基于Agent的分布式入侵检测系统模型.pdfVIP

维普资讯 ISSN 1000—9825 JournalofSohware 软 件 学 报 (中国科 学 院软件研 究所信 息安全 国家重 点实验 室 北京 100080) (中国科 学 院信 息安全技术工程研 究 中心 北京 l00080) E—mail mht@erc[~t．s ．ac．cn 摘要 提 出了一个基 于 Agent的分布 式入 侵检测 系统模 型框 架 谈模 型提供 了基 于 网络和基 于主机入 经检 部件的接 口．为不 同Agent的相 互协作提供 了条件．在分布戒环境 中，按照系统和网络的异常使 用模式的不同 特征 和环境差异 ，可利用不 同的 Agent进 行检 测 ，各 Agent相 互协作 ，检刹异 常行为．谊模 型是 一个开被 的系 统模型 ，具有很好 的可扩充性 ，易于加入新 的协作 主机和入幢检测 Agent，也 易于扩充新 的入侵检测模式 ．它采 用没有 中心控制模堆 的并行 Agent挂_刹模 式，各 Agent之 闻的协作是通过 它们之 间的通信 来完成 的，各 Agent 之 间可 以交流可疑信息和进行数据收集 Agent之 问各 自独 立 ，相 互协作 ，合作 完成检 测任务 ．另外，模型采用 一 定 的状 态检 查和验证策 略 ，保证 了 Agent的 自身安全 和通信 安奎．该模 型 与特 定 的 系统应 用环境无 关 ，因 此 ，提 供 了一 个 通 用的八慢 检 测 系统 框 架模 型． 关键词 入幢检测 ，分布式模型， 型 通信 ，协作 中国法分类号 TP393 “d 随 着网络革命 的到来 ，lnternet在 为发展 带来 巨大机会 与可 能性 的同时 ，也带来 了恶 意 ^侵 的风 险．为 了保 护系统资源 ．需要建立安全 检测机制 以发现 未授权人 侵和破 坏．这个研究 领域就 是人侵检 测 (intrusiondetec tion．简称 ID)．为此 目的而设 计 的系境稚 为人侵检测 系统 (IDS)． 计算机系 统应能提供保密性 、完整性 以及抵抗拒绝 服务攻击 的能力 ．攻击者一般是利用操作系统或 者应用 程序的缺 陷来攻击 系统 的． 目前 ，对付破坏系统企 图的一十实用方法是按照一定 的安 全策略为系统建立相应 的安 全辅助系统 ．IDS就 是这样 的一类 系统 ．如果系境遭 到攻击 tIDS可 以尽可 能地检测 到 ，甚 至是 宴 时地检测 到 ，然后采 取恰 当 的处理 措施 ．IDS所起 到 的作用是安全触 发器 的作用 ．通过检测人侵事件 ，就可 以厦 时阻止事件 的发生和事态 的扩 大 网络 的迅速发展使得现在 的厢络资源一般 都是舒散分 布 的．一 般一个 单位就是一 个局域 网 ，通过 网关与 Internet相连 t在 内部共享 资源．厢关成为整个局域 同的安 全集 中点 ，内部机器 处于 同一安全层 次 ，只要有 ^突破 同关 t攻破一 台机器 ，就相当于攻破 了整个局域 网．所 以．现 在 的检测模型也应谚是分布式的 ，由不 同 的检测实体 监控不 同的主机和 网络部分 ，大家相互协作完成检测任务 ．特别是信任主机之 间更要相互协作 ，因为攻击 者 的下 一 个 目标最有可能就是信任主机．本文的符号系统沿用文献r】：． 1 传统 的入侵检测模型 传统人侵检测模型丈体上可 以分为基于误用 的人侵检测模型N,NTDg的人侵检测模型两种 本 文研 究得 到 国家 重 点基 础研 究发 展规划 项 目(No)和 中国科 学 院鞭件 研 究 所青 年创新 基 盘 (N0 cx2k5606)资助．作者马恒太 1970年生，博士屯 、主要研究领域 为网络信息安全，分布式计算 ．蒋建春 ，1971年生 博士生 ．工程 师 ，主要矸 究领域为计算机 网络 ·信 息安全．陈伟锋 ，1976年生 ，硕士生 ，主要研 究领域为^侵检测 ．智能卡技术 卿斯汉 ，1939年 生 ·研 究 员 ，博士 生导 师 ，主要 研究 领域 为信 息安 全理 论 与技 术 车文通信联系 ^：马恒太 ，北京 100080，中国科 学院软件研 究所信息安夸 中心 本 文 20uO0531收到