（计算机软件与理论专业论文）网格入侵检测系统的研究与设计.pdf

争 南京邮电大学 硕士学位论文摘要 学科专业：工科、计算机软件与理论 研究方向：基于网络的计算机软件应用技术 作者：二零零七级硕士研究生妯指导教师：王遗佳教握么谴昱 - _ - _ _ _ _ _ _ l - - _ _ l _ - _ _ i l _ _ - - i i i _ _ - - _ li l _ l l _ 题目： 网格入侵检测系统研究与设计 英文题目： t h er e s e a r c ha n d d e s i g no f g r i di n t r u s i o nd e t e c t i o ns y s t e m 关键词： 网格，入侵检测，负载动态反馈，集成学习，告警恢复 英文关键词： g r i d ，i n t r u s i o nd e t e c t i o n ，d y n a m i cl o a df e e d b a c k , e n s e m b l el e a r n i n g ，a l e r t a n dr e c o v e r y 论文选题来源： 1 国家高技术研究发展计划( 8 6 3 计划) 项目一基于网格的数据可靠存储 与容侵关键技术 ( 编号2 0 0 7 a a 0 1 2 4 0 4 ) 南京邮电大学硕士研究生学位论文 中文摘要 中文摘要 网格计算系统就是将地理分布、系统异构、性能各异的各种资源通过高速互连网络连 接起来，形成广域范围的无缝集成和协调计算环境。由于网格是一个开放性的异构环境， 网格计算系统的用户数量和资源数量巨大且动态可变，这使得网格系统面临各种各样的安 全威胁。因此，在网格环境中，采取有效的安全措施，对确保系统安全至关重要。但是， 现有的网格安全基础设施g s i ( g r i ds e c u r i t yi n f r a s t r u c t u r e ) 只能提供基本的安全保护验证， 缺少对入侵行为检测的功能。入侵检测系统是构建动态防御和事后分析的基础，这一功能 在网格中是非常重要的。本文将在分析网格安全体系结构的基础上提出新的网格入侵检测 模型，并通过分析关键技术和算法构建入侵检测系统。 结合智能检测技术，并采用先进的分布式体系结构是当前入侵检测研究的一个主要方 向通过对网格与智能检测技术的深入研究，提出了一种基于网格服务的入侵检测系统 ( g r i di n t r u s i o nd c t c c t i o l ls y s t e m ，简称g l d s ) 。该系统部署于网格环境下，主要由四部分组 成，数据采集引擎、任务调度引擎、数据分析引擎和告警恢复引擎。数据采集弓i 擎对网络 数据包进行实时采集，这是入侵检测数据分析的主要数据源；为了实现各数据分析引擎的 负载均衡，引入负载动态反馈机制，利用m d s ( m e t a c o m p u t i n gd i r e c t o r ys e r v i c e ，元计算 目录服务) “查询一修正一任务分配一查询 不断更新节点的实时负载信息，计算得出节 点的综合负载率，采用基于动态负载最小调度算法决定任务的分配，同时更好的利用网格 资源进行入侵行为分析：数据分析引擎采用集成学习的方法，提高了检测效率，降低了误 警率，同时可以识别了一些未知攻击；为了减少告警数量，制定了告警属性加权计算规则 进行警报合成，并以统一格式标准输出告警信息，另外，为了增强入侵检测系统的容侵能 力，将容侵恢复方法引入到告警恢复模块，形成告警恢复引擎，提出自适应告警恢复方法， 有效保证网格资源的可用性、数据的完整性和安全性。该入侵检测系统不仅能够充分利用 网格上的资源进行入侵行为的发现，而且实现了资源使用的负载均衡，能够获得较高的检 测效率。最后介绍了相应的实验结果分析，表明了该系统的优越性。 关键词：网格，入侵检测，负载动态反馈，集成学习，告警恢复 南京邮电大学硕士研究生学位论文 a bs t r a c t g r i dc o m p u t i n gs y s t e mi st oo r g a n i z et h e g e o g r a p h i cd i s t r i b u t i o n , s y s t e mi s o m e r i s m , d i v e r s i f i e dr e s o u r c e su n d e rau n i f o r mf l a m ea n dt oc o n n e c tt h e mb yt h eh i g hs p e e di n t e m e t t h u s ，t of o r maw i l dg a p l e s si n t e g r a t i o na n dc o o l - - r a t i n gc o m p u t i n gs u r r o u n d i n g s d u et ot h e o p e ni s o m e r i s mc o n d i t i o no f 鲥d ，l a r g eq u a n t i t yo ft h eu s e r sa n dh u g eq u a n t i t yo fd a t a ，t h e g r i d c o m p u t i n gs y s t e mf a c e st ot h ev a r i o u st h r e a t t h u s ，i ti si m p o r t a n tt ot a k ee f f e c t i v es e c u r i t y m e a s u r e $ t oe n h a n c et h es e c u r i t yo f g r i d b u tt h ee x i s t i n gg r i ds e c u r i t ym e c h a n i s mj u s tp r o v i d e b a s i cs e c u r i t ya u t h e n t i c a t i o n ( g s i ) w i t h o u tf u n c t i o n so f t h ei n t r u s i o nd e t e c t i o ns y s t e mw h i c hi s v i t a li nt h e 嘶d i n t r u s i o nd e t e c t i o ns y s t e mi sa d y n a m i cd e f e n s ea n dp o s t - m o r t c ma n a l y s i st o b u i l dt h eb a s i sf o rt h i sf i l g t i o ni nt h eg r i di sv e r yi m p o r t a n t t h r o u g ht h es t u d y0 1 1t h es e c u r i t y f i k 6 0 nm o d e lo fg r i d , t h i st h e s i sp m t m s c san 目c a i d - b a s c di n t r u s i o nix 沌e c t i o ns y s t e m m o d e l a d o p tt h ea d v a n c e dd i s t r i b u t e ds y s t e mc o m b i n e dw i t hi n t d l i g c m ti n t r u s i o nd e t e c t i o n t e c h n o l o g yi so n eo ft h ek e yt e c h n o l o g i e st ob ea p p l i e di nt h ei n t r u s i o nd e t e c t i o ns y s t e m t h r o u g ht h es t u d yo n 鲥da n di n t e l f i g e n t i n t r u s i o nd e t e c t i o nt e c h n o l o g y , a ni n t e l l i g e n tg r i d i n t r u s i o nd e t e c t i o ns y s t e m ( g i n s ) i sp r o p o s e dw h i c hd e p l o y si nt h eg r i de n v i r o n m e n tb a s e d o nt h eg r i d s e r v i c e ，m a i n l y c o n s i s t so ff o u r p a r t s ，d a t a c o l l e c t e n g i n e , t a s ks c h e d u i n g e n g i n e ，d a t aa n a l y s i se n g i n e ，a l e r ta n dr e c o v e r ye n g i n e t h em a i nt a s ko fd a t ac o l l e c te n g i n ei s c a p t u r i n gt h er e a l - t i m en e t w o r kp 赦：l 【e t ，t h i si st h em a i nd a t ar e c o u r c 冶o fd a t aa n a l y s i se n g i n e i n o r d e rt or e a l i z et h el o a db a l a n c eb e t w e e nt h ed e t e c t i o ne n g i n e s ，w ei n t r o d u c et h em e c h a n i s mo f d y n a m i cl o a d 觥a c k t ou p d a t er e a l - t i m el a o di n f o r m a t i o no f n o d eb yu s i n gm d s a tt h e f m r l et i m e ，m a k eb e t t e ru o f 面dr e s o u r c c sf o rt h ei n v a s i o nb e h a v i o ra n a l y s i s e n s e m b l e l e a r i n i n gi su s e di nt h ed a t aa n a l y s i se n g i n e ，i tn o to n l yc a ni m p r o v et h ed e t e c t i o ne f f i c i e n c y a n da l s oc a ni d e n t i f yan u m b e ro fu n k n o wa t t a c k s ；i no r d e rt or e d u c et h en u m b e ro fa l a r m s ，w e s e ts o m er u l e so fa l a r ma t t r i b u t e ，a n dw e i g h t e dt h ea l a r ma t t r i b u t e si s a p p l i e dt oa l e r t s a g g r e g a t i o n , t h e nt oac o m m o nf o r m a ts t a n d a r do u t p u ta l a r mi n f o r m a t i o n i na d d t i o n , t o 钌l h a i l c et h ei n t r u s i o nt o l e r a n c ec a p a b i l i t i e so fi n t r u s i o nd e t e c t i o ns y s t e m ，w er a i s e da d a p t i v e 南京邮电大学硕士研究生学位论文 a b s t r a c t a l a r ma n dr e c o v e r ym e t h o d i tc a l lb ee f f e c t i v e l yg u a r a n t e et h ea v a i l a b i l i t yo f g r i dr c s o u r c s ， d a t ai n t e g r i t ya n ds e c u r i t y t h eg i d s ，w h i c hf u l l ye x p l o i t sl e s o u r c e si nt h eg r i da n dr e a l i z e s l o a db a l a n c e ，h a sh i g he f f e c t i v e n e s si nd e t e c t i n gt h em a l i c i o u sa t t a c k su n d e rh e a v yn e t w o r k t l a 伍ce n v i r o n m e n t e x p e r i m e n t a lr e s u l t ss h o wt h a tt h ep e r f o r m a n c eo f g i d si sb e t t e r k e yw o r d s ：g r i d ，i n t r u s i o nd e t e c t i o n , d y n a m i cl o a df e e d b a c k , e n s e m b l el e a r n i n g ，a l e r t a n dr e c o v e r y i l l 南京邮电大学硕士研究生学位论文 目录 目录 中文摘要一i a b s t r a c t i i 第一章引言1 1 1 课题背景。1 1 2 研究现状及发展趋势2 1 3 课题来源及本人工作4 1 4 本文组织5 第二章网格入侵检测模型分析与设计7 2 1 网格入侵检测系统总体框架7 2 1 1 网格安全体系结构。7 2 1 2 网格中的入侵检测系统9 2 1 3 基于网格服务的入侵检测系统框架l o 2 2 网格入侵检测系统模型设计1 l 2 2 1 数据采集引擎的设计l l 2 2 2 任务调度引擎的设计。一1 4 223数据分析引擎的设计15 2 2 4 告警恢复引擎的设计一：1 7 23本章小结。一19 第三章基于负载动态反馈的任务调度方法 3 1 网格任务调度概述2 0 3 2 动态反馈负载均衡技术2 2 3 2 1 网格节点负载信息的获取2 2 3 2 2 动态反馈机制。2 4 3 2 3 综合负载的计算2 5 3 3 动态负载最小调度算法” 3 4 仿真实验和分析2 8 3 5 本章小结3l 第四章基于集成学习的入侵检测方法。3 2 4 1 人工神经网络( a r t i f i c i a ln e u r a ln e t w o r k a n n ) 3 2 4 1 1b p 神经网络基础理论3 2 4 1 2 弹性b p 算法( r e s i l i e n tb a c kp r o p a g a t i o n , r p ) 3 6 4 i 3 尺度化共轭梯度反向传播算法( s c a j e dc o n j u g a t eg r a d i e n ta l g o r i t h m , s c g ) 。3 7 4 1 4l e v e n b e r g - m a r q u a r d 算法( l m ) 。3 8 4 2 支持向量机( s u p p o r tv e c t o rm a c h i n e s ，s v m ) 3 9 4 2 1s v m 基础理论3 9 南京邮电大学硕士研究生学位论文 目录 4 2 2s v m 的分类学习算法。4 3 4 2 3s v m 解决多类划分问题：4 4 4 - 3 基于集成学习的入侵检测方法。4 5 4 3 1 集成学习的基础理论4 5 4 3 2 集成学习的入侵检测原理4 7 4 4 仿真实验和分析4 8 4 4 1 实验数据4 8 4 4 2 单个b p 神经网络的检测4 9 4 4 3 单个s v m 的检测5l 4 4 4 集成a n n 的检测 4 4 5 集成a n n 和s v m 的检测。 5 2 4 5 本章小结。5 4 第五章基于自适应的告警恢复方法 5 1 告警融合方法 5 2 恢复容侵方法 5 3 自适应的告警恢复方法 5 4 本章小结 5 6 5 8 6 0 第六章网格入侵检测系统的实现 6 1 罔格入侵检测系统g 1 d s 的实现 6 1 1 网格入侵检测系统g i d s 门户界面 6 1 2 网格入侵检测系统g i d s 软件界面 6 2 网格入侵检测系统g d s 的测试 6 2 1g i d s 环境部署 6 2 2g i d s 检测u d pf l o o d 攻击 6 2 3g i d s 检测d d o s 攻击。 6 2 4g i d s 和s i d s 对比分析 6 3 本章小结 第七章总结与展望 6 2 6 3 6 3 鬻髫酗 6 3 6 4 6 6 6 8 7 1 总结：7 l 7 2 展望 j 致谢 攻读硕士学位期间的学术论文 7 3 7 4 攻读硕士学位期间参加的科研项目7 5 攻读硕士学位期间获得的专利申请7 5 缩略词7 6 图表清单7 7 参考文献8 0 v 南京邮电大学硕士研究生学位论文 第一章引言 i i 课题背景 第一章引言 网格计算就是基于网格的问题求解，是一个分布式和并行计算的支持平台，是一种无 缝、集成计算和协同环境【l 刀，它除了具备分布式系统的基本特性二分布性和共享性之外， 还具有自相似性、资源类型多、多层次上的异构性等特性【3 l 。它可以作为虚拟的整体使用 在地理上分散的计算资源，如高速互连的异构计算机、数据库、科学仪器、文件和超级计 算系统等。基于i n t e r n c t 的网格计算系统不但能使人们聚集分散的计算能力、形成超级计算 的能力，解决诸如高能物理、大气、天文、生物信息和石油地质等许多重大应用领域中的 问题( 诸如虚拟核爆炸、新药研制、气象预报和环境监测等) ，而且还能使人们共享和充 分利用网络中的各种资源。简而言之，网格是把整个瑚姗喊整合成一台巨大的超级计算机， 实现计算资源、存储资源、数据资源、信息资源、知识资源、专家资源的全面共享和协同 网格具有以下与般网络不同的特点嗍：大量动态的用户群体；大量动态资源；计算_ p ” 能力的动态增长和收缩；多种通信机镧；不同的本地安全解决方案 不同的本地信任机制； 跨组织和区域的用户和资源。即网格具有大规模、开放、分布、异构、动态和可扩展等特 性。随着i n t e r n e t 正以指数级的速度在迅速发展和广泛应用，随之而来的网络安全问题出现 了前所未有的严峻形势。网络遭受攻击事件不断发生，网络安全事件频繁发生，计算机网 络的保密性、完整性、可用性受到了严峻的考验，网格必须提供安全机制。网格必须提供 的基本安全服务包括：认证、授权、完整性、审核、保密性、安全日志、安全性管理等。 网格安全机制的代表是网格安全基础设施g s i ( o d ds e c u r i t yb 纳s 岫l c t i l 坞) f 5 】，它是g l o b u s 1 6 ( g l o b u s ：是美国她。锄e 国家实验室联合多家研究机构研发的项目，目前的g l o b u s 被认为是 网格计算技术的典型代表和事实上的规范。g l o b u s 在协议的基础上开发了系列的服务以及 与服务功能相对应的a p i ( a p p l i c a t i o np r o g r a m m i n gi n t - e r f a c e ) m ) 为用户和应用程序提供用 来安全地访问网格资源的一组工具、类库和协议。g s i 基于公钥加密技术，x 5 0 9 证书和s s l 通信协议，并对这些标准进行了扩展，以能够进行单点登录和授权代理，其实现遵循g s s - a p i 标准。g s s - a p i 是由i e t f 所提出的通用安全服务g s s - a p i ( g e n e d cs e c u r i t ys e r v i c ea p i ) 。g s i 能够提供基本的网格安全保证，但缺少入侵检测功能，作为传统网络安全中继防 第1 页 南京邮电大学硕士研究生学位论文 第一章引言 火墙之后的第二道防线，这一功能在网格中也是至关重要的，因为如果连网络安全都无法 保证，那么就很难保证网格中存储的数据的安全性；网格环境有自己的特点，其所面临的 攻击种类和数量比普通网络中的单个主机节点更趋于多样化，更加复杂，需要根据网格环 境的特点专门设计适用于网格的攻击检测系统；为了提高服务质量，数据网格中使用了大 量的数据副本，但毫无疑问，系统复杂程度的增加会带来一系列不可预测的安全隐患，数 据冗余度越大，给攻击者提供的攻击点就越多，泄密的可能性就越大，恢复的难度也增大， 这对系统的安全将是十分有害的，而传统的网格安全机制是以预防和保护为中心的被动安 全保护机制，主要包括：密码学、身份认证、访问控制以及防火墙等机制- i 塞些技术主 要着眼于外部用户的身份和权限约束的检查，无法防止所有非法攻击和内部合法用户的权 限滥用。入侵检测技术作为一种主动型的网络安全防御技术，正在受到越来越多的重视。对 于入侵检测的研究可以追溯到2 0 世纪8 0 年代嘲。入侵检测是指通过从计算机系统或网络中 的若干关键点收集并分析信息，从中发现系统或网络中是否有遭到攻击的迹象并做出响 应。根据检测对象的不同，入侵检测可分为主机型和网络型。主机型检测就是以系统日志、 应用程序日志等作为数据源，保护的一般是所在的主机系统网络型入侵检测的数据源是 网络上的数据包，往往将一台计算机的网卡设置成混杂模式( p r o m i s c u o u sm o d e ) ，对本 网段内的数据包进行信息收集，并进行判断基于网络的入侵检测方式具有较强的数据提q 黔玎 取能力，因此目前很多入侵检测系统倾向于采用基于网络的检测手段来实现。入侵检测系 统( m s ，i n t r u s i o nd t 加c t i s y s t e m ) 是继防火墙、数据加密等传统安全保护措旌之后的新 一代安全保障技术，它可以帮助网络系统快速发现网络攻击，能够扩展系统管理员的安全 管理能力，提高信息安全基础结构的完整性。 综上所述，迫切需要在网格中引入入侵检测机制，以阻止来自网络的攻击，保证网格 中各节点主机的安全性，数据的完整性、保密性、安全性。 1 2 研究现状及发展趋势 早期的入侵检测系统0 d s ) 的开发主要集中在对单机入侵检测系统s i d s ( s i n g l ei n t r u s i o n d e t e c t i o ns y s t e m ) 方面。网络技术的进步为黑客技术的发展提供了条件，出现了分布式攻击， 典型的拒绝服务攻击( d e n i a l - o f - s e r v i c e ，简称d o s ) 和在其上演变而成的分布式拒绝服务攻击 ( d i s t r i b u t e dd e n i a l - o f - s e r v i c e ，简称d d o s ) 都是通过向网络发送海量数据包，消耗系统资源， 导致停止对合法用户提供正常的服务，进而使整个网络瘫痪。单机入侵检测系统已经不能 有效防范这种攻击。于是，研究人员开始对分布式入侵检测系统进行研究和开发工作。分 第2 页 南京邮电大学硕士研究生学位论文 第一章引言 布式入侵检测系统通过分布采集、协同工作的方式，彼此交互网络信息进行关联分析，从 而达到检测分布式攻击的目的。 目前已经开发出来的典型分布式入侵检测系统有：( 1 ) 美国加州大学d a v i s 分校于2 0 世9 9 0 年代提出来的d i d s ( d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ) 5 1 ，该系统采用分布采集、 集中处理的方式，所有采集到的网络或主机数据将被传送到中心节点集中处理，判断是否存 在攻击行为，这样，中心处理节点可能会成为系统瓶颈，在出现大量攻击时存在失效的威 胁。( 2 ) 为了克服d i d s 集中分析的缺点，美国t e x a sa & m 大学于1 9 9 6 年提出c s m ( c o o p e r a t i - n gs e c u r i t ym a n a g e r s ) 9 系统。该系统采用对等体来组织系统，每个c s m 就是一个入侵检 测系统，各c s m 之间通过交换信息来合作检测分布式入侵。但是，该系统在c s m 数量大的 情况下存在交互信息量大和综合判断能力不强的问题。( 3 ) 由日本i p a ( i n f o r m a t i o nt e c h n o l o g yp r o m o t i o na g e n c y ) 开发的i d a ( i n t r u s i o n d e t e c t i o na g e n ts y s t e m ) 1 0 】是一个多主机检测系 统，该系统采用两层的系统框架，其最大特点就是采用移动代理技术自动收集信息。但是， 该系统只定义了某类特定事件，因此只适用于检测某一类分布式入侵，扩展性不强。( 4 ) 在国内，对于分布式入侵检测系统的研究也有了一定的成果，如大规模分布式入侵检测系 统( 1 a r g e - s c a l ed i s t r i b u t e di n t r u s i o nd g l g o t i o l ls y s t e m ，简j 萌$ l d i d s ) t l l 】采用分布采集、动态协 调、集中管理的思想，采用树型的分层体系结构设计了一种大规模的分布式入侵检测系统 该系统具有很大的灵活性和可扩展性但是，这些传统的分布式入侵检测系统由于处理数 据量大且集中，负载不均衡，从而导致系统整体处理速率较慢，不能满足实时处理的要求。 网格的出现为入侵检测系统提供了新的工作环境，从而能够实现分布式的、负载均衡 的入侵检测系统。网格入侵检测系统是网格技术在入侵检测领域的一种新的应用，目前主 要是开发实验性的原型系统。文献 1 2 提出了一种基于p 2 p 模型的入侵检测系统，该系统 利用p 2 p 技术取消了各个检测结点间逻辑上的主从关系，而且系统的运行不需要使用者的 干预，具有很好的自治性。主要缺点是管理十分困难，这对于入侵检测十分不利。文献 1 3 提出了一种智能网格入侵检测系统，该系统不仅能够充分利用网格上的检测资源进行入侵 发现，而且利用神经网络技术实现了资源使用的负载均衡，主要缺点是检测方法单一，无 法适应网格异构环境下的检测，尤其是对未知攻击的识别。更重要的是当入侵行为发生的 时候，入侵检测系统检测到入侵行为后，就会触发报警机制向网络安全管理员报警，接下 来的工作其实是管理员自己来完成的，这无疑增加了人的负担，而且人的反应速度远远低 于程序运行速度，所以，当管理员去处理某个入侵时，很有可能此时入侵所造成的损害已 经传播开来了，而且可能对系统造成很大的危害。综上所述，目前分布式入侵检测系统普 遍存在以下三个问题： 第3 页 南京邮电大学硕士研究生学位论文第一章引言 1 ) 随着网络规模的扩大，传统的分布式入侵检测系统由于处理数据量大且集中，负载不 均衡，容易导致系统整体处理速率较慢，不能满足实时处理的要求。要保证系统高效运行， 负载均衡成为制约入侵检测系统性能的瓶颈。 2 ) 目前很多入侵检测系统倾向于采用基于网络的检测手段来实现，即对本网段内的数据 包进行信息收集，再通过相应智能检测技术进行判断。为此，越来越迫切地需要采用机器 学习等各种智能检测方法。而传统的单一的机器学习算法，检测效率不高，各类检测技术 没有紧密配合。 3 ) 尽管入侵检测系统可以抵挡部分入侵，另外有部分入侵被入侵检测机制所检测并报告 给系统管理员处理，但是仍会有少数入侵不能被检测和排除掉。 由于入侵方式不断变化和入侵手段不断更新，目前的检测技术、审计数据的收集能力， 以及系统处理能力、可靠性等方面都需要进一步加强。笔者认为，今后入侵检测系统研究 的热点和重点主要基中在以下两个方面：在检测技术上研究快速匹配规则，提高过滤器、 分析器的速度，解决高速、宽带网中入侵检测系统收集、处理海量审计信息的困境；在网 络结构上，运用增加入侵检测系统的检测点并合理布局，加强相互之间的协作，最大效率t 的发挥各自的作用，采用分布式技术，拓宽审计数据收集层面，提高系统性能 因此，本文提出的网格入侵检测系统( g d s ，g r i di n t r u s i o nd e t e c t i o ns y s t e m ) 模型，j ，：孵 利用网格提供的资源管理能力实现各种系统资源的无缝集成，保证系统资源使用的负载均 衡；为了提高系统对攻击的检测能力，引入集成学习的方法，将b p 神经网络和s v m 支持 t 向量机有机的结合起来协同检测，降低误警率和漏警率；同时，为了提高g i d s 的容侵能。 力，在发现攻击报警的同时，建立自适应恢复机制，形成告警恢复模块，保证网格中节点 数据的安全性、保密性和可用性。 1 3 课题来源及本人工作 本文所涉及的课题主要来源于国家高技术研究发展计划( 8 6 3 计划) 项目，项目名称 为“基于网格的数据可靠存储与容侵关键技术 本人所做的工作可陈述如下：( 1 ) 在研究网格安全基础设施g s i 和传统分布式入侵检 测系统特点和不足之处的基础上提出了网格入侵检测系统( g i d s ) ，g i d s 由数据采集引擎、 任务调度引擎、数据分析引擎和告警恢复引擎构成，详细设计各个引擎的体系结构，介绍 了其中用到的关键技术；( 2 ) 在研究网格网格资源管理功能的基础上，利用m d s 动态监 控发现网格中的资源进行入侵行为检测，并引入动态反馈机制获取节点的负载信息并计算 第4 页 南京邮电大学硕士研究生学位论文 第一章引言 得出节点的综合负载值，提出动态负载最小算法，实现系统资源使用的负载均衡；( 3 ) 在 研究传统的入侵检测技术：基于b p 神经网络的入侵检测技术和基于s v m 的入侵检测技术 的基础上，结合网格环境的特点，提出了一种应用于网格的集成学习入侵检测方法，将b p 神经网络和s v m 支持向量机的改进算法集成起来，并阐述了集成学习的入侵检测原理， 并通过一系列仿真实验表明了这种设计方案的合理性和可行性；( 4 ) 当有攻击事件触发了 告警恢复引擎时，将低级告警信息抽取关键属性合成高级告警并统一输出，同时对遭受到 严重攻击的节点启动必要的恢复措施，提出了自适应的告警恢复方法，提高了g i d s 的容 侵能力；( 5 ) 网格入侵检测系统的实现，分别模拟了d o s 和d d o s 攻击以测试g i d s 的入 侵检测能力以及容侵能力。 1 4 本文组织 全文共分七个章节，内容组织如下： 本文第一章首先在介绍了的网格技术的基本概念以及网格安全的基础设施g s i 的基本 功能和缺陷，指出在网格安全体系结构中引入入侵检测机制的必要性；并简要介绍了当前 分布式入侵检测系统的发展，同时也指出了现有分布式入侵检测系统的缺陷：检测效率低 一， 下，系统负载不均衡以及入侵检测系统本身缺乏容侵能力，由此说明将网格技术引入入侵 检测系统的必要性。 第二章分析了网格入侵检测系统所具备的特点，提出了基于网格的入侵检测系统的体 系结构详细介绍了网格入侵检测系统g i d s 中的数据采集引擎、任务调度引擎、数据分 析引擎和告警恢复引擎的设计，以及各个引擎用到的关键技术。 第三章传统的分布式入侵检测系统由于处理数据量大且集中，负载不均衡，从而导致 系统整体处理速率较慢，不能满足实时处理的要求。本章在研究网格资源管理功能的基础 上，引入动态反馈机制“查询一修正一任务分配一查询 ，利用m d s 获取节点的实时负载 信息，提出综合负载率的概念，并给出相应的计算方法，在此基础上提出动态负载最小算 法，实现系统的负载均衡。 第四章主要研究了传统的网络攻击检测技术，包括b p 神经网络和支持向量机( s v m ) 的入侵检测技术，并对其进行了适当的改进，b p 神经网络算法提出“弹性b p 、尺度化共 轭梯度反向传播s c g 以及l m 算法三种方法进行改进，s v m 提出基于二叉树的s v m 分 类。在此基础上，对两种算法进行集成以提高检测能力。并在m i t 的k d d c u p 9 9 数据集上 进行仿真，对比研究了b p 神经网络和s v m 各自的检测特点，以及分析了集成b p 神经网 第5 页 南京邮电大学硕士研究生学位论文 第一章引言 络和s v m 支持向量机后的集成学习检测效果，证明该方法的可行性和合理性。 第五章结合网格环境的特点，在大量告警信息中提取了重要告警属性，并加权计算统 一格式，输出高级告警，为高端的安全事件处理做数据预处理工作；然后为提高入侵检测 系统的容侵能力，将容侵恢复方法引入告警恢复引擎，提出了一种基于自适应的告警恢复 算法，在发现攻击及时报警的同时提高了网格入侵检测系统g i d s 的容侵能力。 第六章分别实现了网格入侵检测系统的w e b 和客户端界面，在部署了网格入侵检测系 统的实时环境下，用u d pf l o o d 攻击器模拟了d o s 和t f n 2 k 模拟了d d o s 攻击，测试系 统的入侵检测和容侵能力。 最后第七章总结了本文所作的工作，并对该课题进一步研究的重点方向进行展望。 第6 页 南京邮电大学硕士研究生学位论文 第二章网格入侵检测系统模型分析与设计 第二章网格入侵检测模型分析与设计 2 1 网格入侵检测系统总体框架 2 1 1 网格安全体系结构 网格的体系结构如图2 1 所示。它是一个在网格标准软件平台g l o b u s 上构建的新型数据 存储系统，通过网格平台g l o b u s 将各种各样的异构、分布的存储资源和数据资源组织起来， 形成一个庞大的虚拟存储系统。 o o _ o _ o i - _ 一 i 用户行为预测 i l 网格存储性能监控 ii 数据分块与恢复l - _ _ - _ _ - - _ - _ _ _ _ - _ _ _ _ _ _ - _ _ _ _ _ l i _ _ i - _ - l _ i - _ _ l _ - _ _ _ _ _ - - - _ l i _ _ _ _ _ _ _ - _ - _ _ - _ _ _ _ _ _ _ j i 存储资源的调度与优化 l - _ _ _ _ _ _ _ _ _ _ _ i _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ h _ i _ - _ _ _ 一 i 统一的数据访问接口l l 副本管理与一致性维护l i 数据传输g r i d f t pl 一一一 图2 - l 基于g l o b u s 的网格体系结构 在o l o b u s 网格模型下，网格中所有用于共享的实体都是资源，比如计算机、存储器、 数据、软件是资源，分成式文件系统、缓冲池等也是资源。网格的所有功能都是基于w s r f ( w e bs e r v i c er e s o u r c e sf r a m e w o r k ) 标准框架，以网格服务的形式提供的，包括元数据 管理和信息服务、存储资源的调度与优化、副本管理与一致性维护、数据传输、性能监控、 数据分割与恢复等等，当然也包括网格安全存储方面的功能。 现有的网格技术标准【1 4 1 是2 0 0 2 年6 月美国她o n n e 国家实验室的i 趾f o s t e r 等人结合w 曲 s e r v i c e 技术提出的开放网格服务体系结构o g s a ( o p e ng r i ds e r v i c ea r c h i t e c t u r e ) ，在这个 架构中，网格的每项功能和应用都以服务的形式给出，一个网格服务实例就是一个w e b 服 第7 页 访问接口构建安全存储服务，来建立一个具备良好的数据安全存储能力的网格系统，基于 网格的安全存储服务具有如下比较鲜明的特点1 1 5 ，； ，_卜 网格资源的共享：资源共享包括计算资源共享、数据和信息资源共享、应用和服 务共享、设备共享、软件共享等，网格将多个动态变化的资源集成起来，提供动 态、跨组织边界的资源整合的支撑环境，解决文件完整性校验所面临的大容量数 据的存贮和运算问题。各个结点通过资源共享，完成用户提交的各种任务。网格 屏蔽资源共享的复杂性，使资源有序化，并易于被发现和集成，降低了资源共享 的成本和难度。 协同工作能力：网格是为跨网段、跨平台的分布、异构资源提供一种资源共享和 协同管理的环境，使得用户提交的任务，能够在动态组成的文件完整性校验系统 中完成。网格资源结点根据不同的任务，动态组成不同的服务，通过彼此间合作， 共同完成任务。网格的发展将帮助分散在不同网段