一种基于代理的混合入侵检测系统模型
入侵检测系统(Intrusion Detection System)是信息安全从静态保护到动态检测的重要成果。本文分析了混合型入侵检测的方式、检测对象的粒度,并由此提出了一种基于代理的混合型IDS,其特点在于代理应用特征匹配方式具有初步的入侵检测能力,而中央分析单元集中处理数据分析、挖掘,较好地实现了主机和网络间的负载平衡。
一、引言
账户盗用、数据篡改、保密信息泄露——信息安全不断受到损害,人们也在不断地研究保护措施。传统的安全手段,包括访问控制(角色控制)、数据加密等,重于信息的保护,强调静态,而在实践中,在对抗病毒、黑客攻击的基础上,提出了动态安全模型PDR2,即保护、检测、恢复、响应,把检测响应纳入了安全体系的重要组成部分。
信息安全问题已经被证明为是不可判定的,也就是说,不存在一种算法,可以证明计算机系统是安全的。信息的存储、修改、传输操作,信息系统的复杂性,决定了信息安全系统的复杂性,也产生了一系列的安全产品,如保护卡、杀毒软件、病毒防火墙、网络防火墙等。随着研究的深入,人们试图开发一种主动性安全系统,它具有识别新型攻击方式(这种未知入侵方式以前并未发生过)的能力,这促成了入侵检测理论与技术的研究。
入侵检测(Intrusion Detection)这一术语有许多不同的定义。区别于传统的安全软件,入侵检测可以定义为检测和响应计算机误用的科学。这里的误用,是信息系统的内部人员或外部人员发起的对信息的非授权修改或传播,相对于病毒来说,其目的性更强、手段更复杂。入侵检测系统(Intrusion Detection System,IDS)是由实用的需要而产生的理论,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。
二、入侵检测的方式
入侵检测系统有两种检测方式,这可以与人体的免疫系统类比。人体作为一个系统,对于已发现的部分疾病有自发的抵抗能力,而疫苗的注射又增加了对某些疾病的抵抗能力。在IDS中,对于已知的入侵方式,按其活动特征进行编码,通过查找匹配来检测响应,这就是特征匹配方式。在未知疾病损害人体时,人体的免疫系统也有一定的抵抗能力,可以自发保护人体。引入到IDS中来,通过观察系统正常工作情况下各种参数的规律性,形成对系统正常工作状态的统计描述,将系统的当前状态参数与正常状态比较,识别可能的未知入侵,也就是异常检测方式。IDS正是通过动态监视、检测、评估系统的历史与当前状态,分析查找可能的入侵,提供对信息的安全保护。
信息安全系统的发展,可以归结为如下。
角色受控:主要以<用户,文件,权限>的有序配对实现对用户的访问控制。但是,权限的范围过大,往往导致缺少有效的监督机制,现实生活中常常出现内部人员改账就是这一原因。
行为受控:主要以<用户,文件,行为>建立用户的正常操作行为模型,规范用户的合法操作。它是对角色受控的改进。例如,一个入侵者盗用一个账号,试图在半夜运行该用户正常行为下不会执行的操作(比如半夜修改工资单),这一入侵事件我们就可以利用这一机制检测到。
粒度受控:主要以<用户,对象,行为>建立用户使用对象范围内的正常行为模型。这里把系统所有资源都作为对象进行了粒度上的划分,突破了行为受控的检测对象上的局限。例如,一个合法的本地用户已经获得了在本地执行某个操作的权限,但他无法试图利用这一操作去扩大使用范围,以获取更大范围、更多对象的支配能力。
入侵检测的目标都是一系列离散的、按先后顺序发生的事件(在机器分析时则存为记录),但因对象不同,产生了基于主机的IDS和基于网络的IDS(前者致力于对单机的检测,后者致力于对网络数据报的检测)。目前,网络日益普及,应用中也常把两者结合起来,形成了混合入侵检测系统。
典型的入侵过程可能包括:
(1)试图从外部开始入侵网络;
(2)进入网络,试图进入主机;
(3)进入主机,试图进行在主机上进行目标操作;
(4)控制主机,试图利用主机入侵其他主机。
IDS的检测本质上可以形式化为:Object(A,R),A表示行为,S表示资源。一个用户去阅读他不具有阅读权限的文件,既可以从检测该用户的历史行为来发现,也可以检测该文件所被执行的历史操作来进行。
这样,一个入侵检测的过程可以形式化为:A→S→A→S→…→A→S这样的链条。入侵者通过行为获取在资源上进行某种操作的权限,再据此权限运行另一操作以获取更多的资源。资源是静止的,因此从动态的行为来检测入侵,首先要考虑检测对象的粒度问题。
构造混合IDS涉及到检测对象的粒度树模型见图1所示。
图1 检测对象的粒度树模型(www.daowen.com)
针对不同的粒度位置,采用相应的技术与策略,才能实现IDS效用的最大化。
理论上已经证明,通过分析进程调度序列,可以检测入侵。进程调度序列的检测是通过对操作系统的日志审计来进行的。由于一个任务的完成,必然导致大量的进程,而且绝大部分现在操作系统都支持多任务,这必然导致大量干扰事件的发生。因此,对单个进程的逐个审计,必然会大大降低系统性能,甚至导致系统无法正常工作。另外,进程调用的审计往往采用的是统计方法,其权值的设定还有待商榷。
对于程序的检测会大大提高效率,但是检测的数据源,一般都是程序日志文件,有一定的滞后性。入侵过程也可能是多个程序的协同攻击,因此也很有必要在更高层次上进行检测。顺着粒度树可以发现,在入侵事件发生的情况下,越往高层次上,系统受到入侵的“症状”越显著;越往低层次上,系统受到入侵的“病根”越显著。据此,可以设计一个分层次的混合入侵检测系统模型,在低层次上设置代理,用于检测小范围内、局部性的入侵;在高层次上设置中央分析,用于检测涉及范围更广的入侵,并进行统计分析,分担更占用系统开销的工作,这将会大大提高IDS的性能。
三、一种基于代理的混合型IDS
代理是运行在目标系统上的具有特权的小的可执行程序。入侵检测系统中的代理,其任务包括:(1)实时读取审计数据;(2)数据发送和接收;(3)集中原始事件日志转储;(4)设置审计优先级;(5)本地执行响应;(6)验证文件完整性。借助代理,目前的入侵检测分为集中式和分布式两类。集中式技术中,代理基本上只是一个数据采集器,将从数据源得到的信息全部交给中央分析器分析处理。由于其对网络性能要求太高,而分析处理事件太多可能造成“事件泛洪”,从而使中央分析器瘫痪,因此实际很少采用。分布式技术中,代理则作为一个自治性系统,既可以独立对其获得的数据进行分析处理,也可以与其他代理通信协作。实用的基于代理的IDS大多采用这种构造。但是,由于代理处理的数据量大,有可能大大增加主机的开销,影响系统性能。代理与中央分工协作,使用分层分析,可以结合两种技术的优点,有效实现网络与主机的负载平衡。
本模型中,代理主要是以特征匹配方式检测响应入侵,这主要基于大部分入侵都是针对单个主机的,它具有很好的实时性能。当它发现有系统异常情况时,可以将系统的某些数据交给高层分析处理。
我们还要考虑代理应处于粒度树的哪个位置。位置越低时,对入侵事件追究得越透彻,但系统开销也越大。我们可以依据不同系统而制定相应的策略。例如,对于Windows 2000,其内定义了52种审计事件,实现了进程审计和程序审计的有效平衡,因此,在一个安装Windows的系统中设置一个代理分析审计事件即可。对于网络防火墙,其上的代理分析服务类型、数据流量、通信方向、源目地址等来检测。
高层的核心是中央分析系统,进一步实现IDS的任务,检测一些多主机协同的攻击,如DoS(拒绝服务攻击)。初期的攻击特征并不明显,可以通过中央分析系统综合网内各站点的信息检测,同时有效降低低级代理的处理负荷。对于需要收集大量数据统计分析的任务,进行异常入侵检测时,由中央分析更有优势。
由代理发往中央分析系统的数据具有时段特征。这主要基于两点考虑:(1)绝大部分的入侵过程利用的方式是已知的,可以以特征匹配的方式来判定;(2)绝大部分的入侵是在较短的时间段内(半小时)发生的,其相关联的事件具有局部性。因此,发送给中央分析系统的数据,通常是取自系统进入危险状态的约半小时内的数据源。
如何实现代理间协同、中央代理的控制呢?可以通过一本地代理的信号发送实现。在分布代理上,设计一个信号灯系统:红、橙、黄、绿。以红灯表示入侵发生了;橙色表示重度入侵可能,所有的代理检测事件都将发往中央分析系统;黄色表示轻度可能,只是将代理检测的异常事件发给中央分析系统;绿色表示一切正常。
据此,可以提出一个完整的混合IDS模型,见图2所示。
图2 一种基于代理的混合型IDS模型
后备存储系统主要是为了保存日志等重要文件,以备以后查阅。这既可以供危害评估、法律支持使用,也可以由中央分析单元作数据分析用。当然其可以由代理在对主机和网络影响较小,比如下班的情况下转存。
关于系统内组件间相互通信的问题,可以参照CIDF等相关标准,这里不再详述。本文提出的模型,着眼于对当前基于自治代理的IDS进行优化,相信随着代理技术的发展,入侵检测系统会得到更广阔的应用。
【参考文献】
[1]Andrew Lockhart.网络安全Hacks [M].陈新译.北京:中国电力出版社,2010.
[2]Paul E.Proctor.入侵检测实用手册 [M].邓琦皓,许鸿飞,张斌译.北京:中国电力出版社,2003.
[3]张琨,徐永红,王珩,刘风玉.用于入侵检测的贝叶斯网络[J].小型微型计算机系统,2003,5(24).
[4]谭小彬,王卫平,奚宏生,殷保群.系统调用序列的MARKOV模型及其在异常检测中的应用[J].计算机工程,2002,12(28).
[5]谭小彬,王卫平,奚宏生,殷保群.安全操作系统的实时报警[J].计算机学报,2003,3(26).
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
