【文章內(nèi)容簡介】 在不改動(dòng)系統(tǒng)的情況下，建立某種檢測機(jī)制，在該分布式系統(tǒng)中，不但對(duì)已知的攻擊能檢測，對(duì)不能確定的行為能進(jìn)行記錄。3. 其三，自動(dòng)完善要求。對(duì)懷疑的行為能進(jìn)行分析和確定是否為攻擊行為，若是攻擊，能自動(dòng)添加規(guī)則，使系統(tǒng)對(duì)該攻擊具有免役能力。 系統(tǒng)模型設(shè)計(jì)將移動(dòng)代理和入侵檢測結(jié)合起來，讓入侵檢測系統(tǒng)成為更靈活、更健壯、更自制的檢測工具，本文提出基于移動(dòng)代理的分布式入侵檢測模型，是根據(jù)移動(dòng)代理可以自主遷移的特性，該模型系統(tǒng)可以安裝具體的網(wǎng)絡(luò)系統(tǒng)的安全策略配置在任何需要檢測的系統(tǒng)中，只要安裝了移動(dòng)代理環(huán)境和入侵檢測數(shù)據(jù)收集器，就可以成基于移動(dòng)代理的分布式入侵檢測系統(tǒng)的一部分。本位提出的系統(tǒng)設(shè)計(jì)模型如圖31所示：圖31 系統(tǒng)設(shè)計(jì)模型 系統(tǒng)主要部件介紹 移動(dòng)代理環(huán)境本系統(tǒng)采用的移動(dòng)代理環(huán)境是由日本IBM 公司所提出的代理，它是完全由Java語言開發(fā)，并提供實(shí)用的平臺(tái)代理s Workbench是開發(fā)或執(zhí)行mobile 代理系統(tǒng)。代理 這個(gè)字是由代理與applet兩個(gè)字所合成的，簡單的說就是具有代理行為的Java applet物件。在代理系統(tǒng)中，代理物件是可以在網(wǎng)絡(luò)中從一臺(tái)主機(jī)移動(dòng)到另一個(gè)主機(jī)。代理物件在移動(dòng)時(shí)，會(huì)攜帶程序代碼和所有對(duì)象的狀態(tài)數(shù)據(jù)，并采用了內(nèi)嵌的安全機(jī)制，代理的實(shí)現(xiàn)是采用事件驅(qū)動(dòng)方式，并采用對(duì)稱算法進(jìn)行域內(nèi)的身份認(rèn)證和對(duì)移入的代理進(jìn)行一致性檢測，并可通過圖形界面(Tahiti管理程序)設(shè)置安全訪問策略。代理有豐富的API函數(shù),可以很方便的構(gòu)造應(yīng)用程序，它提供的通信協(xié)議是應(yīng)用層協(xié)議ATP(基于TCP的代理傳輸協(xié)議)，但同時(shí)也支持Java RMI。 數(shù)據(jù)收集根據(jù)本系統(tǒng)的設(shè)計(jì)要求，能對(duì)分布式攻擊檢測，所以本文采用入侵檢測系統(tǒng)Snort作為數(shù)據(jù)收集器，記錄網(wǎng)絡(luò)入侵和可疑數(shù)據(jù)，最終達(dá)到在Snort基礎(chǔ)上，建立起一個(gè)更加完善的入侵檢測系統(tǒng)。 模型的工作機(jī)理本系統(tǒng)的工作過程如下：1. 在分布式的各個(gè)節(jié)點(diǎn)上運(yùn)行Snort工具檢測攻擊，并記錄相應(yīng)的數(shù)據(jù)到數(shù)據(jù)庫，包括可以數(shù)據(jù)。2. 啟動(dòng)移動(dòng)代理環(huán)境，運(yùn)行移動(dòng)代理程序，該程序會(huì)通過遍歷所有節(jié)點(diǎn)，自動(dòng)的將各個(gè)數(shù)據(jù)庫里可疑的數(shù)據(jù)提取出來，并通過代理帶回移動(dòng)主機(jī)上。3. 在代理主機(jī)上對(duì)這些各節(jié)點(diǎn)的可疑數(shù)據(jù)綜合分析。若分析出攻擊行為，則自動(dòng)添加規(guī)則到規(guī)則文件中，禁止該行為主機(jī)對(duì)該保護(hù)網(wǎng)絡(luò)的再次訪問。 本模型的優(yōu)缺點(diǎn)分析1. 優(yōu)點(diǎn)總結(jié)l 網(wǎng)絡(luò)性能好。該模型的實(shí)現(xiàn)是分布在網(wǎng)絡(luò)的一些節(jié)點(diǎn)上，檢測時(shí)對(duì)網(wǎng)絡(luò)不會(huì)有影響，占用網(wǎng)絡(luò)資源少。l 自我完善。該模型能對(duì)可疑數(shù)據(jù)記錄并綜合分析，最終確定是否含有攻擊，若有攻擊的存在，通過自動(dòng)添加訪問規(guī)則來自動(dòng)完善系統(tǒng)。l 降低漏報(bào)率。通過移動(dòng)代理將各節(jié)點(diǎn)的數(shù)據(jù)綜合分析，讓檢測分析數(shù)據(jù)更為準(zhǔn)確，實(shí)現(xiàn)了對(duì)網(wǎng)段攻擊檢測，在一定程度上彌補(bǔ)了傳統(tǒng)的網(wǎng)絡(luò)入侵檢測這方面的不足。2. 不足之處但該模型仍存在著先天的缺陷。因?yàn)槭菍?duì)已記錄的分布式可疑數(shù)據(jù)分析，這意味著攻擊發(fā)生后，才進(jìn)行系統(tǒng)的檢測和完善，即可以檢測出這種攻擊的再次來襲，但對(duì)于第一次的攻擊是檢測不出來的。 分布式攻擊檢測實(shí)例 DoorKnob攻擊基本原理圖32 實(shí)例所處的網(wǎng)絡(luò)結(jié)構(gòu)假設(shè)網(wǎng)絡(luò)結(jié)構(gòu)如圖32所示，網(wǎng)絡(luò)由多個(gè)子網(wǎng)構(gòu)成，每個(gè)子網(wǎng)擁有多臺(tái)主機(jī)，攻擊者發(fā)起DoorKnob攻擊的步驟如下：攻擊者在時(shí)刻t以空密碼的root用戶嘗試登錄主機(jī)A1，隔一段時(shí)間T，在時(shí)刻t+T以空密碼的root用戶嘗試登錄主機(jī)B1，依此類推，在時(shí)刻t+2nT以空密碼的root用戶嘗試登錄主機(jī)Bn。如果沒有找到可利用的主機(jī)，在時(shí)刻t+(2n+1)T以密碼123456的root用戶嘗試登錄主機(jī)A1，然后再依次類推，直至發(fā)現(xiàn)可利用的主機(jī)。攻擊者通過設(shè)置適當(dāng)?shù)臅r(shí)間間隔T，可避免各主機(jī)上的入侵檢測組件對(duì)其的檢測。但是基于移動(dòng)代理的體系結(jié)構(gòu)能有效的檢測這種攻擊。 檢測過程首先，信息收集器收集主機(jī)上的可疑信息，把登錄失敗的信息看作是一種可疑信息，因?yàn)榈卿浭】赡苁怯捎谟脩糨斎脲e(cuò)誤，也可能是由攻擊者產(chǎn)生的。當(dāng)移動(dòng)代理將各主機(jī)中的可疑信息融合后可得出圖33所示信息:圖33 融合后的數(shù)據(jù)移動(dòng)代理在各主機(jī)之間移動(dòng)時(shí)，可統(tǒng)計(jì)各遠(yuǎn)程主機(jī)的登錄失敗次數(shù)，如果超過了一個(gè)門限值（比如15），則認(rèn)為是攻擊發(fā)生。，由于在各主機(jī)上的登錄失敗次數(shù)都沒有超過門限，所以駐留在主機(jī)上的IDS無法檢測到這種攻擊。移動(dòng)代理訪問主機(jī)1和主機(jī)2后，,仍沒有超過門限(15)，當(dāng)移動(dòng)代理遷移到主機(jī)3，檢測到它的登錄失敗次數(shù)為23，攻擊被檢測。其它主機(jī)的登錄失敗信息被認(rèn)為是一種正常情況。4 系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn) 移動(dòng)代理代理系統(tǒng)介紹和配置 代理系統(tǒng)架構(gòu)代理s的系統(tǒng)架構(gòu)主要分為四個(gè)階段，如圖41所示。首先當(dāng)一個(gè)正在執(zhí)行的代理程序想要將自己外送到遠(yuǎn)端時(shí)，會(huì)對(duì)代理s Runtime層發(fā)出請求，然后代理s Runtime層把代理的狀態(tài)消息與運(yùn)行代碼轉(zhuǎn)變成序列化(serialized )的字節(jié)陣列(byte array)；接著若是外送的請求成功時(shí)，系統(tǒng)會(huì)將代理程序的執(zhí)行動(dòng)作結(jié)束，然后將字節(jié)陣列傳送至ATCI(代理 Transport and Communication Interface)層處理，此層提供使用ATP(代理 Transfer Protocol)的介面，其中ATP為一個(gè)簡單的應(yīng)用層協(xié)定(applicationlevel protocol) ，如圖42所示，使用時(shí)不必顧慮代理物件是否被派送到不同的 代理系統(tǒng)就可以傳送代理物件；之后，系統(tǒng)會(huì)將字節(jié)陣列附上相關(guān)的系統(tǒng)信息，像是系統(tǒng)名稱以及代理物件的id等，并以bit stream 透過網(wǎng)路傳至遠(yuǎn)端工作站。圖41 代理的系統(tǒng)架構(gòu)下圖圖42 ATP的示意圖 代理功能模型代理系統(tǒng)首先提供了一個(gè)環(huán)境方便用戶來管理代理的基本行為：如創(chuàng)建代理、克隆代理、分派代理到遠(yuǎn)端機(jī)器、召回遠(yuǎn)端的代理、暫停、喚醒代理以及清除代理等，如圖43所示。圖43 代理的物件模型代理與代理之間的通信，可用消息傳遞的方式來傳遞消息對(duì)象。此外，基于安全上的考慮，代理并非讓外界直接存取其消息，而是透過一個(gè)代理(proxy)提供相應(yīng)的接口與外界溝通，如圖44所示。這樣做還有一個(gè)好處，即代理的所在位置會(huì)透明化，也就是代理想要與遠(yuǎn)端的代理溝通時(shí)，只在本地主機(jī)的上下文環(huán)境中產(chǎn)生對(duì)遠(yuǎn)端代理的代理，并與此代理溝通即可，不必直接處理網(wǎng)絡(luò)連接與通信的問題。圖44 代理基本功能介面 代理安裝與配置:\Java\jdk\，完成安裝后，在環(huán)境變量里給出java\bin的路徑。，并解壓到G:\代理s\，可以看見以下文件METAINF、BIN、CNF、LIB、PUBLIC。設(shè)置代理環(huán)境變量：(在MSDOS)cd到G:\代理s\binset ant_home=G:\代理sset java_home=G:\Java\jdk在bin下輸入ant，并確定，等上一會(huì)兒。，將G:\代理s/lib改為G:\\代理s/lib，保存退出。，:\WINNT下，:\Documents and Settings\Administrator下。在bin下輸入代理sd，并確認(rèn)，過一會(huì)兒可以看到登陸界面, 如圖45所示，輸入用戶名：代理_key，密碼：代理s后，即可登陸Tahiti界面，如圖46所示，Tahiti是可視化代理管理界面，讓使用者方便地監(jiān)視和控制代理的執(zhí)行，單擊Tahiti界面中的create，彈出Create 代理窗口，點(diǎn)擊下面列表中的示例，如examples. ，再點(diǎn)擊左下角的create，會(huì)彈出對(duì)話框，這樣就產(chǎn)生了一個(gè)代理。圖45 代理登錄界面圖46 Tahiti運(yùn)行界面 Snort介紹與配置 Snort的簡介Snort是一個(gè)開放源代碼的網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)，其主要功能是實(shí)時(shí)記錄和分析IP網(wǎng)絡(luò)中的數(shù)據(jù)流。通過對(duì)協(xié)議的分析、數(shù)據(jù)包內(nèi)容的搜索和匹配，它能被用于監(jiān)測許多攻擊和掃描，如緩沖區(qū)溢出、端口隱蔽掃描、CGI攻擊、SMB探測、操作系統(tǒng)識(shí)別探測等等。Snort是基于特征檢測的IDS，使用規(guī)則的定義來檢查網(wǎng)絡(luò)中的有問題的數(shù)據(jù)包。一個(gè)規(guī)則被觸發(fā)后會(huì)產(chǎn)生一條告警信息。 Snort系統(tǒng)組成Snort主要由以下四個(gè)基本模塊組成：數(shù)據(jù)包嗅探器、預(yù)處理器、檢測引擎和報(bào)警輸出模塊。這些模塊使用插件模式和Snort結(jié)合，擴(kuò)展起來非常方便，既保障了插件程序和Snort的核心代碼的緊密相關(guān)性，又保障了核心代碼的良好擴(kuò)展性。例如有預(yù)處理和檢測插件，報(bào)警輸出插件等。預(yù)處理和檢測插件使Snort的檢測引擎能夠更有效地檢測數(shù)據(jù)包的內(nèi)容，報(bào)警輸出插件可以用多種方法輸出報(bào)警信息。 Snort的安裝1. 安裝Winpcap(windows packet capture)Winpcap是Windows平臺(tái)下一個(gè)免費(fèi)、公共的網(wǎng)絡(luò)訪問系統(tǒng)，它為win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力。Winpcap不能阻塞、過濾或控制其他應(yīng)用程序數(shù)據(jù)報(bào)的發(fā)收，它僅僅只是監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)報(bào)。它提供了以下的各項(xiàng)功能，這些功能均有助于以太網(wǎng)數(shù)據(jù)流監(jiān)視軟件功能的實(shí)現(xiàn)： 1) 捕獲原始數(shù)據(jù)報(bào)