基于移动代理的网络入侵预警框架研究.docVIP

基于移动代理的网络入侵预警框架研究 　　【摘 要】采用移动代理实现网络入侵预警框架，通过基本入侵检测模块获得可疑安全事件，动态分派相关移动代理收集进一步的入侵事件，构造基于入侵事件的有限自动机预警模型，预测下一步的入侵事件和可能入侵攻击，降低误报率。同时，通过移动代理降低了网络通信量和系统负载。 　　【关键词】网络预警；入侵检测；移动代理 　　【中图分类号】 G250.72【文献标识码】 A【文章编号】1672-5158（2013）07-0012-02 　　随着因特网技术的快速发展，面向因特网应用逐步普及，如何保障网络的安全成为一个至关重要的问题。入侵检测技术作为一种保证网络安全的防御手段，是当今网络安全保障体系中一个不可缺少的组成部分。入侵检测按照分析方法不同，主要分为异常检测和误用检测。异常检测通过构造正常行为模型作为判断入侵的依据，可以检测新的入侵，但误报率高；误用检测根据已知入侵攻击判断入侵行为，不能发现新的入侵攻击，漏报率高。入侵检测系统，根据检测对象不同可分为基于主机的入侵检测系统、基于网络的入侵检测系统以及混合型入侵检测系统。 　　一、当前的入侵检测系统主要存在以下的缺点 　　1）缺乏有效性。入侵检测系统需要实时地评价安全事件。在网络中，面对大量安全事件时，这种实时性很难得到满足。 　　2）高误报率。误报率高是当前入侵检测系统的一个主要缺点。系统管理员不能从大量的误报事件中判断出真正的入侵事件。 　　3）有限响应能力。入侵检测系统传统上集中在检测攻击。系统管理员不能立即从入侵检测系统中分析报告，并采取相应的措施。在管理员采取行动之前，给攻击者留下了一个随意操作的时间间隔。针对上述入侵检测系统的缺陷，本文使用移动代理技术，实现一个网络入侵预警框架。主要优点在于：通过移动代理技术降低了用于入侵检测的网络通信量和系统负载，可以降低入侵检测的误报率，具有快速实时响应能力，另外，系统具有较好的灵活性。 　　二、移动代理技术 　　一个软件代理被定义为具有一定功能的程序，包括代码和状态信息，具有自治性，在其环境中可以和其他代理进行交互。移动代理在代理平台上，可以实现代码的移动。把移动代理技术应用到网络入侵预警中，具有如下的优点： 　　1）通过在网络上移动代码代替了大量处理数据的移动，克服了网络数据传输延时，减少了网络负载。 　　2）具有对环境的动态适应性。 　　3）具有对入侵的动态跟踪及响应的能力。 　　三、体系结构 　　图l 给出了使用移动代理技术的网络入侵预警框架。在本框架中，主要有两种类型的节点，矩形节点实现入侵预警的分析处理，椭圆型节点实现基本入侵事件的采集。移动代理可以在不同节点间根据需要进行移动。 　　在本框架的实现中，采用IBM公司的aglets作为移动代理的实现平台，安装在相关的主机或网段节点上。入侵检测系统的实现平台为Linux平台。 　　1、各模块功能 　　图形用户界面模块：网络入侵预警框架的用户界面，管理员用来完成各种管理功能，包括查看警报、系统初始化配置等。 　　规则库：入侵预警框架中预测入侵的核心，是判断各种入侵的规则库，规则库可以动态进行维护。 　　预警分析模块：根据规则库，从已知的安全事件中推断一个入侵，另外，预测可能的入侵意图。 　　入侵事件收集模块：从位于不同检测节点的基本入侵检测模块中收集可疑安全事件。 　　移动代理分发模块：激发不同的移动代理，根据需要分派到相应的目的地。 　　全局共享数据模块：在整个系统中的全局共享数据区。 　　局部共享数据模块：在特定节点上的局部共享数据区。 　　基本入侵检测模块：在特定节点上检测可疑安全事件，并把结果传输到入侵事件收集模块。检测可疑安全事件的方法包括查看操作系统安全日志、应用系统安全日志、网络通信量及入侵检测部件检测到的安全事件等。 　　移动代理：具有不同功能特点的移动代理。 　　2、工作流程 　　针对图1中的预警框架，主要的工作流程如下： 　　1）在每个检测节点。基本入侵检测模块通过观察系统日志或应用日志检测出可疑安全事件。2）基本入侵检测模块区别不同类型的可疑安全事件，并把事件报告给入侵事件收集模块。 　　3）入侵事件收集模块把得到的各种安全事件传递给预警分析模块。 　　4）预警分析模块根据入侵规则库推断入侵攻击及可能的入侵意图。 　　5）移动代理分发模块分派适当的移动代理到特定的节点收集入侵信息。 　　6）移动代理从局部共享数据模块得到局部信息，检测特定的数据，移动代理检测的结果直接传输给入侵事件收集模块。 　　7）返回到第3）步，继续这个过程。 　　四、预警模型 　　目前的入侵检测系统得到的警报信息是在实际的入侵攻击发生之后，只能进行事后分析及安全策略的改进等，另外