關(guān) 閉

新聞中心

EEPW首頁 > 工控自動(dòng)化 > 設(shè)計(jì)應(yīng)用 > 一個(gè)基于移動(dòng)Agent的分布式入侵檢測(cè)模型

一個(gè)基于移動(dòng)Agent的分布式入侵檢測(cè)模型

作者: 時(shí)間:2016-12-22 來源:網(wǎng)絡(luò) 收藏
摘要:在分析了入侵檢測(cè)系統(tǒng)的基本狀況和移動(dòng)代理的特點(diǎn)后,指出了目前入侵檢測(cè)系統(tǒng)存在的不足,提出了基于移動(dòng)代理的分布入侵檢測(cè)模型(MADIDS)。在這個(gè)入侵檢測(cè)系統(tǒng)中,引入了移動(dòng)代理技術(shù),使入侵檢測(cè)系統(tǒng)能夠跨平臺(tái)使用;將基于主機(jī)和基于網(wǎng)絡(luò)的檢測(cè)結(jié)合起來,配置多個(gè)檢測(cè)部件處理,各檢測(cè)部件代理側(cè)重某一方面的工作;并且將所有配置信息存放在數(shù)據(jù)庫中,實(shí)現(xiàn)了數(shù)據(jù)和處理的分離、數(shù)據(jù)收集、入侵檢測(cè)和實(shí)時(shí)響應(yīng)的分布化。關(guān)鍵詞:入侵檢測(cè) 分布式 移動(dòng)代理隨著計(jì)算機(jī)技術(shù)尤其是網(wǎng)絡(luò)技術(shù)的發(fā)展,計(jì)算機(jī)系統(tǒng)已經(jīng)從獨(dú)立的主機(jī)發(fā)展到復(fù)雜的、互連的開放式的系統(tǒng),這給人們?cè)谛畔⒗煤唾Y源共享上帶來了無與倫比的便利。與此同時(shí),人們又面臨著由于入侵而引發(fā)的一系列的安全問題的困擾。傳統(tǒng)的安全防御策略(如訪問控制機(jī)制、加密技術(shù)、防火墻技術(shù)等均屬于靜態(tài)的安全防御技術(shù))在某種程度上無法滿足越來越苛記得的安全需求。正是由于靜態(tài)的安全技術(shù)本自身存在著不可克服的缺點(diǎn),從而引出了入侵檢測(cè)這一安全領(lǐng)域的新課題的誕生。入侵檢測(cè)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一,是防火墻的合理補(bǔ)充,是安全防御體系的一個(gè)重要組成部分。1 入侵檢測(cè)系統(tǒng)概述1.1 入侵及入侵檢測(cè)(Intrusion Detection)入侵是指任何企圖破壞資源的完整性、保密性和有效性的行為,也指違背系統(tǒng)安全策略的任何事件。入侵行為不僅僅指來自外部的攻擊,同時(shí)也包括內(nèi)部用戶的未授權(quán)行為,有時(shí)內(nèi)部人員濫用他們特權(quán)的攻擊是系統(tǒng)安全的最大隱患。入侵檢測(cè)是指通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象,同時(shí)作出響應(yīng)。入侵檢測(cè)系統(tǒng)(IDS:Intrusion Detection System)是實(shí)現(xiàn)入侵檢測(cè)功能的一系列的軟件、硬件的組合,它是入侵檢測(cè)的具體實(shí)現(xiàn)。入侵檢測(cè)系統(tǒng)就其最基本的形式來講,可以說是一個(gè)分類器,它是根據(jù)系統(tǒng)的安全策略來對(duì)收集到的事件/狀態(tài)信息進(jìn)行分類處理,從而判斷出入侵和非入侵行為。1.2 入侵檢測(cè)系統(tǒng)的分類按獲得原始數(shù)據(jù)的方法,入侵檢測(cè)系統(tǒng)可分為基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)兩種。通常,基于主機(jī)的IDS可監(jiān)測(cè)系統(tǒng)、事件和Window NT下的安全記錄以及UNIX環(huán)境下的系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時(shí),IDS將新的記錄條目與攻擊標(biāo)記相比較,看其是否匹配。如果匹配,系統(tǒng)就會(huì)向管理員報(bào)警并向別的目標(biāo)報(bào)告,以采取措施。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源?;诰W(wǎng)絡(luò)的IDS通常利用一個(gè)運(yùn)行在隨機(jī)模式下網(wǎng)絡(luò)的適配器來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。1.3 現(xiàn)有入侵檢測(cè)系統(tǒng)的不足(1)入侵檢測(cè)系統(tǒng)不能很好的檢測(cè)所有的數(shù)據(jù)包?;诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)難以跟上網(wǎng)絡(luò)速度的發(fā)展。截獲網(wǎng)絡(luò)的每一個(gè)數(shù)據(jù)包,并分析匹配是否具有某種攻擊的特征、需要花費(fèi)時(shí)間系統(tǒng)資源。現(xiàn)在很多網(wǎng)絡(luò)都是100M甚至千兆網(wǎng)絡(luò),網(wǎng)絡(luò)速度的發(fā)展遠(yuǎn)遠(yuǎn)超過了數(shù)據(jù)包模式分析技術(shù)發(fā)展的速度。(2)攻擊特征庫的更新不及時(shí),絕大多數(shù)的入侵檢測(cè)系統(tǒng)都是適用模式匹配的分析方法,這需要攻擊特征庫的特征值應(yīng)該是最新的。但現(xiàn)在很多入侵檢測(cè)系統(tǒng)沒有提供某種如“推技術(shù)”的方法來時(shí)刻更新攻擊特征。在如今每天都有新漏洞發(fā)布、每天都有新的攻擊方法產(chǎn)生的情況下顯然不能滿足安全需求。(3)檢測(cè)分析方法單一。攻擊方法的越來越復(fù)雜,單一的基于模式匹配或統(tǒng)計(jì)的分析方法已經(jīng)難以發(fā)現(xiàn)某一些攻擊。現(xiàn)在幾乎所有的入侵檢測(cè)系統(tǒng)都使用了單一的分析方法。(4)不同的入侵檢測(cè)系統(tǒng)之間不能互操作。在大型網(wǎng)絡(luò)中,網(wǎng)絡(luò)不同的部分可能使用了不同的入侵檢測(cè)系統(tǒng),但現(xiàn)在的入侵檢測(cè)系統(tǒng)之間不能夠交換信息,使得發(fā)現(xiàn)了攻擊時(shí)難以找到攻擊的源頭,甚至給入侵者制造了攻擊的漏洞。(5)不能和其他網(wǎng)絡(luò)安全產(chǎn)品互操作。入侵檢測(cè)不是安全的終極武器,一個(gè)安全的網(wǎng)絡(luò)中應(yīng)該根據(jù)安全政策使用多種安全產(chǎn)品。但入侵檢測(cè)系統(tǒng)不能很好的和其他安全產(chǎn)品協(xié)作。比如,一個(gè)網(wǎng)絡(luò)中每?jī)蓚€(gè)小時(shí)自動(dòng)運(yùn)行一次漏洞掃描程序,如果他們不能夠互操作,入侵檢測(cè)系統(tǒng)將每?jī)蓚€(gè)小時(shí)產(chǎn)生一次警報(bào)。(6)結(jié)構(gòu)存在問題。現(xiàn)在的很多入侵檢測(cè)系統(tǒng)是從原來的基于網(wǎng)絡(luò)或基于主機(jī)的入侵檢測(cè)系統(tǒng)不斷改進(jìn)而得來的,在體系結(jié)構(gòu)等方面不能滿足分布、開放的要求。2 在入侵檢測(cè)系統(tǒng)中的應(yīng)用移動(dòng)代理2.1 移動(dòng)代理及其特點(diǎn)移動(dòng)代理與普通程序的最大不同就是可以在運(yùn)行期間在虛擬機(jī)之間遷移而無意中止程序的執(zhí)行。通過在各個(gè)操作系統(tǒng)中運(yùn)行移動(dòng)代理的虛擬機(jī),可以將硬件和操作系統(tǒng)的平臺(tái)細(xì)節(jié)屏蔽,使代理獲得一個(gè)統(tǒng)一的界面。在這個(gè)基礎(chǔ)上,代理可以在各個(gè)平臺(tái)之間自由移動(dòng)。2.2 將移動(dòng)代理應(yīng)用于入侵檢測(cè)的優(yōu)點(diǎn)(1)移動(dòng)邏輯計(jì)算,而不是數(shù)據(jù),從而減少網(wǎng)絡(luò)流量。以往的入侵檢測(cè)系統(tǒng),大多是分散收集數(shù)據(jù)包,而后交由控制中心分析是否有攻擊出現(xiàn),這種檢測(cè)系統(tǒng)將增加網(wǎng)絡(luò)負(fù)擔(dān),加大了流量。移動(dòng)代理的使用是對(duì)RPC(遠(yuǎn)程過程調(diào)用)思想的一個(gè)擴(kuò)展,遠(yuǎn)程代碼保留在本地,只需要傳遞函數(shù)參數(shù),意味著在各節(jié)點(diǎn)收集的大量初始信息可以在本地處理,這樣就增加了入侵檢測(cè)系統(tǒng)的效率。(2)負(fù)載平衡。如果在一個(gè)中心接點(diǎn)分析數(shù)據(jù)包,將會(huì)大大增加中心加點(diǎn)的計(jì)算工作量,是入侵檢測(cè)系統(tǒng)的一個(gè)瓶頸,效率降低,檢測(cè)處理時(shí)間多。根據(jù)RPC的思想,移動(dòng)代理可將較大的計(jì)算工作分布在多個(gè)處理器上并行執(zhí)行,從而避免了瓶頸問題的出現(xiàn)。(3)動(dòng)態(tài)可擴(kuò)展性。一個(gè)長(zhǎng)期有效的入侵檢測(cè)系統(tǒng)必須具有可擴(kuò)展性,跟蹤入侵方法和入侵技術(shù),及時(shí)擴(kuò)充對(duì)應(yīng)的檢測(cè)技術(shù)。代理是自治的,在一定程序上是松散捆綁的,雖然句柄之間有一定的聯(lián)系,它們之間相互是可以獨(dú)立操作的。因此,即使系統(tǒng)很復(fù)雜,在不影響其他代理正常工作的情況下,單個(gè)的功能模塊也能夠被刪除、更改,甚至改進(jìn)??梢?,這種系統(tǒng)也內(nèi)含著一種容錯(cuò)機(jī)制。由此可見在入侵檢測(cè)領(lǐng)域,移動(dòng)代理技術(shù)有著一般代理所不可比擬的優(yōu)勢(shì)。本文的目的就是提出一個(gè)基于移動(dòng)代理技術(shù)的入侵檢測(cè)模型,并對(duì)其進(jìn)行分析設(shè)計(jì)。3 基于移動(dòng)代理的分布式入侵檢測(cè)系統(tǒng)MADIDS3.1 系統(tǒng)框架MADIDS是Mobile Agent-based Distributed Intrusion Detection System(基于移動(dòng)代理的分布式入侵檢測(cè)系統(tǒng))的縮寫。MADIDS系統(tǒng)檢測(cè)框架如圖1所示。從圖2中,可以看出系統(tǒng)層次雖然可以是多層,但功能級(jí)別只有兩層:協(xié)調(diào)中心級(jí)和檢測(cè)目標(biāo)級(jí)。檢測(cè)目標(biāo)級(jí)的功能主要是針對(duì)需要安全保護(hù)的主機(jī)進(jìn)行入侵檢測(cè),不是對(duì)于所有的主機(jī)都設(shè)定,避免不必要的資源占有,減少投資。協(xié)調(diào)中心級(jí)主要負(fù)責(zé)對(duì)本機(jī)所在網(wǎng)段內(nèi)的網(wǎng)絡(luò)進(jìn)行監(jiān)聽,并檢測(cè)可能的入侵行為,并且同本層的其它機(jī)器和上層機(jī)器代理進(jìn)行交互,協(xié)同檢測(cè)可能的入侵。本級(jí)的設(shè)置通常入于局域網(wǎng)絡(luò)的中心,通過對(duì)網(wǎng)絡(luò)接入點(diǎn)的數(shù)據(jù)進(jìn)行監(jiān)控,所以能夠?qū)τ谒衼碜酝獠亢桶l(fā)向外部的數(shù)據(jù)進(jìn)行監(jiān)控。正是由于它的這個(gè)條件,所以它的功能對(duì)于來自外部的攻擊行為能夠更好的進(jìn)行檢測(cè)。最上層的協(xié)調(diào)中心處在入侵檢測(cè)系統(tǒng)的最上層,所有下層無法判斷的入侵行為在此處進(jìn)行匯總后,形成對(duì)于入侵行為的整體認(rèn)識(shí),可以更加方便、準(zhǔn)確和全面的實(shí)現(xiàn)入侵檢測(cè)。它的處理結(jié)構(gòu)與其他層次的協(xié)調(diào)中心結(jié)構(gòu)相似,只是本地的入侵檢測(cè)功能主要是對(duì)來自網(wǎng)絡(luò)外部的數(shù)據(jù)流進(jìn)行分析。并且由于來自外部的網(wǎng)絡(luò)狀態(tài)難于進(jìn)行統(tǒng)計(jì)和分析,所以主要采用模式匹配的方法進(jìn)行處理。同時(shí)通過與來自下一層協(xié)調(diào)中心的協(xié)同處理來實(shí)現(xiàn)實(shí)際的入侵檢測(cè)。這種分層次的檢測(cè)框架不同于傳統(tǒng)意義上的集中式入侵檢測(cè)系統(tǒng)。這里的入侵檢測(cè)系統(tǒng)雖然是分層次的,各層的級(jí)別與作用都不一樣,但較高層次作用不是集中控制與分析,而是協(xié)調(diào)中心,是為了便于管理、檢測(cè)復(fù)雜入侵和系統(tǒng)自身的安全。集中式入侵檢測(cè)系統(tǒng)中采用單個(gè)主機(jī)對(duì)整個(gè)網(wǎng)絡(luò)中的數(shù)據(jù)流量進(jìn)行分析,尋找可能的入侵行為。這種技術(shù)優(yōu)點(diǎn)是:數(shù)據(jù)的集中處理可以更加準(zhǔn)確地分析可能的入侵行為。缺點(diǎn)是:由于數(shù)據(jù)的集中處理,這個(gè)檢測(cè)主機(jī)成了網(wǎng)絡(luò)安全的瓶頸。它出現(xiàn)故障或遭受攻擊,則整個(gè)網(wǎng)絡(luò)的安全就會(huì)消失。同時(shí)這種方式數(shù)據(jù)的采集對(duì)于大型的網(wǎng)絡(luò)也很難實(shí)現(xiàn),只能采用類似于防火墻的方式,在網(wǎng)絡(luò)接入點(diǎn)采集網(wǎng)絡(luò)內(nèi)外的出入數(shù)據(jù),故無法實(shí)現(xiàn)內(nèi)部的安全檢測(cè)。MADIDS系統(tǒng)不是單純的主機(jī)檢測(cè)或是網(wǎng)絡(luò)檢測(cè),也不是單純 集中式檢測(cè)或分布比檢測(cè)。而是將這些技術(shù)結(jié)合起來,并且與網(wǎng)絡(luò)的分層結(jié)構(gòu)相匹配,采用一種與代理技術(shù)相融合的基于分層的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。代理技術(shù)應(yīng)用到入侵檢測(cè)的每一層,移動(dòng)代理主要用于檢測(cè)分布式攻擊。3.2 系統(tǒng)功能模塊構(gòu)成如圖2,MADIDS的主要部件有:檢測(cè)部件、協(xié)調(diào)部件和集成部件。其中,檢測(cè)部件可以脫離其它兩個(gè)部件而單獨(dú)工作,此時(shí),移動(dòng)代理失去功能。檢測(cè)部件的功能是截獲網(wǎng)絡(luò)原始數(shù)據(jù)包、查看日志采用相應(yīng)的檢測(cè)方法進(jìn)行分析,并采取相應(yīng)的響應(yīng)措施,以減少協(xié)調(diào)部件的工作量及系統(tǒng)網(wǎng)絡(luò)傳輸?shù)挠绊憽z測(cè)部件包括分析檢測(cè)器、響應(yīng)器、數(shù)據(jù)存放器(數(shù)據(jù)庫)數(shù)據(jù)收集器和本地管理器五個(gè)部分。協(xié)調(diào)部分在檢測(cè)部件不能確定是否發(fā)生入侵的情況下發(fā)揮作用,協(xié)調(diào)各檢測(cè)部件進(jìn)行工作以便跟蹤檢測(cè)有關(guān)入侵,并能進(jìn)行較復(fù)雜的數(shù)據(jù)分析,來識(shí)別分布式入侵檢測(cè)。此外,代理的移動(dòng)也是在協(xié)調(diào)部件的安排下進(jìn)行活動(dòng)的。協(xié)調(diào)部件由移動(dòng)代理管理器、部件狀態(tài)顯示器、數(shù)據(jù)存入器和分析器構(gòu)成。集成部件的主要作用是和機(jī)器上已安裝的IDS配合,充分利用原有的IDS的資源,提高檢測(cè)效率。集成部件由詞法分析器、配置管理器、數(shù)據(jù)存放器和格式轉(zhuǎn)換器構(gòu)成。集成部件將其他IDS系統(tǒng)的檢測(cè)入侵記錄轉(zhuǎn)換成檢測(cè)部件所能識(shí)別的格式,便于分析檢測(cè)。系統(tǒng)中功能模塊可能是由具有特定功能的獨(dú)立的應(yīng)用程序、靜態(tài)agent、移動(dòng)代理、小型的系統(tǒng)或者一個(gè)數(shù)據(jù)庫系統(tǒng)來構(gòu)成。在具體部署時(shí),這些部件可能在同一臺(tái)計(jì)算機(jī)上,也可以各自分布在一個(gè)大型網(wǎng)絡(luò)的不同節(jié)點(diǎn)。總之,各功能模塊都是MADIDS的一部分。模塊之間借助代理平臺(tái)提供的通信機(jī)制實(shí)現(xiàn)進(jìn)行信息交換,這樣既簡(jiǎn)化了模塊之間的數(shù)據(jù)交換的復(fù)雜性,使得各功能模塊非常容易地分布在不同主機(jī)上,也給系統(tǒng)提供了一個(gè)擴(kuò)展的接口。3.3 MADIDS中代理構(gòu)成MADIDS是一個(gè)具有多代理協(xié)同工作的分布式入侵檢測(cè)系統(tǒng)。在MADIDS系統(tǒng)框架中,Agent處于系統(tǒng)最底層,是最基本的結(jié)構(gòu)單元,進(jìn)行著最初的數(shù)據(jù)收集與數(shù)據(jù)處理等各種工作,是最具靈活性的組成部分,MADIDS系統(tǒng)框架的可擴(kuò)展性的一個(gè)方面就在于此。集成部件中的agent負(fù)責(zé)吸取其它IDS的檢測(cè)信息。檢測(cè)部件是每臺(tái)監(jiān)控主機(jī)上各Agent的總控實(shí)體,負(fù)責(zé)主機(jī)級(jí)的入侵檢測(cè)。協(xié)調(diào)部件是被保護(hù)網(wǎng)絡(luò)上各主機(jī)檢測(cè)部件的協(xié)調(diào)實(shí)體,它們還可以相互級(jí)連起來,形成層次結(jié)構(gòu),負(fù)責(zé)網(wǎng)絡(luò)級(jí)的入侵檢測(cè),它也有agent完成基本的功能。3.3.1 數(shù)據(jù)收集Agent數(shù)據(jù)收集agent有三類:主機(jī)日志收集代理、網(wǎng)絡(luò)數(shù)據(jù)收集代理和其它IDS數(shù)據(jù)收集代理。它們各自是一個(gè)獨(dú)立運(yùn)行實(shí)體,監(jiān)控主機(jī)某一方面并負(fù)責(zé)向相應(yīng)分析器報(bào)告異常行為或者可疑行為。例如,有這樣一個(gè)簡(jiǎn)單的Agent,它檢查telnet連接數(shù)量,當(dāng)在一定時(shí)間內(nèi)有大量的連接(可以基于某個(gè)閾值來定)發(fā)生時(shí),就認(rèn)為是可疑事件發(fā)生。這個(gè)Agent就會(huì)向其上級(jí)分析器發(fā)出一個(gè)報(bào)告。但是Agent本身無權(quán)直接產(chǎn)生警報(bào)。通常情況下,對(duì)一到多個(gè)由Agent產(chǎn)生的報(bào)告,分析器會(huì)向用戶發(fā)出一個(gè)警告。依靠對(duì)所控制的各個(gè)事件Agent的報(bào)告進(jìn)行綜合,檢測(cè)部件可以了解到所在主機(jī)系統(tǒng)當(dāng)前的安全狀態(tài),而協(xié)調(diào)部件可以了解到所監(jiān)控網(wǎng)絡(luò)的安全狀態(tài)。事件收集Agent之間并不直接進(jìn)行通信。相反,Agent將所有的消息都發(fā)送給其控制者——分析器,由分析器根據(jù)Agent的配置信息來決定將如何處理這些信息。對(duì)Agent本身而言,它可以使用以下技術(shù)來增強(qiáng)其處理能力:1.Agent可以使用遺傳程序設(shè)計(jì)技術(shù),這樣隨著使用時(shí)間的增加,Agent本身可以逐漸學(xué)習(xí),逐漸積累經(jīng)驗(yàn),從而可以進(jìn)化。2.Agent可以使用狀態(tài)保持技術(shù)來記憶每次運(yùn)行時(shí)獲得的信息,這樣可以使Agent能夠檢測(cè)到持續(xù)很長(zhǎng)時(shí)間的入侵行為,也能夠檢測(cè)以行為模式的改變。由于在基于主機(jī)的異常入侵檢測(cè)中,使用了歷史行為統(tǒng)計(jì)模式,而為了更好地適應(yīng)用戶的全法行為模式,就需要將歷史行為統(tǒng)計(jì)模式進(jìn)行更新,而Agent在運(yùn)行中所檢測(cè)的事件正是更新統(tǒng)計(jì)數(shù)據(jù)的絕好材料。3.3.2 移動(dòng)代理(mobile agent)mobile agent由協(xié)調(diào)部件管理,可以在系統(tǒng)內(nèi)向下層或者在同一層次移動(dòng),作用是跟蹤入侵路徑和收集信息。移動(dòng)代理跟蹤入侵路徑,并且確定它的起點(diǎn),即入侵用戶留下被目標(biāo)主機(jī)日志記載的有入侵嫌疑的地方。協(xié)調(diào)部件、檢測(cè)部件和移動(dòng)代理以下列方式協(xié)同工作:首先,檢測(cè)部件檢測(cè)到一個(gè)嫌疑事件,并將其報(bào)告給協(xié)調(diào)部件,要求協(xié)調(diào)部件跟蹤處理;協(xié)調(diào)器件利用ATP(agent transfer protocol)協(xié)議分派一個(gè)移動(dòng)代理負(fù)責(zé)跟蹤到目標(biāo)系統(tǒng);這個(gè)移動(dòng)代理自動(dòng)在每一臺(tái)機(jī)器之間進(jìn)行遷移,為此不需要協(xié)調(diào)部件引導(dǎo)而能獨(dú)立跟蹤入侵。當(dāng)某一個(gè)目標(biāo)系統(tǒng)在短時(shí)間內(nèi)被發(fā)現(xiàn)有我個(gè)嫌疑事件時(shí),協(xié)調(diào)部件將分派多個(gè)移動(dòng)代理到目標(biāo)系統(tǒng)中收集所有的嫌疑事件的信息。單獨(dú)的一個(gè)移動(dòng)代理不會(huì)對(duì)入侵作出判斷,也無法確定是否發(fā)生了入侵,多個(gè)移動(dòng)代理結(jié)合起來才能夠供協(xié)調(diào)部件作出判斷。由于移動(dòng)代理可以轉(zhuǎn)移到安裝了agent執(zhí)行環(huán)境中的任何系統(tǒng)中,因此它能夠智能地進(jìn)行入侵路由跟蹤。3.3.3 代理之間的消息協(xié)作代理之間通訊的協(xié)作消息按照傳播的方式不同,可以分為點(diǎn)對(duì)點(diǎn)消息和廣播消息。點(diǎn)對(duì)點(diǎn)消息用于低層代理向高層代理提供的信息,低層代理由于時(shí)間和空間的局限性,根據(jù)現(xiàn)有的信息無法判斷是否是攻擊,就將可疑事件提交給高層代理。例如,當(dāng)攻擊者進(jìn)行FTP Bounce攻擊時(shí),由于這種攻擊是在三臺(tái)機(jī)器間進(jìn)行的,單臺(tái)機(jī)器上的檢測(cè)代理是無法確定攻擊的,必須同時(shí)提交給高一級(jí)的代理才能作出判斷。由于某些攻擊(或者潛在的攻擊)在空間上或時(shí)間上具有一定的連續(xù)性,當(dāng)某個(gè)代理檢測(cè)出攻擊時(shí),可以讓其它的代理獲得先驗(yàn)知識(shí),來提高檢測(cè)效率,這時(shí)代理就會(huì)用廣播消息來通知其它代理。例如攻擊者攻擊某個(gè)網(wǎng)絡(luò)時(shí),往往是先掃描該網(wǎng)絡(luò)中的主機(jī)所開啟的服務(wù),從中找突破口。當(dāng)一個(gè)代理探測(cè)出是端口掃描時(shí),可以將消息廣播給同一級(jí)的代理,使它們能提前預(yù)防,當(dāng)攻擊者再掃描時(shí),無法知道系統(tǒng)開啟的服務(wù)。入侵檢測(cè)作為一種信息安全措施,在現(xiàn)階段的中國還處于初步研究和探索階段。本文就是在這一社會(huì)背景下開展研究和探索的。經(jīng)過研究、探索、分析和設(shè)計(jì)后,本文對(duì)agent這一新興的技術(shù)在入侵檢測(cè)系統(tǒng)中應(yīng)用的優(yōu)勢(shì)進(jìn)行探討,提出了較完整的MADIDS的體系結(jié)構(gòu),并將這一技術(shù)引入MADIDS。MADIDS系統(tǒng)能夠滿足分布式環(huán)境下對(duì)入侵檢測(cè)系統(tǒng)的要求,能檢測(cè)分布式攻擊,這也是目前入侵檢測(cè)系統(tǒng)發(fā)展的一個(gè)方向。盡管采取了先進(jìn)了技術(shù)和平臺(tái),但是正如攻擊技術(shù)不斷發(fā)展一樣,入侵的檢測(cè)也會(huì)不斷更新、成熟。同時(shí),網(wǎng)絡(luò)安全需要縱深的、多樣的防護(hù)。MADIDS系統(tǒng)還需要在檢測(cè)方法上進(jìn)一步改進(jìn),提高檢測(cè)的準(zhǔn)確率和檢測(cè)速度,加強(qiáng)系統(tǒng)自身安全性。另外,同防火墻、網(wǎng)絡(luò)管理工具結(jié)合,構(gòu)成立體式的防衛(wèi)城墻也是MADIDS進(jìn)一步研究的方向。

關(guān)鍵詞: 分布式模

評(píng)論


技術(shù)專區(qū)

關(guān)閉