PeerIDS系统的分析与优化

您的论文得到两院院士关注信息安全文章编号:1008 0570(2008)09 -3-0045 03PeerlDS系统的分析与优化The Analysis And optimization Of PeerlDS System南昌大学)郑开新石永革徐亦璐ZHENG Kai-xin SHI Yong-ge XU YHu摘要:随着入侵检测系统(IDS)的地位日益重要,其分布式实现及其性能的提高,成为研究热点之一。为此,近来提出了基于对等模型(Peer- -To-Peer)的一种分布式网络入侵检测系统-- PeerIDS。 该系统没有诸如单点失效一类的问题,可以实现公平高效的分布式处理,具有良好的可扩展性与自治性等。本文在详细分析其工作原理的基础上,讨论了其原型系统存在的若干不足,进而给出了优化系统性能的相应策略。关键词:入侵检测;分布式系统;点到点对等网中图分类号: TP309.2文献标识码: A .Abstract: In recent years, the intrusion delection (IDS) has become a research hotspot, with its increasingly important role, imple-mentation of distribution and improving performance. A distibuted network intrusion dection system named PeerIDS has been presented recently, which is based on Peer -To-Peer model. The PeerIDS system, which has a good expansibility and self management,is capable of realizing fair and efctve distributed lransaction and good expansibility and self- management, without issues such assingle point of failure. Based on analyzing PeerIDS' 8 principles, this paper mainly discuss about several insuficiency of exist system.Furthermore, corresponding strategies are proposed to optimize performance of system.Key words: IDS; Distributing System; Peer-to-Peer Network引言现整个PeerIDS系统资源利用的最大化。当新入侵类型出现时,创只须在对等网中运行着的任何PeerIDS实例上增加相应的入侵新近年来,人们已经提出了若干种分布式人侵检测系统方案,检测工作子集即可实现对该种入侵的检测。此外,P2PIDS还具它们都可以获得强大的计算能力与高可扩展性,有效提高系统有很强的伸缩性,当网络状况变化或者待检测的网络人侵增加的可靠性和减轻单点失效问题。但它们仍然存在着-一些 重要的时,它可以通过以下方式自动调节:(1)增减P2PIDS实例,改变不足,例如系统配置的复杂性,控制中心的单点失效问题等。系统容量;(2)在不影响用户工作的前提下调整各P2PIDS实例对等网络(Pr-T-Peer,简称P2P)是-种新型的分布式的运行资源定量;计算模式。在P2P网络中,每台连网的计算机(一个Peer)都独1.2单个接人节点实例立地运行,各Peer间只须传递-些控制信息,对等主机各自独PeerIDS单个接入节点实例模型如图1.1 ,其中每个人侵检立工.作并平等地通信能够有效共享资源和协同合作，如果进测功能子集负责对一项人侵攻击的检测和处理。PeerIDS 中的一步使对等网中的成员具有更多的智能,整个P2P网络将可以所有人侵检测功能子集都遵循以单个网络数据包作为参数传像生物有机体-样做到容忍甚至从某些失效中恢复。因此将人的共同接口,从而使得PeerIDS系统既获得良好的扩展性,又P2P技术运用到入侵检测系统中,构成PeerIDS系统,可以有效保证各个人侵检测功能子集能够在整个系统中成功运行。地解决上述问题。[DS入便检测9]一欣市检测德-泰翻收发模块]1基本原理运行的人概教调功推起的入侵检类功同件列表/Por Lrb基本思想在一个由多台运行PeerIDS的连网计算机(PeerIDS实例)一、第一-控制一一状毒组成的对等网络内，正交的人侵检测功能子集被自动分配到有图1.1 PeerIDS 单个接入节点实例模型足够执行能力的PeerIDS实例上:执行。对等网中各PeerIDS实入侵检测引擎根据本地的入侵检测功能子集执行具体的例上可用于执行人侵检测功能的资源(如CPU、内存等),由用入侵检测操作。当一个PeerIDS实例开始运行后,其检测引擎将户指定或各系统根据运行情况自行设定，有富余执行资源的从运行的人侵检测功能子集队列(AQ)中调入所有待运行的功PeerIDS 实例可向其同伴请求更多的人侵检测工作。同样,如果能子集，从网络上截获数据包并逐条传入功能子集的接口,执一个PerDS实例消耗完了指定的资源,可以将其执行的部分入侵检测功能挂起,并尝试提交给对等网中的其它同伴,以实状乳中国煤化工引擎的实时负荷状态并依据!YHCNMHGi属PerDS实例的本郑开新:硕士研究生基金项目:国家火炬计划项目:网络实时监测与分析系统地负载控制。如果检侧引擎占用的资源超出了设定值时(FULL状态),状态检测模块将把-一个正在执行的入侵检测功能子集(2006GH011033)科学技术部火炬高技术产业开发中心《PLC技术应用200例>(C国自控网邮局订阅号:82-946 360元1年-45-信息安全中文核心期刊《微计算机信息>(管控- -体化)2008 年第24卷第93期暂停并放入挂起的人侵检测功能子集队列sQ中,重复执行该3.2协同入侵检测模块操作直至人侵检测引擎的负荷恢复正常。当人侵检测引擎负荷在各个PeerDS实例中,增加协同人侵检测模块,实现协同低于某设定值时(HUNGRY 状态),状态检测模块将逐个唤醒检测和共享人侵检测信息,可以避免某-人侵检测实例未加载sQ中的人侵检测功能,直至入侵检测引擎达到正常负荷。如果特定入侵检测功能子集时,成为人侵者攻破网络的薄弱点的问检测引擎处于HUNGRY状态而sQ中已没有可供恢复运行的题。由此,PeerIDS单个接入节点实例改进模型如图3.2。人侵检测功能，状态检测模块将通知数据收发模块向对等网中的同伴发送消息,以请求更多的入侵检测功能子集。对等网中各+入便检期功便干集2 }入便检商功舰子PeerDS实例的状态检测模块可以通过各自的数据收发模块进0s入慢检舞打间行间接合作,从而实现了整个人侵检测对等网中的负载平衡。PerIDS实例间通过数据收发模块实现人侵检测功能子集的分布和迁移。当数据收发模块收到一条来自同伴的消息时,它首先判断该消息的发送者是否已存在于同伴列表(Peer List)图3.2改进的PeerIDS单个接人节点实例模型中,随后根据所收到的消息类型,控制数据收发模块执行相应如果某个PeerIDS实例被入侵,攻击者可能从这个实例攻的数据收发工作。击其它同伴主机。当其余PeerIDS实例探测到来自于被攻破主机的攻击,它将立即通过协同人侵检测模块把攻击者加人到黑2主要问题名单中,并把攻击者和攻击类型告诉其它同伴。其它主机及时上述原型系统可以有效增强系统的扩展性、可靠性和可伸获得告警信息把攻击者列人黑名单,同时加载相应人侵检测缩性,但还存在以下不足。功能子集,杜绝攻击者攻击网络中其它主机的机会。于是,网络(1)当网络中接入的PeerIDS实例喊少到无法满足系统正常执中的各入侵检测系统联合在一起形成一个整体,它们不仅可以技行人侵检测功能时,各PeerIDS实例的工作负荷必然加重,人侵检测攻击者对自身的攻击,还可以使邻居共享自身被攻击的信检测功能资源也可能因此减少甚至缺失。息,从而可以更加有效地抵御攻击。(2)攻击者一般会寻找突破口对网络进行攻击,经过对不对等网中人侵检测协同合作的步骤如下:同主机的多种人侵尝试,攻击者可能成功地发现网络中最薄弱(1)位于主机A的攻击者发现薄弱点主机B并实现人侵,创的环节,然后从这个环节实现人侵。对于PeerIDS来说,由于每准备从B对网络进行攻击;个实例并没有加载全部的人侵检测功能子集这就意味着有可(2)攻击者开始通过B攻击主机C。新能存在某个实例,当未加载特定功能子集且自身又存在漏洞(3)主机C.上的人侵检测功能子集检测到来自主机B的攻时,成为被攻击的薄弱环节。击并予以抵御,于是把主机B列人黑名单,然后将警告信息广(3)P2P架构的优势在于节点之间充分利用网络资源的协播到对等网中的所有邻居;同工作,由此带来的节点之间的通信安全问题不容忽视,而原(4)各主机收到来自主机C的警告信息,将主机B加入黑型系统对此没有给以充分考虑。名单,使主机B成为可疑人侵源,同时加载相应的人侵检测功3系统优化能子集抵御以类似攻击;(5)攻击者通过主机B攻击主机C失败后,尝试攻击网络中3.1模块资源监测服务器的其他主机,但是这样的攻击由于被预先通知而被有效地防范。在PeerIDS系统中引入并部署模块资源监测服务器,用于实时监控网络中人侵检测功能子集的加载情况和PeerIDS实例十国,的运行状况,如图3.1。DY检测模块资源服务器0.0❾⑧攻协同告F图3.3对等网中的入侵检测协同合作母3.3 节点通信安全IETF和W3C共同推出的XMLSignature及W3C推出的网络管理员XML Enerption是电子商务中安全问题的解决方案。XML Sig8日nature技术可以处理任何数据的数字签名,保证被签名数据的图3.1基于PeerIDS系统的网络拓扑模型可信性数据完整性及不可抵赖性。将该技术运用到本系统中，模块资源监测服务器是-一个具有高处理速度高网络传输与入侵检测系统中基于XML的交换协议相结合,可以有效保性能的特殊实例,其上备份了所有的人侵检测功能子集。当网证通信安全，其处理流程如图3.4所示。内接入的PeerIDS实例减少时,服务器中备份的人侵检测功能节点1首先将要发送的数据用XML Sigature进行数字签集合能够保证人侵检测功能子集并不因为实例减少而缺失,同名,使中国煤化工发的X.509格式的数字时还能承担一部分入侵检测工作量 ,既减轻其它实例的运行负证书,C NMH G,荷,又保证系统能正常执行入侵检测功能,从而加强了整个系dsXS09DaType"/>统的伸缩性和人侵检测功能子集资源的完整性。cryption/2001[4|柴勇等基于分层p2p系统的失效恢复机制的改进.微计算机作者简介:郑开新( 1982 -),男(汉族) ,硕士研究生.主要研究方向:计算机网络;石永革(1953-),男(汉族),教授,主要研究方向:计算机网络;徐亦璐( 1980-),女(汉族),硕士研究生,主要研究方向:计算机网络。Biography: ZHENG Kai-xin,bom in 1982, male, HAN nation-ality , Postgraduate , Major in Computer Network.(30031江西南昌南昌大学信息工程学院)郑开新节点1要发送的数据](College of Information Engineering, Nanchang University,[用XML Signature进行数字签名]Nanchang 330031, China )ZHENG Kai-xin通讯地址:(30031江西省南昌市红谷滩学府大道999号南昌[节点2接受数据 ]大学计算机系)石永革未通过(收稿日期2008.7.25)<修稿日期208.9.1)用XML SIgnaur进行认证通过(上接第72页)技C分析数据 ]本项目的经济效益约为50万元图3.4节点之间的通信及认证流程参考文献接受方节点2在接受到签名的信息后,首先进行认证,通[1]Web Services Enhancements 3.0 for Microsoft .NT.htp://www.过则进人下一个环节进行分析否则被过滤掉。microf.cn/owololds/details ap?amilyid =018a09id -3a74-创再回到前述例子,当A被攻破后攻击者想透过A利用人侵43c5- -8ec1 -8d789091 25 5d&displaylang= en,2005-12.检测系统之间的协作进行攻击。假设它首先对B点实施攻击,但[2)古鹏，徐开勇，李立新.基于XKMS的安全web服务组件的由于它没有A点的签名私钥,故其数据包不能通过B点的认证。研究与设计.微计算机信息，2006, 2-3:22-24.B点入侵检测系统发现人侵后,立即通过协同人侵检测模块通知[3]Protect Your Web Services Through The Extensible Policy同伴主机,并向CA发送信息。CA接到报警后，可暂时吊销A的Framework In WSE 3.0 [EB/OL]. ht:t/mednmicrof.com/msdn-数字证书并发布新的吊销列表,该表将会包含在XML Signaturemag/ises/06/02/WSE30/,2006-2.作者简介:马克(1964.11-),男,陕西西安,副教授,研究方向:网文档中,从而使得A点无法继续对其它主机实时攻击。络管理,网络安全等。宋长新(1971.03-),女,青海西宁,副教授,4结束语研究生,研究方向:生物信息学,数据挖掘等。P2P技术与分布式人侵检测技术相结合，使得每- -台接入Biography:Ma Ke (1964.11-), Male, Borm in Shanxi Xi'an,网络的计算机都可以成为入侵检测系统的一部分，与其它对等Associate Professor, Research Areas: Networks Management an计算机一起承担入侵检测工作，共享检测结果,共同防范网络(810008青海宁青海师范大学网络中心)马克Networks Security.人侵,从而可以有效地增强系统的人侵检测性能,提高系统的0810008青海西宁青海师范大学计算机信息技术研究所)宋长新可靠性和可伸缩性。本文作者创新点:基于对PeerIDS系统原型的分析,提出了(Qinghai Normal University, Qinghai Xining 810008) MA Ke模块资源监测服务器、协同人侵检测模块的概念和引人XML(Institute of Computer Information & Technology of QinghaiNormal University)SONG Chang- xinSignature技术,以优化其入侵检测性能可靠性和可伸缩性。通讯地址:(810008青海省西宁市五四西路38号青海师范大学项目经济效益概况:累计已经销售54套,完成销售额网络中心)马克1,890万元,新增利润227万元。数据来源为销售合同及南昌市(收稿日期2008.7.25)(修稿日期2008.9.15)科技进步奖申报书(2006年,已获奖);因项目承担企业是国家高新技术产业开发区内认定的软件企业,根据政策规定,所得微计算机信息志旬刊税免二减三，故销售前二年期间不存在所得税,第三年按优惠税率7.5%计算所得税。产品对外销售属于技术贸易方式,根据国家有关技术市场管理的规定,免征营业税。每册定价:0元一年订价:360元[1]M Ripeanu. Peer to Peer Architecture Case Study: Gntella[C].I 地址:中国煤化工雅苑6号楼601室Proceedings of Intemnational Conference on P2P Computing (YHCNMHG081P2P2001) ,Linkoping, Sweeden, 200电话:010-62132436010-62192616(T/F )《PLC技术应用200例》C校网邮局订闽号:82-946 360元1年-47-.