论文答辩基于移动代理的分布式入侵检测系统模型研究.ppt

模型系统的具体实现 系统通信 系统通信协议是ATP通信协议 。ATP通信协议实际上是基于TCP/IP协议的。被传输的Aglet首先被序列化为字节流，然后传送到另一个Aglet Server，在此Aglet Server处将接收的字节流反序列化，重新形成原来的Aglet。 通信方法：Dispatch（派遣），Retract（召回），Fetch（取回），Message（消息） 本系统中Aglet和Aglet之间的通信我们主要是采用在它们之间传Message对象，不再另外设计其他的通信方法。 系统通信 如果一个Aglet想和其他的Aglet通信，首先它要创建一个Message对象，然后把这个对象传送给后者。可以用任意的一个对象作为Message对象的参数。接收方的Aglet用其handleMessage方法检查接收的Message的种类，然后决定要做什么。例如: MyAglet extends Aglet{ public boolean handleMessage(Message msg){ if (msg.sameKind(doJob)){ doJob(); }else if (msg.sameKind(shutdown)){ deactivate(0);}}} 移动代理 本结构中有两种agent:静态agent和移动agent.静态agent包括管理中心和主机监视agent.移动agent是此结构的重要组成部分，包括跟踪agent和响应agent.它们被管理中心派遣并且巡回在分配的被监视主机间执行专门的任务。这两种类型的agent有相似之处，也有一些不同之处。 移动agent有三部分组成: 编码、巡回路线、资料栈。如下图 移动代理的结构 移动agent可以根据在由管理中心创建时所建立的路线到达多个目地主机。目的主机运行agent平台以执行agent中的解释代码。而agent所收集的信息将保存在资料栈中，agent返回后，管理中心将分析收集到的信息以判断是否是分布式入侵。网络中可以存在多个移动agent，每个agent在其迁移过程中，寻找可能存在的不同类型的网络漏洞。跟踪agent和管理中心保存了同样的计时器，如果计时器下降到0，跟踪agent则必须返回管理中心而不管它是否完成了自己的工作。如果管理中心发现计时器变成0，而跟踪agent没有回来，它将会分析原因并且派遣另外的移动agent。通过为跟踪agent设置计时器，可以检测出丢失agent，并以最小的数据损失重新生成一个agent。 主机监视agent界面 管理中心界面 结论 本文探讨了基于移动代理的分布式入侵检测系统的原理、设计与实现。完成的主要工作如下: (1)在收集和阅读了大量资料的基础上，研究入侵检测系统的模型和检测原理，对现有的检测技术进行分析和比较。 (2)研究了移动agent技术，重点研究了IBM东京实验室开发的移动代理平台Aglets，并且分析了移动代理技术应用于入侵检测系统的可行性和优势。 (3)设计了基于移动agent的分布式入侵检测系统。介绍了整个系统的体系结构，并进行了具体的设计、分析和实现。 (4)对系统进行了测试评估。 结论 现有的系统还并不完善，为了完成设计要求，确保系统具有完整的功能和良好的性能，并 在技术上取得一定创新和突破，需要完成以下工作: 加强本系统的安全机制，主要包括通信加密和身份认证，确保系统自身的安全，提高抗攻击能力。 现有的系统只把网络分组数据包作为进行攻击分析的数据源，可以进一步增加基于主机的入侵检测组件。 跟踪agent的检测能力还需进一步提高，对网络数据包的检测方法上要做进一步完善。 最大限度地降低系统的误报警和漏报率。 谢谢各位专家、评委 基于移动代理的分布式入侵检测系统模型研究 主要内容 课题的学术背景及其理论与实际意义 网络安全技术 入侵检测系统概述 移动代理技术 基于移动代理的分布式入侵检测系统体系结构 模型系统的实现 课题来源 本论文的项目背景黑龙江省自然科学基金项 目《基于多层前向神经网络的分布式入侵检测模型》，该项目以理工校园网为研究对象，全面研究校园网络的安全管理和相应的防范措施。本课题是该项目的一个分支。 网络安全 网络安全包括三个要素： 数据、关系、能力 国际标准化组织ISO在ISO7489-2标准中定义了网络安全的要点，主要包括： 机密性、完整性、可用性、认证、访问控制 PDR动态安全模型 PDR认为，一个良好的、完整的动态安全体系，不仅需要恰当地防护(protection)(比如操作系统访问控制、防火墙、