基于移动代理的分布式
This presentation is the property of its rightful owner.
Sponsored Links
1 / 26

基于移动代理的分布式 入侵检测系统 PowerPoint PPT Presentation


  • 101 Views
  • Uploaded on
  • Presentation posted in: General

基于移动代理的分布式 入侵检测系统. 太原理工大学网络信息中心 任新华 [email protected] 主 要 内 容. 背景综述 本课题的研究意义 移动代理技术 基于移动代理的分布式入侵检测模型 基于移动代理平台 IBM Aglets 的本模型的实现. 防火墙策略的优缺点. 明显的优势 在 内外网之间 提供安全的网络保护屏障,降低内网受攻击的风险。 缺陷 入侵者可以寻找防火墙背后可能敞开的后门 ; 完全不能阻止内部袭击 ; 无法提供实时的入侵检测能力; 对邮件病毒束手无策。. 入侵检测( Intrusion Detection).

Download Presentation

基于移动代理的分布式 入侵检测系统

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


1809782

基于移动代理的分布式入侵检测系统

太原理工大学网络信息中心

任新华

[email protected]


1809782

主 要 内 容

  • 背景综述

  • 本课题的研究意义

  • 移动代理技术

  • 基于移动代理的分布式入侵检测模型

  • 基于移动代理平台IBM Aglets的本模型的实现


1809782

防火墙策略的优缺点

  • 明显的优势在内外网之间提供安全的网络保护屏障,降低内网受攻击的风险。

  • 缺陷入侵者可以寻找防火墙背后可能敞开的后门;完全不能阻止内部袭击;无法提供实时的入侵检测能力; 对邮件病毒束手无策。


Intrusion detection

入侵检测(Intrusion Detection)

定义:通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。


1809782

入侵检测系统的分类

  • 根据检测的数据来源分基于主机的入侵检测系统(Host-based IDS) 基于网络的入侵检测系统(Network-based IDS)

  • 根据检测使用的分析方法分异常入侵检测型(Abnormal Detection) 误用入侵检测型(Misuse Detection)

  • 根据IDS的体系结构分集中式入侵检测系统(Centralized Intrusion Detection System,简称CIDS) 分布式入侵检测系统(Distributed Intrusion Detection System,简称DIDS)


1809782

理想入侵检测系统的功能

  • l自动地收集和系统相关的信息

  • l监视分析用户和系统的行为

  • 审计系统配置和漏洞

  • l评估敏感系统和数据的完整性

  • l识别攻击行为

  • l对异常行为进行统计

  • l进行审计跟踪,识别违反安全法规的行为

  • l使用诱骗服务器(“蜜罐”)记录黑客行为


1809782

本课题的研究意义

基于现有的成熟的入侵检测技术,结合移动Agent技术应用于入侵检测系统的优势,设计一种基于移动代理的分布式入侵检测系统模型;并在基于Java的移动代理平台IBM Aglets上,按照本文设计的模型构建实验监测系统,完成对一些典型的入侵攻击的检测。因此,本课题的研究在理论和实践上都具有深刻的意义。


Mobile agent

移动代理(Mobile Agent)技术

什么是移动代理?

模拟人类行为和关系、具有一定智能并能够自主运行和提供相应服务的程序

指能在同构或异构网络主机之间自主地进行迁移的有名字的程序。

程序能自主地决定什么时候迁移到什么地方。它能在程序运行的任一点挂起,然后迁移到另一台主机上,并接着这一点继续往下执行。


1809782

远程移动代理服务器(RMAS)

控制机制

监听机制

迁移机制

移动代理

传输协议

移动代理

移动代理

安全机制

移动代理系统的体系结构

代理代码库

移动代理服务器(MAS)


1809782

移动代理应用于DIDS的特点

  • 主机间动态迁移改变了传统的将数据传送给程序(计算)的方式,而是将程序(计算)传送给数据。

  • 智能性

  • 平台无关性

  • 分布的灵活性

  • 低网络数据流量

  • 协作性


Ma dids

数据库服务器

数据库

MAE

MDA

MCA

ATP

ATP

ATP

日志

文件

MDA

MDA

日志

文件

MCA

MCA

MAE

MAE

主机1

主机n

基于MA的DIDS体系结构图

……


Aglet dids

基于Aglet的DIDS系统的功能模块

  • 数据采集模块负责采集被监控的主机系统上的网络连接数据,并进行过滤和格式化处理,保存在系统日志文件中。

  • 入侵检测及响应模块对各个主机系统上的日志文件进行分析,结合不同的检测手段,和已知攻击行为的特征进行比较,从中发现异常行为,产生实时警报。

  • 数据管理模块保存和维护所有采集到的数据,处理用户提交的数据库查询和更新请求。

  • 实时监控模块对各个受控主机进行实时监控,并对出现的问题实时报警。该模块设计的主要问题是如何在保证报警的实时性的同时,尽可能减少对系统资源的占用。

  • 离线查询模块主要通过Web方式,提供对各种历史数据和警报的查询和分析。由于该模块的存取数据来源于数据库,所以可以利用各种复杂的算法对系统数据进行分析。


1809782

预处理

MCA的工作流程

主机日志文件

格式化的

日志文件

MCA

网络数据包


1809782

MDA可使用的检测技术

  • 基于统计的检测技术根据用户行为和用户历史行为的比较来判断是否为入侵的。

  • 基于人工智能检测方法通常采用神经网络、遗传算法和模糊推理等技术。

  • 基于专家系统的入侵检测采用模式库的方法对入侵行为进行匹配。


1809782

通信协议ATP

  • ATP Transmission Protocol

  • 有效性和可靠性代理之间的通信不能明显地增加系统的负担,降低网络的传输性能。

  • 安全性各部件之间的通信协议必须提供某种加密机制来保证IDS之间数据传输的安全性,以防止网络窃听 。


1809782

入侵检测和响应模块

实时监控模块

ICMP MDA

实时监控

可疑数据

浏览器

警报记录

CGI网关

TCP MDA

UDP MDA

数据库

历史数据

浏览器

数据过滤和预处理

查询分析

主机数据源

网络数据源

数据管理模块

离线查询模块

数据采集模块

联动控制

系统功能模块图


Ibm aglets

通信

通信

移动代理

移动代理

移动代理

Aglet虚拟机Tahiti

Linux Java

虚拟机

Solaris Java

虚拟机

Windows X

Java 虚拟机

Java

虚拟机

Linux

操作系统

Solaris

操作系统

Windows X系列操作系统

操作系统

……

IBM Aglets的运行支撑环境

移动代理运行的支持环境


1809782

系统开发环境

  • 操作系统:Microsoft Windows2000

  • 开发语言:Java

  • 后台数据库:Microsoft SQL Server2000

  • 数据包截获支持函数包:WinPcap、Jpcap


1809782

采集网络数据的实现细节

日志文件格式:

<截获包的具体时间>|<源IP->目标IP>|<源

端口:目的端口[type:code]>|<协议>|


1809782

系统实现数据包截获的输出结果图


1809782

获取网卡设备的句柄

打开网卡设备

设置网卡处于混杂模式

定义并初始化数据结构

循环获取数据包

将网卡置回正常

接收模式

从缓冲区中读取数据包

格式化处理原始数据包

释放网卡句柄和

接收缓冲区

存入日志文件

采集网络数据包的流程图


1809782

代理返回②

运行①

迁移①

派遣①

数据交互①

请求①

移动检测代理的迁移过程示意图

虚拟机Tahiti

虚拟机Tahiti

移动检测

代理MDA

移动检测

代理MDA

入侵检测系统

入侵检测系统

主机B

主机A


Circulateaglet

CirculateAglet初始化

从数据库Monitored_host中读出受控主机列表

根据列表指定行程路线,初始化内存分配

发出消息,将代理对象发送到第一台受控主机

刷新该主机的时间戳

读该主机日志文件中的更新部分,放入内存

结合内存中的其它主机的日志来分析日志的新内容

TCP相关攻击检测

UDP相关攻击检测

ICMP相关攻击检测

1.发出警报,将该日志信息入库

2.删除内存中的无用日志

3.在内存中保留不可判定的可疑信息

关闭数据库和文件,发送到下一台受控主机上

定时sleep

移动代理CirculateAglet的入侵分析流程图


1809782

总 结——系统的优点

  • 实现模块化、可配置性

  • 具有高度的可扩展性

  • 能够应对分布式、协同式攻击

  • 自身安全性较高


1809782

总 结——存在的问题

  • 依赖于移动代理平台

  • 可能受到硬件环境限制

  • 缺少大规模实用性验证


Renxh@tyut edu cn

欢迎提出宝贵意见![email protected]


  • Login