劉世江

(中鐵三局，山西晉中030600)

Agent技術(shù)已經(jīng)在計算機科學的許多領(lǐng)域得到了廣泛的應(yīng)用，它也是近幾年分布式人工智能領(lǐng)域研究的熱點之一。并且，分布式計算由Agent技術(shù)的可適應(yīng)性、自治性和移動性等特性賦予了新的模式，實體間的關(guān)系因為這種計算模式而越發(fā)的動態(tài)和平等，強調(diào)的是自治合作，與傳統(tǒng)的服務(wù)器、客戶機模式不相同。軟件Agent的成功應(yīng)用依賴于Agent平臺的支持和工程方案的技術(shù)可行性以及應(yīng)用領(lǐng)域自身的特性。

1 什么是Agent

作為網(wǎng)絡(luò)和人工智能技術(shù)發(fā)展的必然結(jié)果，Agent的中文解釋包括代理、智能體、智能代理等多種。迄今為止，對Agent的定義沒有統(tǒng)一的定論，各個組織機構(gòu)對其的定義都有所不同。其中，Agent標準化組織FIPA(Foundation for Intelligent Physical Agent)對Agent的定義為:Agent作為一個實體存在和停留于環(huán)境中，用以解析反映環(huán)境中所發(fā)生事件的、來自于環(huán)境的數(shù)據(jù)，并采取一定的行為對環(huán)境產(chǎn)生影響［1］。從這個定義中可以看出，Agent既可以是硬件，也可以是軟件，是一種“生存”于環(huán)境中的實體。

2 基于Agent的IDS現(xiàn)狀

傳統(tǒng)集中式的入侵檢測系統(tǒng)隨著復雜計算機網(wǎng)絡(luò)的發(fā)展和分布式應(yīng)用的普及，會出現(xiàn)網(wǎng)絡(luò)流量不斷增大而造成的丟包問題，無法良好滿足系統(tǒng)的需求，而分布式結(jié)構(gòu)正逐步取代傳統(tǒng)結(jié)構(gòu)成為一種新的IDS基本體系結(jié)構(gòu)。智能體作為復雜網(wǎng)絡(luò)環(huán)境下實現(xiàn)分布式應(yīng)用的理想工具，它具有自適應(yīng)性、自主性、分布性等優(yōu)點。基于Agent的入侵檢測系統(tǒng)對復雜多變的網(wǎng)絡(luò)環(huán)境具有很強的自適應(yīng)能力，這種系統(tǒng)充分利用網(wǎng)絡(luò)資源協(xié)同完成入侵檢測任務(wù)，而且能通過自我學習、自我進化提高自身的入侵檢測能力［2］。

3 基于Agent的DIDS模型

本文提出了一種基于Agent的分布式入侵檢測系統(tǒng)(Distributed Intrusion Detection System，DIDS)模型，該系統(tǒng)的檢測和處理都采用分布的方式，保證了檢測和判斷系統(tǒng)中可能發(fā)生的入侵行為的實時性，彌補了現(xiàn)有入侵檢測系統(tǒng)的不足之處。這種模型具有較強的動態(tài)管理能力和配置的靈活性以及諸多特點，如:平衡網(wǎng)絡(luò)負載、減少網(wǎng)絡(luò)流量、提高容錯度以及數(shù)據(jù)訪問和異步交互本地化的特點。

本論文設(shè)計的系統(tǒng)是在分布式環(huán)境下多Agent的一種系統(tǒng)模型，系統(tǒng)中的每個Agent彼此獨立、各司其職，但又互相協(xié)作。即各個感應(yīng)Agent為相互獨立，具有入侵檢測功能的單元，它們的入侵檢測工作相對獨立，但又通過相互協(xié)作更好的、全面的對主機系統(tǒng)和網(wǎng)絡(luò)進行了檢測。基于Agent的DIDS模型如圖1所示。

圖1 基于Agent的分布式入侵檢測系統(tǒng)

3.1 感應(yīng)Agent的設(shè)計

按照感應(yīng)Agent的要求，將該功能模塊分為管理單元、檢測單元、響應(yīng)單元、通信單元和協(xié)作單元五個單元［3］，感應(yīng)Agent的模塊結(jié)構(gòu)如圖2所示。

圖2 感應(yīng)Agent的模塊結(jié)構(gòu)

3.2 分析Agent的設(shè)計

分析Agent屬于入侵檢測系統(tǒng)的高層檢測組件，它的任務(wù)是感應(yīng)Agent管理者、協(xié)作檢測和數(shù)據(jù)分析。根據(jù)分析Agent所具有的分析和管理功能，模塊結(jié)構(gòu)應(yīng)包括:感應(yīng)Agent管理單元、事件處理單元、協(xié)作分析單元、協(xié)議單元以及通信單元［4］，各單元的相互管理協(xié)作關(guān)系如圖3所示。

圖3 分析Agent模塊結(jié)構(gòu)

3.3 響應(yīng)策略

入侵檢測系統(tǒng)的響應(yīng)Agent和各模塊中的簡單處理單元，應(yīng)該對系統(tǒng)的功能模塊檢測到的入侵行為及時做出響應(yīng)，這個響應(yīng)行為有如下幾種。

1)跟蹤攻擊者:攻擊者在攻擊目標前通常情況下會入侵多個主機，有可能偽裝成這些主機的源地址，并以前者為后者跳板將對多個被入侵主機串聯(lián)成一條主機鏈。本論文的入侵檢測系統(tǒng)正是利用了這一特點找到具有發(fā)起包的實際主機所在位置。即，順著主機鏈反向追蹤，有效地發(fā)現(xiàn)攻擊者。

2)對攻擊目標做出響應(yīng):當系統(tǒng)檢測到攻擊時，目標主機檢測到攻擊和對攻擊快速響應(yīng)是至關(guān)重要的?？斓捻憫?yīng)速度可以阻礙攻擊者更好的建立立足點，防止入侵者利用這個被入侵的主機對網(wǎng)絡(luò)中其它主機造成破壞。同時使修復攻擊者已造成的破壞變得更容易。

3)攻擊源點作出響應(yīng):入侵檢測系統(tǒng)在被入侵主機上對攻擊者響應(yīng)，可以非常有效地限制攻擊者的行為。入侵檢測系統(tǒng)在沒有使用Agent技術(shù)的情況下是不可能有效地執(zhí)行糾正行動，因為沒有足夠數(shù)量的入口到攻擊者主機。

4)收集主機和網(wǎng)絡(luò)組件中的相關(guān)攻擊的證據(jù):傳統(tǒng)入侵檢測系統(tǒng)運行特定的程序，所以這種系統(tǒng)就無法實現(xiàn)在多個不同的源點自動收集攻擊證據(jù)。而在入侵檢測系統(tǒng)中使用Agent技術(shù)，使系統(tǒng)運行任何程序無須有時間和地點的限制，也就是系統(tǒng)收集證據(jù)不需要有相同的硬件平臺和操作系統(tǒng)。有了Agent技術(shù)的加入，系統(tǒng)可以通過對有關(guān)主機設(shè)置動態(tài)更新以達到嚴密審查重要或可疑的網(wǎng)絡(luò)位置［5］，這樣，入侵檢測系監(jiān)測網(wǎng)絡(luò)入侵實現(xiàn)了智能化。

5)目標和源點的隔離:如果對源點和目標的自動響應(yīng)異常將無法有效地阻止攻擊行為，所以，自動響應(yīng)異常的情況下阻止攻擊行為需要在網(wǎng)絡(luò)層進行，有三種常用的策略:阻止目標的通信，阻止攻擊者的通信，阻止目標間和攻擊者的通信［6］。Agent應(yīng)用于入侵檢測系統(tǒng)，即Agent在網(wǎng)絡(luò)元件中穿梭、對破壞的修復行為，使得三種策略的有效執(zhí)行得以實現(xiàn)。

4 結(jié)論

本文提出了一種基于Agent技術(shù)的DIDS系統(tǒng)結(jié)構(gòu)模型，以有效地解決對入侵檢測系統(tǒng)中網(wǎng)絡(luò)流量不斷增大而造成的數(shù)據(jù)包丟失問題。該系統(tǒng)可依據(jù)網(wǎng)絡(luò)流量的大小動態(tài)調(diào)整系統(tǒng)中的檢測Agent數(shù)量，既不過多消耗系統(tǒng)資源又從而分擔了網(wǎng)絡(luò)流量。一改傳統(tǒng)集中式的入侵檢測系統(tǒng)丟包問題，及無法滿足系統(tǒng)需求的問題，使入侵檢測系統(tǒng)充分利用網(wǎng)絡(luò)資源協(xié)同完成入侵檢測任務(wù)，對復雜多變的網(wǎng)絡(luò)環(huán)境具有很強的自適應(yīng)性，具有通過自我學習、自我進化提高自身的入侵檢測能力。

［1］Earl Carter.CISCO安全入侵檢測系統(tǒng)［M］.北京:人民郵電出版社，2005.

［2］唐正軍.入侵檢測技術(shù)導論［M］.北京:機械工業(yè)出版社，2004.

［3］羅守山.入侵檢測［M］.北京:北京郵電大學出版社，2004.

［4］薛靜鋒，寧宇鵬，閻慧.入侵檢測技術(shù)［M］.北京:機械工業(yè)出版社，2004.

［5］Rebecca Gurley Bace.入侵檢測［M］.陳明奇，吳秋新，張振濤，等譯.北京:人民郵電出版社，2001.