CN100450012C - 一种基于移动代理的入侵检测系统和方法 - Google Patents
一种基于移动代理的入侵检测系统和方法 Download PDFInfo
- Publication number
- CN100450012C CN100450012C CNB2005100277814A CN200510027781A CN100450012C CN 100450012 C CN100450012 C CN 100450012C CN B2005100277814 A CNB2005100277814 A CN B2005100277814A CN 200510027781 A CN200510027781 A CN 200510027781A CN 100450012 C CN100450012 C CN 100450012C
- Authority
- CN
- China
- Prior art keywords
- main frame
- network
- ballot
- incident
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明属于网络安全技术领域,具体是一种基于移动代理的入侵检测系统和方法。检测系统由监视器、执行器、控制器、协调器、投票代理、结果代理和响应代理组成,记为PIDS。在网络中运行PIDS系统的主机发现可疑行为的时候发起投票过程,网络中多个对等的主机投票共同决定该事件是否为恶意行为,如果认定为恶意行为则通知网络中所有主机采取适当措施避免损失或者危害发生。本发明的特点是:反应迅速,网络中一台主机发现病毒则立即通知其他主机,避免文件被破坏或者资料被窃取等损失;网络负载很小,同时可以解决分布式入侵问题;时延和网络负载随着网络规模的增大变化比较小,适合于大规模网络。
Description
技术领域
本发明属于网络安全技术领域,具体涉及一种具有自学习能力的对等的入侵检测系统和方法。
背景技术
目前,随着Internet的发展网络信息飞速膨胀,人们越来越依赖于网络,但是网络也给病毒的传播创造了便利条件。病毒的传播速度和危害程度都大大增加,而且病毒的检测也更加困难。如何有效的保护重要的信息资源不被偷窃和破坏成为一个重大问题。理想的方法是预防病毒的感染和黑客入侵,及时升级系统。杀毒软件和防火墙技术都不能很好的解决这个问题,杀毒软件只能检测文件是否感染并修复被破坏的文件,而防火墙只能预防端口连接,不能区别合法的连接和非法入侵。传统的入侵检测系统采用C/S结构,服务器负载大,而且服务器容易成为攻击对象,一旦服务器遭到破坏,整个系统瘫痪。我们提出的基于移动代理技术的对等的入侵检测系统和方法可以比较好地解决这些问题。
发明内容
本发明的目的在于提出一种能主动发现病毒感染和网络入侵的检测系统和方法,以便通知网络中其他主机及时采取措施避免资料被破坏或者被窃取。
本发明提出的能主动发现病毒和网络入侵的检测系统,由监视器、执行器、控制器、协调器、投票代理、结果代理和响应代理组成,它是一种基于移动代理技术的对等的入侵检测系统,简记为PIDS系统。监视器、执行器、控制器、协调器、投票代理、结果代理和响应代理都是基于移动代理技术实现的程序组件,其中监视器、执行器、控制器和协调器是静态的,投票代理、结果代理和响应代理是动态的,可以在网络中迁移。移动代理是模拟人类行为和关系、具有一定智能并能够在同构或异构网络主机之间自主迁移和提供相应服务的程序。该系统的各部分分别介绍如下:
(1)监视器,是系统的基本单元,主要负责检测本机上发生的安全事件。系统中有多种监视器,每种监视器负责一种安全事件,包括监视系统日志、文件变化、端口连接、系统登录、查找病毒特征码等,监视器发现安全事件发生后立即收集事件的特征信息并向控制器报告。
(2)执行器,也是系统的基本单元,主要负责执行控制器委派处理的安全事件相关的任务。同样地,每种执行器负责一种任务,包括清除病毒、修复文件、拒绝连接、断开网络等。与监视器类似,执行器也可以动态的增加和升级,以适应病毒和入侵不断变化的需要。
(3)控制器,是中间层,介于监视器、执行器和协调器之间。控制器负责分析由监视器报告的安全事件信息,根据本地的安全知识库来分析此事件。控制器如果可以识别所述监视器报告的安全事件信息,则直接向执行器发送命令,执行器根据控制器的命令来执行处理程序。否则控制器从安全报告中抽取事件的关键信息向协调器报告,请求发起投票过程,由多个网络中的主机共同监视此类事件以便做出判断,由此采取进一步的行动。
(4)协调器,是系统的协调员,收到控制器的请求后负责发起投票过程,请求网络中其它的主机共同投票决定安全事件是否属于恶意行为。若是,则通知所有主机采取必要措施避免病毒感染或者网络入侵。
(5)投票代理,是动态的移动代理。发起投票的主机的协调器通过发送投票代理到网络中的其他主机来实现多个主机协同决策,投票代理携带安全事件的特征、源地址以及投票事件限制等相关信息,网络中的主机根据本机的情况就该安全事件进行投票,协调器统计投票结果并做出最后决策。
(6)结果代理,是用于携带各个主机投票结果的移动代理。各个主机填写结果代理中选票后,发送结果代理到发起投票的主机的协调器,由于安全方面的原因,投票结果是经过加密处理的。
(7)响应代理,是通知网络中所有的主机最终投票结果的移动代理。发起投票的主机的协调器统计投票结果,如果有效投票超过半数则认为是恶意行为,并通知所有主机做好应对准备。
本发明提出的基于移动代理的入侵检测方法,首先要求所有主机加入一个多播组,组内的所有主机构成一个对等网络。PIDS系统位于网络中的每个主机中,该系统根据本机上的知识库来识别病毒感染和网络入侵,然后清除病毒,抵制入侵;如果一个主机发现可疑的事件(可能是新的病毒或者新的入侵方式),则该主机在网络内发起一个投票过程,并由多个主机共同判断此事件是否属于恶意行为;投票过程的具体步骤为:发现可疑事件的主机先提取可疑事件相关信息,随机地在组内选择一定数量的主机制定一个迁移路线图,然后发送携带可疑事件信息的移动代理。移动代理根据路线图迁移到选择的各个主机,选择的每个主机密切监视此类事件是否在本机发生,以及发生的频率,并在一定的时间内做出判断,判断的步骤如下:PIDS系统为每一个可疑事件设定一个安全系数,此系数根据事件发生频率而动态变化,如果安全系数超过阀值则认为是恶意行为,PIDS根据事件在某一时间段内的安全系数的变化进行投票,然后选择的每个主机发送一个携带投票结果的代理到发起投票的主机。发起投票的主机统计投票结果,若票数超过半数,则认为是恶意行为;如认定为恶意行为,则通知网络内所有的主机采取适当的安全措施。
本发明中,所有主机加入一个多播组,新加入主机通过组播消息通知其他主机,收到此消息的主机做出应答,由此声明自己的存在并发现组内的所有主机。
本发明的特点是:反应迅速,网络中一台主机发现病毒则立即通知其他主机,避免文件被破坏或者资料被窃取等损失;只有发现可疑行为的时候才发起投票过程,所以网络负载很小,同时可以解决分布式入侵问题;时延和网络负载随着网络规模的增大变化比较小,适合于大规模网络。
附图说明
图1为PIDS工作原理图。
图2为PIDS工作流程图。
图3为局域网自主杀毒系统工作原理。
图中标号:1为监视器,2为执行器,3为控制器,4为协调器,5为投票代理,6为结果代理,7为响应代理。
具体实施方式
本发明中,监视器、执行器、控制器、协调器、投票代理、结果代理和响应代理等组件相互关联,相互依赖,构成一个具有层次性的完整的系统。监视器1和执行器2是PIDS系统最基本的单元,监视器用来监视节点上的各种活动,捕获异常事件,执行器是执行清除病毒、修复文件、断开网络连接等操作的组件,监视器和执行器都是控制器下最底层的单元。
如附图1,如果A主机中的控制器3向协调器4报告有可疑事件发生,则协调器4在网络中随机选择一定数量的主机(比如B、C)制定一个路线图,然后向网络中发送一个携带该可疑事件信息的投票代理5,投票代理5根据路线图在网络中迁移,通知其他主机(B、C)监视本机上此类事件的活动情况,根据该事件的活动频率动态更新事件的安全系数,当该安全系数超越阀值的时候,就认定该事件是恶意行为。安全系数并不是随着事件发生频率等比变化的,而是随着事件发生频率的增加增长越来越快,由此系统更及时迅速地做出响应。比如某个事件的安全系数动态变化为{1/10,1/8,1/6,1/4,1/2,1},一定时间内第一次发生此类事件时,安全系数为1/10,第二次就变为1/8,第三次为1/6,第四次为1/4,第五次变为1/2,第六次变为1超过安全系统阀值,恶意行为确认。当然事件发生的频率逐渐递减,安全系数则随之递减,而且最初递减较快,随后递减的幅度越来越小。在一定的时间范围内(时间范围由投票代理的要求决定),其他主机(B、C)向A主机发送携带投票信息的结果代理6,发起投票的主机A统计投票结果,若超过有效票数的半数则认定为恶意行为,并向网络中发送响应代理7通知所有主机采取适当行动。
基于移动代理的入侵检测方法,我们设计一个“局域网自主杀毒系统”。在此案例中(如附图3),多台主机(S,A,B,C,D)构成一个简单的局域网,每台主机上安装都安装有一套“局域网自主杀毒系统”软件,该软件采用如图1的基本架构。下面以该系统对变种红色代码病毒的自主检测过程来介绍其工作机制:
(1)主机S上的系统“红色代码病毒监视器”检测到有类似于红色代码病毒的特征码信息的可疑事件,监视器收集可疑病毒的特征信息并转发给本系统上层的控制器,控制器根据本机上的知识库无法确认,于是对收集的信息进行简单抽取加工后再转发给协调器,协调器立即向网络中的A、B、C、D主机发送“投票代理”请求协助,由此发起投票过程。
(2)收到“投票代理”的系统A、B、C、D监控本机上此类事件的活动情况,在一定的时间内(投票时间由发起投票过程的系统在投票代理中设定)对该事件的安全性进行投票。系统为此可疑事件设定的初始安全系数为{1/10/1,1/8/2,1/6/3,1/4/4,1/2/5,1/1/6},也就是在一定时间内(这里是一分钟)可疑事件发生1次,安全系数为1/10,两次为1/8,当发生六次时,安全系数变为1,也就是门槛值,这时系统投确认票。投票信息包含在结果代理中,结果代理传给可疑事件源主机。
(3)源主机系统统计投票结果,如果超过有效投票的半数则认定为恶意行为,发送响应代理通知网络中的每个主机采取相应的安全措施。另外,每个主机都可以通知并向其他主机发送系统升级补丁,以最快的速度完成系统升级,避免病毒感染整个网络。(4)测试表明系统的病毒检出率在98%以上,与传统的系统相比具有智能性、反应快速、网络负载小以及适合大规模网络等优点。
Claims (2)
1、一种基于移动代理的入侵检测系统,记为PIDS系统,该系统位于网络中的每个主机中,其特征在于由程序组件监视器、执行器、控制器、协调器、投票代理、结果代理和响应代理组成,其中监视器、执行器、控制器和协调器是静态的,投票代理、结果代理和响应代理是动态的,可以在网络中迁移,具体内容如下:
(1)监视器,是系统的基本单元,主要负责检测本机上发生的安全事件,系统中有多种监视器,每种监视器负责一种安全事件,包括监视系统日志、文件变化、端口连接、系统登录、查找病毒特征码,监视器发现安全事件发生后立即收集事件的特征信息并向控制器报告;
(2)执行器,也是系统的基本单元,主要负责执行控制器委派处理的安全事件相关的任务;每种执行器负责一种任务,包括清除病毒、修复文件、拒绝连接、断开网络;执行器也可以动态的增加和升级,以适应病毒和入侵不断变化的需要;
(3)控制器,是中间层,介于监视器、执行器和协调器之间;控制器负责分析由监视器报告的安全事件信息,根据本地的安全知识库来分析此事件;控制器如果可以识别所述由监视器报告的安全事件信息,则直接向执行器发送命令,执行器根据控制器的命令来执行处理程序;否则控制器从安全事件信息报告中抽取事件的关键信息向协调器报告,请求发起投票过程,由多个网中的主机共同监视此类事件以便做出判断,由此采取进一步的行动;
(4)协调器,是系统的协调员,收到控制器的请求后负责发起投票过程,请求网络中其它的主机共同投票决定安全事件是否属于恶意行为;若是,则通知所有主机采取必要措施避免病毒感染或者网络入侵;
(5)投票代理,是动态的移动代理,发起投票的主机的协调器通过发送投票代理到网络中的其他主机来实现多个主机协同决策,投票代理携带安全事件的特征、源地址以及投票事件限制信息,网络中的主机根据本机的情况就该安全事件进行投票,发起投票的主机的协调器统计投票结果并做出最后决策;
(6)结果代理,是用于携带各个主机投票结果的移动代理,各个主机填写结果代理中选票后,发送结果代理到发起投票的主机的协调器;
(7)响应代理,是通知网络中所有的主机最终投票结果的移动代理,发起投票的主机的协调器统计投票结果,如果有效投票超过半数则认为是恶意行为,并通知所有主机做好应对准备。
2、一种基于移动代理的入侵检测方法,其特征在于首先要求所有主机加入一个多播组,组内的所有主机构成一个对等网络;基于移动代理的入侵检测系统位于网络中的每个主机中,该检测系统根据本机上的知识库来识别病毒感染和网络入侵,然后清除病毒,抵制入侵;如果一个主机发现可疑的事件,并且根据本机上的知识库无法确认该可疑事件,则该发现可疑事件主机在网络内发起一个投票过程,并由多个主机共同判断此事件是否属于恶意行为;投票过程的具体步骤为:发现可疑事件的主机先提取可疑事件相关信息,并随机地在组内选择一定数量的主机制定一个迁移路线图,然后发送携带可疑事件信息的移动代理;移动代理根据路线图迁移到选择的各个主机,选择的每个主机密切监视此类事件是否在本机发生,以及发生的频率,并在一定的时间内做出判断,判断的步骤如下:基于移动代理的入侵检测系统为每一个可疑事件设定一个安全系数,此系数根据事件发生频率而动态变化,如果安全系数超过阀值则认为是恶意行为,基于移动代理的入侵检测系统根据事件在某一时间段内的安全系数的变化进行投票,然后选择的每个主机,发送一个携带投票结果的代理到发起投票的主机;发起投票的主机统计投票结果,若票数超过半数,则认为是恶意行为;如认定为恶意行为,则通知网络内所有的主机采取适当的安全措施。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100277814A CN100450012C (zh) | 2005-07-15 | 2005-07-15 | 一种基于移动代理的入侵检测系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100277814A CN100450012C (zh) | 2005-07-15 | 2005-07-15 | 一种基于移动代理的入侵检测系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1719780A CN1719780A (zh) | 2006-01-11 |
| CN100450012C true CN100450012C (zh) | 2009-01-07 |
Family
ID=35931512
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100277814A Expired - Fee Related CN100450012C (zh) | 2005-07-15 | 2005-07-15 | 一种基于移动代理的入侵检测系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100450012C (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4774347B2 (ja) * | 2006-08-18 | 2011-09-14 | 富士通株式会社 | ノード装置、制御装置、制御方法及び制御プログラム |
| CN101231682B (zh) * | 2007-01-26 | 2011-01-26 | 李贵林 | 计算机信息安全的方法 |
| EP2141884B1 (en) * | 2008-07-04 | 2011-01-12 | Alcatel Lucent | Anti-intrusion method and system for a communication network |
| CN101685483B (zh) * | 2008-09-22 | 2011-07-20 | 成都市华为赛门铁克科技有限公司 | 一种病毒特征码提取的方法和装置 |
| CN101674324B (zh) * | 2009-09-23 | 2012-05-23 | 南京邮电大学 | 用于开放网络信息获取系统的多移动主体可信交互方法 |
| US9813423B2 (en) | 2013-02-26 | 2017-11-07 | International Business Machines Corporation | Trust-based computing resource authorization in a networked computing environment |
| JP6977507B2 (ja) * | 2017-11-24 | 2021-12-08 | オムロン株式会社 | 制御装置および制御システム |
| CN109729084B (zh) * | 2018-12-28 | 2021-07-16 | 福建工程学院 | 一种基于区块链技术的网络安全事件检测方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1384639A (zh) * | 2002-06-11 | 2002-12-11 | 华中科技大学 | 分布式网络动态安全保护系统 |
| CN1472916A (zh) * | 2003-06-24 | 2004-02-04 | 北京邮电大学 | 大规模分布式入侵检测系统的数据融合机制 |
| JP2005130399A (ja) * | 2003-10-27 | 2005-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 侵入検知システム、侵入検知方法および記録媒体 |
| CN1625121A (zh) * | 2003-12-05 | 2005-06-08 | 中国科学技术大学 | 一种分层协同的网络病毒和恶意代码识别方法 |
-
2005
- 2005-07-15 CN CNB2005100277814A patent/CN100450012C/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1384639A (zh) * | 2002-06-11 | 2002-12-11 | 华中科技大学 | 分布式网络动态安全保护系统 |
| CN1472916A (zh) * | 2003-06-24 | 2004-02-04 | 北京邮电大学 | 大规模分布式入侵检测系统的数据融合机制 |
| JP2005130399A (ja) * | 2003-10-27 | 2005-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 侵入検知システム、侵入検知方法および記録媒体 |
| CN1625121A (zh) * | 2003-12-05 | 2005-06-08 | 中国科学技术大学 | 一种分层协同的网络病毒和恶意代码识别方法 |
Non-Patent Citations (2)
| Title |
|---|
| 基于多决策树算法的网络入侵检测. 史长琼,易昂.计算机工程与设计,第25卷第4期. 2004 |
| 基于多决策树算法的网络入侵检测. 史长琼,易昂.计算机工程与设计,第25卷第4期. 2004 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1719780A (zh) | 2006-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100450012C (zh) | 一种基于移动代理的入侵检测系统和方法 | |
| CN104509034B (zh) | 模式合并以识别恶意行为 | |
| KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| CN103685575B (zh) | 一种基于云架构的网站安全监控方法 | |
| EP3068095B1 (en) | Monitoring apparatus and method | |
| CN108768917B (zh) | 一种基于网络日志的僵尸网络检测方法及系统 | |
| US20120278890A1 (en) | Intrusion detection in communication networks | |
| US20040250133A1 (en) | Computer security event management system | |
| CN105264861A (zh) | 用于检测多阶段事件的方法和设备 | |
| CN101147143A (zh) | 向计算机系统和网络提供安全性的方法和装置 | |
| CN104601553A (zh) | 一种结合异常监测的物联网篡改入侵检测方法 | |
| CN105378745A (zh) | 基于安全问题禁用和启用节点 | |
| CN100568876C (zh) | 用于操作数据处理系统的方法和用于处理无线通信的设备 | |
| CN111726342A (zh) | 一种提升蜜罐系统告警输出精准性的方法及系统 | |
| CN115766235A (zh) | 一种网络安全预警系统及预警方法 | |
| Umamaheswari et al. | Honeypot TB-IDS: trace back model based intrusion detection system using knowledge based honeypot construction model | |
| CN107659584A (zh) | 一种食品加工厂网络安全管理系统 | |
| Dasgupta et al. | MMDS: multilevel monitoring and detection system | |
| CN108667642A (zh) | 一种基于风险评估的服务器的风险均衡器 | |
| KR101022167B1 (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 | |
| El‐Hajj et al. | Updating snort with a customized controller to thwart port scanning | |
| CN114301796A (zh) | 预测态势感知的验证方法、装置及系统 | |
| CN207612279U (zh) | 一种食品加工厂网络安全管理系统 | |
| CN112769847A (zh) | 物联网设备的安全防护方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090107 Termination date: 20110715 |