基于智能Agent和数据挖掘技术的蜜罐系统的研究

开篇：润墨网以专业的文秘视角，为您筛选了一篇基于智能Agent和数据挖掘技术的蜜罐系统的研究范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：传统的网络安全技术被动防护的特点，很难满足现在网络的需要。文章利用Agent的智能化和分布式协同处理功能，在传统蜜罐的基础上，提出一种基于智能agent的蜜罐系统结构，并对获取的非法数据进行关联、挖掘，根据已有的入侵方法找出未来可能发生的入侵方式。系统利用智能Agent的分布式处理能力特点完成对各个服务器和主机的保护；利用数据挖掘算法在大量数据中提出有用信息不断更新知识库；利用专家系统实现对非法访问到蜜罐系统的漂移；利用蜜罐系统作为非法数据容器和分析工厂。

文章首先介绍传统网络安全技术的不足；然后针对智能Agent、蜜罐技术的研究现状进行阐述；接着提出基于Agent和数据挖掘技术的蜜罐系统的模型；最后指出其发展前景和面临的挑战。

关键词：蜜罐系统；智能Agent；数据挖掘；知识库；专家系统

中图分类号：TP311文献标识码：A文章编号：1009-3044(2008)14-20811-03

1 引言

随着网络技术的不断发展,网络不安全因素也随之增多，传统的网络安全技术已经不堪重负。防火墙和入侵检测系统因为数据负载过重，从而导致信息误报和漏报的频频发生[1,2]。

本文提出了一种新型的基于智能Agent和数据挖掘技术的蜜罐系统模型。利用智能Agent的智能化和分布式协同处理功能，完成一下几个功能：(1) 对服务器进行保护；(2) 将非法访问有效的漂移到蜜罐中；(3) 对入侵数据进行审计分析，并反馈分析结果。利用数据挖掘技术对数据进行关联、挖掘，从而预测可能将来可能发生的入侵特征。

2 智能Agent

Agent技术是一种分布式计算环境下软件智能化技术，是人工智能和网络技术相结合的产物，它提供了一种在分布式异构环境下实现智能化应用和协调的全新计算模式。

智能Agent技术是人工智能领域特别是异构环境下的一个新模式，通常认为具有以下四种基本特征[1,2]。

自治性（autonomy）：Agent拥有内部自治机制和问题解决机制，能够控制自己的行为和内部状态。无需他人的干涉即可根据自己的知识和捕捉到的信息进行判断和行为。Agent自治性的高低在很大程度上决定了其智能的高低。

社会性（social ability）：Agent不是孤立的，而是一个相互作用的群体。智能Agent间可以按照某种协议或者语言进行通讯和对话，从而形成一个小组来协作完成某一特定的任务。

反应性（reactivity）：指Agent具有外部环境的反射作用，能够识别外部环境的变化并作出适当反映。这种反映可以是简单的反射(reactive agent)，也可以是深思输虑的反映(deliberative agent)。

主动性（pro-activeness）：指Agent具有对目标的能动性，为了达到目标，Agent能够自发地参加到某些处理或者协作中。

3 蜜罐系统

记录黑客侵入系统的一切信息，同时还具有混淆黑客攻击目标的功能，可以用来保护服务主机的正常运行。它能够显著地影响入侵者使之按照你的意志进行选择；迅速地检测到入侵者的进攻并获知其进攻技术和意图；消耗入侵者的资源。而且，它允许防护者跟踪入侵者的行为，在入侵者之前修补系统可能存在的安全漏洞。

蜜罐系统的构造思想是基于网络的开放性和资源的可监视性。一个处于正常工作状态的系统在网络上都有可能被黑客攻击，而且越是带有某种特定资源的系统越容易遭到攻击。对系统或网络进行特殊设计和一定的布置，就可能将入侵者成功地引入受控环境中，降低正常系统被攻击的危险，同时获得研究黑客相关技术的重要资料。资源的可监视性是指包括网络和主机系统在内的各种资源都处于我们控制之下，从而可以监视和控制所有对这些资源的访问[3]。

蜜罐系统的实现主要依赖于低层网络技术的支持和运用。由于蜜罐特殊的运作方式和实用目的，其原理的实现也在传统的网络技术上有新的要求。它的主要技术有网络欺骗，数据捕获，数据控制和数据分析。

4 基于智能Agent和数据挖掘技术的蜜罐系统模型

本系统利用智能Agent将诱捕陷阱和异构的真正服务器联在一起，正常状况下对外体现的是真正的服务器，当攻击行为发生时，智能Agent将攻击行为实时漂移到蜜罐主机中，而真正服务器还同时对正常访问者提供服务。图1表示本系统的整体构架图。

4.1 系统分为四个部分

控制中心、漂移Agent、分析Agent、守护Agent。控制中心Agent负责协调控制整个分布式网络中的Agent，对整个网络中的入侵行为做出响应；漂移Agent负责检测访问数据流，并对其进行分流，正常访问数据流向服务器组，非法访问流向诱捕陷阱，是体现该系统的核心部件；分析Agent和守护Agent处在陷阱系统之中。分析Agent 采用数据挖掘算法，不断的从陷阱主机中读取异常数据，对入侵行为进行分析，根据分析结果自动更新检测模型知识库；守护Agent主要负责Agent本身、蜜罐主机和真正的服务器主机的安全，限制蜜罐主机对外连接的数量。

关于一些基本模块的结构图已经在本作者另一篇论文《基于智能Agent的蜜罐系统的研究》一文中有所介绍，这里就不再赘述。这里重点介绍分析Agent模块的实现。

4.2 分析Agent

陷阱系统是一个高交互度的honeypot，基于我们整个蜜罐系统的研究目的和IDS数据挖掘的需要，该honeypot不仅需要与攻击者有深入数据交互的能力，还必须能够检测到自身被攻击的能力并反馈必要的信息。在蜜罐的概念里，收集攻击者的信息和数据是蜜罐的主要作用。

分析Agent 是一个逻辑网段的知识更新机构，是提高系统自适应能力的核心部件。该模块主要包括协议分析、数据分析、数据挖掘两个部分。其内部结构图如图2所示。

协议分析模块根据所抓取的数据包标志信息，将数据分为三大类：TCP，UDP，ICMP协议数据包。提取数据包的源IP地址，目的IP地址；数据包的时间；数据包的源端口，目的端口；并将telnet，ftp，http协议发送给数据分析模块进行进一步分析。

数据分析是蜜罐技术中的难点，要从大量的网络数据中提取出攻击行为的特征和模型是相当困难的。本模块主要分析经协议分析后的部分数据，以及直接从漂移Agent分流出来的部分数据，经过一定程度的特征匹配，存入审计库中。

数据挖掘模块从大量的、不完全的、有噪声的、模糊的、随机的数据中，提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识。具体工作是对审计库中的数据进行关联，挖掘，根据已有的入侵方法找出未来可能发生的入侵方式。

基于会话记录的误用检测和基于用户行为的异常检测被用于本模块之中。

用户的行为模式的挖掘分为关联规则和序列模式两种。使用关联算法仅依照预先设定的支持度下限来进行关联规则的挖掘，并不能保证规则的合理性，因此需要加入一些规则的限制条件，也就是通常所说的先验知识，以保证挖掘出的关联规则具备描述用户特征的特点[4]。

在序列模式的挖掘中，通过对大量正常的审计数据，通过已知的各个时间点的状态，计算出状态转移概率矩阵和初始概率分布。对于待检测的数据，使用大小为n的窗口划分数据，在每一个窗口中有n个状态：（X1,X2,…,Xn）。使用如下的公式[4]：

不管是关联规则还是序列模式，两者在形式上都表现为某种序列。其中，关联规则的序列由同一审计记录的不同字段值组成，序列模式的序列由不同审计记录的字段值组成。因此，模式比较工作就转变为针对序列的比较。这里引入相似度（Similarity）的概念来表征不同行为模式之间的吻合程度。相似度的取值范围为[0,1]，取值越大，表示参与模式比较的两个序列（关联规则或序列模式）吻合程度越大，相似度为1说明两者完全吻合，相似度为0则表示两者完全不吻合[4]。

实验中定义函数similitude (p,pattern)，用其输出值表示相似度。具体算法实现如下[4]：

比较结果越大，说明X序列和Y序列的相似度越大，如果X和Y序列完全一致，则输出的结果为F＝F(0)＝1。具体试验中，使用多次循环计算序列、自序列的相似度来综合考量相似度。

5 系统的防护性能测试

在进行功能测试时，我们搭建了真实使用环境，将honeypot系统架设在内外网之间，在本地网使用客户机来进行外部网页服务器、电子邮件服务器及FTP服务器访问。

在非法访问防护功能测试过程中，通过TELNET等不同协议访问内部主机。测试结果表明，使用协议来非法访问内部主机，经过漂移网关的处理，直接漂移到陷阱系统中，对其操作进行记录。

6 小结

本文采用了智能Agent技术、数据挖掘技术和蜜罐技术相结合，将各种Agent分布到网络各个地方，对微观的入侵行为能及时处理，具有分布式检测和响应入侵的能力，并且可以实时的保护服务器不受入侵。除了传统蜜罐系统的优势之外，该系统还具有良好的自学习功能，对新的入侵行为有较好的响应和处理能力，能适应网络上多变的环境和攻击手段；同时，系统利用智能Agent的特性和蜜罐系统的优势，具备良好的抗毁性和自恢复能力，和保护服务器的能力。

基于智能Agent的蜜罐系统的研究是一个崭新的、非常有前途的研究领域，有很多关键技术亟待解决。同时该领域的进一步发展存在着很多方向和不确定性，有赖于计算机智能科学上的研究和突破。

参考文献：

[1] 孙玉星，文巨峰，赵燕飞. 新型的基于移动 Agent自适应入侵检测系统研究[J]. 计算机应用与软件, 2004,121(111).

[2] 张云勇, 刘锦德. 移动Agent 及其应用[M]. 北京: 清大学出版社, 2002.

[3] 诸葛建伟. 蜜罐及蜜网技术介绍[M]. 北大计算机技术研究所.

[4] 蒋云燕 成长生. 基于数据挖掘的入侵检测[J]. 计算机应用与软件, 2006.11.

[5] Stephen Northcutt:Network Intrusion Detection:An Analystps handbook, Mac2 millan Technical Publishing,2000.

[6] Honavar,V. Artificial Intelligence for Distributed Information Networks[C]. (AiDIN'99)Workshop held during the 1999National Conference on Artificial Intelligence (AAAI 99),Orlando,Florida. July 1999.

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文