基于移動(dòng)Agent的分布式入侵檢測(cè)系統(tǒng)研究

李樹文，孫敏

(1.山西煤炭職業(yè)技術(shù)學(xué)院計(jì)算機(jī)信息系，山西太原 030031; 2.山西大學(xué)計(jì)算機(jī)與信息技術(shù)學(xué)院，山西太原 030006)

基于移動(dòng)Agent的分布式入侵檢測(cè)系統(tǒng)研究

李樹文1，孫敏2

(1.山西煤炭職業(yè)技術(shù)學(xué)院計(jì)算機(jī)信息系，山西太原 030031; 2.山西大學(xué)計(jì)算機(jī)與信息技術(shù)學(xué)院，山西太原 030006)

隨著網(wǎng)絡(luò)信息量及速度的急劇上升，入侵檢測(cè)技術(shù)必然也隨之改變，分布式入侵檢測(cè)就是一個(gè)好的選擇。本文構(gòu)建出一個(gè)基于移動(dòng)Agent分布式入侵檢測(cè)模型;探討了該模型的實(shí)現(xiàn)并對(duì)其性能進(jìn)行了仿真實(shí)驗(yàn)驗(yàn)證。該模型采用“域內(nèi)集中處理，域間互助協(xié)作”的工作方式，將整個(gè)受保護(hù)的網(wǎng)絡(luò)劃分成若干個(gè)域，每個(gè)域內(nèi)是一個(gè)完整的中心分析型分布式入侵檢測(cè)系統(tǒng)，域間地位平等，互相協(xié)作，共同完成分布式入侵檢測(cè)。這樣以來，既能克服單點(diǎn)故障問題，又便于管理，容易分析判別是本地攻擊還是分布式攻擊。

移動(dòng)Agent;入侵檢測(cè)系統(tǒng);域

1 概述

現(xiàn)有的分布式入侵檢測(cè)系統(tǒng)針對(duì)分布式入侵通常采用以下三種分析模型［1］:中心分析模型、層次分析模型、協(xié)作分析模型。中心分析模型網(wǎng)絡(luò)負(fù)載較大、擴(kuò)展性差、延時(shí)長(zhǎng)、易出現(xiàn)單點(diǎn)故障，只適合用在規(guī)模較小的網(wǎng)絡(luò)。層次分析模型網(wǎng)絡(luò)負(fù)載大和單點(diǎn)故障的問題依然存在。協(xié)作分析模型單點(diǎn)復(fù)雜度增加、可擴(kuò)展性差、網(wǎng)絡(luò)傳輸負(fù)載重等等［2］。

2 結(jié)構(gòu)設(shè)計(jì)

為解決以上問題本文構(gòu)建的基于移動(dòng)Agent的分布式入侵檢測(cè)模型的結(jié)構(gòu)如圖1所示。

圖1 改進(jìn)后的分布式入侵檢測(cè)模型

接下來詳細(xì)介紹該模型主要模塊的功能。

1) 控制臺(tái)是整個(gè)分布式入侵檢測(cè)系統(tǒng)的管理者與決策者，負(fù)責(zé)管理、控制、協(xié)調(diào)網(wǎng)絡(luò)上的所有移動(dòng)Agent，接收事件Agent報(bào)告的狀態(tài)和報(bào)警等，并根據(jù)這些狀態(tài)和報(bào)警分析決策出入侵行為是針對(duì)某個(gè)主機(jī)、某個(gè)網(wǎng)段還是整個(gè)網(wǎng)絡(luò)并做出響應(yīng)。另外，控制臺(tái)還提供了人機(jī)交互界面，以便管理員可以及時(shí)了解整個(gè)系統(tǒng)的運(yùn)行情況，必要時(shí)進(jìn)行干預(yù)，參與控制臺(tái)的分析與決策。

管理模塊負(fù)責(zé)管理控制臺(tái)內(nèi)部各部件的正常運(yùn)行，協(xié)調(diào)系統(tǒng)內(nèi)各個(gè)組件的動(dòng)態(tài)配置，監(jiān)視系統(tǒng)各部件的運(yùn)行狀態(tài)。分析決策模塊通過對(duì)管理模塊送來的檢測(cè)實(shí)體的狀態(tài)、警報(bào)等信息進(jìn)行分析，判定出攻擊是針對(duì)某個(gè)主機(jī)、某個(gè)網(wǎng)段還是整個(gè)網(wǎng)絡(luò)并做出響應(yīng)。

2) 人機(jī)交互界面在控制臺(tái)的管理和控制之內(nèi)，不同的用戶有不同的權(quán)限，登錄時(shí)要經(jīng)過嚴(yán)格的身份確認(rèn)。

3) 入侵行為數(shù)據(jù)庫存儲(chǔ)著大量非法入侵行為、系統(tǒng)正常運(yùn)行時(shí)的日志以及用戶的合法行為。控制臺(tái)指派移動(dòng)Agent到目的地時(shí)，選擇相應(yīng)的非法入侵行為拷貝到檢測(cè)實(shí)體的數(shù)據(jù)庫中。

4) 移動(dòng)Agent管理模塊包括移動(dòng)Agent管理、移動(dòng)Agent安全確認(rèn)和移動(dòng)Agent表三部分組成。移動(dòng)Agent管理包括創(chuàng)建移動(dòng)Agent，為Agent分發(fā)密鑰，執(zhí)行認(rèn)證和會(huì)話授權(quán)服務(wù)，經(jīng)控制臺(tái)把移動(dòng)Agent派遣到目的地。移動(dòng)Agent安全確認(rèn)是檢查Agent的完整性，確保分配的Agent是可用的、安全的。

Agent表有以下幾個(gè)功能:一、存儲(chǔ)有可疑行為主機(jī)的IP地址。每張表中存放所有遭到同種類型入侵的主機(jī)的IP地址，每個(gè)移動(dòng)Agent派往的主機(jī)也在Agent表中一一記錄，由此可以查看某個(gè)移動(dòng)Agent在整個(gè)網(wǎng)絡(luò)中的移動(dòng)路線。二、Agent表中存儲(chǔ)著每個(gè)Agent的ID。Agent的ID是由移動(dòng)Agent管理器分配的唯一的身份標(biāo)識(shí)。三、Agent表中還記錄著每個(gè)Agent的功能。

5) 移動(dòng)Agent數(shù)據(jù)庫中存放著多種移動(dòng)A-gent，等待控制臺(tái)的指令，被派遣到指定的目的地執(zhí)行任務(wù)。

6) 網(wǎng)絡(luò)上所有的檢測(cè)實(shí)體都有事件Agent和響應(yīng)Agent。事件Agent利用本地入侵行為數(shù)據(jù)庫中的信息，完成檢測(cè)功能。如果某一行為經(jīng)分析確認(rèn)是本地入侵，記錄后由響應(yīng)Agent采取相應(yīng)的處理措施并把處理結(jié)果向控制臺(tái)報(bào)告。如果是無法判定的可疑行為則由事件Agent交給控制臺(tái)來處理，并把處理后的結(jié)果更新到本地入侵行為數(shù)據(jù)庫中。

3 模塊設(shè)計(jì)

該模型中主要由數(shù)據(jù)收集模塊、預(yù)處理模塊、BP神經(jīng)網(wǎng)絡(luò)模塊、專家系統(tǒng)模塊和報(bào)警模塊組成，檢測(cè)網(wǎng)絡(luò)和主機(jī)上的數(shù)據(jù)流，包括網(wǎng)絡(luò)數(shù)據(jù)包、系統(tǒng)日志和用戶行為日志［3］。圖2為各個(gè)模塊之間的關(guān)系示意圖。

數(shù)據(jù)收集模塊把收集到的網(wǎng)絡(luò)數(shù)據(jù)包或主機(jī)系統(tǒng)日志送給分析決策模塊;數(shù)據(jù)分析模塊對(duì)數(shù)據(jù)包進(jìn)行格式檢查、分片重組等初步的過濾，根據(jù)數(shù)據(jù)包的協(xié)議類型調(diào)用相應(yīng)的分析器進(jìn)行分析，之后將所需的信息傳遞給預(yù)處理模塊;預(yù)處理模塊將數(shù)據(jù)轉(zhuǎn)換成BP神經(jīng)網(wǎng)絡(luò)能夠識(shí)別的格式;如果是訓(xùn)練數(shù)據(jù)，轉(zhuǎn)換了格式后連同期望的給出一起送給BP神經(jīng)網(wǎng)絡(luò);如果是需要檢測(cè)的數(shù)據(jù)，先交給專家系統(tǒng)來判定，專家系統(tǒng)根據(jù)已知攻擊的特征分析檢測(cè)數(shù)據(jù)，若是特征相吻合則產(chǎn)生報(bào)警送給報(bào)警模塊;若是專家系統(tǒng)無法判定的可疑行為則再交給BP神經(jīng)網(wǎng)絡(luò)來判別;待BP神經(jīng)網(wǎng)絡(luò)模塊分析并做出判斷，確定了是入侵行為后，報(bào)警模塊通知監(jiān)控管理模塊采取一些相應(yīng)的措施。

圖2 主要模塊關(guān)系示意圖

4 事件Agent和響應(yīng)Agent的設(shè)計(jì)與實(shí)現(xiàn)

1) 事件Agent的設(shè)計(jì)與實(shí)現(xiàn)

事件Agent包括數(shù)據(jù)收集和數(shù)據(jù)分析兩個(gè)模塊，主要進(jìn)行數(shù)據(jù)收集與分類，數(shù)據(jù)收集主要是用網(wǎng)絡(luò)探測(cè)器來完成。網(wǎng)絡(luò)探測(cè)器能夠發(fā)現(xiàn)網(wǎng)絡(luò)上的攻擊行為，通常被放在ISP(Internet Service Provide)和防火墻之間的區(qū)域，即非軍事化區(qū)(Demilibozed Zone，DMZ)，同時(shí)在防火墻內(nèi)也安置網(wǎng)絡(luò)探測(cè)器，這樣既能檢測(cè)到外部攻擊，也能檢測(cè)到內(nèi)部攻擊。

數(shù)據(jù)收集是進(jìn)行分析和決策的前提，其準(zhǔn)確性和實(shí)時(shí)性將會(huì)直接影響系統(tǒng)的整體性能。如果數(shù)據(jù)收集不及時(shí)，當(dāng)系統(tǒng)檢測(cè)到入侵時(shí)可能入侵者的攻擊任務(wù)已經(jīng)完成;如果收集到的數(shù)據(jù)本身不完整、不正確，系統(tǒng)自然就無法準(zhǔn)確檢測(cè)出攻擊行為，可能會(huì)造成嚴(yán)重的后果。文中數(shù)據(jù)收集模塊采用winpcap和snort或者winpcap和TCPdump相結(jié)合的方式，具有高效的捕獲數(shù)據(jù)包的能力，通過對(duì)其參數(shù)的設(shè)置可以得到需要的數(shù)據(jù)包字段。

2) 響應(yīng)Agent的設(shè)計(jì)與實(shí)現(xiàn)

響應(yīng)Agent主要包括三部分:預(yù)處理模塊、BP神經(jīng)網(wǎng)絡(luò)模塊和專家系統(tǒng)模塊。

預(yù)處理模塊主要負(fù)責(zé)把數(shù)據(jù)收集模塊即snort或TCPdump捕獲的數(shù)據(jù)包轉(zhuǎn)換成BP神經(jīng)網(wǎng)絡(luò)能夠識(shí)別的格式。

事件分析器即BP神經(jīng)網(wǎng)絡(luò)模塊，是整個(gè)入侵檢測(cè)系統(tǒng)的核心，它負(fù)責(zé)判斷出專家系統(tǒng)不能確定的可疑異常行為是不是攻擊行為。如果輸出層個(gè)數(shù)足夠，它可以更充分地表達(dá)出被檢測(cè)數(shù)據(jù)的信息，進(jìn)而判斷出是哪類攻擊。輸入來自預(yù)處理模塊傳來的數(shù)據(jù)或者來自事件產(chǎn)生器產(chǎn)生的二進(jìn)制文件。輸出包括期望輸出和實(shí)際輸出兩種。期望輸出是根據(jù)訓(xùn)練樣本預(yù)先定義好的入侵行為;實(shí)際輸出是對(duì)可疑行為的檢測(cè)結(jié)果，可能是某種攻擊行為或是正常行為，輸出本質(zhì)是一組在0～1之間的實(shí)數(shù)，在距0的某個(gè)范圍內(nèi)認(rèn)為是0，在距1的某個(gè)范圍內(nèi)認(rèn)為是1。［3］

5 實(shí)驗(yàn)仿真與分析

5.1 仿真實(shí)驗(yàn)環(huán)境設(shè)計(jì)

為了便于測(cè)試模型的性能，實(shí)驗(yàn)環(huán)境特做了如下簡(jiǎn)化:

1) 當(dāng)測(cè)試分布式入侵檢測(cè)系統(tǒng)的性能時(shí)，攻擊主機(jī)可以直接在某網(wǎng)段上進(jìn)行攻擊;

2) 目標(biāo)主機(jī)的操作系統(tǒng)由所要進(jìn)行測(cè)試的項(xiàng)目而定;

3) 實(shí)驗(yàn)中用兩臺(tái)主機(jī)代表整個(gè)網(wǎng)絡(luò)中兩個(gè)不同的子域，每臺(tái)主機(jī)采用VMware以網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation，NAT)方式建立兩臺(tái)虛擬機(jī)［4］。NAT自動(dòng)將服務(wù)功能賦于給虛擬交換機(jī)VMnet8，虛擬機(jī)連接到虛擬交換機(jī)VM-net8后，自動(dòng)獲取IP地址和網(wǎng)關(guān)。每臺(tái)主機(jī)連同兩臺(tái)虛擬機(jī)代表一個(gè)子域，每臺(tái)宿主機(jī)代表一個(gè)控制臺(tái)并進(jìn)行必要的設(shè)置，宿主機(jī)上的虛擬機(jī)代表控制臺(tái)所管轄的域。這樣只有兩個(gè)域的虛擬網(wǎng)絡(luò)便搭建起來了。

5.2 實(shí)驗(yàn)方法與過程

1) 收集數(shù)據(jù)

首先使用winpcap和snort或者winpcap和TCPdump獲取數(shù)據(jù)包作為訓(xùn)練或檢測(cè)的原始數(shù)據(jù)，用DARPA 1999用為評(píng)估數(shù)據(jù)集。

先用TCPdump把數(shù)據(jù)集存儲(chǔ)為8組數(shù)據(jù)文件，每組有400個(gè)正常行為和400個(gè)異常行為(包括了典型的攻擊行為);再將8組數(shù)據(jù)文件分成兩個(gè)大組，一組用于訓(xùn)練，一組用于檢測(cè)。

2) 預(yù)處理數(shù)據(jù)

將收集到的數(shù)據(jù)格式化，留下所需要的字段屬性，并將其轉(zhuǎn)換成二進(jìn)制格式文件，訓(xùn)練樣本里再附加上期望輸出值。實(shí)驗(yàn)編碼見表1所示。

表1 實(shí)驗(yàn)編碼規(guī)則

3) 遺傳算法及BP神經(jīng)網(wǎng)絡(luò)參數(shù)設(shè)置。遺傳算法最大進(jìn)化代數(shù)設(shè)為200，選擇概率設(shè)為0.9，交叉率設(shè)為0.8，變異率設(shè)為0.09，種群交流概率設(shè)為0.6。BP神經(jīng)網(wǎng)絡(luò)輸入層節(jié)點(diǎn)個(gè)數(shù)為164，隱含層節(jié)點(diǎn)個(gè)數(shù)為96，輸出層節(jié)點(diǎn)個(gè)數(shù)為 3;隱含層傳遞函數(shù)選用tansig，輸出層傳遞函數(shù)選用logsig，訓(xùn)練函數(shù)選用traingda，目標(biāo)精度設(shè)為0.001，最大訓(xùn)練周期設(shè)為5000。

5.3 實(shí)驗(yàn)結(jié)果及分析

本文提出的分布式入侵檢測(cè)模型實(shí)驗(yàn)結(jié)果見表2所示。

實(shí)驗(yàn)表明，將神經(jīng)網(wǎng)絡(luò)應(yīng)用到分布式移動(dòng)A-gent入侵檢測(cè)系統(tǒng)中，可以達(dá)到較好的檢測(cè)效果，提高系統(tǒng)的整體性能。采用改進(jìn)的遺傳算法優(yōu)化的BP神經(jīng)網(wǎng)絡(luò)降低了檢測(cè)的漏報(bào)率和誤報(bào)率，提高了檢測(cè)的準(zhǔn)確率。實(shí)驗(yàn)中沒有考慮子域與子域之間的協(xié)同工作和實(shí)時(shí)性等問題，假設(shè)在理想的協(xié)同下進(jìn)行實(shí)驗(yàn)的，還有待于進(jìn)一步的改進(jìn)和提高。

［1］Dorothy E Denning.An Intrusion Detection Model［J］.IEEE Transactions on Software Engineering，1987，13(2): 222-232.

［2］李生，唐學(xué)文，高工.基于移動(dòng)代理的分布式入侵檢測(cè)系統(tǒng)的研究［D］.重慶大學(xué)，2009.

［3］吳宏偉，孫名松.基于改進(jìn)BP神經(jīng)網(wǎng)絡(luò)的分布式入侵檢測(cè)模型研究［D］.哈爾濱理工大學(xué)，2005.

［4］劉志平，基于VMware虛擬網(wǎng)絡(luò)的構(gòu)建［J］.內(nèi)蒙古大學(xué)學(xué)報(bào)(自然科學(xué)版)，2007，1(38):94-95.

［責(zé)任編輯:袁太生］

Mobile-agent-based Distributed Intrusion Detection System

LI Shu-wen1，Sun Min2
(1.Department of Computer Information，Shanxi Coal Vocational and Technical College，Taiyuan 030031，China; 2.School of Computer and Information Technology，Shanxi University，Taiyuan 030006，China)

This paper builds a model of Distributed Intrusion Detection System Based on mobile Agent and discusses the realization of the model，and simulation tests are carried out about its properties.The model takes the working method of“Collective disposition within a domain and mutual cooperation among domains".The protected network is divided into a number of domains，and each of them is a complete analysis center of distributed intrusion detection system.These domains have relatively equal positions，mutually cooperate，and complete distributed intrusion detection together.In this way，single point failures can be overcome，management becomes easy，and it is easily analyzed and discriminated whether the attack is locally aggressive or distributed.

mobile Agent;intrusion detection system;domain

TP393

A

1671－5977(2012)02－0125－04

2012-02-11

面向行為約束的可信Web服務(wù)組合方法研究，國(guó)家自然科學(xué)基金(61100058)

李樹文(1973-)，男，山西大同人，山西煤炭職業(yè)技術(shù)學(xué)院計(jì)算機(jī)信息系講師，工學(xué)碩士，主研方向:網(wǎng)絡(luò)安全，互聯(lián)網(wǎng)技術(shù)。