基于自治代理的分布式入侵检测系统的研究.pdfVIP

l 曼曼曼曼曼曼鲁曼皇皇皇邕豳墨蔫墨曼曼皇曼曼曼皇曼曼皇尝孽曼曼曼曼曼曼曼鲁曼曼曼毫曼曼曼鼍笪量曼皇曼曼釜；：：；毒：：l：：=：： I： 基于自治代理的分布式入侵检测系统的研究+ 沈权 合肥：r业大学计算机与信息学院．安徽合肥230009 摘要提出了一个基于自治Agent的分布式入侵检测系统模型框架。在分布式环境中，按照系 作，检测异常行为。该模型是一个开放的系统模型，具有很好的可扩充性，易于加入新的协作主机 式，各Agent之间的协作是通过它们之间的通信来完成的，各Agent之间可以交流可疑信息和进行 数据收集。Agent之间各自独立，相互协作，合作完成检测任务。另外，模型采用一定的状态检查 和验证策略，保证了Agent的自身安全和通信安全。 关键词 入侵检测代理通信协作 1 引 言 计算机网络系统的飞速发展在为人们的生活和工作提供了便利的同时，也为非法用户访问和攻击计 算机和网络设备提供了机会。因此，建立一个安全的系统和网络就显得十分重要。要完全预防和保护系 统和网络不受攻击在目前是不可能的，但是可以通过检测已经发生的入侵或入侵企图，来预防进一步的 入侵和修复损失。这就是入侵检测系统所要做的。 入侵检测可以定义为“检查并确认那些未经授权而使用计算机系统，以及可以合法访间系统但是滥 用了权利的用户”。i1’而入侵检测系统就是用来执行检测入侵任务的计算机程序。根据被监视对象的不同， 入侵检测系统可以被分成两类：一类是基于主机的，另一类则是基于网络的。基于主机的入侵检测系统 只监视一个单独的计算机主机．这种检测系统通常采用主机操作系统的系统日志或审计数据作为检测的 依据；而基于网络的检测系统则监视通过网络相连的计算机主机，这种系统主要通过监视网络传输信息 来检测入侵，有的系统也同时采用主机的数据。许多现有的基于主机或网络的入侵检测系统大都采用单 一的体系结构。 到目前为止，已有一些研究机构对分布式入侵检测进行了有益的研究，也建立了一些实验性系统。 分析这些数据。CSM[4悃于执行分布式入侵检测，它不需要层次组织和协调中心。每一个CSM就在它所 在的主机上进行入侵检测，但可以和其他的CSM交换信息。这种结构也允许CSM们在检测到入侵时采 数据量，他们用层次方式定义了几层监视部件。可以对监视部件编程执行一些功能。 ‘作者简介：沈权 (1975--)，男，安徽含山人，合肥工业大学计算机与信息学院硕士生． 在这些系统中，有些检测系统数据由一个主机收集，并由单一的模块来分析。有些检测系统使用位 于网络节点上的模块实现分布式数据收集．但是所收集的数据被传输到一个中心主机上用单～的引擎进 行处理和分析。这些系统具有以下一些问题： 中心主祝是～个单一失效点。如果入侵者能够防止其工作，或者系统不能正常工作时，整个网络就 失去了保护。检测系统的可伸展性受到很大限制。在单一的主机上处理所有的数据和信息限制了所能检 测网络的规模。检测系统缺乏灵活性和扩展性。当系统需要加人新的模块和功能时，整个系统就需要修 改和重新安装。为了有效地解决上述问题，建立一个健壮，灵活和具有良好伸展性的入侵检测系统，作 者提出了一个基于自治Agent的分布式入侵检测系统。 2 基于自治Agent的分布式入侵检测系统 2．1系统结构 检测单元，尽量降低各检测部件闾的相关性，不仅实现了数据收集的分布化，而且将入侵检测和实时响 应分布化，真正实现了分布式检测的思想。我们所提出的入侵检测模型是以自治Agent为组织单元，其 图l系统结构示意图 2．2入侵检测Agent(IDAl IDA是本模型的基本检测单元，它们分布在主机和网络各处，每个IDA独立承担一定的检测任务， 检测系统或网络安全的一个方面。在模型中，各IDA有独立的数据源、运行模式和响应方式，各IDA 之间进行相互协作，对系统和网络用户的异常或可疑行为进行检测。不同的IDA按照检测环境的不同， 采用不同的检测方法和技术。在本系统中，各IDA的行为模式是很相似的，一般都经过以下几个步骤： ①截获系统或网络信息，作日志：③进行审计分析