Методы технологии мобильных агентов
В научной и периодической литературе используются термины: агенты, автономные агенты, программные агенты, мобильные агенты, и т. д. под автономным агентом понимается программный агент, который осуществляет определенные функции контроля хоста. Под автономностью агента подразумевается то, что он является независимо используемым объектом (его выполнение контролируется только ОС, а не другими… Читать ещё >
Методы технологии мобильных агентов (реферат, курсовая, диплом, контрольная)
Для получения полной картины о состоянии безопасности в сетях организации некоторые СОВ используют распределенный сбор данных (и определенных функций предварительной обработки) от контролируемых хостов, но функции анализа и применения решения возлагаются при этом на единственный механизм.
Такой подход к организации распределенного обнаружения имеет свои недостатки:
- 1) Анализатор (устройство принятия решения) — единственная точка отказа. Если нарушитель выведет ее из строя и обойдет, то система обнаружения не выполнит своих функций.
- 2) Ограниченная расширяемость, так как обработка данных в единственной точке ограничивает число контролируемых элементов сети организации;
- 3) Сложность с конфигурированием и реконфигурированием СОВ, особенно при добавлении новых функций в СОВ;
- 4) Возможность обмена системы, поскольку она отличается от защищаемой системы.
Поэтому в последние годы разрабатываются варианты распределенного сбора данных. Одной из технологий, которая может быть использована для построения распределенных СОВ, является технология агентов.
В научной и периодической литературе используются термины: агенты, автономные агенты, программные агенты, мобильные агенты, и т. д. под автономным агентом понимается программный агент, который осуществляет определенные функции контроля хоста. Под автономностью агента подразумевается то, что он является независимо используемым объектом (его выполнение контролируется только ОС, а не другими объектами) выполнение контролируется только ОС, а не другими объектами. Агенты получают данные от других объектов системы агентов, кроме того, агенты могут получать определенные команды.
Поскольку агенты являются исполняемыми объектами, они могут быть добавлены или удалены из системы без уведомления других компонент, без необходимости реестра СОВ. Агент может быть частью группы агентов, которые выполняют разные функции, и использовали данные, получаемые другими агентами.
Поэтому использование технологи агентов для сбора и анализа данных имеет следующие достоинства:
- 1) Каждый агент можно запрограммировать на получение данных из сетевого источника (записи аудита, данные опроса системы, перехват сетевых пакетов и др.). Это позволяет совместно использовать параметры, характерные как для хвостовых, так и для сетевых СОВ.
- 2) Возможность независимого старта и остановки работы различных агентов позволяют оперативно в ходе работы СОВ изменять содержимое агентов и их количество.
- 3) Агенты могут быть программными, написанными на различных языках программирования.
Использование автономных агентов для обнаружения вторжений послужило толчком к разработке различных протоколов СОВ, использующих технологию агентов. В качестве примера рассмотрим архитектуру системы AAFID (Autonomius Agent For Intrusion Detection), разработанную в университете Пурду.
Основными компонентами системы является: агенты, анализаторы и мониторы. Пример такой архитектуры для трех хостов приведен выше на рисунке 4.6.
Агент — независимо исполняемый объект, который контролирует определенные аспекты хоста и докладывает об обнаружении аномалиях или «интересном» проведении соответствующему анализатору.
Каждый хост защищаемой системы может содержать произвольное число агентов, контролирующих возникающие на хосте события. Все агенты хоста представляют данные одному анализатору. Агент не может генерировать сигнал тревоги.
Анализатор — внешний интерфейс связи каждого хоста. Он контролирует все операции агентов, но своем хосте и может останавливать их работу, запускать агентов на своем хосте и может останавливать их работу, запускать агентов и выдавать их команды. Кроме того, анализатор выполняет функции редукции объема данных, предоставляемых агентами. Результаты своей работы анализатор выдает монитору. Можно выделить две основные функции анализатора: управление (запуск и остановка исполнения агента на хосте, сохранение записей о деятельности агента, ответа на полученные команды монитору) и обработка (получение генерируемых агентами данных, обработка и анализ полученных данных, предоставление данных монитору).
Монитор — высокоуровневый компонент архитектуры AAFID. Он также выполняет функции управления (в режиме управления мониторы могут получать команды от других мониторов и выдавать команды мониторам и анализаторам) и обработки (монитор обрабатывает данные, полученные от анализаторов, поэтому может обнаружить вторжения, которые не были обнаружены анализаторами).
Кроме того, мониторы имеют возможность взаимодействовать с интерфейсом администратора, предоставляя администратору возможность доступа ко всем элементам системы.
Таким образом, архитектура AAFID позволяет осуществлять сбор данных от множества источников, распределенных по защищаемой системе, и дает возможность комбинировать достоинства характеристик обнаружения хвостовых и сетевых СОВ. Модульность архитектуры позволяет расширить систему, легко ее конфигурировать и модифицировать, что позволяет использовать следующие возможности.
- 1) Обучение агентов с использованием различных методов машинного обучения;
- 2) Эволюцию агентов во времени с использованием генетического программирования;
- 3) Сохранение состояния контролируемых сеансов между сеансами, что позволит обнаруживать атаки, протяженные во времени;
- 4) Мобильность агентов, т. е. возможность их перемещения с хост при комбинировании AAFID с другими агентами архитектурами.
Одним из существенных недостатков рассмотренных распределенных СОВ является их уязвимость к атакам против самой системы обнаружения. Компоненты распределенной СОВ находятся в статическом положении и связаны друг с другом иерархической структурой, что позволяет атакующему вывести СОВ из строя, воздействуя на один из высших уровней иерархии. Одним из вариантов противодействия таким атакам является подход на основе мобильных агентов. При данном подходе недвижимым оставляются только листья ирахического дерева, а внутренние узлы дерева являются мобильными агентами, так как они не имеют непосредственно взаимодействия с источника данных хоста или трафика сети. Поскольку внутренние узла получают данные от других компонентов, обрабатываются их и передают результаты выдерживающим узлам, эта обработка может осуществлять в любом месте сети.
Если узлы перемещаются по сети случайным образом, то это затруднит атакующий выведет из строя хост, то агенты могут переместиться в другое место, которое, «по их меннию», являются безопасными. Если агенты уничтожены, то есть возможность «воскресить» и подсоединить к существующей структуре СОВ.
СОВ могут функционировать как отдельно стоящие, централизованное или интегрированное приложения, которые создают распределенную систему. Последняя имеет частную архитектуру с автономными агентами, которые могут осуществлять предварительные вычисления, реализовать реакции и даже перемещается в сети.