论文部分内容阅读
【摘 要】基于Agent的入侵检测,由于其智能、自治的特点而日渐成为安全领域的研究热点。文章介绍了入侵检测及Agent技术,提出并讨论了基于Agent的入侵检测系统。
【关键词】入侵检测 Agent 移动Agent
【中图分类号】F530.61 【文献标识码】A 【文章编号】1009-9646(2008)06-0175-01
随着黑客技术的日益增多,如何有效的检测并阻止这些攻击行为,保障网络的安全成了普遍关注的一个问题。
1 入侵检测系统IDS
网络防护手段很多,如设置防火墙、加密技术等,但都是静态的,不能很有效的实施防护。入侵检测技术则是一种动态的防护策略,它能对网络安全实施监控、攻击与反攻击等动态保护,是防火墙之后的第二层网络安全防护机制。
负责入侵检测的软硬件组合体称为IDS。IDS可简单描述为:动态地监视某一环境中发生的行为,并决定这些行为是系统的合法使用或是一次攻击。
1.1 入侵检测方法
按检测入侵的方法,可分为误用检测和异常检测。误用检测是用已知的入侵方法和系统薄弱环节识别非法入侵,异常检测是通过检查当前用户行为是否与已建立的正常行为相背离来鉴别是否有非法入侵操作。
1.2 IDS的体系结构
1.2.1 集中式双组件结构
最早的IDS使用双组件的体系结构:收集组件从主机的审计日志或监听网络数据包搜集信息,并传递给分析组件,中央分析组件则对信息进行分析检测。
集中式体系结构可扩展性差,中央分析组件对于大规模、异质网络结构的入侵行为处理能力有限,且由于网络的延时,到达控制台的数据包已不能反映当前状态。
1.2.2 分布式结构
随着网络技术的发展,攻击日趋出现分布化,规模扩大化,第二代IDS采用分布式体系结构。它在收集与分析组件间增加了中间组件,对收集进程获得的信息进行预处理并组合输入到分析进程。分布式结构大多采用多层次模型。
分布式结构的特点影响了它自身安全性:大量数据传送时往往造成拥塞,某一内部结点受到攻击可能破坏整个系统。
1.2.3 Agent结构
为解决分布式结构安全性差、难以动态配置和跨异构平台处理等问题,Gregory B.White[2]等提出通过分布式环境下检测代理的协同来均衡各实体的工作负荷,即基于Agent的结构。
Agent能有效提高系统的自适应性、可扩展性与工作协同性,已成为当前IDS领域的一个研究热点,引起研究界的高度重视。
2 Agent技术简介
Agent的概念是从分布式人工智能技术发展起来的。它是一种具有交互性、反应性的高度自治的软件实体,每一个Agent可以独立完成各自的工作,并通过相互间的通信与协调完成系统整体目标。一般,可将基于Agent的入侵检测系统分为SA和MA两类。
2.1 静态Agent(SA)
这是最早提出的用于IDS的Agent技术。它是指Agent驻留于某一固定位置或平台、持续自主发挥作用、有一定生命周期的计算实体。
SA仅在被创建的网络节点上运行,它对外提供服务,并对服务的请求进行处理,既可以作为资源对外的接口,提供底层资源的访问服务,也可以作为本地用户交互的接口出现。
2.2 移动Agent(MA)
该系统由MA和MA服务器组成。服务器基于Agent传输协议实现Agent在主机间的漫游。MA通过ACL(Agent Communication Language)[1]互相通信并访问服务器提供的功能。
MA的体系结构由安全代理、任务求解模块、路由策略等组成。其中安全代理是Agent与外界环境的中介,执行Agent的安全策略,防止外界环境对Agent的非法访问。任务求解模块包括Agent的运行模块及与其任务相关的推理。路由策略决定Agent的移动路径。
MA技术能在一个大型分布式网络中漫游和执行,进行信息流动收集,从而对网络检测进行动态配置,及时跟踪攻击行为,大大提升了任务处理的并行程度,并增强了系统的灵活性、可扩展性。
3 基于Agent的IDS
3.1 基于Agent的IDS模型
文[3]提出了一个基于主机与网络相结合的分布式结构入侵检测模型。该模型由数据采集、分析、响应、消息控制、存储等Agent和MA服务器组成。
数据采集Agent的任务是采集数据。主机数据来源是主机的审计信息,如系统日志的安全审计记录、系统配置文件的完整性情况、应用服务程序产生的日志文件等;网络数据源则是网络中的数据流,通过网络监听提取获得。
分析Agent负责对采集到的数据进行分析,将判断结果信息传递给响应Agent。
响应Agent则根据分析结果,根据用户定义的响应模式对攻击作出相应响应。
消息控制Agent对各Agent间的通信进行加密,管理消息的传递及系统各主机的身份认证,并提供各级Agent通信的接口。
存储Agent对各种配置信息、模式信息进行存取。
移动Agent用于产生、管理及回收移动Agent。
3.2 典型的Agent系统
3.2.1 AAFID(Autonomous Agent for Intrusion Detection)
文[4]提出的AAFID是由Purdue大学设计的一种基于自治Agent的IDS。这是一种树形结构的框架,监视Agent为根,提供全局的控制、管理以及分析由上一层节点提供的信息,树叶部分Agent主要用来搜集信息。中间层的Agent被称为收发器,实现对底层Agent的控制,同时对信息进行预处理,把预处理后的信息反馈到上层的监视器。
3.2.2 IDA(Intrusion Detection Agent System)
日本安全机构IPA提出的IDA最大特点是利用MA实现了入侵追踪。IDA是一种分层次结构的多主机IDS,由一个管理器、多个传感器、追踪Agent和信息收集Agent等组成。IDA自定义一种可疑入侵者足迹MLSI来检测入侵,并可以在网络主机之间移动,跟踪可疑行为的出处。一旦发现MLSI,IDA会收集与MLSI有关的信息,进行分析,判断是否有入侵发生。
4 结语
网络攻击与防护是一个长期而复杂的对抗过程。基于Agent的分布式IDS,由于其良好的智能性、伸缩性、扩展性而备受业界的关注,也是计算机安全领域的一个重要发展方向。
参考文献
[1] Jungwon Kim,Peter Bentley.The Artificial Immune Model for Network Intrusion,Detection[C].1999
[2] 李玉娟,李传林.一种新的基于Agent的入侵检测系统模型.计算机应用研究,2004,4
[3] 王珺等.基于Agent的网络入侵检测技术的研究.计算机科学,2006,33(12).
【关键词】入侵检测 Agent 移动Agent
【中图分类号】F530.61 【文献标识码】A 【文章编号】1009-9646(2008)06-0175-01
随着黑客技术的日益增多,如何有效的检测并阻止这些攻击行为,保障网络的安全成了普遍关注的一个问题。
1 入侵检测系统IDS
网络防护手段很多,如设置防火墙、加密技术等,但都是静态的,不能很有效的实施防护。入侵检测技术则是一种动态的防护策略,它能对网络安全实施监控、攻击与反攻击等动态保护,是防火墙之后的第二层网络安全防护机制。
负责入侵检测的软硬件组合体称为IDS。IDS可简单描述为:动态地监视某一环境中发生的行为,并决定这些行为是系统的合法使用或是一次攻击。
1.1 入侵检测方法
按检测入侵的方法,可分为误用检测和异常检测。误用检测是用已知的入侵方法和系统薄弱环节识别非法入侵,异常检测是通过检查当前用户行为是否与已建立的正常行为相背离来鉴别是否有非法入侵操作。
1.2 IDS的体系结构
1.2.1 集中式双组件结构
最早的IDS使用双组件的体系结构:收集组件从主机的审计日志或监听网络数据包搜集信息,并传递给分析组件,中央分析组件则对信息进行分析检测。
集中式体系结构可扩展性差,中央分析组件对于大规模、异质网络结构的入侵行为处理能力有限,且由于网络的延时,到达控制台的数据包已不能反映当前状态。
1.2.2 分布式结构
随着网络技术的发展,攻击日趋出现分布化,规模扩大化,第二代IDS采用分布式体系结构。它在收集与分析组件间增加了中间组件,对收集进程获得的信息进行预处理并组合输入到分析进程。分布式结构大多采用多层次模型。
分布式结构的特点影响了它自身安全性:大量数据传送时往往造成拥塞,某一内部结点受到攻击可能破坏整个系统。
1.2.3 Agent结构
为解决分布式结构安全性差、难以动态配置和跨异构平台处理等问题,Gregory B.White[2]等提出通过分布式环境下检测代理的协同来均衡各实体的工作负荷,即基于Agent的结构。
Agent能有效提高系统的自适应性、可扩展性与工作协同性,已成为当前IDS领域的一个研究热点,引起研究界的高度重视。
2 Agent技术简介
Agent的概念是从分布式人工智能技术发展起来的。它是一种具有交互性、反应性的高度自治的软件实体,每一个Agent可以独立完成各自的工作,并通过相互间的通信与协调完成系统整体目标。一般,可将基于Agent的入侵检测系统分为SA和MA两类。
2.1 静态Agent(SA)
这是最早提出的用于IDS的Agent技术。它是指Agent驻留于某一固定位置或平台、持续自主发挥作用、有一定生命周期的计算实体。
SA仅在被创建的网络节点上运行,它对外提供服务,并对服务的请求进行处理,既可以作为资源对外的接口,提供底层资源的访问服务,也可以作为本地用户交互的接口出现。
2.2 移动Agent(MA)
该系统由MA和MA服务器组成。服务器基于Agent传输协议实现Agent在主机间的漫游。MA通过ACL(Agent Communication Language)[1]互相通信并访问服务器提供的功能。
MA的体系结构由安全代理、任务求解模块、路由策略等组成。其中安全代理是Agent与外界环境的中介,执行Agent的安全策略,防止外界环境对Agent的非法访问。任务求解模块包括Agent的运行模块及与其任务相关的推理。路由策略决定Agent的移动路径。
MA技术能在一个大型分布式网络中漫游和执行,进行信息流动收集,从而对网络检测进行动态配置,及时跟踪攻击行为,大大提升了任务处理的并行程度,并增强了系统的灵活性、可扩展性。
3 基于Agent的IDS
3.1 基于Agent的IDS模型
文[3]提出了一个基于主机与网络相结合的分布式结构入侵检测模型。该模型由数据采集、分析、响应、消息控制、存储等Agent和MA服务器组成。
数据采集Agent的任务是采集数据。主机数据来源是主机的审计信息,如系统日志的安全审计记录、系统配置文件的完整性情况、应用服务程序产生的日志文件等;网络数据源则是网络中的数据流,通过网络监听提取获得。
分析Agent负责对采集到的数据进行分析,将判断结果信息传递给响应Agent。
响应Agent则根据分析结果,根据用户定义的响应模式对攻击作出相应响应。
消息控制Agent对各Agent间的通信进行加密,管理消息的传递及系统各主机的身份认证,并提供各级Agent通信的接口。
存储Agent对各种配置信息、模式信息进行存取。
移动Agent用于产生、管理及回收移动Agent。
3.2 典型的Agent系统
3.2.1 AAFID(Autonomous Agent for Intrusion Detection)
文[4]提出的AAFID是由Purdue大学设计的一种基于自治Agent的IDS。这是一种树形结构的框架,监视Agent为根,提供全局的控制、管理以及分析由上一层节点提供的信息,树叶部分Agent主要用来搜集信息。中间层的Agent被称为收发器,实现对底层Agent的控制,同时对信息进行预处理,把预处理后的信息反馈到上层的监视器。
3.2.2 IDA(Intrusion Detection Agent System)
日本安全机构IPA提出的IDA最大特点是利用MA实现了入侵追踪。IDA是一种分层次结构的多主机IDS,由一个管理器、多个传感器、追踪Agent和信息收集Agent等组成。IDA自定义一种可疑入侵者足迹MLSI来检测入侵,并可以在网络主机之间移动,跟踪可疑行为的出处。一旦发现MLSI,IDA会收集与MLSI有关的信息,进行分析,判断是否有入侵发生。
4 结语
网络攻击与防护是一个长期而复杂的对抗过程。基于Agent的分布式IDS,由于其良好的智能性、伸缩性、扩展性而备受业界的关注,也是计算机安全领域的一个重要发展方向。
参考文献
[1] Jungwon Kim,Peter Bentley.The Artificial Immune Model for Network Intrusion,Detection[C].1999
[2] 李玉娟,李传林.一种新的基于Agent的入侵检测系统模型.计算机应用研究,2004,4
[3] 王珺等.基于Agent的网络入侵检测技术的研究.计算机科学,2006,33(12).