分布式入侵檢測系統(tǒng)

版權所有，盜版必糾第9章基于智能體的分布式入侵檢測系統(tǒng)李劍北京郵電大學信息安全中心E-mail:lijian@電話：130－01936882版權所有，盜版必糾第9章基于智能體的分布式入侵檢測系統(tǒng)由于網(wǎng)絡規(guī)模的不斷擴大和網(wǎng)絡速度的不斷提高，集中式的入侵檢測系統(tǒng)已經(jīng)不能適應網(wǎng)絡發(fā)展的需求。在這種情況下，分布式入侵檢測技術越不越受到關注，并成為IDS研究的熱點。多智能體系統(tǒng)MAS是目前研究分布式系統(tǒng)的熱門領域之一。智能體所具有的自治性、連續(xù)執(zhí)行性、個性化、語言語義表達豐富、學習和適應性等特點使其特別適用于具有多信息和多處理特征的實際應用?；谥悄荏w這些特征，將入侵檢測與多智能體結合起來，從而形成基于智能體的分布式入侵檢測系統(tǒng)就成為當前IDS研究的熱點之一。本章討論基于智能體的分布式入侵檢測系統(tǒng)。版權所有，盜版必糾9.1應用背景現(xiàn)有的入侵檢測系統(tǒng)大多數(shù)都采用單一體系結構，即所有的工作包括數(shù)據(jù)的采集、分析都由單一主機上的單一程序來完成，而一些分布式的入侵檢測系統(tǒng)只是在數(shù)據(jù)采集上實現(xiàn)了分布式，數(shù)據(jù)的分析、入侵的發(fā)現(xiàn)還是由單個程序完成的，這樣的結構有如下缺點：1.可擴展性較差。由于所有工作都是由單一主機執(zhí)行，被監(jiān)控的主機數(shù)和網(wǎng)絡規(guī)模受到限制，入侵檢測系統(tǒng)的實時性要求較高，數(shù)據(jù)過多會造成其過載，從而入侵檢測系統(tǒng)因來不及處理過量的數(shù)據(jù)或丟失網(wǎng)絡數(shù)據(jù)包而失效。2.單點失效。當入侵檢測系統(tǒng)自身因受到攻擊或其他原因而不能正常工作時，其保護功能就會喪失，會影響到整個系統(tǒng)。版權所有，盜版必糾9.1應用背景3.系統(tǒng)缺乏靈活性和可配置性。當系統(tǒng)需要加入新的模塊和功能時，整個系統(tǒng)就需要修改和重新安裝。

為了有效地解決上述問題，建立一個健壯、靈活和具有良好伸展性的入侵檢測系統(tǒng)，這里將多智能體MAS技術引入到入侵檢測當中，介紹基于智能體的分布式入侵檢測系統(tǒng)。版權所有，盜版必糾9.2基于智能體的分布式入侵檢測系統(tǒng)結構9.2.1分布式入侵檢測系統(tǒng)的特征為了適應當今的網(wǎng)絡環(huán)境，入侵檢測系統(tǒng)必然會想著分布式發(fā)展，而且會越來越重視整個體系結構的合理組成和分布組件之間的協(xié)調和合作，以及整個系統(tǒng)工作的自動化和智能化。因此，分布式入侵檢測系統(tǒng)應該具有如下特征：1.分布式部署只有在整個被保護的網(wǎng)絡的關鍵網(wǎng)段和交換部位和一些關鍵主機，如WEB服務器、DNS服務器分別設置IDS,才能進行整個網(wǎng)絡范圍內的部署，才能發(fā)現(xiàn)整個網(wǎng)絡中的安全問題，如大規(guī)模分布式入侵等。2.分布分析對收集的數(shù)據(jù)應該就地進行分析、處理，縮減數(shù)據(jù)量，減少網(wǎng)絡流量，防止上級節(jié)點處理海量數(shù)據(jù)而產(chǎn)生“單一失效點”問題。版權所有，盜版必糾9.2基于智能體的分布式入侵檢測系統(tǒng)結構3.安全產(chǎn)品的聯(lián)動入侵檢測技術強調實現(xiàn)以入侵檢測為中心的安全防御體系。IDS與防火墻、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、網(wǎng)絡管理系統(tǒng)等產(chǎn)品可以實現(xiàn)聯(lián)動，使得以前相互獨立，需要在不同時間段完成的入侵檢測和應急響應兩個階段有機的融為一體。4.系統(tǒng)管理平臺系統(tǒng)管理平臺實現(xiàn)各種安全設備的互聯(lián)互控，對各種設備提供的信息進行關聯(lián)性分析，并實現(xiàn)實時性反饋控制。同時支持分布式部署和分級管理，除了管理入侵檢測系統(tǒng)外，還支持多種安全設備的管理。5.可伸縮性和擴展性要求系統(tǒng)可以根據(jù)不同的網(wǎng)絡環(huán)境規(guī)模進行靈活配置，針對新的攻擊類型的出現(xiàn)能夠不斷擴展自身所能檢測的攻擊種類。版權所有，盜版必糾9.2.2分布式入侵檢測系統(tǒng)的體系結構在研究了目前國內外典型的分布式IDS的基礎上，根據(jù)分布式入侵檢測系統(tǒng)所應該具有的特征，這里介紹一種“分散采集、分布分析、動態(tài)協(xié)調、區(qū)域管理”的分布式入侵檢測系統(tǒng)（DIDS）的體系結構模型，它在整體上形成一個層次樹型拓撲結構，這種樹型分層的結構體體現(xiàn)了分布式檢測的思想，又有很高的靈活性，使整個系統(tǒng)縮放自如，不會受到網(wǎng)絡規(guī)模變化的限制。樹型分層的結構體如圖9.1所示。版權所有，盜版必糾9.2.2分布式入侵檢測系統(tǒng)的體系結構在這個樹型體系結構中，每個節(jié)點為特定網(wǎng)絡與一個入侵檢測系統(tǒng)所構成的完整體系，每個節(jié)點都擁有完整的網(wǎng)絡架構和完善的入侵檢測系統(tǒng)，所有節(jié)點的入侵檢測系統(tǒng)均能夠協(xié)同工作。子節(jié)點主要收集所轄區(qū)域內各種數(shù)據(jù)，包括系統(tǒng)日志、網(wǎng)絡數(shù)據(jù)包等，通過對這些數(shù)據(jù)進行分析產(chǎn)生報警，對本地確定已經(jīng)發(fā)生的攻擊做出響應，并將無法處理的數(shù)據(jù)和告警送往上層節(jié)點進行進一步的分析和關聯(lián)，由上層的分級控制中心的節(jié)點判斷更大范圍內的入侵行為。分級控制中心的節(jié)點接收子節(jié)點送出的數(shù)據(jù)和告警，并收集該層次分區(qū)內安全部件的告警和數(shù)據(jù)。對數(shù)據(jù)進行分析和融合，做出更高層次的判斷并將不能確定的告警繼續(xù)向上傳送進行進一步的分析，同時還控制它下層的各級節(jié)點，對它管轄區(qū)域內各安全部件的聯(lián)動進行控制和管理。版權所有，盜版必糾9.2.2分布式入侵檢測系統(tǒng)的體系結構安全控制中心作為最高層面的節(jié)點，使整個網(wǎng)絡的安全中心，它連接下層分級控制中心的節(jié)點，實現(xiàn)逐級控制，對下層的節(jié)點進行管理和控制，同時接收子節(jié)點傳送來的數(shù)據(jù)和報警，接收和顯示全局安全態(tài)勢。安全控制中心還具有全局預警的功能。當某一子節(jié)點報告有嚴重報警后，安全控制中心根據(jù)情況，可將此報警信息下發(fā)到它認為可能受到此類攻擊的其它下層節(jié)點，以使得這些節(jié)點提早防范。版權所有，盜版必糾9.2.2分布式入侵檢測系統(tǒng)的體系結構樹型結構中各節(jié)點都是一個獨立的入侵檢測系統(tǒng)。當然，根據(jù)它們所處的層次不同，他們的具體功能也不一樣，對于子節(jié)點來說，主要完成數(shù)據(jù)采集、預處理和分析功能；對于中層節(jié)點來說，主要的功能是數(shù)據(jù)進一步分析、告警融合，以及和當?shù)氐陌踩考M行互動的功能；對于根節(jié)點來說，其功能側重點為對整個系統(tǒng)進行配置和管理及全局預警等。但總體上每個節(jié)點都符合一個四層模型。版權所有，盜版必糾9.2.2分布式入侵檢測系統(tǒng)的體系結構一個完整的入侵檢測系統(tǒng)應該包括如下模塊：1.數(shù)據(jù)探測模塊這模塊通過各種探測器（sensor）,采集流經(jīng)網(wǎng)絡的數(shù)據(jù)包、網(wǎng)絡關鍵主機的log信息和安全部件的告警信息，為整個系統(tǒng)提供數(shù)據(jù)源。2.代理模塊代理模塊包含許多智能體Agent,其中，OS代理、Network代理Protocol代理對下層發(fā)來的有關入侵的信息進行分析，產(chǎn)生初步告警，并上報給分析層做更進一步的分析。防火墻代理和漏洞掃描代理等則根據(jù)協(xié)調、互動模塊發(fā)來的控制信息，主要實現(xiàn)系統(tǒng)內各安全部件的聯(lián)動。版權所有，盜版必糾9.2.2分布式入侵檢測系統(tǒng)的體系結構3.分析模塊分析模塊對初步告警信息進行深層分析，如果認為不是入侵行為，則將數(shù)據(jù)丟棄；如果認為是入侵行為，則產(chǎn)生告警，上報決策模塊；如果不能斷定是入侵行為，但又覺得可疑，則數(shù)據(jù)和對數(shù)據(jù)產(chǎn)生的懷疑值交給關聯(lián)融合模塊。4.關聯(lián)、融合模塊關聯(lián)融合模塊主要檢測分布式攻擊。它對分析模塊上報的告警信息進行關聯(lián)融合，從而檢測出是否存在分布式攻擊行為，如果有，則產(chǎn)生高級告警，上報給決策模塊。5.控制模塊用于完成協(xié)調、互動模塊做出的決定，協(xié)助協(xié)調、互動模塊完成對代理和移動代理的管理和協(xié)調。版權所有，盜版必糾9.2.2分布式入侵檢測系統(tǒng)的體系結構6.決策模塊該模塊對分析模塊和關聯(lián)、融合模塊上報的告警做出決策，根據(jù)入侵的不同情況，選擇不同的響應策略。7.協(xié)調、互動模塊DIDS采用代理和移動代理來實現(xiàn)對數(shù)據(jù)和事件的初步分析基于其他安全部件進行互動。協(xié)調、互動模塊的主要作用是對各種代理和移動代理進行管理，合理使用和分配這些代理。并具體分派任務。8.安全響應模塊根據(jù)決策模塊做出的響應策略，采取相應的相應措施，措施包括忽略、向管理員報警、終止當前連接等。版權所有，盜版必糾9.2.2分布式入侵檢測系統(tǒng)的體系結構9.數(shù)據(jù)庫模塊該模塊存取入侵特征和入侵事件等數(shù)據(jù)，供進一步的分析、取證。10.人機界面人機界面時提供給管理員的管理界面。管理員通過這個界面完成對系統(tǒng)的配置、權限管理和入侵特征庫的手工維護等。將上述模塊組合在一起，形成一個有機的整體。從而形成一種基于智能體Agent的四層結構的分布式入侵檢測系統(tǒng)(DIDS)的體系結構模型版權所有，盜版必糾9.2.2分布式入侵檢測系統(tǒng)的體系結構體系結構模型版權所有，盜版必糾9.2.2分布式入侵檢測系統(tǒng)的體系結構在這個結構模型中，自下而上依次為：數(shù)據(jù)探測層、代理層、分析層和管理層。1.數(shù)據(jù)探測層數(shù)據(jù)探測層完成對網(wǎng)絡中各種數(shù)據(jù)的采集，通過探測器來實現(xiàn)。系統(tǒng)日志Sensor采集網(wǎng)絡中關鍵主機的系統(tǒng)審計跡、系統(tǒng)日志和應用程序日志，并對數(shù)據(jù)進行簡單的過濾；網(wǎng)絡數(shù)據(jù)包Sensor采集網(wǎng)絡中的網(wǎng)絡數(shù)據(jù)包，并對數(shù)據(jù)進行簡單的過濾；其他Sensor，如防火墻Sensor、防毒系統(tǒng)Sensor采集這些安全部件的告警信息。版權所有，盜版必糾9.2.2分布式入侵檢測系統(tǒng)的體系結構(2)其它代理包括防火墻代理、防毒軟件代理和漏洞掃描代理等。這些代理與前幾種代理有明顯的不同。除了處理下層探測器發(fā)來的告警信息外，它們主要的功能是實現(xiàn)IDS與其它安全部件的互動。例如，當系統(tǒng)實時檢測到入侵事件發(fā)生時，防火墻代理根據(jù)管理層發(fā)來的告警信息和控制信息，動態(tài)地更新防火墻的阻斷策略規(guī)則，使防火墻在一定有效的時間內按IP、端口等信息阻斷后續(xù)攻擊時間的發(fā)生，從而實現(xiàn)安全部件的互動。版權所有，盜版必糾9.2.2分布式入侵檢測系統(tǒng)的體系結構2.代理層代理層包含有OS代理、Network代理Protocol代理和其他代理，所有代理都采用智能體Agent,這些代理都是能獨立運行的實體，其中移動的智能體Agent可以動態(tài)從系統(tǒng)移出，也可以動態(tài)地加到系統(tǒng)中。因此不需要為了添加一個新的代理而改變整個系統(tǒng)。(1)OS代理、Network代理和Protocol代理可以用靜態(tài)的智能體Agent來實現(xiàn)。如果一個IDS可以分成許多功能的小實體，那么每個小實體就是一個代理。這幾種代理對探測器所捕獲的數(shù)據(jù)進行初步分析。如果是入侵，則直接產(chǎn)生響應。如果懷疑是入侵行為，將數(shù)據(jù)傳給分析層進行進一步的處理。版權所有，盜版必糾9.2.2分布式入侵檢測系統(tǒng)的體系結構3.分析層分析層完成對事件的分析、對告警進行關聯(lián)和融合，然后將告警信息送給管理層的決策與響應模塊。分析層的控制模塊接收來自管理層協(xié)調模塊的控制信息，具體完成對代理的管理、任務分派等任務。4.管理層管理層完成對入侵的決策與響應，協(xié)調系統(tǒng)內部各代理和移動代理的工作，其中還包括協(xié)調、互動模塊等，協(xié)調、互動模塊的主要作用是對各種代理和移動代理進行管理，合理使用和分配這些代理。并具體分派任務。版權所有，盜版必糾9.2.3分布式入侵檢測體系結構的優(yōu)點這里介紹的分層樹形DIDS體系結構，與已有的系統(tǒng)相比，具有如下特點：1.節(jié)點之間的相對獨立性DIDS中的各個節(jié)點，都可以視為是一個獨立的IDS。這樣，在每一個區(qū)域，通過節(jié)點處的IDS就可以對該區(qū)域進行入侵檢測和攻擊防范，同時，又可以通過樹形結構，將告警情況及時向上反映，使得其上層節(jié)點掌握其所有子節(jié)點的情況,同時進行全局安全事件分析。2.強調了安全部件的互動系統(tǒng)與防火墻、漏洞掃描系統(tǒng)、防毒系統(tǒng)等安全產(chǎn)品實現(xiàn)聯(lián)動，使得以前相互獨立，需要在不同時間段完成的入侵檢測和應急響應兩個階段有機的融為一體。版權所有，盜版必糾9.2.3分布式入侵檢測體系結構的優(yōu)點3.可以實現(xiàn)全局預警這也是DIDS的一個顯著特點，當DIDS所轄的某一區(qū)域出現(xiàn)嚴重異常時，它可以及時上報，通過DIDS的全局預警機制下發(fā)給其它可能受到影響的IDS，這些IDS馬上采取應對措施，可以保證全網(wǎng)其它的區(qū)域不受此攻擊的影響。4.體系結構的靈活性和可擴展性由于DIDS體系結構中節(jié)點IDS的相對獨立性，在某個節(jié)點處增加一個子節(jié)點或刪除IDS中的某個節(jié)點都不會對DIDS中其它的IDS造成太大影響，因此，DIDS可以按照網(wǎng)絡拓撲的實際情況靈活配置IDS，可擴展性很強。版權所有，盜版必糾9.2.4多智能體系統(tǒng)MAS簡介分布式問題求解（DPS，DistributedProblemSolving）的研究重點是協(xié)作問題求解的分布式智能體系統(tǒng)。它假設系統(tǒng)中智能體形成一組具有相同目標的實體，以分布和協(xié)調的方式工作。這個假設使計算智能體系統(tǒng)缺乏表達諸如社會性問題和競爭決策的博弈問題的能力，導致了具有不同利益、愿望或目標的開放環(huán)境下多智能體系統(tǒng)(MAS，MultiAgentSystem)的產(chǎn)生。通常，智能體Agent具有以下部分或全部的特性：(1)自治性：能控制自身的行為和狀態(tài)，其行為是主動的和自發(fā)的，有自己的目標和意圖，根據(jù)目標和環(huán)境的要求，對自己的短期行為做出規(guī)劃。版權所有，盜版必糾9.2.4多智能體系統(tǒng)MAS簡介(2)交互性：對環(huán)境或其他智能體的感知和影響。(3)可通訊性：能通過某種語言與其他的智能體交換信息和相互作用。(4)感知能力或反應性：能及時感知和響應其所處的環(huán)境的變化。(5)持續(xù)性：能持續(xù)或連續(xù)的運行，其狀態(tài)在運行過程中應保持一致。(6)推理和規(guī)劃能力：具有當前知識和經(jīng)驗，以一種理性方式進行推理和預測的能力。(7)協(xié)調、協(xié)作和協(xié)商能力：能在多智能體環(huán)境中協(xié)同工作和沖突消解，以執(zhí)行和完成一些互相受益且自身無法獨立求解的復雜任務。(8)移動性：能在分布式網(wǎng)絡中移動，且其狀態(tài)在此過程中保持一致。(9)學習與適應性：能積累和學習經(jīng)驗和知識，并修改自身的狀態(tài)以適應新形勢。版權所有，盜版必糾9.2.4多智能體系統(tǒng)MAS簡介根據(jù)人類思維的層次模型，可以把智能體Agent分為：1.反應智能體只是簡單地對外部刺激產(chǎn)生反應，沒有任何內部狀態(tài)。它不具有關于環(huán)境的符號模型，不存在復雜的符號推理機制，而是以一種“刺激--響應”的方式來對環(huán)境的當前狀態(tài)做出響應。只對環(huán)境的變化或來自其它智能體的消息產(chǎn)生反應，而不能對其內部狀態(tài)進行推理。通過觸發(fā)規(guī)則或執(zhí)行預先定制的規(guī)劃來執(zhí)行動作。該類智能體能及時快速響應環(huán)境變化和對外來信息做出處理，但缺乏足夠的靈活性。版權所有，盜版必糾9.2.4多智能體系統(tǒng)MAS簡介2.認知智能體在內部有一個符號推理模型，智能體依據(jù)該模型以符號推理的方式進行規(guī)劃和協(xié)商，并且使用邏輯或偽邏輯推理進行決策。它能采用基于符號表示和邏輯推理來創(chuàng)建、更新、評價和選擇執(zhí)行適宜規(guī)劃以采取動作和完成目標，具有較強的靈活性和較高的智能，但對環(huán)境的變化無法做出快速響應。版權所有，盜版必糾9.2.4多智能體系統(tǒng)MAS簡介3.混合智能體將上述兩類結構有機結合而成的智能體。入侵檢測中所用到的智能體通常是基于混合智能體設計的，它既能對環(huán)境變化及時反應，也能進行推理決策。版權所有，盜版必糾9.2.4多智能體系統(tǒng)MAS簡介總之，在分布式人工智能(DAI，DistributedArtificialIntelligence)中,智能體所處的環(huán)境可以是封閉的，也可以是開放的。智能體的性質可以是自利的，也可以是合作的，或兩者兼而有之。有些研究者把DPS作為MAS的一種特殊形式，當MAS滿足下面三個假設時可以看作是DPS：1.智能體由集中設計者統(tǒng)一設計；2.智能體有共同全局目標；3.智能體是合作的。入侵檢測中的智能體系統(tǒng)通常是廣義的，基本等同于DAI，包括上述的MAS和DPS。版權所有，盜版必糾9.2.5智能體Agent簡介隨著計算機網(wǎng)絡和計算機通信等技術的發(fā)展，對于智能體Agent技術的研究已成為分布式人工智能DAI研究的一個熱點。智能體技術提供了一種新的計算和問題求解規(guī)范。智能體雛形出現(xiàn)于1977年,Hewitt提出了并發(fā)演員模型。他稱自包容的、交互的、并發(fā)執(zhí)行的對象為演員。每個演員都有自己的狀態(tài)，有能力響應其它演員發(fā)來的消息。智能體的研究可以劃分為兩個階段：第一階段：1977—1990，研究內容集中在慎思式智能體；第二階段：1990—至今，研究內容集中在智能體理論、體系結構和語言上。版權所有，盜版必糾9.2.5智能體Agent簡介1995年，Wooldridge和Jennings對智能體做出了權威性的定義如下：1.弱定義:智能體是一個基于軟件或硬件的計算機系統(tǒng)，它擁有以下特性：自治性、社會能力、反應性和能動性。2.強定義:智能體在弱定義的特性基礎上，還要包括情感等人類的特性。為了支持智能體的諸如自主性、社會性和自適應性等特性，確保智能體之間能夠通過社會性交互來進行問題求解，推動基于智能體系統(tǒng)的開發(fā)，智能體技術必須解決一系列關鍵性問題。版權所有，盜版必糾9.2.5智能體Agent簡介1.智能體的通訊智能體之間進行合作的基礎是交互，而通訊是實現(xiàn)交互的一種重要的方式和手段。智能體的通訊涉及智能體通訊語言、通訊機制、本體論通訊和智能體交互協(xié)議等多方面內容的研究。智能體之間通訊的消息必須具有良定義的語法和語義。在基于智能體系統(tǒng)中，必須提供某些機制確保智能體之間安全和可靠地進行通訊。智能體間的通訊機制應能支持智能體之間的同步或者異步通訊，支持一對一和一對多的廣播通訊。本體論通訊可以較為有效地解決智能體間通訊內容的語義不確定問題。為了促進智能體之間的合作，必須定義智能體之間的交互協(xié)議。它決定了通訊參與方智能體對智能體間通訊內容的理解以及做出的響應，因而決定了智能體間的合作模式。版權所有，盜版必糾9.2.5智能體Agent簡介2.智能體內部構造構造具有自主性、社會性和自適應性的智能體是智能體技術的關鍵。它涉及到智能體內部狀態(tài)的表示和操縱、自適應性和對環(huán)境的理解等問題的研究。智能體的內部結構可以是反應式的、慎思式的或者二者兼而有之的混合式。在實際開發(fā)中采用什么樣的內部結構主要取決于具體應用系統(tǒng)的需求。如何表示智能體的內部狀態(tài)以及智能體如何基于內部狀態(tài)自主地做出行為決策將是智能體技術面臨的一個關鍵問題。自適應性智能體可以是簡單的反應式系統(tǒng)，也可以是復雜的慎思式系統(tǒng)。慎思式智能體可以具有學習功能，可以進化。它能根據(jù)其經(jīng)驗改變其行為。為了能夠根據(jù)環(huán)境自主地做出反應，智能體必須能夠通過某些機制來獲取并理解環(huán)境信息。版權所有，盜版必糾9.2.5智能體Agent簡介3.智能體生命周期管理在多數(shù)情況下，智能體將以一種軟件的形式持續(xù)地運行在一定的環(huán)境之中，因此必須提供某些機制對智能體生命周期中的各種活動進行管理。移動智能體將引入其它生命周期管理問題如運行許可、智能體地址定位等。在智能體生命周期過程中，智能體也可進化甚至克隆自己，這將涉及一些更加復雜問題的解決如對責任和權限的代理等。智能體的生命周期管理應對智能體的行為歷史做出記錄，以便于智能體能夠對其先前的行為做出審查和評估。此外，在智能體的生命周期中，智能體對外展示的接口也是動態(tài)的，以反應智能體內部狀態(tài)和環(huán)境的變化。在智能體生命周期中，智能體的行為和角色將動態(tài)地發(fā)生變化，反應了智能體角色的多面性和動態(tài)性。版權所有，盜版必糾9.2.5智能體Agent簡介4.智能體的移動移動智能體對智能體技術提出了新的問題。例如它需要運行智能體的服務器產(chǎn)生移動代碼權限驗證和安全性問題，這增加了管理上的難度。又如確定移動智能體的位置；在其移動過程中如何與其進行通訊；當網(wǎng)絡發(fā)生故障甚至崩潰時如何讓其回到源出發(fā)地等。同時在移動智能體系統(tǒng)中，智能體的命名和身份鑒別將變得更加重要。版權所有，盜版必糾9.2.5智能體Agent簡介5.智能體的代理功能智能體可以作為人或者其它計算實體的代理充當許多職責，在其運作過程中，智能體可能具有多種身份。一個健壯的系統(tǒng)在與智能體進行交互過程中必須考慮智能體的身份。此外作為其它實體的代理，智能體在其運行中必須能夠識別自己和其它智能體的身份。版權所有，盜版必糾9.2.5智能體Agent簡介7.系統(tǒng)的軟件開發(fā)方法制定系統(tǒng)的、標準化的軟件開發(fā)方法來指導基于智能體系統(tǒng)的開發(fā)，包括需求分析、軟件設計、測試和驗證等。智能體技術是目前計算機科學領域中一個非常重要、研究活躍的內容之一。近年來引起了學術界和工業(yè)界的高度關注和重視。自八十年代以來，許多人和研究機構致力于這一領域的研究，取得了不少研究成果。在工業(yè)界，許多有影響的軟件開發(fā)公司和組織如IBM、Toshiba、Microsoft等積極開展智能體技術的研究，尋求其應用。版權所有，盜版必糾9.2.5智能體Agent簡介6.智能體的安全、身份和相關策略智能體通常作為一個軟件實體運行在分布計算環(huán)境中。因而面臨分布式計算系統(tǒng)通常遇到的安全性問題，包括未經(jīng)授權的截獲信息，未經(jīng)授權的修改信息，破壞數(shù)據(jù)，未經(jīng)授權的拷貝，否認承諾和否認行為等。安全策略可以控制對系統(tǒng)有價值資源的存取和訪問。它通常采用基于智能體的身份認證和加密技術。一個智能體可以具有多種身份。智能體的身份通常需要第三方的認證。版權所有，盜版必糾9.2.5智能體Agent簡介現(xiàn)階段幾乎所有基于智能體系統(tǒng)的開發(fā)都是通過以下方式實現(xiàn)的：(1)編程語言：Java或C++；(2)通訊語言：KQML或者FIPA的ACL；(3)內容語言：KIF、XML。由此可見，當前基于智能體系統(tǒng)的開發(fā)缺乏相應的軟件開發(fā)工具和環(huán)境的有效支持，絕大部分系統(tǒng)的開發(fā)不得不借助于成熟的面向對象技術來實現(xiàn)。版權所有，盜版必糾9.2.5智能體Agent簡介現(xiàn)階段幾乎所有基于智能體系統(tǒng)的開發(fā)都是通過以下方式實現(xiàn)的：(1)編程語言：Java或C++；(2)通訊語言：KQML或者FIPA的ACL；(3)內容語言：KIF、XML。由此可見，當前基于智能體系統(tǒng)的開發(fā)缺乏相應的軟件開發(fā)工具和環(huán)境的有效支持，絕大部分系統(tǒng)的開發(fā)不得不借助于成熟的面向對象技術來實現(xiàn)。版權所有，盜版必糾9.2.5智能體Agent簡介在入侵檢測特別是分布式入侵檢測當中，攻擊和檢測的語義內容十分豐富，但內容語言KIF表達語義能力不強，使得上述基于智能體系統(tǒng)開發(fā)方式存在局限性。由于OWL具有良好的語義表示能力，可以將采用OWL擴展KQML的內容層，通過Ontology技術，豐富了KQML語義的表達，可以方便地表達入侵檢測中的語義。版權所有，盜版必糾9.3入侵檢測系統(tǒng)中Agent實現(xiàn)技術

系統(tǒng)中的Agent由三類Agent組成：(1)中心Agent；(2)分析Agent；(3)主機Agent和網(wǎng)絡Agent。各個Agent之間相互協(xié)作又相互獨立，并具有很好的可配置性和可擴展性。版權所有，盜版必糾9.3入侵檢測系統(tǒng)中Agent實現(xiàn)技術9.3.1中心Agent中心Agent位于整個系統(tǒng)的最高層即管理層，它負責監(jiān)控系統(tǒng)中的所有Agent，對Agent進行配置管理，顯示告警信息并對告警事件做相應的處理。它也是系統(tǒng)跟用戶界面交互的部分，相當于一個控制臺。如圖9.3所示為中心Agent的結構。版權所有，盜版必糾9.3入侵檢測系統(tǒng)中Agent實現(xiàn)技術1.事件管理事件管理模塊管理的事件是由主機Agent、網(wǎng)絡Agent、分析Agent等所產(chǎn)生的告警事件，這些事件包括入侵警報、可疑行為等。事件管理則要解決如何有效地顯示、和用戶交互的問題。系統(tǒng)將顯示該事件的所有詳細信息。這里可以對各種不同的告警事件進行分類顯示，按不同的顏色區(qū)別不同威脅程度的攻擊，按時間順序列出攻擊的詳細情況，按相同IP地址將攻擊分類等等。版權所有，盜版必糾9.3入侵檢測系統(tǒng)中Agent實現(xiàn)技術2.報告生成(1)事件檢測報告事件檢測報告通常以事件為單位產(chǎn)生，或以一天的總結報告的形式產(chǎn)生。它們常以電子郵件的方式發(fā)送，而且入侵檢測系統(tǒng)應該提供靈活的地址并能夠進行PGP加密。分析員應有機會報告控制臺上顯示的每一個檢測事件，而且可以通過點擊鼠標接受每個檢測事件。然后，系統(tǒng)自動產(chǎn)生報告，分析員在報告發(fā)送之前進行檢查和注釋。版權所有，盜版必糾9.3入侵檢測系統(tǒng)中Agent實現(xiàn)技術(2)周、月總結報告管理部門通常對自己負責的站點是否正在受到攻擊感興趣。但是以事件為單位或以天為單位的報告需要花費很多時間來處理，而且無法幫助他觀察宏觀的形勢。周或月總結報告解決了這個問題。通常，管理者的級別越高，向他發(fā)送報告的頻率就應越低。系統(tǒng)管理員通過對報告的分析，針對不同功能的Agent制定更好的策略。版權所有，盜版必糾9.3入侵檢測系統(tǒng)中Agent實現(xiàn)技術3.Agent管理和配置由于系統(tǒng)中存在多個不同級別、不同功能的Agent，不同Agent所采取的分析方法也不同，所以有必要對這些Agent進行統(tǒng)一的管理和配置。要記錄各個Agent的名字、IP地址、通訊端口以及所實現(xiàn)的功能等等，并能夠停止和啟動不同的Agent。對主機Agent而言，不同的主機Agent所使用的規(guī)則庫也是不一樣的，所以中心Agent需要對主機Agent的規(guī)則庫進行重新配置，以適應各種不同的情況。版權所有，盜版必糾9.3入侵檢測系統(tǒng)中Agent實現(xiàn)技術4.響應系統(tǒng)響應是一個入侵檢測系統(tǒng)必須的一個部分，沒有它入侵檢測就失去了存在的價值。最簡單的自動響應是自動通知。當檢測到入侵發(fā)生時。入侵檢測系統(tǒng)可以給管理員發(fā)EMAIL或打尋呼。一種比較主動的響應是阻止正在進行的攻擊，使得攻擊者不能夠繼續(xù)訪問。例如通過注入復位數(shù)據(jù)報來截斷攻擊者和目標主機之間的連接、通過更新配置防火墻來限制入侵者的訪問等。更為主動的響應是探測到進攻時發(fā)起對攻擊者的反擊。但這個方法是非常危險的，它不但是非法的，也會影響網(wǎng)絡上無辜的用戶。這個方法如圖9.4所示：版權所有，盜版必糾9.3入侵檢測系統(tǒng)中Agent實現(xiàn)技術這個方法如圖9.4所示：版權所有，盜版必糾9.3.2分析Agent分析Agent在整個系統(tǒng)中處于分析層，它對各個主機Agent發(fā)送來的數(shù)據(jù)進行綜合分析，以便檢測到涉及多臺主機與網(wǎng)絡有關的入侵行為；分析Agent注重于高層次的分析方法，綜合運用概率統(tǒng)計技術、數(shù)據(jù)挖掘技術或神經(jīng)網(wǎng)絡技術，進行特征提取和模式匹配，不斷學習，動態(tài)擴充入侵模式庫，動態(tài)更新系統(tǒng)正常行為軌跡，以便發(fā)現(xiàn)異常入侵，充分發(fā)揮分析Agent的檢測能力。在一個分布式的入侵檢測系統(tǒng)中會存在多個不同的分析Agent，每個分析Agent所采用的檢測方法也不一定相同。版權所有，盜版必糾9.3.2分析Agent分析Agent的結構如圖9.5所示。版權所有，盜版必糾9.3.2分析Agent數(shù)據(jù)存儲模塊是接收來自主機Agent的數(shù)據(jù)，并將數(shù)據(jù)存入數(shù)據(jù)庫中，以便于以后的分析。由于主機Agent和網(wǎng)絡Agent傳送來的數(shù)據(jù)是已經(jīng)經(jīng)過處理的數(shù)據(jù)，這樣大大減少了網(wǎng)絡數(shù)據(jù)的傳輸，降低了網(wǎng)絡的負載。構造專用的存儲系統(tǒng)可以提高反應速度，但那是一個艱難的過程?？梢赃x擇現(xiàn)有的數(shù)據(jù)庫系統(tǒng)來建立存儲系統(tǒng)?，F(xiàn)有的數(shù)據(jù)庫系統(tǒng)都支持SQL查詢，它對搜索的封裝使得分析系統(tǒng)可以使用通用的接口。版權所有，盜版必糾9.3.3主機和網(wǎng)絡Agent主機和網(wǎng)絡Agent處于整個分布式系統(tǒng)的最低層。主機Agent的功能是在所在主機上以各種方法收集信息并對這些數(shù)據(jù)進行初步分析，包括分析日志、監(jiān)視用戶行為、分析系統(tǒng)調用、分析該主機的網(wǎng)絡通信等，所以主機Agent是依賴于操作系統(tǒng)平臺的。網(wǎng)絡Agent的功能是收集網(wǎng)絡上的數(shù)據(jù)包，并對它進行初步分析，將明顯不是入侵的數(shù)據(jù)丟棄，將明顯是攻擊的數(shù)據(jù)截獲并報警。將其它可疑數(shù)據(jù)傳送給上層Agent。版權所有，盜版必糾9.3.3主機和網(wǎng)絡Agent主機Agent和網(wǎng)絡Agent的結構類似，只不是它們的數(shù)據(jù)源不同，如圖9.6所示。版權所有，盜版必糾9.4Agent之間的通信智能體Agent之間良好的通訊機制是基于多主體技術的大規(guī)模分布式入侵管理系統(tǒng)正常運行的前提保證。Agent之間的通信語言即ACL(AgentCommunicationLanguage)是agent之間交換信息和知識的手段，而ACL中KQML(KnowledgeQueryandManipulationLanguage)是現(xiàn)在比較流行的Agent通信語言。本文采用KQML作agent的通信語言，從而實現(xiàn)智能體Agent之間語義上的通信。版權所有，盜版必糾9.4.1KQML通信語言KQML具有三大屬性：1.KQML獨立于網(wǎng)絡傳輸機制（即TCP,SMTP等）；2.KQML獨立于內容語言（即SQL,OWL,PROLOG等）；3.KQML獨立于內容實體。版權所有，盜版必糾9.4.1KQML通信語言KQML可分為三個層次：通信層、消息層和內容層。結構圖如圖9.7所示：版權所有，盜版必糾9.4.1KQML通信語言圖9.7KQML的三層結構