摘 要：移動Agent入侵檢測系統(tǒng)(Mobile Agent Intrusion Detection System，MAIDS)是一種基于Agent的入侵檢測系統(tǒng)。對MAIDS的描述采用SFT到CPN的轉(zhuǎn)化首先用SFT(Software Fault Tree)描述入侵行為，然后將SFT轉(zhuǎn)化為CPN(Colors Petri Nets)以建立入侵行為的描述模板，最后轉(zhuǎn)化成分布式Agent的實現(xiàn)。基于SFT、CPN和移動Agent的分布式入侵檢測系統(tǒng)具有錯誤少、數(shù)據(jù)量小等優(yōu)點。

關(guān)鍵詞：入侵檢測；MAIDS；SFT；CPN

中圖分類號：TP311 文獻標識碼：B

文章編號：1004-373X(2008)10-100-03

Distributed Instrusion Detection System Based on SFT，CPN and Mobile Agent



PAN Zengwei

(Faculty of Informatics Electronics，Zhejiang Sci-Tech University，Hangzhou，310018，China)

Abstract：The Mobile Agent Intrusion Detection System(MAIDS) is an Agent-based distributed Intrusion Detection System(IDS).The starting point of this paper is a description of intrusions expressed as SFT.Then the SFT is translated to CPN to build the description template of intrusion.Finally the CPN are implemented as distributed Agent.Distributed intrusion detection system based on SFT，CPN and mobile Agent has much advantages such as making less mistakes.The innovation is using  the transform from SFT to CPN in the description of MAIDS. 

Keywords：instrusion;MAIDS;SFT;CPN

隨著網(wǎng)絡(luò)技術(shù)的普及，Internet被應(yīng)用于各個領(lǐng)域，包括軍事、商業(yè)目的，一旦遭到攻擊，后果將是具有災(zāi)難性的。入侵檢測系統(tǒng)（IDS）是一種主動的網(wǎng)絡(luò)安全防護措施，通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點主動收集信息并對其進行分析，從中識別針對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的非法攻擊。IDS不僅可以有效地檢測入侵，同時也可以分析出攻擊的來源。傳統(tǒng)的入侵檢測系統(tǒng)的模型是在網(wǎng)絡(luò)的不同網(wǎng)段上放置多個傳感器或探測器收集當前網(wǎng)絡(luò)狀態(tài)信息，然后將這些信息傳送到中央控制臺進行處理和分析，即集中式處理方法，這種方法加重了中央控制臺的負擔，同時也大大增加了網(wǎng)絡(luò)數(shù)據(jù)量。

移動Agent入侵檢測系統(tǒng)^[1]（MAIDS）是一種基于Agent的IDS，他區(qū)別于其他的IDSs因為他的設(shè)計、執(zhí)行和驗證都是采用形式化方法，而且移動Agent代碼（mobile Agent code）也是從入侵的形式化需求中產(chǎn)生的。MAIDS使用CPN（Colored Petri Net）和SFT（Software Fault Tree）兩種形式化方法。

1 采用技術(shù)

1.1 SFT

SFT是一種故障樹，是一種特殊的倒立樹狀邏輯因果關(guān)系圖，他將系統(tǒng)故障形成原因由整體到部分按樹的形狀排列^[2]。一棵故障樹包括根結(jié)點、葉子結(jié)點和中間結(jié)點，其中故障事件作為樹的根結(jié)點，導(dǎo)致故障發(fā)生的基本事件作為樹的葉子結(jié)點，中間的與門(AND gates)或者或門(OR gates)作為中間結(jié)點，這些中間結(jié)點決定了基本事件的聯(lián)合發(fā)生是否可以產(chǎn)生導(dǎo)致根結(jié)點事件的發(fā)生。

在軟件系統(tǒng)中，通常是單獨的基本事件或者幾個基本事件結(jié)合導(dǎo)致故障的發(fā)生，所以故障樹是適用于軟件故障分析的。在進行故障樹分析之前，需要廣泛收集并分析有關(guān)技術(shù)資料，建樹時首先確定故障事件，根據(jù)收集的技術(shù)資料將引起故障事件的全部必要而又充分的直接原因置于故障事件的下一層，再根據(jù)他們的邏輯關(guān)系用適當?shù)倪壿嬮T連接故障事件和原因。最后遵循建樹規(guī)則逐級向下發(fā)展，直到所有最低一排原因事件都是底事件為止。但是SFT是一個靜態(tài)過程，他不能用來表示一些與時間序列相關(guān)的事件，所以需要在SFT中增加時間變量time和次序變量seq。

1.2 CPN

CPN通常用于建模復(fù)雜的、分布式的系統(tǒng)，目前他已經(jīng)被應(yīng)用到很多問題領(lǐng)域，如安全、網(wǎng)絡(luò)協(xié)議、互斥算法和一些錯誤管理和系統(tǒng)安全領(lǐng)域^[4]。CPN是一個雙向圖，他的結(jié)點包括place和transition。在place上的數(shù)據(jù)實體叫作“token”，他通過transition由一個place移動到另一個place上。Transition過程中通過一些規(guī)則來管理帶有顏色的令牌，由若干個place通過輸入弧輸入到transition中，經(jīng)過transition的過程管理后通過輸出弧將結(jié)果輸?shù)侥康膒lace中。

一個CPN是一個6元組：N＝，其中P是一個有窮集合（N的庫所集合）；T是一個有窮集合（N的變遷集合），并且和P不相交；C是顏色類集合；Cd為P∪T→C是顏色域的映射；

1.3 移動Agent

移動Agent是一個可以代表用戶完成指定的任務(wù)并且可以與其他Agent或資源交互的程序，他具有移動性，所以他可以自主地從一臺主機遷移到另一臺主機上。移動Agent系統(tǒng)一般都包括移動Agent和移動Agent平臺2個部分，移動Agent通過移動Agent平臺在網(wǎng)絡(luò)進行遷移和其他操作，在一個主機上他可以與移動Agent平臺和資源進行交互以完成任務(wù)；移動Agent平臺為Agent提供安全、正確的運行環(huán)境，實現(xiàn)移動Agent的移動、建立、安全控制、通信機制等。

2 MAIDS Agent系統(tǒng)

MAIDS Agent系統(tǒng)是由一個分析器和多個監(jiān)視器組成，每個監(jiān)視器都有一個本地數(shù)據(jù)庫、一個Agent平臺和本地數(shù)據(jù)資源分類器；分析器中的控制臺包括主機管理、Agent管理和告警顯示。他的設(shè)計思想由最底層的主機即監(jiān)視器收集相關(guān)數(shù)據(jù)并形成token；然后由移動Agent到各個數(shù)據(jù)源查詢是否有滿足條件的token，滿足條件則將變遷后產(chǎn)生的新token輸入到層次處理中，最后查看層次處理是否有token輸出到告警庫所中，有則啟動告警顯示。MAIDS的設(shè)計主要有4步：

（1） 用SFT詳細描述入侵行為。在進行詳細描述以前，需要廣泛收集并分析有關(guān)技術(shù)資料；建樹時首先確定故障事件，再找出引起故障的原因，逐層向下分析；遇到和時間序列相關(guān)的事件，需要添加時間變量time和次序變量seq；

（2） 將SFT所描述的內(nèi)容轉(zhuǎn)化為CPN。通過利用CPN理論來分析入侵行為，建立所需的入侵檢測系統(tǒng)模型，網(wǎng)絡(luò)入侵的CPN的檢測模型可以方便地轉(zhuǎn)化為基于移動Agent的分布式入侵檢測系統(tǒng)的實現(xiàn)；

（3） 根據(jù)CPN生成具體執(zhí)行的Agent；

（4） 測試。

過程如圖1所示：

圖1 MAIDS的設(shè)計步驟

2.1 SFT和CPN模型的轉(zhuǎn)化對應(yīng)規(guī)則

SFT和CPN模型的差別很大，所以在轉(zhuǎn)化過程中需要統(tǒng)一的規(guī)則來協(xié)調(diào)^[3]。SFT中有3類結(jié)點：不受限制的AND結(jié)點、受限制的AND結(jié)點和OR結(jié)點。

2.1.1 不受限制的AND結(jié)點

SFT中不受限制的AND結(jié)點對應(yīng)于在CPN中的transition結(jié)點和transition輸出弧所指向的place結(jié)點；AND結(jié)點中的n個輸入在CPN中即為n條輸入弧；輸入弧來自place（包括token source place和其他的place）。圖中表示了AND結(jié)點和CPN的轉(zhuǎn)化，圖2中4種情況的X和Y都表示為：X=1，if x∈Dx

0，otherwise，Y=1，if y∈Dy

0，otherwise 。AND結(jié)點中的X和Y表從與門輸入，得出結(jié)果Z，在不受限的情況下：Z=1，if (x∈Dx)∧(y∈Dy)

0，otherwise，而X和Y是transition的輸入token，Z則是通過transition規(guī)則管理后輸出的token。

2.1.2 受限制的AND結(jié)點

在一些情況下，AND結(jié)點之間的關(guān)系受到時間或者順序的限制。這些情況反應(yīng)在SFT中就是AND結(jié)點需要加上時間或者次序的限制。對應(yīng)于CPN就是為每個token加上時間或者次序變量。如果事件a比事件b要早發(fā)生，則事件a的token所帶的時間標記比事件b的要小，2個事件不能夠帶相同的標記。同樣，如果事件a比事件b要早發(fā)生，事件a的token的序列號要比事件b的要小。

（1） 先后事件。如圖2所示，time1和time2表示事件x和y的時間，SFT圖中的X和Y表示輸入與門，其中X和Y是獨立的，經(jīng)過與門后得出的Z需要滿足要求：

Z=1，if (x∈Dx)∧(y∈Dy)∧(time1

0，otherwise

而CPN中transition所設(shè)的條件是time1

（2） 順序事件。如圖2所示，seq1和seq2表示事件a和事件b的執(zhí)行順序號，seq2＝seq1＋1表示a和b是順序執(zhí)行的。其中X和Y和先后事件的條件一樣，但是經(jīng)過與門以后得出的Z為:

Z=1，if (x∈Dx)∧(y∈Dy)∧(seq1+1=seq2)0，otherwise 

2.1.3 或結(jié)點(or nodes)

當一個或結(jié)點的任何一個子結(jié)點滿足條件時，結(jié)果即為真。SFT中的或結(jié)點對應(yīng)于CPN中的transition和place，或結(jié)點所帶的n個輸入在CPN中就是n個transition。圖2中的X和Y的定義和先后順序中定義一致，但經(jīng)過或門以后得出的：Z=1，if (x∈Dx)∨(y∈Dy)

0，otherwise 。

圖2 SFT到CPN模型的轉(zhuǎn)化規(guī)則

2.2 SFT向CPN的自動轉(zhuǎn)化

根據(jù)上面提到的從SFT到CPN模版的轉(zhuǎn)化規(guī)則， SFT能夠用人工的方式轉(zhuǎn)化成CPN。Smruti.R.B在文獻中提出在XSL(Style Sheet Language)的支持下，SFT可以自動地轉(zhuǎn)化會CPN。以下是SFT的自動轉(zhuǎn)化過程：

用SFT工具來設(shè)計SFT。這一步中，用Visual XML Writer來設(shè)計SFT并為SFT XML設(shè)計DTD(Document Type Definition)。

用XSL將SFT XML轉(zhuǎn)化成CPN XML，這個轉(zhuǎn)化過程需要用到XSL轉(zhuǎn)化器，如Visual XML Writer。

用Design/CPN來驗證自動轉(zhuǎn)化的CPN，這一步可以對CPN進行優(yōu)化，提高CPN的效率。

2.3 CPN的檢測模型轉(zhuǎn)化成分布式Agent的實現(xiàn)

2.3.1 CPN模型到分布式Agent的對應(yīng)規(guī)則

要將CPN模型轉(zhuǎn)化為分布式Agent實現(xiàn)，首先要將CPN模型中的庫所和變遷分類，其中庫所包括葉子庫所、內(nèi)部庫所和警報庫所；變遷包括葉子變遷和內(nèi)部變遷。CPN模型中的元素和Agent之間存在一對一的關(guān)系：

CPN中每個葉子庫所結(jié)點，對應(yīng)產(chǎn)生庫所Agent；

每個內(nèi)部庫所結(jié)點，只起到容器的作用，不產(chǎn)生相應(yīng)的Agent；

每個葉子變遷結(jié)點，對應(yīng)產(chǎn)生移動變遷Agent；

每個內(nèi)部變遷結(jié)點，對應(yīng)產(chǎn)生靜態(tài)變遷Agent；

根結(jié)點不需要產(chǎn)生一個告警Agent，這個Agent由主控制臺產(chǎn)生。

3 系統(tǒng)框架

MAIDS由一個分析器和多個監(jiān)視器組成，每個監(jiān)視器都有一個本地數(shù)據(jù)庫、一個Agent服務(wù)器和本地數(shù)據(jù)資源分類器；分析器中的控制臺包括主機管理、Agent管理和報警顯示。

圖3 系統(tǒng)框架

葉子庫所和葉子變遷所對應(yīng)的Agent是通過控制臺的Agent管理器創(chuàng)建的，而其他庫所和變遷都是由Agent管理器在層次處理中本地創(chuàng)建的。葉子庫所Agent在每臺監(jiān)視器上都是相同的，他們是靜態(tài)的，不能移動。葉子變遷具有移動性，可以在監(jiān)視器之間循環(huán)移動。其他位于中間層的Agent都是靜態(tài)的。

葉子庫所Agent定時從位于每臺監(jiān)視器上的本地數(shù)據(jù)庫獲取數(shù)據(jù)，查到相關(guān)數(shù)據(jù)后把他格式化，并以token的形式存儲。當某個葉子變遷Agent移動到一臺監(jiān)視器時，他首先向源庫所查詢是否有符合變遷條件的token，如果有則把變遷中產(chǎn)生的token對象發(fā)送到目的庫所。

位于控制臺主機上的一般變遷定期查詢他的數(shù)據(jù)源，滿足條件就激發(fā)變遷并向目的庫所送出token對象，當告警庫所Agent中出現(xiàn)token對那個時，告警庫所Agent顯示告警信息。

4 結(jié) 語

引入SFT時前，通常專業(yè)人員系統(tǒng)掌握了整個入侵過程的流程，但不熟悉形式化建模工具，這樣直接生成CPN模型時難免會有疏漏，所以引入SFT技術(shù)可以增強整個建模過程的規(guī)范性；引入CPN技術(shù)后，系統(tǒng)充分利用各地資源進行數(shù)據(jù)采集和令牌生成，以及逐層向上減少網(wǎng)上數(shù)據(jù)傳輸量和數(shù)據(jù)處理量，大大提高了系統(tǒng)檢測效率；對seq和time兩變量作為匹配限制條件極大地減少了錯誤報警。

參 考 文 獻

［1］Smruti R B.Towards the Automatic Generation of Mobile Agents for Intrusion Detection System ［D］.Iowa State University，2004.

［2］Guy Helmer.A Software Fault Tree Approach to Requirements Analysis of an Intrusion Detection System[C].Indianapolis IN DSA:[s.n.]，2001.

［3］Guy Helmer.Software Fault Tree and Colored Petri Net Based Specification，Design and Implementation of Agent-based Intrusion Detection System[J].Requiremenfs Engineering，2000，7(4):207-220.

［4］Claude Girault.Petri Nets for Systems Engineering[M].Berlinj Springer，2003.

作者簡介 潘增偉 1986年出生，浙江溫州人。主要研究方向為計算機編程、程序設(shè)計、檢測等。

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。