基于对手思维建模的分布式入侵检测模型2013822485530980.docVIP

基于对手思维建模的分布式入侵检测模型 引言 　　 　　伴随着网络技术的不断发展，网络安全已经成为一个至关重要的问题，也是计算机领域的研究热点之一。为了达到当场检测出恶意的网络入侵行为并马上采取防范反击措施的目的，实时监测黑客入侵行为并以程序自动产生响应的网络入侵检测系统（Intrusion Detection System, IDS）产生了。入侵检测被认为是防火墙之后的第二道安全闸门，可以在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护，大大提高了网络的安全性[1]。 　　自从1980年4月James P. Anderson第一次详细阐述了入侵检测的概念以来，入侵检测系统经历了从集中式系统向分布式、智能化系统的发展历程。与此同时，高级入侵活动也变得越来越呈现出分布性和协调性的特点，具体表现在： 　　(1)一次入侵可能分布在网络中的多个机器上[2]。 　　(2)一次攻击可能只是一个更大规模入侵的一个部分，它只是使用当前被攻陷的网络作为跳板，最终的目标可能是攻击别的系统或非法得到其他资源[3]。 　　(3) 多次简单攻击可以组合成为一次更复杂的长时间协同入侵[4]。 　　这使得传统的基于分布式数据采集和集中分析的分布式入侵检测系统很难检测出大规模的分布式智能协作攻击，并且不能对这些攻击作出实时反应。然而，Agent技术的发展为解决这些问题提供了契机。一些学者提出，由于Agent本身具有协同工作、智能化、自治性和移动性等特点，将其引入入侵检测系统可以弥补传统分布式入侵检测的不足，也为入侵检测技术提供了很多新的思路。文献[5]提出利用免疫学的思想设计出一个基于Agent的入侵检测模型。这个模型是层状结构，能动态学习、检测出已知和未知的入侵、检测出不同层次的入侵。文献[6]提出了一种采取无控制中心的多Agent 结构, 每个检测部件都是独立的检测单元, 尽量降低各检测部件间的相关性。文献[7]提出了一种层次结构的基于自治Agent的入侵检测框架AAFID。其中监视器是系统的单一失效点。尽管如此，入侵者出于自身利益的考虑会对检测Agent有意回避甚至对关键节点Agent主动攻击，而且协作入侵通常会故意采取一些行动以隐藏其意图或掩盖其行动轨迹，如： 　　(1)能够检测到的入侵行动可能只是一部分，甚至检测到的入侵行动可能是误导的。 　　(2)入侵者可能采用灵活的计划以同时完成多个目的。 　　(3)入侵者也许多次重复一些步骤。 　　这些都极大地增大了入侵检测的难度，仅仅对检测系统自身采用Agent技术的分布式入侵系统很难达到实时检测复杂入侵的目标。在更高的层次上，笔者将入侵者和入侵检测方抽象为是以“局部运作、全局共享”为核心的多Agent系统，对抗双方都是一组自治的Agent通过协调它们的知识完成入侵和入侵检测。在求解的过程中，各Agent之间达成了协作、协调、协商、理性、对抗、交互等各种关系。基于这种抽象以及入侵检测的本质（根据入侵者的行动及时推断出入侵者的意图），本文提出了以对手思维建模和对手意图识别技术为基础的多Agent分布式入侵检测系统模型IRAIDS，为解决大规模、分布式、智能化入侵提供了解决方法。 　　 　　1IRAIDS模型 　　 　　1．1对手思维建模 　　对手思维模型的核心在于意图的识别，因为意图对应于实际的行为规划，这也正是入侵检测的目标。本文提到的意图识别包含两个层次的含义： 　　(1)单个对手意图的识别 　　在该模型中使用TA（Tracer Agent）针对单个对手的思维状态建模，目标是通过分析单个对手的行动序列推测其可能的入侵行为。具体请见TA部分。 　　(2)对手群体意图的识别 　　单个对手的思维建模只能检测出简单的个体入侵意图，对于大规模的分布式网络入侵就无能为力了。为了解决这个问题，笔者在模型中提出通过检测Agent之间的协作方式，分析群体对手的意图以找出其入侵计划。这些工作主要是通过BA（Basic Agent）内部TA之间的合作以及BA之间的协作完成的。 　　 　　1．2IRAIDS模型描述 　　IRAIDS模型由TA、BA、SA（Supervise Agent）和MA（Ma－nage Agent）组成，如图1所示。在一个网络中BA、SA、MA通过相互协作监督组成了一个严密安全的入侵检测系统。 其中TA是BA内根据检测到的对手主机的访问情况对对手思维建模的Agent，主要用来识别单个对手的入侵及其意图。BA是执行某些检测任务的Agent，它可以分布在主机或网络上，将多个可疑对手归结为一个对手群，对对手群体入侵目的进行意图识别。SA是某一逻辑网段的监督Agent，它监督网段内的B