栗勇兵 陶青
【摘 要】采用移动代理实现网络入侵预警框架,通过基本入侵检测模块获得可疑安全事件,动态分派相关移动代理收集进一步的入侵事件,构造基于入侵事件的有限自动机预警模型,预测下一步的入侵事件和可能入侵攻击,降低误报率。同时,通过移动代理降低了网络通信量和系统负载。
【关键词】网络预警;入侵检测;移动代理
【中图分类号】 G250.72【文献标识码】 A【文章编号】1672-5158(2013)07-0012-02
随着因特网技术的快速发展,面向因特网应用逐步普及,如何保障网络的安全成为一个至关重要的问题。入侵检测技术作为一种保证网络安全的防御手段,是当今网络安全保障体系中一个不可缺少的组成部分。入侵检测按照分析方法不同,主要分为异常检测和误用检测。异常检测通过构造正常行为模型作为判断入侵的依据,可以检测新的入侵,但误报率高;误用检测根据已知入侵攻击判断入侵行为,不能发现新的入侵攻击,漏报率高。入侵检测系统,根据检测对象不同可分为基于主机的入侵检测系统、基于网络的入侵检测系统以及混合型入侵检测系统。
一、当前的入侵检测系统主要存在以下的缺点
1)缺乏有效性。入侵检测系统需要实时地评价安全事件。在网络中,面对大量安全事件时,这种实时性很难得到满足。
2)高误报率。误报率高是当前入侵检测系统的一个主要缺点。系统管理员不能从大量的误报事件中判断出真正的入侵事件。
3)有限响应能力。入侵检测系统传统上集中在检测攻击。系统管理员不能立即从入侵检测系统中分析报告,并采取相应的措施。在管理员采取行动之前,给攻击者留下了一个随意操作的时间间隔。针对上述入侵检测系统的缺陷,本文使用移动代理技术,实现一个网络入侵预警框架。主要优点在于:通过移动代理技术降低了用于入侵检测的网络通信量和系统负载,可以降低入侵检测的误报率,具有快速实时响应能力,另外,系统具有较好的灵活性。
二、移动代理技术
一个软件代理被定义为具有一定功能的程序,包括代码和状态信息,具有自治性,在其环境中可以和其他代理进行交互。移动代理在代理平台上,可以实现代码的移动。把移动代理技术应用到网络入侵预警中,具有如下的优点:
1)通过在网络上移动代码代替了大量处理数据的移动,克服了网络数据传输延时,减少了网络负载。
2)具有对环境的动态适应性。
3)具有对入侵的动态跟踪及响应的能力。
三、体系结构
图l 给出了使用移动代理技术的网络入侵预警框架。在本框架中,主要有两种类型的节点,矩形节点实现入侵预警的分析处理,椭圆型节点实现基本入侵事件的采集。移动代理可以在不同节点间根据需要进行移动。
在本框架的实现中,采用IBM公司的aglets作为移动代理的实现平台,安装在相关的主机或网段节点上。入侵检测系统的实现平台为Linux平台。
1、各模块功能
图形用户界面模块:网络入侵预警框架的用户界面,管理员用来完成各种管理功能,包括查看警报、系统初始化配置等。
规则库:入侵预警框架中预测入侵的核心,是判断各种入侵的规则库,规则库可以动态进行维护。
预警分析模块:根据规则库,从已知的安全事件中推断一个入侵,另外,预测可能的入侵意图。
入侵事件收集模块:从位于不同检测节点的基本入侵检测模块中收集可疑安全事件。
移动代理分发模块:激发不同的移动代理,根据需要分派到相应的目的地。
全局共享数据模块:在整个系统中的全局共享数据区。
局部共享数据模块:在特定节点上的局部共享数据区。
基本入侵检测模块:在特定节点上检测可疑安全事件,并把结果传输到入侵事件收集模块。检测可疑安全事件的方法包括查看操作系统安全日志、应用系统安全日志、网络通信量及入侵检测部件检测到的安全事件等。
移动代理:具有不同功能特点的移动代理。
2、工作流程
针对图1中的预警框架,主要的工作流程如下:
1)在每个检测节点。基本入侵检测模块通过观察系统日志或应用日志检测出可疑安全事件。2)基本入侵检测模块区别不同类型的可疑安全事件,并把事件报告给入侵事件收集模块。
3)入侵事件收集模块把得到的各种安全事件传递给预警分析模块。
4)预警分析模块根据入侵规则库推断入侵攻击及可能的入侵意图。
5)移动代理分发模块分派适当的移动代理到特定的节点收集入侵信息。
6)移动代理从局部共享数据模块得到局部信息,检测特定的数据,移动代理检测的结果直接传输给入侵事件收集模块。
7)返回到第3)步,继续这个过程。
四、预警模型
目前的入侵检测系统得到的警报信息是在实际的入侵攻击发生之后,只能进行事后分析及安全策略的改进等,另外管理员很难从大量的入侵警报信息中发现出真正的入侵攻击行为。网络入侵预警的目的就是要解决在实际入侵行为发生之前进行预报,采取相应的防范措施,实现实时响应和降低误报率。
一个复杂的入侵攻击行为往往是由多个步骤协同完成的,每一个步骤对应一个安全事件,假定一个实际的入侵攻击行为由一个安全事件的有序序列来构成,Ii=
在图2的模型中,圆圈表示状态,箭头表示安全事件。0状态为起始状态,带阴影的状态5、9、12表示一个入侵攻击过程的结束。当有安全事件Il到达时,进入l状态,当有安全事件I2到达时,进入2状态,依此类推,直到安全事件I5到达时,进入5状态(结束状态),表明完成了一个完整的入侵攻击过程。同样,安全事件序列I6、I7、I8、I9,是第2个入侵攻击过程,I6、I7、I10、I1l、I12是第3个入侵攻击过程。
通过已有的入侵攻击行为,分析入侵事件序列,构造有限自动机模型,一方面可以检测出入侵攻击行为,另一方面可以预测出可能的入侵攻击行为。当到达某一个状态之后,就要检测其相应的所有输出状态,便于进行入侵的跟踪。如到达状态7之后,可能会到达状态8或10,进一步到达入侵过程的结束状态9或12。所以当到达状态7后,为了进行预测,需要采集安全事件I8和I10。安全事件的采集通过移动代理技术来实现。这样,一方面可以进行入侵过程的跟踪,另一方面,可及时采取响应措施,保证具有实时的响应能力。
五、结论
目前的入侵检测系统只能在入侵发生后对入侵行为进行报告,而且存在大量的误报和漏报,管理员很难从中快速找出真正的入侵攻击行为,并及时采取措施。本文提出的基于移动代理的网络入侵预警框架,依据入侵事件构造的有限自动机模型,判断入侵攻击行为,预测可能发生的安全事件,采用动态分发相关移动代理来收集安全事件。一方面能够降低由于检测攻击而带来的网络和主机的额外负载。另一方面,具有预测潜在攻击的能力并可进行实时响应,使得对入侵攻击的检测更具有针对性,降低误报率和漏报率。
参考文献
[1] 王欣洁,陈培军,李媛媛.容侵系统节点重构算法设计与实现[J].电脑开发与应用. 2009(02)
[2] 马晓刚,杨勇.遗传算法在入侵检测系统中的应用[J]. 科技信息. 2008(35)