網(wǎng)格技術(shù)在智能入侵檢測中的應(yīng)用

摘要：針對目前入侵檢測系統(tǒng)中存在的誤報(bào)率、檢測率和高帶寬通信量下的處理能力等問題，結(jié)合網(wǎng)格技術(shù)的應(yīng)用背景，提出基于的網(wǎng)格的智能入侵檢測系統(tǒng)的應(yīng)用模型。本文對其產(chǎn)生的原因、該系統(tǒng)的特點(diǎn)，該系統(tǒng)的應(yīng)用平臺、工作流程進(jìn)行了詳細(xì)的闡述。目的是實(shí)現(xiàn)網(wǎng)格虛擬環(huán)境下入侵檢測系統(tǒng)的高性能資源共享和協(xié)同工作，解決一般入侵檢測系統(tǒng)存在的問題，實(shí)現(xiàn)網(wǎng)絡(luò)資源的全面共享，提高工作效率。

關(guān)鍵詞：網(wǎng)格技術(shù)；入侵檢測系統(tǒng)；資源共享

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)34-1897-03

Grid Technology in Application of Intelligent Intrusion Detection System

WANG Hong-ming

(Information Technology Department， Changzhou Textile Garment Institute， Changzhou 213164， China)

Abstract: To resolve the problems such as wrong report rate， measuring rate and handling capacity under the high bandwidth communication amount existing in the IDS at present， application background on it combine the grid，it propose on the basis of application model to IIDS based on grid.This paper set forth the procreant reason、the characteristic、the application of platform and work flow of the system on grid. The purpose is to realize the IDS based on grid with high-performancedresource-sharing and works in coordination under the fictitious environment， solve generally existing problem of the IDS， realize the overall sharing of the resources of the network， improve working efficiency.

Key words: Grid; IDS; resource share

1 基于網(wǎng)格技術(shù)的智能入侵檢測系統(tǒng)產(chǎn)生的原因

雖然對入侵檢測方法及技術(shù)的研究已經(jīng)有20多年的歷程，但目前入侵檢測系統(tǒng)仍處于相當(dāng)初級的階段；工業(yè)產(chǎn)品在實(shí)施方法上大都采用類似于反病毒軟件的硬編碼機(jī)制，這顯然不適合日益變化的網(wǎng)絡(luò)攻擊行為；實(shí)驗(yàn)室研究雖然提出了各種新方法來檢測新類型攻擊行為，但離實(shí)用還有相當(dāng)?shù)木嚯x。

但由于入侵檢測系統(tǒng)受自身原始數(shù)據(jù)的來源以及分析方法的影響，現(xiàn)有的入侵檢測系統(tǒng)所面臨的主要問題如下：

1) 當(dāng)前IDS使用的主要檢測技術(shù)仍然是模式匹配，模式庫的組織簡單、不及時(shí)、不完整，而且缺乏對未知攻擊的檢測能力；

2) 隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大以及異構(gòu)平臺和不同技術(shù)的采用，尤其是網(wǎng)絡(luò)帶寬的迅速增長，IDS的分析處理速度越來越難跟上網(wǎng)絡(luò)流量，從而造成數(shù)據(jù)包丟失；

3) 網(wǎng)絡(luò)攻擊方法越來越多，攻擊技術(shù)及其技巧性日趨復(fù)雜，也加重了IDS的誤報(bào)、漏報(bào)現(xiàn)象。

除此之外，現(xiàn)有系統(tǒng)還存在著操作非常繁瑣、配置復(fù)雜等問題。總之，入侵檢測系統(tǒng)技術(shù)處于快速發(fā)展之中但目前還不成熟。在商業(yè)產(chǎn)品領(lǐng)域，方法、技術(shù)的單一性限制了入侵檢測系統(tǒng)在性能上的經(jīng)一步提供；在研究領(lǐng)域，科研人員嘗試著使用各種各樣的方法，但到目前為止，還缺乏一個(gè)全面的、指導(dǎo)性的理論框架，大量的工作還需要經(jīng)一步探索。本文的研究工作就是針對目前入侵檢測系統(tǒng)的若干缺點(diǎn)，采用模糊綜合評判技術(shù)，運(yùn)用具有學(xué)習(xí)能力的軟計(jì)算算法，提出了一個(gè)智能入侵檢測系統(tǒng)（Intelligent Intrusion Detection System）的體系結(jié)構(gòu)。

網(wǎng)格是把整個(gè)互聯(lián)網(wǎng)整合成一臺巨大的超級計(jì)算機(jī)，實(shí)現(xiàn)計(jì)算資源、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源的全面共享。對于web技術(shù)，人們已經(jīng)實(shí)現(xiàn)了文件(html瀏覽也是一種共享)的共享；網(wǎng)格就是要駕臨于web之上，實(shí)現(xiàn)任何資源的共享。網(wǎng)格超越了計(jì)算機(jī)之間簡單的通信，最終目的是為了把全球的計(jì)算機(jī)聯(lián)合成一臺超級計(jì)算機(jī)[1]。

網(wǎng)格技術(shù)是伴隨著互聯(lián)網(wǎng)技術(shù)而迅速發(fā)展起來的，這種技術(shù)是利用互聯(lián)網(wǎng)，把分散在不同地理位置的計(jì)算機(jī)組織成一個(gè) “虛擬的超級計(jì)算機(jī)”，其中每一臺參與計(jì)算的計(jì)算機(jī)就是一個(gè)“節(jié)點(diǎn)”，而整個(gè)計(jì)算是由成千上萬個(gè)“節(jié)點(diǎn)”組成的“一張網(wǎng)格”。網(wǎng)格服務(wù)的最大優(yōu)點(diǎn)是實(shí)現(xiàn)了廣域網(wǎng)環(huán)境下的程序和資源的互連，其松耦合的特點(diǎn)能夠很好的解決數(shù)據(jù)資源自治性和分布性的問題，解決技術(shù)異構(gòu)和接口異構(gòu)的問題[3]。

基于網(wǎng)格服務(wù)的智能入侵檢測系統(tǒng)是將本地檢測服務(wù)器的任務(wù)分配給多個(gè)基于網(wǎng)格的主機(jī)，這些主機(jī)不分等級，各司其職，聯(lián)合起來負(fù)責(zé)監(jiān)控各自主機(jī)的某些活動。所以，其可伸縮性、安全性都等到了顯著的提高，并且對基于網(wǎng)絡(luò)的共享數(shù)據(jù)量的要求較低。

2 Globus網(wǎng)格模型

Globus[2]是美國Argonne國家實(shí)驗(yàn)室聯(lián)合多家研究機(jī)構(gòu)研發(fā)的項(xiàng)目，它能對高性能遠(yuǎn)程計(jì)算資源實(shí)現(xiàn)普遍的、可靠的、一致性的訪問。目前的Globus被認(rèn)為是網(wǎng)格計(jì)算技術(shù)的典型代表和事實(shí)上的規(guī)范。Globus的體系結(jié)構(gòu)為五層沙漏結(jié)構(gòu)，如圖1所示。

五層沙漏結(jié)構(gòu)的一個(gè)重要特點(diǎn)是沙漏形狀。因?yàn)楦鞑糠謪f(xié)議的數(shù)量是不同的，對于其最核心的部分，要能夠?qū)崿F(xiàn)上層各種協(xié)議向各種核心協(xié)議的映射，同時(shí)實(shí)現(xiàn)核心協(xié)議向下層各其他協(xié)議的映射，核心協(xié)議在所有支持網(wǎng)格計(jì)算的地點(diǎn)都應(yīng)該得到支持，因此核心協(xié)議的數(shù)量不應(yīng)該很多，這樣核心協(xié)議就形成了協(xié)議層次結(jié)構(gòu)中的一個(gè)瓶頸，在模型中，資源層與連接層組成了這一核心的瓶頸部分。

下面對五層的功能特點(diǎn)分別進(jìn)行描述。

1) 構(gòu)造層

構(gòu)造層的基本功能就是控制局部的資源，包括查詢機(jī)制（發(fā)現(xiàn)資源的結(jié)構(gòu)和狀態(tài)等信息）、控制服務(wù)質(zhì)量的資源管理能力等，并向上提供訪問這些資源的接口。構(gòu)造層資源是非常廣泛的，可以是計(jì)算資源、存儲系統(tǒng)、目錄、網(wǎng)絡(luò)資源以及傳感器等等。構(gòu)造層資源提供的功能越豐富，則構(gòu)造層資源可以支持的高級共享操作就越多，例如如果資源層支持提前預(yù)約功能，則很容易在高層實(shí)現(xiàn)資源的協(xié)同調(diào)度服務(wù)，否則在高層實(shí)現(xiàn)這樣的服務(wù)就會有較大的額外開銷。

2) 連接層

連接層的基本功能就是實(shí)現(xiàn)相互的通信。它定義了核心的通信和認(rèn)證協(xié)議，用于網(wǎng)格的網(wǎng)絡(luò)事務(wù)處理。通信協(xié)議允許在構(gòu)造層資源之間交換數(shù)據(jù)，要求包括傳輸、路由、命名等功能。在實(shí)際中這些協(xié)議大部分是從TCP/IP協(xié)議棧中抽取出的。認(rèn)證協(xié)議建立在通信服務(wù)之上，提供的功能包括：單一登錄、代理、與局部安全方法的集成、基于用戶的信任機(jī)制。

3) 資源層

資源層的主要功能就是實(shí)現(xiàn)對單個(gè)資源的共享。資源層定義的協(xié)議包括安全初始化、監(jiān)視、控制單個(gè)資源的共享操作、審計(jì)以及付費(fèi)等。它忽略了全局狀態(tài)和跨越分布資源集合的原子操作。

4) 匯聚層

匯聚層的主要功能是協(xié)調(diào)多種資源的共享。匯聚層協(xié)議與服務(wù)描述的是資源的共性，包括目錄服務(wù)、協(xié)同分配和調(diào)度以及代理服務(wù)、監(jiān)控和診斷服務(wù)、數(shù)據(jù)復(fù)制服務(wù)、網(wǎng)格支持下的編程系統(tǒng)、負(fù)載管理系統(tǒng)與協(xié)同分配工作框架、軟件發(fā)現(xiàn)服務(wù)、協(xié)作服務(wù)等。它們說明了不同資源集合之間是如何相互作用的，但不涉及到資源的具體特征。

5) 應(yīng)用層

應(yīng)用層是在虛擬組織環(huán)境中存在的。應(yīng)用可以根據(jù)任一層次上定義的服務(wù)來構(gòu)造。每一層都定義了協(xié)議，以提供對相關(guān)服務(wù)的訪問，這些服務(wù)包括資源管理、數(shù)據(jù)存取、資源發(fā)現(xiàn)等。在每一層，可以將API定義為與執(zhí)行特定活動的服務(wù)交換協(xié)議信息的具體實(shí)現(xiàn)。

3 基于網(wǎng)格的智能入侵檢測系統(tǒng)的特點(diǎn)

將模糊數(shù)學(xué)的理論和方法運(yùn)用到入侵檢測當(dāng)中是最近兩年興起的，目前有兩種方式：

1) 一種方式是在現(xiàn)在有的方法上引入模糊集合中隸屬度函數(shù)的概念，例如，將現(xiàn)有的數(shù)據(jù)挖掘和模糊邏輯相結(jié)合，避免現(xiàn)有數(shù)據(jù)挖掘方法中產(chǎn)生的“尖銳邊界”問題。

2) 另一種方式是把入侵檢測系統(tǒng)中的整個(gè)分析模塊看作是一個(gè)模糊系統(tǒng)，將入侵檢測的過程看作是一個(gè)多模糊證據(jù)綜合判別的問題，先將待檢測因素集的各因子進(jìn)行模糊化處理，根據(jù)單一的因子，從它相應(yīng)的模糊集和隸屬函數(shù)得到用于判別的決策向量，綜合多各因子的決策向量，對行為進(jìn)行判別。這樣可以降低從某個(gè)證據(jù)檢測入侵帶來的不確定程度，減小漏報(bào)和誤報(bào)的可能性。

構(gòu)建入侵檢測系統(tǒng)是一件繁瑣而且任務(wù)量大的工作，這在一定程度上限制了對入侵檢測方法的研究。在Globus網(wǎng)格模型下，網(wǎng)格中所有用于共享的實(shí)體都是資源，計(jì)算機(jī)、存儲器、數(shù)據(jù)、軟件是資源，分成式文件系統(tǒng)、緩沖池等也是資源。網(wǎng)格是一個(gè)異構(gòu)、動態(tài)的計(jì)算平臺、具有跨管理域、多樣化、動態(tài)的資源共享特征。網(wǎng)格服務(wù)定義自己的信息傳送接口，動態(tài)的調(diào)用網(wǎng)格中的各種資源完成大規(guī)模計(jì)算，響應(yīng)服務(wù)的請求，因此基于網(wǎng)格的入侵檢測系統(tǒng)具有如下比較鮮明的特點(diǎn)[1]：

網(wǎng)格資源的共享：資源共享包括計(jì)算資源共享、數(shù)據(jù)和信息資源共享、應(yīng)用和服務(wù)共享、設(shè)備共享、軟件共享等，網(wǎng)格將多個(gè)動態(tài)變化的資源集成起來，提供動態(tài)、跨組織邊界的資源整合的支撐環(huán)境，解決文件完整性校驗(yàn)所面臨的大容量數(shù)據(jù)的存貯和運(yùn)算問題。各個(gè)結(jié)點(diǎn)通過資源共享，完成用戶提交的各種任務(wù)。網(wǎng)格屏蔽資源共享的復(fù)雜性，使資源有序化，并易于被發(fā)現(xiàn)和集成，降低了資源共享的成本和難度。

協(xié)同工作能力：網(wǎng)格是為跨網(wǎng)段、跨平臺的分布、異構(gòu)資源提供一種資源共享和協(xié)同管理的環(huán)境，使得用戶提交的任務(wù)，能夠在動態(tài)組成的文件完整性校驗(yàn)系統(tǒng)中完成。網(wǎng)格資源結(jié)點(diǎn)根據(jù)不同的任務(wù)，動態(tài)組成不同的服務(wù)，通過彼此間合作，共同完成任務(wù)。網(wǎng)格的發(fā)展將幫助分散在不同網(wǎng)段、不同平臺中的各類資源有效地組織起來，進(jìn)行優(yōu)化調(diào)度。通過網(wǎng)格技術(shù)，用戶能夠方便地獲得各種服務(wù)。

資源高度集成：本地主機(jī)既可以充分利用網(wǎng)絡(luò)中豐富的免費(fèi)資源，來提升自身數(shù)據(jù)的存貯和運(yùn)算能力。同時(shí)充分利用網(wǎng)格的軟硬件閑置資源，提高利用效率，降低成本。

4 基于網(wǎng)格服務(wù)的入侵檢測系統(tǒng)框架

結(jié)合入侵檢測系統(tǒng)應(yīng)用需求特點(diǎn)，根據(jù)Globus網(wǎng)格系統(tǒng)的五層服務(wù)結(jié)構(gòu)，網(wǎng)格技術(shù)模式下的智能入侵檢測系統(tǒng)概念結(jié)構(gòu)如圖2所示。

網(wǎng)格下的智能入侵檢測系統(tǒng)由以下五個(gè)部分組成：

數(shù)據(jù)采集屬于CIDF中的事件產(chǎn)生器，它的數(shù)據(jù)源來自于網(wǎng)絡(luò)數(shù)據(jù)、主機(jī)日志、Snort日志。

存儲系統(tǒng)是IIDS系統(tǒng)的記憶庫，它包括三個(gè)分類表:正常記錄表即記錄正常用戶的信息、可疑記錄表即記錄可疑用戶的信息、攻擊記錄表即記錄攻擊用戶的信息。

智能入侵分析模塊是對數(shù)據(jù)采集產(chǎn)生的輸入進(jìn)行統(tǒng)一分析和處理的系統(tǒng)，是整個(gè)IIDS的大腦，它包括了學(xué)習(xí)模塊和檢測模塊即模糊綜合評判系統(tǒng)。一方面當(dāng)工作方式為離線狀態(tài)下，IIDS系統(tǒng)通過主控制臺調(diào)用學(xué)習(xí)模塊，配置和調(diào)整隸屬函數(shù)和權(quán)重值，從而適宜外界環(huán)境的變化；另一方面當(dāng)工作方式為在線狀態(tài)下，IIDS系統(tǒng)主要是針對非法用戶行為進(jìn)行檢測，首先搜索存儲系統(tǒng)Mysql數(shù)據(jù)庫中的三類行為記錄表，如果在某類表中存在且次數(shù)大于等于三次的用戶，則直接觸發(fā)響應(yīng)機(jī)制；否則，則采用模糊綜合評判分析法對此非法行為進(jìn)行檢測，最后再觸發(fā)響應(yīng)機(jī)制。

智能響應(yīng)模塊采用的是主動響應(yīng)，而不是被動響應(yīng)。它根據(jù)不同的入侵行為主動采取相應(yīng)的措施，它通過與防火墻的聯(lián)動來阻止入侵，并對存儲系統(tǒng)進(jìn)行動態(tài)修改。

網(wǎng)格管理控制平臺：它是基于網(wǎng)格的入侵檢測系統(tǒng)的集中控制管理單元，通過該系統(tǒng)的統(tǒng)一控制，使得新建的入侵檢測網(wǎng)格子系統(tǒng)與其他已經(jīng)存在的各個(gè)子系統(tǒng)通過統(tǒng)一的規(guī)范，實(shí)現(xiàn)各子系統(tǒng)的互通、互聯(lián)和互操作，在網(wǎng)格管理控制平臺的統(tǒng)一協(xié)調(diào)控制下發(fā)揮出入侵檢測網(wǎng)格系統(tǒng)的最大功用[6]。

5 結(jié)束語

網(wǎng)格能夠充分吸納各種計(jì)算資源，并把它們轉(zhuǎn)成一種隨處可得的，可靠的，標(biāo)準(zhǔn)的，經(jīng)濟(jì)的計(jì)算能力。本文通過把網(wǎng)格技術(shù)應(yīng)用于入侵檢測系統(tǒng)，采用智能的方法檢測攻擊，該方法在檢測智能攻擊上占有優(yōu)勢，如DDOS攻擊[5]。傳統(tǒng)的IDS一般為單一的基于主機(jī)或基于網(wǎng)絡(luò)的IDS，并且不同的IDS之間不能協(xié)同工作。而本文方法的關(guān)鍵在于不同的主機(jī)之間的協(xié)同工作能力。同時(shí)，這也是入侵檢測技術(shù)發(fā)展的必然趨勢。

參考文獻(xiàn)：

[1] Foster I，Kesselman C，Nick J M，et al.Grid Services for Distributed System Integration[J].Computer，2002，35(6).

[2] Foster I，Kesselman C.The Grid:Blueprint for a New Computing Infrastructure[M].北京:機(jī)械工業(yè)出版社，2005.

[3] 徐志偉，馮百明，李偉.網(wǎng)格計(jì)算技術(shù)[M].北京:電子工業(yè)出版，2004.

[4] 戴英俠，連一峰，王航.系統(tǒng)安全與入侵檢測[M].北京:清華大學(xué)出版社，2002.

[5] Foster I，Kesselman C，Nick JM，et al.Grid Services for Distributed System Integration[J].Computer，2002，35(6).

[6] Hersbkop S，F(xiàn)ersterR，Bui L H，et al.Host—based Anomaly Detection Using Wrapping File Systems[R].CU Tech Report，April 2O04.

[7] Eskin E.Probabilistic anomaly detection over discrete records using inconsistency checks[R].Technical report，Columbia University Computer Science Technical Report，2002.