從分析信息安全的現(xiàn)狀入手，設(shè)計(jì)了一個(gè)基于多Agent的快速入侵響應(yīng)系統(tǒng)CI2D&R。結(jié)合該系統(tǒng)的網(wǎng)絡(luò)部署設(shè)計(jì)，介紹了該系統(tǒng)兩個(gè)主要組成部分安全間諜和安全警衛(wèi)的主要功能，并提出了該系統(tǒng)的分層體系結(jié)構(gòu)，分析了系統(tǒng)的主要組成部件及其相應(yīng)功能，論述了該系統(tǒng)的數(shù)據(jù)流和接口設(shè)計(jì)及解決Agent可靠運(yùn)行的方法。
關(guān) 鍵 詞 入侵檢測(cè)與響應(yīng); 多代理系統(tǒng); 快速響應(yīng); 信息安全

快速反應(yīng)及災(zāi)難恢復(fù)技術(shù)是網(wǎng)絡(luò)主動(dòng)防御技術(shù)的重要內(nèi)容。作為信息安全有效保護(hù)手段之一的快速響應(yīng)及災(zāi)難防御系統(tǒng)應(yīng)具有入侵模式識(shí)別、攻擊建模、安全評(píng)估以及攻擊取證功能，才能對(duì)入侵行為進(jìn)行有效反擊[1～3]。有效的入侵響應(yīng)系統(tǒng)應(yīng)該提供近似的攻擊源定位技術(shù)[4]，并采取積極的預(yù)防性響應(yīng)措施，從而可在一定程度上減少攻擊帶來的資源損失。此外，對(duì)信息安全來說，系統(tǒng)還必須具備足夠的“靈性”，以應(yīng)對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境中的各種入侵行為。根據(jù)上述思想，本文采用多Agent技術(shù)，設(shè)計(jì)了一個(gè)協(xié)作式入侵檢測(cè)及響應(yīng)系統(tǒng)－基于成本的智能入侵回溯及響應(yīng)系統(tǒng)(Cost-based Intelligent Intrusion Detection and Response System, CI2D&R)[5]。

CI2D&R系統(tǒng)網(wǎng)絡(luò)部署設(shè)計(jì)
一個(gè)有效的入侵響應(yīng)系統(tǒng)應(yīng)能處理分布式網(wǎng)絡(luò)環(huán)境中的攻擊行為。從網(wǎng)絡(luò)部署來看，CI2D&R系統(tǒng)屬于分布式結(jié)構(gòu)。CI2D&R系統(tǒng)分為相互協(xié)作的安全警衛(wèi)(Guard)和安全偵探(Spy)兩個(gè)部分。其中安全警衛(wèi)運(yùn)行在受保護(hù)用戶主機(jī)(Guarded Hosts, GH)上；而安全偵探則分布在受保護(hù)網(wǎng)絡(luò)(Guarded Networks, GN)中，其具體位置可以是網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)(Key Node, KN)，也可以是網(wǎng)絡(luò)邊界控制節(jié)點(diǎn)(Border Node, BN)。
1.1 受保護(hù)網(wǎng)絡(luò)
受保護(hù)網(wǎng)絡(luò)GN由計(jì)算機(jī)和各種網(wǎng)絡(luò)連接設(shè)備組成，它們可以是邏輯上的獨(dú)立單位，也可以是物理上的獨(dú)立單位。在GN的關(guān)鍵節(jié)點(diǎn)或者其網(wǎng)絡(luò)邊界的控制點(diǎn)上，安全偵探Spy監(jiān)控該GN內(nèi)的數(shù)據(jù)流，并與特定的安全警衛(wèi)協(xié)作，旨在完成特定的操作，例如切斷連接、對(duì)指定攻擊者發(fā)動(dòng)必要的反擊等。受保護(hù)網(wǎng)絡(luò)和與之對(duì)應(yīng)的安全偵探形成了一個(gè)邏輯上的安全域(Security Domain)。從整體來看，一個(gè)公司、企業(yè)或者國家可視為一個(gè)廣義上的安全域，因此將范圍較小的安全域稱為安全子域(Security Sub-Domain)，以表示與廣義上的安全域的區(qū)別。一個(gè)安全域包含一個(gè)或者多個(gè)安全子域，安全子域內(nèi)可以運(yùn)行一個(gè)或者多個(gè)安全偵探。安全域或者安全子域內(nèi)的計(jì)算機(jī)等網(wǎng)絡(luò)資源和系統(tǒng)資源，均受安全偵探的監(jiān)控和保護(hù)。

1.2 安全偵探
安全偵探Spy是分布在安全域中的軟件代理，其主要功能是監(jiān)控網(wǎng)絡(luò)流量和執(zhí)行命令。對(duì)于網(wǎng)絡(luò)流量監(jiān)控，安全偵探對(duì)流經(jīng)該安全域(或安全子域)的數(shù)據(jù)進(jìn)行概率采樣，并對(duì)采樣的數(shù)據(jù)包打上安全標(biāo)簽。當(dāng)發(fā)生網(wǎng)絡(luò)入侵時(shí)，受保護(hù)主機(jī)可采集這些帶有安全標(biāo)簽的數(shù)據(jù)包，并用數(shù)據(jù)挖掘的方法識(shí)別出攻擊源或者攻擊源區(qū)域即所謂的攻擊源回溯。此外，安全偵探也可以和受保護(hù)主機(jī)上的安全警衛(wèi)協(xié)同工作，執(zhí)行安全警衛(wèi)發(fā)布的命令或指令，從而對(duì)該安全域?qū)嵤┲鲃?dòng)保護(hù)。
對(duì)于關(guān)鍵的安全域，安全偵探也可以具有入侵模式識(shí)別、自動(dòng)保護(hù)、入侵事件分類、入侵破壞力分析和災(zāi)難性防御能力，從而可以實(shí)時(shí)地發(fā)現(xiàn)入侵，并主動(dòng)地對(duì)入侵進(jìn)行響應(yīng)。具備這種能力的安全偵探，稱之為智能安全偵探。如果安全域中分布有眾多的智能安全偵探，則整個(gè)安全域可具備足夠的“靈性”，從而可對(duì)入侵進(jìn)行主動(dòng)響應(yīng)，并提高網(wǎng)絡(luò)的安全韌性。
1.3 安全警衛(wèi)
安全警衛(wèi)是運(yùn)行在受保護(hù)主機(jī)上的代理程序，其主要功能是入侵模式識(shí)別、入侵事件分類、入侵破壞力分析、攻擊源回溯、自動(dòng)保護(hù)與響應(yīng)和災(zāi)難性防御。
當(dāng)入侵發(fā)生時(shí)，安全警衛(wèi)的入侵模式識(shí)別部件被觸發(fā)，從而實(shí)時(shí)地檢測(cè)出受保護(hù)主機(jī)上出現(xiàn)的各種系統(tǒng)異?；蚓W(wǎng)絡(luò)入侵事件。安全警衛(wèi)如具備入侵識(shí)別功能，可實(shí)時(shí)地對(duì)受保護(hù)主機(jī)實(shí)施保護(hù)，從而提升主機(jī)和安全域的安全程度。在整個(gè)系統(tǒng)中，入侵模式識(shí)別部件是系統(tǒng)的數(shù)據(jù)采集部件之一，具有特殊的作用和地位。