Agent技术在分布式入侵检测系统应用研究.doc

Agent技术在分布式入侵检测系统应用研究 　　摘要：剖析了现有的分布式入侵检测系统及其在网络中的优势，将代理（agent）技术应用到分布式入侵检测系统中，并在此基础上提出了一种基于agent的分布式入侵检测系统（agent－based distributed intrusion detection system，ADIDS）的新模型。ADIDS采取无控制中心的多agent结构，充分利用agent本身的独立性与自主性，尽量降低各检测部件间的相关性，避免了单个中心分析器带来的单点失效问题。各个数据采集部件、检测部件都是独立的单元，不仅实现了数据收集的分布化，而且将入侵检测和实时响应分布化，提高了系统的健壮性，真正实现了分布式检测的思想。 　　关键词：信息安全； 入侵检测； 代理； 代理技术； 分布式 　　中图分类号：TP393．08文献标志码：A 　　文章编号：1001－3695(2008)04－1127－03 　　 　　随着网络规模的不断扩大，入侵检测系统（intrusion detection system，IDS）的应用场合也越来越大，将入侵检测系统应用于大规模高速网络成为入侵检测系统研究的新立足点。为了能够在大规模高速网络中实现入侵检测与防范，入侵检测系统一般采用分层的分布式结构。该结构通过分散采集、分布处理和集中管理，满足了大规模高速网络的需求。采用分布式结构的入侵检测系统也有利于检测分布式攻击。这种应用于大规模高速网络的入侵检测系统被称为大规模分布式入侵检测系统[1]。?? 　　实现大规模分布式入侵检测系统，一般要使用agent技术。该技术是近年来新提出的概念和技术，受到了广泛关注和研究。本文首先对分布式入侵检测系统及其在网络中的优势进行了剖析，并详述了agent技术在分布式入侵检测系统的应用，在此基础上提出了基于agent的分布式入侵检测系统模型。?? 　　 　　1分布式入侵检测系统概述?? 　　 　　传统的入侵检测系统，通常均属于自主运行的单机系统。无论基于网络数据源，还是基于主机数据源；无论采用误用检测技术，或是异常检测技术。在整个数据处理过程中，包括数据的收集、预处理、分析、检测，以及检测到入侵后采取的响应措施，均由单个监控设备或监控程序完成。然而，在面临大规模、分布式的应用环境时，这种传统的单机方式就遇到了极大的挑战。在这种条件下，要求各个入侵检测系统（监控设备或监控程序）之间能够实现高效的信息共享和协作检测。在大范围网络内部署有效的入侵检测系统已经成为一项新的研究课题，推动了分布式入侵检测系统（distributed intrusion detection system，DIDS）的发展。?? 　　DIDS是一种分布于网络环境的入侵检测系统，用来监视与网络相连的主机及网络自身，其关键技术是检测信息的协同处理与入侵攻击的全局信息的提取。DIDS检测的数据来源于网络中的数据包和主机中的数据，它采用分布式检测、集中管理的方法，即在每个网段和重点主机上安装一个监测器，该监测器相当于基于网络和基于主机的入侵检测系统。监测器用来监测其所在网段和主机上的数据流，它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响。?? 　　DIDS是目前入侵检测乃至整个网络安全领域的热点之一。国内外众多的大学、研究机构、安全团体、商业组织都致力于这方面的研究工作。到目前为止，还没有严格意义上的分布式入侵检测的商业化产品，但研究人员已经提出并完成了多个原型系统。通常采用的方法中，一种是对现有的IDS进行规模上的扩展；另一种则通过IDS之间的信息共享来实现。具体的处理方法上也分为两种，即分布式信息收集、集中式处理与分布式信息收集、分布式处理。前者以DIDS[2]、NADIR[3]、ASAX[4]为代表；后者则采用了分布式计算的方法[5，6]，降低了对中心计算能力的依赖，同时也减少了对网络带宽带来的压力，因此具有更好的发展前景。?? 　　 　　2分布式入侵检测系统的优势?? 　　 　　分布式入侵检测由于采用了非集中的系统结构和处理方式，相对于传统的单机IDS具有一些明显的优势。?? 　　2．1检测大范围的攻击行为?? 　　传统的基于主机的入侵检测系统只能通过检查系统日志、审计记录来对单个主机的行为或状态进行监测。即使是采用网络数据源的IDS，也仅在单个网段内有效。对于一些针对多主机、多网段、多管理域的攻击行为，如大范围的脆弱性扫描或拒绝服务攻击，由于不能在检测系统之间实现信息交互，通常无法完成准确和高效的检测任务。分布式入侵检测通过各