基于網管系統的分布式入侵檢測模型研究

孫 蔚

（陜西工業職業技術學院 信息工程學院，陜西 咸陽 712000）

入侵檢測系統（IDS）是一種對網絡系統進行實時智能監控，能準確地檢測到入侵，并對入侵進行及時有效的響應的安全機制。目前入侵檢測技術所面臨最嚴峻的挑戰是如何提高檢測率和降低誤報率[1]。入侵檢測系統分析數據的主要來源于網絡原始數據包，但是，僅僅分析這些原始數據是不夠的。要提高檢測率，入侵檢測系統必須通過整合多元化信息，交叉分析檢測結果以提高準確性。另外，現在許多入侵檢測系統尤其是商業產品的檢測技術主要使用模式匹配技術，但模式匹配技術只能檢測已知的入侵攻擊[2]。隨著許多新的攻擊形式出現，僅僅使用誤用檢測技術本身是不夠的，異常檢測也應該在入侵檢測中扮演更重要的角色。

1 入侵檢測和網絡管理整合模型

安全管理是網管系統(NMS)的一個重要的組成部分，并已成為一個積極而重要的研究領域。一般來說，安全管理包括安全方面的訪問控制，認證，公開密鑰體系（PKI）等。在網絡管理系統中(NMS)，分析的主要數據資來源于管理信息庫（MIBs）。但是，僅僅管理信息庫（MIBs）的記錄是不能滿足入侵檢測系統數據分析需求的。例如 網絡連接或IP包頭數據是檢測到一些攻擊行為的非常重要的信息。此外，當進行攻擊的情景分析時，管理信息庫（MIB）的數據就是不完整的。而且目前的網絡管理系統(NMS)對入侵檢測系統發出的警報缺乏有效的分析和管理能力[3-4]。這樣的管理缺陷會使安全管理不完整。以此應在網絡管理的領域中設置應答入侵檢測的分析和故障處理能力。現行的網絡安全設置的做法是在網絡中孤立的安裝入侵檢測系統和網管系統，兩者相對獨立，他們之間幾乎沒有聯系和信息共享。本文研究的目的就是要研究如何把入侵檢測和網絡管理在審計數據來源，分析技術，系統結構和部署策略等方面進行結合。通過集成入侵檢測系統和網絡管理，來改善的入侵檢測系統的效果和加強安全管理功能。

1.1 系統架構

在今天的網絡環境中，由于網絡的拓撲結構變得更加復雜和攻擊方法＂多變＂ ，入侵檢測系統是很難在網絡上只有一個觀察點的狀態下實現有效地監測和分析。因此，我們的系統架構設計是分布式、層次化的。我們將系統架構的保護和分析作用域劃分為為本地分析（local analysis ），區域分析（ region alanalysis） 和全局分析（globalanalysis ）三層。在一個高速、高負載的網絡環境下，一般的入侵檢測系統不能及時準確的檢測到所有對網絡的可能攻擊，因此，在我們的體系結構中將在每一個子網中使用多種專用入侵檢測器，每個檢測器檢測不同的攻擊行為[5]。例如，基于主機的入侵檢測器，可以分析的BSM審計數據、系統調用的痕跡、或者是根據shell的調用監測被檢測主機的應用程序和用戶行為的變化。至于網絡入侵檢測器負責檢測被攻擊者利用的網絡協議的弱點。所有的入侵代理的部署都是基于整個系統的安全政策略安排。舉例來說，我們可以在關鍵服務器上安裝基于主機的入侵代理，以保護他們不被攻擊。在路由器或交換機上安裝基于網絡的入侵代理，監測網絡流量運行。

每個檢測關聯器（ID Correlator）在其網域中管理相關本地的檢測代理（ID Agents），整合本地的安全事件或本地入侵代理發出警報，及本網域內的入侵警報。檢測關聯器其負責其覆蓋作用域內安全活動，并將結果報告給入侵檢測管理器。入侵檢測管理器負責整個網絡的入侵檢測，如校園網。它綜合多個網域的入侵檢測關聯器的檢測報告進行全局分析。以檢測那些更完整和復雜的攻擊[6]。入侵檢測管理器給網絡管理員發出最后的入侵檢測報告，入侵檢測管理器負責除了安全管理之外整個網絡管理的工作。檢測關聯器和入侵檢測管理器向相應的接收器發出基于安全政策的入侵響應命令。

圖1 入侵檢測的分層體系結構Fig.1 Hierarchical intrusion detection architecture

1.2 檢測代理

在本系統的研究模型下，一個檢測代理負責某一特定類型的入侵檢測，在每個檢測代理都3個檢測引擎：簽名引擎、輪廓引擎、MIB引擎，其中簽字引擎側重于通過檢查已知的對簽名攻擊行為以檢測入侵。輪廓引擎負責在異常檢測的基礎上檢測網絡或用戶行為是否偏離正常。這兩個引擎使用的是＂傳統＂式的數據源（如BSM記或原始網絡數據包）。MIB引擎檢側與MIB相關的MIB對象，并比較它們與正常的MIB的輪廓差別以檢測入侵。不同檢測代理（ID Agent）根據他們檢測目標可以包含一個或一組檢測引擎。當檢測引擎檢測到到異常行為時將與知識庫中的存儲規則集和攻擊模式進行比較，以判斷是否發生入侵。同時通過簡單網絡管理協議（Snmp）接口，將檢測代理的檢測警報和檢測關聯器控制信息封裝進Snmp數據包發給檢測關聯器。

1.3 檢測關聯器

在我們的架構中，檢測關聯器是一個重要的組成部分。檢測關聯器主要職責是將整合分析檢測代理發送的警報信息以確定入侵的性質，預測入侵的趨勢，對入侵采取響應適當的行動，并防止潛在的入侵，最后發送警報給檢測管理器作進一步的入侵分析和全局化的分析，其工作過程是由警報采集模塊接受從檢測代理發出的事件或警報。然后由安全關聯引擎將檢測代理發送的警報器與知識庫中相關模型進行模式匹配，分析相關性，預測和確定入侵的目的和趨勢。

檢測關聯器的知識庫主要存儲網絡知識，如網絡的拓撲結構、網絡部件信息等。它會存儲檢測關聯器相關的信息，舉例來說，如果相關檢測引擎采用基于規則推理（rbr）的檢測技術，該規則集將被儲存在知識庫。如果相關檢測引擎的核心技術是規則推理，那么知識庫會存儲案例庫進行知識積累，同樣入侵攻擊知識，如攻擊情景，入侵簽名也會被儲存在知識庫。假如對于一可疑行為，如果檢測關聯器沒有現有的入侵反應知識可提供，那么檢測關聯器將響應責任發送給檢測管理器，由檢測管理器將給知識庫增加新的反應的知識，供今后使用。

2 基于信息管理庫（MIB）的檢測代理

由于檢測分析任務由檢測代理完成，使得這種分布式和和層次化的入侵檢測系統(IDS)可以使用在高速網絡環境下[7]。在入侵檢側和網絡管理的集成環境下，有兩個層次的關聯，在較低的層面上，我們需要將相關的多種來源的信息發送給檢測代理，以確定哪些地方發生了入侵。在較高的層面上，檢測關聯器和檢測管理器全局關聯分析攻擊的情況和協調偵查分布式攻擊。這種分級關聯體系要實現的目標是：降低誤報率和較高的檢出率；并且對分布式攻擊有較好的分析能力。

入侵檢測系統的高誤報率的一個重要因素是缺乏足夠的信息。檢測代理可通過監測和分析網絡數據包來觀察不同目地的主機的信息，但是不同的操作系統執行網絡協議的細節有所不同。如果網絡數據包的數據是唯一的信息來源，入侵檢測系統可能產生虛假警報，它認為＂可疑＂的流量實際上是“無害”的。在我們的系統架構中，檢測引擎關聯不同的檢測代理發出的警報，如果真的有入侵攻擊則向檢測關聯器發出最后警報報告。這種通過結合多種來源的異常信息以確定異常攻擊的模式是非常有效的。

為了提高入侵檢測的檢測效率，在檢測代理增加信息管理庫（MIB）檢測模塊也是必要的。例如，對于如拒絕服務攻擊（DoS）以流量為基礎的攻擊模式，流量統計是較好的檢測方式。不過由于目前大多數入侵檢測系統使用原始數據包的作為網絡入侵檢數據來源，因此入侵檢測引擎需要在計算相關原始數據包的統計數字的基礎上去檢測異常流量。而這種方法在空間上和時間的效率都低。實際上，網管系統（NMS）提供了一套全面的網絡活動的變化統計數據，這對異常檢測是非常寶貴的。舉例來說，MIB II就有許多對象代表流量信息以及網絡和主機的配置信息。當我們安裝簡單網絡管理協議（SNMP）時就附帶了信息管理庫（MIBs）.因此我就可以用它來進行入侵檢測。此外，根據一些MIB II對象的出錯統計信息還可以進行檢測預測。而RMON MIB也是檢測代理監測連接主機的網絡應用和應用程序運行的一個很好的數據來源。因此，我們認為，利用網絡管理系統（NMS）的信息可以緩解入侵檢測系統（IDS）信息的收集和計算的工作量。

另外，入侵檢測系統所提供入侵檢測的信息能提高網管系統的性能管理和分析網絡運行，特別是在安全領域的管理。網絡管理和入侵檢測的集成將使工作更加方便和有效率，因為集成將一體化統一接口（例如，報告）和操作標準/策略（如警報）。因此，兩者的整合可以使兩種技術更加有效、易于使用、易于接受。

3 結 論

在本文中，我們設計了基于網管系統的分布式入侵檢測模型研究模型。并提出了一種分層、分布式入侵檢測系統模型，它可以集成到現有的網管系統。我們還提出了分層的關聯性的系統結構，以提高檢測精度、關聯相關入侵信息。我們運行tfw2k和trinoo攻擊工具的分布式拒絕服務（ddos）攻擊來評估本檢測模型。結果表明，本模型對Ping Flood,、Syn Flood、Targa3、 UDP Flood 和 Mix Flood.具有非常高的檢測精度和相對較低的誤報率。這也顯示了相應的子模塊能發現針對相應的協議的入侵。同時，基于MIB II的入侵檢測模型能夠有效的檢測如拒絕服務攻擊（DDOS）等基于流量的攻擊。實踐表明，基于網管系統的分布式入侵檢測模型研究模型將大大提高入侵檢測系統檢測效率。

[1]Amoroso E. Intrusion Detection: An Introduction to Intemet Surveillance, Correlation, Traps, Trace Back, and Response[M].Intrusion.Net Books, 1999.

[2]Anderson D , Frivold T, Valdes A.Next-generation intrusion detectionexpert system (NIDES): A summary. Technical Report SRICSL-95-07[M]. Computer Science Laboratory, SRI International,MenloPark, Califomia, 1995.

[3]王珺,王崇駿,謝俊元, 等.基于Agent的網絡入侵檢測技術的研究[J]. 計算機科學, 2006, 1(12):66-68

WANG Jun ,WANG Chong-Jun,XIE Jun-yuan,et al. Research on agent-based intrusion detection technique[J].Computer Science,2006,1(12):66-68.

[4]何波.基于Agent的網絡入侵檢測專家系統[J]. 微電子學與計算機 ,2011,28(9):93-96.

HE Bo. Intrusion detection expert system of network based on agent[J].Microelectronics & Computer, 2006, 23(9):191-193.

[5]史志才,夏永祥. 高速網絡環境下的入侵檢測技術研究綜述[J].計算機應用研究,2010, 27(5):1606-1610.

SHI Zhi-cai, XIA Yong-xia.Survey on intrusion detectiontechniques for high-speed networks[J].Application Researchrs, of Compute 2010.27(5):1606-1610.

[6]毛國君,宗東軍. 基于多維數據流挖掘技術的入侵檢測模型與算法[J]. 計算機研究與發展, 2009,46(4): 602-609.

MAO Guo-jun, ZONG Dong-jun. An intrusion detection model based on mining multi-dimension data streams[J]. Journal of Computer Research and Development, 2009, 46(4): 602-609.

[7]蔡洪民,伍乃騏,陳素.分布式入侵檢測系統的研究與實現[J]. 計算機工程與設計, 2009, 30(6):1383-1386.

CAI Hong-min,WU Nai-qi ,CHEN Su. Research and implement of distributed intrusion detection system[J].Computer Engineering and Design,2009, 30(6): 1383-1386.