分布式入侵检测系统(精选十篇)
分布式入侵检测系统 篇1
随着各级部门自动化信息系统的应用, 研究和部署内网入侵检测系统十分必要。根据现今计算机网络安全现状以及传统的网络安全模型, 仅仅依靠传统的防护是不够的, 完整的安全策略应该包括实时的检测和响应。分布式入侵检测作为一种主动的信息安全保障措施, 能构建动态的安全循环, 同时在入侵检测系统中使用数据挖掘技术, 通过分析历史数据可以提取出用户的行为特征、总结入侵行为的规律, 从而建立起比较完备的规则库来进行入侵检测, 这样可以最大限度地提高系统的安全保障能力, 减少安全威胁对系统造成的危害。
1 分布式入侵检测技术
入侵检测就是用于检测任何损害或企图损害系统的完整性、保密性或可用性行为的一种网络安全技术。它通过监视受保护系统的状态和活动, 采用误用检测或异常检测的方式, 发现非授权或恶意行为, 为防范入侵行为提供有效的手段。
从图1中可以看出, 在入侵检测系统中, 系统将用户的当前操作所产生的数据同用户的历史操作数据根据一定的算法进行检测, 从而判断用户当前操作是否是入侵行为, 然后系统根据检测结果采取相应的响应处理行动。入侵检测的过程实际上是一个机器 (检测工具) 与人 (黑客) 对抗的决策分析过程。
根据侧重点的不同, 当前入侵检测系统可以有以下几种不同的分类方法。
1.1 依据数据来源分类。
基于主机的IDS、基于网络的IDS、基于分布式IDS。
1.2 依据检测方法分类。
误用入侵检测是根据已知系统和应用软件的漏洞及其攻击模式的特征进行编码, 形成规则库, 通过与审计数据进行模式匹配来检测入侵。误用检测模型能针对性地建立高效的入侵检测系统, 检测精度高, 误报率低, 但它对未知的入侵活动或已知入侵活动的变异检测的性能较低。
异常入侵检测是利用已建立的正常用户和系统的行为特征来检测当前行为的背离度, 以确定当前行为是否为入侵行为。
1.3 依据系统部件配置方式分类。
依据系统部件配置方式的不同, 可将入侵检测系统分为集中式入侵检测系统和分布式入侵检测系统。
由于分布式入侵检测系统能够适应复杂、大型网络的安全需要, 它能够将基于主机入侵检测系统和基于网络入侵检测系统的结构结合起来, 检测所有的数据源, 因而具有许多优点: (1) 分布式入侵检测系统可以检测大范围的攻击行为。 (2) 分布式入侵检测系统能够提高检测的准确率。 (3) 分布式入侵检测系统可以提高检测效率。 (4) 分布式入侵检测系统可以检测出分布式协同攻击。 (5) 分布式入侵检测系统可以协调响应措施。
在技术上也存在一些难点: (1) 安全事件应该在系统的什么位置产生和存储。 (2) 状态空间管理及规则复杂度问题。 (3) 知识库管理问题。 (4) 对安全审计数据的处理工作在系统的哪个部分进行的问题。我们而针对知识库管理当中的网络源数据, 采用了数据挖掘技术。
2 数据挖掘技术及其在入侵检测中的应用方法
数据挖掘就是从海量的、不完全的、有噪声的、模糊的、随机的实际应用数据中, 提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识的过程。
数据挖掘从预处理过的数据中提取用户行为特征或规则等, 再对所得的规则进行归并更新, 建立起规则库。依据规则库的规则对当前用户的行为进行检测, 根据得到的结果采取不同的应付手段。常见的数据挖掘方法可分为以下几种:关联分析、分类分析、聚类分析、序列模式分析。主要以关联规则挖掘算法为例, 来发现新的检测规则和检测模式。关联规则的关键属性是置信度C和支持度S。
2.1关联规则
构建了一个基于数据挖掘关联分析方法的入侵检测系统, 该系统主要用于异常检测。
关联规则的形式化定义如下:I (项集) DXY等。
发现关联规则就是要找出所有支持度和可信度不小于用户指定的最小值, 即
S≥minsup (用户指定的最小支持度)
C≥minconf (用户指定的最小可信度)
挖掘关联规则的算法一般可分两个步骤进行:第一步, 从记录集D中找出所有支持度大于最小支持度的minsup的数据项集, 称之为频繁项集, 其它不满足支持度要求的数据项集则称为非频繁项集 (small itemsets) 。第二步, 使用频繁项集产生期望的关联规则。产生关联规则的基本原则是其可信度必须大于预先指定的门限值。
经典的关联规则挖掘算法有Apriori算法和Apriori Tid算法。上面介绍的关联规则挖掘算法是一种通用算法, 没有考虑任何特定领域的知识, 因此在算法运行时可能会挖掘出大量没有意义的规则。为解决这个问题, 首先需要对挖掘的对象进行数据预处理, 并对算法进行适当的改进以适应入侵检测系统中挖掘检测规则和模型的需要。经这样处理后的数据能够较好的适用于入侵检测系统中的关联规则挖掘算法。设计了能够适用于分布式入侵检测系统的IDSAPriori算法。
2.2改进的关联规则
算法主要针对网络数据源进行分析, 其第一步就是格式化网络流量中的数据包, 提取出网络数据流量的关键特征。用专用网络数据流的转储工具采集网络上流经的IP数据包, 提取其中的属于同一次连接的关键特征作为一条连接记录, 将采集到的大量连接记录生成记录集数据库D, 数据库中的每一条记录R表示一次TCP连接, 其属性有:
经验证明, 用户的行为与连接记录特征之间有紧密的相关性, 比如, 程序员经常登录到主机编辑和编译C程序, 这些一致性的用户行为模式应该包含在用户正常使用模式中。基于这一思想, 对Apriori算法作以改进, 使之能更好地适用于挖掘海量网络流量审计数据中的关联入侵规则, 这些关联入侵规则表示了用户的行为模式, 将这些行为模式加入到用户行为特征规则库中, 使入侵检测系统能从历史记录中自动提取特征规则, 从而能够检测出未知攻击特征的攻击行为, 从而实现入侵检测系统的自学习性和自适应性。
在IDSApriori算法中对Apriori算法进行了如下改进: (1) 使IDSApriori算法能够检测出不同类型的攻击, 在连接纪录的属性集中可任选其一作为标识符ID, 即采用可变ID, 如选Time属性作ID, 可用于检测DDos类型的攻击; (2) 为使入侵检测系统的关联规则库不至于过于庞大, 在关联规则的生成过程中引入规则频度的定义, 每生成一条关联规则的同时, 定义该规则的频度usefreq, 在检测过程中每当关联规则被匹配一次, 则该规则的频度自动加l, 当规则的频度达到最大时, 从关联规则库中删除最近使用频度最小的规则。下面就是根据基本理论及应用方法, 这里提出了一种基于数据挖掘的分布式入侵检测系统模型。
3 基于数据挖掘的分布式入侵检测系统
本系统设计采用分布式体系结构, 整个系统由分布在各地的客户端系统和中心控制端系统组成。具体组成如图2所示。
客户端部分的主要功能是将从网络数据源或主机数据源收集的数据经过数据预处理模块处理后送入数据库模块, 然后经过数据挖掘模块提取出入侵特征和检测规则, 生成检测模型, 并存入数据库中, 生成的检测规则和模型除了送入本地检测器模块, 还和可疑数据一起送入中心控制端。中心控制主要功能是中心数据仓库模块接受各个客户端送来的检测规则和模型, 并使用数据挖掘模块对各个客户端不能确定的可疑数据来进行二次挖掘, 然后通过检测模型发布模块向各个客户端发布新的规则和模型。
系统核心部件是数据挖掘模块, 该模块综合采用多种数据挖掘算法, 既可以对已标记的数据进行分析处理, 也能够对未标记的数据进行分析, 挖掘出未知的攻击模式或用户异常行为。系统综合采用几种数据挖掘技术, 并且在检测器模块充分利用了误用检测和异常检测两种检测方法的优点, 能够提高系统检测的准确率、降低误报率, 同时能够对未标记的数据进行聚类分析, 提高了系统的自适应性和可扩展性因此, 本系统将数据挖掘技术应用到分布式入侵检测系统中, 提高了整个系统的可扩展性和自适应性。
参考文献
[1]连一峰, 戴英侠, 王航.基于模式挖掘的用户行为异常检测[J].计算机学报, 2002, 25 (3) :325-330.
[2]杨向荣, 宋擒豹, 沈钧毅.基于数据挖掘的智能化入侵检测系统[J].计算机工程, 2005, 27 (9) :17-18.
几种预测入侵物种分布模型的比较 篇2
几种预测入侵物种分布模型的比较
摘要:物种的.多样性和生态安全一直是我国重要的基础研究之一,影响着我国经济、社会的发展.详细介绍、比较了几种入侵物种分布模型的优缺点,以期为这几种模型的合理使用提供参考.作 者:姜隽 作者单位:太原市环境保护信息中心,山西太原,030002期 刊:科技情报开发与经济 Journal:SCI-TECH INFORMATION DEVELOPMENT & ECONOMY年,卷(期):2010,20(8)分类号:X171关键词:入侵物种 分布模型 物种预测
分布式入侵检测系统 篇3
关键词:分布式电源;保护装置检测技术;继电保护;电网
随着经济的高速发展和人们生活的智能化,国家和人们对用电的需求也越来越大,传统的电源已经无法满足国家的用电需求。分布式电源的出现解决了传统电源的用电紧张问题,与传统电源相比,分布式电源属于一种新型的能源,它具有节约能源、高效和保护环境等方面的优势。很多西方发达国家很早就意识到分布式电源的优势,在分布式电源的发展方面比较成熟,但由于我国对分布式电源的发展比较晚,在技术方面还不是很成熟。
一、分布式电源的基本概念
分布式电源是区别于传统电源的一种新型电源,它的功率非常的小,基本上控制在几千瓦到50M瓦之间,是一个小规模、分布在负荷周围并与环境相适应的单独电源[1]。分布式电源的所有权在电力部门、用户以及第三方的手里,存在的主要目的是为了保证用户和电力系统的特殊要求。
分布式电源的存在形式多种多样,这既方便了分布式电源的开发、利用,也方便了用户对电源的使用。具体来说分布式电源的存在形式主要有以下几种:热点联产、燃料电池技术、分布式太阳能技术、分布式生物质能源技术、燃料垃圾的分布式能源技术、分布式煤气化能源技术以及分布式每层气能技术等[2]。多种存在形式的分布式电源,有效的缓解了传统电源使用过程中的电源压力,对促进经济的发展和社会的进步,改善人们的生活质量起到了重要的作用。
二、利用分布式电源的必要性
分布式电源在发电材料方面可以广泛的使用天然气、沼气以及废弃的自然资源,也可以利用新型能源作为发电的材料,像风能、水能以及太阳能等可循环利用的新生能源。这一方面解决了我国能源短缺的局面,另一方面新型能源的利用,可以减少环境的污染,对改善环境、建设生态文明意义重大。具体来说与传统电源相比,之所以国家必须广泛运用分布式能源有以下几方面的原因。
(一)提高能源的利用率
分布式电源在发电方式上是利用剩余的热量进行制冷或者制热,保证了能源的利用率高达70%以上,充分的利用了能源的价值,减少了能源的浪费,为保证国家经济的发展和社会的进步提供了保障。
(二)有效的降低环境污染
传统的电源最大的弊端除了能源利用率低以外,对环境造成的污染是其更大的弊端。随着人们环境保护意识的增强,人们对污染环境的能源的使用也越来越排斥。但分布式电源的一大优势就是其对环境的污染很小,甚至没有污染。因为分布式电源的发电来源可以是风能、水能以及太阳能等新生能源,这些新能源在利用过程中,基本不会产生对环境影响的物质,能有效的减少对环境的污染,改善人们的生活环境,保证人们的生活更加的环保。
(三)缓解我国能源危机的必然要求
我国虽然能源总很大,但由于我国人口众多,人均能源占有量非常的小,低于世界的平均水平。因此,能源短缺越来越成为制约我国经济发展和人们生活的重要因素,为解决我国的能源短缺危机,必须利用分布式能源的特点,提高能源的利用率,开发多种新型的能源。
三、分布式电源系统的继电保护
分布式电源系统的继电保护问题是保证分布式电源有效运行,从而保证国家电网安全的前提。因此,对分布式电源的研究也主要集中在对分布式电源的继电保护上面。目前,我国对分布式电源的保护主要体现在三个方面:即分布式发电和旧的配电网保护的衔接、分布式发电对线路重合闸的作用以及孤岛检测和保护问题这三个方面[3]。
为保证电力系统的可靠性,降低分布式发电设备对配电网的影响,必须对分布式电源的保护进行修改,从而使分布式电源并网更加的安全。分布式电源中的大部分故障都能通过自动重合闸进行解决,从而提高分布式电源运行中的可靠性。对于孤岛检测,不同的国家又不同的标准,但都是为了在电网失电后,继续为电网提供电力支持,保证国家和人们正常的供电需求。
虽然对分布式电源的继电保护在保证分布式电源的正常运行方面产生了巨大的作用,但仍然没有从根本上解决分布式电源的继电保护工作。为此,必须有效的协调分布式电源和国家电网的关系,充分利用分布式电源的发电技术,扩大分布式电源的研究范围,将分布式电源的继电保护问题纳入国家的基础工程项目当中,从而保证从根本上解决分布式电源继电保护中存在的问题,为国家的发展和进步提供电力支持。
四、结语
综上所述,我国能源紧缺,传统的电源已经无法满足我国经济发展对电量的需求,也无法满足人们的日常生活用电需求。由此可知,改变传统的电源方式,推广分布式电源,是解决我国用电紧张的有效途径,为了在将来的发展中更好的推行分布式电源,做好分布式电源的继电保护工作是非常必要的。只有保证分布式电源的继电保护工作,才能更好的使分布式电源的运行正常化,保证国家的用电安全。
参考文献:
[1]陈争光,詹荣荣,李岩军,董明会,王晓阳,詹智华,琚子超.分布式电源系统继电保护装置检测技术的研究[J].电网技术,2015,04: 1115-1120.
[2]彭明智,张维,熊泽群.分布式电源接入装置的研究和设计[J].电力系统保护与控制,2011,14:58-63.
分布式入侵检测系统 篇4
入侵检测系统就是在这种背景下发展起来的。作为一种新型的主动防御机制, 入侵检测系统能够为主机和网络提供一种动态的保护[1]。它不但能够监测来自网络内部、外部的各种攻击, 而且可以最大程度的与其他的网络安全产品相结合。它的实时性和主动性的特点弥补了防火墙的不足。现今在所有的网络安全的解决方案里, 入侵检测已经是一个不可或缺的部分。尽管如此, 由于网络规模的持续扩大和攻击手段的复杂性, 分布式的入侵检测系统开始发展起来。这种结构通过分散的集合分布处理和集中管理来迎合大规模和高速网络的安全需求。
1 协议分析技术
入侵检测系统早期一般使用误用检测和异常检测的检测技术[2]。误用检测技术是基于已经知道入侵攻击的特征去匹配和识别攻击, 模式匹配技术是最通用的误用检测技术。它的特点是简单、有较好的扩展性好以及检测效率高 (相对于异常检测) , 但是它只能用来检测一些相对比较简单的攻击, 因此它误报率很高[3]。尽管如此, 这种技术的便利的维护性仍然使它被广泛的应用。异常入侵检测是预先存储用户正常的行为模式, 但是那些不确定的用户的正常行为在检测的时候会被当成入侵行为。由于它可以发现异常行为和未知的攻击模式, 因此异常入侵系统是最主要的研究趋势。异常检测系统的关键问题是建立正常的行为模式, 以及如何用该模式与当前系统或用户的行为的模型进行比较, 从而判断出行为的异常度。这两种入侵检测系统的方法都不具有智能限定行为模式的意图, 但是利用协议分析的优点就可以弥补这一点。
协议分析是一种新型的入侵检测系统的技术手段。它可以高效的分析协议, 并利用网络协议高度的规则性快速检测攻击, 从而避免了传统入侵检测技术在检测过程中的大量的无用过程, 极大的提高了检测效率[4,5]。协议分析技术只搜寻数据包的特定部分而不是完整的数据, 因此缩小了检测空间, 从而提高了入侵检测的效率[6]。
2 协议的基本结构
以太网帧格式有两种标准, 一种是DIX标准的Ethernet II, 另一种是IEEE标准802.3[7]。Ethernet II帧格式通常被用于现行的帧格式。协议的头部包括了IP、IPX、ARP、SNMP、Net BUI, 格式如表1。
2.1 IP数据报 (IP datagram)
在传输协议TCP、UDP、ICMP、IGMP中, 数据是基于IP数据传输格式, IP数据报被分为IP头和IP数据段[8]。IP头包含了版本、首部长度、服务类型、长度、认证、标志、段偏移量、TTL、校验和、源IP地址、目的IP地址, 如图2。
2.2 TCP报文
TCP (传输控制协议) 是一种面向连接的传输服务[9]。它在传输过程中把数据分段传输, 它用比特流进行通信。为保证传输数据的可靠性, 每个TCP传输序列号都是特定的。TCP数据报被分为TCP头和TCP数据段, 其中TCP头包含了源端口、目的端口、序列号等等。
3 基于协议分析的分布式入侵检测系统的模型
3.1 检测器模型
设计和建立基于协议分析原理的检测模块是系统最重要的地方, 它包含了两部分内容:数据抓取模块和协议分析模块, 结构如图2所示。
数据抓取模块最主要的作用是获得网络中的数据, 并把用于协议分析的数据部分发送出去。
这个模块的焦点是协议分析, 它描述分析抓取的数据。它的工作原理是:从以太网帧中得到以太网数据报首部, 数据报首部的长度是14个字节, 其中6个字节代表了目的以太网地址, 另外6个字节代表了源以太网地址, 最后2个字节代表了帧的服务类型, 如ARP、RARP、IP、IPX等等, 我们只需要对IP协议做进一步的分析。IP头的长度是20字节, 它主要包括了源IP地址、目的IP地址、断标识和断偏移量以及IP装载的协议类型, 如TCP、UDP或者ICMP (分别对应协议号码为6, 17, 1) 。TCP头的长度是20个字节, 它主要包括了源端口、目的端口、标识、序列号和ACK等等。TCP头包括了6个标识:URG、SYN、ACK、FIN、RST、PSH, 这两个标识反应了TCP连接的状态。数据包的类型可以通过TCP包的源端口和目的端口得知, 例如TELNET的端口是23, EMAIL的端口是25等等。在应用层, 包含了大量的协议, 我们只需要分析一些日常的应用, 比如FTP、EMAIL、TELNET、WWW等。
通过协议分析, 分析模块可以抽取数据包中的关键词, 与检测器模块中的关键词进行比较, 我们就可以知道是否有网络入侵发生。
3.2 分布式入侵检测系统的模型
尽管入侵检测系统能够识别非授权的使用或者计算机和网络系统的误用, 而入侵也变得越来越复杂, 独立的入侵检测系统不能够处理复杂的安全问题。因此在网络中放置多个入侵检测系统代理, 并在其中设置一个处理关键词数据载体的模块, 利用综合分析来确定攻击是否发生, 这种机制就是分布式入侵检测系统。这个系统被分为检测模块、处理模块和响应模块。具体模型如图2。
在这个模型中, 在检测模块和处理模块中的网络数据可以再检测后进入用户的计算机。每一个检测模块就是一个微数据分析系统, 它们通过数据报告的分析高速的发送到处理模块, 在响应模块中确定是否属于攻击行为。检测模块和处理模块组成了一套完整的入侵检测系统。
处理模块包含了一个规则库, 它是现今常见的入侵模式的关键词集合, 并随着新入侵行为的出现, 从而扩充或者修改规则库。如果我们发现到达的字串被匹配, 那么就表示攻击发生了, 此时检测模块会发送经过比对的关键词和规则到处理模块。响应模块用于反应入侵行为, 也会提示用户攻击的手段以及攻击的目标, 使得用户及时的做出防御性措施以避免造成损失。
4 分布式入侵检测系统的特点
基于协议分析的分布式入侵检测系统模型具有以下优点:
4.1 系统结构简单
这个系统由三个模块组成:检测模块、处理模块和响应模块。这就使得数据在几个模块之间进行传递时不需要经过过多的中间层, 从而提高了各模块之间的数据传输率。在大数据流量的网络中, 这种系统具有巨大的优势。当有更多的数据在网络上传输时, 传统入侵检测系统的漏报率将急速增加。这就给那些黑客制造了机会, 他们利用一些方法向网络中发送大量的垃圾数据搞乱网络。这时如果一些检测部分和处理部分有一点点延迟, 或者在于规则库进行匹配的时间过长的话, 就会造成大量的数据没有被检测就直接进入了用户计算机。
4.2 检测速度快
在检测模块中, 我们只抽取重要的特征包传递给处理模块进行处理, 它的长度相对于整个数据包来说通常是很小的一个比例, 不但节省了检测的系统资源, 而且提高了单位时间内的数据传输速度。特征库中特征字符串很短, 因此在匹配速度上也会有较大的提高, 甚至可以同时处理大量的数据。这个系统可以实现系统工作, 及时的检测入侵, 从而极大的提高了检测速度。
5 结论
基于协议分析的入侵检测已经是新一代的入侵检测系统的技术。该文提出了一个简单结构的基于协议分析的入侵检测系统, 具有较快的检测速度、较高的检测效率等等, 并且系统实现的费用不高。尽管如此, 网络入侵的多样化使得检测系统越来越难, 尤其是规则库只能够识别被入侵行为, 以至于仍然会有未被检测到的入侵行为。不过分布式入侵检测系统的研究仍然处于初期阶段, 随着技术的发展, 这个系统可以随着网络趋势的改变而改变, 也就是使系统具有自学习性和适应性的功能。
参考文献
[1]陈一骄.网络入侵检测系统高速处理技术研究[D].长沙:国防科学技术大学, 2007.
[2]李秀婷.基于Snort的网络入侵检测系统实现及其改进研究[D].西安:西安电子科技大学, 2008.
[3]沈超, 薛胜军.分布式协同入侵检测系统设计与实现[J].武汉理工大学学报, 2010 (16) .
[4]黄莉.一种基于协议分析和聚类的入侵检测方法[J].科技信息, 2009 (30) .
[5]张绍辉, 陈晨, 韩宪忠.基于MAC帧分类匹配的WLAN入侵检测[J].微型机与应用, 2011 (1) .
[6]苏砫, 李化.分布式入侵检测系统[J].数据通信, 2003 (6) .
[7]杨文莲, 王颖.网络入侵检测的研究与实践[J].网络安全技术与应用, 2006 (5) .
[8]司凤山.一种分布式入侵检测系统模型研究[J].菏泽学院学报, 2011 (2) .
分布式存储系统 Katta 篇5
Katta可用于大量、重复、索引的碎片,以满足高负荷和巨大的数据集。这些索引可以是不同的类型。当前该实现在Lucene和Hadoop mapfiles
让大型高负荷的索引变简单
能为许多具有大型Lucene或Hadoop Mapfile 的索引碎片的服务器提供服务
在不同服务器上复制碎片以保证性能和容错性
支持插件化的网络拓扑
故障管理
快速、轻量级、易于集成
与Hadoop集群工作良好
Apache License,Version 2.0
分布式入侵检测系统 篇6
摘要:红毛草是一种外来植物,原产于南非,主要分布于非洲、美洲、亚洲、澳大利亚及部分岛屿,在我国,主要分布于福建、广东、广西、海南及台湾等地区。通过对文献、资料的整理,在了解红毛草生物学、生态学特性、地域分布以及生境类型的基础上,采用中欧风险评估体系(WG-WRA)和澳大利亚(或新西兰)杂草风险评估体系(WRA)对红毛草进行入侵风险评估。结果表明,红毛草繁殖能力强(种子产量大、发芽率高)且具有良好的生态适应性和环境抗逆性,在我国5个省(区、市)19个市均有分布,并呈不断扩大的趋势。2个风险评估体系对红毛草入侵我国北方地区的分值分别为13、14分,属于低风险入侵植物;但是,对于南方地区的入侵分值都为29分,属于高风险外来入侵植物,一旦入侵成功则会威胁到当地的生态安全和生物多样性。因此,在对红毛草引种和应用时,必须加强管理和监测,并做好相应的防控工作。
关键词:外来入侵植物;风险评估;观赏草;红毛草;入侵特性;地理分布;生态安全;生物多样性
中图分类号:S451文献标志码:A文章编号:1003-935X(2016)02-0029-05
红毛草(Rhynchelytrumrepens)为禾本科红毛草属草本植物,根茎粗壮,植株高达1m。圆锥花序开展,长10~15cm,小穗长约5mm,常被粉红色绢毛。红毛草因具有较高的观赏价值和良好的适口性而被广泛种植[1],但是,因红毛草繁殖力和耐旱性较强,并具有广泛的气候适应性,所以极易引起入侵危害,成为恶性杂草,造成地区经济损失[2-3]。在美国佛罗里达州,FLEPPC(FloridaExoticPestPlantCouncil)已将红毛草列为Ⅰ级侵入种,红毛草入侵对该地区的生态系统造成严重威胁[4]。因此,在红毛草尚未对我国生态安全和农林业生产造成严重危害前,须要详细了解它的生物学和生态学特性,评估入侵风险,为未来防控红毛草工作提供参考和依据。
本研究主要通过对文献、网络资料等的调研,对红毛草的生物学、生态学特性及抗逆性和适应性进行探讨,以了解它的竞争能力、入侵特性和分布扩散状况;同时,采用中欧风险评估体系(TheRiskAssessmentforCentralEurope,WG-WRA)和澳大利亞(或新西兰)杂草风险评估体系[TheAustralian(orNewZealand)WeedRiskAssessmentsystem,WRA]2种常用的风险评估体系[5-6]对红毛草进行入侵风险评估,为它的入侵防控提供理论依据。
1入侵特性
红毛草为长命的多年生禾草,具有的生物学和生态学特性使它在从外来种成为入侵种方面具有一定优势,并且人类活动也为红毛草的扩散和入侵创造了便利条件。本研究通过对文献资料的整理,探讨红毛草入侵优势和潜在入侵风险。
红毛草主要有以下几个方面的入侵优势:(1)抗逆性强、适应性广。红毛草耐高温、干旱并且生长不择土壤,在植物群落结构简单、生态系统脆弱的区域,如山坡、草地、采石场及高速公路旁等受损的生境中,极易入侵并且存活、定居[1,7]。(2)繁殖能力强。红毛草种子产量多,可产种子113.5kg/hm2,且种子耐热性强,萌发速度快[1,8]。有研究表明,红毛草种子在45℃高温情况下,发芽率可达30%;即使贮藏4年后也可快速发芽,且种子发芽率仍然保持在较高水平(41.8%),并且它既可进行种子繁殖,也可利用根茎繁殖。因此,当红毛草进入一个新区域时,能快速繁衍、建群、扩展,发展成为优势种并形成单优植物群落[1,9-10]。(3)红毛草因具有较高的观赏性和饲用价值而易被引种应用。1866年,美国最早将红毛草作为观赏草引进,并在1892年将其列为可供家畜采食的饲草[8,11];随后,我国台湾将红毛草作为观赏草和牧草引进。
红毛草具有很强地繁殖和适应能力,并容易通过人为途径进入新的生态系统而造成入侵危害。人为引种和分布扩散是红毛草成为入侵种的前提条件,而它自身的生物学、生态学和环境特征共同影响其入侵危害状况。
2地域分布及生境
红毛草原产于南非的热带地区,主要分布于非洲、美洲、亚洲、澳大利亚及部分岛屿,分布具体情况如表1所示。
外来物种的入侵主要包括传播、定植、建群和扩散[20]几个阶段。为了更好地控制外来物种入侵,必须做好入侵物种的预防工作。因此,了解红毛草入侵的生境类型是十分必要的。据相关文献和资料记载,红毛草常见于以下3种生境类型:(1)河边、山坡草地。在广东地区,红毛草常用于山体护坡[21],因具有较强的繁殖能力和抗旱性,这就给红毛草向其他生态系统入侵提供了便利条件。同时,红毛草可饲喂家畜,所以常被人类和家畜有意或无意地带入到一些草场中[22]。但是,有研究表明红毛草干物质中粗蛋白含量为97g/kg,中性洗涤纤维含量为723g/kg(其中难消化的中性洗涤纤维含量43g/kg),纤维素含量为280g/kg,作为牧草其营养价值并不是很高[23-24]。因此,当红毛草侵入放牧草场时,会影响草场的载畜率,从而给畜牧生产带来一定的损失。(2)受损生境。如废弃采石场迹地、建筑垃圾弃土场、新筑道路两侧等人为干扰区。研究表明,红毛草在珠江三角洲的采石场中能快速繁殖并成为该区的优势种[13]。在美国佛罗里达州,红毛草在道路旁随处可见并呈现向其他生境入侵的趋势[25]。在广东东江流域,红毛草沿着道路蔓延,呈由南向北扩散的趋势,因此对生态环境造成一定的影响[26]。同时,红毛草耐火烧,大量繁殖并对生态环境产生危害时,很难消除[10]。因此,在红毛草未对自然环境产生威胁前,必须加强对它的监测和预警。
3风险评估
对外来植物进行风险评估,可以为外来物种的防治提供理论依据,从而最大限度地减少由外来物种入侵带来的生态和经济损失。基于对红毛草生态生物特性、地域分布以及生境的了解,主要采取2种风险评估体系对其进行入侵风险评估,即中欧风险评估体系(WG-WRA)和澳大利亚(或新西兰)杂草风险评估体系(WRA)[5-6]。中欧风险评估体系(WG-WRA)主要是从原产地、地域分布、繁殖能力及生活型等12个方面对植物进行入侵风险评估,分为低风险(3~20分)、中等风险(21~27分)、高风险(28~39分)3个等级。澳大利亚(或新西兰)杂草风险评估体系(WRA)主要是从红毛草对农业和环境的影响进行评估,主要涉及驯化栽培史、气候和分布、杂草特性、不可期性状、植物类型、繁殖特性、扩散机制以及抗逆性8个方面。当红毛草在环境和农业的得分任一方面超过6分时,即认为具有较高的入侵风险,应慎重引种并在引入后须加以检测。根据我国南方和北方的气候特点,分别对红毛草进行入侵风险评估。
3.1中欧风险评估体系(WG-WRA)
在对红毛草进行风险评估时,按照EPPO(EuropeanPlantProtectionOrganisation)标准先进行预评估,发现红毛草适合进行风险评估。在我国南方地区,红毛草的评估总分为29分(图2),入侵等级为Ⅲ,属于高风险入侵植物(表2)。因此,在引入红毛草时,必须严格限制引种的目的、区域、数量和次数,而且引入后必须做好检测防控工作。在北方地区,红毛草的评估总分为13分(图2),属于低风险入侵植物。所以,在北方地区红毛草不须要专门地监控和管理,但仍须要定期检测,以免在新的环境中产生遗传变异而引发入侵危害。
3.2澳大利亚(或新西兰)杂草风险评估体系(WRA)
采用澳大利亚(或新西兰)杂草风险评估体系(WRA)对红毛草进行风险评估。结果表明,红毛草在北方地区入侵风险评估分值为14分,并且在农业和环境方面的分值都小于6分。根据评估标准,我国北方地区无明显入侵危害,属于低风险入侵植物。在我国南方地区,红毛草的入侵风险评估分值为29分,属于高风险入侵植物,在农业和环境方面的入侵分值分别为3、7分,对环境方面存在入侵危害(图2、表2)。这可能是因为在农田生态系统中,人类频繁的活动干扰,使红毛草无法正常生长繁殖;在生态环境方面,由于红毛草具有较高的观赏性及较强的抗逆性,常被用于采石场、高速公路旁的植被恢复[1,7]。通过人为因素传播及自身较强的繁殖力,红毛草很容易在我国南方地区的环境中建植归化,并造成危害。一旦入侵成功则严重影响区域的物种多样性,改变生态系统的结构和功能,最终很有可能会导致当地生态系统的退化和功能的丧失,从而引起生态灾难[27]。
外来物种风险评估是开展外来物种风险管理的基础,是防止外来物种入侵的有效手段之一[28-30]。本研究运用2种评估体系对红毛草进行风险评估,发现红毛草在我国南方地区是具有高风险的外来有害植物,在北方地区属于低入侵风险的外来植物。我国北方地区的气候條件(尤其是积温)限制了红毛草的生长繁殖,例如在北京地区无法越冬且产种子量极小。但是,在我国南方地区(例如福建、海南及广东等地),气候条件有利于红毛草生长并且种子产量大,繁殖力强,一旦被引入,能快速繁殖并形成简单的单优植物群落,造成入侵危害。因此,在对红毛草进行引种和应用时,必须加强管理和监测并做好防除准备,从而以最大限度减少外来入侵植物带来的生态及经济损失。
参考文献:
[1]陈彦,杨中艺,袁剑刚.红毛草Rhynchelytrumrepens(Willd.)C.E.Hubbard的繁殖特性[J].中山大学学报:自然科学版,2013,52(5):111-117.
[2]范志伟,沈奕德,刘丽珍,等.海南外来入侵杂草概况[C]//全国林业有害植物防控研讨会论文集.珠海:中国林学会,国家林业局,2009:134-135.
[3]FernandesGW,SantosR,BarbosaNPU,etal.Occurrenceofnon-nativeandexoticplantsinrestoredareasofrupestriangrasslands[J].PlantDaninha,2015,33(3):463-482.
[4]Listofinvasiveplantspecies[J/OL].FloridaExoticPestPlantCouncil,2009,12(4):13-16[2016-02-29].http://www.fleppc.org/.
[5]WeberE,GutD.AssessingtheriskofpotentiallyinvasiveplantspeciesincentralEurope[J].JournalforNatureConservation,2004,12(3):171-179.
[6]PheloungPC,WilliamsPA,HalloySR.Aweedriskassessmentmodelforuseasabiosecuritytoolevaluatingplantintroductions[J].JournalofEnvironmentalManagement,1999,57(4):239-251.
[7]谌吉红.观赏草红毛(Rhynchelytrumrepens(Willd.)Hubb)快繁体系的初步建立与抗旱性初步研究[D].重庆:西南大学,2009.
[8]TracySM.Natalgrass:asouthernperennialhaycrop[M].Washington,DC:U.S.DepartmentofAgricultureFarmersBulletin726.1916:16.
[9]李晓霞,沈奕德,黄乔乔,等.海南剑麻园杂草种类调查及防除技术研究[J].中国麻业科学,2014,2:89-97.
[10]PossleyJ,MaschinskiJ.CompetitiveeffectsoftheinvasivegrassRhynchelytrumrepens(Willd.)C.E.Hubb.onpinerocklandvegetation[J].NaturalAreasJournal,2006,26(4):391-395.
[11]MislevyP,QuesenberryKH.DevelopmentandshortdescriptionofgrasscultivarsreleasedbytheUniversityofFlorida(1892—1995)[C]//Gainesville:SoilandCropScienceSocietyofFlorida,1999,12-19.
[12]汪殿蓓,暨淑仪,陈飞鹏,等.深圳市南山区山地植被和主要植物群落类型[J].东北林业大学学报,2002,30(6):97-101.
[13]袁剑刚,周先叶,陈彦,等.采石场悬崖生态系统自然演替初期土壤和植被特征[J].生态学报,2005,25(6):1517-1522.
[14]于飞,吴海荣,鲁勇干,等.稔平半岛外来杂草入侵现状及防控措施[J].杂草科学,2012,30(2):11-14.
[15]杨坚,陈恒彬.福建外来入侵植物初步研究[J].亚热带植物科学,2009,38(3):47-52.
[16]胡雪华,肖宜安,曾建军,等.海南霸王岭自然保护区外来入侵植物的调查和分析[J].井冈山大学学报:自然科学版,2011,32(1):131-136.
[17]严岳鸿,何祖霞,佘书生,等.香港东北角吉澳群岛入侵植物调查[J].植物研究,2005,25(2):242-248.
[18]StokesCA,MacDonaldGE,AdamsCR,etal.Seedbiologyandecologyofnatalgrass(Melinisrepens)[J].WeedScience,2011,59(4):527-532.
[19]王蓮英,秦魁杰.花卉学[M].2版.北京:中国林业出版社,1990:572.
[20]TheoharidesKA,DukesJS.Plantinvasionacrossspaceandtime:factorsaffectingnonindigenousspeciessuccessduringfourstagesofinvasion[J].NewPhytologist,2007,176(2):256-273.
[21]裴彩霞.广东乡土植物在水土保持中的应用[D].兰州:甘肃农业大学,2010.
[22]PrattC,LottermoserBG.TracemetaluptakebythegrassMelinisrepensfromroadsidesoilsandsediments,tropicalAustralia[J].EnvironmentalGeology,2007,52(8):1651-1662.
[23]RamírezRG,González-RodríguezH,Morales-RodríguezR,etal.ChemicalcompositionanddrymatterdigestionofsomenativeandcultivatedgrassesinMexico[J].CzechJournalAnimalScience,2009,54(4):150-162.
[24]王赟文,曹致中,韩建国,等.苏丹草营养成分与农艺性状通径分析[J].草地学报,2005,13(3):203-208.
[25]GordonDR,GreenbergCH,CrownoverSH,etal.Effectsofunpavedroadsoilsonpersistenceofthreenon-nativegrassspecies[J].NaturalAreaJournal,2005,25(3):257-262.
[26]万方浩,刘全儒,谢明,等.生物入侵:中国外来入侵植物图谱[M].北京:科学出版社,2012.
[27]MckinneyML,LockwoodJL.Biotichomogenization:afewwinnersreplacingmanylosersinthenextmassextinction[J].TrendsinEcologyandEvolution,1999,14(11):451-453.
[28]韦春强,潘玉梅,唐赛春,等.入侵植物薇甘菊入侵广西壮族自治区的风险评估[J].杂草科学,2015,33(1):32-37.
[29]许瑾.外来入侵种光英含羞草在我国的分布及防控[J].杂草科学,2014,32(2):41-43.
分布式入侵检测系统 篇7
1 基于多代理的分布式入侵检测系统模型结构设计
(图1)
(1) CSA (Communicate Service Agent) :通信服务代理。 (2) FA (Function Agent) :功能代理, 它是完成各种任务代理的一个统称。 (3) SDA (State Detection Agent) :状态检测代理。 (4) LAA (Local Analyzer Agent) :本地分析代理。 (5) DAA (Domain Analyzer Agent) :域分析代理。 (6) VUI (Visual User Interface) :可视用户接口。
多代理的分布式入侵检测系统由各个主机的代理互相配合完成检测任务, 同时每个主机又都能单独的进行入侵检测, 各个主机间入侵消息的通信是靠CSA进行的, SDA负责检测本地Agent状态, DAA进行更大范围的入侵分析, LAA进行本地入侵检测分析, 以及进行系统恢复。其中每个主机部分的Agent组成结构 (图2) 。
1.1 功能代理 (FA) 是由预处理代理 (AD-P) 认证授权代理 (AIA) , 学习代理 (LA) , 存取控制代理 (AC A) 等代理组成。它们的主要的职责有以下几点
(1) 预处理代理AD-P (Agent-Detection for Preprocessing) :AD-P负责对输入的通信数据进行预处理, 实时监视网络通信数据, 提取事件序列, 然后对事件进行分类, 备份到AD-P数据库并提交给下一级Agent进行处理。 (2) 认证授权代理AIA (Agent for Identification and Authentication) :AIA是负责识别的信息源和认证的真实性, 并把结果反馈到数据库中, 发送邮件到入侵检测代理IDA可疑行为, 或试图攻击立即的迹象。 (3) 学习代理LA (Learning Agent) :LA是负责提取的攻击模式, 以及明确用户的行为, 如判断攻击是不是Port Scanning、Overflow、Finger、Dos等行为。 (4) 存取控制代理ACA (Access Control Agent) :ACA一方面是保护机密信息, 并且不允许敏感信息未经授权的访问渠道流出, 另一方面, 按照严格的访问控制策略, 为合法用户提供信息资源的访问。
1.2 状态检测代理SDA (State Detection Agent)
SDA是每台主机唯一的入侵检测Agent进行自身保护和身份验证的专门Agent, 它定时检查协作主机的CSA和本机内IDA的状态, 并负责向系统管理员报告。入侵检测系统的检查和维护的网络系统的安全性是必要的, 以确保不间断运行;而且入侵检测系统能记录黑客的攻击行为, 黑客在发动真正的攻击前必将想尽办法先破坏入侵检测系统;因此SDA的存在非常有必要。同时, 由于CSA是入侵检测代理与其它检测代理交互的关键。一旦CSA遭受破坏, 不同主机入侵检测代理的协作就无法进行;因此, 检查和保证CSA的正常运行状态是极其重要的。SDA能定时检查协作主机CSA的状态, 一旦发现某台机器的CSA活动异常, 就向其它机器的SDA查询该机器的状态, 如果其它机器的SDA认为该CSA正常, 就进行再次查询;如果检测出其它机器的SDA不正常报告, 立即通知系统管理人员, 请求系统管理人员检查问题所在。
此外, 还要定期检查主机IDA的状态, 发现某个IDA运行状态有问题SDA会及时地通知本机的CSA, 暂停与IDA之间的通信和通知系统管理人员及时处理。
1.3 本地分析代理LAA (Local l Analyzer Agent)
LAA是负责主机管理的代理, 存在每台配有FA的主机上也是唯一。LA的主要职责为是收集各个IDA报告系统异常活动的报告, 并进行处理;执行异地代理的CSA之间的协商, 根据需要向上级DAA提交工作报告, 根据上级DAA的指示控制各代理的状态;组织本地间代理的协作。
1.4 入侵检测代理IDA (Intrusion Detection Agent)
每个IDA独立承担一定的检测任务, 检测系统或网络的安全性。在模型中, 每个IDA检测的操作模式和响应的数据, 有自己的独立的消息来源, 每个IDA是独立的测试组件, 可以实现单独检测任务, 同时各IDA之间又进行相互协作, 对网络用户和系统的可疑行为或异常进行检测并把检测结果交给LAA进行判断。不同的IDA按照检测环境不同, 可以采用不同的检测方法和技术。
1.5 可视用户接口VUI (Visual User Interface)
VUI是向用户提供使用界面的, 向用户提供配置界面和告警界面。UIA的实现可以使用不同的RAD工具都依赖于API调用DAA提供的控制功能。
1.6 域分析代理DAA (Domain analyzer Agent)
DAA集中服务于整个域上, 它全面分析来自各个主机的报告, 从而得出最终结论。DAA可以找到相关的多台主机、与网络相关的入侵活动, 这种入侵是很难被单个主机上的LAA发现的。处理分析和收集各LAA报告的数据外, D AA还能通过控制LAA, 使不同主机上的LAA可以相互作用, 从而实现整个域内的管理。考虑到单点失效的问题上, MADIDS域的概念是非常灵活的。域是指一个DAA所能管理的所有主机, 域的概念是嵌套的, 是有层次的。一个DAA管理的域中成员可以是单个的LAA, 也可以是另一个子域的管理者DAA。域的形成动态减少域之间的信息流的形成的原则, 按照与网络安全条件下, 形成一般是更交互式主机组件域, 各个主机可以动态的申请加入或者离开某个域。这样当任一个LAA失效的时候, 其上级DAA可以做出报告和寻找其它可以代替它的LAA。当另一个DAA失效的时候, 其所属的主机将申请加入其它的域。域分析代理的主要功能是接收管辖域内的各LAA或DAA送来的报告, 并对接收的报告进行分析整理汇总, 指示控制本域各主机的工作。
1.7 消息代理MA (Message Agent)
广域网解决传输问题使用的agent是MA。因为普遍的跨地域组织, 所以要加强对异地分组织进行统一的安全管理, 可以通过MADIDS来跨广域网;虽然广域网有复杂的传输系统, 会产生较大延时, 需要专门的传输机制。被用来传输敏感信息的MADIDS传输, 可以在广域网提供比本地传输更高安全强度的保护。
2 代理的协作机制
分布化、协作化发展后的入侵技术, 要求入侵检测系统必然出现分布化、协作化发展。代理之间的协作能力被MADIDS整体智能体现, 作为分布式入侵检测系统中的关键。
按照内容代理的协作可以划分为以下几点。
(1) 检测结果关联协作——主要用于寻找分布和协作攻击检测结果, 关联协作是指对不同检测点检测结果检测到可疑事件进一步挖掘。 (2) 检测结果确认协作——检测结果确认协作是指对从不同代理对于同一事件的检测结果进行比较, 所有代理检测的结果都附有可信度, 以确认攻击的真实程度。可信度是指对检测结果的确认程度, 通过LAA或DAA对检测结果的比较可以确定该次检测的最终可信度, 如果可信度很低, 不需要将事件报道给上级代理, 反之亦然报告向上级代理。 (3) 恢复协作——由恢复代理对目标系统进行恢复;恢复协作是指代理检测到成功的攻击行为, 系统受到破坏后通知相关的恢复代理。 (4) 响应协作——响应协作是指某代理检测到攻击后, 则请求其它代理对该攻击做出响应, 本身不能直接对该攻击做出合适的响应。 (5) 追踪协作——通过多个代理共同协作沿攻击路径反向追踪寻找攻击者的来源。 (6) 取证协作——取证协作是当某检测代理检测到违法攻击后, 通知取证代理对攻击者行为进行详细记录以作为证据。 (7) 状态协作——状态协作是指代理之间相互进行状态校验以保证正常工作。协作的模型有汇总模型、控制模型、反馈模型、和级联模型等几种。 (8) 学习协作——学习协作是指学习代理在学习到新的攻击特征后更新滥用检测代理的攻击库, 使其可以检测到新的攻击。
3 基于多代理的分布式入侵检测模型的优缺点
本系统模型的优点有以下几点。
(1) 系统具有可扩展性;通过层次结构将代理设计成为多层架构, 有效减少向上层代理汇报的数据和报告。 (2) 灵活性;现有的结构可以容纳各种不同的入侵检测技术, 甚至是其它的安全技术, 如防火墙都可以打包成为一个普通代理。 (3) 协作性;每个功能代理检测虽然只是主机安全或者网络安全的一个方面, 甚至可能是简单的命令查询, 但通过LAA和DAA的联合协作, 就可以产生非常详细的检测结果。 (4) 数据来源不受限制;因为代理可以捕获网络数据包或其他适当的资源, 在需要时, 通过探测系统审计数据, 因此基于多代理的IDS可以打破基于主机型和基于网络型之间存在的传统界限。 (5) 跨广域网;通过MA跨广域网的协同入侵检测。 (6) 自适应;代理的功能通过能力库表示, 代理之间的协作通过协商确定, 根据网络情况自适应整个系统的结构。 (7) 与平台和开发语言无关;因为代理可以作为分离的进程在主机上运行, 每个代理都可以使用最适合其任务的语言, 通讯协议和通讯格式可以简单地按照共同的。 (8) 将代理设计成为相互独立的子集可以减少单点失效的问题, 一个代理失效不会影响整个IDS的工作, 不必重启就可以重新配置IDS (或部分IDS) 。
本模型的缺点有以下几个方面。
(1) Agent自身安全;在大规模开放式网络应用中, Agent本身也是存在安全问题, 引入安全检测代理, 相应的引来了敏感部件自身安全问题, 恶意的入侵者会从代理部件中获得关于系统和网络的信息, 对整个系统安全威胁更严重, 因此, 必须对Agent设计相应的保护机制。 (2) 对网络的影响;由于IDA间的协作都是通过相互间的通信来实现的, 在不同的主机之间的通信IDA如果过于频繁或过多的流量对网络流量造成的潜在影响, 如果入侵者了解可疑广播报文的结构, 可能会利用广播报文来进行拒绝服务攻击。然而, 由于在系统中, 每个IDA的可疑度是加权和, 所以进行广播的DA的可疑度增长速度更快可能会导致拒绝服务, 该IDA已经可以判断出这类异常, 因此, 使用广播包进行拒绝服务攻击的事情在系统模型中是无法运行的。每个IDA是相互合作, IDA可疑的广播数据包被接收到一定数量后, 怀疑的IDA的程度将超过一定的阈值, 将一条警告消息, 在这个时候, 特别是很短的一段时间内类似广播报文, 会更加警惕, 以防止发生的拒绝服务攻击。 (3) 对主机性能方面的影响;每个IDA只能检测网络或主机的某些方面的内容, 它可能需要一台主机的IDA以涵盖所有检测点, 这可能会导致潜在的影响主机系统的性能, 因此, 如果数量过多的IDA在一台主机, 你需要能够IDA合并功能相似或过于简单, 这方面的工作是我们今后工作的一个研究方向。
参考文献
[1]马恒太, 将建春, 陈伟峰, 等.基于Agent的分布式入侵检测系统模型[J].软件学报, 2000 (10) .
[2]董红斌.多Agent系统的现状与发展[J].计算机应用研究.2001.
[3]胡华平.入侵检测系统的研究现状与发展趋势[J].计算机工程与科学.2001.
[4]张俊海.基于多代理的分布式入侵检测体系分析[J].经济技术协作信息.2008 (8) .
[5]敖冰峰.基于移动Agent的入侵检测系统改进研究[D].哈尔滨理工大学, 2007.
[6]汤洁.分布式入侵检测系统的研究与设计[D].南京信息工程大学, 2008.
分布式入侵检测系统 篇8
关键词:入侵检测系统,分布式,移动Agent
1 引言
随着网络系统结构的复杂化和大型化, 系统的弱点和漏洞将趋向于分布式, 而早期的IDS都是集中式IDS[1,2,3], 包括基于主机和基于网络的IDS, 他们的显著特点是在固定数量的场地进行数据分析。同时, 由于被监视的主机和网络数量的不断增加, 网络结构的复杂性日益增加, 网络资源一般都呈分布式的, 而入侵活动也逐渐具有协作性, 集中式的IDS逐渐暴露出其局限性, 如何将基于主机和网络的IDS各自的优势结合起来, 这就是分布式IDS产生的原因。
2 分布式IDS与Agent技术
2.1 Agent技术及其在分布式IDS中的应用
Agent可定义为[4]:“在某种特定环境下, 能连续、自主地完成某项工作的软件实体。它能根据环境的变化, 灵活、智能地做出反应, 并且可能从经验中获得学习。”将Agent技术用在入侵检测中, 是一种新的入侵检测模式。Agent有静态和动态之分, 静态Agent总是固定在单一的平台上, 它只能访问本地数据, 并将结果返回给用户, 从而大大的降低网络通信量。而移动Agent能够在一个平台上挂起, 并移动到另一平台上, 避免了在网络中传输大量的数据。
分布式IDS系统一般采用多个Agent, 每个Agent完成一项特定的功能, 各Agent间通过通信互相协作来完成入侵检测。由干Agent是独立运行的实体, 因此可以在不改变其他部件且不需要重新启动IDS的情况下就能加入、删除和重新配置Agent, 也可以用一组Agent来分别完成简单的功能, 彼此交换信息以得出更复杂的结果。
2.2 分布式IDS的研究现状及不足
目前, 比较典型的分布式IDS有美国普渡大学开发的应用自治Agent的分布式入侵检测结构[5] (AAFID) , 日本的IPA (Information-Technology Promotion Agency) 开发的一种网络IDS[6]-IDA (Intrusion Detection Agent System) , 清华大学设计了一种基于自治Agent的分布式IDS结构CoIDS[7] (Cooperative IDS) , 以及早期的基于网络活动行为图的入侵检测模型 (GrIDS) 等。表1是对一些典型的分布式IDS系统特征的对比, 可以看出尽管分布式IDS的研究取得了很大的进展, 但仍存在一些问题需要解决或改进, 主要有如下几个方面: (1) 系统的安全性和互操作性比较低; (2) 部分系统采用分布式组件收集信息 (如NADIR, AAFD等) , 数据经过过滤等简单处理后传输到中央单一主机上集中处理, 即数据收集分布式, 数据处理集中式, 由于待处理的数据量巨大, 大大减缓了系统的检测速度, 系统的响应速度也十分有限; (3) 系统的分布式组件常采用层次结构进行组织或借助黑板机制进行通讯 (如AAFID, IDA等) , 一旦高层节点或控制中心遭到攻击毁坏, 系统将不能正常的工作, 因而存在一定程度的单点失效问题; (4) 移动Agent的采用在一定程度上解决了上述问题, 可以使重要的部件在系统中迁移, 从而避开入侵者的攻击。因而我们提出并设计了一种基于移动Agent的分布式入侵检测系统 (MADIDS) 。
3 基于移动Agent的分布式入侵检测系统 (MADIDS)
3.1 MADIDS系统工作模型
系统将入侵检测系统中的Agent采用分布式结构进行组织, 并利用移动Agent的安全机制进行通讯。移动Agent技术的发展和应用为克服目前使用静态构件本质上的缺陷提供了可能性。移动性和自治性应用到入侵检测机制中, 实现了“哪里有入侵哪里有检测”的系统模型。不仅能实现全网络范围内的入侵检测功能, 具有良好的移植性;而且对网络系统和主机的资源占用较低, 减少了出现网络瓶颈的可能。MADIDS系统工作模型如图1所示:
MADIDS系统主要由三大功能模块组成, 分别为数据收集模块、分析协作模块以及管理控制模块。数据收集模块主要对来自主机日志和审计数据以及截获的网络数据包进行智能分析和预处理, 处理后的数据作为分析协作模块的数据来源。分析协作模块对可疑时间进行检测, 判断是否有入侵行为发生, 并检测结果对目标主机采取相应的措施和报警处理。这是入侵检测系统中最重要的模块, 主要由静态Agent和移动Agent两部分组成, 入侵检测的任务主要由它们来完成。管理控制模块主要负责系统的初始化操作及与用户进行人机交互。
3.2 MADIDS系统实现
模型的实现采用IBM Aglets-基于Java的移动Agent平台为Agent提供执行环境, 使其可以按具体的迁移机制在被监控的主机系统之间移动并执行入侵检测任务。系统使用Agent通信语言 (ACL) 作为Agent间交互的语言, Agent之间的通讯采用Aglets的Agent传输协议 (Agent Transfer Protocol, ATP) 来完成, 它是一个通用的移动Agent协议, 可以支持不同系统中的移动Agent的通信过程, 而且具有强大的网络功能。系统工作流程如图2所示:
(1) 每个目标节点的传感器对系统日志或网络进行监控, 搜索入侵可疑行为;
(2) 如果传感器发现了可疑行为, 立刻通知管理检测器, 同时该节点的Agent守护进程自动产生跟踪Agent, 并激活与该入侵可疑行为相关的信息收集与学习Agent;
(3) 信息收集与学习Agent在目标节点上收集与入侵可疑行为有关的信息, 并进行学习, 提取用户行为特征与有关的安全模式;
(4) 在激活信息收集与学习Agent后, 跟踪Agent继续探查入侵可疑行为发生的节点, 并努力探明该入侵嫌疑用户的远程登录位置;
(5) 信息收集与学习Agent完成任务后, 将结果传回给管理节点上的学习综合Agent;
(6) 跟踪Agent迁移到跟踪路径上的下一个目标节点, 激活新的信息收集与学习Agent;
(7) 如果跟踪Agent己到达入侵可疑行为源节点, 或再也无法移动, 就返回检测管理器中;
(8) 检测管理器中的学习综合Agent根据对信息收集与学习Agent传回的内容进行分析与综合, 并将结果提交给检测管理器;
(9) 检测管理器定期发出遍历Agent, 遍历它所管辖的网段, 同时收集各个目标节点的信息, 带回检测管理器交由学习综合Agent进行分析与综合。
(10) 检测管理器根据学习综合Agent提交的结果进行入侵检测和判断。如果判断发生了入侵, 那么系统将采取一定措施进行防范, 并且对入侵产生的后果进行处理, 即转入预警及实时响应阶段。
3.3 结果分析
(1) 性能分析
本文对系统进行了相关的测试。硬件环境如表2所示, 100兆D-Link网卡, 采用ATP协议进行通讯, 网络检测代理采用Libpcap库监听网络。为了做到数据包连续不断地到达, 本文测试时先用Tcpdump捕获一定数量的数据包存于文件中, 然后用检测代理进行处理。
系统启动前后资源的占有率 (CPU和内存) 如图3所示。实验结果显示, MADIDS的运行不会影响主机系统的正常结果。
(2) 结果统计
本实验通过模倞䈇拟对系统发起的端口扫描攻击和拒绝服务攻击的数据包总数和实际检测出的数据包进行统计, 统计结果如图4所示。
4 结论与展望
在本系统中, 实现了数据采集和入侵检测的分布式处理, 并把基于主机方式和网络方式入侵检测有机的结合在一起, 形成了分布式入侵检测系统。由于实现了各个Agent的真正的分布式结构, 解决了在分布式入侵检测系统中存在着关键节点问题。研究表明基于移动Agent的分布式实时入侵检测关键技术的究是解决当前信息网入侵检测问题中的行之有效的手段。进一步的研究目标是将神经网络和遗传算法等技术引入基于Agent的入侵检测系统, 构建自免疫的入侵检测系统, 使系统具备分析并检测未知的入侵模式的能力和自我发展的潜力。
参考文献
[1]Yan S, Zhang X.Computer network intrusion detection[A].1999, IEEE.
[2]Cabrera J, Ravichandran B, Mehra R K.Statistical Traffic Modeling for network intrusion detection[A].IEEE, 2000.
[3]Lippmann R, Haines JW.Fried D J.et al.Off-line intrusion detection evaluation[J].Computer Networks.2000, 34 (4) :579-595
[4]Spafford E H, Zamboni D.Intrusion detection using autonomous agents[J].Computer Networks.2000, 3 (4) :547-570.
[5]B.Mukherjee, L Heberlein, et al.Network intrusion detection[J].IEEE Network, 1994, 8 (3) :26-41.
[6]Midori Asaka.The implementation of IDA:An intrusion detection agent system[A].1999, IEEE.
[7]Dong Yongle, Qian Jun.A Cooperative Intrusion Detection System Based On Autonomous Agents[A].2003, IEEE.
[8]B.Mukherjee, L T, Heberlein.Levitt.Network Intrusion Detection, IEEE Network, 2004, 8 (3) :26-41.
分布式入侵检测系统 篇9
入侵检测系统IDS(intrusion detection system)是近年出现的新型网络安全技术,由于它是一种主动的防御体系,所以越来越受到人们的关注[1]。目前有很多不同的新的研究方法特别是智能IDS,包括神经网络[2]、遗传算法[3]、模糊识别[4]、免疫系统[5]、数据挖掘[6]等。智能入侵检测最大的特点就是提供主动服务和智能性的服务。
本文针对入侵检测模块,提出了一种基于神经网络的入侵检测方法,使得入侵检测具有了智能性 ,对目前IDS存在的问题有了一定的改善。
1 IDS的缺陷
目前的入侵检测系统IDS由于种种原因存在许多的问题和不足之处,现在的人们通过新的技术不断的来开发它的不足之处以进一步的完善。但是一些缺点是继承于IDS的构成,以下是IDS一些不足之处[7]:
(1) 体系结构单一化:随着网络系统结构的复杂化和大型化,系统的弱点或漏洞将趋向于分布式。而且入侵行为不再是单一的行为,而是表现出相互协作入侵的特点。单一的基于主机、基于网络都不能满足这种变化的需要。现在大多采用两种相结合的方法来解决问题。
(2) 检测机制单一:现在的入侵检测系统一般都采用单一的分析方法。但现在入侵方法越来越复杂,单一的基于模式匹配或基于统计的分析方法已经难以发现许多复杂的攻击。
(3) 缺乏学习机制:攻击特征库更新不及时。绝大多数的入侵检测系统都采用基于规则的模式匹配的分析方法,这要求攻击特征库的特征值应该是最新的。在如今每天都有新漏洞发布、每天都有新的攻击方法产生的情况下显然不能满足安全需求。
(4) 缺乏协作性:IDS处于P2DR[8]模型的连接部分,重点在于检测,是无法取代防火墙、身份认证等防护技术的作用的。针对外部的入侵,防火墙可以进行主动的防护行为,截断外部的入侵。而IDS是被动的检测行为,其响应只是一种被动的响应。作为一个完整的网络安全体系,目前的IDS很难做到不同的安全系统之间的联动,共同防范网络攻击行为。
基于上述原因,再根据通用入侵检测框架CIDF,文章构建了一个层次结构的基于改进BP神经网络的多Agent分布式入侵检测系统MAIDSBN(Multi-Agent Distributed Intrusion Detection Syctem Baced on Inproved Neural Network),它采用了异常检测和误用检测相结合的技术,是一个高效的入侵检测系统。
2 入侵检测系统MAIDSBN
本文将Agent和BP神经网路引入到入侵检测系统,在系统MAIDSBN中,各个功能模块都采用Agent来实现,还有部分功能模块采用的是Agent和BP神经网络共同来实现的。Agent可以定义为:在某一环境中持续运行的、具有自治性的软件实体,并且又有移动和静态之分。静态Agent具有自治性、协同性等特征。移动Agent是指一个可以在网络节点间自主移动的软件实体。在MAIDSBN中的事件模块和分析模块的体积比较大移动性差,所以在设计时采用的是静态的Agent。响应模块采用的是移动Agent的形式来实现的。
MAIDSBN包含了四个层次:数据收集层、入侵检测层、通信层、管理层。其结构如图1所示。
图1中EA(Event Agent)为事件Agent;IDA (Intrusion Detection Agent)为事件检测Agent;SDA(Status Detect Agent)为状态检查Agent;ES(Expert System)为专家系统;TSA(Transport ServeiseAgent)为通信服务Agent ;MA (Mobile Agent)为移动Agent。
数据收集层主要负责数据的采集,包括主机的数据和网络数据。主机数据包括从主机的审计数据和系统的日志文件中获得数据,网络数据包括从网络协议监视器中获得数据,它们在获得后经过处理以标准的数据传给入侵检测Agent。
入侵检测层负责对事件进行分析和判断,在入侵检测层中每个IDA负责一定的检测任务,检测系统的某个方面,其中分为主机检测Agent和网络检测Agent,主机检测Agent主要执行基于主机的入侵检测任务;网络入侵检测Agent主要执行基于网络的入侵检测任务。各个IDA从事件Agent中接收事件,有自己特定的检测方法和响应方式,同时各个IDA之间又进行相互协作。状态检查Agent是为了保护IDA而建立的,它定时检查TSA和本机内的IDA的状态,并负责向管理层报告。
通信层负责主机内以及管理与协调主机间的通信服务,TSA是专门用于通信的Agent,它记录着本机所有的IDA以及它们之间的联系方式,它可以为数据包提供路由服务,它的主要任务就是负责接收和转发数据包,每个资源节点上的TSA都是唯一的,当IDA需要传送数据时,它指定目标IDA,然后将数据传送给TSA,TSA将数据包转发给监控管理或者是目标TSA,目标TSA再将数据转送给目标IDA。通信服务Agent主要负责管理和控制主机内的Agent,并提供接口将数据分析的结果传送给监控管理层。
管理层包括网络级监控管理、移动Agent、数据库。网络级监控管理接收各种数据分析发回的入侵报告,存入数据库,并进行进一步的相关分析以提高检测的准确性。然后再采取相应的响应,即向被入侵的主机或网络发送Agent来响应,由移动Agent来完成响应,或将警告通知网络安全管理员,由网络安全管理员来决定作出何种响应。网络级监控管理还负责移动Agent的管理、分发和回收的工作。当在检测大型的网络时网络级的监控管理是由多个层次结构组成的,每个网络级监控管理负责一个区域,并且越向上管理级别越高,而且管理的范围就越大。网络级监控器分布在不同的主机上,当一个监控器受到攻击时,不会导致整个系统的崩溃,体现了系统的分布性。所以这样的机构具有很强的扩展性,并且也提高了系统的效率。
由于入侵手段的多样性以及网络系统的复杂性,引入神经网络大大丰富了入侵检测系统的实现手段。神经网络是模拟人脑加工、存储和处理信息机制而提出的一种智能化信息处理技术,它所具备的概括抽象能力、学习和自适应能力以及内在的并行计算特性,使得其在入侵检测中的应用具有明显的优势。将改进的BP神经网络方法用于Agent的设计中,主要是指IDA的神经网络结构参数的设定与神经网络的学习,智能IDA主要包括预处理模块、神经网络模块和专家系统模块。
BP(Back Propagation)[10]的思想是把一组样本的I/0问题变为一个非线性优化问题,使用了优化中最普通的梯度下降法,用迭代运算求解权对应于学习记忆问题,加入隐节点使优化问题的可调参数增加,从而可得到更精确的解,节点的作用函数通常选取S型函数即f(x)=1/(1+exp(-x))。改进的BP神经网络反向传播时根据样本的总误差undefined,其中Ek为第k个样本的误差,按照公式(1)所示:
Δωji(t+1)=ηkjοkj+αΔωji(t) (1)
修正网络的权值和阈值。其中ωji(t+1)为下一时刻权值与当前权值的差;Δωji(t)为当前权值与前一时刻权值的差;二是一个常数,它决定过去权值的变化对目前权值变化的影响程度;η为学习速率;ηij为输人k在j节点的训练误差,οkj为输人k在j节点的实际输出。改进的BP算法根据情况确定学习速度,即让学习速率η和动量项α可变,如果当前的误差梯度修正方向正确,就增大学习率,加人动量项;否则减小学习率,甩掉动量项,从而加快收敛速度。另外算法中将输人的多个样本误差求和累加,然后集中修权值,降低权值修改频率,使权值沿总体误差最小的方向调整。将改进BP神经网络应用于人侵检测,通过训练后的神经网络具有的泛化特性,利用已有知识判断和识别入侵。
3 MAIDSBN仿真实验及分析
开发阶段将实现一个异构平台上的系统,监控管理部署于Windows XP平台上,数据库采用SQL Server,具体编程采用Visual c+ + 6.0,IDA模拟证明过程主要在Linux平台上开发,我们主要考虑了一个网络事件Agent和一个基于改进BP神经网络BPIDA的实现,针对网络数据包的特征,检测几种典型的网络攻击。
3.1 数据采集
我们使用Libpcab/TCPdump来获得数据,也就是要训练和测试的数据,评估数据集DARPA。先把数据集用TCPdump转存为6个数据文件,每组都有200个异常和200个正常的行为,编号为A、B、C、D、E、F其中A、B、C 三组用于训练,D、E、F用于检测。
3.2 数据的预处理
把采集来的数据文件进行格式化,去掉字符信息和不必要的属性信息即噪声信息,并转化为标准的二进制文件,经过预处理程序(编码规则如表1所示),把数据包转换成164个分向量的特征矢量,其中包含了IP地址、标示位等信息。把处理后的A、B、C三组数据输入改进的BP神经网络进行学习训练。
3.3 训练神经网络
把上述二组训练样本(只包含二进制数和期望输出),依次输入到神经网络。神经网络对应的输入层节点个数为164个,对应训练样本的164位向量,隐含层节点数我们选取80,输出层采用了三个节点,初始学习率η设为0. 5,训练6000次,训练的误差率如图2所示。
3.4 测试神经网络及结果
BP网络的应用不仅需要一个训练集,还需要一个评价训练效果的测试集。训练集和测试集都是由输入输出对样本构成的集合。训练集用于训练网络,使网络能够按照学习算法调节结构参数;测试集是用于评价已训练好的网络性能,即网络的泛化性能。我们采用另外三组数据D、E、F来测试神经网络的检测效果如表3所示,并和未使用神经网络以前检测的结果相对照。(D1、E1、F1)如表2所示。
表中误报率、漏报率、准确率的公式为:误报率=正常检测为异常的样本个数/样本总数漏报率=异常检测为正常的样本个数/样本总数准确率=正确检测的样本数目/样本总数
4 结 论
本文将Agent技术和神经网络应用到入侵检测系统中,构建了一个智能Agent的入侵检测系统。利用BP神经网络设计的入侵检测单元,通过使用神经网络的入侵检测Agent与未使用神经网络的入侵检测Agent实验对比,前者在误报率、漏报率有一定的改善。在以后的工作中还要进一步的完善。
摘要:针对目前入侵检测技术存在问题。根据通用入侵检测框架CIDF,给出了一个基于改进BP神经网络的多Agent分布式入侵检测模型MAIDMBN(Multi-Agent Distributed Intrusion Detection Model Based on Improved BP Neural Network),该模型采用了异常检测与误用检测相结合和基改进BP算法的学习机制。MAIDMBN的实验结果表明在误报率、漏报率有一定的改善,系统能进行有效的检测。
关键词:入侵检测,智能Agent,BP神经网络,分布式MAIDMBN
参考文献
[1]Barber Richard.TheEvolution of Intrusion DetectionSystems-theNext-Step.computer&Security,2001,28(5):132-145.
[2]Susan C L,David V H.Training a Neural-network Based Intrusion De-tector[J].IEEE Transaction son systems,manandcybemetics-parta:System and Humans,2001,31(4):294-299.
[3]Balajinath B,Raghavan S V.Intrusion detection through learning be-havior model[J].Computer Communications,2005,24(12):1202-1212.
[4]李之堂,杨红云.模糊入侵检测模型[J].计算机工程与科学,2000,22(2):49-53.
[5]Steven A H.An Immunological Model of Distributed Detection and ItsApplication Computer Security[D].PhDthesis.NEWmexico.The Uni-versity of NewMexico,1999.
[6]Manganaris,et al.A data mining analysis of RTID alarms[J]ComputerNetworks,2004,34(4):571-577.
[7]王素文,胡松涛.一种基于移动agent的入侵检测系统的框架研究[J].应用科技,2005,32(3):49-51.
[8]熊炜.基于代理(Agent)的实时分布式网络入侵检测系统的设计与实现[D].山东大学硕士论文,2004:15-17.
[9]满红芳,宿超,马春清.基于的分布式入侵检测系统模型的研究与设计[J].山东电大学报,2006,24(1):38-40.
分布式木马检测系统设计实现 篇10
随着计算机网络越来越成为在当今社会生活不可缺少的一部分,随之而来的网络安全的问题也越来越明显。近年来,频频发生网络攻击事件,给受害者带来重大损失。2009年5月播放软件暴风影音导致的南方六省断网事件、2010年1月搜索引擎公司百度被自称是伊朗网军的黑客组织入侵,导致网民无法正常登陆百度网站达8小时等事件已经表明网络安全问题已经成为刻不容缓的问题。
作为网络安全的“第二道闸门”的入侵检测技术,部署在防火墙之后,能够实时检测网络流,通过对捕获的数据包进行分析处理,匹配入侵特征库,来检测各种入侵攻击[1]。在分布式入侵检测系统中,策略统一由控制台定义、管理,控制台按照分发协议将策略“推”到各个Agent客户端,再由各个Agent客户端实施策略[2]。因为分布式入侵检测系统能够解决传统集中式的入侵检测存在的一些问题,目前对分布式入侵检测系统的研究已经成为一个热点领域。
特洛伊木马程序作为一类主要的恶意代码,自诞生以来因其隐蔽的远程监控和侵犯个人隐私给互联网用户带来巨大的危害,因此网络敲诈勒索事件频频发生。恶意攻击者利用木马程序构建僵尸网络,并据此进行分布式拒绝服务攻击和发送垃圾邮件,严重威胁到大面积互联网的安全。据统计,网页挂马已经成为地下黑客产业链中的支柱产业。因此对特洛伊木马的攻击检测刻不容缓。
本文基于深度包检测技术实现了一个分布式特洛伊木马检测系统,各个Agent代理端将数据包解析到应用层,通过正则表达式方法检测特洛伊木马攻击,取得良好的效果。
1 基于正则表达式的深度包检测技术
1956年,数学家Stephen Kleene提出了正则表达式,主要通过字符的格式匹配进行词法分析。正则表达式要自动完成与字符串的匹配工作,需要通过正则表达式匹配引擎。正则表达式匹配引擎通常采用自动机理论,将正则表达式编译成有限状态自动机。当前对正则表达式匹配引擎的研究主要集中在深度报文检测领域。
当前最著名的基于正则表达式的协议识别系统就是L7.Filter,它是Linux的Netfilter/Iptables上一个开放源代码的软件,实现了应用层协议的识别[3]。其他正则库还有Boost、CAtlReg、Greta等。Boost内容复杂,且需要一步步编译,CAtlreg不能在VC6下用, GRETA是微软研究院推出的一个正则表达式模板类库,GRETA包含的C++对象和函数,仅有6个文件,使字符串的模式匹配和替换变得容易。
深度报文检测,也称报文内容检测,是防火墙、IDS/IPS、应用层协议识别、网络监控、流量控制、内容审计等应用中的一项重要技术。传统的数据包过滤技术只检查包中网路层的IP报头和传输层的报头,能控制站点之间、网络之间的访问,但不能控制传输的数据内容,因为内容是应用层数据;DPI技术对数据包进行网络层上的解析的前提下,进一步进行基于应用层协议的解析,清楚地知道数据包各个数据位上的含义[4]。目前深度报文检测主要集中在研究入侵检测系统如何采用正则表达式检测报文中是否含有恶意代码,例如在入侵检测系统Snort和Bro中引入了正则表达式来表示规则。
综合以上,作者研究实现了一个基于DPI技术,应用GRETA正则库进行模式匹配的分布式的特洛伊木马检测系统。
2 分布式入侵检测系统设计与实现
2.1 设计目标
据统计,特洛伊木马程序、计算机病毒和蠕虫是当今最主要的网络安全威胁。因此对于特洛伊木马等网络攻击的检测可以加强网络安全。
本系统采用分布式结构,通过部署在局域网内部各个位置网络代理相互协作运行,可以对特洛伊木马等攻击进行有效检测,达到加强网络安全的目的。当各个网络代理发现木马通信以后,马上将入侵事件上报瘦服务器端,同时也会发送邮件进行报警。同时,各个代理端Agent之间也可以通过即时通信、文件传输等方式进行入侵信息的共享,这样从服务器端就可以对整个局域网络进行实时监控。
2.2 网络代理端的设计
本系统网络代理端的设计参考通用入侵检测框架CIDF(Common Intrusion Detection Framework),CIDF系统框架分为事件发生器、事件分析器、事件数据库和响应单元4个组件。本系统网络代理端分为捕包分析、日志记录、报警、与服务器端通信等几个模块。本系统网络代理端的结构如图1所示。
捕包分析模块采用Winpcap来捕获数据包,将捕获的数据包交给包分析引擎;协议分析模块将数据包初步解析成IP包和ARP包,进一步将IP包解析成TCP包、UDP包、ICMP包,针对TCP包进一步实现应用层协议解析,解析出HTTP\FTP\P2P等应用层信息,同时对分片包进行分片重组,使用GRETA正则库匹配入侵特征码检测网络攻击,其中入侵特征库参考开源入侵检测系统SNORT提供的特征库规则构建;与服务器端通信模块与服务器端建立连接,相互之间通过消息进行通信,发现入侵事件,写入远程服务器端数据库;日志记录模块对将捕获的网络数据包解析后写入日志数据库中;报警模块一方面是通过SMTP协议发送报警邮件到指定邮箱,另一方面将入侵事件写入远程服务器端数据库和本地日志文件。
本系统采用VC++开发,利用socket编程实现,数据库使用SQL Server2000,正则库使用微软的GRETA。本系统网络代理端采用的主要技术是:
1) 多线程技术捕获网络数据包,进行协议分析和TCP数据流重组。
Winpcap(windows packet capture)是libpcap的Windows版本,是Windows平台下一个免费、公共的网络访问系统,它为win32应用程序提供访问网络底层的能力。本系统客户端的捕获数据包模块就是基于Winpcap来实现的。
如果在一个繁忙的网络上进行截获,而不设置任何过滤规则,那么捕获的数据包是非常多的,同时如果应用程序不进行必要的性能优化,那么将会大量的丢失数据包,因此本系统客户端采用多线程技术来处理数据包;在程序中使用三个线程进行操作:一个线程只进行捕获操作,另一个线程进行过滤操作,第三个线程进行数据包处理操作。
2) 深度包检测技术在协议分析的基础上将数据包解析到应用层,通过通信端口与通信内容相结合检测木马程序[5]。
当网络中存在特洛伊木马程序通信时,一方面木马程序使用特定端口进行通信,另外,数据包载荷里面有特征码[6]。以灰鸽子为例,作者对其通信数据包进行分析,它会主动去攻击者的免费空间读取文本文件内容获取攻击者IP地址,进而主动连接控制端TCP 8000端口[7]。通过实验作者将捕获数据包解析到应用层HTTP协议时GET请求包中存在类似ip.txt文件的请求[8]、使用TCP端口8000都作为灰鸽子木马的通信特征,另外通过实验截取到灰鸽子木马通信时的数据包负载长度是9,特征码是“_M DKGEM”。数据截图如图2所示。
本系统客户端基于以上入侵特征对捕获的数据包解析到应用层,解析出应用层协议和数据负载,匹配木马端口特征库和入侵特征码数据库,达到检测扫描攻击和特洛伊木马程序的目的。
3) SOCKET编程技术实现各个Agent代理端之间多种通信方式。
各个Agent代理端一旦检测到入侵攻击后马上报警,一方面向指定邮箱发送邮件,另一方面把检测到的入侵信息写入日志文件、写入远程服务器端数据库。各个Agent之间还可以通过即时通信、文件传输实现相互之间的信息共享。
4) 反弹连接技术,主动连接服务器端。
本系统客户端参考特洛伊木马中的“反弹连接”技术[9],把它应用到DNIDS中。本系统客户端一经上线,马上主动到指定邮箱读取邮件,从邮件内容获得本系统管理端IP地址,进行主动连接,从而方便了服务器端的管理。
2.3 瘦服务器端的设计
本系统的瘦服务器端与上述Agent代理端基本功能模块是相同的,但另外增加三个模块:身份认证模块、与客户机通信模块、全局策略设置模块。身份认证模块对登录管理端的管理员用户进行一个身份认证;与客户机通信模块与客户端建立连接后,可以根据全局配置策略向客户机下达命令;全局策略模块从控制台进行整个系统的全局策略的设置。
本系统瘦服务器端按照全局策略模块中的设置,向已建立连接的网络代理端下达命令。网络代理端发现入侵事件后,将其写入远程瘦服务器端数据库,同时写入本地日志文件。
2.4 分布式木马检测系统的工作流程
本系统各网络代理端与服务器端建立连接后,服务器端与部署在各个位置的多个客户端就可以对整个局域网进行实时监控。网络代理端根据配置,实时监控本地主机,当检测到入侵事件后直接写入本系统服务器端的数据库(如图3所示)。
3 实验结果
本系统采用分布式结构,解决了集中式入侵检测系统存在的因单检测点压力大而导致频繁丢包的问题;采用多线程技术,将捕包与解析包分离开来,也大大减少了系统的丢包率;通过服务器端的统一全局策略配置,实现了各代理端协同一致,从服务器端的入侵事件数据库中可以对整个局域网络的攻击有一个总体的把握,加强了网络安全。
本系统在某大学校园网环境中进行测试,该大学校园网采用“核心-汇聚-接入”的三层网络结构。在校园网络各汇聚交换机上采用端口镜像技术将本汇聚交换机主干链路数据同步到同一台汇聚交换机的另外一个物理端口上。安装了本分布式系统各个AGENT端的服务器就通过双绞线连接在此物理端口上,籍此实现对本汇聚交换机的所有进出数据在旁路进行实时监控。整个分布式系统通过部署在校园网各个网段的各个代理端的实时通信,能够对整个校园网的木马通信进行监控,效果良好。通过DPI技术对数据包负载进行深度包检测,能够发现“灰鸽子”木马等常见木马程序的通信行为,进而检测到校园网内存在的僵尸网络木马程序。实验结果如图4所示。因为使用DPI技术,本系统具有检测精确度高、检测效率高的优点;但因木马特征库的完备问题,存在对于未知木马无法检测的缺点。
4 结 语
本系统通过服务器端与校园网络各个位置的Agent网络代理端进行通信,实时监控校园网的网络状态,检测局域网络的木马程序等网络攻击,加强了校园网络的安全。本系统在木马的特征库的完备性方面需要进一步扩充,同时减少对木马程序的误报和漏报问题,这都是下一步继续开展的研究工作。
“道高一尺,魔高一丈”,网络入侵与防御的对抗会长期持续下去。随着入侵检测技术的发展,新问题会不断出现。一句话,网络安全任重道远。
参考文献
[1]玄加林,才书训.分布式入侵监测中负载平衡实现策略研究[J].计算机工程与设计,2006,5(27):1618-1621.
[2]金钟,刘清祥.分布式网络入侵检测代理系统的改进设计方案研究[J].计算机工程与设计,2007,10(28):4911-4914.
[3]李云波.基于深度包检测技术入侵检测系统设计与实现[D].东北大学,2008.
[4]陈亮,龚俭,徐选.基于特征串的应用层协议识别[J].计算机工程与应用,2006(24):16-19.
[5]姚姜源.基于网络通讯内容的木马检测系统设计与实现[D].北京交通大学,2009.
[6]邢云冬,刘胜利.木马网络通信特征提取模型的设计与实现[J].计算机工程与设计,2010,31(20):4382-4384,4446.
[7]揭开灰鸽子神秘的面纱—灰鸽子技术深度解析[J].电脑报,2005(48).
[8]谭敏生,汤亮.基于HTTP的网络数据包还原技术研究[J].计算机技术与发展,2007,6(17):176-178,231.