专利名称:基于协同多个移动代理的智能网络入侵防御系统的制作方法
技术领域:
本发明涉及计算机网络信息安全技术领域,且特别涉及一种基于协同多个移动代 理的智能网络入侵防御系统,主要应用于计算机网络安全防御系统的关键技术,可 有效地 解决网络安全漏检和误报率高、实时交互协同联动性差等问题,进一步提高网络的检测辨 识阻断决策准确性和整体智能协同防御能力。
背景技术:
国内外使用的入侵检测系统(Intrusion Detection System,IDS),主要通过网络 数据包事件行为进行分析、监视、检测和识别系统中未授权或异常现象。注重的是网络监 控、审核跟踪,在发现异常时只报告不能防范,只能通过与防火墙等安全设备联动的方式进 行防护。目前存在严重缺陷一是网络缺陷,用交换机代替可共享监听的HUB使IDS的网络 监听带来麻烦,并且在复杂的网络下精心地构造与发送数据包也可绕过IDS的监听。二是 误报量大且出现漏报,报警不断。入侵防御系统(Intrusion Prevention System, IPS)可以对全部数据包认真检 测,实时决策是否许可或禁止访问。IPS具有一些过滤器,能够防止系统上各种类型的弱点 受到攻击。当新的弱点被发现之后会创建一个新过滤器并纳入管辖,试探攻击这些弱点的 任何操作行为都会受到阻拦。IPS技术能够对网络进行多层、深层、主动的防护以有效保证 企业网络安全。IPS相当于防火墙与入侵检测系统IDS结合,但并不能代替防火墙或IDS。 防火墙在基于TCP/IP协议的过滤功能突出,IDS提供的全面审计资料对于攻击还原、入侵 及异常操作取证、异常事件识别、网络故障排除等都有很重要的功效。但是仍然存在对计 算机网络安全单一检测误报率高、错误报警率多、漏报、联动性智能性和整体防御性差等问 题。网络性能、安全精确度和安全效率是计算机网络安全面临的主要问题。现有的传 统式的基于网络的入侵防御系统(Network Intrusion Prevention System, NIPS)具有难 以智能主动阻断可疑数据包、监控受限、检测分析方法单一、实时性差、联动协同性差、漏误 报率高、异构系统难互操作、体系结构不能满足分布及开放的要求等缺点。致使计算机网络 安全隐患和威胁不断增加,网络资源利用及共享服务的效能降低,同时也加重了网络管理 员和网络安全员的人工辅助处理与管理决策的负荷。严重地影响计算机网络安全防御和检 测的关键技术精确度、安全效率、智能性、实时联动协同性和安全防御的整体性能。因此,对 其关键技术的研究成为国内外倍受瞩目的高新技术。
发明内容
本发明专利的目的在深入分析基于网络的入侵防御系统NIPS、移动代理 (Agent)技术和协同技术的特点和优势的基础上,将协同技术、移动代理技术与入侵检测防 御技术结合与集成,在构建一种新型的基于协同式多移动Agent模型(COMAM)的基础上,设 计出基于协同多个移动代理(Multi-MA)的智能NIPS (C0MANIPS)新结构。以一个新设计思想和角度将人工智能与网络入侵防御技术结合。利用移动Agent的新技术特点,结合协同 技术所具有的实时提取、交互协同联动和辨识异常信息的优势,提高了检测与辨识精度和 智能阻断决策性能,避免误报和漏报率高,很好地解决计算机网络安全防御和检测的关键 技术和核心问题,从而提高计算机网络安全可靠性和整体协同防御能力。 为了达到上述目的,本发明提出一种基于协同多个移动代理的智能网络入侵防御 系统,包括协同式移动代理模型、联动模块、代理服务器模块、数据采集代理模块、入侵防 御代理模块、状态检测代理模块、移动代理知识库模块、策略规则库模块,其中所述协同式 移动代理模型与所述联动模块相互连接,所述协同式移动代理模型与所述代理服务器模块 中的状态检测代理模块相互连接,所述联动模块与所述代理服务器模块中的策略规则库模 块相互连接,所述数据采集代理模块与所述入侵防御代理模块相互连接,所述移动代理知 识库模块与所述策略规则库模块。进一步的,所述协同式移动代理模型连接于数据源或信息流,所述代理服务器模 块连接于通信层。进一步的,所述协同式移动代理模型包括第一协同式移动代理虚拟机和第二协同 式移动代理虚拟机,两者通过通信层相互连接。进一步的,所述第一协同式移动代理虚拟机具有分布式事件模块,第二协同式移 动代理虚拟机具有事件服务程序模块,所述分布式事件模块和事件服务程序模块分别连接 于协同移动支持模块,辨识子系统以及代理运行环境模块。进一步的,所述辨识子系统包括事件发生器、事件分析器、事件数据库、通信交换 单元和响应辨识单元。本发明专利在深入分析NIPS、协同技术和移动代理(Mobile Agent,ΜΑ)技术特点 和优势的基础上,在构建一种新型的基于协同式多移动Agent模型(COMAM),以支持Agent 之间的动态数据交换与协作、可复用与可扩展的体系结构,将协同式Agent技术的移动性、 协同性和自主性与检测防御机制结合,可以为NIPS技术提供通用、灵活、高效的支持结 构,利用动态集成技术实现Agent之间的通信机制,在此基础上设计出基于协同式多移动 Agent 的 NIPS (C0MANIPS)结构。从一个新设计方式将人工智能与网络防御技术结合。从而提高了网络智能检测辨 识决策和多深层、主动性、整体协调的防御能力。并具有以下技术特点协同移动Agent与IPS结合是一种新的设计思想,通过数据采集协同、数据分析协 同、响应协同,可使监测引擎协同兼顾各种异常行为特征和网络安全的整体性与动态性。通 过建立共享、交互和协同工作的安全体系,实现防火墙、监测引擎的互通与联动,才能真正 实现整体智能安全防御。其中的联动包括监测引擎与防火墙的联动,可阻断源自外部网络 的入侵与攻击;监测引擎与网络管理系统的联动,可阻断被利用的网络设备和主机;监测 引擎与操作系统的联动,可阻断非授权恶意用户账号等。通过构建协同式移动Agent模型(COMAM),设计出基于协同式多移动Agent的 NIPS(COMANIPS)新结构,探索了一种先进而有效的网络安全检测防御新技术,更好地构造 具有高效检测辨识能力、智能性、适应性和可扩展性的新型NIPS。采用将计算机支持的协同 工作(Computer Supported Cooperative Work, CSCff)技术、MA 技术与 NIPS 集成技术集成 动态结构,实时地采集基于主机与网络的交互数据,利用承担多任务的MA特性和优势,实时提取、检测和辨识异常信息,提高了策略规则库准确性和涵盖面,解决了收集数据单一的不足和片面性,可有效地解决传统IPS网络安全检测漏检误报和检测辨识不准确等问题, 可极大地提高网络安全的整体防护能力和检测水平。
图1所示为本发明较佳实施例的基于协同多个移动代理的智能网络入侵防御系 统结构示意图。图2所示为本发明较佳实施例的协同式移动代理模型结构示意图。
具体实施例方式为了更了解本发明的技术内容,特举具体实施例并配合所
如下。请参考图1,图1所示为本发明较佳实施例的基于协同多个移动代理的智能网络 入侵防御系统结构示意图。本发明提出一种本发明提出一种基于协同多个移动代理的智能网络入侵防御系 统,包括协同式移动代理模型(Cooperative Mobile Agent Model, COMAM) 100、联动模块 200、代理服务器模块(Agent Server) 300、数据采集代理模块(Data Collection Agent, DCA) 400、入侵防御代理模块(IntrusionPrevention Agent, IPA) 500、状态检测代理模块 (State Agent,SA) 600、移动代理知识库模块(Mobile Agent R印ository,MAR) 700、策略规 则库模块(StrategyRules Repository, SRR)800,其中所述协同式移动代理模型100与所 述联动模块200相互连接,所述协同式移动代理模型100与所述代理服务器模块300中的 状态检测代理模块600相互连接,所述联动模块200与所述代理服务器模块300中的策略 规则库模块800相互连接,所述数据采集代理模块400与所述入侵防御代理模块500相互 连接,所述移动代理知识库模块700与所述策略规则库模块800。进一步的,所述协同式移动代理模型100连接于数据源或信息流900,所述代理服 务器模块300连接于通信层910。协同式移动代理模型(COMAM)支持代理之间的动态数据交换与协作、可复用与可 扩展的体系结构,将协同式代理技术的移动性、协同性和自主性与检测防御机制结合,可以 为NIPS技术提供通用、灵活、高效的支持结构,利用动态集成技术实现代理之间的通信机 制,在此基础上可构建基于协同式多移动代理的NIPS (C0MANIPS)体系结构。其中,COMAM和 联动模块可以通过各多种Agent,利用代理服务器与MAR和SRR检测、分析、辨识判断、阻断 决策等,对多移动Agent进行协同联动、交互通信。再请参考图2,图2所示为本发明较佳实施例的协同式移动代理模型结构示意图。 利用CSCW技术与移动代理技术的优势,通过分析设计与集成,可以构建一种新型的协同式 移动代理模型(Cooperative Mobile Agent Model, COMAM)。所述协同式移动代理模型包 括第一协同式移动代理虚拟机10和第二协同式移动代理虚拟机20,两者通过通信层相互 连接。进一步的,所述第一协同式移动代理虚拟机10具有分布式事件模块11,第二协同 式移动代理虚拟机20具有事件服务程序模块21,所述分布式事件模块11和事件服务程序 模块21分别连接于协同移动支持模块30,辨识子系统40以及代理运行环境模块50。
进一步的,所述辨识子系统40包括事件发生器、事件分析器、事件数据库、通信 交换单元和响应辨识单元,主要用于各种事件及服务的响应辨识和通信。协同移动代理虚拟机(VPN)运行分布式事件和事件服务程序,生成的代理 (Agent)由协同移动支持模块(COMSM)向服务方提出移动请求,经过响应等待状态,建立一 个双方代理移动通道。当协同代理在执行中需要移动时,利用协作机制,先向本地的COMSM 提出请求和协作条件、移动目的地址等信息,代理运行环境作出相应处理后将协同代理传 送 COMSM。在此模型中,各组件之间既独立又相互协作,共同完成检测任务。通过通信机制进 行协作,各代理之间可收集数据并交流异常信息。并在防火墙中驻留的一个代理,接收来自 监测引擎的控制消息,增加防火墙的过滤规则,可实现监测引擎与防火墙的协同联动。
基于多MA技术的NIPS,主要将收集到的事件序列和数据进行多层次深入挖掘和 检测辨识,将构建的模式或知识发现形成结果转入事件库,可使检测规则库实时更新,并可 如下进行实现1)多技术集成整体结构。利用协同式MA模型C0MAM,可将CSCW技术、MA技术与 NIPS集成。采用协同式MA结构,根据MA可自主迁移的特性,以MA为组织单元,按照安全策 略,配置在被监控的主机上,各Agent可在局域网内运行代理服务器与主机自主迁移,通过 联动交互实现整体智能动态检测辨识与防御功能。2)代理服务器(AS)。为整个体系结构的提供基础平台和运行环境,进行Agent的 移动、建立、注销等基本服务。DCA对监控主机进行各种数据采集和预处理,发送给IPA后 进行分析与判断,并通过运行SA检测本机上各Agent及AS状态。MADB存储在本机运行的 Agent及其运行状态和产生其目标主机地址等信息。利用SRR具有一些特定事件的处理函 数,可对移动Agent检测的异常行为自动响应、进一步分析或添加新事件,AS可将SRR中的 事件处理函数自动封装生成MA,派遣到相应的节点实现检测辨识与防御阻断。3)数据采集Agent (DCA)。主要采集各种原始数据,包括主机系统日志、审计日志 和各种不同原始数据源信息。DCA分为数据采集和数据预处理两层,在数据采集中加入预处 理功能,减少无用信息流入SA可提高系统性能,减少处理的复杂度。 4)移动代理知识库(MAR)。包括多种MA的特征和规则,可根据网络状况和配置由 AS及COMAM进行对比,选取相应的Agent,经过自学习实例化发布,还可修改规则库或添加 新MA实现系统升级。5)状态检测代理(SA)。可与COMAM协同工作,对系统运行及行为事件的状态特征 进行多层次深入检测和分析,以及各IPA、DCA和AS的状态检测,进行分析、判断和决策,对
异常信息自动报警与阻拦。6)入侵防御Agent (IPA)。与COMAM、SRR和联动模块构成整个系统的核心。由担 任不同任务的IPA构成,用于各种事件的检测辨识与防御。不同的Agent响应不同的事件 触发、执行检测辨识与阻断任务,并可通过COMAM、SRR和联动模块相互协作完成复杂的检 测辨识与阻断。体系结构的实现可以利用IBM Aglets,将基于Java的MA平台为MA提供运行环 境,可按照具体的迁移机制在被监控主机之间移动并执行检测辨识与防御任务。将CSCW技 术、MA技术与NIPS集成,采用协同式MA结构,并利用具有强大的网络功能,通用的应用程序级代理传输协议(Agent TransferProtocol,ATP)可实现不同系统中各种MA之间的通信, 以完全兼容的Agent移动性库中已预定义好的库完成消息传递。其中,联动模块可以利用 代理通信语言ACL、通信流和代理迁移数据流,通过检测模块与策略规则库分析判断,对多 移动Agent进行协同联动、交互通信。
按照图1及图2所示,将多MA、协同技术和NIPS技术进行集成,主要将多个功能模 块、代理服务器、联动模块、移动代理知识库(Mobile AgentRepository, MAR)、策略规则库 (Strategy Rules R印ository,SRR)和图 2 的协同式移动Agent模型(Cooperative Mobile Agent Model, COMAM)等集成,即可设计构建成“基于协同多MA的智能NIPS结构”。最后, 可以通过对其进行模拟测试的方法,对比其效果,可采用来源于全球信息安全认证中心的 数据,分别选取20个正常和异常数据,对新模型采用CURE和RIPPER算法,并对正常用户训 练数据和实时用户数据进行挖掘,分别比较判断用户的历史和当前行为模式。经过10次是 否异常的模拟测试,每次测试均进行20次正常访问和20次攻击访问,即可得到模拟系统的 检测结果及新专利技术的效果评价。虽然本发明已以较佳实施例揭露如上,然其并非用以限定本发明。本发明所属技 术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作各种的更动与润饰。因 此,本发明的保护范围当视权利要求书所界定者为准。
权利要求
一种基于协同多个移动代理的智能网络入侵防御系统,其特征在于,包括协同式移动代理模型、联动模块、代理服务器模块、数据采集代理模块、入侵防御代理模块、状态检测代理模块、移动代理知识库模块、策略规则库模块,其中所述协同式移动代理模型与所述联动模块相互连接,所述协同式移动代理模型与所述代理服务器模块中的状态检测代理模块相互连接,所述联动模块与所述代理服务器模块中的策略规则库模块相互连接,所述数据采集代理模块与所述入侵防御代理模块相互连接,所述移动代理知识库模块与所述策略规则库模块。
2.根据权利要求1所述的基于协同多个移动代理的智能网络入侵防御系统,其特征在 于,所述协同式移动代理模型连接于数据源或信息流,所述代理服务器模块连接于通信层。
3.根据权利要求2所述的基于协同多个移动代理的智能网络入侵防御系统,其特征在 于,所述协同式移动代理模型包括第一协同式移动代理虚拟机和第二协同式移动代理虚拟 机,两者通过通信层相互连接。
4.根据权利要求3所述的基于协同多个移动代理的智能网络入侵防御系统,其特征在 于,所述第一协同式移动代理虚拟机具有分布式事件模块,第二协同式移动代理虚拟机具 有事件服务程序模块,所述分布式事件模块和事件服务程序模块分别连接于协同移动支持 模块,辨识子系统以及代理运行环境模块。
5.根据权利要求4所述的基于协同多个移动代理的智能网络入侵防御系统,其特征在 于,所述辨识子系统包括事件发生器、事件分析器、事件数据库、通信交换单元和响应辨识 单元。
全文摘要
本发明提出一种基于协同多个移动代理的智能网络入侵防御系统,包括协同式移动代理模型、联动模块、代理服务器模块、数据采集代理模块、入侵防御代理模块、状态检测代理模块、移动代理知识库模块、策略规则库模块,其中协同式移动代理模型与联动模块相互连接,协同式移动代理模型与代理服务器模块中的状态检测代理模块相互连接,联动模块与代理服务器模块中的策略规则库模块相互连接,数据采集代理模块与入侵防御代理模块相互连接,移动代理知识库模块与策略规则库模块。本发明可有效地解决网络安全漏检和误报率高、实时交互协同联动性差等问题,进一步提高网络的检测辨识阻断决策准确性和整体智能协同防御能力。
文档编号H04L12/26GK101867571SQ20101017266
公开日2010年10月20日 申请日期2010年5月12日 优先权日2010年5月12日
发明者贾铁军 申请人:上海电机学院