電子科技大學(xué)計算機入侵檢測技術(shù)3

1、計算機入侵檢測(jin c)技術(shù)基于移動(ydng)Agent的入侵檢測系統(tǒng)研究共四十二頁第三章 基于移動(ydng)Agent的入侵檢測系統(tǒng)一、引言最初的入侵檢測技術(shù)是基于主機和網(wǎng)絡(luò)兩種，即HIDS和NIDS，然而它們具有很大的局限性，例如在高速網(wǎng)絡(luò)和加密通道等網(wǎng)絡(luò)環(huán)境就會捉襟見肘。在此基礎(chǔ)上出現(xiàn)了分布式的IDS，將HIDS和NIDS技術(shù)集為一身，讓它們發(fā)揮各自的長處。但仍然存在一些不足：容易在單一節(jié)點上受到控制。例如當中央處理單元崩潰時，整個IDS都會癱瘓；由于中央處理單元的能力有限，當網(wǎng)絡(luò)規(guī)模增大而需要(xyo)擴展IDS的時候，系統(tǒng)不易擴展；此外，傳感器回送數(shù)據(jù)還會加重網(wǎng)絡(luò)的負荷。共四

2、十二頁第三章 基于(jy)移動Agent的入侵檢測系統(tǒng)一、引言此后又出現(xiàn)了分布式分級IDS，整個結(jié)構(gòu)為樹狀。這種等級式結(jié)構(gòu)提高了系統(tǒng)的擴展性，隨著層次的增多，每一層完成的功能相對減少，數(shù)據(jù)經(jīng)過不斷縮減，到了根結(jié)點的數(shù)據(jù)都已經(jīng)過了預(yù)處理，但這種結(jié)構(gòu)缺乏(quf)擴展性和靈活性。還有一種完全分布式的peer to peer的IDS，是由Agent和Security Officer（SO）組成，每臺被監(jiān)控的設(shè)備上都裝有Agent和SO，SO可以分析本機Agent上的數(shù)據(jù)，也可以和其它設(shè)備上的SO協(xié)商處理分布式攻擊，但這種系統(tǒng)過于分布，沒有一個最終仲裁部件進行決策，而且目前還沒有成熟的原型系統(tǒng)。 由于

3、各種體系結(jié)構(gòu)都存在這樣或那樣的不足，移動Agent的引入成為了一種必然趨勢。共四十二頁一、引言(ynyn)1、傳統(tǒng)IDS體系結(jié)構(gòu)的不足：(1) 、網(wǎng)絡(luò)負荷較重。由于葉節(jié)點的Agent僅具有數(shù)據(jù)采集功能，所以必須回傳大量的數(shù)據(jù)給匯聚節(jié)點，造成網(wǎng)絡(luò)負荷加重；(2) 、響應(yīng)延遲增加。由于采用了等級式的結(jié)構(gòu)，響應(yīng)命令(mng lng)必須經(jīng)過對原始信息層層分析和篩選之后才能發(fā)布。由于信息量較大，就增加了響應(yīng)的延遲時間，在這個時間內(nèi)入侵者可能已經(jīng)完成了一次完整的攻擊；(3) 、Agent的自我保護性。由于采用了靜態(tài)Agent技術(shù)，其自我保護能力較差，容易受到入侵者的攻擊，且受損后的恢復(fù)能力不夠理想，表現(xiàn)

4、為不夠及時、靈活；(4) 、無法在大范圍內(nèi)統(tǒng)一配置和維護。共四十二頁一、引言(ynyn)2、移動Agent技術(shù)可從以下幾個方面對傳統(tǒng)IDS進行完善：(1)、改善了容易受控于單個節(jié)點的缺陷。由于移動Agent的隨機遷移(qiny)和自動藏匿功能，使得攻擊者很難確定Agent的位置；(2) 、加快響應(yīng)速度。由于移動Agent的移動計算能力，大量的數(shù)據(jù)分析在葉節(jié)點就可以完成，無需回送給中央處理部件；(3) 、減少網(wǎng)絡(luò)負荷。移動Agent盡可能將計算移至數(shù)據(jù)所在地，而非將數(shù)據(jù)移至計算所在地，這樣就減少了網(wǎng)絡(luò)的負荷；共四十二頁一、引言(ynyn)(4) 、自治和異步執(zhí)行。移動Agent可以存在且獨立于創(chuàng)

5、建平臺，滿足了上述需要；(5) 、動態(tài)適應(yīng)。移動Agent系統(tǒng)具有對環(huán)境的感知能力并能及時響應(yīng)變化，這對于入侵檢測(jin c)非常重要；(6) 、使得系統(tǒng)更易擴展。無需在新近接入節(jié)點的設(shè)備上安裝信息匯聚模塊，只需由命令控制節(jié)點將移動Agent發(fā)送到被檢測設(shè)備上即可。共四十二頁二、移動Agent相關(guān)(xinggun)技術(shù)1、定義定義3.1 Agent是駐留于環(huán)境(hunjng)中的實體，它可以解釋從環(huán)境(hunjng)中獲得的、反映環(huán)境(hunjng)中所發(fā)生事件的數(shù)據(jù)，并執(zhí)行對環(huán)境(hunjng)產(chǎn)生影響的行為。 定義3.2 軟件Agent是能為用戶執(zhí)行特定的任務(wù)、具有一定程度的智能，允許自

6、主執(zhí)行部分任務(wù)，并以一種合適的方式與環(huán)境相互作用的軟件程序。共四十二頁二、移動(ydng)Agent相關(guān)技術(shù)2、基于移動Agent的分布計算模式 （1）從應(yīng)用的角度看，真正實現(xiàn)了“網(wǎng)絡(luò)就是計算機”的思想。不僅應(yīng)用所需的資源分布在網(wǎng)絡(luò)中，整個應(yīng)用邏輯都可以在網(wǎng)絡(luò)上實現(xiàn)；（2）從系統(tǒng)的角度看，分布式資源的更充分(chngfn)共享成為可能，但管理也更為復(fù)雜；（3）從服務(wù)的提供和使用角度看，服務(wù)是客戶可定制的，其使用不再限于既定方式；（4）從通信協(xié)作的角度看，通信的主體是自主的Agent，可以實現(xiàn)對等（peer to peer）的通信模式； 共四十二頁二、移動Agent相關(guān)(xinggun)技術(shù)3、

7、移動Agent的優(yōu)點 （1）減輕網(wǎng)絡(luò)負載：移動Agent技術(shù)能較大程度的減少網(wǎng)絡(luò)上的數(shù)據(jù)流量。 （2）克服網(wǎng)絡(luò)隱患：對那些重要的實時系統(tǒng)而言，需要對環(huán)境變化做出實時反應(yīng)，目前的網(wǎng)絡(luò)控制對那些要求較高的實時系統(tǒng)而言是無法接受的。 （3）封裝協(xié)議：移動Agent能夠直接移動到遠程主機，建立起一個基于私有標準的數(shù)據(jù)傳輸通道。（4）移動Agent異步自主運行：任務(wù)(rn wu)可以嵌入到移動Agent中，然后將它通過網(wǎng)絡(luò)派遣出去。 共四十二頁三、MADIDS的體系結(jié)構(gòu)1、整體(zhngt)結(jié)構(gòu) MADIDS使用分層體系結(jié)構(gòu)，將部署在整個WAN上的入侵檢測系統(tǒng)劃分為若干域。每個域由域服務(wù)器管理，所有域服

8、務(wù)器由主服務(wù)器管理。 MADIDS由一個主服務(wù)器MS（Main Server）和若干域（Domain）組成。其中，MS負責(zé)協(xié)調(diào)和管理整個MADIDS的運行；域內(nèi)通過高速LAN連接，域間是低速WAN連接；每個域由一臺域服務(wù)器DS（Domain Server）和若干主機（Host）組成。MADIDS中每臺服務(wù)器和主機都運行Agent支持環(huán)境，整個MADIDS構(gòu)成一個大的移動 Agent運行系統(tǒng)。共四十二頁三、MADIDS的體系結(jié)構(gòu)其體系結(jié)構(gòu)如圖3.1所示：圖3.1 MADIDS的體系結(jié)構(gòu) 共四十二頁三、MADIDS的體系結(jié)構(gòu)2、MADIDS中各入侵(rqn)檢測模塊的部署情況如下：(1)、基于主機

9、的事件產(chǎn)生器HEG（Host based Event generators）：事件產(chǎn)生器分為基于主機的事件產(chǎn)生器HEG和基于網(wǎng)絡(luò)的事件產(chǎn)生器NEG（Network based Event generators）兩種。(2) 、基于網(wǎng)絡(luò)的事件產(chǎn)生器NEG（Network based Event generators）：NEG并不需要在每臺主機部署，在一個域的所有主機中僅部署于兩臺上，可對域內(nèi)所有流經(jīng)網(wǎng)上的原始數(shù)據(jù)進行監(jiān)聽。共四十二頁三、MADIDS的體系結(jié)構(gòu)(3) 、擴展的事件分析器EEA（Extend Event analyzers）：EEA在每個域中，不配置于每臺主機（Host），而是存在于

10、域服務(wù)器（Domain Server）中，具有更復(fù)雜和完善的分析功能，例如可將專家系統(tǒng)、數(shù)據(jù)挖掘系統(tǒng)等集成于其中。(4) 、控制臺CS（Console）：控制臺CS通過接受事件分析器的分析結(jié)果，來判定是否(sh fu)存在入侵行為并做出相應(yīng)對策，每個域中僅部署一個控制臺，并存在于域服務(wù)器（Domain Server）上。(5) 、響應(yīng)單元RU（Response Units）：響應(yīng)單元RU，存在于系統(tǒng)內(nèi)各指定位置，并根據(jù)指令對入侵行為進行相應(yīng)的響應(yīng)和處理。共四十二頁三、MADIDS的體系結(jié)構(gòu)(6) 、事件數(shù)據(jù)庫ED（Event Databases）：事件數(shù)據(jù)庫分3個層次存在于主服務(wù)器、域服務(wù)器（

11、Domain Server）和所有主機上（Host），分別為存放于主服務(wù)器的EDMS（Event Databases saved in Main Server），存放于域服務(wù)器的EDDS（Event Databases saved in Domain server）和存放于主機的EDH（Event Databases saved in Host）。(7) 、系統(tǒng)管理平臺SGM（System General Manager）：SGM存在于主服務(wù)器（Main Server）上，負責(zé)MADIDS系統(tǒng)的整體管理、維護、升級等工作，它不直接參與入侵檢測的具體(jt)事務(wù)。共四十二頁三、MADIDS的體系

12、結(jié)構(gòu)其模塊(m kui)分布如圖3.2所示：圖3.2 MADIDS中各入侵檢測(jin c)模塊的部署情況 共四十二頁三、MADIDS的體系結(jié)構(gòu)3、MADIDS分層體系結(jié)構(gòu)的優(yōu)點 （1）HA負責(zé)各節(jié)點的工作，DA負責(zé)本域的管理工作，MA負責(zé)管理所有DA。這種體系結(jié)構(gòu)避免了將MADIDS中所有的管理工作集中在少數(shù)服務(wù)器上，而導(dǎo)致服務(wù)器成為系統(tǒng)工作和擴展的瓶頸；（2）該結(jié)構(gòu)保證了各層次計算和數(shù)據(jù)能低代價、高效率的更新，從而保證了整個系統(tǒng)具有較好的完整性和一致性；（3）在MADIDS中域內(nèi)通過(tnggu)LAN連接，通信性能較好，因此MADIDS在域內(nèi)的工作可以設(shè)計為針對LAN協(xié)議來獲得較高的性能

13、。在域間通信時，可以使用針對WAN環(huán)境設(shè)計的通信協(xié)議和安全協(xié)議，以獲得較好的性能和安全性；共四十二頁第三章 基于移動Agent的入侵(rqn)檢測系統(tǒng)四、MADIDS的維護更新機制 在MADIDS中，系統(tǒng)更新的主要內(nèi)容是含有檢測(jin c)規(guī)則的事件數(shù)據(jù)庫ED，又分為存放于主服務(wù)器的EDMS，存放于域服務(wù)器的EDDS和存放于主機的EDH。為此系統(tǒng)設(shè)計了兩個用于維護系統(tǒng)一致性的流程：系統(tǒng)整體規(guī)則生成流程和系統(tǒng)整體規(guī)則更新流程。共四十二頁四、MADIDS的維護(wih)更新機制1、整體規(guī)則生成流程存放于主服務(wù)器的頂層事件數(shù)據(jù)庫EDMS是系統(tǒng)更新的最終基礎(chǔ)，其余各域和各主機的事件數(shù)據(jù)庫都應(yīng)與其保持

14、一致。MADIDS中有一個唯一的MUS（Main Updating Server），每個域有一個DUS（Domain Updating Server），它們(t men)相互協(xié)作完成MADIDS全局的更新工作，進而由DUS對Host上的EDH進行更新。 共四十二頁1、整體(zhngt)規(guī)則生成流程布局(bj)如下圖3.3所示：圖3.3 MADIDS整體規(guī)則生成示意圖共四十二頁1、整體規(guī)則生成(shn chn)流程系統(tǒng)通過“分層核對”方式來完成規(guī)則的生成(shn chn)，其流程如圖3.4所示。圖3.4 MADIDS的分層核對機制 共四十二頁1、整體規(guī)則(guz)生成流程該機制具有如下優(yōu)點：(1

15、)、移動Agent具有異步自主運行能力，即使網(wǎng)絡(luò)出現(xiàn)延遲甚至故障，都能保證運行正常，特別適合于WAN環(huán)境；(2) 、減少了IDS管理新特征標記的工作量，并有效降低了復(fù)制特征標記所需的通信量，特別是WAN上的通信量；(3) 、Main Server不需對每個主機都維護新入侵特征標記，這樣就大大降低了系統(tǒng)的整體(zhngt)開銷。共四十二頁四、MADIDS的維護(wih)更新機制2、整體規(guī)則更新流程更新系統(tǒng)規(guī)則的基礎(chǔ)是EDMS，考慮到WAN具有帶寬(di kun)低、時延高的特點，在每次EDMS更新后，采取了MUS即時全網(wǎng)公告和各節(jié)點異步訪問相結(jié)合的機制，共有8個步驟，如圖3.5所示。圖3.5 M

16、ADIDS的分層更新機制共四十二頁2、整體規(guī)則更新(gngxn)流程該機制具有如下優(yōu)點：(1) 大幅度降低了系統(tǒng)更新(gngxn)的工作量。由于采用最新時間標記和增量傳輸相結(jié)合的機制，既保證了系統(tǒng)更新(gngxn)的整體性、一致性和及時性，又降低了系統(tǒng)更新(gngxn)的工作量；(2) 大幅度降低了WAN上的通信量。通過引入域來劃分層次，在系統(tǒng)整體更新時，一個域內(nèi)的多個Host不需多次從MUS上比較和讀取數(shù)據(jù)。由于LAN內(nèi)通信的高帶寬、低時延，一個域只需在WAN上進行一次通信，即可確保域內(nèi)所有主機都能及時、高效的得到更新；(3) 有效地解決了WAN上系統(tǒng)整體更新時存在的異步問題；(4) 有效地

17、解決了LAN內(nèi)系統(tǒng)整體更新時存在的異步問題，與以上分析類似。共四十二頁第三章 基于移動Agent的入侵檢測(jin c)系統(tǒng)五、MADIDS的自我修復(fù)和抗毀性網(wǎng)絡(luò)安全技術(shù)發(fā)展到今天，IDS在網(wǎng)絡(luò)環(huán)境中的使用越來越普遍，當hacker在攻擊一個裝有IDS的系統(tǒng)時，首先考慮到的是如何對付IDS，其修復(fù)能力和抗毀能力顯得非常重要。MADIDS基于移動Agent的體系結(jié)構(gòu)，保證了其具有良好的自我修復(fù)和抗毀能力。由于移動Agent的隨機游走和自動藏匿以及躲避(dub)功能，使得攻擊者很難確定Agent的位置，如果局部的節(jié)點受到攻擊而失效，移動Agent將能盡快將其恢復(fù)。 共四十二頁五、MADIDS的自我

18、(zw)修復(fù)和抗毀性1、系統(tǒng)的完整性和有效性：對MADIDS進行的攻擊，主要分為對各功能模塊（事件產(chǎn)生器、分析器、決策器、數(shù)據(jù)庫等）的攻擊和直接對Agent進行攻擊兩類，首先分析對各模塊的攻擊。(1)檢測(jin c)范圍 首先，該項功能涉及到各節(jié)點上的功能模塊和相關(guān)數(shù)據(jù)庫，在此基礎(chǔ)上進行修復(fù)和抗毀工作。 其次，檢測針對完整性和有效性兩個方面進行。完整性是指各功能模塊或數(shù)據(jù)庫的正確和完好，而有效性是指功能模塊在性能上的正確和有效。共四十二頁1、系統(tǒng)(xtng)的完整性和有效性：(2)完整性檢測 為進行完整性檢測，系統(tǒng)對各節(jié)點上的所有功能部件和數(shù)據(jù)庫，按統(tǒng)一規(guī)則進行了編碼，稱為完整性特征值IE（

19、Integrality Eigenvalue），共六個數(shù)據(jù)項： 系統(tǒng)將按一定規(guī)則，將Agent移動到對應(yīng)節(jié)點上。Agent會對相關(guān)部件或數(shù)據(jù)庫進行檢查，并通過對比(dub)IE的方式，來檢測各部件（或數(shù)據(jù)庫）的完整性。編號123456內(nèi)容域編號主機編號功能模塊（或數(shù)據(jù)庫）名稱域內(nèi)同類部件（或數(shù)據(jù)庫）編號部件（或數(shù)據(jù)庫）的大小值保留并用于系統(tǒng)擴展共四十二頁1、系統(tǒng)(xtng)的完整性和有效性：(3)有效性檢測 為驗證各功能模塊的有效性，可定義對應(yīng)于各模塊的標準測試過程，當移動Agent進行有效性測試時，只需調(diào)用該部件(bjin)所含的測試子模塊，并根據(jù)其運行結(jié)果來判定對應(yīng)功能模塊是否失效。共四十

20、二頁五、MADIDS的自我(zw)修復(fù)和抗毀性2、Host層次上的自我修復(fù)和抗毀(1)每個主機隨機生成HPA，隨機性可以防止入侵者發(fā)現(xiàn)各節(jié)點生成代理的規(guī)律，從而提高整體的安全性。(2)代理在生成后，首先判斷所在域內(nèi)其它Host的運行狀態(tài)，然后根據(jù)在線Host的數(shù)量進行自我復(fù)制； (3)復(fù)制后的HPA移動到域內(nèi)除本地(bnd)主機外的其它所有Host上，按照系統(tǒng)預(yù)設(shè)的規(guī)則進行檢測；(4)所要檢測的內(nèi)容，包括HEG、BEA、EDH和個別主機上的NEG，檢測針對完整性、有效性進行；共四十二頁2、Host層次上的自我(zw)修復(fù)和抗毀(5)如果HPA1所在的Host2一切正常，HPA1將返回Host1

21、和Domain Server，與HPA和DPA交換信息，并結(jié)束運行。在系統(tǒng)正常時，所有HPA均按以上方式運行； (6)如果HPA1所在的Host2上的某個部件出現(xiàn)問題，例如 HEG1失效，HPA1將記錄相關(guān)情況，并移動到Domain Server上與DPA1交換信息，待確認信息交換成功后，HPA1將返回Host1和Domain Server，并結(jié)束執(zhí)行； (7) DPA1收到相應(yīng)信息后，將移動到Host2上，并負責(zé)(fz)完成從Domain Server上向Host2重裝HEG1的任務(wù)，在確認重裝成功后，DPA1將返回Domain Server，并結(jié)束執(zhí)行。 共四十二頁2、Host層次(cng

22、c)上的自我修復(fù)和抗毀其工作(gngzu)流程圖3.6如下：圖3.6 Host層次上的自我修復(fù)共四十二頁2、Host層次(cngc)上的自我修復(fù)和抗毀由以可見，系統(tǒng)在Host層次上的安全性、完整性、有效性，主要依靠存在著的Host自身生成HPA來維持。若干HPA隨機生成，并在域內(nèi)復(fù)制、移動(ydng)，檢測、通信、判斷和執(zhí)行系統(tǒng)修復(fù)工作。這一機制具有以下優(yōu)點：(1)通信量??；(2)完整性較好； (3)檢測和處理的及時性較好。共四十二頁五、MADIDS的自我(zw)修復(fù)和抗毀性3、Domain Server層次上的自我修復(fù)和抗毀由于不同域之間以及一個域與主服務(wù)器MS之間通常為WAN，理想情況下，

23、最好是設(shè)計(shj)成檢測與修復(fù)都在域內(nèi)進行，而不像在Host層次上那樣設(shè)計成各域之間互相檢測，并利用MS來修復(fù)。共四十二頁3、Domain Server層次上的自我(zw)修復(fù)和抗毀可行性分析：(1)分析域內(nèi)修復(fù)機制的可能性，對DS層次(cngc)進行自我修復(fù)的移動Agent，不能從DS自身生成，也就是說移動Agent必須由域內(nèi)的其它Host產(chǎn)生。(2)從系統(tǒng)的整體狀況來看，依靠Host來持續(xù)生成檢測DS狀態(tài)的移動Agent，并完成重裝和修復(fù)任務(wù)也不太可行。共四十二頁3、Domain Server層次上的自我(zw)修復(fù)和抗毀綜上所述，在MADIDS系統(tǒng)的體系結(jié)構(gòu)下，對Domain Serv

24、er層次的檢測和修復(fù)工作不能在域內(nèi)完成，而只能在域間進行。其原理與工作機制的框架，基本類似于前面所分析(fnx)的Host層次上的自我修復(fù)和抗毀。共四十二頁五、MADIDS的自我(zw)修復(fù)和抗毀性4、Main Server層次上的自我修復(fù)和抗毀。(1)最小服務(wù)法則（The least is The Best）；(2)雙機備份等方式來配置同樣(tngyng)兩臺Main Server，并利用熱備份的有關(guān)技術(shù)保持同步。共四十二頁第三章 基于移動Agent的入侵(rqn)檢測系統(tǒng)六、MADIDS的安全性 系統(tǒng)安全性主要(zhyo)體現(xiàn)在以下三個方面：（1）移動Agent之間的通信安全。（2）保護執(zhí)

25、行環(huán)境免受潛在的惡意Agent損害，以保護 主機。a、沙箱（sandbox）；b、認證、授權(quán)；c、檢驗傳輸代碼（Proof-carrying code）。（3）保護移動Agent不受潛在的惡意服務(wù)器和運行環(huán)境的攻擊。a 、基于檢測的安全性；b 、主動的保護策略。共四十二頁第三章 基于移動Agent的入侵(rqn)檢測系統(tǒng)七、實驗環(huán)境、結(jié)果與性能分析1、實驗準備 實驗環(huán)境為電子科技大學(xué)校園網(wǎng)內(nèi)選取的三處位置。其中(qzhng)，主服務(wù)器MS放置于子網(wǎng)202.115.14.1/24內(nèi)；第一個域的各個節(jié)點包括DS1、Host1、Host 2、Host 3放置于子網(wǎng)202.112.10.1/24內(nèi)；第二個域的各個節(jié)點包括DS2、Host4、Host 5、Host 6放置于子網(wǎng)202.115.1.1/24內(nèi)。如下圖3.7所示。 共四十二頁七、實驗(shyn)環(huán)境、結(jié)果與性能分析圖3.7 MADIDS實驗(shyn)環(huán)境示意圖 共四十二頁七、實驗環(huán)境(hunjng