基于移動(dòng)智能體的分布式入侵檢測系統(tǒng)研究

1、基于移動(dòng)智能體的分布式入侵檢測系統(tǒng)研究周劍嵐， 金 斌， 吳 超 時(shí)間:2008年09月22日 字 體: 大 中 小關(guān)鍵詞:摘要：入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng)

2、title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢

3、測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系

4、統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入

5、侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) tit

6、le=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng)

7、 title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵檢測系統(tǒng) title=入侵檢測系統(tǒng)入侵關(guān)鍵詞： 移動(dòng)智能體 分布式入侵檢測系統(tǒng) 智能體傳輸協(xié)議入侵檢測技術(shù)IDS(Intrusion Detection System)是一種主動(dòng)保護(hù)目標(biāo)網(wǎng)絡(luò)或目標(biāo)主機(jī)免受網(wǎng)絡(luò)攻擊的一種網(wǎng)絡(luò)安全技

8、術(shù)。作為防火墻的合理補(bǔ)充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、攻擊識別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。由于單個(gè)入侵檢測系統(tǒng)檢測能力和檢測范圍的限制，入侵檢測系統(tǒng)一般采用分布監(jiān)視集中管理的結(jié)構(gòu)，多個(gè)檢測單元運(yùn)行于網(wǎng)絡(luò)的各個(gè)網(wǎng)段或系統(tǒng)中，通過遠(yuǎn)程管理功能在一臺控制中心上實(shí)現(xiàn)統(tǒng)一管理和監(jiān)控。僅僅依靠分布式監(jiān)管，仍有以下問題：(1)系統(tǒng)的可伸展性受限制：單一的控制中心其數(shù)據(jù)處理能力無法適應(yīng)網(wǎng)絡(luò)規(guī)模的迅速擴(kuò)張和網(wǎng)絡(luò)速度的大幅提高；(2)中心處理主機(jī)具有單點(diǎn)失效性，導(dǎo)致整個(gè)系統(tǒng)在受到攻擊時(shí)不能正常工作；(3)缺乏靈活性：增加新的功能模塊需要對整

9、個(gè)系統(tǒng)重新配置或安裝11 分布式IDS及移動(dòng)智能體技術(shù)1.1分布式IDS在網(wǎng)絡(luò)拓?fù)渲?，入侵監(jiān)測系統(tǒng)處于防火墻之后，對網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測、記錄和禁止。圖1是入侵檢測系統(tǒng)在網(wǎng)絡(luò)拓?fù)渲械奈恢?。防火墻將?nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔開，起物理隔離的作用；而入侵檢測系統(tǒng)通過執(zhí)行以下任務(wù)，實(shí)現(xiàn)對內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)流的監(jiān)控：(1)監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；(2)系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；(3)識別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警；(4)異常行為模式的統(tǒng)計(jì)分析；(5)評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；(6)操作系統(tǒng)的審計(jì)跟蹤管理，并識別用戶違反安全策略的行為。1.2 一般分布式IDS的缺陷一般的分布式入侵檢測系統(tǒng)通常是由

10、許多分布在信息系統(tǒng)各處的數(shù)據(jù)采集模塊和一個(gè)處理能力很強(qiáng)的中心處理模塊組成。它主要有兩方面的缺陷2：一是隨著網(wǎng)絡(luò)帶寬的增加，中心處理模塊計(jì)算能力的要求也越來越高，一旦中心處理模塊失效，整個(gè)系統(tǒng)就會(huì)癱瘓；二是這種入侵檢測系統(tǒng)本身的通訊量很大，占用過多的網(wǎng)絡(luò)帶寬。1.3移動(dòng)智能體智能體是包含程序代碼及狀態(tài)、代表用戶自主執(zhí)行任務(wù)的軟件3?；诿嫦?qū)ο笈c分布式人工智能相融合的面向智能體技術(shù)能夠?qū)崿F(xiàn)先進(jìn)的應(yīng)用軟件系統(tǒng)。作為系統(tǒng)計(jì)算單元或模型構(gòu)造單元的Agent以層次結(jié)構(gòu)形成各種粒度的組件，組件再按需求導(dǎo)向和事件驅(qū)動(dòng)的過程進(jìn)行智能化集成，在Agent技術(shù)平臺及其環(huán)境設(shè)施支持下，形成運(yùn)行中的軟件實(shí)體。移動(dòng)智能

11、體的服務(wù)設(shè)施由智能體傳輸協(xié)議層、服務(wù)層和接口層三個(gè)邏輯層組成。智能體傳輸協(xié)議層是與現(xiàn)有網(wǎng)絡(luò)通信協(xié)議的接口；服務(wù)層為智能體建立運(yùn)行環(huán)境和安全保護(hù)機(jī)制，協(xié)調(diào)和監(jiān)視智能體的運(yùn)行；接口層為智能體與各主機(jī)、其他智能體之間的通信提供了底層的界面。1.4移動(dòng)智能體與分布式IDS移動(dòng)智能體具有如下幾個(gè)特征，可以很好地應(yīng)用于分布式IDS4圖2中，黑色箭頭是初始環(huán)節(jié)，智能體移動(dòng)的完整過程依箭頭指向所示。整個(gè)工作過程模擬了跨Internet的兩個(gè)節(jié)點(diǎn)，其過程如下：(1)控制中心選擇需要檢測的網(wǎng)段，并初始化檢測程序；(2)移動(dòng)智能體被送往第一個(gè)節(jié)點(diǎn)，開始一輪檢測過程；(3)智能體依賴移動(dòng)智能體服務(wù)設(shè)施進(jìn)行傳遞，對本地

12、網(wǎng)所采集數(shù)據(jù)進(jìn)行分析與處理；(4)檢測具有移動(dòng)服務(wù)設(shè)施的網(wǎng)絡(luò)段等各類節(jié)點(diǎn)；(5)檢測無移動(dòng)服務(wù)設(shè)施的節(jié)點(diǎn)；(6)利用服務(wù)設(shè)施，跨越廣域網(wǎng)實(shí)現(xiàn)移動(dòng)；(7)檢測網(wǎng)絡(luò)段等各類節(jié)點(diǎn)和無移動(dòng)服務(wù)設(shè)施的節(jié)點(diǎn)；(8)移動(dòng)智能體返回控制臺，控制臺根據(jù)檢測結(jié)果指定應(yīng)對措施，實(shí)現(xiàn)免疫過程。在智能體運(yùn)行過程中，必須考慮移動(dòng)環(huán)境的部署，移動(dòng)智能體的運(yùn)行環(huán)境不僅可以是網(wǎng)絡(luò)系統(tǒng)中的任意一個(gè)主機(jī)，也可以是網(wǎng)絡(luò)中的防火墻(包括軟件防火墻和硬件防火墻)、交換機(jī)或路由器。相比靜態(tài)部署的智能體而言，智能體在移動(dòng)中保存代碼和當(dāng)前運(yùn)行狀態(tài)，在目標(biāo)節(jié)點(diǎn)繼續(xù)執(zhí)行，因此智能體把整個(gè)網(wǎng)絡(luò)當(dāng)作一個(gè)安全系統(tǒng)考慮，比分離靜態(tài)部署的智能體更具有優(yōu)勢。

13、2 基于移動(dòng)智能體的分布式IDS實(shí)現(xiàn)2.1智能體傳輸協(xié)議移動(dòng)智能體系統(tǒng)由移動(dòng)智能體本身及移動(dòng)智能體服務(wù)設(shè)施(或稱移動(dòng)智能體服務(wù)器)兩部分組成。移動(dòng)智能體服務(wù)設(shè)施基于移動(dòng)智能體傳輸協(xié)議ATP(Agent Transfer Protocol)實(shí)現(xiàn)智能體在整個(gè)異構(gòu)網(wǎng)絡(luò)環(huán)境中的傳輸,并為其分配執(zhí)行環(huán)境和服務(wù)接口。由于Java具有平臺無關(guān)，方便遠(yuǎn)程調(diào)用，安全性能好，MABDIDS采用Java開發(fā)。如下的前三個(gè)方法對本地和遠(yuǎn)程Agent進(jìn)行調(diào)用或終止，對Agent身份的認(rèn)證則采用第四個(gè)方法實(shí)現(xiàn)。(1)public void recall (URN agent,.);(2)public void retra

14、ct (URN agent,.);(3)public void terminate (URN agent,.);(4)public Ticket authenticate (URN caller, int nonce)智能體在異構(gòu)的網(wǎng)絡(luò)環(huán)境移動(dòng)時(shí)，需要定位資源，其實(shí)現(xiàn)過程如下(434是移動(dòng)智能體默認(rèn)的通信端口)：ATP_URL = Service_host Agent_resource | Class_resourceService_host = “atp:/” Host : Port Host = An Internet host domain name or IP addressPort

15、= Digit+Agent_resource = Name “#” Agent_identifierName= “/” a stringClass_resource = Class_pathClass_path = A legal absolute path specification智能體傳輸協(xié)議(Agent Transfer Protocol)定義了Agent傳輸?shù)恼Z法和語義，具體實(shí)現(xiàn)了移動(dòng)Agent在服務(wù)設(shè)施間的移動(dòng)機(jī)制5。ATP框架結(jié)構(gòu)定義了一組原語性的接口和基礎(chǔ)消息集，其基本操作如圖3所示。2.2移動(dòng)智能體路由方案移動(dòng)智能體的移動(dòng)首先是對路由策略的制定，也就是確定智能體的旅行計(jì)劃。移

16、動(dòng)智能體路由策略的優(yōu)化，很大程度上能夠決定智能體的效率高低，本文采用基于規(guī)則及目錄服務(wù)的動(dòng)態(tài)路由,通過移動(dòng)智能體建立agentstate.ini文件，配置系統(tǒng)路由和智能體運(yùn)行參數(shù)。程序通過類Cinifile讀取和配置，其使用如下：IniFile:=CIniFile.Create(currentposition+agentState.ini);IniFile.WriteString(移動(dòng)站點(diǎn)序列,移動(dòng)站點(diǎn)+inttostr(1),customlistsenti);IniFile.WriteString(移動(dòng)站點(diǎn)序列,移動(dòng)站點(diǎn)+inttostr(2),Lip);IniFile.WriteInteg

17、er(移動(dòng)站點(diǎn)序列,總站點(diǎn)數(shù)目,2);IniFile.WriteString(運(yùn)行狀態(tài), 當(dāng)前采集站點(diǎn), customlistsenti);IniFile.UpdateFileResource;2.3移動(dòng)智能體控制和容錯(cuò)策略移動(dòng)智能體在移動(dòng)過程中可能存在網(wǎng)絡(luò)故障、服務(wù)設(shè)施故障、長時(shí)間停機(jī)等情況造成的移動(dòng)Agent破壞和失敗。移動(dòng)智能體要實(shí)現(xiàn)在復(fù)雜網(wǎng)絡(luò)環(huán)境下日志文件的有效采集，控制中心必須能協(xié)調(diào)智能體在各個(gè)分散的網(wǎng)段中正常移動(dòng)，執(zhí)行相應(yīng)的掛起/繼續(xù)運(yùn)行的任務(wù)。對于正常情況下的Agent移動(dòng)，控制中心僅需按照本文前述的移動(dòng)智能體總體實(shí)現(xiàn)方案，根據(jù)配置好的路由方案，依次派出智能體即可。如果存在網(wǎng)絡(luò)故

18、障，按照默認(rèn)的移動(dòng)路線，將難以完成智能體后續(xù)的操作，此時(shí)，系統(tǒng)將故障節(jié)點(diǎn)掛起，繼續(xù)向下一個(gè)節(jié)點(diǎn)移動(dòng)。MABDIDS采用一種集中式容錯(cuò)策略。也即是在控制中心保留了移動(dòng)Agent的原始備份，并實(shí)施跟蹤，通過重發(fā)原始備份恢復(fù)失效的移動(dòng)Agent。對移動(dòng)Agent的跟蹤，包括對移動(dòng)Agent的派出和返回的雙重跟蹤，一旦出現(xiàn)故障，則調(diào)用相應(yīng)的容錯(cuò)保護(hù)機(jī)制，重發(fā)智能體或者掛起該站點(diǎn)，繼續(xù)向后繼節(jié)點(diǎn)移動(dòng)。2.4應(yīng)用實(shí)例圖4是控制中心人機(jī)交互界面移動(dòng)智能體任務(wù)執(zhí)行程序，整個(gè)系統(tǒng)包括四個(gè)模塊：(1)數(shù)據(jù)采集模塊：負(fù)責(zé)采集被監(jiān)控的網(wǎng)絡(luò)系統(tǒng)的連接數(shù)據(jù)，進(jìn)行過濾和格式化處理，保存在日志文件中；并負(fù)責(zé)移動(dòng)智能體的采集策略；(2)入侵檢測及響應(yīng)模塊：對各類