基于移动Agent分布式入侵检测.docVIP

基于移动Agent分布式入侵检测 　　[摘要]借鉴移动Agent技术，在将Agent技术引入入侵检测领域方面做出探索，提出基于移动Agent的分布式入侵检测系统MADIDS。 　　[关键词]移动代理 MADIDS 　　中图分类号：TP393.08文献标识码：A 文章编号：1671－7597（2008）1120080－01 　　 　　一、移动代理系统Aglet 　　 　　（一）Aglet系统结构 　　Aglet的系统架构主要分为四个阶段。首先当一个正在执行的代理想要将自己发送到远端时，会对Aglets Runtime发出请求，然后Aglets Runtime层把代理(Aglet)的状态信息与程序码转成序列化的位块（bit-blob）；接着若是外送的请求成功时，系统会将Aglet的执行动作结束，然后将位块（bit-blob）传送至代理传输和通信接口层处理。此层提供使用代理传输协议(ATP)的接口，其中ATP为一个简单的应用层协议，它使得在传送Aglet时不必顾虑Aglet是否被派送到不同的代理系统上；之后，系统会将字节阵列附上相关的系统信息，比如系统名称以及Aglet ID等，并以位流透过网路传至远端主机。远端主机利用ATP接口接收到传来的字节数组及系统信息，然后 Aglet Runtime 层对位块（bit-blob）反序列化，得到 Aglet 的状态信息与代码，此时 Aglet 便可在远端机器上执行。 　　（二）Aglet的生存周期 　　其中Context是代理工作场所，它是一个静态对象，维护与管理Aglet 的基本行为:如创建( create) Aglet 、复制(clone) Aglet ,或分派( dispatch)Aglet、召回(retract) 远端的Aglet ,或暂停( deactivate) 、唤醒(active) Aglet ,以及清除(dispose) Aglet 等。 　　 　　二、MADIDS 　　 　　（一）MADIDS的研究方向 　　虽然移动代理技术没有为入侵检测增加根本性的新方法，也没有提高入侵检测的速率，但是，它的潜在应用优势在于显著改善了传统入侵检测系统的设计、构造、部署和操作。 　　NIST（National Institute of Standards and Technology）给出并具体分析了移动代理应用于入侵检测的未来五个主要研究方向：IDS性能的提高、新攻击检测模型、新体系结构模型、现有体系结构的改进、IDS对攻击的响应。 　　（二）MADIDS的研究现状 　　目前，国内外对移动代理应用于入侵检测的研究还处于起步阶段，国外许多实验室（包括美国的爱达荷大学、新墨西哥大学、陆军研究实验室、爱荷华州大学，普渡大学，和日本的信息技术促进组织）都在从事将代理技术应用到入侵检测系统当中的研究工作。 　　 　　三、MADIDS的研究与实现 　　 　　（一）MADIDS系统体系结构 　　1．网络拓扑结构。该MADIDS系统由两部分构成：一是分布于网络中受检主机（Host），每台受检主机提供移动代理的运行平台，并负责管理部署到受检主机上的代理；二是部署于网络中一台或多台主机上的控制服务器（Control Server），其负责部署、协调、管理、调度和控制受检主机端，以检测针对多台主机或整个网络的攻击，还可以通过派遣移动代理更新、升级、调整Host端。网络拓扑结构。 　　2．系统功能设计。控制服务器上的核心控制代理（Core Control Agent，简称CCA）是整个检测系统的管理与控制者，它负责管理、协调、控制受检主机上的移动代理，接收受检主机上移动代理的状态报告、报警，并在综合受检主机报告的基础上检测针对整个网络（网段）的攻击。同时，CCA提供人机交互的界面，它向管理员报告系统运行状态、发出攻击警报，接受管理员的指令改变系统的运行状态或反击攻击。 CCA还是系统更新的“桥梁”，管理员可以将具备新功能的移动代理加入到系统移动代理库中，通过Tahiti server派遣到受检主机，从而实现对检测系统的功能升级。而受检主机最初只需要安装一个Aglet平台，在CCA向其派遣主机检测代理、巡行检测代理后，才能完成一系列检测任务。 　　（二）MADIDS系统的安全机制 　　移动代理系统中的安全问题，MADIDS系统安全问题主要涉及到：保护Agent免受恶意主机的攻击、保护主机免受恶意Agent的攻击、通讯安全等方面。针对将对上面的问题可以采取如下的措施： 　　1．保护移动Agent免受潜在的恶意主机的攻击。可以对移动Agent 的代码进行安全性，完整性检查，若移动代码被更改或部分删除，则将此代理抛弃，发送消息到CCA，由移动代理CCA的调度子模块