基于MA分布式入侵检测方法探究.docVIP

基于MA分布式入侵检测方法探究 　　摘要： 本文在总结先前存在的入侵的检测和防御方法的同时，阐述了以移动代理为基础的的入侵检测。相对于传统的方法，这种检测方法很大程度上提高了检测系统进行自我恢复和抵抗毁坏的能力。 键词： 移动代理；分布式的入侵检测系统；安全 中图分类号：TP393 文献标识码：A 文章编号：1006-4311（2013）16-0199-02 0 引言 因特网在人们的生活学习工作中日益普及，扮演着越来越重要的角色。而与此同时，它带来的网络安全问题也不容忽视。传统的常用网络入侵防范设备是防火墙。但是，随着入侵技术的提高，防火墙已经不能完全保障网络安全。这时入侵检测系统进入人们的视野，成为一种重要的网络安全保护的补充措施，发展迅速。 1 基于移动代理技术的分布式的网络入侵检测系统概述 传统网络入侵防御检测系统一般在单主机系统中收集分析数据。而这种数据收集分析方法对抗分布式入侵攻击，对服务攻击的防范和检测的能力不强。而分布式的网络入侵防御检测方法能有效避免上述不足，已经日益成为信息安全等领域普遍关注的焦点。但是，这种分布式结构虽然相对传统的检测系统有极大的进步，但仍有局限性：①网络入侵检测的实时性比较差；②有时会单点失效：集中分析器实为系统的薄弱环节，若入侵者利用这个弱点使集中分析器无法工作，将使IDS系统整体瘫痪；③系统的可扩展性相对较差：集中分析器处理能力的大小直接限制了被检测的网络规模的大小；④网络通信载量有限，当大量信息同时传输时，会出现问题。 针对这些状况，以移动代理为基础的分布式网络入侵检测应运而生。 移动代理具有不同于其他方式的优异特性，因而很快在一些新兴领域受到关注。移动代理实质是一种在执行中自治地、有目的地将数据在网络上的不同主机上传播的数据、代码以及语境执行软件包。它通过各节点资源之间的局部交互达成目的，与此同时还可以根据具体情况自主选择进行移动时间地点。因此，这种软件包被人们称作移动智能体。这种新型代理方式相对传统的静态代理，特点在于在整个系统运行期间它可以实现虚拟机之间的自主迁移而不需要执行中断程序。 移动代理作为一种新型技术，在跨平台、分布式、大规模应用中充分体现出其独特优势，同时具备智能化和分布式的协调统一处理的特点。将该技术运用在入侵检测过程中，可以有效地提高安全性，对传统的网络入侵防范检测系统缺乏良好的协调性的缺点进行弥补。建立新型的移动代理模型从而达到多个检测点同时并行检测的目标，及时有效地处理动态变化，协同工作，发挥其有效防范网络入侵，维护网络安全的作用。 2 移动代理技术种类 DIDS这一系统有许多代理种类，一般我们会按照他们在系统中所承担的不同职责，划分为静态代理和移动代理，接下来我们会详细对这两种类型进行分析。 2.1 静态代理 配置代理：主机上用户每次请求进行连接时，设置在主机上的配置代理就立刻开始执行。配置代理的主要功能是为用户提供接口和执行本主机移动代理配置和配套的一些配置；管理代理：这种代理一般驻留于系统中的安全管理器，任务主要是根据需要，分别将巡逻代理、配置代理、防御代理以及派遣代理动态地以移动代理形式准确及时地发送到系统服务器、系统工作站、用户PC机、网关以及主机上，以便于对系统的整个网络入侵及时进行检测、警示和防范。 2.2 移动代理 防御代理：这是一种起防御功能的系统代理。真正发生其他恶意代理对移动代理发动入侵的时候，管理代理就会负责将适合的防御代理作为防御手段传到已经被入侵的系统主机上，取消用户非法连接并且阻挡非法的用户帐号，来防御网络入侵；派遣代理：一种鉴别功能的代理，能够鉴别哪种入侵类型的智能性代理。它们是被管理代理分别分派到被检测到有可疑行为的主机上，然后运用比对、协商等方法共同确定是否真的有可疑行为入侵，将检测到的最终结果发送到管理代理；巡逻代理：这种代理主要负责在规定网络范围内对系统的全部主机进行巡逻，及时准确地对用户的行为进行测查。若发现有可疑行为，它会及时准确地向管理代理传递求助信息。 3 基于移动代理的分布式入侵检测的安全性分析 本文所述的这种检测防范方式虽然很大程度上促进了网络入侵检测防御方法的进步，弥补了先前那些网络入侵检测防御系统的很多漏洞。但是，不得不承认，应用灵活性和程序自由迁移以及移动代理技术的引入会给网络系统造成安全问题。这种安全问题主要有两种： 3.1 移动代理的服务器发生安全问题。移动代理的服务器有时会受到其他恶意代理攻击进而受到损坏。 3.2 移动代理存在的安全问题。移动代理在执行过程中可能会遭到来自恶意代理攻击。恶意代理可以利用自己的服务器擅自修改、截取移动代理传输数据或代码，从而窃取移动代理传输的敏感信息。 4