一种基于移动代理的入侵检测系统和方法

摘要

本发明属于网络安全技术领域，具体是一种基于移动代理的入侵检测系统和方法。检测系统由监视器、执行器、控制器、协调器、投票代理、结果代理和响应代理组成，记为PIDS。在网络中运行PIDS系统的主机发现可疑行为的时候发起投票过程，网络中多个对等的主机投票共同决定该事件是否为恶意行为，如果认定为恶意行为则通知网络中所有主机采取适当措施避免损失或者危害发生。本发明的特点是：反应迅速，网络中一台主机发现病毒则立即通知其他主机，避免文件被破坏或者资料被窃取等损失；网络负载很小，同时可以解决分布式入侵问题；时延和网络负载随着网络规模的增大变化比较小，适合于大规模网络。

说明书

技术领域

本发明属于网络安全技术领域，具体涉及一种具有自学习能力的对等的入侵检测系统和方法。

背景技术

目前，随着Internet的发展网络信息飞速膨胀，人们越来越依赖于网络，但是网络也给病毒的传播创造了便利条件。病毒的传播速度和危害程度都大大增加，而且病毒的检测也更加困难。如何有效的保护重要的信息资源不被偷窃和破坏成为一个重大问题。理想的方法是预防病毒的感染和黑客入侵，及时升级系统。杀毒软件和防火墙技术都不能很好的解决这个问题，杀毒软件只能检测文件是否感染并修复被破坏的文件，而防火墙只能预防端口连接，不能区别合法的连接和非法入侵。传统的入侵检测系统采用C/S结构，服务器负载大，而且服务器容易成为攻击对象，一旦服务器遭到破坏，整个系统瘫痪。我们提出的基于移动代理技术的对等的入侵检测系统和方法可以比较好地解决这些问题。

发明内容

本发明的目的在于提出一种能主动发现病毒感染和网络入侵的检测系统和方法，以便通知网络中其他主机及时采取措施避免资料被破坏或者被窃取。

本发明提出的能主动发现病毒和网络入侵的检测系统，由监视器、执行器、控制器、协调器、投票代理、结果代理和响应代理组成，它是一种基于移动代理技术的对等的入侵检测系统，简记为PIDS系统。监视器、执行器、控制器、协调器、投票代理、结果代理和响应代理都是基于移动代理技术实现的程序组件，其中监视器、执行器、控制器和协调器是静态的，投票代理、结果代理和响应代理是动态的，可以在网络中迁移。移动代理是模拟人类行为和关系、具有一定智能并能够在同构或异构网络主机之间自主迁移和提供相应服务的程序。该系统的各部分分别介绍如下：

(1)监视器，是系统的基本单元，主要负责检测主机上发生的安全事件。系统中有多种监视器，每种监视器负责一种安全事件，包括监视系统日志、文件变化、端口连接、系统登录、查找病毒特征码等，监视器发现安全事件发生后立即收集事件的特征信息并向控制器报告。

(2)执行器，也是系统的基本单元，主要负责执行控制器委派处理的安全事件相关的任务。同样地，每种执行器负责一种任务，包括清除病毒、修复文件、拒绝连接、断开网络等。与监视器类似，执行器也可以动态的增加和升级，以适应病毒和入侵不断变化的需要。

(3)控制器，是中间层，介于监视器、执行器和协调器之间。控制器负责分析由监视器报告的安全事件信息，根据本地的安全知识库来分析此事件。控制器如果可以识别，则直接向执行器发送命令，监视器根据控制器的命令来执行处理程序。否则控制器从安全报告中抽取事件的关键信息向协调器报告，请求发起投票过程，由多个网络节点共同监视此类事件以便做出判断，由此采取进一步的行动。

(4)协调器，是系统的协调员，收到控制器的请求后负责发起投票过程，请求网络中其它的节点共同投票决定安全事件是否属于恶意行为。若是，则通知所有主机采取必要措施避免病毒感染或者网络入侵。

(5)投票代理，是动态的移动代理。协调器通过发送投票代理到网络中的其他节点来实现多个主机协同决策，投票代理携带可疑事件的特征、源地址以及投票事件限制等相关信息，网络中的主机根据本机的情况就该可疑事件进行投票，协调器统计投票结果并做出最后决策。

(6)结果代理，是用于携带各个主机投票结果的移动代理。各个主机填写结果代理中选票后，发送结果代理到事件源主机的协调器，由于安全方面的原因，投票结果是经过加密处理的。

(7)响应代理，是通知网络中所有的主机最终投票结果的移动代理。事件源主机的协调器统计投票结果，如果有效投票超过半数则认为是恶意行为，并通知所有主机做好应对准备。

本发明提出的基于移动代理的入侵检测方法，首先要求所有主机加入一个多播组，组内的所有主机构成一个对等网络。PIDS系统根据每个主机上的知识库来识别病毒感染和网络入侵，然后清除病毒，抵制入侵；如果一个主机发现可疑的事件(可能是新的病毒或者新的入侵方式)，则该主机在网络内发起一个投票过程，并由多个主机共同判断此事件是否属于恶意行为；投票过程的具体步骤为：先提取相关信息，随机地在组内选择一定数量的主机制定一个迁移路线图，然后发送携带可疑事件信息的移动代理。移动代理根据路线图迁移到各个主机，每个主机密切监视此类事件是否在本机发生，以及发生的频率，并在一定的时间内做出判断，发送一个携带投票结果的代理到事件源主机。PIDS系统为每一个安全相关事件设定一个安全系数，此系数根据事件发生频率而动态变化，如果安全系数超过阀值则认为是恶意行为，PIDS根据事件在某一时间段内的安全系数的变化进行投票。发起投票的主机统计投票结果，若票数超过半数，则认为是恶意行为；如认定为恶意行为，则通知网络内所有的主机采取适当的安全措施。

本发明中，所有主机加入一个多播组，新加入主机通过组播消息通知其他主机，收到此消息的主机做出应答，由此声明自己的存在并发现组内的所有主机。

本发明的特点是：反应迅速，网络中一台主机发现病毒则立即通知其他主机，避免文件被破坏或者资料被窃取等损失；只有发现可疑行为的时候才发起投票过程，所以网络负载很小，同时可以解决分布式入侵问题；时延和网络负载随着网络规模的增大变化比较小，适合于大规模网络。

附图说明

图1为PIDS工作原理图。

图2为PIDS工作流程图。

图3为局域网自主杀毒系统工作原理。

图中标号：1为监视器，2为执行器，3为控制器，4为协调器，5为投票代理，6为结果代理，7为响应代理。

具体实施方式

本发明中，监视器、执行器、控制器、协调器、投票代理、结果代理和响应代理等组件相互关联，相互依赖，构成一个具有层次性的完整的系统。监视器1和执行器2是PIDS系统最基本的单元，监视器用来监视节点上的各种活动，捕获异常事件，执行器是执行清除病毒、修复文件、断开网络连接等操作的组件，监视器和执行器都是控制器下最底层的单元。

如附图1，如果A主机中的控制器3向协调器4报告有可疑事件发生，则协调器4在网络中随机选择一定数量的主机(比如B、C)制定一个路线图，然后向网络中发送一个携带该可疑事件信息的投票代理5，投票代理5根据路线图在网络中迁移，通知其他主机(B、C)监视本机上此类事件的活动情况，根据该事件的活动频率动态更新事件的安全系数，当该安全系数超越阀值的时候，就认定该事件是恶意行为。安全系数并不是随着事件发生频率等比变化的，而是随着事件发生频率的增加增长越来越快，由此系统更及时迅速地做出响应。比如某个事件的安全系数动态变化为{1/10，1/8，1/6，1/4，1/2，1}，一定时间内第一次发生此类事件时，安全系数为1/10，第二次就变为1/8，第三次为1/6，第四次为1/4，第五次变为1/2，第六次变为1超过安全系统阀值，恶意行为确认。当然事件发生的频率逐渐递减，安全系数则随之递减，而且最初递减较快，随后递减的幅度越来越小。在一定的时间范围内(时间范围由投票代理的要求决定)，其他主机(B、C)向A主机发送携带投票信息的结果代理6，发起投票的主机A统计投票结果，若超过有效票数的半数则认定为恶意行为，并向网络中发送响应代理7通知所有主机采取适当行动。

基于移动代理的入侵检测方法，我们设计一个“局域网自主杀毒系统”。在此案例中(如附图3)，多台主机(S，A，B，C，D)构成一个简单的局域网，每台主机上安装都安装有一套“局域网自主杀毒系统”软件，该软件采用如图1的基本架构。下面以该系统对变种红色代码病毒的自主检测过程来介绍其工作机制：

(1)主机S上的系统“红色代码病毒监视器”检测到有类似于红色代码病毒的特征码信息的可疑事件，监视器收集可疑病毒的特征信息并转发给本系统上层的控制器，控制器根据本机上的知识库无法确认，于是对收集的信息进行简单抽取加工后再转发给协调器，协调器立即向网络中的A、B、C、D主机发送“投票代理”请求协助，由此发起投票过程。

(2)收到“投票代理”的系统A、B、C、D监控本机上此类事件的活动情况，在一定的时间内(投票时间由发起投票过程的系统在投票代理中设定)对该事件的安全性进行投票。系统为此可疑事件设定的初始安全系数为{1/10/1，1/8/2，1/6/3，1/4/4，1/2/5，1/1/6}，也就是在一定时间内(这里是一分钟)可疑事件发生1次，安全系数为1/10，两次为1/8，当发生六次时，安全系数变为1，也就是门槛值，这时系统投确认票。投票信息包含在结果代理中，结果代理传给可疑事件源主机。

(3)源主机系统统计投票结果，如果超过有效投票的半数则认定为恶意行为，发送响应代理通知网络中的每个主机采取相应的安全措施。另外，每个主机都可以通知并向其他主机发送系统升级补丁，以最快的速度完成系统升级，避免病毒感染整个网络。(4)测试表明系统的病毒检出率在98％以上，与传统的系统相比具有智能性、反应快速、网络负载小以及适合大规模网络等优点。