基于智能Ａｇｅｎｔ和数据挖掘技术的蜜罐系统的研究.docVIP

基于智能Ａｇｅｎｔ和数据挖掘技术的蜜罐系统的研究 　　摘要：传统的网络安全技术被动防护的特点，很难满足现在网络的需要。文章利用Agent的智能化和分布式协同处理功能，在传统蜜罐的基础上，提出一种基于智能Agent的蜜罐系统结构，并对获取的非法数据进行关联、挖掘，根据已有的入侵方法找出未来可能发生的入侵方式。系统利用智能Agent的分布式处理能力特点完成对各个服务器和主机的保护；利用数据挖掘算法在大量数据中提出有用信息不断更新知识库；利用专家系统实现对非法访问到蜜罐系统的漂移；利用蜜罐系统作为非法数据容器和分析工厂。 　　文章首先介绍传统网络安全技术的不足；然后针对智能Agent、蜜罐技术的研究现状进行阐述；接着提出基于Agent和数据挖掘技术的蜜罐系统的模型；最后指出其发展前景和面临的挑战。 　　关键词：蜜罐系统；智能Agent；数据挖掘；知识库；专家系统 　　中图分类号：TP311文献标识码：A文章编号：1009-3044(2008)14-20811-03 　　 　　1 引言 　　 　　随着网络技术的不断发展,网络不安全因素也随之增多，传统的网络安全技术已经不堪重负。防火墙和入侵检测系统因为数据负载过重，从而导致信息误报和漏报的频频发生[1,2]。 　　本文提出了一种新型的基于智能Agent和数据挖掘技术的蜜罐系统模型。利用智能Agent的智能化和分布式协同处理功能，完成一下几个功能：(1) 对服务器进行保护；(2) 将非法访问有效的漂移到蜜罐中；(3) 对入侵数据进行审计分析，并反馈分析结果。利用数据挖掘技术对数据进行关联、挖掘，从而预测可能将来可能发生的入侵特征。 　　 　　2 智能Agent 　　 　　Agent技术是一种分布式计算环境下软件智能化技术，是人工智能和网络技术相结合的产物，它提供了一种在分布式异构环境下实现智能化应用和协调的全新计算模式。 　　智能Agent技术是人工智能领域特别是异构环境下的一个新模式，通常认为具有以下四种基本特征[1,2]。 　　自治性（autonomy）：Agent拥有内部自治机制和问题解决机制，能够控制自己的行为和内部状态。无需他人的干涉即可根据自己的知识和捕捉到的信息进行判断和行为。Agent自治性的高低在很大程度上决定了其智能的高低。 　　社会性（social ability）：Agent不是孤立的，而是一个相互作用的群体。智能Agent间可以按照某种协议或者语言进行通讯和对话，从而形成一个小组来协作完成某一特定的任务。 　　反应性（reactivity）：指Agent具有外部环境的反射作用，能够识别外部环境的变化并作出适当反映。这种反映可以是简单的反射(reactive agent)，也可以是深思输虑的反映(deliberative agent)。 　　主动性（pro-activeness）：指Agent具有对目标的能动性，为了达到目标，Agent能够自发地参加到某些处理或者协作中。 　　 　　3 蜜罐系统 　　 　　记录黑客侵入系统的一切信息，同时还具有混淆黑客攻击目标的功能，可以用来保护服务主机的正常运行。它能够显著地影响入侵者使之按照你的意志进行选择；迅速地检测到入侵者的进攻并获知其进攻技术和意图；消耗入侵者的资源。而且，它允许防护者跟踪入侵者的行为，在入侵者之前修补系统可能存在的安全漏洞。 　　蜜罐系统的构造思想是基于网络的开放性和资源的可监视性。一个处于正常工作状态的系统在网络上都有可能被黑客攻击，而且越是带有某种特定资源的系统越容易遭到攻击。对系统或网络进行特殊设计和一定的布置，就可能将入侵者成功地引入受控环境中，降低正常系统被攻击的危险，同时获得研究黑客相关技术的重要资料。资源的可监视性是指包括网络和主机系统在内的各种资源都处于我们控制之下，从而可以监视和控制所有对这些资源的访问[3]。 　　蜜罐系统的实现主要依赖于低层网络技术的支持和运用。由于蜜罐特殊的运作方式和实用目的，其原理的实现也在传统的网络技术上有新的要求。它的主要技术有网络欺骗，数据捕获，数据控制和数据分析。 　　 　　4 基于智能Agent和数据挖掘技术的蜜罐系统模型 　　 　　本系统利用智能Agent将诱捕陷阱和异构的真正服务器联在一起，正常状况下对外体现的是真正的服务器，当攻击行为发生时，智能Agent将攻击行为实时漂移到蜜罐主机中，而真正服务器还同时对正常访问者提供服务。图1表示本系统的整体构架图。 　　 　　4.1 系统分为四个部分 　　控制中心、漂移Agent、分析Agent、守护Agent。控制中心Agent负责协调控制整个分布式网络中的Agent，对整个网络中的入侵行为做出响应；漂移Agent负责检测访问数据流，并对其进行