文档介绍:版权所有,盗版必纠
第9章基于智能体的分布式入侵检测系统
李剑
北京邮电大学信息安全中心
E-mail: ******@bupt.
电话:130-01936882
版权所有,盗版必纠
第9章基于智能体的分布式入侵检测系统
由于网络规模的不断扩大和网络速度的不断提高,集中式的入侵检测系统已经不能适应网络发展的需求。在这种情况下,分布式入侵检测技术越不越受到关注,并成为IDS研究的热点。多智能体系统MAS是目前研究分布式系统的热门领域之一。智能体所具有的自治性、连续执行性、个性化、语言语义表达丰富、学习和适应性等特点使其特别适用于具有多信息和多处理特征的实际应用。基于智能体这些特征,将入侵检测与多智能体结合起来,从而形成基于智能体的分布式入侵检测系统就成为当前IDS研究的热点之一。本章讨论基于智能体的分布式入侵检测系统。
版权所有,盗版必纠
应用背景
现有的入侵检测系统大多数都采用单一体系结构,即所有的工作包括数据的采集、分析都由单一主机上的单一程序来完成,而一些分布式的入侵检测系统只是在数据采集上实现了分布式,数据的分析、入侵的发现还是由单个程序完成的,这样的结构有如下缺点:
1. 可扩展性较差。
由于所有工作都是由单一主机执行,被监控的主机数和网络规模受到限制,入侵检测系统的实时性要求较高,数据过多会造成其过载,从而入侵检测系统因来不及处理过量的数据或丢失网络数据包而失效。
2. 单点失效。
当入侵检测系统自身因受到攻击或其他原因而不能正常工作时,其保护功能就会丧失,会影响到整个系统。
版权所有,盗版必纠
应用背景
3. 系统缺乏灵活性和可配置性。
当系统需要加入新的模块和功能时,整个系统就需要修改和重新安装。
为了有效地解决上述问题,建立一个健壮、灵活和具有良好伸展性的入侵检测系统,这里将多智能体MAS技术引入到入侵检测当中,介绍基于智能体的分布式入侵检测系统。
版权所有,盗版必纠
基于智能体的分布式入侵检测系统结构
分布式入侵检测系统的特征
为了适应当今的网络环境,入侵检测系统必然会想着分布式发展,而且会越来越重视整个体系结构的合理组成和分布组件之间的协调和合作,以及整个系统工作的自动化和智能化。因此,分布式入侵检测系统应该具有如下特征:
1. 分布式部署
只有在整个被保护的网络的关键网段和交换部位和一些关键主机,如 WEB服务器、DNS服务器分别设置IDS,才能进行整个网络范围内的部署,才能发现整个网络中的安全问题,如大规模分布式入侵等。
2. 分布分析
对收集的数据应该就地进行分析、处理,缩减数据量,减少网络流量, 防止上级节点处理海量数据而产生“单一失效点”问题。
版权所有,盗版必纠
分布式入侵检测系统的体系结构
在研究了目前国内外典型的分布式IDS的基础上,根据分布式入侵检测系统所应该具有的特征,这里介绍一种“分散采集、分布分析、动态协调、区域管理”的分布式入侵检测系统(DIDS)的体系结构模型,它在整体上形成一个层次树型拓扑结构,这种树型分层的结构体体现了分布式检测的思想,又有很高的灵活性,使整个系统缩放自如,不会受到网络规模变化的限制。。
版权所有,盗版必纠
分布式入侵检测系统的体系结构
在这个树型体系结构中,每个节点为特定网络与一个入侵检测系统所构成的完整体系,每个节点都拥有完整的网络架构和完善的入侵检测系统,所有节点的入侵检测系统均能够协同工作。
子节点主要收集所辖区域内各种数据,包括系统日志、网络数据包等,通过对这些数据进行分析产生报警,对本地确定已经发生的攻击做出响应,并将无法处理的数据和告警送往上层节点进行进一步的分析和关联,由上层的分级控制中心的节点判断更大范围内的入侵行为。分级控制中心的节点接收子节点送出的数据和告警,并收集该层次分区内安全部件的告警和数据。对数据进行分析和融合,做出更高层次的判断并将不能确定的告警继续向上传送进行进一步的分析,同时还控制它下层的各级节点,对它管辖区域内各安全部件的联动进行控制和管理。
版权所有,盗版必纠
分布式入侵检测系统的体系结构
安全控制中心作为最高层面的节点,使整个网络的安全中心,它连接下层分级控制中心的节点,实现逐级控制,对下层的节点进行管理和控制,同时接收子节点传送来的数据和报警,接收和显示全局安全态势。安全控制中心还具有全局预警的功能。当某一子节点报告有严重报警后,安全控制中心根据情况,可将此报警信息下发到它认为可能受到此类攻击的其它下层节点,以使得这些节点提早防范。
版权所有,盗版必纠
分布式入侵检测系统的体系结构
树型结构中各节点都是一个独立的入侵检测系统。当然,根据它们