PeerIDS系統的分析與優(yōu)化

您的論文得到兩院院士關(guān)注信息安全文章編號:1008 0570(2008)09 -3-0045 03PeerlDS系統的分析與優(yōu)化The Analysis And optimization Of PeerlDS System南昌大學(xué))鄭開(kāi)新石永革徐亦璐ZHENG Kai-xin SHI Yong-ge XU YHu摘要:隨著(zhù)入侵檢測系統(IDS)的地位日益重要,其分布式實(shí)現及其性能的提高,成為研究熱點(diǎn)之一。為此,近來(lái)提出了基于對等模型(Peer- -To-Peer)的一種分布式網(wǎng)絡(luò )入侵檢測系統-- PeerIDS。 該系統沒(méi)有諸如單點(diǎn)失效一類(lèi)的問(wèn)題,可以實(shí)現公平高效的分布式處理,具有良好的可擴展性與自治性等。本文在詳細分析其工作原理的基礎上,討論了其原型系統存在的若干不足,進(jìn)而給出了優(yōu)化系統性能的相應策略。關(guān)鍵詞:入侵檢測;分布式系統;點(diǎn)到點(diǎn)對等網(wǎng)中圖分類(lèi)號: TP309.2文獻標識碼: A .Abstract: In recent years, the intrusion delection (IDS) has become a research hotspot, with its increasingly important role, imple-mentation of distribution and improving performance. A distibuted network intrusion dection system named PeerIDS has been presented recently, which is based on Peer -To-Peer model. The PeerIDS system, which has a good expansibility and self management,is capable of realizing fair and efctve distributed lransaction and good expansibility and self- management, without issues such assingle point of failure. Based on analyzing PeerIDS' 8 principles, this paper mainly discuss about several insuficiency of exist system.Furthermore, corresponding strategies are proposed to optimize performance of system.Key words: IDS; Distributing System; Peer-to-Peer Network引言現整個(gè)PeerIDS系統資源利用的最大化。當新入侵類(lèi)型出現時(shí),創(chuàng )只須在對等網(wǎng)中運行著(zhù)的任何PeerIDS實(shí)例上增加相應的入侵新近年來(lái),人們已經(jīng)提出了若干種分布式人侵檢測系統方案,檢測工作子集即可實(shí)現對該種入侵的檢測。此外,P2PIDS還具它們都可以獲得強大的計算能力與高可擴展性,有效提高系統有很強的伸縮性,當網(wǎng)絡(luò )狀況變化或者待檢測的網(wǎng)絡(luò )人侵增加的可靠性和減輕單點(diǎn)失效問(wèn)題。但它們仍然存在著(zhù)-一些 重要的時(shí),它可以通過(guò)以下方式自動(dòng)調節:(1)增減P2PIDS實(shí)例,改變不足,例如系統配置的復雜性,控制中心的單點(diǎn)失效問(wèn)題等。系統容量;(2)在不影響用戶(hù)工作的前提下調整各P2PIDS實(shí)例對等網(wǎng)絡(luò )(Pr-T-Peer,簡(jiǎn)稱(chēng)P2P)是-種新型的分布式的運行資源定量;計算模式。在P2P網(wǎng)絡(luò )中,每臺連網(wǎng)的計算機(一個(gè)Peer)都獨1.2單個(gè)接人節點(diǎn)實(shí)例立地運行,各Peer間只須傳遞-些控制信息,對等主機各自獨PeerIDS單個(gè)接入節點(diǎn)實(shí)例模型如圖1.1 ,其中每個(gè)人侵檢立工.作并平等地通信能夠有效共享資源和協(xié)同合作，如果進(jìn)測功能子集負責對一項人侵攻擊的檢測和處理。PeerIDS 中的一步使對等網(wǎng)中的成員具有更多的智能,整個(gè)P2P網(wǎng)絡(luò )將可以所有人侵檢測功能子集都遵循以單個(gè)網(wǎng)絡(luò )數據包作為參數傳像生物有機體-樣做到容忍甚至從某些失效中恢復。因此將人的共同接口,從而使得PeerIDS系統既獲得良好的擴展性,又P2P技術(shù)運用到入侵檢測系統中,構成PeerIDS系統,可以有效保證各個(gè)人侵檢測功能子集能夠在整個(gè)系統中成功運行。地解決上述問(wèn)題。[DS入便檢測9]一欣市檢測德-泰翻收發(fā)模塊]1基本原理運行的人概教調功推起的入侵檢類(lèi)功同件列表/Por Lrb基本思想在一個(gè)由多臺運行PeerIDS的連網(wǎng)計算機(PeerIDS實(shí)例)一、第一-控制一一狀毒組成的對等網(wǎng)絡(luò )內，正交的人侵檢測功能子集被自動(dòng)分配到有圖1.1 PeerIDS 單個(gè)接入節點(diǎn)實(shí)例模型足夠執行能力的PeerIDS實(shí)例上:執行。對等網(wǎng)中各PeerIDS實(shí)入侵檢測引擎根據本地的入侵檢測功能子集執行具體的例上可用于執行人侵檢測功能的資源(如CPU、內存等),由用入侵檢測操作。當一個(gè)PeerIDS實(shí)例開(kāi)始運行后,其檢測引擎將戶(hù)指定或各系統根據運行情況自行設定，有富余執行資源的從運行的人侵檢測功能子集隊列(AQ)中調入所有待運行的功PeerIDS 實(shí)例可向其同伴請求更多的人侵檢測工作。同樣,如果能子集，從網(wǎng)絡(luò )上截獲數據包并逐條傳入功能子集的接口,執一個(gè)PerDS實(shí)例消耗完了指定的資源,可以將其執行的部分入侵檢測功能掛起,并嘗試提交給對等網(wǎng)中的其它同伴,以實(shí)狀乳中國煤化工引擎的實(shí)時(shí)負荷狀態(tài)并依據!YHCNMHGi屬PerDS實(shí)例的本鄭開(kāi)新:碩士研究生基金項目:國家火炬計劃項目:網(wǎng)絡(luò )實(shí)時(shí)監測與分析系統地負載控制。如果檢側引擎占用的資源超出了設定值時(shí)(FULL狀態(tài)),狀態(tài)檢測模塊將把-一個(gè)正在執行的入侵檢測功能子集(2006GH011033)科學(xué)技術(shù)部火炬高技術(shù)產(chǎn)業(yè)開(kāi)發(fā)中心《PLC技術(shù)應用200例>(C國自控網(wǎng)郵局訂閱號:82-946 360元1年-45-信息安全中文核心期刊《微計算機信息>(管控- -體化)2008 年第24卷第93期暫停并放入掛起的人侵檢測功能子集隊列sQ中,重復執行該3.2協(xié)同入侵檢測模塊操作直至人侵檢測引擎的負荷恢復正常。當人侵檢測引擎負荷在各個(gè)PeerDS實(shí)例中,增加協(xié)同人侵檢測模塊,實(shí)現協(xié)同低于某設定值時(shí)(HUNGRY 狀態(tài)),狀態(tài)檢測模塊將逐個(gè)喚醒檢測和共享人侵檢測信息,可以避免某-人侵檢測實(shí)例未加載sQ中的人侵檢測功能,直至入侵檢測引擎達到正常負荷。如果特定入侵檢測功能子集時(shí),成為人侵者攻破網(wǎng)絡(luò )的薄弱點(diǎn)的問(wèn)檢測引擎處于HUNGRY狀態(tài)而sQ中已沒(méi)有可供恢復運行的題。由此,PeerIDS單個(gè)接入節點(diǎn)實(shí)例改進(jìn)模型如圖3.2。人侵檢測功能，狀態(tài)檢測模塊將通知數據收發(fā)模塊向對等網(wǎng)中的同伴發(fā)送消息,以請求更多的入侵檢測功能子集。對等網(wǎng)中各+入便檢期功便干集2 }入便檢商功艦子PeerDS實(shí)例的狀態(tài)檢測模塊可以通過(guò)各自的數據收發(fā)模塊進(jìn)0s入慢檢舞打間行間接合作,從而實(shí)現了整個(gè)人侵檢測對等網(wǎng)中的負載平衡。PerIDS實(shí)例間通過(guò)數據收發(fā)模塊實(shí)現人侵檢測功能子集的分布和遷移。當數據收發(fā)模塊收到一條來(lái)自同伴的消息時(shí),它首先判斷該消息的發(fā)送者是否已存在于同伴列表(Peer List)圖3.2改進(jìn)的PeerIDS單個(gè)接人節點(diǎn)實(shí)例模型中,隨后根據所收到的消息類(lèi)型,控制數據收發(fā)模塊執行相應如果某個(gè)PeerIDS實(shí)例被入侵,攻擊者可能從這個(gè)實(shí)例攻的數據收發(fā)工作。擊其它同伴主機。當其余PeerIDS實(shí)例探測到來(lái)自于被攻破主機的攻擊,它將立即通過(guò)協(xié)同人侵檢測模塊把攻擊者加人到黑2主要問(wèn)題名單中,并把攻擊者和攻擊類(lèi)型告訴其它同伴。其它主機及時(shí)上述原型系統可以有效增強系統的擴展性、可靠性和可伸獲得告警信息把攻擊者列人黑名單,同時(shí)加載相應人侵檢測縮性,但還存在以下不足。功能子集,杜絕攻擊者攻擊網(wǎng)絡(luò )中其它主機的機會(huì )。于是,網(wǎng)絡(luò )(1)當網(wǎng)絡(luò )中接入的PeerIDS實(shí)例喊少到無(wú)法滿(mǎn)足系統正常執中的各入侵檢測系統聯(lián)合在一起形成一個(gè)整體,它們不僅可以技行人侵檢測功能時(shí),各PeerIDS實(shí)例的工作負荷必然加重,人侵檢測攻擊者對自身的攻擊,還可以使鄰居共享自身被攻擊的信檢測功能資源也可能因此減少甚至缺失。息,從而可以更加有效地抵御攻擊。(2)攻擊者一般會(huì )尋找突破口對網(wǎng)絡(luò )進(jìn)行攻擊,經(jīng)過(guò)對不對等網(wǎng)中人侵檢測協(xié)同合作的步驟如下:同主機的多種人侵嘗試,攻擊者可能成功地發(fā)現網(wǎng)絡(luò )中最薄弱(1)位于主機A的攻擊者發(fā)現薄弱點(diǎn)主機B并實(shí)現人侵,創(chuàng )的環(huán)節,然后從這個(gè)環(huán)節實(shí)現人侵。對于PeerIDS來(lái)說(shuō),由于每準備從B對網(wǎng)絡(luò )進(jìn)行攻擊;個(gè)實(shí)例并沒(méi)有加載全部的人侵檢測功能子集這就意味著(zhù)有可(2)攻擊者開(kāi)始通過(guò)B攻擊主機C。新能存在某個(gè)實(shí)例,當未加載特定功能子集且自身又存在漏洞(3)主機C.上的人侵檢測功能子集檢測到來(lái)自主機B的攻時(shí),成為被攻擊的薄弱環(huán)節。擊并予以抵御,于是把主機B列人黑名單,然后將警告信息廣(3)P2P架構的優(yōu)勢在于節點(diǎn)之間充分利用網(wǎng)絡(luò )資源的協(xié)播到對等網(wǎng)中的所有鄰居;同工作,由此帶來(lái)的節點(diǎn)之間的通信安全問(wèn)題不容忽視,而原(4)各主機收到來(lái)自主機C的警告信息,將主機B加入黑型系統對此沒(méi)有給以充分考慮。名單,使主機B成為可疑人侵源,同時(shí)加載相應的人侵檢測功3系統優(yōu)化能子集抵御以類(lèi)似攻擊;(5)攻擊者通過(guò)主機B攻擊主機C失敗后,嘗試攻擊網(wǎng)絡(luò )中3.1模塊資源監測服務(wù)器的其他主機,但是這樣的攻擊由于被預先通知而被有效地防范。在PeerIDS系統中引入并部署模塊資源監測服務(wù)器,用于實(shí)時(shí)監控網(wǎng)絡(luò )中人侵檢測功能子集的加載情況和PeerIDS實(shí)例十國,的運行狀況,如圖3.1。DY檢測模塊資源服務(wù)器0.0?⑧攻協(xié)同告F圖3.3對等網(wǎng)中的入侵檢測協(xié)同合作母3.3 節點(diǎn)通信安全IETF和W3C共同推出的XMLSignature及W3C推出的網(wǎng)絡(luò )管理員XML Enerption是電子商務(wù)中安全問(wèn)題的解決方案。XML Sig8日nature技術(shù)可以處理任何數據的數字簽名,保證被簽名數據的圖3.1基于PeerIDS系統的網(wǎng)絡(luò )拓撲模型可信性數據完整性及不可抵賴(lài)性。將該技術(shù)運用到本系統中，模塊資源監測服務(wù)器是-一個(gè)具有高處理速度高網(wǎng)絡(luò )傳輸與入侵檢測系統中基于XML的交換協(xié)議相結合,可以有效保性能的特殊實(shí)例,其上備份了所有的人侵檢測功能子集。當網(wǎng)證通信安全，其處理流程如圖3.4所示。內接入的PeerIDS實(shí)例減少時(shí),服務(wù)器中備份的人侵檢測功能節點(diǎn)1首先將要發(fā)送的數據用XML Sigature進(jìn)行數字簽集合能夠保證人侵檢測功能子集并不因為實(shí)例減少而缺失,同名,使中國煤化工發(fā)的X.509格式的數字時(shí)還能承擔一部分入侵檢測工作量 ,既減輕其它實(shí)例的運行負證書(shū),C NMH G,荷,又保證系統能正常執行入侵檢測功能,從而加強了整個(gè)系dsXS09DaType"/>統的伸縮性和人侵檢測功能子集資源的完整性。cryption/2001[4|柴勇等基于分層p2p系統的失效恢復機制的改進(jìn).微計算機作者簡(jiǎn)介:鄭開(kāi)新( 1982 -),男(漢族) ,碩士研究生.主要研究方向:計算機網(wǎng)絡(luò );石永革(1953-),男(漢族),教授,主要研究方向:計算機網(wǎng)絡(luò );徐亦璐( 1980-),女(漢族),碩士研究生,主要研究方向:計算機網(wǎng)絡(luò )。Biography: ZHENG Kai-xin,bom in 1982, male, HAN nation-ality , Postgraduate , Major in Computer Network.(30031江西南昌南昌大學(xué)信息工程學(xué)院)鄭開(kāi)新節點(diǎn)1要發(fā)送的數據](College of Information Engineering, Nanchang University,[用XML Signature進(jìn)行數字簽名]Nanchang 330031, China )ZHENG Kai-xin通訊地址:(30031江西省南昌市紅谷灘學(xué)府大道999號南昌[節點(diǎn)2接受數據 ]大學(xué)計算機系)石永革未通過(guò)(收稿日期2008.7.25)<修稿日期208.9.1)用XML SIgnaur進(jìn)行認證通過(guò)(上接第72頁(yè))技C分析數據 ]本項目的經(jīng)濟效益約為50萬(wàn)元圖3.4節點(diǎn)之間的通信及認證流程參考文獻接受方節點(diǎn)2在接受到簽名的信息后,首先進(jìn)行認證,通[1]Web Services Enhancements 3.0 for Microsoft .NT.htp://www.過(guò)則進(jìn)人下一個(gè)環(huán)節進(jìn)行分析否則被過(guò)濾掉。microf.cn/owololds/details ap?amilyid =018a09id -3a74-創(chuàng )再回到前述例子,當A被攻破后攻擊者想透過(guò)A利用人侵43c5- -8ec1 -8d789091 25 5d&displaylang= en,2005-12.檢測系統之間的協(xié)作進(jìn)行攻擊。假設它首先對B點(diǎn)實(shí)施攻擊,但[2)古鵬，徐開(kāi)勇，李立新.基于XKMS的安全web服務(wù)組件的由于它沒(méi)有A點(diǎn)的簽名私鑰,故其數據包不能通過(guò)B點(diǎn)的認證。研究與設計.微計算機信息，2006, 2-3:22-24.B點(diǎn)入侵檢測系統發(fā)現人侵后,立即通過(guò)協(xié)同人侵檢測模塊通知[3]Protect Your Web Services Through The Extensible Policy同伴主機,并向CA發(fā)送信息。CA接到報警后，可暫時(shí)吊銷(xiāo)A的Framework In WSE 3.0 [EB/OL]. ht:t/mednmicrof.com/msdn-數字證書(shū)并發(fā)布新的吊銷(xiāo)列表,該表將會(huì )包含在XML Signaturemag/ises/06/02/WSE30/,2006-2.作者簡(jiǎn)介:馬克(1964.11-),男,陜西西安,副教授,研究方向:網(wǎng)文檔中,從而使得A點(diǎn)無(wú)法繼續對其它主機實(shí)時(shí)攻擊。絡(luò )管理,網(wǎng)絡(luò )安全等。宋長(cháng)新(1971.03-),女,青海西寧,副教授,4結束語(yǔ)研究生,研究方向:生物信息學(xué),數據挖掘等。P2P技術(shù)與分布式人侵檢測技術(shù)相結合，使得每- -臺接入Biography:Ma Ke (1964.11-), Male, Borm in Shanxi Xi'an,網(wǎng)絡(luò )的計算機都可以成為入侵檢測系統的一部分，與其它對等Associate Professor, Research Areas: Networks Management an計算機一起承擔入侵檢測工作，共享檢測結果,共同防范網(wǎng)絡(luò )(810008青海寧青海師范大學(xué)網(wǎng)絡(luò )中心)馬克Networks Security.人侵,從而可以有效地增強系統的人侵檢測性能,提高系統的0810008青海西寧青海師范大學(xué)計算機信息技術(shù)研究所)宋長(cháng)新可靠性和可伸縮性。本文作者創(chuàng )新點(diǎn):基于對PeerIDS系統原型的分析,提出了(Qinghai Normal University, Qinghai Xining 810008) MA Ke模塊資源監測服務(wù)器、協(xié)同人侵檢測模塊的概念和引人XML(Institute of Computer Information & Technology of QinghaiNormal University)SONG Chang- xinSignature技術(shù),以?xún)?yōu)化其入侵檢測性能可靠性和可伸縮性。通訊地址:(810008青海省西寧市五四西路38號青海師范大學(xué)項目經(jīng)濟效益概況:累計已經(jīng)銷(xiāo)售54套,完成銷(xiāo)售額網(wǎng)絡(luò )中心)馬克1,890萬(wàn)元,新增利潤227萬(wàn)元。數據來(lái)源為銷(xiāo)售合同及南昌市(收稿日期2008.7.25)(修稿日期2008.9.15)科技進(jìn)步獎申報書(shū)(2006年,已獲獎);因項目承擔企業(yè)是國家高新技術(shù)產(chǎn)業(yè)開(kāi)發(fā)區內認定的軟件企業(yè),根據政策規定,所得微計算機信息志旬刊稅免二減三，故銷(xiāo)售前二年期間不存在所得稅,第三年按優(yōu)惠稅率7.5%計算所得稅。產(chǎn)品對外銷(xiāo)售屬于技術(shù)貿易方式,根據國家有關(guān)技術(shù)市場(chǎng)管理的規定,免征營(yíng)業(yè)稅。每?jì)远▋r(jià):0元一年訂價(jià):360元[1]M Ripeanu. Peer to Peer Architecture Case Study: Gntella[C].I 地址:中國煤化工雅苑6號樓601室Proceedings of Intemnational Conference on P2P Computing (YHCNMHG081P2P2001) ,Linkoping, Sweeden, 200電話(huà):010-62132436010-62192616(T/F )《PLC技術(shù)應用200例》C校網(wǎng)郵局訂閩號:82-946 360元1年-47-.