基于移动代理的分布式 入侵检测系统 太原理工大学网络信息中心 任新华 Renxh@tyut.edu.cn 2019/2/22.

Slides:



Advertisements
Similar presentations
健康生活方式之 适当运动. 适当运动的益处  防治代谢综合症  增强心血管功能,预防冠心病  提高人体呼吸系统功能  增强运动系统功能  减轻精神压力  使家庭和睦、社会和谐.
Advertisements

现场快速检测技术应用实务 浙江省食品药品监督管理局. 危害 来源 食品本身含有,如河豚鱼毒素、组胺等 种养殖过程带入,如农药兽药残留 人为添加,如三聚氰胺、甲醛、罂粟壳等 外界污染,如重金属、真菌毒素等 食品危害来源及分类 危害 分类 物理危害:玻璃、金属、头发丝等 化学危害:农兽残、天然毒素、添加剂等.
计算机网络原理与实用技术 陈涛 华中科技大学公共管理学院 2009年2月.
校園資訊安全與防火牆架設 嘉義市育人國小 黃士騰.
拒绝服务攻击 DoS 攻击 LAND Teardrop, SYN flood ICMP : smurf
项目四:Internet基础与接入方法 第八章 应用服务器安装配置
耳鸣的原因及治疗 耳鸣的相关知识 周敬之整理,制作。.
第三章 駭客入侵流程解析.
C语言程序设计 李伟光.
教學經驗分享 吳毅成 國立交通大學資訊工程系 2012年4月.
面对经济全球化 江西省石城中学 张文峰.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
第七章 商务网站建设 案例八:艺海拾贝网站设计 思考 1.为什么说网页结构 设计非常重要? 2.目录结构与网页 结构有什么关系?
湖南省怀化市中小学信息技术 学科考试系统培训交流
------全国教育科学规划办公室 吴键 副研究员
峰信 电话管理系统 产品介绍 上海艾家电子商务有限公司 2011年7月.
香港普通話研習社科技創意小學 周順強老師.
第2章 计算机网络的协议与体系结构 2.1 计算机网络体系结构的形成 2.2 协议与划分层次 2.3 计算机网络的原理体系结构
第6章 计算机网络基础.
西安海天信息工程有限公司 3级系统集成资质认证答辩会演示稿
学习目标 掌握电子商务网站体系结构 掌握企业电子商务网站体系结构 掌握PWS的安装与设置
第一章 網路攻防概述.
转正述职报告 乐恩公司 史航
计算机系统安全 第10章 常用攻击手段.
计算机应用专业系列教材 计算机网络.
面对经济全球化.
江西省专业技术人员 继续教育信息管理系统.
第2章 局域网应用.
网络地址转换(NAT) 及其实现.
第二期实验室工作人员培训讲座(三) 加强规范化建设 提高仪器设备管理水平 设备处 黄久龙 2017年9月13日 徐州师范大学设备处 黄久龙.
启明星辰客户产品培训- 培训讲义.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
網路基本概念 本章主要是為讀者建立有關網路的基本知識, 作為後續章節的基礎。首先我們會說明網路的基本概念, 接著介紹網路的各種類型與相關的作業系統, 最後則是介紹 OSI 與 DoD 等兩種網路模型, 讓讀者能進一步了解網路運作的方式。
华南师范大学 防火墙 华南师范大学
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
第 3 章 熟悉 SQL Server 的工作平台.
第六章 差错与控制报文 (ICMP).
組員:陳俊宇 陳典杰 趙俊閔 指導老師:張慶寶
指導老師:梁明章 老師 學生:鄭筱樺 二○○九年六月十九日
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
Chapter 14 DHCP.
数据保护技术(完整性、并发性、安全性和数据库恢复)
作業系統 家庭和小型企業網路– 第二章.
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
《网上报告厅》使用说明 北京爱迪科森教育科技股份有限公司.
NetST®防火墙培训教程 清华得实® 保留所有权利.
Empower for MircoSoft ISV
指導教授:黃三益 教授 學生 洪瑞麟 m 蔡育洲 m 陳怡綾 m
Python联合服务器的使用.
指導老師:楊子青 老師 專題組員:朱盈慈、曾孟涵、范珮錡、林佳臻
RFID原理与应用 教师:朱华贵 2015年05月05日
Excel - 九十七年度教職員工資訊教育訓練 董建弘.
新一代无盘技术 在图书馆电子阅览室的应用 报告人:张智翔 /4/9.
專題實驗B組: 智慧型校園IP網路監控系統 (Intelligent IP Network Surveillance System on the Campus) 東吳大學資訊科學系 指導教師: 楊欣哲 教授 組 長:資四A 張立顗 組 員:資四A 秦仲杰、賴楦衡、鄭淵澤.
第1章 SQL Server 2005概述 教学提示:SQL Server 2005是微软的下一代数据管理和分析解决方案,它给企业级应用数据和分析程序带来更好的安全性、稳定性和可靠性,使得它们更易于创建、部署和管理,从而可以在很大程度上帮助企业根据数据做出更快、更好的决策,提高开发团队的生产力和灵活度,以及在减少总体IT预算的同时,能够扩展IT基础架构以更好地满足多种需求。
傳輸控制協議 /互聯網協議 TCP/IP.
1 打开 SQL Server 2005 安装盘,单击 SPLASH.HTA 文件进行安装,安装界面如图所示。
創新者的解答 – 第五章 什麼該外包、什麼該自己做?
Chapter 11 使用者資料包通訊協定.
微軟資安稽核解決方案 System Center 2012
基于C#的.NETFramework 程序设计语言
Print Security Audit System
自動化問卷製作及資料分析之 Web化調查系統
售后培训系列之V9系统中心安装 SecManage 网安事业部 广州售后-王长绪.
方格紙上畫正方形.
Internet课程设计 教师:陈 妍 朱海萍 西安交通大学计算机系
DDoS A 林育全.
信息安全防护技术—— 防火墙和入侵检测 万明
大数据应用人才培养系列教材 数据挖掘基础 刘 鹏 张 燕 总主编 陶建辉 主编 姜才康 副主编.
「高級中等學校學生學習歷程資料庫」與學校自行建置 「校內學生學習歷程檔案紀錄模組」 資料串接全國說明會
Presentation transcript:

基于移动代理的分布式 入侵检测系统 太原理工大学网络信息中心 任新华 Renxh@tyut.edu.cn 2019/2/22

主 要 内 容 背景综述 本课题的研究意义 移动代理技术 基于移动代理的分布式入侵检测模型 基于移动代理平台IBM Aglets的本模型的实现 2019/2/22

防火墙策略的优缺点 明显的优势 在内外网之间提供安全的网络保护屏障,降低内网受攻击的风险。 明显的优势 在内外网之间提供安全的网络保护屏障,降低内网受攻击的风险。 缺陷 入侵者可以寻找防火墙背后可能敞开的后门; 完全不能阻止内部袭击; 无法提供实时的入侵检测能力; 对邮件病毒束手无策。 2019/2/22

入侵检测(Intrusion Detection) 定义:通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。 2019/2/22

入侵检测系统的分类 根据检测的数据来源分 基于主机的入侵检测系统(Host-based IDS) 基于网络的入侵检测系统(Network-based IDS) 根据检测使用的分析方法分 异常入侵检测型(Abnormal Detection) 误用入侵检测型(Misuse Detection) 根据IDS的体系结构分 集中式入侵检测系统(Centralized Intrusion Detection System,简称CIDS) 分布式入侵检测系统(Distributed Intrusion Detection System,简称DIDS) 2019/2/22

理想入侵检测系统的功能 l 自动地收集和系统相关的信息 l 监视分析用户和系统的行为 审计系统配置和漏洞 l 评估敏感系统和数据的完整性 2019/2/22

本课题的研究意义 基于现有的成熟的入侵检测技术,结合移动Agent技术应用于入侵检测系统的优势,设计一种基于移动代理的分布式入侵检测系统模型;并在基于Java的移动代理平台IBM Aglets上,按照本文设计的模型构建实验监测系统,完成对一些典型的入侵攻击的检测。因此,本课题的研究在理论和实践上都具有深刻的意义。 2019/2/22

模拟人类行为和关系、具有一定智能并能够自主运行和提供相应服务的程序 移动代理(Mobile Agent)技术 什么是移动代理? 模拟人类行为和关系、具有一定智能并能够自主运行和提供相应服务的程序 指能在同构或异构网络主机之间自主地进行迁移的有名字的程序。 程序能自主地决定什么时候迁移到什么地方。它能在程序运行的任一点挂起,然后迁移到另一台主机上,并接着这一点继续往下执行。 2019/2/22

移动代理系统的体系结构 远程移动代理服务器(RMAS) 代理代码库 监听机制 迁移机制 控制机制 安全机制 移动代理 传输协议 移动代理服务器(MAS)

移动代理应用于DIDS的特点 主机间动态迁移 改变了传统的将数据传送给程序(计算)的方式,而是将程序(计算)传送给数据。 智能性 平台无关性 分布的灵活性 低网络数据流量 协作性 2019/2/22

MAE MCA MDA MAE MCA MDA 主机1 MAE MCA MDA 主机n …… 数据库服务器 ATP 数据库 日志 日志 文件 2019/2/22 基于MA的DIDS体系结构图

基于Aglet的DIDS系统的功能模块 数据采集模块 负责采集被监控的主机系统上的网络连接数据,并进行过滤和格式化处理,保存在系统日志文件中。 入侵检测及响应模块 对各个主机系统上的日志文件进行分析,结合不同的检测手段,和已知攻击行为的特征进行比较,从中发现异常行为,产生实时警报。 数据管理模块 保存和维护所有采集到的数据,处理用户提交的数据库查询和更新请求。 实时监控模块 对各个受控主机进行实时监控,并对出现的问题实时报警。该模块设计的主要问题是如何在保证报警的实时性的同时,尽可能减少对系统资源的占用。 离线查询模块 主要通过Web方式,提供对各种历史数据和警报的查询和分析。由于该模块的存取数据来源于数据库,所以可以利用各种复杂的算法对系统数据进行分析。 2019/2/22

MCA的工作流程 主机日志文件 格式化的 日志文件 预处理 MCA 网络数据包 2019/2/22

MDA可使用的检测技术 基于统计的检测技术 根据用户行为和用户历史行为的比较来判断是否为入侵的。 基于统计的检测技术 根据用户行为和用户历史行为的比较来判断是否为入侵的。 基于人工智能检测方法 通常采用神经网络、遗传算法和模糊推理等技术。 基于专家系统的入侵检测 采用模式库的方法对入侵行为进行匹配。 2019/2/22

通信协议ATP ATP Transmission Protocol 有效性和可靠性 代理之间的通信不能明显地增加系统的负担,降低网络的传输性能。 安全性 各部件之间的通信协议必须提供某种加密机制来保证IDS之间数据传输的安全性,以防止网络窃听 。 2019/2/22

联动控制 数据库 CGI网关 主机数据源 网络数据源 数据过滤和预处理 系统功能模块图 TCP MDA UDP MDA ICMP MDA 入侵检测和响应模块 TCP MDA UDP MDA ICMP MDA 实时监控模块 浏览器 数据库 数据管理模块 可疑数据 CGI网关 实时监控 警报记录 历史数据 查询分析 离线查询模块 浏览器 数据采集模块 主机数据源 网络数据源 数据过滤和预处理

IBM Aglets的运行支撑环境 移动代理 Aglet虚拟机Tahiti Linux 操作系统 Solaris 通信 移动代理运行的支持环境 Aglet虚拟机Tahiti Linux Java 虚拟机 Java Windows X Java 虚拟机 Solaris Java Linux 操作系统 Solaris Windows X系列操作系统 …… 2019/2/22

系统开发环境 操作系统:Microsoft Windows2000 开发语言:Java 后台数据库:Microsoft SQL Server2000 数据包截获支持函数包:WinPcap、Jpcap 2019/2/22

采集网络数据的实现细节 <截获包的具体时间>|<源IP->目标IP>|<源 日志文件格式: <截获包的具体时间>|<源IP->目标IP>|<源 端口:目的端口[type:code]>|<协议>| 2019/2/22

系统实现数据包截获的输出结果图 2019/2/22

采集网络数据包的流程图 否 是 获取网卡设备的句柄 打开网卡设备 设置网卡处于混杂模式 定义并初始化数据结构 循环获取数据包 从缓冲区中读取数据包 格式化处理原始数据包 存入日志文件 将网卡置回正常 接收模式 释放网卡句柄和 接收缓冲区 是 否

移动检测代理的迁移过程示意图 入侵检测系统 入侵检测系统 虚拟机Tahiti 虚拟机Tahiti 主机A 主机B 移动检测 移动检测 代理返回② 虚拟机Tahiti 虚拟机Tahiti 运行① 移动检测 代理MDA 移动检测 代理MDA 迁移① 派遣① 数据交互① 请求① 入侵检测系统 入侵检测系统 主机A 主机B

移动代理CirculateAglet 的入侵分析流程图 从数据库Monitored_host中读出受控主机列表 根据列表指定行程路线,初始化内存分配 发出消息,将代理对象发送到第一台受控主机 刷新该主机的时间戳 读该主机日志文件中的更新部分,放入内存 结合内存中的其它主机的日志来分析日志的新内容 TCP相关攻击检测 UDP相关攻击检测 ICMP相关攻击检测 1.发出警报,将该日志信息入库 2.删除内存中的无用日志 3.在内存中保留不可判定的可疑信息 关闭数据库和文件,发送到下一台受控主机上 定时sleep

总 结——系统的优点 实现模块化、可配置性 具有高度的可扩展性 能够应对分布式、协同式攻击 自身安全性较高 2019/2/22

总 结——存在的问题 依赖于移动代理平台 可能受到硬件环境限制 缺少大规模实用性验证 2019/2/22

欢迎提出宝贵意见! Renxh@tyut.edu.cn