移動Agent和遺傳算法在分布式IDS中的應用研究
2014-08-27 09:37:14高為民方小勇
網絡空間安全 2014年8期
高為民+++方小勇
【 摘 要 】 無線通信在無線空間傳播信道特殊的輻射、開放性會導致網絡運營和通信的安全性受到極大的威脅。近年來,將遺傳算法和移動代理應用于 IDS 中的研究越來越多。傳統的基于知識的IDS由于需要領域專家人工進行規則和模式的建立,并隨著時間和空間的變化會導致專家規則庫局限性突顯,檢測的有效性和正確性不高,因而需要對IDS的性能進行優化。文中首先介紹了移動互聯網網絡結構和安全問題,然后提出通用的IDS模型結構及分類,設計出一種基于移動Agent和遺傳算法的入侵檢測系統。該系統具有靈活性強、可擴展性好及適應性強和誤檢率低等特點,滿足移動IPv6環境的使用。實驗結果表明提出的設計模型在算法性能和檢測效率上具有優勢,適合于移動互聯網。
【 關鍵詞 】 移動互聯網;入侵檢測系統;移動代理;遺傳算法
【 中圖分類號 】 TP393.8
1 引言
隨著信息網絡技術的快速發展,人們不再滿足于使用固定終端或單個移動終端連接到互聯網絡上,而是希望移動子網能以一種相對穩定和可靠的形式,從互聯網上動態地獲取信息,這就促進無線移動互聯網絡的發展。然而,由于無線通信在無線空間傳播信道特殊的輻射、開放性會導致假冒攻擊、網絡欺騙、信息竊取等不安全行為,使網絡通信的安全性受到極大的威脅。為防止無線通信中信息被接收者之外的另一些人輕易地截獲,或入侵者進行欺騙接入等,需要采取一系列的安全措施。
入侵檢測系統(The Intrusion Detection System,IDS)是一種積極主動的安全防護技術,可應對網絡信息傳輸中諸如篡改,刪除以及盜取等行為的網絡安全設備。目前,IDS發展迅速,根據入侵檢測方法可以把IDS分為異常入侵檢測系統和誤用入侵檢測系統。但傳統的基于知識的IDS需要領域專家人工進行規則和模式的建立,而復雜網絡隨著時間和空間的變化會導致專家規則庫受限,降低了IDS的有效性和正確性。
本文針對移動互聯網絡的安全問題設計一種IDS檢測方案,該方案在網絡層描述系統構成、實現的通信原理、部署及入侵檢測過程,并通過搭建實驗平臺對方案的性能和執行效率進行了分析。
2 移動互聯網網絡結構及安全問題
一般人們可以認為移動互聯網是采用手機、個人數字助理、便攜式計算機、專用移動互聯網設備等作為終端,以移動通信網絡或無線局域網作為接入手段,通過無線應用協議(WAP)訪問互聯網并使用互聯網業務。由于移動互聯網中核心是無線網絡技術,無線網絡通過無線電波在空中開放式傳輸數據,在數據發射機覆蓋區域內的幾乎所有的移動用戶都能接觸到這些數據,因此很容易受到惡意攻擊。
隨著3G和移動互聯網的發展,所有在互聯網上出現的安全問題都可能在移動互聯網上重現。另一方而,由于移動互聯網本身的特點、獨特發展方式與傳播能力使得很多新的安全問題不斷出現, MCAfee《2008年移動安全研究報告》顯示,80%以上的用戶對移動終端安全問題擔心。當前移動互聯網存在的安全問題主要有四個方面。
1)信息中斷:利用非法手段對網絡的可用性進行攻擊,破壞移動互聯網系統中的軟、硬件資源,使網絡不能正常工作。
2)篡改:對網絡的完整性進行攻擊,篡改移動網絡的核心網元和業務數據庫中內容,修改消息次序進行延時或重放。
3)竊聽:通過對無線網絡傳輸鏈路上的搭線和電磁泄漏等對網絡的機密性進行攻擊,造成泄密,或對業務流量進行分析,獲取有用信息。有很多不法份子竊聽等技術手段可以精確提取這些信息,造成一些隱私信息泄露并進行違法犯罪活動。
4)偽造:對網絡的真實性進行攻擊,將偽造、虛假的信息注入網絡中、假冒合法用戶接入移動網絡、重放截獲的合法信息實現不法目的、向移動網絡中移植蠕蟲、木馬、邏輯炸彈等惡意程序來破壞移動網絡的正常工作,否認網絡中消息的接收或發送等。
3 入侵檢測系統的模型及分類
IDS是一種主動保護自己免受攻擊的一種網絡安全技術,它是防火墻技術的一種補充,是檢測計算機網絡和系統以發現違反安全策略事件的過程。任何一個完整的IDS都必須支持信息控制和信息捕獲兩大功能。
作為入侵檢測的系統至少應該包括三個功能模塊:提供事件記錄流的信息源、發現入侵跡象的分析引擎和基于分析引擎的響應部件。如圖1所示描述了一個入侵檢測系統的通用模型,由事件產生器、活動記錄器和規則集三個部件組成。事件產生器是IDS模型中產生活動信息,審計跟蹤網絡數據包;活動記錄器監視中當前網絡的狀態;規則集是一個普通的核查事件和狀態的檢查引擎,它使用模型、規則、模式和統計結果來判斷入侵行為。此外,反饋也是IDS模型的一個重要組成部分。規則集會根據事件產生器反饋現有的事件,引發系統的規則學習以加入新的規則或者修改規則。
從數據通信及處理的角度來看,IDS是一個典型的數據處理過程,它通過對大量的審計數據進行分析,來判斷被檢測的系統是否受到入侵攻擊。它的檢測機制,就是對一個系統主體行為的分類過程,即把對系統具有惡意的行為從大量的系統行為中區分出來。顯然,解決問題的關鍵技術就是如何從已知的數據中獲得系統的正常行為知識或有關入侵行為的知識。
入侵檢測系統有不同的分類標準,按數據源可分為:基于主機的IDS和基于網絡的IDS;按系統結構分為:集中式入侵檢測和分布式入侵檢測;按檢測原理分為:異常入侵檢測和誤用入侵檢測。在IDS研究中,涉及的關鍵技術有:模式匹配、數據挖掘、神經網絡、協議分析、數據融合及免疫和各種分類算法,但一般都是從異常入侵檢測模型和誤用入侵檢測模型下手。異常入侵檢測模型采用特征匹配的方法確定攻擊事件,檢測過程中用定量方式來描述可接受的行為特征,以區分和正常行為相違背的、非正常的行為特征來檢測入侵。誤用入侵檢測模型指按照預先定義好的入侵模式觀察到入侵發生情況并進行模式匹配來進行檢測,一般是利用已知系統和應用軟件的弱點攻擊模式來檢測入侵。endprint
4 基于移動Agent和GA的IDS的設計
4.1 移動Agent和GA理論
移動Agent技術是一個能在同構或異構網絡主機之間自主地進行遷移、集分布式對象技術、軟件Agent技術和移動代碼技術于一體。它具有代理的自治性、響應性、智能性和移動性,基于移動Agent的IDS將Agent分布于系統的關鍵點,完成數據的分布式收集、檢測及實時響應。此外,移動Agent是一個獨立的功能實體,擴展性好。
移動Agent其實就是一個能夠在運行過程中自主地從源主機遷移到目標主機,并可與其它Agent或資源交互的程序。移動Agent的模型如圖2所示。
GA(Genetic Algorithm)是一種借鑒生物界進化規律,模擬達爾文生物進化論的自然選擇和遺傳學機理的進化機制發展起來的高度并行、隨機、自適應搜索算法。它使用數據序列來表示遺傳基因,繁殖分為交叉與變異兩個獨立的步驟進行。其算法過程分幾步。
(1)初始化:確定種群規模N、基因交叉概率PC、基因變異概率PM和終止進化的規則,生成隨機的N個個體作為初始種群X(0),并把進化代數計數器t=0。
(2)個體評價:計算特定個體N(i)(0<=i (3)種群進化過程。 1)選擇父代,選擇的目的是把優化的個體直接遺傳到下一代或通過配對交叉產生新的個體再遺傳到下一代。從種群中選擇出N/2對來交叉繁衍下一代。 2)交叉繁衍是遺傳算法的核心,所謂交叉是指把兩個父代個體的部分結構加以替換重組而生成新個體的操作。從配對的父代中,各自貢獻一部分基因片段,組成子代個體。父代的基因片段可以有多種組合方式,可以產生M個子代。 3)基因變異,把父代復制到子代中,然后交互父代的兩段基因片段,產生變異的子代。 4)淘汰選擇,從上述所形成的子代群體中根據適應度選擇數量適度的子代個體,形成新一代的父代群體。同時還要把遺傳代數計數器加1。如果終止檢驗通不過的話,繼續下一代的進化。 (4)終止檢驗:如已滿足終止條件,則終止進化過程。終止條件的設置是當最優個體的適應度達到給定的閾值,或者最優個體的適應度和群體適應度不再上升時,或者迭代次數達到預設的代數時,算法終止。 遺傳算法用在IDS中主要進行的是異常檢測,而且大部分是采用訓練數據自動計算出相應網絡上的某個閥值,以此作為判斷是否有入侵的條件。 4.2 系統設計 基于移動Agent和GA的IDS通過為某些入侵行為建立特定的模型,設計多個相互協同Agent,對數據采集Agent送來的數據進行分析,不同Agent之間相互協作學習,并訓練規則數據集,結合攻擊腳本推理出入侵行為是否出現。IDS的結構如圖3所示。 數據庫模塊:用于存放規則庫,記錄系統檢測到的事件、原始數據及訓練數據;存放各種移動Agent的代碼庫以及一些特定事件的處理函數。由于網絡數據量大,需要進行自動分類建立標識,數據進行模式匹配后分類進行算法訓練。 入侵檢測Agent模塊:對移動網絡上的流量包進行捕獲,然后通過協議解碼和分析,實現對數據包的統計、操作日志和審計。 響應Agent模塊:用以對入侵檢測Agent的分析結果給予響應,如檢測到入侵事件,響應代理采取相應措施如警告入侵者,禁止連接或引向蜜罐虛擬系統。 用戶界面Agent模塊:是系統和用戶的接口,負責將用戶的命令和請求發送給代理,并以直觀的形式顯示告警,給用戶提出處理建議。用戶界面Agent動態監控各個系統組件的工作狀態,允許管理員查看、管理和維護。 數據收集Agent模塊:采集系統、網絡數據以及用戶活動的狀態和行為數據。一般在計算網絡中的若干不同關鍵點收集信息,這除了盡可能擴大檢測范圍的因素外,還有一個重要的因素就是從一個數據源來的信息有可能看不出疑點,但從幾個數據源來的信息的不一致性卻是可疑行為或入侵的最好標志。數據采集Agent是專門對監控主機進行系統數據和網絡數據采集,各個Agent間相互協作分析后,經過預處理把數據傳送給入侵檢測Agent。 管理中心:實現移動代理環境之間的通信及發布指令,并對后臺數據庫進行集中管理。 以上所有Agent都建立在分布式移動環境下運行。移動Agent環境是整個入侵系統運行的基礎,并控制移動Agent的移動、建立、注銷等基本服務。移動Agent環境代理服務器可以將策略庫中的事件處理函數自動進行封裝生成移動代理派遣到相應的節點執行檢測任務。 4.3 系統部署 網絡中的工作站和服務器都應安裝移動代理環境MAE,并根據需要在工作站和服務器上運行不同類型的代理。并在每一個網段上配置一個管理控制中心,管理中心對整個網段進行控制。系統管理員通過用戶界面Agent(可采用IBM公司的Aglets作為實現平臺)可以獲知整個系統的運行情況,并對入侵檢測系統進行配置和控制,以實現預定的安全策略。每一臺受檢測的移動節點或主機根據不同的需要運行不同的數據收集Agent和分析檢測Agent。網段中關鍵節點上運行數據收集Agent用于采集網絡數據包,部署結構圖如圖4所示。 入侵檢測Agent是系統部署和設計中最重要的部分,它承擔從可疑的數據信息中檢測是否有入侵發生的任務,截獲網絡信息,進行審計分析,確定可疑度,并對相應事件進行響應;同時要保持與其他移動Agent通信,對可疑級別達到一定程度的事件進行可疑廣播;這些檢測代理可以在異質的網絡節點間遷移,并根據被監控主機中的數據庫信息或其它主機傳送的信息分析入侵,或根據遺傳算法編碼規則訓練規則數據庫并做好日志。
5 實驗結果及分析
為了測試模型的性能及有效性,首先要搭建一個無線局域網的測試環境,在一個無線局域網內部署8臺主機,兩臺分別安裝Snort和Iptable的數據采集安全工具,一臺控制臺主機,一臺存放中央數據庫主機,一臺目標主機和一臺關聯引擎主機,一臺策略服務器,一臺數據采集器,一臺采集代理。內部網絡通過路由器與外部網絡連接,在外網中以移動節點作為攻擊主機,在中國電信衡陽分公司天翼3G工學院校園網絡上對系統進行測試。實驗過程要用到SQL Server2009、WinPcap、Snort、Aglets、Visual studio 2005、Iptable及攻擊軟件等。使用2012年6月第一個周末的數據作為訓練數據,第二個周末的數據作為測試數據,其中包含了攻擊數據包,總共收集了7149800個數據包。通過遺傳算法種群初始化編碼方法對數據包進行編碼,去除多余的數據,剩下的1243700個數據包作為自我集。實驗中所使用的數據包如表1所示。
評價入侵檢測系統性能的標準是準確性,準確性主要體現在漏報率和誤報率。因此,有必要先定義幾個指標參數:
檢測率=正確檢測出的入侵事件個數/總的入侵事件個數*100%
誤報率=誤報事件個數/總的正常事件個數*100%
漏報率=未檢測到的入侵事件個數/總的入侵事件個數*100%
我們將設計的IDS的檢測率、誤報率同開源的入侵檢測系統snort進行了比較。實驗結果如圖5所示。
通過實驗結果對照可以看出:訓練數據一樣的情況下,基于移動Agent和遺傳算法的IDS檢測準確率比傳統的Snort有一定程度的提高。
此外,為了驗證遺傳算法中種群數、迭代次數等對IDS的影響。通過仿真實驗,如圖6所示,基于移動Agent和GA的IDS系統隨著種群數的增加,IDS的檢測準確率將還會有所提高,同時檢測錯誤率有一定程度的減小。
6 結束語
本文提出將移動Agent和GA應用于IPv6環境下的分布式入侵檢測系統,采用動態分發相關移動代理來收集安全事件,遺傳算法GA來訓練數據并自適應計算網絡中的異常閥值,具有預測性強、實時響應快、較高的智能性和容錯能力、抗攻擊能力強、協同性好等優點。通過在移動IPv6網絡環境下驗證,設計的IDS在算法性能和檢測效率上具有優勢,適合于移動互聯網。
參考文獻
[1] 高為民,徐紅云.網絡入侵誘控系統的研究與實現[J],計算機測量與控制,2006,14(12):1751-1753.
[2] 馬軍,馬慧.移動互聯網安全問題分析及建議[J],現代電信科技,2009,28(7):46-49.
[3] 羅利民,周震.基于IPv6的網絡安全入侵檢測技術研究[J],科技通報,2012,28(4):114-115.
[4] 陳建銳,何增穎,梁永成.IPv6網絡入侵檢測系統設計[J],計算機技術與發展,2010, 20(9):123-126.
[5] 趙榮杰.IPv6網絡中的分布式入侵檢測系統研究與實現[D].西安:西安電子科技大學,2009.
[6] 侯方明.無線網絡中入侵檢測系統的研究與設計[D].濟南:山東大學,2005.
[7] 許素霞,傅秀芬等.改進遺傳算法在入侵檢測系統的應用[J].計算機系統應用,2007年第11期:104-107.
[8] 黃成偉,賈宇波等.一種Agent安全參考模型[J].計算機應用與軟件,2010,27(11):40-43.
基金項目:
湖南省科技計劃項目(2014FJ6026);湖南工學院教改項目(JY201425)資助。
作者簡介:
高為民(1975-),男,副教授,碩士;主要研究方向和關注領域:無線網絡、網絡安全。
方小勇(1982-),男,博士,副教授;主要研究方向和關注領域:圖形圖像處理、計算機仿真。endprint
5 實驗結果及分析
為了測試模型的性能及有效性,首先要搭建一個無線局域網的測試環境,在一個無線局域網內部署8臺主機,兩臺分別安裝Snort和Iptable的數據采集安全工具,一臺控制臺主機,一臺存放中央數據庫主機,一臺目標主機和一臺關聯引擎主機,一臺策略服務器,一臺數據采集器,一臺采集代理。內部網絡通過路由器與外部網絡連接,在外網中以移動節點作為攻擊主機,在中國電信衡陽分公司天翼3G工學院校園網絡上對系統進行測試。實驗過程要用到SQL Server2009、WinPcap、Snort、Aglets、Visual studio 2005、Iptable及攻擊軟件等。使用2012年6月第一個周末的數據作為訓練數據,第二個周末的數據作為測試數據,其中包含了攻擊數據包,總共收集了7149800個數據包。通過遺傳算法種群初始化編碼方法對數據包進行編碼,去除多余的數據,剩下的1243700個數據包作為自我集。實驗中所使用的數據包如表1所示。
評價入侵檢測系統性能的標準是準確性,準確性主要體現在漏報率和誤報率。因此,有必要先定義幾個指標參數:
檢測率=正確檢測出的入侵事件個數/總的入侵事件個數*100%
誤報率=誤報事件個數/總的正常事件個數*100%
漏報率=未檢測到的入侵事件個數/總的入侵事件個數*100%
我們將設計的IDS的檢測率、誤報率同開源的入侵檢測系統snort進行了比較。實驗結果如圖5所示。
通過實驗結果對照可以看出:訓練數據一樣的情況下,基于移動Agent和遺傳算法的IDS檢測準確率比傳統的Snort有一定程度的提高。
此外,為了驗證遺傳算法中種群數、迭代次數等對IDS的影響。通過仿真實驗,如圖6所示,基于移動Agent和GA的IDS系統隨著種群數的增加,IDS的檢測準確率將還會有所提高,同時檢測錯誤率有一定程度的減小。
6 結束語
本文提出將移動Agent和GA應用于IPv6環境下的分布式入侵檢測系統,采用動態分發相關移動代理來收集安全事件,遺傳算法GA來訓練數據并自適應計算網絡中的異常閥值,具有預測性強、實時響應快、較高的智能性和容錯能力、抗攻擊能力強、協同性好等優點。通過在移動IPv6網絡環境下驗證,設計的IDS在算法性能和檢測效率上具有優勢,適合于移動互聯網。
參考文獻
[1] 高為民,徐紅云.網絡入侵誘控系統的研究與實現[J],計算機測量與控制,2006,14(12):1751-1753.
[2] 馬軍,馬慧.移動互聯網安全問題分析及建議[J],現代電信科技,2009,28(7):46-49.
[3] 羅利民,周震.基于IPv6的網絡安全入侵檢測技術研究[J],科技通報,2012,28(4):114-115.
[4] 陳建銳,何增穎,梁永成.IPv6網絡入侵檢測系統設計[J],計算機技術與發展,2010, 20(9):123-126.
[5] 趙榮杰.IPv6網絡中的分布式入侵檢測系統研究與實現[D].西安:西安電子科技大學,2009.
[6] 侯方明.無線網絡中入侵檢測系統的研究與設計[D].濟南:山東大學,2005.
[7] 許素霞,傅秀芬等.改進遺傳算法在入侵檢測系統的應用[J].計算機系統應用,2007年第11期:104-107.
[8] 黃成偉,賈宇波等.一種Agent安全參考模型[J].計算機應用與軟件,2010,27(11):40-43.
基金項目:
湖南省科技計劃項目(2014FJ6026);湖南工學院教改項目(JY201425)資助。
作者簡介:
高為民(1975-),男,副教授,碩士;主要研究方向和關注領域:無線網絡、網絡安全。
方小勇(1982-),男,博士,副教授;主要研究方向和關注領域:圖形圖像處理、計算機仿真。endprint
5 實驗結果及分析
為了測試模型的性能及有效性,首先要搭建一個無線局域網的測試環境,在一個無線局域網內部署8臺主機,兩臺分別安裝Snort和Iptable的數據采集安全工具,一臺控制臺主機,一臺存放中央數據庫主機,一臺目標主機和一臺關聯引擎主機,一臺策略服務器,一臺數據采集器,一臺采集代理。內部網絡通過路由器與外部網絡連接,在外網中以移動節點作為攻擊主機,在中國電信衡陽分公司天翼3G工學院校園網絡上對系統進行測試。實驗過程要用到SQL Server2009、WinPcap、Snort、Aglets、Visual studio 2005、Iptable及攻擊軟件等。使用2012年6月第一個周末的數據作為訓練數據,第二個周末的數據作為測試數據,其中包含了攻擊數據包,總共收集了7149800個數據包。通過遺傳算法種群初始化編碼方法對數據包進行編碼,去除多余的數據,剩下的1243700個數據包作為自我集。實驗中所使用的數據包如表1所示。
評價入侵檢測系統性能的標準是準確性,準確性主要體現在漏報率和誤報率。因此,有必要先定義幾個指標參數:
檢測率=正確檢測出的入侵事件個數/總的入侵事件個數*100%
誤報率=誤報事件個數/總的正常事件個數*100%
漏報率=未檢測到的入侵事件個數/總的入侵事件個數*100%
我們將設計的IDS的檢測率、誤報率同開源的入侵檢測系統snort進行了比較。實驗結果如圖5所示。
通過實驗結果對照可以看出:訓練數據一樣的情況下,基于移動Agent和遺傳算法的IDS檢測準確率比傳統的Snort有一定程度的提高。
此外,為了驗證遺傳算法中種群數、迭代次數等對IDS的影響。通過仿真實驗,如圖6所示,基于移動Agent和GA的IDS系統隨著種群數的增加,IDS的檢測準確率將還會有所提高,同時檢測錯誤率有一定程度的減小。
6 結束語
本文提出將移動Agent和GA應用于IPv6環境下的分布式入侵檢測系統,采用動態分發相關移動代理來收集安全事件,遺傳算法GA來訓練數據并自適應計算網絡中的異常閥值,具有預測性強、實時響應快、較高的智能性和容錯能力、抗攻擊能力強、協同性好等優點。通過在移動IPv6網絡環境下驗證,設計的IDS在算法性能和檢測效率上具有優勢,適合于移動互聯網。
參考文獻
[1] 高為民,徐紅云.網絡入侵誘控系統的研究與實現[J],計算機測量與控制,2006,14(12):1751-1753.
[2] 馬軍,馬慧.移動互聯網安全問題分析及建議[J],現代電信科技,2009,28(7):46-49.
[3] 羅利民,周震.基于IPv6的網絡安全入侵檢測技術研究[J],科技通報,2012,28(4):114-115.
[4] 陳建銳,何增穎,梁永成.IPv6網絡入侵檢測系統設計[J],計算機技術與發展,2010, 20(9):123-126.
[5] 趙榮杰.IPv6網絡中的分布式入侵檢測系統研究與實現[D].西安:西安電子科技大學,2009.
[6] 侯方明.無線網絡中入侵檢測系統的研究與設計[D].濟南:山東大學,2005.
[7] 許素霞,傅秀芬等.改進遺傳算法在入侵檢測系統的應用[J].計算機系統應用,2007年第11期:104-107.
[8] 黃成偉,賈宇波等.一種Agent安全參考模型[J].計算機應用與軟件,2010,27(11):40-43.
基金項目:
湖南省科技計劃項目(2014FJ6026);湖南工學院教改項目(JY201425)資助。
作者簡介:
高為民(1975-),男,副教授,碩士;主要研究方向和關注領域:無線網絡、網絡安全。
方小勇(1982-),男,博士,副教授;主要研究方向和關注領域:圖形圖像處理、計算機仿真。endprint
