基于智能Ａｇｅｎｔ和數(shù)據(jù)挖掘技術(shù)的蜜罐系統(tǒng)的研究

摘要：傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)被動(dòng)防護(hù)的特點(diǎn)，很難滿足現(xiàn)在網(wǎng)絡(luò)的需要。文章利用Agent的智能化和分布式協(xié)同處理功能，在傳統(tǒng)蜜罐的基礎(chǔ)上，提出一種基于智能Agent的蜜罐系統(tǒng)結(jié)構(gòu)，并對(duì)獲取的非法數(shù)據(jù)進(jìn)行關(guān)聯(lián)、挖掘，根據(jù)已有的入侵方法找出未來(lái)可能發(fā)生的入侵方式。系統(tǒng)利用智能Agent的分布式處理能力特點(diǎn)完成對(duì)各個(gè)服務(wù)器和主機(jī)的保護(hù)；利用數(shù)據(jù)挖掘算法在大量數(shù)據(jù)中提出有用信息不斷更新知識(shí)庫(kù)；利用專家系統(tǒng)實(shí)現(xiàn)對(duì)非法訪問(wèn)到蜜罐系統(tǒng)的漂移；利用蜜罐系統(tǒng)作為非法數(shù)據(jù)容器和分析工廠。

文章首先介紹傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)的不足；然后針對(duì)智能Agent、蜜罐技術(shù)的研究現(xiàn)狀進(jìn)行闡述；接著提出基于Agent和數(shù)據(jù)挖掘技術(shù)的蜜罐系統(tǒng)的模型；最后指出其發(fā)展前景和面臨的挑戰(zhàn)。

關(guān)鍵詞：蜜罐系統(tǒng)；智能Agent；數(shù)據(jù)挖掘；知識(shí)庫(kù)；專家系統(tǒng)

中圖分類號(hào)：TP311文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)14-20811-03

1 引言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)不安全因素也隨之增多，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)已經(jīng)不堪重負(fù)。防火墻和入侵檢測(cè)系統(tǒng)因?yàn)閿?shù)據(jù)負(fù)載過(guò)重，從而導(dǎo)致信息誤報(bào)和漏報(bào)的頻頻發(fā)生[1，2]。

本文提出了一種新型的基于智能Agent和數(shù)據(jù)挖掘技術(shù)的蜜罐系統(tǒng)模型。利用智能Agent的智能化和分布式協(xié)同處理功能，完成一下幾個(gè)功能：(1) 對(duì)服務(wù)器進(jìn)行保護(hù)；(2) 將非法訪問(wèn)有效的漂移到蜜罐中；(3) 對(duì)入侵?jǐn)?shù)據(jù)進(jìn)行審計(jì)分析，并反饋分析結(jié)果。利用數(shù)據(jù)挖掘技術(shù)對(duì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)、挖掘，從而預(yù)測(cè)可能將來(lái)可能發(fā)生的入侵特征。

2 智能Agent

Agent技術(shù)是一種分布式計(jì)算環(huán)境下軟件智能化技術(shù)，是人工智能和網(wǎng)絡(luò)技術(shù)相結(jié)合的產(chǎn)物，它提供了一種在分布式異構(gòu)環(huán)境下實(shí)現(xiàn)智能化應(yīng)用和協(xié)調(diào)的全新計(jì)算模式。

智能Agent技術(shù)是人工智能領(lǐng)域特別是異構(gòu)環(huán)境下的一個(gè)新模式，通常認(rèn)為具有以下四種基本特征[1，2]。

自治性（autonomy）：Agent擁有內(nèi)部自治機(jī)制和問(wèn)題解決機(jī)制，能夠控制自己的行為和內(nèi)部狀態(tài)。無(wú)需他人的干涉即可根據(jù)自己的知識(shí)和捕捉到的信息進(jìn)行判斷和行為。Agent自治性的高低在很大程度上決定了其智能的高低。

社會(huì)性（social ability）：Agent不是孤立的，而是一個(gè)相互作用的群體。智能Agent間可以按照某種協(xié)議或者語(yǔ)言進(jìn)行通訊和對(duì)話，從而形成一個(gè)小組來(lái)協(xié)作完成某一特定的任務(wù)。

反應(yīng)性（reactivity）：指Agent具有外部環(huán)境的反射作用，能夠識(shí)別外部環(huán)境的變化并作出適當(dāng)反映。這種反映可以是簡(jiǎn)單的反射(reactive agent)，也可以是深思輸慮的反映(deliberative agent)。

主動(dòng)性（pro-activeness）：指Agent具有對(duì)目標(biāo)的能動(dòng)性，為了達(dá)到目標(biāo)，Agent能夠自發(fā)地參加到某些處理或者協(xié)作中。

3 蜜罐系統(tǒng)

記錄黑客侵入系統(tǒng)的一切信息，同時(shí)還具有混淆黑客攻擊目標(biāo)的功能，可以用來(lái)保護(hù)服務(wù)主機(jī)的正常運(yùn)行。它能夠顯著地影響入侵者使之按照你的意志進(jìn)行選擇；迅速地檢測(cè)到入侵者的進(jìn)攻并獲知其進(jìn)攻技術(shù)和意圖；消耗入侵者的資源。而且，它允許防護(hù)者跟蹤入侵者的行為，在入侵者之前修補(bǔ)系統(tǒng)可能存在的安全漏洞。

蜜罐系統(tǒng)的構(gòu)造思想是基于網(wǎng)絡(luò)的開放性和資源的可監(jiān)視性。一個(gè)處于正常工作狀態(tài)的系統(tǒng)在網(wǎng)絡(luò)上都有可能被黑客攻擊，而且越是帶有某種特定資源的系統(tǒng)越容易遭到攻擊。對(duì)系統(tǒng)或網(wǎng)絡(luò)進(jìn)行特殊設(shè)計(jì)和一定的布置，就可能將入侵者成功地引入受控環(huán)境中，降低正常系統(tǒng)被攻擊的危險(xiǎn)，同時(shí)獲得研究黑客相關(guān)技術(shù)的重要資料。資源的可監(jiān)視性是指包括網(wǎng)絡(luò)和主機(jī)系統(tǒng)在內(nèi)的各種資源都處于我們控制之下，從而可以監(jiān)視和控制所有對(duì)這些資源的訪問(wèn)[3]。

蜜罐系統(tǒng)的實(shí)現(xiàn)主要依賴于低層網(wǎng)絡(luò)技術(shù)的支持和運(yùn)用。由于蜜罐特殊的運(yùn)作方式和實(shí)用目的，其原理的實(shí)現(xiàn)也在傳統(tǒng)的網(wǎng)絡(luò)技術(shù)上有新的要求。它的主要技術(shù)有網(wǎng)絡(luò)欺騙，數(shù)據(jù)捕獲，數(shù)據(jù)控制和數(shù)據(jù)分析。

4 基于智能Agent和數(shù)據(jù)挖掘技術(shù)的蜜罐系統(tǒng)模型

本系統(tǒng)利用智能Agent將誘捕陷阱和異構(gòu)的真正服務(wù)器聯(lián)在一起，正常狀況下對(duì)外體現(xiàn)的是真正的服務(wù)器，當(dāng)攻擊行為發(fā)生時(shí)，智能Agent將攻擊行為實(shí)時(shí)漂移到蜜罐主機(jī)中，而真正服務(wù)器還同時(shí)對(duì)正常訪問(wèn)者提供服務(wù)。圖1表示本系統(tǒng)的整體構(gòu)架圖。

4.1 系統(tǒng)分為四個(gè)部分

控制中心、漂移Agent、分析Agent、守護(hù)Agent。控制中心Agent負(fù)責(zé)協(xié)調(diào)控制整個(gè)分布式網(wǎng)絡(luò)中的Agent，對(duì)整個(gè)網(wǎng)絡(luò)中的入侵行為做出響應(yīng)；漂移Agent負(fù)責(zé)檢測(cè)訪問(wèn)數(shù)據(jù)流，并對(duì)其進(jìn)行分流，正常訪問(wèn)數(shù)據(jù)流向服務(wù)器組，非法訪問(wèn)流向誘捕陷阱，是體現(xiàn)該系統(tǒng)的核心部件；分析Agent和守護(hù)Agent處在陷阱系統(tǒng)之中。分析Agent 采用數(shù)據(jù)挖掘算法，不斷的從陷阱主機(jī)中讀取異常數(shù)據(jù)，對(duì)入侵行為進(jìn)行分析，根據(jù)分析結(jié)果自動(dòng)更新檢測(cè)模型知識(shí)庫(kù)；守護(hù)Agent主要負(fù)責(zé)Agent本身、蜜罐主機(jī)和真正的服務(wù)器主機(jī)的安全，限制蜜罐主機(jī)對(duì)外連接的數(shù)量。

關(guān)于一些基本模塊的結(jié)構(gòu)圖已經(jīng)在本作者另一篇論文《基于智能Agent的蜜罐系統(tǒng)的研究》一文中有所介紹，這里就不再贅述。這里重點(diǎn)介紹分析Agent模塊的實(shí)現(xiàn)。

4.2 分析Agent

陷阱系統(tǒng)是一個(gè)高交互度的honeypot，基于我們整個(gè)蜜罐系統(tǒng)的研究目的和IDS數(shù)據(jù)挖掘的需要，該honeypot不僅需要與攻擊者有深入數(shù)據(jù)交互的能力，還必須能夠檢測(cè)到自身被攻擊的能力并反饋必要的信息。在蜜罐的概念里，收集攻擊者的信息和數(shù)據(jù)是蜜罐的主要作用。

分析Agent 是一個(gè)邏輯網(wǎng)段的知識(shí)更新機(jī)構(gòu)，是提高系統(tǒng)自適應(yīng)能力的核心部件。該模塊主要包括協(xié)議分析、數(shù)據(jù)分析、數(shù)據(jù)挖掘兩個(gè)部分。其內(nèi)部結(jié)構(gòu)圖如圖2所示。

協(xié)議分析模塊根據(jù)所抓取的數(shù)據(jù)包標(biāo)志信息，將數(shù)據(jù)分為三大類：TCP，UDP，ICMP協(xié)議數(shù)據(jù)包。提取數(shù)據(jù)包的源IP地址，目的IP地址；數(shù)據(jù)包的時(shí)間；數(shù)據(jù)包的源端口，目的端口；并將telnet，ftp，http協(xié)議發(fā)送給數(shù)據(jù)分析模塊進(jìn)行進(jìn)一步分析。

數(shù)據(jù)分析是蜜罐技術(shù)中的難點(diǎn)，要從大量的網(wǎng)絡(luò)數(shù)據(jù)中提取出攻擊行為的特征和模型是相當(dāng)困難的。本模塊主要分析經(jīng)協(xié)議分析后的部分?jǐn)?shù)據(jù)，以及直接從漂移Agent分流出來(lái)的部分?jǐn)?shù)據(jù)，經(jīng)過(guò)一定程度的特征匹配，存入審計(jì)庫(kù)中。

數(shù)據(jù)挖掘模塊從大量的、不完全的、有噪聲的、模糊的、隨機(jī)的數(shù)據(jù)中，提取隱含在其中的、人們事先不知道的、但又是潛在有用的信息和知識(shí)。具體工作是對(duì)審計(jì)庫(kù)中的數(shù)據(jù)進(jìn)行關(guān)聯(lián)，挖掘，根據(jù)已有的入侵方法找出未來(lái)可能發(fā)生的入侵方式。

基于會(huì)話記錄的誤用檢測(cè)和基于用戶行為的異常檢測(cè)被用于本模塊之中。

用戶的行為模式的挖掘分為關(guān)聯(lián)規(guī)則和序列模式兩種。使用關(guān)聯(lián)算法僅依照預(yù)先設(shè)定的支持度下限來(lái)進(jìn)行關(guān)聯(lián)規(guī)則的挖掘，并不能保證規(guī)則的合理性，因此需要加入一些規(guī)則的限制條件，也就是通常所說(shuō)的先驗(yàn)知識(shí)，以保證挖掘出的關(guān)聯(lián)規(guī)則具備描述用戶特征的特點(diǎn)[4]。

在序列模式的挖掘中，通過(guò)對(duì)大量正常的審計(jì)數(shù)據(jù)，通過(guò)已知的各個(gè)時(shí)間點(diǎn)的狀態(tài)，計(jì)算出狀態(tài)轉(zhuǎn)移概率矩陣和初始概率分布。對(duì)于待檢測(cè)的數(shù)據(jù)，使用大小為n的窗口劃分?jǐn)?shù)據(jù)，在每一個(gè)窗口中有n個(gè)狀態(tài)：（X1，X2，…，Xn）。使用如下的公式[4]：

不管是關(guān)聯(lián)規(guī)則還是序列模式，兩者在形式上都表現(xiàn)為某種序列。其中，關(guān)聯(lián)規(guī)則的序列由同一審計(jì)記錄的不同字段值組成，序列模式的序列由不同審計(jì)記錄的字段值組成。因此，模式比較工作就轉(zhuǎn)變?yōu)獒槍?duì)序列的比較。這里引入相似度（Similarity）的概念來(lái)表征不同行為模式之間的吻合程度。相似度的取值范圍為[0，1]，取值越大，表示參與模式比較的兩個(gè)序列（關(guān)聯(lián)規(guī)則或序列模式）吻合程度越大，相似度為1說(shuō)明兩者完全吻合，相似度為0則表示兩者完全不吻合[4]。

實(shí)驗(yàn)中定義函數(shù)similitude (p，pattern)，用其輸出值表示相似度。具體算法實(shí)現(xiàn)如下[4]：

比較結(jié)果越大，說(shuō)明X序列和Y序列的相似度越大，如果X和Y序列完全一致，則輸出的結(jié)果為F＝F(0)＝1。具體試驗(yàn)中，使用多次循環(huán)計(jì)算序列、自序列的相似度來(lái)綜合考量相似度。

5 系統(tǒng)的防護(hù)性能測(cè)試

在進(jìn)行功能測(cè)試時(shí)，我們搭建了真實(shí)使用環(huán)境，將honeypot系統(tǒng)架設(shè)在內(nèi)外網(wǎng)之間，在本地網(wǎng)使用客戶機(jī)來(lái)進(jìn)行外部網(wǎng)頁(yè)服務(wù)器、電子郵件服務(wù)器及FTP服務(wù)器訪問(wèn)。

在非法訪問(wèn)防護(hù)功能測(cè)試過(guò)程中，通過(guò)TELNET等不同協(xié)議訪問(wèn)內(nèi)部主機(jī)。測(cè)試結(jié)果表明，使用協(xié)議來(lái)非法訪問(wèn)內(nèi)部主機(jī)，經(jīng)過(guò)漂移網(wǎng)關(guān)的處理，直接漂移到陷阱系統(tǒng)中，對(duì)其操作進(jìn)行記錄。

6 小結(jié)

本文采用了智能Agent技術(shù)、數(shù)據(jù)挖掘技術(shù)和蜜罐技術(shù)相結(jié)合，將各種Agent分布到網(wǎng)絡(luò)各個(gè)地方，對(duì)微觀的入侵行為能及時(shí)處理，具有分布式檢測(cè)和響應(yīng)入侵的能力，并且可以實(shí)時(shí)的保護(hù)服務(wù)器不受入侵。除了傳統(tǒng)蜜罐系統(tǒng)的優(yōu)勢(shì)之外，該系統(tǒng)還具有良好的自學(xué)習(xí)功能，對(duì)新的入侵行為有較好的響應(yīng)和處理能力，能適應(yīng)網(wǎng)絡(luò)上多變的環(huán)境和攻擊手段；同時(shí)，系統(tǒng)利用智能Agent的特性和蜜罐系統(tǒng)的優(yōu)勢(shì)，具備良好的抗毀性和自恢復(fù)能力，和保護(hù)服務(wù)器的能力。

基于智能Agent的蜜罐系統(tǒng)的研究是一個(gè)嶄新的、非常有前途的研究領(lǐng)域，有很多關(guān)鍵技術(shù)亟待解決。同時(shí)該領(lǐng)域的進(jìn)一步發(fā)展存在著很多方向和不確定性，有賴于計(jì)算機(jī)智能科學(xué)上的研究和突破。

參考文獻(xiàn)：

[1] 孫玉星，文巨峰，趙燕飛. 新型的基于移動(dòng) Agent自適應(yīng)入侵檢測(cè)系統(tǒng)研究[J]. 計(jì)算機(jī)應(yīng)用與軟件， 2004，121(111).

[2] 張?jiān)朴拢?劉錦德. 移動(dòng)Agent 及其應(yīng)用[M]. 北京: 清大學(xué)出版社， 2002.

[3] 諸葛建偉. 蜜罐及蜜網(wǎng)技術(shù)介紹[M]. 北大計(jì)算機(jī)技術(shù)研究所.

[4] 蔣云燕 成長(zhǎng)生. 基于數(shù)據(jù)挖掘的入侵檢測(cè)[J]. 計(jì)算機(jī)應(yīng)用與軟件， 2006.11.

[5] Stephen Northcutt:Network Intrusion Detection:An Analystps handbook， Mac2 millan Technical Publishing，2000.

[6] Honavar，V. Artificial Intelligence for Distributed Information Networks[C]. (AiDIN'99)Workshop held during the 1999National Conference on Artificial Intelligence (AAAI 99)，Orlando，F(xiàn)lorida. July 1999.

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文