基于三層移動Agent的入侵檢測模型的研究

李洋

摘要：根據(jù)目前對于移動Agent系統(tǒng)的面臨的入侵安全問題，該文提出了一種在三層移動Agent的基礎上嵌入監(jiān)測模塊構建了基于三層移動Agent，依托云服務提供的數(shù)據(jù)架構，對在其監(jiān)測模塊進行了工作流程分析。結果證明，它既可以保證移動Agent的檢測過程的效率，又可以提高檢測的精準性，具有良好的操作性。

關鍵詞：移動Agent；監(jiān)測模塊；精準性；操作性

中圖分類號：T9393 文獻標識碼：A 文章編號：1009-3044（2018）09-0037-02

1 概述

移動Agent是在人工智能的領域發(fā)展而來的一門新型技術，旨在模擬人的屬性和方法，具有高精準度，高智能化的，能夠自主運行和調(diào)用服務的應用接口。在1993年，General Magic公司推出的商業(yè)移動代理系統(tǒng)Telescript第一次提示了移動Agent的概念[1]。移動Agent是基于在移動環(huán)境的環(huán)境前提下，計算機或其他通信設備在沒有與固定的物理設備連接的情況下能夠相互傳輸數(shù)據(jù)，Agent具有一定的自適應性，能夠?qū)χ車沫h(huán)境作出反應，通過觸發(fā)對應的策略，體現(xiàn)出目標出現(xiàn)的行為。如圖1所示其中，Environmental表示Agent服務的運行的環(huán)境，它是整個系統(tǒng)實現(xiàn)的核心，Agent可以在其上無規(guī)則的移動，用以完成數(shù)據(jù)的交互任務。

在如今針對移動主機的攻擊或者利用移動主機發(fā)起攻擊的安全事件日益增多，攻擊手段和技術的不多樣化。所以，現(xiàn)在的移動網(wǎng)絡安全的解決方案中，網(wǎng)絡入侵檢測成為了不可缺少的安全組件。而來源與分布式人工智能領域的移動Agent技術，已經(jīng)融入網(wǎng)絡追蹤的各個維度，筆者根據(jù)移動Agent的基礎上建立一個基于三層移動Agent的入侵檢測模型。

2 目前入侵檢測系統(tǒng)的研究現(xiàn)狀

2.1 入侵檢測系統(tǒng)系統(tǒng)簡述

目前的入侵檢測系統(tǒng)，絕大多數(shù)是基于Den-ning[2]的入侵檢測模型。它的原理是將網(wǎng)絡數(shù)據(jù)包、審計記錄及其他可以監(jiān)測到的任意行為，作為入侵檢測系統(tǒng)中的異常操作的依據(jù)，通過與檢測系統(tǒng)中已有的攻擊模式樣本進行比對。從檢測方法上可以將入侵檢測系統(tǒng)分為異常檢測（anomaly detection）與誤用入侵檢測（miuse detection）兩種類型。異常檢測是通過匹配資源使用者的行為或資源使用狀況的正常程度的偏差來判斷是否產(chǎn)生了入侵，而不是憑借具體的行為是否執(zhí)行來檢測。誤用檢測是通過事前定義好的入侵模式，通過判斷在實際安全審計數(shù)據(jù)中是否出現(xiàn)預定義的入侵模式來產(chǎn)生判斷，從而完成檢測功能。

而一般的入侵檢測系統(tǒng)是基于數(shù)據(jù)源的分類是根據(jù)數(shù)據(jù)源或者是說審計事件發(fā)生器，可以分為基于主機（Host-based）和基于網(wǎng)絡（Network-based）?；谥鳈C的IDS 的檢測目標是主機系統(tǒng)和系統(tǒng)本地用戶，原理是根據(jù)主機審計數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件[3]，它的結構是C/S 模型?；诰W(wǎng)絡的IDS 嗅探來自網(wǎng)絡層的信息，管控網(wǎng)絡數(shù)據(jù)流量并進行分析，同時網(wǎng)絡型入侵檢測系統(tǒng)負擔著保護整個網(wǎng)段的任務[4]。

為了增加傳統(tǒng)的入侵檢測系統(tǒng)的可維護性、可擴展性、容錯率和檢測效率，有一部分機構提出了以自治代理構架的分布式入侵檢測系統(tǒng)的方法。采用自治代理的分布式入侵檢測系統(tǒng)由下列模塊組成：自治代理、數(shù)據(jù)過濾器、收發(fā)器、檢測器和用戶交互接口等，不同實體之間采用消息機制來協(xié)調(diào)工作。在分布式入侵檢測系統(tǒng)中，數(shù)據(jù)分析的數(shù)目取決于被檢測主機，解決了入侵檢測系統(tǒng)擴充性差的難題，檢測范圍從局部提升到多個管理區(qū)域。

2.2 入侵檢測系統(tǒng)的特點與局限

基于主機的入侵檢測系統(tǒng)具有執(zhí)行率高、占用資源成本小，能夠快速準確的定位入侵者，并聯(lián)合系統(tǒng)與應用程序的行為特征對入侵進一步的嗅探及時作出響應。但它在一定程度上依賴于系統(tǒng)的可靠性，對系統(tǒng)本身具備的安全功能了解與合理的設置。主機日志信息提供的信息是有限的，不能避免來自網(wǎng)絡層的入侵行為；可移值性差；檢測帶來的資源開銷大。

基于網(wǎng)絡的入侵檢測系統(tǒng)可以訪問到通信鏈路的所有層次；檢測效率高，內(nèi)容全面；不會影響主機性能和網(wǎng)絡性能，資源開銷較小。缺點是只能檢測所在的網(wǎng)段，檢測數(shù)據(jù)過于龐大并且不能結合操作系統(tǒng)特征來對網(wǎng)絡行為進行準確的判斷[3]；不能針對加密的網(wǎng)絡數(shù)據(jù)進行掃描協(xié)議或內(nèi)容，防范入侵欺騙的能力較差。

前面介紹的分布式入侵檢測系統(tǒng)，大部分是利用分布式架構進行數(shù)據(jù)搜集，然后把數(shù)據(jù)提交給入侵檢測處理中心，在處理中心處理。其局限體現(xiàn)在：入侵檢測的時效性彈性化明顯；容易出現(xiàn)處理中心檢測的單點故障與中心瓶頸；分布式數(shù)據(jù)量較大容易引起網(wǎng)絡的阻塞和突發(fā)的資源占用；分布式系統(tǒng)的一致性問題難以得到有效的處理，異構的入侵檢測系統(tǒng)難以協(xié)同工作。

3 基于三層移動Agent的入侵檢測模型的研究

3.1 層移動Agent模型

三層移動Agent模型的原理就是把Agent分為三層：客戶Agent、應用Agent與服務器Agent，其結構如下圖2所示。

客戶機Agent層：1）提供良好的用戶交互接口，方便用戶獲取信息；2）提供一個跟移動設備及其地理位置相關的數(shù)據(jù)id_place描述其用戶的位置；3）為應用代理派生服務及相關接口的產(chǎn)生；4）提供數(shù)據(jù)二級緩存。

應用Agent層：是一個主動對象（D，M，SD，P），其中D是指一級本地數(shù)據(jù)，M是一組方法，SD是這些方法之間的一組結構依賴關系，P則是一組中斷點和重定位點[5]。提供了如下功能：1）提供了自主查詢與協(xié)同工作的能力；2）移動的能力及其提供信息一級緩存；3）具有非對稱性。

服務器Agent層：1）提供工業(yè)化標準的數(shù)據(jù)查詢服務接口；2）提供靜態(tài)IP接入的功能。

3.2 基于三層移動Agent的入侵檢測模型

基于三層移動Agent的入侵檢測模型是在三層模型的基礎上輔以云環(huán)境，在客戶Agent、應用Agent和服務器Agent嵌入獨立的監(jiān)測模塊。概念圖如圖3。

由于實際應用環(huán)境的移動性特點，并鑒于移動中采集的數(shù)據(jù)容量較大，本地區(qū)域存儲的成本昂貴。如何尋求一種快速的既能解決移動中數(shù)據(jù)的傳輸與大容量的數(shù)據(jù)的存儲是入侵檢測的關鍵，在這里將采用新的技術、實用性較強、成本較低的云服務。云服務可以根據(jù)不同的用戶、不同的用途分為公有云、私有云、混合云，這都是構建三層移動Agent的入侵檢測的數(shù)據(jù)搜集底層的基礎。而入侵檢測的核心在嵌入的監(jiān)測模塊，監(jiān)測模塊通過客戶Agent、應用Agent和服務器Agent在云環(huán)境的條件下提交搜集的信息，進行邏輯分析，采用多樣化技術來檢測入侵，并對以入侵及其可能被入侵進行報警或預處理操作。下面將解析入侵檢測系統(tǒng)的核心-監(jiān)測模塊。

3.3 監(jiān)測模塊的構造模型

監(jiān)測模塊的構造如圖4，由過濾Agent、監(jiān)測器池、檢測器、樣本空間、日志數(shù)據(jù)庫、信息數(shù)據(jù)庫、軌跡Agent、檢測提交等組成。

（1）過濾Agent

對云服務提交的搜集關于Agent在移動中的數(shù)據(jù)，通過過濾Agent預先建立的策略對錯誤的、重復的進行拋棄，同時在對應的日志數(shù)據(jù)庫建立對應的日志記錄，日志記錄包括：數(shù)據(jù)的特征；開始實踐，結束時間等有可能有入侵有關系的參數(shù)。如果符合過濾Agent的通過策略，則將其搜集的數(shù)據(jù)提交給監(jiān)測器池，同時也產(chǎn)生對應的日志記錄。

（2）監(jiān)測器池

互諒網(wǎng)時代信息量巨大，需要非常強大的計算能力，不但要求對用戶的響應速度快，還要求吞吐量指標向外擴展（即水平伸縮），于是單節(jié)點的服務器無法滿足人們的需求，服務器節(jié)點開始池化[6]。為此在這里提出了監(jiān)測器池化。監(jiān)測器池采用哈希一致性算法來負責動態(tài)分配監(jiān)測器（除提交以明確為入侵的行為之外），并把可能為入侵行為或者已經(jīng)認定的為入侵行為的Tag提交予軌跡Agent。

（3）監(jiān)測器

監(jiān)測器通過自身定義的ACL與樣本空間集進行對比，同時采用了神經(jīng)遺傳算法的監(jiān)測器不僅可以把入侵檢測的結果提交給檢測提交Agent，還可以自主學習，針對樣本空間集進行訓練，同時又更新了樣本空間集，在一定程度上增加了對新型入侵手段的適應性，減少了樣本空間集的冗余性。

（4）日志數(shù)據(jù)庫

日志數(shù)據(jù)庫主要完成兩個工作：一是完成對入侵行為的做有時效性的日志記錄，其原理在于有一部分攻擊是無意之間或在發(fā)現(xiàn)漏洞之后造成的，事后通過打補丁等方式修復了漏洞；還有一部分攻擊由于一些人為的或非人為的方式中斷了。二是為信息數(shù)據(jù)庫的應用程序提供應用接口，方便信息數(shù)據(jù)的查詢服務。

（5）信息數(shù)據(jù)庫

信息數(shù)據(jù)庫產(chǎn)生入侵檢測的記錄，為監(jiān)測器提供必要的數(shù)據(jù)查詢服務，并將搜集的每個軌跡Agent，為檢測提交Agent的信息產(chǎn)生對應的日志記錄。

（6）軌跡Agent

軌跡Agent跟蹤入侵的路徑，并且確定它的起始點，即入侵用戶留下的被目標主機日志記載的MLSI（Mark Lefted by Suspected Intruder）的地方。

（7）樣本空間集

樣本空間是從狀態(tài)空間演變而來的，狀態(tài)空間（state space）是由一個問題的全部狀態(tài)，以及這些狀態(tài)，以及這些狀態(tài)之間的相互關系所構成的集合[7]。樣本空間集可以由一個三元組（S，F(xiàn)，G）來構成。其中S為入侵檢測的特征樣本的集合；F為操作的集合；G為目標的集合。

3.4 監(jiān)測模型的工作流程分析

對云服務提交的搜集關于Agent在移動中的數(shù)據(jù)，通過過濾Agent預先建立的策略對錯誤的、重復的進行拋棄，同時在對應的日志數(shù)據(jù)庫建立對應的日志記錄，日志記錄包括：數(shù)據(jù)的特征；開始實踐，結束時間等有可能有入侵有關系的參數(shù)。如果符合過濾Agent，則將其搜集的數(shù)據(jù)提交給監(jiān)測器池，同時也產(chǎn)生對應的日志記錄。監(jiān)測器池采用哈希一致性算法來負責動態(tài)分配監(jiān)測器（除提交以明確為入侵的行為之外），并把可能為入侵行為或者已經(jīng)認定的為入侵行為的Tag提交予軌跡Agent，更新信息數(shù)據(jù)中的存儲數(shù)據(jù)。監(jiān)測器通過自身定義的ACL與樣本空間集進行對比，采用了神經(jīng)遺傳算法的監(jiān)測器把可以把入侵檢測的結果提交給檢測提交Agent，自主學習，針對樣本空間集進行訓練，更新了樣本空間集。最后檢測提交Agent把入侵檢測結果提交給對應的目標Agent（如云服務的移動主機等）。

4 結語

本文出了一個基于三層移動Agent的入侵檢測模型，文章從移動設備的所處的物理環(huán)境和復雜的網(wǎng)絡安全體系入手，用基于三層移動Agent模型解決了移動性問題，然后依托云服務的平臺解決了搜集的數(shù)據(jù)的存儲，同時嵌入了監(jiān)測模塊，構建了一種快速的入侵檢測模型，由于時間和知識儲備的原因，本模型還有一些不足之處。

參考文獻：

[1]Telescript technology： the foundation for the electronic marketplace. White JE.1994.

[2]湯龍.IDS的協(xié)議分析與模式匹配[J].每周電腦報，2002（6）：27-28.

[3]施游，張友生.網(wǎng)絡規(guī)劃設計師考試全程指導[M].北京：清華大學出版社，2009.

[4]吳迪，鄭珂昕.基于移動agent的入侵檢測系統(tǒng)模型研究[A].裝甲兵工程學院報，2004（03）.

[5]湯庸，葉小平，湯娜，等.高級數(shù)據(jù)庫[M].北京：高等教育出版社，2005.

[6]李艷鵬，楊彪.分布式服務架構：原理、設計與實戰(zhàn)[M].北京：電子工業(yè)出版社，2017.

[7]王萬森.人工智能原理及其應用[M].北京：電子工業(yè)出版社，2012.