從分析信息安全的現狀入手，設計了一個基于多Agent的快速入侵響應系統CI2D&R。結合該系統的網絡部署設計，介紹了該系統兩個主要組成部分安全間諜和安全警衛的主要功能，并提出了該系統的分層體系結構，分析了系統的主要組成部件及其相應功能，論述了該系統的數據流和接口設計及解決Agent可靠運行的方法。
關 鍵 詞 入侵檢測與響應; 多代理系統; 快速響應; 信息安全

快速反應及災難恢復技術是網絡主動防御技術的重要內容。作為信息安全有效保護手段之一的快速響應及災難防御系統應具有入侵模式識別、攻擊建模、安全評估以及攻擊取證功能，才能對入侵行為進行有效反擊[1～3]。有效的入侵響應系統應該提供近似的攻擊源定位技術[4]，并采取積極的預防性響應措施，從而可在一定程度上減少攻擊帶來的資源損失。此外，對信息安全來說，系統還必須具備足夠的“靈性”，以應對復雜網絡環境中的各種入侵行為。根據上述思想，本文采用多Agent技術，設計了一個協作式入侵檢測及響應系統－基于成本的智能入侵回溯及響應系統(Cost-based Intelligent Intrusion Detection and Response System, CI2D&R)[5]。

CI2D&R系統網絡部署設計
一個有效的入侵響應系統應能處理分布式網絡環境中的攻擊行為。從網絡部署來看，CI2D&R系統屬于分布式結構。CI2D&R系統分為相互協作的安全警衛(Guard)和安全偵探(Spy)兩個部分。其中安全警衛運行在受保護用戶主機(Guarded Hosts, GH)上；而安全偵探則分布在受保護網絡(Guarded Networks, GN)中，其具體位置可以是網絡的關鍵節點(Key Node, KN)，也可以是網絡邊界控制節點(Border Node, BN)。
1.1 受保護網絡
受保護網絡GN由計算機和各種網絡連接設備組成，它們可以是邏輯上的獨立單位，也可以是物理上的獨立單位。在GN的關鍵節點或者其網絡邊界的控制點上，安全偵探Spy監控該GN內的數據流，并與特定的安全警衛協作，旨在完成特定的操作，例如切斷連接、對指定攻擊者發動必要的反擊等。受保護網絡和與之對應的安全偵探形成了一個邏輯上的安全域(Security Domain)。從整體來看，一個公司、企業或者國家可視為一個廣義上的安全域，因此將范圍較小的安全域稱為安全子域(Security Sub-Domain)，以表示與廣義上的安全域的區別。一個安全域包含一個或者多個安全子域，安全子域內可以運行一個或者多個安全偵探。安全域或者安全子域內的計算機等網絡資源和系統資源，均受安全偵探的監控和保護。

1.2 安全偵探
安全偵探Spy是分布在安全域中的軟件代理，其主要功能是監控網絡流量和執行命令。對于網絡流量監控，安全偵探對流經該安全域(或安全子域)的數據進行概率采樣，并對采樣的數據包打上安全標簽。當發生網絡入侵時，受保護主機可采集這些帶有安全標簽的數據包，并用數據挖掘的方法識別出攻擊源或者攻擊源區域即所謂的攻擊源回溯。此外，安全偵探也可以和受保護主機上的安全警衛協同工作，執行安全警衛發布的命令或指令，從而對該安全域實施主動保護。
對于關鍵的安全域，安全偵探也可以具有入侵模式識別、自動保護、入侵事件分類、入侵破壞力分析和災難性防御能力，從而可以實時地發現入侵，并主動地對入侵進行響應。具備這種能力的安全偵探，稱之為智能安全偵探。如果安全域中分布有眾多的智能安全偵探，則整個安全域可具備足夠的“靈性”，從而可對入侵進行主動響應，并提高網絡的安全韌性。
1.3 安全警衛
安全警衛是運行在受保護主機上的代理程序，其主要功能是入侵模式識別、入侵事件分類、入侵破壞力分析、攻擊源回溯、自動保護與響應和災難性防御。
當入侵發生時，安全警衛的入侵模式識別部件被觸發，從而實時地檢測出受保護主機上出現的各種系統異常或網絡入侵事件。安全警衛如具備入侵識別功能，可實時地對受保護主機實施保護，從而提升主機和安全域的安全程度。在整個系統中，入侵模式識別部件是系統的數據采集部件之一，具有特殊的作用和地位。