电子科技大学计算机入侵检测技术3.ppt

计算机入侵检测技术 —基于移动Agent的入侵检测系统研究 第三章 基于移动Agent的入侵检测系统 一、引言 最初的入侵检测技术是基于主机和网络两种，即HIDS和NIDS，然而它们具有很大的局限性，例如在高速网络和加密通道等网络环境就会捉襟见肘。 在此基础上出现了分布式的IDS，将HIDS和NIDS技术集为一身，让它们发挥各自的长处。但仍然存在一些不足：容易在单一节点上受到控制。例如当中央处理单元崩溃时，整个IDS都会瘫痪；由于中央处理单元的能力有限，当网络规模增大而需要扩展IDS的时候，系统不易扩展；此外，传感器回送数据还会加重网络的负荷。 第三章 基于移动Agent的入侵检测系统 一、引言 此后又出现了分布式分级IDS，整个结构为树状。这种等级式结构提高了系统的扩展性，随着层次的增多，每一层完成的功能相对减少，数据经过不断缩减，到了根结点的数据都已经过了预处理，但这种结构缺乏扩展性和灵活性。 还有一种完全分布式的peer to peer的IDS，是由Agent和Security Officer（SO）组成，每台被监控的设备上都装有Agent和SO，SO可以分析本机Agent上的数据，也可以和其它设备上的SO协商处理分布式攻击，但这种系统过于分布，没有一个最终仲裁部件进行决策，而且目前还没有成熟的原型系统。 由于各种体系结构都存在这样或那样的不足，移动Agent的引入成为了一种必然趋势。 一、引言 1、传统IDS体系结构的不足： (1) 、网络负荷较重。由于叶节点的Agent仅具有数据采集功能，所以必须回传大量的数据给汇聚节点，造成网络负荷加重； (2) 、响应延迟增加。由于采用了等级式的结构，响应命令必须经过对原始信息层层分析和筛选之后才能发布。由于信息量较大，就增加了响应的延迟时间，在这个时间内入侵者可能已经完成了一次完整的攻击； (3) 、Agent的自我保护性。由于采用了静态Agent技术，其自我保护能力较差，容易受到入侵者的攻击，且受损后的恢复能力不够理想，表现为不够及时、灵活； (4) 、无法在大范围内统一配置和维护。 一、引言 2、移动Agent技术可从以下几个方面对传统IDS进行完善： (1)、改善了容易受控于单个节点的缺陷。由于移动Agent的随机迁移和自动藏匿功能，使得攻击者很难确定Agent的位置； (2) 、加快响应速度。由于移动Agent的移动计算能力，大量的数据分析在叶节点就可以完成，无需回送给中央处理部件； (3) 、减少网络负荷。移动Agent尽可能将计算移至数据所在地，而非将数据移至计算所在地，这样就减少了网络的负荷； 一、引言 (4) 、自治和异步执行。移动Agent可以存在且独立于创建平台，满足了上述需要； (5) 、动态适应。移动Agent系统具有对环境的感知能力并能及时响应变化，这对于入侵检测非常重要； (6) 、使得系统更易扩展。无需在新近接入节点的设备上安装信息汇聚模块，只需由命令控制节点将移动Agent发送到被检测设备上即可。 二、移动Agent相关技术 1、定义 定义3.1 Agent是驻留于环境中的实体，它可以解释从环境中获得的、反映环境中所发生事件的数据，并执行对环境产生影响的行为。 定义3.2 软件Agent是能为用户执行特定的任务、具有一定程度的智能，允许自主执行部分任务，并以一种合适的方式与环境相互作用的软件程序。 二、移动Agent相关技术 2、基于移动Agent的分布计算模式 （1）从应用的角度看，真正实现了“网络就是计算机”的思想。不仅应用所需的资源分布在网络中，整个应用逻辑都可以在网络上实现； （2）从系统的角度看，分布式资源的更充分共享成为可能，但管理也更为复杂； （3）从服务的提供和使用角度看，服务是客户可定制的，其使用不再限于既定方式； （4）从通信协作的角度看，通信的主体是自主的Agent，可以实现对等（peer to peer）的通信模式； 二、移动Agent相关技术 3、移动Agent的优点 （1）减轻网络负载：移动Agent技术能较大程度的减少网络上的数据流量。 （2）克服网络隐患：对那些重要的实时系统而言，需要对环境变化做出实时反应，目前的网络控制对那些要求较高的实时系统而言是无法接受的。 （3）封装协议：移动Agent能够直接移动到远程主机，建立起一个基于私有标准的数据传输通道。 （4）移动Agent异步自主运行：任务可以嵌入到移动Agent中，然后将它通过网络派遣出去。 三、MADIDS的体系结构 1、整体结构 MADIDS使用分层体系结构，将部署在整个WAN上的入侵检测系统划分为若干域。每个域由域服务器管理，所有域服务