论文部分内容阅读
【摘 要】针对目前入侵检测系统不能适应异构网络环境、缺乏协同响应的不足,提出了一种基于CORBA的分布式入侵检测系统模型,设计并实现了一个基于该模型的入侵检测系统(称为Aegis),能够对大型分布异构网络进行有效的入侵检测,对网络入侵检测系统的设计有一定参考价值。
【关键词】CORBA;网络入侵检测;主机入侵检测
文章编号:ISSN1006—656X(2014)03-0162-01
一、分布式入侵检测
入侵是指试图破坏一个资源的完整性、机密性和可获得性的活动集合[1]。入侵检测技术可被分为误用入侵检测和异常入侵检测两种,前者通过检测固有的攻击模式发现入侵,后者通过检测系统或用户行为是否偏离正常模式发现入侵;按照数据来源可分为主机和网络入侵检测,主机入侵检测主要收集其运行主机的信息;按照入侵响应可分为主动响应和被动响应两种:如果检测出入侵后,能够自动重新配置防火墙、关闭适当的服务或反击入侵者,那么就被称为主动响应,若检测到入侵后仅给出警报或记录日志,那就是被动响应[2]。
入侵检测系统是基于以上几种模型相结合构建出的计算机软件,其作用就像一个防盗系统,能够实时地发现可能的入侵。随着网络应用的广泛和互连网络自身的分布异构性,网络入侵与攻击的方式已经变得越来越隐蔽,且趋于多样性、分布化和协同性[3]。因此,入侵检测系统也需要满足跨平台、可复用、易扩充、协同检测等新的应用需求。所以,研究利用分布计算技术,实现大型分布式入侵检测系统(DIDS)是有意义的。
二、基于CORBA入侵检测设计思想
面对分布式网络攻击而提出的分布式入侵检测技术是今后入侵检测技术的发展方向。基于CORBA技术的入侵检测系统为主机和服务器提供了可视化的用户操作界面。系统结构如图2.1所示。客户端审计系统日志和监听数据,数据分析器根据规则数据库分析数据的安全性,并由响应控制器完成发生攻击时的响应措施,根据设计的时间控制器,定时地向服务器端发送汇总信息。服务端主机是CORBA代理服务中心。代理服务单元授权的数据采集器把采集到的数据分类加工后,经分析器分析,做出响应,当需要响应边缘网络IDS信息时,则把信息发送给外网IDS,并把用户安全信息显示在管理界面上,并且分析同时还具有代理服务单元的生成和注销。
网络/主机检测点的任务是采集原始数据,对原始数据按照用户要求进行过滤,并反馈给管理点,实现实时状态监测,或对原始数据进行误用入侵检测,将结果报告给管理点。它由数据采集引擎、数据过滤器、误用入侵检测分析器和域管理器4部分组成。
与其他现有的DIDS相比,Aegis的一个特色在于实现了误用和异常的入侵检测的分离。Aegis是一个基于CORBA的应用,那么系统设计的第一步就应该将系统中用到的CORBA对象提炼出来。前者放在检测点中,而后者放在管理点中。这是因为与计算机病毒相似,误用入侵攻击也具有明显的特征,这些特征也可被转化为规则,形成规则库,而且易于用编程语言实现。Aegis的另一个特色是使用分布式计算和面向对象计算完美结合的CORBA技术,实现了检测和响应分离。用户可按照需要,选择检测点及不同安全组件之间的协作关系,建立了安全组件之间的相互通信和联动,提高了系统的可扩展性,实现整体安全防护。
三、Aegis的设计和实现
(一)Aegis对象
Aegis在物理上由管理点、检测点和安全响应点3部分组成,因此管理点的顶级管理者需要和检测点的域管理者以及安全响应点的安全部件管理者通信。然而在Aegis中存在多个检测点和响应点,如果多个域管理者和安全部件管理者同时向顶级管理者返回数据,那么就会使顶级管理者成为系统瓶颈,易造成单点故障。因此,我们在管理点设置一些和检测点与响应点相对应的通信对象,由它们负责和检测点进行数据交换、解析检测点返回的数据、执行安全响应任务。这样顶级管理点的任务就简化为通过检测点管理者向相应的检测点和安全响应点发布命令,进行任务管理。从而将顶级管理点原有的任务管理和数据交互的功能分散在两类对象中。
(二)安全响应点
安全响应点由一系列组件组成:
(1) 防火墙组件。当检测点检测出入侵时,它在向管理点报告入侵事件的发生时间和攻击源的同时,也会通知本域中的防火墙组件。防火墙组件再将该消息发送给管理点中的安全响应点管理者,由它再转发给其他的防火墙组件,相应调整各自的防火墙策略,保护网络中的其它结点不受攻击,起到预警的作用。
(2) 负载均衡组件。Aegis采用地址转换作为实现负载均衡的方法。具体采用Linux下的防火墙软件iptables作为地址转换器NAT,同时根据性能监测引擎所监测到每台内部主机的性能数据作为挑选内部地址的依据。负载均衡组件每隔一段时间会轮询每个提供相同服务的服务器的负载情况,从中挑选出一个负载最轻的主机,同时会向防火墙组件发送消息,告知这个负载最轻的地址。当防火墙组件接到这个消息后,立即增加NAT地址转换策略。
(3) 灾难恢复组件。为了完成灾难恢复,需要将主机检测的文件监测引擎和文件备份协同起来。文件监测主要是通过对文件完整性的监测来完成的,其主要技术主要是根据文件内容提取一个数字摘要,通过对比两次的计算的数字摘要是否相同来发现文件是否被修改。
四、结 语
将CORBA、人工智能、协同和IDS技术相结合,有效的解决了当前入侵检测系统面临的平台异构、无统一通信机制和安全策略等问题。 Aegis已经被实现,通过在校园网环境的初步应用表明,它基本能满足大型网络在性能、状态监控和入侵检测等方面的要求。
参考文献:
[1]段海新, 吴建平. 分布式协同入侵检测—系统结构设计与实现问题[J]. 小型微型计算机系统, 2001, 22 (6):646-560
[2]汪芸. CORBA技术及其应用[M]. 南京:东南大学出版社,1999.
[3]吴晓南. 基于智能的分布式网络入侵监测系统[D]. 西安:西北大学计算机科学系, 2003.
[4]SPAFFORD E. Crisis and After Math[J]. Communications of the ACM, 1989, 32(6): 678-786
【关键词】CORBA;网络入侵检测;主机入侵检测
文章编号:ISSN1006—656X(2014)03-0162-01
一、分布式入侵检测
入侵是指试图破坏一个资源的完整性、机密性和可获得性的活动集合[1]。入侵检测技术可被分为误用入侵检测和异常入侵检测两种,前者通过检测固有的攻击模式发现入侵,后者通过检测系统或用户行为是否偏离正常模式发现入侵;按照数据来源可分为主机和网络入侵检测,主机入侵检测主要收集其运行主机的信息;按照入侵响应可分为主动响应和被动响应两种:如果检测出入侵后,能够自动重新配置防火墙、关闭适当的服务或反击入侵者,那么就被称为主动响应,若检测到入侵后仅给出警报或记录日志,那就是被动响应[2]。
入侵检测系统是基于以上几种模型相结合构建出的计算机软件,其作用就像一个防盗系统,能够实时地发现可能的入侵。随着网络应用的广泛和互连网络自身的分布异构性,网络入侵与攻击的方式已经变得越来越隐蔽,且趋于多样性、分布化和协同性[3]。因此,入侵检测系统也需要满足跨平台、可复用、易扩充、协同检测等新的应用需求。所以,研究利用分布计算技术,实现大型分布式入侵检测系统(DIDS)是有意义的。
二、基于CORBA入侵检测设计思想
面对分布式网络攻击而提出的分布式入侵检测技术是今后入侵检测技术的发展方向。基于CORBA技术的入侵检测系统为主机和服务器提供了可视化的用户操作界面。系统结构如图2.1所示。客户端审计系统日志和监听数据,数据分析器根据规则数据库分析数据的安全性,并由响应控制器完成发生攻击时的响应措施,根据设计的时间控制器,定时地向服务器端发送汇总信息。服务端主机是CORBA代理服务中心。代理服务单元授权的数据采集器把采集到的数据分类加工后,经分析器分析,做出响应,当需要响应边缘网络IDS信息时,则把信息发送给外网IDS,并把用户安全信息显示在管理界面上,并且分析同时还具有代理服务单元的生成和注销。
网络/主机检测点的任务是采集原始数据,对原始数据按照用户要求进行过滤,并反馈给管理点,实现实时状态监测,或对原始数据进行误用入侵检测,将结果报告给管理点。它由数据采集引擎、数据过滤器、误用入侵检测分析器和域管理器4部分组成。
与其他现有的DIDS相比,Aegis的一个特色在于实现了误用和异常的入侵检测的分离。Aegis是一个基于CORBA的应用,那么系统设计的第一步就应该将系统中用到的CORBA对象提炼出来。前者放在检测点中,而后者放在管理点中。这是因为与计算机病毒相似,误用入侵攻击也具有明显的特征,这些特征也可被转化为规则,形成规则库,而且易于用编程语言实现。Aegis的另一个特色是使用分布式计算和面向对象计算完美结合的CORBA技术,实现了检测和响应分离。用户可按照需要,选择检测点及不同安全组件之间的协作关系,建立了安全组件之间的相互通信和联动,提高了系统的可扩展性,实现整体安全防护。
三、Aegis的设计和实现
(一)Aegis对象
Aegis在物理上由管理点、检测点和安全响应点3部分组成,因此管理点的顶级管理者需要和检测点的域管理者以及安全响应点的安全部件管理者通信。然而在Aegis中存在多个检测点和响应点,如果多个域管理者和安全部件管理者同时向顶级管理者返回数据,那么就会使顶级管理者成为系统瓶颈,易造成单点故障。因此,我们在管理点设置一些和检测点与响应点相对应的通信对象,由它们负责和检测点进行数据交换、解析检测点返回的数据、执行安全响应任务。这样顶级管理点的任务就简化为通过检测点管理者向相应的检测点和安全响应点发布命令,进行任务管理。从而将顶级管理点原有的任务管理和数据交互的功能分散在两类对象中。
(二)安全响应点
安全响应点由一系列组件组成:
(1) 防火墙组件。当检测点检测出入侵时,它在向管理点报告入侵事件的发生时间和攻击源的同时,也会通知本域中的防火墙组件。防火墙组件再将该消息发送给管理点中的安全响应点管理者,由它再转发给其他的防火墙组件,相应调整各自的防火墙策略,保护网络中的其它结点不受攻击,起到预警的作用。
(2) 负载均衡组件。Aegis采用地址转换作为实现负载均衡的方法。具体采用Linux下的防火墙软件iptables作为地址转换器NAT,同时根据性能监测引擎所监测到每台内部主机的性能数据作为挑选内部地址的依据。负载均衡组件每隔一段时间会轮询每个提供相同服务的服务器的负载情况,从中挑选出一个负载最轻的主机,同时会向防火墙组件发送消息,告知这个负载最轻的地址。当防火墙组件接到这个消息后,立即增加NAT地址转换策略。
(3) 灾难恢复组件。为了完成灾难恢复,需要将主机检测的文件监测引擎和文件备份协同起来。文件监测主要是通过对文件完整性的监测来完成的,其主要技术主要是根据文件内容提取一个数字摘要,通过对比两次的计算的数字摘要是否相同来发现文件是否被修改。
四、结 语
将CORBA、人工智能、协同和IDS技术相结合,有效的解决了当前入侵检测系统面临的平台异构、无统一通信机制和安全策略等问题。 Aegis已经被实现,通过在校园网环境的初步应用表明,它基本能满足大型网络在性能、状态监控和入侵检测等方面的要求。
参考文献:
[1]段海新, 吴建平. 分布式协同入侵检测—系统结构设计与实现问题[J]. 小型微型计算机系统, 2001, 22 (6):646-560
[2]汪芸. CORBA技术及其应用[M]. 南京:东南大学出版社,1999.
[3]吴晓南. 基于智能的分布式网络入侵监测系统[D]. 西安:西北大学计算机科学系, 2003.
[4]SPAFFORD E. Crisis and After Math[J]. Communications of the ACM, 1989, 32(6): 678-786