Ｍｕｌｔｉ－ｓｏｆｔｍａｎ智能入侵防御系統(tǒng)的研究

(1.內(nèi)蒙古科技大學(xué) 包頭師范學(xué)院， 內(nèi)蒙古 包頭 014030；2.北京科技大學(xué) 信息工程學(xué)院， 北京 100083)

摘 要：針對(duì)傳統(tǒng)入侵檢測技術(shù)難以適應(yīng)大流量、高帶寬的動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境的局限性，在對(duì)軟件人(SM)的基本理論和智能特性研究基礎(chǔ)上，受其啟發(fā)提出了基于群體軟件人(MSM)的智能入侵防御系統(tǒng)協(xié)作控制模型。模型采取無控制中心的群體軟件人分布式體系結(jié)構(gòu)，避免了單個(gè)中心分析器帶來的單點(diǎn)失效問題；同時(shí)該系統(tǒng)還充分利用了軟件人智能協(xié)商控制機(jī)制，有效地解決信任社區(qū)內(nèi)與社區(qū)間的協(xié)同預(yù)警及防御問題，也為網(wǎng)絡(luò)安全防范提供了新的研究思路。

關(guān)鍵詞：軟件人；人工智能；代理；入侵檢測系統(tǒng)；入侵防御系統(tǒng)；協(xié)商控制

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695(2009)04-1503-03

Multi-softman-based intelligence intrusion prevention system

MA Zhan-fei1，2，ZHENG Xue-feng2

(1.Baotou Teachers College， Inner Mongolia University of Science Technology， Inner Mongolia Baotou 014030， China；2.School of Information Engineering， University of Science Technology Beijing， Beijing 100083， China)

Abstract:Through analyzing and studying the characteristics of large-scale network intrusion detection system (IDS)，discussed some crucial disadvantages of the existing IDS briefly.Inspired by the intelligence recognition capability ofSM，proposed a novel and visual multi-softman intrusion prevention system (MSMIPS) cooperation model.In order to reduce the relativity of each detection components as far as possible and avoid the single point failure caused by the single central analyzer， the model is adopted the non-control center multi-softman(MSM) distributed architecture. At the same time， MSMIPS enables member sites in the same trust community or different ones to forewarn attacks cooperatively. Thus， MSMIPS had some merits， such as higher detection rate， load balance and better self-adaptability， and so on. MSMIPS also provided a novel way for implementation of network security.

Key words:softman(SM); artificial intelligence; agent; intrusion detection system; intrusion prevention system; cooperation control

計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的普及在給人們的生活帶來極大便利的同時(shí)，也將安全隱患傳播到整個(gè)網(wǎng)絡(luò)中。作為保護(hù)網(wǎng)絡(luò)安全重要手段之一的入侵檢測系統(tǒng)(intrusion detection system，IDS)，一直被廣大國內(nèi)外學(xué)者所關(guān)注。隨著網(wǎng)絡(luò)規(guī)模的日益擴(kuò)大，原來的單機(jī)入侵檢測系統(tǒng)已經(jīng)不能滿足實(shí)際應(yīng)用的需要，于是提出了分布式入侵檢測系統(tǒng)的概念，相關(guān)的分布式入侵檢測系統(tǒng)的原型也被開發(fā)出來[1，2]。但是，這些分布式系統(tǒng)均存在處理數(shù)據(jù)量集中、速度較慢、不能滿足實(shí)時(shí)處理要求的問題。

軟件人技術(shù)[3]的提出，為計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測與防御領(lǐng)域的研究開拓了新的思路。通常，軟件人能夠在網(wǎng)上自由遷移，采用信息推拉技術(shù)自動(dòng)地處理某些指定的任務(wù)，充當(dāng)一些特定角色，如網(wǎng)絡(luò)通信軟件人、數(shù)據(jù)采集軟件人、入侵檢測軟件人、入侵分析軟件人和入侵響應(yīng)軟件人等。而群體軟件人(MSM)是指由多個(gè)軟件人組成的系統(tǒng)，它是為了解決單個(gè)軟件人不能夠解決的復(fù)雜問題，由多個(gè)軟件人協(xié)商合作形成的自律分散系統(tǒng)[4]。為了使群體軟件人之間能夠合理高效地進(jìn)行工作，各軟件人之間采用協(xié)作、協(xié)調(diào)和協(xié)商機(jī)制。因此，本文通過對(duì)軟件人相關(guān)知識(shí)進(jìn)行深入地分析和研究，并將其引入到計(jì)算機(jī)網(wǎng)絡(luò)入侵檢測系統(tǒng)之中，以分布式系統(tǒng)結(jié)構(gòu)框架為基礎(chǔ)，構(gòu)建了基于群體軟件人的智能入侵防御系統(tǒng)模型。這有助于解決目前入侵檢測系統(tǒng)普遍存在的智能化程度不高、系統(tǒng)不易維護(hù)、檢測效率低下以及難以適應(yīng)大流量高帶寬的動(dòng)態(tài)網(wǎng)絡(luò)環(huán)境等一系列問題，不僅具有十分重要的理論意義和現(xiàn)實(shí)意義，而且具有非常廣闊的應(yīng)用前景。

1 軟件人的相關(guān)知識(shí)

軟件人是以人工智能、人工生命和分布式系統(tǒng)為理論基礎(chǔ)，結(jié)合智能機(jī)器人、智能網(wǎng)絡(luò)和多智能體（multi-agent）技術(shù)而提出的一個(gè)新概念，是移動(dòng)agent的發(fā)展，基于agent而高于agent。它是具有擬人智能的、生存并活動(dòng)于計(jì)算機(jī)網(wǎng)絡(luò)世界中的一類軟件人工生命[3]。

從軟件人的概念中可以看出，它不同于通常的機(jī)器人和agent，具有機(jī)器人和agent所不具備的本質(zhì)特性。軟件人是網(wǎng)絡(luò)環(huán)境下物理機(jī)器人的虛擬化，是在繼承分布式移動(dòng)智能體、機(jī)器人和人工生命等已取得的成果基礎(chǔ)上提出來的。軟件人的獨(dú)立特征是：網(wǎng)絡(luò)居住（包括遷移）、實(shí)體虛擬、類人智慧、仿人進(jìn)化、環(huán)境識(shí)別和自主決策及自由意志。軟件人技術(shù)是傳統(tǒng)對(duì)象和agent技術(shù)的發(fā)展和飛躍，具有強(qiáng)大的開放性、靈活性、適應(yīng)性和協(xié)作性，為分布式計(jì)算提供了一種更有效、更靈活的模式。

軟件人間的接口由五層組成，由底至上依次為：核心層、本體行為層、功能層、數(shù)據(jù)接口層和交互會(huì)話層［5］，如圖1所示。

1）核心層是軟件人本體基本屬性的集合 包含有本體屬性、初始化模塊、功能注冊(cè)表、行為與特征注冊(cè)表、自組織裝配模塊和演化克隆模塊等。

2）本體行為層 它是軟件人的自然行為、自發(fā)行為、自覺行為和軟件人群體環(huán)境的管理任務(wù)的集合。主要功能有環(huán)境自適應(yīng)模塊、衰老機(jī)制、功能加載模塊、遷移模塊、對(duì)象識(shí)別模塊和基本交互原語等。

3）功能層 它是設(shè)計(jì)者賦予軟件人全部功能的集合，而且此集合可以擴(kuò)充、更新和重組。基本功能模塊有信息或數(shù)據(jù)清理模塊、信息推拉模塊、信息安全模塊、以及其他規(guī)劃和定義服務(wù)模塊。

4）數(shù)據(jù)接口層 它是軟件人在交互時(shí)進(jìn)行數(shù)據(jù)交換和信息存儲(chǔ)的堆棧集合，此堆棧集具有統(tǒng)一結(jié)構(gòu)模式和應(yīng)用接口。

5）交互會(huì)話層 它是軟件人之間或與環(huán)境交互功能的集合。這種交互是形成軟件人社區(qū)、優(yōu)化組織結(jié)構(gòu)、協(xié)調(diào)系統(tǒng)環(huán)境的有效機(jī)制。交互行為包括傳遞信息、尋找同類、協(xié)同合作、功能交流/交換等。

軟件人系統(tǒng)[6]（softman system，SMS）是一個(gè)遞階、多級(jí)、協(xié)調(diào)、協(xié)同、分布式大系統(tǒng)。相應(yīng)的大系統(tǒng)、分布式、智能方法和技術(shù)貫穿始終。其框架體系和運(yùn)行機(jī)制的宏觀模型有系統(tǒng)結(jié)構(gòu)模型、系統(tǒng)連接交互模型、系統(tǒng)層次模型等。

軟件人的科學(xué)基礎(chǔ)：分布式人工智能(distributed artificial intelligence，DAI)、智能機(jī)器人(intelligent robot，IR)、智能網(wǎng)絡(luò)(intelligent network，IN)、人工生命(artificial life，AL)和軟件工程學(xué)(software engineering，SE)等。

2 Multi-softman智能入侵防御系統(tǒng)模型

軟件人是集智能agent與機(jī)器人的優(yōu)勢(shì)于一身，能在特定的環(huán)境下無須人工干預(yù)和監(jiān)督從事各種管理、服務(wù)和監(jiān)控等工作，具有很強(qiáng)的自適應(yīng)性、智能性和協(xié)作性。因此，將軟件人群體引入到大規(guī)模分布式入侵檢測與防御系統(tǒng)中，為解決現(xiàn)有入侵檢測系統(tǒng)[7，8]的不足提供了一個(gè)全新的思路。鑒于此，本文提出了基于群體軟件人的入侵防御系統(tǒng)（MSMIPS）協(xié)作控制模型，該模型綜合了層次模型和協(xié)作模型的優(yōu)點(diǎn)，具有較強(qiáng)的智能性。MSMIPS采取無控制中心的分布式軟件人體系結(jié)構(gòu)，充分利用軟件人本身的獨(dú)立性與自主性，盡量降低各檢測部件間的相關(guān)性。各個(gè)數(shù)據(jù)采集部件、檢測和分析部件都是獨(dú)立的單元，不僅實(shí)現(xiàn)了數(shù)據(jù)采集的分布化，而且將入侵檢測和實(shí)時(shí)響應(yīng)分布化，真正實(shí)現(xiàn)了分布式入侵檢測與防御的思想[9，10]。

MSMIPS模型以自治軟件人為組織單元，主要包含五類自治軟件人：通信路由軟件人(communication route softman，CRSM)、數(shù)據(jù)采集軟件人(data collection softman，DCSM)、入侵檢測軟件人(intrusion detection softman，IDSM)、入侵分析軟件人(intrusion analyse softman，IASM)、安全防御軟件人(security prevention softman，SPSM)以及基因庫(data base，DB)。如圖2所示。

2.1 通信路由軟件人(CRSM)

CRSM是軟件人與外界通信的中介，采用軟件人的通信協(xié)議，保證使用相同通信語言的軟件人與服務(wù)設(shè)施之間的正確通信；CRSM能夠?qū)崿F(xiàn)自治軟件人在各個(gè)平臺(tái)之間自主遷移，并根據(jù)當(dāng)前網(wǎng)絡(luò)負(fù)載和服務(wù)器負(fù)載等外界環(huán)境，按照一定的路由策略規(guī)劃出軟件人的遷移路徑，完成與其他軟件人之間的協(xié)調(diào)、協(xié)商和協(xié)作。

2.2 數(shù)據(jù)采集軟件人(DCSM)

DCSM是專門用于采集數(shù)據(jù)的軟件人。DCSM可以位于網(wǎng)絡(luò)中任何一臺(tái)需要檢測的主機(jī)上，同一臺(tái)主機(jī)上也可以同時(shí)部署多個(gè)相同或不同類型的DCSM。DCSM采集的數(shù)據(jù)包括主機(jī)的審計(jì)記錄、應(yīng)用程序日志、應(yīng)用程序調(diào)用序列和網(wǎng)絡(luò)流量等，因此容易實(shí)現(xiàn)數(shù)據(jù)源的異構(gòu)。為了減小網(wǎng)絡(luò)傳輸流量，減輕IDSM負(fù)擔(dān)，DCSM要對(duì)原始數(shù)據(jù)進(jìn)行必要的預(yù)處理，包括數(shù)據(jù)的過濾、格式化、提取及分析，完成預(yù)處理后DCSM將數(shù)據(jù)傳送給等待其服務(wù)的一個(gè)或多個(gè)IDSM。

2.3 入侵檢測軟件人(IDSM)

IDSM是用于檢測的軟件人，是本模型的基本檢測單元。每個(gè)IDSM獨(dú)立地承擔(dān)一定的檢測任務(wù)，并負(fù)責(zé)檢測系統(tǒng)或網(wǎng)絡(luò)某一方面的安全問題。IDSM分布在各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)和通信設(shè)備中，并時(shí)刻保持警戒狀態(tài)。根據(jù)檢測任務(wù)與環(huán)境的不同，IDSM采用不同的檢測技術(shù)和方法，對(duì)網(wǎng)絡(luò)運(yùn)行環(huán)境變化、數(shù)據(jù)包發(fā)送情況、異常或可疑行為進(jìn)行實(shí)時(shí)檢測；同時(shí)它還要與特定意圖（如查找功能失常、缺陷、異常等）的設(shè)備進(jìn)行通信，以監(jiān)視不同層次上的多個(gè)參數(shù)。在模型中，不同類型的IDSM可以有相同的數(shù)據(jù)源，以實(shí)現(xiàn)檢測方法的互補(bǔ)，從而提高檢測效率。DCSM、IDSM與IASM可以位于同一臺(tái)主機(jī)上也可以位于不同的主機(jī)上，IDSM需要把檢測到的可疑或異常信息向本地IASM匯報(bào)。

根據(jù)IDSM所處理的數(shù)據(jù)源不同，可將IDSM分為基于主機(jī)的IDSM（HIDSM）和基于網(wǎng)絡(luò)的IDSM（NIDSM）兩大類。

2.4 入侵分析軟件人(IASM)

IASM是對(duì)入侵事件進(jìn)行分析、響應(yīng)的軟件人。每個(gè)檢測區(qū)域內(nèi)包含一個(gè)惟一的IASM，每個(gè)IASM獨(dú)立承擔(dān)一定的事件分析任務(wù)，并負(fù)責(zé)系統(tǒng)或網(wǎng)絡(luò)某一方面的安全問題。IASM與IDSM之間是一種層次型的從屬關(guān)系，IDSM負(fù)責(zé)檢測可疑或異常行為，并向所屬的IASM匯報(bào)，IASM則對(duì)IDSM上報(bào)的事件進(jìn)行聚合分析，并依據(jù)基因庫的規(guī)則對(duì)入侵事件作出相應(yīng)的防御措施。各個(gè)檢測區(qū)域中的IASM處于平等地位，是一種協(xié)作關(guān)系，可以進(jìn)行交互以完成檢測任務(wù)，包括請(qǐng)求協(xié)查、通報(bào)協(xié)查結(jié)果以及對(duì)異常行為作出響應(yīng)等。

2.5 安全防御軟件人(SPSM)

SPSM是一類用于系統(tǒng)自身保護(hù)和驗(yàn)證的軟件人。它能夠防止外部和內(nèi)部環(huán)境對(duì)本區(qū)域內(nèi)軟件人的非法訪問，以保證數(shù)據(jù)的正確性和合法性；它也能完成對(duì)數(shù)據(jù)的加密/解密、數(shù)字簽名等任務(wù)；同時(shí)它還定時(shí)檢查本主機(jī)和相鄰主機(jī)的CRSM以及本主機(jī)或網(wǎng)段內(nèi)的IASM的狀態(tài)，并向系統(tǒng)管理員報(bào)告異常。另外，SPSM還提供用戶接口，用戶可以通過它查看主機(jī)中IASM的狀態(tài)，也可以通過它動(dòng)態(tài)地配置某些IASM、CRSM和基因庫。

2.6 基因庫(DB)

基因庫由系統(tǒng)管理中心初始化，主要存放軟件人的基因(如源代碼片段和規(guī)則)、方法、函數(shù)和認(rèn)知模型等檢測規(guī)則。在實(shí)際檢測和分析過程中，由IASM采用聯(lián)想記憶、學(xué)習(xí)等方法對(duì)基因庫及時(shí)更新，模型中各檢測區(qū)域的基因庫可以相互共享，以實(shí)現(xiàn)檢測系統(tǒng)的一致性和完整性。

3 MSMIPS的檢測算法

MSMIPS檢測算法的具體步驟如下：

a)每類DCSM負(fù)責(zé)對(duì)各種網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行采集，經(jīng)過必要的預(yù)處理后將數(shù)據(jù)上報(bào)給等待其服務(wù)的一個(gè)或多個(gè)IDSM。

b)如果該入侵檢測軟件人對(duì)數(shù)據(jù)采集軟件人上報(bào)的數(shù)據(jù)進(jìn)行初步分析后，發(fā)現(xiàn)有異常或可疑事件，則向上級(jí)IASM匯報(bào)，入侵分析軟件人負(fù)責(zé)對(duì)入侵事件進(jìn)行分析、響應(yīng)。

c)入侵分析軟件人依據(jù)其基因庫（DB）的規(guī)則對(duì)入侵檢測軟件人上報(bào)的事件進(jìn)行分析判斷，如果確實(shí)是入侵事件，則立即采取相應(yīng)的安全防范措施；否則入侵分析軟件人作進(jìn)一步的聚合分析，并給出事件的初步判斷結(jié)果Ti(是否符合該軟件人所建立的認(rèn)知模型)、入侵的危險(xiǎn)級(jí)別τi和規(guī)則屬性匹配程度Wi。

d)根據(jù)可信度函數(shù)定義Bi=Wi×τi，計(jì)算該事件的可信度Bi。

e)如果可信度Bi≥Blimit（可信閾值），則判定為入侵行為，并采取相應(yīng)的安全防范措施，同時(shí)更新基因庫；如果Bi

4 MSMIPS模型的優(yōu)點(diǎn)

本文在汲取目前成熟的入侵檢測技術(shù)的基礎(chǔ)上，結(jié)合軟件人技術(shù)和分布式系統(tǒng)特有的優(yōu)勢(shì)，設(shè)計(jì)了一個(gè)基于multi-softman的分布式智能入侵防御系統(tǒng)模型。筆者借鑒IBM公司的aglets作為系統(tǒng)開發(fā)平臺(tái)，以MySQL作為后臺(tái)數(shù)據(jù)庫，設(shè)計(jì)了各個(gè)組件和關(guān)鍵模塊，在內(nèi)蒙古科技大學(xué)校園網(wǎng)絡(luò)系統(tǒng)中進(jìn)行了模擬和測試。實(shí)踐證明，通過把軟件人技術(shù)引入到分布式入侵檢測系統(tǒng)，不僅減少了入侵檢測系統(tǒng)所消耗網(wǎng)絡(luò)帶寬的問題，同時(shí)由于軟件人的遷移特征為入侵檢測系統(tǒng)自身的安全性提供了保護(hù)。本系統(tǒng)設(shè)計(jì)改變了以往分布式入侵檢測通常采用的層次式體系結(jié)構(gòu)[11~13]，采用無控制中心的、以群體軟件人為組織單元的分布式結(jié)構(gòu)體系，解決了目前入侵檢測系統(tǒng)中存在的關(guān)鍵節(jié)點(diǎn)（單點(diǎn)失效）問題，同時(shí)該模型具有獨(dú)特的優(yōu)越性：

a）系統(tǒng)可擴(kuò)充性好。在層次式的組織結(jié)構(gòu)中，因?yàn)榇嬖谧罡邔拥目刂浦行模M管可以以增加層次的方法來提高系統(tǒng)的擴(kuò)展性，但終歸由于層次的問題而限制入侵檢測系統(tǒng)的規(guī)模；而本文提出的模型則解決了這一問題，當(dāng)需要擴(kuò)展系統(tǒng)規(guī)模時(shí)，只需要在被監(jiān)控的主機(jī)上安裝相應(yīng)的CRSM和DCSM組件，就能隨時(shí)擴(kuò)大以監(jiān)視更多數(shù)目的主機(jī)，并及時(shí)準(zhǔn)確地提供檢測結(jié)果。

b）數(shù)據(jù)來源不受限制。不同類型的入侵檢測軟件人（IDSM）可以有相同的數(shù)據(jù)源，也可以選用不同的數(shù)據(jù)源，由于各IDSM是獨(dú)立實(shí)現(xiàn)的，那么數(shù)據(jù)來源就可以采用多種形式：審計(jì)數(shù)據(jù)、檢查系統(tǒng)配置、捕獲網(wǎng)絡(luò)包或其他合適的來源等。

c）系統(tǒng)協(xié)同性強(qiáng)。本模型中DCSM、IDSM和IASM等均具有學(xué)習(xí)性、社會(huì)性和交互性，使它們共同完成系統(tǒng)和網(wǎng)絡(luò)的檢測任務(wù)，通過各CRSM之間相互通信能完成更復(fù)雜的入侵行為的檢測。

d）系統(tǒng)安全性較高。系統(tǒng)中借鑒aglets作為開發(fā)平臺(tái)，它本身提供了較高的安全機(jī)制，不僅提供各檢測部件之間的相互認(rèn)證，而且對(duì)傳輸?shù)南⑦M(jìn)行加密認(rèn)證，并在此基礎(chǔ)上設(shè)置特定的SPSM及相應(yīng)的安全策略，提高了系統(tǒng)的安全性。

e）系統(tǒng)具有良好的負(fù)載均衡性。本系統(tǒng)為了均衡網(wǎng)絡(luò)流量，減輕每個(gè)IDSM的工作負(fù)荷，各DCSM都要對(duì)原始數(shù)據(jù)進(jìn)行必要的預(yù)處理，包括數(shù)據(jù)的過濾、格式化、提取及分析，完成預(yù)處理后DCSM將數(shù)據(jù)傳送給等待其服務(wù)的一個(gè)或多個(gè)IDSM。這樣可以有效地解決基于網(wǎng)絡(luò)的IDS在網(wǎng)絡(luò)流量增大的情況下產(chǎn)生的丟失數(shù)據(jù)包的現(xiàn)象。

本系統(tǒng)不僅檢測了從外網(wǎng)流向內(nèi)網(wǎng)的數(shù)據(jù)包，而且也檢測了從內(nèi)網(wǎng)流向內(nèi)網(wǎng)和外網(wǎng)的數(shù)據(jù)包，這樣能有效地防范來自內(nèi)網(wǎng)和外網(wǎng)的攻擊，從而提高了檢測效率。

5 結(jié)束語

將群體軟件人檢測技術(shù)與先進(jìn)的分布式體系結(jié)構(gòu)相結(jié)合，建立新型的入侵防御系統(tǒng)架構(gòu)是一個(gè)嶄新的、非常有前景的研究領(lǐng)域。傳統(tǒng)的入侵檢測系統(tǒng)因?yàn)槠涔逃械木窒扌裕鎸?duì)日益翻新的網(wǎng)絡(luò)攻擊手段往往顯得束手無策，而基于群體軟件人的分布式入侵檢測技術(shù)充分利用軟件人本身的自治性與智能性，有效地加強(qiáng)了安全防御體系的可靠性和穩(wěn)定性。本課題下一步的研究工作主要針對(duì)軟件人的檢測分析算法及自身的安全進(jìn)行深入地研究，使入侵防御系統(tǒng)的智能化程度、檢測性能、可操作和維護(hù)性將有大幅度提升。

參考文獻(xiàn)：

［1］

JIANG W B，SONG H，DAI Y Q.Real-time intrusion detection for high-speed networks[J].Computers Security，2005，24(4):287-294.

[2]BOUKERCHE A，MACHADO R B，JUCA′K R，et al.An agent-based and biological inspired real-time intrusion detection and security mo-del for computer network operations[J].Computer Communications，2007，30(13):2649-2660.

[3]曾廣平，涂序彥.軟件人[C]//中國人工智能學(xué)會(huì)第10屆全國學(xué)術(shù)年會(huì)論文集，北京：北京郵電大學(xué)出版社，2003:677-682.

[4]TU Xu-yan，ZENG Guang-ping，TANG Tao.HADS:humanized autonomous decentralized systems[C]//Proc of International Symposium on Autonomous Decentralized Systems(ISADS’2005).2005:593-598.

［5］ 曾廣平，涂序彥.“軟件人”的概念模型與構(gòu)造特征[J].計(jì)算機(jī)科學(xué)，2005，32(5):135-136，143.

[6]PANG Jie，NING Shu-rong，LI Gui-zhi，et al.Research on scheduling in multi-softman system with the learning mode based on genetic algorithms[C]//Proc of International Conference on Networking， Sensing and Control (ICNSC’2006).Ft.Lauderdale，F(xiàn)L:[s.n.]，2006:1026-1029.

[7]FUCHSBERGER A.Intrusion detection systems and intrusion prevention systems [R].Information Security Technical Report，2005:134-139.

[8]DASGUPTA D，GONZALEZ F，YALLAPU K，et al.CIDS:an agent-based intrusion detection system[J].Computers Security，2005，24(5):387-398.

[9]馬占飛，鄭雪峰，曾廣平，等.Multi-softman入侵防御系統(tǒng)模型的智能彈性架構(gòu)[J].計(jì)算機(jī)科學(xué)，2008，35(6):46-49，66.

[10]馬占飛，鄭雪峰.Agent技術(shù)在分布式入侵檢測系統(tǒng)的應(yīng)用研究[J].計(jì)算機(jī)應(yīng)用研究，2008，25(4):1127-1129.

[11]ZAKI M，SOBH T S.Attack abstraction using a multiagent system for intrusion detection[J].Journal of Intelligent Fuzzy Systems，2005，16(2):141-150.

[12]DASGUPTA D，RODRIGUEZ J，BALACHANDRAN S.Mining security events in a distributed agent society[C]//Proc of Conference on Data Mining， Intrusion Detection， Information Assurance， and Data Networks Security.Orlando， Florida:[s.n.]，2006:17-21.

[13]PEDDABACHIG S，ABRAHAM A，GROSAN C，et al.Modeling intrusion detection system using hybrid intelligent systems[J].Journal of Network and Computer Applications，2007，30（1）:114-132.