第27卷 第17期 VO1.27 NO.1 7 计算机工程与设计 Computer Engineering and Design 2006年9月 Sept.2006 基于移动代理的入侵检测系统安全研究 王 畅 , 向明森 , 刘美连 (1.华北水利水电学院信息工程系,河南郑州450008;2.周口职业技术学院,河南周口466001;) 摘要:现有的基于移动代理的入侵检测系统,存在自身安全性没有保证、难以应对分布式入侵行为的缺点。改进后的模型, 为每一个移动代理添加了独立的ID,并加入了身份认证、完整性鉴定和加密机制,提高了入侵检测系统自身的安全性;同时 利用移动代理的移动性、灵活性、适应性等特点构建入侵检测子系统,子系统能够很好地利用分散的网络运算资源,实现对 可疑行为的分析和响应,有效地应对分布式入侵行为。 关键词:基于移动代理的入侵检测;移动代理;入侵检测;系统安全;入侵检测子系统 中图法分类号:TP309 文献标识码:A 文章编号:1000—7024(2006)17—3199—02 Security research of intrusion detection system based on mobile agent WANG Chang ,XIANG Ming—sen ,LIU Mei—lian (1。Department of Information Engineering,Noah China Institute of Water Conservancy and Hydroelectric Power, Zhengzhou 450008,China;2.Zhoukou Vocational and Technical College,Zhoukou 46600 1,China) Abstract:Present IDS has more limitations,iust like the insecurity mechanism of itself,and the weakness of detecting the distirbuted intrusions.In the new model,every agent has a unique ID,and because of adopting security mechanisms of authentication,integrity authenticated and encryption,it becomes more secure.Meanwhile,the new model takes advantages ofagents,such as their mobility, lfexibility,adaptability,tO build the sub・IDS.The sub・IDS can eficifently use the distibutred network computing resources to analyze the suspicious intrude actions and response to protect the system against distributed intrusions. Key words:intrusion detection system based on mobile agent;mobile agent;intusiron detection system;system security;Sub—IDS 0引 言 为了增强系统的安全性,人们已经应用了很多成熟的安 1现有的基于移动代理的入侵检测模型 1.1现有模型的特点 现有的基于移动代理的入侵检测模型,利用了移动代理 的特点,将数据收集的任务分布进行,分担了传统的仅有单一 的一个系统来收集数据的压力。 移动代理 最早产生于人工智能领域,是一个能在不同计 全技术,如加密和数字签名机制,身份认证和访问控制机制…, 认证授权 、安全审计 、系统检测、防火墙技术等。但是由于 网络自身的特点,需要构筑多层次的防护体系。 基于移动代理的入侵检测系统 作为防火墙以外的一 种安全防护措施,得到了越来越多的重视。它具有很好的 灵活性和扩展性,能够很好的保护网络系统不受外界的攻 击和入侵,大大增强了系统的安全性。基于移动代理的入 侵检测系统作为一种新兴的并不成熟的安全手段,还存在 算机网络间自主移动的程序,它建立在分布计算技术的基础 上,通常可以将移动代理定义为“具有跨平台持续运行、自我 控制移动能力、模拟人类行为关系,并能够提供一定人工智能 服务的程序” 。移动代理的最大特点就是移动性,它可以自 主地移动到不同的地点工作,还可以自我复制,产生子代理共 同完成任务。 很多的不足之处,例如代理的安全性“ 不高,入侵检测系统 自身不够可靠,不能够有效地检测大规模的分布式入侵 活动等等。 本文对现有的基于移动代理的入侵检测模型进行了修 1.2现有模型的缺点及改进方案 图1是一个现有的基于移动代理的入侵检测模型。 改,改进后的模型增强了自身的安全性,能够对入侵行为做出 在这个模型中,移动代理管理器从代理库巾指定代理,经 过控制台,移动代理被发放到网络中执行入侵检测数据收集 的任务。其中存在两个安全问题:①攻击者可能会用恶意代 更加有效和快捷的反应,并能够对分布式入侵行为做出判断, 在达到入侵程度时发出警报。 收稿日期:2005一O7—16。 基金项目:华北水利水电学院青年基金项目(hsqj2004010)。 作者简介:王畅(1975--),女,河南郑州人,硕士,助教,研究方向为信息安全; 向明森(1965--),男,河南郑州人,副教授,硕士生导师 研究方向为信息安全; 刘美连(1974一),女,河南周口人,助教,研究方向为计算机应用技术。 一3199— 维普资讯 http://www.cqvip.com
图1现有的入侵检测模型 理冒充代理库中的代理进入入侵检测系统,不但无法保证被 派出的代理完成它所声称的功能,而且还会威胁整个入侵检 测系统的安全:②虽然整个系统数据收集的工作分散化进行, 但是数据分析的工作依然集中进行,数据分析的压力依然严 重,在应对分布式入侵行为时效率很低。为改进这些不足,本 文提出了以下的改进方案: (1)每一个代理库中的移动代理都有系统为之分配的惟 一的标识身份的ID号码,并由移动代理管理器建立管理表对 它们进行管理。只有通过身份认证和完整性鉴定的代理,才 能被派发。当代理被派往目的主机和在目的主机间迁移时, 加密传输。 (2)建立入侵检测子系统,入侵检测任务由子系统具体实 施,这就能更好的利用网络计算资源,应对分布式入侵行为。 2改进后的入侵检测模型 2.1模型描述 新模型是由控制台,用户界面,入侵行为数据库,移动代 理管理部分和若干个入侵检测子系统组成(如图2所示),下 面介绍各个部分的功能。 鬲 移动代理 理部分 入侵行为数据库 == 控制台 移动代理控制器 移动代理管理器 移动代理库 图2改进后的入侵检测模型 (1)控制台是整个模型的核心,运行入侵检测主系统,负 责系统各个部分之间的协调和管理。 (2)用户界面受控制台管理,提供人机交互的接口。用户 在登录控制台时,要进行严格的身份认证,用户的身份不同, 有不同的权限。 (3)入侵行为数据库是整个模型的主要记忆部件。这里存 放了大量的入侵检测行为、系统正常运行的日志以及用户行 为同志。在控制台指使移动代理控制器装配入侵检测子系统 中的代理时,选择相应的入侵事件装入子系统数据库。入侵 行为数据库的动态更新和动态派发是该模型实现动态检测特 -——3200-—— 性的重要保障。 (4)移动代理管理部分由3个予部分组成,分别为移动代 理库、移动代理管理器和移动代理控制器。移动代理库用于 存放各种移动代理,等候系统的调用和派遣。移动代理管理 器建立代理管理表来管理库中的代理。管理表中记录了代理 ID、代理功能和代理完整性鉴定等信息。代理ID是移动代理 在入库时由管理器分配的、惟一的身份认证码。在删除代理 时,管理器先删除库中的代码再删除相应的管理表表项。移 动代理控制器是根据控制台的指令,从代理库中选择合适的 代理,并把它装配成不同的入侵检测子系统,经控制台发布到 网络中去,保证在最需要的地方为入侵检测活动提供服务。 (5)入侵检测子系统是整个模型最为基础和有效的分支。 通过把整个网络划分为小的区域,在分散的区域中设立各自 的入侵检测系统,能够把原本繁重的工作多元化,检测分布的 入侵行为。在小的网段中,可以设定一台或几台机器作为这 个网段中的入侵检测子系统主机,为这个网段中的入侵检测 提供一定的数据支持并对收集的数据进行分析,实现对代理 信息的收集,分析和响应。具体的结构如图3所示。 图3入侵检测子系统 各个入侵检测子系统并不相互独立,而是在控制台的协 调下共同工作。这样的好处有两点:①各个子系统间足平行 的关系,相互间的资源是共享的,这样就能够更好的利用各个 子系统的数据库资源对入侵行为做出判断:②因为移动代理 是动态迁移的,它总是能移动到最需要的地方工作,各个子系 统中的入侵日志各不相同,它们各司其职。这样做既减少了 系统的资源开销,也充分利用了代理的移动特性,正足本模型 的优势所在。 子系统是整个模型的基础和重要组成部分,承担了数据 收集和分析的主要任务,但是如果没有控制台主系统指派的 移动代理和入侵行为数据库的支持,予系统根本就没有任何 入侵检测的能力。主系统产生子系统,子系统完成入侵检测 任务,并对主系统汇报和反馈。 2.2改进后模型的主要特点 2-2.1 改进后模型的安全机制 模型的体系结构是建立在移动代理的基础上,只有确保 构成子系统的移动代理的安全,整个系统才是安全的。移动 代理的安全问题是个复杂的问题,目前还没有完美的确保移 动代理安全的解决方案。但是,确保入侵检测子系统中无恶 意代理是整个系统安全的基础。改进后的模型要求移动代理 在派发前,控制台授权代理控制器完成对代理的身份认证和 完整性鉴定,以确保被派发的代理不是外来的恶意代理。另 (下转第3234页) 维普资讯 http://www.cqvip.com
个字段“所属机构ID”和“是否注册”查出用户;③同时要根据 徐秀华,文必龙,刘丹江,等.一种基于Web即时消息的实现方 法【J]l计算机丁程与设计,2003,24(7):40—42. 胡朝辉,陈奇,俞瑞钊.基于www的面向对象多线程聊天服务 数据库中接收告警种类控制字段来决定哪些用户要接收消息; ④最后将消息发给所有同时满足②和③的用户。 4结束语 按照上述设计思想与实现方法,成功设计与实现了河南 省郑州市通信公司工作流系统中即时消息子系统。实现了在 郑州市通信公司的内网中,员工之间可以在任何地点,任何时 间进行实时交流,真正的实现郑州市通信公司内部协同T作, 提高了工作效率。 器设计与实现【J Jl计算机工程,2000,26(12):54—55. 胡朝辉,陈奇,俞瑞钊.面向对象的网络聊天服务器系统的设计 【J]l计算机应用,2000,20(8):44—46. 徐远超,庞宏冰.Domino中基于即时消息提醒的Agent实现 【J]l计算机应用,2002,22(7):117—119. 张严歧.即时消息传递软件服务器模块的设计【J]_计算机与应 用,2004,8(4):38—40. 蒲春,陈淳鑫,白天力,等.工作流系统中管理模块的设计与实现 参考文献: 【1] 胡华,宋荷庆,王会.面向Web的工作流管理【J]l计算机工程与 设计,2002,23(4):3 1—33. 【J]l微型机与应用,2005,(4):36—39. Dreamtech软件开发组.即时消息传递系统编程源代码分析 【M].北京:电子工业出版社,2002 (上接第3200页) 外,移动代理在派往目的主机和在目的主机之间迁移时,其携 带的信息会暴露在公众的视线中,从而带来不安全因素,所以 代理加密后才能在网络中传输。只有这样,才能有效提高入 处:有利于利用分布的网络运算资源,提高入侵检测的准确度 和减少入侵检测的反应时间;子系统分担了入侵检测的主要 任务,采用分散的检测设计应对分布式的入侵行为。 侵检测系统自身的安全性。 2-3入侵检测系统的部署 模型的总体结构基本上反映出系统的部署方法,由于系 统采用分散的入侵检测子系统和移动代理的结合,因此承担 数据收集和检测任务的代理可能流动于网络中的所有机器中, 利用移动代理的灵活性,快速地在各个系统问实现互连。这 种设计并不会过多地增加网络中独立主机的负担,阂为收集 数据的任务是完全由代理来完成的,而数据分析工作可以是 专门配置的几台作为入侵检测子系统的主机来完成。 2.2.2改进后模型的检测机制 新模型不仅提高了入侵检测的效率,而且能应对布式入侵 行为。如何快速和有效地进行入侵检测,是判定模型优劣的重 要依据。新模型采用层次化的,按具体检测任务分类实现的检 测机制,具体分为用户层检测,系统层检测和网络层检测。3个 层次是并行关系,共同为分析代理提供数据。用户层检测主要 检测用户的行为、登陆信息等,通过对一段时间内用户的行为 日志和频繁登陆情况的收集,同数据库中的情况作比较,以判 断该用户的行为是否合法;系统层检测主要检测主机行为,收 集主机L的数据,综合判断一段时间内,整个主机的运行是否 3结束语 通过对现有的基于移动代理入侵枪测模型的研究和改 进,克服了一些目前存在的问题。有利于更好的实施入侵检 测工作,应对分布式入侵行为,保护整个网络的安全,至于如 何把模型更好地应用在实际当中,还需要进…步的研究。 正常,有没有受到非法用户的攻击;网络层检测收集网络数据 包,检测网络行为,通过对数据完整性的检测,判断数据包在移 动过程中有没有受到非法的拦截和修改,为用户的信息隐私作 底层的安全保证。通过这3个层次的协同合作,检测机制实现 了网络,系统和用户的全面检测,能够更好的满足现有的信息 安全的要求。同时这种检测方法实现了对主机和网络的双重 参考文献: 【1] William Stalls.计算机密码学与网络安全一原理与实践【M].第 3版.北京:电子工业出版社.2004.2—9. 检测,提高了入侵检测的效率和整个安全模型的可靠性。 分布式入侵攻击就是攻击者使用多台主机同时攻击一台 机器。这种攻击行为的主要特点是入侵行为的分散性,当攻 击行为发生时,数据收集的难度大,检测困难。分布式攻击会 导致整个入侵检测系统的工作压力在短时间内急剧增加,使 入侵检测系统失效。 【2】 卿斯汉,刘文清,刘海峰,等.操作系统安全导论【M】.北京:科学 出版社,2003.19—21. 【3】 安娜,张凡,吴晓南,等.一个基于移动Agent的分布式入侵检测 系统【JJ_西北大学学报,2005,35(1):25—28. 【4】 李旭晖,吕慧,向剑文,等.移动代理系统的安伞问题【J Jl计算机 应用,2001,21(7):5—8. 利用移动代理在网络中建立多个入侵检测子系统,就是 为了更好地应对分布式入侵行为。每一个入侵检测子系统对 网段内的可疑行为进行检测,利用各自的入侵检测资源,对入 侵行为做出判断。这种分布的检测机制和对数据收集的分层 【5】 刘风华,丁贺龙,林果园.一个基于移动Agent的分布式入侵检 测模型【JJ_电子应用技术,2005,(2):1—4. 【6】 朱淼良,邱瑜.移动代理系统综述【JJ_计算机研究与发展,2001, 38(1):16—24. 进行,减少了整个入侵检测系统的压力,使数据收集和分析的 压力分担在每一个子系统当中,避免了数据的聚集而导致整 个入侵检测系统的失效。总体来看,改进后的模型有两个好 -——[7J 袁占亭,张秋余.基于Mobile Agent的入侵检测系统模型的研 究【JJ_兰州理丁大学学报,2004,30(6):82—85. 3234-——
因篇幅问题不能全部显示,请点此查看更多更全内容