李樹文，孫敏

(1.山西煤炭職業(yè)技術(shù)學(xué)院計(jì)算機(jī)信息系，山西太原 030031; 2.山西大學(xué)計(jì)算機(jī)與信息技術(shù)學(xué)院，山西太原 030006)

基于移動Agent的分布式入侵檢測系統(tǒng)研究

李樹文1，孫敏2

(1.山西煤炭職業(yè)技術(shù)學(xué)院計(jì)算機(jī)信息系，山西太原 030031; 2.山西大學(xué)計(jì)算機(jī)與信息技術(shù)學(xué)院，山西太原 030006)

隨著網(wǎng)絡(luò)信息量及速度的急劇上升，入侵檢測技術(shù)必然也隨之改變，分布式入侵檢測就是一個好的選擇。本文構(gòu)建出一個基于移動Agent分布式入侵檢測模型;探討了該模型的實(shí)現(xiàn)并對其性能進(jìn)行了仿真實(shí)驗(yàn)驗(yàn)證。該模型采用“域內(nèi)集中處理，域間互助協(xié)作”的工作方式，將整個受保護(hù)的網(wǎng)絡(luò)劃分成若干個域，每個域內(nèi)是一個完整的中心分析型分布式入侵檢測系統(tǒng)，域間地位平等，互相協(xié)作，共同完成分布式入侵檢測。這樣以來，既能克服單點(diǎn)故障問題，又便于管理，容易分析判別是本地攻擊還是分布式攻擊。

移動Agent;入侵檢測系統(tǒng);域

1 概述

現(xiàn)有的分布式入侵檢測系統(tǒng)針對分布式入侵通常采用以下三種分析模型［1］:中心分析模型、層次分析模型、協(xié)作分析模型。中心分析模型網(wǎng)絡(luò)負(fù)載較大、擴(kuò)展性差、延時長、易出現(xiàn)單點(diǎn)故障，只適合用在規(guī)模較小的網(wǎng)絡(luò)。層次分析模型網(wǎng)絡(luò)負(fù)載大和單點(diǎn)故障的問題依然存在。協(xié)作分析模型單點(diǎn)復(fù)雜度增加、可擴(kuò)展性差、網(wǎng)絡(luò)傳輸負(fù)載重等等［2］。

2 結(jié)構(gòu)設(shè)計(jì)

為解決以上問題本文構(gòu)建的基于移動Agent的分布式入侵檢測模型的結(jié)構(gòu)如圖1所示。

圖1 改進(jìn)后的分布式入侵檢測模型

接下來詳細(xì)介紹該模型主要模塊的功能。

1) 控制臺是整個分布式入侵檢測系統(tǒng)的管理者與決策者，負(fù)責(zé)管理、控制、協(xié)調(diào)網(wǎng)絡(luò)上的所有移動Agent，接收事件Agent報(bào)告的狀態(tài)和報(bào)警等，并根據(jù)這些狀態(tài)和報(bào)警分析決策出入侵行為是針對某個主機(jī)、某個網(wǎng)段還是整個網(wǎng)絡(luò)并做出響應(yīng)。另外，控制臺還提供了人機(jī)交互界面，以便管理員可以及時了解整個系統(tǒng)的運(yùn)行情況，必要時進(jìn)行干預(yù)，參與控制臺的分析與決策。

管理模塊負(fù)責(zé)管理控制臺內(nèi)部各部件的正常運(yùn)行，協(xié)調(diào)系統(tǒng)內(nèi)各個組件的動態(tài)配置，監(jiān)視系統(tǒng)各部件的運(yùn)行狀態(tài)。分析決策模塊通過對管理模塊送來的檢測實(shí)體的狀態(tài)、警報(bào)等信息進(jìn)行分析，判定出攻擊是針對某個主機(jī)、某個網(wǎng)段還是整個網(wǎng)絡(luò)并做出響應(yīng)。

2) 人機(jī)交互界面在控制臺的管理和控制之內(nèi)，不同的用戶有不同的權(quán)限，登錄時要經(jīng)過嚴(yán)格的身份確認(rèn)。

3) 入侵行為數(shù)據(jù)庫存儲著大量非法入侵行為、系統(tǒng)正常運(yùn)行時的日志以及用戶的合法行為?？刂婆_指派移動Agent到目的地時，選擇相應(yīng)的非法入侵行為拷貝到檢測實(shí)體的數(shù)據(jù)庫中。

4) 移動Agent管理模塊包括移動Agent管理、移動Agent安全確認(rèn)和移動Agent表三部分組成。移動Agent管理包括創(chuàng)建移動Agent，為Agent分發(fā)密鑰，執(zhí)行認(rèn)證和會話授權(quán)服務(wù)，經(jīng)控制臺把移動Agent派遣到目的地。移動Agent安全確認(rèn)是檢查Agent的完整性，確保分配的Agent是可用的、安全的。

Agent表有以下幾個功能:一、存儲有可疑行為主機(jī)的IP地址。每張表中存放所有遭到同種類型入侵的主機(jī)的IP地址，每個移動Agent派往的主機(jī)也在Agent表中一一記錄，由此可以查看某個移動Agent在整個網(wǎng)絡(luò)中的移動路線。二、Agent表中存儲著每個Agent的ID。Agent的ID是由移動Agent管理器分配的唯一的身份標(biāo)識。三、Agent表中還記錄著每個Agent的功能。

5) 移動Agent數(shù)據(jù)庫中存放著多種移動A-gent，等待控制臺的指令，被派遣到指定的目的地執(zhí)行任務(wù)。

6) 網(wǎng)絡(luò)上所有的檢測實(shí)體都有事件Agent和響應(yīng)Agent。事件Agent利用本地入侵行為數(shù)據(jù)庫中的信息，完成檢測功能。如果某一行為經(jīng)分析確認(rèn)是本地入侵，記錄后由響應(yīng)Agent采取相應(yīng)的處理措施并把處理結(jié)果向控制臺報(bào)告。如果是無法判定的可疑行為則由事件Agent交給控制臺來處理，并把處理后的結(jié)果更新到本地入侵行為數(shù)據(jù)庫中。

3 模塊設(shè)計(jì)

該模型中主要由數(shù)據(jù)收集模塊、預(yù)處理模塊、BP神經(jīng)網(wǎng)絡(luò)模塊、專家系統(tǒng)模塊和報(bào)警模塊組成，檢測網(wǎng)絡(luò)和主機(jī)上的數(shù)據(jù)流，包括網(wǎng)絡(luò)數(shù)據(jù)包、系統(tǒng)日志和用戶行為日志［3］。圖2為各個模塊之間的關(guān)系示意圖。

數(shù)據(jù)收集模塊把收集到的網(wǎng)絡(luò)數(shù)據(jù)包或主機(jī)系統(tǒng)日志送給分析決策模塊;數(shù)據(jù)分析模塊對數(shù)據(jù)包進(jìn)行格式檢查、分片重組等初步的過濾，根據(jù)數(shù)據(jù)包的協(xié)議類型調(diào)用相應(yīng)的分析器進(jìn)行分析，之后將所需的信息傳遞給預(yù)處理模塊;預(yù)處理模塊將數(shù)據(jù)轉(zhuǎn)換成BP神經(jīng)網(wǎng)絡(luò)能夠識別的格式;如果是訓(xùn)練數(shù)據(jù)，轉(zhuǎn)換了格式后連同期望的給出一起送給BP神經(jīng)網(wǎng)絡(luò);如果是需要檢測的數(shù)據(jù)，先交給專家系統(tǒng)來判定，專家系統(tǒng)根據(jù)已知攻擊的特征分析檢測數(shù)據(jù)，若是特征相吻合則產(chǎn)生報(bào)警送給報(bào)警模塊;若是專家系統(tǒng)無法判定的可疑行為則再交給BP神經(jīng)網(wǎng)絡(luò)來判別;待BP神經(jīng)網(wǎng)絡(luò)模塊分析并做出判斷，確定了是入侵行為后，報(bào)警模塊通知監(jiān)控管理模塊采取一些相應(yīng)的措施。

圖2 主要模塊關(guān)系示意圖

4 事件Agent和響應(yīng)Agent的設(shè)計(jì)與實(shí)現(xiàn)

1) 事件Agent的設(shè)計(jì)與實(shí)現(xiàn)

事件Agent包括數(shù)據(jù)收集和數(shù)據(jù)分析兩個模塊，主要進(jìn)行數(shù)據(jù)收集與分類，數(shù)據(jù)收集主要是用網(wǎng)絡(luò)探測器來完成。網(wǎng)絡(luò)探測器能夠發(fā)現(xiàn)網(wǎng)絡(luò)上的攻擊行為，通常被放在ISP(Internet Service Provide)和防火墻之間的區(qū)域，即非軍事化區(qū)(Demilibozed Zone，DMZ)，同時在防火墻內(nèi)也安置網(wǎng)絡(luò)探測器，這樣既能檢測到外部攻擊，也能檢測到內(nèi)部攻擊。

數(shù)據(jù)收集是進(jìn)行分析和決策的前提，其準(zhǔn)確性和實(shí)時性將會直接影響系統(tǒng)的整體性能。如果數(shù)據(jù)收集不及時，當(dāng)系統(tǒng)檢測到入侵時可能入侵者的攻擊任務(wù)已經(jīng)完成;如果收集到的數(shù)據(jù)本身不完整、不正確，系統(tǒng)自然就無法準(zhǔn)確檢測出攻擊行為，可能會造成嚴(yán)重的后果。文中數(shù)據(jù)收集模塊采用winpcap和snort或者winpcap和TCPdump相結(jié)合的方式，具有高效的捕獲數(shù)據(jù)包的能力，通過對其參數(shù)的設(shè)置可以得到需要的數(shù)據(jù)包字段。

2) 響應(yīng)Agent的設(shè)計(jì)與實(shí)現(xiàn)

響應(yīng)Agent主要包括三部分:預(yù)處理模塊、BP神經(jīng)網(wǎng)絡(luò)模塊和專家系統(tǒng)模塊。

預(yù)處理模塊主要負(fù)責(zé)把數(shù)據(jù)收集模塊即snort或TCPdump捕獲的數(shù)據(jù)包轉(zhuǎn)換成BP神經(jīng)網(wǎng)絡(luò)能夠識別的格式。

事件分析器即BP神經(jīng)網(wǎng)絡(luò)模塊，是整個入侵檢測系統(tǒng)的核心，它負(fù)責(zé)判斷出專家系統(tǒng)不能確定的可疑異常行為是不是攻擊行為。如果輸出層個數(shù)足夠，它可以更充分地表達(dá)出被檢測數(shù)據(jù)的信息，進(jìn)而判斷出是哪類攻擊。輸入來自預(yù)處理模塊傳來的數(shù)據(jù)或者來自事件產(chǎn)生器產(chǎn)生的二進(jìn)制文件。輸出包括期望輸出和實(shí)際輸出兩種。期望輸出是根據(jù)訓(xùn)練樣本預(yù)先定義好的入侵行為;實(shí)際輸出是對可疑行為的檢測結(jié)果，可能是某種攻擊行為或是正常行為，輸出本質(zhì)是一組在0～1之間的實(shí)數(shù)，在距0的某個范圍內(nèi)認(rèn)為是0，在距1的某個范圍內(nèi)認(rèn)為是1。［3］

5 實(shí)驗(yàn)仿真與分析

5.1 仿真實(shí)驗(yàn)環(huán)境設(shè)計(jì)

為了便于測試模型的性能，實(shí)驗(yàn)環(huán)境特做了如下簡化:

1) 當(dāng)測試分布式入侵檢測系統(tǒng)的性能時，攻擊主機(jī)可以直接在某網(wǎng)段上進(jìn)行攻擊;

2) 目標(biāo)主機(jī)的操作系統(tǒng)由所要進(jìn)行測試的項(xiàng)目而定;

3) 實(shí)驗(yàn)中用兩臺主機(jī)代表整個網(wǎng)絡(luò)中兩個不同的子域，每臺主機(jī)采用VMware以網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation，NAT)方式建立兩臺虛擬機(jī)［4］。NAT自動將服務(wù)功能賦于給虛擬交換機(jī)VMnet8，虛擬機(jī)連接到虛擬交換機(jī)VM-net8后，自動獲取IP地址和網(wǎng)關(guān)。每臺主機(jī)連同兩臺虛擬機(jī)代表一個子域，每臺宿主機(jī)代表一個控制臺并進(jìn)行必要的設(shè)置，宿主機(jī)上的虛擬機(jī)代表控制臺所管轄的域。這樣只有兩個域的虛擬網(wǎng)絡(luò)便搭建起來了。

5.2 實(shí)驗(yàn)方法與過程

1) 收集數(shù)據(jù)

首先使用winpcap和snort或者winpcap和TCPdump獲取數(shù)據(jù)包作為訓(xùn)練或檢測的原始數(shù)據(jù)，用DARPA 1999用為評估數(shù)據(jù)集。

先用TCPdump把數(shù)據(jù)集存儲為8組數(shù)據(jù)文件，每組有400個正常行為和400個異常行為(包括了典型的攻擊行為);再將8組數(shù)據(jù)文件分成兩個大組，一組用于訓(xùn)練，一組用于檢測。

2) 預(yù)處理數(shù)據(jù)

將收集到的數(shù)據(jù)格式化，留下所需要的字段屬性，并將其轉(zhuǎn)換成二進(jìn)制格式文件，訓(xùn)練樣本里再附加上期望輸出值。實(shí)驗(yàn)編碼見表1所示。

表1 實(shí)驗(yàn)編碼規(guī)則

3) 遺傳算法及BP神經(jīng)網(wǎng)絡(luò)參數(shù)設(shè)置。遺傳算法最大進(jìn)化代數(shù)設(shè)為200，選擇概率設(shè)為0.9，交叉率設(shè)為0.8，變異率設(shè)為0.09，種群交流概率設(shè)為0.6。BP神經(jīng)網(wǎng)絡(luò)輸入層節(jié)點(diǎn)個數(shù)為164，隱含層節(jié)點(diǎn)個數(shù)為96，輸出層節(jié)點(diǎn)個數(shù)為 3;隱含層傳遞函數(shù)選用tansig，輸出層傳遞函數(shù)選用logsig，訓(xùn)練函數(shù)選用traingda，目標(biāo)精度設(shè)為0.001，最大訓(xùn)練周期設(shè)為5000。

5.3 實(shí)驗(yàn)結(jié)果及分析

本文提出的分布式入侵檢測模型實(shí)驗(yàn)結(jié)果見表2所示。

實(shí)驗(yàn)表明，將神經(jīng)網(wǎng)絡(luò)應(yīng)用到分布式移動A-gent入侵檢測系統(tǒng)中，可以達(dá)到較好的檢測效果，提高系統(tǒng)的整體性能。采用改進(jìn)的遺傳算法優(yōu)化的BP神經(jīng)網(wǎng)絡(luò)降低了檢測的漏報(bào)率和誤報(bào)率，提高了檢測的準(zhǔn)確率。實(shí)驗(yàn)中沒有考慮子域與子域之間的協(xié)同工作和實(shí)時性等問題，假設(shè)在理想的協(xié)同下進(jìn)行實(shí)驗(yàn)的，還有待于進(jìn)一步的改進(jìn)和提高。

［1］Dorothy E Denning.An Intrusion Detection Model［J］.IEEE Transactions on Software Engineering，1987，13(2): 222-232.

［2］李生，唐學(xué)文，高工.基于移動代理的分布式入侵檢測系統(tǒng)的研究［D］.重慶大學(xué)，2009.

［3］吳宏偉，孫名松.基于改進(jìn)BP神經(jīng)網(wǎng)絡(luò)的分布式入侵檢測模型研究［D］.哈爾濱理工大學(xué)，2005.

［4］劉志平，基于VMware虛擬網(wǎng)絡(luò)的構(gòu)建［J］.內(nèi)蒙古大學(xué)學(xué)報(bào)(自然科學(xué)版)，2007，1(38):94-95.

［責(zé)任編輯:袁太生］

Mobile-agent-based Distributed Intrusion Detection System

LI Shu-wen1，Sun Min2
(1.Department of Computer Information，Shanxi Coal Vocational and Technical College，Taiyuan 030031，China; 2.School of Computer and Information Technology，Shanxi University，Taiyuan 030006，China)

This paper builds a model of Distributed Intrusion Detection System Based on mobile Agent and discusses the realization of the model，and simulation tests are carried out about its properties.The model takes the working method of“Collective disposition within a domain and mutual cooperation among domains".The protected network is divided into a number of domains，and each of them is a complete analysis center of distributed intrusion detection system.These domains have relatively equal positions，mutually cooperate，and complete distributed intrusion detection together.In this way，single point failures can be overcome，management becomes easy，and it is easily analyzed and discriminated whether the attack is locally aggressive or distributed.

mobile Agent;intrusion detection system;domain

TP393

A

1671－5977(2012)02－0125－04

2012-02-11

面向行為約束的可信Web服務(wù)組合方法研究，國家自然科學(xué)基金(61100058)

李樹文(1973-)，男，山西大同人，山西煤炭職業(yè)技術(shù)學(xué)院計(jì)算機(jī)信息系講師，工學(xué)碩士，主研方向:網(wǎng)絡(luò)安全，互聯(lián)網(wǎng)技術(shù)。