基于网格的入侵检测系统的研究与实现

1、基于网格的入侵检测系统的研究与实现    摘  要网格是部署在广域网上的抽象应用，其基本单位是以实现一个任务为目标的动态组建的虚拟组织。基于网格的入侵检测系统应该是部署在虚拟组织之上的虚拟组织。本文首先分析了网格对于入侵检测系统的要求以及当前网格入侵检测系统的不足之处，然后提出了基于虚拟组织的网格入侵检测系统模型(VGIDS)。    关键字网格；虚拟组织；入侵检测 1  入侵检测系统分析    表1分析了入侵检测系统结构变化

2、。表1IDS出现的问题及结构的变化IDS发展解决的问题结构特征基于主机单一主机的安全各部分运行在单节点上基于网络局域网的安全采集部分呈现分布式分布式单一分析节点的弱势分析部分呈现分布式    网格的运行是由用户发起任务请求，然后寻找资源搭配完成任务，这样形成的团体称为虚拟组织(VO)，网格入侵检测系统是为其他VO提供服务的VO，目前其面临的主要问题如下：    (1)分布性：包括资源分布和任务分解。    (2)动态部署：系统是为VO提供服务的，其部署应是动态的。 

3、   (3)动态形成：系统本身也是一VO，是动态形成的。    (4)最优方案选择：本系统需多种网格资源协同进行，要选择一个最优方案。    (5)协同计算：保证按照入侵检测流程顺利运行。    (6)动态改变：防止资源失效。    目前关于网格入侵检测系统的研究只能说解决了分布性、动态形成、协同计算。而对于动态部署 、动态改变仍处于研究中。2VGIDS系统模型   

4、 VGIDS基于开放网格服务（OGSA）思想提出了一个公共服务GIDS Service来解决目前网格入侵检测系统面临的问题。整个VGIDS结构如图1所示。    (1)VO-Based：网格是一个虚拟组织的聚集，本系统提出一虚拟组织目录(VOL)。用户向GIDSService提交请求并将被检测VO代号作为参数。GIDSSevvice查找VOL获取VO信息。当VOL数量减为一就成为单一网格应用，可由网格管理(GM)将VO信息传给GIDSServic。图1  VGIDS系统结构   

5、60;(2)GIDSService：负责资源发现，调度。具体包括：    RI（Request Interface）：服务接口，负责服务请求及VO信息获取。同VOL解决动态部署。    DA（Delegation Agent）：委托代理。同用户交互获得用户委托授权。    DD（Distributed Data）：分布式数据。存储VGIDS需要的资源信息。解决分布问题。    RQ（Resource

6、0;Query）：资源查询。当获得用户授权后便由RQ根据DD描述向资源目录(RL)查找资源。解决分布问题。    PC（Plan Choose）：最优方案选择。当从RL获得可用资源后PC根据AM(任务管理)要求选择一个最优方案。本文称为*最优路径选择问题。    AM(Assignment Manage)：任务管理。首先根据DD存储所需资源的调度信息，当VGIDS形成后，根据PC的方案选择及DD存储的资源信息进行任务的调度和协同各分布资源的交互，解决协同计算。   

7、 IR(Intrusion Reaction)：入侵响应。    SN(Security Negotiate)：安全协商。同资源和用户的安全协商。    DI(Dynamic Inspect)：动态检查。负责检查资源失效向RQ发起重新查找资源请求。解决动态改变问题。    LB(Load Balance)：负载平衡。主要根据DD信息解决网格资源调度的负载平衡问题。3VGIDS服务描述   

8、0;本系统是一动态虚拟组织，在系统运行之前必须以静态网格服务的形式部署于网格之上，当用户申请时再动态形成。    定义1：VGIDS的静态定义如下：VGIDS=<Base，Resource，Role，Task，Flow，Relation>    Base为VGIDS基本描述，Base=<ID，Power，IO，Inf，log，goal，P>。ID为虚拟组织编号；Power为获得的授权；IO为被检测对象；Inf为监控VGIDS获得的信息文件；log为系统日志；goal为VGIDS目标，包括调度

9、算法所估计的系统效率及用户要求；P为系统交互策略，需同网格资源进行交互，授予资源角色和相关权利并同时分配相关任务。    Resource为VGIDS的所有资源，Resource=<IP，Property，Serve，Power，P>。    IP为资源地址；Property为资源属性(存储、分析)，方便角色匹配；Serve为资源可提供的服务指标；Power为使用资源所要求的授权；P为资源交互策略。    Role为存在的角色类型，Role=<ID，Tas，

10、Res，Power>。ID为角色的分类号，按照工作流分为5类角色分别对应VGIDS的5个环节；Tas为角色任务；Res为角色需要的资源类型；Power为角色所获得的权利。    Task为工作流任务集合。Task<ID，Des，Res，Role，P>。ID为任务标号；Des为任务描述；Res为需要的资源种类；Role为任务匹配的角色；P为Task执行策略。    Flow为工作流描述文件，Flow=<Role，Seq，P>。Role为角色集合，Seq为角色执行序列，P为对于各个角色的控

11、制策略。    Relation为已确定资源Resource和Role之间的关系。Relation=<Res，Role，Rl>。Res 为资源集合，Role为角色集合，Rl为对应关系。4  *最优路径选择4.1  问题描述    将图1抽象为图2模型    定义2：Graph=(U、D、A、Edge)。    U为所有被检测对象的集合，Un=( Loadn、Pn)，

12、Loadn为Un单位时间所要求处理的数据，Pn为Un在被检测VO中所占权重，如果P为空，则按照Load大小作为权重。    D为存储服务集合，Dn=(Capn、Qosdn)，Capn为Dn提供的存储容量。Qosdn为Dn提供的服务质量，近似为数据吞吐率。    A为分析服务集合，An=（Classn、Qosan），Classn为An处理的数据种类，如系统日志或网络流量。Qosan为An提供的服务质量，近似为处理速率。    Edge为边的集合，有网络传输速度加权v。图

13、0;VGIDS调度模型    定义3：Qos定义为一个*向量，可用一个性能度量指标的集合表示：    M1(t)、M2(t)，Mn(t)    Mn(t)为一个与网格服务质量有关的量，如CPU的主频、网络速度、内存。服务的执行过程体现出来的性能参数是一条n维空间的轨迹M，这个n维空间的每一维代表一个性能指标    M=R1*R2*Rn    其中，Rn是性能指标Mn(t)的取值范围。在本系统中存在

14、两类Qos，分别为D和A。本系统强调实时性，所以CPU、RAM和网络速度占很大权重，Qos计算公式如下：    Wcpu表示CPU的权重；CPUusage表示当前CPU使用率；CPUspeed表示CPU的实际速度；CPUmin表示要求的CPU速率的最小值。Wram表示RAM的权重；RAMusage表示当前RAM使用率；RAMsize表示RAM的实际大小；RAMmin表示要求的RAM的最小值。Wnet表示网络传输的权重；NETusage表示当前网络负载；NETspeed表示网络的实际速度；NETmin表示要求的网络传输速率的最小值。  

15、  资源调度就是利用对各个资源的量化，为每一检测对象选择一条数据传输路径。本系统目标是使整个VO获得快速的检测，而不是对个别对象的检测速率很高。    定义4：对于任意一个被检测VO的检测对象，如果能够为其构造一条检测路径，称系统对于此对象是完备的。    定义：对于VO，如果能够为其所有的检测对象构造检测路径，则称系统对于被检测VO是完备的。    本调度算法的目的便是在满足被检测VO和入侵检测工作流要求下，按照所选网格资源提供的能力为整个VO构造VGI

16、DS，使所有被检测对象检测效率之和最高。这是一非典型的线性规划问题，如下定义：    X1，Xn是n个独立变量，表示VGIDS所选路径；公式<5>表示最大耗费时间；公式<6><8>表示所有对于Xn的约束条件。由于Xn变量难以确定并且约束条件种类较多所以难以将上述问题标准化为公式<5><8>。4.2  算法描述    本文利用贪心选择和Dijkstra算法进行调度。    按照用户给出的U的权值P从

17、大到小进行排序，if（P=NULL），则按Load从大到小进行排序得到排序后的对象数组和负载数组为    Ui（0<in，n为U的大小）；Loadi （0<in，n为U的大小）    for(i=0；i<=n；i+)，循环对U和Load执行以下操作：    （1）对于所有边，定义其权值为网络传输时间 t=Loadi/v，对于所有服务D和A定义其处理数据时间为t1=Loadi/Qos，将t1加到每一个服务的入边上得到最终各边权值，如果两点之

18、间没有边相连则tj为。    （2）定义Capmini为Ui对于数据存储能力的最低要求，Qosdmin为Ui对于D中服务质量的最低要求，Qosamin为Ui对于A中服务质量的最低要求。对于所有D中Cap<Capmini或者Qosd<Qosdmin的节点以及A中Qosa<Qosamini的节点，将其所有输入和输出边的t设为。    （3）设所有点集合为V，V0为检测对象，边Edge定义为<Vi，Vj>。用带权连接矩阵arcsij表示<Vi，Vj>的权值。定义向量D表示当前所找

19、到的从起点V0到终点Vi的最短路径，初始化为若V0到Vi有边，则Di为边的权值，否则置Di为。定义向量P来保存最短路径，若Pvw为TRUE，则W是从V0到V当前求得最短路径上的顶点。    （4）for(v=0；v<v.number；v+) finalv=false； Dv=arcsv0v；for(w=0；w<v.number；+w) Pvw=false；/设空路径if(Dv<INFINITY)Pvv0=true；Pvv=true；Dv0=0； finalv0=true；/初始化，V0顶点属于已求

20、得最短路径的终点集合for(i=1；i<v.number；+i)    min=INFINITY；    for(w=0；w<v.number；+w)       if(!finalw)          if(Dw<min)v=w；min=Dw；   finalv=true；  

21、 for(w=0；w<v.number；+w)/更新当前最短路径及距离；    if(!finalw&&(min+arcsvw<Dw)                     Dw=min+arcsvw；         

22、            Pw=Pv；Pww=true；        扫描A中各点，选取其中Di(ViA)最小的一点X，然后从P中选取从V0到X的路径便为所选一条VGIDS路径。    （5）将所选路径上的边的速率改为VVLoadi，D的Cap改为CapCap-Capmin，D的Qosd改为Qosd=Qosd- Qosdmin，A的Qosa改为Qo

23、sa=Qosa-Qosamin。    （6）+i，回到步骤(1)重新开始循环。5  系统开发    本项目主要利用Globus工具包外加CoG Kits开发工具。Globus作为一个广泛应用的网格中间件其主要是针对五层沙漏结构，并利用GridService技术逐层对五层沙漏提出的功能单源进行实现5，表简单叙述VGIDS实现的各层功能及Globus中对应服务调用。    实验时VGIDS部署在Linux系统上，采用基于Linux核心的数据采集技术

24、及Oracle10g作为数据库系统解决分布式存储问题，数据分析技术仍采用现有的基于规则的入侵检测技术。系统试验平台如图3所示。表2  系统功能划分及调用接口五层结构VGIDSGlobus应用层Grid Service无汇聚层资源发现、证书管理、目录复制、复制管理、协同分配元目录服务MDS，目录复制和复制管理服务，在线信任仓储服务，DUROC协同分配服务资源层访问计算、访问数据、访问系统结构与性能信息提供GRIP、GRRP、基于http的GRAM用于分配资源和监视资源，提供GridFtp数据访问管理协议及LDAP目录访问协议。Globus定义了这些协议的C和Java

25、实现连接层通信、认证、授权提供GSI协议用于认证、授权、及通信保密构造层数据采集代理、数据存储、数据分析提供缺省和GARA资源预约图3  系统试验平台    本平台共8台机器，一台网格目录服务和CA认证中心，一台部署VGIDS服务。两台机器作为被检测对象，相互之间可实现简单网格协作，本试验两台机器之间通过GridFtp服务传输数据。其余四台机器分别实现两个存储服务和两个分析服务。6  总结和展望    目前网格入侵检测系统主要是针对某一特定网格应用静态执行。而本文所提出的VG

26、IDS则是针对网格运行模式虚拟组织所提出的通用网格入侵检测服务。本系统事先进行静态定义，然后当有服务请求时动态解析定义文件，动态形成可执行的网格入侵检测系统。本系统解决目前网格入侵检测系统面临的动态部署、动态形成、最优方案选择、动态改变等问题。    对于网格入侵检测系统同样还面临着如何解决数据异构，如何发现分布式协同攻击，如何保障自身的安全等问题，本模型有待进一步完善。参考文献1 Ong Tian Choon and Azman Samsudin. Grid-based I

27、ntrusion Detection System . School of Computer Sciences University Sains Malaysia，IEEE，2003.1028-10322 Alexandre Schulter and Júlio Albuquerque Reis. A Grid-based Intrusion Detection System. Networks and Management Laboratory Federal University of Santa Catarin