CN101867571A - 基于协同多个移动代理的智能网络入侵防御系统 - Google Patents
基于协同多个移动代理的智能网络入侵防御系统 Download PDFInfo
- Publication number
- CN101867571A CN101867571A CN201010172667A CN201010172667A CN101867571A CN 101867571 A CN101867571 A CN 101867571A CN 201010172667 A CN201010172667 A CN 201010172667A CN 201010172667 A CN201010172667 A CN 201010172667A CN 101867571 A CN101867571 A CN 101867571A
- Authority
- CN
- China
- Prior art keywords
- module
- mobile agent
- collaborative
- agent
- cooperating type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明提出一种基于协同多个移动代理的智能网络入侵防御系统,包括:协同式移动代理模型、联动模块、代理服务器模块、数据采集代理模块、入侵防御代理模块、状态检测代理模块、移动代理知识库模块、策略规则库模块,其中协同式移动代理模型与联动模块相互连接,协同式移动代理模型与代理服务器模块中的状态检测代理模块相互连接,联动模块与代理服务器模块中的策略规则库模块相互连接,数据采集代理模块与入侵防御代理模块相互连接,移动代理知识库模块与策略规则库模块。本发明可有效地解决网络安全漏检和误报率高、实时交互协同联动性差等问题,进一步提高网络的检测辨识阻断决策准确性和整体智能协同防御能力。
Description
技术领域
本发明涉及计算机网络信息安全技术领域,且特别涉及一种基于协同多个移动代理的智能网络入侵防御系统,主要应用于计算机网络安全防御系统的关键技术,可有效地解决网络安全漏检和误报率高、实时交互协同联动性差等问题,进一步提高网络的检测辨识阻断决策准确性和整体智能协同防御能力。
背景技术
国内外使用的入侵检测系统(Intrusion Detection System,IDS),主要通过网络数据包事件行为进行分析、监视、检测和识别系统中未授权或异常现象。注重的是网络监控、审核跟踪,在发现异常时只报告不能防范,只能通过与防火墙等安全设备联动的方式进行防护。目前存在严重缺陷:一是网络缺陷,用交换机代替可共享监听的HUB使IDS的网络监听带来麻烦,并且在复杂的网络下精心地构造与发送数据包也可绕过IDS的监听。二是误报量大且出现漏报,报警不断。
入侵防御系统(Intrusion Prevention System,IPS)可以对全部数据包认真检测,实时决策是否许可或禁止访问。IPS具有一些过滤器,能够防止系统上各种类型的弱点受到攻击。当新的弱点被发现之后会创建一个新过滤器并纳入管辖,试探攻击这些弱点的任何操作行为都会受到阻拦。IPS技术能够对网络进行多层、深层、主动的防护以有效保证企业网络安全。IPS相当于防火墙与入侵检测系统IDS结合,但并不能代替防火墙或IDS。防火墙在基于TCP/IP协议的过滤功能突出,IDS提供的全面审计资料对于攻击还原、入侵及异常操作取证、异常事件识别、网络故障排除等都有很重要的功效。但是仍然存在对计算机网络安全单一检测误报率高、错误报警率多、漏报、联动性智能性和整体防御性差等问题。
网络性能、安全精确度和安全效率是计算机网络安全面临的主要问题。现有的传统式的基于网络的入侵防御系统(Network Intrusion Prevention System,NIPS)具有难以智能主动阻断可疑数据包、监控受限、检测分析方法单一、实时性差、联动协同性差、漏误报率高、异构系统难互操作、体系结构不能满足分布及开放的要求等缺点。致使计算机网络安全隐患和威胁不断增加,网络资源利用及共享服务的效能降低,同时也加重了网络管理员和网络安全员的人工辅助处理与管理决策的负荷。严重地影响计算机网络安全防御和检测的关键技术精确度、安全效率、智能性、实时联动协同性和安全防御的整体性能。因此,对其关键技术的研究成为国内外倍受瞩目的高新技术。
发明内容
本发明专利的目的:在深入分析基于网络的入侵防御系统NIPS、移动代理(Agent)技术和协同技术的特点和优势的基础上,将协同技术、移动代理技术与入侵检测防御技术结合与集成,在构建一种新型的基于协同式多移动Agent模型(COMAM)的基础上,设计出基于协同多个移动代理(Multi-MA)的智能NIPS(COMANIPS)新结构。以一个新设计思想和角度将人工智能与网络入侵防御技术结合。利用移动Agent的新技术特点,结合协同技术所具有的实时提取、交互协同联动和辨识异常信息的优势,提高了检测与辨识精度和智能阻断决策性能,避免误报和漏报率高,很好地解决计算机网络安全防御和检测的关键技术和核心问题,从而提高计算机网络安全可靠性和整体协同防御能力。
为了达到上述目的,本发明提出一种基于协同多个移动代理的智能网络入侵防御系统,包括:协同式移动代理模型、联动模块、代理服务器模块、数据采集代理模块、入侵防御代理模块、状态检测代理模块、移动代理知识库模块、策略规则库模块,其中所述协同式移动代理模型与所述联动模块相互连接,所述协同式移动代理模型与所述代理服务器模块中的状态检测代理模块相互连接,所述联动模块与所述代理服务器模块中的策略规则库模块相互连接,所述数据采集代理模块与所述入侵防御代理模块相互连接,所述移动代理知识库模块与所述策略规则库模块。
进一步的,所述协同式移动代理模型连接于数据源或信息流,所述代理服务器模块连接于通信层。
进一步的,所述协同式移动代理模型包括第一协同式移动代理虚拟机和第二协同式移动代理虚拟机,两者通过通信层相互连接。
进一步的,所述第一协同式移动代理虚拟机具有分布式事件模块,第二协同式移动代理虚拟机具有事件服务程序模块,所述分布式事件模块和事件服务程序模块分别连接于协同移动支持模块,辨识子系统以及代理运行环境模块。
进一步的,所述辨识子系统包括:事件发生器、事件分析器、事件数据库、通信交换单元和响应辨识单元。
本发明专利在深入分析NIPS、协同技术和移动代理(Mobile Agent,MA)技术特点和优势的基础上,在构建一种新型的基于协同式多移动Agent模型(COMAM),以支持Agent之间的动态数据交换与协作、可复用与可扩展的体系结构,将协同式Agent技术的移动性、协同性和自主性与检测防御机制结合,可以为NIPS技术提供通用、灵活、高效的支持结构,利用动态集成技术实现Agent之间的通信机制,在此基础上设计出基于协同式多移动Agent的NIPS(COMANIPS)结构。
从一个新设计方式将人工智能与网络防御技术结合。从而提高了网络智能检测辨识决策和多深层、主动性、整体协调的防御能力。并具有以下技术特点:
协同移动Agent与IPS结合是一种新的设计思想,通过数据采集协同、数据分析协同、响应协同,可使监测引擎协同兼顾各种异常行为特征和网络安全的整体性与动态性。通过建立共享、交互和协同工作的安全体系,实现防火墙、监测引擎的互通与联动,才能真正实现整体智能安全防御。其中的联动包括:监测引擎与防火墙的联动,可阻断源自外部网络的入侵与攻击;监测引擎与网络管理系统的联动,可阻断被利用的网络设备和主机;监测引擎与操作系统的联动,可阻断非授权恶意用户账号等。
通过构建协同式移动Agent模型(COMAM),设计出基于协同式多移动Agent的NIPS(COMANIPS)新结构,探索了一种先进而有效的网络安全检测防御新技术,更好地构造具有高效检测辨识能力、智能性、适应性和可扩展性的新型NIPS。采用将计算机支持的协同工作(Computer Supported Cooperative Work,CSCW)技术、MA技术与NIPS集成技术集成动态结构,实时地采集基于主机与网络的交互数据,利用承担多任务的MA特性和优势,实时提取、检测和辨识异常信息,提高了策略规则库准确性和涵盖面,解决了收集数据单一的不足和片面性,可有效地解决传统IPS网络安全检测漏检误报和检测辨识不准确等问题,可极大地提高网络安全的整体防护能力和检测水平。
附图说明
图1所示为本发明较佳实施例的基于协同多个移动代理的智能网络入侵防御系统结构示意图。
图2所示为本发明较佳实施例的协同式移动代理模型结构示意图。
具体实施方式
为了更了解本发明的技术内容,特举具体实施例并配合所附图说明如下。
请参考图1,图1所示为本发明较佳实施例的基于协同多个移动代理的智能网络入侵防御系统结构示意图。
本发明提出一种本发明提出一种基于协同多个移动代理的智能网络入侵防御系统,包括:协同式移动代理模型(Cooperative Mobile Agent Model,COMAM)100、联动模块200、代理服务器模块(Agent Server)300、数据采集代理模块(Data Collection Agent,DCA)400、入侵防御代理模块(IntrusionPrevention Agent,IPA)500、状态检测代理模块(State Agent,SA)600、移动代理知识库模块(Mobile Agent Repository,MAR)700、策略规则库模块(StrategyRules Repository,SRR)800,其中所述协同式移动代理模型100与所述联动模块200相互连接,所述协同式移动代理模型100与所述代理服务器模块300中的状态检测代理模块600相互连接,所述联动模块200与所述代理服务器模块300中的策略规则库模块800相互连接,所述数据采集代理模块400与所述入侵防御代理模块500相互连接,所述移动代理知识库模块700与所述策略规则库模块800。
进一步的,所述协同式移动代理模型100连接于数据源或信息流900,所述代理服务器模块300连接于通信层910。
协同式移动代理模型(COMAM)支持代理之间的动态数据交换与协作、可复用与可扩展的体系结构,将协同式代理技术的移动性、协同性和自主性与检测防御机制结合,可以为NIPS技术提供通用、灵活、高效的支持结构,利用动态集成技术实现代理之间的通信机制,在此基础上可构建基于协同式多移动代理的NIPS(COMANIPS)体系结构。其中,COMAM和联动模块可以通过各多种Agent,利用代理服务器与MAR和SRR检测、分析、辨识判断、阻断决策等,对多移动Agent进行协同联动、交互通信。
再请参考图2,图2所示为本发明较佳实施例的协同式移动代理模型结构示意图。利用CSCW技术与移动代理技术的优势,通过分析设计与集成,可以构建一种新型的协同式移动代理模型(Cooperative Mobile Agent Model,COMAM)。所述协同式移动代理模型包括第一协同式移动代理虚拟机10和第二协同式移动代理虚拟机20,两者通过通信层相互连接。
进一步的,所述第一协同式移动代理虚拟机10具有分布式事件模块11,第二协同式移动代理虚拟机20具有事件服务程序模块21,所述分布式事件模块11和事件服务程序模块21分别连接于协同移动支持模块30,辨识子系统40以及代理运行环境模块50。
进一步的,所述辨识子系统40包括:事件发生器、事件分析器、事件数据库、通信交换单元和响应辨识单元,主要用于各种事件及服务的响应辨识和通信。
协同移动代理虚拟机(VPN)运行分布式事件和事件服务程序,生成的代理(Agent)由协同移动支持模块(COMSM)向服务方提出移动请求,经过响应等待状态,建立一个双方代理移动通道。当协同代理在执行中需要移动时,利用协作机制,先向本地的COMSM提出请求和协作条件、移动目的地址等信息,代理运行环境作出相应处理后将协同代理传送COMSM。
在此模型中,各组件之间既独立又相互协作,共同完成检测任务。通过通信机制进行协作,各代理之间可收集数据并交流异常信息。并在防火墙中驻留的一个代理,接收来自监测引擎的控制消息,增加防火墙的过滤规则,可实现监测引擎与防火墙的协同联动。
基于多MA技术的NIPS,主要将收集到的事件序列和数据进行多层次深入挖掘和检测辨识,将构建的模式或知识发现形成结果转入事件库,可使检测规则库实时更新,并可如下进行实现:
1)多技术集成整体结构。利用协同式MA模型COMAM,可将CSCW技术、MA技术与NIPS集成。采用协同式MA结构,根据MA可自主迁移的特性,以MA为组织单元,按照安全策略,配置在被监控的主机上,各Agent可在局域网内运行代理服务器与主机自主迁移,通过联动交互实现整体智能动态检测辨识与防御功能。
2)代理服务器(AS)。为整个体系结构的提供基础平台和运行环境,进行Agent的移动、建立、注销等基本服务。DCA对监控主机进行各种数据采集和预处理,发送给IPA后进行分析与判断,并通过运行SA检测本机上各Agent及AS状态。MADB存储在本机运行的Agent及其运行状态和产生其目标主机地址等信息。利用SRR具有一些特定事件的处理函数,可对移动Agent检测的异常行为自动响应、进一步分析或添加新事件,AS可将SRR中的事件处理函数自动封装生成MA,派遣到相应的节点实现检测辨识与防御阻断。
3)数据采集Agent(DCA)。主要采集各种原始数据,包括主机系统日志、审计日志和各种不同原始数据源信息。DCA分为数据采集和数据预处理两层,在数据采集中加入预处理功能,减少无用信息流入SA可提高系统性能,减少处理的复杂度。
4)移动代理知识库(MAR)。包括多种MA的特征和规则,可根据网络状况和配置由AS及COMAM进行对比,选取相应的Agent,经过自学习实例化发布,还可修改规则库或添加新MA实现系统升级。
5)状态检测代理(SA)。可与COMAM协同工作,对系统运行及行为事件的状态特征进行多层次深入检测和分析,以及各IPA、DCA和AS的状态检测,进行分析、判断和决策,对异常信息自动报警与阻拦。
6)入侵防御Agent(IPA)。与COMAM、SRR和联动模块构成整个系统的核心。由担任不同任务的IPA构成,用于各种事件的检测辨识与防御。不同的Agent响应不同的事件触发、执行检测辨识与阻断任务,并可通过COMAM、SRR和联动模块相互协作完成复杂的检测辨识与阻断。
体系结构的实现可以利用IBM Aglets,将基于Java的MA平台为MA提供运行环境,可按照具体的迁移机制在被监控主机之间移动并执行检测辨识与防御任务。将CSCW技术、MA技术与NIPS集成,采用协同式MA结构,并利用具有强大的网络功能,通用的应用程序级代理传输协议(Agent TransferProtocol,ATP)可实现不同系统中各种MA之间的通信,以完全兼容的Agent移动性库中已预定义好的库完成消息传递。其中,联动模块可以利用代理通信语言ACL、通信流和代理迁移数据流,通过检测模块与策略规则库分析判断,对多移动Agent进行协同联动、交互通信。
按照图1及图2所示,将多MA、协同技术和NIPS技术进行集成,主要将多个功能模块、代理服务器、联动模块、移动代理知识库(Mobile AgentRepository,MAR)、策略规则库(Strategy Rules Repository,SRR)和图2的协同式移动Agent模型(Cooperative Mobile Agent Model,COMAM)等集成,即可设计构建成“基于协同多MA的智能NIPS结构”。最后,可以通过对其进行模拟测试的方法,对比其效果,可采用来源于全球信息安全认证中心的数据,分别选取20个正常和异常数据,对新模型采用CURE和RIPPER算法,并对正常用户训练数据和实时用户数据进行挖掘,分别比较判断用户的历史和当前行为模式。经过10次是否异常的模拟测试,每次测试均进行20次正常访问和20次攻击访问,即可得到模拟系统的检测结果及新专利技术的效果评价。
虽然本发明已以较佳实施例揭露如上,然其并非用以限定本发明。本发明所属技术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作各种的更动与润饰。因此,本发明的保护范围当视权利要求书所界定者为准。
Claims (5)
1.一种基于协同多个移动代理的智能网络入侵防御系统,其特征在于,包括:协同式移动代理模型、联动模块、代理服务器模块、数据采集代理模块、入侵防御代理模块、状态检测代理模块、移动代理知识库模块、策略规则库模块,其中所述协同式移动代理模型与所述联动模块相互连接,所述协同式移动代理模型与所述代理服务器模块中的状态检测代理模块相互连接,所述联动模块与所述代理服务器模块中的策略规则库模块相互连接,所述数据采集代理模块与所述入侵防御代理模块相互连接,所述移动代理知识库模块与所述策略规则库模块。
2.根据权利要求1所述的基于协同多个移动代理的智能网络入侵防御系统,其特征在于,所述协同式移动代理模型连接于数据源或信息流,所述代理服务器模块连接于通信层。
3.根据权利要求2所述的基于协同多个移动代理的智能网络入侵防御系统,其特征在于,所述协同式移动代理模型包括第一协同式移动代理虚拟机和第二协同式移动代理虚拟机,两者通过通信层相互连接。
4.根据权利要求3所述的基于协同多个移动代理的智能网络入侵防御系统,其特征在于,所述第一协同式移动代理虚拟机具有分布式事件模块,第二协同式移动代理虚拟机具有事件服务程序模块,所述分布式事件模块和事件服务程序模块分别连接于协同移动支持模块,辨识子系统以及代理运行环境模块。
5.根据权利要求4所述的基于协同多个移动代理的智能网络入侵防御系统,其特征在于,所述辨识子系统包括:事件发生器、事件分析器、事件数据库、通信交换单元和响应辨识单元。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010172667A CN101867571A (zh) | 2010-05-12 | 2010-05-12 | 基于协同多个移动代理的智能网络入侵防御系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010172667A CN101867571A (zh) | 2010-05-12 | 2010-05-12 | 基于协同多个移动代理的智能网络入侵防御系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101867571A true CN101867571A (zh) | 2010-10-20 |
Family
ID=42959136
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010172667A Pending CN101867571A (zh) | 2010-05-12 | 2010-05-12 | 基于协同多个移动代理的智能网络入侵防御系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101867571A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102075537A (zh) * | 2011-01-19 | 2011-05-25 | 华为技术有限公司 | 一种实现虚拟机间数据传输的方法和系统 |
CN105337983A (zh) * | 2015-11-20 | 2016-02-17 | 南京未来网络产业创新有限公司 | 一种防御DoS攻击的方法 |
CN105491055A (zh) * | 2015-12-24 | 2016-04-13 | 中国船舶重工集团公司第七〇九研究所 | 一种基于移动代理的网络主机异常事件检测方法 |
CN109639648A (zh) * | 2018-11-19 | 2019-04-16 | 中国科学院信息工程研究所 | 一种基于采集数据异常的采集策略生成方法及系统 |
CN109714312A (zh) * | 2018-11-19 | 2019-05-03 | 中国科学院信息工程研究所 | 一种基于外部威胁的采集策略生成方法及系统 |
WO2024022581A1 (en) * | 2022-07-26 | 2024-02-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and computing nodes for executing a defense agent |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101699787A (zh) * | 2009-11-09 | 2010-04-28 | 南京邮电大学 | 一种用于对等网络的蠕虫检测方法 |
-
2010
- 2010-05-12 CN CN201010172667A patent/CN101867571A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101699787A (zh) * | 2009-11-09 | 2010-04-28 | 南京邮电大学 | 一种用于对等网络的蠕虫检测方法 |
Non-Patent Citations (3)
Title |
---|
王义学: "一种基于多Agent协同的分布式入侵检测系统模型", 《MODERN COMPUTER》 * |
贾铁军等: "基于移动Agent和数据挖掘的智能NIPS模型", 《上海电机学院学报》 * |
陶利民: "基于移动Agent的DDoS攻击综合防御模型", 《计算机工程与应用》 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102075537A (zh) * | 2011-01-19 | 2011-05-25 | 华为技术有限公司 | 一种实现虚拟机间数据传输的方法和系统 |
CN102075537B (zh) * | 2011-01-19 | 2013-12-04 | 华为技术有限公司 | 一种实现虚拟机间数据传输的方法和系统 |
CN105337983A (zh) * | 2015-11-20 | 2016-02-17 | 南京未来网络产业创新有限公司 | 一种防御DoS攻击的方法 |
CN105491055A (zh) * | 2015-12-24 | 2016-04-13 | 中国船舶重工集团公司第七〇九研究所 | 一种基于移动代理的网络主机异常事件检测方法 |
CN105491055B (zh) * | 2015-12-24 | 2018-09-04 | 中国船舶重工集团公司第七〇九研究所 | 一种基于移动代理的网络主机异常事件检测方法 |
CN109639648A (zh) * | 2018-11-19 | 2019-04-16 | 中国科学院信息工程研究所 | 一种基于采集数据异常的采集策略生成方法及系统 |
CN109714312A (zh) * | 2018-11-19 | 2019-05-03 | 中国科学院信息工程研究所 | 一种基于外部威胁的采集策略生成方法及系统 |
CN109714312B (zh) * | 2018-11-19 | 2020-04-24 | 中国科学院信息工程研究所 | 一种基于外部威胁的采集策略生成方法及系统 |
CN109639648B (zh) * | 2018-11-19 | 2020-07-07 | 中国科学院信息工程研究所 | 一种基于采集数据异常的采集策略生成方法及系统 |
WO2024022581A1 (en) * | 2022-07-26 | 2024-02-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and computing nodes for executing a defense agent |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Bernardes | Implementation of an intrusion detection system based on mobile agents | |
CN104243569B (zh) | 一种城市操作系统 | |
CN102111420A (zh) | 基于动态云火墙联动的智能nips架构 | |
CN112436957B (zh) | 基于云计算的pdrr网络安全保障模型并行实现系统 | |
CN103166794A (zh) | 一种具有一体化安全管控功能的信息安全管理方法 | |
CN101867571A (zh) | 基于协同多个移动代理的智能网络入侵防御系统 | |
CN104378365A (zh) | 一种能够进行协同分析的安全管理中心 | |
CN102724176A (zh) | 一种面向云计算环境的入侵检测系统 | |
CN112766672A (zh) | 一种基于全面评估的网络安全保障方法及系统 | |
Ramachandran et al. | A P2P intrusion detection system based on mobile agents | |
CN103338128A (zh) | 一种具有一体化安全管控功能的信息安全管理系统 | |
CN104378364B (zh) | 一种信息安全管理中心的协同分析方法 | |
CN104753952A (zh) | 基于虚拟机业务数据流的入侵检测分析系统 | |
CN113645213A (zh) | 一种基于vpn技术的多终端网络管理监控系统 | |
CN102195975A (zh) | 基于移动代理和学习向量量化神经网络的智能nips架构 | |
CN107370724A (zh) | 一种分布式云计算系统 | |
Rajaboevich et al. | Methods and intelligent mechanisms for constructing cyberattack detection components on distance-learning systems | |
CN101834847A (zh) | 基于多移动代理和数据挖掘技术的网络入侵防御系统 | |
CN105933300A (zh) | 一种安全管理方法及装置 | |
Siqueira et al. | A fault tolerance mechanism for network intrusion detection system based on intelligent agents (NIDIA) | |
Wasniowski | Multi-sensor agent-based intrusion detection system | |
Sanz-Bobi et al. | Idsai: A distributed system for intrusion detection based on intelligent agents | |
CN207612279U (zh) | 一种食品加工厂网络安全管理系统 | |
Balducelli et al. | Novelty detection and management to safeguard information-intensive critical infrastructures | |
Khobragade et al. | Distributed intrusion detection system using mobile agent |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20101020 |