基于多代理分布式入侵检测系统模型设计.docVIP

基于多代理分布式入侵检测系统模型设计 　　摘 要：在目前计算机网络高速发展的环境下，针对广泛应用的基于静态防护措施的安全体系存在的不足，提出能在高速度、高流量、协同攻击、分布式攻击的分布式入侵检测系统模型MADIDS（（Distributed Intrusion Detection system Based on Multi Agents）设计；够能集成分布式、智能化、整体化的技术优势，融入入侵检测和实时响应分布的分布式检测的技术，真正的实现一个有效的网络安全防御的深度安全系统。 　　关键词：入侵检测系统 多代理 分布式 入侵检测 　　中图分类号：TP3 文献标识码：A 文章编号：1672-3791（2013）02（c）-0034-02 　　21世纪以来，计算机网络迅猛发展，实现实时高速网络入侵检测已经成为当前计算机安全技术不得不面临的残酷事实。本文提出一个分布式环境下的多Agent模型的入侵检测模型，没有主次之分的各Agent之间，通过不同分工协同工作。各级独立Agent发挥不同独立性入侵检测单元功能，同时联合协作检测着网络的各个方面的安全情况和主机系统安全信息。多代理系统是一个由多个代理组成的比较松散的代理联盟，各个代理为了完成一个共同的目的相互协作、相互服务。MAS结构的使用，更够使计算机智能分布更好地实现，也能使现有的各项IDS技术得到利用，可以将其它的安全工具封装为代理以实现纵深防御体系。 　　1 基于多代理的分布式入侵检测系统模型结构设计 　　（图1） 　　（1）CSA（Communicate Service Agent）：通信服务代理。（2）FA（Function Agent）：功能代理，它是完成各种任务代理的一个统称。（3）SDA（State Detection Agent）：状态检测代理。（4）LAA（Local Analyzer Agent）：本地分析代理。（5）DAA（Domain Analyzer Agent）：域分析代理。（6）VUI（Visual User Interface）：可视用户接口。 　　多代理的分布式入侵检测系统由各个主机的代理互相配合完成检测任务，同时每个主机又都能单独的进行入侵检测，各个主机间入侵消息的通信是靠CSA进行的，SDA负责检测本地Agent状态，DAA进行更大范围的入侵分析，LAA进行本地入侵检测分析，以及进行系统恢复。其中每个主机部分的Agent组成结构（图2）。 　　1.1 功能代理（FA）是由预处理代理（AD-P），认证授权代理（AIA），学习代理（LA），存取控制代理（ACA）等代理组成。它们的主要的职责有以下几点 　　（1）预处理代理AD-P（Agent-Detection for Preprocessing）：AD-P负责对输入的通信数据进行预处理，实时监视网络通信数据，提取事件序列，然后对事件进行分类，备份到AD-P数据库并提交给下一级Agent进行处理。（2）认证授权代理AIA（Agent for Identification and Authentication）：AIA是负责识别的信息源和认证的真实性，并把结果反馈到数据库中，发送邮件到入侵检测代理IDA可疑行为，或试图攻击立即的迹象。（3）学习代理LA（Learning Agent）：LA是负责提取的攻击模式，以及明确用户的行为，如判断攻击是不是Port Scanning、Overflow、Finger、 Dos等行为。（4）存取控制代理ACA（Access Control Agent）：ACA一方面是保护机密信息，并且不允许敏感信息未经授权的访问渠道流出，另一方面，按照严格的访问控制策略，为合法用户提供信息资源的访问。 　　1.2 状态检测代理SDA（State Detection Agent） 　　SDA是每台主机唯一的入侵检测Agent进行自身保护和身份验证的专门Agent，它定时检查协作主机的CSA和本机内IDA的状态，并负责向系统管理员报告。入侵检测系统的检查和维护的网络系统的安全性是必要的，以确保不间断运行；而且入侵检测系统能记录黑客的攻击行为，黑客在发动真正的攻击前必将想尽办法先破坏入侵检测系统；因此SDA的存在非常有必要。同时，由于CSA是入侵检测代理与其它检测代理交互的关键。一旦CSA遭受破坏，不同主机入侵检测代理的协作就无法进行；因此，检查和保证CSA的正常运行状态是极其重要的。SDA能定时检查协作主机CSA的状态，一旦发现某台机器的CSA活动异常，就向其它机器的SDA查询该机器的状态，如果其它机器的SDA认为该CSA正常，就进行再次查询；如果检测出其它机器的SDA不正常报告，立即通知系统管理人员，请求系统管理人员检查问题所在。 　　此外，还要定期检查主