一种CORBA中间件的智能入侵检测系统的实现(1)

    随着网络技术的发展和网络应用的深入，网络安全问题日益严重，给网络和信息系统带来了严重威胁。究其原因，主要是网络攻击技术不断发展变化，并呈现出一些新的特点，而原有的安全解决方案不能迅速地适应这些新特点，导致网络的安全保障技术相对落后于网络攻击技术，从而出现防不胜防的尴尬局面。所以有必要引入新的技术和思想，来改进原有的安全解决方案。

    入侵是指试图破坏一个资源的完整性、机密性和可获得性的活动集合^[1]。入侵检测技术可被分为误用入侵检测和异常入侵检测两种，前者通过检测固有的攻击模式发现入侵，后者通过检测系统或用户行为是否偏离正常模式发现入侵；按照数据来源可分为主机和网络入侵检测，主机入侵检测主要收集其运行主机的信息，例如CPU、内存使用率，文件的访问控制等，网络入侵检测主要收集其所在局域网上传输的所有数据；按照入侵响应可分为主动响应和被动响应两种：如果检测出入侵后，能够自动重新配置防火墙、关闭适当的服务或反击入侵者，那么就被称为主动响应，若检测到入侵后仅给出警报或记录日志，那就是被动响应^[2]。

    入侵检测系统是基于以上几种模型相结合构建出的计算机软件，其作用就像一个防盗系统，能够实时地发现可能的入侵。目前的网络入侵检测系统和产品还很不成熟，基本上都是用来监控单一网段，功能较为简单。此外，随着网络应用的广泛和互连网络自身的分布异构性，网络入侵与攻击的方式已经变得越来越隐蔽，且趋于多样性、分布化和协同性^[3]。因此，入侵检测系统也需要满足跨平台、可复用、易扩充、协同检测等新的应用需求。所以，研究利用分布计算技术，实现大型分布式入侵检测系统（DIDS）是有意义的。

    CORBA是由对象管理国际组织OMG制定的一套分布式对象交互的规范^[4]。CORBA与入侵检测相结合具有许多优点和特点：① CORBA开发语言独立性和跨平台性，使得能够方便地集成多种多样的监测和安全程序；② 利用CORBA中间件所集成的下层软件与上层应用系统几乎无关，即当下层软件发生改变时，只要CORBA对外的接口定义不变，上层应用几乎不需修改；③ CORBA具有好的扩展性，能方便地进行系统裁剪或组合，适应不同的具体需要和环境；④ CORBA本身就有很好的安全机制。它提供标识与鉴别，授权与访问控制，对象间的安全通信、安全审计、安全管理等安全服务。

将CORBA的优点和DNIDS结合，不仅可以解决网络平台的复杂性和多样性，还能适应网络异构和动态变化的特性。因此，我们设计并实现了一个基于CORBA的入侵检测系统，称之为CMDIS。

    CMDIDS系统是一个集状态监测，入侵检测和入侵响应于一体、网络与主机检测相结合、适于大型网络结构的DIDS。CMDIDS系统主要由管理点、网络检测点、主机检测点和安全响应点4部分组成^[5] (见图1)。在CMDIDS应用环境中，用户可将一个大型网络划分成多个域，每个域中可部署一个网络检测点，多个安全响应点和多个主机检测点。整个系统只需部署一个管理点。

    网络/主机检测点的任务是采集原始数据，对原始数据按照用户要求进行过滤，并反馈给管理点，实现实时状态监测，或对原始数据进行误用入侵检测，将结果报告给管理点。它由数据采集引擎、数据过滤器、误用入侵检测分析器和域管理器4部分组成。

    安全响应点是网络中除检测点以外涉及网络安全和网络管理的各种软件资源，例如防火墙组件、文件备份组件以及负载均衡组件等。

    管理点的任务是管理和配置所有的网络检测点，负责它和检测点的信息交流，汇总和存储检测点上报的数据，并对这些数据归类分析，进行异样入侵检测和分布式误用入侵的检测。它包含了图形用户界面、数据库、异常入侵检测与误用入侵分析器和顶级管理器4个部分。

    与其他现有的DIDS相比，CMDIDS的一个特色在于实现了误用和异常的入侵检测的分离。前者放在检测点中，而后者放在管理点中。这是因为与计算机病毒相似，误用入侵攻击也具有明显的特征，这些特征也可被转化为规则，形成规则库，而且易于用编程语言实现。当前危害较大的洪水攻击和蠕虫病毒攻击的共同特点都是在短时间内发送大量的数据包，拥塞网络或主机，从而造成设备瘫痪。如果将攻击数据照原样传送给管理点，不亚于将攻击的目标转移到管理结点。因此检测点在检测出误用入侵后只需和防火墙组件连动，切断有害连接，再将攻击的来源和特征报告给管理点。由管理点汇集这些信息进行进一步的分布式入侵检测分析，从而大大减少了检测点和管理点的数据通信，实现了局部与全局的监测的有机结合和对管理点的保护。

    CMDIDS的另一个特色是使用分布式计算和面向对象计算完美结合的CORBA技术，实现了检测和响应分离。用户可按照需要，选择检测点及不同安全组件之间的协作关系，建立了安全组件之间的相互通信和联动，提高了系统的可扩展性，实现整体安全防护。例如，当检测引擎检测到某种攻击后，会自动通知防火墙修改安全策略。从信息安全系统防御的角度出发，这种联动是必要的。联动包括了检测引擎与防火墙的联动，可封堵源自外部网络的攻击; 检测引擎与网络管理系统的联动，可封堵被利用的网络设备和主机; 检测引擎与操作系统的联动，可封堵有恶意的用户帐号；检测引擎和备份服务器联动，可以进行灾难恢复。

    CMDIDS是一个基于CORBA的应用，那么系统设计的第一步就应该将系统中用到的CORBA对象提炼出来。CORBA对象与我们平常所说的（本地）对象一样，也包含了对象属性和对象操作。但区别在于CORBA对象必须用IDL语言定义。IDL定义了应用程序构件之间可互操作的接口。有了这个接口才使对象之间的远程调用成为可能。而ORB又保证了对象调用对用户的透明性。换句话说，CORBA对象提供远程调用的接口，而本地对象则不可以。