移動Agent和遺傳算法在分布式IDS中的應(yīng)用研究

2014-08-27 09:37高為民方小勇

網(wǎng)絡(luò)空間安全 2014年8期

高為民+++方小勇

【摘要】無線通信在無線空間傳播信道特殊的輻射、開放性會導(dǎo)致網(wǎng)絡(luò)運營和通信的安全性受到極大的威脅。近年來，將遺傳算法和移動代理應(yīng)用于 IDS 中的研究越來越多。傳統(tǒng)的基于知識的IDS由于需要領(lǐng)域?qū)＜胰斯みM行規(guī)則和模式的建立，并隨著時間和空間的變化會導(dǎo)致專家規(guī)則庫局限性突顯，檢測的有效性和正確性不高，因而需要對IDS的性能進行優(yōu)化。文中首先介紹了移動互聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)和安全問題，然后提出通用的IDS模型結(jié)構(gòu)及分類，設(shè)計出一種基于移動Agent和遺傳算法的入侵檢測系統(tǒng)。該系統(tǒng)具有靈活性強、可擴展性好及適應(yīng)性強和誤檢率低等特點，滿足移動IPv6環(huán)境的使用。實驗結(jié)果表明提出的設(shè)計模型在算法性能和檢測效率上具有優(yōu)勢，適合于移動互聯(lián)網(wǎng)。

【關(guān)鍵詞】移動互聯(lián)網(wǎng)；入侵檢測系統(tǒng)；移動代理；遺傳算法

【中圖分類號】 TP393.8

1 引言

隨著信息網(wǎng)絡(luò)技術(shù)的快速發(fā)展，人們不再滿足于使用固定終端或單個移動終端連接到互聯(lián)網(wǎng)絡(luò)上，而是希望移動子網(wǎng)能以一種相對穩(wěn)定和可靠的形式，從互聯(lián)網(wǎng)上動態(tài)地獲取信息，這就促進無線移動互聯(lián)網(wǎng)絡(luò)的發(fā)展。然而，由于無線通信在無線空間傳播信道特殊的輻射、開放性會導(dǎo)致假冒攻擊、網(wǎng)絡(luò)欺騙、信息竊取等不安全行為，使網(wǎng)絡(luò)通信的安全性受到極大的威脅。為防止無線通信中信息被接收者之外的另一些人輕易地截獲，或入侵者進行欺騙接入等，需要采取一系列的安全措施。

入侵檢測系統(tǒng)（The Intrusion Detection System，IDS）是一種積極主動的安全防護技術(shù)，可應(yīng)對網(wǎng)絡(luò)信息傳輸中諸如篡改，刪除以及盜取等行為的網(wǎng)絡(luò)安全設(shè)備。目前，IDS發(fā)展迅速，根據(jù)入侵檢測方法可以把IDS分為異常入侵檢測系統(tǒng)和誤用入侵檢測系統(tǒng)。但傳統(tǒng)的基于知識的IDS需要領(lǐng)域?qū)＜胰斯みM行規(guī)則和模式的建立，而復(fù)雜網(wǎng)絡(luò)隨著時間和空間的變化會導(dǎo)致專家規(guī)則庫受限，降低了IDS的有效性和正確性。

本文針對移動互聯(lián)網(wǎng)絡(luò)的安全問題設(shè)計一種IDS檢測方案，該方案在網(wǎng)絡(luò)層描述系統(tǒng)構(gòu)成、實現(xiàn)的通信原理、部署及入侵檢測過程，并通過搭建實驗平臺對方案的性能和執(zhí)行效率進行了分析。

2 移動互聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)及安全問題

一般人們可以認(rèn)為移動互聯(lián)網(wǎng)是采用手機、個人數(shù)字助理、便攜式計算機、專用移動互聯(lián)網(wǎng)設(shè)備等作為終端，以移動通信網(wǎng)絡(luò)或無線局域網(wǎng)作為接入手段，通過無線應(yīng)用協(xié)議（WAP）訪問互聯(lián)網(wǎng)并使用互聯(lián)網(wǎng)業(yè)務(wù)。由于移動互聯(lián)網(wǎng)中核心是無線網(wǎng)絡(luò)技術(shù)，無線網(wǎng)絡(luò)通過無線電波在空中開放式傳輸數(shù)據(jù)，在數(shù)據(jù)發(fā)射機覆蓋區(qū)域內(nèi)的幾乎所有的移動用戶都能接觸到這些數(shù)據(jù)，因此很容易受到惡意攻擊。

隨著3G和移動互聯(lián)網(wǎng)的發(fā)展，所有在互聯(lián)網(wǎng)上出現(xiàn)的安全問題都可能在移動互聯(lián)網(wǎng)上重現(xiàn)。另一方而，由于移動互聯(lián)網(wǎng)本身的特點、獨特發(fā)展方式與傳播能力使得很多新的安全問題不斷出現(xiàn)， MCAfee《2008年移動安全研究報告》顯示，80%以上的用戶對移動終端安全問題擔(dān)心。當(dāng)前移動互聯(lián)網(wǎng)存在的安全問題主要有四個方面。

1）信息中斷：利用非法手段對網(wǎng)絡(luò)的可用性進行攻擊，破壞移動互聯(lián)網(wǎng)系統(tǒng)中的軟、硬件資源，使網(wǎng)絡(luò)不能正常工作。

2）篡改：對網(wǎng)絡(luò)的完整性進行攻擊，篡改移動網(wǎng)絡(luò)的核心網(wǎng)元和業(yè)務(wù)數(shù)據(jù)庫中內(nèi)容，修改消息次序進行延時或重放。

3）竊聽：通過對無線網(wǎng)絡(luò)傳輸鏈路上的搭線和電磁泄漏等對網(wǎng)絡(luò)的機密性進行攻擊，造成泄密，或?qū)I(yè)務(wù)流量進行分析，獲取有用信息。有很多不法份子竊聽等技術(shù)手段可以精確提取這些信息，造成一些隱私信息泄露并進行違法犯罪活動。

4）偽造：對網(wǎng)絡(luò)的真實性進行攻擊，將偽造、虛假的信息注入網(wǎng)絡(luò)中、假冒合法用戶接入移動網(wǎng)絡(luò)、重放截獲的合法信息實現(xiàn)不法目的、向移動網(wǎng)絡(luò)中移植蠕蟲、木馬、邏輯炸彈等惡意程序來破壞移動網(wǎng)絡(luò)的正常工作，否認(rèn)網(wǎng)絡(luò)中消息的接收或發(fā)送等。

3 入侵檢測系統(tǒng)的模型及分類

IDS是一種主動保護自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)，它是防火墻技術(shù)的一種補充，是檢測計算機網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過程。任何一個完整的IDS都必須支持信息控制和信息捕獲兩大功能。

作為入侵檢測的系統(tǒng)至少應(yīng)該包括三個功能模塊：提供事件記錄流的信息源、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的響應(yīng)部件。如圖1所示描述了一個入侵檢測系統(tǒng)的通用模型，由事件產(chǎn)生器、活動記錄器和規(guī)則集三個部件組成。事件產(chǎn)生器是IDS模型中產(chǎn)生活動信息，審計跟蹤網(wǎng)絡(luò)數(shù)據(jù)包；活動記錄器監(jiān)視中當(dāng)前網(wǎng)絡(luò)的狀態(tài)；規(guī)則集是一個普通的核查事件和狀態(tài)的檢查引擎，它使用模型、規(guī)則、模式和統(tǒng)計結(jié)果來判斷入侵行為。此外，反饋也是IDS模型的一個重要組成部分。規(guī)則集會根據(jù)事件產(chǎn)生器反饋現(xiàn)有的事件，引發(fā)系統(tǒng)的規(guī)則學(xué)習(xí)以加入新的規(guī)則或者修改規(guī)則。

從數(shù)據(jù)通信及處理的角度來看，IDS是一個典型的數(shù)據(jù)處理過程，它通過對大量的審計數(shù)據(jù)進行分析，來判斷被檢測的系統(tǒng)是否受到入侵攻擊。它的檢測機制，就是對一個系統(tǒng)主體行為的分類過程，即把對系統(tǒng)具有惡意的行為從大量的系統(tǒng)行為中區(qū)分出來。顯然，解決問題的關(guān)鍵技術(shù)就是如何從已知的數(shù)據(jù)中獲得系統(tǒng)的正常行為知識或有關(guān)入侵行為的知識。

入侵檢測系統(tǒng)有不同的分類標(biāo)準(zhǔn)，按數(shù)據(jù)源可分為：基于主機的IDS和基于網(wǎng)絡(luò)的IDS；按系統(tǒng)結(jié)構(gòu)分為：集中式入侵檢測和分布式入侵檢測；按檢測原理分為：異常入侵檢測和誤用入侵檢測。在IDS研究中，涉及的關(guān)鍵技術(shù)有：模式匹配、數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)、協(xié)議分析、數(shù)據(jù)融合及免疫和各種分類算法，但一般都是從異常入侵檢測模型和誤用入侵檢測模型下手。異常入侵檢測模型采用特征匹配的方法確定攻擊事件，檢測過程中用定量方式來描述可接受的行為特征，以區(qū)分和正常行為相違背的、非正常的行為特征來檢測入侵。誤用入侵檢測模型指按照預(yù)先定義好的入侵模式觀察到入侵發(fā)生情況并進行模式匹配來進行檢測，一般是利用已知系統(tǒng)和應(yīng)用軟件的弱點攻擊模式來檢測入侵。endprint

4 基于移動Agent和GA的IDS的設(shè)計

4.1 移動Agent和GA理論

移動Agent技術(shù)是一個能在同構(gòu)或異構(gòu)網(wǎng)絡(luò)主機之間自主地進行遷移、集分布式對象技術(shù)、軟件Agent技術(shù)和移動代碼技術(shù)于一體。它具有代理的自治性、響應(yīng)性、智能性和移動性，基于移動Agent的IDS將Agent分布于系統(tǒng)的關(guān)鍵點，完成數(shù)據(jù)的分布式收集、檢測及實時響應(yīng)。此外，移動Agent是一個獨立的功能實體，擴展性好。

移動Agent其實就是一個能夠在運行過程中自主地從源主機遷移到目標(biāo)主機，并可與其它Agent或資源交互的程序。移動Agent的模型如圖2所示。

GA（Genetic Algorithm）是一種借鑒生物界進化規(guī)律，模擬達爾文生物進化論的自然選擇和遺傳學(xué)機理的進化機制發(fā)展起來的高度并行、隨機、自適應(yīng)搜索算法。它使用數(shù)據(jù)序列來表示遺傳基因，繁殖分為交叉與變異兩個獨立的步驟進行。其算法過程分幾步。

（1）初始化：確定種群規(guī)模N、基因交叉概率PC、基因變異概率PM和終止進化的規(guī)則，生成隨機的N個個體作為初始種群X（0），并把進化代數(shù)計數(shù)器t=0。

（2）個體評價：計算特定個體N（i）（0<=i

（3）種群進化過程。

1）選擇父代，選擇的目的是把優(yōu)化的個體直接遺傳到下一代或通過配對交叉產(chǎn)生新的個體再遺傳到下一代。從種群中選擇出N/2對來交叉繁衍下一代。

2）交叉繁衍是遺傳算法的核心，所謂交叉是指把兩個父代個體的部分結(jié)構(gòu)加以替換重組而生成新個體的操作。從配對的父代中，各自貢獻一部分基因片段，組成子代個體。父代的基因片段可以有多種組合方式，可以產(chǎn)生M個子代。

3）基因變異，把父代復(fù)制到子代中，然后交互父代的兩段基因片段，產(chǎn)生變異的子代。

4）淘汰選擇，從上述所形成的子代群體中根據(jù)適應(yīng)度選擇數(shù)量適度的子代個體，形成新一代的父代群體。同時還要把遺傳代數(shù)計數(shù)器加1。如果終止檢驗通不過的話，繼續(xù)下一代的進化。

（4）終止檢驗：如已滿足終止條件，則終止進化過程。終止條件的設(shè)置是當(dāng)最優(yōu)個體的適應(yīng)度達到給定的閾值，或者最優(yōu)個體的適應(yīng)度和群體適應(yīng)度不再上升時，或者迭代次數(shù)達到預(yù)設(shè)的代數(shù)時，算法終止。

遺傳算法用在IDS中主要進行的是異常檢測，而且大部分是采用訓(xùn)練數(shù)據(jù)自動計算出相應(yīng)網(wǎng)絡(luò)上的某個閥值，以此作為判斷是否有入侵的條件。

4.2 系統(tǒng)設(shè)計

基于移動Agent和GA的IDS通過為某些入侵行為建立特定的模型，設(shè)計多個相互協(xié)同Agent，對數(shù)據(jù)采集Agent送來的數(shù)據(jù)進行分析，不同Agent之間相互協(xié)作學(xué)習(xí)，并訓(xùn)練規(guī)則數(shù)據(jù)集，結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)。IDS的結(jié)構(gòu)如圖3所示。

數(shù)據(jù)庫模塊：用于存放規(guī)則庫，記錄系統(tǒng)檢測到的事件、原始數(shù)據(jù)及訓(xùn)練數(shù)據(jù)；存放各種移動Agent的代碼庫以及一些特定事件的處理函數(shù)。由于網(wǎng)絡(luò)數(shù)據(jù)量大，需要進行自動分類建立標(biāo)識，數(shù)據(jù)進行模式匹配后分類進行算法訓(xùn)練。

入侵檢測Agent模塊：對移動網(wǎng)絡(luò)上的流量包進行捕獲，然后通過協(xié)議解碼和分析，實現(xiàn)對數(shù)據(jù)包的統(tǒng)計、操作日志和審計。

響應(yīng)Agent模塊：用以對入侵檢測Agent的分析結(jié)果給予響應(yīng)，如檢測到入侵事件，響應(yīng)代理采取相應(yīng)措施如警告入侵者，禁止連接或引向蜜罐虛擬系統(tǒng)。

用戶界面Agent模塊：是系統(tǒng)和用戶的接口，負(fù)責(zé)將用戶的命令和請求發(fā)送給代理，并以直觀的形式顯示告警，給用戶提出處理建議。用戶界面Agent動態(tài)監(jiān)控各個系統(tǒng)組件的工作狀態(tài)，允許管理員查看、管理和維護。

數(shù)據(jù)收集Agent模塊：采集系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)以及用戶活動的狀態(tài)和行為數(shù)據(jù)。一般在計算網(wǎng)絡(luò)中的若干不同關(guān)鍵點收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個數(shù)據(jù)源來的信息有可能看不出疑點，但從幾個數(shù)據(jù)源來的信息的不一致性卻是可疑行為或入侵的最好標(biāo)志。數(shù)據(jù)采集Agent是專門對監(jiān)控主機進行系統(tǒng)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)采集，各個Agent間相互協(xié)作分析后，經(jīng)過預(yù)處理把數(shù)據(jù)傳送給入侵檢測Agent。

管理中心：實現(xiàn)移動代理環(huán)境之間的通信及發(fā)布指令，并對后臺數(shù)據(jù)庫進行集中管理。

以上所有Agent都建立在分布式移動環(huán)境下運行。移動Agent環(huán)境是整個入侵系統(tǒng)運行的基礎(chǔ)，并控制移動Agent的移動、建立、注銷等基本服務(wù)。移動Agent環(huán)境代理服務(wù)器可以將策略庫中的事件處理函數(shù)自動進行封裝生成移動代理派遣到相應(yīng)的節(jié)點執(zhí)行檢測任務(wù)。

4.3 系統(tǒng)部署

網(wǎng)絡(luò)中的工作站和服務(wù)器都應(yīng)安裝移動代理環(huán)境MAE，并根據(jù)需要在工作站和服務(wù)器上運行不同類型的代理。并在每一個網(wǎng)段上配置一個管理控制中心，管理中心對整個網(wǎng)段進行控制。系統(tǒng)管理員通過用戶界面Agent（可采用IBM公司的Aglets作為實現(xiàn)平臺）可以獲知整個系統(tǒng)的運行情況，并對入侵檢測系統(tǒng)進行配置和控制，以實現(xiàn)預(yù)定的安全策略。每一臺受檢測的移動節(jié)點或主機根據(jù)不同的需要運行不同的數(shù)據(jù)收集Agent和分析檢測Agent。網(wǎng)段中關(guān)鍵節(jié)點上運行數(shù)據(jù)收集Agent用于采集網(wǎng)絡(luò)數(shù)據(jù)包，部署結(jié)構(gòu)圖如圖4所示。

入侵檢測Agent是系統(tǒng)部署和設(shè)計中最重要的部分，它承擔(dān)從可疑的數(shù)據(jù)信息中檢測是否有入侵發(fā)生的任務(wù)，截獲網(wǎng)絡(luò)信息，進行審計分析，確定可疑度，并對相應(yīng)事件進行響應(yīng)；同時要保持與其他移動Agent通信，對可疑級別達到一定程度的事件進行可疑廣播；這些檢測代理可以在異質(zhì)的網(wǎng)絡(luò)節(jié)點間遷移，并根據(jù)被監(jiān)控主機中的數(shù)據(jù)庫信息或其它主機傳送的信息分析入侵，或根據(jù)遺傳算法編碼規(guī)則訓(xùn)練規(guī)則數(shù)據(jù)庫并做好日志。

5 實驗結(jié)果及分析

為了測試模型的性能及有效性，首先要搭建一個無線局域網(wǎng)的測試環(huán)境，在一個無線局域網(wǎng)內(nèi)部署8臺主機，兩臺分別安裝Snort和Iptable的數(shù)據(jù)采集安全工具，一臺控制臺主機，一臺存放中央數(shù)據(jù)庫主機，一臺目標(biāo)主機和一臺關(guān)聯(lián)引擎主機，一臺策略服務(wù)器，一臺數(shù)據(jù)采集器，一臺采集代理。內(nèi)部網(wǎng)絡(luò)通過路由器與外部網(wǎng)絡(luò)連接，在外網(wǎng)中以移動節(jié)點作為攻擊主機，在中國電信衡陽分公司天翼3G工學(xué)院校園網(wǎng)絡(luò)上對系統(tǒng)進行測試。實驗過程要用到SQL Server2009、WinPcap、Snort、Aglets、Visual studio 2005、Iptable及攻擊軟件等。使用2012年6月第一個周末的數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)，第二個周末的數(shù)據(jù)作為測試數(shù)據(jù)，其中包含了攻擊數(shù)據(jù)包，總共收集了7149800個數(shù)據(jù)包。通過遺傳算法種群初始化編碼方法對數(shù)據(jù)包進行編碼，去除多余的數(shù)據(jù)，剩下的1243700個數(shù)據(jù)包作為自我集。實驗中所使用的數(shù)據(jù)包如表1所示。

評價入侵檢測系統(tǒng)性能的標(biāo)準(zhǔn)是準(zhǔn)確性，準(zhǔn)確性主要體現(xiàn)在漏報率和誤報率。因此，有必要先定義幾個指標(biāo)參數(shù)：

檢測率=正確檢測出的入侵事件個數(shù)/總的入侵事件個數(shù)*100%

誤報率=誤報事件個數(shù)/總的正常事件個數(shù)*100%

漏報率=未檢測到的入侵事件個數(shù)/總的入侵事件個數(shù)*100%

我們將設(shè)計的IDS的檢測率、誤報率同開源的入侵檢測系統(tǒng)snort進行了比較。實驗結(jié)果如圖5所示。

通過實驗結(jié)果對照可以看出：訓(xùn)練數(shù)據(jù)一樣的情況下，基于移動Agent和遺傳算法的IDS檢測準(zhǔn)確率比傳統(tǒng)的Snort有一定程度的提高。

此外，為了驗證遺傳算法中種群數(shù)、迭代次數(shù)等對IDS的影響。通過仿真實驗，如圖6所示，基于移動Agent和GA的IDS系統(tǒng)隨著種群數(shù)的增加，IDS的檢測準(zhǔn)確率將還會有所提高，同時檢測錯誤率有一定程度的減小。

6 結(jié)束語

本文提出將移動Agent和GA應(yīng)用于IPv6環(huán)境下的分布式入侵檢測系統(tǒng)，采用動態(tài)分發(fā)相關(guān)移動代理來收集安全事件，遺傳算法GA來訓(xùn)練數(shù)據(jù)并自適應(yīng)計算網(wǎng)絡(luò)中的異常閥值，具有預(yù)測性強、實時響應(yīng)快、較高的智能性和容錯能力、抗攻擊能力強、協(xié)同性好等優(yōu)點。通過在移動IPv6網(wǎng)絡(luò)環(huán)境下驗證，設(shè)計的IDS在算法性能和檢測效率上具有優(yōu)勢，適合于移動互聯(lián)網(wǎng)。

參考文獻

[1] 高為民，徐紅云.網(wǎng)絡(luò)入侵誘控系統(tǒng)的研究與實現(xiàn)[J]，計算機測量與控制，2006，14（12）：1751-1753.

[2] 馬軍，馬慧.移動互聯(lián)網(wǎng)安全問題分析及建議[J]，現(xiàn)代電信科技，2009，28（7）：46-49.

[3] 羅利民，周震.基于IPv6的網(wǎng)絡(luò)安全入侵檢測技術(shù)研究[J]，科技通報，2012，28（4）：114-115.

[4] 陳建銳，何增穎，梁永成.IPv6網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計[J]，計算機技術(shù)與發(fā)展，2010， 20（9）：123-126.

[5] 趙榮杰.IPv6網(wǎng)絡(luò)中的分布式入侵檢測系統(tǒng)研究與實現(xiàn)[D].西安：西安電子科技大學(xué)，2009.

[6] 侯方明.無線網(wǎng)絡(luò)中入侵檢測系統(tǒng)的研究與設(shè)計[D].濟南：山東大學(xué)，2005.

[7] 許素霞，傅秀芬等.改進遺傳算法在入侵檢測系統(tǒng)的應(yīng)用[J].計算機系統(tǒng)應(yīng)用，2007年第11期：104-107.

[8] 黃成偉，賈宇波等.一種Agent安全參考模型[J].計算機應(yīng)用與軟件，2010，27（11）：40-43.

基金項目：

湖南省科技計劃項目（2014FJ6026）；湖南工學(xué)院教改項目（JY201425）資助。

作者簡介：

高為民（1975-），男，副教授，碩士；主要研究方向和關(guān)注領(lǐng)域：無線網(wǎng)絡(luò)、網(wǎng)絡(luò)安全。

方小勇（1982-），男，博士，副教授；主要研究方向和關(guān)注領(lǐng)域：圖形圖像處理、計算機仿真。endprint