1、計算機入侵檢測(jin c)技術基于移動(ydng)Agent的入侵檢測系統研究共四十二頁第三章 基于移動(ydng)Agent的入侵檢測系統一、引言最初的入侵檢測技術是基于主機和網絡兩種，即HIDS和NIDS，然而它們具有很大的局限性，例如在高速網絡和加密通道等網絡環境就會捉襟見肘。在此基礎上出現了分布式的IDS，將HIDS和NIDS技術集為一身，讓它們發揮各自的長處。但仍然存在一些不足：容易在單一節點上受到控制。例如當中央處理單元崩潰時，整個IDS都會癱瘓；由于中央處理單元的能力有限，當網絡規模增大而需要(xyo)擴展IDS的時候，系統不易擴展；此外，傳感器回送數據還會加重網絡的負荷。共四

2、十二頁第三章 基于(jy)移動Agent的入侵檢測系統一、引言此后又出現了分布式分級IDS，整個結構為樹狀。這種等級式結構提高了系統的擴展性，隨著層次的增多，每一層完成的功能相對減少，數據經過不斷縮減，到了根結點的數據都已經過了預處理，但這種結構缺乏(quf)擴展性和靈活性。還有一種完全分布式的peer to peer的IDS，是由Agent和Security Officer（SO）組成，每臺被監控的設備上都裝有Agent和SO，SO可以分析本機Agent上的數據，也可以和其它設備上的SO協商處理分布式攻擊，但這種系統過于分布，沒有一個最終仲裁部件進行決策，而且目前還沒有成熟的原型系統。 由于

3、各種體系結構都存在這樣或那樣的不足，移動Agent的引入成為了一種必然趨勢。共四十二頁一、引言(ynyn)1、傳統IDS體系結構的不足：(1) 、網絡負荷較重。由于葉節點的Agent僅具有數據采集功能，所以必須回傳大量的數據給匯聚節點，造成網絡負荷加重；(2) 、響應延遲增加。由于采用了等級式的結構，響應命令(mng lng)必須經過對原始信息層層分析和篩選之后才能發布。由于信息量較大，就增加了響應的延遲時間，在這個時間內入侵者可能已經完成了一次完整的攻擊；(3) 、Agent的自我保護性。由于采用了靜態Agent技術，其自我保護能力較差，容易受到入侵者的攻擊，且受損后的恢復能力不夠理想，表現

4、為不夠及時、靈活；(4) 、無法在大范圍內統一配置和維護。共四十二頁一、引言(ynyn)2、移動Agent技術可從以下幾個方面對傳統IDS進行完善：(1)、改善了容易受控于單個節點的缺陷。由于移動Agent的隨機遷移(qiny)和自動藏匿功能，使得攻擊者很難確定Agent的位置；(2) 、加快響應速度。由于移動Agent的移動計算能力，大量的數據分析在葉節點就可以完成，無需回送給中央處理部件；(3) 、減少網絡負荷。移動Agent盡可能將計算移至數據所在地，而非將數據移至計算所在地，這樣就減少了網絡的負荷；共四十二頁一、引言(ynyn)(4) 、自治和異步執行。移動Agent可以存在且獨立于創

5、建平臺，滿足了上述需要；(5) 、動態適應。移動Agent系統具有對環境的感知能力并能及時響應變化，這對于入侵檢測(jin c)非常重要；(6) 、使得系統更易擴展。無需在新近接入節點的設備上安裝信息匯聚模塊，只需由命令控制節點將移動Agent發送到被檢測設備上即可。共四十二頁二、移動Agent相關(xinggun)技術1、定義定義3.1 Agent是駐留于環境(hunjng)中的實體，它可以解釋從環境(hunjng)中獲得的、反映環境(hunjng)中所發生事件的數據，并執行對環境(hunjng)產生影響的行為。 定義3.2 軟件Agent是能為用戶執行特定的任務、具有一定程度的智能，允許自

6、主執行部分任務，并以一種合適的方式與環境相互作用的軟件程序。共四十二頁二、移動(ydng)Agent相關技術2、基于移動Agent的分布計算模式 （1）從應用的角度看，真正實現了“網絡就是計算機”的思想。不僅應用所需的資源分布在網絡中，整個應用邏輯都可以在網絡上實現；（2）從系統的角度看，分布式資源的更充分(chngfn)共享成為可能，但管理也更為復雜；（3）從服務的提供和使用角度看，服務是客戶可定制的，其使用不再限于既定方式；（4）從通信協作的角度看，通信的主體是自主的Agent，可以實現對等（peer to peer）的通信模式； 共四十二頁二、移動Agent相關(xinggun)技術3、

7、移動Agent的優點 （1）減輕網絡負載：移動Agent技術能較大程度的減少網絡上的數據流量。 （2）克服網絡隱患：對那些重要的實時系統而言，需要對環境變化做出實時反應，目前的網絡控制對那些要求較高的實時系統而言是無法接受的。 （3）封裝協議：移動Agent能夠直接移動到遠程主機，建立起一個基于私有標準的數據傳輸通道。（4）移動Agent異步自主運行：任務(rn wu)可以嵌入到移動Agent中，然后將它通過網絡派遣出去。 共四十二頁三、MADIDS的體系結構1、整體(zhngt)結構 MADIDS使用分層體系結構，將部署在整個WAN上的入侵檢測系統劃分為若干域。每個域由域服務器管理，所有域服

8、務器由主服務器管理。 MADIDS由一個主服務器MS（Main Server）和若干域（Domain）組成。其中，MS負責協調和管理整個MADIDS的運行；域內通過高速LAN連接，域間是低速WAN連接；每個域由一臺域服務器DS（Domain Server）和若干主機（Host）組成。MADIDS中每臺服務器和主機都運行Agent支持環境，整個MADIDS構成一個大的移動 Agent運行系統。共四十二頁三、MADIDS的體系結構其體系結構如圖3.1所示：圖3.1 MADIDS的體系結構 共四十二頁三、MADIDS的體系結構2、MADIDS中各入侵(rqn)檢測模塊的部署情況如下：(1)、基于主機

9、的事件產生器HEG（Host based Event generators）：事件產生器分為基于主機的事件產生器HEG和基于網絡的事件產生器NEG（Network based Event generators）兩種。(2) 、基于網絡的事件產生器NEG（Network based Event generators）：NEG并不需要在每臺主機部署，在一個域的所有主機中僅部署于兩臺上，可對域內所有流經網上的原始數據進行監聽。共四十二頁三、MADIDS的體系結構(3) 、擴展的事件分析器EEA（Extend Event analyzers）：EEA在每個域中，不配置于每臺主機（Host），而是存在于

10、域服務器（Domain Server）中，具有更復雜和完善的分析功能，例如可將專家系統、數據挖掘系統等集成于其中。(4) 、控制臺CS（Console）：控制臺CS通過接受事件分析器的分析結果，來判定是否(sh fu)存在入侵行為并做出相應對策，每個域中僅部署一個控制臺，并存在于域服務器（Domain Server）上。(5) 、響應單元RU（Response Units）：響應單元RU，存在于系統內各指定位置，并根據指令對入侵行為進行相應的響應和處理。共四十二頁三、MADIDS的體系結構(6) 、事件數據庫ED（Event Databases）：事件數據庫分3個層次存在于主服務器、域服務器（

11、Domain Server）和所有主機上（Host），分別為存放于主服務器的EDMS（Event Databases saved in Main Server），存放于域服務器的EDDS（Event Databases saved in Domain server）和存放于主機的EDH（Event Databases saved in Host）。(7) 、系統管理平臺SGM（System General Manager）：SGM存在于主服務器（Main Server）上，負責MADIDS系統的整體管理、維護、升級等工作，它不直接參與入侵檢測的具體(jt)事務。共四十二頁三、MADIDS的體系

12、結構其模塊(m kui)分布如圖3.2所示：圖3.2 MADIDS中各入侵檢測(jin c)模塊的部署情況 共四十二頁三、MADIDS的體系結構3、MADIDS分層體系結構的優點 （1）HA負責各節點的工作，DA負責本域的管理工作，MA負責管理所有DA。這種體系結構避免了將MADIDS中所有的管理工作集中在少數服務器上，而導致服務器成為系統工作和擴展的瓶頸；（2）該結構保證了各層次計算和數據能低代價、高效率的更新，從而保證了整個系統具有較好的完整性和一致性；（3）在MADIDS中域內通過(tnggu)LAN連接，通信性能較好，因此MADIDS在域內的工作可以設計為針對LAN協議來獲得較高的性能

13、。在域間通信時，可以使用針對WAN環境設計的通信協議和安全協議，以獲得較好的性能和安全性；共四十二頁第三章 基于移動Agent的入侵(rqn)檢測系統四、MADIDS的維護更新機制 在MADIDS中，系統更新的主要內容是含有檢測(jin c)規則的事件數據庫ED，又分為存放于主服務器的EDMS，存放于域服務器的EDDS和存放于主機的EDH。為此系統設計了兩個用于維護系統一致性的流程：系統整體規則生成流程和系統整體規則更新流程。共四十二頁四、MADIDS的維護(wih)更新機制1、整體規則生成流程存放于主服務器的頂層事件數據庫EDMS是系統更新的最終基礎，其余各域和各主機的事件數據庫都應與其保持

14、一致。MADIDS中有一個唯一的MUS（Main Updating Server），每個域有一個DUS（Domain Updating Server），它們(t men)相互協作完成MADIDS全局的更新工作，進而由DUS對Host上的EDH進行更新。 共四十二頁1、整體(zhngt)規則生成流程布局(bj)如下圖3.3所示：圖3.3 MADIDS整體規則生成示意圖共四十二頁1、整體規則生成(shn chn)流程系統通過“分層核對”方式來完成規則的生成(shn chn)，其流程如圖3.4所示。圖3.4 MADIDS的分層核對機制 共四十二頁1、整體規則(guz)生成流程該機制具有如下優點：(1

15、)、移動Agent具有異步自主運行能力，即使網絡出現延遲甚至故障，都能保證運行正常，特別適合于WAN環境；(2) 、減少了IDS管理新特征標記的工作量，并有效降低了復制特征標記所需的通信量，特別是WAN上的通信量；(3) 、Main Server不需對每個主機都維護新入侵特征標記，這樣就大大降低了系統的整體(zhngt)開銷。共四十二頁四、MADIDS的維護(wih)更新機制2、整體規則更新流程更新系統規則的基礎是EDMS，考慮到WAN具有帶寬(di kun)低、時延高的特點，在每次EDMS更新后，采取了MUS即時全網公告和各節點異步訪問相結合的機制，共有8個步驟，如圖3.5所示。圖3.5 M

16、ADIDS的分層更新機制共四十二頁2、整體規則更新(gngxn)流程該機制具有如下優點：(1) 大幅度降低了系統更新(gngxn)的工作量。由于采用最新時間標記和增量傳輸相結合的機制，既保證了系統更新(gngxn)的整體性、一致性和及時性，又降低了系統更新(gngxn)的工作量；(2) 大幅度降低了WAN上的通信量。通過引入域來劃分層次，在系統整體更新時，一個域內的多個Host不需多次從MUS上比較和讀取數據。由于LAN內通信的高帶寬、低時延，一個域只需在WAN上進行一次通信，即可確保域內所有主機都能及時、高效的得到更新；(3) 有效地解決了WAN上系統整體更新時存在的異步問題；(4) 有效地

17、解決了LAN內系統整體更新時存在的異步問題，與以上分析類似。共四十二頁第三章 基于移動Agent的入侵檢測(jin c)系統五、MADIDS的自我修復和抗毀性網絡安全技術發展到今天，IDS在網絡環境中的使用越來越普遍，當hacker在攻擊一個裝有IDS的系統時，首先考慮到的是如何對付IDS，其修復能力和抗毀能力顯得非常重要。MADIDS基于移動Agent的體系結構，保證了其具有良好的自我修復和抗毀能力。由于移動Agent的隨機游走和自動藏匿以及躲避(dub)功能，使得攻擊者很難確定Agent的位置，如果局部的節點受到攻擊而失效，移動Agent將能盡快將其恢復。 共四十二頁五、MADIDS的自我

18、(zw)修復和抗毀性1、系統的完整性和有效性：對MADIDS進行的攻擊，主要分為對各功能模塊（事件產生器、分析器、決策器、數據庫等）的攻擊和直接對Agent進行攻擊兩類，首先分析對各模塊的攻擊。(1)檢測(jin c)范圍 首先，該項功能涉及到各節點上的功能模塊和相關數據庫，在此基礎上進行修復和抗毀工作。 其次，檢測針對完整性和有效性兩個方面進行。完整性是指各功能模塊或數據庫的正確和完好，而有效性是指功能模塊在性能上的正確和有效。共四十二頁1、系統(xtng)的完整性和有效性：(2)完整性檢測 為進行完整性檢測，系統對各節點上的所有功能部件和數據庫，按統一規則進行了編碼，稱為完整性特征值IE（

19、Integrality Eigenvalue），共六個數據項： 系統將按一定規則，將Agent移動到對應節點上。Agent會對相關部件或數據庫進行檢查，并通過對比(dub)IE的方式，來檢測各部件（或數據庫）的完整性。編號123456內容域編號主機編號功能模塊（或數據庫）名稱域內同類部件（或數據庫）編號部件（或數據庫）的大小值保留并用于系統擴展共四十二頁1、系統(xtng)的完整性和有效性：(3)有效性檢測 為驗證各功能模塊的有效性，可定義對應于各模塊的標準測試過程，當移動Agent進行有效性測試時，只需調用該部件(bjin)所含的測試子模塊，并根據其運行結果來判定對應功能模塊是否失效。共四十

20、二頁五、MADIDS的自我(zw)修復和抗毀性2、Host層次上的自我修復和抗毀(1)每個主機隨機生成HPA，隨機性可以防止入侵者發現各節點生成代理的規律，從而提高整體的安全性。(2)代理在生成后，首先判斷所在域內其它Host的運行狀態，然后根據在線Host的數量進行自我復制； (3)復制后的HPA移動到域內除本地(bnd)主機外的其它所有Host上，按照系統預設的規則進行檢測；(4)所要檢測的內容，包括HEG、BEA、EDH和個別主機上的NEG，檢測針對完整性、有效性進行；共四十二頁2、Host層次上的自我(zw)修復和抗毀(5)如果HPA1所在的Host2一切正常，HPA1將返回Host1

21、和Domain Server，與HPA和DPA交換信息，并結束運行。在系統正常時，所有HPA均按以上方式運行； (6)如果HPA1所在的Host2上的某個部件出現問題，例如 HEG1失效，HPA1將記錄相關情況，并移動到Domain Server上與DPA1交換信息，待確認信息交換成功后，HPA1將返回Host1和Domain Server，并結束執行； (7) DPA1收到相應信息后，將移動到Host2上，并負責(fz)完成從Domain Server上向Host2重裝HEG1的任務，在確認重裝成功后，DPA1將返回Domain Server，并結束執行。 共四十二頁2、Host層次(cng

22、c)上的自我修復和抗毀其工作(gngzu)流程圖3.6如下：圖3.6 Host層次上的自我修復共四十二頁2、Host層次(cngc)上的自我修復和抗毀由以可見，系統在Host層次上的安全性、完整性、有效性，主要依靠存在著的Host自身生成HPA來維持。若干HPA隨機生成，并在域內復制、移動(ydng)，檢測、通信、判斷和執行系統修復工作。這一機制具有以下優點：(1)通信量小；(2)完整性較好； (3)檢測和處理的及時性較好。共四十二頁五、MADIDS的自我(zw)修復和抗毀性3、Domain Server層次上的自我修復和抗毀由于不同域之間以及一個域與主服務器MS之間通常為WAN，理想情況下，

23、最好是設計(shj)成檢測與修復都在域內進行，而不像在Host層次上那樣設計成各域之間互相檢測，并利用MS來修復。共四十二頁3、Domain Server層次上的自我(zw)修復和抗毀可行性分析：(1)分析域內修復機制的可能性，對DS層次(cngc)進行自我修復的移動Agent，不能從DS自身生成，也就是說移動Agent必須由域內的其它Host產生。(2)從系統的整體狀況來看，依靠Host來持續生成檢測DS狀態的移動Agent，并完成重裝和修復任務也不太可行。共四十二頁3、Domain Server層次上的自我(zw)修復和抗毀綜上所述，在MADIDS系統的體系結構下，對Domain Serv

24、er層次的檢測和修復工作不能在域內完成，而只能在域間進行。其原理與工作機制的框架，基本類似于前面所分析(fnx)的Host層次上的自我修復和抗毀。共四十二頁五、MADIDS的自我(zw)修復和抗毀性4、Main Server層次上的自我修復和抗毀。(1)最小服務法則（The least is The Best）；(2)雙機備份等方式來配置同樣(tngyng)兩臺Main Server，并利用熱備份的有關技術保持同步。共四十二頁第三章 基于移動Agent的入侵(rqn)檢測系統六、MADIDS的安全性 系統安全性主要(zhyo)體現在以下三個方面：（1）移動Agent之間的通信安全。（2）保護執

25、行環境免受潛在的惡意Agent損害，以保護 主機。a、沙箱（sandbox）；b、認證、授權；c、檢驗傳輸代碼（Proof-carrying code）。（3）保護移動Agent不受潛在的惡意服務器和運行環境的攻擊。a 、基于檢測的安全性；b 、主動的保護策略。共四十二頁第三章 基于移動Agent的入侵(rqn)檢測系統七、實驗環境、結果與性能分析1、實驗準備 實驗環境為電子科技大學校園網內選取的三處位置。其中(qzhng)，主服務器MS放置于子網202.115.14.1/24內；第一個域的各個節點包括DS1、Host1、Host 2、Host 3放置于子網202.112.10.1/24內；第二個域的各個節點包括DS2、Host4、Host 5、Host 6放置于子網202.115.1.1/24內。如下圖3.7所示。 共四十二頁七、實驗(shyn)環境、結果與性能分析圖3.7 MADIDS實驗(shyn)環境示意圖 共四十二頁七、實驗環境(hunjng