基于移動智能體的分布式入侵檢測系統(tǒng)研究

1、基于移動智能體的分布式入侵檢測系統(tǒng)研究周劍嵐， 金 斌， 吳 超 時間:2008年09月22日 字 體: 大 中 小關(guān)鍵詞:摘要：入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng)

2、title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢

3、測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系

4、統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入

5、侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) tit

6、le=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng)

7、 title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵關(guān)鍵詞： 移動智能體 分布式入侵檢測系統(tǒng) 智能體傳輸協(xié)議入侵檢測技術(shù)IDS(Intrusion Detection System)是一種主動保護目標網(wǎng)絡(luò)或目標主機免受網(wǎng)絡(luò)攻擊的一種網(wǎng)絡(luò)安全技

8、術(shù)。作為防火墻的合理補充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、攻擊識別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。由于單個入侵檢測系統(tǒng)檢測能力和檢測范圍的限制，入侵檢測系統(tǒng)一般采用分布監(jiān)視集中管理的結(jié)構(gòu)，多個檢測單元運行于網(wǎng)絡(luò)的各個網(wǎng)段或系統(tǒng)中，通過遠程管理功能在一臺控制中心上實現(xiàn)統(tǒng)一管理和監(jiān)控。僅僅依靠分布式監(jiān)管，仍有以下問題：(1)系統(tǒng)的可伸展性受限制：單一的控制中心其數(shù)據(jù)處理能力無法適應(yīng)網(wǎng)絡(luò)規(guī)模的迅速擴張和網(wǎng)絡(luò)速度的大幅提高；(2)中心處理主機具有單點失效性，導(dǎo)致整個系統(tǒng)在受到攻擊時不能正常工作；(3)缺乏靈活性：增加新的功能模塊需要對整

9、個系統(tǒng)重新配置或安裝11 分布式IDS及移動智能體技術(shù)1.1分布式IDS在網(wǎng)絡(luò)拓撲中，入侵監(jiān)測系統(tǒng)處于防火墻之后，對網(wǎng)絡(luò)活動進行實時檢測、記錄和禁止。圖1是入侵檢測系統(tǒng)在網(wǎng)絡(luò)拓撲中的位置。防火墻將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔開，起物理隔離的作用；而入侵檢測系統(tǒng)通過執(zhí)行以下任務(wù)，實現(xiàn)對內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)流的監(jiān)控：(1)監(jiān)視、分析用戶及系統(tǒng)活動；(2)系統(tǒng)構(gòu)造和弱點的審計；(3)識別反映已知進攻的活動模式并向相關(guān)人士報警；(4)異常行為模式的統(tǒng)計分析；(5)評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；(6)操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。1.2 一般分布式IDS的缺陷一般的分布式入侵檢測系統(tǒng)通常是由

10、許多分布在信息系統(tǒng)各處的數(shù)據(jù)采集模塊和一個處理能力很強的中心處理模塊組成。它主要有兩方面的缺陷2：一是隨著網(wǎng)絡(luò)帶寬的增加，中心處理模塊計算能力的要求也越來越高，一旦中心處理模塊失效，整個系統(tǒng)就會癱瘓；二是這種入侵檢測系統(tǒng)本身的通訊量很大，占用過多的網(wǎng)絡(luò)帶寬。1.3移動智能體智能體是包含程序代碼及狀態(tài)、代表用戶自主執(zhí)行任務(wù)的軟件3?；诿嫦?qū)ο笈c分布式人工智能相融合的面向智能體技術(shù)能夠?qū)崿F(xiàn)先進的應(yīng)用軟件系統(tǒng)。作為系統(tǒng)計算單元或模型構(gòu)造單元的Agent以層次結(jié)構(gòu)形成各種粒度的組件，組件再按需求導(dǎo)向和事件驅(qū)動的過程進行智能化集成，在Agent技術(shù)平臺及其環(huán)境設(shè)施支持下，形成運行中的軟件實體。移動智能

11、體的服務(wù)設(shè)施由智能體傳輸協(xié)議層、服務(wù)層和接口層三個邏輯層組成。智能體傳輸協(xié)議層是與現(xiàn)有網(wǎng)絡(luò)通信協(xié)議的接口；服務(wù)層為智能體建立運行環(huán)境和安全保護機制，協(xié)調(diào)和監(jiān)視智能體的運行；接口層為智能體與各主機、其他智能體之間的通信提供了底層的界面。1.4移動智能體與分布式IDS移動智能體具有如下幾個特征，可以很好地應(yīng)用于分布式IDS4圖2中，黑色箭頭是初始環(huán)節(jié)，智能體移動的完整過程依箭頭指向所示。整個工作過程模擬了跨Internet的兩個節(jié)點，其過程如下：(1)控制中心選擇需要檢測的網(wǎng)段，并初始化檢測程序；(2)移動智能體被送往第一個節(jié)點，開始一輪檢測過程；(3)智能體依賴移動智能體服務(wù)設(shè)施進行傳遞，對本地

12、網(wǎng)所采集數(shù)據(jù)進行分析與處理；(4)檢測具有移動服務(wù)設(shè)施的網(wǎng)絡(luò)段等各類節(jié)點；(5)檢測無移動服務(wù)設(shè)施的節(jié)點；(6)利用服務(wù)設(shè)施，跨越廣域網(wǎng)實現(xiàn)移動；(7)檢測網(wǎng)絡(luò)段等各類節(jié)點和無移動服務(wù)設(shè)施的節(jié)點；(8)移動智能體返回控制臺，控制臺根據(jù)檢測結(jié)果指定應(yīng)對措施，實現(xiàn)免疫過程。在智能體運行過程中，必須考慮移動環(huán)境的部署，移動智能體的運行環(huán)境不僅可以是網(wǎng)絡(luò)系統(tǒng)中的任意一個主機，也可以是網(wǎng)絡(luò)中的防火墻(包括軟件防火墻和硬件防火墻)、交換機或路由器。相比靜態(tài)部署的智能體而言，智能體在移動中保存代碼和當前運行狀態(tài)，在目標節(jié)點繼續(xù)執(zhí)行，因此智能體把整個網(wǎng)絡(luò)當作一個安全系統(tǒng)考慮，比分離靜態(tài)部署的智能體更具有優(yōu)勢。

13、2 基于移動智能體的分布式IDS實現(xiàn)2.1智能體傳輸協(xié)議移動智能體系統(tǒng)由移動智能體本身及移動智能體服務(wù)設(shè)施(或稱移動智能體服務(wù)器)兩部分組成。移動智能體服務(wù)設(shè)施基于移動智能體傳輸協(xié)議ATP(Agent Transfer Protocol)實現(xiàn)智能體在整個異構(gòu)網(wǎng)絡(luò)環(huán)境中的傳輸,并為其分配執(zhí)行環(huán)境和服務(wù)接口。由于Java具有平臺無關(guān)，方便遠程調(diào)用，安全性能好，MABDIDS采用Java開發(fā)。如下的前三個方法對本地和遠程Agent進行調(diào)用或終止，對Agent身份的認證則采用第四個方法實現(xiàn)。(1)public void recall (URN agent,.);(2)public void retra

14、ct (URN agent,.);(3)public void terminate (URN agent,.);(4)public Ticket authenticate (URN caller, int nonce)智能體在異構(gòu)的網(wǎng)絡(luò)環(huán)境移動時，需要定位資源，其實現(xiàn)過程如下(434是移動智能體默認的通信端口)：ATP_URL = Service_host Agent_resource | Class_resourceService_host = “atp:/” Host : Port Host = An Internet host domain name or IP addressPort

15、= Digit+Agent_resource = Name “#” Agent_identifierName= “/” a stringClass_resource = Class_pathClass_path = A legal absolute path specification智能體傳輸協(xié)議(Agent Transfer Protocol)定義了Agent傳輸?shù)恼Z法和語義，具體實現(xiàn)了移動Agent在服務(wù)設(shè)施間的移動機制5。ATP框架結(jié)構(gòu)定義了一組原語性的接口和基礎(chǔ)消息集，其基本操作如圖3所示。2.2移動智能體路由方案移動智能體的移動首先是對路由策略的制定，也就是確定智能體的旅行計劃。移

16、動智能體路由策略的優(yōu)化，很大程度上能夠決定智能體的效率高低，本文采用基于規(guī)則及目錄服務(wù)的動態(tài)路由,通過移動智能體建立agentstate.ini文件，配置系統(tǒng)路由和智能體運行參數(shù)。程序通過類Cinifile讀取和配置，其使用如下：IniFile:=CIniFile.Create(currentposition+agentState.ini);IniFile.WriteString(移動站點序列,移動站點+inttostr(1),customlistsenti);IniFile.WriteString(移動站點序列,移動站點+inttostr(2),Lip);IniFile.WriteInteg

17、er(移動站點序列,總站點數(shù)目,2);IniFile.WriteString(運行狀態(tài), 當前采集站點, customlistsenti);IniFile.UpdateFileResource;2.3移動智能體控制和容錯策略移動智能體在移動過程中可能存在網(wǎng)絡(luò)故障、服務(wù)設(shè)施故障、長時間停機等情況造成的移動Agent破壞和失敗。移動智能體要實現(xiàn)在復(fù)雜網(wǎng)絡(luò)環(huán)境下日志文件的有效采集，控制中心必須能協(xié)調(diào)智能體在各個分散的網(wǎng)段中正常移動，執(zhí)行相應(yīng)的掛起/繼續(xù)運行的任務(wù)。對于正常情況下的Agent移動，控制中心僅需按照本文前述的移動智能體總體實現(xiàn)方案，根據(jù)配置好的路由方案，依次派出智能體即可。如果存在網(wǎng)絡(luò)故

18、障，按照默認的移動路線，將難以完成智能體后續(xù)的操作，此時，系統(tǒng)將故障節(jié)點掛起，繼續(xù)向下一個節(jié)點移動。MABDIDS采用一種集中式容錯策略。也即是在控制中心保留了移動Agent的原始備份，并實施跟蹤，通過重發(fā)原始備份恢復(fù)失效的移動Agent。對移動Agent的跟蹤，包括對移動Agent的派出和返回的雙重跟蹤，一旦出現(xiàn)故障，則調(diào)用相應(yīng)的容錯保護機制，重發(fā)智能體或者掛起該站點，繼續(xù)向后繼節(jié)點移動。2.4應(yīng)用實例圖4是控制中心人機交互界面移動智能體任務(wù)執(zhí)行程序，整個系統(tǒng)包括四個模塊：(1)數(shù)據(jù)采集模塊：負責采集被監(jiān)控的網(wǎng)絡(luò)系統(tǒng)的連接數(shù)據(jù)，進行過濾和格式化處理，保存在日志文件中；并負責移動智能體的采集策略；(2)入侵檢測及響應(yīng)模塊：對各類