基于網(wǎng)格的入侵檢測系統(tǒng)的研究與實現(xiàn)

1、基于網(wǎng)格的入侵檢測系統(tǒng)的研究與實現(xiàn)         摘  要網(wǎng)格是部署在廣域網(wǎng)上的抽象應(yīng)用，其基本單位是以實現(xiàn)一個任務(wù)為目標的動態(tài)組建的虛擬組織?；诰W(wǎng)格的入侵檢測系統(tǒng)應(yīng)該是部署在虛擬組織之上的虛擬組織。本文首先分析了網(wǎng)格對于入侵檢測系統(tǒng)的要求以及當前網(wǎng)格入侵檢測系統(tǒng)的不足之處，然后提出了基于虛擬組織的網(wǎng)格入侵檢測系統(tǒng)模型(VGIDS)。   關(guān)鍵字網(wǎng)格；虛擬組織；入侵檢測 1  入侵檢測系統(tǒng)分析   表1分析了入侵檢測系統(tǒng)結(jié)構(gòu)變化。表1IDS出

2、現(xiàn)的問題及結(jié)構(gòu)的變化IDS發(fā)展解決的問題結(jié)構(gòu)特征基于主機單一主機的安全各部分運行在單節(jié)點上基于網(wǎng)絡(luò)局域網(wǎng)的安全采集部分呈現(xiàn)分布式分布式單一分析節(jié)點的弱勢分析部分呈現(xiàn)分布式   網(wǎng)格的運行是由用戶發(fā)起任務(wù)請求，然后尋找資源搭配完成任務(wù)，這樣形成的團體稱為虛擬組織(VO)，網(wǎng)格入侵檢測系統(tǒng)是為其他VO提供服務(wù)的VO，目前其面臨的主要問題   (1)分布性：包括資源分布和任務(wù)分解。   (2)動態(tài)部署：系統(tǒng)是為VO提供服務(wù)的，其部署應(yīng)是動態(tài)的。   (3)動態(tài)形成：系統(tǒng)本身也是一VO，是動態(tài)形成的。  

3、; (4)最優(yōu)方案選擇：本系統(tǒng)需多種網(wǎng)格資源協(xié)同進行，要選擇一個最優(yōu)方案。   (5)協(xié)同計算：保證按照入侵檢測流程順利運行。   (6)動態(tài)改變：防止資源失效。   目前關(guān)于網(wǎng)格入侵檢測系統(tǒng)的研究只能說解決了分布性、動態(tài)形成、協(xié)同計算。而對于動態(tài)部署 、動態(tài)改變?nèi)蕴幱谘芯恐小?VGIDS系統(tǒng)模型   VGIDS基于開放網(wǎng)格服務(wù)（OGSA）思想提出了一個公共服務(wù)GIDS Service來解決目前網(wǎng)格入侵檢測系統(tǒng)面臨的問題。整個VGIDS結(jié)構(gòu)如圖1所示。   (1)VO-Based：網(wǎng)格是一個虛擬

4、組織的聚集，本系統(tǒng)提出一虛擬組織目錄(VOL)。用戶向GIDSService提交請求并將被檢測VO代號作為參數(shù)。GIDSSevvice查找VOL獲取VO信息。當VOL數(shù)量減為一就成為單一網(wǎng)格應(yīng)用，可由網(wǎng)格管理(GM)將VO信息傳給GIDSServic。圖1  VGIDS系統(tǒng)結(jié)構(gòu)   (2)GIDSService：負責資源發(fā)現(xiàn)，調(diào)度。具體包括：   RI（Request Interface）：服務(wù)接口，負責服務(wù)請求及VO信息獲取。同VOL解決動態(tài)部署。   DA（Delegation Agent）：委托代理。同用戶交互獲得用戶

5、委托授權(quán)。   DD（Distributed Data）：分布式數(shù)據(jù)。存儲VGIDS需要的資源信息。解決分布問題。   RQ（Resource Query）：資源查詢。當獲得用戶授權(quán)后便由RQ根據(jù)DD描述向資源目錄(RL)查找資源。解決分布問題。   PC（Plan Choose）：最優(yōu)方案選擇。當從RL獲得可用資源后PC根據(jù)AM(任務(wù)管理)要求選擇一個最優(yōu)方案。本文稱為多維最優(yōu)路徑選擇問題。   AM(Assignment Manage)：任務(wù)管理。首先根據(jù)DD存儲所需資源的調(diào)度信息，當VGIDS形成后，根據(jù)PC

6、的方案選擇及DD存儲的資源信息進行任務(wù)的調(diào)度和協(xié)同各分布資源的交互，解決協(xié)同計算。   IR(Intrusion Reaction)：入侵響應(yīng)。   SN(Security Negotiate)：安全協(xié)商。同資源和用戶的安全協(xié)商。   DI(Dynamic Inspect)：動態(tài)檢查。負責檢查資源失效向RQ發(fā)起重新查找資源請求。解決動態(tài)改變問題。   LB(Load Balance)：負載平衡。主要根據(jù)DD信息解決網(wǎng)格資源調(diào)度的負載平衡問題。3VGIDS服務(wù)描述   本系統(tǒng)是一動態(tài)虛擬組織，在系

7、統(tǒng)運行之前必須以靜態(tài)網(wǎng)格服務(wù)的形式部署于網(wǎng)格之上，當用戶申請時再動態(tài)形成。   定義1：VGIDS的靜態(tài)定義VGIDS=Base，Resource，Role，Task，F(xiàn)low，Relation   Base為VGIDS基本描述，Base=ID，Power，IO，Inf，log，goal，P。ID為虛擬組織編號；Power為獲得的授權(quán)；IO為被檢測對象；Inf為監(jiān)控VGIDS獲得的信息文件；log為系統(tǒng)日志；goal為VGIDS目標，包括調(diào)度算法所估計的系統(tǒng)效率及用戶要求；P為系統(tǒng)交互策略，需同網(wǎng)格資源進行交互，授予資源角色和相關(guān)權(quán)利并同時分配相關(guān)任務(wù)。

8、   Resource為VGIDS的所有資源，Resource=IP，Property，Serve，Power，P。   IP為資源地址；Property為資源屬性(存儲、分析)，方便角色匹配；Serve為資源可提供的服務(wù)指標；Power為使用資源所要求的授權(quán)；P為資源交互策略。   Role為存在的角色類型，Role=ID，Tas，Res，Power。ID為角色的分類號，按照工作流分為5類角色分別對應(yīng)VGIDS的5個環(huán)節(jié)；Tas為角色任務(wù)；Res為角色需要的資源類型；Power為角色所獲得的權(quán)利。   Task為

9、工作流任務(wù)集合。TaskID，Des，Res，Role，P。ID為任務(wù)標號；Des為任務(wù)描述；Res為需要的資源種類；Role為任務(wù)匹配的角色；P為Task執(zhí)行策略。   Flow為工作流描述文件，F(xiàn)low=Role，Seq，P。Role為角色集合，Seq為角色執(zhí)行序列，P為對于各個角色的控制策略。   Relation為已確定資源Resource和Role之間的關(guān)系。Relation=Res，Role，Rl。Res 為資源集合，Role為角色集合，Rl為對應(yīng)關(guān)系。4  多維最優(yōu)路徑選擇4.1  問題描述   將圖

10、1抽象為圖2模型   定義2：Graph=(U、D、A、Edge)。   U為所有被檢測對象的集合，Un=( Loadn、Pn)，Loadn為Un單位時間所要求處理的數(shù)據(jù)，Pn為Un在被檢測VO中所占權(quán)重，如果P為空，則按照Load大小作為權(quán)重。   D為存儲服務(wù)集合，Dn=(Capn、Qosdn)，Capn為Dn提供的存儲容量。Qosdn為Dn提供的服務(wù)質(zhì)量，近似為數(shù)據(jù)吞吐率。   A為分析服務(wù)集合，An=（Classn、Qosan），Classn為An處理的數(shù)據(jù)種類，如系統(tǒng)日志或網(wǎng)絡(luò)流量。Qosan為An提供的

11、服務(wù)質(zhì)量，近似為處理速率。   Edge為邊的集合，有網(wǎng)絡(luò)傳輸速度加權(quán)v。圖 VGIDS調(diào)度模型   定義3：Qos定義為一個多維向量，可用一個性能度量指標的集合表示：   M1(t)、M2(t)，Mn(t)   Mn(t)為一個與網(wǎng)格服務(wù)質(zhì)量有關(guān)的量，如CPU的主頻、網(wǎng)絡(luò)速度、內(nèi)存。服務(wù)的執(zhí)行過程體現(xiàn)出來的性能參數(shù)是一條n維空間的軌跡M，這個n維空間的每一維代表一個性能指標   M=R1*R2*Rn   其中，Rn是性能指標Mn(t)的取值范圍。在本系統(tǒng)中存在兩類Qos，分

12、別為D和A。本系統(tǒng)強調(diào)實時性，所以CPU、RAM和網(wǎng)絡(luò)速度占很大權(quán)重，Qos計算公式            Wcpu表示CPU的權(quán)重；CPUusage表示當前CPU使用率；CPUspeed表示CPU的實際速度；CPUmin表示要求的CPU速率的最小值。Wram表示RAM的權(quán)重；RAMusage表示當前RAM使用率；RAMsize表示RAM的實際大??；RAMmin表示要求的RAM的最小值。Wnet表示網(wǎng)絡(luò)傳輸?shù)臋?quán)重；NETusage表示當前網(wǎng)絡(luò)負載；NETspeed表示網(wǎng)絡(luò)的實際速度；NETmin

13、表示要求的網(wǎng)絡(luò)傳輸速率的最小值。   資源調(diào)度就是利用對各個資源的量化，為每一檢測對象選擇一條數(shù)據(jù)傳輸路徑。本系統(tǒng)目標是使整個VO獲得快速的檢測，而不是對個別對象的檢測速率很高。   定義4：對于任意一個被檢測VO的檢測對象，如果能夠為其構(gòu)造一條檢測路徑，稱系統(tǒng)對于此對象是完備的。   定義：對于VO，如果能夠為其所有的檢測對象構(gòu)造檢測路徑，則稱系統(tǒng)對于被檢測VO是完備的。   本調(diào)度算法的目的便是在滿足被檢測VO和入侵檢測工作流要求下，按照所選網(wǎng)格資源提供的能力為整個VO構(gòu)造VGIDS，使所有被檢測對象檢測效率之

14、和最高。這是一非典型的線性規(guī)劃問題，如下定義：   X1，Xn是n個獨立變量，表示VGIDS所選路徑；公式5表示最大耗費時間；公式68表示所有對于Xn的約束條件。由于Xn變量難以確定并且約束條件種類較多所以難以將上述問題標準化為公式58。4.2  算法描述   本文利用貪心選擇和Dijkstra算法進行調(diào)度。   按照用戶給出的U的權(quán)值P從大到小進行排序，if（P=NULL），則按Load從大到小進行排序得到排序后的對象數(shù)組和負載數(shù)組為   Ui（0in，n為U的大?。?；Loadi （0in，n為U的大小

15、）   for(i=0；i=n；i+)，循環(huán)對U和Load執(zhí)行以下操作：   （1）對于所有邊，定義其權(quán)值為網(wǎng)絡(luò)傳輸時間 t=Loadi/v，對于所有服務(wù)D和A定義其處理數(shù)據(jù)時間為t1=Loadi/Qos，將t1加到每一個服務(wù)的入邊上得到最終各邊權(quán)值，如果兩點之間沒有邊相連則tj為。   （2）定義Capmini為Ui對于數(shù)據(jù)存儲能力的最低要求，Qosdmin為Ui對于D中服務(wù)質(zhì)量的最低要求，Qosamin為Ui對于A中服務(wù)質(zhì)量的最低要求。對于所有D中CapCapmini或者QosdQosdmin的節(jié)點以及A中QosaQosamini

16、的節(jié)點，將其所有輸入和輸出邊的t設(shè)為。   （3）設(shè)所有點集合為V，V0為檢測對象，邊Edge定義為Vi，Vj。用帶權(quán)連接矩陣arcsij表示Vi，Vj的權(quán)值。定義向量D表示當前所找到的從起點V0到終點Vi的最短路徑，初始化為若V0到Vi有邊，則Di為邊的權(quán)值，否則置Di為。定義向量P來保存最短路徑，若Pvw為TRUE，則W是從V0到V當前求得最短路徑上的頂點。   （4）for(v=0；vv.number；v+) finalv=false； Dv=arcsv0v；for(w=0；wv.number；+w) Pvw=false；/設(shè)空路徑if(

17、DvINFINITY)Pvv0=true；Pvv=true；Dv0=0； finalv0=true；/初始化，V0頂點屬于已求得最短路徑的終點集合for(i=1；iv.number；+i)   min=INFINITY；   for(w=0；wv.number；+w)   if(!finalw)     if(Dwmin)v=w；min=Dw；   finalv=true；   for(w=0；wv.number；+w)/更新當前最短路徑及距離； 

18、;  if(!finalw&&(min+arcsvwDw)         Dw=min+arcsvw；         Pw=Pv；Pww=true；   掃描A中各點，選取其中Di(ViA)最小的一點X，然后從P中選取從V0到X的路徑便為所選一條VGIDS路徑。   （5）將所選路徑上的邊的速率改為VVLoadi，D的Cap改為CapCap-Capmin，D的Qosd

19、改為Qosd=Qosd- Qosdmin，A的Qosa改為Qosa=Qosa-Qosamin。   （6）+i，回到步驟(1)重新開始循環(huán)。5  系統(tǒng)開發(fā)   本項目主要利用Globus工具包外加CoG Kits開發(fā)工具。Globus作為一個廣泛應(yīng)用的網(wǎng)格中間件其主要是針對五層沙漏結(jié)構(gòu)，并利用GridService技術(shù)逐層對五層沙漏提出的功能單源進行實現(xiàn)，表簡單敘述VGIDS實現(xiàn)的各層功能及Globus中對應(yīng)服務(wù)調(diào)用。   實驗時VGIDS部署在Linux系統(tǒng)上，采用基于Linux核心的數(shù)據(jù)采集技術(shù)及Oracle10g作為數(shù)據(jù)庫系統(tǒng)解決分布式存儲問題，數(shù)據(jù)分析技術(shù)仍采用現(xiàn)有的基于規(guī)則的入侵檢測技術(shù)。系統(tǒng)試驗平臺如圖3所示。表2  系統(tǒng)功能劃分及調(diào)用接口五層結(jié)構(gòu)VGIDSGlo