移动入侵检测系统设计

[摘 要] 本文的移动入侵检测系统结构参照IDWG的IDS系统结构规范,并做了相应的改进.最后给出了移动入侵检测系统结构设计.

[关 键 词 ] 入侵检测 移动 IDS模型

一、引言

互联网飞速发展的今天,入侵检测技术受到广泛的关注.入侵检测是监视系统中违背系统安全策略行为的过程,入侵检测系统原型可以规范地划分为三个功能模块：采集器,分析器和管理器模块.

IDWG提出的一种比较通用的入侵检测模型,如图1所示.IDWG还对这些功能模块之间交互的消息和数据流进行了规范定义.

采集器从数据源中收集、跟踪、发掘相关信息；分析器对传感引擎提炼出的数据进行分析,过滤,目的在于发现正在进行的入侵行为或潜在的入侵行为,产生高级别安全警报；管理器负责关联这些告警信息的以及后续处理,并承担所有入侵检测进程接口的管理.

二、IDWG IDS模型的改进

IDWG IDS模型存在模块之间缺乏交互的缺陷,本文所提出的移动入侵检测系统模型在IDWG IDS模型的基础上,加上了模块之间新的交互.如下图2所示.

管理器发给分析器管理查询消息,分析器将查询结果发送到管理器,并等候进一步指示.当分析器对采集器所收集到的监视跟踪事件与数据进行修整,筛选,统一格式等操作.

三、移动入侵检测系统功能模块设计

本文的移动入侵检测系统结构的设计符合上图2改进的IDS模型,其系统结构中主要功能模块设计如图3所示.

1.原始数据.原始数据可以是基于主机的的数据源,基于网络数据源,基于报警信息源.常见的基于主机的数据源有操作系统审计记录、系统日志、用户击键、和特权程序系统调用.

(1)操作系统审计记录.操作系统审计记录是由专门的审计子系统产生的系统事件记录,它们是系统活动的信息集合,以事件发生的时间顺序记录,组织为一个或多个审计文件.

(2)系统日志.系统日志是系统和应用程序事件记录,通常是系统程序写的文本文件,操作系统通常提供多个工具记录系统发生的事件.

(3)用户击键.用户击键就是用户使用键盘的习惯,它在一定程度上反映了用户的行为、用户的工作内容等.

(4)特权程序系统调用.特权程序通常是攻击的重点目标.特权进程可访问的系统资源多,影响范围广,它甚至可以绕过内核的安全审核机制而访问系统资源,导致特权程序对系统的安全威胁大.

网络中所有可管理对象的集合――管理信息库(MIB),也是采集原始数据的重要来源.

2.采集器.系统的数据采集构件,主要是收集入侵检测中需使用的各种数据,并将数据转化为标准格式传送给IDS引擎处理.采集的数据既可以是网络中的原始数据包,也可以是来自主机的各种原始数据.

这里的移动入侵检测系统的数据采集器由攻击特征信息库,数据归类整理部件与数据统一求精部件构成.如下图4为采集器功能模块图.

数据归类整理部件负责收集原始数据,并对数据作归类整理,比如把数据分成系统级的原始数据,并且依据攻击特征信息库把数据整理成事件数据.

数据统一求精部件负责去除冗余事件,并依据攻击特征信息库将求精后事件其抽象为入侵检测系统的标准数据格式.

3.IDS引擎.IDS引擎包括管理控制台、事件检测分析器和入侵检测响应器.提供用户和其它构件的管理接口,根据Sensor收集到的数据,对数据进行检测分析,产生检测结果等.如下图5为IDS引擎功能模块图.

事件检测分析器建立相关事件信息,关联已知攻击证据,分析确定该事件是否为入侵行为的事件.

管理控制台对本地系统的采集器,事件分析器,入侵检测响应器以及移动Agent等各部件进行控制和管理,负责根据不同的入侵事件配置相应的入侵响应策略.

入侵检测响应部件负责确认入侵行为采取相应措施,如断开人侵者与系统的连接,甚至自动关闭系统与外部网络的连接,采取反攻击策略等.

4.移动系统.移动Agent系统(Mobile Agent System)用于给移动Agent提供运行环境.每种都是独立的软件实体,只执行特定的功能,且可自主的在移动自组网内移动.

监测:监测被分成网络数据包监测,用来监控用户行为和系统级行为.

决策:是IDS移动的管理中心,负责网络内所有移动Agent的派发、启动和停止,对入侵威胁做出判断.

响应:负责对主机与网络的入侵情况做出响应,执行相应的入侵处理操作,并与其他协同工作.

探测:对群内节点的事件告警进行复查,避免局部的误报、错报影响整个子群甚至全网的检测.

四、结束语

入侵检测是监视系统中违背系统安全策略行为的过程,本文对IDWG IDS模型做了改进,增加了采集器,分析器和管理器模块之间的交互.最后根据改进的模型设计了移动入侵检测系统,并对系统的各个功能模块做了定义.