CC BY
34
у Никишова А.В., 2012
ТЕХНИЧЕСКИЕ ИННОВАЦИИ
УДК 004.056.5 ББК 31
МНОЖЕСТВО МИРОВ МНОГОАГЕНТНОЙ СИСТЕМЫ
ОБНАРУЖЕНИЯ АТАК
А.В. Никишова
Предложена многоагентная система обнаружения атак. Внешний мир разбит на множество миров, и агенты разделены на группы, чье представление о внешнем мире ограничено определенным миром из множества.
Ключевые слова: система обнаружения атак, многоагентная система, агент, множественность миров, совместное решение.
Как показывает анализ современных свободно распространяемых систем обнаружения атак (СОА), их развитие направлено на сбор данных для анализа из нескольких источников, но при этом в большинстве СОА не учитывается взаимосвязь этих данных. Предлагается модель СОА - многоагентная система (МАС), позволяющая не только анализировать множество источников данных, но и принимать решение на основании всего множества собранных данных о состоянии информационной системы (ИС) в целом.
В.Б. Тарасов дает формализованное определение МАС, не детализируя содержание входящих в формулу составляющих [1]:
MAS = (А, Е), (1)
где MAS - многоагентная система, А - множество агентов, Е - множество миров, находящихся в определенных отношениях и взаимодействующих друг с другом, формирующих некоторую организацию, включая возможные коммуникативные действия.
Был проведен анализ типовой ИС и выделены следующие источники сведений о событиях, происходящих в ИС, подлежащих анализу для задачи обнаружения атак: сведения о событиях маршрутизаторов, сведения о сетевых пакетах, сведения о событиях операционной си-
стемы серверов, сведения о события операционных систем рабочих станций. Каждому из этих источников данных соответствует свой тип агента. Было сформировано множество агентов, решающих задачу обнаружения атак:
1) агенты рабочей станции
А». -А, А£, А П
- анализирующие события, отражающиеся в журнале безопасности, А» ;
- анализирующие события, отражающиеся в реестре, А» ;
- анализирующие сведения о процессах, выполняемых на рабочей станции, А» ;
2) сетевой агент А^;
3) агент маршрутизатора Ак;
4) агенты сервера (состав зависит от функционального назначения сервера) AS. Так как многоагентная СОА содержит
большое число агентов, то их взаимодействие каждый с каждым будет иметь существенное влияние на загруженность сети. А потому в модели используется концепция «множественности миров». Все пространство ИС разбивается на миры, которые ограничивают функционирование и взаимодействие агентов. Каждый агент может принадлежать нескольким мирам. В результате анализа было сформулировано следующее множество миров:
- мирыМ» М А», включающие в себя агентов рабочей станции. Анализируя события соответствующего источника, аген-
^ ь к р ты рабочей станции А» -А, А», АР ^
Вестник ВолГУ. Серия 10. Вып. 6. 2012
87
ТЕХНИЧЕСКИЕ ИННОВАЦИИ
принимают совместное решение о состоянии рабочей станции; миры Мт М 'О ', включающие в
себя агентов сегмента сети. В этот мир имеют доступ по одному агенту с каждой рабочей станции 'и» (он обладает объединенным мнением о состоянии рабочей станции) и сетевой агент ' соответствующего сегмента сети. Данная группа агентов принимает совместное решение о состоянии сегмента сети; миры Мм М ' ', включающие в себя
агентов подсети. В этот мир имеет доступ агент маршрутизатора ' и сетевые агенты ' (они обладают объединенным мнением о состоянии соответствующего сегмента сети), сегмент сети которых соединен с данным маршрутизатором. Данная группа агентов принимает совместное решение о состоянии подсети, ограниченной данным маршрутизатором; миры М8 М ' включающие в себя агентов сервера. Анализируя события соответствующего источника, агенты сервера ' принимают совместное решение о состоянии сервера;
мир М М ' в котором принимается окончательное решение о состоянии ИС. Данное решение принимают по одному агенту от каждого сервера 'Од (они обладают объединенным мнением о со-
стоянии соответствующего сервера) и агенты маршрутизаторов R (они обладают объединенным мнением о состоянии соответствующей подсети). Они принимают совместное решение об общем состоянии ИС.
Учитывая возможные пути реализации многошаговых и распределенных атак, агенты взаимодействуют между собой внутри определенных миров. Они путем голосования [2] принимают совместное решение о состоянии частей ИС, а в итоге о состоянии ИС в целом, то есть решение о возникновении или невозникновении атаки.
При принятии решения об обнаружении атаки агенты системы в соответствии с настройками, выполненными администратором, могут выполнять некоторые элементарные действия, например разрыв соединения или уничтожение процесса.
СПИСОК ЛИТЕРАТУРЫ
1. Тарасов, В. Б. От многоагентных систем к интеллектуальным организациям: философия, психология, информатика / В. Б. Тарасов. - М. : Эдиториал УРСС, 2002. - 352 с.
2. Shoham, Y. Multiagent systems. Algorithmic, game-theoretic, and logic foundations / Y. Shoham, K. Leyton-Brown. - N. Y : Cambridge University Press, 2009. - С. 256-260.
MULTIAGENT INTRUSION DETECTION SYSTEM’S SET OF WORLDS
A. V. Nikishova
Multi-agent intrusion detection system has been suggested. Outside world has been divided into set of worlds, and agents have been divided into groups with their beliefs about outside world limited to certain world of the set.
Key words: intrusion detection system, multi-agent system, agent, multiplicity of worlds, joint resolution.
88
А.В. Никишова. Множество миров многоагентной системы обнаружения атак
