摘 要:針對目前入侵檢測系統(tǒng)不能適應(yīng)異構(gòu)網(wǎng)絡(luò)環(huán)境、缺乏協(xié)同響應(yīng)的不足，提出了一種基于CORBA的分布式入侵檢測系統(tǒng)模型，結(jié)合人工智能思想，實現(xiàn)了一種基于CORBA的入侵檢測系統(tǒng)CMDIDS(Corba MiddleWare Distrubite Intrusion Detection System)。文章詳細(xì)討論了系統(tǒng)的體系結(jié)構(gòu)、特點(diǎn)和實現(xiàn)技術(shù)等，使所設(shè)計的系統(tǒng)能夠?qū)Υ笮头植籍悩?gòu)網(wǎng)絡(luò)進(jìn)行有效的入侵檢測，對網(wǎng)絡(luò)智能化入侵檢測系統(tǒng)的設(shè)計有一定參考價值，對綜合解決網(wǎng)絡(luò)安全問題是一個有益的探索。

　　關(guān)鍵詞:發(fā)表論文網(wǎng),網(wǎng)絡(luò)安全,網(wǎng)絡(luò)入侵檢測,主機(jī)入侵檢測,入侵協(xié)同響應(yīng),CORBA

　　隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的深入，網(wǎng)絡(luò)安全問題日益嚴(yán)重，給網(wǎng)絡(luò)和信息系統(tǒng)帶來了嚴(yán)重威脅。究其原因，主要是網(wǎng)絡(luò)攻擊技術(shù)不斷發(fā)展變化，并呈現(xiàn)出一些新的特點(diǎn)，而原有的安全解決方案不能迅速地適應(yīng)這些新特點(diǎn)，導(dǎo)致網(wǎng)絡(luò)的安全保障技術(shù)相對落后于網(wǎng)絡(luò)攻擊技術(shù)，從而出現(xiàn)防不勝防的尷尬局面。所以有必要引入新的技術(shù)和思想，來改進(jìn)原有的安全解決方案。

　　1 分布式入侵檢測

　　入侵是指試圖破壞一個資源的完整性、機(jī)密性和可獲得性的活動集合[1]。入侵檢測技術(shù)可被分為誤用入侵檢測和異常入侵檢測兩種，前者通過檢測固有的攻擊模式發(fā)現(xiàn)入侵，后者通過檢測系統(tǒng)或用戶行為是否偏離正常模式發(fā)現(xiàn)入侵;按照數(shù)據(jù)來源可分為主機(jī)和網(wǎng)絡(luò)入侵檢測，主機(jī)入侵檢測主要收集其運(yùn)行主機(jī)的信息，例如CPU、內(nèi)存使用率，文件的訪問控制等，網(wǎng)絡(luò)入侵檢測主要收集其所在局域網(wǎng)上傳輸?shù)乃�有�?shù)據(jù);按照入侵響應(yīng)可分為主動響應(yīng)和被動響應(yīng)兩種：如果檢測出入侵后，能夠自動重新配置防火墻、關(guān)閉適當(dāng)?shù)姆��?wù)或反擊入侵者，那么就被稱為主動響應(yīng)，若檢測到入侵后僅給出警報或記錄日志，那就是被動響應(yīng)[2]。

　　入侵檢測系統(tǒng)是基于以上幾種模型相結(jié)合構(gòu)建出的計算機(jī)軟件，其作用就像一個防盜系統(tǒng)，能夠?qū)崟r地發(fā)現(xiàn)可能的入侵。目前的網(wǎng)絡(luò)入侵檢測系統(tǒng)和產(chǎn)品還很不成熟，基本上都是用來監(jiān)控單一網(wǎng)段，功能較為簡單。此外，隨著網(wǎng)絡(luò)應(yīng)用的廣泛和互連網(wǎng)絡(luò)自身的分布異構(gòu)性，網(wǎng)絡(luò)入侵與攻擊的方式已經(jīng)變得越來越隱蔽，且趨于多樣性、分布化和協(xié)同性[3]。因此，入侵檢測系統(tǒng)也需要滿足跨平臺、可復(fù)用、易擴(kuò)充、協(xié)同檢測等新的應(yīng)用需求。所以，研究利用分布計算技術(shù)，實現(xiàn)大型分布式入侵檢測系統(tǒng)(DIDS)是有意義的。

　　CORBA是由對象管理國際組織OMG制定的一套分布式對象交互的規(guī)范[4]。CORBA與入侵檢測相結(jié)合具有許多優(yōu)點(diǎn)和特點(diǎn)：① CORBA開發(fā)語言獨(dú)立性和跨平臺性，使得能夠方便地集成多種多樣的監(jiān)測和安全程序;② 利用CORBA中間件所集成的下層軟件與上層應(yīng)用系統(tǒng)幾乎無關(guān)，即當(dāng)下層軟件發(fā)生改變時，只要CORBA對外的接口定義不變，上層應(yīng)用幾乎不需修改;③ CORBA具有好的擴(kuò)展性，能方便地進(jìn)行系統(tǒng)裁剪或組合，適應(yīng)不同的具體需要和環(huán)境;④ CORBA本身就有很好的安全機(jī)制。它提供標(biāo)識與鑒別，授權(quán)與訪問控制，對象間的安全通信、安全審計、安全管理等安全服務(wù)。

　　將CORBA的優(yōu)點(diǎn)和DNIDS結(jié)合，不僅可以解決網(wǎng)絡(luò)平臺的復(fù)雜性和多樣性，還能適應(yīng)網(wǎng)絡(luò)異構(gòu)和動態(tài)變化的特性。因此，我們設(shè)計并實現(xiàn)了一個基于CORBA的入侵檢測系統(tǒng)，稱之為CMDIS。

　　2 系統(tǒng)組成、結(jié)構(gòu)與特點(diǎn)

　　CMDIDS系統(tǒng)是一個集狀態(tài)監(jiān)測，入侵檢測和入侵響應(yīng)于一體、網(wǎng)絡(luò)與主機(jī)檢測相結(jié)合、適于大型網(wǎng)絡(luò)結(jié)構(gòu)的DIDS。CMDIDS系統(tǒng)主要由管理點(diǎn)、網(wǎng)絡(luò)檢測點(diǎn)、主機(jī)檢測點(diǎn)和安全響應(yīng)點(diǎn)4部分組成[5] (見圖1)。在CMDIDS應(yīng)用環(huán)境中，用戶可將一個大型網(wǎng)絡(luò)劃分成多個域，每個域中可部署一個網(wǎng)絡(luò)檢測點(diǎn)，多個安全響應(yīng)點(diǎn)和多個主機(jī)檢測點(diǎn)。整個系統(tǒng)只需部署一個管理點(diǎn)。

　　網(wǎng)絡(luò)/主機(jī)檢測點(diǎn)的任務(wù)是采集原始數(shù)據(jù)，對原始數(shù)據(jù)按照用戶要求進(jìn)行過濾，并反饋給管理點(diǎn)，實現(xiàn)實時狀態(tài)監(jiān)測，或?qū)υ�始�?shù)據(jù)進(jìn)行誤用入侵檢測，將結(jié)果報告給管理點(diǎn)。它由數(shù)據(jù)采集引擎、數(shù)據(jù)過濾器、誤用入侵檢測分析器和域管理器4部分組成。

　　安全響應(yīng)點(diǎn)是網(wǎng)絡(luò)中除檢測點(diǎn)以外涉及網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理的各種軟件資源，例如防火墻組件、文件備份組件以及負(fù)載均衡組件等。

　　管理點(diǎn)的任務(wù)是管理和配置所有的網(wǎng)絡(luò)檢測點(diǎn)，負(fù)責(zé)它和檢測點(diǎn)的信息交流，匯總和存儲檢測點(diǎn)上報的數(shù)據(jù)，并對這些數(shù)據(jù)歸類分析，進(jìn)行異樣入侵檢測和分布式誤用入侵的檢測。它包含了圖形用戶界面、數(shù)據(jù)庫、異常入侵檢測與誤用入侵分析器和頂級管理器4個部分。

　　與其他現(xiàn)有的DIDS相比，CMDIDS的一個特色在于實現(xiàn)了誤用和異常的入侵檢測的分離。前者放在檢測點(diǎn)中，而后者放在管理點(diǎn)中。這是因為與計算機(jī)病毒相似，誤用入侵攻擊也具有明顯的特征，這些特征也可被轉(zhuǎn)化為規(guī)則，形成規(guī)則庫，而且易于用編程語言實現(xiàn)。當(dāng)前危害較大的洪水攻擊和蠕蟲病毒攻擊的共同特點(diǎn)都是在短時間內(nèi)發(fā)送大量的數(shù)據(jù)包，擁塞網(wǎng)絡(luò)或主機(jī)，從而造成設(shè)備癱瘓。如果將攻擊數(shù)據(jù)照原樣傳送給管理點(diǎn)，不亞于將攻擊的目標(biāo)轉(zhuǎn)移到管理結(jié)點(diǎn)。因此檢測點(diǎn)在檢測出誤用入侵后只需和防火墻組件連動，切斷有害連接，再將攻擊的來源和特征報告給管理點(diǎn)。由管理點(diǎn)匯集這些信息進(jìn)行進(jìn)一步的分布式入侵檢測分析，從而大大減少了檢測點(diǎn)和管理點(diǎn)的數(shù)據(jù)通信，實現(xiàn)了局部與全局的監(jiān)測的有機(jī)結(jié)合和對管理點(diǎn)的保護(hù)。

　　CMDIDS的另一個特色是使用分布式計算和面向?qū)ο笥嬎阃昝澜Y(jié)合的CORBA技術(shù)，實現(xiàn)了檢測和響應(yīng)分離。用戶可按照需要，選擇檢測點(diǎn)及不同安全組件之間的協(xié)作關(guān)系，建立了安全組件之間的相互通信和聯(lián)動，提高了系統(tǒng)的可擴(kuò)展性，實現(xiàn)整體安全防護(hù)。例如，當(dāng)檢測引擎檢測到某種攻擊后，會自動通知防火墻修改安全策略。從信息安全系統(tǒng)防御的角度出發(fā)，這種聯(lián)動是必要的。聯(lián)動包括了檢測引擎與防火墻的聯(lián)動，可封堵源自外部網(wǎng)絡(luò)的攻擊; 檢測引擎與網(wǎng)絡(luò)管理系統(tǒng)的聯(lián)動，可封堵被利用的網(wǎng)絡(luò)設(shè)備和主機(jī); 檢測引擎與操作系統(tǒng)的聯(lián)動，可封堵有惡意的用戶帳號;檢測引擎和備份服務(wù)器聯(lián)動，可以進(jìn)行災(zāi)難恢復(fù)。

　　3　CMDIDS的設(shè)計和實現(xiàn)

　　CMDIDS是一個基于CORBA的應(yīng)用，那么系統(tǒng)設(shè)計的第一步就應(yīng)該將系統(tǒng)中用到的CORBA對象提煉出來。CORBA對象與我們平常所說的(本地)對象一樣，也包含了對象屬性和對象操作。但區(qū)別在于CORBA對象必須用IDL語言定義。IDL定義了應(yīng)用程序構(gòu)件之間可互操作的接口。有了這個接口才使對象之間的遠(yuǎn)程調(diào)用成為可能。而ORB又保證了對象調(diào)用對用戶的透明性。換句話說，CORBA對象提供遠(yuǎn)程調(diào)用的接口，而本地對象則不可以。

　　與其他現(xiàn)有的DIDS相比，CMDIDS的一個特色在于實現(xiàn)了誤用和異常的入侵檢測的分離。前者放在檢測點(diǎn)中，而后者放在管理點(diǎn)中。這是因為與計算機(jī)病毒相似，誤用入侵攻擊也具有明顯的特征，這些特征也可被轉(zhuǎn)化為規(guī)則，形成規(guī)則庫，而且易于用編程語言實現(xiàn)。當(dāng)前危害較大的洪水攻擊和蠕蟲病毒攻擊的共同特點(diǎn)都是在短時間內(nèi)發(fā)送大量的數(shù)據(jù)包，擁塞網(wǎng)絡(luò)或主機(jī)，從而造成設(shè)備癱瘓。如果將攻擊數(shù)據(jù)照原樣傳送給管理點(diǎn)，不亞于將攻擊的目標(biāo)轉(zhuǎn)移到管理結(jié)點(diǎn)。因此檢測點(diǎn)在檢測出誤用入侵后只需和防火墻組件連動，切斷有害連接，再將攻擊的來源和特征報告給管理點(diǎn)。由管理點(diǎn)匯集這些信息進(jìn)行進(jìn)一步的分布式入侵檢測分析，從而大大減少了檢測點(diǎn)和管理點(diǎn)的數(shù)據(jù)通信，實現(xiàn)了局部與全局的監(jiān)測的有機(jī)結(jié)合和對管理點(diǎn)的保護(hù)。

　　CMDIDS的另一個特色是使用分布式計算和面向?qū)ο笥嬎阃昝澜Y(jié)合的CORBA技術(shù)，實現(xiàn)了檢測和響應(yīng)分離。用戶可按照需要，選擇檢測點(diǎn)及不同安全組件之間的協(xié)作關(guān)系，建立了安全組件之間的相互通信和聯(lián)動，提高了系統(tǒng)的可擴(kuò)展性，實現(xiàn)整體安全防護(hù)。例如，當(dāng)檢測引擎檢測到某種攻擊后，會自動通知防火墻修改安全策略。從信息安全系統(tǒng)防御的角度出發(fā)，這種聯(lián)動是必要的。聯(lián)動包括了檢測引擎與防火墻的聯(lián)動，可封堵源自外部網(wǎng)絡(luò)的攻擊; 檢測引擎與網(wǎng)絡(luò)管理系統(tǒng)的聯(lián)動，可封堵被利用的網(wǎng)絡(luò)設(shè)備和主機(jī); 檢測引擎與操作系統(tǒng)的聯(lián)動，可封堵有惡意的用戶帳號;檢測引擎和備份服務(wù)器聯(lián)動，可以進(jìn)行災(zāi)難恢復(fù)。

　　3　CMDIDS的設(shè)計和實現(xiàn)

　　CMDIDS是一個基于CORBA的應(yīng)用，那么系統(tǒng)設(shè)計的第一步就應(yīng)該將系統(tǒng)中用到的CORBA對象提煉出來。CORBA對象與我們平常所說的(本地)對象一樣，也包含了對象屬性和對象操作。但區(qū)別在于CORBA對象必須用IDL語言定義。IDL定義了應(yīng)用程序構(gòu)件之間可互操作的接口。有了這個接口才使對象之間的遠(yuǎn)程調(diào)用成為可能。而ORB又保證了對象調(diào)用對用戶的透明性。換句話說，CORBA對象提供遠(yuǎn)程調(diào)用的接口，而本地對象則不可以。

　　3.2.3　安全響應(yīng)點(diǎn)

　　didp系統(tǒng)中安全響應(yīng)模塊采用了主動響應(yīng)和被動響應(yīng)兩種方式的混合形式。具體協(xié)同如圖3所示：

　　1) 防火墻組件。當(dāng)檢測點(diǎn)檢測出入侵時，它在向管理點(diǎn)報告入侵事件的發(fā)生時間和攻擊源的同時，也會通知本域中的防火墻組件。防火墻組件修改防火墻的策略，過濾掉攻擊源的地址。然后，防火墻組件再將該消息發(fā)送給管理點(diǎn)中的安全響應(yīng)點(diǎn)管理者，由它再轉(zhuǎn)發(fā)給其他的防火墻組件，相應(yīng)調(diào)整各自的防火墻策略，保護(hù)網(wǎng)絡(luò)中的其它結(jié)點(diǎn)不受攻擊，起到預(yù)警的作用。

　　2) 負(fù)載均衡組件。CMDIDS采用地址轉(zhuǎn)換作為實現(xiàn)負(fù)載均衡的方法。具體采用Linux下的防火墻軟件iptables作為地址轉(zhuǎn)換器NAT，同時根據(jù)性能監(jiān)測引擎所監(jiān)測到每臺內(nèi)部主機(jī)的性能數(shù)據(jù)作為挑選內(nèi)部地址的依據(jù)。負(fù)載均衡組件每隔一段時間會輪詢每個提供相同服務(wù)的服務(wù)器的負(fù)載情況，從中挑選出一個負(fù)載最輕的主機(jī)，同時會向防火墻組件發(fā)送消息，告知這個負(fù)載最輕的地址。當(dāng)防火墻組件接到這個消息后，立即增加NAT地址轉(zhuǎn)換策略。當(dāng)有服務(wù)請求發(fā)送到防火墻時，就可以根據(jù)策略將請求目的地址轉(zhuǎn)換為那個負(fù)載最輕的主機(jī)地址，這樣就完成了負(fù)載均衡。

　　3) 災(zāi)難恢復(fù)組件。為了完成災(zāi)難恢復(fù)，需要將主機(jī)檢測的文件監(jiān)測引擎和文件備份協(xié)同起來。文件監(jiān)測主要是通過對文件完整性的監(jiān)測來完成的，其主要技術(shù)主要是根據(jù)文件內(nèi)容提取一個數(shù)字摘要，通過對比兩次的計算的數(shù)字摘要是否相同來發(fā)現(xiàn)文件是否被修改。進(jìn)一步結(jié)合用戶行為的檢測，判斷當(dāng)前的修改是否非法。若是非法的，就選擇一個文件備份組件對指定文件以流的形式還原。

　　4 結(jié)語

　　CMDIDS將CORBA、人工智能、協(xié)同和IDS技術(shù)相結(jié)合，有效的解決了當(dāng)前入侵檢測系統(tǒng)面臨的平臺異構(gòu)、無統(tǒng)一通信機(jī)制和安全策略等問題。

　　CMDIDS已經(jīng)被實現(xiàn)，通過在校園網(wǎng)環(huán)境的初步應(yīng)用表明，它基本能滿足大型網(wǎng)絡(luò)在性能、狀態(tài)監(jiān)控和入侵檢測等方面的要求。當(dāng)然，要使系統(tǒng)能夠大范圍推廣應(yīng)用，還有待完善和改進(jìn)，例如，應(yīng)完善對異常入侵的檢測，增強(qiáng)系統(tǒng)的智能性，減少誤報率;增加系統(tǒng)的容錯能力與抗攻擊能力;加強(qiáng)安全響應(yīng)部件之間工作的協(xié)同性。

　　參考文獻(xiàn)

　　〔1〕SPAFFORD E. Crisis and After Math[J]. Communications of the ACM, 1989, 32(6)： 678-786

　　〔2〕STEFAN A. Intrusion Detection Systems： A Survey and Taxonomy[OL]

　　2004-6-9

　　〔3〕段海新, 吳建平. 分布式協(xié)同入侵檢測—系統(tǒng)結(jié)構(gòu)設(shè)計與實現(xiàn)問題[J]. 小型微型計算機(jī)系統(tǒng), 2001, 22 (6)：646-560

　　〔4〕汪　蕓. CORBA技術(shù)及其應(yīng)用[M]. 南京：東南大學(xué)出版社，1999

　　〔5〕吳曉南. 基于智能的分布式網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)[D]. 西安：西北大學(xué)計算機(jī)科學(xué)系, 2003

　　〔6〕龔 儉, 董 慶, 陸 晟. 面向入侵檢測的網(wǎng)絡(luò)安全檢測實現(xiàn)模型[J]. 小型微型計算機(jī)系統(tǒng), 2001, 22(2)： 145-148

　　〔7〕ADBELAZIZ M. Rule-based distributed intrusion detection[D]. University of Namur, Belgium, 1997