基于代理的分布式入侵检测系统设计 异常入侵检测系统的设计原理

　　摘要：本文在分析现有入侵检测方法，技术与系统的基础，基于入侵检测的自治代理模型，给出了一种分布式多代理的入侵检测系统模型，其核心思想是将原来的集中处理分布到网络的观测点，对每类攻击构造相应的代理程序。其优点是处理速度快，布置方便。解决了单点故障。另外，采用CORBA技术，实现了异构环境下的跨平台操作，为入侵检测系统提供一条有效技术途径。
　　关键词：入侵监测系统；分布式处理；代理；CORBA
　　中图分类号：TP393.08 文献标识码：A
　　
　　1 引言
　　
　　CAI模型是信息安全最重要的表现形式，而网络安全问题始终影响现行网络中各类应用的正常运行，一个或几个独立的防范设备和系统已不足以处理网络上的入侵事件。因此，构建一个网络安全防范体系则是解决网络安全问题的有效途径。该体系涉及多层次方面的保护机制与技术方法，其目的是使入侵者难于突破安全防线。入侵检测技术IDS（Intrusion Detection System）是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。它可以防止或减轻上述的网络威胁。
　　目前IDS有两大主流技术：基于网络的IDS和基于主机的IDS[1]，入侵检测技术已经从理论[2][3]过渡到实用，形成了一批成型的产品并在网络安全设备市场中占有一定份额，并正在向检测率高、容错能力强和易配置性好的分布式智能化方面演进。然而当前入侵检测系统面临的最主要挑战是虚警率高和检测速度慢。虚警率高可能是源于对攻击行为（特征）理解不深入、不完全，使得检测算法不是十分有效及各种控制阀值设置不当等因素造成的。而速率慢可能是由于检测模型中所采用的集中数据收集与检测判别处理方式所致。鉴于现行产品所依赖的检测模型无法满足实际需要，很有必要在现有的检测模型基础上进行更新。
　　
　　2 入侵检测系统的特点
　　
　　入侵技术的发展与演化主要反映在下列几个方面：
　　入侵或攻击的综合化与复杂化。
　　入侵主体对象的间接化，即实施入侵与攻击的主体的隐蔽化。
　　入侵或攻击的规模扩大。
　　入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单击执行。由于防范技术的发展使得此类行为不能奏效。所谓分布式拒绝服务（DDOS）在很短的时间内可造成被攻击主机的瘫痪。基于网络的入侵检测的重点是网络攻击为，如TCP劫持，DNS欺骗，拒绝服务攻击，该系统利用特定的网络嗅探工具来实时截获网上的数据包，借助统计和模式匹配等技术在捕获的网络流量中寻找入侵痕迹。但随着网络结构与技术的变迁，NIDS的不足可归结如下：
　　•交换式网络结构严重影响网络数据的收集
　　•用于入侵检测的机器处理速率和存储容量难于满足实际要求
　　•存在失效开放问题
　　为了解决由于检测速度不足问题，人们提出分布式结构等解决方案，现有的分布式入侵检测系统（Distributed IDS）的处理思想是分布采集数据与集中处理。但其不足的表现如下：
　　•数据传输负荷过大分布式的数据采集器与集中处理机间的数据交换极大的浪费网络有效带宽。
　　•集中处理器的计算性能难于满足实际需求
　　•网络传输时延时对某些实时检测方法的可信度产生影响，基于过时的信息所作出判断的可信度是不高的
　　•易产生单点故障
　　
　　3 基于代理的分布式入侵检测系统模型的设计
　　
　　我们知道现有的入侵检测系统通常是分散收集各类数据（各类日志，IP包等），集中检测入侵行为，检测方法是通过将收集的入侵数据经抽取特征后与入侵特征规则（误用模式库中的规则）及与正常的行为轮廓进行比较以确定有误用入侵行为或异常操作行为。入侵检测集中处理方式对机器的处理的性能与资源占用提出了更高的要求，规则越多，匹配的时间就越长，但单方面的高性能却不能有效进行检测。另外有些入侵行为不能归纳为由原有有限变量经布尔运算所能表示的规则，因此，无法利用原有的检测代码。若源代码组织结构不良，修改代码则是一件繁琐的工作。为了解决现行入侵检测系统存在检测主机处理速度慢、通信负载重、虚警率和漏报率高等问题，在分析AAFID（Automomous Agents for Intrusion Detectiong）模型的基础上，提出一种基于代理的分布式入侵检测系统逻辑处理模型（入侵检测系统框架）[4]。
　　该模型的核心思想是：利用分布于网络结构中不同检测域中的主机上代理（Agent）实时的进行分布式数据收集与检测处理，经由一些监测器对代理中的入侵检测结果进行综合、储存、发布，并通过代理管理服务器对代理进行有效管理，以达到提高检测性能之目的。
　　该模型的实体逻辑结构如图1所示，该系统由系统管理器、监视器、代理管理服务器、收发器和代理等五个实体组成，它们的功能描述如下[5]：
　　
　　代理器是一个独立运行的实体，在一台主机上可以运行多个代理。代理的功能既可以很简单，比如仅仅监控一个目录下的文件是否被更改，也可以很复杂，比如从网络接口上捕获数据包进行分析。代理可以直接获取各类数据、检测主机与子网上入侵行为、记录检测数据和自身的运行状态、并将有关信息传输给收发器。代理并不直接报警，它们之间也不通信。代理的检测方式也很灵活，既可以是基于模式的误用检测，也可以是异常检测。它的处理过程被封装在内部，对外是透明的。
　　收发器是主机对外通信的接口，一台主机上只能运行一个收发器，主机上的所有代理都把它们发现的事件和相关数据（也就是检测结果）传输给收发器。收发器的职能主要是有：监管本机上所有代理的运行情况，包括启动、停止代理；给代理传递配置命令，并根据升级服务器（一种特殊的监控器）的要求更新代理，甚至添加新代理；对从代理收到的数据进行简单处理，主要是精简，也可以聚合；与监视器通信。
　　监视器是DMAID[6]系统中最高层次的实体。每台监控器管理着多个收发器的运行，它可以看到自己管理域内的多个主机上提交的数据，所以可以进行高层次的相关性检查，进而检测出涉及多台主机的分布式攻击行为。另外，在大型网络中，还可以将多台监视器按层次进行分级组织，即有些监控器会向上一级的监控器进行汇报，形成一个类似树形的结构，这样可以保障数据冗余，避免单点故障。主监测器的功能有与系统管理器的信息、代理管理及次监测器通信；全局入侵检测信息和代理运行状态信息的汇总处理与存储；入侵结果信息的发布。次监视器的功能有与主监视器、代理管理器及收发器的通信；与一个或几个网段的局部入侵检测信息与代理运行状态信息的汇总处理与存储；主监视器的备份。
　　代理管理服务器管理代理的作用，主要功能是监控各个代理的自身运行状态；与主（次）监视器的通信；确定代理运行策略，装载新的代理；与系统管理器通信。
　　系统管理器起着系统管理员与入侵系统联系的作用，其主要功能是：设置与入侵检测相关各种控制命令；查询告警信息；启动系统检测。
　　该系统中各功能部件间的通信在应用层作加密处理，以防止信息传输过程中的改攻击，必要时功过RAS进行认证与鉴别，另外该模型通过主次监控器互为备份，解决单点故障，次监控器维护一张表，定时检查主监控器是否处于活动状态，若状态异常，则提升自己作为一个新的主监控器，并通知系统管理模块、代理管理服务器模块以及原来直接挂在住监控器上的各节点收发器。
　　
　　4 系统的实现结构设计
　　
　　现行的计算机网络一般均呈现异构性，我们所提出的DMAIDS的实现也必须在异构的平台上实施。CORBA（Common Object Request Broker Architecture）是一个在分布对象间进行消息传递的体系结构，它为应用程序提供了地理位置、编程语言、通信协议和操作系统的透明性，可以有效地解决异构网络中各功能组件间通信问题，实现真正意义上的跨平台操作。分析DMAIDS中内部功能实体的交互需求，我们认为使用公共对象请求代理体系结构CORBAC解决DMAIDS内的通信是合适的。
　　针对所提的入侵检测框架，通过CORBA的IDL所定义的各种功能实体，这些功能实体可以由不同的编程语言实现，利用CORBA的ORB可以使分布在不同平台上的功能实体进行互操作，就可以解决我们所提模型在异构平台上的互操作问题。基于CORBA的入侵检测系统实现结构见图2所示[7]。
　　
　　在这个系统中，系统管理器、主次监控器、代理管理器及收发器是基于CORBA的IDL构造的，它们都是CORBA对象，它们之间的交互是通过IIOP协议完成。由于代理与收发器一般位于同一台机器中，即同一平台下，所以代理无须用CORBA来构建。收发器与代理间的通信需设计专门的协议通信。
　　系统间的认证协议与加密处理均封装在基于IIOP协议之中完成。主监控器，次监控器与代理管理器一般位于不同的主机上，次监控器随所检测的有关网络的规模有关，一般取决于宿主机的处理包的能力。代理一般位于目标主机或专门用于入侵检测的主机之中。例如在某些重要的应用服务器和系统服务器上驻留多个类型的代理负责检查本主机入侵状态。又如在汇聚交换机的span端上接入主机，运行多种类型代理，专门检测网络攻击状态。
　　
　　5 结论
　　
　　本文提出的一种分布式多代理入侵监测系统模型可以较为有效的解决普通分布式IDS中单点故障，网络传输负载过大，主机计算性能瓶径等问题，具有分布式多层次检测与响应能力，采用CORBA技术，实现系统在异构网络环境下跨平台的操作问题。可较为方便对检测代理进行管理和扩展，为入侵检测系统实现方法研究进行有益的探索。但系统稳定性和运行性仍需进一步验证。
　　
　　参考文献
　　[1]Anderson J， James P. Computer Security Threat Monitoring and Surveillance. Fort Washington， PA： James P Anderson Co.， 1980.
　　[2]CCIMB-99-031.“Common Criteria for Information Technology Security Evaluation” Vision 2.1.
　　[3]Eugene H. Spafford， Diego Zamboni. Intrusion Detection Using Autonomous Agents. Computer Networks， 2000， 34（6）.
　　[4]Hochberg J， Jackson K， Stallings C， Nadir， an automated system for detecting network intrusion and misuse. Comput Secur ， 1993，12（3）.
　　[5]http：//www.省略/productsf/tapfamilyf.html.
　　[6]http：//blackice.省略/product_documentation.php.
　　[7]S. Staniford-Chen， “GrIDS ―― A Graph-Based Intrusion Detection System for Large Networks，” The 19th National Information Systems Security Conference （USA）， 1996.

相关热词搜索：分布式 入侵 检测系统 基于代理的分布式入侵检测系统设计 分布式入侵检测系统 分布式入侵检测的特点