基于移動Agent的P2P入侵檢測系統(tǒng)模型研究

摘要:該文先分析了網(wǎng)絡結(jié)構(gòu)變化帶來的問題和C/S模式的不足。并簡述了移動Agent和P2P技術的優(yōu)點，提出了一種采用移動Agent技術和P2P結(jié)構(gòu)的入侵檢測系統(tǒng)的模型。該模型避免了分布式入侵檢測系統(tǒng)存在的單點失效問題和傳輸瓶頸問題，提高了系統(tǒng)的自身安全性。最后指出了模型的優(yōu)缺點，并提出了下一步的工作。

關鍵詞:入侵檢測;移動Agent;P2P;分布式;c/s模型

中圖分類號:TP393.08文獻標識碼:A 文章編號:1009-3044(2009)32-8917-02

Research of Intrusion Detection System Model Based on P2P and Mobile Agents

ZHAO Bao1， LIU Xian-jie2， SONG Ping3

(1.School of Computer Science and Enginering of Anhui University of Science and Technology，Huainan 232001，China;2.Huainan Post Office，Huainan 232001，China;3.Huainan Bobranch Office of China Mobile， Huainan 232001， China)

Abstract:At first， the problem of network structure changing and deficiency of C/S model are analyzed. Then outlines the advantages of mobile and P2P technology， a intrusion detection system model based on P2P architecture and Mobile Agent technology is proposed. It can avoid the questions of the simple-point invalidation and the transmission bottleneck in the current distributed intrusion detection system， and enchance the security. At the end， the advantage and defect of the model are proposed， and forward the corresponding countermeasure.

Key words: intrusion detection; mobile agent; p2p; distributed; c/smodel

隨著網(wǎng)絡體統(tǒng)結(jié)構(gòu)的復雜化和大型化導致了如下這些新的入侵檢測問題:

1)系統(tǒng)的弱點或漏洞分散在網(wǎng)絡中各個主機上，這些弱點有可能被入侵者一起用來攻擊網(wǎng)絡，而依靠單一的主機或網(wǎng)絡IDS不會發(fā)現(xiàn)入侵行為。

2)入侵行為不再是單一的行為，而是表現(xiàn)出相互 協(xié)作入侵的特點。例如分布式拒絕服務攻擊。

3)入侵檢測所依靠的數(shù)據(jù)來源分散化，收集原始的檢測數(shù)據(jù)變得困難。如交換型網(wǎng)絡使得監(jiān)聽網(wǎng)絡數(shù)據(jù)包受到限制。

4)網(wǎng)絡速度傳輸加快，網(wǎng)絡的流量大，集中處理原始的數(shù)據(jù)方式往往導致檢測瓶頸，從而導致漏檢。

這些問題對對IDS提出了新的要求，既要求IDS能分布式協(xié)作檢測入侵，又能夠及時地處理大型網(wǎng)絡的海量數(shù)據(jù)，分布式移動Agent的入侵檢測系統(tǒng)顯然是上述問題最佳對策。然而，迄今為止，最為流行的用作分布式Agent網(wǎng)絡來處理多Agent是C/S模型。C/S模型是一種中心化的網(wǎng)絡結(jié)構(gòu)，過分依賴于中心服務器，而基于移動IDS-Agent的P2P模型中各實體是對等的，可以不經(jīng)過服務器和其他實體進行連接，從而有效地解決傳統(tǒng)C/S網(wǎng)絡結(jié)構(gòu)中頻繁訪問服務器端單一資源造成的瓶頸問題，并且消除了服務器端出現(xiàn)故障造成的網(wǎng)絡癱瘓情況的發(fā)生。因此，應用P2P技術降低了網(wǎng)絡流量，優(yōu)化了網(wǎng)絡性能[1]。該文在傳統(tǒng)的分布式多Agent的入侵檢測的基礎上，提出了基于P2P的移動IDS-Agent的入侵檢測系統(tǒng)模型。

1 基于移動Agent的P2P分布式入侵檢測系統(tǒng)的提出

在文中提出的人侵檢測系統(tǒng)中引入了移動Agent技術和P2P結(jié)構(gòu)。移動Agent是一個獨立運行的軟件實體，它包括完成所規(guī)定功能的代碼、數(shù)據(jù)和狀態(tài)信息，具有移動性、自主性、反應性、主動性和交互性的特點，可以在一定的機制控制下，攜帶自身代碼、數(shù)據(jù)及其狀態(tài)信息在網(wǎng)絡環(huán)境中從一個節(jié)點遷移到另一個節(jié)點上繼續(xù)運行。采用P2P(peer-to-peer)結(jié)構(gòu)將各個結(jié)點的工作模式設為平等的協(xié)作模式，系統(tǒng)的各個部分協(xié)同合作，可以不經(jīng)過服務器和其他實體進行直接連接，避免了單點失效和數(shù)據(jù)的傳輸瓶頸問題。

2 基于移動Agent的P2P分布式入侵檢測系統(tǒng)模型

在本文中提出的基于P2P結(jié)構(gòu)的入侵檢測系統(tǒng)結(jié)構(gòu)中，網(wǎng)絡中的每個結(jié)點都是一個完整的人侵檢測系統(tǒng)，它們之間是完全對等的。在這種結(jié)構(gòu)下，每一個結(jié)點都會有若干個結(jié)點和它連接是最近的，稱這些結(jié)點為這個結(jié)點的鄰居結(jié)點。

如圖1所示，結(jié)點IDS-IDS-A有鄰居結(jié)點IDS-B和IDS-C，結(jié)點IDS-B有鄰居結(jié)點IDS-IDS-A，IDS-C和IDS-D，結(jié)點IDS-C有鄰居結(jié)點IDS-IDS-A，IDS-B和IDS-D，結(jié)點IDS-D有鄰居結(jié)點IDS-B，IDS-C 和IDS-E，結(jié)點E有鄰居結(jié)點IDS-D。

如圖2所示，每個結(jié)點上的系統(tǒng)主要由三個部分組成:核心信息部分、檢測部分和移動代理部分。每一個結(jié)點都存儲有和它相鄰的結(jié)點的核心信息，比如關鍵數(shù)據(jù)文件的校驗和、文件結(jié)構(gòu)、一些訪問控制文件的信息。移動代理根據(jù)檢測需要也分為多種，它們在各個結(jié)點上運行并且把運行結(jié)果報告給檢測部分。當一個結(jié)點收到可疑的人侵信息后，它立即把這個信息發(fā)送給它的鄰居結(jié)點，然后由這些鄰居結(jié)點判斷這一結(jié)點發(fā)來的信息是否值得信任。如果這些鄰居結(jié)點中大多數(shù)能夠確認前一結(jié)點發(fā)送來的信息是值得信任的，那么這些鄰居結(jié)點就繼續(xù)向它們各自的鄰居結(jié)點發(fā)送這個人侵信息，否則，它們認為這個結(jié)點是可信任的，不再繼續(xù)向它們的鄰居結(jié)點發(fā)送這個信息。

在這種結(jié)構(gòu)中，每個結(jié)點上建立一個記錄異常信息的日志數(shù)據(jù)庫，用來存放已經(jīng)確認的異常事件。如果探測到有新的異常事件發(fā)生，就立即與受攻擊結(jié)點本身的日志數(shù)據(jù)庫中的記錄相比較，如果這個結(jié)點的日志數(shù)據(jù)庫中沒有這個記錄，就等待它的鄰居結(jié)點來判斷這個事件是不是一個攻擊行為，如果是就把這個事件記錄到這個日志中，并且把這個攻擊信息發(fā)送給網(wǎng)絡中的其他結(jié)點;如果發(fā)現(xiàn)已經(jīng)有了這個記錄就不再向鄰居結(jié)點發(fā)送信息，結(jié)點自身采取措施阻止這個事件，這樣可以減少一部分的網(wǎng)絡流量。

在圖1的結(jié)構(gòu)中，對于結(jié)點IDS-A，它存儲有自身的核心信息，而且還有鄰居結(jié)點IDS-B，IDS-C中的一些信息，如文件校驗和、文件大小等信息。從IDS-A發(fā)出一個專門檢測校驗和的檢測代理負責定期地檢測IDS-B中文件的校驗和并返回給IDS-A，和IDS-A中存儲的值進行比較看是否匹配。如果發(fā)現(xiàn)IDS-B中文件校驗和與IDS-A中先前存儲的校驗和不匹配，則認為IDS-B中的文件可能被修改，于是從結(jié)點IDS-A再發(fā)出一個檢測文件大小的代理，來比較IDS-B中現(xiàn)有文件的大小和IDS-A中的數(shù)據(jù)是否一致，如果不一致，則認為IDS-B是危險的，IDS-A中IDS-B的信譽值降低。接著IDS-A把這個信譽值發(fā)送給它的鄰居結(jié)點IDS-B和IDS-C。結(jié)點IDS-C經(jīng)過數(shù)字認證確認由IDS-A發(fā)來的信息是可信的才接受這個信息，然后IDS-C同樣向IDS-B發(fā)送一個代理，把代理返回的值和自身存儲的值相比較，如果也是不匹配，那么這個信譽值再次降低，并把降低后的信譽值發(fā)送到結(jié)點IDS-D，結(jié)點IDS-D重復IDS-C的操作，最后由IDS-D把這個信譽值再發(fā)送給IDS-A。如果發(fā)現(xiàn)大多數(shù)的結(jié)點都認為IDS-B中的文件信息已經(jīng)被改變，IDS-A就做出判斷:IDS-B受到了人侵，并把這個事件更新到日志數(shù)據(jù)庫中，然后把這個信息發(fā)送給其他結(jié)點，其他結(jié)點的日志數(shù)據(jù)庫也做出相應的更新。

3 系統(tǒng)性能及安全性

基于移動Agent的P2P入侵檢測是針對分布式網(wǎng)絡攻擊的一種有效的分布式入侵檢測的方法，不僅把檢測器分布到網(wǎng)絡的各個節(jié)點上，而且把分析部分和控制部分分布部署。 它們之間協(xié)同合作，以P2P的方式進行通信，避免了單點失效，在一定程度上克服了C/S模式的網(wǎng)絡瓶頸。

但是如果系統(tǒng)配置不當，入侵檢測系統(tǒng)本身可能成為攻擊的犧牲品。如篡改Agent和Agent 間的消息等。采取的對策是把Agent間傳輸?shù)南⒓用埽?增加Agent間通信的認證機制。

4 結(jié)論及進一步工作

文中提出了一種基于移動Agent的P2P人侵檢測系統(tǒng)，引人了移動Agent，各個Agent之間互相獨立又相互協(xié)作，且可以根據(jù)實際要求添加或者減少部分代理，而且網(wǎng)絡中的結(jié)點也可以按照要求增加或者減少，在分布式人侵檢測系統(tǒng)的基礎上能夠進一步降低網(wǎng)絡流量提高檢測效率。下一步的工作是進一步完善這種結(jié)構(gòu)，對每個移動Agent的采集的信息使用數(shù)據(jù)融合技術進行數(shù)據(jù)融合出來，從而降低入侵檢測的漏報率和誤報率，進而完善和實現(xiàn)這種人侵檢測系統(tǒng)。

參考文獻:

[1] 毛薇，姚青.P2P系統(tǒng)發(fā)現(xiàn)技術的研究與實現(xiàn)[J].武漢理工大學學報:交通科學與工程版，2002(6):808-810.

[2] Smirnova V.Multi-agnet System for Distributed Data Fusion in Peer-To Peer Environment[J].Mobile computing，2002:28(1).

[3] 張超，霍紅衛(wèi).入侵檢測系統(tǒng)概述[J].計算機工程與應用，2004(3):116-119.

[4] 徐峰，宋如順.基于P2P多代理數(shù)據(jù)融合入侵檢測系統(tǒng)模型研究[J].計算機工程與應用，2004(17):159-161.

[5] 張云勇，劉錦德.移動代理技術[M].北京:清華大學出版社，2003

[6] 陳建華.黃道穎計算機對等網(wǎng)絡P2P技術[J].計算機工程與應用，2003(33):162-64.

[7]Christopher Kruegel， Thomas Toth. Applying Mobile Agent Technology To Intrusion Detection [EB/OL] .http://www.infosys.tuwien.ac/Staff/tt/publications/，2002-4-30.

[8] Denning D. An intrusion-detection model[J]. IEEE Transactions on Software Engineering， 1987，13(2):222-232.