电子科技大学计算机入侵检测技术3

1、计算机入侵检测(jin c)技术基于移动(ydng)Agent的入侵检测系统研究共四十二页第三章 基于移动(ydng)Agent的入侵检测系统一、引言最初的入侵检测技术是基于主机和网络两种，即HIDS和NIDS，然而它们具有很大的局限性，例如在高速网络和加密通道等网络环境就会捉襟见肘。在此基础上出现了分布式的IDS，将HIDS和NIDS技术集为一身，让它们发挥各自的长处。但仍然存在一些不足：容易在单一节点上受到控制。例如当中央处理单元崩溃时，整个IDS都会瘫痪；由于中央处理单元的能力有限，当网络规模增大而需要(xyo)扩展IDS的时候，系统不易扩展；此外，传感器回送数据还会加重网络的负荷。共四

2、十二页第三章 基于(jy)移动Agent的入侵检测系统一、引言此后又出现了分布式分级IDS，整个结构为树状。这种等级式结构提高了系统的扩展性，随着层次的增多，每一层完成的功能相对减少，数据经过不断缩减，到了根结点的数据都已经过了预处理，但这种结构缺乏(quf)扩展性和灵活性。还有一种完全分布式的peer to peer的IDS，是由Agent和Security Officer（SO）组成，每台被监控的设备上都装有Agent和SO，SO可以分析本机Agent上的数据，也可以和其它设备上的SO协商处理分布式攻击，但这种系统过于分布，没有一个最终仲裁部件进行决策，而且目前还没有成熟的原型系统。 由于

3、各种体系结构都存在这样或那样的不足，移动Agent的引入成为了一种必然趋势。共四十二页一、引言(ynyn)1、传统IDS体系结构的不足：(1) 、网络负荷较重。由于叶节点的Agent仅具有数据采集功能，所以必须回传大量的数据给汇聚节点，造成网络负荷加重；(2) 、响应延迟增加。由于采用了等级式的结构，响应命令(mng lng)必须经过对原始信息层层分析和筛选之后才能发布。由于信息量较大，就增加了响应的延迟时间，在这个时间内入侵者可能已经完成了一次完整的攻击；(3) 、Agent的自我保护性。由于采用了静态Agent技术，其自我保护能力较差，容易受到入侵者的攻击，且受损后的恢复能力不够理想，表现

4、为不够及时、灵活；(4) 、无法在大范围内统一配置和维护。共四十二页一、引言(ynyn)2、移动Agent技术可从以下几个方面对传统IDS进行完善：(1)、改善了容易受控于单个节点的缺陷。由于移动Agent的随机迁移(qiny)和自动藏匿功能，使得攻击者很难确定Agent的位置；(2) 、加快响应速度。由于移动Agent的移动计算能力，大量的数据分析在叶节点就可以完成，无需回送给中央处理部件；(3) 、减少网络负荷。移动Agent尽可能将计算移至数据所在地，而非将数据移至计算所在地，这样就减少了网络的负荷；共四十二页一、引言(ynyn)(4) 、自治和异步执行。移动Agent可以存在且独立于创

5、建平台，满足了上述需要；(5) 、动态适应。移动Agent系统具有对环境的感知能力并能及时响应变化，这对于入侵检测(jin c)非常重要；(6) 、使得系统更易扩展。无需在新近接入节点的设备上安装信息汇聚模块，只需由命令控制节点将移动Agent发送到被检测设备上即可。共四十二页二、移动Agent相关(xinggun)技术1、定义定义3.1 Agent是驻留于环境(hunjng)中的实体，它可以解释从环境(hunjng)中获得的、反映环境(hunjng)中所发生事件的数据，并执行对环境(hunjng)产生影响的行为。 定义3.2 软件Agent是能为用户执行特定的任务、具有一定程度的智能，允许自

6、主执行部分任务，并以一种合适的方式与环境相互作用的软件程序。共四十二页二、移动(ydng)Agent相关技术2、基于移动Agent的分布计算模式 （1）从应用的角度看，真正实现了“网络就是计算机”的思想。不仅应用所需的资源分布在网络中，整个应用逻辑都可以在网络上实现；（2）从系统的角度看，分布式资源的更充分(chngfn)共享成为可能，但管理也更为复杂；（3）从服务的提供和使用角度看，服务是客户可定制的，其使用不再限于既定方式；（4）从通信协作的角度看，通信的主体是自主的Agent，可以实现对等（peer to peer）的通信模式； 共四十二页二、移动Agent相关(xinggun)技术3、

7、移动Agent的优点 （1）减轻网络负载：移动Agent技术能较大程度的减少网络上的数据流量。 （2）克服网络隐患：对那些重要的实时系统而言，需要对环境变化做出实时反应，目前的网络控制对那些要求较高的实时系统而言是无法接受的。 （3）封装协议：移动Agent能够直接移动到远程主机，建立起一个基于私有标准的数据传输通道。（4）移动Agent异步自主运行：任务(rn wu)可以嵌入到移动Agent中，然后将它通过网络派遣出去。 共四十二页三、MADIDS的体系结构1、整体(zhngt)结构 MADIDS使用分层体系结构，将部署在整个WAN上的入侵检测系统划分为若干域。每个域由域服务器管理，所有域服

8、务器由主服务器管理。 MADIDS由一个主服务器MS（Main Server）和若干域（Domain）组成。其中，MS负责协调和管理整个MADIDS的运行；域内通过高速LAN连接，域间是低速WAN连接；每个域由一台域服务器DS（Domain Server）和若干主机（Host）组成。MADIDS中每台服务器和主机都运行Agent支持环境，整个MADIDS构成一个大的移动 Agent运行系统。共四十二页三、MADIDS的体系结构其体系结构如图3.1所示：图3.1 MADIDS的体系结构 共四十二页三、MADIDS的体系结构2、MADIDS中各入侵(rqn)检测模块的部署情况如下：(1)、基于主机

9、的事件产生器HEG（Host based Event generators）：事件产生器分为基于主机的事件产生器HEG和基于网络的事件产生器NEG（Network based Event generators）两种。(2) 、基于网络的事件产生器NEG（Network based Event generators）：NEG并不需要在每台主机部署，在一个域的所有主机中仅部署于两台上，可对域内所有流经网上的原始数据进行监听。共四十二页三、MADIDS的体系结构(3) 、扩展的事件分析器EEA（Extend Event analyzers）：EEA在每个域中，不配置于每台主机（Host），而是存在于

10、域服务器（Domain Server）中，具有更复杂和完善的分析功能，例如可将专家系统、数据挖掘系统等集成于其中。(4) 、控制台CS（Console）：控制台CS通过接受事件分析器的分析结果，来判定是否(sh fu)存在入侵行为并做出相应对策，每个域中仅部署一个控制台，并存在于域服务器（Domain Server）上。(5) 、响应单元RU（Response Units）：响应单元RU，存在于系统内各指定位置，并根据指令对入侵行为进行相应的响应和处理。共四十二页三、MADIDS的体系结构(6) 、事件数据库ED（Event Databases）：事件数据库分3个层次存在于主服务器、域服务器（

11、Domain Server）和所有主机上（Host），分别为存放于主服务器的EDMS（Event Databases saved in Main Server），存放于域服务器的EDDS（Event Databases saved in Domain server）和存放于主机的EDH（Event Databases saved in Host）。(7) 、系统管理平台SGM（System General Manager）：SGM存在于主服务器（Main Server）上，负责MADIDS系统的整体管理、维护、升级等工作，它不直接参与入侵检测的具体(jt)事务。共四十二页三、MADIDS的体系

12、结构其模块(m kui)分布如图3.2所示：图3.2 MADIDS中各入侵检测(jin c)模块的部署情况 共四十二页三、MADIDS的体系结构3、MADIDS分层体系结构的优点 （1）HA负责各节点的工作，DA负责本域的管理工作，MA负责管理所有DA。这种体系结构避免了将MADIDS中所有的管理工作集中在少数服务器上，而导致服务器成为系统工作和扩展的瓶颈；（2）该结构保证了各层次计算和数据能低代价、高效率的更新，从而保证了整个系统具有较好的完整性和一致性；（3）在MADIDS中域内通过(tnggu)LAN连接，通信性能较好，因此MADIDS在域内的工作可以设计为针对LAN协议来获得较高的性能

13、。在域间通信时，可以使用针对WAN环境设计的通信协议和安全协议，以获得较好的性能和安全性；共四十二页第三章 基于移动Agent的入侵(rqn)检测系统四、MADIDS的维护更新机制 在MADIDS中，系统更新的主要内容是含有检测(jin c)规则的事件数据库ED，又分为存放于主服务器的EDMS，存放于域服务器的EDDS和存放于主机的EDH。为此系统设计了两个用于维护系统一致性的流程：系统整体规则生成流程和系统整体规则更新流程。共四十二页四、MADIDS的维护(wih)更新机制1、整体规则生成流程存放于主服务器的顶层事件数据库EDMS是系统更新的最终基础，其余各域和各主机的事件数据库都应与其保持

14、一致。MADIDS中有一个唯一的MUS（Main Updating Server），每个域有一个DUS（Domain Updating Server），它们(t men)相互协作完成MADIDS全局的更新工作，进而由DUS对Host上的EDH进行更新。 共四十二页1、整体(zhngt)规则生成流程布局(bj)如下图3.3所示：图3.3 MADIDS整体规则生成示意图共四十二页1、整体规则生成(shn chn)流程系统通过“分层核对”方式来完成规则的生成(shn chn)，其流程如图3.4所示。图3.4 MADIDS的分层核对机制 共四十二页1、整体规则(guz)生成流程该机制具有如下优点：(1

15、)、移动Agent具有异步自主运行能力，即使网络出现延迟甚至故障，都能保证运行正常，特别适合于WAN环境；(2) 、减少了IDS管理新特征标记的工作量，并有效降低了复制特征标记所需的通信量，特别是WAN上的通信量；(3) 、Main Server不需对每个主机都维护新入侵特征标记，这样就大大降低了系统的整体(zhngt)开销。共四十二页四、MADIDS的维护(wih)更新机制2、整体规则更新流程更新系统规则的基础是EDMS，考虑到WAN具有带宽(di kun)低、时延高的特点，在每次EDMS更新后，采取了MUS即时全网公告和各节点异步访问相结合的机制，共有8个步骤，如图3.5所示。图3.5 M

16、ADIDS的分层更新机制共四十二页2、整体规则更新(gngxn)流程该机制具有如下优点：(1) 大幅度降低了系统更新(gngxn)的工作量。由于采用最新时间标记和增量传输相结合的机制，既保证了系统更新(gngxn)的整体性、一致性和及时性，又降低了系统更新(gngxn)的工作量；(2) 大幅度降低了WAN上的通信量。通过引入域来划分层次，在系统整体更新时，一个域内的多个Host不需多次从MUS上比较和读取数据。由于LAN内通信的高带宽、低时延，一个域只需在WAN上进行一次通信，即可确保域内所有主机都能及时、高效的得到更新；(3) 有效地解决了WAN上系统整体更新时存在的异步问题；(4) 有效地

17、解决了LAN内系统整体更新时存在的异步问题，与以上分析类似。共四十二页第三章 基于移动Agent的入侵检测(jin c)系统五、MADIDS的自我修复和抗毁性网络安全技术发展到今天，IDS在网络环境中的使用越来越普遍，当hacker在攻击一个装有IDS的系统时，首先考虑到的是如何对付IDS，其修复能力和抗毁能力显得非常重要。MADIDS基于移动Agent的体系结构，保证了其具有良好的自我修复和抗毁能力。由于移动Agent的随机游走和自动藏匿以及躲避(dub)功能，使得攻击者很难确定Agent的位置，如果局部的节点受到攻击而失效，移动Agent将能尽快将其恢复。 共四十二页五、MADIDS的自我

18、(zw)修复和抗毁性1、系统的完整性和有效性：对MADIDS进行的攻击，主要分为对各功能模块（事件产生器、分析器、决策器、数据库等）的攻击和直接对Agent进行攻击两类，首先分析对各模块的攻击。(1)检测(jin c)范围 首先，该项功能涉及到各节点上的功能模块和相关数据库，在此基础上进行修复和抗毁工作。 其次，检测针对完整性和有效性两个方面进行。完整性是指各功能模块或数据库的正确和完好，而有效性是指功能模块在性能上的正确和有效。共四十二页1、系统(xtng)的完整性和有效性：(2)完整性检测 为进行完整性检测，系统对各节点上的所有功能部件和数据库，按统一规则进行了编码，称为完整性特征值IE（

19、Integrality Eigenvalue），共六个数据项： 系统将按一定规则，将Agent移动到对应节点上。Agent会对相关部件或数据库进行检查，并通过对比(dub)IE的方式，来检测各部件（或数据库）的完整性。编号123456内容域编号主机编号功能模块（或数据库）名称域内同类部件（或数据库）编号部件（或数据库）的大小值保留并用于系统扩展共四十二页1、系统(xtng)的完整性和有效性：(3)有效性检测 为验证各功能模块的有效性，可定义对应于各模块的标准测试过程，当移动Agent进行有效性测试时，只需调用该部件(bjin)所含的测试子模块，并根据其运行结果来判定对应功能模块是否失效。共四十

20、二页五、MADIDS的自我(zw)修复和抗毁性2、Host层次上的自我修复和抗毁(1)每个主机随机生成HPA，随机性可以防止入侵者发现各节点生成代理的规律，从而提高整体的安全性。(2)代理在生成后，首先判断所在域内其它Host的运行状态，然后根据在线Host的数量进行自我复制； (3)复制后的HPA移动到域内除本地(bnd)主机外的其它所有Host上，按照系统预设的规则进行检测；(4)所要检测的内容，包括HEG、BEA、EDH和个别主机上的NEG，检测针对完整性、有效性进行；共四十二页2、Host层次上的自我(zw)修复和抗毁(5)如果HPA1所在的Host2一切正常，HPA1将返回Host1

21、和Domain Server，与HPA和DPA交换信息，并结束运行。在系统正常时，所有HPA均按以上方式运行； (6)如果HPA1所在的Host2上的某个部件出现问题，例如 HEG1失效，HPA1将记录相关情况，并移动到Domain Server上与DPA1交换信息，待确认信息交换成功后，HPA1将返回Host1和Domain Server，并结束执行； (7) DPA1收到相应信息后，将移动到Host2上，并负责(fz)完成从Domain Server上向Host2重装HEG1的任务，在确认重装成功后，DPA1将返回Domain Server，并结束执行。 共四十二页2、Host层次(cng

22、c)上的自我修复和抗毁其工作(gngzu)流程图3.6如下：图3.6 Host层次上的自我修复共四十二页2、Host层次(cngc)上的自我修复和抗毁由以可见，系统在Host层次上的安全性、完整性、有效性，主要依靠存在着的Host自身生成HPA来维持。若干HPA随机生成，并在域内复制、移动(ydng)，检测、通信、判断和执行系统修复工作。这一机制具有以下优点：(1)通信量小；(2)完整性较好； (3)检测和处理的及时性较好。共四十二页五、MADIDS的自我(zw)修复和抗毁性3、Domain Server层次上的自我修复和抗毁由于不同域之间以及一个域与主服务器MS之间通常为WAN，理想情况下，

23、最好是设计(shj)成检测与修复都在域内进行，而不像在Host层次上那样设计成各域之间互相检测，并利用MS来修复。共四十二页3、Domain Server层次上的自我(zw)修复和抗毁可行性分析：(1)分析域内修复机制的可能性，对DS层次(cngc)进行自我修复的移动Agent，不能从DS自身生成，也就是说移动Agent必须由域内的其它Host产生。(2)从系统的整体状况来看，依靠Host来持续生成检测DS状态的移动Agent，并完成重装和修复任务也不太可行。共四十二页3、Domain Server层次上的自我(zw)修复和抗毁综上所述，在MADIDS系统的体系结构下，对Domain Serv

24、er层次的检测和修复工作不能在域内完成，而只能在域间进行。其原理与工作机制的框架，基本类似于前面所分析(fnx)的Host层次上的自我修复和抗毁。共四十二页五、MADIDS的自我(zw)修复和抗毁性4、Main Server层次上的自我修复和抗毁。(1)最小服务法则（The least is The Best）；(2)双机备份等方式来配置同样(tngyng)两台Main Server，并利用热备份的有关技术保持同步。共四十二页第三章 基于移动Agent的入侵(rqn)检测系统六、MADIDS的安全性 系统安全性主要(zhyo)体现在以下三个方面：（1）移动Agent之间的通信安全。（2）保护执

25、行环境免受潜在的恶意Agent损害，以保护 主机。a、沙箱（sandbox）；b、认证、授权；c、检验传输代码（Proof-carrying code）。（3）保护移动Agent不受潜在的恶意服务器和运行环境的攻击。a 、基于检测的安全性；b 、主动的保护策略。共四十二页第三章 基于移动Agent的入侵(rqn)检测系统七、实验环境、结果与性能分析1、实验准备 实验环境为电子科技大学校园网内选取的三处位置。其中(qzhng)，主服务器MS放置于子网202.115.14.1/24内；第一个域的各个节点包括DS1、Host1、Host 2、Host 3放置于子网202.112.10.1/24内；第二个域的各个节点包括DS2、Host4、Host 5、Host 6放置于子网202.115.1.1/24内。如下图3.7所示。 共四十二页七、实验(shyn)环境、结果与性能分析图3.7 MADIDS实验(shyn)环境示意图 共四十二页七、实验环境(hunjng