基于中间Agent动态逻辑环的IDS模型

2007年6月

June 2007

计 算 机 工 程Computer Engineering 第33卷 第11期

Vol.33 No.11 ·安全技术·

文章编号：1000—3428(2007)11—0160—03

文献标识码：A

中图分类号：TP393.08

基于中间Agent 动态逻辑环的IDS 模型

边瑞昭，马自堂，王惠芳

(解放军信息工程大学电子技术学院，郑州 450004)

摘 要：分析了传统入侵检测系统的局限性，提出了一个入侵检测系统模型IDS-DLRMA ，讨论了模型中动态逻辑环的工作原理。该模型能够把大量的网络信息分布处理，中间Agents 依据逻辑环对系统进行动态管理，有效地解决了传统入侵检测系统中存在的单点失效、缺乏恢复机制、负载平衡等问题。

关键词：入侵检测系统；Agent ；逻辑环；动态管理

Model of Intrusion Detection System Based on

Dynamic Logic-ring of Middle-agent

BIAN Ruizhao, MA Zitang, WANG Huifang

(Institute of Electronic Technology, PLA University of Information Engineering, Zhengzhou 450004)

【Abstract 】This paper analyzes the limitation of traditional intrusion detection system and proposes a model of intrusion detection system ——IDS-DLRMA. The fundament of the dynamic logic-ring is discussed. The model can process a mass of net information in distribution,and middle-agents manage all the groupware dynamically through the logic-ring, settling the problems such as one point failure, lack of recovery mechanism and load balance.

【Key words 】Intrusion detection system (IDS); Agent; Logic-ring; Dynamic management

入侵检测是网络安全防护的重要手段。入侵检测系统(Intrusion Detection System ，IDS)的结构是否具有伸缩适应大规模网络环境的安全监控和响应能力，是满足网络抗攻击性的关键问题。分布式入侵检测系统(Distributed Intrusion Detection System ，DIDS) 是大规模网络环境下IDS 发展的主要趋势。当前IDS 的性能普遍不稳定。移动Agent 能够显著改善传统IDS 的构造、部署和操作。利用移动Agent 技术构造新的IDS 体系结构模型、改进现有IDS 体系结构，进而改善其性能，是将移动Agent 应用于IDS 的主要研究方向。本文把中间Agent 与移动Agent 技术应用于IDS ，中间Agent 自动形成逻辑环，并依据逻辑环对系统内各移动Agent 进行动态管理，有效提高了IDS 的性能。

1 当前IDS 体系结构的局限性分析

IDS 可按系统结构分为集中式和分布式2种。

集中式IDS 采取单个主机对整个网络中的数据流量进行分析，其局限性：(1)网络负担重。单一主机的IDS 对异构系统及大规模网络的检测明显不足，大规模分布式攻击将导致中央控制台因超负荷而失去处理能力；(2)实时性差。网络传输时延使中央控制台处理的网络数据不能实时反映当前网络状态；(3)单点失效。目前大部分IDS 都采用严格的树状层次体系结构，遭攻击后失去层次关联会使中央控制台失效。

分布式入侵检测系统采用管理器/探测器的结构，扩展、容错和适应能力强、兼容性好。但由中央管理器负责的各个探测器的调度、综合数据存储及分析和预警响应，会造成很大的网络通信量。可见，DIDS 虽然实现了数据收集分布化，却没有完全克服网络负担重和实时性差的缺陷。

集中式和分布式结构都很少运用移动性、动态恢复和冗余等恢复机制，抗毁性不强。而且，不同的IDS 之间不能协调工作，系统自身不能依据环境变化动态更新，可塑性较差。

2 Agent

Agent 指模拟人类行为和关系、具有一定智能并能够自主运行和提供相应服务的程序。移动Agent 能在异构网络中自主地从一台主机迁移到另一台主机，并可与其他Agent 或资源进行交互，避免大量数据的网络传送，是Agent 与分布计算有机结合的一种新的网络通信技术。其移动性、自治性、智能性、合作性等属性是传统分布式技术所不具备的，非常适用于IDS 。在基于Agent 的系统中运用中间Agent （Middle Agent ，MA ）可以增强系统的灵活性、机动性和适应性[2]。

3 基于中间Agent 动态逻辑环的IDS 模型

文献[2]中的MA 环形组织结构中，多个MAs 相互动态支持并依据逻辑环进行动态自我管理。本文对该结构进行了改进，设计了一个基于MA 动态逻辑环的入侵检测系统模型(Model of Intrusion Detection System Based on Dynamic Logic-ring of Middle-agent ，IDS-DLRMA)。

3.1 配置于单主机的IDS 模型

图1是配置于单主机上的IDS 模型框架，以公共入侵检测框架 (CIDF)为基础，包括事件产生模块、事件分析模块、事件数据库和响应单元，并增加了巡查和管理模块。下面说明各模块的功能：

(1)数据收集Agent （Data Collection Agent ，DCA ）

：收集作者简介：边瑞昭(1980－)，男，硕士生，主研方向：信息安全； 马自堂，教授；王惠芳，副研究员、博士

收稿日期：2006-08-10 E-mail ：bianrz@https://www.wendangku.net/doc/b12700574.html,

来源于主机和网络的数据并将其分类。

(2)分析Agent（Analysis Agent，AA）：包括若干具备不同分析功能的子分析Agent(Sub-analysis Agent，SAA)，如：基于统计模型的SAA、针对某网络协议攻击的SAA或者蠕虫SAA等。

(3)规则库Agent（Rule-base Agent，RA）：分为基于网络的子规则库Agent（Net-based Rule-base Agent，NRA）和基于主机的子规则库Agent（Host-based Rule-base Agent，HRA），存放公认的入侵行为规则或模型，并将AA通过异常检测方法所检测到的入侵行为以规则或模型的形式存入相应子规则库。

(4)巡查Agent（Patrol Agent，PA）：在网络内自由移动，报告其它主机状态，并把明显的入侵行为报告给决策Agent；有与其它安全机制(如防火墙)的接口，可以把其它安全设施发现的入侵行为报告给RA。

(5)决策Agent（Decision Agent，DA）：静态驻留于网络内每台主机，对入侵行为采取响应措施。

(6)中间Agent（Middle Agent，MA）：形成系统或临时逻辑环，是检测数据和分析模块动态连接的桥梁。

(7)管理Agent（Management Agent，MMA）：静态驻留于网络内每台主机；管理本地主机内Agent的产生、复制、

图1 单主机入侵检测系统

3.2 IDS-DLRMA系统的工作机制

系统配置完成后，每台主机上的Agent数量和种类并不完全相同，若干台主机共享同一个NRA、SAA和PA。这有效地减轻了IDS的体积，避免造成资源浪费。

网络内各主机上的MA通过基于令牌的协调机制进行工作，包括4个法则：逻辑环建立法则(CONNECTION)，选择法则(ELECTION)，服务匹配法则(MATCH)和临时逻辑环解散法则(DISMISS)。另外还有移动、复制及销毁等命令消息。

3.2.1 系统逻辑环的建立

各MA根据网段内主机的状态信息（如IP地址）自动生成一个唯一身份号码（Unique Identify Number，UIN：0~255）。为高效地建立和管理逻辑环，把UIN最小的MA当作协调者（coordinator）(图2)。coordinator有以下功能：(1)生成各种管理消息；(2)接收SAA的注册信息并生成MATCH消息；(3)接收DCA和RA的广播信息并将其与相应SAA进行匹配。

网络内系统配置完成后，coordinator发出CONNECTION 消息，依据MA的UIN大小顺序，遍历所有主机内的MA。MA只能向其相邻的MA传送信息，2个方向可同时进行。这里用Mu表示UIN等于u(u=1,2,…,255)的MA，用“+”表示MA之间相连，逻辑环的形式为

M1+…+Mi+…+Mj+…+Mk+…+Mmax+M1

其中，1

某一时刻逻辑环为M1+…+Mi+…Mk+…+M1，那么当CONNECTION消息遇到Mj时，即把Mj插入在Mi与Mk之间；若在以后的遍历中，发现Mj不在线，则在逻辑环中删除Mj的连接关系。这种机

图2 MA动态逻辑环

3.2.2 coordinator选择机制

当coordinator不工作时，系统会生成一个ELECTION消息，遍历整个逻辑环，遍历方法与CONNECTION相同。每个MA都把自己的UIN和所在主机状态信息附加到ELECTION消息中，遍历完成后，它就包含了所有MA的UIN和状态信息，接着判断哪台主机上的MA的UIN最小，选为coordinator，并通知所有MA。

3.2.3 MATCH消息的生成

SAA通过本地MA定时向coordinator发出注册信息。假设系统中存在m种SAA（SAA1~SAAm，每种有若干个），coordinator根据发出请求信息的SAA1~SAAm，生成若干条MATCH消息，每一条包括SAA1~SAAm（各一个）的位置信息。

3.2.4 临时逻辑环的建立

DCA通过本地MA向coordinator发出注册信息，coordinator根据向其注册的每m个MA的位置信息，生成若干条CONNECTION消息，每条CONNECTION消息把相应的m个MA连接成一个临时逻辑环（Temporary logic-ring，TLR）（图2），TLR的建立与整个系统内逻辑环建立原理相同。默认UIN最小的MA为临时coordinator（T-coordinator），其选择机制与coordinator相同。

3.2.5 数据分析过程

coordinator把一条MATCH消息发送至环内的一个T-coordinator，并遍历其所在TLR。MATCH消息每到达一个MA就判断是否存在一个SAA与该MA所在主机中的SAA 匹配，若匹配，SAA可直接请求分析该主机上的DCA数据；若不匹配，就根据MATCH消息中SAA的位置信息，寻找并通知距离该主机最近的SAA，SAA收到MATCH的通知后，便请求该主机的MA移动至其主机上并分析该主机的DCA 数据。这样MATCH消息遍历完成整个TLR时，就为TLR 内所有主机上的DCA匹配了一个SAA。

当一个SAA分析完DCA数据后，即把结果报告给DA 并向其下一个MA提出移动请求。分析完TLR内m个DCA 数据的SAA停留在本主机上，并通过本地MA向T-coordinator报告完成，并向coordinator发出请求信息，等

待下一次调用命令。当所有SAA都分析完m个DCA数据，T-coordinator会发出一条DISMISS消息遍历整个TLR，通知所有SAA该逻辑环解散。

一个MA可同时属于若干个TLR，一个SAA也可同时为若干个TLR提供服务。当SAAn分析完环内某个DCA的数据并等待下一个MA调用时，也会向coordinator发出请求信息，coordinator根据它和其它的SAA（SAA1~SAAn-1，SAAn-2~SAAm）注册信息，生成MATCH消息，此时若收到另一个TLR的调用命令，它会复制自身将复本移动至另一个TLR而不是直接移动。复制的SAA在另一个TLR数据分析工作完成后自动销毁，因此系统逻辑环内SAA的数量因复本SAA的多少而改变，但总量趋于原始状态。

3.2.6 RA的管理及调用

NRA和HRA分别向所在主机MA发出注册信息，等待调用。Coordinator定时发出NRA_CONNECTION和HRA_CONNECTION消息，分别遍历所有存在RA的主机，将刚更新的规则传递给其它的NRA和HRA，使每隔一段时间，所有NRA和HRA完全相同。实际上，NRA_CONNECTION和HRA_CONNECTION把NRA和HRA 组成了2个逻辑环，其工作原理与系统逻辑环相同。

SAA分析DCA数据时，根据数据的内容决定是否需要采用滥用检测的方法即调用规则库，每台主机上都有HRA，但NRA由若干台主机共享，并不存在于每台主机。如果本主机上没有NRA，MA即向coordinator申请调用NRA，coordinator根据向其注册的NRA信息，把距该主机最近的NRA的位置信息与移动命令一起发送给提出调用申请的SAA，SAA携带需调用NRA的DCA数据，移动至NRA所在主机，并对数据进行分析，分析完后再移回原主机。

3.2.7 系统恢复机制

主中间Agent（Host-middle-agent，HMA）和复本中间Agent（Duplicate-middle-agent，DMA）成对出现，HMA比DMA具有较高的优先级，当HMA失效后，DMA能自动代替HMA并生成新的DMA。这种冗余机制增强了系统鲁棒性。

TLR工作中，若发现某主机上某个功能的Agent缺失或失效时，都会发出请求通知邻近主机上的MMA，由MMA 发出命令给本机上相同功能的Agent，复制自身并移动至请求的主机节点。3.3 有效解决的问题

IDS-DLRMA模型中不存在像传统IDS结构中那样的中央控制台，数据收集、入侵检测和实时响应实现了分布化，有效地解决了负载平衡和单点失效的问题。

规则库的自学习性，使得系统规则可以动态更新，而不用手工配置。

临时检测逻辑环由系统内的MA根据系统环境自行组织和撤消并对环内各主机自行管理，出现故障后，可以动态地自行恢复，系统抗毁性较强。

4 结论

本文提出了一个基于中间Agent动态逻辑环的入侵检测系统模型（IDS-DLRMA），把多Agent、移动Agent、中间Agent等技术灵活运用于模型中，使得网络内由各主机上的中间Agent动态相连形成一个IDS环形结构，中间Agent可根据网络环境变化动态地自组织成若干临时入侵检测逻辑环。分布式的结构、分布式的计算和可移动的组件使该系统实现了数据收集、分析和处理的分离和动态组合，有效地解决了传统入侵检测系统中存在的单点失效、网络负载、抗毁性差等问题，能够有效地检测异构系统和大规模网络。把移动Agent和中间Agent应用于IDS，旨在增强IDS结构的灵活性、自组织性、自适应性，系统内Agent间的通信及安全性等问题还需要进一步研究。

参考文献

1 唐正军, 李建华. 入侵检测技术[M]. 北京: 清华大学出版社, 2004.

2 Li Chunsheng Zhang Zili, Zhang Hengqi. A Platform for Dynamic Organization of Agents in Agent-based Systems[C]//Proceedings of the IEEE/WIC/ACM International Conference on Intelligent Agent Technology. 2004.

3 Guessoum Z. Adaptive Agents and Multiagent Systems[J]. IEEE Computer Society, 2004, 5(7): 1-4.

4 Kemmerer R A, Vigna G. Intrusion Detection: A Brief History and Overview[J]. IEEE Computer(Special Publication on Security & Privacy), 2002, 35(4): 27-30.

5 Mchugh J, Christie A, Allen J. Defending Yourself: The Role of Intrusion Detection System[J]. IEEE Software, 2000, 17(5): 42-51.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ （上接第156页）

图5 可流SOAP签名验证模型

4 结束语

本文分析了SOAP数字签名流验证的CXML/SSoap_SV 系统设计和实现。研究表明流规范化和优化的验证处理可改进系统性能，并提高了应用系统设计的灵活性，从而使消息级安全应用更为具体和实用。将这一结果直接应用于基于工作流系统的安全并对该系统模型进行修正是今后需要研究和解决的问题。

参考文献

1 W3C. XML-Signature Syntax and Processing[Z]. 2002. http://www. https://www.wendangku.net/doc/b12700574.html,/TR/xmldsig-core.

2 多尼. XML安全基础[M]. 周永斌, 译. 北京: 清华大学出版社, 2003-08.

3 W3C. SOAP Security Extensions: Digital Signature[Z]. 2001. https://www.wendangku.net/doc/b12700574.html,/TR/2001/NOTE-SOAP-dsig-20010206.

4 W3C. Simple Object Access Protocol (SOAP)1.1[Z]. 2000. http:// www. https://www.wendangku.net/doc/b12700574.html,/TR/2000/NOTE-SOAP-20000508.

5 Peng F, Chawathe S S. XPath Queries on Streaming Data[C]// Proceedings of the 2003 ACM SIGMOD International Conference on Management of Data. New York: ACM Press, 2003.

6 W3C. Canonical XML 1.0[Z]. 2001. https://www.wendangku.net/doc/b12700574.html,/TR/2001/ REC-xml-c14n-20010315, 2001.

7 W3C. Extensible Markup Language (XML) 1.0(Third Edition)[Z]. 2004. https://www.wendangku.net/doc/b12700574.html,/TR/2004/REC-xml-20040204.