层次化多代理分布式入侵检测系统.docVIP

基于层次化多代理的分布式入侵检测系统 杨仕喜 河海大学，江苏南京（210098 ） E-mail：yangshixi@ 摘 要：随着入侵检测技术的发展, IDS 越来越呈现出分布性、智能性的特征。传统的基于 多Agent 的分布式入侵检测系统,往往采取一种分布式数据采集和层次化数据分析的方法。 这虽然使系统的逻辑结构简单严谨,却很大程度上限制了系统的分布性、智能性与实时响应 能力。本文提对传统的层次化结构的分布式入侵检测系统进行改进。为提高系统的健壮性, 提出一种三层协同工作的系统结构,并且在各层次内部通过多Agent 的协作来完成本层工作; 对传统的分布式入侵检测系统进行了有效的改进。 关键词：多Agent 系统；分布式入侵检测；通信；协作 1. 引言 随着对入侵检测系统( Intrusion Detection System ,简称IDS) 研究的深入,如今的IDS逐 渐呈现出智能性、分布性的特点。在最近10 年中,入侵检测系统正走向这样一种结构:它们由 一组分布式的监测器构成,在这个结构中每个监测器都负责本地的检测并为全局检测提供信 息,如:DIDS[1], AAFID[1] （图1所示）,EMERALD[1]和COIDS[1] （图2所示）等等。可以发现, 它们实际上都是采取一种分布式数据采集和层次化的数据分析的方式来对网域进行监控。采 用这种方式来构造分布式入侵检测系统,具有结构简单、系统的逻辑结构严谨的优点。 但也有明显的不足,主要表现在三个方面: (1) 集中的分析构件承受的负载较高,使每个分析构建的负载达到动态的平衡比较困难; (2) 集中的分析构件可能会成为系统的瓶颈与单一的失败点[2] ; (3) 多级层次化的分析降低了系统的实时性[2] 。 本文主要论述对传统的层次化结构的分布式入侵检测系统进行改进。为提高系统的健壮 性,提出一种三层协同工作的系统结构,并且在各层次内部通过多Agent 的协作来完成本层工 作;为提高系统实时性，检测精度与负载平衡,将原有一个分析构件分析功能划分成多个有针 对性的分析构件，使他们动态分布在整个网络。本文第2 节简介系统逻辑结构及各层次的代 理类型及功能;第3 节给出基于层次协作技术的若干方法;第4 节给出了系统实现的关键技术与部分。最后总结我们的研究工作,并且讨论未来研究开展的思路。 2.系统介绍 设所监控的网域由一系列的局域网构成,则系统的逻辑上由3个层次的Agent 构成, 自底向上分别是:数据采集层，数据分析层，决策控制层； 如图3所示： 该结构一改以前多个数据采集代理向同一个代理发送所有数据，以及数据采集代理单一 的弊端，将数据采集代理与数据分析处理代理的功能更加的细化，形成数据采集层，数据分析处理层；加强各层次间代理的互动，减少了由集中式带来的各种不足； 下面简单介绍三个层次的代理类型： 数据采集层：数据采集层有主机数据采集代理（Host Date Collect Agent，HDCA ）与网络数据采集代理（Net Date Collect Agent，NDCA ）[3]两种；主机采集代理主要采集主机系统 的系统日志和审计记录，并将其转化成标准格式数据提交数据分析处理层；采集主机时时运 行的性能数据；在有请求的情况下，协同其他代理监视主机的异常操作。网络数据采集代理 主要采集原始网络数据包作为数据源，进行简单协议分析，转化成标准格式数据提交到数据 分析处理层；主机数据采集代理在注册时，每台主机都拥有一个主机数据采集代理(HDCA) 和一个网络数据采集代理(NDCA)； 数据分析处理层：根据网络协议分析原理[4]将数据分析处理代理（Data Analysis Agent， DAA ）进行分类（如图4所示），数据分析处理层包含Telnet_DAA、FTP_ DAA、HTTP_ DAA、SMTP_ DAA、DNS_ DAA、SNMP_ DAA、ICMP_ DAA和Other_ DAA八种代理，加上主机 数据分析处理代理（Host DAA，HDAA ），共九种代理；主机数据分析处理处理所属辖域 内所有主机数据采集提交的采集数据；Telnet_ DAA，FTP_ DAA，HTTP_ DAA，SMTP_ DAA，DNS_ DA