基于Agent技术的分布式入侵检测系统的探究.docVIP

基于Agent技术的分布式入侵检测系统的探究 　　摘要：提出了一个基于Agent的分布式入侵检测系统模型框架，讨论了该系统的结构及其Agent机制；深入探究了Agent技术在分布式入侵检系统中的应用和存在的问题。最后预测了未来入侵检测系统的发展趋势。 　　Abstract: A Distributed Agent-based intrusion detection system framework is put forward and the system structure and Agent mechanisms are discussed; the application and existing in a distributed intrusion detection system are explored in-depth .Finally, future trends of intrusion detection systems are predicted. 　　关键词：入侵检测；Agent机制；分布式系统 　　Key words: intrusion detection; Agent mechanism; distributed systems 　　中图分类号：TP31 文献标识码：A文章编号：1006-4311（2010）36-0145-01 　　 　　1入侵检测系统综述 　　1.1 入侵检测系统入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。目前，IDS发展迅速，已有人宣称IDS可以完全取代防火墙。 　　IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类。根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和滥用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。 　　1.2 当前分布式入侵检测系统的特点及存在的问题①网络中大量数据的传送造成网络拥塞。②IDS极易受到攻击。攻击者通过攻击内部节点有可能切断某一控制分支，甚至破坏整个IDS。③现有的IDS都缺乏自学习、自适应能力。即使是那些能响应事先未定义属性的异常事件的智能化IDS也普遍存在漏报率、误报率都高居不下的困难。 　　2基于Agent的分布式入侵检测系统 　　2.1 Agent技术Agent是指模拟人类行为与关系，具有一定智能并能够自主运行和提供响应服务的程序，能够自主地完成其任务，并能够以一定方式和它的环境（人类用户、其他计算机程序或Agent）相交互，已成为发展分布式智能系统的重要方法。 　　2.2 系统模型我们所提出的入侵检测模型采取无控制中心的多Agent结构，每个检测部件都是独立的检测单元，尽量降低各监测部件间的相关性，不仅实现了数据收集的分布化，而且将入侵检测和实时响应分布化，真正实现了分布式检测的思想。 　　2.2．1 TSA。TSA是专门用于通信服务的Agent,它在每台主机上都是唯一的，是主机内和协作主机间IDA通信的桥梁，当IDA要传送数据时，它制定目标IDA，然后将数据传送给TSA，TSA将数据包转送给目标主机上的TSA目标主机上的TSA再将数据转送给目的IDA。 　　2.2．2 SDA。SDA是Agent进行自身保护和验证的专门Agent，它在每台主机上也是唯一的，它定时检查协作主机的TSA和机内IDA的状态，并负责向系统管理员报告。 　　SDA是为保证TSA和IDA的安全而设的，由于目标主机只有一个TSA，它就成为整个安全系统的安全重点，一旦TSA被破坏，整个目标主机中饿IDA之间和主机之间就无法进行协作，因此，检查和保证TSA的正常运行状态是极其重要的。 　　2.2.3 IDA。IDA是本模型的基本检测单元，它们分布在主机和网络各处，每个IDA独立承担一定得检测任务，检测系统或网络安全的一个方面，在模型中，各IDA有独立的数据源，运行模式和相应方式，各IDA之间进行相互协作，对系统和网络用户的异常或可以行为进行检测，不同的IDA按照检测环境的不同，采用不同的检测方法和技术。 　　在本系统中，各IDA的行为模式是很相似的，一般都要经过以下几个步骤：①截获系统或网络信息，写日志；②