Ａｇｅｎｔ技術在分布式入侵檢測系統的應用研究

摘要：剖析了現有的分布式入侵檢測系統及其在網絡中的優勢，將代理（agent）技術應用到分布式入侵檢測系統中，并在此基礎上提出了一種基于agent的分布式入侵檢測系統（agent－based distributed intrusion detection system，ADIDS）的新模型。ADIDS采取無控制中心的多agent結構，充分利用agent本身的獨立性與自主性，盡量降低各檢測部件間的相關性，避免了單個中心分析器帶來的單點失效問題。各個數據采集部件、檢測部件都是獨立的單元，不僅實現了數據收集的分布化，而且將入侵檢測和實時響應分布化，提高了系統的健壯性，真正實現了分布式檢測的思想。

關鍵詞：信息安全； 入侵檢測； 代理； 代理技術； 分布式

中圖分類號：TP393．08文獻標志碼：A

文章編號：1001－3695(2008)04－1127－03

隨著網絡規模的不斷擴大，入侵檢測系統（intrusion detection system，IDS）的應用場合也越來越大，將入侵檢測系統應用于大規模高速網絡成為入侵檢測系統研究的新立足點。為了能夠在大規模高速網絡中實現入侵檢測與防范，入侵檢測系統一般采用分層的分布式結構。該結構通過分散采集、分布處理和集中管理，滿足了大規模高速網絡的需求。采用分布式結構的入侵檢測系統也有利于檢測分布式攻擊。這種應用于大規模高速網絡的入侵檢測系統被稱為大規模分布式入侵檢測系統[1]。

實現大規模分布式入侵檢測系統，一般要使用agent技術。該技術是近年來新提出的概念和技術，受到了廣泛關注和研究。本文首先對分布式入侵檢測系統及其在網絡中的優勢進行了剖析，并詳述了agent技術在分布式入侵檢測系統的應用，在此基礎上提出了基于agent的分布式入侵檢測系統模型。

1分布式入侵檢測系統概述

傳統的入侵檢測系統，通常均屬于自主運行的單機系統。無論基于網絡數據源，還是基于主機數據源；無論采用誤用檢測技術，或是異常檢測技術。在整個數據處理過程中，包括數據的收集、預處理、分析、檢測，以及檢測到入侵后采取的響應措施，均由單個監控設備或監控程序完成。然而，在面臨大規模、分布式的應用環境時，這種傳統的單機方式就遇到了極大的挑戰。在這種條件下，要求各個入侵檢測系統（監控設備或監控程序）之間能夠實現高效的信息共享和協作檢測。在大范圍網絡內部署有效的入侵檢測系統已經成為一項新的研究課題，推動了分布式入侵檢測系統（distributed intrusion detection system，DIDS）的發展。

DIDS是一種分布于網絡環境的入侵檢測系統，用來監視與網絡相連的主機及網絡自身，其關鍵技術是檢測信息的協同處理與入侵攻擊的全局信息的提取。DIDS檢測的數據來源于網絡中的數據包和主機中的數據，它采用分布式檢測、集中管理的方法，即在每個網段和重點主機上安裝一個監測器，該監測器相當于基于網絡和基于主機的入侵檢測系統。監測器用來監測其所在網段和主機上的數據流，它根據集中安全管理中心制定的安全策略、響應規則等來分析檢測網絡數據，同時向集中安全管理中心發回安全事件信息。集中安全管理中心是整個分布式入侵檢測系統面向用戶的界面。它的特點是對數據保護的范圍比較大，但對網絡流量有一定的影響。

DIDS是目前入侵檢測乃至整個網絡安全領域的熱點之一。國內外眾多的大學、研究機構、安全團體、商業組織都致力于這方面的研究工作。到目前為止，還沒有嚴格意義上的分布式入侵檢測的商業化產品，但研究人員已經提出并完成了多個原型系統。通常采用的方法中，一種是對現有的IDS進行規模上的擴展；另一種則通過IDS之間的信息共享來實現。具體的處理方法上也分為兩種，即分布式信息收集、集中式處理與分布式信息收集、分布式處理。前者以DIDS[2]、NADIR[3]、ASAX[4]為代表；后者則采用了分布式計算的方法[5，6]，降低了對中心計算能力的依賴，同時也減少了對網絡帶寬帶來的壓力，因此具有更好的發展前景。

2分布式入侵檢測系統的優勢

分布式入侵檢測由于采用了非集中的系統結構和處理方式，相對于傳統的單機IDS具有一些明顯的優勢。

2．1檢測大范圍的攻擊行為

傳統的基于主機的入侵檢測系統只能通過檢查系統日志、審計記錄來對單個主機的行為或狀態進行監測。即使是采用網絡數據源的IDS，也僅在單個網段內有效。對于一些針對多主機、多網段、多管理域的攻擊行為，如大范圍的脆弱性掃描或拒絕服務攻擊，由于不能在檢測系統之間實現信息交互，通常無法完成準確和高效的檢測任務。分布式入侵檢測通過各個檢測組件之間的相互協作，可以有效地克服這一缺陷。

2．2提高檢測的準確度

不同的入侵檢測數據源反映的是系統不同位置、不同角度、不同層次的運行特性，可以是系統日志、審計記錄或網絡數據包等。傳統的IDS為了簡化檢測過程和算法復雜度，通常采用單一類型的數據源。一方面可以提高系統的檢測效率；但另一方面也導致了檢測系統輸入數據的不完備。此外，檢測引擎如果采用單一的算法進行數據分析，同樣可能導致分析結果不夠準確。

DIDS各個檢測組件針對不同的數據來源，可以是網絡數據包；可以是主機的審計記錄、系統日志；也可以是特定應用程序的日志；甚至可以是一些通過人工方式輸入的審計數據。各個檢測組件所使用的檢測算法也不是固定的，模式匹配、狀態分析、統計分析、量化分析等可以分別應用于不同的檢測組件。系統通過對各個組件報告的入侵或異常特征進行相關分析，可以得出更為準確的判斷結果。

2．3提高檢測效率

分布式入侵檢測實現了針對安全審計數據的分布式存儲和分布式計算，這相對于單機數據分析的IDS來說，不再依賴于系統中惟一的計算資源和存儲資源，可以有效地提高系統的檢測效率，減少入侵發現時間。

2．4協調響應措施

由于DIDS的各個檢測組件分布于受監控網絡的各個位置，一旦系統檢測到攻擊行為，可以根據攻擊數據包在網絡中經過的物理路徑采取響應措施，如封鎖攻擊方的網絡通路、入侵來源追蹤等。即使攻擊者使用網絡跳轉的方式來隱藏真實的IP地址，在檢測系統的監控范圍內通過對事件數據的相關和聚合，仍然有可能追查到攻擊者的真實來源。

3代理技術在DIDS中的應用

代理是指能在特定的環境下無須人工干預和監督完成某項工作的實體[7~9]。它具有自適應性、智能性和協作性。Agent既能獨立地完成自己的工作，又能與其他代理協作共同完成某項任務，而且agent還能夠接收控制，并能感知環境的變化而影響環境。將agent引入到大規模分布式入侵檢測系統中，為入侵檢測系統的設計和實現開辟了新的思路。代理的本質是研究如何使一個或多個實體在盡可能不打攪用戶的情況下，依靠自身的能力，采用各種可能的方法完成用戶所委托的較為復雜或繁瑣的任務。Agent的主要特征是具有自制能力、智能和目標驅動屬性，能夠通過各種學習、推理等方法感知與適應復雜的動態環境，具有自動追求目標的能力。Agent技術是傳統對象技術的發展和飛躍，具有強大的開放性、靈活性、適應性和協作性，為分布式計算提供了一種更有效、更靈活的模式，將agent技術應用到DIDS中可解決現存的DIDS許多問題：

a)集中式系統在數據傳輸率高時會丟失網絡數據包，分布式agent系統在網絡和系統之間作出了均衡，提高了入侵活動的檢測率。

b)分布式agent體系結構避免了集中式系統的單一失效點。單一和部分agent失效不會影響其他agent的工作，這樣就減少了整個系統失效的風險。

c)基于agent的DIDS擴展性好，每個agent獨立配置，僅完成某個小任務，可以動態地加入到系統或從系統中移動，所以系統擴展性大為提高。

d)Agent之間可以相互通信，提高了系統的處理速度、效率和系統的實時性，有利于解決網絡中的協作入侵活動。

e)使用agent來建立DIDS打破了基于主機IDS和基于網絡IDS的界限，更適應大規模分布式網絡，避免組合攻擊。

4基于agent的分布式入侵檢測系統邏輯模型

Agent技術的發展，為分布式計算提供了一種更有效、更靈活的模式，也為人們解決DIDS提供了一個全新的思路。本文提出基于agent的分布式入侵檢測系統（agent－based distributed intrusion detection system，ADIDS）模型。該模型綜合了層次模型和協作模型的優點。ADIDS采取無控制中心的多agent結構，充分利用agent本身的獨立性與自主性，盡量降低各檢測部件間的相關性。各個數據采集部件、檢測部件均是獨立的單元。不僅實現了數據收集的分布化，而且將入侵檢測和實時響應分布化，真正實現了分布式檢測的思想。

4．1模型的體系結構

ADIDS模型是以自治agent為組織單元。其中有三類自治agent：數據采集agent(data collection agent，DCA)、入侵檢測agent(intrusion detection agent，IDA)和入侵分析agent(intrusion analyse agent，IAA)，如圖1所示。

1)數據采集agent (DCA)DCA是專門用于采集數據的agent。它可以位于網絡中任何一臺需要檢測的主機上，同一臺主機上也可以同時部署多個相同或不同類型的DCA。它采集的數據包括主機的審計記錄、應用程序日志、應用程序調用序列和網絡流量等，因此容易實現數據源的異構。當DCA與IDA不在同一機器上，會帶來檢測數據的網絡傳輸問題。為了減少網絡流量，減輕IDA負擔，DCA要對原始數據進行必要的預處理，包括數據的過濾、格式化、提取及分析。完成預處理后DCA將數據傳送給等待其服務的一個或多個IDA。

2)入侵檢測agent (IDA)IDA是專門用于檢測的agent，是本模型的基本檢測單元。每個IDA獨立承擔一定的檢測任務，負責檢測系統或網絡某一方面的安全問題。根據檢測任務與環境的不同，IDA采用不同的檢測技術和方法，對用戶的異常或可疑行為進行檢測。在模型中，不同類型的IDA可以有相同的數據源，以實現檢測方法的互補，從而提高檢測率。DCA、IDA與IAA可以位于同一臺主機上也可以位于不同的主機上，IDA需要將檢測到的事件向IAA匯報。

根據IDA所處理的數據源的不同，將IDA分為基于主機的IDA(HIDA)和基于網絡的IDA(NIDA)兩大類。

3)入侵分析agent(IAA)IAA是用于分析、響應的agent。每個檢測區域內包含一個惟一的IAA。IAA與IDA之間是一種層次型的從屬關系，IDA負責檢測安全事件，并向所屬的IAA匯報，IAA對IDA上報的信息進行聚合分析。各個檢測區域中的IAA處于平等地位，是一種協作關系，可以進行交互以完成檢測任務，包括請求協查、通報協查結果等。

4．2模型的工作原理

ADIDS模型在每個IAA所管轄的檢測區域內，采用層次化模型，易于在管轄區域內對IDA實現方便的管理，也有利于IAA對多個分布式IDA所上報的數據進行高層提煉，以便更好地發現入侵或異常行為。在各個檢測區域之間，IAA工作在平等的協作模式。整個網絡范圍內不存在單獨的中心處理節點，有效地實現了檢測任務的分布化，避免了關鍵節點的處理瓶頸，提高了系統的容錯性。同時，由于IAA之間交互的數據已經是經過提煉的抽象數據而非原始的安全審計數據，與純粹的協作模式相比，可以在很大程度上降低整個網絡范圍內組件間傳輸的數據量。

4．3ADIDS模型的優點

ADIDS由于采用了獨立的agent，除了具有層次與協作模型的優點外，還具有以下優勢：

a)獨立性。DCA、IDA、IAA是獨立運行的程序實體，可以獨立開發。在放入具體運行環境前，可以分別進行獨立測試。

b)靈活性。DCA和IDA可以獨立地啟動和停止，也可以進行動態配置，而不影響其他DCA和IDA的正常運行。要收集新數據或檢測新類型的入侵，可以通過添加新的DCA或增加IDA即可實現。

c)擴展性。模型具有良好的可擴展性，無論是增加檢測主機，還是在網絡中增加IDA都很簡單、方便。

d)兼容性。該模型可以既包含基于主機的IDA，又包含基于網絡的IDA，超越了傳統入侵檢測模型的界限。e)協作性。雖然每個IDA檢測的只是主機或網絡安全的一個方面，甚至可能是簡單的命令審查，但由于IDA之間可以交換信息，就可以在一些IDA中產生很復雜的結果。

f)自治性。節點具有自治性，即可獨立運行。如此可保證系統整體的健壯性，同時也保證了節點本地響應的實時性。

g)錯誤擴散小。若某個IDA出現問題或受到破壞，那么僅與該IDA相關的檢測部分失效，使危害限制在最小的范圍內。

h)數據來源不受限制。不同的IDA可以選用不同的數據源。由于各IDA是獨立實現的，那么數據來源就可以采用多種形式，如審計數據、檢查系統配置、捕獲網絡包或其他合適的來源。

i)與平臺和開發語言無關。由于IDA是獨立的，它們可以分別開發，而且可以基于不同平臺使用不同的語言開發，只要遵循統一的通信協議和通信格式就可以了。

j)服務器負載均衡性。因為檢測部件不一定與服務器在同一臺主機上，所以對服務器的性能影響不大，同時也為運行復雜的檢測算法提供可能。

5結束語

本文通過對分布式入侵檢測系統及agent技術的研究，提出了一種基于agent的分布式網絡入侵檢測系統解決方案，并對該方案進行了詳細分析和研究。該方案充分利用各個agent之間相互協作卻又相互獨立的特性，可以實時地檢測基于網絡和基于主機的入侵行為。系統結構具有很好的伸縮性、靈活性、擴展性、容錯能力、攻擊預防能力。當然，基于agent的分布式入侵檢測系統還有很多問題亟待解決，特別是由agent帶來的安全問題需要進行深入研究。

參考文獻：

［1］HUANG M Y， ROBERT J， THOMAS M. A large scale distributed intrusion detection framework based on attack strategy analysis[J]. Computer Networks，1999，31:2465－2475.

［2］SNAPP S R， BRETANO J， DIAZ G V，et al. DIDS motivation architecture and an early prototype[C]//Proc of the 14th National Computer Security Conference. Washington DC:[s.n.]，1999:67－76.

［3］JACKSON K A. NADIR: a prototype system for detecting network and file system abuse[C]//Proc of the 7th European Conference on Information Systems.1992.

［4］HABRA N， CHARLIER L B， MOUNJI A， et al. ASAX: software architecture and rule－based language for universal audit trail analysis[C]//Proc of the 2nd European Symposium on Research in Computer Security(ESORICS’ 92). Toulouse， France:[s.n.]，1992:435－450.

［5］ABRAHAM A， JAIN R， THOMAS J， et al. D－SCIDS: distributed soft computing intrusion detection system[J]. Journal of Network and Computer Applications，2005，6:1－19.

［6］ABRAHAM A， THOMAS J. Distributed intrusion detection systems: a computational intelligence approach[C]// ABBASS H A， ESSAM D.Applications of Information Systems to Homeland Security and Defense. USA: Idea Group Inc Publishers，2005:105－135.

［7］SPAFFORD E H， ZAMBONI D.Intrusion detection using autonomous agents[J]. Computer Networks，2000， 34:547－570.

［8］ZAKI M， TAREK S S. Attack abstraction using a multi－agent system for intrusion detection[J]. Journal of Intelligent Fuzzy Systems， 2005， 16:141－150.

［9］DASGUPTA D， GONZALEZ F， YALLAPU K，et al. CIDS: an agent－based intrusion detection system[J]. Computers Security， 2005， 24:387－398.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”