摘要：移動Agent有很多優(yōu)點適合于分布式入侵檢測系統(tǒng)。本文提出一種基于移動Agent的分布式入侵檢測系統(tǒng)方法，討論了系統(tǒng)結構及其Agent機制；詳細討論了移動Agent技術在分布式入侵檢測系統(tǒng)中的應用特點和存在的問題；最后給出了未來的入侵檢測系統(tǒng)的發(fā)展趨勢。

　　1、入侵檢測系統(tǒng)綜述

　　1.1 入侵檢測系統(tǒng)

　　隨著信息技術的發(fā)展，計算機成為社會活動中的必不可少的工具，大量重要的信息存儲在系統(tǒng)中，同時，連入網絡中的計算機數(shù)量也在成倍增加，這些都使得信息安全問題日益嚴重。入侵檢測已經成為網絡安全的一個重要的研究領域。

　　入侵(Intrusion)是指系統(tǒng)的未經授權用戶試圖或已經竊取了系統(tǒng)的訪問權限，以及系統(tǒng)的被授權用戶超越或濫用了系統(tǒng)所授予的訪問權限，而威脅或危害了網絡系統(tǒng)資源的完整性、機密性或有效性的行為集合[1]。其中，完整性是指防止網絡系統(tǒng)資源被非法刪改或破壞；機密性是指防止網絡系統(tǒng)內部信息的非法泄露；有效性是指網絡資源可以被授權用戶隨時正常訪問和程序資源能夠按期望的方式正常地運行。入侵檢測就是檢測入侵活動，并采取對抗措施。入侵檢測主要有兩種：濫用檢測和異常檢測。

　　濫用檢測（Misuse Detection）是假定所有入侵行為和手段（及其變種）都能夠表達為一種模式或特征，那么所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)。濫用檢測的關鍵是如何表達入侵的模式，把真正的入侵和正常行為區(qū)分開來。濫用檢測的優(yōu)點是可以有針對性地建立高效的入侵檢測系統(tǒng)，其主要缺陷是不能檢測未知的入侵，也不能檢測已知入侵的變種，因此可能發(fā)生漏報。

　　異常檢測(Anomaly Detection)[2]是假定所有入侵行為都是與正常行為不同的。異常檢測需要建立目標系統(tǒng)及其用戶的正�；顒幽Ｐ停�然后基于這個模型對系統(tǒng)和用戶的實際活動進行審計，以判定用戶的行為是否對系統(tǒng)構成威脅。常用的異常檢測方法有：專家系統(tǒng)、神經網絡、機器學習、和人工免疫等。異常檢測的關鍵問題是：① 特征量的選擇。異常檢測首先是要建立系統(tǒng)或用戶的“正常”行為特征輪廓，這就要求在建立正常模型時，選取的特征量既要能準確地體現(xiàn)系統(tǒng)或用戶的行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。 ②參考閾值的選定。因為在實際的網絡環(huán)境下，入侵行為和異常行為往往不是一對一的等價關系，這樣的情況是經常會有的：某一行為是異常行為，而它并不是入侵行為。同樣存在某一行為是入侵行為，而它卻并不是異常行為的情況。這樣就會導致檢測結果的虛警和漏警的產生。由于異常檢測是先建立正常的特征輪廓作為比較的參考基準，這個參考基準即參考閾值的選定是非常關鍵的，閾值定的過大，那漏警率會很高；閾值定的過小，則虛警率就會提高。合適的參考閾值的選定是影響這一檢測方法準確率的至關重要的因素。

　　入侵檢測系統(tǒng)（Intusion Detection System，IDS）可以定義為識別針對計算機或網絡資源的惡意企圖和行為并對此做出反映的系統(tǒng)。

　　1.2 當前分布式入侵檢測系統(tǒng)特點及存在的問題[3]
　　當前分布式系統(tǒng)的整體結構多為分級的多層次結構，見圖1。

　　這是一種自頂向下的樹狀結構，由控制節(jié)點、數(shù)據聚合節(jié)點和數(shù)據搜集節(jié)點組成。位于樹頂層的是控制節(jié)點，負責控制整個系統(tǒng)以及提供接口與外界通信；處在中間層的是數(shù)據聚合節(jié)點，它接受來自上層的命令后對下層進行控制，分析來自下層的數(shù)據流并進行縮減后遞交到上層；而底層的葉節(jié)點負責數(shù)據搜集功能，它既可以是網絡中的某臺主機，也可以是網絡中的某個數(shù)據采集器。

　　這種系統(tǒng)架構的優(yōu)點是顯而易見的：它能很好的處理基于濫用和基于異常的入侵檢測模型，從而保護網絡的安全；并且能適應網絡通信大小的需要，很方便地隨時進行擴充和縮減從而達到它所監(jiān)控的網絡環(huán)境的最優(yōu)化。

　　但是正因為它的分層結構也導致了它自身的不安全性。表現(xiàn)在兩個方面：

　　（1）在這種系統(tǒng)中，網絡中有大量的數(shù)據傳送將造成網絡擁塞。

　�。�2）由于分層結構使得IDS極易受到攻擊。攻擊者通過攻擊內部節(jié)點有可能切斷某一控制分支，甚至破壞整個IDS。

圖1 層次架構的分布式入侵檢測系統(tǒng)模型

　　2、基于移動Agent的分布式入侵檢測系統(tǒng) 2.1 移動Agent技術

　　移動Agent是一種軟件對象，它能攜帶執(zhí)行代碼、數(shù)據和運行狀態(tài)，在復雜的網絡中自治的、有目的遷移，并能響應外部事件，在遷移過程中能保持狀態(tài)的一致性。移動Agent就是一個能在異構網絡中自主地從一臺主機遷移到另一臺主機，并可與其它Agent或資源交互的程序。

　　移動Agent技術是分布式技術和Agent技術相結合的產物，它除了具有智能Agent 的最基本特性：自主能力、社交能力、適應能力和一致主動性，還具有移動能力、可靠性和安全性。移動Agent不同于基于過程的RPC，也不同于面向對象的對象引用，其獨特的對象傳遞思想和卓越的特性給分布式計算乃至開發(fā)系統(tǒng)帶來了巨大的革新。移動Agent技術在實際中得到了廣泛的應用，主要應用于電子商務、分布式信息檢索、無線通信服務、入侵檢測和網絡管理等方面。本文僅討論移動Agent技術在網絡入侵檢測方面的應用。

　　2.2 基于移動Agent的分布式入侵檢測系統(tǒng)

　　該系統(tǒng)模型由如下3部分組成：（1）入侵檢測處理部件（Intrusion Detection Processor，IDP）；(2) 移動Agent 平臺（ Mobile Agent Platform，MAP）；(3) 網絡溴探器（Sniffer）。系統(tǒng)模型如圖2所示：

圖2 移動Agent入侵檢測系統(tǒng)結構圖

　　入侵檢測處理部件（Intrusion Detection Processor，IDP）：該部件是系統(tǒng)的基礎，它被安裝在一個關鍵的節(jié)點上，主要負責網絡監(jiān)控、中心入侵檢測、Agent數(shù)據處理。網絡中的審計數(shù)據由移動Agent送往中央處理部件進行包的解碼和處理工作，IDP負責監(jiān)控此Agent在網絡中的移動，并且當發(fā)現(xiàn)異�；顒訒r引導Agent定位關鍵節(jié)點，當檢測到有問題包時，還負責發(fā)出報警信號。為了保證與移動Agent合適的交互作用，IDP需要與移動Agent平臺交換數(shù)據和信息。該部件有3個主要的功能：包檢測（packet sensing），包記載（packet logging），入侵檢測。IDP提供的入侵檢測服務主要有以下幾種：

　　a. 監(jiān)控網絡流；

　　b. 集成由單個移動Agent發(fā)送來的相關數(shù)據，實現(xiàn)多點檢測，處理來自網絡內部的分布式攻擊；

　　c. 通過掃描包來監(jiān)控網絡內部的連接；

　　d. 搜集在某時間窗口內攻擊者行為的證據；

　　移動Agent 平臺（ Mobile Agent Platform，MAP）：MAP可以建立、解釋、執(zhí)行、傳輸、和終止Agents。MAP主要負責接受來自IDP的請求，產生移動Agent，并且將它們發(fā)送到網絡中去執(zhí)行特定的任務（例如，開始監(jiān)控，向IDP回送搜集到的數(shù)據等等）。

　　網絡溴探器（Sniffer）：嗅探器是網絡黑客(Cracker)經常采用的、有效的工具之一。所謂嗅探器，是指在運行以太網協(xié)議、TCP／1P協(xié)議、IPX協(xié)議或者其他協(xié)議的網絡上，可以攫取網絡信息流的軟件或硬件。嗅探器不同于一般的鍵捕獲工具，后者只能捕獲當?shù)亟K端控制臺上的按鍵內容，而嗅探器所“嗅”到的是動態(tài)的以信息包形式(如IP數(shù)據包或者以太網包)封裝的信息流．其中可能攜帶了重要數(shù)據或敏感信息。嗅探器可以捕獲這些信息包并存檔，利用相應工具可以作進一步分析。

　　 IDP、MAP、Sniffer之間的關系： 系統(tǒng)初啟時，IDP啟動自己的Sniffer并且向MAP發(fā)送一個‘START’請求。MAP接到來自IDP的請求后，建立Agent并將它們發(fā)往網絡。此時，若一個Agent在行程中向IDP發(fā)送一個報告，引起一個報警，IDP將向該Agent發(fā)送一個消息使它再次激活Sniffer，并且試圖搜集較多的有關當前攻擊的證據用于研究攻擊行為。 IDP將提示MAP建立一個新的Agent用于接管前Agent的任務，這樣一來，網絡中將有較多的活動Sniffers，以較快的速度響應報警。

　　系統(tǒng)中的Agent組成及功能：

　　在系統(tǒng)中，依據功能的不同我們將Agent分為以下兩大類六種Agent^[3][4]：

　　1）靜態(tài)Agent

　　? 管理Agent (Manager Agent) 它的主要任務是根據需要分別動態(tài)地將配置Agent、巡邏Agent、派遣Agent及防御Agent以移動Agent的形式發(fā)送到服務器、工作站、網關、用戶PC機以及座落在網絡邊界對網絡鏈路流量進行過濾的偵聽計算機上以便對整個網絡的入侵進行檢測、告警和防御。

　　?主機監(jiān)控Agent（Host Monitor Agent，HMA） 網絡中每一臺受監(jiān)控的主機上都安裝有一個HMA，負責與其它Agent合作完成局部檢測。當某受控主機上的入侵可以確定時，該主機上的HMA 直接向管理Agent報告，否則向管理Agent發(fā)送求助信息同時記下可疑活動。當管理Agent收到求助請求后，它將派遣一個Agent到網絡上其它節(jié)點巡視，搜集相關信息，確定是否不同主機上的可疑活動組合起來構成一個分布式入侵。如果檢測到一個分布式入侵，管理Agent將發(fā)送一個響應Agent做出智能響應。

　　? 配置Agent（Configuration Agent） 每當主機上的一個用戶請求連接時，該主機上的配置Agent即開始執(zhí)行。它的功能就是提供用戶接口以及其它移動Agent在本主機上執(zhí)行的一些配置。

　　2）移動Agent（Mobile Agent）

　　?巡邏Agent（Patrol Agent） 它在網絡中所有主機上巡邏，在巡邏到的主機上搜集連接到該主機上的用戶信息或流量數(shù)據，并檢測可疑的用戶行為。當發(fā)現(xiàn)可疑行為時，它就向管理Agent發(fā)送求助信息。

　　?派遣Agent（Dispatch Agent） 一組含有能夠鑒別某種類型入侵的智能Agent，它們由管理Agent派遣到有可疑行為的主機上，通過對比、協(xié)商來共同確定可疑行為是否為入侵，并將結果報告給管理Agent。

　　?響應Agent（Response Agent） 當出現(xiàn)入侵時，由管理Agent將其發(fā)送到被入侵主機上以取消非法用戶連接和阻塞非法用戶帳號的形式來防御入侵。

　　3、分布式入侵檢測系統(tǒng)中使用移動Agent技術所存在的問題
　　將移動Agent技術應用于入侵檢測可以帶來諸多的優(yōu)點[4][5]：減少網絡負載、克服網絡擁塞、自治執(zhí)行、與平臺無關、動態(tài)自適應、靜態(tài)自適應、可擴展等等。但是Agent和Agent平臺的引入也帶來了許多問題：

　　?安全性 一方面，外來的惡意移動Agent試圖獲取信息的訪問權，延緩或終止移動Agent運行環(huán)境的工作，篡改或銷毀信息資源；另一方面，惡意移動Agent環(huán)境試圖通過篡改信息或修改移動Agent的編碼來擾亂、干涉或終止移動Agent的正常工作；惡意移動Agent試圖在與其它移動Agent協(xié)商中提供假信息或監(jiān)視和干涉其他移動Agent的正�；顒�。

　　 這些安全威脅在很大程度上都不同于一般的分布式系統(tǒng)和傳統(tǒng)的入侵檢測系統(tǒng)所面臨的安全威脅，因為它們很難被準確定位（上述第二種情況除外），要預防和消除此類安全威脅存在不少困難，主要原因有兩個：移動Agent有時需要在安全區(qū)域外移動和獨立工作，但在一個未知運行環(huán)境中運行很難保證此移動Agent的安全。其次，當移動Agent從一個運行環(huán)境中移動到另一個運行環(huán)境中執(zhí)行時，接受運行環(huán)境無法判斷此移動Agent是否已經被篡改，而移動Agent也無法判斷此運行環(huán)境是否存在惡意的攻擊。

　　?代碼大小 入侵檢測系統(tǒng)是一個復雜的軟件系統(tǒng)，實現(xiàn)其功能的Agent代碼會很大，在網絡中傳輸Agent會消耗系統(tǒng)時間。

　　?性能 為保證在不同平臺之間容易移植，Agent常常使用腳本語言或解釋性語言編寫代碼。這種執(zhí)行模式相比較使用非腳本語言和解釋性語言（如java語言和C++語言）性能較低。特別地，當一個入侵檢測系統(tǒng)必須處理大量具有較強實時要求的數(shù)據時，使用移動Agent會降低系統(tǒng)性能。

　　4、入侵檢測未來發(fā)展趨勢

　　 移動Agent技術可以有效地提高分布式入侵檢測系統(tǒng)的靈活性和合作檢測能力。它的主要特點是：代替?zhèn)鹘y(tǒng)的系統(tǒng)中將大量的數(shù)據移向處理部件，使用移動Agent只需將代碼（Agent）移向要處理的數(shù)據，從而避免了在網絡中傳輸大量的數(shù)據造成網絡擁塞。特別地，由于移動性，使得系統(tǒng)可以借助相關數(shù)據分析合作檢測找到分布式入侵。

　　 隨著網絡的不斷發(fā)展，入侵檢測系統(tǒng)作為一種網絡安全系統(tǒng)的重要組成部分，仍然將發(fā)揮越來越重要的作用。預測它的發(fā)展趨勢如下：

　　 （1）檢測模型走向自適應。自適應模型結合了自學習系統(tǒng)的優(yōu)點和特征系統(tǒng)的檢測效率，這種混合模型已經被學術界公認為發(fā)展特點；

　　 （2）大規(guī)模分布式入侵檢測技術研究。其中的關鍵技術為檢測信息的協(xié)同處理與入侵攻擊的全局信息提��；

　　 （3）面向應用的入侵檢測。由于應用程序解釋的各種不同類型的數(shù)據（如加密過的數(shù)據），它們的語義只有在應用層才能理解，若想能夠分析并理解這些數(shù)據，入侵檢測系統(tǒng)必須面向應用層。現(xiàn)在已經有了如何進行應用程序級入侵檢測的初步分析。可以預見，應用層的入侵檢測將成為新一代的入侵檢測系統(tǒng)的特色。這樣，入侵檢測系統(tǒng)就成為一個以主機為中心，以網絡為擴展面，以應用程序為高度的立體式的、全面的復雜系統(tǒng)；

　　 （4）入侵檢測系統(tǒng)應該標準化，增強入侵檢測系統(tǒng)的互操作性。目前，入侵檢測系統(tǒng)的研究基本上沒有標準化，入侵檢測系統(tǒng)之間與其它安全產品之間的互操作性很差。多個系統(tǒng)的相互配合有利于應對攻擊規(guī)模的擴大化，也有助于檢測一些新型的入侵攻擊方式；

　　 （5）安全性需要增強。作為安全防護體系中的重要組成部分，入侵檢測系統(tǒng)必須加強本身的安全性。