移动Agent在入侵检测系统中应用.doc

移动Agent在入侵检测系统中应用摘 要 本文主要对移动Agent技术在入检测系统中的应用进行了探讨。首先介绍了入侵检测系统的重要意义；接着对移动Agent在入侵检测系统中的应用优势进行了分析；最后，系统设计中应该注意的问题进行了剖析 关键词 移动；Agent；入侵检测；防火墙 中图分类号TU5 文献标识码A 文章编号 1674-6708（2012）58-0179-02 0 引言 入侵检测技术是一种为了避免网络本身受攻击而采取的一种主动保护安全技术。在当前的应用中，入侵检测技术是防火墙的合理补充，它位于防火墙之后，在对网络性能影响最小的情况下对整个网络进行实时的监控检测，并从整个网络系统中的关键点收集信息，进行检测分析，辅助系统采取策略应对网络攻击，这样有效的提高了系统管理员的网络安全管理能力，提高了网络系统的安全性。因此，入侵检测已经成为当前继防火墙之后的第二道安全门。目前，入侵检测系统也已经成为了入网络安全领域的新热点，不仅愈来愈到的收到人们的关注，而且在很多关键的环境中发挥了关键作用 1 移动Agent在入侵检测系统中应用的优势分析 与现有的入侵检测系统体系结构相比，采用Agent的入侵检测系统具有很多优势，包括：能够克服网络延迟、减少网络带宽以及具有自主性等功能，下面就这3个方面详细展开论述。具体如下： 1）克服网络延迟 在那些对实时响应要求很强的系统中，移动Agent大有用武之地，因为他们可以有一个中央处理器进行控制，并且可以派遣到相应的远程节点上去执行任务。但是在传统的入侵接侧系统中，中央处理器会根据接收到的报警，通过与发出警报节点的信息交换来实现对异常情况的处理。但是，在这其中存在着一定的潜在问题，比如，中央处理器在与发出警报端节点的信息处理过程中还要处理本身的一些任务，试想，如果同一时间段内系统多个节点发出警报，势必会占用中央处理器大量资源，甚至会导致异常情况处理的延迟，而有些时候这些延迟对于系统来说却是致命的。而使用Agent却可以很好的解决这个问题，重要处理器在接收到一个警报后，会马上派遣一个Agent到警报节点进行处理，这样就有效减轻了中央处理器的分担 2）减少对网络带宽的占用 网络带宽资源占用率高时传统的入侵检测系统的一个重要劣势。网络监控系统往往处理由网络流量监视工具以及主机监视器的设计记录表所产生数据中的很大一部分，然后将各个节点的数据进行抽象处理后再发往更高以及的节点进一步进行抽象处理，各个节点的数据最终要汇总到中央处理器进行分析评估。但是，即使是网络上发送的数据都已经经过抽象，那么它对带宽的占用仍然不能忽略。而移动Agent在入侵管理系统中的应用却可以有效的减轻上述情况所造成的网络负担 3）异步和自主的执行过程 在传统的入侵检测系统中，中央处理机是整个检测过程的核心，其中监控的各个节点都要有一条通信通道与中央处理器相连。那么，在这样的结构下，中央主机就成为众多攻击者的目标，如果中央处理机被恶意入侵者入侵，那么整个系统都将要崩溃。但是移动agent却可以很好的解决这个问题。在中央处理机无法运行或者与中央处理器的通信通道中断以后，运行在远程节点上的移动Agent依然可以独立自主运行下去。与远程程序端调用不同的是，即使在启动和分派移动Agent的主机从网络上断开或停机以后，移动Agent仍然会不受影响地继续执行下去并完成原来分派的任务 2 应用过程中注意的问题 移动Agent并不是解决当前分布式入侵检测系统的问题的万能药方，而且移动Agent系统自身也存在很多需要解决的问题。目前的移动Agent体系体结构的入侵检测系统需要解决好以下几个问题： 1）安全性问题 基于移动Agent的入侵检测系统，虽然在发生异常情况时可以迅速而及时的进行相应，，但是，其中还存在着一定的安全性隐患。在通常情况下，入侵检测系统中的移动Agent为了能够完成一些特定的操作，需要取得操作系统中的某些特权，比如unix系统中的root权限，这样攻击者如果发送恶意的Agent，就很容易给系统的安全性带来隐患。为解决这些问题，可以要求Ageni平台只运行那些拥有正确的数字签名的Agent，然而，攻击者却可以通过篡改Agent所携带的数据来欺骗入侵检测系统。在这种情况下，需要采用更进一步的安全措施来保护计算资源，比如访问控制，身份认证，对Agent平台的安全事件进行审计以及对交换的数据进行加密等等 2）性能问题 在一些环境中，移动Agent的使用不但没有提高入侵检测系统的检测与响应速度，反而降低了入侵检测系统的性能。特别地，使用比较慢的解释型编程语言编写的Agent通常会降低系统的性能;为解决这个问题，通常用Agent执行计算量比较小的任务，而