免费基于Aglet的入侵检测系统的实现(一)毕(3)
2013-06-28 01:00
导读:作。 通常情况下,移动代理系统由代理、代理环境和通信信道组成。代理是一个软件实体,可以从一个代理环境移动到另一个代理环境,通过这样可以完
作。
通常情况下,移动代理系统由代理、代理环境和通信信道组成。代理是一个软件实体,可以从一个代理环境移动到另一个代理环境,通过这样可以完成相应的任务。而在移动代理之间以及移动代理和控制台之间的通行是通过通信信道作为媒介进行的。
移动代理与入侵检测系统结合的优势
将移动代理技术和入侵检测相结合,与传统的IDS相比,主要具有以下的优势:
减轻网络负载。捕获的数据不用送回中心分析主机,节约网络资源。
独立运行。代理主机独立自动运行。
减少误报漏报。通过代理主机,将数据可以综合分析,对于网段攻击检测有很好的效果。
基于移动代理的分布式的入侵检测模型
传统的入侵检测系统缺陷
入侵检测系统通常采用模式匹配方式来检测入侵,即在检测过程中,只是把网络传输的数据流依次进行匹配,而不查看具体数据包的内容。这样一旦发现匹配的字串,不管是不是真正的攻击行为,就会报警。这样不可避免的会导致误报率和漏报率的出现。
在模式匹配的检测过程中,网络中的每个数据包都要与特征库中的记录进行比较,据资料指出,假设网络中每秒钟流过15000个数据包,一般情况下,则每秒钟所需要的最大比较次数为:937.5亿次。这样,必然会因为计算机的运算速度跟不上而出现遗漏对很多数据包的检测而产生漏报。
对于传统的网络入侵检测系统,并没有相应一个处理模块来收集各个节点的数据进行综合分析,这对一些网络入侵是无济于事。在网络入侵中,有一种名为doorknob攻击方法,入侵者试图猜测网络上几台主机的用户口令,为了避免被入侵主机的怀疑,入侵者只有试图猜了几次放在网络上的几台电脑主机,这样的入侵情况在许多的主机型IDS并不会被检测到,这种入侵网络上一台以上的电脑主机的入侵行为,称之为网段入侵(network intrusion)。
(科教作文网http://zw.ΝsΕAc.Com编辑整理)
基于移动代理的分布式入侵检测系统
系统设计目标
对于该系统功能有如下的要求:
首先,网络性能要求。在不明显增加网络负载的情况下,能对网络进行入侵检测。
其次,记录怀疑不确定行为。攻击的方法在不断的更新,它们的攻击特征也不断变化。所以在不改动系统的情况下,建立某种检测机制,在该分布式系统中,不但对已知的攻击能检测,对不能确定的行为能进行记录。
其三,自动完善要求。对怀疑的行为能进行分析和确定是否为攻击行为,若是攻击,能自动添加规则,使系统对该攻击具有免役能力。
系统模型设计
将移动代理和入侵检测结合起来,让入侵检测系统成为更灵活、更健壮、更自制的检测工具,本文提出基于移动代理的分布式入侵检测模型,是根据移动代理可以自主迁移的特性,该模型系统可以安装具体的网络系统的安全策略配置在任何需要检测的系统中,只要安装了移动代理环境和入侵检测数据收集器,就可以成基于移动代理的分布式入侵检测系统的一部分。
本位提出的系统设计模型如图3-1所示:
图3-1 系统设计模型
系统主要部件介绍
移动代理环境
本系统采用的移动代理环境是由日本IBM 公司所提出的Aglet,它是完全由Java语言开发,并提供实用的平台Aglets Workbench是开发或执行mobile agent系统。Aglet 这个字是由"agent"与"applet"两个字所合成的,简单的说就是具有agent行为的Java applet物件。在Aglet系统中,Aglet物件是可以在网络中从一台主机移动到另一个主机。Aglet物件在移动时,会携带程序代码和所有对象的状态数据,并采用了内嵌的安全机制,Aglet的实现是采用事件驱动方式,并采用对称算法进行域内的身份认证和对移入的Agent进行一致性检测,并可通过图形界面(Tahiti管理程序)设置安全访问策略。Aglet有丰富的API函数,可以很方便的构造应用程序,它提供的通信协议是应用层协议ATP(基于TCP的Agent传输协议),但同时也支持Java RMI。
(科教作文网http://zw.ΝsΕAc.Com编辑整理)
数据收集
根据本系统的设计要求,能对分布式攻击检测,所以本文采用入侵检测系统Snort作为数据收集器,记录网络入侵和可疑数据,最终达到在Snort基础上,建立起一个更加完善的入侵检测系统。
模型的工作机理
本系统的工作过程如下:
在分布式的各个节点上运行Snort工具检测攻击,并记录相应的数据到数据库,包括可以数据。
启动移动代理环境,运行移动代理程序,该程序会通过遍历所有节点,自动的将各个数据库里可疑的数据提取出来,并通过代理带回移动主机上。
在代理主机上对这些各节点的可疑数据综合分析。若分析出攻击行为,则自动添加规则到规则文件中,禁止该行为主机对该保护网络的再次访问。
本模型的优缺点分析
优点总结
网络性能好。该模型的实现是分布在网络的一些节点上,检测时对网络不会有影响,占用网络资源少。
自我完善。该模型能对可疑数据记录并综合分析,最终确定是否含有攻击,若有攻击的存在,通过自动添加访问规则来自动完善系统。
降低漏报率。通过移动代理将各节点的数据综合分析,让检测分析数据更为准确,实现了对网段攻击检测,在一定程度上弥补了传统的网络入侵检测这方面的不足。
不足之处
但该模型仍存在着先天的缺陷。因为是对已记录的分布式可疑数据分析,这意味着攻击发生后,才进行系统的检测和完善,即可以检测出这种攻击的再次来袭,但对于第一次的攻击是检测不出来的。
分布式攻击检测实例
DoorKnob攻击基本原理
图3-2 实例所处的网络结构
假设网络结构如图3-2所示,网络由多个子网构成,每个子网拥有多台主机,攻击者发起DoorKnob攻击的步骤如下:攻击者在时刻t以空密码的root用户尝试登录主机A1,隔一段时间T,在时刻t+T以空密码的root用户尝试登录主机B1,依此类推,在时刻t+2nT以空密码的root用户尝试登录主机Bn。如果没有找到可利用的主机,在时刻t+(2n+1)T以密码123456的root用户尝试登录主机A1,然后再依次类推,直至发现可利用的主机。攻击者通过设置适当的时间间隔T,可避免各主机上的入侵检测组件对其的检测。但是基于移动agent的体系结构能有效的检测这种攻击。 (科教范文网 lw.AsEac.com编辑整理)
检测过程
首先,信息收集器收集主机上的可疑信息,把登录失败的信息看作是一种可疑信息,因为登录失败可能是由于用户输入错误,也可能是由攻击者产生的。当移动agent将各主机中的可疑信息融合后可得出图3-3所示信息:
图3-3 融合后的数据
移动agent在各主机之间移动时,可统计各远程主机的登录失败次数,如果超过了一个门限值(比如15),则认为是攻击发生。图3-3中远程主机222.18.113.4实际上是在发动DoorKnob攻击,由于在各主机上的登录失败次数都没有超过门限,所以驻留在主机上的IDS无法检测到这种攻击。移动代理访问主机1和主机2后,检测到主机222.18.113.4的登录失败次数为13,仍没有超过门限(15),当移动代理迁移到主机3,检测到它的登录失败次数为23,攻击被检测。
