李洋

摘要：根據(jù)目前對于移動Agent系統(tǒng)的面臨的入侵安全問題，該文提出了一種在三層移動Agent的基礎(chǔ)上嵌入監(jiān)測模塊構(gòu)建了基于三層移動Agent，依托云服務(wù)提供的數(shù)據(jù)架構(gòu)，對在其監(jiān)測模塊進行了工作流程分析。結(jié)果證明，它既可以保證移動Agent的檢測過程的效率，又可以提高檢測的精準(zhǔn)性，具有良好的操作性。

關(guān)鍵詞：移動Agent；監(jiān)測模塊；精準(zhǔn)性；操作性

中圖分類號：T9393 文獻標(biāo)識碼：A 文章編號：1009-3044（2018）09-0037-02

1 概述

移動Agent是在人工智能的領(lǐng)域發(fā)展而來的一門新型技術(shù)，旨在模擬人的屬性和方法，具有高精準(zhǔn)度，高智能化的，能夠自主運行和調(diào)用服務(wù)的應(yīng)用接口。在1993年，General Magic公司推出的商業(yè)移動代理系統(tǒng)Telescript第一次提示了移動Agent的概念[1]。移動Agent是基于在移動環(huán)境的環(huán)境前提下，計算機或其他通信設(shè)備在沒有與固定的物理設(shè)備連接的情況下能夠相互傳輸數(shù)據(jù)，Agent具有一定的自適應(yīng)性，能夠?qū)χ車沫h(huán)境作出反應(yīng)，通過觸發(fā)對應(yīng)的策略，體現(xiàn)出目標(biāo)出現(xiàn)的行為。如圖1所示其中，Environmental表示Agent服務(wù)的運行的環(huán)境，它是整個系統(tǒng)實現(xiàn)的核心，Agent可以在其上無規(guī)則的移動，用以完成數(shù)據(jù)的交互任務(wù)。

在如今針對移動主機的攻擊或者利用移動主機發(fā)起攻擊的安全事件日益增多，攻擊手段和技術(shù)的不多樣化。所以，現(xiàn)在的移動網(wǎng)絡(luò)安全的解決方案中，網(wǎng)絡(luò)入侵檢測成為了不可缺少的安全組件。而來源與分布式人工智能領(lǐng)域的移動Agent技術(shù)，已經(jīng)融入網(wǎng)絡(luò)追蹤的各個維度，筆者根據(jù)移動Agent的基礎(chǔ)上建立一個基于三層移動Agent的入侵檢測模型。

2 目前入侵檢測系統(tǒng)的研究現(xiàn)狀

2.1 入侵檢測系統(tǒng)系統(tǒng)簡述

目前的入侵檢測系統(tǒng)，絕大多數(shù)是基于Den-ning[2]的入侵檢測模型。它的原理是將網(wǎng)絡(luò)數(shù)據(jù)包、審計記錄及其他可以監(jiān)測到的任意行為，作為入侵檢測系統(tǒng)中的異常操作的依據(jù)，通過與檢測系統(tǒng)中已有的攻擊模式樣本進行比對。從檢測方法上可以將入侵檢測系統(tǒng)分為異常檢測（anomaly detection）與誤用入侵檢測（miuse detection）兩種類型。異常檢測是通過匹配資源使用者的行為或資源使用狀況的正常程度的偏差來判斷是否產(chǎn)生了入侵，而不是憑借具體的行為是否執(zhí)行來檢測。誤用檢測是通過事前定義好的入侵模式，通過判斷在實際安全審計數(shù)據(jù)中是否出現(xiàn)預(yù)定義的入侵模式來產(chǎn)生判斷，從而完成檢測功能。

而一般的入侵檢測系統(tǒng)是基于數(shù)據(jù)源的分類是根據(jù)數(shù)據(jù)源或者是說審計事件發(fā)生器，可以分為基于主機（Host-based）和基于網(wǎng)絡(luò)（Network-based）?；谥鳈C的IDS 的檢測目標(biāo)是主機系統(tǒng)和系統(tǒng)本地用戶，原理是根據(jù)主機審計數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件[3]，它的結(jié)構(gòu)是C/S 模型?；诰W(wǎng)絡(luò)的IDS 嗅探來自網(wǎng)絡(luò)層的信息，管控網(wǎng)絡(luò)數(shù)據(jù)流量并進行分析，同時網(wǎng)絡(luò)型入侵檢測系統(tǒng)負(fù)擔(dān)著保護整個網(wǎng)段的任務(wù)[4]。

為了增加傳統(tǒng)的入侵檢測系統(tǒng)的可維護性、可擴展性、容錯率和檢測效率，有一部分機構(gòu)提出了以自治代理構(gòu)架的分布式入侵檢測系統(tǒng)的方法。采用自治代理的分布式入侵檢測系統(tǒng)由下列模塊組成：自治代理、數(shù)據(jù)過濾器、收發(fā)器、檢測器和用戶交互接口等，不同實體之間采用消息機制來協(xié)調(diào)工作。在分布式入侵檢測系統(tǒng)中，數(shù)據(jù)分析的數(shù)目取決于被檢測主機，解決了入侵檢測系統(tǒng)擴充性差的難題，檢測范圍從局部提升到多個管理區(qū)域。

2.2 入侵檢測系統(tǒng)的特點與局限

基于主機的入侵檢測系統(tǒng)具有執(zhí)行率高、占用資源成本小，能夠快速準(zhǔn)確的定位入侵者，并聯(lián)合系統(tǒng)與應(yīng)用程序的行為特征對入侵進一步的嗅探及時作出響應(yīng)。但它在一定程度上依賴于系統(tǒng)的可靠性，對系統(tǒng)本身具備的安全功能了解與合理的設(shè)置。主機日志信息提供的信息是有限的，不能避免來自網(wǎng)絡(luò)層的入侵行為；可移值性差；檢測帶來的資源開銷大。

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以訪問到通信鏈路的所有層次；檢測效率高，內(nèi)容全面；不會影響主機性能和網(wǎng)絡(luò)性能，資源開銷較小。缺點是只能檢測所在的網(wǎng)段，檢測數(shù)據(jù)過于龐大并且不能結(jié)合操作系統(tǒng)特征來對網(wǎng)絡(luò)行為進行準(zhǔn)確的判斷[3]；不能針對加密的網(wǎng)絡(luò)數(shù)據(jù)進行掃描協(xié)議或內(nèi)容，防范入侵欺騙的能力較差。

前面介紹的分布式入侵檢測系統(tǒng)，大部分是利用分布式架構(gòu)進行數(shù)據(jù)搜集，然后把數(shù)據(jù)提交給入侵檢測處理中心，在處理中心處理。其局限體現(xiàn)在：入侵檢測的時效性彈性化明顯；容易出現(xiàn)處理中心檢測的單點故障與中心瓶頸；分布式數(shù)據(jù)量較大容易引起網(wǎng)絡(luò)的阻塞和突發(fā)的資源占用；分布式系統(tǒng)的一致性問題難以得到有效的處理，異構(gòu)的入侵檢測系統(tǒng)難以協(xié)同工作。

3 基于三層移動Agent的入侵檢測模型的研究

3.1 層移動Agent模型

三層移動Agent模型的原理就是把Agent分為三層：客戶Agent、應(yīng)用Agent與服務(wù)器Agent，其結(jié)構(gòu)如下圖2所示。

客戶機Agent層：1）提供良好的用戶交互接口，方便用戶獲取信息；2）提供一個跟移動設(shè)備及其地理位置相關(guān)的數(shù)據(jù)id_place描述其用戶的位置；3）為應(yīng)用代理派生服務(wù)及相關(guān)接口的產(chǎn)生；4）提供數(shù)據(jù)二級緩存。

應(yīng)用Agent層：是一個主動對象（D，M，SD，P），其中D是指一級本地數(shù)據(jù)，M是一組方法，SD是這些方法之間的一組結(jié)構(gòu)依賴關(guān)系，P則是一組中斷點和重定位點[5]。提供了如下功能：1）提供了自主查詢與協(xié)同工作的能力；2）移動的能力及其提供信息一級緩存；3）具有非對稱性。

服務(wù)器Agent層：1）提供工業(yè)化標(biāo)準(zhǔn)的數(shù)據(jù)查詢服務(wù)接口；2）提供靜態(tài)IP接入的功能。

3.2 基于三層移動Agent的入侵檢測模型

基于三層移動Agent的入侵檢測模型是在三層模型的基礎(chǔ)上輔以云環(huán)境，在客戶Agent、應(yīng)用Agent和服務(wù)器Agent嵌入獨立的監(jiān)測模塊。概念圖如圖3。

由于實際應(yīng)用環(huán)境的移動性特點，并鑒于移動中采集的數(shù)據(jù)容量較大，本地區(qū)域存儲的成本昂貴。如何尋求一種快速的既能解決移動中數(shù)據(jù)的傳輸與大容量的數(shù)據(jù)的存儲是入侵檢測的關(guān)鍵，在這里將采用新的技術(shù)、實用性較強、成本較低的云服務(wù)。云服務(wù)可以根據(jù)不同的用戶、不同的用途分為公有云、私有云、混合云，這都是構(gòu)建三層移動Agent的入侵檢測的數(shù)據(jù)搜集底層的基礎(chǔ)。而入侵檢測的核心在嵌入的監(jiān)測模塊，監(jiān)測模塊通過客戶Agent、應(yīng)用Agent和服務(wù)器Agent在云環(huán)境的條件下提交搜集的信息，進行邏輯分析，采用多樣化技術(shù)來檢測入侵，并對以入侵及其可能被入侵進行報警或預(yù)處理操作。下面將解析入侵檢測系統(tǒng)的核心-監(jiān)測模塊。

3.3 監(jiān)測模塊的構(gòu)造模型

監(jiān)測模塊的構(gòu)造如圖4，由過濾Agent、監(jiān)測器池、檢測器、樣本空間、日志數(shù)據(jù)庫、信息數(shù)據(jù)庫、軌跡Agent、檢測提交等組成。

（1）過濾Agent

對云服務(wù)提交的搜集關(guān)于Agent在移動中的數(shù)據(jù)，通過過濾Agent預(yù)先建立的策略對錯誤的、重復(fù)的進行拋棄，同時在對應(yīng)的日志數(shù)據(jù)庫建立對應(yīng)的日志記錄，日志記錄包括：數(shù)據(jù)的特征；開始實踐，結(jié)束時間等有可能有入侵有關(guān)系的參數(shù)。如果符合過濾Agent的通過策略，則將其搜集的數(shù)據(jù)提交給監(jiān)測器池，同時也產(chǎn)生對應(yīng)的日志記錄。

（2）監(jiān)測器池

互諒網(wǎng)時代信息量巨大，需要非常強大的計算能力，不但要求對用戶的響應(yīng)速度快，還要求吞吐量指標(biāo)向外擴展（即水平伸縮），于是單節(jié)點的服務(wù)器無法滿足人們的需求，服務(wù)器節(jié)點開始池化[6]。為此在這里提出了監(jiān)測器池化。監(jiān)測器池采用哈希一致性算法來負(fù)責(zé)動態(tài)分配監(jiān)測器（除提交以明確為入侵的行為之外），并把可能為入侵行為或者已經(jīng)認(rèn)定的為入侵行為的Tag提交予軌跡Agent。

（3）監(jiān)測器

監(jiān)測器通過自身定義的ACL與樣本空間集進行對比，同時采用了神經(jīng)遺傳算法的監(jiān)測器不僅可以把入侵檢測的結(jié)果提交給檢測提交Agent，還可以自主學(xué)習(xí)，針對樣本空間集進行訓(xùn)練，同時又更新了樣本空間集，在一定程度上增加了對新型入侵手段的適應(yīng)性，減少了樣本空間集的冗余性。

（4）日志數(shù)據(jù)庫

日志數(shù)據(jù)庫主要完成兩個工作：一是完成對入侵行為的做有時效性的日志記錄，其原理在于有一部分攻擊是無意之間或在發(fā)現(xiàn)漏洞之后造成的，事后通過打補丁等方式修復(fù)了漏洞；還有一部分攻擊由于一些人為的或非人為的方式中斷了。二是為信息數(shù)據(jù)庫的應(yīng)用程序提供應(yīng)用接口，方便信息數(shù)據(jù)的查詢服務(wù)。

（5）信息數(shù)據(jù)庫

信息數(shù)據(jù)庫產(chǎn)生入侵檢測的記錄，為監(jiān)測器提供必要的數(shù)據(jù)查詢服務(wù)，并將搜集的每個軌跡Agent，為檢測提交Agent的信息產(chǎn)生對應(yīng)的日志記錄。

（6）軌跡Agent

軌跡Agent跟蹤入侵的路徑，并且確定它的起始點，即入侵用戶留下的被目標(biāo)主機日志記載的MLSI（Mark Lefted by Suspected Intruder）的地方。

（7）樣本空間集

樣本空間是從狀態(tài)空間演變而來的，狀態(tài)空間（state space）是由一個問題的全部狀態(tài)，以及這些狀態(tài)，以及這些狀態(tài)之間的相互關(guān)系所構(gòu)成的集合[7]。樣本空間集可以由一個三元組（S，F(xiàn)，G）來構(gòu)成。其中S為入侵檢測的特征樣本的集合；F為操作的集合；G為目標(biāo)的集合。

3.4 監(jiān)測模型的工作流程分析

對云服務(wù)提交的搜集關(guān)于Agent在移動中的數(shù)據(jù)，通過過濾Agent預(yù)先建立的策略對錯誤的、重復(fù)的進行拋棄，同時在對應(yīng)的日志數(shù)據(jù)庫建立對應(yīng)的日志記錄，日志記錄包括：數(shù)據(jù)的特征；開始實踐，結(jié)束時間等有可能有入侵有關(guān)系的參數(shù)。如果符合過濾Agent，則將其搜集的數(shù)據(jù)提交給監(jiān)測器池，同時也產(chǎn)生對應(yīng)的日志記錄。監(jiān)測器池采用哈希一致性算法來負(fù)責(zé)動態(tài)分配監(jiān)測器（除提交以明確為入侵的行為之外），并把可能為入侵行為或者已經(jīng)認(rèn)定的為入侵行為的Tag提交予軌跡Agent，更新信息數(shù)據(jù)中的存儲數(shù)據(jù)。監(jiān)測器通過自身定義的ACL與樣本空間集進行對比，采用了神經(jīng)遺傳算法的監(jiān)測器把可以把入侵檢測的結(jié)果提交給檢測提交Agent，自主學(xué)習(xí)，針對樣本空間集進行訓(xùn)練，更新了樣本空間集。最后檢測提交Agent把入侵檢測結(jié)果提交給對應(yīng)的目標(biāo)Agent（如云服務(wù)的移動主機等）。

4 結(jié)語

本文出了一個基于三層移動Agent的入侵檢測模型，文章從移動設(shè)備的所處的物理環(huán)境和復(fù)雜的網(wǎng)絡(luò)安全體系入手，用基于三層移動Agent模型解決了移動性問題，然后依托云服務(wù)的平臺解決了搜集的數(shù)據(jù)的存儲，同時嵌入了監(jiān)測模塊，構(gòu)建了一種快速的入侵檢測模型，由于時間和知識儲備的原因，本模型還有一些不足之處。

參考文獻：

[1]Telescript technology： the foundation for the electronic marketplace. White JE.1994.

[2]湯龍.IDS的協(xié)議分析與模式匹配[J].每周電腦報，2002（6）：27-28.

[3]施游，張友生.網(wǎng)絡(luò)規(guī)劃設(shè)計師考試全程指導(dǎo)[M].北京：清華大學(xué)出版社，2009.

[4]吳迪，鄭珂昕.基于移動agent的入侵檢測系統(tǒng)模型研究[A].裝甲兵工程學(xué)院報，2004（03）.

[5]湯庸，葉小平，湯娜，等.高級數(shù)據(jù)庫[M].北京：高等教育出版社，2005.

[6]李艷鵬，楊彪.分布式服務(wù)架構(gòu)：原理、設(shè)計與實戰(zhàn)[M].北京：電子工業(yè)出版社，2017.

[7]王萬森.人工智能原理及其應(yīng)用[M].北京：電子工業(yè)出版社，2012.