维普资讯 http://www.cqvip.com 2007年6月 陕西师范大学继续教育学报(西安) Jun.,2007 第24卷第2期 Journal of Further Education of Shaanxi Normal University V01.24 No.2 一种强健的入侵检测系统方案的设计 张永福 (陕西师范大学计算机科学学院助教西安710062) 摘要:采用动态变换的强制访问控制、物理隔离和基于容错计算的容忍入侵技术,提出一种强健的入侵检测 系统方案,以解决当前入侵检测系统在关键进程,数据源、运行平台等方面容易受到攻击者破坏和扰乱的弱点,从 而加强入侵检测系统本身的安全。该方案构建了一个具有防御入侵、容忍入侵能力的分布式入侵检测系统。分析 结果表明本方案从多个方面加强了入侵检测系统的安全。 关键词:入侵检测;容忍入侵;强制访问控制;物理隔离 中图分类号:TP302.8文献标识码:A文章编号:1009—3826(2007)02—0108—03 基金项目:网络伪装协同安全模型,编号:60503008,国家自然基金项目 收稿日期:2007—02—01 随着近年来计算机技术的不断发展,网络规模 的不断扩大,系统遭受人侵和攻击越来越多,网络 与安全问题变得越来越突出。计算机网络安全、信 息安全已经成为一个国际性问题。 现有的网络安全技术主要有身份识别和认证、 数据加密、信息隐藏、防火墙、物理隔离、人侵检测 等。人侵检测技术是为保证计算机系统的安全而 设计与配置的一种能够及时发现并报告系统中未 授权或异常现象的技术,可以用于检测计算机网络 图1入侵检测系统的一般模型 和系统中违反安全策略的行为。 通过对图1中的人侵检测系统的一般模型的 1 入侵检测系统的安全性 分析可知,如果人侵检测系统的信息收集模块、分 目前关于人侵检测的研究大部分都集中于研 析模块等关键进程以及所处理的数据源受到扰乱 究检测方法,追求检测效率的提高和对新型攻击的 或破坏都会引起人侵检测系统工作异常,从而导致 自动检测,而人侵检测系统本身的安全却未受到足 系统防御失败;同时人侵检测系统作为一种网络安 够重视,往往使得人侵检测系统在人侵者面前暴露 全服务,本身需要运行在一定的平台之上,因此平 无疑。现在的攻击者在攻击网络上的关键服务时, 台的安全性在很大程度上决定了人侵检测系统的 如果发现此服务有人侵检测保护,往往首先攻击人 安全。人侵者常常以这些对象作为攻击的目标。 侵检测系统,使之停止其保护作用,再攻击被人侵 要实现人侵检测的安全,必须解决这些组件的安全 检测系统保护的对象。 问题。 108 维普资讯 http://www.cqvip.com 析,提取攻击的特征来补充人侵检测的特征库。 (4)用物理隔离技术,形成安全区,将容忍人侵 ≥1 的核心部件放于其中,从而对其进行保护。 上述几种方法中,与防火墙联动的人侵检测系 统过滤了已知特征的攻击,减轻了整个人侵检测系 统的防御负担;使用可变换的强制访问控制机制的 图2对入侵检测系统攻击的示薏图 人侵检测子系统提高了自身的安全性,使攻击者难 以攻破;而强健的人侵检测系统在人侵检测子系统 被破坏时,在一定条件下可以采用容错机制使之恢 人侵检测系统受到的攻击主要来源于以下三个方 面(图2): 1.1 对入侵检测系统的运行平台的攻击 作为网络安全服务,平台的安全性是至关重要 的。攻击者往往利用DOS攻击对人侵检测系统进 行攻击,使其无法响应网络,或者利用系统漏洞使 系统崩溃。 1.2对入侵检测系统的数据源的攻击 人侵检测的数据源最容易受到篡改和攻击。 因为数据的收集进程(如:审计)必须在被检测系 统内进行,因而和被检测系统受到一样的威胁。 1.3对入侵检测系统的关键进程的攻击 如果人侵者获取了人侵检测系统运行平台的 系统特权,那么他就可以停止或修改人侵检测系统 的关键进程,致使人侵检测系统就无法正常工作。 2系统设计方案 本文设计的强健的人侵检测系统在采用动态 变换的强制访问控制加强人侵检测系统关键进程、 数据源以及运行平台安全的同时,使用物理隔离技 术形成一个人侵者无法触及的安全区,而安全区中 的表决服务器使用容错计算中的大数表决原理控 制分布式人侵检测系统形成一个具有容忍人侵能 力的强健的人侵检测系统。系统的具体部署如下: (1)分布式人侵检测系统设置成不接受来自任 何非安全区主机发起的连接,被动对网络进行监 听,将检测结果通过表决服务器反馈给与之联动的 防火墙过滤已知类型的攻击。 (2)各个人侵检测子系统采用动态变换的强制 访问控制机制加强各人侵检测子系统关键进程、数 据源以及运行平台的安全。 (3)使用基于容错计算的容忍人侵技术,在人 侵检测子系统被破坏时,只要被破坏的人侵检测系 统的数目不超过阈值,强健的人侵检测系统可以通 过使用大数表决恢复被破坏的人侵检测系统以容 忍人侵,并对被破坏的子系统的审计信息进行分 复正常;利用物理隔离技术则保护了容忍人侵的核 心部件,使得人侵检测系统的安全性和容忍入侵能 力都有了很大提高。 2.1 基于容错计算的强健的入侵检测系统 我们设计的强健的人侵检测系统基于容错计 算中的大数表决原理:首先采用分布式结构,组成 一个同构的分布式的人侵检测系统;与这个分布式 人侵检测系统相连的是采用安全通讯线路连接的 表决服务器和日志服务器;表决服务器将人侵检测 得到的人侵信息反馈给防火墙,实现人侵防御;日 志服务器记录了各个人侵检测子系统和被保护对 象的审计信息。系统运行时,执行如下操作: (1)当人侵检测系统未受到攻击时,此时整个 系统工作于正常状态:人侵检测系统检测对网络的 攻击;日志服务器记录各个人侵检测子系统及被保 护服务器的审计信息;发现攻击时,表决服务器对 各人侵检测子系统的警报进行表决,对日志服务器 审计信息的分析后,将攻击源的信息反馈给防火墙 实现人侵防御。 (2)当人侵检测子系统受到攻击时,由于人侵 检测系统子系统被设置成不接受任何来自非安全 区主机发起的连接,这将触发自身或其他人侵检测 子系统的检测;人侵检测系统通过人侵防御系统抵 御攻击,保证了人侵检测系统的安全。 (3)当入侵检测子系统受到攻击且攻击未被检 测到,人侵者侵人了人侵检测子系统的运行平台, 但由于人侵检测系统的安全保护机制而未能对人 侵检测子系统造成破坏,此时不会影响人侵检测系 统的检测功能,只要等到下一个更新时间到来,则 此系统会在表决服务器的控制下,进人恢复、更新 过程,经变换保护机制后,进入另一个安全的正常 状态。 (4)当人侵检测子系统受到攻击而攻击未被检 测到,此时的人侵检测子系统将不能检测到针对被 保护对象的攻击或对此发出错误的人侵警报,但只 109 维普资讯 http://www.cqvip.com 要在这个工 作周期内(两 个更新状态 正常状态 的间隔),被 兰 !妻 破坏的人侵 被攻击状态 检测子系统 l防御失败 被攻陷IDS数 数目未超过 皇 目>阈值 阈值,表决服 被攻陷 务器根据各墨 子系统的检婪 测结果进行 大数表决,就 能发现此人 侵检测子系 竺兰 竺竺兰上竿 ’i 竺竺皇) 盥 统处于异常 状态,将会强 更新关键信息 迫这些被破 图3入侵检测系统状态转移图 坏、窜改的子 系统进行恢复、更新操作,进行容容错恢复,从而使 整个系统恢复正常(图3)。 2.2通过数据隔离,保护容忍入侵的核心部件 在我们设计的强健的人侵检测系统中,表决服 务器和日志服务器(图4)属于其容忍人侵的核心, 尤其表决服务器必须保证其安全。如果表决服务 器被入侵者破坏,那么入侵者就可以使整个入侵检 测系统停止工作,而且系统无法利用容错机制完成 自我恢复,从而彻底失去保护系统的能力。日志服 务器中保存着各子人侵检测系统的审计记录。当 发现人侵时,需要根据这些信息分析人侵源以实现 人侵防御并提取人侵特征。所以,一定要保证表决 服务器和日志服务器的绝对安全。 图4表决服务器和日志服务器故障图 我们使用物理隔离技术,形成一个人侵者无法 触及的安全区并将表决服务器和日志服务器放于 其中,使之与人侵检测子系统、被保护对象、防火墙 所在的非安全区隔离开;任何与安全区内表决服务 器、日志服务器的通讯都只能通过的安全通讯线路 和使用专用的通讯协议进行,从而保证了表决服务 器和日志服务器的安全。 110 同样,安全区中表决服务器向各个子人侵检测 系统发送的控制信号也通过专用的电气控制线路 传送以保证安全区的安全性。 3 系统的性能分析 3.1 系统的抗攻击能力 防火墙与人侵检测的联动加强了人侵检测的 主动防御能力;而采用动态变换强制访问控制保护 机制的人侵检测系统不但加强了系统的防御能力, 而且由于强制访问控制能够发现对被保护资源的 恶意访问,因此也增强了人侵检测系统的检测能 力,使系统能够检测到部分针对人侵检测系统本身 的攻击;基于容错计算原理的分布式人侵检测系统 提供了系统在发生人侵后,在表决服务器的帮助下 进行容错恢复的功能,不但抵御了入侵,而且能够 提取部分新型攻击的特征来提高系统的检测能力。 3.2系统的检测效率 利用强制访问控制加强系统的安全,实质上是 在系统内核级上、调用原有自主访问控制之前,插 入一个检验提出访问的主体与被访问的客体之间 是否遵循访问安全策略的系统调用,只占整个系统 调用序列的一小部分,和人侵检测其他进程所占用 的时间相比较,几乎可以忽略不计;而且由于强制 访问控制在内核级别上以系统调用的形式实现,所 以效率很高,对系统执行入侵检测影响很小。 而强制访问控制保护机制的变换是在系统的 更新部署阶段完成的,更不会影响到系统检测时的 效率。 物理隔离技术中的安全线路可以选用高速部 件和设计高效率的传输协议实现;采用容忍人侵机 制的分布式入侵检测系统其他方面也没有给系统 带来太大性能的降低。 4结论 我们所设计的强健的人侵检测系统将人侵防 御、动态变换的强制访问控制、容错计算、物理隔离 四种安全技术相结合,加强了人侵检测系统自身的 安全。此方案具有简易性、易实现性,不但增强了 系统的抗攻击能力,提高了人侵检测系统的可生存 性,而且增强了人侵检测系统的检测能力。 [责任编辑张淑霞]
