移動入侵檢測系統設計

[摘 要] 本文的移動入侵檢測系統結構參照IDWG的IDS系統結構規范，并做了相應的改進。最后給出了移動入侵檢測系統結構設計。

[關鍵詞] 入侵檢測 移動代理 IDS模型

一、引言

互聯網飛速發展的今天，入侵檢測技術受到廣泛的關注。入侵檢測是監視系統中違背系統安全策略行為的過程，入侵檢測系統原型可以規范地劃分為三個功能模塊：采集器，分析器和管理器模塊。

IDWG提出的一種比較通用的入侵檢測模型，如圖1所示。IDWG還對這些功能模塊之間交互的消息和數據流進行了規范定義。

采集器從數據源中收集、跟蹤、發掘相關信息；分析器對傳感引擎提煉出的數據進行分析，過濾，目的在于發現正在進行的入侵行為或潛在的入侵行為，產生高級別安全警報；管理器負責關聯這些告警信息的以及后續處理，并承擔所有入侵檢測進程接口的管理。

二、IDWG IDS模型的改進

IDWG IDS模型存在模塊之間缺乏交互的缺陷，本文所提出的移動入侵檢測系統模型在IDWG IDS模型的基礎上，加上了模塊之間新的交互。如下圖2所示。

管理器發給分析器管理查詢消息，分析器將查詢結果發送到管理器，并等候進一步指示。當分析器對采集器所收集到的監視跟蹤事件與數據進行修整，篩選，統一格式等操作。

三、移動入侵檢測系統功能模塊設計

本文的移動入侵檢測系統結構的設計符合上圖2改進的IDS模型，其系統結構中主要功能模塊設計如圖3所示。

1.原始數據。原始數據可以是基于主機的的數據源，基于網絡數據源，基于報警信息源。常見的基于主機的數據源有操作系統審計記錄、系統日志、用戶擊鍵、和特權程序系統調用。

(1)操作系統審計記錄。操作系統審計記錄是由專門的審計子系統產生的系統事件記錄，它們是系統活動的信息集合，以事件發生的時間順序記錄，組織為一個或多個審計文件。

(2)系統日志。系統日志是系統和應用程序事件記錄，通常是系統程序寫的文本文件，操作系統通常提供多個工具記錄系統發生的事件。

(3)用戶擊鍵。用戶擊鍵就是用戶使用鍵盤的習慣，它在一定程度上反映了用戶的行為、用戶的工作內容等。

(4)特權程序系統調用。特權程序通常是攻擊的重點目標。特權進程可訪問的系統資源多，影響范圍廣，它甚至可以繞過內核的安全審核機制而訪問系統資源，導致特權程序對系統的安全威脅大。

網絡中所有可管理對象的集合——管理信息庫(MIB)，也是采集原始數據的重要來源。

2.采集器。系統的數據采集構件，主要是收集入侵檢測中需使用的各種數據，并將數據轉化為標準格式傳送給IDS引擎處理。采集的數據既可以是網絡中的原始數據包，也可以是來自主機的各種原始數據。

這里的移動入侵檢測系統的數據采集器由攻擊特征信息庫，數據歸類整理部件與數據統一求精部件構成。如下圖4為采集器功能模塊圖。

數據歸類整理部件負責收集原始數據，并對數據作歸類整理，比如把數據分成系統級的原始數據，并且依據攻擊特征信息庫把數據整理成事件數據。

數據統一求精部件負責去除冗余事件，并依據攻擊特征信息庫將求精后事件其抽象為入侵檢測系統的標準數據格式。

3.IDS引擎。IDS引擎包括管理控制臺、事件檢測分析器和入侵檢測響應器。提供用戶和其它構件的管理接口，根據Sensor收集到的數據，對數據進行檢測分析，產生檢測結果等。如下圖5為IDS引擎功能模塊圖。

事件檢測分析器建立相關事件信息，關聯已知攻擊證據，分析確定該事件是否為入侵行為的事件。

管理控制臺對本地系統的采集器，事件分析器，入侵檢測響應器以及移動Agent等各部件進行控制和管理，負責根據不同的入侵事件配置相應的入侵響應策略。

入侵檢測響應部件負責確認入侵行為采取相應措施，如斷開人侵者與系統的連接，甚至自動關閉系統與外部網絡的連接，采取反攻擊策略等。

4.移動代理系統。移動Agent系統(Mobile Agent System)用于給移動Agent提供運行環境。每種代理都是獨立的軟件實體，只執行特定的功能，且可自主的在移動自組網內移動。

監測代理:監測代理被分成網絡數據包監測代理，用來監控用戶行為和系統級行為。

決策代理:是IDS移動代理的管理中心，負責網絡內所有移動Agent的派發、啟動和停止，對入侵威脅做出判斷。

響應代理:負責對主機與網絡的入侵情況做出響應，執行相應的入侵處理操作，并與其他代理協同工作。

探測代理:對群內節點的事件告警進行復查，避免局部的誤報、錯報影響整個子群甚至全網的檢測。

四、結束語

入侵檢測是監視系統中違背系統安全策略行為的過程，本文對IDWG IDS模型做了改進，增加了采集器，分析器和管理器模塊之間的交互。最后根據改進的模型設計了移動入侵檢測系統，并對系統的各個功能模塊做了定義。

參考文獻

況曉輝 胡華平 呂世輝:移動Ad-hoc網絡安全.小型微型計算機系統，2007

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文