基于Mobile Agent的网络入侵检测技术.docVIP

基于Mobile Agent的网络入侵检测技术 　　摘要：随着网络安全技术的发展，入侵检测系统（IDS）在网络环境中的应用越来越普遍，但传统的入侵检测技术存在诸多缺陷。而基于移动Agent的入侵检测是分布式计算技术和人工智能技术有机结合的产物，弥补了传统入侵检测的诸多不足。本文研究了移动Agent系统的体系结构、通信机制、数据安全及其研究现状和发展方向。 　　关键词：移动Agent；入侵检测技术；网络安全 　　中图分类号：TP393.08 文献标识码：A文章编号：1007-9599(2011)07-0000-01 　　Network Intrusion Detection Technology Based on Mobile Agent 　　Su Zikang,Yang Jichao 　　(School of Information and Electrical Engineering,CUMT,Xuzhou221008,China) 　　Abstract:With the development of network security technology, 　　Intrusion Detection System(IDS) has been applied to Network more and more common.But there are many defects in conventional IDS.The mobile agent 　　-based combine the distributed computer technology and AI,remedies the defects.This paper researches Mobile Agent System(MAS) on its 　　architecture,communication system,data security,research status and development trends. 　　Keywords:Mobile Agent;Intrusion detection technology;Network security 　　一、入侵检测（IDS）概述 　　入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”。其实现方法也有许多种，最常用的就是防火墙技术。但是目前的入侵检测技术普遍存在许多缺陷：比如现有的入侵检测系统检测速度远小于网络传输速度，会导致误报和漏报；入侵检测产品和其它网络安全产品结合存在诸多问题；基于网络的入侵检测系统对加密的数据流不能进行检测；入侵检测系统体系结构问题。 　　二、移动Agent的特点 　　移动Agent因其分布式协同处理和智能化的特点，弥补传统入侵检测系统的不足，正引起研究者的重视并成为未来入侵检测的一个发展方向。基于Agent的入侵检测系统具有以下的优点： 　　1.Agent能够减轻网络负载和网络时延。2.Agent异步自主运行，具有自然异构性，单个的Agent出现故障时，并不会将故障扩展到整个网络。3.Agent能在异构网络环境下很好的工作运行，可对各种网络平台和设备实现应用层互操作。4.多Agent协作能力，且可以多点检测，跨越传统基于主机和网络的入侵检测边界。 　　三、移动Agent的结构和工作原理 　　基于移动Agent的系统由用户Agent和服务器端的Agent Host(AH)两个基本部分组成。AH为每个移动Agent服务，同时为每个Agent建立了运行环境和服务接口，通过Agent传输协议ATP实现Agent在网络中不同主机间的移动。其工作原理如下图 1所示： 　　 Public Network 　　User`s Agent 　　 　　Server/database.etc 　　 　　 　　 　　图 1 移动Agent的工作原理示意 　　移动Agent有远程节点（Remote User）发出，它本质上是一段程序代码，可以在异构网络不同移动Agent平台自主迁移，并可和其他Agent通讯交互来完成所需任务。移动Agent通过无线网络迁移到目的服务器节点，通过服务器提供服务获得期望的数据信息。同时由服务器的信息存储数据库（Information Store）记录移动Agent数据处理现场和其他相关信息。 　　四、移动Agent的通信 　　移动Agent的通信方式很多，包括消息传递、RPC和Agent通信语言ACL等。但是，当一个任务相当复杂的时，假使用单个的Agent来完成该任务，就会使得设计出来的Agent常复杂甚至很难实现，这就需要通过设计多个移动Agen