《一种基于对等模型的网络入侵检测系统模型.pdf》由会员分享,可在线阅读,更多相关《一种基于对等模型的网络入侵检测系统模型.pdf(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第 1 8卷第 3圳 2 0 0 8年 3月 计 算 机 技 术 与 发 展(、()1 P【,F ER TF l I N()I(Xj Y AND DEV_F:I,()PMENT V 1 8 NO 3 M r l r 2 0 0 8 一种基于对等模型的网络入侵检测 系统模型 李 兵(中铁建电气化局集团第四工程有限公 司,湖南 长沙 4 1 0 0 0 1)摘要:基于对等模型(P e e r t o P e e r)的应用,提出一种分布式网络入侵检测系统:P e e r l D S。该 系统在设计上注重可靠 性,且没有诸如单点失效一类的问题。入侵检测工作在由多台运行 P eer l D S系统的连
2、 网计算机构成的对等 网中随具体环 境而 自动进行迁移,以实现公平高效的分布式处理。同时,应用对等模型带来的可扩展性,使得该系统的性能可以通过简 单地在网络中增加运行 P e e r l D S的计算机数 目来不断提高,很好地适应了1 3 益严峻的网络安全状况。在完成初始设置后,P e e r l D S系统的运行几乎不需要任何使用者的干预,体现了很好的自治性。关键词:对等模型;网络入侵检测;分布式 中图分类号:T P 3 9 3 0 8 文献标识码:A 文章编号:1 6 7 3 6 2 9 X(2 0 0 8)0 3 0 1 7 3 0 4 A Di s t r i b u t e d I
3、nt r u s i o n De t e c t i o n S y s t e m Ba s e d o n Pe e r t o Pe e r M o d e l LI Bi n g (Th e 4 t h E n g i n e e r i n g C o ,L t d o f C h i n a R a i l w a y Co n s t r u c t i o n E l e c t r i f i c a t io n B u r e a u G r o u p Cor p o r a t i o n,C h a n g s h a 4 1 0 0 0 1,C h i n a)
4、Ab s t r a c t:B y e mp lo y i n g t h e p e e r t o p e e r(P 2 P)m o d e l,wh i c h i s c o nsid e r e d a p r o mi s i n g a p p r o a c h t o s o l v e ma n y p r o b l e ms in a d i s t r i b u t e d e n v i r o n me n t p r e s e n t e d a dis t r i b u t ed n e t wo r k i n t r u s io n d e t
5、 e c t io n s y s t e m n a me d P e e r I Ds:an I DS s 0 1 u t io n v alu es t he p r o per t i e s o f f e a s i b i l i t y d u r a b il i t y an d s c a l a b il it y m。s t Vi e wi n g t h e p r o b l e m f r o m a d i f f e r e n t p e m p e c t iv e a s a g a ins t i t s c o u nt e r p a r t s
6、,Pe e r I S wi l l p r o vid e t h e n e t wo r k ed comp u t a t io n e n v ir o n me n t wi t h r o b nst an d s c a l a b l e p r o t e c t io n whil e s t il l s t a y s e f f i c i e nt wi t h t h e b u mt in g o f b o t h t y p o s and t r a f f i c o f ma l i c io u s a t t a c k s t h r o u
7、g h a u t o ma t i c a l l y an d e v e n l y d i s t r ib u t e t h e in t r u s ion d e t ect io n wo r k l o a d an a o n g a l l t h e c c o per a t i ug P eer I DS i n s t a n c e s C o mp a r ed wi t h many o t h e r dis t rib u t ed i n t rus i o n d e t ect i o n a p p r o a c h e s n o s in
8、 g l e p o i n t o f f a i l u r e C an b e f o un d i n a f 0 ml o f s y n e r g iz e d Pe e r I Ds in s t anc e s Mo r e o v e r P e e r I DS e nt a il s a l mo s t n o a d d i t io n a l a d mi n i s t r a t i o n wo r k a f t e r t h e i n s t a l la t io n an d f i r s t t i me s e t u p Ke y w
9、o r d s:p e e r t o p e e r;n e t i n t r u s i o n d e t ec t i o n s y s t e m;d i s t r i b u t ed s y s t am O 引 言 由于在保护网络信息系统安全方面所起到的越来 越重要的作用,入侵 检测 系统(I D S)近 年来 一 直是 一 个研究热点。随着计算机 网络 的 日益发 展和网络规模 的不断扩大,入侵方式亦 日趋复杂,尤其是出现了一些 相互 协作的入侵行 为,采用传 统 的集 中式 数据 采集 的 传统入侵检测系统已经不能满足现实需要n】。于是,分布式入侵检测系统相应而生。但
10、在传统 的 C S网 络体 系结构下,如何有效 地实现 分 布式入 侵检测 系统 的数据分享,特别是分布式组件间的负载平衡和通信 收稿 日期:2 0 0 70 63 0 基金项 目:国家 自然科 学基金 资助(6 0 6 7 3 1 6 5);湖南 省 自然科学 基 金资助(0 5 J J 3 0 1 1 9);湖南省科技计划项目(2 0 0 6 J T 1 0 4 0)作者简 介:李兵(1 9 7 3 一),男,湖南 长沙人,工程 师,研 究方 向为计 算机通 信安全。问题,依然是未来亟需解决的问题 2。对等网(P e e r t o P e e r,P 2 P)是一种新兴的网络通信模型,在
11、对等计算、协同工作方面具有强大优势 J,其应用正方兴未艾。P e e r l D S系统 是 一 种分 布 式 网络 入侵 检 测 系统,它试图把对等模型引入入侵检测领域。在由多台运行 P e e r I D S系统的连网计算机构成的对等网中,入侵检 测工作随具体环境而 自动进行迁移,以实现公平高效 的分布式处理。同时对等模型的应用所带来的可扩展 性使得该系统的性能可以通过简单地在网络中增加运 行 P e e r l D S的计 算机 数 目来不 断提高,很 好地适 应 了 日益严峻 的网络 安全状 况。l P e e r I DS系统简 介 一个 P e e r l D S实例由三个主要构件
12、组成:入侵检 测引擎(I D S E n g i n e)、状态检测模块(S t a t e C h e c k e r)、数 据 收 发 模 块(R e c e i v e r Z I r a n s m i t t e r,R T)。其 中 I D S 维普资讯 http:/ 汁算机技术 与发展 第 1 8卷 E n g i n e 负责执行 具体 的入 侵检测 功能。S t a t e C h e c k e r 将持续地监视其负荷状态并据之来决定入侵检测工作 子集的装 卸,再 交 由 R e c e i v e r T r a n s mi t t e r 模 块 具体来 执行与其他同
13、伴间的入侵检测工作子集的收发以实现 整个对等入侵检测网络的负载平衡。与传统 的入侵检测系统相 比,P e e r I D S的入侵检 测引擎因为通过分配至本地的入侵检测 Wo r k l o a d(互 相正交的入侵检测工作的子集)来执行具体的入侵检 测操作从而工作在一个更高的抽象级别上。不同于一 些误用入侵检测方案中的规则集,P e e r l D S中的 Wo r k l o a d 抽象既包含入侵检测工作运行的工作数据集,如 几条待执行的入侵检测规则或一组指定的待过滤的源 I P地址掩码,也包含了在这 些数据 集上所需 执行 的操 作,因而十分类似于面向对象方法学中对象(类实例)的概念。
14、作为一种基于网络的入侵检测系统,P e e r l D S 中所有被抽象为 Wo r k l o a d的入侵检测工作子集均遵 守一个以单个网络数据包为传人参数的共 同接 口。P e e r l D S系统可以通过其入侵检测引擎来集成检测不 同类别攻击的 Wo r k l o a d以实现一个功能完备的入侵 检测系统。这些 w_o 删o a d的全体组成了整个入侵检 测的 问题 空 问。它 们 中 的任 何一 员 都 可 以通 过 P e e r l D S同伴间的互相协作而运行在由多个 P e e r l D S 实例构成的入侵检测对等网中的任何一个结点上。状态检测模块是一个后台进程。它持续
15、地监测入 侵检测引擎的实时负荷状态并依据该状态执行相应的 操作以实现所属 P e e r l D S实例的本地负载控制。如果 入侵检测引擎占用的执行资源超出了某设定值,状态 检测模块将把一条正存执行中的 Wo r k l o a d 暂停并挂 入暂停工作集列表中,并将重复执行该操作直至入侵 检测引擎的负荷恢复正常。类似地,当入侵检测引擎 负荷低于某设定值时,为防止资源的浪费状态检测模 块将逐条重启,直至入侵检测引擎具有正常负荷。参与入侵检测对等网的各 P e e r l D S实例中的状态 检测模块可以通过各 自的数据收发模块进行一种间接 的合作,从而实现了整个入侵检测对等网中工作量的 负载平
16、衡。数据收发模块在其所属 P e e r I D S 实例的整 个生命周期保持运行。当数据收发模块接收(定时阻 塞以保持响应)到一条来 自同伴的消息时,它首先判断 该消息的发送者是否已存在于同伴列表中,如否,则在 该列表中增加一条代表该消息发送者的条目。这样做 也对 P e e r l I)S系统被动的同伴发现机制作了很好的补 充。随后,依据所收到消息的类型,数据收发模块将执 行相应的数据收发及其所需的同步操作。在 一轮循环 执行完成之前数据收发模 块将 检查工 作集列 表,若其 非 空则 将其 中首条 Wo r k l o a d 发 送给 同伴列表 中当前 指针所指 向的 P e e r
17、l D S实例。从整 体上 来 说,在 一 r 个 由多 台运行 P e e r l D S的连 网计算机(P e e r I D S 实例)组成 的对等网络 内,正交的入 侵检测工作子集(Wo r k l o a d)被 自动分配到有足够执行 能力 的 P e e r l D S实例上 执行。对 等网 中各 P e e r l D S实 例上可用于执行入侵检测功能的资源(如 C P U占用百 分比)由用户指定或由各系统根据运行情况 自行设定。有富余执行资源的 P e e r l D S实例可向其同伴请求更多 的入侵检测工作。同样地,如果一个 P e e r l D S实例消 耗完 了指定 的
18、资源,它可 以暂停其 上运 行 的部分 入侵 检测功能,并尝试将其发送给对等网中的其他同伴以 实现整个 P e e r l D S系统资源利用的最大化。当新的基 于 网络 的入侵类型 出现时,只需 在对 等网 中运行着 的 任何 P e e r l D S实例上增加相应 的入侵检 测工作子 集即 可实现对该种入侵的检测,充分体现了整个系统的可 扩展性。若网络流量及待检入侵种类的迅速增加而使 得系统不堪重负的情况可以通过简单地向对等网中增 加 P e e r l D S实例从 而提高 系统 的容 量来 解决,提高 了 系统的可伸缩性。P e e r l D S系统 没有 一个 中央协 调控 制
19、系统,成功 地避免了单点失效问题,提高了系统的安全性。但是,网络攻击日益泛滥,尤其是出现一些互相协作的入侵 行为,P e e r l D S系统必须运行在对等模式下,这样,才 能充分发挥 由对等模型带来的可靠性、可扩展性及对 等分布式系统在整体性能上(C a p a c i t y)的优势,成员发 现和相互 协作亦 变得尤为重要。2 成员发现及管理 为实现更好 的自治性,P e e r l D S系统提供了同伴 发现机制。为 了建立 一份 处 于活跃 状 态 的 同伴 的列 表,各 P e e r l D S实例在启动之初都会向局域中网络广 播一条邀请消息,收到由其它同伴发出的回复消息后,彼此
20、交换成员共享密钥 。局域网中的 P e e r l D S实例 依据各 自收到的回答消息中的发送者信息建立起 自己 的同伴列表,从而在逻辑上构成了局域网的一个对等 子 网。在系统 的正 常运行 中,如果 一个 P e e r l D S实例 发起通讯而某个同伴没有响应(或其在交互过程 中由 于某种原因失去响应),则它只需简单地把这个同伴标 记为失活并试着与其他同伴完成相同的协作,而不必 保持所有同伴的实时状态。这样做既简化了系统的设 计也有效地 减少 了对网络带宽不 必要 的 占用。各 P e e r l D S 实例仅在启动时执行一次同伴发现操作。唯 一的特例是当其 需要一-q其他 同伴通讯
21、 而同伴列表 中的 P e e r l D S实例均 被标记 为失 活,此 时该 P e e r l D S 实 例将 会 再次执行同伴发现操 作。维普资讯 http:/ 第 3期 李 兵:一 诤p 基于对等模 型的网络入侵检测系统摸删-l 7 5 建立 同 伴 列 表 后,如 果 没 有 负载 平 衡 要 求,各 P e e r I I K S 实例除了应答新加入实例的清求外,相互间 不再通信。当整个人侵检测对等网中工 作量进 行负载 平衡时,参与 P e e r I I)S通过 数据 收发模块 向同伴列 表 中的成员发送请 求信息。接受者首先通 过密钥 对发送 者是否已存 在于同伴列表中进
22、行 判断,如 否,则 重新交 换密钥,将 其 加进 自己 的 同伴列 表,这 样 做 也 对 P e e r I D S系统被 动 的 同伴发 现机 制作 了很好 的补 充。随后,将根据预设 的协作机制,进 行负载平衡的工作。3 P u l l 协 作 当把全部 本地 入 侵检测 Wo r k l o a d投入 执行 而仍 未充分利 用给定 的资源定 量时,如 图 1 所 示,P e e r l D S 实例(假设是 A)将向其 P e e r L i s t 中的某个 同伴(假设 是 B)发送一条 P U L L消息以请求承担更多的入侵检 测工作量。收到请求后,B将检查其处是否有挂起的 W
23、o r k l o a d,如 没有 则 简 单 地返 回一 条 P UL L R E J E C T 消息给 A。收到 B的拒绝后,A将 向 P e e r L i s t 中的下 一个同伴发送同样的请求消息,并将继续这一过程(以 一定时间间隔 以防 阻塞)直 至本 地入 侵检测 引擎 不再 处于 HI G RY状态。图 1 两个 P e e r l D S实例 间的 P UL L协作(目标拒 绝)如果 B中确有 挂起 的 Wo r kl o a d,则其 将 取 出工 作 列表集 中 当前 指针 所指 的 Wo r k l oad 并 将其装 载人 一 条 Wo r k l oad 消息
24、发送 至 A,如图 2所示。在 收 到 B发 来 的 Wo r k l o a d消息后,A将通过 向 B发送一 条确认 消 息 D A T A A C K来终止这 次 P UL L协作。B则在 收到 图 2 两个 P e e r l l 实例 间的 P UL l 协作(目标接受)该确认后清除 t c r r a b 中与本次 交互 卡 l j 关的 信息 并 从工作列表集中删去已发送的 Wo r l d o a t 。此时部分 入侵检测工作量就成功地从 全负荷运行 的 P e e r l 1)s实 例 B转移到相 对空 闲的 P e r l l 实例 A 4 P u s h协 作 当P ee
25、r l I)S实例运行时所消耗的资源超过给定的 范围时,状态检测模块将 自动把一些入侵检测 Wo r k 1 o a d 从活动工作集列表移至等候工作列表集从而实现 本地的负载控制。为了充分利 用整个 入侵检测对等 网 络的能力,具有挂起 Wo r k l o a d的 P e e r l D S实例(假设 为 A)将通过执行 P U S H操 作把这 些 Wo r k l o a d 转 发给其 同伴(假设为 B)。收到 A发来的 P uS H消息后,B首 先检测本地入侵检测引擎的状态,若本地入侵检测引 擎忙,则仅返 回一条 P U S H RE J E CT 消息 给 A。收 到 拒绝消息
26、后,A将 试着与 P e e r L i s t 中的下一个 同伴建 立 P US H协作。若本地入侵检测引擎还有多余 的执行能力,则 B 给 A发送一条 P US H A C C E P T消息以表示愿意接收 更多的 Wo r kload。A将在收到该确认 信息后把一条 Wo r kload 发送给 B o在进行 P US H协作的过程中,信 息 的 发 送 方 A 与 接 收 方 B 分 别 通 过 在 各 自 的 S e n d T a b l e 和 R e c v 1、a b 1 e 中记录相应条 目来跟踪此次交 互。随着 B返 回一条 D A T A A C K消息作为这次 协作
27、的结束,合作的双方各 自删除与该次交互相关的跟踪 信息,A还要将已送出的 Wo r k l o a d从工作集 Ws 中删 去并重复该过程直 至其 Ws 中的 Wo r k l oad 全 部发送 出 去或被状态检测模块恢复执行。5 模型 的实现 实现 P e e r l D S系统的最简单 的方法是仅把 它作为 一种已有入 侵检 测系统 的 包装器(Wr a p p e r)。在这 种 情况下,为了实 现 P e e r l D S系统 的本地 负载平 衡及在 整个对等网中分布入侵检测的工作量,被包装的入侵 检测系统必须具有可分的工作集。一种常见的可分入 侵检测工作集即 S n o r t
28、系统的规则库。使各包过滤进 程仅采样预先设定的特定类 型的或处 于特定 范围内的 数据包也可很好地做到对网络入侵检测工作的划分。在实现为包装器的 P e e r l D S系统中,Wo r k l oad将仅包 含可分入侵检测工作集的一个子集而并不包含在这个 子集上进行的操作。具体的入侵检测工作仍由被包装 的入侵检测系统来完成。此时 P e e r l D S系统仅 负责 对 等网络 的构建及实现整个 网络及其 中各 P e e r l 1)S实 例 的负载 平衡。以实现 S n o r t 的包装器 为例,图 3 给 出 种 可能的 W,)r kl oad消 息数 据包。当收 到这样 一 个
29、消 维普资讯 http:/ l 7 6 计算机技 术 与发展 第 l 8 卷 息数 据 包 后,P e e r l D S包 装 器 实 例 将 把 附 于 其 中 的 S n o r t 规则 添加 到本地 S n o r t 系统 的配置文件 中(通 常 是 s n o r t c o n f,在这里起到的是活动工作集列表 Wa的 作用)并回应发送者一条确认信息。随后再通过执行 命令 s n o r td c s n o r t c o n f 重新 启 动本 地 S n o r t 系 统。若因为某种原因运行中的 S n o r t 进程占用 了超出 配额的资源,则 P e e r l
30、D S包装器将根据其超出的比例 把 s n o r t c o n f 中的部分规则移至一个起到 Ws 的作用 的本地文件如 s u s p e n d e d c o n 中并重启 S n o r t 系统以 降低其负载。随后在执行 P U S H操作 时,P e e r l D S包 装器实例把 s u s pen d ed c o n f 中的一条已挂起 的 S n o r t 规则装载人一个 Wo r k l o a d数据包发送至一个 同伴并 在收到该同伴的确认信息后删除该规则的本地拷贝。值得注意的是在人侵检测对等网中,各 P e e r l D S实例 所包装的 S n o r t
31、 系统所执行的规则应相互正交而没有 重叠。为做到这一点可以先清空各 S n o r t 安装的规则 集,当 P e e r l D S对等网建立起来后,全部的人侵检测规 则可以通过任一 P e e r l D S实例注人对等网中并在其中 自动分布。同样地,为检测新种类的网络人侵也只需 把相应 的 S n o rt规则 添加 至 网络 中任何 一个 S n o r t 进 程的配置文件 s n o rt c o n f 中,系统的自动负载平衡功 能将会把该规则移动到合适 的P e e r l D S实例上执行。P e e r l D S 系统运行所需的参数 如:状态检测模块 两次操作间的时间间隔
32、、收到拒绝消息直到再次发起 同一操作的时间间隔、同伴间通信的超时设置等均和 系统运行的网络及软硬件环境相关,在 P e e r l D S的实 现中这 些 值 将 是 可 配 置 的。对 于 文 中 多次 提 及 的 P e e r I D S 实例上的执行资源进行定量的一种很自然的 方法是为其人侵检测引擎的 C P U占用率设置上限(超 过即F E D U P)和下限(不足即 H UN G R Y)以表 明其运(上接第 1 7 2页)文献 7 算法比较,鲁棒性有了明显的提高。文中提出的信息隐藏算法不能抵抗同步攻击和 D A,A I)转换操作,这是下一步算法研究 改进 的重 点。参考文献:1
33、C o o p e r m a n M,M k 0 f z S S t e g a n o g r a p h i c Me t h o d a n d D e v l c e P U S A s n ,1 9 9 7 2 K i m H J,C hoi Y H A n o v e l e c h o h i d i n g s c h e m e w i t h b a c k w a r d and f o r w a r l k e r n e l a J I E E E T r (j c u l t s S y s,Vi d e o Te e ho o 1,2 0 0 3,1 3:8
34、8 58 8 9 3 Ue we n N t m g,C h a n g L i C h u n R o b u s t a n d h ig h q u a l i t y t i med o ma i n a u d i o wa t e v ma r k i r i g K s e d o n low f r e x t u e n c y 行 时 的 负 载。这 两 个 参 数 值 的 设 置 取 决 于 运 行 P e e r l D S实例 的计 算 机 的性 能,可 以通过 在 启 动 时运 行一 段特定的性能测试程序并根据其运行 结果 由 P e e r l D S系统 自动设
35、置。t PH e a d f U D PH e a d f S o u r c e p id A p ie c e o f S n o r t r u le 图 3 一种 用于 S n o r t 包装 器的 Wo r k l o a d消息 6 结论 通过把网络人侵检测工作的各正交子集分布到点 对点对等 网络 中,P e e r l D S系统具有较高的可靠 性。同 时由于整合了众多的 P e e r l D S实例,系统提供了强大 的人侵检测性能。P e e r l D S系统的可扩展性主要表现 在:只要遵守与系统中运 行的人侵检测 Wo r k l oad相一 致的接口,对新种类网络攻击
36、进行检测的工作将很容 易加 人到系统中来。为提高 系统 的通讯效 率,未来拟 在 P e e r l D S的通 讯中采用认证机制来强化其安全性并将通过实现名声(R e p u t a t i o n)机制和在 P e e r L i s t 中根据 各 P e e r 的 R e p u t a t i o n和 A c t i v e n e s s 应用优先级列表,具体仍待后续 研究。参考文献:1 董晓梅,王丽娜,于戈分布式入侵 检测 系统综述 J 计算机科学,2 0 0 2,2 9(3):1 6 1 9 2 彭志豪,李冠羽 分布式入侵检测系统研究综述 J 微电 子学与计算机,2 0 0
37、 6,2 3(9):1 9 1 1 9 6 3 蔡晟,王泽兵,冯雁,等 基于 S u p e r P e e r 的对等网络 研究 J 计算机应用研究,2 0 0 4,2 1(6):2 5 8 2 6 0 4 王伟平,罗熹,王建新 S A C S:一种可扩展的匿名通信系 统 J 小型微型计算机系统,2 0 0 7,2 8(2):2 3 7 2 4 2 a mp l i t u d e m o d i fi c a t io n J I E E E T r a n s a c t i o n s o n Mu l t i m e d i a,2 0 0 6,8(1):4 65 9 4 S e o
38、 k J o n g w o n,H o n g J i n W O O,K i m J i n w OOn g A n o v e l a u di o wa t e r ma r k i n g a l g o r i t h m f o r c op yr i gh t p r o t e c t i o n o f d igi t a l a U di o J E T R 1 J o u r n a l,2 0 0 2,2 4(3):1 8 1 1 8 9 5 马翼平,韩纪庆 I X;T域音频水印:嵌入对策和算法 J 电子学报,2 0 0 6,3 4(7):1 2 6 0 1 2 6 4 【6 何琴,邹华兴,白 剑 基于小波变换的语音信息 隐藏 算法 J 计算机应用研究 2 0 0 5(1 2):1 1 8 1 1 9 7 J 王向红,赵红,崔永瑞 一种新 的混合域 自适应数字音频 水印算法 J j 小型微型计算机 系统,2 0 0 6,2 7(2):3 1 6 31 9 8 韩纪庆,张磊,郑铁然语音信 号处理 M 北京:清华 大学 出版社 2 0 0 4:2 7 3 0 维普资讯 http:/