基于Multi-Agent和本體的分布式入侵檢測系統(tǒng)研究

郭廣豐　馬占飛

(內(nèi)蒙古科技大學包頭師范學院　內(nèi)蒙古 包頭 014030)

?

基于Multi-Agent和本體的分布式入侵檢測系統(tǒng)研究

郭廣豐馬占飛

(內(nèi)蒙古科技大學包頭師范學院內(nèi)蒙古 包頭 014030)

摘要入侵檢測系統(tǒng)IDS(Intrusion Detection System)經(jīng)歷了近三十年的發(fā)展，虛警率高等問題一直困擾著用戶，其原因可以部分歸結(jié)為知識表示能力不足和IDS缺少協(xié)同工作。針對上述問題，融合Agent和本體技術(shù)，在此基礎上建立相應的入侵檢測本體知識庫，提出一種基于Multi-Agent和本體的分布式IDS系統(tǒng)。該系統(tǒng)采用以本體為核心的多層次、分布式體系結(jié)構(gòu)，從功能上分為探測器層、協(xié)同分析器層、知識管理層，從結(jié)構(gòu)上由知識管理Agent、主機入侵檢測Agent、網(wǎng)絡入侵檢測Agent、日志入侵檢測Agent以及其他入侵檢測Agent組成。各入侵檢測Agent間協(xié)作采用合同網(wǎng)模型和熟人模型的協(xié)作算法。經(jīng)過實驗分析驗證，該系統(tǒng)一方面提高了各檢測器的協(xié)同工作能力，降低了虛警率，另一方面可以大大減少各檢測器的通信量，提高了其協(xié)作效率。

關(guān)鍵詞入侵檢測系統(tǒng)Multi-Agent本體協(xié)作算法合同網(wǎng)熟人模型

RESEARCH ON DISTRIBUTED INTRUSION DETECTION SYSTEM BASED ON MULTI-AGENT AND ONTOLOGY

Guo GuangfengMa Zhanfei

(Baotou Teachers College,Inner Mongolia University of Science and Technology,Baotou 014030, Inner Mongolia, China)

AbstractIntrusion detection system (IDS) has been experienced about 30 years,but some problems such as the high false positive rate have always been plaguing its users with the cause being partially attributed to the deficiency of knowledge representation and the IDS lacking collaborated works. In view of above questions,the paper proposes a Multi-Agent and ontology-based distributed IDS by integrating Agent with ontology technology,and on that basis constructing the corresponding knowledge base of intrusion detection ontology. The system adopts multi-level and distributed architecture with the ontology as core,and functionally it can be divided into three levels: probes,collaborative analysers and knowledge management,and structurally it consists of the Agents for knowledge management,host intrusion detection,network intrusion detection,log intrusion detection,and other intrusion detection Agents. The collaboration between Agents uses the collaboration algorithm combining the contract net model and the acquaintance coalition model. It is verified through experimental analysis that on the one hand this system improves the interoperability of each detector and reduces false positives; on the other hand it is able to greatly cut down the traffic of communication between detectors and raises the efficiency of collaboration.

KeywordsIntrusion detection systemMulti-AgentOntologyCollaboration algorithmContract netAcquaintance coalition model

0引言

自從入侵檢測的概念在20世紀80年代中期引入以來[1]，入侵檢測系統(tǒng)IDS經(jīng)歷了近三十年的發(fā)展，虛警率高等問題一直困擾著用戶。IDS部署后，每天產(chǎn)生大量的報警，其中有許多錯誤報警，運維人員疲于應付大量無效報警，報警信息嚴重過載，而對系統(tǒng)構(gòu)成嚴重威脅的攻擊淹沒在大量報警信息中，容易被運維人員忽略。入侵檢測系統(tǒng)虛警率高的原因可以部分歸結(jié)為知識表示能力不足和IDS缺少協(xié)同工作[2，3]。

本體是一種知識表示技術(shù)，通過對概念的嚴格定義和概念之間的關(guān)系來確定概念之間的精確含義，表示共同認可的、可共享的知識[4]。本體技術(shù)近年來得到了長足的發(fā)展，在以邏輯描述語言為基礎的本體描述語言支持下，本體對特定領(lǐng)域中的概念間相互關(guān)系的表示能力得到充分發(fā)揮，被應用于很多研究領(lǐng)域[5-7]，入侵檢測方面的研究人員也開始關(guān)注本體。Victor Raskin等人于2001年對本體在信息安全領(lǐng)域的可用性進行了研究，指出了本體可以將入侵事件的所有表象系統(tǒng)化并組織起來，從而可以大量減少所需描述的特征，提高入侵檢測系統(tǒng)的效率[8]。Jeffrey Undercoffe等人于2002年對本體在入侵檢測中的應用進行研究，但他建立本體時未考慮入侵響應問題，也沒有提出相應的入侵檢測模型[9]。李萬提出了一種擴展的語義Web規(guī)則語言XSWRL，提出了一種層次化混合型報警關(guān)聯(lián)知識模型并基于XSWRL做了實現(xiàn)[10]。

Agent具有自主性等特征，Multi-Agent技術(shù)為解決入侵檢測系統(tǒng)的分布式問題提供了有效的方法[11，12]。鑒于上述研究，本文提出一種基于Multi-Agent和本體的分布式IDS系統(tǒng)，并建立相應的入侵檢測本體知識庫，在此基礎上開發(fā)基于本體的入侵檢測系統(tǒng)，以解決現(xiàn)有IDS虛警率高及協(xié)同工作能力弱等問題。

1本體知識庫的構(gòu)建

本體的引入為網(wǎng)絡安全方面的知識表示和知識共享提供了新的研究方法。基于本體的解決問題方法屬于知識工程范疇，需要大量領(lǐng)域知識來解決問題。本文在文獻[10]的基礎上，增加Agent協(xié)作本體，從攻擊模式、系統(tǒng)脆弱性、IT資產(chǎn)信息、Agent協(xié)作四個方面建模，其框架如圖1所示。

圖1　入侵檢測本體框架

入侵檢測本體中基本的類有協(xié)作信息(Collaboration)、攻擊(Attack)、IT資產(chǎn)(Assert)、脆弱性或漏洞(Vulnerabilities)、IT資產(chǎn)系統(tǒng)狀態(tài)(AssertState)、協(xié)作任務(Task)、報警融合及檢測Agent (Agent)、主機操作系統(tǒng)(OS)、主機進程(Process)等。其中：

? IT資產(chǎn)有兩個子類：網(wǎng)絡資產(chǎn)(NetworkAssert)、主機資產(chǎn)(HostAssert)；

? IT資產(chǎn)系統(tǒng)狀態(tài)有兩個子類：網(wǎng)絡狀態(tài)(NetworktState)、主機狀態(tài)(HostState)；

? 脆弱性或漏洞有兩個子類：網(wǎng)絡資產(chǎn)脆弱性(NetworktVulnerabilities)、主機脆弱性(HostVulnerabilities)。

它們之間有如下關(guān)系：

? IT資產(chǎn)系統(tǒng)狀態(tài)是攻擊本體的前提條件(preCoditon)或后續(xù)狀態(tài)(consequentState)；

? IT資產(chǎn)是攻擊本體的攻擊對象(attackObject)，IT資產(chǎn)系統(tǒng)狀態(tài)是IT資產(chǎn)的系統(tǒng)狀態(tài)(isStateOf)；

? IT資產(chǎn)有脆弱性或漏洞(hasVulnerability)；

? 協(xié)作本體(Collaboration)包含一個或多個任務(hasTask)，每個任務有參與協(xié)作的Agent類型(askAgent)和需要向參與協(xié)作Agent查詢的某IT資產(chǎn)的各種狀態(tài)(askState)；

? 攻擊行為之間存在整體-部分關(guān)系(hasPart)、前后關(guān)系(preAttack)，用于報警信息的融合。

入侵攻擊利用系統(tǒng)的脆弱性，采用相應的方法入侵網(wǎng)絡設備、主機等IT資產(chǎn)對象，以達到攻擊目的。IT資產(chǎn)信息引入知識庫，根據(jù)其信息可以過濾掉指向無效IP或無效設備的攻擊，另外區(qū)分不同IT資產(chǎn)對象的安全級別，對安全級別要求高的對象優(yōu)先檢測。引入IT資產(chǎn)系統(tǒng)狀態(tài)，作為攻擊行為的前提條件和后續(xù)狀態(tài)，進一步判定攻擊報警是否可信，可大大降低入侵檢測的虛警率。Agent協(xié)作本體的引入，實現(xiàn)了對協(xié)作檢測的刻畫，可大大提高Agent協(xié)作的效率和協(xié)作檢測的可信度。

2基于Multi-Agent和本體的IDS系統(tǒng)

在構(gòu)建本體知識庫的基礎上，本文提出了基于Multi-Agent和本體的IDS系統(tǒng)(MAOIDS)，其系統(tǒng)結(jié)構(gòu)如圖2所示。

圖2　基于Multi-Agent和本體的IDS系統(tǒng)結(jié)構(gòu)

該系統(tǒng)模型采用以本體為核心的多層次、分布式入侵檢測結(jié)構(gòu)，其從功能上分為三層，即探測器層、協(xié)同分析器層、知識管理層；結(jié)構(gòu)上是由知識管理Agent、主機入侵檢測Agent、網(wǎng)絡入侵檢測Agent、日志入侵檢測Agent以及其他入侵檢測Agent組成。

2.1功能模塊分析

各層的功能如下：

1) 探測器層

該層提供多種類型的探測器，分別從網(wǎng)絡、主機及其他設備收集原始數(shù)據(jù)。

2) 協(xié)同分析器層

該層為每一個探測器提供相應的分析器，每個分析器可以根據(jù)本體的知識，識別入侵行為，在需要時向其它分析器發(fā)送協(xié)同分析命令。每個協(xié)同檢測器與其相應的探測器組成一個入侵檢測Agent，如主機探測器與主機協(xié)同分析器組成主機入侵檢測Agent。每個協(xié)同分析器有局部本體知識庫，可獨立完成檢測任務，也可以與其他入侵檢測Agent協(xié)同工作。入侵檢測Agent可根據(jù)管理探測器的不同，自動將全局入侵檢測本體知識庫的相關(guān)數(shù)據(jù)緩存到本地，形成屬于自己的局部本體知識庫，減少大量的通信負擔。

3) 知識管理層

該層一方面維護本體知識庫，保持本體知識的一致性；另一方面，檢測到攻擊時進行報警，并采取相應的響應措施。該層包括知識庫更新組件、黑板、報警融合組件和報警控制臺，其中知識庫更新組件用于管理員維護和更新入侵檢測本體知識庫；黑板主要用于多個檢測器的協(xié)作，存放各Agent訪問地址、報警消息列表以及協(xié)作所需的數(shù)據(jù)；報警融合組件主要進行報警信息的合并；報警控制臺提供與網(wǎng)絡管理員的用戶接口，在屏幕上輸出報警或發(fā)送報警郵件等。由知識庫更新組件、黑板、報警融合組件和報警控制臺組成的知識管理Agent，完成協(xié)作數(shù)據(jù)轉(zhuǎn)發(fā)、報警融合、入侵檢測本體知識庫維護等功能。

2.2組織結(jié)構(gòu)分析

基于Multi-Agent和本體的IDS系統(tǒng)由知識管理Agent和各類入侵檢測Agent組成。知識管理Agent充當Agent管理者的角色，維護著全局的入侵檢測本體知識庫，并提供了與管理員交互的接口。各類入侵檢測Agent，啟動時在知識管理Agent中注冊，并從其下載全局入侵檢測本體知識庫的相關(guān)數(shù)據(jù)到本地。下載知識庫后，各類入侵檢測Agent開始獨立工作，其探測器或收集器收集原始數(shù)據(jù)，其分析器根據(jù)本地的入侵檢測本體知識庫識別攻擊行為；當遇到復雜的檢測任務時，向其他入侵檢測Agent發(fā)起協(xié)作任務，根據(jù)一定的協(xié)作算法(見2.3節(jié))，共同完成檢測任務；檢測完成后，將確認后的報警信息發(fā)送給知識管理Agent。知識管理Agent中的報警融合組件對報警信息再次分析，合并有共同特征的報警，然后通過報警控制臺反饋給管理員。

2.3各入侵檢測Agent間協(xié)作

各入侵檢測Agent可獨立工作，處理復雜的檢測任務需與其它入侵檢測Agent協(xié)同工作。Agent之間采用FIPA ACL[13]規(guī)范進行消息傳遞，其content字段的內(nèi)容使用OWL2[14]描述的本體格式填充，實現(xiàn)各Agent間數(shù)據(jù)及語義信息的交換。本文針對入侵檢測系統(tǒng)的特點，提出了合同網(wǎng)模型和熟人模型相結(jié)合的協(xié)商算法。

2.3.1合同網(wǎng)模型和熟人模型相結(jié)合的協(xié)商過程

多Agent任務協(xié)作需要經(jīng)歷3個階段：任務分配、問題求解和結(jié)果評價。具體協(xié)商過程由發(fā)起協(xié)商的Agent發(fā)出任務，其余的Agent進行投標，針對每個任務確定一個中標Agent，由它執(zhí)行該任務，并把執(zhí)行結(jié)果反饋給發(fā)起協(xié)商的Agent，發(fā)起協(xié)商的Agent對執(zhí)行結(jié)果進行評價。協(xié)商過程定義為一個四元組：。

A：所有IDS中Agent的集合，包含兩類角色：招標方是發(fā)起協(xié)商的Agent，投標方是參與協(xié)作的Agent；

T：需要協(xié)作完成的任務的集合；

Time：協(xié)商發(fā)起的時間；

Process：本文約定的協(xié)作過程，其過程如圖3所示。

1) 招標準備

招標方如果需要協(xié)作的任務，需把任務分解為原子任務T={t1,t2,…,tj,…,tn}(即可由一個Agent完成的任務)，每個原子任務作為一個招標項目。

2) 發(fā)布招標公告

3) 投標

收到招標公告后，參與協(xié)作的Agent(記為Am)根據(jù)自己的處理能力進行自我評價，如果能力允許向招標方Ap發(fā)送投標信息(即投標書)。

4) 評標

招標方Ap收到投標書后，使用中標決策函數(shù)給每位投標方打分，選取得分最高的Agent為中標者，向其發(fā)送中標公告并簽訂合同。

5) 任務執(zhí)行

中標Agent根據(jù)合同中約定的內(nèi)容執(zhí)行相應的任務。

6) 驗收

中標Agent任務執(zhí)行完后，將結(jié)果反饋給招標方Ap，Ap對結(jié)果進行評價。

2.3.2熟人集評估

在圖3所示的發(fā)布招標公告階段，首先要針對當前任務tj進行熟人集評估。根據(jù)評估的情況，確定向哪些Agent發(fā)布招標公告。

圖3　協(xié)作過程的活動圖

定義1將Ap委托Am完成任務tj的頻繁程度，即親密度定義為：

(1)

因此，在發(fā)布招標公告階段，引入熟人模型，將大大減少協(xié)商時間和信息流量，提高系統(tǒng)效率。

2.3.3投標、中標決策函數(shù)

在圖3所示的發(fā)布招標公告、投標及評標階段涉及的相關(guān)定義及公式如下:

1) 招標書

在發(fā)布招標公告階段中，進行熟人集評估后，招標公告以招標書的形式(見定義2)向其他Agent發(fā)布。

定義2招標書的格式如下：

Ann(tj)=。其中tj表示某一任務，Ann(tj)表示為任務tj編制的標書。Ap表示發(fā)起協(xié)商的Agent；Des表示對該任務的本體描述；TA表示完成該任務所需能力集合，表示為TA={TA1,TA2,…,TAn}；TO表示該任務中涉及的IT資產(chǎn)對象的集合，表示為TO={TO1,TO2,…,TOm}；MT表示允許中標Agent執(zhí)行該任務最長時間；α表示該任務重要程度(優(yōu)先級系數(shù))，α∈[0,1]，用以區(qū)分不同IT資產(chǎn)對象的安全級別，對涉及到安全級別高的IT資產(chǎn)的任務優(yōu)先執(zhí)行。

2) 投標決策

在投標階段，參與協(xié)作的Am收到招標書后，首先要進行自我評價，根據(jù)自己的能力，選擇一部分協(xié)作任務投標。Am可能收到多個招標信息后，將任務按其優(yōu)先級α從大到小組成一個隊列，依次估算每個任務的執(zhí)行時間ET(tj)和預估tj執(zhí)行時負載系數(shù)β，并判斷TA(tj)≦TA(Ao)ANDTO(tj)≦TO(Am)ANDET(tj) ≤MTANDβ≤E(最大負載系數(shù))條件是否為真。如果條件成立發(fā)送投標書，發(fā)送后更新β，任務tj出隊列。當β>E時，本輪投標決策結(jié)束。

3) 投標書

在投標階段，進行投標決策后，參與協(xié)作的Am向發(fā)起協(xié)商的Ap發(fā)送投標書(見定義3)。

定義3投標書的格式如下：

Bid(tj)=。Am表示有能力完成任務tj的協(xié)作Agent，ET(tj)表示估算的任務tj的執(zhí)行時間。

4) 中標決策函數(shù)

在評標階段階段，發(fā)起協(xié)商Ap收到投標書后，使用中標決策函數(shù)給每份投標書打分：

(2)

其中，APrice(Am,tj)表示對Am完成任務tj的評分值，K1和K2分別為執(zhí)行效率評分和歷史業(yè)績評定的權(quán)重，ETm(tj) 表示投標書中Am承諾的任務tj的執(zhí)行時間，MT(tj)表示招標書中任務tj的最大執(zhí)行時間，P(Am)表示Am已完成任務的結(jié)果綜合評分。

3模型驗證及實驗數(shù)據(jù)分析

以“Code Red II”網(wǎng)絡蠕蟲病蟲的入侵檢測為例，在網(wǎng)絡安全實驗室機房進行了如下測試。

假設“Code Red II”蠕蟲病毒在服務器網(wǎng)段爆發(fā)，該網(wǎng)絡中部署了1個知識管理Agent、5個網(wǎng)絡入侵檢測Agent，并在15臺服務器上安裝了主機入侵檢測Agent組件，組成了基于Multi-Agent和本體的IDS系統(tǒng)(MAOIDS)。在進行實驗驗證時，將MAOIDS與Snort系統(tǒng)進行了比較和分析。

針對“Code Red II”網(wǎng)絡蠕蟲病毒傳播特征[15]，建立了用OWL2描述的小規(guī)模本體知識庫，在入侵檢測本體框架的基礎上，增加RedCode2Attack類和Rule類，并根據(jù)“Code Red II”的特征，構(gòu)建了網(wǎng)絡檢測器規(guī)則。

Declaration(Class(:Redcode2Attack))

SubClassOf(:Redcode2Attack:Attacks)

Declaration(NamedIndividual(:ruleRedCode2))

ClassAssertion(:DetectRule:ruleRedCode2)

ClassAssertion(:Redcode2Attack:ruleRedCode2)

DataPropertyAssertion(:rulestring:ruleRedCode2 "alert tcp any any ->＄HOME_NET 80 (flags:PA; content:”/default.ida”; nocase; )"^^xsd:string)

在此基礎上，聲明2個IT資產(chǎn)系統(tǒng)狀態(tài)，其中hostState1用來表示主機有IIS進程，hostState2用來表示主機有IIS RedCode2漏洞。

Declaration(NamedIndividual(:hostState1))

ClassAssertion(:HostState:hostState1)

ObjectPropertyAssertion(:attributeObject:hostState1:IISProcess)

DataPropertyAssertion(:attributeName:hostState1 "hasProcess"^^xsd:string)

Declaration(NamedIndividual(:hostState2))

ClassAssertion(:HostState:hostState2)

ObjectPropertyAssertion(:attributeObject:hostState2:IISVulnerability)

DataPropertyAssertion(:attributeName:hostState2 "hasVulnerablility"^^xsd:string)

用于推理的Swrl[16]規(guī)則如下:

HostAssert(?y),Redcode2Attack(?x),hasState(?y,hostState1),hasState(?y,hostState2),destinationIP(?x,?a),ip(?y,?b),equal(?a,?b) -> attackConfirmState(?x," true"^^string)

HostAssert(?y),Redcode2Attack(?x),attackConfirmState(?x," true"^^string),destinationIP(?x,?a),ip(?y,?b),equal(?a,?b) -> attackObject(?x,?y)

檢測過程如下(以掃描192.168.1.1為例)：

網(wǎng)絡入侵檢測Agent發(fā)現(xiàn)“Code Red II”蠕蟲病毒掃描了IP地址為192.168.1.1的這臺主機并觸發(fā)了相應的告警信息。首先查詢本地本體庫，判斷主機上是否運行有Microsoft IIS服務進程和有無IIS緩沖區(qū)溢出漏洞，網(wǎng)絡入侵檢測Agent發(fā)起協(xié)作，此任務的熟人集為空，先向知識管理Agent發(fā)送招標書，再由知識管理Agent向所有檢測Agent轉(zhuǎn)發(fā)此招標書；所有檢測Agent收到此招標書后，判斷是否有能力處理此任務；其中有一個主機監(jiān)測器部署在192.168.1.1的這臺主機上，向網(wǎng)絡監(jiān)測器Agent發(fā)送投標書，網(wǎng)絡入侵檢測Agent收到投標書后，綜合評定，確定該主機入侵檢測Agent為中標者。該主機入侵檢測Agent根據(jù)謂詞hasProcess(IISProcess)判斷主機上是否運行有Microsoft IIS服務進，直接將結(jié)果反饋給網(wǎng)絡入侵檢測Agent；如果謂詞返回True，則根據(jù)謂詞hasVulnerablility(IISRedCodeVulnerability)判斷是否存在IIS緩沖區(qū)溢出漏洞，將結(jié)果返回給網(wǎng)絡入侵檢測Agent。網(wǎng)絡入侵檢測Agent對此任務作出評價，將此主機監(jiān)測入侵檢測Agent作為網(wǎng)絡入侵檢測Agent熟人集中的一員，將其訪問地址保存到本地；并根據(jù)任務結(jié)果，如果確認發(fā)生攻擊，將攻擊信息發(fā)送給知識管理Agent，知識管理Agent根據(jù)融合規(guī)則，如果滿足融合條件，將報警消息融合并發(fā)送給網(wǎng)絡管理員。如果再發(fā)生上述入侵事件，網(wǎng)絡入侵檢測Agent根據(jù)之前保存的訪問地址，直接向部署在192.168.1.1的主機入侵檢測Agent發(fā)送招標書。

在實驗1中，模擬了在不同網(wǎng)絡流量情況下， MAOIDS原型系統(tǒng)和Snort入侵檢測系統(tǒng)的報警情況。攻擊源主機在不同網(wǎng)絡流量情況下，在產(chǎn)生的背景流量中，隨機混入1500個“Code Red II”蠕蟲病毒攻擊包。在這1500個數(shù)據(jù)包中，其中有500個攻擊的目的主機無漏洞，屬于無效攻擊。其余的1000個有效攻擊數(shù)據(jù)包均勻地發(fā)送給三類主機：A類主機，安全級別最高，優(yōu)先級系數(shù)為0.8~1；B類主機，安全級別次之，優(yōu)先級系數(shù)為0.5~0.8；C類主機，安全級別最低，優(yōu)先級系數(shù)在0.5以下。實驗結(jié)果如圖4和圖5所示。

圖4　兩種IDS系統(tǒng)的實驗結(jié)果

圖5　MAOIDS系統(tǒng)三類不同優(yōu)先級主機的報警對比圖

從實驗1的結(jié)果看，本文提出的分布式入侵檢測系統(tǒng)MAOIDS能濾除虛警數(shù)據(jù)，降低虛警率。如圖4所示，當網(wǎng)絡流量小于40 Mbps時，系統(tǒng)工作穩(wěn)定；當網(wǎng)絡流量激增到50 Mbps時，上述兩個IDS由于其檢測分析速度明顯延遲于網(wǎng)絡流速，漏報了小部分攻擊事件。而本文提出的MAOIDS，需要多個Agent協(xié)作完成部分檢測任務，其檢測分析速度下降稍明顯一些。

從實驗1的結(jié)果看，本文提出的分布式入侵檢測系統(tǒng)MAOIDS能區(qū)分不同安全級別的主機，能優(yōu)先對高安全級別的主機的攻擊進行檢測。如圖5所示，當網(wǎng)絡流量小于40 Mbps時，漏報率都比較低；當網(wǎng)絡流量激增到50 Mbps時，其檢測分析速度明顯延遲于網(wǎng)絡流速，在這種情況下，可明顯看出MAOIDS優(yōu)先對高安全級別的A類主機的攻擊進行檢測。

實驗2中，有5個網(wǎng)絡入侵檢測Agent和15個主機入侵檢測Agent參與完成協(xié)同檢測任務，每次實驗持續(xù)5分鐘，5分鐘內(nèi)每分鐘發(fā)起固定次數(shù)的協(xié)同檢測任務，統(tǒng)計5分鐘內(nèi)各Agent間平均交互的次數(shù)。親密度下限ER設為0.3，固定次數(shù)從5次一直遞增到30次，共進行了26次實驗。實驗結(jié)果如圖6所示。

圖6　兩種協(xié)作算法的實驗結(jié)果

從實驗2的結(jié)果看，經(jīng)典的合同網(wǎng)算法[17]的協(xié)商通信代價遠遠高于本文提出的熟人模型和合同網(wǎng)模型的協(xié)作算法。本文的算法與經(jīng)典的合同網(wǎng)算法相比，Agent間的平均交互次數(shù)降低了34.5%。

總體來看，在完備的本體知識庫支持下，本文提出的分布入侵檢測系統(tǒng)MAOIDS可有效減少誤報，即使在網(wǎng)絡流量較大的情況下，可保證對高安全級別的IT資產(chǎn)的攻擊優(yōu)先檢測。采用結(jié)合熟人模型和合同網(wǎng)模型的協(xié)作算法，隨著Agent間協(xié)作的頻度增加，與經(jīng)典的合同網(wǎng)算法相比，Agent間交互次數(shù)將明顯減少。

4結(jié)語

基于Multi-Agent和本體的IDS，采用結(jié)合熟人模型和合同網(wǎng)模型的協(xié)作算法，一方面提高了各檢測器的協(xié)同工作能力，降低虛警率，即使在網(wǎng)絡流量較大的情況下，可保證對高安全級別的IT資產(chǎn)的攻擊優(yōu)先檢測；另一方面可以大大減少各檢測器的通信量，提高協(xié)作效率。但是由于本體知識庫的規(guī)模所限，測試只是局部的，今后還需要進一步完善。

參考文獻

[1] Denning DE. An intrusion detection model [J]. IEEE Transactions on Software Engineering,1987,13(2):222-232.

[2] Abdoli F,Kahani M. Advances in Computer and Information Sciences and Engineering [M]. Berlin: Springer,2008.

[3] Abdoli F,Kahani M. Computer Conference: CSICC 2009[C]//Proceedings of 14th International Computer Conference,Tehran,October 20-21,2009, New York: IEEE,c2009.

[4] Gruber T. A Translation Approach to Portable Ontology Specifications [J]. Knowledge Acquisition,1993,5(2):199-220.

[5] 王向輝,馮志勇. 語義Web服務自動組合定義、方法及驗證調(diào)查[J] . 計算機工程,2014,31(5):1292-1301.

[6] 王能干,王堅,凌衛(wèi)青. 基于本體的突發(fā)事件應急服務模型研究[J]. 計算機與現(xiàn)代化,2014,29(1):194-200.

[7] 王前,馮亞軍,楊兆民,等. 基于本體的網(wǎng)絡攻擊模型及其應用[J]. 計算機科學,2010,37(6):114-117.

[8] Raskin V,Hempelmann C F,Triezenberg K E,et al. the New Security Paradigms Workshop: NSPW 2001[C]//Proceedings of the 2001 workshop on New security paradigms,New Mexico,September 11-13 ,2001,New York: ACM,c2001.

[9] Undercoffer J,Joshi A,Pinkston J. Recent Advances in Intrusion Detection[C]//RAID 2003: proceedings of 6th International Symposium,Pittsburgh,September 8-10,2003. Berlin: Springer,2003.

[10] 李萬. 基于本體的入侵報警關(guān)聯(lián)[D]. 北京:北京交通大學,2010.

[11] 張然,劉洋,尹毅鋒,等.基于Multi-Agent的入侵檢測動態(tài)協(xié)同機制研究[J]. 微電子學與計算機,2013,30 (8):57-62.

[12] 馬鑫,梁艷春,田野,等.基于免疫機理與合同網(wǎng)協(xié)議的多Agent入侵檢測系統(tǒng)[J]. 吉林大學學報:工學版,2011,41(1):176-181.

[13] FIPA. ACL Message Structure Specification [EB/OL]. (2012-12-3).http://www.fipa.org/specs/fipa00061/SC00061G.html.

[14] W3C. OWL 2 Web Ontology Language Document Overview (Second Edition) [EB/OL]. (2012-12-11) http://www.w3.org/TR/owl2-overview/.

[15] Steve Friedl. Analysis of the new "Code Red II" Variant [EB/OL]. (2011-8-22) http://www.unixwiz.net/techtips/CodeRedII.html.

[16] W3C. SWRL [EB/OL]. (2014-5-21) http://www.w3.org/Submission/2004/.SUBM-SWRL-20040521/.

[17] Smith,Reid G. The contract net protocol: High level communication and control in a distributed problem solver [J]. Computers,1980,29(12):1104-1113.

中圖分類號TP393.08

文獻標識碼A

DOI:10.3969/j.issn.1000-386x.2016.02.032

收稿日期：2014-10-08。國家自然科學基金項目(61163025);內(nèi)蒙古高等學?？茖W技術(shù)研究項目(NJZY12200)。郭廣豐，講師，主研領(lǐng)域：計算機網(wǎng)絡應用技術(shù)，信息安全。馬占飛，教授。