移动Agent在DIDS中应用技术研究.docVIP

移动Agent在DIDS中应用技术研究 　　摘 要：提出了一个基于移动代理技术的分布式入侵检测模型，分析了该模型在IDS中应用的优缺点，并提出了改进方法。 　　关键词关键词：移动代理；分布式入侵检测；入侵检测系统模型 　　中图分类号：TP301 文献标识码：A 文章编号文章编号2013）008003303 　　0 引言 　　随着网络技术的快速发展，网络应用领域也越来越多，在方便人们生活的同时，网络技术安全与信息安全问题变得越来越重要，已成为一个国际性的问题，受到了人们的广泛关注。 　　开发一个强大的、采用主动策略和方案来增强网络安全性的体系已迫在眉睫，一个有效的解决途径就是入侵检测（Intrusion Detection 简称ID）。入侵检测系统（Intrusion Detection System ，简称IDS）是一种积极主动的安全防护技术手段，在网络传输时，对传输的数据进行实时监控，在发现可疑数据传输时，发出警报或者网络安???设备采取主动反应措施，完成入侵检测功能。 　　IDS在不同主机中的收集部件和分析部件之间传输数据，而现有不同主机之间，传统C/S模式是通信的主要方式，通过远程调用或消息传递等方式实现跨平台操作。随着计算机网络的发展和新型网络应用的出现，C/S模式的缺点日益明显，如在计算过程中必须一直保持连接状态，浪费了带宽。基于这种情况，提出了移动代理技术，移动代理技术（Mobile Agent）是一种新的网络技术，它集软件、通信、分布系统的技术于一体，弥补了传统的C/S技术的不足。 　　1 Agent技术 　　1.1 代理 　　代理（Agent）是指在某个特定环境下，无须人工操作、不用监督就能自动完成某项工作的自治实体，起源于人工智能。现在代理的应用很广，如网络管理、人工智能、动态路由和软件工程等领域。代理的自适应性很强大，协作性和智能性在实际应用过程中也有很好的体现；代理既可以独立完成自己的工作，又可以与其它代理一起，相互合作，共同完成某个任务。目前代理存在着智能代理、自动代理、软件代理等叫法，这些只是一个技术概念。 　　Nwana定义了代理Agent的三层结构，即定义层、组 　　Agent在通信层则定义了Agent之间通信的更低一级的细节；合作层指明了Agent的合作能力和协作技能；组织层定义了各个Agent间的关系；定义层被描述成一个自治的逻辑实体，其中包含了Agent的推理目标、现有资源、固有机制和技能等；Agent与其它的物理实现是通过API层联系起来的。Agent的结构和体系模式具有统一的结构特征[2]，如通信管理机、推理控制机、Agent知识库和Agent状态机，如图2所示。 　　图2 Agent的总体结构 　　通信管理机是所有Agent与外部模块进行信息交互的一个接口。外部Agent的消息、请求发给接收器后，接收器进行语法检查，在通信对立中排队，到达通信解释器；发送器的主要任务是将生成的通信队列中的内容发送到外部Agent；而社区成员表界定了Agent能够与外部哪些Agent进行通信的范围。 　　1.2 移动代理（Mobile Agent） 　　移动代理（Mobile Agent，简称MA），是一个能在网络中自动传播的智能程序，接受用户的指令，并能完成相应的任务。在异种网络环境中，可以自动迁移，迁移前暂停运行（挂起）。迁移时，携带自身代码和当前状态到达目标主机后恢复运行。正是因为移动代理具有自治性、移动性和可执行性，所以移动代理系统是一个允许代理在系统中不同主机间迁移的平台，即是一个代理运行环境。移动代理系统可被简称为移动代理平台。 　　通用的移动代理平台由三部分组成，即代理、代理的环境和通信信道。代理是一个程序实体（用标识符、代码和当前状态刻画），通常是固定的，具有可执行性和自治性。每个代理环境都提供了一系列的服务，这些服务支持代理实现特定的目标任务。在移动代理间、移动代理和主机服务间的通信是通过通信信道进行的，这就对信道提出了很高的要求，即信道必须是可靠的、安全的和有效的。 　　2 基于MA的DIDS模型 　　2.1 对入侵检测系统的新要求 　　网络攻击多种多样，攻击者发动攻击的典型方式主要包括简单攻击、环形攻击、旋转门柄攻击、分布式攻击以及链式攻击，攻击过程中的一些行为类型表明了攻击者访问系统的企图；另外一些行为则试图隐藏攻击者的真实身份或者攻击者的恶意行为或企图。 　　在doorknob攻击中，入侵者的目标是发现和获取保护不充分的系统上的主机。入侵者通常在若干台机器上尝试常见的帐号和密码的组合。如果入侵者只在一台机器上尝试进行几次登录，设置的门限较高的基于主机的单主机可能不能检测出这种攻击。如果入侵者在15台机器中的每台机器上