李洋

摘要：根据目前对于移动Agent系统的面临的入侵安全问题，该文提出了一种在三层移动Agent的基础上嵌入监测模块构建了基于三层移动Agent，依托云服务提供的数据架构，对在其监测模块进行了工作流程分析。结果证明，它既可以保证移动Agent的检测过程的效率，又可以提高检测的精准性，具有良好的操作性。

关键词：移动Agent；監测模块；精准性；操作性

中图分类号：T9393 文献标识码：A 文章编号：1009-3044（2018）09-0037-02

1 概述

移动Agent是在人工智能的领域发展而来的一门新型技术，旨在模拟人的属性和方法，具有高精准度，高智能化的，能够自主运行和调用服务的应用接口。在1993年，General Magic公司推出的商业移动代理系统Telescript第一次提示了移动Agent的概念[1]。移动Agent是基于在移动环境的环境前提下，计算机或其他通信设备在没有与固定的物理设备连接的情况下能够相互传输数据，Agent具有一定的自适应性，能够对周围的环境作出反应，通过触发对应的策略，体现出目标出现的行为。如图1所示其中，Environmental表示Agent服务的运行的环境，它是整个系统实现的核心，Agent可以在其上无规则的移动，用以完成数据的交互任务。

在如今针对移动主机的攻击或者利用移动主机发起攻击的安全事件日益增多，攻击手段和技术的不多样化。所以，现在的移动网络安全的解决方案中，网络入侵检测成为了不可缺少的安全组件。而来源与分布式人工智能领域的移动Agent技术，已经融入网络追踪的各个维度，笔者根据移动Agent的基础上建立一个基于三层移动Agent的入侵检测模型。

2 目前入侵检测系统的研究现状

2.1 入侵检测系统系统简述

目前的入侵检测系统，绝大多数是基于Den-ning[2]的入侵检测模型。它的原理是将网络数据包、审计记录及其他可以监测到的任意行为，作为入侵检测系统中的异常操作的依据，通过与检测系统中已有的攻击模式样本进行比对。从检测方法上可以将入侵检测系统分为异常检测（anomaly detection）与误用入侵检测（miuse detection）两种类型。异常检测是通过匹配资源使用者的行为或资源使用状况的正常程度的偏差来判断是否产生了入侵，而不是凭借具体的行为是否执行来检测。误用检测是通过事前定义好的入侵模式，通过判断在实际安全审计数据中是否出现预定义的入侵模式来产生判断，从而完成检测功能。

而一般的入侵检测系统是基于数据源的分类是根据数据源或者是说审计事件发生器，可以分为基于主机（Host-based）和基于网络（Network-based）。基于主机的IDS 的检测目标是主机系统和系统本地用户，原理是根据主机审计数据和系统日志发现可疑事件[3]，它的结构是C/S 模型。基于网络的IDS 嗅探来自网络层的信息，管控网络数据流量并进行分析，同时网络型入侵检测系统负担着保护整个网段的任务[4]。

为了增加传统的入侵检测系统的可维护性、可扩展性、容错率和检测效率，有一部分机构提出了以自治代理构架的分布式入侵检测系统的方法。采用自治代理的分布式入侵检测系统由下列模块组成：自治代理、数据过滤器、收发器、检测器和用户交互接口等，不同实体之间采用消息机制来协调工作。在分布式入侵检测系统中，数据分析的数目取决于被检测主机，解决了入侵检测系统扩充性差的难题，检测范围从局部提升到多个管理区域。

2.2 入侵检测系统的特点与局限

基于主机的入侵检测系统具有执行率高、占用资源成本小，能够快速准确的定位入侵者，并联合系统与应用程序的行为特征对入侵进一步的嗅探及时作出响应。但它在一定程度上依赖于系统的可靠性，对系统本身具备的安全功能了解与合理的设置。主机日志信息提供的信息是有限的，不能避免来自网络层的入侵行为；可移值性差；检测带来的资源开销大。

基于网络的入侵检测系统可以访问到通信链路的所有层次；检测效率高，内容全面；不会影响主机性能和网络性能，资源开销较小。缺点是只能检测所在的网段，检测数据过于庞大并且不能结合操作系统特征来对网络行为进行准确的判断[3]；不能针对加密的网络数据进行扫描协议或内容，防范入侵欺骗的能力较差。

前面介绍的分布式入侵检测系统，大部分是利用分布式架构进行数据搜集，然后把数据提交给入侵检测处理中心，在处理中心处理。其局限体现在：入侵检测的时效性弹性化明显；容易出现处理中心检测的单点故障与中心瓶颈；分布式数据量较大容易引起网络的阻塞和突发的资源占用；分布式系统的一致性问题难以得到有效的处理，异构的入侵检测系统难以协同工作。

3 基于三层移动Agent的入侵检测模型的研究

3.1 层移动Agent模型

三层移动Agent模型的原理就是把Agent分为三层：客户Agent、应用Agent与服务器Agent，其结构如下图2所示。

客户机Agent层：1）提供良好的用户交互接口，方便用户获取信息；2）提供一个跟移动设备及其地理位置相关的数据id_place描述其用户的位置；3）为应用代理派生服务及相关接口的产生；4）提供数据二级缓存。

应用Agent层：是一个主动对象（D，M，SD，P），其中D是指一级本地数据，M是一组方法，SD是这些方法之间的一组结构依赖关系，P则是一组中断点和重定位点[5]。提供了如下功能：1）提供了自主查询与协同工作的能力；2）移动的能力及其提供信息一级缓存；3）具有非对称性。

服务器Agent层：1）提供工业化标准的数据查询服务接口；2）提供静态IP接入的功能。

3.2 基于三层移动Agent的入侵检测模型

基于三层移动Agent的入侵检测模型是在三层模型的基础上辅以云环境，在客户Agent、应用Agent和服务器Agent嵌入独立的监测模块。概念图如图3。

由于实际应用环境的移动性特点，并鉴于移动中采集的数据容量较大，本地区域存储的成本昂贵。如何寻求一种快速的既能解决移动中数据的传输与大容量的数据的存储是入侵检测的关键，在这里将采用新的技术、实用性较强、成本较低的云服务。云服务可以根据不同的用户、不同的用途分为公有云、私有云、混合云，这都是构建三层移动Agent的入侵检测的数据搜集底层的基础。而入侵检测的核心在嵌入的监测模块，监测模块通过客户Agent、应用Agent和服务器Agent在云环境的条件下提交搜集的信息，进行逻辑分析，采用多样化技术来检测入侵，并对以入侵及其可能被入侵进行报警或预处理操作。下面将解析入侵检测系统的核心-监测模块。

3.3 监测模块的构造模型

监测模块的构造如图4，由过滤Agent、监测器池、检测器、样本空间、日志数据库、信息数据库、轨迹Agent、检测提交等组成。

（1）过滤Agent

对云服务提交的搜集关于Agent在移动中的数据，通过过滤Agent预先建立的策略对错误的、重复的进行抛弃，同时在对应的日志数据库建立对应的日志记录，日志记录包括：数据的特征；开始实践，结束时间等有可能有入侵有关系的参数。如果符合过滤Agent的通过策略，则将其搜集的数据提交给监测器池，同时也产生对应的日志记录。

（2）监测器池

互谅网时代信息量巨大，需要非常强大的计算能力，不但要求对用户的响应速度快，还要求吞吐量指标向外扩展（即水平伸缩），于是单节点的服务器无法满足人们的需求，服务器节点开始池化[6]。为此在这里提出了监测器池化。监测器池采用哈希一致性算法来负责动态分配监测器（除提交以明确为入侵的行为之外），并把可能为入侵行为或者已经认定的为入侵行为的Tag提交予轨迹Agent。

（3）监测器

监测器通过自身定义的ACL与样本空间集进行对比，同时采用了神经遗传算法的监测器不仅可以把入侵检测的结果提交给检测提交Agent，还可以自主学习，针对样本空间集进行训练，同时又更新了样本空间集，在一定程度上增加了对新型入侵手段的适应性，减少了样本空间集的冗余性。

（4）日志数据库

日志数据库主要完成两个工作：一是完成对入侵行为的做有时效性的日志记录，其原理在于有一部分攻击是无意之间或在发现漏洞之后造成的，事后通过打补丁等方式修复了漏洞；还有一部分攻击由于一些人为的或非人为的方式中断了。二是为信息数据库的应用程序提供应用接口，方便信息数据的查询服务。

（5）信息数据库

信息数据库产生入侵检测的记录，为监测器提供必要的數据查询服务，并将搜集的每个轨迹Agent，为检测提交Agent的信息产生对应的日志记录。

（6）轨迹Agent

轨迹Agent跟踪入侵的路径，并且确定它的起始点，即入侵用户留下的被目标主机日志记载的MLSI（Mark Lefted by Suspected Intruder）的地方。

（7）样本空间集

样本空间是从状态空间演变而来的，状态空间（state space）是由一个问题的全部状态，以及这些状态，以及这些状态之间的相互关系所构成的集合[7]。样本空间集可以由一个三元组（S，F，G）来构成。其中S为入侵检测的特征样本的集合；F为操作的集合；G为目标的集合。

3.4 监测模型的工作流程分析

对云服务提交的搜集关于Agent在移动中的数据，通过过滤Agent预先建立的策略对错误的、重复的进行抛弃，同时在对应的日志数据库建立对应的日志记录，日志记录包括：数据的特征；开始实践，结束时间等有可能有入侵有关系的参数。如果符合过滤Agent，则将其搜集的数据提交给监测器池，同时也产生对应的日志记录。监测器池采用哈希一致性算法来负责动态分配监测器（除提交以明确为入侵的行为之外），并把可能为入侵行为或者已经认定的为入侵行为的Tag提交予轨迹Agent，更新信息数据中的存储数据。监测器通过自身定义的ACL与样本空间集进行对比，采用了神经遗传算法的监测器把可以把入侵检测的结果提交给检测提交Agent，自主学习，针对样本空间集进行训练，更新了样本空间集。最后检测提交Agent把入侵检测结果提交给对应的目标Agent（如云服务的移动主机等）。

4 结语

本文出了一个基于三层移动Agent的入侵检测模型，文章从移动设备的所处的物理环境和复杂的网络安全体系入手，用基于三层移动Agent模型解决了移动性问题，然后依托云服务的平台解决了搜集的数据的存储，同时嵌入了监测模块，构建了一种快速的入侵检测模型，由于时间和知识储备的原因，本模型还有一些不足之处。

参考文献：

[1]Telescript technology： the foundation for the electronic marketplace. White JE.1994.

[2]汤龙.IDS的协议分析与模式匹配[J].每周电脑报，2002（6）：27-28.

[3]施游，张友生.网络规划设计师考试全程指导[M].北京：清华大学出版社，2009.

[4]吴迪，郑珂昕.基于移动agent的入侵检测系统模型研究[A].装甲兵工程学院报，2004（03）.

[5]汤庸，叶小平，汤娜，等.高级数据库[M].北京：高等教育出版社，2005.

[6]李艳鹏，杨彪.分布式服务架构：原理、设计与实战[M].北京：电子工业出版社，2017.

[7]王万森.人工智能原理及其应用[M].北京：电子工业出版社，2012.