修長虹 鄭小松 梁建坤

沈陽藥科大學網(wǎng)絡中心 遼寧 110016

0 前言

近年來隨著計算機應用技術如Internet技術的迅速發(fā)展，一方面基于網(wǎng)絡的計算機系統(tǒng)在現(xiàn)代社會中的地位越來越重要，越來越多的用戶可以足不出戶地訪問到全球網(wǎng)絡系統(tǒng)豐富的信息資源。網(wǎng)絡信息技術的應用也日益的普及和推廣，各種商務、金融機構(gòu)以及國家政府機構(gòu)在電子商務熱潮中紛紛連入Internet。另一方面伴隨著網(wǎng)絡上不斷增強的信息共享和業(yè)務處理，這些關鍵的業(yè)務越來越多的成為黑客的攻擊目標，網(wǎng)絡的安全問題也顯得越來越突出，而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時，對安全也提出了更高的要求。

網(wǎng)絡安全的一個主要威脅是來自于非法用戶或黑客通過網(wǎng)絡信息系統(tǒng)進行的入侵。而傳統(tǒng)的安全方法是采用盡可能多的禁止策略對入侵進行防御，但是這種策略無法防止隱信道的產(chǎn)生以及系統(tǒng)所認定的授權(quán)用戶的非法操作，對于來自內(nèi)部非法操作、口令和密碼的泄露、軟件缺陷以及拒絕服務型攻擊(DoS)則更是無能為力。近年來流行的數(shù)據(jù)包過濾、應用層網(wǎng)關及虛擬網(wǎng)技術的防火墻已經(jīng)能夠防止許多安全漏洞，如常見的協(xié)議實現(xiàn)漏洞、源路由及地址仿冒等多種攻擊手段，并能夠提供安全的數(shù)據(jù)通道。但是它不能對付層出不窮的應用層后門、應用設計缺陷和通過加密通道的攻擊，而為了解決用戶對系統(tǒng)信息使用的方便性和嚴格控制之間的平衡問題也使得系統(tǒng)不可能完全安全。這樣，傳統(tǒng)的防范入侵的手段隨著攻擊者對網(wǎng)絡系統(tǒng)了解的日趨深入，攻擊工具和手法的日趨復雜多樣，這種被動的防范方法已經(jīng)顯得力不從心，所以需要一種更加仔細的、能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的監(jiān)控系統(tǒng)來改善和保護我們的計算機網(wǎng)絡系統(tǒng)安全。入侵檢測系統(tǒng)(IDS)便在此需求下應運而生，成為保護計算機系統(tǒng)安全的另一道安全防線。

網(wǎng)絡入侵主要分為兩大類：來自局域網(wǎng)(LAN)外部入侵和來自局域網(wǎng)內(nèi)部的入侵。然而，不管是哪一種入侵方式，入侵者很少直接從它們自己的主機上對目標主機進行攻擊。這樣做的原因很明確，隱藏自己的真實身份。入侵者一般首先攻擊防范較薄弱的主機，然后逐步接近防范較強的主機，最終到達要攻擊的目標機器。一般情況下不僅是目標主機上的管理員不會注意到入侵，中間主機的管理員也不會檢測到入侵。即使管理員檢測到入侵，如果入侵者及時斷開網(wǎng)絡連接，那么系統(tǒng)管理員也無法追蹤入侵者最初是從哪里發(fā)起攻擊的。

本文所設計的模型是一個分布式實時入侵檢測系統(tǒng)，系統(tǒng)使用了移動代理。數(shù)據(jù)包被分發(fā)到安裝在網(wǎng)絡上的各種類型的代理上，不同的代理執(zhí)行不同的任務，控制、檢測、策略、阻塞。當一個入侵被檢測到并且策略機制判定阻塞后，可疑的數(shù)據(jù)包將在到達目的主機之前被丟棄。

檢測系統(tǒng)主要部件有：代理系統(tǒng)、存儲系統(tǒng)、分析系統(tǒng)、響應系統(tǒng)、控制系統(tǒng)。代理系統(tǒng)以各種方法收集信息，包括分析日志、監(jiān)視用戶行為、分析系統(tǒng)調(diào)用、分析該主機的網(wǎng)絡通信等。它們也具有數(shù)據(jù)分析功能，對于已知的攻擊，在這些部件中所用模式匹配的方法來檢測可以大大提高系統(tǒng)的處理速度，也可以減少分析部件的工作量及系統(tǒng)網(wǎng)絡傳輸?shù)挠绊憽?/p>

存儲系統(tǒng)的作用是用來存儲事件產(chǎn)生器捕獲的原始數(shù)據(jù)、分析結(jié)果等重要數(shù)據(jù)。儲存的原始數(shù)據(jù)在對發(fā)現(xiàn)入侵者進行法律制裁時提供確鑿的證據(jù)。存儲系統(tǒng)也是不同部件之間數(shù)據(jù)處理的共享數(shù)據(jù)庫，為系統(tǒng)不同部件提供各自感興趣的數(shù)據(jù)。因此，存儲系統(tǒng)應該提供靈活的數(shù)據(jù)維護、處理和查詢服務，同時也是一個安全的日志系統(tǒng)。

分析系統(tǒng)是對事件發(fā)生器捕獲的原始信息、其它入侵檢測系統(tǒng)提供的可疑信息進行統(tǒng)一分析和處理的系統(tǒng)。分析系統(tǒng)注重于高層次的分析方法，如基于統(tǒng)計的分析方法、基于神經(jīng)網(wǎng)絡的分析方法等。同時負責對分布式攻擊進行檢測。各種分析方法都有各自的優(yōu)勢和不足，因此，系統(tǒng)中分析方法應該是可以動態(tài)更換，并且多種算法可以并存的。

響應系統(tǒng)是對確認的入侵行為采取相應措施的子系統(tǒng)。響應包括消極的措施，如給管理員發(fā)電子郵件、消息、傳呼等。也可以采取保護性措施，如切斷入侵者的TCP連接、修改路由器的訪問控制策略等。還可以采取主動的反擊策略。

控制系統(tǒng)是整個入侵檢測系統(tǒng)的中心，也是IDS提供給用戶的管理界面，用戶通過系統(tǒng)控制臺可以對整個子系統(tǒng)組件、安全通信、報表生成、負載均衡等進行控制和管理。

代理系統(tǒng)是入侵檢測系統(tǒng)代理的總體。IDA使用的移動代理能夠跟蹤入侵者，并且確定是否已經(jīng)發(fā)生了入侵。移動代理只收集整個入侵路由過程中與入侵有關的信息。這樣大大提高了檢測效率。IDA減少了系統(tǒng)的負載，并且能夠檢測到一些新的未知形式的攻擊。

在分布式系統(tǒng)的范疇中，代理是指分布式系統(tǒng)中的節(jié)點實體，一般用來進行信息收集和節(jié)點控制等工作。由于分布式系統(tǒng)拓撲結(jié)構(gòu)的特點，代理往往處于系統(tǒng)網(wǎng)絡結(jié)構(gòu)的末端，節(jié)點的信息非常有限和單一，所以這些代理往往只能完成相對簡單的任務，例如簡單數(shù)據(jù)采集和轉(zhuǎn)發(fā)等。模型中有五種類型的代理。它們是：網(wǎng)關代理，控制代理，檢測代理，策略代理和主機代理。在這五種代理中，只有控制代理是可移動的，其它類型的代理都是靜態(tài)的。多代理合作是移動代理的一個重要特性。也就是說，通過虛擬機系統(tǒng)的通信機制，可以實現(xiàn)多個代理之間的合作。相同的代理之間互相協(xié)作，可以防止系統(tǒng)和代理失效。異種代理之間也可以進行互補性合作，多個不同功能的代理協(xié)作完成共同目標。

1 代理系統(tǒng)

基于代理的分布式入侵檢測系統(tǒng)，它并不存在檢測中心，而是通過相關的多代理之間的協(xié)作來完成最終的入侵檢測，從而避免了檢測中心的瓶頸現(xiàn)象，因而適合于大型的網(wǎng)絡的入侵檢測。在多代理系統(tǒng)中，代理是自主的，多個代理的知識、愿望、意圖和行為等往往各不相同，對多個代理的共同工作進行協(xié)調(diào)，是多代理系統(tǒng)的問題解決能力和效率得以保障的必要條件。多代理系統(tǒng)中的協(xié)調(diào)是指多個代理為了以一致、和諧的方式工作而進行交互的進程，避免代理之間的死鎖。

1.1 移動代理

移動代理是一種特殊的代理。一般情況下，它需要運行在特定的虛擬機環(huán)境中。它可以自由地在主機之間進行遷移，使得代理不再局限在某一個特定位置。在運行期間可以直接進行主機間的遷移，就是說：可以從一個場地采集所需要的數(shù)據(jù)并處理之后，不終止進程而直接遷移到另一臺主機上繼續(xù)運行，保留了原來進程的數(shù)據(jù)段和堆棧。這樣，極大簡化了數(shù)據(jù)的處理過程。

移動代理系統(tǒng)具有跨平臺的特性，其工作平臺可以混合使用不同廠家的系統(tǒng)。通過在各個操作系統(tǒng)中運行移動代理的虛擬機，可以將硬件和操作系統(tǒng)的平臺細節(jié)屏蔽，使代理獲得一個統(tǒng)一的界面。在這個基礎上，代理可以在各個平臺之間自由移動，通過將控制代理盡可能靠近資源，甚至在資源上運行，使得業(yè)務控制和管理軟件的實現(xiàn)更分布化。增加軟件的靈活性、重用性和效率。

由于結(jié)構(gòu)上的特殊性，移動代理可以實時對所采集到的數(shù)據(jù)進行過濾，然后將關鍵數(shù)據(jù)提出，而無需像傳統(tǒng)的代理體系那樣，將各個主機的所有數(shù)據(jù)都匯集到一個中央服務器中，由這個服務器進行綜合處理，然后再向相關的代理轉(zhuǎn)發(fā)。這樣，可以明顯減少經(jīng)過網(wǎng)絡上的數(shù)據(jù)流量，提高網(wǎng)絡的總體可用性。

1.2 網(wǎng)關代理

網(wǎng)關代理是放置在內(nèi)部網(wǎng)和外部網(wǎng)之間的代理。它負責抓取外部網(wǎng)絡上的數(shù)據(jù)包，并將它們轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)絡上的一個控制代理進行入侵檢測。

圖1 網(wǎng)絡系統(tǒng)結(jié)構(gòu)圖

將特定數(shù)據(jù)包發(fā)送到哪個控制代理依據(jù)控制代理所在主機的負載情況，當控制代理所在主機負載太大時，控制代理將通知網(wǎng)關代理和主機代理不要再發(fā)送任何數(shù)據(jù)包讓它檢測。這樣我們能保證入侵檢測不會妨礙主機的正常工作。一般數(shù)據(jù)包發(fā)送給目標主機上的控制代理，以便減少不必要的網(wǎng)絡流量和時間耽擱。為了提高效率，屬于同一個會話的數(shù)據(jù)包發(fā)送給同一個控制代理。為了檢測分布式入侵，幾個控制代理相互聯(lián)系形成了一個組，以便交換信息。

1.3 控制代理

控制代理安裝在內(nèi)部網(wǎng)絡上。它接受主機代理發(fā)出的信息或網(wǎng)關代理送來的信息數(shù)據(jù)包。然后發(fā)送數(shù)據(jù)包到檢測代理進行入侵檢測。最后，它把數(shù)據(jù)包和檢測代理的檢測結(jié)果轉(zhuǎn)發(fā)給目的主機上的主機代理或網(wǎng)關代理。

控制代理是一個移動代理。當主機超載時，控制代理將移到其他主機上繼續(xù)檢測工作。同時，它將通知網(wǎng)關代理和主機代理不要再發(fā)送任何新的會話數(shù)據(jù)包讓它檢測。然后，它將繼續(xù)檢測先前檢測著會話的數(shù)據(jù)包。當先前的主機不再超載時，他將移回來，并且通知網(wǎng)關代理和主機代理任務重新開始。

1.4 檢測代理

檢測代理負責真正的入侵檢測工作。每個控制代理控制許多檢測代理。每個檢測代理僅僅負責檢測出某種類型的入侵。這樣，當出現(xiàn)新的攻擊類型或者發(fā)明了新的檢測方法時，檢測代理更易于更新。檢測代理從控制代理那里得到數(shù)據(jù)包，從一個組的主控制代理那里得到信息。然后，檢測代理檢測數(shù)據(jù)包是否入侵并估計誤警率。在做出判斷之后，它向控制代理做出匯報。

1.5 主機代理

主機代理負責從控制代理那里接收到來的數(shù)據(jù)包和向控制代理發(fā)送數(shù)據(jù)包。當他從控制代理那里接收到數(shù)據(jù)包和檢測結(jié)果后，它查閱策略代理以決定它將采取什么措施。如果策略代理判定為不阻塞，這個數(shù)據(jù)包將被傳送給主機上的相應進程。當某個進程需要向外發(fā)送數(shù)據(jù)包時，不論發(fā)往外部主機還是內(nèi)部主機，主機代理都將他們重新定向給控制代理而不是直接向外傳送。發(fā)送數(shù)據(jù)包給哪個控制代理的標準和網(wǎng)關代理一樣。

1.6 策略代理

策略代理負責當一個入侵被發(fā)現(xiàn)時，主機代理或網(wǎng)關代理應當采取什么樣的措施。可能的措施包括：丟棄包、允許數(shù)據(jù)包通過通知系統(tǒng)管理員或者不通知系統(tǒng)管理員但是將相關信息寫到日志上。

不應該阻塞所有可疑入侵的數(shù)據(jù)包。因為在所有入侵檢測系統(tǒng)中誤警率一直都很高，阻塞所有可疑的數(shù)據(jù)包會使許多非入侵的數(shù)據(jù)包被丟棄。因此，應該僅僅阻塞或丟棄那些幾乎確定對主機有危害的數(shù)據(jù)包。策略代理的作用就是做出決定，主機代理應該對可疑的數(shù)據(jù)包采取什么樣的行動。

1.7 組

為了檢測分布式入侵，幾個控制代理形成一個組。在一個組之內(nèi)，控制代理能夠共享信息以便檢測分布式入侵。例如，對整個網(wǎng)絡進行端口掃描等入侵活動檢測。

一個組在控制代理中形成，這些控制代理檢測具有“相同的頭”的數(shù)據(jù)包。也就是說，這些數(shù)據(jù)包有相同的目的地址，相同的目的端口，相同的源地址或者相同的源端口。

因為一個控制代理可能被涉及到檢測不同地址、端口的數(shù)據(jù)包，所以一個控制代理可以在多個組中。在一個組中，控制代理選出一個主控制代理，所有控制代理必須向主控制代理匯報。這樣，主控制代理處理收到數(shù)據(jù)然后把結(jié)果發(fā)送給組內(nèi)的成員(控制代理)。

如果網(wǎng)關代理或主機代理隨機的用一個控制代理進行入侵檢測，許多的控制代理將涉及到檢測一個特定的地址或端口，這樣，組將變得非常巨大。因為主控制代理需要同大量的控制代理進行通信。就會導致效率下降。為了提高效率，如果可能的話，網(wǎng)關代理應該發(fā)送數(shù)據(jù)包給那些已經(jīng)在組內(nèi)的控制代理。

1.8 代理的基本程序結(jié)構(gòu)

各種代理包含不同的代理程序模塊類型，由它們相互協(xié)作，共同完成各代理不同的功能。

圖2 代理程序類層次結(jié)構(gòu)圖

Entity類是所有主要代理程序類的基礎類型，它定義了所有代理實體的共同特征，實現(xiàn)了主要的數(shù)據(jù)抽象和功能抽象。很多時候會有多個代理希望從同一個數(shù)據(jù)源中獲取數(shù)據(jù)，此時如果每個代理各行其是，則會造成運行效率的損失，所以第一個子程序類是Filter類，它定義了過濾器的主要特征，代理通過注冊向過濾器申請數(shù)據(jù)，過濾器在有數(shù)據(jù)時通知代理。第二個子程序類是Agent，它定義了各代理的主要特征及它們各自的功能特點。第三個子程序類Controller Entity，實現(xiàn)了系統(tǒng)中控制實體的基本功能，即通過它控制其它實體。由它派生出Monitor子程序和Transceiver子程序，Monitor子程序模塊和Transceiver子程序分別實現(xiàn)了檢測器和收發(fā)器的功能。

在本文的設計中，如果入侵事件被發(fā)現(xiàn)，并且策略代理判斷為阻塞的話，這些可疑的數(shù)據(jù)包在到達目的主機的處理進程之前將被丟棄，較好的實現(xiàn)了實時性。

2 存儲系統(tǒng)

存儲系統(tǒng)把系統(tǒng)檢測到的事件記錄下來，以便于以后的分析。構(gòu)造專用的存儲系統(tǒng)可以提高反應速度，但那是一件很昂貴的事情。所以我們選擇現(xiàn)有的數(shù)據(jù)庫系統(tǒng)來建立存儲系統(tǒng)?，F(xiàn)有的數(shù)據(jù)庫系統(tǒng)都支持SQL查詢，它對搜索的封裝使得分析系統(tǒng)可以使用通用的接口。根據(jù)入侵檢測系統(tǒng)的規(guī)模，存儲系統(tǒng)也有很大的區(qū)別，它可能是一個單一的數(shù)據(jù)文件存儲系統(tǒng)，也可能是一個數(shù)據(jù)庫系統(tǒng)，對于大規(guī)模的入侵檢測系統(tǒng)來說也有可能配置一個數(shù)據(jù)倉庫作為其存儲系統(tǒng)。

3 控制系統(tǒng)

控制系統(tǒng)是控制中心與控制臺的通信接口。它接受并解析來自控制臺的請求，向控制單元和數(shù)據(jù)庫管理模塊發(fā)送相應的請求，在控制單元的控制下，接受從數(shù)據(jù)庫管理模塊傳回的數(shù)據(jù)，經(jīng)處理后傳回控制臺。控制臺是分布式檢測系統(tǒng)與用戶交互界面，易于操作的控制臺是系統(tǒng)必不可少的部分。如果沒有良好的人機交互界面，系統(tǒng)管理員很難和IDS系統(tǒng)交流，IDS很難發(fā)揮其功能。控制臺的設計應面向用戶，有完備的功能和圖形化的操作界面。它包括安全事件管理、事件報表管理、監(jiān)測器管理和虛報警管理。

分布式入侵檢測系統(tǒng)一般指的是部署于大規(guī)模網(wǎng)絡環(huán)境下的入侵檢測系統(tǒng)，任務是用來監(jiān)視整個網(wǎng)絡環(huán)境中的安全狀態(tài)，包括網(wǎng)絡設施本身和其中包括的主機系統(tǒng)。它的應用增大了網(wǎng)絡和系統(tǒng)安全的保護縱深。本論文提出的分布式系統(tǒng)模型，以及實時性入侵檢測系統(tǒng)框架，不僅為我們今后在入侵檢測領域中的研究工作提供了可靠的理論、技術依據(jù)，而且具有明顯的工程應用價值。由于時間的局限，對網(wǎng)絡環(huán)境下的入侵檢測技術，以及集成多種安全技術的網(wǎng)絡安全防御體系方面的研究，還需要進一步的研究。

[1] Stephen Northcutt.網(wǎng)絡入侵檢測分析員手冊.人民郵電出版社.2000.

[2] Rebecca Northcutt,Mank Cooper,Matt Fearnow,Karent Frede rick.入侵特征與分析.中國電力出版社.2002.

[3] Rebecca Gurley Brace.入侵檢測原理.人民郵電出版社.2001.

[4] Paul E.Proctor.入侵檢測實用手冊.中國電力出版社.2002.

[5] 唐國軍、李建華.入侵檢測技術.清華大學出版社.2004.

[6] 精英科技.系統(tǒng)安全與黑客防范手冊.中國電力出版社.2002.

[7] Eric Cole.黑客---攻擊透析與防范.電子工業(yè)出版社.2002.

[8] 劉寶旭,許榕生.黑客防范技術揭秘.機械工業(yè)出版社.2002.