劉航宇　趙斐

摘要：針對目前入侵檢測系統(tǒng)中存在的誤報率、檢測率和高帶寬通信量下的處理能力等問題，結(jié)合網(wǎng)格技術(shù)的應(yīng)用背景，提出基于的網(wǎng)格的分布式入侵檢測系統(tǒng)的應(yīng)用模型。該文對其產(chǎn)生的原因、該系統(tǒng)的特點，該系統(tǒng)的應(yīng)用平臺、工作流程進行了詳細的闡述。目的是在網(wǎng)格虛擬環(huán)境下實現(xiàn)高性能協(xié)同工作和資源共享的入侵檢測系統(tǒng)，以解決常用入侵檢測系統(tǒng)存在的一些問題，實現(xiàn)網(wǎng)絡(luò)資源的全面共享，提高工作效率。

關(guān)鍵詞：網(wǎng)格技術(shù)；入侵檢測系統(tǒng)；資源共享

中圖分類號：TP309 文獻標識碼：A 文章編號：1009-3044（2017）14-0044-03

1基于網(wǎng)格技術(shù)的入侵檢測系統(tǒng)產(chǎn)生的原因

隨著科學(xué)技術(shù)的發(fā)展，計算機已經(jīng)走進了人們的生活，小到銀行、超市，大到科技、國防。然而在這自動化、快節(jié)奏生活的背后也存在潛藏的問題。現(xiàn)如今，計算機入侵行為越來越猖獗。不管是對個人電腦還是對服務(wù)器，入侵次數(shù)越來越多，攻擊手段也在不斷升級，網(wǎng)絡(luò)與信息安全也隨之成為了社會關(guān)注的焦點。常用的入侵檢測系統(tǒng)原理如下：在系統(tǒng)受到攻擊時自動進行檢測，同時發(fā)出警報通知系統(tǒng)管理員；在攻擊已經(jīng)發(fā)生的情況下與其他安全系統(tǒng)聯(lián)動來消除入侵帶來的隱患。但由于現(xiàn)有入侵檢測系統(tǒng)分析方法的不足以及自身原始數(shù)據(jù)來源的缺陷，所面臨的主要問題如下：

1）現(xiàn)有入侵檢測系統(tǒng)的檢測手段主要依靠模式匹配方式，對模式庫的組織模式、及時性、完整性有很高的要求，并且無法對未知攻擊做出反饋；

2）現(xiàn)有入侵檢測系統(tǒng)的檢測能力主要依賴單一節(jié)點的計算能力。隨著網(wǎng)絡(luò)帶寬的迅速增長及網(wǎng)絡(luò)規(guī)模的不斷擴大，現(xiàn)有入侵檢測系統(tǒng)的處理響應(yīng)時間成為主要瓶頸，無法匹配對應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)量從而造成漏報；

3）網(wǎng)絡(luò)入侵方式越來越多，攻擊復(fù)雜性日趨加劇，也加重了現(xiàn)有入侵檢測系統(tǒng)的誤報、漏報現(xiàn)象。

隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，網(wǎng)格技術(shù)也有了突飛猛進的進步。網(wǎng)格技術(shù)主要原理如下：將分散在不同地點的計算機通過互聯(lián)網(wǎng)相聯(lián)，使得所有資源能夠整合為一個虛擬的計算能力。每一臺計算機都是虛擬計算網(wǎng)絡(luò)中的一個“節(jié)點”，不同地點的各個“節(jié)點”組成一張完整的“網(wǎng)格”。網(wǎng)格技術(shù)利用其松耦合的技術(shù)特點解決了現(xiàn)有系統(tǒng)中的技術(shù)異構(gòu)、接口異構(gòu)等問題，將網(wǎng)格內(nèi)所有節(jié)點的處理能力結(jié)合在一起，提高了網(wǎng)格內(nèi)不同節(jié)點間的自適應(yīng)性、可擴展性以及智能性和交互性，為各種大數(shù)據(jù)應(yīng)用提供了強大的處理能力。

隨著網(wǎng)絡(luò)入侵技術(shù)的發(fā)展，入侵檢測技術(shù)也日趨分布化和動態(tài)化。為了應(yīng)對日益分布化、協(xié)同化的網(wǎng)絡(luò)攻擊，更好的提升現(xiàn)有入侵檢測系統(tǒng)在大數(shù)據(jù)量及大規(guī)模網(wǎng)絡(luò)環(huán)境下的各項性能（例如智能性、實時性、交互性、主動性、自適應(yīng)性、可擴展性等），本文提出一種基于網(wǎng)格技術(shù)的分布式入侵檢測系統(tǒng)。

基于網(wǎng)格技術(shù)的分布式入侵檢測系統(tǒng)工作原理如下：將本地計算機的檢測任務(wù)分配給網(wǎng)格內(nèi)其他節(jié)點，這些節(jié)點由分布式系統(tǒng)統(tǒng)一調(diào)度，協(xié)同監(jiān)控網(wǎng)格內(nèi)某些特定行為及動作。基于網(wǎng)格技術(shù)，能有效降低系統(tǒng)對網(wǎng)絡(luò)共享數(shù)據(jù)量的需求，顯著提高了系統(tǒng)的各項性能。

2 Globus網(wǎng)格體系結(jié)構(gòu)

美國Argonne國家實驗室聯(lián)合多家研究機構(gòu)研發(fā)了Glo-bus，后續(xù)又與南加州大學(xué)信息科學(xué)學(xué)院（ISI）合作開發(fā)了基于此架構(gòu)的Toolkit。隨著多家計算機軟硬件廠商（如IBM、Micro-soft、Compaq、SGI、Sun、Fuiitsu、Hitachi、NEC等）宣布支持Glo-bus Toolkit，該網(wǎng)格體系已逐漸被認可，成為網(wǎng)格計算技術(shù)中的典型代表和實際規(guī)范。Globus Toolkit采用開放式架構(gòu)和標準，為基于此技術(shù)構(gòu)建的網(wǎng)格應(yīng)用提供相應(yīng)的安全、資源發(fā)現(xiàn)、資源管理、數(shù)據(jù)訪問等服務(wù)。Globus的體系結(jié)構(gòu)為五層沙漏結(jié)構(gòu)，如圖1所示。

將Globus網(wǎng)格體系結(jié)構(gòu)以協(xié)議為中心進行抽象，得到一個層次結(jié)構(gòu)模型，即為五層沙漏結(jié)構(gòu)。該體系結(jié)構(gòu)通過協(xié)議建立一種協(xié)商共享機制。通過該協(xié)商共享機制，網(wǎng)格體系不但能夠快速的進行節(jié)點間資源及數(shù)據(jù)共享，還能夠方便快捷的實現(xiàn)節(jié)點間管理及新節(jié)點共享開發(fā)等任務(wù)。通過標準化的開放結(jié)構(gòu)，Globus網(wǎng)格體系能夠提供更好的擴展性、互操作性、一致性以及代碼共享服務(wù)。

因為各部分協(xié)議數(shù)量的分布不均勻，決定了五層沙漏結(jié)構(gòu)的一個重要特點——沙漏形狀。在Globus網(wǎng)格體系中，核心部分作為中間件層需要同時解決上層各種協(xié)議（沙漏的頂層）對核心部分的映射及核心部分對下層各種協(xié)議（沙漏的底層）的映射兩個問題。為了解決各層間協(xié)議的映射問題，網(wǎng)格體系各層都需要支持核心部分協(xié)議；但是考慮到核心部分移植、升級的便捷性，核心部分協(xié)議的數(shù)量又必須足夠精簡。上訴原因使得核心協(xié)議成為了協(xié)議層次結(jié)構(gòu)的瓶頸。

網(wǎng)格系統(tǒng)可以分為三個基本層次：資源層、中間件層和應(yīng)用層。

網(wǎng)格資源層對應(yīng)圖中的構(gòu)造層。構(gòu)造層是構(gòu)成網(wǎng)格系統(tǒng)的硬件基礎(chǔ)，包括網(wǎng)格體系中的各種軟硬件資源，例如計算機節(jié)點、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)、各種應(yīng)用軟件等。網(wǎng)格資源層僅限于在物理層面實現(xiàn)網(wǎng)格體系內(nèi)各節(jié)點間簡單的互聯(lián)互通，無法從本質(zhì)上解決整個網(wǎng)格體系內(nèi)各節(jié)點間邏輯層面的資源共享問題。為了能有效的整合各節(jié)點的計算資源，解決網(wǎng)格系統(tǒng)邏輯層面的資源共享問題，在網(wǎng)格資源層的基礎(chǔ)上設(shè)計出網(wǎng)格中間件層。

網(wǎng)格中間件層對應(yīng)圖中的匯聚層、資源層及連接層。網(wǎng)格中間件層也稱為網(wǎng)格操作系統(tǒng)（Grid Operating System），包括網(wǎng)格資源共享所需的各種工具及協(xié)議。網(wǎng)絡(luò)中間件層通過整合網(wǎng)格資源層中各節(jié)點間分布、異構(gòu)的計算資源向網(wǎng)格應(yīng)用層提供了透明、統(tǒng)一的用戶編程接口和環(huán)境，很好的解決了各層間協(xié)議的映射問題，為網(wǎng)格應(yīng)用的開發(fā)工作提供了必要的支持。

網(wǎng)格應(yīng)用層對應(yīng)圖中的應(yīng)用層。應(yīng)用層面向最終用戶，所以能否在應(yīng)用層方便快捷的解決用戶面臨的各種大型計算問題是衡量網(wǎng)格系統(tǒng)優(yōu)劣的直觀體現(xiàn)。最終用戶在網(wǎng)格中間件層的支持下，使用其提供的工具或環(huán)境開發(fā)各種網(wǎng)格應(yīng)用，實現(xiàn)具體需求。

3基于網(wǎng)格技術(shù)的分布式入侵檢測系統(tǒng)的特點

在Globus網(wǎng)格架構(gòu)中所有計算機節(jié)點、網(wǎng)絡(luò)數(shù)據(jù)、分布式軟件、分布式系統(tǒng)等軟硬件資源都是可共享的。網(wǎng)格技術(shù)通過基礎(chǔ)的跨管理域、多樣化、資源動態(tài)共享等功能特性，將所有共享資源整合成一個分布式的動態(tài)異構(gòu)計算平臺。基于網(wǎng)格技術(shù)的系統(tǒng)工作原理如下：根據(jù)需求自定義共享資源所需的各個接口，通過自定義接口動態(tài)調(diào)用網(wǎng)格中的所有資源，協(xié)同響應(yīng)服務(wù)請求，完成大規(guī)模計算要求。因此基于網(wǎng)格技術(shù)的入侵檢測系統(tǒng)具有如下的特點：

分布性與共享性：分布性是網(wǎng)格技術(shù)最主要的特點。因為網(wǎng)格節(jié)點的特性決定了網(wǎng)格資源具有規(guī)模大，類型復(fù)雜，跨越地理范圍廣等特點，所以基于網(wǎng)格技術(shù)的入侵檢測系統(tǒng)一定采用的是分布式計算?；谏鲜鲇^點可以看出，網(wǎng)格技術(shù)的分布性還需要解決不同節(jié)點間的資源調(diào)度、任務(wù)協(xié)調(diào)分配、數(shù)據(jù)安全傳輸、操作人員與非本地系統(tǒng)互操作等諸多問題。網(wǎng)格資源雖然是分布的，同時也是共享的。共享性的定義非常寬泛，不僅指節(jié)點間簡單的資源共享及任務(wù)協(xié)作，還指中間結(jié)果、數(shù)據(jù)庫、專業(yè)模型庫以及人才資源等方面的共享。解決分布式資源的共享問題是網(wǎng)格技術(shù)的最終目標，也是是網(wǎng)格技術(shù)的核心內(nèi)容。

自相似性：自相似性大量存在于自然和社會現(xiàn)象中，是網(wǎng)格技術(shù)的一個重要特征。一般復(fù)雜系統(tǒng)通常都具有這種特征。

動態(tài)性與：動態(tài)性需要網(wǎng)格技術(shù)在規(guī)模、能力、兼容性等方面擁有極高的擴展性，能同時滿足動態(tài)增加和動態(tài)減少兩個方面的需求。同時網(wǎng)格資源是異構(gòu)和多樣的。網(wǎng)格系統(tǒng)必須能夠解決不同體系結(jié)構(gòu)的計算機系統(tǒng)和不同類別、不同結(jié)構(gòu)的資源之間的通信和互操作問題。

4基于網(wǎng)格技術(shù)的分布式入侵檢測系統(tǒng)框架

遵照Globus網(wǎng)格系統(tǒng)的五層結(jié)構(gòu)，同時考慮到入侵檢測系統(tǒng)應(yīng)用需求，基于網(wǎng)格技術(shù)的分布式入侵檢測系統(tǒng)框架結(jié)構(gòu)如圖2所示。

基于網(wǎng)格技術(shù)的分布式入侵檢測系統(tǒng)由以下四個部分組成：

入侵信息采集網(wǎng)格：入侵檢測的第一步是數(shù)據(jù)采集，包括對網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)以及應(yīng)用活動狀態(tài)及行為的實時跟蹤和記錄。在傳統(tǒng)的入侵檢測系統(tǒng)中，數(shù)據(jù)采集模塊僅僅只監(jiān)聽所在網(wǎng)絡(luò)的某些網(wǎng)段或某幾臺主機的網(wǎng)絡(luò)數(shù)據(jù)，經(jīng)過數(shù)據(jù)采集及預(yù)處理后得到網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)以及應(yīng)用活動的狀態(tài)及行為的相關(guān)信息。在基于網(wǎng)格技術(shù)的入侵檢測系統(tǒng)下，可用的帶寬空間是無限的，所以能盡可能減少因為帶寬問題而造成的數(shù)據(jù)丟失問題。入侵信息采集網(wǎng)格能夠動態(tài)的協(xié)調(diào)整個網(wǎng)格內(nèi)的資源，在網(wǎng)格系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息。這種技術(shù)不但盡可能的擴大了檢測范圍，更重要的作用是從一個節(jié)點采集到的信息有可能看不出疑點，但是從幾個不同節(jié)點采集到的信息的不一致性卻是可疑行為或入侵的最好標識。

主機關(guān)聯(lián)分析網(wǎng)格：該網(wǎng)格采用混合型入侵檢測機制?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)側(cè)重于精確地監(jiān)視網(wǎng)絡(luò)內(nèi)的各種分布式活動，特別是原有系統(tǒng)檢測的盲區(qū)；而基于主機的入侵檢測系統(tǒng)局限于監(jiān)視本節(jié)點系統(tǒng)內(nèi)的各種活動?；诰W(wǎng)格技術(shù)的分布式入侵檢測系統(tǒng)既可以共享各個主機的特征數(shù)據(jù)庫來解決誤用檢測中因為攻擊數(shù)據(jù)庫的不足而造成的漏報較多的問題，又可以利用網(wǎng)格強大的數(shù)據(jù)處理能力來解決異常檢測中數(shù)據(jù)誤報和高帶寬通信量下數(shù)據(jù)處理能力不足的問題。

輸出響應(yīng)網(wǎng)格：輸出響應(yīng)網(wǎng)格是入侵檢測系統(tǒng)的關(guān)鍵，是入侵檢測系統(tǒng)的最終實現(xiàn)方式?，F(xiàn)有的入侵檢測系統(tǒng)很多還只是具有報警功能（被動響應(yīng)），這遠遠未達到響應(yīng)系統(tǒng)的要求。主動對抗響應(yīng)是必不可少的。該網(wǎng)格同時采用主動響應(yīng)和被動響應(yīng)，對確定為攻擊的活動采用主動響應(yīng)模式，阻止正在進行的攻擊，使得攻擊者無法繼續(xù)訪問節(jié)點；對不能確定的活動采用被動響應(yīng)模式。自動通知就是一種比較簡單的被動響應(yīng)模式，當(dāng)檢測到不確定活動發(fā)生時，被動響應(yīng)模式直接向管理人員發(fā)出警報通知。這種響應(yīng)比較簡單，一般用于提高入侵檢測系統(tǒng)效率及增加管理人員反應(yīng)時間，無法阻止入侵行為。確定為入侵攻擊的活動會寫入入侵信息數(shù)據(jù)庫.為以后的檢測提供數(shù)據(jù)支持。

網(wǎng)格管理控制平臺：該模塊是人侵檢測系統(tǒng)的集中控制管理單元，通過網(wǎng)格技術(shù)對系統(tǒng)內(nèi)節(jié)點實行統(tǒng)一協(xié)調(diào)控制，使得后續(xù)加入的節(jié)點與網(wǎng)格內(nèi)現(xiàn)有節(jié)點間實現(xiàn)了無縫互聯(lián)互通和互操作，使得整個入侵檢測系統(tǒng)能夠發(fā)揮出最大功用。

5結(jié)束語

網(wǎng)格技術(shù)通過整合不同地點及網(wǎng)絡(luò)內(nèi)的計算資源，實現(xiàn)了一種可共享的經(jīng)濟、標準、可靠的計算能力。本文將網(wǎng)格技術(shù)與入侵檢測系統(tǒng)相結(jié)合，對網(wǎng)絡(luò)內(nèi)發(fā)生的入侵行為采用分布式方法進行檢測。與現(xiàn)有入侵檢測系統(tǒng)相比，該方法對于檢測DDOS攻擊等分布式攻擊更加有效。傳統(tǒng)的入侵檢測系統(tǒng)主要基于單一的主機或網(wǎng)絡(luò)，不同的主機或網(wǎng)絡(luò)之間無法協(xié)同工作。本文基于網(wǎng)格技術(shù)增加了不同主機或網(wǎng)絡(luò)之間獨立入侵檢測系統(tǒng)的協(xié)同工作能力，體現(xiàn)了入侵檢測技術(shù)發(fā)展的趨勢。