從分析信息安全的現(xiàn)狀入手，設(shè)計了一個基于多Agent的快速入侵響應(yīng)系統(tǒng)CI2D&R。結(jié)合該系統(tǒng)的網(wǎng)絡(luò)部署設(shè)計，介紹了該系統(tǒng)兩個主要組成部分安全間諜和安全警衛(wèi)的主要功能，并提出了該系統(tǒng)的分層體系結(jié)構(gòu)，分析了系統(tǒng)的主要組成部件及其相應(yīng)功能，論述了該系統(tǒng)的數(shù)據(jù)流和接口設(shè)計及解決Agent可靠運行的方法。
關(guān) 鍵 詞 入侵檢測與響應(yīng); 多代理系統(tǒng); 快速響應(yīng); 信息安全

快速反應(yīng)及災(zāi)難恢復(fù)技術(shù)是網(wǎng)絡(luò)主動防御技術(shù)的重要內(nèi)容。作為信息安全有效保護手段之一的快速響應(yīng)及災(zāi)難防御系統(tǒng)應(yīng)具有入侵模式識別、攻擊建模、安全評估以及攻擊取證功能，才能對入侵行為進行有效反擊[1～3]。有效的入侵響應(yīng)系統(tǒng)應(yīng)該提供近似的攻擊源定位技術(shù)[4]，并采取積極的預(yù)防性響應(yīng)措施，從而可在一定程度上減少攻擊帶來的資源損失。此外，對信息安全來說，系統(tǒng)還必須具備足夠的“靈性”，以應(yīng)對復(fù)雜網(wǎng)絡(luò)環(huán)境中的各種入侵行為。根據(jù)上述思想，本文采用多Agent技術(shù)，設(shè)計了一個協(xié)作式入侵檢測及響應(yīng)系統(tǒng)－基于成本的智能入侵回溯及響應(yīng)系統(tǒng)(Cost-based Intelligent Intrusion Detection and Response System, CI2D&R)[5]。

CI2D&R系統(tǒng)網(wǎng)絡(luò)部署設(shè)計
一個有效的入侵響應(yīng)系統(tǒng)應(yīng)能處理分布式網(wǎng)絡(luò)環(huán)境中的攻擊行為。從網(wǎng)絡(luò)部署來看，CI2D&R系統(tǒng)屬于分布式結(jié)構(gòu)。CI2D&R系統(tǒng)分為相互協(xié)作的安全警衛(wèi)(Guard)和安全偵探(Spy)兩個部分。其中安全警衛(wèi)運行在受保護用戶主機(Guarded Hosts, GH)上；而安全偵探則分布在受保護網(wǎng)絡(luò)(Guarded Networks, GN)中，其具體位置可以是網(wǎng)絡(luò)的關(guān)鍵節(jié)點(Key Node, KN)，也可以是網(wǎng)絡(luò)邊界控制節(jié)點(Border Node, BN)。
1.1 受保護網(wǎng)絡(luò)
受保護網(wǎng)絡(luò)GN由計算機和各種網(wǎng)絡(luò)連接設(shè)備組成，它們可以是邏輯上的獨立單位，也可以是物理上的獨立單位。在GN的關(guān)鍵節(jié)點或者其網(wǎng)絡(luò)邊界的控制點上，安全偵探Spy監(jiān)控該GN內(nèi)的數(shù)據(jù)流，并與特定的安全警衛(wèi)協(xié)作，旨在完成特定的操作，例如切斷連接、對指定攻擊者發(fā)動必要的反擊等。受保護網(wǎng)絡(luò)和與之對應(yīng)的安全偵探形成了一個邏輯上的安全域(Security Domain)。從整體來看，一個公司、企業(yè)或者國家可視為一個廣義上的安全域，因此將范圍較小的安全域稱為安全子域(Security Sub-Domain)，以表示與廣義上的安全域的區(qū)別。一個安全域包含一個或者多個安全子域，安全子域內(nèi)可以運行一個或者多個安全偵探。安全域或者安全子域內(nèi)的計算機等網(wǎng)絡(luò)資源和系統(tǒng)資源，均受安全偵探的監(jiān)控和保護。

1.2 安全偵探
安全偵探Spy是分布在安全域中的軟件代理，其主要功能是監(jiān)控網(wǎng)絡(luò)流量和執(zhí)行命令。對于網(wǎng)絡(luò)流量監(jiān)控，安全偵探對流經(jīng)該安全域(或安全子域)的數(shù)據(jù)進行概率采樣，并對采樣的數(shù)據(jù)包打上安全標(biāo)簽。當(dāng)發(fā)生網(wǎng)絡(luò)入侵時，受保護主機可采集這些帶有安全標(biāo)簽的數(shù)據(jù)包，并用數(shù)據(jù)挖掘的方法識別出攻擊源或者攻擊源區(qū)域即所謂的攻擊源回溯。此外，安全偵探也可以和受保護主機上的安全警衛(wèi)協(xié)同工作，執(zhí)行安全警衛(wèi)發(fā)布的命令或指令，從而對該安全域?qū)嵤┲鲃颖Ｗo。
對于關(guān)鍵的安全域，安全偵探也可以具有入侵模式識別、自動保護、入侵事件分類、入侵破壞力分析和災(zāi)難性防御能力，從而可以實時地發(fā)現(xiàn)入侵，并主動地對入侵進行響應(yīng)。具備這種能力的安全偵探，稱之為智能安全偵探。如果安全域中分布有眾多的智能安全偵探，則整個安全域可具備足夠的“靈性”，從而可對入侵進行主動響應(yīng)，并提高網(wǎng)絡(luò)的安全韌性。
1.3 安全警衛(wèi)
安全警衛(wèi)是運行在受保護主機上的代理程序，其主要功能是入侵模式識別、入侵事件分類、入侵破壞力分析、攻擊源回溯、自動保護與響應(yīng)和災(zāi)難性防御。
當(dāng)入侵發(fā)生時，安全警衛(wèi)的入侵模式識別部件被觸發(fā)，從而實時地檢測出受保護主機上出現(xiàn)的各種系統(tǒng)異?；蚓W(wǎng)絡(luò)入侵事件。安全警衛(wèi)如具備入侵識別功能，可實時地對受保護主機實施保護，從而提升主機和安全域的安全程度。在整個系統(tǒng)中，入侵模式識別部件是系統(tǒng)的數(shù)據(jù)采集部件之一，具有特殊的作用和地位。