分布式入侵檢測(cè)系統(tǒng)課件

版權(quán)所有，盜版必糾第9章基于智能體的分布式入侵檢測(cè)系統(tǒng)李劍北京郵電大學(xué)信息安全中心E-mail:lijian@電話：130－01936882版權(quán)所有，盜版必糾第9章基于智能體的分布式入侵檢測(cè)系統(tǒng)版權(quán)所有，盜版必糾第9章基于智能體的分布式入侵檢測(cè)系統(tǒng)由于網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)速度的不斷提高，集中式的入侵檢測(cè)系統(tǒng)已經(jīng)不能適應(yīng)網(wǎng)絡(luò)發(fā)展的需求。在這種情況下，分布式入侵檢測(cè)技術(shù)越不越受到關(guān)注，并成為IDS研究的熱點(diǎn)。多智能體系統(tǒng)MAS是目前研究分布式系統(tǒng)的熱門領(lǐng)域之一。智能體所具有的自治性、連續(xù)執(zhí)行性、個(gè)性化、語(yǔ)言語(yǔ)義表達(dá)豐富、學(xué)習(xí)和適應(yīng)性等特點(diǎn)使其特別適用于具有多信息和多處理特征的實(shí)際應(yīng)用?；谥悄荏w這些特征，將入侵檢測(cè)與多智能體結(jié)合起來(lái)，從而形成基于智能體的分布式入侵檢測(cè)系統(tǒng)就成為當(dāng)前IDS研究的熱點(diǎn)之一。本章討論基于智能體的分布式入侵檢測(cè)系統(tǒng)。版權(quán)所有，盜版必糾第9章基于智能體的分布式入侵檢測(cè)系統(tǒng)版權(quán)所有，盜版必糾9.1應(yīng)用背景現(xiàn)有的入侵檢測(cè)系統(tǒng)大多數(shù)都采用單一體系結(jié)構(gòu)，即所有的工作包括數(shù)據(jù)的采集、分析都由單一主機(jī)上的單一程序來(lái)完成，而一些分布式的入侵檢測(cè)系統(tǒng)只是在數(shù)據(jù)采集上實(shí)現(xiàn)了分布式，數(shù)據(jù)的分析、入侵的發(fā)現(xiàn)還是由單個(gè)程序完成的，這樣的結(jié)構(gòu)有如下缺點(diǎn)：1.可擴(kuò)展性較差。由于所有工作都是由單一主機(jī)執(zhí)行，被監(jiān)控的主機(jī)數(shù)和網(wǎng)絡(luò)規(guī)模受到限制，入侵檢測(cè)系統(tǒng)的實(shí)時(shí)性要求較高，數(shù)據(jù)過(guò)多會(huì)造成其過(guò)載，從而入侵檢測(cè)系統(tǒng)因來(lái)不及處理過(guò)量的數(shù)據(jù)或丟失網(wǎng)絡(luò)數(shù)據(jù)包而失效。2.單點(diǎn)失效。當(dāng)入侵檢測(cè)系統(tǒng)自身因受到攻擊或其他原因而不能正常工作時(shí)，其保護(hù)功能就會(huì)喪失，會(huì)影響到整個(gè)系統(tǒng)。版權(quán)所有，盜版必糾9.1應(yīng)用背景現(xiàn)有的入侵檢測(cè)系版權(quán)所有，盜版必糾9.1應(yīng)用背景3.系統(tǒng)缺乏靈活性和可配置性。當(dāng)系統(tǒng)需要加入新的模塊和功能時(shí)，整個(gè)系統(tǒng)就需要修改和重新安裝。

為了有效地解決上述問(wèn)題，建立一個(gè)健壯、靈活和具有良好伸展性的入侵檢測(cè)系統(tǒng)，這里將多智能體MAS技術(shù)引入到入侵檢測(cè)當(dāng)中，介紹基于智能體的分布式入侵檢測(cè)系統(tǒng)。版權(quán)所有，盜版必糾9.1應(yīng)用背景3.系統(tǒng)缺乏靈活性和可版權(quán)所有，盜版必糾9.2基于智能體的分布式入侵檢測(cè)系統(tǒng)結(jié)構(gòu)9.2.1分布式入侵檢測(cè)系統(tǒng)的特征為了適應(yīng)當(dāng)今的網(wǎng)絡(luò)環(huán)境，入侵檢測(cè)系統(tǒng)必然會(huì)想著分布式發(fā)展，而且會(huì)越來(lái)越重視整個(gè)體系結(jié)構(gòu)的合理組成和分布組件之間的協(xié)調(diào)和合作，以及整個(gè)系統(tǒng)工作的自動(dòng)化和智能化。因此，分布式入侵檢測(cè)系統(tǒng)應(yīng)該具有如下特征：1.分布式部署只有在整個(gè)被保護(hù)的網(wǎng)絡(luò)的關(guān)鍵網(wǎng)段和交換部位和一些關(guān)鍵主機(jī)，如WEB服務(wù)器、DNS服務(wù)器分別設(shè)置IDS,才能進(jìn)行整個(gè)網(wǎng)絡(luò)范圍內(nèi)的部署，才能發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)中的安全問(wèn)題，如大規(guī)模分布式入侵等。2.分布分析對(duì)收集的數(shù)據(jù)應(yīng)該就地進(jìn)行分析、處理，縮減數(shù)據(jù)量，減少網(wǎng)絡(luò)流量，防止上級(jí)節(jié)點(diǎn)處理海量數(shù)據(jù)而產(chǎn)生“單一失效點(diǎn)”問(wèn)題。版權(quán)所有，盜版必糾9.2基于智能體的分布式入侵檢測(cè)系統(tǒng)結(jié)構(gòu)版權(quán)所有，盜版必糾9.2基于智能體的分布式入侵檢測(cè)系統(tǒng)結(jié)構(gòu)3.安全產(chǎn)品的聯(lián)動(dòng)入侵檢測(cè)技術(shù)強(qiáng)調(diào)實(shí)現(xiàn)以入侵檢測(cè)為中心的安全防御體系。IDS與防火墻、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)等產(chǎn)品可以實(shí)現(xiàn)聯(lián)動(dòng)，使得以前相互獨(dú)立，需要在不同時(shí)間段完成的入侵檢測(cè)和應(yīng)急響應(yīng)兩個(gè)階段有機(jī)的融為一體。4.系統(tǒng)管理平臺(tái)系統(tǒng)管理平臺(tái)實(shí)現(xiàn)各種安全設(shè)備的互聯(lián)互控，對(duì)各種設(shè)備提供的信息進(jìn)行關(guān)聯(lián)性分析，并實(shí)現(xiàn)實(shí)時(shí)性反饋控制。同時(shí)支持分布式部署和分級(jí)管理，除了管理入侵檢測(cè)系統(tǒng)外，還支持多種安全設(shè)備的管理。5.可伸縮性和擴(kuò)展性要求系統(tǒng)可以根據(jù)不同的網(wǎng)絡(luò)環(huán)境規(guī)模進(jìn)行靈活配置，針對(duì)新的攻擊類型的出現(xiàn)能夠不斷擴(kuò)展自身所能檢測(cè)的攻擊種類。版權(quán)所有，盜版必糾9.2基于智能體的分布式入侵檢測(cè)系統(tǒng)結(jié)構(gòu)版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)在研究了目前國(guó)內(nèi)外典型的分布式IDS的基礎(chǔ)上，根據(jù)分布式入侵檢測(cè)系統(tǒng)所應(yīng)該具有的特征，這里介紹一種“分散采集、分布分析、動(dòng)態(tài)協(xié)調(diào)、區(qū)域管理”的分布式入侵檢測(cè)系統(tǒng)（DIDS）的體系結(jié)構(gòu)模型，它在整體上形成一個(gè)層次樹(shù)型拓?fù)浣Y(jié)構(gòu)，這種樹(shù)型分層的結(jié)構(gòu)體體現(xiàn)了分布式檢測(cè)的思想，又有很高的靈活性，使整個(gè)系統(tǒng)縮放自如，不會(huì)受到網(wǎng)絡(luò)規(guī)模變化的限制。樹(shù)型分層的結(jié)構(gòu)體如圖9.1所示。版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)在這個(gè)樹(shù)型體系結(jié)構(gòu)中，每個(gè)節(jié)點(diǎn)為特定網(wǎng)絡(luò)與一個(gè)入侵檢測(cè)系統(tǒng)所構(gòu)成的完整體系，每個(gè)節(jié)點(diǎn)都擁有完整的網(wǎng)絡(luò)架構(gòu)和完善的入侵檢測(cè)系統(tǒng)，所有節(jié)點(diǎn)的入侵檢測(cè)系統(tǒng)均能夠協(xié)同工作。子節(jié)點(diǎn)主要收集所轄區(qū)域內(nèi)各種數(shù)據(jù)，包括系統(tǒng)日志、網(wǎng)絡(luò)數(shù)據(jù)包等，通過(guò)對(duì)這些數(shù)據(jù)進(jìn)行分析產(chǎn)生報(bào)警，對(duì)本地確定已經(jīng)發(fā)生的攻擊做出響應(yīng)，并將無(wú)法處理的數(shù)據(jù)和告警送往上層節(jié)點(diǎn)進(jìn)行進(jìn)一步的分析和關(guān)聯(lián)，由上層的分級(jí)控制中心的節(jié)點(diǎn)判斷更大范圍內(nèi)的入侵行為。分級(jí)控制中心的節(jié)點(diǎn)接收子節(jié)點(diǎn)送出的數(shù)據(jù)和告警，并收集該層次分區(qū)內(nèi)安全部件的告警和數(shù)據(jù)。對(duì)數(shù)據(jù)進(jìn)行分析和融合，做出更高層次的判斷并將不能確定的告警繼續(xù)向上傳送進(jìn)行進(jìn)一步的分析，同時(shí)還控制它下層的各級(jí)節(jié)點(diǎn)，對(duì)它管轄區(qū)域內(nèi)各安全部件的聯(lián)動(dòng)進(jìn)行控制和管理。版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)在版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)安全控制中心作為最高層面的節(jié)點(diǎn)，使整個(gè)網(wǎng)絡(luò)的安全中心，它連接下層分級(jí)控制中心的節(jié)點(diǎn)，實(shí)現(xiàn)逐級(jí)控制，對(duì)下層的節(jié)點(diǎn)進(jìn)行管理和控制，同時(shí)接收子節(jié)點(diǎn)傳送來(lái)的數(shù)據(jù)和報(bào)警，接收和顯示全局安全態(tài)勢(shì)。安全控制中心還具有全局預(yù)警的功能。當(dāng)某一子節(jié)點(diǎn)報(bào)告有嚴(yán)重報(bào)警后，安全控制中心根據(jù)情況，可將此報(bào)警信息下發(fā)到它認(rèn)為可能受到此類攻擊的其它下層節(jié)點(diǎn)，以使得這些節(jié)點(diǎn)提早防范。版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)安版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)樹(shù)型結(jié)構(gòu)中各節(jié)點(diǎn)都是一個(gè)獨(dú)立的入侵檢測(cè)系統(tǒng)。當(dāng)然，根據(jù)它們所處的層次不同，他們的具體功能也不一樣，對(duì)于子節(jié)點(diǎn)來(lái)說(shuō)，主要完成數(shù)據(jù)采集、預(yù)處理和分析功能；對(duì)于中層節(jié)點(diǎn)來(lái)說(shuō)，主要的功能是數(shù)據(jù)進(jìn)一步分析、告警融合，以及和當(dāng)?shù)氐陌踩考M(jìn)行互動(dòng)的功能；對(duì)于根節(jié)點(diǎn)來(lái)說(shuō)，其功能側(cè)重點(diǎn)為對(duì)整個(gè)系統(tǒng)進(jìn)行配置和管理及全局預(yù)警等。但總體上每個(gè)節(jié)點(diǎn)都符合一個(gè)四層模型。版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)一個(gè)完整的入侵檢測(cè)系統(tǒng)應(yīng)該包括如下模塊：1.數(shù)據(jù)探測(cè)模塊這模塊通過(guò)各種探測(cè)器（sensor）,采集流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)包、網(wǎng)絡(luò)關(guān)鍵主機(jī)的log信息和安全部件的告警信息，為整個(gè)系統(tǒng)提供數(shù)據(jù)源。2.代理模塊代理模塊包含許多智能體Agent,其中，OS代理、Network代理Protocol代理對(duì)下層發(fā)來(lái)的有關(guān)入侵的信息進(jìn)行分析，產(chǎn)生初步告警，并上報(bào)給分析層做更進(jìn)一步的分析。防火墻代理和漏洞掃描代理等則根據(jù)協(xié)調(diào)、互動(dòng)模塊發(fā)來(lái)的控制信息，主要實(shí)現(xiàn)系統(tǒng)內(nèi)各安全部件的聯(lián)動(dòng)。版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)一版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)3.分析模塊分析模塊對(duì)初步告警信息進(jìn)行深層分析，如果認(rèn)為不是入侵行為，則將數(shù)據(jù)丟棄；如果認(rèn)為是入侵行為，則產(chǎn)生告警，上報(bào)決策模塊；如果不能斷定是入侵行為，但又覺(jué)得可疑，則數(shù)據(jù)和對(duì)數(shù)據(jù)產(chǎn)生的懷疑值交給關(guān)聯(lián)融合模塊。4.關(guān)聯(lián)、融合模塊關(guān)聯(lián)融合模塊主要檢測(cè)分布式攻擊。它對(duì)分析模塊上報(bào)的告警信息進(jìn)行關(guān)聯(lián)融合，從而檢測(cè)出是否存在分布式攻擊行為，如果有，則產(chǎn)生高級(jí)告警，上報(bào)給決策模塊。5.控制模塊用于完成協(xié)調(diào)、互動(dòng)模塊做出的決定，協(xié)助協(xié)調(diào)、互動(dòng)模塊完成對(duì)代理和移動(dòng)代理的管理和協(xié)調(diào)。版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)3版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)6.決策模塊該模塊對(duì)分析模塊和關(guān)聯(lián)、融合模塊上報(bào)的告警做出決策，根據(jù)入侵的不同情況，選擇不同的響應(yīng)策略。7.協(xié)調(diào)、互動(dòng)模塊DIDS采用代理和移動(dòng)代理來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)和事件的初步分析基于其他安全部件進(jìn)行互動(dòng)。協(xié)調(diào)、互動(dòng)模塊的主要作用是對(duì)各種代理和移動(dòng)代理進(jìn)行管理，合理使用和分配這些代理。并具體分派任務(wù)。8.安全響應(yīng)模塊根據(jù)決策模塊做出的響應(yīng)策略，采取相應(yīng)的相應(yīng)措施，措施包括忽略、向管理員報(bào)警、終止當(dāng)前連接等。版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)6版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)9.數(shù)據(jù)庫(kù)模塊該模塊存取入侵特征和入侵事件等數(shù)據(jù)，供進(jìn)一步的分析、取證。10.人機(jī)界面人機(jī)界面時(shí)提供給管理員的管理界面。管理員通過(guò)這個(gè)界面完成對(duì)系統(tǒng)的配置、權(quán)限管理和入侵特征庫(kù)的手工維護(hù)等。將上述模塊組合在一起，形成一個(gè)有機(jī)的整體。從而形成一種基于智能體Agent的四層結(jié)構(gòu)的分布式入侵檢測(cè)系統(tǒng)(DIDS)的體系結(jié)構(gòu)模型版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)9版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)體系結(jié)構(gòu)模型版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)體版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)在這個(gè)結(jié)構(gòu)模型中，自下而上依次為：數(shù)據(jù)探測(cè)層、代理層、分析層和管理層。1.數(shù)據(jù)探測(cè)層數(shù)據(jù)探測(cè)層完成對(duì)網(wǎng)絡(luò)中各種數(shù)據(jù)的采集，通過(guò)探測(cè)器來(lái)實(shí)現(xiàn)。系統(tǒng)日志Sensor采集網(wǎng)絡(luò)中關(guān)鍵主機(jī)的系統(tǒng)審計(jì)跡、系統(tǒng)日志和應(yīng)用程序日志，并對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單的過(guò)濾；網(wǎng)絡(luò)數(shù)據(jù)包Sensor采集網(wǎng)絡(luò)中的網(wǎng)絡(luò)數(shù)據(jù)包，并對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單的過(guò)濾；其他Sensor，如防火墻Sensor、防毒系統(tǒng)Sensor采集這些安全部件的告警信息。版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)在版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)(2)其它代理包括防火墻代理、防毒軟件代理和漏洞掃描代理等。這些代理與前幾種代理有明顯的不同。除了處理下層探測(cè)器發(fā)來(lái)的告警信息外，它們主要的功能是實(shí)現(xiàn)IDS與其它安全部件的互動(dòng)。例如，當(dāng)系統(tǒng)實(shí)時(shí)檢測(cè)到入侵事件發(fā)生時(shí)，防火墻代理根據(jù)管理層發(fā)來(lái)的告警信息和控制信息，動(dòng)態(tài)地更新防火墻的阻斷策略規(guī)則，使防火墻在一定有效的時(shí)間內(nèi)按IP、端口等信息阻斷后續(xù)攻擊時(shí)間的發(fā)生，從而實(shí)現(xiàn)安全部件的互動(dòng)。版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)(版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)2.代理層代理層包含有OS代理、Network代理Protocol代理和其他代理，所有代理都采用智能體Agent,這些代理都是能獨(dú)立運(yùn)行的實(shí)體，其中移動(dòng)的智能體Agent可以動(dòng)態(tài)從系統(tǒng)移出，也可以動(dòng)態(tài)地加到系統(tǒng)中。因此不需要為了添加一個(gè)新的代理而改變整個(gè)系統(tǒng)。(1)OS代理、Network代理和Protocol代理可以用靜態(tài)的智能體Agent來(lái)實(shí)現(xiàn)。如果一個(gè)IDS可以分成許多功能的小實(shí)體，那么每個(gè)小實(shí)體就是一個(gè)代理。這幾種代理對(duì)探測(cè)器所捕獲的數(shù)據(jù)進(jìn)行初步分析。如果是入侵，則直接產(chǎn)生響應(yīng)。如果懷疑是入侵行為，將數(shù)據(jù)傳給分析層進(jìn)行進(jìn)一步的處理。版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)2版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)3.分析層分析層完成對(duì)事件的分析、對(duì)告警進(jìn)行關(guān)聯(lián)和融合，然后將告警信息送給管理層的決策與響應(yīng)模塊。分析層的控制模塊接收來(lái)自管理層協(xié)調(diào)模塊的控制信息，具體完成對(duì)代理的管理、任務(wù)分派等任務(wù)。4.管理層管理層完成對(duì)入侵的決策與響應(yīng)，協(xié)調(diào)系統(tǒng)內(nèi)部各代理和移動(dòng)代理的工作，其中還包括協(xié)調(diào)、互動(dòng)模塊等，協(xié)調(diào)、互動(dòng)模塊的主要作用是對(duì)各種代理和移動(dòng)代理進(jìn)行管理，合理使用和分配這些代理。并具體分派任務(wù)。版權(quán)所有，盜版必糾9.2.2分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)3版權(quán)所有，盜版必糾9.2.3分布式入侵檢測(cè)體系結(jié)構(gòu)的優(yōu)點(diǎn)這里介紹的分層樹(shù)形DIDS體系結(jié)構(gòu)，與已有的系統(tǒng)相比，具有如下特點(diǎn)：1.節(jié)點(diǎn)之間的相對(duì)獨(dú)立性DIDS中的各個(gè)節(jié)點(diǎn)，都可以視為是一個(gè)獨(dú)立的IDS。這樣，在每一個(gè)區(qū)域，通過(guò)節(jié)點(diǎn)處的IDS就可以對(duì)該區(qū)域進(jìn)行入侵檢測(cè)和攻擊防范，同時(shí)，又可以通過(guò)樹(shù)形結(jié)構(gòu)，將告警情況及時(shí)向上反映，使得其上層節(jié)點(diǎn)掌握其所有子節(jié)點(diǎn)的情況,同時(shí)進(jìn)行全局安全事件分析。2.強(qiáng)調(diào)了安全部件的互動(dòng)系統(tǒng)與防火墻、漏洞掃描系統(tǒng)、防毒系統(tǒng)等安全產(chǎn)品實(shí)現(xiàn)聯(lián)動(dòng)，使得以前相互獨(dú)立，需要在不同時(shí)間段完成的入侵檢測(cè)和應(yīng)急響應(yīng)兩個(gè)階段有機(jī)的融為一體。版權(quán)所有，盜版必糾9.2.3分布式入侵檢測(cè)體系結(jié)構(gòu)的優(yōu)點(diǎn)這版權(quán)所有，盜版必糾9.2.3分布式入侵檢測(cè)體系結(jié)構(gòu)的優(yōu)點(diǎn)3.可以實(shí)現(xiàn)全局預(yù)警這也是DIDS的一個(gè)顯著特點(diǎn)，當(dāng)DIDS所轄的某一區(qū)域出現(xiàn)嚴(yán)重異常時(shí)，它可以及時(shí)上報(bào)，通過(guò)DIDS的全局預(yù)警機(jī)制下發(fā)給其它可能受到影響的IDS，這些IDS馬上采取應(yīng)對(duì)措施，可以保證全網(wǎng)其它的區(qū)域不受此攻擊的影響。4.體系結(jié)構(gòu)的靈活性和可擴(kuò)展性由于DIDS體系結(jié)構(gòu)中節(jié)點(diǎn)IDS的相對(duì)獨(dú)立性，在某個(gè)節(jié)點(diǎn)處增加一個(gè)子節(jié)點(diǎn)或刪除IDS中的某個(gè)節(jié)點(diǎn)都不會(huì)對(duì)DIDS中其它的IDS造成太大影響，因此，DIDS可以按照網(wǎng)絡(luò)拓?fù)涞膶?shí)際情況靈活配置IDS，可擴(kuò)展性很強(qiáng)。版權(quán)所有，盜版必糾9.2.3分布式入侵檢測(cè)體系結(jié)構(gòu)的優(yōu)點(diǎn)3版權(quán)所有，盜版必糾9.2.4多智能體系統(tǒng)MAS簡(jiǎn)介分布式問(wèn)題求解（DPS，DistributedProblemSolving）的研究重點(diǎn)是協(xié)作問(wèn)題求解的分布式智能體系統(tǒng)。它假設(shè)系統(tǒng)中智能體形成一組具有相同目標(biāo)的實(shí)體，以分布和協(xié)調(diào)的方式工作。這個(gè)假設(shè)使計(jì)算智能體系統(tǒng)缺乏表達(dá)諸如社會(huì)性問(wèn)題和競(jìng)爭(zhēng)決策的博弈問(wèn)題的能力，導(dǎo)致了具有不同利益、愿望或目標(biāo)的開(kāi)放環(huán)境下多智能體系統(tǒng)(MAS，MultiAgentSystem)的產(chǎn)生。通常，智能體Agent具有以下部分或全部的特性：(1)自治性：能控制自身的行為和狀態(tài)，其行為是主動(dòng)的和自發(fā)的，有自己的目標(biāo)和意圖，根據(jù)目標(biāo)和環(huán)境的要求，對(duì)自己的短期行為做出規(guī)劃。版權(quán)所有，盜版必糾9.2.4多智能體系統(tǒng)MAS簡(jiǎn)介分布式問(wèn)版權(quán)所有，盜版必糾9.2.4多智能體系統(tǒng)MAS簡(jiǎn)介(2)交互性：對(duì)環(huán)境或其他智能體的感知和影響。(3)可通訊性：能通過(guò)某種語(yǔ)言與其他的智能體交換信息和相互作用。(4)感知能力或反應(yīng)性：能及時(shí)感知和響應(yīng)其所處的環(huán)境的變化。(5)持續(xù)性：能持續(xù)或連續(xù)的運(yùn)行，其狀態(tài)在運(yùn)行過(guò)程中應(yīng)保持一致。(6)推理和規(guī)劃能力：具有當(dāng)前知識(shí)和經(jīng)驗(yàn)，以一種理性方式進(jìn)行推理和預(yù)測(cè)的能力。(7)協(xié)調(diào)、協(xié)作和協(xié)商能力：能在多智能體環(huán)境中協(xié)同工作和沖突消解，以執(zhí)行和完成一些互相受益且自身無(wú)法獨(dú)立求解的復(fù)雜任務(wù)。(8)移動(dòng)性：能在分布式網(wǎng)絡(luò)中移動(dòng)，且其狀態(tài)在此過(guò)程中保持一致。(9)學(xué)習(xí)與適應(yīng)性：能積累和學(xué)習(xí)經(jīng)驗(yàn)和知識(shí)，并修改自身的狀態(tài)以適應(yīng)新形勢(shì)。版權(quán)所有，盜版必糾9.2.4多智能體系統(tǒng)MAS簡(jiǎn)介(2)版權(quán)所有，盜版必糾9.2.4多智能體系統(tǒng)MAS簡(jiǎn)介根據(jù)人類思維的層次模型，可以把智能體Agent分為：1.反應(yīng)智能體只是簡(jiǎn)單地對(duì)外部刺激產(chǎn)生反應(yīng)，沒(méi)有任何內(nèi)部狀態(tài)。它不具有關(guān)于環(huán)境的符號(hào)模型，不存在復(fù)雜的符號(hào)推理機(jī)制，而是以一種“刺激--響應(yīng)”的方式來(lái)對(duì)環(huán)境的當(dāng)前狀態(tài)做出響應(yīng)。只對(duì)環(huán)境的變化或來(lái)自其它智能體的消息產(chǎn)生反應(yīng)，而不能對(duì)其內(nèi)部狀態(tài)進(jìn)行推理。通過(guò)觸發(fā)規(guī)則或執(zhí)行預(yù)先定制的規(guī)劃來(lái)執(zhí)行動(dòng)作。該類智能體能及時(shí)快速響應(yīng)環(huán)境變化和對(duì)外來(lái)信息做出處理，但缺乏足夠的靈活性。版權(quán)所有，盜版必糾9.2.4多智能體系統(tǒng)MAS簡(jiǎn)介根據(jù)人類版權(quán)所有，盜版必糾9.2.4多智能體系統(tǒng)MAS簡(jiǎn)介2.認(rèn)知智能體在內(nèi)部有一個(gè)符號(hào)推理模型，智能體依據(jù)該模型以符號(hào)推理的方式進(jìn)行規(guī)劃和協(xié)商，并且使用邏輯或偽邏輯推理進(jìn)行決策。它能采用基于符號(hào)表示和邏輯推理來(lái)創(chuàng)建、更新、評(píng)價(jià)和選擇執(zhí)行適宜規(guī)劃以采取動(dòng)作和完成目標(biāo)，具有較強(qiáng)的靈活性和較高的智能，但對(duì)環(huán)境的變化無(wú)法做出快速響應(yīng)。版權(quán)所有，盜版必糾9.2.4多智能體系統(tǒng)MAS簡(jiǎn)介2.認(rèn)版權(quán)所有，盜版必糾9.2.4多智能體系統(tǒng)MAS簡(jiǎn)介3.混合智能體將上述兩類結(jié)構(gòu)有機(jī)結(jié)合而成的智能體。入侵檢測(cè)中所用到的智能體通常是基于混合智能體設(shè)計(jì)的，它既能對(duì)環(huán)境變化及時(shí)反應(yīng)，也能進(jìn)行推理決策。版權(quán)所有，盜版必糾9.2.4多智能體系統(tǒng)MAS簡(jiǎn)介3.混版權(quán)所有，盜版必糾9.2.4多智能體系統(tǒng)MAS簡(jiǎn)介總之，在分布式人工智能(DAI，DistributedArtificialIntelligence)中,智能體所處的環(huán)境可以是封閉的，也可以是開(kāi)放的。智能體的性質(zhì)可以是自利的，也可以是合作的，或兩者兼而有之。有些研究者把DPS作為MAS的一種特殊形式，當(dāng)MAS滿足下面三個(gè)假設(shè)時(shí)可以看作是DPS：1.智能體由集中設(shè)計(jì)者統(tǒng)一設(shè)計(jì)；2.智能體有共同全局目標(biāo)；3.智能體是合作的。入侵檢測(cè)中的智能體系統(tǒng)通常是廣義的，基本等同于DAI，包括上述的MAS和DPS。版權(quán)所有，盜版必糾9.2.4多智能體系統(tǒng)MAS簡(jiǎn)介總之，在版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介隨著計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)通信等技術(shù)的發(fā)展，對(duì)于智能體Agent技術(shù)的研究已成為分布式人工智能DAI研究的一個(gè)熱點(diǎn)。智能體技術(shù)提供了一種新的計(jì)算和問(wèn)題求解規(guī)范。智能體雛形出現(xiàn)于1977年,Hewitt提出了并發(fā)演員模型。他稱自包容的、交互的、并發(fā)執(zhí)行的對(duì)象為演員。每個(gè)演員都有自己的狀態(tài)，有能力響應(yīng)其它演員發(fā)來(lái)的消息。智能體的研究可以劃分為兩個(gè)階段：第一階段：1977—1990，研究?jī)?nèi)容集中在慎思式智能體；第二階段：1990—至今，研究?jī)?nèi)容集中在智能體理論、體系結(jié)構(gòu)和語(yǔ)言上。版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介隨著計(jì)算機(jī)版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介1995年，Wooldridge和Jennings對(duì)智能體做出了權(quán)威性的定義如下：1.弱定義:智能體是一個(gè)基于軟件或硬件的計(jì)算機(jī)系統(tǒng)，它擁有以下特性：自治性、社會(huì)能力、反應(yīng)性和能動(dòng)性。2.強(qiáng)定義:智能體在弱定義的特性基礎(chǔ)上，還要包括情感等人類的特性。為了支持智能體的諸如自主性、社會(huì)性和自適應(yīng)性等特性，確保智能體之間能夠通過(guò)社會(huì)性交互來(lái)進(jìn)行問(wèn)題求解，推動(dòng)基于智能體系統(tǒng)的開(kāi)發(fā)，智能體技術(shù)必須解決一系列關(guān)鍵性問(wèn)題。版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介1995年版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介1.智能體的通訊智能體之間進(jìn)行合作的基礎(chǔ)是交互，而通訊是實(shí)現(xiàn)交互的一種重要的方式和手段。智能體的通訊涉及智能體通訊語(yǔ)言、通訊機(jī)制、本體論通訊和智能體交互協(xié)議等多方面內(nèi)容的研究。智能體之間通訊的消息必須具有良定義的語(yǔ)法和語(yǔ)義。在基于智能體系統(tǒng)中，必須提供某些機(jī)制確保智能體之間安全和可靠地進(jìn)行通訊。智能體間的通訊機(jī)制應(yīng)能支持智能體之間的同步或者異步通訊，支持一對(duì)一和一對(duì)多的廣播通訊。本體論通訊可以較為有效地解決智能體間通訊內(nèi)容的語(yǔ)義不確定問(wèn)題。為了促進(jìn)智能體之間的合作，必須定義智能體之間的交互協(xié)議。它決定了通訊參與方智能體對(duì)智能體間通訊內(nèi)容的理解以及做出的響應(yīng)，因而決定了智能體間的合作模式。版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介1.智能版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介2.智能體內(nèi)部構(gòu)造構(gòu)造具有自主性、社會(huì)性和自適應(yīng)性的智能體是智能體技術(shù)的關(guān)鍵。它涉及到智能體內(nèi)部狀態(tài)的表示和操縱、自適應(yīng)性和對(duì)環(huán)境的理解等問(wèn)題的研究。智能體的內(nèi)部結(jié)構(gòu)可以是反應(yīng)式的、慎思式的或者二者兼而有之的混合式。在實(shí)際開(kāi)發(fā)中采用什么樣的內(nèi)部結(jié)構(gòu)主要取決于具體應(yīng)用系統(tǒng)的需求。如何表示智能體的內(nèi)部狀態(tài)以及智能體如何基于內(nèi)部狀態(tài)自主地做出行為決策將是智能體技術(shù)面臨的一個(gè)關(guān)鍵問(wèn)題。自適應(yīng)性智能體可以是簡(jiǎn)單的反應(yīng)式系統(tǒng)，也可以是復(fù)雜的慎思式系統(tǒng)。慎思式智能體可以具有學(xué)習(xí)功能，可以進(jìn)化。它能根據(jù)其經(jīng)驗(yàn)改變其行為。為了能夠根據(jù)環(huán)境自主地做出反應(yīng)，智能體必須能夠通過(guò)某些機(jī)制來(lái)獲取并理解環(huán)境信息。版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介2.智能版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介3.智能體生命周期管理在多數(shù)情況下，智能體將以一種軟件的形式持續(xù)地運(yùn)行在一定的環(huán)境之中，因此必須提供某些機(jī)制對(duì)智能體生命周期中的各種活動(dòng)進(jìn)行管理。移動(dòng)智能體將引入其它生命周期管理問(wèn)題如運(yùn)行許可、智能體地址定位等。在智能體生命周期過(guò)程中，智能體也可進(jìn)化甚至克隆自己，這將涉及一些更加復(fù)雜問(wèn)題的解決如對(duì)責(zé)任和權(quán)限的代理等。智能體的生命周期管理應(yīng)對(duì)智能體的行為歷史做出記錄，以便于智能體能夠?qū)ζ湎惹暗男袨樽龀鰧彶楹驮u(píng)估。此外，在智能體的生命周期中，智能體對(duì)外展示的接口也是動(dòng)態(tài)的，以反應(yīng)智能體內(nèi)部狀態(tài)和環(huán)境的變化。在智能體生命周期中，智能體的行為和角色將動(dòng)態(tài)地發(fā)生變化，反應(yīng)了智能體角色的多面性和動(dòng)態(tài)性。版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介3.智能版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介4.智能體的移動(dòng)移動(dòng)智能體對(duì)智能體技術(shù)提出了新的問(wèn)題。例如它需要運(yùn)行智能體的服務(wù)器產(chǎn)生移動(dòng)代碼權(quán)限驗(yàn)證和安全性問(wèn)題，這增加了管理上的難度。又如確定移動(dòng)智能體的位置；在其移動(dòng)過(guò)程中如何與其進(jìn)行通訊；當(dāng)網(wǎng)絡(luò)發(fā)生故障甚至崩潰時(shí)如何讓其回到源出發(fā)地等。同時(shí)在移動(dòng)智能體系統(tǒng)中，智能體的命名和身份鑒別將變得更加重要。版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介4.智能版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介5.智能體的代理功能智能體可以作為人或者其它計(jì)算實(shí)體的代理充當(dāng)許多職責(zé)，在其運(yùn)作過(guò)程中，智能體可能具有多種身份。一個(gè)健壯的系統(tǒng)在與智能體進(jìn)行交互過(guò)程中必須考慮智能體的身份。此外作為其它實(shí)體的代理，智能體在其運(yùn)行中必須能夠識(shí)別自己和其它智能體的身份。版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介5.智能版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介7.系統(tǒng)的軟件開(kāi)發(fā)方法制定系統(tǒng)的、標(biāo)準(zhǔn)化的軟件開(kāi)發(fā)方法來(lái)指導(dǎo)基于智能體系統(tǒng)的開(kāi)發(fā)，包括需求分析、軟件設(shè)計(jì)、測(cè)試和驗(yàn)證等。智能體技術(shù)是目前計(jì)算機(jī)科學(xué)領(lǐng)域中一個(gè)非常重要、研究活躍的內(nèi)容之一。近年來(lái)引起了學(xué)術(shù)界和工業(yè)界的高度關(guān)注和重視。自八十年代以來(lái)，許多人和研究機(jī)構(gòu)致力于這一領(lǐng)域的研究，取得了不少研究成果。在工業(yè)界，許多有影響的軟件開(kāi)發(fā)公司和組織如IBM、Toshiba、Microsoft等積極開(kāi)展智能體技術(shù)的研究，尋求其應(yīng)用。版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介7.系統(tǒng)版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介6.智能體的安全、身份和相關(guān)策略智能體通常作為一個(gè)軟件實(shí)體運(yùn)行在分布計(jì)算環(huán)境中。因而面臨分布式計(jì)算系統(tǒng)通常遇到的安全性問(wèn)題，包括未經(jīng)授權(quán)的截獲信息，未經(jīng)授權(quán)的修改信息，破壞數(shù)據(jù)，未經(jīng)授權(quán)的拷貝，否認(rèn)承諾和否認(rèn)行為等。安全策略可以控制對(duì)系統(tǒng)有價(jià)值資源的存取和訪問(wèn)。它通常采用基于智能體的身份認(rèn)證和加密技術(shù)。一個(gè)智能體可以具有多種身份。智能體的身份通常需要第三方的認(rèn)證。版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介6.智能版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介現(xiàn)階段幾乎所有基于智能體系統(tǒng)的開(kāi)發(fā)都是通過(guò)以下方式實(shí)現(xiàn)的：(1)編程語(yǔ)言：Java或C++；(2)通訊語(yǔ)言：KQML或者FIPA的ACL；(3)內(nèi)容語(yǔ)言：KIF、XML。由此可見(jiàn)，當(dāng)前基于智能體系統(tǒng)的開(kāi)發(fā)缺乏相應(yīng)的軟件開(kāi)發(fā)工具和環(huán)境的有效支持，絕大部分系統(tǒng)的開(kāi)發(fā)不得不借助于成熟的面向?qū)ο蠹夹g(shù)來(lái)實(shí)現(xiàn)。版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介現(xiàn)階段幾乎版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介現(xiàn)階段幾乎所有基于智能體系統(tǒng)的開(kāi)發(fā)都是通過(guò)以下方式實(shí)現(xiàn)的：(1)編程語(yǔ)言：Java或C++；(2)通訊語(yǔ)言：KQML或者FIPA的ACL；(3)內(nèi)容語(yǔ)言：KIF、XML。由此可見(jiàn)，當(dāng)前基于智能體系統(tǒng)的開(kāi)發(fā)缺乏相應(yīng)的軟件開(kāi)發(fā)工具和環(huán)境的有效支持，絕大部分系統(tǒng)的開(kāi)發(fā)不得不借助于成熟的面向?qū)ο蠹夹g(shù)來(lái)實(shí)現(xiàn)。版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介現(xiàn)階段幾乎版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介在入侵檢測(cè)特別是分布式入侵檢測(cè)當(dāng)中，攻擊和檢測(cè)的語(yǔ)義內(nèi)容十分豐富，但內(nèi)容語(yǔ)言KIF表達(dá)語(yǔ)義能力不強(qiáng)，使得上述基于智能體系統(tǒng)開(kāi)發(fā)方式存在局限性。由于OWL具有良好的語(yǔ)義表示能力，可以將采用OWL擴(kuò)展KQML的內(nèi)容層，通過(guò)Ontology技術(shù)，豐富了KQML語(yǔ)義的表達(dá)，可以方便地表達(dá)入侵檢測(cè)中的語(yǔ)義。版權(quán)所有，盜版必糾9.2.5智能體Agent簡(jiǎn)介在入侵檢測(cè)版權(quán)所有，盜版必糾9.3入侵檢測(cè)系統(tǒng)中Agent實(shí)現(xiàn)技術(shù)

系統(tǒng)中的Agent由三類Agent組成：(1)中心Agent；(2)分析Agent；(3)主機(jī)Agent和網(wǎng)絡(luò)Agent。各個(gè)Agent之間相互協(xié)作又相互獨(dú)立，并具有很好的可配置性和可擴(kuò)展性。版權(quán)所有，盜版必糾9.3入侵檢測(cè)系統(tǒng)中Agent實(shí)現(xiàn)技術(shù) 版權(quán)所有，盜版必糾9.3入侵檢測(cè)系統(tǒng)中Agent實(shí)現(xiàn)技術(shù)9.3.1中心Agent中心Agent位于整個(gè)系統(tǒng)的最高層即管理層，它負(fù)責(zé)監(jiān)控系統(tǒng)中的所有Agent，對(duì)Agent進(jìn)行配置管理，顯示告警信息并對(duì)告警事件做相應(yīng)的處理。它也是系統(tǒng)跟用戶界面交互的部分，相當(dāng)于一個(gè)控制臺(tái)。如圖9.3所示為中心Agent的結(jié)構(gòu)。版權(quán)所有，盜版必糾9.3入侵檢測(cè)系統(tǒng)中Agent實(shí)現(xiàn)技術(shù)9版權(quán)所有，盜版必糾9.3入侵檢測(cè)系統(tǒng)中Agent實(shí)現(xiàn)技術(shù)1.事件管理事件管理模塊管理的事件是由主機(jī)Agent、網(wǎng)絡(luò)Agent、分析Agent等所產(chǎn)生的告警事件，這些事件包括入侵警報(bào)、可疑行為等。事件管理則要解決如何有效地顯示、和用戶交互的問(wèn)題。系統(tǒng)將顯示該事件的所有詳細(xì)信息。這里可以對(duì)各種不同的告警事件進(jìn)行分類顯示，按不同的顏色區(qū)別不同威脅程度的攻擊，按時(shí)間順序列出攻擊的詳細(xì)情況，按相同IP地址將攻擊分類等等。版權(quán)所有，盜版必糾9.3入侵檢測(cè)系統(tǒng)中Agent實(shí)現(xiàn)技術(shù)1版權(quán)所有，盜版必糾9.3入侵檢測(cè)系統(tǒng)中Agent實(shí)現(xiàn)技術(shù)2.報(bào)告生成(1)事件檢測(cè)報(bào)告事件檢測(cè)報(bào)告通常以事件為單位產(chǎn)生，或以一天的總結(jié)報(bào)告的形式產(chǎn)生。它們常以電子郵件的方式發(fā)送，而且入侵檢測(cè)系統(tǒng)應(yīng)該提供靈活的地址并能夠進(jìn)行PGP加密。分析員應(yīng)有機(jī)會(huì)報(bào)告控制臺(tái)上顯示的每一個(gè)檢測(cè)事件，而且可以通過(guò)點(diǎn)擊鼠標(biāo)接受每個(gè)檢測(cè)事件。然后，系統(tǒng)自動(dòng)產(chǎn)生報(bào)告，分析員在報(bào)告發(fā)送之前進(jìn)行檢查和注釋。版權(quán)所有，盜版必糾9.3入侵檢測(cè)系統(tǒng)中Agent實(shí)現(xiàn)技術(shù)2版權(quán)所有，盜版必糾9.3入侵檢測(cè)系統(tǒng)中Agent實(shí)現(xiàn)技術(shù)(2)周、月總結(jié)報(bào)告管理部門通常對(duì)自己負(fù)責(zé)的站點(diǎn)是否正在受到攻擊感興趣。但是以事件為單位或以天為單位的報(bào)告需要花費(fèi)很多時(shí)間來(lái)處理，而且無(wú)法幫助他觀察宏觀的形勢(shì)。周或月總結(jié)報(bào)告解決了這個(gè)問(wèn)題。通常，管理者的級(jí)別越高，向他發(fā)送報(bào)告的頻率就應(yīng)越低。系統(tǒng)管理員通過(guò)對(duì)報(bào)告的分析，針對(duì)不同功能的Agent制定更好的策略。版權(quán)所有，盜版必糾9.3入侵檢測(cè)系統(tǒng)中Agent實(shí)現(xiàn)技術(shù)(版權(quán)所有，盜版必糾9.3入侵檢測(cè)系統(tǒng)中Agent實(shí)現(xiàn)技術(shù)3.Agent管理和配置由于系統(tǒng)中存在多個(gè)不同級(jí)別、不同功能的Agent，不同Agent所采取的分析方法也不同，所以有必要對(duì)這些Agent進(jìn)行統(tǒng)一的管理和配置。要記錄各個(gè)Agent的名字、IP地址、通訊端口以及所實(shí)現(xiàn)的功能等等，并能夠停止和啟動(dòng)不同的Agent。對(duì)主機(jī)Agent而言，不同的主機(jī)Agent所使用的規(guī)則庫(kù)也是不一樣的，所以中心Agent需要對(duì)主機(jī)Agent的規(guī)則庫(kù)進(jìn)行重新配置，以適應(yīng)各種不同的情況。版權(quán)所有，盜版必糾9.3入侵檢測(cè)系統(tǒng)中Agent實(shí)現(xiàn)技術(shù)3版權(quán)所有，盜版必糾9.3入侵檢測(cè)系統(tǒng)中Agent實(shí)現(xiàn)技術(shù)4.響應(yīng)系統(tǒng)響應(yīng)是一個(gè)入侵檢測(cè)系統(tǒng)必須的一個(gè)部分，沒(méi)有它入侵檢測(cè)就失去了存在的價(jià)值。最簡(jiǎn)單的自動(dòng)響應(yīng)是自動(dòng)通知。當(dāng)檢測(cè)到入侵發(fā)生時(shí)。入侵檢測(cè)系統(tǒng)可以給管理員發(fā)EMAIL或打?qū)ず簟Ｒ环N比較主動(dòng)的響應(yīng)是阻止正在進(jìn)行的攻擊，使得攻擊者不能夠繼續(xù)訪問(wèn)。例如通過(guò)注入復(fù)位數(shù)據(jù)報(bào)來(lái)截?cái)喙粽吆湍繕?biāo)主機(jī)之間的連接、通過(guò)更新配置防火墻來(lái)限制入侵者的訪問(wèn)等。更為主動(dòng)的響應(yīng)是探測(cè)到進(jìn)攻時(shí)發(fā)起對(duì)攻擊者的反擊。但這個(gè)方法是非常危險(xiǎn)的，它不但是非法的，也會(huì)影響網(wǎng)絡(luò)上無(wú)辜的用戶。這個(gè)方法如圖9.4所示：版權(quán)所有，盜版必糾9.3入侵檢測(cè)系統(tǒng)中Agent實(shí)現(xiàn)技術(shù)4版權(quán)所有，盜版必糾9.3入侵檢測(cè)系統(tǒng)中Agent實(shí)現(xiàn)技術(shù)這個(gè)方法如圖9.4所示：版權(quán)所有，盜版必糾9.3入侵檢測(cè)系統(tǒng)中Agent實(shí)現(xiàn)技術(shù)這版權(quán)所有，盜版必糾9.3.2分析Agent分析Agent在整個(gè)系統(tǒng)中處于分析層，它對(duì)各個(gè)主機(jī)Agent發(fā)送來(lái)的數(shù)據(jù)進(jìn)行綜合分析，以便檢測(cè)到涉及多臺(tái)主機(jī)與網(wǎng)絡(luò)有關(guān)的入侵行為；分析Agent注重于高層次的分析方法，綜合運(yùn)用概率統(tǒng)計(jì)技術(shù)、數(shù)據(jù)挖掘技術(shù)或神經(jīng)網(wǎng)絡(luò)技術(shù)，進(jìn)行特征提取和模式匹配，不斷學(xué)習(xí)，動(dòng)態(tài)擴(kuò)充入侵模式庫(kù)，動(dòng)態(tài)更新系統(tǒng)正常行為軌跡，以便發(fā)現(xiàn)異常入侵，充分發(fā)揮分析Agent的檢測(cè)能力。在一個(gè)分布式的入侵檢測(cè)系統(tǒng)中會(huì)存在多個(gè)不同的分析Agent，每個(gè)分析Agent所采用的檢測(cè)方法也不一定相同。版權(quán)所有，盜版必糾9.3.2分析Agent分析Agent在版權(quán)所有，盜版必糾9.3.2分析Agent分析Agent的結(jié)構(gòu)如圖9.5所示。版權(quán)所有，盜版必糾9.3.2分析Agent分析Agent的版權(quán)所有，盜版必糾9.3.2分析Agent數(shù)據(jù)存儲(chǔ)模塊是接收來(lái)自主機(jī)Agent的數(shù)據(jù)，并將數(shù)據(jù)存入數(shù)據(jù)庫(kù)中，以便于以后的分析。由于主機(jī)Agent和網(wǎng)絡(luò)Agent傳送來(lái)的數(shù)據(jù)是已經(jīng)經(jīng)過(guò)處理的數(shù)據(jù)，這樣大大減少了網(wǎng)絡(luò)數(shù)據(jù)的傳輸，降低了網(wǎng)絡(luò)的負(fù)載。構(gòu)造專用的存儲(chǔ)系統(tǒng)可以提高反應(yīng)速度，但那是一個(gè)艱難的過(guò)程?？梢赃x擇現(xiàn)有的數(shù)據(jù)庫(kù)系統(tǒng)來(lái)建立存儲(chǔ)系統(tǒng)。現(xiàn)有的數(shù)據(jù)庫(kù)系統(tǒng)都支持SQL查詢，它對(duì)搜索的封裝使得分析系統(tǒng)可以使用通用的接口。版權(quán)所有，盜版必糾9.3.2分析Agent數(shù)據(jù)存儲(chǔ)版權(quán)所有，盜版必糾9.3.3主機(jī)和網(wǎng)絡(luò)Agent主機(jī)和網(wǎng)絡(luò)Agent處于整個(gè)分布式系統(tǒng)的最低層。主機(jī)Agent的功能是在所在主機(jī)上以各種方法收集信息并對(duì)這些數(shù)據(jù)進(jìn)行初步分析，包括分析日志、監(jiān)視用戶行為、分析系統(tǒng)調(diào)用、分析該主機(jī)的網(wǎng)絡(luò)通信等，所以主機(jī)Agent是依賴于操作系統(tǒng)平臺(tái)的。網(wǎng)絡(luò)Agent的功能是收集網(wǎng)絡(luò)上的數(shù)據(jù)包，并對(duì)它進(jìn)行初步分析，將明顯不是入侵的數(shù)據(jù)丟棄，將明顯是攻擊的數(shù)據(jù)截獲并報(bào)警。將其它可疑數(shù)據(jù)傳送給上層Agent。版權(quán)所有，盜版必糾9.3.3主機(jī)和網(wǎng)絡(luò)Agent主機(jī)版權(quán)所有，盜版必糾9.3.3主機(jī)和網(wǎng)絡(luò)Agent主機(jī)Agent和網(wǎng)絡(luò)Agent的結(jié)構(gòu)類似，只不是它們的數(shù)據(jù)源不同，如圖9.6所示。版權(quán)所有，盜版必糾9.3.3主機(jī)和網(wǎng)絡(luò)Agent主機(jī)Age版權(quán)所有，盜版必糾9.4Agent之間的通信智能體Agent之間良好的通訊機(jī)制是基于多主體技術(shù)的大規(guī)模分布式入侵管理系統(tǒng)正常運(yùn)行的前提保證。Agent之間的通信語(yǔ)言即ACL(AgentCommunicationLanguage)是agent之間交換信息和知識(shí)的手段，而ACL中KQML(KnowledgeQueryandManipulationLanguage)是現(xiàn)在比較流行的Agent通信語(yǔ)言。本文采用KQML作agent的通信語(yǔ)言，從而實(shí)現(xiàn)智能體Agent之間語(yǔ)義上的通信。版權(quán)所有，盜版必糾9.4Agent之間的通信智能體A版權(quán)所有，盜版必糾9.4.1KQML通信語(yǔ)言KQML具有三大屬性：1.KQML獨(dú)立于網(wǎng)絡(luò)傳輸機(jī)制（即TCP,SMTP等）；2.KQML獨(dú)立于內(nèi)容語(yǔ)言（即SQL,OWL,PROLOG等）；3.KQML獨(dú)立于內(nèi)容實(shí)體。版權(quán)所有，盜版必糾9.4.1KQML通信語(yǔ)言KQML具有三版權(quán)所有，盜版必糾9.4.1KQML通信語(yǔ)言KQML可分為三個(gè)層次：通信層、消息層和內(nèi)容層。結(jié)構(gòu)圖如圖9.7所示：版權(quán)所有，盜版必糾9.4.1KQML通信語(yǔ)言KQML可分為版權(quán)所有，盜版必糾9.4.1KQML通信語(yǔ)言圖9.7KQML的三層結(jié)構(gòu)圖通信層對(duì)低層的通信屬性進(jìn)行編碼，包括消息發(fā)送