[摘 要] 本文的移動入侵檢測系統(tǒng)結(jié)構(gòu)參照IDWG的IDS系統(tǒng)結(jié)構(gòu)規(guī)范，并做了相應(yīng)的改進(jìn)。最后給出了移動入侵檢測系統(tǒng)結(jié)構(gòu)設(shè)計。

[關(guān)鍵詞] 入侵檢測 移動代理 IDS模型

一、引言

互聯(lián)網(wǎng)飛速發(fā)展的今天，入侵檢測技術(shù)受到廣泛的關(guān)注。入侵檢測是監(jiān)視系統(tǒng)中違背系統(tǒng)安全策略行為的過程，入侵檢測系統(tǒng)原型可以規(guī)范地劃分為三個功能模塊：采集器，分析器和管理器模塊。

IDWG提出的一種比較通用的入侵檢測模型，如圖1所示。IDWG還對這些功能模塊之間交互的消息和數(shù)據(jù)流進(jìn)行了規(guī)范定義。

采集器從數(shù)據(jù)源中收集、跟蹤、發(fā)掘相關(guān)信息；分析器對傳感引擎提煉出的數(shù)據(jù)進(jìn)行分析，過濾，目的在于發(fā)現(xiàn)正在進(jìn)行的入侵行為或潛在的入侵行為，產(chǎn)生高級別安全警報；管理器負(fù)責(zé)關(guān)聯(lián)這些告警信息的以及后續(xù)處理，并承擔(dān)所有入侵檢測進(jìn)程接口的管理。

二、IDWG IDS模型的改進(jìn)

IDWG IDS模型存在模塊之間缺乏交互的缺陷，本文所提出的移動入侵檢測系統(tǒng)模型在IDWG IDS模型的基礎(chǔ)上，加上了模塊之間新的交互。如下圖2所示。

管理器發(fā)給分析器管理查詢消息，分析器將查詢結(jié)果發(fā)送到管理器，并等候進(jìn)一步指示。當(dāng)分析器對采集器所收集到的監(jiān)視跟蹤事件與數(shù)據(jù)進(jìn)行修整，篩選，統(tǒng)一格式等操作。

三、移動入侵檢測系統(tǒng)功能模塊設(shè)計

本文的移動入侵檢測系統(tǒng)結(jié)構(gòu)的設(shè)計符合上圖2改進(jìn)的IDS模型，其系統(tǒng)結(jié)構(gòu)中主要功能模塊設(shè)計如圖3所示。

1.原始數(shù)據(jù)。原始數(shù)據(jù)可以是基于主機(jī)的的數(shù)據(jù)源，基于網(wǎng)絡(luò)數(shù)據(jù)源，基于報警信息源。常見的基于主機(jī)的數(shù)據(jù)源有操作系統(tǒng)審計記錄、系統(tǒng)日志、用戶擊鍵、和特權(quán)程序系統(tǒng)調(diào)用。

(1)操作系統(tǒng)審計記錄。操作系統(tǒng)審計記錄是由專門的審計子系統(tǒng)產(chǎn)生的系統(tǒng)事件記錄，它們是系統(tǒng)活動的信息集合，以事件發(fā)生的時間順序記錄，組織為一個或多個審計文件。

(2)系統(tǒng)日志。系統(tǒng)日志是系統(tǒng)和應(yīng)用程序事件記錄，通常是系統(tǒng)程序?qū)懙奈谋疚募?，操作系統(tǒng)通常提供多個工具記錄系統(tǒng)發(fā)生的事件。

(3)用戶擊鍵。用戶擊鍵就是用戶使用鍵盤的習(xí)慣，它在一定程度上反映了用戶的行為、用戶的工作內(nèi)容等。

(4)特權(quán)程序系統(tǒng)調(diào)用。特權(quán)程序通常是攻擊的重點(diǎn)目標(biāo)。特權(quán)進(jìn)程可訪問的系統(tǒng)資源多，影響范圍廣，它甚至可以繞過內(nèi)核的安全審核機(jī)制而訪問系統(tǒng)資源，導(dǎo)致特權(quán)程序?qū)ο到y(tǒng)的安全威脅大。

網(wǎng)絡(luò)中所有可管理對象的集合——管理信息庫(MIB)，也是采集原始數(shù)據(jù)的重要來源。

2.采集器。系統(tǒng)的數(shù)據(jù)采集構(gòu)件，主要是收集入侵檢測中需使用的各種數(shù)據(jù)，并將數(shù)據(jù)轉(zhuǎn)化為標(biāo)準(zhǔn)格式傳送給IDS引擎處理。采集的數(shù)據(jù)既可以是網(wǎng)絡(luò)中的原始數(shù)據(jù)包，也可以是來自主機(jī)的各種原始數(shù)據(jù)。

這里的移動入侵檢測系統(tǒng)的數(shù)據(jù)采集器由攻擊特征信息庫，數(shù)據(jù)歸類整理部件與數(shù)據(jù)統(tǒng)一求精部件構(gòu)成。如下圖4為采集器功能模塊圖。

數(shù)據(jù)歸類整理部件負(fù)責(zé)收集原始數(shù)據(jù)，并對數(shù)據(jù)作歸類整理，比如把數(shù)據(jù)分成系統(tǒng)級的原始數(shù)據(jù)，并且依據(jù)攻擊特征信息庫把數(shù)據(jù)整理成事件數(shù)據(jù)。

數(shù)據(jù)統(tǒng)一求精部件負(fù)責(zé)去除冗余事件，并依據(jù)攻擊特征信息庫將求精后事件其抽象為入侵檢測系統(tǒng)的標(biāo)準(zhǔn)數(shù)據(jù)格式。

3.IDS引擎。IDS引擎包括管理控制臺、事件檢測分析器和入侵檢測響應(yīng)器。提供用戶和其它構(gòu)件的管理接口，根據(jù)Sensor收集到的數(shù)據(jù)，對數(shù)據(jù)進(jìn)行檢測分析，產(chǎn)生檢測結(jié)果等。如下圖5為IDS引擎功能模塊圖。

事件檢測分析器建立相關(guān)事件信息，關(guān)聯(lián)已知攻擊證據(jù)，分析確定該事件是否為入侵行為的事件。

管理控制臺對本地系統(tǒng)的采集器，事件分析器，入侵檢測響應(yīng)器以及移動Agent等各部件進(jìn)行控制和管理，負(fù)責(zé)根據(jù)不同的入侵事件配置相應(yīng)的入侵響應(yīng)策略。

入侵檢測響應(yīng)部件負(fù)責(zé)確認(rèn)入侵行為采取相應(yīng)措施，如斷開人侵者與系統(tǒng)的連接，甚至自動關(guān)閉系統(tǒng)與外部網(wǎng)絡(luò)的連接，采取反攻擊策略等。

4.移動代理系統(tǒng)。移動Agent系統(tǒng)(Mobile Agent System)用于給移動Agent提供運(yùn)行環(huán)境。每種代理都是獨(dú)立的軟件實(shí)體，只執(zhí)行特定的功能，且可自主的在移動自組網(wǎng)內(nèi)移動。

監(jiān)測代理:監(jiān)測代理被分成網(wǎng)絡(luò)數(shù)據(jù)包監(jiān)測代理，用來監(jiān)控用戶行為和系統(tǒng)級行為。

決策代理:是IDS移動代理的管理中心，負(fù)責(zé)網(wǎng)絡(luò)內(nèi)所有移動Agent的派發(fā)、啟動和停止，對入侵威脅做出判斷。

響應(yīng)代理:負(fù)責(zé)對主機(jī)與網(wǎng)絡(luò)的入侵情況做出響應(yīng)，執(zhí)行相應(yīng)的入侵處理操作，并與其他代理協(xié)同工作。

探測代理:對群內(nèi)節(jié)點(diǎn)的事件告警進(jìn)行復(fù)查，避免局部的誤報、錯報影響整個子群甚至全網(wǎng)的檢測。

四、結(jié)束語

入侵檢測是監(jiān)視系統(tǒng)中違背系統(tǒng)安全策略行為的過程，本文對IDWG IDS模型做了改進(jìn)，增加了采集器，分析器和管理器模塊之間的交互。最后根據(jù)改進(jìn)的模型設(shè)計了移動入侵檢測系統(tǒng)，并對系統(tǒng)的各個功能模塊做了定義。

參考文獻(xiàn)

況曉輝 胡華平 呂世輝:移動Ad-hoc網(wǎng)絡(luò)安全.小型微型計算機(jī)系統(tǒng)，2007

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文