摘 要 网格是部署在广域网上的抽象 应用 ,其基本单位是以实现一个任务为目标的动态组建的虚拟组织。基于网格的入侵检测系统应该是部署在虚拟组织之上的虚拟组织。本文首先 分析 了网格对于入侵检测系统的要求以及当前网格入侵检测系统的不足之处,然后提出了基于虚拟组织的网格入侵检测系统模型(VGIDS)。
关键字 网格;虚拟组织;入侵检测
1 入侵检测系统分析
表1分析了入侵检测系统结构变化。
|
IDS 发展 |
解决的问题 |
结构特征 |
|
基于主机 |
单一主机的安全 |
各部分运行在单节点上 |
|
基于 网络 |
局域网的安全 |
采集部分呈现分布式 |
|
分布式 |
单一分析节点的弱势 |
分析部分呈现分布式 |
网格的运行是由用户发起任务请求,然后寻找资源搭配完成任务,这样形成的团体称为虚拟组织(VO),网格入侵检测系统是为其他VO提供服务的VO[1], 目前 其面临的主要问题如下:
(1)分布性:包括资源分布和任务分解。
(2)动态部署:系统是为VO提供服务的,其部署应是动态的。
(3)动态形成:系统本身也是一VO,是动态形成的。
(4)最优方案选择:本系统需多种网格资源协同进行,要选择一个最优方案。
(5)协同 计算 :保证按照入侵检测流程顺利运行。
(6)动态改变:防止资源失效。
目前关于网格入侵检测系统的 研究 [2]只能说解决了分布性、动态形成、协同计算。而对于动态部署[1] 、动态改变[3]仍处于研究中。
2 VGIDS系统模型
VGIDS基于开放网格服务(OGSA)思想提出了一个公共服务——GIDS Service来解决目前网格入侵检测系统面临的问题。整个VGIDS结构如图1所示。
(1)VO-Based:网格是一个虚拟组织的聚集,本系统提出一虚拟组织目录(VOL)。用户向GIDSService提交请求并将被检测VO代号作为参数。GIDSSevvice查找VOL获取VO信息。当VOL数量减为一就成为单一网格应用,可由网格管理(GM)将VO信息传给GIDSServic。
(2)GIDSService:负责资源发现,调度。具体包括:
RI(Request Interface):服务接口,负责服务请求及VO信息获取。同VOL解决动态部署。
DA(Delegation Agent):委托代理。同用户交互获得用户委托授权。
DD(Distributed Data):分布式数据。存储VGIDS需要的资源信息。解决分布问题。
RQ(Resource Query):资源查询。当获得用户授权后便由RQ根据DD描述向资源目录(RL)查找资源。解决分布问题。
PC(Plan Choose):最优方案选择。当从RL获得可用资源后PC根据AM(任务管理)要求选择一个最优方案。本文称为多维最优路径选择问题。
AM(Assignment Manage):任务管理。首先根据DD存储所需资源的调度信息,当VGIDS形成后,根据PC的方案选择及DD存储的资源信息进行任务的调度和协同各分布资源的交互,解决协同计算。
IR(Intrusion Reaction):入侵响应。
SN(Security Negotiate):安全协商。同资源和用户的安全协商。
DI(Dynamic Inspect):动态检查。负责检查资源失效向RQ发起重新查找资源请求。解决动态改变问题。
LB(Load Balance):负载平衡。主要根据DD信息解决网格资源调度的负载平衡问题。
3 VGIDS服务描述
本系统是一动态虚拟组织,在系统运行之前必须以静态网格服务的形式部署于网格之上,当用户申请时再动态形成。
定义1:VGIDS的静态定义如下:VGIDS=<Base,Resource,Role,Task,Flow,Relation>
Base为VGIDS基本描述,Base=<ID,Power,IO,Inf,log,goal,P>。ID为虚拟组织编号;Power为获得的授权;IO为被检测对象;Inf为监控VGIDS获得的信息文件;log为系统日志;goal为VGIDS目标,包括调度算法所估计的系统效率及用户要求;P为系统交互策略,需同网格资源进行交互,授予资源角色和相关权利并同时分配相关任务。
Resource为VGIDS的所有资源,Resource=<IP,Property,Serve,Power,P>。
IP为资源地址;Property为资源属性(存储、分析),方便角色匹配;Serve为资源可提供的服务指标;Power为使用资源所要求的授权;P为资源交互策略。
Role为存在的角色类型,Role=<ID,Tas,Res,Power>。ID为角色的分类号,按照工作流分为5类角色分别对应VGIDS的5个环节;Tas为角色任务;Res为角色需要的资源类型;Power为角色所获得的权利。
Task为工作流任务集合。Task=<ID,Des,Res,Role,P>。ID为任务标号;Des为任务描述;Res为需要的资源种类;Role为任务匹配的角色;P为Task执行策略。
Flow为工作流描述文件,Flow=<Role,Seq,P>。Role为角色集合,Seq为角色执行序列,P为对于各个角色的控制策略。
Relation为已确定资源Resource和Role之间的关系。Relation=<Res,Role,Rl>。Res 为资源集合,Role为角色集合,Rl为对应关系。
4 多维最优路径选择
4.1 问题描述
将图1抽象为图2模型 定义2:Graph=(U、D、A、{Edge})。
U为所有被检测对象的集合,Un=( Loadn、Pn),Loadn为Un单位时间所要求处理的数据,Pn为Un在被检测VO中所占权重,如果P为空,则按照Load大小作为权重。
D为存储服务集合,Dn=(Capn、Qosdn),Capn为Dn提供的存储容量。Qosdn为Dn提供的服务质量,近似为数据吞吐率。
A为分析服务集合,An=(Classn、Qosan),Classn为An处理的数据种类,如系统日志或网络流量。Qosan为An提供的服务质量,近似为处理速率。
Edge为边的集合,有网络传输速度加权v。
定义3:Qos定义为一个多维向量,可用一个性能度量指标的集合表示:
{M1(t)、M2(t),…,Mn(t)}
Mn(t)为一个与网格服务质量有关的量,如CPU的主频、网络速度、内存。服务的执行过程体现出来的性能参数是一条n维空间的轨迹M,这个n维空间的每一维代表一个性能指标
M=R1*R2*…*Rn
其中,Rn是性能指标Mn(t)的取值范围。在本系统中存在两类Qos,分别为D和A。本系统强调实时性,所以CPU、RAM和网络速度占很大权重,Qos计算公式如下:
