入侵检测中协作代理设计.docVIP

入侵检测中协作代理设计 　　[摘 要]提出了基于代理的域内分层、域间对等的分布式入侵检测系统模型，该模型中协作代理是关键部件。本文重点阐述了原型系统中协作代理的模块设计和安全通信机制。 　　[关键词]协作代理 分布式 入侵检测系统 　　 　　一、引言 　　基于智能代理(agent)技术，并结合XML和安全通信技术，提出了基于代理的分布式入侵检测系统（Agent-based Distributed Intrusion Detection System）模型，并实现了一个实验性的原型系统ADIDS。ADIDS可以描述为一个6元组： 　　=(,,,,,) 　　其中，是数据采集器，一个域（域是一个独立的网络部分）中可以有多个，分布在网络各处；是入侵检测代理，一个域中可以有多个，分布在网络各处，它们检测到本域内的异常行为时，会将报警信息发送给本域内的入侵事件数据库； 是协作代理，每个域中只有一个，它有两个功能：①负责对本域内的入侵事件数据库中的数据进行汇总和分析，触发本域内的响应器响应入侵事件；②与其他域内的协作代理进行协作，互通报警信息；是监控器，每个域中只有一个，监控器负责对代理进行监控；是入侵检测事件库，每个域中只有一个；是响应器，每个域中也只有一个。该系统总体结构用UML描述如图1所示。 　　 　　在ADIDS中，协作代理是关键部件，它关系到域内可疑事件数据挖掘和域间报警信息的互通。本文重点阐述ADIDS的协作代理的模块设计与协作代理之间的安全通信机制。 　　在ADIDS中，协作代理是关键部件，它关系到域内可疑事件数据挖掘和域间报警信息的互通。本文重点阐述ADIDS的协作代理的模块设计与协作代理之间的安全通信机制。 　　 　　二、协作代理的模块设计 　　协作代理主要由以下模块组成：①数据分析模块Watcher②协作报警信息监听模块Listener③协作报警信息发送模块Reporter 　　（一）数据分析模块Watcher 　　本模块用来对本域中入侵事件数据库的检测数据进行综合分析，分析过程如下： 　　1．如果发现数据库中的报警记录的异常度超过阈值，则发现入侵，触发本域中的响应器响应入侵行为，并通过Reporter模块向其他域中的协作代理采用IP多点传送方式发送报警消息。 　　2．如果发现数据库中的报警记录的异常度小于报警阈值，则认为是可疑行为。报警列表中有报警记录的源主机、目的主机以及异常度等字段，便将列表中源主机和目的主机分别相同的记录的异常度进行累加，如果超过报警阈值，则发现入侵，通过Reporter模块向其他域中的协作代理采用IP多点传送方式发送报警消息。 　　3．对异常度小于报警阈值的可疑行为记录，设置一个定时器，让这些记录的异常度随时间下降，直到降到一个规定的下限为止。也就是说，如果在一定的时间间隔内不断地产生源主机和目的主机分别相同的报警记录，从而不断的提升异常度，直到超过报警阈值，产生报警，否则就会逐渐恢复到正常操作状态，并继续监控。 　　（二）监听模块Listener 　　本模块负责建立一个告警队列，对这个告警队列的操作有两个进程，第一个进程负责监听其它域内的协作代理发向本域的协作报警信息，并将它加入到告警队列；第二个进程负责读取告警队列的内容，触发响应器响应入侵事件。由于以上两个进程并发运行，必须对该告警队列实施并发控制。任何一个进程在操作该告警队列之前，必须先锁定该告警队列，操作完毕后，解锁该告警队列。 　　（三）发送模块Reporter 　　报警信息的UDP数据包封装在IP数据包中，传送给网络上的对应机器。一个特定范围的IP地址专门用于IP多点传送。这些IP地址是224.0.0.0～239.255.255.255范围内的D类地址。这些地址中的每一个被作为一个多点传送组，任何加入那个组的机器都能接收到发送到该组的任何IP数据包。这样，每个域中的协作代理都加入到一个多点传送组中，就可以收到其他域中的协作代理发来的信息了，并能向组中的其它协作代理发送信息。 在本系统的开发中，协作代理的通信机制的实现采用JAVA语言。 　　JAVA中的MulticastSocket允许用户发送或接受多播UDP数据报。 　　 　　三、协作代理之间的安全通信机制 　　（一）ADIDS系统的消息机制 　　该系统中，代理之间需要交换消息，消息格式定义如图2所示： 　　消息包含以下6个域： 　　 　　1．type：消息类型 　　2．subtype：消息子类型，由消息类型决定，有些消息类型也许没有子类型。 　　3．source-id：发送消息的agent的标志； 　　4．destination-id：接受消息的agent的标志； 　　5．time-stamp：时间戳，即消息