摘要：本文在分析現(xiàn)有入侵檢測方法，技術(shù)與系統(tǒng)的基礎(chǔ)，基于入侵檢測的自治代理模型，給出了一種分布式多代理的入侵檢測系統(tǒng)模型，其核心思想是將原來的集中處理分布到網(wǎng)絡(luò)的觀測點，對每類攻擊構(gòu)造相應(yīng)的代理程序。其優(yōu)點是處理速度快，布置方便。解決了單點故障。另外，采用CORBA技術(shù)，實現(xiàn)了異構(gòu)環(huán)境下的跨平臺操作，為入侵檢測系統(tǒng)提供一條有效技術(shù)途徑。
　　關(guān)鍵詞：入侵監(jiān)測系統(tǒng)；分布式處理；代理；CORBA
　　中圖分類號：TP393.08 文獻標識碼：A
　　
　　1 引言
　　
　　CAI模型是信息安全最重要的表現(xiàn)形式，而網(wǎng)絡(luò)安全問題始終影響現(xiàn)行網(wǎng)絡(luò)中各類應(yīng)用的正常運行，一個或幾個獨立的防范設(shè)備和系統(tǒng)已不足以處理網(wǎng)絡(luò)上的入侵事件。因此，構(gòu)建一個網(wǎng)絡(luò)安全防范體系則是解決網(wǎng)絡(luò)安全問題的有效途徑。該體系涉及多層次方面的保護機制與技術(shù)方法，其目的是使入侵者難于突破安全防線。入侵檢測技術(shù)IDS（Intrusion Detection System）是一種主動保護自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測。它可以防止或減輕上述的網(wǎng)絡(luò)威脅。
　　目前IDS有兩大主流技術(shù)：基于網(wǎng)絡(luò)的IDS和基于主機的IDS[1]，入侵檢測技術(shù)已經(jīng)從理論[2][3]過渡到實用，形成了一批成型的產(chǎn)品并在網(wǎng)絡(luò)安全設(shè)備市場中占有一定份額，并正在向檢測率高、容錯能力強和易配置性好的分布式智能化方面演進。然而當(dāng)前入侵檢測系統(tǒng)面臨的最主要挑戰(zhàn)是虛警率高和檢測速度慢。虛警率高可能是源于對攻擊行為（特征）理解不深入、不完全，使得檢測算法不是十分有效及各種控制閥值設(shè)置不當(dāng)?shù)纫蛩卦斐傻�。而速率慢可能是由于檢測模型中所采用的集中數(shù)據(jù)收集與檢測判別處理方式所致。鑒于現(xiàn)行產(chǎn)品所依賴的檢測模型無法滿足實際需要，很有必要在現(xiàn)有的檢測模型基礎(chǔ)上進行更新。
　　
　　2 入侵檢測系統(tǒng)的特點
　　
　　入侵技術(shù)的發(fā)展與演化主要反映在下列幾個方面：
　　入侵或攻擊的綜合化與復(fù)雜化。
　　入侵主體對象的間接化，即實施入侵與攻擊的主體的隱蔽化。
　　入侵或攻擊的規(guī)模擴大。
　　入侵或攻擊技術(shù)的分布化。以往常用的入侵與攻擊行為往往由單擊執(zhí)行。由于防范技術(shù)的發(fā)展使得此類行為不能奏效。所謂分布式拒絕服務(wù)（DDOS）在很短的時間內(nèi)可造成被攻擊主機的癱瘓。基于網(wǎng)絡(luò)的入侵檢測的重點是網(wǎng)絡(luò)攻擊為，如TCP劫持，DNS欺騙，拒絕服務(wù)攻擊，該系統(tǒng)利用特定的網(wǎng)絡(luò)嗅探工具來實時截獲網(wǎng)上的數(shù)據(jù)包，借助統(tǒng)計和模式匹配等技術(shù)在捕獲的網(wǎng)絡(luò)流量中尋找入侵痕跡。但隨著網(wǎng)絡(luò)結(jié)構(gòu)與技術(shù)的變遷，NIDS的不足可歸結(jié)如下：
　　•交換式網(wǎng)絡(luò)結(jié)構(gòu)嚴重影響網(wǎng)絡(luò)數(shù)據(jù)的收集
　　•用于入侵檢測的機器處理速率和存儲容量難于滿足實際要求
　　•存在失效開放問題
　　為了解決由于檢測速度不足問題，人們提出分布式結(jié)構(gòu)等解決方案，現(xiàn)有的分布式入侵檢測系統(tǒng)（Distributed IDS）的處理思想是分布采集數(shù)據(jù)與集中處理。但其不足的表現(xiàn)如下：
　　•數(shù)據(jù)傳輸負荷過大分布式的數(shù)據(jù)采集器與集中處理機間的數(shù)據(jù)交換極大的浪費網(wǎng)絡(luò)有效帶寬。
　　•集中處理器的計算性能難于滿足實際需求
　　•網(wǎng)絡(luò)傳輸時延時對某些實時檢測方法的可信度產(chǎn)生影響，基于過時的信息所作出判斷的可信度是不高的
　　•易產(chǎn)生單點故障
　　
　　3 基于代理的分布式入侵檢測系統(tǒng)模型的設(shè)計
　　
　　我們知道現(xiàn)有的入侵檢測系統(tǒng)通常是分散收集各類數(shù)據(jù)（各類日志，IP包等），集中檢測入侵行為，檢測方法是通過將收集的入侵數(shù)據(jù)經(jīng)抽取特征后與入侵特征規(guī)則（誤用模式庫中的規(guī)則）及與正常的行為輪廓進行比較以確定有誤用入侵行為或異常操作行為。入侵檢測集中處理方式對機器的處理的性能與資源占用提出了更高的要求，規(guī)則越多，匹配的時間就越長，但單方面的高性能卻不能有效進行檢測。另外有些入侵行為不能歸納為由原有有限變量經(jīng)布爾運算所能表示的規(guī)則，因此，無法利用原有的檢測代碼。若源代碼組織結(jié)構(gòu)不良，修改代碼則是一件繁瑣的工作。為了解決現(xiàn)行入侵檢測系統(tǒng)存在檢測主機處理速度慢、通信負載重、虛警率和漏報率高等問題，在分析AAFID（Automomous Agents for Intrusion Detectiong）模型的基礎(chǔ)上，提出一種基于代理的分布式入侵檢測系統(tǒng)邏輯處理模型（入侵檢測系統(tǒng)框架）[4]。
　　該模型的核心思想是：利用分布于網(wǎng)絡(luò)結(jié)構(gòu)中不同檢測域中的主機上代理（Agent）實時的進行分布式數(shù)據(jù)收集與檢測處理，經(jīng)由一些監(jiān)測器對代理中的入侵檢測結(jié)果進行綜合、儲存、發(fā)布，并通過代理管理服務(wù)器對代理進行有效管理，以達到提高檢測性能之目的。
　　該模型的實體邏輯結(jié)構(gòu)如圖1所示，該系統(tǒng)由系統(tǒng)管理器、監(jiān)視器、代理管理服務(wù)器、收發(fā)器和代理等五個實體組成，它們的功能描述如下[5]：
　　
　　代理器是一個獨立運行的實體，在一臺主機上可以運行多個代理。代理的功能既可以很簡單，比如僅僅監(jiān)控一個目錄下的文件是否被更改，也可以很復(fù)雜，比如從網(wǎng)絡(luò)接口上捕獲數(shù)據(jù)包進行分析。代理可以直接獲取各類數(shù)據(jù)、檢測主機與子網(wǎng)上入侵行為、記錄檢測數(shù)據(jù)和自身的運行狀態(tài)、并將有關(guān)信息傳輸給收發(fā)器。代理并不直接報警，它們之間也不通信。代理的檢測方式也很靈活，既可以是基于模式的誤用檢測，也可以是異常檢測。它的處理過程被封裝在內(nèi)部，對外是透明的。
　　收發(fā)器是主機對外通信的接口，一臺主機上只能運行一個收發(fā)器，主機上的所有代理都把它們發(fā)現(xiàn)的事件和相關(guān)數(shù)據(jù)（也就是檢測結(jié)果）傳輸給收發(fā)器。收發(fā)器的職能主要是有：監(jiān)管本機上所有代理的運行情況，包括啟動、停止代理；給代理傳遞配置命令，并根據(jù)升級服務(wù)器（一種特殊的監(jiān)控器）的要求更新代理，甚至添加新代理；對從代理收到的數(shù)據(jù)進行簡單處理，主要是精簡，也可以聚合；與監(jiān)視器通信。
　　監(jiān)視器是DMAID[6]系統(tǒng)中最高層次的實體。每臺監(jiān)控器管理著多個收發(fā)器的運行，它可以看到自己管理域內(nèi)的多個主機上提交的數(shù)據(jù)，所以可以進行高層次的相關(guān)性檢查，進而檢測出涉及多臺主機的分布式攻擊行為。另外，在大型網(wǎng)絡(luò)中，還可以將多臺監(jiān)視器按層次進行分級組織，即有些監(jiān)控器會向上一級的監(jiān)控器進行匯報，形成一個類似樹形的結(jié)構(gòu)，這樣可以保障數(shù)據(jù)冗余，避免單點故障。主監(jiān)測器的功能有與系統(tǒng)管理器的信息、代理管理及次監(jiān)測器通信；全局入侵檢測信息和代理運行狀態(tài)信息的匯總處理與存儲；入侵結(jié)果信息的發(fā)布。次監(jiān)視器的功能有與主監(jiān)視器、代理管理器及收發(fā)器的通信；與一個或幾個網(wǎng)段的局部入侵檢測信息與代理運行狀態(tài)信息的匯總處理與存儲；主監(jiān)視器的備份。
　　代理管理服務(wù)器管理代理的作用，主要功能是監(jiān)控各個代理的自身運行狀態(tài)；與主（次）監(jiān)視器的通信；確定代理運行策略，裝載新的代理；與系統(tǒng)管理器通信。
　　系統(tǒng)管理器起著系統(tǒng)管理員與入侵系統(tǒng)聯(lián)系的作用，其主要功能是：設(shè)置與入侵檢測相關(guān)各種控制命令；查詢告警信息；啟動系統(tǒng)檢測。
　　該系統(tǒng)中各功能部件間的通信在應(yīng)用層作加密處理，以防止信息傳輸過程中的改攻擊，必要時功過RAS進行認證與鑒別，另外該模型通過主次監(jiān)控器互為備份，解決單點故障，次監(jiān)控器維護一張表，定時檢查主監(jiān)控器是否處于活動狀態(tài)，若狀態(tài)異常，則提升自己作為一個新的主監(jiān)控器，并通知系統(tǒng)管理模塊、代理管理服務(wù)器模塊以及原來直接掛在住監(jiān)控器上的各節(jié)點收發(fā)器。
　　
　　4 系統(tǒng)的實現(xiàn)結(jié)構(gòu)設(shè)計
　　
　　現(xiàn)行的計算機網(wǎng)絡(luò)一般均呈現(xiàn)異構(gòu)性，我們所提出的DMAIDS的實現(xiàn)也必須在異構(gòu)的平臺上實施。CORBA（Common Object Request Broker Architecture）是一個在分布對象間進行消息傳遞的體系結(jié)構(gòu)，它為應(yīng)用程序提供了地理位置、編程語言、通信協(xié)議和操作系統(tǒng)的透明性，可以有效地解決異構(gòu)網(wǎng)絡(luò)中各功能組件間通信問題，實現(xiàn)真正意義上的跨平臺操作。分析DMAIDS中內(nèi)部功能實體的交互需求，我們認為使用公共對象請求代理體系結(jié)構(gòu)CORBAC解決DMAIDS內(nèi)的通信是合適的。
　　針對所提的入侵檢測框架，通過CORBA的IDL所定義的各種功能實體，這些功能實體可以由不同的編程語言實現(xiàn)，利用CORBA的ORB可以使分布在不同平臺上的功能實體進行互操作，就可以解決我們所提模型在異構(gòu)平臺上的互操作問題。基于CORBA的入侵檢測系統(tǒng)實現(xiàn)結(jié)構(gòu)見圖2所示[7]。
　　
　　在這個系統(tǒng)中，系統(tǒng)管理器、主次監(jiān)控器、代理管理器及收發(fā)器是基于CORBA的IDL構(gòu)造的，它們都是CORBA對象，它們之間的交互是通過IIOP協(xié)議完成。由于代理與收發(fā)器一般位于同一臺機器中，即同一平臺下，所以代理無須用CORBA來構(gòu)建。收發(fā)器與代理間的通信需設(shè)計專門的協(xié)議通信。
　　系統(tǒng)間的認證協(xié)議與加密處理均封裝在基于IIOP協(xié)議之中完成。主監(jiān)控器，次監(jiān)控器與代理管理器一般位于不同的主機上，次監(jiān)控器隨所檢測的有關(guān)網(wǎng)絡(luò)的規(guī)模有關(guān)，一般取決于宿主機的處理包的能力。代理一般位于目標主機或?qū)ｉT用于入侵檢測的主機之中。例如在某些重要的應(yīng)用服務(wù)器和系統(tǒng)服務(wù)器上駐留多個類型的代理負責(zé)檢查本主機入侵狀態(tài)。又如在匯聚交換機的span端上接入主機，運行多種類型代理，專門檢測網(wǎng)絡(luò)攻擊狀態(tài)。
　　
　　5 結(jié)論
　　
　　本文提出的一種分布式多代理入侵監(jiān)測系統(tǒng)模型可以較為有效的解決普通分布式IDS中單點故障，網(wǎng)絡(luò)傳輸負載過大，主機計算性能瓶徑等問題，具有分布式多層次檢測與響應(yīng)能力，采用CORBA技術(shù)，實現(xiàn)系統(tǒng)在異構(gòu)網(wǎng)絡(luò)環(huán)境下跨平臺的操作問題�？奢^為方便對檢測代理進行管理和擴展，為入侵檢測系統(tǒng)實現(xiàn)方法研究進行有益的探索。但系統(tǒng)穩(wěn)定性和運行性仍需進一步驗證。
　　
　　參考文獻
　　[1]Anderson J， James P. Computer Security Threat Monitoring and Surveillance. Fort Washington， PA： James P Anderson Co.， 1980.
　　[2]CCIMB-99-031.“Common Criteria for Information Technology Security Evaluation” Vision 2.1.
　　[3]Eugene H. Spafford， Diego Zamboni. Intrusion Detection Using Autonomous Agents. Computer Networks， 2000， 34（6）.
　　[4]Hochberg J， Jackson K， Stallings C， Nadir， an automated system for detecting network intrusion and misuse. Comput Secur ， 1993，12（3）.
　　[5]http：//www.省略/productsf/tapfamilyf.html.
　　[6]http：//blackice.省略/product_documentation.php.
　　[7]S. Staniford-Chen， “GrIDS ―― A Graph-Based Intrusion Detection System for Large Networks，” The 19th National Information Systems Security Conference （USA）， 1996.

相關(guān)熱詞搜索：分布式 入侵 檢測系統(tǒng) 基于代理的分布式入侵檢測系統(tǒng)設(shè)計 分布式入侵檢測系統(tǒng) 分布式入侵檢測的特點