《基于网格的入侵检测系统的研究与实现》由会员分享,可在线阅读,更多相关《基于网格的入侵检测系统的研究与实现(7页珍藏版)》请在金锄头文库上搜索。
1、1基于网格的入侵检测系统的研究与实现摘 要 网格是部署在广域网上的抽象应用,其基本单位是以实现一个任务为目标的动态组建的虚拟组织。基于网格的入侵检测系统应该是部署在虚拟组织之上的虚拟组织。本文首先分析了网格对于入侵检测系统的要求以及当前网格入侵检测系统的不足之处,然后提出了基于虚拟组织的网格入侵检测系统模型(VGIDS)。关键字 网格;虚拟组织;入侵检测1 入侵检测系统分析表 1 分析了入侵检测系统结构变化。表 1 IDS 出现的问题及结构的变化IDS 发展解决的问题结构特征基于主机单一主机的安全各部分运行在单节点上2基于网络局域网的安全采集部分呈现分布式分布式单一分析节点的弱势分析部分呈现分
2、布式网格的运行是由用户发起任务请求,然后寻找资源搭配完成任务,这样形成的团体称为虚拟组织(VO),网格入侵检测系统是为其他 VO 提供服务的 VO,目前其面临的主要问题如下:(1)分布性:包括资源分布和任务分解。(2)动态部署:系统是为 VO 提供服务的,其部署应是动态的。(3)动态形成:系统本身也是一 VO,是动态形成的。(4)最优方案选择:本系统需多种网格资源协同进行,要选择一个最优方案。(5)协同计算:保证按照入侵检测流程顺利运行。(6)动态改变:防止资源失效。目前关于网格入侵检测系统的研究只能说解决了分布性、动态形成、协同计算。而对于动态部署 、动态改变仍处于研究中。2 VGIDS 系
3、统模型VGIDS 基于开放网格服务(OGSA)思想提出了一个公共服务GIDS Service3来解决目前网格入侵检测系统面临的问题。整个 VGIDS 结构如图 1 所示。(1)VO-Based:网格是一个虚拟组织的聚集,本系统提出一虚拟组织目录(VOL)。用户向 GIDSService 提交请求并将被检测 VO 代号作为参数。GIDSSevvice 查找VOL 获取 VO 信息。当 VOL 数量减为一就成为单一网格应用,可由网格管理(GM)将 VO 信息传给 GIDSServic。图 1 VGIDS 系统结构(2)GIDSService:负责资源发现,调度。具体包括:RI(Request In
4、terface):服务接口,负责服务请求及 VO 信息获取。同 VOL 解决动态部署。DA(Delegation Agent):委托代理。同用户交互获得用户委托授权。DD(Distributed Data):分布式数据。存储 VGIDS 需要的资源信息。解决分布问题。RQ(Resource Query):资源查询。当获得用户授权后便由 RQ 根据 DD 描述向资源目录(RL)查找资源。解决分布问题。PC(Plan Choose):最优方案选择。当从 RL 获得可用资源后 PC 根据 AM(任务管理)要求选择一个最优方案。本文称为多维最优路径选择问题。AM(Assignment Manage):
5、任务管理。首先根据 DD 存储所需资源的调度信息,当 VGIDS 形成后,根据 PC 的方案选择及 DD 存储的资源信息进行任务的调度和协同各分布资源的交互,解决协同计算。IR(Intrusion Reaction):入侵响应。SN(Security Negotiate):安全协商。同资源和用户的安全协商。4DI(Dynamic Inspect):动态检查。负责检查资源失效向 RQ 发起重新查找资源请求。解决动态改变问题。LB(Load Balance):负载平衡。主要根据 DD 信息解决网格资源调度的负载平衡问题。3 VGIDS 服务描述本系统是一动态虚拟组织,在系统运行之前必须以静态网格服
6、务的形式部署于网格之上,当用户申请时再动态形成。定义 1:VGIDS 的静态定义如下:VGIDS=Base,Resource,Role,Task,Flow,RelationBase 为 VGIDS 基本描述,Base=ID,Power,IO,Inf,log,goal,P。ID 为虚拟组织编号;Power 为获得的授权;IO 为被检测对象;Inf 为监控 VGIDS 获得的信息文件;log 为系统日志;goal 为 VGIDS 目标,包括调度算法所估计的系统效率及用户要求;P 为系统交互策略,需同网格资源进行交互,授予资源角色和相关权利并同时分配相关任务。Resource 为 VGIDS 的所有
7、资源,Resource=IP,Property,Serve,Power,P。IP 为资源地址;Property 为资源属性(存储、分析),方便角色匹配;Serve 为资源可提供的服务指标;Power 为使用资源所要求的授权;P 为资源交互策略。Role 为存在的角色类型,Role=ID,Tas,Res,Power。ID 为角色的分类号,按照工作流分为 5 类角色分别对应 VGIDS 的 5 个环节;Tas 为角色任务;Res 为角色需要的资源类型;Power 为角色所获得的权利。Task 为工作流任务集合。TaskID,Des,Res,Role,P。ID 为任务标号;Des 为任务描述;Res
8、 为需要的资源种类;Role 为任务匹配的角色;P 为 Task 执行5策略。Flow 为工作流描述文件,Flow=Role,Seq,P。Role 为角色集合,Seq 为角色执行序列,P 为对于各个角色的控制策略。Relation 为已确定资源 Resource 和 Role 之间的关系。Relation=Res,Role,Rl。Res 为资源集合,Role 为角色集合,Rl 为对应关系。4 多维最优路径选择4.1 问题描述将图 1 抽象为图 2 模型 定义 2:Graph=(U、D、A、Edge)。U 为所有被检测对象的集合,Un=( Loadn、Pn),Loadn 为 Un 单位时间所要求
9、处理的数据,Pn 为 Un 在被检测 VO 中所占权重,如果 P 为空,则按照 Load 大小作为权重。D 为存储服务集合,Dn=(Capn、Qosdn),Capn 为 Dn 提供的存储容量。Qosdn 为Dn 提供的服务质量,近似为数据吞吐率。A 为分析服务集合,An=(Classn、Qosan),Classn 为 An 处理的数据种类,如系统日志或网络流量。Qosan 为 An 提供的服务质量,近似为处理速率。Edge 为边的集合,有网络传输速度加权 v。图 VGIDS 调度模型定义 3:Qos 定义为一个多维向量,可用一个性能度量指标的集合表示:M1(t)、M2(t),Mn(t)Mn(t
10、)为一个与网格服务质量有关的量,如 CPU 的主频、网络速度、内存。服务的6执行过程体现出来的性能参数是一条 n 维空间的轨迹 M,这个 n 维空间的每一维代表一个性能指标M=R1*R2*Rn其中,Rn 是性能指标 Mn(t)的取值范围。在本系统中存在两类 Qos,分别为 D 和A。本系统强调实时性,所以 CPU、RAM 和网络速度占很大权重,Qos 计算公式如下:Wcpu 表示 CPU 的权重;CPUusage 表示当前 CPU 使用率;CPUspeed 表示CPU 的实际速度;CPUmin 表示要求的 CPU 速率的最小值。Wram 表示 RAM 的权重;RAMusage 表示当前 RAM
11、 使用率;RAMsize 表示 RAM 的实际大小;RAMmin 表示要求的 RAM 的最小值。Wnet 表示网络传输的权重;NETusage 表示当前网络负载;NETspeed 表示网络的实际速度;NETmin 表示要求的网络传输速率的最小值。资源调度就是利用对各个资源的量化,为每一检测对象选择一条数据传输路径。本系统目标是使整个 VO 获得快速的检测,而不是对个别对象的检测速率很高。定义 4:对于任意一个被检测 VO 的检测对象,如果能够为其构造一条检测路径,称系统对于此对象是完备的。定义:对于 VO,如果能够为其所有的检测对象构造检测路径,则称系统对于被检测 VO 是完备的。本调度算法的
12、目的便是在满足被检测 VO 和入侵检测工作流要求下,按照所选网格资源提供的能力为整个 VO 构造 VGIDS,使所有被检测对象检测效率之和最高。这是一非典型的线性规划问题,如下定义:7X1,Xn 是 n 个独立变量,表示 VGIDS 所选路径;公式5表示最大耗费时间;公式68表示所有对于 Xn 的约束条件。由于 Xn 变量难以确定并且约束条件种类较多所以难以将上述问题标准化为公式58。 4.2 算法描述本文利用贪心选择和 Dijkstra 算法进行调度。按照用户给出的 U 的权值 P 从大到小进行排序,if(P=NULL),则按 Load 从大到小进行排序得到排序后的对象数组和负载数组为Ui(
13、0in,n 为 U 的大小);Loadi (0in,n 为 U 的大小)for(i=0;i=n;i+),循环对 U 和 Load 执行以下操作:(1)对于所有边,定义其权值为网络传输时间 t=Loadi/v,对于所有服务 D 和 A定义其处理数据时间为 t1=Loadi/Qos,将 t1 加到每一个服务的入边上得到最终各边权值,如果两点之间没有边相连则 tj为。(2)定义 Capmini为 Ui对于数据存储能力的最低要求,Qosdmin 为 Ui对于 D中服务质量的最低要求,Qosamin 为 Ui对于 A 中服务质量的最低要求。对于所有 D 中 CapCapmini或者 QosdQosdmi
14、n 的节点以及 A 中QosaQosamini的节点,将其所有输入和输出边的 t 设为。(3)设所有点集合为 V,V0 为检测对象,边 Edge 定义为Vi,Vj。用带权连接矩阵 arcsij表示Vi,Vj的权值。定义向量 D 表示当前所找到的从起点 V0 到终点 Vi 的最短路径,初始化为若 V0 到 Vi 有边,则 Di为边的权值,否则置 Di为。定义向量 P 来保存最短路径,若 Pvw为 TRUE,则 W 是从 V0到 V 当前求得最短路径上的顶点。8(4)for(v=0;vv.number;v+) finalv=false; Dv=arcsv0v; for(w=0;wv.number;
15、+w) Pvw=false;/设空路径if(DvINFINITY)Pvv0=true;Pvv=true;Dv0=0; finalv0=true;/初始化,V0 顶点属于已求得最短路径的终点集合for(i=1;iv.number;+i)min=INFINITY;for(w=0;wv.number;+w)if(!finalw)if(Dwmin)v=w;min=Dw;finalv=true;for(w=0;wv.number;+w)/更新当前最短路径及距离;if(!finalw(min+arcsvwDw)Dw=min+arcsvw;Pw=Pv;Pww=true; 扫描 A 中各点,选取其中 Di(V
16、iA)最小的一点 X,然后从 P 中选取从 V0 到 X的路径便为所选一条 VGIDS 路径。(5)将所选路径上的边的速率改为 VVLoadi,D 的 Cap 改为 CapCap-Capmin,D 的 Qosd 改为 Qosd=Qosd- Qosdmin,A 的 Qosa 改为 Qosa=Qosa-Qosamin。(6)+i,回到步骤(1)重新开始循环。5 系统开发本项目主要利用 Globus 工具包外加 CoG Kits 开发工具。Globus 作为一个广泛应用的网格中间件其主要是针对五层沙漏结构,并利用 GridService 技术逐层对五层沙漏提出的功能单源进行实现5,表简单叙述 VGIDS 实现的各层功能及Globus 中对应服务调用。实验时 VGIDS 部署在 L
