郭廣豐　馬占飛

(內(nèi)蒙古科技大學(xué)包頭師范學(xué)院　內(nèi)蒙古 包頭 014030)

?

基于Multi-Agent和本體的分布式入侵檢測系統(tǒng)研究

郭廣豐馬占飛

(內(nèi)蒙古科技大學(xué)包頭師范學(xué)院內(nèi)蒙古 包頭 014030)

摘要入侵檢測系統(tǒng)IDS(Intrusion Detection System)經(jīng)歷了近三十年的發(fā)展，虛警率高等問題一直困擾著用戶，其原因可以部分歸結(jié)為知識表示能力不足和IDS缺少協(xié)同工作。針對上述問題，融合Agent和本體技術(shù)，在此基礎(chǔ)上建立相應(yīng)的入侵檢測本體知識庫，提出一種基于Multi-Agent和本體的分布式IDS系統(tǒng)。該系統(tǒng)采用以本體為核心的多層次、分布式體系結(jié)構(gòu)，從功能上分為探測器層、協(xié)同分析器層、知識管理層，從結(jié)構(gòu)上由知識管理Agent、主機(jī)入侵檢測Agent、網(wǎng)絡(luò)入侵檢測Agent、日志入侵檢測Agent以及其他入侵檢測Agent組成。各入侵檢測Agent間協(xié)作采用合同網(wǎng)模型和熟人模型的協(xié)作算法。經(jīng)過實(shí)驗(yàn)分析驗(yàn)證，該系統(tǒng)一方面提高了各檢測器的協(xié)同工作能力，降低了虛警率，另一方面可以大大減少各檢測器的通信量，提高了其協(xié)作效率。

關(guān)鍵詞入侵檢測系統(tǒng)Multi-Agent本體協(xié)作算法合同網(wǎng)熟人模型

RESEARCH ON DISTRIBUTED INTRUSION DETECTION SYSTEM BASED ON MULTI-AGENT AND ONTOLOGY

Guo GuangfengMa Zhanfei

(Baotou Teachers College,Inner Mongolia University of Science and Technology,Baotou 014030, Inner Mongolia, China)

AbstractIntrusion detection system (IDS) has been experienced about 30 years,but some problems such as the high false positive rate have always been plaguing its users with the cause being partially attributed to the deficiency of knowledge representation and the IDS lacking collaborated works. In view of above questions,the paper proposes a Multi-Agent and ontology-based distributed IDS by integrating Agent with ontology technology,and on that basis constructing the corresponding knowledge base of intrusion detection ontology. The system adopts multi-level and distributed architecture with the ontology as core,and functionally it can be divided into three levels: probes,collaborative analysers and knowledge management,and structurally it consists of the Agents for knowledge management,host intrusion detection,network intrusion detection,log intrusion detection,and other intrusion detection Agents. The collaboration between Agents uses the collaboration algorithm combining the contract net model and the acquaintance coalition model. It is verified through experimental analysis that on the one hand this system improves the interoperability of each detector and reduces false positives; on the other hand it is able to greatly cut down the traffic of communication between detectors and raises the efficiency of collaboration.

KeywordsIntrusion detection systemMulti-AgentOntologyCollaboration algorithmContract netAcquaintance coalition model

0引言

自從入侵檢測的概念在20世紀(jì)80年代中期引入以來[1]，入侵檢測系統(tǒng)IDS經(jīng)歷了近三十年的發(fā)展，虛警率高等問題一直困擾著用戶。IDS部署后，每天產(chǎn)生大量的報(bào)警，其中有許多錯(cuò)誤報(bào)警，運(yùn)維人員疲于應(yīng)付大量無效報(bào)警，報(bào)警信息嚴(yán)重過載，而對系統(tǒng)構(gòu)成嚴(yán)重威脅的攻擊淹沒在大量報(bào)警信息中，容易被運(yùn)維人員忽略。入侵檢測系統(tǒng)虛警率高的原因可以部分歸結(jié)為知識表示能力不足和IDS缺少協(xié)同工作[2，3]。

本體是一種知識表示技術(shù)，通過對概念的嚴(yán)格定義和概念之間的關(guān)系來確定概念之間的精確含義，表示共同認(rèn)可的、可共享的知識[4]。本體技術(shù)近年來得到了長足的發(fā)展，在以邏輯描述語言為基礎(chǔ)的本體描述語言支持下，本體對特定領(lǐng)域中的概念間相互關(guān)系的表示能力得到充分發(fā)揮，被應(yīng)用于很多研究領(lǐng)域[5-7]，入侵檢測方面的研究人員也開始關(guān)注本體。Victor Raskin等人于2001年對本體在信息安全領(lǐng)域的可用性進(jìn)行了研究，指出了本體可以將入侵事件的所有表象系統(tǒng)化并組織起來，從而可以大量減少所需描述的特征，提高入侵檢測系統(tǒng)的效率[8]。Jeffrey Undercoffe等人于2002年對本體在入侵檢測中的應(yīng)用進(jìn)行研究，但他建立本體時(shí)未考慮入侵響應(yīng)問題，也沒有提出相應(yīng)的入侵檢測模型[9]。李萬提出了一種擴(kuò)展的語義Web規(guī)則語言XSWRL，提出了一種層次化混合型報(bào)警關(guān)聯(lián)知識模型并基于XSWRL做了實(shí)現(xiàn)[10]。

Agent具有自主性等特征，Multi-Agent技術(shù)為解決入侵檢測系統(tǒng)的分布式問題提供了有效的方法[11，12]。鑒于上述研究，本文提出一種基于Multi-Agent和本體的分布式IDS系統(tǒng)，并建立相應(yīng)的入侵檢測本體知識庫，在此基礎(chǔ)上開發(fā)基于本體的入侵檢測系統(tǒng)，以解決現(xiàn)有IDS虛警率高及協(xié)同工作能力弱等問題。

1本體知識庫的構(gòu)建

本體的引入為網(wǎng)絡(luò)安全方面的知識表示和知識共享提供了新的研究方法。基于本體的解決問題方法屬于知識工程范疇，需要大量領(lǐng)域知識來解決問題。本文在文獻(xiàn)[10]的基礎(chǔ)上，增加Agent協(xié)作本體，從攻擊模式、系統(tǒng)脆弱性、IT資產(chǎn)信息、Agent協(xié)作四個(gè)方面建模，其框架如圖1所示。

圖1　入侵檢測本體框架

入侵檢測本體中基本的類有協(xié)作信息(Collaboration)、攻擊(Attack)、IT資產(chǎn)(Assert)、脆弱性或漏洞(Vulnerabilities)、IT資產(chǎn)系統(tǒng)狀態(tài)(AssertState)、協(xié)作任務(wù)(Task)、報(bào)警融合及檢測Agent (Agent)、主機(jī)操作系統(tǒng)(OS)、主機(jī)進(jìn)程(Process)等。其中：

? IT資產(chǎn)有兩個(gè)子類：網(wǎng)絡(luò)資產(chǎn)(NetworkAssert)、主機(jī)資產(chǎn)(HostAssert)；

? IT資產(chǎn)系統(tǒng)狀態(tài)有兩個(gè)子類：網(wǎng)絡(luò)狀態(tài)(NetworktState)、主機(jī)狀態(tài)(HostState)；

? 脆弱性或漏洞有兩個(gè)子類：網(wǎng)絡(luò)資產(chǎn)脆弱性(NetworktVulnerabilities)、主機(jī)脆弱性(HostVulnerabilities)。

它們之間有如下關(guān)系：

? IT資產(chǎn)系統(tǒng)狀態(tài)是攻擊本體的前提條件(preCoditon)或后續(xù)狀態(tài)(consequentState)；

? IT資產(chǎn)是攻擊本體的攻擊對象(attackObject)，IT資產(chǎn)系統(tǒng)狀態(tài)是IT資產(chǎn)的系統(tǒng)狀態(tài)(isStateOf)；

? IT資產(chǎn)有脆弱性或漏洞(hasVulnerability)；

? 協(xié)作本體(Collaboration)包含一個(gè)或多個(gè)任務(wù)(hasTask)，每個(gè)任務(wù)有參與協(xié)作的Agent類型(askAgent)和需要向參與協(xié)作Agent查詢的某IT資產(chǎn)的各種狀態(tài)(askState)；

? 攻擊行為之間存在整體-部分關(guān)系(hasPart)、前后關(guān)系(preAttack)，用于報(bào)警信息的融合。

入侵攻擊利用系統(tǒng)的脆弱性，采用相應(yīng)的方法入侵網(wǎng)絡(luò)設(shè)備、主機(jī)等IT資產(chǎn)對象，以達(dá)到攻擊目的。IT資產(chǎn)信息引入知識庫，根據(jù)其信息可以過濾掉指向無效IP或無效設(shè)備的攻擊，另外區(qū)分不同IT資產(chǎn)對象的安全級別，對安全級別要求高的對象優(yōu)先檢測。引入IT資產(chǎn)系統(tǒng)狀態(tài)，作為攻擊行為的前提條件和后續(xù)狀態(tài)，進(jìn)一步判定攻擊報(bào)警是否可信，可大大降低入侵檢測的虛警率。Agent協(xié)作本體的引入，實(shí)現(xiàn)了對協(xié)作檢測的刻畫，可大大提高Agent協(xié)作的效率和協(xié)作檢測的可信度。

2基于Multi-Agent和本體的IDS系統(tǒng)

在構(gòu)建本體知識庫的基礎(chǔ)上，本文提出了基于Multi-Agent和本體的IDS系統(tǒng)(MAOIDS)，其系統(tǒng)結(jié)構(gòu)如圖2所示。

圖2　基于Multi-Agent和本體的IDS系統(tǒng)結(jié)構(gòu)

該系統(tǒng)模型采用以本體為核心的多層次、分布式入侵檢測結(jié)構(gòu)，其從功能上分為三層，即探測器層、協(xié)同分析器層、知識管理層；結(jié)構(gòu)上是由知識管理Agent、主機(jī)入侵檢測Agent、網(wǎng)絡(luò)入侵檢測Agent、日志入侵檢測Agent以及其他入侵檢測Agent組成。

2.1功能模塊分析

各層的功能如下：

1) 探測器層

該層提供多種類型的探測器，分別從網(wǎng)絡(luò)、主機(jī)及其他設(shè)備收集原始數(shù)據(jù)。

2) 協(xié)同分析器層

該層為每一個(gè)探測器提供相應(yīng)的分析器，每個(gè)分析器可以根據(jù)本體的知識，識別入侵行為，在需要時(shí)向其它分析器發(fā)送協(xié)同分析命令。每個(gè)協(xié)同檢測器與其相應(yīng)的探測器組成一個(gè)入侵檢測Agent，如主機(jī)探測器與主機(jī)協(xié)同分析器組成主機(jī)入侵檢測Agent。每個(gè)協(xié)同分析器有局部本體知識庫，可獨(dú)立完成檢測任務(wù)，也可以與其他入侵檢測Agent協(xié)同工作。入侵檢測Agent可根據(jù)管理探測器的不同，自動(dòng)將全局入侵檢測本體知識庫的相關(guān)數(shù)據(jù)緩存到本地，形成屬于自己的局部本體知識庫，減少大量的通信負(fù)擔(dān)。

3) 知識管理層

該層一方面維護(hù)本體知識庫，保持本體知識的一致性；另一方面，檢測到攻擊時(shí)進(jìn)行報(bào)警，并采取相應(yīng)的響應(yīng)措施。該層包括知識庫更新組件、黑板、報(bào)警融合組件和報(bào)警控制臺，其中知識庫更新組件用于管理員維護(hù)和更新入侵檢測本體知識庫；黑板主要用于多個(gè)檢測器的協(xié)作，存放各Agent訪問地址、報(bào)警消息列表以及協(xié)作所需的數(shù)據(jù)；報(bào)警融合組件主要進(jìn)行報(bào)警信息的合并；報(bào)警控制臺提供與網(wǎng)絡(luò)管理員的用戶接口，在屏幕上輸出報(bào)警或發(fā)送報(bào)警郵件等。由知識庫更新組件、黑板、報(bào)警融合組件和報(bào)警控制臺組成的知識管理Agent，完成協(xié)作數(shù)據(jù)轉(zhuǎn)發(fā)、報(bào)警融合、入侵檢測本體知識庫維護(hù)等功能。

2.2組織結(jié)構(gòu)分析

基于Multi-Agent和本體的IDS系統(tǒng)由知識管理Agent和各類入侵檢測Agent組成。知識管理Agent充當(dāng)Agent管理者的角色，維護(hù)著全局的入侵檢測本體知識庫，并提供了與管理員交互的接口。各類入侵檢測Agent，啟動(dòng)時(shí)在知識管理Agent中注冊，并從其下載全局入侵檢測本體知識庫的相關(guān)數(shù)據(jù)到本地。下載知識庫后，各類入侵檢測Agent開始獨(dú)立工作，其探測器或收集器收集原始數(shù)據(jù)，其分析器根據(jù)本地的入侵檢測本體知識庫識別攻擊行為；當(dāng)遇到復(fù)雜的檢測任務(wù)時(shí)，向其他入侵檢測Agent發(fā)起協(xié)作任務(wù)，根據(jù)一定的協(xié)作算法(見2.3節(jié))，共同完成檢測任務(wù)；檢測完成后，將確認(rèn)后的報(bào)警信息發(fā)送給知識管理Agent。知識管理Agent中的報(bào)警融合組件對報(bào)警信息再次分析，合并有共同特征的報(bào)警，然后通過報(bào)警控制臺反饋給管理員。

2.3各入侵檢測Agent間協(xié)作

各入侵檢測Agent可獨(dú)立工作，處理復(fù)雜的檢測任務(wù)需與其它入侵檢測Agent協(xié)同工作。Agent之間采用FIPA ACL[13]規(guī)范進(jìn)行消息傳遞，其content字段的內(nèi)容使用OWL2[14]描述的本體格式填充，實(shí)現(xiàn)各Agent間數(shù)據(jù)及語義信息的交換。本文針對入侵檢測系統(tǒng)的特點(diǎn)，提出了合同網(wǎng)模型和熟人模型相結(jié)合的協(xié)商算法。

2.3.1合同網(wǎng)模型和熟人模型相結(jié)合的協(xié)商過程

多Agent任務(wù)協(xié)作需要經(jīng)歷3個(gè)階段：任務(wù)分配、問題求解和結(jié)果評價(jià)。具體協(xié)商過程由發(fā)起協(xié)商的Agent發(fā)出任務(wù)，其余的Agent進(jìn)行投標(biāo)，針對每個(gè)任務(wù)確定一個(gè)中標(biāo)Agent，由它執(zhí)行該任務(wù)，并把執(zhí)行結(jié)果反饋給發(fā)起協(xié)商的Agent，發(fā)起協(xié)商的Agent對執(zhí)行結(jié)果進(jìn)行評價(jià)。協(xié)商過程定義為一個(gè)四元組：。

A：所有IDS中Agent的集合，包含兩類角色：招標(biāo)方是發(fā)起協(xié)商的Agent，投標(biāo)方是參與協(xié)作的Agent；

T：需要協(xié)作完成的任務(wù)的集合；

Time：協(xié)商發(fā)起的時(shí)間；

Process：本文約定的協(xié)作過程，其過程如圖3所示。

1) 招標(biāo)準(zhǔn)備

招標(biāo)方如果需要協(xié)作的任務(wù)，需把任務(wù)分解為原子任務(wù)T={t1,t2,…,tj,…,tn}(即可由一個(gè)Agent完成的任務(wù))，每個(gè)原子任務(wù)作為一個(gè)招標(biāo)項(xiàng)目。

2) 發(fā)布招標(biāo)公告

3) 投標(biāo)

收到招標(biāo)公告后，參與協(xié)作的Agent(記為Am)根據(jù)自己的處理能力進(jìn)行自我評價(jià)，如果能力允許向招標(biāo)方Ap發(fā)送投標(biāo)信息(即投標(biāo)書)。

4) 評標(biāo)

招標(biāo)方Ap收到投標(biāo)書后，使用中標(biāo)決策函數(shù)給每位投標(biāo)方打分，選取得分最高的Agent為中標(biāo)者，向其發(fā)送中標(biāo)公告并簽訂合同。

5) 任務(wù)執(zhí)行

中標(biāo)Agent根據(jù)合同中約定的內(nèi)容執(zhí)行相應(yīng)的任務(wù)。

6) 驗(yàn)收

中標(biāo)Agent任務(wù)執(zhí)行完后，將結(jié)果反饋給招標(biāo)方Ap，Ap對結(jié)果進(jìn)行評價(jià)。

2.3.2熟人集評估

在圖3所示的發(fā)布招標(biāo)公告階段，首先要針對當(dāng)前任務(wù)tj進(jìn)行熟人集評估。根據(jù)評估的情況，確定向哪些Agent發(fā)布招標(biāo)公告。

圖3　協(xié)作過程的活動(dòng)圖

定義1將Ap委托Am完成任務(wù)tj的頻繁程度，即親密度定義為：

(1)

因此，在發(fā)布招標(biāo)公告階段，引入熟人模型，將大大減少協(xié)商時(shí)間和信息流量，提高系統(tǒng)效率。

2.3.3投標(biāo)、中標(biāo)決策函數(shù)

在圖3所示的發(fā)布招標(biāo)公告、投標(biāo)及評標(biāo)階段涉及的相關(guān)定義及公式如下:

1) 招標(biāo)書

在發(fā)布招標(biāo)公告階段中，進(jìn)行熟人集評估后，招標(biāo)公告以招標(biāo)書的形式(見定義2)向其他Agent發(fā)布。

定義2招標(biāo)書的格式如下：

Ann(tj)=。其中tj表示某一任務(wù)，Ann(tj)表示為任務(wù)tj編制的標(biāo)書。Ap表示發(fā)起協(xié)商的Agent；Des表示對該任務(wù)的本體描述；TA表示完成該任務(wù)所需能力集合，表示為TA={TA1,TA2,…,TAn}；TO表示該任務(wù)中涉及的IT資產(chǎn)對象的集合，表示為TO={TO1,TO2,…,TOm}；MT表示允許中標(biāo)Agent執(zhí)行該任務(wù)最長時(shí)間；α表示該任務(wù)重要程度(優(yōu)先級系數(shù))，α∈[0,1]，用以區(qū)分不同IT資產(chǎn)對象的安全級別，對涉及到安全級別高的IT資產(chǎn)的任務(wù)優(yōu)先執(zhí)行。

2) 投標(biāo)決策

在投標(biāo)階段，參與協(xié)作的Am收到招標(biāo)書后，首先要進(jìn)行自我評價(jià)，根據(jù)自己的能力，選擇一部分協(xié)作任務(wù)投標(biāo)。Am可能收到多個(gè)招標(biāo)信息后，將任務(wù)按其優(yōu)先級α從大到小組成一個(gè)隊(duì)列，依次估算每個(gè)任務(wù)的執(zhí)行時(shí)間ET(tj)和預(yù)估tj執(zhí)行時(shí)負(fù)載系數(shù)β，并判斷TA(tj)≦TA(Ao)ANDTO(tj)≦TO(Am)ANDET(tj) ≤MTANDβ≤E(最大負(fù)載系數(shù))條件是否為真。如果條件成立發(fā)送投標(biāo)書，發(fā)送后更新β，任務(wù)tj出隊(duì)列。當(dāng)β>E時(shí)，本輪投標(biāo)決策結(jié)束。

3) 投標(biāo)書

在投標(biāo)階段，進(jìn)行投標(biāo)決策后，參與協(xié)作的Am向發(fā)起協(xié)商的Ap發(fā)送投標(biāo)書(見定義3)。

定義3投標(biāo)書的格式如下：

Bid(tj)=。Am表示有能力完成任務(wù)tj的協(xié)作Agent，ET(tj)表示估算的任務(wù)tj的執(zhí)行時(shí)間。

4) 中標(biāo)決策函數(shù)

在評標(biāo)階段階段，發(fā)起協(xié)商Ap收到投標(biāo)書后，使用中標(biāo)決策函數(shù)給每份投標(biāo)書打分：

(2)

其中，APrice(Am,tj)表示對Am完成任務(wù)tj的評分值，K1和K2分別為執(zhí)行效率評分和歷史業(yè)績評定的權(quán)重，ETm(tj) 表示投標(biāo)書中Am承諾的任務(wù)tj的執(zhí)行時(shí)間，MT(tj)表示招標(biāo)書中任務(wù)tj的最大執(zhí)行時(shí)間，P(Am)表示Am已完成任務(wù)的結(jié)果綜合評分。

3模型驗(yàn)證及實(shí)驗(yàn)數(shù)據(jù)分析

以“Code Red II”網(wǎng)絡(luò)蠕蟲病蟲的入侵檢測為例，在網(wǎng)絡(luò)安全實(shí)驗(yàn)室機(jī)房進(jìn)行了如下測試。

假設(shè)“Code Red II”蠕蟲病毒在服務(wù)器網(wǎng)段爆發(fā)，該網(wǎng)絡(luò)中部署了1個(gè)知識管理Agent、5個(gè)網(wǎng)絡(luò)入侵檢測Agent，并在15臺服務(wù)器上安裝了主機(jī)入侵檢測Agent組件，組成了基于Multi-Agent和本體的IDS系統(tǒng)(MAOIDS)。在進(jìn)行實(shí)驗(yàn)驗(yàn)證時(shí)，將MAOIDS與Snort系統(tǒng)進(jìn)行了比較和分析。

針對“Code Red II”網(wǎng)絡(luò)蠕蟲病毒傳播特征[15]，建立了用OWL2描述的小規(guī)模本體知識庫，在入侵檢測本體框架的基礎(chǔ)上，增加RedCode2Attack類和Rule類，并根據(jù)“Code Red II”的特征，構(gòu)建了網(wǎng)絡(luò)檢測器規(guī)則。

Declaration(Class(:Redcode2Attack))

SubClassOf(:Redcode2Attack:Attacks)

Declaration(NamedIndividual(:ruleRedCode2))

ClassAssertion(:DetectRule:ruleRedCode2)

ClassAssertion(:Redcode2Attack:ruleRedCode2)

DataPropertyAssertion(:rulestring:ruleRedCode2 "alert tcp any any ->＄HOME_NET 80 (flags:PA; content:”/default.ida”; nocase; )"^^xsd:string)

在此基礎(chǔ)上，聲明2個(gè)IT資產(chǎn)系統(tǒng)狀態(tài)，其中hostState1用來表示主機(jī)有IIS進(jìn)程，hostState2用來表示主機(jī)有IIS RedCode2漏洞。

Declaration(NamedIndividual(:hostState1))

ClassAssertion(:HostState:hostState1)

ObjectPropertyAssertion(:attributeObject:hostState1:IISProcess)

DataPropertyAssertion(:attributeName:hostState1 "hasProcess"^^xsd:string)

Declaration(NamedIndividual(:hostState2))

ClassAssertion(:HostState:hostState2)

ObjectPropertyAssertion(:attributeObject:hostState2:IISVulnerability)

DataPropertyAssertion(:attributeName:hostState2 "hasVulnerablility"^^xsd:string)

用于推理的Swrl[16]規(guī)則如下:

HostAssert(?y),Redcode2Attack(?x),hasState(?y,hostState1),hasState(?y,hostState2),destinationIP(?x,?a),ip(?y,?b),equal(?a,?b) -> attackConfirmState(?x," true"^^string)

HostAssert(?y),Redcode2Attack(?x),attackConfirmState(?x," true"^^string),destinationIP(?x,?a),ip(?y,?b),equal(?a,?b) -> attackObject(?x,?y)

檢測過程如下(以掃描192.168.1.1為例)：

網(wǎng)絡(luò)入侵檢測Agent發(fā)現(xiàn)“Code Red II”蠕蟲病毒掃描了IP地址為192.168.1.1的這臺主機(jī)并觸發(fā)了相應(yīng)的告警信息。首先查詢本地本體庫，判斷主機(jī)上是否運(yùn)行有Microsoft IIS服務(wù)進(jìn)程和有無IIS緩沖區(qū)溢出漏洞，網(wǎng)絡(luò)入侵檢測Agent發(fā)起協(xié)作，此任務(wù)的熟人集為空，先向知識管理Agent發(fā)送招標(biāo)書，再由知識管理Agent向所有檢測Agent轉(zhuǎn)發(fā)此招標(biāo)書；所有檢測Agent收到此招標(biāo)書后，判斷是否有能力處理此任務(wù)；其中有一個(gè)主機(jī)監(jiān)測器部署在192.168.1.1的這臺主機(jī)上，向網(wǎng)絡(luò)監(jiān)測器Agent發(fā)送投標(biāo)書，網(wǎng)絡(luò)入侵檢測Agent收到投標(biāo)書后，綜合評定，確定該主機(jī)入侵檢測Agent為中標(biāo)者。該主機(jī)入侵檢測Agent根據(jù)謂詞hasProcess(IISProcess)判斷主機(jī)上是否運(yùn)行有Microsoft IIS服務(wù)進(jìn)，直接將結(jié)果反饋給網(wǎng)絡(luò)入侵檢測Agent；如果謂詞返回True，則根據(jù)謂詞hasVulnerablility(IISRedCodeVulnerability)判斷是否存在IIS緩沖區(qū)溢出漏洞，將結(jié)果返回給網(wǎng)絡(luò)入侵檢測Agent。網(wǎng)絡(luò)入侵檢測Agent對此任務(wù)作出評價(jià)，將此主機(jī)監(jiān)測入侵檢測Agent作為網(wǎng)絡(luò)入侵檢測Agent熟人集中的一員，將其訪問地址保存到本地；并根據(jù)任務(wù)結(jié)果，如果確認(rèn)發(fā)生攻擊，將攻擊信息發(fā)送給知識管理Agent，知識管理Agent根據(jù)融合規(guī)則，如果滿足融合條件，將報(bào)警消息融合并發(fā)送給網(wǎng)絡(luò)管理員。如果再發(fā)生上述入侵事件，網(wǎng)絡(luò)入侵檢測Agent根據(jù)之前保存的訪問地址，直接向部署在192.168.1.1的主機(jī)入侵檢測Agent發(fā)送招標(biāo)書。

在實(shí)驗(yàn)1中，模擬了在不同網(wǎng)絡(luò)流量情況下， MAOIDS原型系統(tǒng)和Snort入侵檢測系統(tǒng)的報(bào)警情況。攻擊源主機(jī)在不同網(wǎng)絡(luò)流量情況下，在產(chǎn)生的背景流量中，隨機(jī)混入1500個(gè)“Code Red II”蠕蟲病毒攻擊包。在這1500個(gè)數(shù)據(jù)包中，其中有500個(gè)攻擊的目的主機(jī)無漏洞，屬于無效攻擊。其余的1000個(gè)有效攻擊數(shù)據(jù)包均勻地發(fā)送給三類主機(jī)：A類主機(jī)，安全級別最高，優(yōu)先級系數(shù)為0.8~1；B類主機(jī)，安全級別次之，優(yōu)先級系數(shù)為0.5~0.8；C類主機(jī)，安全級別最低，優(yōu)先級系數(shù)在0.5以下。實(shí)驗(yàn)結(jié)果如圖4和圖5所示。

圖4　兩種IDS系統(tǒng)的實(shí)驗(yàn)結(jié)果

圖5　MAOIDS系統(tǒng)三類不同優(yōu)先級主機(jī)的報(bào)警對比圖

從實(shí)驗(yàn)1的結(jié)果看，本文提出的分布式入侵檢測系統(tǒng)MAOIDS能濾除虛警數(shù)據(jù)，降低虛警率。如圖4所示，當(dāng)網(wǎng)絡(luò)流量小于40 Mbps時(shí)，系統(tǒng)工作穩(wěn)定；當(dāng)網(wǎng)絡(luò)流量激增到50 Mbps時(shí)，上述兩個(gè)IDS由于其檢測分析速度明顯延遲于網(wǎng)絡(luò)流速，漏報(bào)了小部分攻擊事件。而本文提出的MAOIDS，需要多個(gè)Agent協(xié)作完成部分檢測任務(wù)，其檢測分析速度下降稍明顯一些。

從實(shí)驗(yàn)1的結(jié)果看，本文提出的分布式入侵檢測系統(tǒng)MAOIDS能區(qū)分不同安全級別的主機(jī)，能優(yōu)先對高安全級別的主機(jī)的攻擊進(jìn)行檢測。如圖5所示，當(dāng)網(wǎng)絡(luò)流量小于40 Mbps時(shí)，漏報(bào)率都比較低；當(dāng)網(wǎng)絡(luò)流量激增到50 Mbps時(shí)，其檢測分析速度明顯延遲于網(wǎng)絡(luò)流速，在這種情況下，可明顯看出MAOIDS優(yōu)先對高安全級別的A類主機(jī)的攻擊進(jìn)行檢測。

實(shí)驗(yàn)2中，有5個(gè)網(wǎng)絡(luò)入侵檢測Agent和15個(gè)主機(jī)入侵檢測Agent參與完成協(xié)同檢測任務(wù)，每次實(shí)驗(yàn)持續(xù)5分鐘，5分鐘內(nèi)每分鐘發(fā)起固定次數(shù)的協(xié)同檢測任務(wù)，統(tǒng)計(jì)5分鐘內(nèi)各Agent間平均交互的次數(shù)。親密度下限ER設(shè)為0.3，固定次數(shù)從5次一直遞增到30次，共進(jìn)行了26次實(shí)驗(yàn)。實(shí)驗(yàn)結(jié)果如圖6所示。

圖6　兩種協(xié)作算法的實(shí)驗(yàn)結(jié)果

從實(shí)驗(yàn)2的結(jié)果看，經(jīng)典的合同網(wǎng)算法[17]的協(xié)商通信代價(jià)遠(yuǎn)遠(yuǎn)高于本文提出的熟人模型和合同網(wǎng)模型的協(xié)作算法。本文的算法與經(jīng)典的合同網(wǎng)算法相比，Agent間的平均交互次數(shù)降低了34.5%。

總體來看，在完備的本體知識庫支持下，本文提出的分布入侵檢測系統(tǒng)MAOIDS可有效減少誤報(bào)，即使在網(wǎng)絡(luò)流量較大的情況下，可保證對高安全級別的IT資產(chǎn)的攻擊優(yōu)先檢測。采用結(jié)合熟人模型和合同網(wǎng)模型的協(xié)作算法，隨著Agent間協(xié)作的頻度增加，與經(jīng)典的合同網(wǎng)算法相比，Agent間交互次數(shù)將明顯減少。

4結(jié)語

基于Multi-Agent和本體的IDS，采用結(jié)合熟人模型和合同網(wǎng)模型的協(xié)作算法，一方面提高了各檢測器的協(xié)同工作能力，降低虛警率，即使在網(wǎng)絡(luò)流量較大的情況下，可保證對高安全級別的IT資產(chǎn)的攻擊優(yōu)先檢測；另一方面可以大大減少各檢測器的通信量，提高協(xié)作效率。但是由于本體知識庫的規(guī)模所限，測試只是局部的，今后還需要進(jìn)一步完善。

參考文獻(xiàn)

[1] Denning DE. An intrusion detection model [J]. IEEE Transactions on Software Engineering,1987,13(2):222-232.

[2] Abdoli F,Kahani M. Advances in Computer and Information Sciences and Engineering [M]. Berlin: Springer,2008.

[3] Abdoli F,Kahani M. Computer Conference: CSICC 2009[C]//Proceedings of 14th International Computer Conference,Tehran,October 20-21,2009, New York: IEEE,c2009.

[4] Gruber T. A Translation Approach to Portable Ontology Specifications [J]. Knowledge Acquisition,1993,5(2):199-220.

[5] 王向輝,馮志勇. 語義Web服務(wù)自動(dòng)組合定義、方法及驗(yàn)證調(diào)查[J] . 計(jì)算機(jī)工程,2014,31(5):1292-1301.

[6] 王能干,王堅(jiān),凌衛(wèi)青. 基于本體的突發(fā)事件應(yīng)急服務(wù)模型研究[J]. 計(jì)算機(jī)與現(xiàn)代化,2014,29(1):194-200.

[7] 王前,馮亞軍,楊兆民,等. 基于本體的網(wǎng)絡(luò)攻擊模型及其應(yīng)用[J]. 計(jì)算機(jī)科學(xué),2010,37(6):114-117.

[8] Raskin V,Hempelmann C F,Triezenberg K E,et al. the New Security Paradigms Workshop: NSPW 2001[C]//Proceedings of the 2001 workshop on New security paradigms,New Mexico,September 11-13 ,2001,New York: ACM,c2001.

[9] Undercoffer J,Joshi A,Pinkston J. Recent Advances in Intrusion Detection[C]//RAID 2003: proceedings of 6th International Symposium,Pittsburgh,September 8-10,2003. Berlin: Springer,2003.

[10] 李萬. 基于本體的入侵報(bào)警關(guān)聯(lián)[D]. 北京:北京交通大學(xué),2010.

[11] 張然,劉洋,尹毅鋒,等.基于Multi-Agent的入侵檢測動(dòng)態(tài)協(xié)同機(jī)制研究[J]. 微電子學(xué)與計(jì)算機(jī),2013,30 (8):57-62.

[12] 馬鑫,梁艷春,田野,等.基于免疫機(jī)理與合同網(wǎng)協(xié)議的多Agent入侵檢測系統(tǒng)[J]. 吉林大學(xué)學(xué)報(bào):工學(xué)版,2011,41(1):176-181.

[13] FIPA. ACL Message Structure Specification [EB/OL]. (2012-12-3).http://www.fipa.org/specs/fipa00061/SC00061G.html.

[14] W3C. OWL 2 Web Ontology Language Document Overview (Second Edition) [EB/OL]. (2012-12-11) http://www.w3.org/TR/owl2-overview/.

[15] Steve Friedl. Analysis of the new "Code Red II" Variant [EB/OL]. (2011-8-22) http://www.unixwiz.net/techtips/CodeRedII.html.

[16] W3C. SWRL [EB/OL]. (2014-5-21) http://www.w3.org/Submission/2004/.SUBM-SWRL-20040521/.

[17] Smith,Reid G. The contract net protocol: High level communication and control in a distributed problem solver [J]. Computers,1980,29(12):1104-1113.

中圖分類號TP393.08

文獻(xiàn)標(biāo)識碼A

DOI:10.3969/j.issn.1000-386x.2016.02.032

收稿日期：2014-10-08。國家自然科學(xué)基金項(xiàng)目(61163025);內(nèi)蒙古高等學(xué)校科學(xué)技術(shù)研究項(xiàng)目(NJZY12200)。郭廣豐，講師，主研領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)，信息安全。馬占飛，教授。