您的論文得到兩院院士關(guān)注信息安全文章編號(hào):1008 0570(2008)09 -3-0045 03PeerlDS系統(tǒng)的分析與優(yōu)化The Analysis And optimization Of PeerlDS System南昌大學(xué))鄭開(kāi)新石永革徐亦璐ZHENG Kai-xin SHI Yong-ge XU YHu摘要:隨著入侵檢測(cè)系統(tǒng)(IDS)的地位日益重要,其分布式實(shí)現(xiàn)及其性能的提高,成為研究熱點(diǎn)之一。為此,近來(lái)提出了基于對(duì)等模型(Peer- -To-Peer)的一種分布式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)-- PeerIDS。 該系統(tǒng)沒(méi)有諸如單點(diǎn)失效一類的問(wèn)題,可以實(shí)現(xiàn)公平高效的分布式處理,具有良好的可擴(kuò)展性與自治性等。本文在詳細(xì)分析其工作原理的基礎(chǔ)上,討論了其原型系統(tǒng)存在的若干不足,進(jìn)而給出了優(yōu)化系統(tǒng)性能的相應(yīng)策略。關(guān)鍵詞:入侵檢測(cè);分布式系統(tǒng);點(diǎn)到點(diǎn)對(duì)等網(wǎng)中圖分類號(hào): TP309.2文獻(xiàn)標(biāo)識(shí)碼: A .Abstract: In recent years, the intrusion delection (IDS) has become a research hotspot, with its increasingly important role, imple-mentation of distribution and improving performance. A distibuted network intrusion dection system named PeerIDS has been presented recently, which is based on Peer -To-Peer model. The PeerIDS system, which has a good expansibility and self management,is capable of realizing fair and efctve distributed lransaction and good expansibility and self- management, without issues such assingle point of failure. Based on analyzing PeerIDS' 8 principles, this paper mainly discuss about several insuficiency of exist system.Furthermore, corresponding strategies are proposed to optimize performance of system.Key words: IDS; Distributing System; Peer-to-Peer Network引言現(xiàn)整個(gè)PeerIDS系統(tǒng)資源利用的最大化。當(dāng)新入侵類型出現(xiàn)時(shí),創(chuàng)只須在對(duì)等網(wǎng)中運(yùn)行著的任何PeerIDS實(shí)例上增加相應(yīng)的入侵新近年來(lái),人們已經(jīng)提出了若干種分布式人侵檢測(cè)系統(tǒng)方案,檢測(cè)工作子集即可實(shí)現(xiàn)對(duì)該種入侵的檢測(cè)。此外,P2PIDS還具它們都可以獲得強(qiáng)大的計(jì)算能力與高可擴(kuò)展性,有效提高系統(tǒng)有很強(qiáng)的伸縮性,當(dāng)網(wǎng)絡(luò)狀況變化或者待檢測(cè)的網(wǎng)絡(luò)人侵增加的可靠性和減輕單點(diǎn)失效問(wèn)題。但它們?nèi)匀淮嬖谥?一些 重要的時(shí),它可以通過(guò)以下方式自動(dòng)調(diào)節(jié):(1)增減P2PIDS實(shí)例,改變不足,例如系統(tǒng)配置的復(fù)雜性,控制中心的單點(diǎn)失效問(wèn)題等。系統(tǒng)容量;(2)在不影響用戶工作的前提下調(diào)整各P2PIDS實(shí)例對(duì)等網(wǎng)絡(luò)(Pr-T-Peer,簡(jiǎn)稱P2P)是-種新型的分布式的運(yùn)行資源定量;計(jì)算模式。在P2P網(wǎng)絡(luò)中,每臺(tái)連網(wǎng)的計(jì)算機(jī)(一個(gè)Peer)都獨(dú)1.2單個(gè)接人節(jié)點(diǎn)實(shí)例立地運(yùn)行,各Peer間只須傳遞-些控制信息,對(duì)等主機(jī)各自獨(dú)PeerIDS單個(gè)接入節(jié)點(diǎn)實(shí)例模型如圖1.1 ,其中每個(gè)人侵檢立工.作并平等地通信能夠有效共享資源和協(xié)同合作，如果進(jìn)測(cè)功能子集負(fù)責(zé)對(duì)一項(xiàng)人侵攻擊的檢測(cè)和處理。PeerIDS 中的一步使對(duì)等網(wǎng)中的成員具有更多的智能,整個(gè)P2P網(wǎng)絡(luò)將可以所有人侵檢測(cè)功能子集都遵循以單個(gè)網(wǎng)絡(luò)數(shù)據(jù)包作為參數(shù)傳像生物有機(jī)體-樣做到容忍甚至從某些失效中恢復(fù)。因此將人的共同接口,從而使得PeerIDS系統(tǒng)既獲得良好的擴(kuò)展性,又P2P技術(shù)運(yùn)用到入侵檢測(cè)系統(tǒng)中,構(gòu)成PeerIDS系統(tǒng),可以有效保證各個(gè)人侵檢測(cè)功能子集能夠在整個(gè)系統(tǒng)中成功運(yùn)行。地解決上述問(wèn)題。[DS入便檢測(cè)9]一欣市檢測(cè)德-泰翻收發(fā)模塊]1基本原理運(yùn)行的人概教調(diào)功推起的入侵檢類功同件列表/Por Lrb基本思想在一個(gè)由多臺(tái)運(yùn)行PeerIDS的連網(wǎng)計(jì)算機(jī)(PeerIDS實(shí)例)一、第一-控制一一狀毒組成的對(duì)等網(wǎng)絡(luò)內(nèi)，正交的人侵檢測(cè)功能子集被自動(dòng)分配到有圖1.1 PeerIDS 單個(gè)接入節(jié)點(diǎn)實(shí)例模型足夠執(zhí)行能力的PeerIDS實(shí)例上:執(zhí)行。對(duì)等網(wǎng)中各PeerIDS實(shí)入侵檢測(cè)引擎根據(jù)本地的入侵檢測(cè)功能子集執(zhí)行具體的例上可用于執(zhí)行人侵檢測(cè)功能的資源(如CPU、內(nèi)存等),由用入侵檢測(cè)操作。當(dāng)一個(gè)PeerIDS實(shí)例開(kāi)始運(yùn)行后,其檢測(cè)引擎將戶指定或各系統(tǒng)根據(jù)運(yùn)行情況自行設(shè)定，有富余執(zhí)行資源的從運(yùn)行的人侵檢測(cè)功能子集隊(duì)列(AQ)中調(diào)入所有待運(yùn)行的功PeerIDS 實(shí)例可向其同伴請(qǐng)求更多的人侵檢測(cè)工作。同樣,如果能子集，從網(wǎng)絡(luò)上截獲數(shù)據(jù)包并逐條傳入功能子集的接口,執(zhí)一個(gè)PerDS實(shí)例消耗完了指定的資源,可以將其執(zhí)行的部分入侵檢測(cè)功能掛起,并嘗試提交給對(duì)等網(wǎng)中的其它同伴,以實(shí)狀乳中國(guó)煤化工引擎的實(shí)時(shí)負(fù)荷狀態(tài)并依據(jù)!YHCNMHGi屬PerDS實(shí)例的本鄭開(kāi)新:碩士研究生基金項(xiàng)目:國(guó)家火炬計(jì)劃項(xiàng)目:網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)與分析系統(tǒng)地負(fù)載控制。如果檢側(cè)引擎占用的資源超出了設(shè)定值時(shí)(FULL狀態(tài)),狀態(tài)檢測(cè)模塊將把-一個(gè)正在執(zhí)行的入侵檢測(cè)功能子集(2006GH011033)科學(xué)技術(shù)部火炬高技術(shù)產(chǎn)業(yè)開(kāi)發(fā)中心《PLC技術(shù)應(yīng)用200例>(C國(guó)自控網(wǎng)郵局訂閱號(hào):82-946 360元1年-45-信息安全中文核心期刊《微計(jì)算機(jī)信息>(管控- -體化)2008 年第24卷第93期暫停并放入掛起的人侵檢測(cè)功能子集隊(duì)列sQ中,重復(fù)執(zhí)行該3.2協(xié)同入侵檢測(cè)模塊操作直至人侵檢測(cè)引擎的負(fù)荷恢復(fù)正常。當(dāng)人侵檢測(cè)引擎負(fù)荷在各個(gè)PeerDS實(shí)例中,增加協(xié)同人侵檢測(cè)模塊,實(shí)現(xiàn)協(xié)同低于某設(shè)定值時(shí)(HUNGRY 狀態(tài)),狀態(tài)檢測(cè)模塊將逐個(gè)喚醒檢測(cè)和共享人侵檢測(cè)信息,可以避免某-人侵檢測(cè)實(shí)例未加載sQ中的人侵檢測(cè)功能,直至入侵檢測(cè)引擎達(dá)到正常負(fù)荷。如果特定入侵檢測(cè)功能子集時(shí),成為人侵者攻破網(wǎng)絡(luò)的薄弱點(diǎn)的問(wèn)檢測(cè)引擎處于HUNGRY狀態(tài)而sQ中已沒(méi)有可供恢復(fù)運(yùn)行的題。由此,PeerIDS單個(gè)接入節(jié)點(diǎn)實(shí)例改進(jìn)模型如圖3.2。人侵檢測(cè)功能，狀態(tài)檢測(cè)模塊將通知數(shù)據(jù)收發(fā)模塊向?qū)Φ染W(wǎng)中的同伴發(fā)送消息,以請(qǐng)求更多的入侵檢測(cè)功能子集。對(duì)等網(wǎng)中各+入便檢期功便干集2 }入便檢商功艦子PeerDS實(shí)例的狀態(tài)檢測(cè)模塊可以通過(guò)各自的數(shù)據(jù)收發(fā)模塊進(jìn)0s入慢檢舞打間行間接合作,從而實(shí)現(xiàn)了整個(gè)人侵檢測(cè)對(duì)等網(wǎng)中的負(fù)載平衡。PerIDS實(shí)例間通過(guò)數(shù)據(jù)收發(fā)模塊實(shí)現(xiàn)人侵檢測(cè)功能子集的分布和遷移。當(dāng)數(shù)據(jù)收發(fā)模塊收到一條來(lái)自同伴的消息時(shí),它首先判斷該消息的發(fā)送者是否已存在于同伴列表(Peer List)圖3.2改進(jìn)的PeerIDS單個(gè)接人節(jié)點(diǎn)實(shí)例模型中,隨后根據(jù)所收到的消息類型,控制數(shù)據(jù)收發(fā)模塊執(zhí)行相應(yīng)如果某個(gè)PeerIDS實(shí)例被入侵,攻擊者可能從這個(gè)實(shí)例攻的數(shù)據(jù)收發(fā)工作。擊其它同伴主機(jī)。當(dāng)其余PeerIDS實(shí)例探測(cè)到來(lái)自于被攻破主機(jī)的攻擊,它將立即通過(guò)協(xié)同人侵檢測(cè)模塊把攻擊者加人到黑2主要問(wèn)題名單中,并把攻擊者和攻擊類型告訴其它同伴。其它主機(jī)及時(shí)上述原型系統(tǒng)可以有效增強(qiáng)系統(tǒng)的擴(kuò)展性、可靠性和可伸獲得告警信息把攻擊者列人黑名單,同時(shí)加載相應(yīng)人侵檢測(cè)縮性,但還存在以下不足。功能子集,杜絕攻擊者攻擊網(wǎng)絡(luò)中其它主機(jī)的機(jī)會(huì)。于是,網(wǎng)絡(luò)(1)當(dāng)網(wǎng)絡(luò)中接入的PeerIDS實(shí)例喊少到無(wú)法滿足系統(tǒng)正常執(zhí)中的各入侵檢測(cè)系統(tǒng)聯(lián)合在一起形成一個(gè)整體,它們不僅可以技行人侵檢測(cè)功能時(shí),各PeerIDS實(shí)例的工作負(fù)荷必然加重,人侵檢測(cè)攻擊者對(duì)自身的攻擊,還可以使鄰居共享自身被攻擊的信檢測(cè)功能資源也可能因此減少甚至缺失。息,從而可以更加有效地抵御攻擊。(2)攻擊者一般會(huì)尋找突破口對(duì)網(wǎng)絡(luò)進(jìn)行攻擊,經(jīng)過(guò)對(duì)不對(duì)等網(wǎng)中人侵檢測(cè)協(xié)同合作的步驟如下:同主機(jī)的多種人侵嘗試,攻擊者可能成功地發(fā)現(xiàn)網(wǎng)絡(luò)中最薄弱(1)位于主機(jī)A的攻擊者發(fā)現(xiàn)薄弱點(diǎn)主機(jī)B并實(shí)現(xiàn)人侵,創(chuàng)的環(huán)節(jié),然后從這個(gè)環(huán)節(jié)實(shí)現(xiàn)人侵。對(duì)于PeerIDS來(lái)說(shuō),由于每準(zhǔn)備從B對(duì)網(wǎng)絡(luò)進(jìn)行攻擊;個(gè)實(shí)例并沒(méi)有加載全部的人侵檢測(cè)功能子集這就意味著有可(2)攻擊者開(kāi)始通過(guò)B攻擊主機(jī)C。新能存在某個(gè)實(shí)例,當(dāng)未加載特定功能子集且自身又存在漏洞(3)主機(jī)C.上的人侵檢測(cè)功能子集檢測(cè)到來(lái)自主機(jī)B的攻時(shí),成為被攻擊的薄弱環(huán)節(jié)。擊并予以抵御,于是把主機(jī)B列人黑名單,然后將警告信息廣(3)P2P架構(gòu)的優(yōu)勢(shì)在于節(jié)點(diǎn)之間充分利用網(wǎng)絡(luò)資源的協(xié)播到對(duì)等網(wǎng)中的所有鄰居;同工作,由此帶來(lái)的節(jié)點(diǎn)之間的通信安全問(wèn)題不容忽視,而原(4)各主機(jī)收到來(lái)自主機(jī)C的警告信息,將主機(jī)B加入黑型系統(tǒng)對(duì)此沒(méi)有給以充分考慮。名單,使主機(jī)B成為可疑人侵源,同時(shí)加載相應(yīng)的人侵檢測(cè)功3系統(tǒng)優(yōu)化能子集抵御以類似攻擊;(5)攻擊者通過(guò)主機(jī)B攻擊主機(jī)C失敗后,嘗試攻擊網(wǎng)絡(luò)中3.1模塊資源監(jiān)測(cè)服務(wù)器的其他主機(jī),但是這樣的攻擊由于被預(yù)先通知而被有效地防范。在PeerIDS系統(tǒng)中引入并部署模塊資源監(jiān)測(cè)服務(wù)器,用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中人侵檢測(cè)功能子集的加載情況和PeerIDS實(shí)例十國(guó),的運(yùn)行狀況,如圖3.1。DY檢測(cè)模塊資源服務(wù)器0.0?⑧攻協(xié)同告F圖3.3對(duì)等網(wǎng)中的入侵檢測(cè)協(xié)同合作母3.3 節(jié)點(diǎn)通信安全I(xiàn)ETF和W3C共同推出的XMLSignature及W3C推出的網(wǎng)絡(luò)管理員XML Enerption是電子商務(wù)中安全問(wèn)題的解決方案。XML Sig8日nature技術(shù)可以處理任何數(shù)據(jù)的數(shù)字簽名,保證被簽名數(shù)據(jù)的圖3.1基于PeerIDS系統(tǒng)的網(wǎng)絡(luò)拓?fù)淠Ｐ涂尚判詳?shù)據(jù)完整性及不可抵賴性。將該技術(shù)運(yùn)用到本系統(tǒng)中，模塊資源監(jiān)測(cè)服務(wù)器是-一個(gè)具有高處理速度高網(wǎng)絡(luò)傳輸與入侵檢測(cè)系統(tǒng)中基于XML的交換協(xié)議相結(jié)合,可以有效保性能的特殊實(shí)例,其上備份了所有的人侵檢測(cè)功能子集。當(dāng)網(wǎng)證通信安全，其處理流程如圖3.4所示。內(nèi)接入的PeerIDS實(shí)例減少時(shí),服務(wù)器中備份的人侵檢測(cè)功能節(jié)點(diǎn)1首先將要發(fā)送的數(shù)據(jù)用XML Sigature進(jìn)行數(shù)字簽集合能夠保證人侵檢測(cè)功能子集并不因?yàn)閷?shí)例減少而缺失,同名,使中國(guó)煤化工發(fā)的X.509格式的數(shù)字時(shí)還能承擔(dān)一部分入侵檢測(cè)工作量 ,既減輕其它實(shí)例的運(yùn)行負(fù)證書,C NMH G,荷,又保證系統(tǒng)能正常執(zhí)行入侵檢測(cè)功能,從而加強(qiáng)了整個(gè)系dsXS09DaType"/>統(tǒng)的伸縮性和人侵檢測(cè)功能子集資源的完整性。cryption/2001[4|柴勇等基于分層p2p系統(tǒng)的失效恢復(fù)機(jī)制的改進(jìn).微計(jì)算機(jī)作者簡(jiǎn)介:鄭開(kāi)新( 1982 -),男(漢族) ,碩士研究生.主要研究方向:計(jì)算機(jī)網(wǎng)絡(luò);石永革(1953-),男(漢族),教授,主要研究方向:計(jì)算機(jī)網(wǎng)絡(luò);徐亦璐( 1980-),女(漢族),碩士研究生,主要研究方向:計(jì)算機(jī)網(wǎng)絡(luò)。Biography: ZHENG Kai-xin,bom in 1982, male, HAN nation-ality , Postgraduate , Major in Computer Network.(30031江西南昌南昌大學(xué)信息工程學(xué)院)鄭開(kāi)新節(jié)點(diǎn)1要發(fā)送的數(shù)據(jù)](College of Information Engineering, Nanchang University,[用XML Signature進(jìn)行數(shù)字簽名]Nanchang 330031, China )ZHENG Kai-xin通訊地址:(30031江西省南昌市紅谷灘學(xué)府大道999號(hào)南昌[節(jié)點(diǎn)2接受數(shù)據(jù) ]大學(xué)計(jì)算機(jī)系)石永革未通過(guò)(收稿日期2008.7.25)<修稿日期208.9.1)用XML SIgnaur進(jìn)行認(rèn)證通過(guò)(上接第72頁(yè))技C分析數(shù)據(jù) ]本項(xiàng)目的經(jīng)濟(jì)效益約為50萬(wàn)元圖3.4節(jié)點(diǎn)之間的通信及認(rèn)證流程參考文獻(xiàn)接受方節(jié)點(diǎn)2在接受到簽名的信息后,首先進(jìn)行認(rèn)證,通[1]Web Services Enhancements 3.0 for Microsoft .NT.htp://www.過(guò)則進(jìn)人下一個(gè)環(huán)節(jié)進(jìn)行分析否則被過(guò)濾掉。microf.cn/owololds/details ap?amilyid =018a09id -3a74-創(chuàng)再回到前述例子,當(dāng)A被攻破后攻擊者想透過(guò)A利用人侵43c5- -8ec1 -8d789091 25 5d&displaylang= en,2005-12.檢測(cè)系統(tǒng)之間的協(xié)作進(jìn)行攻擊。假設(shè)它首先對(duì)B點(diǎn)實(shí)施攻擊,但[2)古鵬，徐開(kāi)勇，李立新.基于XKMS的安全web服務(wù)組件的由于它沒(méi)有A點(diǎn)的簽名私鑰,故其數(shù)據(jù)包不能通過(guò)B點(diǎn)的認(rèn)證。研究與設(shè)計(jì).微計(jì)算機(jī)信息，2006, 2-3:22-24.B點(diǎn)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)人侵后,立即通過(guò)協(xié)同人侵檢測(cè)模塊通知[3]Protect Your Web Services Through The Extensible Policy同伴主機(jī),并向CA發(fā)送信息。CA接到報(bào)警后，可暫時(shí)吊銷A的Framework In WSE 3.0 [EB/OL]. ht:t/mednmicrof.com/msdn-數(shù)字證書并發(fā)布新的吊銷列表,該表將會(huì)包含在XML Signaturemag/ises/06/02/WSE30/,2006-2.作者簡(jiǎn)介:馬克(1964.11-),男,陜西西安,副教授,研究方向:網(wǎng)文檔中,從而使得A點(diǎn)無(wú)法繼續(xù)對(duì)其它主機(jī)實(shí)時(shí)攻擊。絡(luò)管理,網(wǎng)絡(luò)安全等。宋長(zhǎng)新(1971.03-),女,青海西寧,副教授,4結(jié)束語(yǔ)研究生,研究方向:生物信息學(xué),數(shù)據(jù)挖掘等。P2P技術(shù)與分布式人侵檢測(cè)技術(shù)相結(jié)合，使得每- -臺(tái)接入Biography:Ma Ke (1964.11-), Male, Borm in Shanxi Xi'an,網(wǎng)絡(luò)的計(jì)算機(jī)都可以成為入侵檢測(cè)系統(tǒng)的一部分，與其它對(duì)等Associate Professor, Research Areas: Networks Management an計(jì)算機(jī)一起承擔(dān)入侵檢測(cè)工作，共享檢測(cè)結(jié)果,共同防范網(wǎng)絡(luò)(810008青海寧青海師范大學(xué)網(wǎng)絡(luò)中心)馬克Networks Security.人侵,從而可以有效地增強(qiáng)系統(tǒng)的人侵檢測(cè)性能,提高系統(tǒng)的0810008青海西寧青海師范大學(xué)計(jì)算機(jī)信息技術(shù)研究所)宋長(zhǎng)新可靠性和可伸縮性。本文作者創(chuàng)新點(diǎn):基于對(duì)PeerIDS系統(tǒng)原型的分析,提出了(Qinghai Normal University, Qinghai Xining 810008) MA Ke模塊資源監(jiān)測(cè)服務(wù)器、協(xié)同人侵檢測(cè)模塊的概念和引人XML(Institute of Computer Information & Technology of QinghaiNormal University)SONG Chang- xinSignature技術(shù),以優(yōu)化其入侵檢測(cè)性能可靠性和可伸縮性。通訊地址:(810008青海省西寧市五四西路38號(hào)青海師范大學(xué)項(xiàng)目經(jīng)濟(jì)效益概況:累計(jì)已經(jīng)銷售54套,完成銷售額網(wǎng)絡(luò)中心)馬克1,890萬(wàn)元,新增利潤(rùn)227萬(wàn)元。數(shù)據(jù)來(lái)源為銷售合同及南昌市(收稿日期2008.7.25)(修稿日期2008.9.15)科技進(jìn)步獎(jiǎng)申報(bào)書(2006年,已獲獎(jiǎng));因項(xiàng)目承擔(dān)企業(yè)是國(guó)家高新技術(shù)產(chǎn)業(yè)開(kāi)發(fā)區(qū)內(nèi)認(rèn)定的軟件企業(yè),根據(jù)政策規(guī)定,所得微計(jì)算機(jī)信息志旬刊稅免二減三，故銷售前二年期間不存在所得稅,第三年按優(yōu)惠稅率7.5%計(jì)算所得稅。產(chǎn)品對(duì)外銷售屬于技術(shù)貿(mào)易方式,根據(jù)國(guó)家有關(guān)技術(shù)市場(chǎng)管理的規(guī)定,免征營(yíng)業(yè)稅。每?jī)?cè)定價(jià):0元一年訂價(jià):360元[1]M Ripeanu. Peer to Peer Architecture Case Study: Gntella[C].I 地址:中國(guó)煤化工雅苑6號(hào)樓601室Proceedings of Intemnational Conference on P2P Computing (YHCNMHG081P2P2001) ,Linkoping, Sweeden, 200電話:010-62132436010-62192616(T/F )《PLC技術(shù)應(yīng)用200例》C校網(wǎng)郵局訂閩號(hào):82-946 360元1年-47-.