基于对手思维建模的分布式入侵检测模型

电科论文 相关文章 审编:总编 来源:编辑部

摘要:研究网络入侵和入侵检测系统的现状和发展趋势,将对手思维建模和意图识别技术引入入侵检测系统,提出了一个基于对手思维建模的入侵检测模型(IRAIDS),为解决大规模、分布式、智能化入侵提供了解决方法。
关键词:思维建模;入侵检测;网络入侵
0引言
伴随着网络技术的不断发展,网络安全已经成为一个至关重要的问题,也是计算机领域的研究热点之一。为了达到当场检测出恶意的网络入侵行为并马上采取防范反击措施的目的,实时监测黑客入侵行为并以程序自动产生响应的网络入侵检测系统(Intrusion Detection System, IDS)产生了。入侵检测被认为是防火墙之后的第二道安全闸门,可以在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性[1]。
自从1980年4月James P. Anderson第一次详细阐述了入侵检测的概念以来,入侵检测系统经历了从集中式系统向分布式、智能化系统的发展历程。与此同时,高级入侵活动也变得越来越呈现出分布性和协调性的特点,具体表现在:
(1)一次入侵可能分布在网络中的多个机器上[2]。
(2)一次攻击可能只是一个更大规模入侵的一个部分,它只是使用当前被攻陷的网络作为跳板,最终的目标可能是攻击别的系统或非法得到其他资源[3]。
(3) 多次简单攻击可以组合成为一次更复杂的长时间协同入侵[4]。
这使得传统的基于分布式数据采集和集中分析的分布式入侵检测系统很难检测出大规模的分布式智能协作攻击,并且不能对这些攻击作出实时反应。然而,Agent技术的发展为解决这些问题提供了契机。一些学者提出,由于Agent本身具有协同工作、智能化、自治性和移动性等特点,将其引入入侵检测系统可以弥补传统分布式入侵检测的不足,也为入侵检测技术提供了很多新的思路。文献[5]提出利用免疫学的思想设计出一个基于Agent的入侵检测模型。这个模型是层状结构,能动态学习、检测出已知和未知的入侵、检测出不同层次的入侵。文献[6]提出了一种采取无控制中心的多Agent 结构, 每个检测部件都是独立的检测单元, 尽量降低各检测部件间的相关性。文献[7]提出了一种层次结构的基于自治Agent的入侵检测框架AAFID。其中监视器是系统的单一失效点。尽管如此,入侵者出于自身利益的考虑会对检测Agent有意回避甚至对关键节点Agent主动攻击,而且协作入侵通常会故意采取一些行动以隐藏其意图或掩盖其行动轨迹,如:
(1)能够检测到的入侵行动可能只是一部分,甚至检测到的入侵行动可能是误导的。
(2)入侵者可能采用灵活的计划以同时完成多个目的。
(3)入侵者也许多次重复一些步骤。
这些都极大地增大了入侵检测的难度,仅仅对检测系统自身采用Agent技术的分布式入侵系统很难达到实时检测复杂入侵的目标。在更高的层次上,笔者将入侵者和入侵检测方抽象为是以“局部运作、全局共享”为核心的多Agent系统,对抗双方都是一组自治的Agent通过协调它们的知识完成入侵和入侵检测。在求解的过程中,各Agent之间达成了协作、协调、协商、理性、对抗、交互等各种关系。基于这种抽象以及入侵检测的本质(根据入侵者的行动及时推断出入侵者的意图),本文提出了以对手思维建模和对手意图识别技术为基础的多Agent分布式入侵检测系统模型IRAIDS,为解决大规模、分布式、智能化入侵提供了解决方法。
1IRAIDS模型
1.1对手思维建模
对手思维模型的核心在于意图的识别,因为意图对应于实际的行为规划,这也正是入侵检测的目标。本文提到的意图识别包含两个层次的含义:
(1)单个对手意图的识别
在该模型中使用TA(Tracer Agent)针对单个对手的思维状态建模,目标是通过分析单个对手的行动序列推测其可能的入侵行为。具体请见TA部分。
(2)对手群体意图的识别
单个对手的思维建模只能检测出简单的个体入侵意图,对于大规模的分布式网络入侵就无能为力了。为了解决这个问题,笔者在模型中提出通过检测Agent之间的协作方式,分析群体对手的意图以找出其入侵计划。这些工作主要是通过BA(Basic Agent)内部TA之间的合作以及BA之间的协作完成的。
1.2IRAIDS模型描述
IRAIDS模型由TA、BA、SA(Supervise Agent)和MA(Ma-nage Agent)组成,如图1所示。在一个网络中BA、SA、MA通过相互协作监督组成了一个严密安全的入侵检测系统。 其中TA是BA内根据检测到的对手主机的访问情况对对手思维建模的Agent,主要用来识别单个对手的入侵及其意图。BA是执行某些检测任务的Agent,它可以分布在主机或网络上,将多个可疑对手归结为一个对手群,对对手群体入侵目的进行意图识别。SA是某一逻辑网段的监督Agent,它监督网段内的BA的运行状态并对网段内的流量和访问等信息进行统计。MA是整个系统的管理者,处于整个网络与Internet接口处(通常是网关),对整个系统的流量、网段内的SA的状态进行监督管理。
2模型结构分析
2.1TA的结构
由于网络中需要检测的对方主机的数量可能会很多,实现对手Agent要求所占资源必须足够小,在模型上就需要足够精简。本文对对手建立一个简洁的轻型Agent模型,如图2所示。对手思维模型由三层组成,分别是: (1)交互层。当某个BA判断网络中某台主机的行为超过了可能入侵的阈值时,就根据下面的模型对对手建立一个轻型Agent,以后获取的这个对手的行为就交由该Agent处理,由TA对对手的操作进行匹配、识别其入侵意图。交互层主要与产生它的BA进行交流,由BA将它所“关心”的对手情况传送给它,处理后由交互层反馈给BA。
(2)处理层。利用所归属的BA检测数据库对交互层传来的信息进行入侵规则匹配与意图识别,在单个对手的层次上检测可能的入侵。
(3)存储层用来存放处理层的中间过程和结果。
2.2BA的主要功能和结构
BA是运用对手群意图识别技术,通过相互协商方式进行入侵检测的Agent。每个BA负责一定的检测任务,检测入侵的某个方面。BA由下面几个部分组成:DB(数据库)、通信单元、加/解密单元、数据采集单元、数据预处理单元、分析引擎、状态分析引擎、入侵处理单元、用户接口和对对手思维建模的Agent(TA),如图3所示。
下面按照分类详细介绍各部分的功能:
(1)通信单元。提供BA与逻辑网段内其他BA以及上层SA进行加密通信的

上一页 1 2 3 下一页

〖下载本文〗

审编推荐

| 电科论文 | 相关文章

基于对手思维建模的分布式入侵检测模型”相似文章