基于MA的分布式入侵检测系统设计的研究.docVIP

基于MA的分布式入侵检测系统设计的研究 　　摘要：在分析入侵检测模型的基础上，结合模型体系的结构、工作流程及针对目前入侵检测系统成为被攻击目标的现状和代理技术给系统带来的安全问题，提出了基于MA的分布式入侵检测系统开发工具及平台，详细描述了Aglet开发环境及实现技术，并结合现实情况提出了改进方法。 　　关键词：分布式入侵检测；Aglet开发环境；Agent实现技术 　　中图分类号： TP391.9 文献标识码：A 文章编号：1009-3044（2015）13-0024-02 　　Abstract： According to the characteristics of DIDS model based on MA distributed intrusion detection system development tool and platform is proposed in this paper， a detailed description of the Aglet development environment and implementation technology， combined with the reality of improving method is put forward. 　　Key words： distributed intrusion detection； Aglet development environment； Agent Technology 　　基于MA的分布式入侵检测系统应用十分广泛，能有效地检测出外来的攻击和破坏，通过对系统用户需求的分析，确定了本系统的开发工具及所使用的移动代理平台： 　　系统采用基于Web页面的入侵检测系统，Web服务器为Apache2.0；后台数据库使用SQL 2008；开发语言用C++，JSP脚本语言；移动代理平台：IBM Aglet 2.0。 　　在整个系统中，移动代理的设计是关键。选择合适的移动代理平台就显得尤为重要，并将直接影响到系统功能的实现。在这里，我们选用Aglets软件开发工具箱（ASDK，Aglets Software Delevopment Kit）进行原型设计、概念证明与评价。 　　Aglets的设计主要是为移动代理系统的标准化提供参考。与操作系统中进程类似，Aglet是有生命周期的，且每个Aglet在其生命期内都有一个的唯一标志符。标志符中包含了Alget独一无二的类名。Alget的拥有者（AgletOwner）定义了Aglet的安全优先权（Security Preference），并时刻关注和检查Aglet的安全性， 这个优先权主要是限制Aglet的权利以确保安全，如防止巡游Aglet非法通信，规定最大允许的CPU消耗量等。 　　在Aglets系统中，为了降低管理的成本，引入域（Domain）的概念。域是由多个长期存在的上下文对象组成的。系统中的DBMS 采用的是关系型的SQL Server，它是一个效率高，功能完善，安全性能优且同时API丰富的一种数据库开发环境。 　　Aglet提供了一个简单而全面的移动代理编程模型，在安全策略保障的情况下，为移动Aglet提供灵活的互通信机制。 在开发语言上选择Java和C++。Java开发工具包（Java Development Kit，简称JDK）是升阳公司开发的基于Java语言的开发环境，对于数据模块的分析要产成若干代理，要与移动代理平台保持频繁通信，而本系统中，用纯Java语言编写移动代理平台。开发环境是微软的Visual C++6.0，编程语言是C++。 　　1 Aglet开发环境 　　Aglet在一台主机上以线程的形式产生一台工作站，之后整个Aglet物件被分派到另一台工作站上，在分派的过程中，Aglet暂停自己正在运行的程序；当整个Aglet全部派遣到另一台工作站后，新的Aglet将会重新启动继续执行刚才暂停的任务[1]。Aglets执行过程有序进行，只需要消耗很小的系统资源，有效地保护了Aglets执行后续任务的可用资源。Agent系统框架如图1所示. 　　Agent系统、agentid、内容长度等字节数组AgletAglet Runtime层安全、缓存、持久管理器等ATCI层（ATP、CORBA、RMI）Aglet Runtime层安全、缓存、持久管理器等ATCI层（ATP、CORBA、RMI）AgletTCP/IPTCPIP。从Agent系统框架图看出，Agent的执行分为发送、请求、处理、接受几个过程，最终便可在远端主机上执行。 　　2 Agent实现技术 　　Agent实现的关键是最佳路由的选择，最佳路由一般考虑传输路径、规划路