基于移動代理的網(wǎng)絡入侵預警框架研究

栗勇兵 陶青

【摘 要】采用移動代理實現(xiàn)網(wǎng)絡入侵預警框架，通過基本入侵檢測模塊獲得可疑安全事件，動態(tài)分派相關移動代理收集進一步的入侵事件，構造基于入侵事件的有限自動機預警模型，預測下一步的入侵事件和可能入侵攻擊，降低誤報率。同時，通過移動代理降低了網(wǎng)絡通信量和系統(tǒng)負載。

【關鍵詞】網(wǎng)絡預警；入侵檢測；移動代理

【中圖分類號】 G250.72【文獻標識碼】 A【文章編號】1672-5158（2013）07-0012-02

隨著因特網(wǎng)技術的快速發(fā)展，面向因特網(wǎng)應用逐步普及，如何保障網(wǎng)絡的安全成為一個至關重要的問題。入侵檢測技術作為一種保證網(wǎng)絡安全的防御手段，是當今網(wǎng)絡安全保障體系中一個不可缺少的組成部分。入侵檢測按照分析方法不同，主要分為異常檢測和誤用檢測。異常檢測通過構造正常行為模型作為判斷入侵的依據(jù)，可以檢測新的入侵，但誤報率高；誤用檢測根據(jù)已知入侵攻擊判斷入侵行為，不能發(fā)現(xiàn)新的入侵攻擊，漏報率高。入侵檢測系統(tǒng)，根據(jù)檢測對象不同可分為基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡的入侵檢測系統(tǒng)以及混合型入侵檢測系統(tǒng)。

一、當前的入侵檢測系統(tǒng)主要存在以下的缺點

1）缺乏有效性。入侵檢測系統(tǒng)需要實時地評價安全事件。在網(wǎng)絡中，面對大量安全事件時，這種實時性很難得到滿足。

2）高誤報率。誤報率高是當前入侵檢測系統(tǒng)的一個主要缺點。系統(tǒng)管理員不能從大量的誤報事件中判斷出真正的入侵事件。

3）有限響應能力。入侵檢測系統(tǒng)傳統(tǒng)上集中在檢測攻擊。系統(tǒng)管理員不能立即從入侵檢測系統(tǒng)中分析報告，并采取相應的措施。在管理員采取行動之前，給攻擊者留下了一個隨意操作的時間間隔。針對上述入侵檢測系統(tǒng)的缺陷，本文使用移動代理技術，實現(xiàn)一個網(wǎng)絡入侵預警框架。主要優(yōu)點在于：通過移動代理技術降低了用于入侵檢測的網(wǎng)絡通信量和系統(tǒng)負載，可以降低入侵檢測的誤報率，具有快速實時響應能力，另外，系統(tǒng)具有較好的靈活性。

二、移動代理技術

一個軟件代理被定義為具有一定功能的程序，包括代碼和狀態(tài)信息，具有自治性，在其環(huán)境中可以和其他代理進行交互。移動代理在代理平臺上，可以實現(xiàn)代碼的移動。把移動代理技術應用到網(wǎng)絡入侵預警中，具有如下的優(yōu)點：

1）通過在網(wǎng)絡上移動代碼代替了大量處理數(shù)據(jù)的移動，克服了網(wǎng)絡數(shù)據(jù)傳輸延時，減少了網(wǎng)絡負載。

2）具有對環(huán)境的動態(tài)適應性。

3）具有對入侵的動態(tài)跟蹤及響應的能力。

三、體系結構

圖l 給出了使用移動代理技術的網(wǎng)絡入侵預警框架。在本框架中，主要有兩種類型的節(jié)點，矩形節(jié)點實現(xiàn)入侵預警的分析處理，橢圓型節(jié)點實現(xiàn)基本入侵事件的采集。移動代理可以在不同節(jié)點間根據(jù)需要進行移動。

在本框架的實現(xiàn)中，采用IBM公司的aglets作為移動代理的實現(xiàn)平臺，安裝在相關的主機或網(wǎng)段節(jié)點上。入侵檢測系統(tǒng)的實現(xiàn)平臺為Linux平臺。

1、各模塊功能

圖形用戶界面模塊：網(wǎng)絡入侵預警框架的用戶界面，管理員用來完成各種管理功能，包括查看警報、系統(tǒng)初始化配置等。

規(guī)則庫：入侵預警框架中預測入侵的核心，是判斷各種入侵的規(guī)則庫，規(guī)則庫可以動態(tài)進行維護。

預警分析模塊：根據(jù)規(guī)則庫，從已知的安全事件中推斷一個入侵，另外，預測可能的入侵意圖。

入侵事件收集模塊：從位于不同檢測節(jié)點的基本入侵檢測模塊中收集可疑安全事件。

移動代理分發(fā)模塊：激發(fā)不同的移動代理，根據(jù)需要分派到相應的目的地。

全局共享數(shù)據(jù)模塊：在整個系統(tǒng)中的全局共享數(shù)據(jù)區(qū)。

局部共享數(shù)據(jù)模塊：在特定節(jié)點上的局部共享數(shù)據(jù)區(qū)。

基本入侵檢測模塊：在特定節(jié)點上檢測可疑安全事件，并把結果傳輸?shù)饺肭质录占K。檢測可疑安全事件的方法包括查看操作系統(tǒng)安全日志、應用系統(tǒng)安全日志、網(wǎng)絡通信量及入侵檢測部件檢測到的安全事件等。

移動代理：具有不同功能特點的移動代理。

2、工作流程

針對圖1中的預警框架，主要的工作流程如下：

1）在每個檢測節(jié)點?；救肭謾z測模塊通過觀察系統(tǒng)日志或應用日志檢測出可疑安全事件。2）基本入侵檢測模塊區(qū)別不同類型的可疑安全事件，并把事件報告給入侵事件收集模塊。

3）入侵事件收集模塊把得到的各種安全事件傳遞給預警分析模塊。

4）預警分析模塊根據(jù)入侵規(guī)則庫推斷入侵攻擊及可能的入侵意圖。

5）移動代理分發(fā)模塊分派適當?shù)囊苿哟淼教囟ǖ墓?jié)點收集入侵信息。

6）移動代理從局部共享數(shù)據(jù)模塊得到局部信息，檢測特定的數(shù)據(jù)，移動代理檢測的結果直接傳輸給入侵事件收集模塊。

7）返回到第3）步，繼續(xù)這個過程。

四、預警模型

目前的入侵檢測系統(tǒng)得到的警報信息是在實際的入侵攻擊發(fā)生之后，只能進行事后分析及安全策略的改進等，另外管理員很難從大量的入侵警報信息中發(fā)現(xiàn)出真正的入侵攻擊行為。網(wǎng)絡入侵預警的目的就是要解決在實際入侵行為發(fā)生之前進行預報，采取相應的防范措施，實現(xiàn)實時響應和降低誤報率。

一個復雜的入侵攻擊行為往往是由多個步驟協(xié)同完成的，每一個步驟對應一個安全事件，假定一個實際的入侵攻擊行為由一個安全事件的有序序列來構成，Ii=（j=l，2，…，N）。所有入侵攻擊的安全事件序列構造一個有限自動機，不同的入侵攻擊在安全事件上可能是部分相同的。圖2給出了基于入侵事件的有限自動機模型。

在圖2的模型中，圓圈表示狀態(tài)，箭頭表示安全事件。0狀態(tài)為起始狀態(tài)，帶陰影的狀態(tài)5、9、12表示一個入侵攻擊過程的結束。當有安全事件Il到達時，進入l狀態(tài)，當有安全事件I2到達時，進入2狀態(tài)，依此類推，直到安全事件I5到達時，進入5狀態(tài)（結束狀態(tài)），表明完成了一個完整的入侵攻擊過程。同樣，安全事件序列I6、I7、I8、I9，是第2個入侵攻擊過程，I6、I7、I10、I1l、I12是第3個入侵攻擊過程。

通過已有的入侵攻擊行為，分析入侵事件序列，構造有限自動機模型，一方面可以檢測出入侵攻擊行為，另一方面可以預測出可能的入侵攻擊行為。當?shù)竭_某一個狀態(tài)之后，就要檢測其相應的所有輸出狀態(tài)，便于進行入侵的跟蹤。如到達狀態(tài)7之后，可能會到達狀態(tài)8或10，進一步到達入侵過程的結束狀態(tài)9或12。所以當?shù)竭_狀態(tài)7后，為了進行預測，需要采集安全事件I8和I10。安全事件的采集通過移動代理技術來實現(xiàn)。這樣，一方面可以進行入侵過程的跟蹤，另一方面，可及時采取響應措施，保證具有實時的響應能力。

五、結論

目前的入侵檢測系統(tǒng)只能在入侵發(fā)生后對入侵行為進行報告，而且存在大量的誤報和漏報，管理員很難從中快速找出真正的入侵攻擊行為，并及時采取措施。本文提出的基于移動代理的網(wǎng)絡入侵預警框架，依據(jù)入侵事件構造的有限自動機模型，判斷入侵攻擊行為，預測可能發(fā)生的安全事件，采用動態(tài)分發(fā)相關移動代理來收集安全事件。一方面能夠降低由于檢測攻擊而帶來的網(wǎng)絡和主機的額外負載。另一方面，具有預測潛在攻擊的能力并可進行實時響應，使得對入侵攻擊的檢測更具有針對性，降低誤報率和漏報率。

參考文獻

[1] 王欣潔，陳培軍，李媛媛.容侵系統(tǒng)節(jié)點重構算法設計與實現(xiàn)[J].電腦開發(fā)與應用. 2009（02）

[2] 馬曉剛，楊勇.遺傳算法在入侵檢測系統(tǒng)中的應用[J]. 科技信息. 2008（35）