摘要:分析了幾種典型的分布式入侵檢測系統(tǒng)模型，針對當(dāng)前入侵檢測系統(tǒng)的不足提出了一種基于移動Agent的分布式入侵檢測系統(tǒng)模型，該系統(tǒng)將新型分布式處理技術(shù)移動Agent與入侵檢測融為一體，實現(xiàn)了基于該模型的分布式入侵檢測系統(tǒng)，并提出了進(jìn)一步的研究方向。

關(guān)鍵詞:入侵檢測系統(tǒng);分布式;移動Agent

1 引言

隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜化和大型化，系統(tǒng)的弱點和漏洞將趨向于分布式，而早期的IDS都是集中式IDS[1，2，3]，包括基于主機和基于網(wǎng)絡(luò)的IDS，他們的顯著特點是在固定數(shù)量的場地進(jìn)行數(shù)據(jù)分析。同時，由于被監(jiān)視的主機和網(wǎng)絡(luò)數(shù)量的不斷增加，網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性日益增加，網(wǎng)絡(luò)資源一般都呈分布式的，而入侵活動也逐漸具有協(xié)作性，集中式的IDS逐漸暴露出其局限性，如何將基于主機和網(wǎng)絡(luò)的IDS各自的優(yōu)勢結(jié)合起來，這就是分布式IDS產(chǎn)生的原因。

2 分布式IDS與Agent技術(shù)

2.1 Agent技術(shù)及其在分布式IDS中的應(yīng)用

Agent可定義為[4]:“在某種特定環(huán)境下，能連續(xù)、自主地完成某項工作的軟件實體。它能根據(jù)環(huán)境的變化，靈活、智能地做出反應(yīng)，并且可能從經(jīng)驗中獲得學(xué)習(xí)?！睂gent技術(shù)用在入侵檢測中，是一種新的入侵檢測模式。Agent有靜態(tài)和動態(tài)之分，靜態(tài)Agent總是固定在單一的平臺上，它只能訪問本地數(shù)據(jù)，并將結(jié)果返回給用戶，從而大大的降低網(wǎng)絡(luò)通信量。而移動Agent能夠在一個平臺上掛起，并移動到另一平臺上，避免了在網(wǎng)絡(luò)中傳輸大量的數(shù)據(jù)。

分布式IDS系統(tǒng)一般采用多個Agent，每個Agent完成一項特定的功能，各Agent間通過通信互相協(xié)作來完成入侵檢測。由干Agent是獨立運行的實體，因此可以在不改變其他部件且不需要重新啟動IDS的情況下就能加入、刪除和重新配置Agent，也可以用一組Agent來分別完成簡單的功能，彼此交換信息以得出更復(fù)雜的結(jié)果。

2.2 分布式IDS的研究現(xiàn)狀及不足

目前，比較典型的分布式IDS有美國普渡大學(xué)開發(fā)的應(yīng)用自治Agent的分布式入侵檢測結(jié)構(gòu)[5](AAFID)，日本的IPA(Information-Technology Promotion Agency)開發(fā)的一種網(wǎng)絡(luò)IDS[6]-IDA(Intrusion Detection Agent System)，清華大學(xué)設(shè)計了一種基于自治Agent的分布式IDS結(jié)構(gòu)CoIDS[7](Cooperative IDS)，以及早期的基于網(wǎng)絡(luò)活動行為圖的入侵檢測模型(GrIDS)等。表1是對一些典型的分布式IDS系統(tǒng)特征的對比，可以看出盡管分布式IDS的研究取得了很大的進(jìn)展，但仍存在一些問題需要解決或改進(jìn)，主要有如下幾個方面:(1)系統(tǒng)的安全性和互操作性比較低;(2)部分系統(tǒng)采用分布式組件收集信息(如NADIR，AAFD等)，數(shù)據(jù)經(jīng)過過濾等簡單處理后傳輸?shù)街醒雴我恢鳈C上集中處理，即數(shù)據(jù)收集分布式，數(shù)據(jù)處理集中式，由于待處理的數(shù)據(jù)量巨大，大大減緩了系統(tǒng)的檢測速度，系統(tǒng)的響應(yīng)速度也十分有限;(3)系統(tǒng)的分布式組件常采用層次結(jié)構(gòu)進(jìn)行組織或借助黑板機制進(jìn)行通訊(如AAFID，IDA等)，一旦高層節(jié)點或控制中心遭到攻擊毀壞，系統(tǒng)將不能正常的工作，因而存在一定程度的單點失效問題;(4)移動Agent的采用在一定程度上解決了上述問題，可以使重要的部件在系統(tǒng)中遷移，從而避開入侵者的攻擊。因而我們提出并設(shè)計了一種基于移動Agent的分布式入侵檢測系統(tǒng)(MADIDS)。

3 基于移動Agent的分布式入侵檢測系統(tǒng)(MADIDS)

3.1 MADIDS系統(tǒng)工作模型

系統(tǒng)將入侵檢測系統(tǒng)中的Agent采用分布式結(jié)構(gòu)進(jìn)行組織，并利用移動Agent的安全機制進(jìn)行通訊。移動Agent技術(shù)的發(fā)展和應(yīng)用為克服目前使用靜態(tài)構(gòu)件本質(zhì)上的缺陷提供了可能性。移動性和自治性應(yīng)用到入侵檢測機制中，實現(xiàn)了“哪里有入侵哪里有檢測”的系統(tǒng)模型。不僅能實現(xiàn)全網(wǎng)絡(luò)范圍內(nèi)的入侵檢測功能，具有良好的移植性;而且對網(wǎng)絡(luò)系統(tǒng)和主機的資源占用較低，減少了出現(xiàn)網(wǎng)絡(luò)瓶頸的可能。MADIDS系統(tǒng)工作模型如圖1所示:

MADIDS系統(tǒng)主要由三大功能模塊組成，分別為數(shù)據(jù)收集模塊、分析協(xié)作模塊以及管理控制模塊。數(shù)據(jù)收集模塊主要對來自主機日志和審計數(shù)據(jù)以及截獲的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行智能分析和預(yù)處理，處理后的數(shù)據(jù)作為分析協(xié)作模塊的數(shù)據(jù)來源。分析協(xié)作模塊對可疑時間進(jìn)行檢測，判斷是否有入侵行為發(fā)生，并檢測結(jié)果對目標(biāo)主機采取相應(yīng)的措施和報警處理。這是入侵檢測系統(tǒng)中最重要的模塊，主要由靜態(tài)Agent和移動Agent兩部分組成，入侵檢測的任務(wù)主要由它們來完成。管理控制模塊主要負(fù)責(zé)系統(tǒng)的初始化操作及與用戶進(jìn)行人機交互。

3.2 MADIDS系統(tǒng)實現(xiàn)

模型的實現(xiàn)采用IBM Aglets-基于Java的移動Agent平臺為Agent提供執(zhí)行環(huán)境，使其可以按具體的遷移機制在被監(jiān)控的主機系統(tǒng)之間移動并執(zhí)行入侵檢測任務(wù)。系統(tǒng)使用Agent通信語言(ACL)作為Agent間交互的語言，Agent之間的通訊采用Aglets的Agent傳輸協(xié)議(Agent Transfer Protocol，ATP)來完成，它是一個通用的移動Agent協(xié)議，可以支持不同系統(tǒng)中的移動Agent的通信過程，而且具有強大的網(wǎng)絡(luò)功能。系統(tǒng)工作流程如圖2所示:

(1)每個目標(biāo)節(jié)點的傳感器對系統(tǒng)日志或網(wǎng)絡(luò)進(jìn)行監(jiān)控，搜索入侵可疑行為;

(2)如果傳感器發(fā)現(xiàn)了可疑行為，立刻通知管理檢測器，同時該節(jié)點的Agent守護進(jìn)程自動產(chǎn)生跟蹤Agent，并激活與該入侵可疑行為相關(guān)的信息收集與學(xué)習(xí)Agent;

(3)信息收集與學(xué)習(xí)Agent在目標(biāo)節(jié)點上收集與入侵可疑行為有關(guān)的信息，并進(jìn)行學(xué)習(xí)，提取用戶行為特征與有關(guān)的安全模式;

(4)在激活信息收集與學(xué)習(xí)Agent后，跟蹤Agent繼續(xù)探查入侵可疑行為發(fā)生的節(jié)點，并努力探明該入侵嫌疑用戶的遠(yuǎn)程登錄位置;

(5)信息收集與學(xué)習(xí)Agent完成任務(wù)后，將結(jié)果傳回給管理節(jié)點上的學(xué)習(xí)綜合Agent;

(6)跟蹤Agent遷移到跟蹤路徑上的下一個目標(biāo)節(jié)點，激活新的信息收集與學(xué)習(xí)Agent;

(7)如果跟蹤Agent己到達(dá)入侵可疑行為源節(jié)點，或再也無法移動，就返回檢測管理器中;

(8)檢測管理器中的學(xué)習(xí)綜合Agent根據(jù)對信息收集與學(xué)習(xí)Agent傳回的內(nèi)容進(jìn)行分析與綜合，并將結(jié)果提交給檢測管理器;

(9)檢測管理器定期發(fā)出遍歷Agent，遍歷它所管轄的網(wǎng)段，同時收集各個目標(biāo)節(jié)點的信息，帶回檢測管理器交由學(xué)習(xí)綜合Agent進(jìn)行分析與綜合。

(10)檢測管理器根據(jù)學(xué)習(xí)綜合Agent提交的結(jié)果進(jìn)行入侵檢測和判斷。如果判斷發(fā)生了入侵，那么系統(tǒng)將采取一定措施進(jìn)行防范，并且對入侵產(chǎn)生的后果進(jìn)行處理，即轉(zhuǎn)入預(yù)警及實時響應(yīng)階段。

3.3 結(jié)果分析

(1)性能分析

本文對系統(tǒng)進(jìn)行了相關(guān)的測試。硬件環(huán)境如表2所示，100兆D-Link網(wǎng)卡，采用ATP協(xié)議進(jìn)行通訊，網(wǎng)絡(luò)檢測代理采用Libpcap庫監(jiān)聽網(wǎng)絡(luò)。為了做到數(shù)據(jù)包連續(xù)不斷地到達(dá)，本文測試時先用Tcpdump捕獲一定數(shù)量的數(shù)據(jù)包存于文件中，然后用檢測代理進(jìn)行處理。

系統(tǒng)啟動前后資源的占有率(CPU和內(nèi)存)如圖3所示。實驗結(jié)果顯示，MADIDS的運行不會影響主機系統(tǒng)的正常結(jié)果。

(2)結(jié)果統(tǒng)計

本實驗通過模擬對系統(tǒng)發(fā)起的端口掃描攻擊和拒絕服務(wù)攻擊的數(shù)據(jù)包總數(shù)和實際檢測出的數(shù)據(jù)包進(jìn)行統(tǒng)計，統(tǒng)計結(jié)果如圖4所示。

4 結(jié)論與展望

在本系統(tǒng)中，實現(xiàn)了數(shù)據(jù)采集和入侵檢測的分布式處理，并把基于主機方式和網(wǎng)絡(luò)方式入侵檢測有機的結(jié)合在一起，形成了分布式入侵檢測系統(tǒng)。由于實現(xiàn)了各個Agent的真正的分布式結(jié)構(gòu)，解決了在分布式入侵檢測系統(tǒng)中存在著關(guān)鍵節(jié)點問題。研究表明基于移動Agent的分布式實時入侵檢測關(guān)鍵技術(shù)的究是解決當(dāng)前信息網(wǎng)入侵檢測問題中的行之有效的手段。進(jìn)一步的研究目標(biāo)是將神經(jīng)網(wǎng)絡(luò)和遺傳算法等技術(shù)引入基于Agent的入侵檢測系統(tǒng)，構(gòu)建自免疫的入侵檢測系統(tǒng)，使系統(tǒng)具備分析并檢測未知的入侵模式的能力和自我發(fā)展的潛力。

參考文獻(xiàn)

[1]Yan S，Zhang X.Computer network intrusion detection[A]. 1999，IEEE.

[2]Cabrera J， Ravichandran B，Mehra R K. Statistical Traffic Modeling for network intrusion detection[A]. IEEE， 2000.

[3]Lippmann R， Haines JW.Fried D J. et al. Off-line intrusion detection evaluation [J].Computer Networks.2000，34(4):579-595

[4]Spafford E H，Zamboni D. Intrusion detection using autonomous agents[J].Computer Networks.2000，3(4):547-570.

[5]B. Mukherjee， L Heberlein，et al. Network intrusion detection[J].IEEE Network，1994，8(3):26-41.

[6]Midori Asaka. The implementation of IDA: An intrusion detection agent system[A].1999，IEEE.

[7]Dong Yongle，Qian Jun.A Cooperative Intrusion Detection System Based On Autonomous Agents[A]. 2003，IEEE.

[8]B. Mukherjee， L T， Heberlein.Levitt.Network Intrusion Detection，IEEE Network， 2004，8(3): 26-41.

[9]J.P.Anderson， Compuier security threat monitoring and surveillance. Technical report， James P. 1980.