基于多Agent分布式入侵监控系统的研究

基于多Ａｇｅｎｔ分布式入侵监控系统的研究　汪静庄毅王立希　（南京航空航天大学计算机科学与工程系，南京２１００１６）　Ｅ－ｍａｉｌ：ｗｊ８００６２５＠ｈｏｔｍａｉｌ．ｃｏｍ　摘　要　文章首先分析了可适应网络安全理论的主要模型ＰＤＲ和Ｐ２ＤＲ，在此模型上将多Ａｇｅｎｔ技术运用到网络安全　框架模型中，设计并实现了基于多Ａｇｅｎｔ的分布式网络安全系统。该系统构造了多种类型的安全Ａｇｅｎｔ，利用多Ａｇｅｎｔ的　相互交互、协作来实现分布式网络入侵监控、响应过程，满足网络动态变化的要求。指明了实现系统的关键技术和方法。　最后对系统性能进行了测试并做出了简要评价。　关键词动态网络安全代理　分布式ＪＡＤＥ　文章编号１００２—８３３１一（２００６）１１－０１２８—０４　文献标识码Ａ　中图分类号ＴＰ３９３　Ｒｅｓｅａｒｃｈ　ｏｆ　Ｄｉｓｔｒｉｂｕｔｅｄ　Ｉｎｔｒｕｓｉｏｎ　Ｍｏｎｉｔｏｒｉｎｇ　Ｓｙｓｔｅｍ　Ｂａｓｅｄ　ｏｎ　Ｍｕｌｔｉ－－－Ａｇｅｎｔ　Ｗａｎｇ　Ｊｉｎｇ　Ｚｈｕａｎｇ　Ｙｉ　Ｗａｎｇ　Ｌｉｘｉ　（Ｄｅｐｔ．ｏｆ　Ｃｏｍｐｕｔｅｒ　Ｓｃｉｅｎｃｅ　ａｎｄ　Ｅｎｇｉｎｅｅｒｉｎｇ，Ｎａｎｊｉｎｇ　Ｕｎｉｖｅｒｓｉｔｙ　ｏｆ　Ａｅｒｏｎａｕｔｉｃｓ　ａｎｄ　Ａｓｔｒｏｎａｕｔｉｃｓ，Ｎａｎｊｉｎｇ　２１００１６）　Ａｂｓｔｒａｃｔ：Ｔｈｉｓ　ｐａｐｅｒ　ｐｒｅｓｅｎｔｓ　ｔｗｏ　ｐｒｉｎｃｉｐｌｅ　ｍｏｄｅｌｓ—ＰＤＲ　ａｎｄ　Ｐ２ＤＲ　ｃｕｒｒｅｎｔｌｙ　ｕｓｅｄ　ｆｏｒ　ａｐｐｌｉｃａｂｌｅ　ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ　ｆｒａｍｅｗｏｒｋ，ｏｎ　ｔｈｅ　ｂａｓｉｓ　ｏｆ　ｗｈｉｃｈ　ａｎ　ｉｍｐｒｏｖｅｄ　ｍｏｄｅｌ　Ｐ２ＤＲ　ｃｏｍｂｉｎｉｎｇ　ｗｉｔｈ　ｍｕｌｔｉ—ａｇｅｎｔ　ｔｅｃｈｎｉｑｕｅ　ｆｏｒ　ｔｈｅ　ｉｍｐｌｅｍｅｎｔａｔｉｏｎ　ｏｆ　ｎｅｔ—ｓｅｃｕｒｉｔｙ　ｆｒａｍｅｗｏｒｋ　ｉｓ　ｐｒｏｐｏｓｅｄ．Ａ　ｄｉｓｔｒｉｂｕｔｅｄ　ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ　ａｒｃｈｉｔｅｃｔｕｒｅ　ｉｓ　ｄｅｓｃｒｉｂｅｄ，ｗｈｉｃｈ　ｃｏｍｐｒｉｓｅｓ　ａ　ｖａｒｉｅｔｙ　ｔｙｐｅｓ　ｏｆ　ｓｅｃｕｒｉｔｙ　ａｇｅｎｔｓ，ｈａｓ　ａ　ｇｏｏｄ　ｐｅｒｆｏｒｍａｎｃｅ　ｏｎ　ｉｍｐｌｅｍｅｎｔｉｎｇ　ｄｉｓｔｒｉｂｕｔｅｄ　ｉｎｔｒｕｓｉｏｎ　ｍｏｎｉｔｏｒｉｎｇ　ａｎｄ　ｃｏｍｐｌｅｔｉｎｇ　ｐｒｏｃｅｓｓｉｎｇ　ｏｆ　ｒｅｓｐｏｎｓｅ　ｗｉｔｈ　ｔｈｅ　ｃｏｍｍｕｎｉｃａｔｉｏｎ　ａｎｄ　ｃｏｌｌａｂｏｒａｔｉｏｎ　ａｍｏｎｇ　ａｇｅｎｔｓ　ａｎｄ　ｍｅｅｔｓ　ｔｈｅ　ｎｅｅｄｓ　ｏｆ　ｄｙｎａｍｉｃ　ｎｅｔｗｏｒｋ　ｗｉｔｈ　ｈｉｇｈ　ｅｆｆｉｃｉｅｎｃｙ．Ａ　ｋｅｙ　ｔｅｃｈｎｏｌｏｇｙ　ｆｏｒ　ｓｙｓｔｅｍ　ｉｍｐｌｅｍｅｎｔａｔｉｏｎ　ｉｓ　ａｌｓｏ　ｉｎｃｌｕｄｅｄ．Ａｔ　ｌａｓｔ　ｗｅ　ｇｉｖｅ　ｓｏｍｅ　ｅｖａｈａｔｉｏｎ　ｆｌｒ０ｍ　ｔｅｓｔｓ．　Ｋｅｙｗｏｒｄｓ：ｄｙｎａｍｉｃ　ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ，Ａｇｅｎｔ，ｄｉｓｔｉｒｂｕｔｅｄ，ＪＡＤＥ　１概述　有自治性、主动性、协同性、智能性等特点，在整个网络中构造　随着计算机技术的普及和互联网的快速发展，网络信息安　各种安全Ａｇｅｎｔ，通过多安全Ａｇｅｎｔ的交互协作，可使信息得到　全化这一要求越来越迫切。由于传统的计算机安全理论不能适　及时的反馈和共享，提高网络安全监控系统的主动性和智能　应动态变化的、互联的网络环境。系统安全模型在实践中　性，满足动态网络安全的要求。若Ａｇｅｎｔ在运行过程中失效同，　逐步地发生变化，由一开始的静态的系统安全模型逐渐过渡到　其具有自动回复机制。　动态的安全模型。如ＰＤＲｔ　】和Ｐ２ＤＲｔ　１模型。ＰＤＲ２表示Ｐｒｏｔｅｃ—　其系统总体框架结构如图１所示。　ｔｉｏｎ、Ｄｅｔｅｃｔｉｏｎ、Ｒｅｃｏｖｅｒｙ和Ｒｅｓｐｏｎｓｅ，即保护、检测、恢复和响　应。在研究Ｐ２ＤＲ模型的基础上，针对信息安全解决难以管理　和扩展等缺点分析之后。将来源于分布式人工智能领域的Ａｇｅｎｔ　技术融人现有网络入侵监控系统。通过检测．决策，响应三维一　体的联动．能有效提高系统安全防御能力。本文提　了一个基　于多Ａｇｅｎｔ的分布式网络人侵监控系统ＭＡＩＭＳ（Ｍｕｌｔｉ—Ａｇｅｎｔ　Ｉｎｔｒａｎｅｔ　ｂａｓｅｄ　ｄｉｓｔｉｒｂｕｔｅｄ　Ｉｎｔｕｒｓｉｏｎ　Ｍｏｎｉｔｏｒｉｎｇ　Ｓｙｓｔｅｍ）。系统入侵检测　二　ｒ＿］厂＿一　—　一　作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻　（Ｌ）厂一］　ＩＤＡ（Ｈ）　ＦＪ｛　ＷＡ（Ｈ　Ｉ　Ｈｏｓｔ（ＪＡＤＥ平台）　击和误操作的实时保护，在网络系统受到危害之前拦截和响应　工ＩＤＭＡ￣　Ｐ▲　＼　ｒＡ　———！——一——　●——一　入侵。具有可扩展性、跨平台性、安全性和开放性等优点。　ＭｏＡ（Ｈ）Ｉ　ｉＲｅＡ（Ｈ）　ＤＢ　２基于多Ａｇｅｎｔ的分布式网络入侵监控系统设计　（Ｇ）　ＩＤＡ（Ｈ）　ＩＣＭＳ（ＪＡＤＥ平台）　ＭＡＩＭＳ引入了Ａｇｅｎｔ技术，在每台安全保护￣￣Ｌ　Ｉ－都设　圈１　ＭＡＩＭＳ系统结构圈　置了支持多Ａｇｅｎｔ的运行环境，即ＪＡＤＥ平台圆，由于Ａｇｅｎｔ具　基金项目：航空基金资助项目（编号：０４ｅ５２００９）；国家“十五”预研项目资助（编号；４１８０１１５０２０１）　作者简介：￣Ｄ（１９８０－），女，硕士研究生，研究方向为网络安全。庄毅，女，副教授。主要从事网络安全和分布式计算的研究。　１２８　２００６．１　１计算机工程与应用　维普资讯 http://www.cqvip.com

系统包括六类Ａｇｅｎｔ：入侵检测Ａｇｅｎｔ（Ｉｎｔｍｓｉｏｎ　Ｄｅｔｅｃｔｉ０ｎ　２．２　ＭｏＡ　Ａｇｅｎｔ，ＩＤＡ）、监视Ａｇｅｎｔ（Ｍｏｎｉｔｏｒｉｎｇ　Ａｇｅｎｔ，ＭｏＡ）、入侵检测管　理Ａｇｅｎｔ（Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｍａｎａｇｅｍｅｎｔ　Ａｇｅｎｔ，ＩＤＭＡ）、响应　Ａｇｅｎｔ（Ｒｅｓｐｏｎｓｅ　Ａｇｅｎｔ，ＲｅＡ），防火墙Ａｇｅｎｔ（Ｅｒｅｗａｌｌ　Ａｇｅｎｔ。　ＦＷＡ）和中间代理Ａｇｅｎｔ（Ｐｒｏｘｙ　Ａｇｅｎｔ．ＰｒＡ）　系统中创建了五类安全Ａｇｅｎｔ：ＩＤＡ、ＭｏＡ、ＩＤＭＡ、ＲｅＡ、　ＭｏＡ负责收集ＩＤＡ报告上来的有关系统异常活动的情　况。各ＭｏＡ之间并不互相交互，而是通过其上级代理ＩＤＭＡ相　互作用。对于提交的可疑信息，例如，当来自ＩＤＡ的报告表明　可能有入侵时，ＭｏＡ就会命令本机ＩＤＡ继续监视和分析相关　的活动，并查找对应可疑访问的历史信息库，若其有历史可疑　访问，则提示有攻击的可能，并提高其响应源地址与用户危险　等级，随着入侵访问发现的增加，响应源地址及用户危险等级　ＦＷＡ。基本流程如下：进入主机的网络报文，首先经过ＦＷＡ过　滤，过滤后的报文进入ＩＤＡ。ＩＤＡ获取报文后解析其中指定内　容，检测引擎根据内部规则，匹配解析内容。若发现入侵行为．　提高；同时长期为正常的实体，其可疑度将会降低。如果经过多　次学习优化，可以将其加入到数据库，作为以后判定入侵的参　考。如ＭｏＡ能判定为人侵，并达到预定危险级别后，则启动本　则将入侵报告给ＭｏＡ，否则等待下一个报文。ＦＷＡ过滤后的数　据将做一份拷贝存储在全局数据库中，供ＩＤＭＡ中的挖掘组件　挖掘新的入侵规则；如能确定为人侵信息则直接启动本级　ＲｅＡ，如为可疑信息则提交给ＩＤＭＡ，由其根据其它主机上ＭｏＡ　提交的信息来共同判定是否为人侵。ＩＤＭＡ接收到来自各个主　机ＭｏＡ的入侵报告后，根据自己的判定规则确认入侵真假以　及人侵危险级别。如果入侵达到高危险级别．即通知ＲｅＡ．阻断　具有相同特征的网络数据包；通过五个Ａｇｅｎｔ的相互协作．构　成闭合回路，实现系统的主动防御。　２＋ｌ　ＩＤＡ　ＩＤＡ位于单个主机上，监控所在主机的入侵活动。实现基　于网络的多种入侵检测功能，基于网络的数据源是进出网段的　数据包。ＩＤＡ封装了入侵检测子模块，其结构如图２所示。　网络报文　／　／图２　ＩＤＡ结构　由入侵检测模块根据检测方法来计算入侵可疑度．系统分　别采用了基于串匹配（Ｓｔｉｒｎｇ　Ｍａｔｃｈｉｎｇ）、ＫＳ假检验￣（Ｋｏｌｍｏｇｏｒｏｖ—　Ｓｍｉｍｏｖ　Ｔｅｓｔ）和ＳＶＭＩ　１（Ｓｕｐｐｏｒｔ　Ｖｅｃｔｏｒ　Ｍａｃｈｉｎｅ）算法等三种检　测方法来实现。规则库则提供匹配规则，规则部分来自Ｓｎｏｒｔ系　统白带规则库。其他来自ＩＤＭＡ挖掘数据库得到的动态规则。　规则库放在文件中，当系统初始化时将每条规则从文件中读　人，经过语析后存放到内存中，规则解析是指根据规则语　义对规则进行分解。将规则的各个部分按类别存放在规则链表　的相应节点中的过程。不同协议ＴＣＰ、ＩＰ和ＩＣＭＰ都有一个独　立的二维链表与之对应。每个二维链由横向链表与纵向链表构　成。链表的横行称为链表头主要存放多个规则的公用属性．如　源地址、目的地址、源端口、目的端口等等；链表的纵行称为链　表选项．主要存放不同的检测属性选项，如ＴＣＰ标志位、ＩＣＭＰ　类型码、数据负载大小等等。所有的规则根据协议、端口、ＩＰ地　址、检测属性划分到链表的各个节点中。并将解析后规则的各　个部分按类别存放到预先定义的二维规则链表相应节点中并　驻留在内存中。　ＩＤＡ根据入侵规则匹配解析所得报文信息进行模式匹配，　即遍历整个规则链表与报文行匹配。首先与横向链表比较，以　确认规则链中是否有节点与之匹配；如果匹配成功，再进行纵　向链表匹配，确定匹配规则链选项节点。如果匹配均成功，则确　定为入侵将消息发送给ＭｏＡ。发现入侵后。ＩＤＡ将自己监控得　到的信息形成报告提交给本机ＭｏＡ。　地的ＲｅＡ进行防护；如检测方法无法确定是否为人侵行为．　ＭｏＡ着眼于整个主机将所有的信息进行精简、压缩。并将信息　提交给其上级ＭＡＩＤ　ＭｏＡ将自己检测到的入侵事件以如下记录形式提交给　ＭＡＩＤ：＜ＲｅｃｅｉｖｅＴｉｍｅ，ＭｏｎｉｔｏｒＡｇｅｎｔ，ＰｒｏｔｏｃｏｌＴｙｐｅ，ＳｏｕｒｃｅＡｄｄｒｅｓｓ．　ＴａｒｇｅｔＡｄｄｒｅｓｓ，ＳｏｕｒｃｅＰｏｒｔ，ＴａｒｇｅｔＰｏｒｔ，ＤａｎｇｅｒＬｅｖｅｌ，ＵｓｅｒＮａｍｅ。　Ｉｎｆｏ，ＩＤＳＴｙｐｅ＞，其中，ＲｅｃｅｉｖｅＴｉｍｅ为检测到入侵时间．Ｍｏｎｉｔｏｒ—　Ａｇｅｎｔ为ＭｏＡ的标识。ＰｒｏｔｏｃｏｌＴｙｐｅ为协议种类．ＳｏｕｒｃｅＡｄｄｒｅｓｓ　为攻击源地址，ＴａｒｇｅｔＡｄｄｒｅｓｓ为目的地址，ＳｏｕｒｅｅＰｏｒｔ为攻击源　端口号，ＴａｒｇｅｔＰｏｒｔ为目的端口号，ＤａｎｇｅｒＬｅｖｅｌ为危险等级．Ｉｎｆｏ　为一些入侵相关信息，ＩＤＳＴｙｐｅ为ＩＤＳ类型。　２‘３　ＩＤＭＡ　ＩＤＭＡ着眼于整个网络，它综合分析来自各个主机的报　告，从而得出最终结论，是整个系统的中枢部分。是一个策略中　心，由其决定了哪些入侵需要防护、哪些报警要写入日志、哪些　消息可以忽略。　ＩＤＭＡ能够发现涉及到多台主机、与网络有关的入侵活　动，这种入侵难以被单台主机上的ＭｏＡ发现。由ＩＤＭＡ对汇总　的信息进行分析，这样就可同其他主机上的ＩＤＡ实现协作检　测，如：分布式攻击发生时，当ＩＤＡ无法确定是否为人侵行为　时，则将一组可以描述远程主机对目的主机的访问特征向量通　过ＭｏＡ将检测情况上报给ＩＤＭＡ。当ＩＤＭＡ收到来自各个主机　上ＭｏＡ的向量后，由ＩＤＭＡ根据聚类算法进行识别，聚类算法嘲　对所得到的向量进行相似度的判定，来完成分布式协同攻击的　检测。　同时ＩＤＭＡ为了挖掘数据库中的新颖模式，提高系统对未　知入侵的检测能力，引入数据挖掘子模块。系统采用了Ａｐｆｉｏｆｉ　算法１７］来从全局数据库中挖掘新颖的规则。动态更新ＩＤＡ和　ＦＷＡ规则库。　除了收集和分析ＩＤＭＡ报告的数据外．ＩＤＭＡ还能通过控　制下级Ａｇｅｎｔ，使得不同主机上的Ａｇｅｎｔ能相互作用，从而实现　对整个系统的管理。ＩＤＭＡ控制、管理所有主机的下级Ａｇｅｎｔ的　活动。ＩＤＭＡ根据系统的状态或者管理员的命令向各下级发出　不同的控制命令，如启动、停止、配置等．并形成层次结构，并接　受上级控制。每个ＩＤＭＡ都可以将自己的报告通过ＭＶＳ提交　给管理员　２．４　ＲｅＡ　ＲｅＡ经过一定的响应策略分析后，将从ＩＤＭＡ收到的命令　转变成防护指令，并将防护指令以消息的形式发送给下级　ＦＷＡ。如是新发现的入侵模式还需更新安全策略。由ＲｅＡ或　ＩＤＭＡ启动ＲｅＡ来阻断已知本地入侵，并将响应结果汇报给　　’计算机Ｔ程与应用２０Ｏ６．１ｌ　１２９　维普资讯 http://www.cqvip.com

ｌＤＭＡ。　示：注册、注销等为需要回复的消息。当ＭｏＡ向ＭＡＩＤ发送注　册消息时，只有ＭｏＡ注册上之后，才能处于监控状态，监视系　统的入侵行为，若ＭｏＡ没有得到ＭＡＩＤ的确认消息，ＭｏＡ再次　２．５　ＦＷＡ　ＦＷＡ封装了防火墙引擎、防火墙规则库，实时响应ＲｅＡ，　动态更新过滤规则，阻断网络数据包。防火墙引擎根据规则过　滤进入本机的数据报文。规则库中的规则由两部分组成：一部　分来源于系统自带的规则，即静态规则；一部分来自ＩＤＭＡ发　送的规则．即动态规则。ＦＷＡ接收从ＲｅＡ发送来的指令，并将　发送注册信息，直到ＭｏＡ注册上为止；入侵信息、状态变化信　息、入侵处理完成报告等为不需要回复的消息。当ＲｅＡ向　ＭＡＩＤ发送入侵处理消息时，不需要ＭＡＩＤ的确认消息，系统认　为信息收到或丢失，不影响系统性能。　防护指令及时转化成网络数据报文，其对该源地址的网络数据　报文予以特别关注并将其可疑度等级升高，阻断当前入侵者的　连接或者阻挡入侵者后续操作的进行，执行具体动作更新防火　墙规则库．补充到ＦＷＡ的规则库。　２．６　ＰｒＡ　ＰｒＡ主要是实现Ａｇｅｎｔ系统和管理人员的交互。其框架结　构如图３所示。　图３　ＰｒＡ结构　ＰｒＡ提供了直观的界面显示当前Ａｇｅｎｔ系统的情况，并能　接收管理人员的命令，动态地对系统进行配置管理。将　Ｍａｎａｇｅｍｅｎｔ这一要素加入到系统中。实现动态模型中的管理　监控功能。　由于ＪＡＤＥ平台有安全保护措施。在Ａｇｅｎｔ系统和外界交　互过程中．外部程序不能直接访问ＪＡＤＥ的内部消息。ＪＡＤＥ也　不能直接传递信息给页面，因此采用ＰｒＡ来实现通信的功能。　ＰｒＡ启动之后。一直处于待命状态，当Ａｇｅｎｔ系统任何状态信　息变化时，Ａｇｅｎｔ系统将这　事件信息通过ＡＣＬ通信机制发送　给ＰｒＡ，并按照定义好的协议进行分装和解析，由ＰｒＡ转发给　用户界面。当管理人员在用户界面发送命令时，ＰｒＡ接受到命　令，将此命令封装成Ａｇｅｎｔ　ＡＣＬ消息，再将Ａｇｅｎｔ　ＡＣＬ消息发　送给Ａｇｅｎｔ系统并由ＩＤＭＡ具体解析执行该命令。　３系统关键技术的实现　３．１　ＪＡＤＥ平台介绍　系统采用的是ＪＡＤＥ（Ｊａｖａ　Ａｇｅｎｔ　ＤＥｖｅｌｏｐｍｅｎｔ　Ｆｒａｍｅｗｏｒｋ）　平台，它是意大利电信实验室ＴＩＬＡＢ（Ｔｅｌｅｃｏｍｌｔａｌｉａ　Ｌａｂ）用Ｊａｖａ　编写的一个多Ａｇｅｎｔ中间件。遵循完全的ＦＩＰＡ规范，提供可视　化调试工具，支持多Ａｇｅｎｔ问的协作、移动Ａｇｅｎｔ等等。本系统　采用的是ＪＡＤＥ　ｖ３．２。　３．２多Ａｇｅｎｔ之间通讯　系统中内部消息共分为两类：需要回复确认的消息和不需　回复的消息。需要回复确认的消息，用于某些重要信息．或在网　络中传递易丢失的消息：不需回复的消息．用于消息量大。需频　繁发送，或是本地传递不易丢失的消息。系统的消息如图４所　１３０　２００６．１１计算机工程与应用　闰４　Ａｇｅｎｔ消息机制图　３＿３　多Ａｇｅｎｔ之间的协作　协作指多个Ａｇｅｎｔ围绕一个共同目标而相互配合一起工　作。系统中各个安全Ａｇｅｎｔ被分布式设置，Ａｇｅｎｔ之问根据不同　的应用环境和需要可以采取多种协作方式。多Ａｇｅｎｔ之间的协　作方式在一定程度上受限于Ａｇｅｎｔ之间的功能目标和组织方　式。系统中设计了下列多种协作方式：　（１）基于直接管理的协作。在层次组织中上级Ａｇｅｎｔ对下　级Ａｇｅｎｔ采用直接管理的协作方法，ＭｏＡ等安全Ａｇｅｎｔ受到上　级ＭＡＩＤ的协制。　（２）基于结果共享的协作圈。当某个主机上的ＩＤＡ检测到　入侵时．由ＭｏＡ或者ＩＤＭｓＡ判定为人侵则系统将通知ＲｅＡ及　时响应。ＲｅＡ经过一定的响应策略分析后，通知ＦＷＡ对该源　地址的网络数据报文予以特别关注并将其可疑度等级升高并　阻断当前入侵者的连接或者阻挡入侵者后续操作的进行；如是　新发现的入侵模式还需更新安全策略。　（３）动态交互协作方式。当访问的源地址和用户的可疑度　等人侵信息在数据库中有历史记录。若有入侵行为，则可推测　有渐进式攻击的可能。将提高该用户的可疑度，若访问可疑度　提高到一定程度。则认为是入侵行为，并启动ＲｅＡ加以阻断。　若无法断定为人侵．叉怀疑为分布式入侵，则将本机消息整理　发送给ＩＤＭＡ，最终由ＩＤＭＡ裁决。　３．４规则库　每一个基于模式匹配的入侵检测方法都需要已定义的规　则库。规则库是由已知攻击方式预先设定入侵规则来构建的，　并将其按照定义好的格式保存在文件中。每条规则分为两部　分：规则头部和规则选项。规则头部包含规则的操作、协议、源　ＩＰ地址和目标ＩＰ地址及其网络掩码和端口。规则选项包括报　警信息及需要检测模式信息。如：ａｌｅｒｔ　ｔｃｐ　ａｎｙ　ａｎｙ一＞１９２．１６８．１．　０／２４　ｌ１１（ｃｏｎｔｅｎｔ：”ｌｏｏ　０１　８６　ａ５１”；ｍｓｇ：”ｍｏｕｎｔｄ　ａｃｃｅｓｓ”；）。以　上规则描述了：任何使用ＴＣＰ协议连接网络１９２．１６８．１．０／２４中　任何主机的１１１端口的数据包中，如果出现了二进制数据０ｏ　维普资讯 http://www.cqvip.com

０Ｉ　８６　ａ５，便发　警告信息ｍｏｕｎｔｄ　ａｃｃｅｓｓ。规则库将危险分成　三级：Ｐａｓｓ、ｌｏｇ、Ｉｎｔｅｒｃｅｐｔｉｏｎ。Ｐａｓｓ对入侵报告不做处理；Ｌｏｇ将　入侵报告写入指定日志；Ｉｎｔｅｒｃｅｐｔｉｏｎ通知ＦＷＡ阻断入侵报文。　３．５分布式协同入侵攻击判定　系统从远程访问主机和被访问主机中提取一些特征值组　成一组１６维的特征向量，具体定义如下：ｆ平均报文大小访问　端口数目总报文流量ＳＹＮ标志报文数目ＳＹＮ＋ＡＣＫ标志报　文数目ＳＹＮ回应ＡＣＫ报文的平均时问间隔报文数据段长度　方差值客户端数据包的数据段长度平均值客户端数据包的　数据段长度方差值客户端数据包时间间隔平均值客户端数　据包时间间隔方差值客户端数据包数目服务端数据包的数　据段长度平均值服务端数据包的数据段长度方差值服务端　数据包时间间隔平均值服务端数据包时间间隔方差值１。系统　采用欧几里德距离［９１计算样本问距离，样本间距离定义如下：　，＿—————¨＇———————　—————————下　Ｄ（ｉ，Ｊ）－ＶＩｘ　ｌ　『ｌ１＋　—　２Ｉ＋…＋Ｉｘ　Ｉ　其中Ｄ（　，　）表示ｉ样本和．ｆ样本之间的距离；‰表示ｉ样　本的第Ｐ维值；　表示　．样本的第Ｐ维值，Ｐ表示向量的维数。　根据样本间距离采用Ｋ—ｍｅａｎｓ方法将映射到Ｐ维空间中　的点划分到不同的簇中，同一簇中的对象具有高相似度，与不　同簇中的对象很不相同。对于分布式协同攻击，攻击行为之间　存在某种相似性．因而用于描述这组攻击的向量之间也存在了　某种相似。通过计算向量之间的相似程度，将其向量划分到不　同的簇中，若提交的入侵信息在同一个簇中，则判定攻击存在　高相似度．为分布式协同攻击。　４实验性能分析与改进　系统为了测试多Ａｇｅｎｔ之间的联动能力．即检测到入侵信息　并及时响应以保护网络安全．设计了分布式入侵发生的实验：　在实验中（３台Ｐ４　１．７ＧＨｚ，２５６Ｍ　ＲＡＭ　ＰＣ机搭建的网络），　系统基于Ｌｉｎｕｘ环境．实验时选取局域网中３台机器分别担任　攻击机、受保护主机、监控主机角色。网段划分到１９２．１６８．Ｏ．／２４　中。配置及攻击工具介绍如下：　（１）攻击机３台　硬件：Ｐ４　１．７Ｇ／２５６Ｍ；软件：Ｗｉｎｄｏｗｓ　２０００、ｕｄｐａｔｔａｃｋ攻击　工具。　（２）受保护主机（ＰＣｉ）　硬件：Ｐ４　１．７Ｇ／２５６Ｍ；软件：Ｌｉｎｕｘ　８．０、Ｋｙｌｉｘ，ＮＩＤＳ。　（３）系统监控机（ＰＣａ）　硬件：Ｐ４　１．７Ｇ／２５６Ｍ；软件：Ｗｉｎｄｏｗｓ　２０００、ｊＤＫ、ＪＡＤＥ。　实验结果为图５、图６所示。　（１）在多Ａｇｅｎｔ入侵检测子系统的测试中，响应时间和阻　断入侵时间均在３．５ｓ以内；　（２）通过Ａｇｅｎｔ之间有效协作，完成防护、检测、自动响应、　模式提取和规则更新任务，可以很好地完成主动防御的任务；　（３）ＭＶＳ子系统增加了人员要素，可以根据人员的策略来　维护整个网络安全系统。　与传统的网络安全体系相比，本系统具有良好的动态可适　应性，易于管理，可扩展性好。采用多Ａｇｅｎｔ的层次组织结构简　分布式入侵检测性能——阻断入侵『Ｐ时间　０（）０　５００　０ｏ０　童　５ｏ０　扈　０（）ｏ　翟　５００　Ｏ０ｏ　５００　０　＿　ｇ　墨蚕虽三墨至墨云墨　入侵次数　图５分布式入侵检测阻断入侵ＩＰ时间　图６　ＭｏＡ与ＭＡＩＤ通讯截图　化了网络安全的管理和控制的复杂性。也增强了系统的容错性　和健壮性。基于多Ａｇｅｎｔ技术的分布式网络安全系统结构具有　很高的灵活性，可按需裁减。在不同的应用环境中，能够适应动　态变化的分布式网络环境．根据所需要的安全级别不同，可动　态地进行配置．重点研究了多安全Ａｇｅｎｔ的协作方式和入侵响　应机制．实现了不同网络安全组件之间的协作交互，并增加了　人员要素。实现了ＭＰ２ＤＲ的模型。　目前．该系统的实现又引发了一系列新问题的研究探索，　如：在ＭＤＩＤＳ中加入一些算法更好地完善数据挖掘模块来动态　更新与网络相适应的规则；加入Ａｇｅｎｔ专家系统功能等方面的　研究。（收稿日期：２００５年９月）　参考文献　１．Ｂｕｄｄｈｉｋｏｔ　Ｍ　Ｍ，Ｓｕｒｉ　Ｓ，Ｗａｌｄｖｏｇｅｌ　Ｍ．Ｓｐａｃｅ　Ｄｅｃｏｍｐｏｓｉｔｉｏｎ　Ｔｅｃｈ－　ｎｉｑｕｅ　ｆｏｒ　Ｆａｓｔ　ＬａｙｅＰ４　Ｓｗｉｔｃｈｉｎｇ［Ｃ］．Ｉｎ：Ｐｒｏｃｅｅｄｉｎｇｓ　ｏｆ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｐｒｏｔｏｃｏｌｓ　ｆｏｒ　Ｈｉｓｈ　Ｓｐｅｅｄ　Ｎｅｔｗｏｒｋｓ。１９９９－０８：２５￣４１　２，Ｆａｂｉｏ　Ｂｅｌｌｉｆｅｍｉｎｅ．Ｇｉｏｖａｎｎｉ　Ｇａｉｒｅ．Ｔｉｚｉａｎａ　Ｔｒｕｃｃｏ　ｅｔ　ａ１．ＪＡＤＥ　Ｐｒｏ－　ｇｒａｍｍｅｒ　ｓ　Ｇｕｉｄｅ［ＥＢ／ＯＥ１．ｈｔｔｐ：／／ｊａｄｅ．ｃｓｅｌｔ，ｉｔ／ｄｏｃ／ｉｎｄｅｘ．ｈｔｍ１．２０（０－０４—０４　３．Ｇｉｏｖａｎｎｉ　ＲｉｍａｓｓａＪＡＤＥ　Ｐｅｒｓｉｓｔｅｎｃｅ　Ａｄｄ—Ｏｎ　Ｐｒｏｇｒａｍｍｉｎｇ　ａｎｄ　Ｍａｎａ－　ｇｅｍｅｎｔ　Ｔｕｔｏｉｒａｌ［ＥＢ／ＯＬ］．ｈｔｔｐ：／／ｊａｄｅ．ｃｓｅｌｔ．ｉｔ／ｄｏｅ／ｉｎｄｅｘ．ｈｔｍｌ　４＿边肇祺，张学工．第ｌ３章统计学理论和支持向量机，模式识别【Ｍ】．北京：　清华大学出版社．２０００：２９７　５．Ｎ　Ｃｒｉｓｔｉａｎｉｎｉ．Ｊ　Ｓｈａｗｅ—Ｔａｙｌｏｒ．Ａｎ　Ｉｎｔｒｏｄｕｃｔｉｏｎ　ｔｏ　Ｓｕｐｐｏｒｔ　Ｖｅｃｔｏｒ　Ｍａ－　ｃｈｉｎｅｓ［Ｍ］．Ｃａｍｂｒｉｄｇｅ　Ｕｎｉｖｅｓｒｉｔｙ　Ｐｒｅｓｓ，Ｃａｍｂｒｉｄｇｅ，ＵＫ，２０００　６，Ｄａｖｉｄ　Ｈａｎｄ．Ｈｅｉｋｋｉ　Ｍａｎｎｉｌａ．Ｐａｄｈｒａｉｃ　Ｓｍｙｔｈ．Ｐｒｉｎｃｉｐｌｅｓ　ｏｆ　Ｄａｔａ　Ｍｉｎ－　ｉｎｇ［Ｍ］．机械工业出版社．２００１－０８　７．Ｊｉａｗｅｉ　Ｈａｎ．Ｍｉｃｈｅｌｉｎｅ　Ｋａｍｂｅｒ．范明．最小峰．挖掘大型数据库中的关　联规则．数据挖掘【Ｍ】一￡京：机械工业出版社。２００１；１５５　８．Ｃ　Ｐａｙｎｅ．Ｔ　Ｍａｒｋｈａｍ．Ａｒｃｈｉｔｅｃｔｕｒｅ　ａｎｄ　Ａｐｐｌｉｃａｔｉｏｎｓ　ｆｏｒ　ａ　Ｄｉｓｔｉｒｂｕｔｅｄ　Ｅｍｂｅｄｄｅｄ　Ｆｉｒｅｗａｌｌ［Ｃ］．Ｉｎ：１７ｔｈ　Ａｎｎｕａｌ　Ｃｏｍｐｕｔｅｒ　Ｓｅｃｕｒｉｔｙ　Ａｐｐｌｉｃａｔｉｏｎｓ　Ｃｏｎｆｅｒｅｎｃｅ（ＡＣＳＡＣ＇Ｏ１）。Ｎｅｗ　Ｏｒｌｅａｎｓ，Ｌｏｕｓｉａｎａ，２００ｌ—ｌ２　９．Ｊｉａｗｅｉ　Ｈａｎ。Ｍｉｅｈｅｌｉｎｅ　Ｋａｍｂｅｒ．数据挖掘概念与技术【Ｍ】．机械工业出　版社．２００１　计算机工程与应用２００６．１　１　１３１