分布式入侵检测系统的校园网络安全之解决方案研究-代写论文网

代写论文 >> 计算机论文 >> 分布式入侵检测系统的校园网络安全之解决方案研究

分布式入侵检测系统的校园网络安全之解决方案研究

作者:admin 来源:网络日期:2009-3-14 12:38:19

摘要：本文首先介绍了入侵检测技术的概念、分类和历史，总结了入侵检测技术的现状和发展趋势。然后针对校园网入侵检测的需求，设计并实现了一个校园网分布式入侵检测系统。系统由分布在网络各节点的监测代理(MA)收集信息，在统计服务器（SS）上进行数据集中和归并，最终由管理服务器（MS）进行分析，向管理员发出报警信息。该系统实现了误用检测、异常检测、攻击源追踪三个方面的功能。
关键词：分布式入侵，校园网络，网络安全，入侵检测，蠕虫，分布式拒绝服务攻击

0引言
随着网络技术的发展和网络的普及，计算机系统和网络面临的安全问题越来越严重。从简单的、利用系统漏洞的入侵和攻击，到拒绝服务（DoS）攻击，直至分布式拒绝服务（DDoS）攻击；从1988年的莫里斯蠕虫，到2002年横扫全球互联网的冲击波和冲击波杀手病毒，以及至今仍在四处泛滥的Mydoom和Netsky邮件病毒。网络攻击的方法和模式经历了一次又一次革命性的变化,特别是网络蠕虫等恶意移动代码已多次造成全球规模互联网的瘫痪。同时，互联网上可随意下载的各种攻击工具和溢出代码也使得网络攻击的门槛变低。因此，对入侵检测系统的需求日趋迫切。入侵检测（IntrusionDetection）技术是计算机网络安全防范体系的重要组成部分。目前，相关研究已经成为网络安全领域的热点课题。入侵检测是对入侵行为的发觉，研究的对象是计算机网络上的各种攻击行为。它通过对受保护的计算机网络或系统中的若干关键点收集信息并对其进行分析，检测是否已经或正在受到某种攻击，并采取相应措施。校园网是国内最大的网络实体，因此，校园网对入侵检测系统也有着特别的需求。
1校园网络的安全威胁
校园网的特点是用户流量大、上网时间长、在线用户比率高、网络应用复杂、引起巨量访问的各种服务器。这种情况下，校园网络面临着许多安全方面的威胁：
1）黑客攻击，特别是假冒源地址的拒绝服务攻击屡有发生。攻击者通过一些简单的攻击工具，就可以制造危害严重的网络洪流，耗尽网络资源或被攻击主机系统资源。但是同时，攻击者常常可以借助伪造源地址的方法逍遥法外，使网络管理员对这种攻击无可奈何；
2）病毒和蠕虫，在高速大容量的局域网络中，各种病毒和蠕虫，不论新旧都很容易通过不小心的用户或有漏洞的系统迅速传播扩散。其中特别是新发的网络蠕虫，常常可以在爆发初期的几个小时内就闪电般席卷全校甚至全球，造成网络阻塞甚至瘫痪；
3)滥用网络资源，在校园网中总会出现滥用带宽等资源以致影响其它用户甚至整个网络正常使用的行为。如各种扫描、广播、访问量过大的视频下载服务等等。
2系统功能需求
在以上安全威胁面前，服务于校园网的入侵检测系统（IntrusionDetectionSystem，IDS）必须满足以下需求：
1）分布式结构：由于校园网络的主干流量太大，所以在出口处安装的任何IDS设备都无法处理如此多的数据。因此必须采用了分布式的体系结构，由分布在网络中的监测代理收集数据，然后汇总统一处理结果，这也是现今各IDS在大规模网络中唯一可行的方法；
2）误用检测功能：误用检测仍是现今IDS应用的主流，而误用检测系统性能好坏的关键就在其特征库是否完备。在校园网的复杂应用环境中，需要误用检测的特征库中包含足够多的常见攻击种类，所有监测代理的特征可以有效的统一管理特征；
3）异常检测功能：为了对未知攻击做出反应，必须使用异常检测功能对误用检测进行补充。特别是对网络蠕虫爆发行为，必需加以有效的检测。
4）攻击源追踪：针对假冒源地址的DDoS攻击，需要能有效的确定攻击者的来源，特别是对于校园网内部发起的攻击，应该能确定其大致物理位置。
3物理结构
系统在物理上由三种主机组成，分别为监测代理（MonitorAgent，简称MA）、统计服务器（StatisticServer，简称SS）和管理服务器（ManagementServer，简称MS）。图1所示：
图1校园网络分布式入侵检测系统的物理架构
从图中可以看到，MS控制并监测所有MA和SS的运行状态。被监测的子网网关通过端口映射的方法将子网的出入流量转发给MA，同时校园网的边界处也通过分光器将整个校园网的出入流量转发给一台MA。监测的日志在MA处定期归并后上传至SS中的数据库。MS再从SS处取得日志数据，经过分析和统计，得到入侵检测结果。管理员使用控制台同MS交互，获得需要的信息。每种主机的详细职能如下：
1）MS：管理服务器，完成对系统的配置功能，与SS通信，获取统计分析结果，以图形方式显示。监测各MA工作状况、负载信息。提供用户管理、MA管理功能；
2）SS：统计服务器，保存、整理从网络中获取的数据，按照一定的算法，对已有的数据进行统计分析，给出报告结果，为网络管理、维护提供依据；
3）MA：监测代理，采用被动监听的方式获取网络中传送的数据，统计流量信息，利用攻击检测规则检测网络中存在的攻击活动。
4逻辑结构
从功能上分，系统主要由三个互相独立的子系统构成，它们分别是误用检测子系统、异常检测子系统和攻击源追踪子系统。所有子系统的检测数据都由分散在网络各个节点处的MA收集和统计；然后定时归并后提交给同一台SS；最后，管理服务器从SS中读取需要的数据进行分析，做出检测结果供管理员查询。除误用检测、异常检测和攻击源定位三个主要的子系统以外，系统还包括一个管理和显示子系统，管理和监控所有服务器的运行状态，为管理员提供显示和交互的服务。系统整体结构图如图2所示：
图2分布式入侵检测系统软件体系结构
1）误用检测子系统：基于误用检测的分布式入侵检测系统，包含误用检测代理、攻击特征库、误用日志库、误用检测统计、ISEP接口等模块；
2）异常检测子系统：基于统计分析的异常检测系统，包含异常检测代理、异常日志库、异常检测统计等模块；
3）攻击源定位子系统：基于流量分析的攻击源定位系统，包含攻击追踪代理、攻击源信息库、追踪统计等模块；
4）管理和监控子系统：为整个系统提供统一的管理和界面交互，包含MA和MS的管理界面模块、系统管理模块、系统信息库模块、公钥证书签发与管理模块等。系统的管理模块还有监测MA运行状态的功能，MA定期将自身的状态信息提交到SS中，MS的管理模块实时的从SS中提取各MA的信息，内容包括CPU利用率、磁盘利用率、MA物理位置、MA误用检测代理的特征版本等信息。MS得到这些信息后使用图形化进行显示，供管理员进行查询。
5系统特点
本系统与其它系统相比，有以下几方面的突出特点：
(1)误用检测特征库
攻击特征库是所有误用检测系统的核心部件，系统中规则的质量决定了误用检测的准确性和有效性。本系统中的攻击特征库记录有一千多条攻击特征，提供丰富的数据库管理接口，管理员可以很容易的增加或修改规则。同时，系统现有规则描述方法与互联网上常用的snort规则兼容，并且支持动态扩展新的描述方法，使管理员可以迅速对新发现的攻击做出相应规则，保障检测系统的有效性。
(2)异常检测和蠕虫爆发检测
异常检测子系统可以统计被检测网络的流量、协议、服务、主机的活动行为，从而发现网络的异常。异常检测可以发现未知攻击，主要针对大规模的攻击行为，与误用检测互为补充。蠕虫是网络攻击的一种，由于具有自主传播的特性，对网络的影响远大于普通的攻击。本系统提出了一种新的蠕虫爆发检测算法，通过分析流量的变化趋势检测蠕虫。它的特点是可以在蠕虫对网络造成阻塞之前发出报警，从而使系统管理员和网络紧急响应组织有更多的时间做出反应。
(3)攻击源追踪
由于路由器在转发IP包的时候不检查源地址，所以攻击者为了隐藏自己的信息，常常使用伪造源地址的方法，如常见的DoS攻击就往往伴随着源地址的伪造。至今，追踪此类攻击的源地址仍是一个尚未圆满解决的问题。
攻击源追踪子系统使用所有监听网络边界路由器的MA，记录目标地址为被攻击主机的流量数目。对于成功的攻击，其目的地址一定是真实的，所以将所有这些MA的记录数据通过SS汇总，使用MS进行分析后，就可以判断是否此攻击由被监测网络发出。如果被检测网络内确实有主机发出DoS攻击，则可进一步确定这台主机的位置。http://www.dxlww.net代写论文网
(4)管理模块
管理员通过web方式与MS进行交互，从而管理系统和查看检测结果。是系统对外的唯一接口，所以其安全性非常重要。本系统内置了一个公钥证书服务系统，对合法管理员使用基于公钥的身份认证机制，认证通过的用户使用https安全协议进行通讯，保障系统的安全。模块可以实现基于公钥的身份认证机制、基于角色的访问控制等功能，对系统管理员使用基于公钥的身份认证机制，所有登陆MS的用户都需要对双方进行认证。在认证之前，用户需要在本机安装了包含私钥个人证书和包含公钥的MS证书。建立连接后，MS和管理员都分别向对方提交自己的证书，互相验证身份，只有通过验证才能继续通讯。这种方法舍弃了传统的用户名密码认证模式，一方面给用户带来了方便，另一方面防止用户信息被窃听，也防止服务器域名被假冒，从而大大增加了安全性身份认证成功后，管理员和系统的所有通讯都使用https协议加密，确保了信息的安全可靠。基于角色的访问控制（Role-BasedAccessControl,RBAC）是根据主体所扮演的角色被赋予的权限来决定访问模式。本系统把使用者分为超级管理员、管理员和普通用户三个角色，系统使用者可以被授权为任意角色，不同的角色有不同的访问权限。普通用户只能浏览攻击特征库中的特征信息；管理员可以查看报警信息和系统状态，但是不能修改系统配置；而系统管理员则可以任意配置系统，并可以添加和删除其它用户的登陆账号。
6本文创新点
本文针对校园网环境的实际应用，设计并实现了一种分布式入侵检测系统。针对校园网入侵检测的需求，在一些开放源代码软件（如Snort、Tcpdump等）的基础上，设计并实现了一个分布式入侵检测系统，系统具备分布式体系结构，可以实现了误用检测、异常检测、攻击源追踪功能，很好的解决了校园网络的所面临的安全威胁。

参参考文献
［1］姚兰，王新梅.防火墙与入侵检测系统的联动分析［J］.信息安全与通信保密，2002,(18).
［2］钟诚，赵跃华.信息安全概论［M］.武汉：武汉理工大学出版社.2003.
［3］张云勇.移动Agent及其应用［M］.北京：清华大学出版社，2002.