基于移動Agent的分布式入侵檢測系統設計與實現

摘要:分析了幾種典型的分布式入侵檢測系統模型，針對當前入侵檢測系統的不足提出了一種基于移動Agent的分布式入侵檢測系統模型，該系統將新型分布式處理技術移動Agent與入侵檢測融為一體，實現了基于該模型的分布式入侵檢測系統，并提出了進一步的研究方向。

關鍵詞:入侵檢測系統;分布式;移動Agent

1 引言

隨著網絡系統結構的復雜化和大型化，系統的弱點和漏洞將趨向于分布式，而早期的IDS都是集中式IDS[1，2，3]，包括基于主機和基于網絡的IDS，他們的顯著特點是在固定數量的場地進行數據分析。同時，由于被監視的主機和網絡數量的不斷增加，網絡結構的復雜性日益增加，網絡資源一般都呈分布式的，而入侵活動也逐漸具有協作性，集中式的IDS逐漸暴露出其局限性，如何將基于主機和網絡的IDS各自的優勢結合起來，這就是分布式IDS產生的原因。

2 分布式IDS與Agent技術

2.1 Agent技術及其在分布式IDS中的應用

Agent可定義為[4]:“在某種特定環境下，能連續、自主地完成某項工作的軟件實體。它能根據環境的變化，靈活、智能地做出反應，并且可能從經驗中獲得學習。”將Agent技術用在入侵檢測中，是一種新的入侵檢測模式。Agent有靜態和動態之分，靜態Agent總是固定在單一的平臺上，它只能訪問本地數據，并將結果返回給用戶，從而大大的降低網絡通信量。而移動Agent能夠在一個平臺上掛起，并移動到另一平臺上，避免了在網絡中傳輸大量的數據。

分布式IDS系統一般采用多個Agent，每個Agent完成一項特定的功能，各Agent間通過通信互相協作來完成入侵檢測。由干Agent是獨立運行的實體，因此可以在不改變其他部件且不需要重新啟動IDS的情況下就能加入、刪除和重新配置Agent，也可以用一組Agent來分別完成簡單的功能，彼此交換信息以得出更復雜的結果。

2.2 分布式IDS的研究現狀及不足

目前，比較典型的分布式IDS有美國普渡大學開發的應用自治Agent的分布式入侵檢測結構[5](AAFID)，日本的IPA(Information-Technology Promotion Agency)開發的一種網絡IDS[6]-IDA(Intrusion Detection Agent System)，清華大學設計了一種基于自治Agent的分布式IDS結構CoIDS[7](Cooperative IDS)，以及早期的基于網絡活動行為圖的入侵檢測模型(GrIDS)等。表1是對一些典型的分布式IDS系統特征的對比，可以看出盡管分布式IDS的研究取得了很大的進展，但仍存在一些問題需要解決或改進，主要有如下幾個方面:(1)系統的安全性和互操作性比較低;(2)部分系統采用分布式組件收集信息(如NADIR，AAFD等)，數據經過過濾等簡單處理后傳輸到中央單一主機上集中處理，即數據收集分布式，數據處理集中式，由于待處理的數據量巨大，大大減緩了系統的檢測速度，系統的響應速度也十分有限;(3)系統的分布式組件常采用層次結構進行組織或借助黑板機制進行通訊(如AAFID，IDA等)，一旦高層節點或控制中心遭到攻擊毀壞，系統將不能正常的工作，因而存在一定程度的單點失效問題;(4)移動Agent的采用在一定程度上解決了上述問題，可以使重要的部件在系統中遷移，從而避開入侵者的攻擊。因而我們提出并設計了一種基于移動Agent的分布式入侵檢測系統(MADIDS)。

3 基于移動Agent的分布式入侵檢測系統(MADIDS)

3.1 MADIDS系統工作模型

系統將入侵檢測系統中的Agent采用分布式結構進行組織，并利用移動Agent的安全機制進行通訊。移動Agent技術的發展和應用為克服目前使用靜態構件本質上的缺陷提供了可能性。移動性和自治性應用到入侵檢測機制中，實現了“哪里有入侵哪里有檢測”的系統模型。不僅能實現全網絡范圍內的入侵檢測功能，具有良好的移植性;而且對網絡系統和主機的資源占用較低，減少了出現網絡瓶頸的可能。MADIDS系統工作模型如圖1所示:

MADIDS系統主要由三大功能模塊組成，分別為數據收集模塊、分析協作模塊以及管理控制模塊。數據收集模塊主要對來自主機日志和審計數據以及截獲的網絡數據包進行智能分析和預處理，處理后的數據作為分析協作模塊的數據來源。分析協作模塊對可疑時間進行檢測，判斷是否有入侵行為發生，并檢測結果對目標主機采取相應的措施和報警處理。這是入侵檢測系統中最重要的模塊，主要由靜態Agent和移動Agent兩部分組成，入侵檢測的任務主要由它們來完成。管理控制模塊主要負責系統的初始化操作及與用戶進行人機交互。

3.2 MADIDS系統實現

模型的實現采用IBM Aglets-基于Java的移動Agent平臺為Agent提供執行環境，使其可以按具體的遷移機制在被監控的主機系統之間移動并執行入侵檢測任務。系統使用Agent通信語言(ACL)作為Agent間交互的語言，Agent之間的通訊采用Aglets的Agent傳輸協議(Agent Transfer Protocol，ATP)來完成，它是一個通用的移動Agent協議，可以支持不同系統中的移動Agent的通信過程，而且具有強大的網絡功能。系統工作流程如圖2所示:

(1)每個目標節點的傳感器對系統日志或網絡進行監控，搜索入侵可疑行為;

(2)如果傳感器發現了可疑行為，立刻通知管理檢測器，同時該節點的Agent守護進程自動產生跟蹤Agent，并激活與該入侵可疑行為相關的信息收集與學習Agent;

(3)信息收集與學習Agent在目標節點上收集與入侵可疑行為有關的信息，并進行學習，提取用戶行為特征與有關的安全模式;

(4)在激活信息收集與學習Agent后，跟蹤Agent繼續探查入侵可疑行為發生的節點，并努力探明該入侵嫌疑用戶的遠程登錄位置;

(5)信息收集與學習Agent完成任務后，將結果傳回給管理節點上的學習綜合Agent;

(6)跟蹤Agent遷移到跟蹤路徑上的下一個目標節點，激活新的信息收集與學習Agent;

(7)如果跟蹤Agent己到達入侵可疑行為源節點，或再也無法移動，就返回檢測管理器中;

(8)檢測管理器中的學習綜合Agent根據對信息收集與學習Agent傳回的內容進行分析與綜合，并將結果提交給檢測管理器;

(9)檢測管理器定期發出遍歷Agent，遍歷它所管轄的網段，同時收集各個目標節點的信息，帶回檢測管理器交由學習綜合Agent進行分析與綜合。

(10)檢測管理器根據學習綜合Agent提交的結果進行入侵檢測和判斷。如果判斷發生了入侵，那么系統將采取一定措施進行防范，并且對入侵產生的后果進行處理，即轉入預警及實時響應階段。

3.3 結果分析

(1)性能分析

本文對系統進行了相關的測試。硬件環境如表2所示，100兆D-Link網卡，采用ATP協議進行通訊，網絡檢測代理采用Libpcap庫監聽網絡。為了做到數據包連續不斷地到達，本文測試時先用Tcpdump捕獲一定數量的數據包存于文件中，然后用檢測代理進行處理。

系統啟動前后資源的占有率(CPU和內存)如圖3所示。實驗結果顯示，MADIDS的運行不會影響主機系統的正常結果。

(2)結果統計

本實驗通過模擬對系統發起的端口掃描攻擊和拒絕服務攻擊的數據包總數和實際檢測出的數據包進行統計，統計結果如圖4所示。

4 結論與展望

在本系統中，實現了數據采集和入侵檢測的分布式處理，并把基于主機方式和網絡方式入侵檢測有機的結合在一起，形成了分布式入侵檢測系統。由于實現了各個Agent的真正的分布式結構，解決了在分布式入侵檢測系統中存在著關鍵節點問題。研究表明基于移動Agent的分布式實時入侵檢測關鍵技術的究是解決當前信息網入侵檢測問題中的行之有效的手段。進一步的研究目標是將神經網絡和遺傳算法等技術引入基于Agent的入侵檢測系統，構建自免疫的入侵檢測系統，使系統具備分析并檢測未知的入侵模式的能力和自我發展的潛力。

參考文獻

[1]Yan S，Zhang X.Computer network intrusion detection[A]. 1999，IEEE.

[2]Cabrera J， Ravichandran B，Mehra R K. Statistical Traffic Modeling for network intrusion detection[A]. IEEE， 2000.

[3]Lippmann R， Haines JW.Fried D J. et al. Off-line intrusion detection evaluation [J].Computer Networks.2000，34(4):579-595

[4]Spafford E H，Zamboni D. Intrusion detection using autonomous agents[J].Computer Networks.2000，3(4):547-570.

[5]B. Mukherjee， L Heberlein，et al. Network intrusion detection[J].IEEE Network，1994，8(3):26-41.

[6]Midori Asaka. The implementation of IDA: An intrusion detection agent system[A].1999，IEEE.

[7]Dong Yongle，Qian Jun.A Cooperative Intrusion Detection System Based On Autonomous Agents[A]. 2003，IEEE.

[8]B. Mukherjee， L T， Heberlein.Levitt.Network Intrusion Detection，IEEE Network， 2004，8(3): 26-41.

[9]J.P.Anderson， Compuier security threat monitoring and surveillance. Technical report， James P. 1980.