本站原创摘 要:本文对移动技术在入侵检测系统中应用的优势进行探讨,提出了较完整的入侵检测系统的模型结构.该系统能够满足分布式环境下对入侵检测系统的要求,能检测分布式攻击,这也是目前入侵检测系统发展的一个方向.同时,网络安全需要纵深的、多样的防护.基于移动的入侵检测系统还需要在检测方法上进一步改进,提高检测的准确率和检测速度,加强系统自身安全性.
关 键 词:入侵检测,分布式,移动
1入侵检测系统概述
入侵检测是对(网络)系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性与可用性.从检测数据目标的角度,我们可以把入侵检测系统分为基于主机、基于网络、基于内核和基于应用等多种类型.本文主要分析基于网络的入侵检测系统.
根据数据分析方法(也就是检测方法)的不同,我们可以将入侵检测系统分为两类:(1)误用检测(MisuseDetection).又称为基于特征的检测,它是根据已知的攻击行为建立一个特征库,然后去匹配已发生的动作,如果一致则表明它是一个入侵行为.它的优点是误报率低,但是由于攻击行为繁多,这个特征库会变得越来越大,并且它只能检测到已知的攻击行为.(2)异常检测(AnomalyDetection).又称为基于行为的检测,它是建立一个正常的特征库,根据使用者的行为或资源使用状况来判断是否入侵.它的优点在于与系统相对无关,通用性较强,可能检测出以前从未出现过的攻击方法.但由于产生的正常轮廓不可能对整个系统的所有用户行为进行全面的描述,况且每个用户的行为是经常改变的,所以它的主要缺陷在于误检率很高.
其中,异常检测可以使系统检测新的、未知的攻击或其他情况,误用检测通过防止耐心的攻击者逐步改变行为模式使得异常检测器将攻击行为认为是合法的,从而保护异常检测的完整性.如果将这两种分析方法结合起来,可以获得更好的性能.入侵检测的数据源可以通过一些专用的抓包工具来获取,在Windows系统下,一般采用Winpcap来抓获数据包,在Unix系统下,可以通过Tcpdump和Arpwatch来获取.在数据分析阶段将会用到我们这里重点要介绍的是数据挖掘技术,响应部分分为主动响应和被动响应.
2在入侵检测系统中的应用移动
2.1移动及其特点
移动(MobileAgent),是能在网络中自由迁移并可与其他Agent或资源交互的特殊Agent.移动的研究起源于人工智能,是新一代分布式技术,它具有灵活性、移动性、自治性、异步性和性,其小程序即移动可以在一个大型分布式网络中移动、漫游和执行,移动系统由移动和移动服务设施两部分组成.移动服务设施基于传输协议ATP(AgentTranerProtocol)实现在主机间的转移,并为其分配执行环境和服务接口在服务设施中执行,通过通信语言ACL(AgentCommunicationLanguage)相互通信并访问服务设施提供的服务.
2.2移动的体系结构
移动的体系结构包括安全、环境交互模块、任务求解模块、知识库、内部状态集、约束条件和路由策略等.其体系结构可定义为如图1所示.
2.3将移动应用于入侵检测的优点
(1)动态可扩展性.一个长期有效的入侵检测系统必须具有可扩展性,跟踪入侵方法和入侵技术,及时扩充对应的检测技术.
(2)负载平衡.根据RPC(远程过程调用)的思想,移动可将较大的计算工作分布在多个处理器上并行执行,从而避免了瓶颈问题的出现.
(3)移动逻辑计算,而不是数据,从而减少网络流量.移动的使用是对RPC思想的一个扩展,远程代码保留在本地,只需要传递函数参数,意味着在各节点收集的大量初始信息可以在本地处理,这样就增加了入侵检测系统的效率.
由此可见在入侵检测领域,移动技术有着一般所不可比拟的优势.本文的目的就是构建一个基于移动技术的入侵检测模型,并对其进行分析设计.
3入侵检测系统的模型设计
基于上述分析,本系统模型框架实现了分布式的入侵检测与响应,提高了系统检测效率与检测响应的实时性,同时解决网络流量传输比较大,容易产生系统瓶颈等问题,系统灵活性和扩展性都比较好,并且系统易于安装使用.我们提出一个基于移动的分布式入侵检测系统,该系统采用一个以移动为组织单元的结构来实现,是一个比较完善和全面的入侵检测系统,能较好的解决入侵检测问题,实施系统功能.本文中设计和实现的入侵检测系统从整体上来说是一个基于网络的入侵检测系统,使用的入侵检测技术是模式匹配.即针对每一种入侵行为,都提炼出它的特征值并按照一定的规范写成检测规则,进而形成一个规则数据库.然后将从网络捕获的数据包与规则库里的规则逐一匹配,若匹配成功,则认为发生了入侵行为.
我们根据入侵检测技术与移动技术的特点,同时结合现代众多局域网的结构特点,提出了一种基于的入侵检测系统结构模式,该结构能实时的实现局域网的入侵检测,并且利用了移动的特性,结构合理,配置简单,适合于解决局域网网络安全问题,本系统是一个非常完善的,并且具有实际价值的检测系统.本章对现代局域网网络特点进行了分析,着重分析了应用广泛的局域网的安全特点.本文所设计的入侵检测系统采用分布式的体系结构,系统由一个位于局域网中的一台控制系统、分布在局域网中的各个主机上的主机系统,以及各种移动组成,整个检测系统总体结构如图2所示.
第一部分是主机系统通过Snort抓包来负责入侵信息的获取,并进行一定的响应,第二部分是管理系统,负责管理各个主机系统和移动,以及派遣分发移动.第三部分是移动,是可以在网络进行移动的软件.其中控制系统可在一台性能高的主机上运行.由于Aglet是目前最为全面与成功的移动平台,具有可视化的Tahiti,界面友好,所以采用Aglet作为移动平台,控制中心和局域网中各台主机都安装此移动平台.
本系统以一般的局域网为应用环境,局域网中的每一台主机都安装所设计的主机系统,各主机上的主机系统负责收集各种信息,使用原始的网络数据包作为数据源,根据网络流量,网络数据包和协议采用误用入侵检测方法在本地进行检测分析,能检测到的入侵则进行一定的响应,如切断网络连接,产生报警等操作,遇到可疑的不能做出决定的信息,则向管理中心产生援助请求,当管理中心收到援助请求时,它将会派遣一个跟踪巡回网络到该主机系统所在的主机上去收集入侵信息,跟踪返回后,管理中心分析收集到的信息,判断这些不同主机上的可疑行为能否组合起来为一个分布式入侵.如果是,管理中心将派遣一个响应到相关响应点作智能响应,这样便于检测分布区域广阔的协同攻击等攻击类型.此检测系统不依赖具体的操作系统,具有低成本,操作简单,实时检测和响应等优点.
4结束语
本文所提出的基于移动的分布式入侵检测系统是一个分布式层次体系环境下的一个移动模型,安装在主机上的主机系统可以独立地完成入侵检测与响应工作,同时在控制系统的控制下与各种移动代 理相互协作,完成协同式入侵检测任务.每个主机系统都是独立的检测响应单元,尽量降低各检测部件的相关性,不仅实现数据收集的分布化,而且将入侵检测和实时响应分布化,真正实现分布式检测.系统基本遵循通用入侵检测系统的框架结构,以确保系统今后的可扩展性和与其它系统的互操作性.