协作式入侵检测系统模型研究

协作式入侵检测系统模型研究

黎昂1，2胡小龙1

（1、中南大学信息科学与工程学院，湖南长沙4100752、湖南工学院现代教育技术中心，湖南衡阳421002）

摘要：通过对现有入侵检测技术的分析，提出一种基于协议分析的分布式入侵检测方法，采用分布收集信息，分布处理多方协作的方式，将基于主机的IDS和基于网络的IDS结合使用，构筑面向大型网络的IDS；然后通过全局安全网络协作，收集拨号用户的信息，检查个体计算机是否存在漏洞、病毒，如果发现有就阻止其接入网络，强制其用到可信的网络修复系统或更新最新的病毒库。

关键词：网络安全；入侵检测；协作

1入侵检测概述

JamesAderson在1980年使用了“威胁”概述术语，其定义与入侵含义相同。将入侵企图或威胁定义未经授权蓄意尝试访问信息、窜改信息、使系统不可靠或不能使用。Heady给出定外的入侵定义，入侵时指任何企图破坏资源的完整性、机密性及可用性的活动集合。Smaha从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。

从技术上入侵检测系统可分为异常检测型和误用检测型两大类。异常入侵检测是指能够根据异常行为和使用计算机资源情况检测出来的入侵。异常检测试图用定量方式描述可接受的行为特征，以区别非正常的、潜在入侵性行为。误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵。与异常入侵检测相反，误用入侵检测能直接检测不利的或不可接受的行为，而异常入侵检测是检查同正常行为相违背的行为。

从系统结构上分，入侵检测系统大致可以分为基于主机型、基于网络型和基于主体型三种。

基于主机入侵检测系统为早期的入侵检测系统结构、其检测的目标主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件，检测系统可以运行在被检测的主机上。这种类型系统依赖于审计数据或系统日志准确性和完整性以及安全事件的定义。若入侵者设法逃避设计或进行合作入侵，则基于主机检测系统就暴露出其弱点，特别是在现在的网络环境下。单独地依靠主机设计信息进行入侵检测难以适应网络安全的需求。这主要表现，一是主机的审计信息弱点，如易受攻击，入侵者可通过通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二是不能通过分析主机审计记录来检测网络攻击（域名欺骗、端口扫描等）。因此，基于网络入侵检测系统对网络安全是必要的，这种检测系统根据网络流量、协议分析、简单网络管理协议信息等数据检测入侵。主机和网络型的入侵检测系统是一个统一集中系统，但是，随着网络系统结构复杂化和大型化，系统的弱点或漏洞将趋向于分布式。另外，入侵行为不再是单一的行为，而是表现出相互协作入侵特点。入侵检测系统要求可适应性、可训练性、高效性、容错性、可扩展性等要求。不同的IDS之间也需要共享信息，协作检测。于是，美国普度大学安全研究小组提出基于主体入侵检测系统。其主要的方法是采用相互独立运行的进程组（称为自治主体）分别负责检测，通过训练这些主体，并观察系统行为，然后将这些主体认为是异常的行为标记出来，并将检测结果传送到检测中心。另外，SStaniford等人提出了CIDF[3]。目前CIDF正在研究之中[2]。

对于入侵检测系统评估，主要性能指标有：a.可靠性，系统具有容错能力和可连续运行；b.可用性，系统开销要最小，不会严重降低网络系统性能；c.可测试，通过攻击可以检测系统运行；d.适应性，对系统来说必须是易于开发和添加新的功能，能随时适应系统环境的改变；e.实时性，系统能尽快地察觉入侵企图以便制止和限制破坏；f.准确性，检测系统具有低的误警率和漏警率；g.安全性，检测系统必须难于被欺骗和能够保护自身安全[4]。

2协作式入侵检测系统模型

随着黑客入侵手段的提高，尤其是分布式、协同式、复杂模式攻击的出现和发展，传统、单一、缺乏协作的入侵检测技术已不能满足需求，要有充分的协作机制，下面就提出协作式入侵检测的基本模型。

2.1协作式入侵检测系统由以下几个部分组成：

2.1.1安全认证客户端(SU)。能够执行端点防护功能，并参与用户的身份认证过程。参与了合法用户的验证工作完成认证计费操作，而且还要完成安全策略接收、系统信息收集、安全漏洞上传，系统补丁接收修复等大量的工作，对系统的控制能力大大增强。

2.1.2安全计费服务器(SMA)。承担身份认证过程中的Radius服务器角色，负责对网络用户接入、开户，计费等系统管理工作外，还要负责与安全管理平台的联动，成为协作式入侵检测系统中非常重要的一个环节。

2.1.3安全管理平台(SMP)。用于制定端点防护策略、网络攻击防护防止规则，协调系统中的其他组件在网络资源面临的安全威胁进行防御，能够完成事前预防、事中处理、事后记录等三个阶段的工作。智能的提供一次配置持续防护的安全服务。

2.1.4安全事件解析器(SEP)。接收处理NIDS发送过来的网络攻击事件信息，处理后发送给安全管理平台，目的是屏弊不同厂家的NIDS的差异，把不同厂商、不同的入侵事件转换成统一的安全管理平台能处理的格式转发给安全管理平台，便于安全管理平台处理。

2.1.5入侵检测系统(IDS)。网络入侵检测设备，对网络流量进行旁路监听，检测网络攻击事件，并通过SEP向安全管理平台反馈网络攻击事件，由安全管理平台处埋这些攻击事件。一个网络中可以布暑多个IDS设备。

入侵检测系统由三个部分组成：

a.Sensor探测器，也就是我们常看到的硬件设备，它的作用是接入网络环境，接收和分析网络中的流量。

b.控制台：提供GUI管理界面，配置和管理所有的传感器并接收事件报警、配置和管理对于不同安全事件的响应方式、生成并查看关于安全事件、系统事件的统计报告，控制台负责把安全事件信息显示在控制台上。

c.EC（EventCollector）事件收集器，它主要起以下作用：负责从sensor接收数据、收集sensor日志信息、负责把相应策略及签名发送给sensor、管理用户权限、提供对用户操作的审计，向SEP发送入侵事件等工作。EC可以和控制台安装在同一个工作站中。

2.2协作式入侵检测系统中组件间的交互过程

2.2.1SAM和SMP的交互过程

在协作式入侵检测系统中，SMP同SAM的关系就是，SMP连接到SAM。连接成功后，接收SAM发送的接入用户上线，下线消息。Su上线，SAM发送用户上线消息。Su下线，SAM发送用户下线消息。Su重认证，SAM发送用户上线消息。

2.2.2JMS相关原理

SMP同SAM之间的交互是通过JMS（JavaMessageService）。SAM启动JBoss自带的JMS服务器，该服务器用于接收和发送JMS消息。SAM同时也作为JMS客户端（消息生产者），负责产生JMS信息，并且发送给JMS服务器，SMP也是JMS客户端（消息消费者）。目前SAM所实现的JMS服务器是以“主题”的方式发布的，即有多少个JMS客户端到JMS服务器订阅JMS消息，JMS服务器就会发送给多少个JMS客户端。当然了消息生产者也可以多个。相当于JMS服务器（如SAM）是一个邮局，其它如JMS客户端（如SMP，NTD）都是订阅杂志的用户，同时SAM也作为出版商产生杂志。这样，SAM产生用户上下线消息，发送到SAM所在Jboss服务器的JMS服务器中，JMS服务器发现SMP订阅了该消息，则发送该消息给SMP。

在协作式入侵检测系统中，SMP就是JMS客户端，SAM既作为JMS消息生产者，也作为JMS服务器。当SMP启动时，SMP通过1099端口连接到SAM服务器，并且进行JMS消息的订阅，订阅成功后，即表示SMP同SAM联动成功。当用户通过su上线成功后，SAM根据JMS的格式，产生一条JMS信息，然后发送给JMS服务器，JMS服务器检查谁订阅了它的JMS消息，然后发送给所有的JMS用户。

2.2.3SU和SMP的交互过程

间接交互：对于Su上传的端点防护HI状态（成功失败），HI配置文件更新请求，每个Su请求的响应报文，SMP下发给Su的相关命令，均通过交换机进行透传，即上传的信息都包含再SNMPTrap中，下发的信息都包含在SNMPSet报文中。交换机将Su上传的EAPOL报文封装在SNMPTrap包中，转发给SMP。交换机将SMP下发的SNMPSet报文进行解析，提取出其中包含的EAPOL报文，直接转发给Su。这样就实现了Su同SMP的间接交互，隐藏了SMP的位置。

直接交互：对于一些数据量较大的交互，无法使用EAPOL帧进行传输（帧长度限制）。因此Su从SMP上面下载HI配置文件（FTP服务，端口可指定），Su发送主机信息给SMP的主机信息收集服务（自定义TCP协议，端口5256，能够通过配置文件修改端口），都是由SU和SMP直接进行交互。

2.2.4SMP同交换机之间的交互

有如下几种情况：

交换机发送SNMPTrap报文给SMP。交换机发送的SNMPTrap都是用于转发Su上传的消息，如果没有Su，交换机不会发送任何同GSN方案相关的Trap给SMP的。

SMP发送SNMPGet和SNMPSet给交换机。a.在用户策略同步时，会先通过SNMPGet报文从交换机获取交换机的策略情况。b.安装删除策略时，SMP将策略相关信息发送SNMPSet报文中，发送给交换机。c.对用户进行重人证，强制下线，获取HI状态，手动获取主机信息等命令，都是通过SNMPSet发送给交换机的，然后由交换机解释后，生成eapol报文，再发送给su，由su进行实际的操作。

2.2.5SMP与SEP交互

SEP在收到NIDS检测到的攻击事件后（这个攻击事件是多种厂商的NIDS设备通过Syslog、UDP、SNMP等报文的形式发送到SEP的），SEP处理完这些不同厂商发现不同攻击事件的信息后，以UDP的方式发送到SMP中，完成SEP和SMP的交互过程，这是一个单向的过程，也就是说SMP只从SEP中接收数据，而不向SEP发送数据。

2.2.6SEP与NIDS交互

首先NIDS检测到某个IP和MAC主机对网络的攻击事件，并把结果通过Syslog、UDP、SNMP等报文的形式发送到SEP（安全事件解析器），安全事件解析器SEP再把这个攻击事件通过UDP报文转发到SMP（安全管理平台）。

2.3协作式入侵检测系统工作原理

协作式入侵检测系统工作原理：

2.3.1身份认证——用户通过安全客户端进行身份认证，以确定其在该时间段、该地点是否被允许接入网络；

2.3.2身份信息同步——用户的身份认证信息将会从认证计费管理平台同步到安全策略平台。为整个系统提供基于用户的安全策略实施和查询；

2.3.3安全事件检测——用户访问网络的流量将会被镜像给入侵防御系统，该系统将会对用户的网络行为进行检测和记录；

2.3.4安全事件通告——用户一旦触发安全事件，入侵防御系统将自动将其通告给安全策略平台；

2.3.5自动告警——安全策略平台收到用户的安全事件后，将根据预定的策略对用户进行告警提示；

2.3.6自动阻断（隔离）——在告警提示的同时，系统将安全（阻断、隔离）策略下发到安全交换机，安全交换机将根据下发的策略对用户数据流进行阻断或对用户进行隔离；

2.3.7修复程序链接下发——被隔离至修复区的用户，将能够自动接收到系统发送的相关修复程序链接；

2.3.8自动获取并执行修复程序——安全客户端收到系统下发的修复程序连接后，将自动下载并强制运行，使用户系统恢复正常。

3结论

本文结合实际的网络环境，充分利用各种现有设备，构建出协作式入侵检测系统模型，实现了“多兵种协同作战”的全局安全设计，同时将安全结构覆盖网络传输设备（网络交换机、路由器等）和网络终端设备（用户PC、服务器等），成为一个全局化的网络安全综合体系。

参考文献

[1]CNCERT/CC.2007年网络安全工作报告.

[2]张晓芬,陈明奇等.入侵检测系统(IDS)的发展[J].信息安全与通信保密,2002，3（15）.

[3]SStaniford2Chen,BTung,DSchnackenberg1Thecommonintru2siondetectionframework(CIDF)1The1stInformationSurviv2abilityWorkshop,Orlando,FL,USA,1998

[4]蒋建春,马恒太等.网络安全入侵检测:研究综述[J].软件学报,2000（11）.