基于移動代理的網絡入侵預警框架研究

栗勇兵 陶青

【摘 要】采用移動代理實現網絡入侵預警框架，通過基本入侵檢測模塊獲得可疑安全事件，動態分派相關移動代理收集進一步的入侵事件，構造基于入侵事件的有限自動機預警模型，預測下一步的入侵事件和可能入侵攻擊，降低誤報率。同時，通過移動代理降低了網絡通信量和系統負載。

【關鍵詞】網絡預警；入侵檢測；移動代理

【中圖分類號】 G250.72【文獻標識碼】 A【文章編號】1672-5158（2013）07-0012-02

隨著因特網技術的快速發展，面向因特網應用逐步普及，如何保障網絡的安全成為一個至關重要的問題。入侵檢測技術作為一種保證網絡安全的防御手段，是當今網絡安全保障體系中一個不可缺少的組成部分。入侵檢測按照分析方法不同，主要分為異常檢測和誤用檢測。異常檢測通過構造正常行為模型作為判斷入侵的依據，可以檢測新的入侵，但誤報率高；誤用檢測根據已知入侵攻擊判斷入侵行為，不能發現新的入侵攻擊，漏報率高。入侵檢測系統，根據檢測對象不同可分為基于主機的入侵檢測系統、基于網絡的入侵檢測系統以及混合型入侵檢測系統。

一、當前的入侵檢測系統主要存在以下的缺點

1）缺乏有效性。入侵檢測系統需要實時地評價安全事件。在網絡中，面對大量安全事件時，這種實時性很難得到滿足。

2）高誤報率。誤報率高是當前入侵檢測系統的一個主要缺點。系統管理員不能從大量的誤報事件中判斷出真正的入侵事件。

3）有限響應能力。入侵檢測系統傳統上集中在檢測攻擊。系統管理員不能立即從入侵檢測系統中分析報告，并采取相應的措施。在管理員采取行動之前，給攻擊者留下了一個隨意操作的時間間隔。針對上述入侵檢測系統的缺陷，本文使用移動代理技術，實現一個網絡入侵預警框架。主要優點在于：通過移動代理技術降低了用于入侵檢測的網絡通信量和系統負載，可以降低入侵檢測的誤報率，具有快速實時響應能力，另外，系統具有較好的靈活性。

二、移動代理技術

一個軟件代理被定義為具有一定功能的程序，包括代碼和狀態信息，具有自治性，在其環境中可以和其他代理進行交互。移動代理在代理平臺上，可以實現代碼的移動。把移動代理技術應用到網絡入侵預警中，具有如下的優點：

1）通過在網絡上移動代碼代替了大量處理數據的移動，克服了網絡數據傳輸延時，減少了網絡負載。

2）具有對環境的動態適應性。

3）具有對入侵的動態跟蹤及響應的能力。

三、體系結構

圖l 給出了使用移動代理技術的網絡入侵預警框架。在本框架中，主要有兩種類型的節點，矩形節點實現入侵預警的分析處理，橢圓型節點實現基本入侵事件的采集。移動代理可以在不同節點間根據需要進行移動。

在本框架的實現中，采用IBM公司的aglets作為移動代理的實現平臺，安裝在相關的主機或網段節點上。入侵檢測系統的實現平臺為Linux平臺。

1、各模塊功能

圖形用戶界面模塊：網絡入侵預警框架的用戶界面，管理員用來完成各種管理功能，包括查看警報、系統初始化配置等。

規則庫：入侵預警框架中預測入侵的核心，是判斷各種入侵的規則庫，規則庫可以動態進行維護。

預警分析模塊：根據規則庫，從已知的安全事件中推斷一個入侵，另外，預測可能的入侵意圖。

入侵事件收集模塊：從位于不同檢測節點的基本入侵檢測模塊中收集可疑安全事件。

移動代理分發模塊：激發不同的移動代理，根據需要分派到相應的目的地。

全局共享數據模塊：在整個系統中的全局共享數據區。

局部共享數據模塊：在特定節點上的局部共享數據區。

基本入侵檢測模塊：在特定節點上檢測可疑安全事件，并把結果傳輸到入侵事件收集模塊。檢測可疑安全事件的方法包括查看操作系統安全日志、應用系統安全日志、網絡通信量及入侵檢測部件檢測到的安全事件等。

移動代理：具有不同功能特點的移動代理。

2、工作流程

針對圖1中的預警框架，主要的工作流程如下：

1）在每個檢測節點?；救肭謾z測模塊通過觀察系統日志或應用日志檢測出可疑安全事件。2）基本入侵檢測模塊區別不同類型的可疑安全事件，并把事件報告給入侵事件收集模塊。

3）入侵事件收集模塊把得到的各種安全事件傳遞給預警分析模塊。

4）預警分析模塊根據入侵規則庫推斷入侵攻擊及可能的入侵意圖。

5）移動代理分發模塊分派適當的移動代理到特定的節點收集入侵信息。

6）移動代理從局部共享數據模塊得到局部信息，檢測特定的數據，移動代理檢測的結果直接傳輸給入侵事件收集模塊。

7）返回到第3）步，繼續這個過程。

四、預警模型

目前的入侵檢測系統得到的警報信息是在實際的入侵攻擊發生之后，只能進行事后分析及安全策略的改進等，另外管理員很難從大量的入侵警報信息中發現出真正的入侵攻擊行為。網絡入侵預警的目的就是要解決在實際入侵行為發生之前進行預報，采取相應的防范措施，實現實時響應和降低誤報率。

一個復雜的入侵攻擊行為往往是由多個步驟協同完成的，每一個步驟對應一個安全事件，假定一個實際的入侵攻擊行為由一個安全事件的有序序列來構成，Ii=（j=l，2，…，N）。所有入侵攻擊的安全事件序列構造一個有限自動機，不同的入侵攻擊在安全事件上可能是部分相同的。圖2給出了基于入侵事件的有限自動機模型。

在圖2的模型中，圓圈表示狀態，箭頭表示安全事件。0狀態為起始狀態，帶陰影的狀態5、9、12表示一個入侵攻擊過程的結束。當有安全事件Il到達時，進入l狀態，當有安全事件I2到達時，進入2狀態，依此類推，直到安全事件I5到達時，進入5狀態（結束狀態），表明完成了一個完整的入侵攻擊過程。同樣，安全事件序列I6、I7、I8、I9，是第2個入侵攻擊過程，I6、I7、I10、I1l、I12是第3個入侵攻擊過程。

通過已有的入侵攻擊行為，分析入侵事件序列，構造有限自動機模型，一方面可以檢測出入侵攻擊行為，另一方面可以預測出可能的入侵攻擊行為。當到達某一個狀態之后，就要檢測其相應的所有輸出狀態，便于進行入侵的跟蹤。如到達狀態7之后，可能會到達狀態8或10，進一步到達入侵過程的結束狀態9或12。所以當到達狀態7后，為了進行預測，需要采集安全事件I8和I10。安全事件的采集通過移動代理技術來實現。這樣，一方面可以進行入侵過程的跟蹤，另一方面，可及時采取響應措施，保證具有實時的響應能力。

五、結論

目前的入侵檢測系統只能在入侵發生后對入侵行為進行報告，而且存在大量的誤報和漏報，管理員很難從中快速找出真正的入侵攻擊行為，并及時采取措施。本文提出的基于移動代理的網絡入侵預警框架，依據入侵事件構造的有限自動機模型，判斷入侵攻擊行為，預測可能發生的安全事件，采用動態分發相關移動代理來收集安全事件。一方面能夠降低由于檢測攻擊而帶來的網絡和主機的額外負載。另一方面，具有預測潛在攻擊的能力并可進行實時響應，使得對入侵攻擊的檢測更具有針對性，降低誤報率和漏報率。

參考文獻

[1] 王欣潔，陳培軍，李媛媛.容侵系統節點重構算法設計與實現[J].電腦開發與應用. 2009（02）

[2] 馬曉剛，楊勇.遺傳算法在入侵檢測系統中的應用[J]. 科技信息. 2008（35）