基于网络移动代理技术入侵检测系统分析研究.docVIP

基于网络移动代理技术入侵检测系统分析研究 　　摘要：计算机和网络技术已经走进了我们日常的生活，网络给我们带来了巨大的便利，同时也带来了负面影响。本文通过对移动代理技术与入侵检测系统相结合两个方面进行分析，帮助专业人员了解新的入侵检测系统的性能，对于开发研究新的网络安全监测系统具有重要的意义。 　　关键词：移动代理技术；入侵检测；系统；分析研究 　　计算机和网络技术已经走进了我们日常的生活，包括工作、娱乐、社区、交通和通信，都需要依赖计算机和网络。网络给我们带来了巨大的便利，同时也由于我们过分的依赖于网络，我们也越来越感觉到网络带来的负面影响。信息网络必须要有足够的安全措施，才能确保网络信息的保密性、完整性和安全性。 　　一、移动代理系统的分类 　　（一）移动代理环境（MAE）。移动代理运行环境可以提供安全，正确的运行环境，实现移动代理的移动、执行状态的建立、启动、实施的约束机制、容错策略、安全控制、通信机制，并提供基本服务模块。它一般建立在操作系统之上，为MA提供运行的环境。MA只能存活在MAE中的软件实体。 　　（二）移动代理。移动代理的移动就是从一个移动代理运行环境移动到另一个移动代理运行环境。一般而言，移动代理要具有如下的特征： 　　1.代理模型。代理模型主要代理的是智能部分的内部结构，它包括有一些特性，如代理的自治、学习、协调、写作、反应和预动等特性。当然，从研究人员的角度出发，他们关心的还是代理移动的框架，所以我们现在关注的还主要是和代理的自治性有关的情况。 　　2.计算模型。计算模型是从运行方式考虑，如MA是编译运行还是解释运行，是通过线程方式还是以进程方式生存于运行环境中等。所以说它决定代理是以通信还是以移动的方式来完成任务，从而达到最佳的运行效果。 　　3.安全模型。它本身是一个开放的系统，MAE既有可能接受不信任的移动代理，也有可能到不信任的MAE中去执行，因此，就要从安全性方面去考虑。移动代理的安全模型主要是用于如何保证代理的完整性，防止它携带的数据泄露，代理和服务器的相互验证以及代理的授权和服务器的资源存取控制策略等。 　　4.通信模型。它存在于分布式应用中，主要用于用户、静态代理、其他移动代理、其他移动代理系统甚至是其他非移动代理系统等实体。为了实现它特定的功能，就需要具备与这些实体通信的能力，特别是需要具有协商、协作、解决问题的能力，促进代理间的通信手段必须方便灵活，这是通信模型所必须解决的。 　　5.迁移模型。他解决的的主要是代理如何移动的问题，从三个方面来说：一是代理要移动是怎样刮起代理、俘获代理的运行状态并把代码及有关数据打包；二是以什么方式把代码传送到目的地；三是如何让接受代理并恢复代理的运行。 　　除此之外，还有命名和定位模型、服务定位模型等特征。例如，移动代理系统会产生很多不同的主机，他们的目的往往都是不同的，所以就需要有命名和定位，从而保证代理名字的唯一和方便查找等功能。还有需要满足服务的手段，当本地服务不能满足时，需要及时提供所需的服务站点，便于前往该地提供良好的服务等。从这些方面，我们就能发现移动代理系统有很多优越性，值得我们研究和分析。 　　二、将移动代理与入侵检测结合的原因 　　基于Agent的分布式入侵检测系统可将多种入侵检测分别装载在不同的Agent中，并动态地让这些Agent分布到整个网络上，通过这些Agent的交互、协作完成对网络内外入侵检测。Agent是独立运行的实体，能够在不改变系统别的组件的情况下进行增减。另外，Agent可以在引入更复杂环境之前进行独立测试，Agent也可以与其他Agent协作，通过交换信息，帮助提供更复杂的检测结果，Agent可相互独立地启动和停止，减少检测系统的单点失效。具体而言，基于Agent的入侵检测系统可以获得如下优点。 　　1.独立性，它是个可以独立运行的实体程序，自己进行开发和调试。把它放入具体的环境中，可以进行独立测试。 　　2.灵活性，在操作中可以独立启动和停止，也可以进行动态配置，不会影响其他方面的正常运行。即使要收集新数据或检测新类型的入侵，也可以对原Agent进行重新配置或增加新Agent来实现。 　　3.可扩充性，在操作简单的基础上，它可以作为检测实体独立运行，同时也可以放入分布式的环境中作为一个零部件帮助协作检测，这也是它非常明显的一个优点。 　　4.错误扩散小，从整体上说，该软件系统本身的错误不会影响其它方面的运行。如果系统某个方面出现问题或者受到损坏，它仅仅会影响相关的检测部分失效，并且快速的检测到它的状态，并作出相应处理，使危害面限制到最小化。 　　5.数据来源不受限制，因为它本身具有独立性，不受其他方面的影响，所以系统可以选择不同的数据源。通过不同的数据源来选择相应的形式，