基于多Agent的网络入侵检测模型的应用与研究

维普资讯 http://www.cqvip.com 第加卷第３期　２００７年９月　文章编号：１００９—４３１８（２００７）０３—００１８—０３　连云港职业技术学院学报　Ｊｏｕｒｎａｌ　ｏｆ　Ｌｉａｎｙｕｎｇａｎｇ　Ｔｅｃｈｎｉｃａｌ　Ｃｏｌｌｅｇｅ　Ｖｏ１．２Ｏ　Ｎｏ．３　Ｓｅｐｔ．２００７　基于多Ａｇｅｎｔ的网络入侵检测模型的应用与研究　张家超　（连云港职业技术学院，江苏连云港２２２００６）　摘要：通过分析研究现有的入侵检测系统，提出一种基于多Ａｇｅｎｔ的网络入侵检测模型，给出了该模型系统的体系结构　和详细设计。利用多Ａｇｅｎｔ的特性，提高网络系统的安全性，具有分布性、适应性等特点。　关键词：网络安全；入侵检测系统；多Ａｇｅｎｔ系统　中图分类号：ＴＰ３９３．０８　文献标识码：Ａ　１　引言　网络的混合检测方法。　２　Ａｇｅｎｔ及多Ａｇｅｎｔ系统　入侵检测系统是保护网络系统安全的重要技术手　段［１１１２］。根据入侵行为的数据来源，一般可将入侵检测模型　分为ＨＩＤＳ、ＮＩＤＳ和ＲＩＤＳ　３　Ｊ【　。ＨＩＤＳ（Ｈｏｓｔ—ｂａｓｅｄ　ＩＤＳ）是基于　２．１　Ａｇｅｎｔ概念及特性　ｇｅｎｔ是一个具有较强自治性和智能的软件实体，能够　Ａ在较少或完全没有人为干预的情况下代表主人执行各种各　样的任务。　ｇｅｎｔ具有的特性有：Ａ　主机的入侵检测系统，它对系统审计日志和操作系统进程进　行分析来检测入侵；ＮＩＤＳ（Ｎｅｔｗｏｒｋ—ｂａｓｅｄ　ｆｉｒｓ）是基于网络的　入侵检测系统，它根据被检测网络中的数据内容来检测入　侵；ＲＩＤＳ（Ｒｏｕｔｅｒ—ｂａｓｅｄ　１ＤＳ）是基于路由器的入侵检测系统，　它通过检测通过路由器的数据包来检测入侵。　根据入侵行为的属性，一般将入侵检测模型分为异常检　测模型和误用检测模型　。异常检测（ａｎｏｎｍｌｙ　ｄｅｔｅｃｔｉｏｎ），又　（１）自治性：根据当前网络环境的动态变化，独立地发现　异常现象，对自己的行为和内部状态有一定的控制权，并利　用任务所需的资源和服务，独自解决问题；　（２）通信互操作性：能够通过某种通信语言与其他Ａｇｅｎｔ　进行信息交互；　（３）反应能力：可以感知所处的环境，并通过自己的行为　改变环境；　（４）学习和自适应能力：Ａｇｅｎｔ可以根据过去的经验积累　知识，并且修改其行为以适应新的环境。　２．２多Ａｇｅｎｔ系统　称基于行为的检测（ｂｅｇａｖｉｏｕｒ—ｂａｓｅｄ），它观察到的不是已知　的入侵行为，而是网络的异常现象，通过检测系统的行为或　使用情况的变化来完成。误用检测（ｍｉｓｕｓｅｄ　ｄｅｔｅｃｔｉｏｎ），又称　基于特征的检测（ｓｉｇ￣ｍｔｕｒｅ—ｂａｓｅｄ），它基于已知的系统缺陷　和入侵模式，事先定义某些特征的行为是非法的，然后将观　察对象与之进行比较以做出判别。　无论是异常检测还是误用检测，都是在归纳总结以前观　察到的用户行为（包括正常的和异常的）的基础上识别未来　的用户行为，因此具有　：　所谓的多Ａｇｅｎｔ系统（ＭＡｓ，Ｍｕｌｔｉ—Ａｇｅｎｔ　Ｓｙｓｔｅｍ），就是将　多个已有的Ａｇｅｎｔ通过某种规则组织起来，共同完成那些单　个Ａｇｅｎｔ无法胜任的工作。比如单个ＮＩＤＳ　Ａｇｅｎｔ只能检测、　监控其所在的网络段，而无法监控一个大型的网络，为此，需　要在相关网络段上都配置　３入侵检测系统模型的构建　３．１体系结构设计　（１）检测的准确率低，容易出现误报和漏报，尤其是误报　会占用系统管理员大量的精力，耗费很多的系统资源，有时　甚至会引发一些破坏性的自动响应。　（２）缺乏自适应性，不能有效检测新出现的攻击手段或　ｇｅＡｎｔ，且这多个ＮＩＤＳ　Ａｇｅｎｔ　相互通信、协调，从而达到监控整个网络的目的。　已知攻击手段的变种，需要系统管理者人工调整或修改规　则，耗时长且代价高。考虑到目前网络上出现的越来越多的　新型计算机攻击手段，这无疑是一个亟待解决的问题。　（３）大多采用集中式的检测模式，缺乏自组织能力。待　如图１所示，该模型由四个部分组成：管理　．饥ｔ、监控　ｇｅｎｔＡ、通信　、采集Ａｇｅｎｔ。　３．２主要Ａｇｅｎｔ部件介绍　检测数据容量大，系统负荷重，不能高效地自我运转。　混合检测（ｈｙｂｒｉｄ　ｄｅｔｅｃｔｉｏｎ），综合使用异常与误用两种检　测方法。　我们所提出的基于多Ａｇｅｎｔ的网络入侵检测模型是基于　（１）管理Ａｇｅｎｔ（ＭＡ，Ｍａｎａｇｅｍｅｎｔ　Ａｇｅｎｔ）：处于系统的最高　层，起着全局整合和控制作用。　管理Ａｇｅｎｔ主要由用户界面、全局管理模块、全局安全模　块、入侵分析模块和入侵响应模块组成。全局管理模块主要　收稿日期：２Ｏ０７—０６—２９　维普资讯 http://www.cqvip.com 第２０卷负责所有　第３期　张家超：基于多Ａｇｅｎｔ的网络入侵检测模型的应用与研究　・１９・　ｎｔ和平台的管理；全局安全模块主要确认每个　采集Ａｇｅｎｔ会根据入侵的特征和严重性引发适当的响　应。这些响应包括：提供报告、主动清除、抑制作用等。其中　Ａｇｅｎｔ的可用性和完整性，提供系统安全服务；入侵分析模　块：主要用于判定全局性的入侵行为，它有一张包含整个网　络而非特定检测对象中可疑访问的列表。当通信Ａｇｅｎｔ携带　可疑信息返回后，将收集的信息加入列表，然后依据全局信　息对可疑信息进行判定。　（２）监控Ａｇｅｎｔ（ＳＡ，Ｓｕｐｅｒｖｉｓａｌ　ｎｔ）：监控网络的所有活　动，它可以是一个监视一个特定系统变量或事件的简单程　序，也可以是一个复杂的软件系统。　监控Ａｇｅｎｔ利用自带的知识库中的信息执行本地检测任　务。它是一个相对独立的检测单元，同时也可以不断地从管　理Ａｇｅｎｔ中获取最新的知识用于知识库的更新。　监控Ａｇｅｎｔ主要由通信接口模块、安全控制模块、检测模　块和知识库模块等组成。通信接口模块主要将监控Ａｇｅｎｔ的　内部机制与外界隔离，所有信息交流都要通过通信接口；安　全控制模块对监控Ａｇｅｎｔ的安全提供保护措施，防止外部环　境对监控Ａｇｏｎｔ的非法访问，以保证数据的正确性和合法性，　也可以进行数据的加密与解密、数字签名的任务；检测模块　对己经规范化的数据进行分析，检测其中是否包含该监控　ｇＡｅｎｔ负责检测的攻击行为或系统异常，然后，将入侵信息提　供给入侵报警模块，以做出正确响应；对不能判定的可疑信　息通过通信Ａｇｅｎｔ传递给其他监控的Ａｇｅｎｔ，以便进一步的分　析；知识库由管理Ａｇｅｎｔ进行初始化，主要存放检测时需要的　知识；需要不定时地对其进行更新；各合法监控Ａｇｅｎｔ的知识　库通过通信Ａｇｅｎｔ可以相互共享。　一…一…一—一，．．——————————　控制　数据　图１基于多Ａｇｅｎｔ的网络入侵检测系统模型　（３）通信Ａｇｅｎｔ（ＣＡ，Ｃｏｍｍｕｎｉｃａｔｉｏｎ￣ｇｅｎｔ）：保持与其他　ｇＡｅｎｔ的联络和信息传递。　（４）采集Ａｇｅｎｔ（ＡＡ，Ａｃｔｉｏｎ　Ａｇｅｎｔ）：也称行动Ａｇｅｎｔ，可驻留　在被监控的一个网段上，主要完成各种原始数据的收集和提　炼工作，设计不同的采集Ａｇｅｎｔ可以完成不同数据源的采集　和提炼工作。　可以向终端用户报告网络环境的状态或提出决策报告；主动　清除是在真正入侵时采取果断的措施，防止网络进一步遭到　破坏。例如，在用户层上，可以结束用户任务或消除用户记　录：在系统层上，可以关闭机器或断开连接节点；在进程层　上，可以杀死某一进程；在网络层上，如果包中有可疑传输，　可以除去这段包流。抑制作用在有入侵时可以抑制其它　ｇＡｅｎｔ可能会产生的进一步行动，阻止入侵检测的后序阶段　由于错误判断而产生的任何行动。　３．３通信协议　在本模型中，各Ａｇｅｎｔ部件之间各自独立，又相互协作，　共同完成工作。它们之间的协作是通过某种通信机制来完　成的，即当管理Ａｇｅｎｔ希望从某网段得到新的分析过的数据，　它发送一个包含该网段号的消息给监控　ｎｔ或其它管理　ｇＡｅｎｔ，一旦获得它所需要的回复信息，他们就开始直接通　信＿８ｊ。对通信协议的要求主要有两个：　（１）有效性和可靠性。Ａｇｅｎｔ之间的通信不能明显地增　加系统的负担，降低其传输性能。　（２）安全性。在基于Ａｇｅｎｔ的入侵检测系统中，各个ＩＤＳ　可能分布在一个局域网内，也可能跨越多个局域网，所以各　部件之间的通信协议必须提供某种加密机制来保证ＩＤＳ之　间数据传输的安全性，以防止网络窃听。　在本模型的设计中，通讯层的实现采用代理传输协议　（ＡＴＰ，ＡｇｅｎｔＴｒａｎ．ｆｅｒＰｒｏｔｏｃｏ１）。ＡＴＰ是一个应用程序级的ｈｌ＿　ｔｅｍｅｔ协议，它是按唧的协议模型设计的，用于传输移动　ｇＡｅｎｔ以及为Ａｇｅｎｔ提供远程消息传递。ＡＴＰ消息传递方式　可以实现Ａｇｅｎｔ间通信，它的优点是ＡＴＰ库中己经存在…个　预定义好的库来专门完成消息传递工作，这个库是Ａｇｅｎｔ的　移动性库的一部分，和Ａｇｅｎｔ的移动性库完全兼容。　ＡＴＰ消息传递方式的另一个优点是它具有加密和认证　机制。消息传递的安全性对于ＩＤＳ系统是最为关键的部分，　必须防范入侵者可能通过干扰通信方法使系统瘫痪的行为，　所以两个Ａｇｅｎｔ间传递的任何一条消息都需要加密和认证。　ＡＴＰ消息传递方式提供了这样的加密和认证机制。　３．４　Ａｇｅｎｔ之间的通信语言　ｇＡｅｎｔ之间的通信语言是Ａｇｅｎｔ相互交互、协同工作的基　础。目前，国际上比较流行的Ａｇｅｎｔ通信语言是Ｋ０池　（Ｋｎｏｗｌｅｄｇｅ　Ｑｕｅｒｙ　ａｎｄ　Ｍａｎｉｐｕｌａｔｉｏｎ　Ｌａｎｇｕａｇｅ）和ＫＩＦ（Ｋｎｏｗｌｅｄｇｅ　Ｉｎｔｅｒｃｈａｎｇｅ　Ｆｏｒｍａｔ）　Ｊ。Ｉ＜ＱＭＣ提供Ａｇｅｎｔ消息的语法，以及　ｇＡｅｎｔ执行命令，如“ｔｅｌｌ、ｐｅｒｆｏｒｍ、ｒｅｐｌｙ”等，这些消息类型来自　讲话动作理论；ＫＩＦ提供消息内容的语法，本质上是Ｆｉｒｓｔ—　Ｏｒｄｅｒ谓词运算，是对Ｌｉｓｐ语法的改造。　这两种通信语言与Ａｇｅｎｔ间的通信方式无关。我们在　ＴＣ，Ｐ／ＩＰ网络协议上采用ＫＱＭＣ实现Ａｇｅｎｔ间的通信。　３．５工作流程　工作大致可分为以下步骤：　（１）启动管理Ａｇｅｎｔ进行初始化工作，完成分布在网络中　维普资讯 http://www.cqvip.com ・２Ｏ・　连云港职业技术学院学报　Ｖｏｌｕｍｅ　１２，１９９８：１４７—１５３．　２００７年第３期　各Ａｇｅｎｔ的初始化工作；　（２）采集Ａｇｅｎｔ采集被监控的网络连接信息，进行预处理　后生成格式化数据，并输出到日志文件中；　（３）监控Ａｇｅｎｔ根据采集Ａｇｅｎｔ采集的网络信息进行异常　和误用检测。对可以由本地监控Ａｇｅｎｔ判断的入侵行为，立　［２］Ｄｏｒｏｔｈｙ　Ｅ　２３２．　．Ａｎ　ｎＩｔｒｕｓｉｏｎ—Ｄｅｔｅｃｔｉｏｎ　Ｍｅｄｅｌ［Ｊ］．—ＩＥＥ—Ｅ　Ｅｎｇｉｎｅｅｒｉｎｇ．１９８７，１３（２）：２２２—　Ｔｒａｎｓａｃｔｉｏｎｓ　Ｏｎ　ｓ０　［３］　Ｓｙｅｄ　Ｍａｓｕｍ　Ｅｍｒａｎ，Ｎｏｇ　Ｙｅ．Ａ　Ｓｙｓｎｔｅｍ　Ａｘｅｈｉｔｅｅｔｍｅ　ｆｏｒ　Ｃｏｍｐｕｔｅｒ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ［Ｊ］．Ｉｎｆｏｒｍａｔｉｏｎ，Ｘｎｏｗｌｄｇｅｅ，　Ｓｙｓｔｅｍｓ　Ｍａｒｍｇｅｍｅｎｔ，２００１，（２）：２７１—２９０．　即给出响应。当需要其他监控Ａｇｅｎｔ协同工作时，将采集　Ａｇｅｎｔ收集到的可疑信息，通过通信Ａｇｅｎｔ迁移到管理Ａｇｅｎｔ，　再由管理Ａｇｅｎｔ完成全局性的入侵分析，并将分析结果通过　［４］Ｄｉｐａｎｋａｒ　Ｄａｓｇｕｐｔａ．Ａｎ　Ａｒｔｉｉｆｃｉａｌ　Ｉｌｎｌｎｕｎｅ　Ｓｙｓｔｅｍ　ａｓ　ａ　Ｍｕｌｉｔ　—通信Ａｇｅｎｔ带回并更新本地的规则库；　（４）各Ｘｇｅｎｔ之间的通信使用ＡＴＰ协议。　４结论　ａｇｅｎｔ　Ｄｅｃｉｓｉｏｎ　Ｓｕｐｐｏｒｔ　Ｓｙｓｔｅｍ［Ｃ］．Ｉｎ　ｐｒｏｃｅｅｄｉｎｇｓ　０ｆ　ｔｈｅ　ｎｔＩｅｒｎａｔｉｏｎａｌ　Ｃｏｒｆｆｅｒｅｎｃｅ　ｏｎ　Ｓｙｓｔｅｍｓ。Ｍａｎ，ａｎｄ　Ｃｙｂｅｒ－　哑ｎｅｔｉｃｓ，Ｓａｎ　Ｄｉｅｇｏ，３８１６—３８２０，１９９８．　本文提出的基于多Ａｇｅｎｔ的网络入侵检测技术模型基本　实现了网络入侵检测，多Ｘｇｅｎｔ采用各自的检测单元分别检　测网络上的入侵行为，因而模型是分布的。与其它模型相　比，在健壮性、可扩展性、伸缩性、自适应性、全局性和有效性　【５］ＢａｓｅＴ．ＭｕｔｉｓｅｕｓｏｒＤａｔａ　ＦｕｓｉｏｎｆｏｒＮｅｘｔＧｅｎｅｒａｔｉｎＤｏｉｓｔｒｉｂｕｔ－　ｄ　ｅＩｉｌｔｎ．ｉｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ［Ｃ］．ＩＲＩＳ　Ｎａｔｉｏｎａｌ　Ｓｙｍｐｏｓｉｕｍ　ｏｎ　Ｓｅｎｓｏｒ　ａｎｄ　Ｄａｔａ　Ｆｕｓｉｏｎ，１９９９．　［６］张慧敏，等．一个基于免疫的网络入侵检测模型［Ｊ］．计　算机工程与应用，２０Ｏ２，３８（６）：７４—７６．　等方面也具有明显优势。　当然它还仅仅处于探索的初级阶段。需要在以后的使用　［７］吴炎．入侵者检测［Ｍ］．北京：电子＂ｒ：Ｉｋ出版社，１９９９．　［８］　蒋建春，冯登国．网络入侵检测原理与技术ＥＭ］．北京：　国防工业出版社，２００１．　过程中逐步细化和完善，并与网络管理、网络监控形成三位　一体的防护工具。　参考文献：　［１］Ｍ　Ｔａｍｂｅ．Ｉ唧ｄ倒ｌ　Ａｇｅｎｔ　Ｔｅａｍｓ　ｉｎ　Ｄｙｎａｍｉｃ　Ｍｕｌｔｉ—　作者简介：张家超（１９６６一），男，江苏赣榆人，副教授，主要从　ａｇｅｎｔ　Ｅｎｖｉｒｏｎｍｅｎｔｓ［Ｊ］．Ｉｎ　Ａｐｐｌｉｅｄ　Ａｒｔｉｉｆｃｉａｌ　Ｉｎｔｅｌｌｉｇｅｎｃｅ，　事计算机网络体系结构，网络安全。网络管理等研究。　Ａｐｐｌｉｃａｔｉｏｎ　ｏｆ　Ｎｅｔｗｏｒｋ　Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｍｏｄｅｌｓ　ＺＨＡＮＧ　Ｊｉａ—ｃｈａｏ　（Ｌｉａｎｙｕｎｇａｎｇ　Ｔｅｃｈｎｉｃａｌ　Ｃｏｌｌｅｇｅ，Ｌｉａｎｙｕｎｇａｎｇ　２２２００６，Ｃｈｉｎａ）　Ａｂｓｔｒａｃｔ：Ｂｙ　—ｙｚｉＩｌｇ　ｐｒｅｓｅｎｔ　ｎｅｔｗｏｒｋ　ｉｎｔｒｕｓｉｏｎ　ｄｅｔｅｃｔｉｏｎ　ｓｙｓｔｅｍ，ｔｈｅ　ｐａｐｅｒ　ｐｒｅｓｅｎｔｅｄ　ａ　ｄｅｔｅｃｔｉｏｎ　ｍｏｄｅｌ　ｂａｓｅｄ　ｏｎ　Ｍｕｌｉｔ　Ａｇｅｎｔ　ｗｉｈ　ｄｅｔｔａｉｌｅｄ　ａｒｃｈｉｔｅｃｔｕｒｅ　ａｎｄ　ｄｅｓｉｇｎ．　Ｋｅｙ　ｗｏｒｄｓ：ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ；ｉｎｔｒｕｓｉｏｎ　ｄｅｔｃｔｅｉｏｎ　ｓｙｓｔｅｍ（ｍｓ）；Ｍｕｌｉ—Ａｇｅｎｔｔ　Ｓｙｓｔｅｍ（ｍＡＳ）