基于多Agent的入侵快速响应系统

从分析信息安全的现状入手，设计了一个基于多Agent的快速入侵响应系统CI2D&R。结合该系统的网络部署设计，介绍了该系统两个主要组成部分安全间谍和安全警卫的主要功能，并提出了该系统的分层体系结构，分析了系统的主要组成部件及其相应功能，论述了该系统的数据流和接口设计及解决Agent可靠运行的方法。
关 键 词 入侵检测与响应; 多代理系统; 快速响应; 信息安全

快速反应及灾难恢复技术是网络主动防御技术的重要内容。作为信息安全有效保护手段之一的快速响应及灾难防御系统应具有入侵模式识别、攻击建模、安全评估以及攻击取证功能，才能对入侵行为进行有效反击[1～3]。有效的入侵响应系统应该提供近似的攻击源定位技术[4]，并采取积极的预防性响应措施，从而可在一定程度上减少攻击带来的资源损失。此外，对信息安全来说，系统还必须具备足够的“灵性”，以应对复杂网络环境中的各种入侵行为。根据上述思想，本文采用多Agent技术，设计了一个协作式入侵检测及响应系统－基于成本的智能入侵回溯及响应系统(Cost-based Intelligent Intrusion Detection and Response System, CI2D&R)[5]。

CI2D&R系统网络部署设计
一个有效的入侵响应系统应能处理分布式网络环境中的攻击行为。从网络部署来看，CI2D&R系统属于分布式结构。CI2D&R系统分为相互协作的安全警卫(Guard)和安全侦探(Spy)两个部分。其中安全警卫运行在受保护用户主机(Guarded Hosts, GH)上；而安全侦探则分布在受保护网络(Guarded Networks, GN)中，其具体位置可以是网络的关键节点(Key Node, KN)，也可以是网络边界控制节点(Border Node, BN)。
1.1 受保护网络
受保护网络GN由计算机和各种网络连接设备组成，它们可以是逻辑上的独立单位，也可以是物理上的独立单位。在GN的关键节点或者其网络边界的控制点上，安全侦探Spy监控该GN内的数据流，并与特定的安全警卫协作，旨在完成特定的操作，例如切断连接、对指定攻击者发动必要的反击等。受保护网络和与之对应的安全侦探形成了一个逻辑上的安全域(Security Domain)。从整体来看，一个公司、企业或者国家可视为一个广义上的安全域，因此将范围较小的安全域称为安全子域(Security Sub-Domain)，以表示与广义上的安全域的区别。一个安全域包含一个或者多个安全子域，安全子域内可以运行一个或者多个安全侦探。安全域或者安全子域内的计算机等网络资源和系统资源，均受安全侦探的监控和保护。

1.2 安全侦探
安全侦探Spy是分布在安全域中的软件代理，其主要功能是监控网络流量和执行命令。对于网络流量监控，安全侦探对流经该安全域(或安全子域)的数据进行概率采样，并对采样的数据包打上安全标签。当发生网络入侵时，受保护主机可采集这些带有安全标签的数据包，并用数据挖掘的方法识别出攻击源或者攻击源区域即所谓的攻击源回溯。此外，安全侦探也可以和受保护主机上的安全警卫协同工作，执行安全警卫发布的命令或指令，从而对该安全域实施主动保护。
对于关键的安全域，安全侦探也可以具有入侵模式识别、自动保护、入侵事件分类、入侵破坏力分析和灾难性防御能力，从而可以实时地发现入侵，并主动地对入侵进行响应。具备这种能力的安全侦探，称之为智能安全侦探。如果安全域中分布有众多的智能安全侦探，则整个安全域可具备足够的“灵性”，从而可对入侵进行主动响应，并提高网络的安全韧性。
1.3 安全警卫
安全警卫是运行在受保护主机上的代理程序，其主要功能是入侵模式识别、入侵事件分类、入侵破坏力分析、攻击源回溯、自动保护与响应和灾难性防御。
当入侵发生时，安全警卫的入侵模式识别部件被触发，从而实时地检测出受保护主机上出现的各种系统异常或网络入侵事件。安全警卫如具备入侵识别功能，可实时地对受保护主机实施保护，从而提升主机和安全域的安全程度。在整个系统中，入侵模式识别部件是系统的数据采集部件之一，具有特殊的作用和地位。