分布式入侵检测系统的实现

科技情报开发与经济　文章编号：１００５－－６０３３（２００７）０１—０２３２—０２　ＳＣＩ－ＴＥＣＨ　ＩＮＦＯＲＭＡＴＩＯＮ　ＤＥＶＥＬＯＰＭＥＮＴ＆ＥＣＯＮＯＭＹ　２００７年第１７卷第１期　收稿日期：２００６－０７—１９　囝戡　但　晷醯围察现　卢赤班　（太原城市职业技术学院，山西太原，０３００２７）　摘要：讨论了入侵检测系统的特征，并从数据收集、体系结构和检测方法３方面对入　侵检测系统进行了探讨，设计并实现了一个实际的入侵检测系统。　关键词：分布式入侵检测系统；数据收集；代理　中图分类号：ＴＤ３９３．０８　文献标识码：Ａ　在一台主机上。　２．２集中式　这种结构的ＩＤＳ有多个分布于不同主机上或网络的数据收集程序，　在信息安全领域，入侵是指任何企图破坏信息资源的完整性、保密　性和有效性的行为。入侵检测（Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ）是指通过从计算机网　络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网　络或系统中非授权的或者威胁到系统安全的行为，同时对该行为做出响　应，达到保证系统安全的目的。入侵检测系统（ＩＤＳ）是指能自动实现入侵　检测功能的一系列硬件和软件的组合。　模式匹配是一种常见的入侵检测方法，由Ｋｕｍａｒ在１９９５年提出，目　前模式匹配成为入侵检测最基本、最常用的手段。Ｋｕｍａｒ把入侵信号分　成４类：一是存在，该信号一旦出现，表示有人侵行为；二是序列，入侵有　时表现为按照一定顺序发生的事件序列，这时检查事件序列而不是单个　事件才可能判断出入侵；三是规则表达式，是指把若干规则进行逻辑运　算构成规则表达式；四是其他，指不能用前面３项表示的情形。Ｓｎｏｒｔ就是　且只有一个中央入侵检测服务器。数据收集程序把当地收集到的数据格　式化后发送给中央入侵检测服务器进行分析处理。　２．３等级式　等级式是多个集中式的组合，它分若干个监控区，每个初级ＩＤＳ负　责一个区，只负责分析所监控区的情况，然后将本区的分析结果传送给　上一级ＩＤＳ。　２．４分布式　将检测任务分解给多个部件，每个部件只负责收集一种数据并分析　该活动，这种部件称为代Ｊ￣．（ａｇｅｎｔ）。代理把分析结果报告监控主机，监控　主机根据情况做出反应。它的特点是数据收集和分析都是分布式的，扩　充性好，灵活性显著提高，但增加了所监控主机的工作负荷，维护起来不　方便。　根据模式匹配理论实现的一种广泛应用的入侵检测系统。本文提出了一　个基于代理（ａｇｅｎｔ）的分布式入侵检测系统，并在Ｗｉｎｄｏｗｓ系统平台实　现。　１　ＩＤＳ的特点及数据收集机制　检测时间、数据处理的速度、数据来源、入侵检测响应方式、数据收　集地点、数据处理地点、安全性、互操作性等的重要特征反映了入侵检测　应具备的性质特征。数据收集在ＩＤＳ中十分重要，数据收集是进行检测　的基础。准确、可靠、高效的数据收集机制是实现高水平ＩＤＳ的前提。　１．１基于网络的数据　　‘３入侵检测系统的实现　代］￣（ｇｅｎｔａ）是在特定环境中自主工作的软件实体，它随外界条件的　改变而灵活、智能地适应环境。本系统在Ｗｉｎｄｏｗｓ平台上实现了一种基　于代理的分布式入侵检测系统框架模型（ＩＤＦｗ），模型在Ｗｉｎｄｏｗｓ下用　ｃ＋＋和ｖＣ＋＋实现，在实现分布式检测的同时力图克服当今入侵检测系统　的一些不足，在部件部署的灵活性、数据来源的广泛性和检测方法的可　是指从网络中得到的传输数据，对基于网络协议的攻击，从这类数　据中检测比较方便。　１．２基于主机的数据　扩充性方面做了有益的探索和尝试。　作为分布式入侵检测模型，ＩＤＦＷ跨越了基于主机的入侵检测系统　与基于网络的入侵检测系统之间的界限，可以收集网络和主机数据。通　过设计新代理，可以引用新的数据源，实现新的检测方法，并能很好地与　原系统对接，满足功能的可扩充性、数据收集的多样性和结构灵活性的　要求。ＩＤＦＷ的部件由过滤器、代理、控制器、集中控制器、监视器、用户界　面构成。控制中心部署在单独的主机上，作为整个系统的控制中心和报　警检测中心，包括集中控制器、监视器、用户界面３个部件。控制器部署　在有代理的主机上，分为两种情况，如果是基于网络检测的代理，控制器　和代理可以部署在专门的主机上；如果是基于主机检测的代理，则部署　大部分入侵是针对主机的活动，基于主机的数据能提供与主机活动　紧密相关的信息，通过检测此类数据旨在更直接地发现针对主机的入　侵。　２　ＩＤＳ的体系结构　按照在什么位置对数据收集和处理来划分ＩＤＳ体系结构，可以分为　以下几类：　２．１独立式　单一的数据收集部件和单一的数据分析检测部件，且两者通常运行　在需要检测的主机上。过滤器提供原始数据给代理，与相关代理部署在　同一主机上。　Ｔｈｅ　Ｕｔｉｌｉｚａｔｉｏｎ　ａｎｄ　Ｒｅｔｒｉｅｖａｌ　Ｓｋｉｌｌｓ　ｏｆ　Ｄｉａｌｏｇｌｉｎｋ２．４　ＸＵ　Ｌｕ　ＡＢＳＴＲＡＣＴ：Ｔｈｉｓ　ｐａｐｅｒ　ｉｎｔｒｏｄｕｃｅｓ　ｔｈｅ　ｆｅａｔｕｒｅｓ　ｏｆ　ｒｅｔｒｉｅｖａｌ　ｓｏｆｔｗａｒｅ　Ｄｉｌｏｇｌａｉｎｋ２．４　ａｎｄ　ｔｈｅ　ｍｅｔｈｏｄｓ　ｏｆ　ｉｔｓ　ｉｎｓｔａｌｌａｔｉｏｎ，　ｓｅｔｔｉｎｇ—ｕｐ　ａｎｄ　ｕｔｉｌｉｚａｔｉｏｎ，ａｎｄ　ｔｈｒｏｕｇｈ　ｓｏｍｅ　ｅｘａｍｐｌｅｓ　ｄｅｍｏｎｓｔｒａｔｅｓ　ｓｅｖｅｒａｌ　ｓｋｉｌｌｓ　ｏｆ　ｒｅｄｕｃｉｎｇ　ｔｈｅ　ｏｎｌｉｎｅ　ｒｅｔｒｉｅｖａｌ　ｅｘｐｅｎｓｅ・　ＫＥＹ　ＷＯＲＤＳ：Ｄｉａｌｏｇｌｉｎｋ２．４：ｏｎｌｉｎｅ　ｒｅｔｒｉｅｖａｌ；ｄａｔａｂａｓｅ　维普资讯 http://www.cqvip.com

卢赤班分布式入侵检测系统的实现　本刊Ｅ－ｍａｉｌ：ｂｉｂ＠ｍａｉｌ．ｓｘｉｎｆｏ．ｎｅｔ　信息技术　３．１用户界面的实现　用户界面包含工具栏、菜单栏、显示区、状态栏、用户列表区、命令发　ＩＰ地址　控制器ＩＤ　送区等区域。其中工具栏、菜单栏、显示区、状态栏由向导生成。显示区用　来显示控制器传来的启动、停止、信息和监视器传来的报警等信息，显示　．　．．．．　．．　．　区与视类对应，该视类由ＣｅｄｉｔＶｉｅｗ类派生，并利用父类中的函数在显示　与控制器接口　区显示指定的内容。　客户机列表区用来显示已登录的控制器，列表区由两控件构成，先　Ｓｎｏｒｔ　建立对话条，在对话条上建立ＣｌｉｓｔＣｔｒｌ类对象实现列表功能。程序生成　Ｃ１ｉｓｔＣｔｄ类的对象指针ｍ　ＬｉｓｔＣｔｒｌ，并定义两个函数Ａｄｄｈｅｍ（）和　远程报警　Ｒｅｍｏｖｅｈｅｍ（）用来添加和移除列表项。　命令发送区由对话条上加控件对象构成。在Ｍａｉｎｆｒａｍ．ｈ中定义类对　图１添加通信接口和远程报警层的代理　象ＣＤｉｌａｏｇＢａｒ　ｍ　＿ｗＳｅｎｄ　，在　Ｍａｉｎｆｒａｍ　．的　Ｃ　ＯｎＣｒｅａｔｅ　（）函数中，用效果与Ｓｎｏｒｔ相同。主机代理是针对特定进程，把系统内与网络端口相关　ｍ＿ｗＳｅｎｄ．Ｃｒｅａｔｅ（）建立对话条。　命令发送区是用来对远程控制器进行操作的区域，由若干控件组　联的进程作为被检测对象，选定已知的非法进程特征作为特征码，与被　成，实现对远程控制器和代理的启动、停止等操作。两个组合框分别用来　检测对象匹配，如果匹配成功，说明该对象可能非法。同时，代理列出了　选择客户机上的控制器和某个代理，命令按钮Ｓｔａｒｔ和Ｓｔｏｐ发送启动和　所有与端口相关的进程，为检测未知木马、蠕虫提供了依据。　停止指令，所有响应函数在视类中定义。　４结语　菜单栏和工具栏用来进行一般命令的操作，其中“断开连接”菜单项　对指定的远程客户机模式的控制器实现断开连接。　本文论述了在Ｗｉｎｄｏｗｓ平台实现的一个基于代理的分布式入侵检　３．２集中控制器的实现　测系统ＩＤＦＷ，内容包括用户界面、集中控制器、监视器、控制器、代理，并　集中控制器作用是从用户界面获得指令并通过网络发送到客户机　运行成功。　的控制器上去。集中控制器作为服务器侦听客户机的控制器所进行的连　与其他系统相比，本系统有以下特点：第一，在同一系统中实现了基　接．在文档类中创建一个ＣＳｏｃｋｅｔ派生类对象用来侦听来自客户机的连　于网络和基于主机的两种检测方式。第二，整个系统基于Ｗｉｎｄｏｗｓ平台，　接请求，当连接被接受后再创建一个Ｃ￣ｋｅｔ派生类对象与该客户机通　易于操作。第三，由于采用代理和分布式结构，在部件部署的灵活性、数　信。对每个客户机有一个Ｃ￣ｋｅｔ派生类对象相对应，这些与客户机连接　据来源的多样性和检测方法的可扩充性方面具有鲜明的特色。　的ＣＳｏｃｋｅｔ派生类对象以指针集合的形式保存在ＣｐｔｒＬｉｓｔ派生类对象　ＩＤＦＷ实现了分布式入侵检测系统，其安全性、可靠性还有待进一步　中。在ＣＳｏｃｋｅｔ派生类中定义了功能函数，主要是一些与网络数据接收和　验证和提高，代码也需要进一步优化，适用性有待加强。希望本系统对入　发送相关的函数。　侵检测起到一定的积极作用。　３．３监视器的实现　监视器接收代理发出的报警信息并显示在用户界面的显示区上，该　参考文献　模块需要相对独立运行．在程序中以线程的方式实现，由于要求实时接　［１］宋继红．网络入侵检测技术的研究［Ｊ］．沈阳工业大学学报，２００３，２５　收代理发来的报警信号，该线程被设计成无限循环。　（２）：１２９—１３１．　线程采用Ｓｏｃｋｅｔ异步Ｉ／Ｏ模式与代理通信。该模式可以与多个代理　［２］阎巧．异常检测技术的研究与发展［Ｊ］＿西安电子科技大学学报：自　通信且不堵塞。　然科学版，２００２，２９（１）：１２８—１３２．　３．４控制器的实现　［３］韩东海，王超，李群．入侵检测系统实例剖析［Ｍ］．北京：清华大学出　控制器部署在有代理的主机上，作用是与集中控制器通信和控制代　版社，２００２．　理启动。控制器涉及的类与集中控制器类似，控制器采用客户机模式．与　［４］唐正军．网络入侵检测系统的设计与实现［Ｍ］．北京：电子工业出版　集中控制器的服务器模式组合成Ｃ／Ｓ结构。　社，２００２．　控制器通信采用ＣＳｏｃｋｅｔ类与集中控制器连接。由于是客户机，所以　［５］Ｄａｖｉｄ　Ｊ，Ｋｒｕ　ｎｓｋｉ．Ｖｉｓｕａｌｃ＋＋技术内幕［Ｍ］．２版．北京：清华大学出　只需要一个Ｃｓｏｃｋｅｔ派生类对象，功能函数与集中控制器类似。　版社，１９９６．　控制器把代理作为进程启动，用函数ＣｒｅａｔｅＰｒｏｃｅｓｓ（）实现，在启动代　［６］Ａｎｔｈｏｎｙ　Ｊｏｎｅｓ．Ｗｉｎｄｏｗｓ网络编程技术［Ｍ］．北京：机械工业出版社，　理的同时．控制器向代理传递必要信息，比如：控制器标识、集中控制器　２０００．　的ＩＰ地址等，这些可以通过对ＣｒｅａｔｅＰｒｏｃｅｓｓ（）函数的参数设置实现。　［７］Ｊｅｆｒｅｙ　Ｒｉｃｈｔｅｒ．Ｗｉｎｄｏｗｓ核心编程［Ｍ］　Ｅ京：机械工业出版社，２０００．　３．５网络代理的实现　［８］陈坚，陈伟．ＶｉｓｕａｌＣ＋＋网络编程［Ｍ］．北京：人民邮电出版社，２００２．　网络代理主体采用了Ｓｎｏｒｔ的实现方式，对某些模块做了改造，如图　（责任编辑：邱娅男）　】添加了通信接口和远程报警层，使其胜任代理角色并适应分布式系统　的要求。　第一作者简介：卢赤班，男，１９６２年１２月生，２００５年毕业于同济大　系统所用的网络代理是由Ｓｎｏｒｔ改造而成，其针对网络入侵的检测　学（硕士），讲师，太原城市职业技术学院，山西省太原市，０３００２７．　Ｉｍｐｌｅｍｅｎｔａｔｉｏｎ　ｏｆ　ｔｈｅ　Ｄｉｓｔｒｉｂｕｔｅｄ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ　ＬＵ　Ｃｈｉ．ｂａｎ　ＡＢＳＴＲＡＣＴ：Ｔｈｉｓ　ｐａｐｅｒ　ｄｉｓｃｕｓｓｅｓ　ｏｎ　ｔｈｅ　ｆｅａｔｕｒｅｓ　ｏｆ　ｔｈｅ　ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　ｓｙｓｔｅｍ，ｐｒｏｂｅｓ　ｉｎｔｏ　ｔｈｅ　ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　ｓｙｓｔｅｍ　ｆｒｏｍ　ｔｈｒｅｅ　ａｓｐｅｃｔｓ　ｏｆ　ｔｈｅ　ｄａｔａ　ｃｏｌｌｅｃｔｉｏｎ，ｓｙｓｔｅｍ　ｓｔｒｕｃｔｕｒｅ　ａｎｄ　ｄｅｔｅｃｔｉｏｎ　ｍｅｔｈｏｄ，ａｎｄ　ｄｅｓｉｇｎｓ　ｏｎ　ａｎｄ　ｉｍｐｌｅｍｅｎｔｓ　ａｎ　ａｃｔｕａｌ　ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　ｓｙｓｔｅｍ。　ＫＥＹ　ＷＯＲＤＳ：ｄｉｓｔｒｉｂｕｔｅｄ　ｉｎｔｕｒｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　ｓｙｓｔｅｍ；ｄａｔａ　ｃｏｌｌｅｃｔｉｏｎ；ａｇｅｎｔ　２３３