分布式入侵检测系统中自适应主机代理的研究

刘建晓，李丽娟

湖南大学计算机与通信学院，湖南长沙（410082）

E-mail: liujianxiao321@163.com

摘要：本文在一种移动代理分布式入侵检测系统结构模型的基础上,设计了一种具有一定自适应性的主机代理，分析了该系统及主机代理的工作过程，对其中各模块功能进行了阐述，并给出了初步的实验结果与结论。实验结果表明，具有自适应功能的主机代理负载增加量小，系统能够进行有效的入侵检测。整个系统配置简单，成本不高，检测实时性较好，网络负载量小，并且具有一定扩展性和较好的实用性。

关键词：移动代理；分布式入侵检测系统；实用性

1. 引言

随着网络规模的不断扩大和黑客技术的不断发展，入侵和攻击的案例越来越多，网络与信息安全问题成为人们关注的焦点问题。入侵检测技术是一项比较新的网络安全技术，被认为是继防火墙之后的第二道安全闸门，它在不影响网络性能的情况下对网络进行检测，从而提供了对内部攻击、外部攻击和误操作的适时保护。随着现代分布式攻击的出现，传统的检测系统显得力不从心，分布式入侵检测系统随即产生。

随着社会各界研究的逐步深入，基于Agent即基于代理的网络入侵检测技术近年来成为国际学术界的研究热点，出现了各种基于代理的分布式入侵检测系统。分布式入侵检测系统改善了网络抗攻击的能力，具有检测分布式攻击的特点，但这种系统存在局部故障会影响整体，难以动态配置和跨异构平台工作等缺点。本文设计了一种具有一定自适应性的主机代理来解决上述问题。

2. 代理(Agent)技术

软件代理是指能在特定的环境下无需人工干预和监督而自主完成某项任务的计算实体,同时它可以和其他代理进行交互[1]，代理一般分静态代理和移动代理两种。

静态代理是指代理驻留于某一固定的位置或某个固定的平台。

移动代理是一种特殊的软件代理，是一种能在异构计算机网络中的主机间自主迁移的程序,它在汲取传统分布计算技术的有益经验的基础上，为分布计算提供了一个全新的范型。移动代理定义为:“具有跨平台持续运行、自我控制移动能力,模拟人类行为关系,并能够提供一定人工智能服务的程序”，其突出特征就是代理实体的运行不是固定在一台机器上的,而是可以在多台机器上，并且可以通过网络进行移动。

移动代理具有如下特性:减轻网络负载,克服网络延迟,同步和自治执行,鲁棒性,容错性,系统易变性和可以运行在异构环境中，总之，移动代理技术非常适合解决分布式环境下的入侵检测，从而基于代理的入侵检测技术逐渐引起研究者的重视，成为未来入侵检测的一个重要发展方向。基于代理的入侵检测系统一般可以分为静态代理的IDS和移动代理的IDS，结合各自优缺点经常将静态代理和移动代理结合使用[2]。

3. 系统概述

本文所采用的检测系统模型即基于移动代理的分布式入侵检测系统模型[3]，该模型包括管理控制中心、跟踪代理、响应代理和主机代理四部分，系统模型总体结构如图1所示：

图1 总体结构

系统的工作原理如下：

(1)系统中各主机代理负责收集各种信息，对收集到的信息根据预先存储在本地的

检测模型进行检测分析，能检测到的入侵则进行一定的响应，如切断网络连接，产生报警等操作，遇到可疑的不能做出决定的信息，则向管理控制中心发出援助请求，

(2)管理控制中心收到援助请求时,它将会派遣一个跟踪代理巡回网络到上述发出

请求的一组特定的主机上去收集信息,而这些特定的主机的IP地址在管理控制中心的VHL表中已经存储，跟踪代理返回后,管理控制中心分析收集到的信息,以判断是否这些不同主机上的可疑行为能组合起来为一个分布式入侵等攻击类型。

(3)如果是入侵行为，管理控制中心将派遣相应的响应代理到相关主机代理所在的

主机作智能响应，这样便于检测分布区域广阔的协同攻击等攻击类型。

3.1 管理控制中心

管理控制中心是模型的最高级别实体，它起着控制和协调其他组成部分的作用，它保持所有组成部分的配置信息，当主机代理，跟踪代理、响应代理中任何一部分加入系统时，必须在管理控制中心的组成列表中登记，通过主机代理的请求，管理控制中心负责移动代理的创建，派遣，移动等。它还负责检测系统中所有代理的安全性，接收主机代理的入侵报告和跟踪代理收集的信息，由响应代理进行入侵响应。

鉴于如上所述，管理控制中心由管理模块，通信模块，安全模块，入侵分析模块和响应模块组成，各个关键模块功能如下：

⑴管理模块负责管理系统中的主机代理和移动代理，在它中维护一个VHL，在该VHL中包

含了产生不同攻击类型的主机IP地址的表，当主机代理检测到可疑或者不能处理的信息时，主机代理向管理控制中心反馈信息的同时，其所在主机的IP地址就会存储到VHL中相应的列表中[4]，接着该管理模块创建相应的跟踪代理，去产生同种攻击类型的主机代理上收集信息，再结合其他模块进行入侵处理。此模块还为每个派遣的移动代理保存了一个计时器，以确定此代理是否丢失或破坏。

⑵通信模块负责管理控制中心和系统其他组成部分之间的所有远程交互，包括和主机代理

和移动代理之间的交互。

⑶安全模块负责检测违反移动代理完整性的行为并确保所有代理的可用性，当移动代理返

回管理控制中心后，则分析此移动代理，以确定是否有违反安全的行为发生。

⑷入侵分析模块负责综合分析所收集到的信息，并判断是否为分布式入侵等攻击。

⑸响应模块负责做出响应策略，并通知管理模块，使其派遣响应代理到相关的主机代理上进行入侵处理。

3.2 移动代理

主机代理与管理控制中心属于静态代理，跟踪代理与响应代理属于移动代理。其中跟踪代理与响应代理被管理控制中心派遣，并巡回在特定的主机代理间执行特定的任务，主机代理运行代理平台并执行移动代理中代码。

移动代理由三部分组成：执行代码，巡回路线和资料库[4]。其中资料库负责存储所收集到的信息，每一种代理只包含负责一种特定攻击的代码，所以代理比较小，整个检测系统也容易扩展用来检测新的入侵，或者已存在的代理容易被修改来更好的进行检测，这正是移动代理的优势所在。

跟踪代理负责从管理控制中心VHL表中存储的相应主机上收集信息，以进一步的分析，当跟踪代理返回到管理控制中心后，由管理控制中心分析收集到的信息来判断是否为分布式入侵等。对于响应代理，各种响应措施比如报警，切断网络连接的措施等存储在资料库中。

4. 自适应主机代理结构

在上述系统中，主机代理负责信息的收集和一定的入侵响应，由于要对收集到的信息进行检测分析，这就需要在主机代理中预先配置大量的，全面的且有代表性的各种检测模型(包括正常的和异常的)，导致整个检测系统配置比较困难，成本比较高，且缺少一定的灵活性，而且，由于实际应用环境的千变万化，使用某一个环境中的数据训练出来的检测模型很可能并不适用于另一个环境，因此需要设计新的结构合理，配置简单且成本较低，检测效率更高的分布式入侵检测系统。

为实现上述目的，本文设计了一种具有一定自适应性的主机代理，该代理能根据实时检测环境，动态生成检测模型，不需要在主机代理初始配置时，存储大量的检测模型，这样解决了主机代理配置复杂，成本过高的缺点，同时该主机代理具有一定响应功能。本文所设计的自适应主机代理主要有以下模块组成：数据收集模块，分析模块，数据检测模块，管理控制模块，数据库，通信模块，响应模块，其结构如图2所示。

主机代理的工作过程如下：

⑴数据收集模块负责从被监视主机系统收集数据，将收集到的数据一方面传送给数据检测

模块进行数据检测工作，另一方面传送到分析模块经过数据提炼操作，进行必要的数据压缩和组合工作，在分析模块中进行检测模型的生成或调整。

⑵数据检测模块对数据收集模块收集到的系统运行数据进行分析，检测其中是否包含有攻

击行为或系统异常，如果有，则采取相应的响应措施。

⑶数据检测模块遇到不能检测的可疑入侵信息则通知管理控制模块，由管理控制模块向管

理控制中心发出援助请求，由管理控制中心结合移动代理进行处理。

⑷管理控制中心也将上述类型的攻击传送给主机代理的管理控制模块，再保留在本地数据

库中，便于下次检测同种类型的攻击。

图2 自适应主机代理结构

由于系统使用实际运行数据进行模型的生成工作，不能保证系统的运行过程中，数据收集模块收集到的数据都是“干净的”的，因此采用的模型生成算法必须具备处理大量噪声数据的能力，所以这种方法的应用前提是：对主机代理的正常使用的数量应该比入侵发生的次数多得多，也就是说，入侵攻击产生的数据在整个数据集中只占极少数。只要入侵攻击的比率足够小，由于入侵数据的异常性，其产生的数据在正常数据中就会非常突出，从而可以顺利地被检测到，这样提高了系统的检测效率。

为了系统的易适应性和安全性,需要封装移动代理的大部分构成，因此每一个主机必须安装一个移动代理平台以提供执行移动代理的实时环境[5] [6]。

4.1 主机代理中各模块功能

主机代理是整个系统模型的基础架构，负责信息的接受、分析和一定的响应，并且具有一定的自适应性，动态的生成系统检测模型，提供跟踪代理与响应代理的执行环境。其中各关键模块功能如下：

(1)数据收集模块主要负责获取网络、文件、用户三个方面的数据，并转换成预定的格式[7]，

这些都是生成高效的检测模型所必须的，将收集到的数据一方面传送给数据检测模块进行数据检测工作，另一方面传给分析模块，由分析模块进行相应的处理。

(2)分析模块负责进行数据压缩和组合工作，产生冗余度较小的系统运行数据，采用概率分

布算法，从实际运行的数据中提取正常的训练数据，来生成或调整检测模型，以便数据检测模块使用，并将这些模型存储到数据库中。检测模型可以是基于规则的、基于概率统计的、基于神经网络的或基于其它任意形式的。

(3)数据检测模块对数据收集模块收集到的系统运行数据进行分析，检测其中是否攻击行为

或系统异常数据。检测模块所采用的检测模型由分析模块根据收集到的系统运行数据生成的，运行参数也由分析模块指定。检测模块还具有即时地改变检测模型结构的能力，无论这种模型是属于误用检测还是异常检测[8]。

(4)管理控制模块具有人机交互界面，负责界面的显示，管理员通过此界面可以对系统进行

管理配置，还负责向管理控制中心发送请求，接受管理控制中心的命令等。

(5)数据库模块存储系统运行数据及一些入侵检测的模型，并向外提供一些接口，根据的递

交的查询条件生成对应的数据子集。其中存储的检测模型并不局限于特定的类型，可以是基于攻击特征的误用检测，也可以是基于概率统计的异常检测等。

(6)通信模块负责主机代理和控制中心，主机代理与移动代理之间所有的远程交互通信。

(7)响应模块是在分析模块对数据做出分析并判定有入侵可能之后,根据相应规则进行入侵

提示、断开网络连接、跟踪诱捕等一系列的操作。

5. 性能评价

本文设计的上述自适应主机代理，可以使主机代理配置简单，降低检测系统成本，但由于主机代理具有了自适应更新检测模型的功能，势必会增加主机的负担，消耗一定的系统资源，而系统资源的使用是评价一个入侵检测工具的重要标准，并且此系统的实用性也有待于检测证明。

为说明上述问题，本文开发一个系统原型来评价此检测系统的工作情况。为获得网络数据包进行检测,考虑到采集网络包的完整性和效率,利用了snort系统。snort是跨平台、轻量级的网络入侵检测软件,也是基于libpcap的网络数据包嗅探器和日志记录工具。本文利用的是snort的数据包嗅探器机制。另外，由于Aglet是目前最为全面与成功的移动代理平台，本系统就采用Aglet作为移动代理平台。同时，本系统中的移动代理与主机代理采用现在主流的平台无关语言Java编写，这样的程序可以跨平台运行。

首先，对该系统的丢包率进行了测试，我们在100M网络环境下进行测试，系统平均丢包率为2.356%，如表1所示：

表1 丢包率显示

包数目统计

Received 170572

Analyzed 166553 (97.6%)

Dropped 4819 (2.356%)

Outstanding 0 (0.000%)

其中，Received代表收到的所有包的数目；Analyzed代表经过分析的包的数目；Dropped 代表丢失的包的数目；Outstanding代表异常包的数目。

其次，对该系统进行了功能测试，功能测试主要是对检测系统识别的入侵攻击能力进行测试，通过对扫描攻击的检测对系统进行测试，使用装有Windows XP系统的机器作为目标机器，其IP为210.43.107.178，攻击主机安装Windows XP的IP为210.43.107.182，使用X-scan 3.3的扫描器对目标主机进行扫描攻击，目标主机检测结果如表2所示：

表2 检测到的扫描攻击显示

ID Timestamp Source Address Dest Address Proto

#0(1-40) 2008-05-06 20:05:55210.43.107.182:178858.61.166.142:80 TCP #1(1-39) 2008-05-06 20:00:38210.43.107.182:153458.61.166.142:80 TCP #2(1-23) 2008-05-06 19:46:28210.43.107.182:2425210.43.107.178:10 TCP #3(1-22) 2008-05-06 19:45:51210.43.107.182:2425210.43.107.178:10 TCP #4(1-21) 2008-05-06 20:05:55210.43.107.182:2425210.43.107.178:10 TCP #5(1-10) 2008-05-06 17:37:47210.43.107.182:387760.28.166.87:80 TCP

其中，ID代表检测到攻击的序列号；Timestamp代表检测到攻击的时间；Source Address 代表攻击的源地址；Dest Address代表攻击的目标地址；Proto代表协议类型。

最后，对目标主机的运行负载性能进行了测试，同样利用上述的扫描攻击进行实验，当我们的目标主机没有自适应功能时，目标主机的CPU的使用率为25%，消耗内存大约为437M。在同样的条件下，让目标主机带有自适应功能运行时，目标主机的CPU的使用率为28%，消耗内存约为469M。可见CPU的使用增加3%左右，消耗内存增加7%左右。虽然我们的主机代理在CPU的使用和消耗内存方面有所增加，但是增加是很少的，而这样的主机代理具有了自适应性，在很大程度上检测系统的配置简单，成本降低,这样的代价是值得的。

6. 结论

基于代理的分布式入侵检测系统是目前网络安全领域研究的热点，本文提出了一种基于自适应主机代理的分布式入侵检测系统模型，在主机代理中，采用了入侵检测和自适应技术，以及与移动代理相结合的方式，在很大程度上降低配置成本，提高了检测性能，同时主机代理具有一定的响应功能，系统的响应实时性提高，网络传输量降低。移动代理的优点很多，但实现移动代理并且要得到广泛有效的使用，还存在着一些障碍，如移动代理可移植性和标准化，安全性问题等都直接影响代理系统的实用性，这些都是在以后的研究中需要解决的问题。

http://www.paper.edu.cn

- 7 - 参考文献

[1]王裙,王崇骏,谢俊元,等.基于Agent 的网络入侵检测技术的研究.计算机科学,2006,33(12):65-69.

[2]郑孝遥,陆阳.基于分布式Agent 的入侵检测系统研究.计算机工程与设计,2005,26(5): 1241-1244.

[3]安晶,孙名松.基于移动代理的分布式入侵检测系统模型研究.哈尔滨理工大学学报,2006,11(2):69-72.

[4]SHAO-CHUN ZHONG, QINGFENG SONG, XIAO-CHUN CHENG.A SAFE MOBILE AGENT SYSTEM FOR DISTRIBUTED INTRUSION DETECTION.Proceedings of the Second International Conference on Machine Learning and Cybernetics,IEEE,2003,2009-2014.

[5]DONG BIN, LIU XIU-LING .AN IMPROVED INTRUSION DETECTION SYSTEM BASED ON AGENT.Proceedings of the Sixth International Conference on Machine Learning and Cybernetics, Hong Kong,IEEE,2007,31-3167.

[6]Dalila Boughaci, Habiba drias, Ahmed Bendib(etc).A Distributed Intrusion Detection Framework based on Autonomous and Mobile Agents.Proceedings of the International Conference on Dependability of Computer Systems,IEEE,2006.

[7]张光荣,陆松年.基于移动代理的分布式入侵检测系统的研究.计算机工程与设计,2006,27(18):3328-3331.

[8]连一峰,戴英侠,卢震宇等.基于自适应Agent 的入侵检测系统研究.计算机工程,2002,28(7):44-47.

Research of Adaptive Host Agents in Distributed Intrusion

Detection System

Liu Jianxiao, Li Lijuan

Department of Computer and Communication, Hunan University. Changsha, Hunan （410082)

Abstract

On the foundation of a kind of architecture of DIDS with Mobile Agents technology, this article design a kind of host agent system which has a certain adaptive ability, then analyze work process of the whole system and the host agent, elaborate functions of every module in this system, gives the primary results and conclusions of the experiment. The results shows that the load increase of host agent is smaller, the system can carry on the effective invasion examination. The configuration of the system is simple, and the cost is lower, the real-time of the whole system is better, network load is smaller, and the whole system has a certain scalability and better usability.

Keywords: mobile agents; distributed intrusion detection system; usability

作者简介：

李丽娟，1957年，女，教授，硕士生导师，主要研究方向：网络与信息安全。刘建晓，1984年，男，硕士，主要研究方向：网络与信息安全。