栗勇兵 陶青

【摘 要】采用移動代理實現(xiàn)網(wǎng)絡(luò)入侵預(yù)警框架，通過基本入侵檢測模塊獲得可疑安全事件，動態(tài)分派相關(guān)移動代理收集進(jìn)一步的入侵事件，構(gòu)造基于入侵事件的有限自動機(jī)預(yù)警模型，預(yù)測下一步的入侵事件和可能入侵攻擊，降低誤報率。同時，通過移動代理降低了網(wǎng)絡(luò)通信量和系統(tǒng)負(fù)載。

【關(guān)鍵詞】網(wǎng)絡(luò)預(yù)警；入侵檢測；移動代理

【中圖分類號】 G250.72【文獻(xiàn)標(biāo)識碼】 A【文章編號】1672-5158（2013）07-0012-02

隨著因特網(wǎng)技術(shù)的快速發(fā)展，面向因特網(wǎng)應(yīng)用逐步普及，如何保障網(wǎng)絡(luò)的安全成為一個至關(guān)重要的問題。入侵檢測技術(shù)作為一種保證網(wǎng)絡(luò)安全的防御手段，是當(dāng)今網(wǎng)絡(luò)安全保障體系中一個不可缺少的組成部分。入侵檢測按照分析方法不同，主要分為異常檢測和誤用檢測。異常檢測通過構(gòu)造正常行為模型作為判斷入侵的依據(jù)，可以檢測新的入侵，但誤報率高；誤用檢測根據(jù)已知入侵攻擊判斷入侵行為，不能發(fā)現(xiàn)新的入侵攻擊，漏報率高。入侵檢測系統(tǒng)，根據(jù)檢測對象不同可分為基于主機(jī)的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)以及混合型入侵檢測系統(tǒng)。

一、當(dāng)前的入侵檢測系統(tǒng)主要存在以下的缺點(diǎn)

1）缺乏有效性。入侵檢測系統(tǒng)需要實時地評價安全事件。在網(wǎng)絡(luò)中，面對大量安全事件時，這種實時性很難得到滿足。

2）高誤報率。誤報率高是當(dāng)前入侵檢測系統(tǒng)的一個主要缺點(diǎn)。系統(tǒng)管理員不能從大量的誤報事件中判斷出真正的入侵事件。

3）有限響應(yīng)能力。入侵檢測系統(tǒng)傳統(tǒng)上集中在檢測攻擊。系統(tǒng)管理員不能立即從入侵檢測系統(tǒng)中分析報告，并采取相應(yīng)的措施。在管理員采取行動之前，給攻擊者留下了一個隨意操作的時間間隔。針對上述入侵檢測系統(tǒng)的缺陷，本文使用移動代理技術(shù)，實現(xiàn)一個網(wǎng)絡(luò)入侵預(yù)警框架。主要優(yōu)點(diǎn)在于：通過移動代理技術(shù)降低了用于入侵檢測的網(wǎng)絡(luò)通信量和系統(tǒng)負(fù)載，可以降低入侵檢測的誤報率，具有快速實時響應(yīng)能力，另外，系統(tǒng)具有較好的靈活性。

二、移動代理技術(shù)

一個軟件代理被定義為具有一定功能的程序，包括代碼和狀態(tài)信息，具有自治性，在其環(huán)境中可以和其他代理進(jìn)行交互。移動代理在代理平臺上，可以實現(xiàn)代碼的移動。把移動代理技術(shù)應(yīng)用到網(wǎng)絡(luò)入侵預(yù)警中，具有如下的優(yōu)點(diǎn)：

1）通過在網(wǎng)絡(luò)上移動代碼代替了大量處理數(shù)據(jù)的移動，克服了網(wǎng)絡(luò)數(shù)據(jù)傳輸延時，減少了網(wǎng)絡(luò)負(fù)載。

2）具有對環(huán)境的動態(tài)適應(yīng)性。

3）具有對入侵的動態(tài)跟蹤及響應(yīng)的能力。

三、體系結(jié)構(gòu)

圖l 給出了使用移動代理技術(shù)的網(wǎng)絡(luò)入侵預(yù)警框架。在本框架中，主要有兩種類型的節(jié)點(diǎn)，矩形節(jié)點(diǎn)實現(xiàn)入侵預(yù)警的分析處理，橢圓型節(jié)點(diǎn)實現(xiàn)基本入侵事件的采集。移動代理可以在不同節(jié)點(diǎn)間根據(jù)需要進(jìn)行移動。

在本框架的實現(xiàn)中，采用IBM公司的aglets作為移動代理的實現(xiàn)平臺，安裝在相關(guān)的主機(jī)或網(wǎng)段節(jié)點(diǎn)上。入侵檢測系統(tǒng)的實現(xiàn)平臺為Linux平臺。

1、各模塊功能

圖形用戶界面模塊：網(wǎng)絡(luò)入侵預(yù)警框架的用戶界面，管理員用來完成各種管理功能，包括查看警報、系統(tǒng)初始化配置等。

規(guī)則庫：入侵預(yù)警框架中預(yù)測入侵的核心，是判斷各種入侵的規(guī)則庫，規(guī)則庫可以動態(tài)進(jìn)行維護(hù)。

預(yù)警分析模塊：根據(jù)規(guī)則庫，從已知的安全事件中推斷一個入侵，另外，預(yù)測可能的入侵意圖。

入侵事件收集模塊：從位于不同檢測節(jié)點(diǎn)的基本入侵檢測模塊中收集可疑安全事件。

移動代理分發(fā)模塊：激發(fā)不同的移動代理，根據(jù)需要分派到相應(yīng)的目的地。

全局共享數(shù)據(jù)模塊：在整個系統(tǒng)中的全局共享數(shù)據(jù)區(qū)。

局部共享數(shù)據(jù)模塊：在特定節(jié)點(diǎn)上的局部共享數(shù)據(jù)區(qū)。

基本入侵檢測模塊：在特定節(jié)點(diǎn)上檢測可疑安全事件，并把結(jié)果傳輸?shù)饺肭质录占K。檢測可疑安全事件的方法包括查看操作系統(tǒng)安全日志、應(yīng)用系統(tǒng)安全日志、網(wǎng)絡(luò)通信量及入侵檢測部件檢測到的安全事件等。

移動代理：具有不同功能特點(diǎn)的移動代理。

2、工作流程

針對圖1中的預(yù)警框架，主要的工作流程如下：

1）在每個檢測節(jié)點(diǎn)?；救肭謾z測模塊通過觀察系統(tǒng)日志或應(yīng)用日志檢測出可疑安全事件。2）基本入侵檢測模塊區(qū)別不同類型的可疑安全事件，并把事件報告給入侵事件收集模塊。

3）入侵事件收集模塊把得到的各種安全事件傳遞給預(yù)警分析模塊。

4）預(yù)警分析模塊根據(jù)入侵規(guī)則庫推斷入侵攻擊及可能的入侵意圖。

5）移動代理分發(fā)模塊分派適當(dāng)?shù)囊苿哟淼教囟ǖ墓?jié)點(diǎn)收集入侵信息。

6）移動代理從局部共享數(shù)據(jù)模塊得到局部信息，檢測特定的數(shù)據(jù)，移動代理檢測的結(jié)果直接傳輸給入侵事件收集模塊。

7）返回到第3）步，繼續(xù)這個過程。

四、預(yù)警模型

目前的入侵檢測系統(tǒng)得到的警報信息是在實際的入侵攻擊發(fā)生之后，只能進(jìn)行事后分析及安全策略的改進(jìn)等，另外管理員很難從大量的入侵警報信息中發(fā)現(xiàn)出真正的入侵攻擊行為。網(wǎng)絡(luò)入侵預(yù)警的目的就是要解決在實際入侵行為發(fā)生之前進(jìn)行預(yù)報，采取相應(yīng)的防范措施，實現(xiàn)實時響應(yīng)和降低誤報率。

一個復(fù)雜的入侵攻擊行為往往是由多個步驟協(xié)同完成的，每一個步驟對應(yīng)一個安全事件，假定一個實際的入侵攻擊行為由一個安全事件的有序序列來構(gòu)成，Ii=（j=l，2，…，N）。所有入侵攻擊的安全事件序列構(gòu)造一個有限自動機(jī)，不同的入侵攻擊在安全事件上可能是部分相同的。圖2給出了基于入侵事件的有限自動機(jī)模型。

在圖2的模型中，圓圈表示狀態(tài)，箭頭表示安全事件。0狀態(tài)為起始狀態(tài)，帶陰影的狀態(tài)5、9、12表示一個入侵攻擊過程的結(jié)束。當(dāng)有安全事件Il到達(dá)時，進(jìn)入l狀態(tài)，當(dāng)有安全事件I2到達(dá)時，進(jìn)入2狀態(tài)，依此類推，直到安全事件I5到達(dá)時，進(jìn)入5狀態(tài)（結(jié)束狀態(tài)），表明完成了一個完整的入侵攻擊過程。同樣，安全事件序列I6、I7、I8、I9，是第2個入侵攻擊過程，I6、I7、I10、I1l、I12是第3個入侵攻擊過程。

通過已有的入侵攻擊行為，分析入侵事件序列，構(gòu)造有限自動機(jī)模型，一方面可以檢測出入侵攻擊行為，另一方面可以預(yù)測出可能的入侵攻擊行為。當(dāng)?shù)竭_(dá)某一個狀態(tài)之后，就要檢測其相應(yīng)的所有輸出狀態(tài)，便于進(jìn)行入侵的跟蹤。如到達(dá)狀態(tài)7之后，可能會到達(dá)狀態(tài)8或10，進(jìn)一步到達(dá)入侵過程的結(jié)束狀態(tài)9或12。所以當(dāng)?shù)竭_(dá)狀態(tài)7后，為了進(jìn)行預(yù)測，需要采集安全事件I8和I10。安全事件的采集通過移動代理技術(shù)來實現(xiàn)。這樣，一方面可以進(jìn)行入侵過程的跟蹤，另一方面，可及時采取響應(yīng)措施，保證具有實時的響應(yīng)能力。

五、結(jié)論

目前的入侵檢測系統(tǒng)只能在入侵發(fā)生后對入侵行為進(jìn)行報告，而且存在大量的誤報和漏報，管理員很難從中快速找出真正的入侵攻擊行為，并及時采取措施。本文提出的基于移動代理的網(wǎng)絡(luò)入侵預(yù)警框架，依據(jù)入侵事件構(gòu)造的有限自動機(jī)模型，判斷入侵攻擊行為，預(yù)測可能發(fā)生的安全事件，采用動態(tài)分發(fā)相關(guān)移動代理來收集安全事件。一方面能夠降低由于檢測攻擊而帶來的網(wǎng)絡(luò)和主機(jī)的額外負(fù)載。另一方面，具有預(yù)測潛在攻擊的能力并可進(jìn)行實時響應(yīng)，使得對入侵攻擊的檢測更具有針對性，降低誤報率和漏報率。

參考文獻(xiàn)

[1] 王欣潔，陳培軍，李媛媛.容侵系統(tǒng)節(jié)點(diǎn)重構(gòu)算法設(shè)計與實現(xiàn)[J].電腦開發(fā)與應(yīng)用. 2009（02）

[2] 馬曉剛，楊勇.遺傳算法在入侵檢測系統(tǒng)中的應(yīng)用[J]. 科技信息. 2008（35）