導語：網格入侵檢測的研究論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要網格是部署在廣域網上的抽象應用，其基本單位是以實現一個任務為目標的動態組建的虛擬組織。基于網格的入侵檢測系統應該是部署在虛擬組織之上的虛擬組織。本文首先分析了網格對于入侵檢測系統的要求以及當前網格入侵檢測系統的不足之處，然后提出了基于虛擬組織的網格入侵檢測系統模型(VGIDS)。

關鍵字網格；虛擬組織；入侵檢測

1入侵檢測系統分析

表1分析了入侵檢測系統結構變化。

表1IDS出現的問題及結構的變化

IDS發展解決的問題結構特征

基于主機單一主機的安全各部分運行在單節點上

基于網絡局域網的安全采集部分呈現分布式

分布式單一分析節點的弱勢分析部分呈現分布式

網格的運行是由用戶發起任務請求，然后尋找資源搭配完成任務，這樣形成的團體稱為虛擬組織(VO)，網格入侵檢測系統是為其他VO提供服務的VO[1]，目前其面臨的主要問題如下：

(1)分布性：包括資源分布和任務分解。

(2)動態部署：系統是為VO提供服務的，其部署應是動態的。

(3)動態形成：系統本身也是一VO，是動態形成的。

(4)最優方案選擇：本系統需多種網格資源協同進行，要選擇一個最優方案。

(5)協同計算：保證按照入侵檢測流程順利運行。

(6)動態改變：防止資源失效。

目前關于網格入侵檢測系統的研究[2]只能說解決了分布性、動態形成、協同計算。而對于動態部署[1]、動態改變[3]仍處于研究中。

2VGIDS系統模型

VGIDS基于開放網格服務（OGSA）思想提出了一個公共服務——GIDSService來解決目前網格入侵檢測系統面臨的問題。整個VGIDS結構如圖1所示。

(1)VO-Based：網格是一個虛擬組織的聚集，本系統提出一虛擬組織目錄(VOL)。用戶向GIDSService提交請求并將被檢測VO代號作為參數。GIDSSevvice查找VOL獲取VO信息。當VOL數量減為一就成為單一網格應用，可由網格管理(GM)將VO信息傳給GIDSServic。

圖1VGIDS系統結構

(2)GIDSService：負責資源發現，調度。具體包括：

RI（RequestInterface）：服務接口，負責服務請求及VO信息獲取。同VOL解決動態部署。

DA（DelegationAgent）：委托。同用戶交互獲得用戶委托授權。

DD（DistributedData）：分布式數據。存儲VGIDS需要的資源信息。解決分布問題。

RQ（ResourceQuery）：資源查詢。當獲得用戶授權后便由RQ根據DD描述向資源目錄(RL)查找資源。解決分布問題。

PC（PlanChoose）：最優方案選擇。當從RL獲得可用資源后PC根據AM(任務管理)要求選擇一個最優方案。本文稱為多維最優路徑選擇問題。

AM(AssignmentManage)：任務管理。首先根據DD存儲所需資源的調度信息，當VGIDS形成后，根據PC的方案選擇及DD存儲的資源信息進行任務的調度和協同各分布資源的交互，解決協同計算。

IR(IntrusionReaction)：入侵響應。

SN(SecurityNegotiate)：安全協商。同資源和用戶的安全協商。

DI(DynamicInspect)：動態檢查。負責檢查資源失效向RQ發起重新查找資源請求。解決動態改變問題。

LB(LoadBalance)：負載平衡。主要根據DD信息解決網格資源調度的負載平衡問題。

3VGIDS服務描述

本系統是一動態虛擬組織，在系統運行之前必須以靜態網格服務的形式部署于網格之上，當用戶申請時再動態形成。

定義1：VGIDS的靜態定義如下：VGIDS=<Base，Resource，Role，Task，Flow，Relation>

Base為VGIDS基本描述，Base=<ID，Power，IO，Inf，log，goal，P>。ID為虛擬組織編號；Power為獲得的授權；IO為被檢測對象；Inf為監控VGIDS獲得的信息文件；log為系統日志；goal為VGIDS目標，包括調度算法所估計的系統效率及用戶要求；P為系統交互策略，需同網格資源進行交互，授予資源角色和相關權利并同時分配相關任務。

Resource為VGIDS的所有資源，Resource=<IP，Property，Serve，Power，P>。

IP為資源地址；Property為資源屬性(存儲、分析)，方便角色匹配；Serve為資源可提供的服務指標；Power為使用資源所要求的授權；P為資源交互策略。

Role為存在的角色類型，Role=<ID，Tas，Res，Power>。ID為角色的分類號，按照工作流分為5類角色分別對應VGIDS的5個環節；Tas為角色任務；Res為角色需要的資源類型；Power為角色所獲得的權利。

Task為工作流任務集合。Task＝<ID，Des，Res，Role，P>。ID為任務標號；Des為任務描述；Res為需要的資源種類；Role為任務匹配的角色；P為Task執行策略。

Flow為工作流描述文件，Flow=<Role，Seq，P>。Role為角色集合，Seq為角色執行序列，P為對于各個角色的控制策略。

Relation為已確定資源Resource和Role之間的關系。Relation=<Res，Role，Rl>。Res為資源集合，Role為角色集合，Rl為對應關系。

4多維最優路徑選擇

4.1問題描述

將圖1抽象為圖2模型定義2：Graph=(U、D、A、{Edge})。

U為所有被檢測對象的集合，Un=(Loadn、Pn)，Loadn為Un單位時間所要求處理的數據，Pn為Un在被檢測VO中所占權重，如果P為空，則按照Load大小作為權重。

D為存儲服務集合，Dn=(Capn、Qosdn)，Capn為Dn提供的存儲容量。Qosdn為Dn提供的服務質量，近似為數據吞吐率。

A為分析服務集合，An=（Classn、Qosan），Classn為An處理的數據種類，如系統日志或網絡流量。Qosan為An提供的服務質量，近似為處理速率。

Edge為邊的集合，有網絡傳輸速度加權v。

圖2VGIDS調度模型

定義3：Qos定義為一個多維向量，可用一個性能度量指標的集合表示：

{M1(t)、M2(t)，…，Mn(t)}

Mn(t)為一個與網格服務質量有關的量，如CPU的主頻、網絡速度、內存。服務的執行過程體現出來的性能參數是一條n維空間的軌跡M，這個n維空間的每一維代表一個性能指標

M=R1*R2*…*Rn

其中，Rn是性能指標Mn(t)的取值范圍。在本系統中存在兩類Qos，分別為D和A。本系統強調實時性，所以CPU、RAM和網絡速度占很大權重，Qos計算公式如下：

Wcpu表示CPU的權重；CPUusage表示當前CPU使用率；CPUspeed表示CPU的實際速度；CPUmin表示要求的CPU速率的最小值。Wram表示RAM的權重；RAMusage表示當前RAM使用率；RAMsize表示RAM的實際大小；RAMmin表示要求的RAM的最小值。Wnet表示網絡傳輸的權重；NETusage表示當前網絡負載；NETspeed表示網絡的實際速度；NETmin表示要求的網絡傳輸速率的最小值。

資源調度就是利用對各個資源的量化，為每一檢測對象選擇一條數據傳輸路徑。本系統目標是使整個VO獲得快速的檢測，而不是對個別對象的檢測速率很高。

定義4：對于任意一個被檢測VO的檢測對象，如果能夠為其構造一條檢測路徑，稱系統對于此對象是完備的。

定義5：對于VO，如果能夠為其所有的檢測對象構造檢測路徑，則稱系統對于被檢測VO是完備的。

本調度算法的目的便是在滿足被檢測VO和入侵檢測工作流要求下，按照所選網格資源提供的能力為整個VO構造VGIDS，使所有被檢測對象檢測效率之和最高。這是一非典型的線性規劃問題，如下定義：

X1，…Xn是n個獨立變量，表示VGIDS所選路徑；公式<5>表示最大耗費時間；公式<6>—<8>表示所有對于Xn的約束條件。由于Xn變量難以確定并且約束條件種類較多所以難以將上述問題標準化為公式<5>—<8>。

4.2算法描述

本文利用貪心選擇和Dijkstra算法進行調度。

按照用戶給出的U的權值P從大到小進行排序，if（P==NULL），則按Load從大到小進行排序得到排序后的對象數組和負載數組為

U[i]（0<i≤n，n為U的大小）；Load[i]（0<i≤n，n為U的大小）

for(i=0；i<=n；i++)，循環對U和Load執行以下操作：

（1）對于所有邊，定義其權值為網絡傳輸時間t=Load[i]/v，對于所有服務D和A定義其處理數據時間為t1=Load[i]/Qos，將t1加到每一個服務的入邊上得到最終各邊權值，如果兩點之間沒有邊相連則t[j]為∞。

（2）定義Capmin[i]為U[i]對于數據存儲能力的最低要求，Qosdmin為U[i]對于D中服務質量的最低要求，Qosamin為U[i]對于A中服務質量的最低要求。對于所有D中Cap<Capmin[i]或者Qosd<Qosdmin的節點以及A中Qosa<Qosamin[i]的節點，將其所有輸入和輸出邊的t設為∞。

（3）設所有點集合為V，V0為檢測對象，邊Edge定義為<Vi，Vj>。用帶權連接矩陣arcs[i][j]表示<Vi，Vj>的權值。定義向量D表示當前所找到的從起點V0到終點Vi的最短路徑，初始化為若V0到Vi有邊，則D[i]為邊的權值，否則置D[i]為∞。定義向量P來保存最短路徑，若P[v][w]為TRUE，則W是從V0到V當前求得最短路徑上的頂點。

（4）for(v=0；v<v.number；v++)

{

final[v]=false；

D[v]=arcs[v0][v]；

for(w=0；w<v.number；++w)P[v][w]=false；

//設空路徑

if(D[v]<INFINITY){P[v][v0]=true；P[v][v]=true；}}

D[v0]=0；final[v0]=true；//初始化，V0頂點屬于已求得最短路徑的終點集合

for(i=1；i<v.number；++i){

min=INFINITY；

for(w=0；w<v.number；++w)

if(!final[w])

if(D[w]<min){v=w；min=D[w]；}

final[v]=true；

for(w=0；w<v.number；++w)//更新當前最短路徑及距離；

if(!final[w]&&(min+arcs[v][w]<D[w])){

D[w]=min+arcs[v][w]；

P[w]=P[v]；P[w][w]=true；

}}}

掃描A中各點，選取其中D[i](Vi∈A)最小的一點X，然后從P中選取從V0到X的路徑便為所選一條VGIDS路徑。

（5）將所選路徑上的邊的速率改為V＝V－Load[i]，D的Cap改為Cap＝Cap-Capmin，D的Qosd改為Qosd=Qosd-Qosdmin，A的Qosa改為Qosa=Qosa-Qosamin。

（6）++i，回到步驟(1)重新開始循環。

5系統開發

本項目主要利用Globus工具包外加CoGKits開發工具。Globus作為一個廣泛應用的網格中間件其主要是針對五層沙漏結構，并利用GridService技術逐層對五層沙漏提出的功能單源進行實現[5]，表2簡單敘述VGIDS實現的各層功能及Globus中對應服務調用。

實驗時VGIDS部署在Linux系統上，采用基于Linux核心的數據采集技術及Oracle10g作為數據庫系統解決分布式存儲問題，數據分析技術仍采用現有的基于規則的入侵檢測技術。系統試驗平臺如圖3所示。

表2系統功能劃分及調用接口

五層結構VGIDSGlobus

應用層GridService無

匯聚層資源發現、證書管理、目錄復制、復制管理、協同分配元目錄服務MDS，目錄復制和復制管理服務，在線信任倉儲服務，DUROC協同分配服務

資源層訪問計算、訪問數據、訪問系統結構與性能信息提供GRIP、GRRP、基于http的GRAM用于分配資源和監視資源，提供GridFtp數據訪問管理協議及LDAP目錄訪問協議。Globus定義了這些協議的C和Java實現

連接層通信、認證、授權提供GSI協議用于認證、授權、及通信保密

構造層數據采集、數據存儲、數據分析提供缺省和GARA資源預約

圖3系統試驗平臺

本平臺共8臺機器，一臺網格目錄服務和CA認證中心，一臺部署VGIDS服務。兩臺機器作為被檢測對象，相互之間可實現簡單網格協作，本試驗兩臺機器之間通過GridFtp服務傳輸數據。其余四臺機器分別實現兩個存儲服務和兩個分析服務。

6總結和展望

目前網格入侵檢測系統主要是針對某一特定網格應用靜態執行。而本文所提出的VGIDS則是針對網格運行模式——虛擬組織所提出的通用網格入侵檢測服務。本系統事先進行靜態定義，然后當有服務請求時動態解析定義文件，動態形成可執行的網格入侵檢測系統。本系統解決目前網格入侵檢測系統面臨的動態部署、動態形成、最優方案選擇、動態改變等問題。

對于網格入侵檢測系統同樣還面臨著如何解決數據異構，如何發現分布式協同攻擊，如何保障自身的安全等問題，本模型有待進一步完善。

參考文獻

[1]OngTianChoonandAzmanSamsudin.Grid-basedIntrusionDetectionSystem.SchoolofComputerSciencesUniversitySainsMalaysia，IEEE，2003.1028-1032

[2]AlexandreSchulterandJúlioAlbuquerqueReis.AGrid-worksandManagementLaboratoryFederalUniversityofSantaCatarina，ProceedingsoftheInternationalConferenceonNetworking，InternationalConferenceonSystemsandInternationalConferenceonMobileCommunicationsandLearningTechnologies.IEEE，2006

[3]TolbaMF，Abdel-WahabMS，TahaIA，etal，“GIDA：TowardEnablingGridIntrusionDetectionSystems”，CCGrid，11thMay，2005

[4]Fang-YieLeuandJia-ChunLin(eds).IntegratingGridwithIntrusionDetection.DepartmentofComputerScienceandInformationEngineering，Tung-HaiUniversity，Proceedingsofthe19thInternationalConferenceonAdvancedInformationNetworkingandApplications.IEEE，2005.1-6

[5]都志輝，陳渝，劉鵬．《網格計算》．2002年8月17日，清華大學