基于移动代理的分布式 入侵检测系统

2023.04.22 1

基于移动代理的分布式入侵检测系统太原理工大学网络信息中心

任新华[email protected]

2023.04.22 2

主 要 内 容背景综述本课题的研究意义移动代理技术基于移动代理的分布式入侵检测模型基于移动代理平台 IBM Aglets 的本模型的实现

2023.04.22 3

防火墙策略的优缺点明显的优势 在内外网之间提供安全的网络保护屏障，降低内网受攻击的风险。 缺陷 入侵者可以寻找防火墙背后可能敞开的后门； 完全不能阻止内部袭击； 无法提供实时的入侵检测能力； 对邮件病毒束手无策。

2023.04.22 4

入侵检测 (Intrusion Detection)

定义：通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（ Intrusion Detection System ，简称 IDS ）。

2023.04.22 5

入侵检测系统的分类 根据根据检测的数据来源检测的数据来源分分基于主机基于主机的入侵检测系统（的入侵检测系统（ Host-based IDSHost-based IDS ） ）

基于网络基于网络的入侵检测系统（的入侵检测系统（ Network-based IDSNetwork-based IDS ）） 根据根据检测使用的分析方法检测使用的分析方法分分异常入侵异常入侵检测型（检测型（ Abnormal DetectionAbnormal Detection ） ）误用入侵误用入侵检测型（检测型（ Misuse DetectionMisuse Detection ））根据根据 IDSIDS 的体系结构的体系结构分分集中式集中式入侵检测系统（入侵检测系统（ Centralized Intrusion Centralized Intrusion

Detection SystemDetection System ，，简称简称 CIDSCIDS ） ）分布式分布式入侵检测系统（入侵检测系统（ Distributed Intrusion Distributed Intrusion Detection SystemDetection System ，，简称简称 DIDSDIDS ） ）

2023.04.22 6

理想入侵检测系统的功能     自动地收集和系统相关的信息      监视分析用户和系统的行为• 审计系统配置和漏洞     评估敏感系统和数据的完整性     识别攻击行为     对异常行为进行统计     进行审计跟踪，识别违反安全法规的行为     使用诱骗服务器（“蜜罐”）记录黑客行为

2023.04.22 7

本课题的研究意义 基于现有的成熟的入侵检测技术，结合移动移动 AgentAgent 技术应用于入侵检测系统的优势，设计一种基于移动代理的分布式入侵检测系统模型；并在基于 Java的移动代理平台 IBM Aglets 上，按照本文设计的模型构建实验监测系统，完成对一些典型的入侵攻击的检测。因此，本课题的研究在理论和实践上都具有深刻的意义。

2023.04.22 8

移动代理（ Mobile Agent ）技术什么是移动代理？

指能在同构或异构网络主机之间自主地进行迁移的有名字的程序。程序能自主地决定什么时候迁移到什么地方。它能在程序运行的任一点挂起，然后迁移到另一台主机上，并接着这一点继续往下执行。

模拟人类行为和关系、具有一定智能并能够自主运行和提供相应服务的程序

移动代理系统的体系结构代理代码库

移动代理服务器（MAS）

远程移动代理服务器（ RMAS）

移动代理传输协议移动代理

监听机制迁移机制

控制机制

安全机制

移动代理

2023.04.22 10

移动代理应用于 DIDS 的特点 主机间动态迁移改变了传统的将数据传送给程序（计算）的方式，而是将程序（计算）传送给数据。 智能性 平台无关性 分布的灵活性 低网络数据流量 协作性

2023.04.22 11

MAE MCA

MDA 日志文件

主机 n

MAEMCA

MDA日志文件

主机 1

MAE

MCAMDA

数据库 数据库服务器

……

ATP ATP

ATP

基于 MA 的 DIDS 体系结构图

2023.04.22 12

基于 Aglet 的 DIDS 系统的功能模块 数据采集模块负责采集被监控的主机系统上的网络连接数据，并进行过滤和格式化处理，保存在系统日志文件中。 入侵检测及响应模块 对各个主机系统上的日志文件进行分析，结合不同的检测手段，和已知攻击行为的特征进行比较，从中发现异常行为，产生实时警报。 数据管理模块 保存和维护所有采集到的数据，处理用户提交的数据库查询和更新请求。 实时监控模块 对各个受控主机进行实时监控，并对出现的问题实时报警。该模块设计的主要问题是如何在保证报警的实时性的同时，尽可能减少对系统资源的占用。 离线查询模块主要通过 Web 方式，提供对各种历史数据和警报的查询和分析。由于该模块的存取数据来源于数据库，所以可以利用各种复杂的算法对系统数据进行分析。

2023.04.22 13

MCA 的工作流程主机日志文件

网络数据包MCA 预处理 格式化的日志文件

2023.04.22 14

MDA 可使用的检测技术基于统计的检测技术基于统计的检测技术 根据用户行为和用户历史行为的比较来判断是否为入根据用户行为和用户历史行为的比较来判断是否为入

侵的侵的。。 基于人工智能检测方法基于人工智能检测方法 通常采用神经网络、遗传算法和模糊推理等技术。通常采用神经网络、遗传算法和模糊推理等技术。 基于专家系统的入侵检测基于专家系统的入侵检测 采用模式库的方法对入侵行为进行匹配。采用模式库的方法对入侵行为进行匹配。

2023.04.22 15

通信协议 ATP

ATP Transmission Protocol 有效性和可靠性 代理之间的通信不能明显地增加系统的负担，降低网络的传输性能。 安全性 各部件之间的通信协议必须提供某种加密机制来保证 IDS 之间数据传输的安全性，以防止网络窃听 。

数据库

数据管理模块

可疑数据

CG

I网关

系统功能模块图

数据采集模块

主机数据源 网络数据源

数据过滤和预处理

入侵检测和响应模块

TCP MDA UDP MDA

ICMP MDA

实时监控模块

浏览器

离线查询模块

浏览器

实时监控警报记录

历史数据查询分析

联动控制联动控制

2023.04.22 17

IBM Aglets 的运行支撑环境 移动代理 移动代理 移动代理通信 通信

Aglet 虚拟机 Tahiti

Linux Java

虚拟机 Java

虚拟机 Windows X

Java 虚拟机 Solaris Java

虚拟机

移动代理运行的支持环境

Linux

操作系统Solaris

操作系统Windows X系列操作系统

操作系统……

2023.04.22 18

系统开发环境操作系统： Microsoft Windows2000开发语言： Java后台数据库： Microsoft SQL Server2000数据包截获支持函数包： WinPcap 、 Jpcap

2023.04.22 19

采集网络数据的实现细节< 截获包的具体时间 >|< 源 IP-> 目标 IP>|< 源端口：目的端口 [type:code]>|< 协议 >|

日志文件格式：

2023.04.22 20

系统实现数据包截获的输出结果图

采集网络数据包的流程图获取网卡设备的句柄打开网卡设备

设置网卡处于混杂模式定义并初始化数据结构

循环获取数据包

从缓冲区中读取数据包格式化处理原始数据包存入日志文件

将网卡置回正常接收模式

释放网卡句柄和接收缓冲区

是否

虚拟机Tahiti

移动检测代理 MDA

入侵检测系统请求①

派遣①

主机 A

虚拟机Tahiti移动检测

代理 MDA

入侵检测系统

运行①

主机 B

数据交互①

代理返回②

迁移①

移动检测代理的迁移过程示意图

移动代理CirculateAglet的入侵分析流程图

CirculateAglet初始化 从数据库 Monitored_host 中读出受控主机列表 根据列表指定行程路线，初始化内存分配 发出消息，将代理对象发送到第一台受控主机

刷新该主机的时间戳 读该主机日志文件中的更新部分，放入内存

结合内存中的其它主机的日志来分析日志的新内容TCP 相关攻击检测 UDP 相关攻击检测 ICMP 相关攻击检测

1. 发出警报，将该日志信息入库2.删除内存中的无用日志3. 在内存中保留不可判定的可疑信息 关闭数据库和文件，发送到下一台受控主机上

定时 sleep

2023.04.22 27

总 结——系统的优点实现模块化、可配置性具有高度的可扩展性 能够应对分布式、协同式攻击自身安全性较高

2023.04.22 28

总 结——存在的问题

依赖于移动代理平台依赖于移动代理平台可能受到硬件环境限制可能受到硬件环境限制缺少大规模实用性验证缺少大规模实用性验证

欢迎提出宝贵意见！欢迎提出宝贵意见！[email protected]@tyut.edu.cn