基于Agent的入侵检测系统模型研究
摘 要:基于Agent的入侵检测系统是采用Agent技术来保护信息系统安全的系统模式,已成为近年来安全领域的研究热点问题。本文在介绍入侵检测系统的基础上,对基于Agent的入侵检测系统模型进行了分析。
关键词:入侵检测系统;Agent;基于Agent的入侵检测系统模型
1.前言
随着计算机网络与因特网技术的飞速发展,信息共享日益广泛化,已深入到人们日常工作和生活的各个领域。由于人们对信息共享的依赖逐渐增强,作为信息共享基础的信息安全技术就显得尤为重要。入侵检测系统(IDS)是信息安全保障模型的一个重要组成部分,同时也是动态安全技术的核心技术之一。
2.入侵检测系统
入侵检测系统(Intrusion Detection System,IDS)是试图实现检测入侵行为的计算机系统。它对系统进行实时监控,获取系统的审计数据或网络数据包,并对所获得的数据进行分析、判断,一旦发现异常或入侵情况,发出报警并采取相应的保护措施。
3.入侵检测系统的局限性
目前的IDS存在着一定的局限性,尽管开发者一直针对这些局限性,改进和改良现有的技术。但是有些局限性是其固有的,是由IDS的体系结构造成的。其中最主要的局限性如下所示:
(1)存在单点失效问题
如果IDS自身因受到攻击或其它原因而不能正常工作时,则整个网络将失去保护。
(2)灵活性较差
目前的IDS是与操作系统紧密相关的。且当进行升级或重新配置时需要进行重新启动。
(3)有限的响应能力
传统的入侵检测系统主要关注于检测攻击。尽管检测十分有效,但是系统管理员常常无法立即分析入侵检测系统的报告并采取相应的行动,从而使攻击者在系统管理员采取行动前有机可乘。
(4)缺乏有效性
虽然一些分布式IDS在数据收集上实现了分布式,而数据的分析、入侵的检测还是由单个程序来完成的。当要求处理的事件非常多时,就无法对事件进行实时分析,从而导致IDS因来不及处理过量数据或丢失网络数据包而失效。
Agent是在某一环境中持续运行的、具有自治性的软件实体。Agent可分为静态智能Agent和移动Agent两种。
(1)静态智能Agent
静态智能Agent是能为用户执行特定任务、具有一定程度的智能以允许自主执行部分任务并以一种合适的方式与环境相互作用的软件程序。其主要特性包括:自治性、协同性、响应性和预动性。
(2)移动Agent
移动Agent指一个能够在网络节点间自主迁移的软件实体。它保留了静态智能Agent的一些特性,但是它主要强调其移动性。
正是由于Agent有如此多的特性,因此,将Agent应用到IDS中是实现入侵检测的一种新的方式。
5.基于Agent的入侵检测系统模型
基于Agent的入侵检测系统模型如图5-1所示。图中检测规则是以自治Agent为组织单元,共有3类自治Agent,即入侵检测Agent(Intrusion Detect Agent,IDA)、通信服务Agent(Transmit Service Agent,TSA)和心跳检查 Agent(Heart Detect Agent,HAD)。
图5-1 基于Agent的入侵检测系统模型
5.1 IDA的处理流程
IDA的处理流程,一般都经过以下几个步骤:
(1)获取检测数据源。
(2)进行安全检测、模式匹配或异常越界判断,确定可疑度。
(3)根据检测结果,按规则库的定义进行响应。
(4)与其他IDA通信,对可疑级别达到一定程度的事件进行可疑广播。
(5)如果需要将数据传送给其他IDA,就通过TSA将数据传送给它们。
(6)产生检测报告。
5.2 基于Agent的入侵检测系统模型的特点
基于Agent的入侵检测系统模型具有以下几个特点:
(1)若有一个IDA出现问题或者受到破坏,则只有该IDA所检测的部分无效,HDA会很快检测到它的状态,并进行相应的处理,使危害限制在最小的范围内。
(2)系统的可扩充性好,无论是增加检测主机还是在主机中增加IDA都简单方便。
(3)可以减少数据量,由于一些IDA是检测基于网络跨主机的信息,需要相关主机上的Agent为它收集信息,这些Agent可以进行预检查,采取一些措施减少数据量,这对于减少网络流量和进行有效的检测是有意义的。
(4)灵活性,由于IDA的独立性,它可以独立地启动和停止,也可以进行动态配置,而不影响其他IDA的正常运行。要收集新数据或检测新的入侵,只需对原IDA进行重新配置或增加一个新IDA就可以了。
(5)不同IDA可以选用不同的检测数据源,由于Agent是独立实现的,因此,它的数据来源就可以是多种多样的,这样IDS就可以既包括基于主机的IDA,也可以包括基于网络的IDA,超越了传统入侵检测模型的界限。
(6)由于不同的IDA是独立的,它们可以分别开发,而且可以使用不同的语言开发,只需遵循统一的通信协议和采用相同的通信规则就可以了。
6.结语
本文在对IDS进行深入研究的基础上,提出的一种新的基于Agent的入侵检测系统模型。通过理论分析,此系统的特点包括可扩展性、可动态配置、集成性、有效性、便于维护、升级和可自动响应等,极大地改善了入侵检测系统的性能,因此,具有十分广阔的应用前景。
参考文献:
[1]李玉娟,李传林.一种新的基于Agent的入侵检测系统模型.计算机应用研究.2004