基于移动代理的分布式 入侵检测系统 太原理工大学网络信息中心 任新华 Renxh@tyut.edu.cn 2019/2/22

主 要 内 容 背景综述 本课题的研究意义 移动代理技术 基于移动代理的分布式入侵检测模型 基于移动代理平台IBM Aglets的本模型的实现 2019/2/22

防火墙策略的优缺点 明显的优势 在内外网之间提供安全的网络保护屏障，降低内网受攻击的风险。 明显的优势 在内外网之间提供安全的网络保护屏障，降低内网受攻击的风险。 缺陷 入侵者可以寻找防火墙背后可能敞开的后门； 完全不能阻止内部袭击； 无法提供实时的入侵检测能力； 对邮件病毒束手无策。 2019/2/22

入侵检测(Intrusion Detection) 定义：通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System，简称IDS）。 2019/2/22

入侵检测系统的分类 根据检测的数据来源分 基于主机的入侵检测系统（Host-based IDS） 基于网络的入侵检测系统（Network-based IDS） 根据检测使用的分析方法分 异常入侵检测型（Abnormal Detection） 误用入侵检测型（Misuse Detection） 根据IDS的体系结构分 集中式入侵检测系统（Centralized Intrusion Detection System，简称CIDS） 分布式入侵检测系统（Distributed Intrusion Detection System，简称DIDS） 2019/2/22

理想入侵检测系统的功能 l 自动地收集和系统相关的信息 l 监视分析用户和系统的行为 审计系统配置和漏洞 l 评估敏感系统和数据的完整性 2019/2/22

本课题的研究意义 基于现有的成熟的入侵检测技术，结合移动Agent技术应用于入侵检测系统的优势，设计一种基于移动代理的分布式入侵检测系统模型；并在基于Java的移动代理平台IBM Aglets上，按照本文设计的模型构建实验监测系统，完成对一些典型的入侵攻击的检测。因此，本课题的研究在理论和实践上都具有深刻的意义。 2019/2/22

模拟人类行为和关系、具有一定智能并能够自主运行和提供相应服务的程序 移动代理（Mobile Agent）技术 什么是移动代理？ 模拟人类行为和关系、具有一定智能并能够自主运行和提供相应服务的程序 指能在同构或异构网络主机之间自主地进行迁移的有名字的程序。 程序能自主地决定什么时候迁移到什么地方。它能在程序运行的任一点挂起，然后迁移到另一台主机上，并接着这一点继续往下执行。 2019/2/22

移动代理系统的体系结构 远程移动代理服务器（RMAS） 代理代码库 监听机制 迁移机制 控制机制 安全机制 移动代理 传输协议 移动代理服务器（MAS）

移动代理应用于DIDS的特点 主机间动态迁移 改变了传统的将数据传送给程序（计算）的方式，而是将程序（计算）传送给数据。 智能性 平台无关性 分布的灵活性 低网络数据流量 协作性 2019/2/22

MAE MCA MDA MAE MCA MDA 主机1 MAE MCA MDA 主机n …… 数据库服务器 ATP 数据库 日志 日志 文件 2019/2/22 基于MA的DIDS体系结构图

基于Aglet的DIDS系统的功能模块 数据采集模块 负责采集被监控的主机系统上的网络连接数据，并进行过滤和格式化处理，保存在系统日志文件中。 入侵检测及响应模块 对各个主机系统上的日志文件进行分析，结合不同的检测手段，和已知攻击行为的特征进行比较，从中发现异常行为，产生实时警报。 数据管理模块 保存和维护所有采集到的数据，处理用户提交的数据库查询和更新请求。 实时监控模块 对各个受控主机进行实时监控，并对出现的问题实时报警。该模块设计的主要问题是如何在保证报警的实时性的同时，尽可能减少对系统资源的占用。 离线查询模块 主要通过Web方式，提供对各种历史数据和警报的查询和分析。由于该模块的存取数据来源于数据库，所以可以利用各种复杂的算法对系统数据进行分析。 2019/2/22

MCA的工作流程 主机日志文件 格式化的 日志文件 预处理 MCA 网络数据包 2019/2/22

MDA可使用的检测技术 基于统计的检测技术 根据用户行为和用户历史行为的比较来判断是否为入侵的。 基于统计的检测技术 根据用户行为和用户历史行为的比较来判断是否为入侵的。 基于人工智能检测方法 通常采用神经网络、遗传算法和模糊推理等技术。 基于专家系统的入侵检测 采用模式库的方法对入侵行为进行匹配。 2019/2/22

通信协议ATP ATP Transmission Protocol 有效性和可靠性 代理之间的通信不能明显地增加系统的负担，降低网络的传输性能。 安全性 各部件之间的通信协议必须提供某种加密机制来保证IDS之间数据传输的安全性，以防止网络窃听 。 2019/2/22

联动控制 数据库 CGI网关 主机数据源 网络数据源 数据过滤和预处理 系统功能模块图 TCP MDA UDP MDA ICMP MDA 入侵检测和响应模块 TCP MDA UDP MDA ICMP MDA 实时监控模块 浏览器 数据库 数据管理模块 可疑数据 CGI网关 实时监控 警报记录 历史数据 查询分析 离线查询模块 浏览器 数据采集模块 主机数据源 网络数据源 数据过滤和预处理

IBM Aglets的运行支撑环境 移动代理 Aglet虚拟机Tahiti Linux 操作系统 Solaris 通信 移动代理运行的支持环境 Aglet虚拟机Tahiti Linux Java 虚拟机 Java Windows X Java 虚拟机 Solaris Java Linux 操作系统 Solaris Windows X系列操作系统 …… 2019/2/22

系统开发环境 操作系统：Microsoft Windows2000 开发语言：Java 后台数据库：Microsoft SQL Server2000 数据包截获支持函数包：WinPcap、Jpcap 2019/2/22

采集网络数据的实现细节 <截获包的具体时间>|<源IP->目标IP>|<源 日志文件格式： <截获包的具体时间>|<源IP->目标IP>|<源 端口：目的端口[type:code]>|<协议>| 2019/2/22

系统实现数据包截获的输出结果图 2019/2/22

采集网络数据包的流程图 否 是 获取网卡设备的句柄 打开网卡设备 设置网卡处于混杂模式 定义并初始化数据结构 循环获取数据包 从缓冲区中读取数据包 格式化处理原始数据包 存入日志文件 将网卡置回正常 接收模式 释放网卡句柄和 接收缓冲区 是 否

移动检测代理的迁移过程示意图 入侵检测系统 入侵检测系统 虚拟机Tahiti 虚拟机Tahiti 主机A 主机B 移动检测 移动检测 代理返回② 虚拟机Tahiti 虚拟机Tahiti 运行① 移动检测 代理MDA 移动检测 代理MDA 迁移① 派遣① 数据交互① 请求① 入侵检测系统 入侵检测系统 主机A 主机B

移动代理CirculateAglet 的入侵分析流程图 从数据库Monitored_host中读出受控主机列表 根据列表指定行程路线，初始化内存分配 发出消息，将代理对象发送到第一台受控主机 刷新该主机的时间戳 读该主机日志文件中的更新部分，放入内存 结合内存中的其它主机的日志来分析日志的新内容 TCP相关攻击检测 UDP相关攻击检测 ICMP相关攻击检测 1.发出警报，将该日志信息入库 2.删除内存中的无用日志 3.在内存中保留不可判定的可疑信息 关闭数据库和文件，发送到下一台受控主机上 定时sleep

总 结——系统的优点 实现模块化、可配置性 具有高度的可扩展性 能够应对分布式、协同式攻击 自身安全性较高 2019/2/22

总 结——存在的问题 依赖于移动代理平台 可能受到硬件环境限制 缺少大规模实用性验证 2019/2/22

欢迎提出宝贵意见！ Renxh@tyut.edu.cn