基于移动代理的分布式入侵检测系统模型研究

1、基于移动代理的分布式入侵检测系统模型研究主要内容课题的学术背景及其理论与实际意义网络安全技术入侵检测系统概述移动代理技术基于移动代理的分布式入侵检测系统体系结构模型系统的实现课题来源本论文的项目背景黑龙江省自然科学基金项 目基于多层前向神经网络的分布式入侵检测模型，该项目以理工校园网为研究对象，全面研究校园网络的安全管理和相应的防范措施。本课题是该项目的一个分支。网络安全网络安全包括三个要素：数据、关系、能力国际标准化组织ISO在ISO7489-2标准中定义了网络安全的要点，主要包括：机密性、完整性、可用性、认证、访问控制PDR动态安全模型PDR认为，一个良好的、完整的动态安全体系，不仅需要恰

2、当地防护(protection)(比如操作系统访问控制、防火墙、加密等)，而且需要动态的检测机制(detection)(比如：入侵检测、漏洞扫描等)，在发现问题时及时进行响应(response)。整个体系要在统一的、一致的安全策略(policy)的指导下实施。PDR形成了一个完备的闭环自适应体系。策略是PDR模型的核心，在安全策略的控制和指导下，防护、检测与响应构成了一个完整、动态的循环。防护是保障系统安全的基础;检测是循环中的关键问题。响应则依据检测结果改进和完善防护技术，阻止入侵行为甚至实施反击。 入侵检测定义顾名思义，是对入侵行为的发觉。它通过在计算机网络或计算机系统中的若干关键节点收集

3、信息并对其进行分析，判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。一个完善的入侵检测系统至少需要具备以下特点： 经济性 时效性 安全性 可扩展性入侵检测系统的分类根据检测的数据来源分： 基于主机的入侵检测系统(Host-based IDS) 基于网络的入侵检测系统(Network-based IDS) 混合型 基于主机与基于网络的混合系统根据检测使用的分析方法分: 异常检测(Abnormal Detection) 误用检测(Misuse Detection)根据体系结构

4、分： 集中式入侵检测系统(Centralized IDS，CIDS) 分布式入侵检测系统(Distributed IDS, DIDS)理想入侵检测系统的功能 1. 自动地收集和系统相关的信息2.监视分析用户和系统的行为3. 审计系统配置和漏洞4. 评估敏感系统和数据的完整性5. 识别攻击行为6.对异常行为进行统计7.进行审计跟踪，识别违反安全法规的行为8. 使用诱骗服务器（“蜜罐”）记录黑客行为选题的理论及现实意义近些年针对网络和主机系统的入侵和攻击不断增多，给网络与信息安全造成了很大威胁。入侵检测系统作为一种主动防御策略，在检测和防范入侵方面发挥了其他安全部件难以替代的重要作用。对入侵检测系

5、统的研究已经成为网络与信息安全领域的一个研究热点。随着网络规模的不断扩大，入侵检测系统应用的场合也越来越大，分布式入侵检测系统就应运而生了。这种结构通过分散采集、分布处理和集中管理，满足了大规模高速网络的需求。而实现分布式入侵检测系统，一般要使用代理技术。代理和移动代理技术是近年来新提出的概念和技术，受到广泛关注和研究。几种分布式入侵检测系统实例AAFID(Autonomous Agent For Intrusion Detection) IDA（Intrusion Detection Agent System） MAIDS(Mobile Agent Intrusion Detection S

6、ystem) JAM(Java Agents for Meta-Learning)EMERALD(Event Monitoring Enabling Responses to Anomalous Live Disturbances)分布式IDS系统的体系结构数据采集构件应急处理构件入侵检测分析构件通信传输构件管理构件安全知识库现有的分布式入侵检测系统的局限性入侵检测实时性较差； 中央数据分析器是唯一的错误分析处。如果一个入侵者以某种方式阻断它运行时，网络就得不到保护；一主机处理所有信息意味着被监控的网络规模将受限制，大量的数据收集将导致网络通信过载；不同入侵检测系统难以实现互操作。 移动代理应

7、用于DIDS的优势主机间动态迁移 改变了传统的将数据传给程序(计算)的方式，而是将程序(计算)传给数据。智能性平台无关性分布的灵活性低网络数据流量多代理合作移动代理技术 Mobile Agent是指能在同构或异构网络主机之间自主地进行迁移的有名字的程序。程序能自主地决定什么时候迁移到什么地方。它能在程序运行的任一点挂起，然后迁移到另一台主机上，并接着这一点继续往下执行。 什么是移动代理移动代理系统的体系结构代理代码库移动代理服务器（MAS）远程移动代理服务器（RMAS）移动代理传输协议移动代理监听机制迁移机制控制机制安全机制移动代理IBM Aglets的运行支撑环境 移动代理移动代理移动代理通

8、信通信Aglet虚拟机Tahiti Linux Java虚拟机 Java虚拟机 Windows XJava 虚拟机 Solaris Java虚拟机 移动代理运行的支持环境 Linux操作系统Solaris操作系统Windows X系列操作系统操作系统Aglets的虚拟机环境Tahiti通信协议ATPATP Agent Transmission Protocol有效性和可靠性 代理之间的通信不能明显的增加系统的负担，降低 网络的传输性能。安全性 各部件之间的通信协议必须提供某种加密机制来保证IDS之间数据传输的安全性，以防止网络窃听。模型系统的提出目前的基于MA的IDS克服了原来的IDS的许多缺

9、陷，但它们也有其不足之处，如单点失效、可扩展性较差、自治性差和响应不及时等。为了克服或者部分克服上述缺陷，我们提出一种新的基于MA的DIDS模型。此模型使用这一技术，从每个被监视主机处协调处理信息，之后完成入侵行为的总体信息汇总。此结构主要包括4个组成部分：管理中心，跟踪agent，响应agent和主机监视agent。如下图所示。系统模型的体系结构图系统模型的工作原理网络中每一台被监视主机都安装一个主机监视agent，主机监视agent和一些监视子agent合作来完成本地入侵检测功能。如果在某一被监测主机上发现入侵，主机监视agent会直接将入侵报告给管理中心，由管理中心派遣一个响应agent

10、对入侵做出既定响应，否则主机监视agent只记录可疑行为并向管理中心请求援助。当管理中心收到援助请求时，它将会派遣一个跟踪agent巡回网络到一组特定的被监视主机上去收集信息，判断是否这些不同主机上的可疑行为能组合起来为一个分布式入侵。跟踪agent返回后，管理中心分析收集到的信息以判断是否是分布式入侵。如果是的话管理中心将派遣一个响应agent到相关响应点作智能响应。主机监视代理此模型数据源分为三类：一类是网络数据，一类是系统调用，第三类是系统日志。因此在设计主机监视agent时，有3个子agent分别负责监视网络连接、主机系统调用和用户行为。它们被称为网络检测子代理、文件检测子代理、用户检

11、测子代理。 系统调用和系统日志是基于主机的数据源，由于时间关系，在模型的具体实现中主要实现了对网络数据的监视模块网络检测子代理(Network Detection Agent，NDA)。网络检测子代理网络检测子代理(NDA)主要功能是采集网络上的数据包信息，按照预先设定的规则过滤出相关的数据，对于入侵、越权操作、网络资源滥用等恶意行为实时报警，同时向管理中心发送报警信息。本系统中的NDA是在开放源码的Snort轻型网络入侵检测系统的基础上开发的。NDA的功能和总体设计NDA根据用户的选择或定义的规则进行探测，识别网络中存在的攻击信息或攻击企图。NDA通过一个设置为混杂模式的网卡，实时监听所有本

12、网段内的数据包，并交由数据分析和预处理模块进行判断。发现入侵迹象后，就直接报告给管理中心。同时，它受到agent的控制，管理中心派遣具有特定任务的跟踪agent对其进行控制，以管理NDA的工作。NDA是由策略驱动的网络监听和分析系统。 NDA的主要功能检测入侵。当检测到入侵事件时记录入侵数据。当检测到入侵事件时将分析后的概要信息发送给agent。接收并执行agent发送来的控制命令，接受管理中心的控制和管理。 NDA子系统的结构图及其与移动agent系统的关系 主机 n 移动agent系统 移动agent平台检测引擎解码器数据包捕获模块记录数据数据库规则库SAMA管理中心模型的最高级别实体。在

13、此结构中，管理中心是控制和协调其他组成部分的核心，它保持所有组成部分的配置信息，包括主机监视agent，移动agent平台，跟踪agent，响应agent。当以上提到的任何一部分加入系统时，它必须在管理中心的组成列表中登记。通过主机请求和环境，管理中心负责移动agent的创建、派遣、接收、移动等。此外，它还负责检测系统中所有移动agent的安全性。最后，管理中心收到来自主机监视agent的入侵报警和跟踪agent收集的信息，并且由响应agent实施全局入侵响应。 管理中心的五个模块管理模块：负责广泛的管理系统中的agent和移动agent平台。此模块创建agent，分派每个agent一个唯一的

14、ID，决定移动agent的巡回路线。之外还保存了一个移动agent目录，记录了每个移动agent的位置和ID，任一此agent的路线及在主机间的迁移都会被记录。此模块还为每个被派遣的移动agent保存了一个计时器以确定此agent是否已经丢失或破坏。安全模块：负责检测违反agent完整性的行为和确保所有跟踪agent的可利用性。移动agent返回管理中心后，此模块将开始分析此移动agent以确定是否有违反安全的行为发生。通信模块：负责管理中心和系统其他组成之间的所有的远程交互，包括和移动agent平台及主机监视agent之间的通信。管理中心的五个模块入侵分析模块：用和主机监视agent相似的方

15、法确认分布式入侵，为每个访问网络的可疑行为保存一个访问列表，当鉴定可疑网络访问的跟踪agent返回时，他搜集到的信息将会被加入到此列表中。列表中的这一项将长期保存除非它保持不变的时间间隔足够长。响应模块：负责做出响应决策并且派遣响应agent到相关的被监视主机。例如：如果管理中心收到一个来自主机监视agent的攻击报告或者确认了一个分布式攻击，它将会派遣一个响应agent到这个主机。模型系统的具体实现系统通信系统通信协议是ATP通信协议 。ATP通信协议实际上是基于TCP/IP协议的。被传输的Aglet首先被序列化为字节流，然后传送到另一个Aglet Server，在此Aglet Server

16、处将接收的字节流反序列化，重新形成原来的Aglet。通信方法：Dispatch（派遣），Retract（召回），Fetch（取回），Message（消息）本系统中Aglet和Aglet之间的通信我们主要是采用在它们之间传Message对象，不再另外设计其他的通信方法。系统通信如果一个Aglet想和其他的Aglet通信，首先它要创建一个Message对象，然后把这个对象传送给后者。可以用任意的一个对象作为Message对象的参数。接收方的Aglet用其handleMessage方法检查接收的Message的种类，然后决定要做什么。例如: MyAglet extends Aglet public

17、boolean handleMessage(Message msg) if (msg.sameKind(doJob) doJob(); else if (msg.sameKind(shutdown) deactivate(0);移动代理本结构中有两种agent:静态agent和移动agent.静态agent包括管理中心和主机监视agent.移动agent是此结构的重要组成部分，包括跟踪agent和响应agent.它们被管理中心派遣并且巡回在分配的被监视主机间执行专门的任务。这两种类型的agent有相似之处，也有一些不同之处。移动agent有三部分组成: 编码、巡回路线、资料栈。如下图移动代理的

18、结构移动agent可以根据在由管理中心创建时所建立的路线到达多个目地主机。目的主机运行agent平台以执行agent中的解释代码。而agent所收集的信息将保存在资料栈中，agent返回后，管理中心将分析收集到的信息以判断是否是分布式入侵。网络中可以存在多个移动agent，每个agent在其迁移过程中，寻找可能存在的不同类型的网络漏洞。跟踪agent和管理中心保存了同样的计时器，如果计时器下降到0，跟踪agent则必须返回管理中心而不管它是否完成了自己的工作。如果管理中心发现计时器变成0，而跟踪agent没有回来，它将会分析原因并且派遣另外的移动agent。通过为跟踪agent设置计时器，可以检测出丢失agent，并以最小的数据损失重新生成一个agent。主机监视agent界面管理中心界面结论 本文探讨了基于移动代理的分布式入侵检测系统的原理、设计与实现。完成的主要工作如下: (1)在收集和阅读了大量资料的基础上，研究入侵检测系统的模型和检测原理，对现有的检测技术进行分析和比较。 (2)研究了移动agent技术，重点研究了IBM东京实验室开发的移动代理平台Aglets，并且分析了移动代理技术应用于入侵检测系统的可行性和优