(tǒng)所提供入侵檢測的信息能提高網(wǎng)管系統(tǒng)的性能管理和分析網(wǎng)絡(luò)運(yùn)行，特別是在安全領(lǐng)域的管理。網(wǎng)絡(luò)管理和入侵檢測的集成將使工作更加方便和有效率，因?yàn)榧蓪⒁惑w化統(tǒng)一接口（例如，報(bào)告）和操作標(biāo)準(zhǔn)/策略（如警報(bào)）。因此，兩者的整合可以使兩種技術(shù)更加有效、易于使用、易于接受。

3 結(jié) 論

在本文中，我們?cè)O(shè)計(jì)了基于網(wǎng)管系統(tǒng)的分布式入侵檢測模型研究模型。并提出了一種分層、分布式入侵檢測系統(tǒng)模型，它可以集成到現(xiàn)有的網(wǎng)管系統(tǒng)。我們還提出了分層的關(guān)聯(lián)性的系統(tǒng)結(jié)構(gòu)，以提高檢測精度、關(guān)聯(lián)相關(guān)入侵信息。我們運(yùn)行tfw2k和trinoo攻擊工具的分布式拒絕服務(wù)（ddos）攻擊來評(píng)估本檢測模型。結(jié)果表明，本模型對(duì)Ping Flood,、Syn Flood、Targa3、 UDP Flood 和 Mix Flood.具有非常高的檢測精度和相對(duì)較低的誤報(bào)率。這也顯示了相應(yīng)的子模塊能發(fā)現(xiàn)針對(duì)相應(yīng)的協(xié)議的入侵。同時(shí)，基于MIB II的入侵檢測模型能夠有效的檢測如拒絕服務(wù)攻擊（DDOS）等基于流量的攻擊。實(shí)踐表明，基于網(wǎng)管系統(tǒng)的分布式入侵檢測模型研究模型將大大提高入侵檢測系統(tǒng)檢測效率。

[1]Amoroso E. Intrusion Detection: An Introduction to Intemet Surveillance, Correlation, Traps, Trace Back, and Response[M].Intrusion.Net Books, 1999.

[2]Anderson D , Frivold T, Valdes A.Next-generation intrusion detectionexpert system (NIDES): A summary. Technical Report SRICSL-95-07[M]. Computer Science Laboratory, SRI International,MenloPark, Califomia, 1995.

[3]王珺,王崇駿,謝俊元, 等.基于Agent的網(wǎng)絡(luò)入侵檢測技術(shù)的研究[J]. 計(jì)算機(jī)科學(xué), 2006, 1(12):66-68

WANG Jun ,WANG Chong-Jun,XIE Jun-yuan,et al. Research on agent-based intrusion detection technique[J].Computer Science,2006,1(12):66-68.

[4]何波.基于Agent的網(wǎng)絡(luò)入侵檢測專家系統(tǒng)[J]. 微電子學(xué)與計(jì)算機(jī) ,2011,28(9):93-96.

HE Bo. Intrusion detection expert system of network based on agent[J].Microelectronics & Computer, 2006, 23(9):191-193.

[5]史志才,夏永祥. 高速網(wǎng)絡(luò)環(huán)境下的入侵檢測技術(shù)研究綜述[J].計(jì)算機(jī)應(yīng)用研究,2010, 27(5):1606-1610.

SHI Zhi-cai, XIA Yong-xia.Survey on intrusion detectiontechniques for high-speed networks[J].Application Researchrs, of Compute 2010.27(5):1606-1610.

[6]毛國君,宗東軍. 基于多維數(shù)據(jù)流挖掘技術(shù)的入侵檢測模型與算法[J]. 計(jì)算機(jī)研究與發(fā)展, 2009,46(4): 602-609.

MAO Guo-jun, ZONG Dong-jun. An intrusion detection model based on mining multi-dimension data streams[J]. Journal of Computer Research and Development, 2009, 46(4): 602-609.

[7]蔡洪民,伍乃騏,陳素.分布式入侵檢測系統(tǒng)的研究與實(shí)現(xiàn)[J]. 計(jì)算機(jī)工程與設(shè)計(jì), 2009, 30(6):1383-1386.

CAI Hong-min,WU Nai-qi ,CHEN Su. Research and implement of distributed intrusion detection system[J].Computer Engineering and Design,2009, 30(6): 1383-1386.