论文部分内容阅读
【摘 要】本文将智能体( Agent)技术应用到入侵检测系统中,并在此基础上提出了一种基于多智能体(Multi-Agent)的网络入侵检测系统(Net detection system based Multi-Agent ,NDSMA)的新模型。系統采取Multi-Agent结构,充分利用Agent本身的独立性与自主性,尽量降低各检测部件间的相关性,避免了单个中心分析器带来的单点失效问题。各
【关键词】信息安全;入侵检测;代理;代理技术
1.采用Multi-Agent 的网络入侵检测系统的优势
本文针Agent的特点,提出了一种基于多Agent的网络入侵检测系统,该系统根据Agent的特点,把现有的入侵检测系统的各个功能划分到了与之相对应的Agent中,该方案充分利用各个Agent之间相互协作却又相互独立的特性,可以实时地检测基于网络入侵行为。
基于Multi-Agent 的入侵检测模型可以实时地检测基于网络和基于主机的入侵行为,它能够按照系统和网络的异常使用模式的不同特征和环境差异,利用不同的Agent 进行检测,各Agent 相互协作,检测出异常行为。
2.模型的体系结构
NDSMA模型是自治Agent为组织单元和服务器管理单元组成的。其中有 数据收集Agent 数据预处理Agent 主控Agent 监测Agent 通信Agent 检测Agent(巡回检测Agent和主机检测Agent)。
2.1 数据收集Agent
驻留在目标主机的数据采集Agent,负责采集流经主机网络适配器端口的网络数据包并传送给数据预处理Agent处理。它是高带宽网路中防止数据包丢失的关键。作为系统的底层组件,它们之间没有合作行为,只负责处理自己所在受控主机的数据包。。
2.2 数据预处理Agent
数据采集Agent捕获的网络数据信息量非常大,如果不加任何处理的直接交给检测Agent处理势必增加检测Agent的工作量,导致处理“瓶颈”。因此我们需要根据特定规则对原始数据预处理后,再以特征码的方式将数据传送到检测Agent,这样处理有利于检测Agent检测有效的部分,从而提高检测效率。此外,将数据采集Agent和数据预处理Agent分离有利于从不同的数据源重复、同步的采集数据,提高系统的整体性能,数据预处理Agent对收集到的数据包进行数据包解密和数据表逐层分解,然后把已经被逐层分解的数据包依据相应的规则生成可以被检测Agent可以识别的特征码 。其中包括IP层数据处理、TCP层数据处理和应用层数据处理。对于IP层处理,首先解决的问题是,把分片的IP数据报重新拼装起来,然后从中提取出IP源、目的地址,MAC源、目的地址、传输数据所使用的协议和TCP数据域;对于TCP层处理的数据是:从IP层提取出数据域,把该数据再进行分解,提取IP源、目的地址,源、目的端口、序号、连接状态和应用层报文,经过处理的数据就可以被数据预处理用来生成可以被检测Agent识别的特征码。
2.3 主控Agent
它本入侵检测系统中最高层控制单元,其主要功能是对系统中各节点上Agent进行管理是用户与系统交互的接口,为用户提供一个管理入侵检测系统的界面。用户通过控制中心可以管理各Agent的活动情况以及对各Agent进行控制,主控Agent还负责管理Agent保存系统的配置和各Agent的重要特征信息,负责在入侵检测系统受到破坏时恢复各Agent。负责各Agent的派生和初始化以及巡回Agent的移动路线。
2.4 通信Agent
通 信 控制Agent负责对各Agent之间的通信进行加密,管理消息的传递、系统各主机的身份认证.并提供接口使各级Agent可以进行通信。采用加密技术对从各Agent接收到的信息进行加密,并且采用数字签名方案来对系统中各主机进行身份认证。从而保证了该人侵检测系统本身的安全性,使系统遭受攻击的可能性降到最低。
2.5 监侧Agent
监测 Agent是较高层的独立实体,它们之间可以相互通信,这个Agent通常是用来检测其他的Agent是否正常运转。监测Agent具有状态监控功能的特殊Agent。它对各个Agent,判断它们是否受到攻击。如果是主控Agent 巡回数据Agent 综合检测Agent 受到攻击只要向服务器和系统管理员进行报告。如果检测Agent 数据收集Agent 数据预处理Agent 受到攻击时不仅要向系统管理系统管理员进行报告,还应该通知Agent所在主机的用户,让用户知道自己受到了外来的攻击。
监测Agent还负责监测整个网络,如果监测发现在其监控的网段内的某一时段数据包的活动不正常监测Agent就把它监测到的信息发送给主控Agent由主控Agent进行相应的处理。
2.6 检测Agent
检测Agent是对数据预处理Agent生成的特征码进行规则分析和特征检测,如果特征码没有和任何规则相匹配和符合入侵特征,它就会被检测引擎所丢掉否则检测Agent将发出相应的入侵警告。
传统入侵检测部件的缺点:传统的入侵检测系统把检测的工作都集中在了一台服务器上进行检测,而把数据收集的部分却放在多个主机上,这样就使得入侵检测系统上的检测部分需要承担所有的检测工作而且这样的集中式的检测的方式需要把所有的搜集到的数据都发送到检测部分所在的主机,这就导致了入侵检测系统的检测实时性的降低和带来了大量的网络通信。
3.模型的工作原理
NDSMA模型通过把传统的入侵检测系统的功能,分散到了NDSMA的相应的Agent中,该模型通过数据收集Agent把数据从底层网络中采集上来主机中,数据预处理Agent把从底层采集的数据进行数据包解密,数据包逐层分解,生成特征码等操作 检测模块把数据预处理Agent生成的特征码与特征库中的特征码进行对比看是否匹配,匹配则认为系统受到了入侵,并做相应的处理。通信Agent负责对各Agent之间的通信进行加密,管理消息的传递、系统各主机的身份认证.并提供接口使各级Agent可以进行通信。监测Agent通常是用来监测其他Agent是否正常运行。主控Agent是入侵检测系统中最高层控制单元,其主要功能是对系统中各节点上Agent进行管理是用户与系统交互的接口,为用户提供一个管理入侵检测系统的界面。
4.结束语
通过对传统侵检测系统及Agent技术的研究,提出了一种基于Multi-Agent网络入侵检测系统解决方案,并对该方案进行了详细分析和研究。该方案充分利用各个Agent之间相互协作却又相互独立的特性,可以实时地检测基于网络入侵行为。系统结构具有很好的伸缩性、灵活性、扩展性、容错能力、攻击预防能力。
参考文献:
[1] HUANGM Y, ROBERT J, THOMASM. A large scale distributed intrusion detection framework based on attack strategy analysis [ J ].ComputerNetworks, 1999, 31: 246522475.
[2] SNAPP S R, BRETANO J, D IAZ GV, et al. DIDSmotivation architecture and an early prototype [ C ] / /Proc of the 14 th National Computer Security Conference. Washington DC: [ s. n. ] , 1999: 67276.
【关键词】信息安全;入侵检测;代理;代理技术
1.采用Multi-Agent 的网络入侵检测系统的优势
本文针Agent的特点,提出了一种基于多Agent的网络入侵检测系统,该系统根据Agent的特点,把现有的入侵检测系统的各个功能划分到了与之相对应的Agent中,该方案充分利用各个Agent之间相互协作却又相互独立的特性,可以实时地检测基于网络入侵行为。
基于Multi-Agent 的入侵检测模型可以实时地检测基于网络和基于主机的入侵行为,它能够按照系统和网络的异常使用模式的不同特征和环境差异,利用不同的Agent 进行检测,各Agent 相互协作,检测出异常行为。
2.模型的体系结构
NDSMA模型是自治Agent为组织单元和服务器管理单元组成的。其中有 数据收集Agent 数据预处理Agent 主控Agent 监测Agent 通信Agent 检测Agent(巡回检测Agent和主机检测Agent)。
2.1 数据收集Agent
驻留在目标主机的数据采集Agent,负责采集流经主机网络适配器端口的网络数据包并传送给数据预处理Agent处理。它是高带宽网路中防止数据包丢失的关键。作为系统的底层组件,它们之间没有合作行为,只负责处理自己所在受控主机的数据包。。
2.2 数据预处理Agent
数据采集Agent捕获的网络数据信息量非常大,如果不加任何处理的直接交给检测Agent处理势必增加检测Agent的工作量,导致处理“瓶颈”。因此我们需要根据特定规则对原始数据预处理后,再以特征码的方式将数据传送到检测Agent,这样处理有利于检测Agent检测有效的部分,从而提高检测效率。此外,将数据采集Agent和数据预处理Agent分离有利于从不同的数据源重复、同步的采集数据,提高系统的整体性能,数据预处理Agent对收集到的数据包进行数据包解密和数据表逐层分解,然后把已经被逐层分解的数据包依据相应的规则生成可以被检测Agent可以识别的特征码 。其中包括IP层数据处理、TCP层数据处理和应用层数据处理。对于IP层处理,首先解决的问题是,把分片的IP数据报重新拼装起来,然后从中提取出IP源、目的地址,MAC源、目的地址、传输数据所使用的协议和TCP数据域;对于TCP层处理的数据是:从IP层提取出数据域,把该数据再进行分解,提取IP源、目的地址,源、目的端口、序号、连接状态和应用层报文,经过处理的数据就可以被数据预处理用来生成可以被检测Agent识别的特征码。
2.3 主控Agent
它本入侵检测系统中最高层控制单元,其主要功能是对系统中各节点上Agent进行管理是用户与系统交互的接口,为用户提供一个管理入侵检测系统的界面。用户通过控制中心可以管理各Agent的活动情况以及对各Agent进行控制,主控Agent还负责管理Agent保存系统的配置和各Agent的重要特征信息,负责在入侵检测系统受到破坏时恢复各Agent。负责各Agent的派生和初始化以及巡回Agent的移动路线。
2.4 通信Agent
通 信 控制Agent负责对各Agent之间的通信进行加密,管理消息的传递、系统各主机的身份认证.并提供接口使各级Agent可以进行通信。采用加密技术对从各Agent接收到的信息进行加密,并且采用数字签名方案来对系统中各主机进行身份认证。从而保证了该人侵检测系统本身的安全性,使系统遭受攻击的可能性降到最低。
2.5 监侧Agent
监测 Agent是较高层的独立实体,它们之间可以相互通信,这个Agent通常是用来检测其他的Agent是否正常运转。监测Agent具有状态监控功能的特殊Agent。它对各个Agent,判断它们是否受到攻击。如果是主控Agent 巡回数据Agent 综合检测Agent 受到攻击只要向服务器和系统管理员进行报告。如果检测Agent 数据收集Agent 数据预处理Agent 受到攻击时不仅要向系统管理系统管理员进行报告,还应该通知Agent所在主机的用户,让用户知道自己受到了外来的攻击。
监测Agent还负责监测整个网络,如果监测发现在其监控的网段内的某一时段数据包的活动不正常监测Agent就把它监测到的信息发送给主控Agent由主控Agent进行相应的处理。
2.6 检测Agent
检测Agent是对数据预处理Agent生成的特征码进行规则分析和特征检测,如果特征码没有和任何规则相匹配和符合入侵特征,它就会被检测引擎所丢掉否则检测Agent将发出相应的入侵警告。
传统入侵检测部件的缺点:传统的入侵检测系统把检测的工作都集中在了一台服务器上进行检测,而把数据收集的部分却放在多个主机上,这样就使得入侵检测系统上的检测部分需要承担所有的检测工作而且这样的集中式的检测的方式需要把所有的搜集到的数据都发送到检测部分所在的主机,这就导致了入侵检测系统的检测实时性的降低和带来了大量的网络通信。
3.模型的工作原理
NDSMA模型通过把传统的入侵检测系统的功能,分散到了NDSMA的相应的Agent中,该模型通过数据收集Agent把数据从底层网络中采集上来主机中,数据预处理Agent把从底层采集的数据进行数据包解密,数据包逐层分解,生成特征码等操作 检测模块把数据预处理Agent生成的特征码与特征库中的特征码进行对比看是否匹配,匹配则认为系统受到了入侵,并做相应的处理。通信Agent负责对各Agent之间的通信进行加密,管理消息的传递、系统各主机的身份认证.并提供接口使各级Agent可以进行通信。监测Agent通常是用来监测其他Agent是否正常运行。主控Agent是入侵检测系统中最高层控制单元,其主要功能是对系统中各节点上Agent进行管理是用户与系统交互的接口,为用户提供一个管理入侵检测系统的界面。
4.结束语
通过对传统侵检测系统及Agent技术的研究,提出了一种基于Multi-Agent网络入侵检测系统解决方案,并对该方案进行了详细分析和研究。该方案充分利用各个Agent之间相互协作却又相互独立的特性,可以实时地检测基于网络入侵行为。系统结构具有很好的伸缩性、灵活性、扩展性、容错能力、攻击预防能力。
参考文献:
[1] HUANGM Y, ROBERT J, THOMASM. A large scale distributed intrusion detection framework based on attack strategy analysis [ J ].ComputerNetworks, 1999, 31: 246522475.
[2] SNAPP S R, BRETANO J, D IAZ GV, et al. DIDSmotivation architecture and an early prototype [ C ] / /Proc of the 14 th National Computer Security Conference. Washington DC: [ s. n. ] , 1999: 67276.