基于對手思維建模分布式入侵檢測模型

1、基于對手思維建模分布式入侵檢測模型摘要：研究網(wǎng)絡入侵和入侵檢測系統(tǒng)的現(xiàn)狀和發(fā)展趨勢，將對手思維建模和意圖識別技術(shù)引入入侵檢測系統(tǒng)，提出了一個基于對手思維建模的入侵檢測模型（IRAIDS），為解決大規(guī)模、分布式、智能化入侵提供了解決方法。 關(guān)鍵詞：思維建模;入侵檢測；網(wǎng)絡入侵 0引言 伴隨著網(wǎng)絡技術(shù)的不斷發(fā)展，網(wǎng)絡安全已經(jīng)成為一個至關(guān)重要的問題，也是計算機領(lǐng)域的研究熱點之一。為了達到當場檢測出惡意的網(wǎng)絡入侵行為并馬上采取防范反擊措施的目的，實時監(jiān)測黑客入侵行為并以程序自動產(chǎn)生響應的網(wǎng)絡入侵檢測系統(tǒng)（Intrusion Detection System, IDS）產(chǎn)生了。入侵檢測被認為是防火墻之后

2、的第二道安全閘門，可以在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)聽，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，大大提高了網(wǎng)絡的安全性1。 自從1980年4月James P. Anderson第一次詳細闡述了入侵檢測的概念以來，入侵檢測系統(tǒng)經(jīng)歷了從集中式系統(tǒng)向分布式、智能化系統(tǒng)的發(fā)展歷程。與此同時，高級入侵活動也變得越來越呈現(xiàn)出分布性和協(xié)調(diào)性的特點，具體表現(xiàn)在： (1)一次入侵可能分布在網(wǎng)絡中的多個機器上2。 (2)一次攻擊可能只是一個更大規(guī)模入侵的一個部分，它只是使用當前被攻陷的網(wǎng)絡作為跳板，最終的目標可能是攻擊別的系統(tǒng)或非法得到其他資源3。 (3) 多次簡單攻擊可以組合成為一次更復雜的長時

3、間協(xié)同入侵4。 這使得傳統(tǒng)的基于分布式數(shù)據(jù)采集和集中分析的分布式入侵檢測系統(tǒng)很難檢測出大規(guī)模的分布式智能協(xié)作攻擊，并且不能對這些攻擊作出實時反應。然而，Agent技術(shù)的發(fā)展為解決這些問題提供了契機。一些學者提出，由于Agent本身具有協(xié)同工作、智能化、自治性和移動性等特點，將其引入入侵檢測系統(tǒng)可以彌補傳統(tǒng)分布式入侵檢測的不足，也為入侵檢測技術(shù)提供了很多新的思路。文獻5提出利用免疫學的思想設計出一個基于Agent的入侵檢測模型。這個模型是層狀結(jié)構(gòu)，能動態(tài)學習、檢測出已知和未知的入侵、檢測出不同層次的入侵。文獻6提出了一種采取無控制中心的多Agent 結(jié)構(gòu), 每個檢測部件都是獨立的檢測單元, 盡量

4、降低各檢測部件間的相關(guān)性。文獻7提出了一種層次結(jié)構(gòu)的基于自治Agent的入侵檢測框架AAFID。其中監(jiān)視器是系統(tǒng)的單一失效點。盡管如此，入侵者出于自身利益的考慮會對檢測Agent有意回避甚至對關(guān)鍵節(jié)點Agent主動攻擊，而且協(xié)作入侵通常會故意采取一些行動以隱藏其意圖或掩蓋其行動軌跡，如： (1)能夠檢測到的入侵行動可能只是一部分，甚至檢測到的入侵行動可能是誤導的。 (2)入侵者可能采用靈活的計劃以同時完成多個目的。 (3)入侵者也許多次重復一些步驟。 這些都極大地增大了入侵檢測的難度，僅僅對檢測系統(tǒng)自身采用Agent技術(shù)的分布式入侵系統(tǒng)很難達到實時檢測復雜入侵的目標。在更高的層次上，筆者將入侵

5、者和入侵檢測方抽象為是以“局部運作、全局共享”為核心的多Agent系統(tǒng)，對抗雙方都是一組自治的Agent通過協(xié)調(diào)它們的知識完成入侵和入侵檢測。在求解的過程中，各Agent之間達成了協(xié)作、協(xié)調(diào)、協(xié)商、理性、對抗、交互等各種關(guān)系?；谶@種抽象以及入侵檢測的本質(zhì)（根據(jù)入侵者的行動及時推斷出入侵者的意圖），本文提出了以對手思維建模和對手意圖識別技術(shù)為基礎(chǔ)的多Agent分布式入侵檢測系統(tǒng)模型IRAIDS，為解決大規(guī)模、分布式、智能化入侵提供了解決方法。 1IRAIDS模型 11對手思維建模 對手思維模型的核心在于意圖的識別，因為意圖對應于實際的行為規(guī)劃，這也正是入侵檢測的目標。本文提到的意圖識別包含兩個

6、層次的含義： (1)單個對手意圖的識別 在該模型中使用TA（Tracer Agent）針對單個對手的思維狀態(tài)建模，目標是通過分析單個對手的行動序列推測其可能的入侵行為。具體請見TA部分。 (2)對手群體意圖的識別 單個對手的思維建模只能檢測出簡單的個體入侵意圖，對于大規(guī)模的分布式網(wǎng)絡入侵就無能為力了。為了解決這個問題，筆者在模型中提出通過檢測Agent之間的協(xié)作方式，分析群體對手的意圖以找出其入侵計劃。這些工作主要是通過BA（Basic Agent）內(nèi)部TA之間的合作以及BA之間的協(xié)作完成的。 12IRAIDS模型描述 IRAIDS模型由TA、BA、SA（Supervise Agent）和MA

7、（Manage Agent）組成，如圖1所示。在一個網(wǎng)絡中BA、SA、MA通過相互協(xié)作監(jiān)督組成了一個嚴密安全的入侵檢測系統(tǒng)。 其中TA是BA內(nèi)根據(jù)檢測到的對手主機的訪問情況對對手思維建模的Agent，主要用來識別單個對手的入侵及其意圖。BA是執(zhí)行某些檢測任務的Agent，它可以分布在主機或網(wǎng)絡上，將多個可疑對手歸結(jié)為一個對手群，對對手群體入侵目的進行意圖識別。SA是某一邏輯網(wǎng)段的監(jiān)督Agent，它監(jiān)督網(wǎng)段內(nèi)的BA的運行狀態(tài)并對網(wǎng)段內(nèi)的流量和訪問等信息進行統(tǒng)計。MA是整個系統(tǒng)的管理者，處于整個網(wǎng)絡與Internet接口處（通常是網(wǎng)關(guān)），對整個系統(tǒng)的流量、網(wǎng)段內(nèi)的SA的狀態(tài)進行監(jiān)督管理。 2模型結(jié)

8、構(gòu)分析 21TA的結(jié)構(gòu) 由于網(wǎng)絡中需要檢測的對方主機的數(shù)量可能會很多，實現(xiàn)對手Agent要求所占資源必須足夠小，在模型上就需要足夠精簡。本文對對手建立一個簡潔的輕型Agent模型，如圖2所示。對手思維模型由三層組成，分別是：(1)交互層。當某個BA判斷網(wǎng)絡中某臺主機的行為超過了可能入侵的閾值時，就根據(jù)下面的模型對對手建立一個輕型Agent，以后獲取的這個對手的行為就交由該Agent處理，由TA對對手的操作進行匹配、識別其入侵意圖。交互層主要與產(chǎn)生它的BA進行交流，由BA將它所“關(guān)心”的對手情況傳送給它，處理后由交互層反饋給BA。 (2）處理層。利用所歸屬的BA檢測數(shù)據(jù)庫對交互層傳來的信息進行入

9、侵規(guī)則匹配與意圖識別，在單個對手的層次上檢測可能的入侵。 (3）存儲層用來存放處理層的中間過程和結(jié)果。 22BA的主要功能和結(jié)構(gòu) BA是運用對手群意圖識別技術(shù)，通過相互協(xié)商方式進行入侵檢測的Agent。每個BA負責一定的檢測任務，檢測入侵的某個方面。BA由下面幾個部分組成：DB（數(shù)據(jù)庫）、通信單元、加/解密單元、數(shù)據(jù)采集單元、數(shù)據(jù)預處理單元、分析引擎、狀態(tài)分析引擎、入侵處理單元、用戶接口和對對手思維建模的Agent（TA），如圖3所示。 下面按照分類詳細介紹各部分的功能： （1）通信單元。提供BA與邏輯網(wǎng)段內(nèi)其他BA以及上層SA進行加密通信的能力，也是BA的數(shù)據(jù)來源之一。 （2）加/解密單元。

10、為了保障Agent之間通信的安全化而設立的一個對消息進行加密和解密的單元，是維護系統(tǒng)安全運行的重要單元之一。 （3）數(shù)據(jù)采集單元。系統(tǒng)數(shù)據(jù)的另一來源，從系統(tǒng)日志、審計文件以及網(wǎng)絡數(shù)據(jù)包中獲取檢測需要的數(shù)據(jù)。 （4）數(shù)據(jù)預處理單元。對從采集單元獲得的數(shù)據(jù)進行過濾、抽象化和標準化操作，便于分析引擎對數(shù)據(jù)進行分析。 （5）分析引擎。BA的核心單元，利用內(nèi)部TA反饋的可疑入侵信息，對可疑入侵群體進行意圖識別，同時與邏輯網(wǎng)段內(nèi)其他BA協(xié)作檢測并向上層SA報告。 本文原文（6）狀態(tài)分析引擎。它是系統(tǒng)進行自我狀態(tài)進行監(jiān)督以及對上層SA觀察的單元，一旦發(fā)現(xiàn)SA存在問題將及時發(fā)動一次選舉，保證系統(tǒng)運行的完整性。

11、 （7）入侵處理單元。發(fā)現(xiàn)入侵時的處理模塊，通常的做法是向用戶報警并根據(jù)其危害性采取限制登錄范圍、鎖定用戶賬號甚至切斷網(wǎng)絡連接等措施。 （8）用戶接口。它是用戶與BA交互的單元，用戶可以向BA中添加新的檢測模型、規(guī)則等信息，也可以對可疑入侵進行判斷分析并給出結(jié)論。 （9）DB。數(shù)據(jù)庫是BA存儲系統(tǒng)信息、檢測模型、經(jīng)預處理后的數(shù)據(jù)和中間數(shù)據(jù)的單元。數(shù)據(jù)庫中的內(nèi)容主要有下面三部分： 網(wǎng)絡的拓撲信息，包括當前BA所處網(wǎng)絡的其他BA的地址、上層SA的地址、MA地址等描述網(wǎng)絡拓撲結(jié)構(gòu)的信息。 知識庫，主要包括入侵檢測方法、單個對手意圖識別算法、對手群體意圖識別算法。其中檢測方法數(shù)據(jù)庫包括正常模式庫和異常

12、模式庫（分別用于異常檢測和誤用檢測方法）。這兩種數(shù)據(jù)庫可以根據(jù)數(shù)據(jù)來源分為不同類別子數(shù)據(jù)庫。這樣，異常數(shù)據(jù)可以根據(jù)其來源在相應的子數(shù)據(jù)庫中得到迅速的匹配。 經(jīng)預處理的數(shù)據(jù)。所有經(jīng)過預處理得到的標準化和格式化的數(shù)據(jù)都保存在數(shù)據(jù)庫中，用來保存對手的入侵證據(jù)。 23SA的主要功能和結(jié)構(gòu) SA的主要作用是對所在邏輯網(wǎng)段內(nèi)其他BA的狀態(tài)進行監(jiān)督管理、接收BA發(fā)送的可疑報告、同其他SA協(xié)商以及向上層MA提交入侵和可疑入侵情況。由于SA是從一個邏輯網(wǎng)段的所有BA中選舉出來的，與BA的結(jié)構(gòu)基本相同。不同的是，SA數(shù)據(jù)庫中的網(wǎng)絡拓撲結(jié)構(gòu)除了包括本邏輯網(wǎng)段內(nèi)的其他主機的地/址信息外，還保存其他網(wǎng)段的SA和部分BA

13、（便于發(fā)現(xiàn)某個SA失效時可以通知其網(wǎng)段內(nèi)的BA）的地址信息。 24MA的主要功能和結(jié)構(gòu) MA是處于整個網(wǎng)絡與Internet接口處，是對整個網(wǎng)絡進行監(jiān)控和檢測入侵的核心單元，常常處于與Internet接口的網(wǎng)絡設備中，對全網(wǎng)的數(shù)據(jù)流量進行統(tǒng)計跟蹤。MA可以通過大量的學習，統(tǒng)計正常和異常情況下網(wǎng)絡中的數(shù)據(jù)流量、各個局域網(wǎng)段的流量以及正常和異常的訪問信息等知識。通過MA在高層監(jiān)控，一旦發(fā)現(xiàn)流向某個網(wǎng)段或者整個系統(tǒng)的流量發(fā)生劇烈變化，可以通過學習的結(jié)果判斷是否出現(xiàn)入侵，并及時向可能發(fā)生的入侵網(wǎng)段的SA發(fā)出警告。 MA的結(jié)構(gòu)與BA、SA十分相似，但是它只需要對網(wǎng)絡中的數(shù)據(jù)包進行分析，在數(shù)據(jù)采集單元中只接收通信單元和網(wǎng)絡中的數(shù)據(jù)包的信息。其他部分類似，需要詳細解釋的是MA的數(shù)據(jù)庫。MA的數(shù)據(jù)庫中存放著下面三種數(shù)據(jù)： (1)整個網(wǎng)絡主機和Agent位置的實時信息，尤其是網(wǎng)絡中SA的實時位置信息。這個目標主要通過定期檢測和接收更新的方式達到。 (2)知識庫，其中包括了MA、SA、BA檢測需要使用的所有知識。也就是說，MA的數(shù)據(jù)庫中存放了整個系統(tǒng)需要的知識的總和。 （3) MA從網(wǎng)絡中獲取的數(shù)據(jù)流量和統(tǒng)計信息，以及入侵檢測的中間信息都存儲在數(shù)據(jù)庫