论文部分内容阅读
摘 要:在目前计算机网络高速发展的环境下,针对广泛应用的基于静态防护措施的安全体系存在的不足,提出能在高速度、高流量、协同攻击、分布式攻击的分布式入侵检测系统模型MADIDS((Distributed Intrusion Detection system Based on Multi Agents)设计;够能集成分布式、智能化、整体化的技术优势,融入入侵检测和实时响应分布的分布式检测的技术,真正的实现一个有效的网络安全防御的深度安全系统。
关键词:入侵检测系统 多代理 分布式 入侵检测
中图分类号:TP3 文献标识码:A 文章编号:1672-3791(2013)02(c)-0034-02
21世纪以来,计算机网络迅猛发展,实现实时高速网络入侵检测已经成为当前计算机安全技术不得不面临的残酷事实。本文提出一个分布式环境下的多Agent模型的入侵检测模型,没有主次之分的各Agent之间,通过不同分工协同工作。各级独立Agent发挥不同独立性入侵检测单元功能,同时联合协作检测着网络的各个方面的安全情况和主机系统安全信息。多代理系统是一个由多个代理组成的比较松散的代理联盟,各个代理为了完成一个共同的目的相互协作、相互服务。MAS结构的使用,更够使计算机智能分布更好地实现,也能使现有的各项IDS技术得到利用,可以将其它的安全工具封装为代理以实现纵深防御体系。
1 基于多代理的分布式入侵检测系统模型结构设计
(图1)
(1)CSA(Communicate Service Agent):通信服务代理。(2)FA(Function Agent):功能代理,它是完成各种任务代理的一个统称。(3)SDA(State Detection Agent):状态检测代理。(4)LAA(Local Analyzer Agent):本地分析代理。(5)DAA(Domain Analyzer Agent):域分析代理。(6)VUI(Visual User Interface):可视用户接口。
多代理的分布式入侵检测系统由各个主机的代理互相配合完成检测任务,同时每个主机又都能单独的进行入侵检测,各个主机间入侵消息的通信是靠CSA进行的,SDA负责检测本地Agent状态,DAA进行更大范围的入侵分析,LAA进行本地入侵检测分析,以及进行系统恢复。其中每个主机部分的Agent组成结构(图2)。
1.1 功能代理(FA)是由预处理代理(AD-P),认证授权代理(AIA),学习代理(LA),存取控制代理(ACA)等代理组成。它们的主要的职责有以下几点
(1)预处理代理AD-P(Agent-Detection for Preprocessing):AD-P负责对输入的通信数据进行预处理,实时监视网络通信数据,提取事件序列,然后对事件进行分类,备份到AD-P数据库并提交给下一级Agent进行处理。(2)认证授权代理AIA(Agent for Identification and Authentication):AIA是负责识别的信息源和认证的真实性,并把结果反馈到数据库中,发送邮件到入侵检测代理IDA可疑行为,或试图攻击立即的迹象。(3)学习代理LA(Learning Agent):LA是负责提取的攻击模式,以及明确用户的行为,如判断攻击是不是Port Scanning、Overflow、Finger、 Dos等行为。(4)存取控制代理ACA(Access Control Agent):ACA一方面是保护机密信息,并且不允许敏感信息未经授权的访问渠道流出,另一方面,按照严格的访问控制策略,为合法用户提供信息资源的访问。
1.2 状态检测代理SDA(State Detection Agent)
SDA是每台主机唯一的入侵检测Agent进行自身保护和身份验证的专门Agent,它定时检查协作主机的CSA和本机内IDA的状态,并负责向系统管理员报告。入侵检测系统的检查和维护的网络系统的安全性是必要的,以确保不间断运行;而且入侵检测系统能记录黑客的攻击行为,黑客在发动真正的攻击前必将想尽办法先破坏入侵检测系统;因此SDA的存在非常有必要。同时,由于CSA是入侵检测代理与其它检测代理交互的关键。一旦CSA遭受破坏,不同主机入侵检测代理的协作就无法进行;因此,检查和保证CSA的正常运行状态是极其重要的。SDA能定时检查协作主机CSA的状态,一旦发现某台机器的CSA活动异常,就向其它机器的SDA查询该机器的状态,如果其它机器的SDA认为该CSA正常,就进行再次查询;如果检测出其它机器的SDA不正常报告,立即通知系统管理人员,请求系统管理人员检查问题所在。
此外,还要定期检查主机IDA的状态,发现某个IDA运行状态有问题SDA会及时地通知本机的CSA,暂停与IDA之间的通信和通知系统管理人员及时处理。
1.3 本地分析代理LAA(Local l Analyzer Agent)
LAA是负责主机管理的代理,存在每台配有FA的主机上也是唯一。LA的主要职责为是收集各个IDA报告系统异常活动的报告,并进行处理;执行异地代理的CSA之间的协商,根据需要向上级DAA提交工作报告,根据上级DAA的指示控制各代理的状态;组织本地间代理的协作。
1.4 入侵检测代理IDA(Intrusion Detection Agent)
每个IDA独立承担一定的检测任务,检测系统或网络的安全性。在模型中,每个IDA检测的操作模式和响应的数据,有自己的独立的消息来源,每个IDA是独立的测试组件,可以实现单独检测任务,同时各IDA之间又进行相互协作,对网络用户和系统的可疑行为或异常进行检测并把检测结果交给LAA进行判断。不同的IDA按照检测环境不同,可以采用不同的检测方法和技术。 1.5 可视用户接口VUI(Visual User Interface)
VUI是向用户提供使用界面的,向用户提供配置界面和告警界面。UIA的实现可以使用不同的RAD工具都依赖于API调用DAA提供的控制功能。
1.6 域分析代理DAA (Domain analyzer Agent)
DAA集中服务于整个域上,它全面分析来自各个主机的报告,从而得出最终结论。DAA可以找到相关的多台主机、与网络相关的入侵活动,这种入侵是很难被单个主机上的LAA发现的。处理分析和收集各LAA报告的数据外,DAA还能通过控制LAA,使不同主机上的LAA可以相互作用,从而实现整个域内的管理。考虑到单点失效的问题上,MADIDS域的概念是非常灵活的。域是指一个DAA所能管理的所有主机,域的概念是嵌套的,是有层次的。一个DAA管理的域中成员可以是单个的LAA,也可以是另一个子域的管理者DAA。域的形成动态减少域之间的信息流的形成的原则,按照与网络安全条件下,形成一般是更交互式主机组件域,各个主机可以动态的申请加入或者离开某个域。这样当任一个LAA失效的时候,其上级DAA可以做出报告和寻找其它可以代替它的LAA。当另一个DAA失效的时候,其所属的主机将申请加入其它的域。域分析代理的主要功能是接收管辖域内的各LAA或DAA送来的报告,并对接收的报告进行分析整理汇总,指示控制本域各主机的工作。
1.7 消息代理MA(Message Agent)
广域网解决传输问题使用的agent是MA。因为普遍的跨地域组织,所以要加强对异地分组织进行统一的安全管理,可以通过MADIDS来跨广域网;虽然广域网有复杂的传输系统,会产生较大延时,需要专门的传输机制。被用来传输敏感信息的MADIDS传输,可以在广域网提供比本地传输更高安全强度的保护。
2 代理的协作机制
分布化、协作化发展后的入侵技术,要求入侵检测系统必然出现分布化、协作化发展。代理之间的协作能力被MADIDS整体智能体现,作为分布式入侵检测系统中的关键。
按照内容代理的协作可以划分为以下几点。
(1)检测结果关联协作—— 主要用于寻找分布和协作攻击检测结果,关联协作是指对不同检测点检测结果检测到可疑事件进一步挖掘。(2)检测结果确认协作—— 检测结果确认协作是指对从不同代理对于同一事件的检测结果进行比较,所有代理检测的结果都附有可信度,以确认攻击的真实程度。可信度是指对检测结果的确认程度,通过LAA或DAA对检测结果的比较可以确定该次检测的最终可信度,如果可信度很低,不需要将事件报道给上级代理,反之亦然报告向上级代理。(3)恢复协作—— 由恢复代理对目标系统进行恢复;恢复协作是指代理检测到成功的攻击行为,系统受到破坏后通知相关的恢复代理。(4)响应协作—— 响应协作是指某代理检测到攻击后,则请求其它代理对该攻击做出响应,本身不能直接对该攻击做出合适的响应。(5) 追踪协作—— 通过多个代理共同协作沿攻击路径反向追踪寻找攻击者的来源。(6)取证协作—— 取证协作是当某检测代理检测到违法攻击后,通知取证代理对攻击者行为进行详细记录以作为证据。(7)状态协作—— 状态协作是指代理之间相互进行状态校验以保证正常工作。协作的模型有汇总模型、控制模型、反馈模型、和级联模型等几种。(8)学习协作—— 学习协作是指学习代理在学习到新的攻击特征后更新滥用检测代理的攻击库,使其可以检测到新的攻击。
3 基于多代理的分布式入侵检测模型的优缺点
本系统模型的优点有以下几点。
(1)系统具有可扩展性;通过层次结构将代理设计成为多层架构,有效减少向上层代理汇报的数据和报告。(2)灵活性;现有的结构可以容纳各种不同的入侵检测技术,甚至是其它的安全技术,如防火墙都可以打包成为一个普通代理。(3)协作性;每个功能代理检测虽然只是主机安全或者网络安全的一个方面,甚至可能是简单的命令查询,但通过LAA和DAA的联合协作,就可以产生非常详细的检测结果。(4)数据来源不受限制;因为代理可以捕获网络数据包或其他适当的资源,在需要时,通过探测系统审计数据,因此基于多代理的IDS可以打破基于主机型和基于网络型之间存在的传统界限。(5)跨广域网;通过MA跨广域网的协同入侵检测。(6)自适应;代理的功能通过能力库表示,代理之间的协作通过协商确定,根据网络情况自适应整个系统的结构。(7)与平台和开发语言无关;因为代理可以作为分离的进程在主机上运行,每个代理都可以使用最适合其任务的语言,通讯协议和通讯格式可以简单地按照共同的。(8)将代理设计成为相互独立的子集可以减少单点失效的问题,一个代理失效不会影响整个IDS的工作,不必重启就可以重新配置IDS(或部分IDS)。
本模型的缺点有以下几个方面。
(1)Agent自身安全;在大规模开放式网络应用中,Agent本身也是存在安全问题,引入安全检测代理,相应的引来了敏感部件自身安全问题,恶意的入侵者会从代理部件中获得关于系统和网络的信息,对整个系统安全威胁更严重,因此,必须对Agent设计相应的保护机制。(2)对网络的影响;由于IDA间的协作都是通过相互间的通信来实现的,在不同的主机之间的通信IDA如果过于频繁或过多的流量对网络流量造成的潜在影响,如果入侵者了解可疑广播报文的结构,可能会利用广播报文来进行拒绝服务攻击。然而,由于在系统中,每个IDA的可疑度是加权和,所以进行广播的DA的可疑度增长速度更快可能会导致拒绝服务,该IDA已经可以判断出这类异常,因此,使用广播包进行拒绝服务攻击的事情在系统模型中是无法运行的。每个IDA是相互合作,IDA可疑的广播数据包被接收到一定数量后,怀疑的IDA的程度将超过一定的阈值,将一条警告消息,在这个时候,特别是很短的一段时间内类似广播报文,会更加警惕,以防止发生的拒绝服务攻击。(3)对主机性能方面的影响;每个IDA只能检测网络或主机的某些方面的内容,它可能需要一台主机的IDA以涵盖所有检测点,这可能会导致潜在的影响主机系统的性能,因此,如果数量过多的IDA在一台主机,你需要能够IDA合并功能相似或过于简单,这方面的工作是我们今后工作的一个研究方向。
参考文献
[1] 马恒太,将建春,陈伟峰,等.基于Agent的分布式入侵检测系统模型[J].软件学报,2000(10).
[2] 董红斌.多Agent系统的现状与发展[J].计算机应用研究.2001.
[3] 胡华平.入侵检测系统的研究现状与发展趋势[J].计算机工程与科学.2001.
[4] 张俊海.基于多代理的分布式入侵检测体系分析[J].经济技术协作信息.2008(8).
[5] 敖冰峰.基于移动Agent的入侵检测系统改进研究[D].哈尔滨理工大学,2007.
[6] 汤洁.分布式入侵检测系统的研究与设计[D].南京信息工程大学,2008.
[7] 蔚雪洁.基于代理的分布式入侵检测系统的研究[D].兰州理工大学,2008.
关键词:入侵检测系统 多代理 分布式 入侵检测
中图分类号:TP3 文献标识码:A 文章编号:1672-3791(2013)02(c)-0034-02
21世纪以来,计算机网络迅猛发展,实现实时高速网络入侵检测已经成为当前计算机安全技术不得不面临的残酷事实。本文提出一个分布式环境下的多Agent模型的入侵检测模型,没有主次之分的各Agent之间,通过不同分工协同工作。各级独立Agent发挥不同独立性入侵检测单元功能,同时联合协作检测着网络的各个方面的安全情况和主机系统安全信息。多代理系统是一个由多个代理组成的比较松散的代理联盟,各个代理为了完成一个共同的目的相互协作、相互服务。MAS结构的使用,更够使计算机智能分布更好地实现,也能使现有的各项IDS技术得到利用,可以将其它的安全工具封装为代理以实现纵深防御体系。
1 基于多代理的分布式入侵检测系统模型结构设计
(图1)
(1)CSA(Communicate Service Agent):通信服务代理。(2)FA(Function Agent):功能代理,它是完成各种任务代理的一个统称。(3)SDA(State Detection Agent):状态检测代理。(4)LAA(Local Analyzer Agent):本地分析代理。(5)DAA(Domain Analyzer Agent):域分析代理。(6)VUI(Visual User Interface):可视用户接口。
多代理的分布式入侵检测系统由各个主机的代理互相配合完成检测任务,同时每个主机又都能单独的进行入侵检测,各个主机间入侵消息的通信是靠CSA进行的,SDA负责检测本地Agent状态,DAA进行更大范围的入侵分析,LAA进行本地入侵检测分析,以及进行系统恢复。其中每个主机部分的Agent组成结构(图2)。
1.1 功能代理(FA)是由预处理代理(AD-P),认证授权代理(AIA),学习代理(LA),存取控制代理(ACA)等代理组成。它们的主要的职责有以下几点
(1)预处理代理AD-P(Agent-Detection for Preprocessing):AD-P负责对输入的通信数据进行预处理,实时监视网络通信数据,提取事件序列,然后对事件进行分类,备份到AD-P数据库并提交给下一级Agent进行处理。(2)认证授权代理AIA(Agent for Identification and Authentication):AIA是负责识别的信息源和认证的真实性,并把结果反馈到数据库中,发送邮件到入侵检测代理IDA可疑行为,或试图攻击立即的迹象。(3)学习代理LA(Learning Agent):LA是负责提取的攻击模式,以及明确用户的行为,如判断攻击是不是Port Scanning、Overflow、Finger、 Dos等行为。(4)存取控制代理ACA(Access Control Agent):ACA一方面是保护机密信息,并且不允许敏感信息未经授权的访问渠道流出,另一方面,按照严格的访问控制策略,为合法用户提供信息资源的访问。
1.2 状态检测代理SDA(State Detection Agent)
SDA是每台主机唯一的入侵检测Agent进行自身保护和身份验证的专门Agent,它定时检查协作主机的CSA和本机内IDA的状态,并负责向系统管理员报告。入侵检测系统的检查和维护的网络系统的安全性是必要的,以确保不间断运行;而且入侵检测系统能记录黑客的攻击行为,黑客在发动真正的攻击前必将想尽办法先破坏入侵检测系统;因此SDA的存在非常有必要。同时,由于CSA是入侵检测代理与其它检测代理交互的关键。一旦CSA遭受破坏,不同主机入侵检测代理的协作就无法进行;因此,检查和保证CSA的正常运行状态是极其重要的。SDA能定时检查协作主机CSA的状态,一旦发现某台机器的CSA活动异常,就向其它机器的SDA查询该机器的状态,如果其它机器的SDA认为该CSA正常,就进行再次查询;如果检测出其它机器的SDA不正常报告,立即通知系统管理人员,请求系统管理人员检查问题所在。
此外,还要定期检查主机IDA的状态,发现某个IDA运行状态有问题SDA会及时地通知本机的CSA,暂停与IDA之间的通信和通知系统管理人员及时处理。
1.3 本地分析代理LAA(Local l Analyzer Agent)
LAA是负责主机管理的代理,存在每台配有FA的主机上也是唯一。LA的主要职责为是收集各个IDA报告系统异常活动的报告,并进行处理;执行异地代理的CSA之间的协商,根据需要向上级DAA提交工作报告,根据上级DAA的指示控制各代理的状态;组织本地间代理的协作。
1.4 入侵检测代理IDA(Intrusion Detection Agent)
每个IDA独立承担一定的检测任务,检测系统或网络的安全性。在模型中,每个IDA检测的操作模式和响应的数据,有自己的独立的消息来源,每个IDA是独立的测试组件,可以实现单独检测任务,同时各IDA之间又进行相互协作,对网络用户和系统的可疑行为或异常进行检测并把检测结果交给LAA进行判断。不同的IDA按照检测环境不同,可以采用不同的检测方法和技术。 1.5 可视用户接口VUI(Visual User Interface)
VUI是向用户提供使用界面的,向用户提供配置界面和告警界面。UIA的实现可以使用不同的RAD工具都依赖于API调用DAA提供的控制功能。
1.6 域分析代理DAA (Domain analyzer Agent)
DAA集中服务于整个域上,它全面分析来自各个主机的报告,从而得出最终结论。DAA可以找到相关的多台主机、与网络相关的入侵活动,这种入侵是很难被单个主机上的LAA发现的。处理分析和收集各LAA报告的数据外,DAA还能通过控制LAA,使不同主机上的LAA可以相互作用,从而实现整个域内的管理。考虑到单点失效的问题上,MADIDS域的概念是非常灵活的。域是指一个DAA所能管理的所有主机,域的概念是嵌套的,是有层次的。一个DAA管理的域中成员可以是单个的LAA,也可以是另一个子域的管理者DAA。域的形成动态减少域之间的信息流的形成的原则,按照与网络安全条件下,形成一般是更交互式主机组件域,各个主机可以动态的申请加入或者离开某个域。这样当任一个LAA失效的时候,其上级DAA可以做出报告和寻找其它可以代替它的LAA。当另一个DAA失效的时候,其所属的主机将申请加入其它的域。域分析代理的主要功能是接收管辖域内的各LAA或DAA送来的报告,并对接收的报告进行分析整理汇总,指示控制本域各主机的工作。
1.7 消息代理MA(Message Agent)
广域网解决传输问题使用的agent是MA。因为普遍的跨地域组织,所以要加强对异地分组织进行统一的安全管理,可以通过MADIDS来跨广域网;虽然广域网有复杂的传输系统,会产生较大延时,需要专门的传输机制。被用来传输敏感信息的MADIDS传输,可以在广域网提供比本地传输更高安全强度的保护。
2 代理的协作机制
分布化、协作化发展后的入侵技术,要求入侵检测系统必然出现分布化、协作化发展。代理之间的协作能力被MADIDS整体智能体现,作为分布式入侵检测系统中的关键。
按照内容代理的协作可以划分为以下几点。
(1)检测结果关联协作—— 主要用于寻找分布和协作攻击检测结果,关联协作是指对不同检测点检测结果检测到可疑事件进一步挖掘。(2)检测结果确认协作—— 检测结果确认协作是指对从不同代理对于同一事件的检测结果进行比较,所有代理检测的结果都附有可信度,以确认攻击的真实程度。可信度是指对检测结果的确认程度,通过LAA或DAA对检测结果的比较可以确定该次检测的最终可信度,如果可信度很低,不需要将事件报道给上级代理,反之亦然报告向上级代理。(3)恢复协作—— 由恢复代理对目标系统进行恢复;恢复协作是指代理检测到成功的攻击行为,系统受到破坏后通知相关的恢复代理。(4)响应协作—— 响应协作是指某代理检测到攻击后,则请求其它代理对该攻击做出响应,本身不能直接对该攻击做出合适的响应。(5) 追踪协作—— 通过多个代理共同协作沿攻击路径反向追踪寻找攻击者的来源。(6)取证协作—— 取证协作是当某检测代理检测到违法攻击后,通知取证代理对攻击者行为进行详细记录以作为证据。(7)状态协作—— 状态协作是指代理之间相互进行状态校验以保证正常工作。协作的模型有汇总模型、控制模型、反馈模型、和级联模型等几种。(8)学习协作—— 学习协作是指学习代理在学习到新的攻击特征后更新滥用检测代理的攻击库,使其可以检测到新的攻击。
3 基于多代理的分布式入侵检测模型的优缺点
本系统模型的优点有以下几点。
(1)系统具有可扩展性;通过层次结构将代理设计成为多层架构,有效减少向上层代理汇报的数据和报告。(2)灵活性;现有的结构可以容纳各种不同的入侵检测技术,甚至是其它的安全技术,如防火墙都可以打包成为一个普通代理。(3)协作性;每个功能代理检测虽然只是主机安全或者网络安全的一个方面,甚至可能是简单的命令查询,但通过LAA和DAA的联合协作,就可以产生非常详细的检测结果。(4)数据来源不受限制;因为代理可以捕获网络数据包或其他适当的资源,在需要时,通过探测系统审计数据,因此基于多代理的IDS可以打破基于主机型和基于网络型之间存在的传统界限。(5)跨广域网;通过MA跨广域网的协同入侵检测。(6)自适应;代理的功能通过能力库表示,代理之间的协作通过协商确定,根据网络情况自适应整个系统的结构。(7)与平台和开发语言无关;因为代理可以作为分离的进程在主机上运行,每个代理都可以使用最适合其任务的语言,通讯协议和通讯格式可以简单地按照共同的。(8)将代理设计成为相互独立的子集可以减少单点失效的问题,一个代理失效不会影响整个IDS的工作,不必重启就可以重新配置IDS(或部分IDS)。
本模型的缺点有以下几个方面。
(1)Agent自身安全;在大规模开放式网络应用中,Agent本身也是存在安全问题,引入安全检测代理,相应的引来了敏感部件自身安全问题,恶意的入侵者会从代理部件中获得关于系统和网络的信息,对整个系统安全威胁更严重,因此,必须对Agent设计相应的保护机制。(2)对网络的影响;由于IDA间的协作都是通过相互间的通信来实现的,在不同的主机之间的通信IDA如果过于频繁或过多的流量对网络流量造成的潜在影响,如果入侵者了解可疑广播报文的结构,可能会利用广播报文来进行拒绝服务攻击。然而,由于在系统中,每个IDA的可疑度是加权和,所以进行广播的DA的可疑度增长速度更快可能会导致拒绝服务,该IDA已经可以判断出这类异常,因此,使用广播包进行拒绝服务攻击的事情在系统模型中是无法运行的。每个IDA是相互合作,IDA可疑的广播数据包被接收到一定数量后,怀疑的IDA的程度将超过一定的阈值,将一条警告消息,在这个时候,特别是很短的一段时间内类似广播报文,会更加警惕,以防止发生的拒绝服务攻击。(3)对主机性能方面的影响;每个IDA只能检测网络或主机的某些方面的内容,它可能需要一台主机的IDA以涵盖所有检测点,这可能会导致潜在的影响主机系统的性能,因此,如果数量过多的IDA在一台主机,你需要能够IDA合并功能相似或过于简单,这方面的工作是我们今后工作的一个研究方向。
参考文献
[1] 马恒太,将建春,陈伟峰,等.基于Agent的分布式入侵检测系统模型[J].软件学报,2000(10).
[2] 董红斌.多Agent系统的现状与发展[J].计算机应用研究.2001.
[3] 胡华平.入侵检测系统的研究现状与发展趋势[J].计算机工程与科学.2001.
[4] 张俊海.基于多代理的分布式入侵检测体系分析[J].经济技术协作信息.2008(8).
[5] 敖冰峰.基于移动Agent的入侵检测系统改进研究[D].哈尔滨理工大学,2007.
[6] 汤洁.分布式入侵检测系统的研究与设计[D].南京信息工程大学,2008.
[7] 蔚雪洁.基于代理的分布式入侵检测系统的研究[D].兰州理工大学,2008.