您的論文得到兩院院士關注信息安全文章編號:1008 0570(2008)09 -3-0045 03PeerlDS系統(tǒng)的分析與優(yōu)化The Analysis And optimization Of PeerlDS System南昌大學)鄭開新石永革徐亦璐ZHENG Kai-xin SHI Yong-ge XU YHu摘要:隨著入侵檢測系統(tǒng)(IDS)的地位日益重要,其分布式實現(xiàn)及其性能的提高,成為研究熱點之一。為此,近來提出了基于對等模型(Peer- -To-Peer)的一種分布式網(wǎng)絡入侵檢測系統(tǒng)-- PeerIDS。 該系統(tǒng)沒有諸如單點失效一類的問題,可以實現(xiàn)公平高效的分布式處理,具有良好的可擴展性與自治性等。本文在詳細分析其工作原理的基礎上,討論了其原型系統(tǒng)存在的若干不足,進而給出了優(yōu)化系統(tǒng)性能的相應策略。關鍵詞:入侵檢測;分布式系統(tǒng);點到點對等網(wǎng)中圖分類號: TP309.2文獻標識碼: A .Abstract: In recent years, the intrusion delection (IDS) has become a research hotspot, with its increasingly important role, imple-mentation of distribution and improving performance. A distibuted network intrusion dection system named PeerIDS has been presented recently, which is based on Peer -To-Peer model. The PeerIDS system, which has a good expansibility and self management,is capable of realizing fair and efctve distributed lransaction and good expansibility and self- management, without issues such assingle point of failure. Based on analyzing PeerIDS' 8 principles, this paper mainly discuss about several insuficiency of exist system.Furthermore, corresponding strategies are proposed to optimize performance of system.Key words: IDS; Distributing System; Peer-to-Peer Network引言現(xiàn)整個PeerIDS系統(tǒng)資源利用的最大化。當新入侵類型出現(xiàn)時,創(chuàng)只須在對等網(wǎng)中運行著的任何PeerIDS實例上增加相應的入侵新近年來,人們已經(jīng)提出了若干種分布式人侵檢測系統(tǒng)方案,檢測工作子集即可實現(xiàn)對該種入侵的檢測。此外,P2PIDS還具它們都可以獲得強大的計算能力與高可擴展性,有效提高系統(tǒng)有很強的伸縮性,當網(wǎng)絡狀況變化或者待檢測的網(wǎng)絡人侵增加的可靠性和減輕單點失效問題。但它們?nèi)匀淮嬖谥?一些 重要的時,它可以通過以下方式自動調(diào)節(jié):(1)增減P2PIDS實例,改變不足,例如系統(tǒng)配置的復雜性,控制中心的單點失效問題等。系統(tǒng)容量;(2)在不影響用戶工作的前提下調(diào)整各P2PIDS實例對等網(wǎng)絡(Pr-T-Peer,簡稱P2P)是-種新型的分布式的運行資源定量;計算模式。在P2P網(wǎng)絡中,每臺連網(wǎng)的計算機(一個Peer)都獨1.2單個接人節(jié)點實例立地運行,各Peer間只須傳遞-些控制信息,對等主機各自獨PeerIDS單個接入節(jié)點實例模型如圖1.1 ,其中每個人侵檢立工.作并平等地通信能夠有效共享資源和協(xié)同合作，如果進測功能子集負責對一項人侵攻擊的檢測和處理。PeerIDS 中的一步使對等網(wǎng)中的成員具有更多的智能,整個P2P網(wǎng)絡將可以所有人侵檢測功能子集都遵循以單個網(wǎng)絡數(shù)據(jù)包作為參數(shù)傳像生物有機體-樣做到容忍甚至從某些失效中恢復。因此將人的共同接口,從而使得PeerIDS系統(tǒng)既獲得良好的擴展性,又P2P技術運用到入侵檢測系統(tǒng)中,構(gòu)成PeerIDS系統(tǒng),可以有效保證各個人侵檢測功能子集能夠在整個系統(tǒng)中成功運行。地解決上述問題。[DS入便檢測9]一欣市檢測德-泰翻收發(fā)模塊]1基本原理運行的人概教調(diào)功推起的入侵檢類功同件列表/Por Lrb基本思想在一個由多臺運行PeerIDS的連網(wǎng)計算機(PeerIDS實例)一、第一-控制一一狀毒組成的對等網(wǎng)絡內(nèi)，正交的人侵檢測功能子集被自動分配到有圖1.1 PeerIDS 單個接入節(jié)點實例模型足夠執(zhí)行能力的PeerIDS實例上:執(zhí)行。對等網(wǎng)中各PeerIDS實入侵檢測引擎根據(jù)本地的入侵檢測功能子集執(zhí)行具體的例上可用于執(zhí)行人侵檢測功能的資源(如CPU、內(nèi)存等),由用入侵檢測操作。當一個PeerIDS實例開始運行后,其檢測引擎將戶指定或各系統(tǒng)根據(jù)運行情況自行設定，有富余執(zhí)行資源的從運行的人侵檢測功能子集隊列(AQ)中調(diào)入所有待運行的功PeerIDS 實例可向其同伴請求更多的人侵檢測工作。同樣,如果能子集，從網(wǎng)絡上截獲數(shù)據(jù)包并逐條傳入功能子集的接口,執(zhí)一個PerDS實例消耗完了指定的資源,可以將其執(zhí)行的部分入侵檢測功能掛起,并嘗試提交給對等網(wǎng)中的其它同伴,以實狀乳中國煤化工引擎的實時負荷狀態(tài)并依據(jù)!YHCNMHGi屬PerDS實例的本鄭開新:碩士研究生基金項目:國家火炬計劃項目:網(wǎng)絡實時監(jiān)測與分析系統(tǒng)地負載控制。如果檢側(cè)引擎占用的資源超出了設定值時(FULL狀態(tài)),狀態(tài)檢測模塊將把-一個正在執(zhí)行的入侵檢測功能子集(2006GH011033)科學技術部火炬高技術產(chǎn)業(yè)開發(fā)中心《PLC技術應用200例>(C國自控網(wǎng)郵局訂閱號:82-946 360元1年-45-信息安全中文核心期刊《微計算機信息>(管控- -體化)2008 年第24卷第93期暫停并放入掛起的人侵檢測功能子集隊列sQ中,重復執(zhí)行該3.2協(xié)同入侵檢測模塊操作直至人侵檢測引擎的負荷恢復正常。當人侵檢測引擎負荷在各個PeerDS實例中,增加協(xié)同人侵檢測模塊,實現(xiàn)協(xié)同低于某設定值時(HUNGRY 狀態(tài)),狀態(tài)檢測模塊將逐個喚醒檢測和共享人侵檢測信息,可以避免某-人侵檢測實例未加載sQ中的人侵檢測功能,直至入侵檢測引擎達到正常負荷。如果特定入侵檢測功能子集時,成為人侵者攻破網(wǎng)絡的薄弱點的問檢測引擎處于HUNGRY狀態(tài)而sQ中已沒有可供恢復運行的題。由此,PeerIDS單個接入節(jié)點實例改進模型如圖3.2。人侵檢測功能，狀態(tài)檢測模塊將通知數(shù)據(jù)收發(fā)模塊向?qū)Φ染W(wǎng)中的同伴發(fā)送消息,以請求更多的入侵檢測功能子集。對等網(wǎng)中各+入便檢期功便干集2 }入便檢商功艦子PeerDS實例的狀態(tài)檢測模塊可以通過各自的數(shù)據(jù)收發(fā)模塊進0s入慢檢舞打間行間接合作,從而實現(xiàn)了整個人侵檢測對等網(wǎng)中的負載平衡。PerIDS實例間通過數(shù)據(jù)收發(fā)模塊實現(xiàn)人侵檢測功能子集的分布和遷移。當數(shù)據(jù)收發(fā)模塊收到一條來自同伴的消息時,它首先判斷該消息的發(fā)送者是否已存在于同伴列表(Peer List)圖3.2改進的PeerIDS單個接人節(jié)點實例模型中,隨后根據(jù)所收到的消息類型,控制數(shù)據(jù)收發(fā)模塊執(zhí)行相應如果某個PeerIDS實例被入侵,攻擊者可能從這個實例攻的數(shù)據(jù)收發(fā)工作。擊其它同伴主機。當其余PeerIDS實例探測到來自于被攻破主機的攻擊,它將立即通過協(xié)同人侵檢測模塊把攻擊者加人到黑2主要問題名單中,并把攻擊者和攻擊類型告訴其它同伴。其它主機及時上述原型系統(tǒng)可以有效增強系統(tǒng)的擴展性、可靠性和可伸獲得告警信息把攻擊者列人黑名單,同時加載相應人侵檢測縮性,但還存在以下不足。功能子集,杜絕攻擊者攻擊網(wǎng)絡中其它主機的機會。于是,網(wǎng)絡(1)當網(wǎng)絡中接入的PeerIDS實例喊少到無法滿足系統(tǒng)正常執(zhí)中的各入侵檢測系統(tǒng)聯(lián)合在一起形成一個整體,它們不僅可以技行人侵檢測功能時,各PeerIDS實例的工作負荷必然加重,人侵檢測攻擊者對自身的攻擊,還可以使鄰居共享自身被攻擊的信檢測功能資源也可能因此減少甚至缺失。息,從而可以更加有效地抵御攻擊。(2)攻擊者一般會尋找突破口對網(wǎng)絡進行攻擊,經(jīng)過對不對等網(wǎng)中人侵檢測協(xié)同合作的步驟如下:同主機的多種人侵嘗試,攻擊者可能成功地發(fā)現(xiàn)網(wǎng)絡中最薄弱(1)位于主機A的攻擊者發(fā)現(xiàn)薄弱點主機B并實現(xiàn)人侵,創(chuàng)的環(huán)節(jié),然后從這個環(huán)節(jié)實現(xiàn)人侵。對于PeerIDS來說,由于每準備從B對網(wǎng)絡進行攻擊;個實例并沒有加載全部的人侵檢測功能子集這就意味著有可(2)攻擊者開始通過B攻擊主機C。新能存在某個實例,當未加載特定功能子集且自身又存在漏洞(3)主機C.上的人侵檢測功能子集檢測到來自主機B的攻時,成為被攻擊的薄弱環(huán)節(jié)。擊并予以抵御,于是把主機B列人黑名單,然后將警告信息廣(3)P2P架構(gòu)的優(yōu)勢在于節(jié)點之間充分利用網(wǎng)絡資源的協(xié)播到對等網(wǎng)中的所有鄰居;同工作,由此帶來的節(jié)點之間的通信安全問題不容忽視,而原(4)各主機收到來自主機C的警告信息,將主機B加入黑型系統(tǒng)對此沒有給以充分考慮。名單,使主機B成為可疑人侵源,同時加載相應的人侵檢測功3系統(tǒng)優(yōu)化能子集抵御以類似攻擊;(5)攻擊者通過主機B攻擊主機C失敗后,嘗試攻擊網(wǎng)絡中3.1模塊資源監(jiān)測服務器的其他主機,但是這樣的攻擊由于被預先通知而被有效地防范。在PeerIDS系統(tǒng)中引入并部署模塊資源監(jiān)測服務器,用于實時監(jiān)控網(wǎng)絡中人侵檢測功能子集的加載情況和PeerIDS實例十國,的運行狀況,如圖3.1。DY檢測模塊資源服務器0.0?⑧攻協(xié)同告F圖3.3對等網(wǎng)中的入侵檢測協(xié)同合作母3.3 節(jié)點通信安全IETF和W3C共同推出的XMLSignature及W3C推出的網(wǎng)絡管理員XML Enerption是電子商務中安全問題的解決方案。XML Sig8日nature技術可以處理任何數(shù)據(jù)的數(shù)字簽名,保證被簽名數(shù)據(jù)的圖3.1基于PeerIDS系統(tǒng)的網(wǎng)絡拓撲模型可信性數(shù)據(jù)完整性及不可抵賴性。將該技術運用到本系統(tǒng)中，模塊資源監(jiān)測服務器是-一個具有高處理速度高網(wǎng)絡傳輸與入侵檢測系統(tǒng)中基于XML的交換協(xié)議相結(jié)合,可以有效保性能的特殊實例,其上備份了所有的人侵檢測功能子集。當網(wǎng)證通信安全，其處理流程如圖3.4所示。內(nèi)接入的PeerIDS實例減少時,服務器中備份的人侵檢測功能節(jié)點1首先將要發(fā)送的數(shù)據(jù)用XML Sigature進行數(shù)字簽集合能夠保證人侵檢測功能子集并不因為實例減少而缺失,同名,使中國煤化工發(fā)的X.509格式的數(shù)字時還能承擔一部分入侵檢測工作量 ,既減輕其它實例的運行負證書,C NMH G,荷,又保證系統(tǒng)能正常執(zhí)行入侵檢測功能,從而加強了整個系dsXS09DaType"/>統(tǒng)的伸縮性和人侵檢測功能子集資源的完整性。cryption/2001[4|柴勇等基于分層p2p系統(tǒng)的失效恢復機制的改進.微計算機作者簡介:鄭開新( 1982 -),男(漢族) ,碩士研究生.主要研究方向:計算機網(wǎng)絡;石永革(1953-),男(漢族),教授,主要研究方向:計算機網(wǎng)絡;徐亦璐( 1980-),女(漢族),碩士研究生,主要研究方向:計算機網(wǎng)絡。Biography: ZHENG Kai-xin,bom in 1982, male, HAN nation-ality , Postgraduate , Major in Computer Network.(30031江西南昌南昌大學信息工程學院)鄭開新節(jié)點1要發(fā)送的數(shù)據(jù)](College of Information Engineering, Nanchang University,[用XML Signature進行數(shù)字簽名]Nanchang 330031, China )ZHENG Kai-xin通訊地址:(30031江西省南昌市紅谷灘學府大道999號南昌[節(jié)點2接受數(shù)據(jù) ]大學計算機系)石永革未通過(收稿日期2008.7.25)<修稿日期208.9.1)用XML SIgnaur進行認證通過(上接第72頁)技C分析數(shù)據(jù) ]本項目的經(jīng)濟效益約為50萬元圖3.4節(jié)點之間的通信及認證流程參考文獻接受方節(jié)點2在接受到簽名的信息后,首先進行認證,通[1]Web Services Enhancements 3.0 for Microsoft .NT.htp://www.過則進人下一個環(huán)節(jié)進行分析否則被過濾掉。microf.cn/owololds/details ap?amilyid =018a09id -3a74-創(chuàng)再回到前述例子,當A被攻破后攻擊者想透過A利用人侵43c5- -8ec1 -8d789091 25 5d&displaylang= en,2005-12.檢測系統(tǒng)之間的協(xié)作進行攻擊。假設它首先對B點實施攻擊,但[2)古鵬，徐開勇，李立新.基于XKMS的安全web服務組件的由于它沒有A點的簽名私鑰,故其數(shù)據(jù)包不能通過B點的認證。研究與設計.微計算機信息，2006, 2-3:22-24.B點入侵檢測系統(tǒng)發(fā)現(xiàn)人侵后,立即通過協(xié)同人侵檢測模塊通知[3]Protect Your Web Services Through The Extensible Policy同伴主機,并向CA發(fā)送信息。CA接到報警后，可暫時吊銷A的Framework In WSE 3.0 [EB/OL]. ht:t/mednmicrof.com/msdn-數(shù)字證書并發(fā)布新的吊銷列表,該表將會包含在XML Signaturemag/ises/06/02/WSE30/,2006-2.作者簡介:馬克(1964.11-),男,陜西西安,副教授,研究方向:網(wǎng)文檔中,從而使得A點無法繼續(xù)對其它主機實時攻擊。絡管理,網(wǎng)絡安全等。宋長新(1971.03-),女,青海西寧,副教授,4結(jié)束語研究生,研究方向:生物信息學,數(shù)據(jù)挖掘等。P2P技術與分布式人侵檢測技術相結(jié)合，使得每- -臺接入Biography:Ma Ke (1964.11-), Male, Borm in Shanxi Xi'an,網(wǎng)絡的計算機都可以成為入侵檢測系統(tǒng)的一部分，與其它對等Associate Professor, Research Areas: Networks Management an計算機一起承擔入侵檢測工作，共享檢測結(jié)果,共同防范網(wǎng)絡(810008青海寧青海師范大學網(wǎng)絡中心)馬克Networks Security.人侵,從而可以有效地增強系統(tǒng)的人侵檢測性能,提高系統(tǒng)的0810008青海西寧青海師范大學計算機信息技術研究所)宋長新可靠性和可伸縮性。本文作者創(chuàng)新點:基于對PeerIDS系統(tǒng)原型的分析,提出了(Qinghai Normal University, Qinghai Xining 810008) MA Ke模塊資源監(jiān)測服務器、協(xié)同人侵檢測模塊的概念和引人XML(Institute of Computer Information & Technology of QinghaiNormal University)SONG Chang- xinSignature技術,以優(yōu)化其入侵檢測性能可靠性和可伸縮性。通訊地址:(810008青海省西寧市五四西路38號青海師范大學項目經(jīng)濟效益概況:累計已經(jīng)銷售54套,完成銷售額網(wǎng)絡中心)馬克1,890萬元,新增利潤227萬元。數(shù)據(jù)來源為銷售合同及南昌市(收稿日期2008.7.25)(修稿日期2008.9.15)科技進步獎申報書(2006年,已獲獎);因項目承擔企業(yè)是國家高新技術產(chǎn)業(yè)開發(fā)區(qū)內(nèi)認定的軟件企業(yè),根據(jù)政策規(guī)定,所得微計算機信息志旬刊稅免二減三，故銷售前二年期間不存在所得稅,第三年按優(yōu)惠稅率7.5%計算所得稅。產(chǎn)品對外銷售屬于技術貿(mào)易方式,根據(jù)國家有關技術市場管理的規(guī)定,免征營業(yè)稅。每冊定價:0元一年訂價:360元[1]M Ripeanu. Peer to Peer Architecture Case Study: Gntella[C].I 地址:中國煤化工雅苑6號樓601室Proceedings of Intemnational Conference on P2P Computing (YHCNMHG081P2P2001) ,Linkoping, Sweeden, 200電話:010-62132436010-62192616(T/F )《PLC技術應用200例》C校網(wǎng)郵局訂閩號:82-946 360元1年-47-.