硕士论文-基于代理的入侵检测系统的研究.pdf

浙江师范大学 硕士学位论文 基于代理的入侵检测系统的研究 申请学位级别：硕士 专业：计算机软件与理论 20071223 摘要 计算机与数据通信的快速发展和广泛应用使得网络之间的信息 传输量急剧增长，整个社会对网络的依赖越来越大，网络安全也变得 越来越重要。入侵检测系统作为一种主动的信息安全防御技术，目前 己经成为网络安全研究的重点之一，但传统的入侵检测系统存在着一 些弱势。另一方面，代l 里( a g e n t ) 技术的发展又为克服这些弱势提供了 思路和新的方法，它对于复杂、异构和高速网络以及不同的操作系统 平台，具有良好的自主性、实时性、可伸缩性等。 本论文分析和总结了入侵检测系统的发展现状以及代理应用于 入侵检测系统的一系列理论与技术，将重点工作放在关键问题上，包 括系统模型设计和关键技术研究等。论文的主要工作和研究成果有： ( 1 ) 针对传统入侵检测系统存在的弱势，提出了一种基于代理的入 侵检测系统模型，首先从整体上介绍了该系统模型的体系结构，然后 分别阐述了各模块的功能原理和系统的运作流程。模型采用优秀的移 动代理系统开发平台与成熟的入侵检测引擎相结合，充分利用移动代 理的移动性、灵活性、适应性、跨平台性、代码可重用等特性，克服 了传统入侵检测系统存在的效率低、扩展性差、可移植性和升级能力 有限等缺陷。 ( 2 ) 结合代理的通信协议和多个代理之间的协作技术，从实现系 统的低网络负载和低网络延迟出发，构造了一种系统中代理相互协作 的通讯机制，该机制把通信的消息对象分成五类共十六种，在实际使 用中又根据不同的配置参数和应用目的进一步分化衍生出更多的子 类，有利于代理之间高效快捷的交互，也便于代理种类和功能的扩展， 能够有效地降低代理对网络的依赖，提高了系统的效率。 ( 3 ) 在充分阐述系统模型之后对系统进行了初步实现和验证。经过 比较各种移动代理系统选择了i b m 的a g l e t s 平台并详尽分析了该平 台的系统框架、对象模型和事件机制等，在入侵检测系统中引入了应 用广泛的入侵检测引擎s n o r t ，重点介绍了它的规则描述。通过在 w i n d o w s 程序环境下的运行和验证，对代理在入侵检测中的最终应用 做出了有益尝试。 最后对该系统进行了总结，在分析其特性的基础上，提出了下一 步的研究工作。 关键词：代理，移动代理，入侵检测，网络安全 h a b s t r a c t t h er a p i dd e v e l o p m e n to ft h ec o m p u t e ra n dd ，a t ac o m m u n i c a t i o n h a v em a d et h er a p i dg r o w t ho ft h ei n f o r m a t i o nt r a n s m i s s i o nb e t w e e n n e t w o r k s ，i n c r e a s i n g l yd e p e n d i n go nt h en e t w o r ki no u rw h o l es o c i e t y a n dm a k i n gn e t w o r ks e c u r i t yb e c o m em o r ea n dm o r ei m p o r t a n t i n t r u s i o n d e t e c t i o ns y s t e m ，a sap r o a c t i v ei n f o r m a t i o ns e c u r i t ya n dd e f e n s e t e c h n o l o g y , h a sb e c o m eo n eo ft h e f o c u s e s o f r e s e a r c hi n n e t w o r k s e c u r i t ya tp r e s e n t , b u tt r a d i t i o n a li n t r u s i o n d e t e c t i o ns y s t e mh a ss o m e d i s a d v a n t a g e s o nt h eo t h e rh a n d ，t h ed e v e l o p m e n t o fa g e n tt e c h n o l o g y p r o v i d e si d e a sa n dn e wm e t h o d st oo v e r c o m et h e s ed i s a d v a n t a g e s ，w h i c h h a sag o o da u t o n o m y , r e a l t i m eq u a l i t y , r e t r a c t i l i t ya n ds oo n a sf a ra s c o m p l i c a t e d ，h e t e r o g e n e o u s a n dh i g h s p e e dn e t w o r k sa n dd i f f e r e n t o p e r a t i n gs y s t e m sa r ec o n c e m e d 。 t h i st h e s i sa n a l y s e st h es t a t u sq u oo ft h ed e v e l o p m e n to fi n t r u s i o n d e t e c t i o ns y s t e ma r i ds u m m a r i z e sas e r i e so ft h e o r ya n dt e c h n o l o g yt h a t t h ea g e n t sa p p l i e di ni n t r u s i o nd e t e c t i o ns y s t e m ，f o c u s i n go nk e yi s s u e s s u c ha ss y s t e mm o d e ld e s i g na n dk e yt e c h n o l o g yr e s e a r c h t h em a i nt a s k a n dr e s e a r c hr e s u l t so f t h i st h e s i sa r e ： ( 1 ) b a s e do nt h ev u l n e r a b i l i t i e so f t h et r a d i t i o n a li n t r u s i o nd e t e c t i o n s y s t e m ，w ep r o p o s e da na g e n t - b a s e di n t r u s i o nd e t e c t i o ns y s t e mm o d e l f i r s t l y , w em a d ea no v e r a l li n t r o d u c t i o no ft h es y s t e ms t r u c t u r eo f t h i s m o d e l t h e nw ee x p o u n d e dr e s p e c t i v e l yt h ep r i n c i p l e so ft h ef u n c t i o no f 1 1 1 e a c hm o d u l ea n do p e r a t i o n a lp r o c e s s e so ft h es y s t e m a d o p t i n gt h e c o m b i n a t i o no fe x p l o i t a t i o np l a t f o r mo ft h ee x c e l l e n tm o b i l ea g e n t s y s t e ma n dm a t u r ei n t r u s i o nd e t e c t i o ne n g i n e ，t h em o d e lh a sm a d ef u l l u s eo ft h ec h a r a c t e r i s t i c ss u c ha sm o b i l i t y , f l e x i b i l i t y , a d a p t a b i l i t y , c r o s s - p l a t f o r m ，c o d er e u s a b i l i t yo f m o b i l ea g e n t ，o v e r c o m i n gt h ed e f e c t s s u c ha si n e f f i c i e n c y , p o o re x p a n s i b i l i t y , p o r t a b i l i t ya n dt h el i m i t e d c a p a c i t yt ou p g r a d eo f t h et r a d i t i o n a li n t r u s i o nd e t e c t i o ns y s t e m ( 2 ) c o m b i n i n gt h ec o m m u n i c a t i o np r o t o c o lo ft h ea g e n t sw i t h c o o p e r a t i o nt e c h n o l o g yb e t w e e nm a n ya g e n t s ，f r o mt h er e a l i z a t i o no f l o w n e t w o r kl o a da n dl o wn e t w o r kd e l a yo ft h es y s t e m ，w ec o n s t r u c t e d c o m m u n i c a t i o nm e c h a n i s mw h i c hc o o p e r a t e sm u t u a l l y c o m m u n i c a t i o n m e c h a n i s md i v i d e dc o r r e s p o n d e n c eo b j e c t si n t o f i v ec a t e g o r i e s ( i e 1 6 k i n d sa l t o g e t h e r ) ，f u r t h e rs p l i t i n gu pa n dg r o w i n gm o r es u b c l a s s e s a c c o r d i n g t od i f f e r e n tc o n f i g u r a t i o np a r a m e t e r s ，a n dd i f f e r e n t i a t i o no f p u r p o s ei na c t u a lu s e i t i sc o n d u c i v et ot h ee f f e c t i v ea n de f f i c i e n t i n t e r a c t i o nb e t w e e na g e n t s ，f a c i l i t a t i n gt h ee x p a n s i o no ft h et y p e sa n dt h e f u n c t i o n so ft h ea g e n t s ，l o w e r i n gt h ea g e n t s 。d e p e n d e n c eo nt h en e t w o r k e f f e c t i v e l y , i m p r o v i n gt h ee f f i c i e n c yo f t h es y s t e m ( 3 ) m a k i n gaf u l ld e s c r i p t i o no ft h es y s t e mm o d e l ，w eh a v ec a r r i e d o nt h ep r e l i m i n a r yr e a l i z a t i o na n dv a l i d a t e dt h es y s t e m h a v i n gc o m p a r e d d i f f e r e n tm o b i l ea g e n ts y s t e m s ，w ec h o s ei b m sa g l e t sp l a t f o r ma n d m a d ea ne x h a u s t i v ea n a l y s i so ft h i s p l a t f o r ms u c h a st h e s y s t e m i v f r a m e w o r k ，o b j e c tm o d e la n de v e n t sm e c h a n i s m i n t r o d u c i n gs n o r t i n t r u s i o nd e t e c t i o n e n g i n ea p p l i e de x t e n s i v e l y , i n t r u s i o nd e t e c t i o n s y s t e mh a sf o c u s e do nad e s c r i p t i o no f i t sr u l e s r u n n i n ga n dv a l i d a t i n g u n d e rw i n d o w so p e r a t i n ge n v i r o n m e n t ，i th a sm a d eab e n e f i c i ma t t e m p t f o rt h ea p p l i c a t i o no f a g e n tt e c h n o l o g yi ni n t r u s i o nd e t e c t i o ns y s t e m 。 f i n a l l y , b a s e do nt h ea n a l y s i so fi t sc h a r a c t e r i s t i c s ，w em a d ea c o n c l u s i o nf o rt h i ss y s t e ma n db r o u g h tf o r w a r dt h en e x tr e s e a r c hw o r k k e yw o r d sa g e n t s ，m o b i l ea g e n t , i n t r u s i o nd e t e c t i o n ，n e t w o r ks e c u r i t y v 图表目录 图1 - 1p 2 d r 模型：i 图2 - 1 代理的特性7 图2 - 2m a s i fa d d o n 插件示意 图2 - 3 移动代理的体系结构 8 图2 4c i d f 的通用模型1 2 图3 1 系统模型示意图1 7 图3 2a t p 层的通信示意图。j ：。一2 1 图3 3 系统通讯示意图2 2 图4 1a g l e t 传榆示意图2 4 图4 - 2 a g l e t 常用奚对象模型2 8 图4 3 a g l e t 与事件监听器关系图2 9 图4 - 4 a g l e t 生命周期模型3 0 图4 - 5 代理生命周期时碍示意图 3 l 图5 - 1t a h i t i 登录界面4 7 图5 - 2t a h i t i 登录后主界面 图5 - 3t a h i t i 创建代理界面 图5 4 主控代理用户界面 。，。4 8 4 8 图5 5 添加受检主机界面。4 8 图5 缶派遣主力代理界面。4 9 图5 - 81 曲i t i 安全性能配置界面4 9 v i i i 学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。论文中除了特别加以标注和致谢的地方外，不包含其他人或其他机 构已经发表或撰写过的研究成果。其他同志对本研究的启发和所做的贡献均已在 论文中作了明确的声明并表示了谢意。 研究生签名：饭系日期：五觚， 学位论文使用授权声明 本人完全了解浙江师范大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件和电子文档，允许论文被查阅和借阅，可以采用影印、缩 印或扫描等手段保存、汇编学位论文。同意浙江师范大学可以刚不同方式在不同 媒体上发表、传播论文的全部或部分内容。保密的学位论文在解密后遵守此协议。 研究生签名：龙尔 导师签 f 。叫 浙江师范大学学位论文诚信承诺书 我承诺自觉遵守浙江师范大学研究生学术道德规范管理条 例。我的学位论文中凡引用他人已经发表或未发表的成果、数据、 观点等，均已明确注明并详细列出有关文献的名称、作者、年份、 刊物名称和出版文献的出版机构、出版地和版次等内容。论文中 未注明的内容为本人的研究成果。 如有违反，本人接受处罚并承担_ 切责任， 承诺人( 研究生) ：右泵 指导教p 吨建咒2 很j 1 1 研究背景和意义 第1 章绪论 从实际需求看，计算机与数据通信的快速发展和广泛应用使得网络之间信息 传输量急剧增长，整个社会对网络的依赖越来越大，数据表明全球使用i n t e m e t 的用户已经超过1 亿并持续增长，2 0 0 6 年中国成为世界上拥有互联网用户最多 的国家，达1 4 6 亿，但人们在享受互联网的便捷和高效的同时，也面临着网上 信息泄漏、被盗取、被篡改和被破坏的危险，有关黑客入侵的报道时有耳闻。网 络攻击与入侵行为对国家安全、经济、社会生活有着极大的威胁，作为与物质、 能量同等重要的生产要素信息的安全成为人们关心的社会问题，信息安全不 仅是计算机科学技术研究的重要领域，也发展成了一个很大的i t 产业。入侵检 测系统作为一种主动的防御系统，被看作是防火墙之后的第二道安全闸门，是防 火墙的重要补充，越来越受到普通用户和研究者的重视。 从信息安全本身发展看，网络安全的实质是对网络信息的可靠性、可用性、 保密性、完整性、不可抵赖性、可控性进行保护i l j 。针对传统静态安全模型被动 防护的不足，人们提出了很多主动安全模型，最著名的就是2 0 世纪9 0 年度末美 国i s s 公司提出的p 2 d r 模型【2 】。p 2 d r 模型是一个动态的计算机系统主动安全 理论模型，p 2 d r 是p o l i c y ( 安全策略) ，p r o t e c t i o n ( 防护) ，d e t e c t i o n ( 检测) ， r e s p o n s e ( 响应) ，其特点是动态性和基于时间的特性。入侵检测技术是实现p 2 d r 防护p r o t e c t i o n 安全策略p o l i c y 检溅d e t e e i o n ：反应r e s p o n s e 图i - i1 2 d r 模型 f i g u r e1 - it h em o d e lo f p 2 d r 模型中d e t e c t i o n ( 检测) 的关键技术手段，它的作用在于承接防护和响应过程，提 供了对内部攻击、外部攻击和误操作的实时保护，力争在网络系统受到危害之前 拦截和响应入侵。与传统的访问控制技术相比较，入侵检测技术不再是一种被动 预防性的安全技术，而是一种全新的主动防御技术。 2 0 世纪9 0 年代末，由于代理( 自治代理) 技术在计算机领域的广泛应用，人 们开始考虑将该技术应用于入侵检测领域，提出了不少基于自治代理的入侵检测 浙江师范大学硕士学位论文 系统，实现了一些原型。目前，随着移动代理( m o b i l ea g e n t ，简称m a ) 技术的 发展，如何利用移动代理技术构建有效的分布式入侵检测系统已成为入侵检测研 究领域的一个发展方向。 i 2 研究现状 国外入侵检测技术方面的研究始于2 0 世纪7 0 年代末，1 9 8 0 年a d e r s o n 发 表了“计算机安全威胁的检测和管制”( c o m p u t e rs e c u r i t yt h r e a tm o n i t o r i n ga n d s u r v e i l l a n c e ) - - 文3 j ，对入侵和入侵检测做了论述，被一般认定是此方面最早的文 章，商业化的i d s 产品则出现于2 0 世纪8 0 年代后期。 本文调研初步认为，国外基于代理的i d s 的研究已经取得一定的成果，比 较有特色的系统和它们的特点如下【4 】： 。( 1 ) a a f i d l 5 6 j ：a f f i d 系统是普渡大学在1 9 8 8 中期开发的基于代理的入 侵检测系统，a a f i d ( t h ea u t o n o m o u sa g e n t sf o ri n t r u s i o nd e t e c t i o n ) 是一灵活的 分布式入侵检测系统。整个系统是使用p e r l 语言实现的，并且提供了代理之间 相互通讯的体系结构和代理代码的自动生成工具。a a f i d 的体系结构是严格的 层次化的，每一层都有自己独特的功能。其主要特点是：代理是静止的，没有真 正的使用移动代理。 ( 2 ) i p a i t , s l ：同本安全机构i p a ( t h ei n f o r m a t i o nt e c h n o l o g yp r o m o t i o na g e n c y ) 于2 0 0 2 年4 月提出了i d a 系统( t h ei n t r u s i o nd e t e c t i o l la g e n ts y s t e m ) ，其最 大的特点是利用移动代理实现入侵追踪。i d a 是一种层次结构的多主机i d s ， 它是由多管理器、多传感器、布告板、信息板、追踪代理和信息收集代理等组成 的。i d a 自定义了一种可疑入侵者踪迹( m a r k sl e f t b ys u s p e c t e di n t r u d e r ，m l s i ) 来检测入侵。目前i d a 所实现的入侵者追踪只局限于l a n 内部攻击者。静态 的层次结构是i d a 设计上的主要缺陷。 ( 3 ) j a m l 9 1 ：j a m ( j a v a a g e n t sf o rm e t a - l e a m i n g ) 是美国c o l u m b i a 大学在2 0 0 1 年后期提出的基于移动代理的入侵检测系统。j a m 利用了m a 技术，并将分布 式数据挖掘和元学( m e t a - l e a r n i n g ) 技术运用到入侵检测中。在j a m 分布式代理 社会中，每个代理应用数据挖掘，如分类、关联和序列分析等，对知识和行为进 行建模和推理。系统包括2 个核心组件：一是组件检测代理，主要用来在一个 单一的团体信息系统中学习怎样去检测入侵；二是一个元学习系统，用来结合本 地单个代理学习的知识。j a m 能够发现新的入侵模式。主要特点在于m a 个体 过大，对训练数据依赖性较强，入侵检测的实时性和效率不高等。 ( 4 ) m a i d s t o l ：m a i d s 是美国i o w a 州立大学在2 0 0 1 年前期开发的基于 m a 的分布式入侵检测原型系统，其全称为m o b i l ea g e n ti n t r u s i o nd e t e c t i o n s y s t e m 。该系统先是用软件故障树分析方法对一个入侵行为建模，再使用p e t r i 网 2 第一章绪论 将模型转化为入侵检测数学建模，然后再用m a 技术实现这个数学模型。优点 是可以对入侵检测建立准确的模型，但是建模过程过于复杂。 在国内，网络的飞速发展同样引发相应的网络入侵问题，尽管这方面的研究 相对先进国家要晚一些，但已逐渐步入正轨。大陆可查阅的最早有关入侵检测方 面的中文文章当是计算机系统安全管理：入侵检测原理及应用一文，刊于信 息安全与通信保密杂志1 9 9 8 年第l 期上。文章分析了审计跟踪数据的特征和 现行的几种入侵检测方法，介绍了入侵检测专家系统( i d e s ) 并给出了设计方法； 最早的入侵检测产品出现在1 9 9 9 年，产自启明星辰公司。据此可初步推断，国 内该研究落后于先进国家大概2 0 年，但发展很快，随着大众网络安全意识的普 遍增强，到现在为止，入侵检测已经受到了政府、研究机构、企业等各方面足够 的重视，众多的研究机构投身于这方面的研究，出现了大批入侵检测产品供应商， 开发了相关的产品，较典型的有深圳安络科技有限公司的网络入侵检测系统 ( n e t s e n t r y ) 、北京绿盟科技的“冰之眼”网络入侵侦测系统、东软集团有限公司 的网眼入侵检测系统( n e t e y ei d s ) 、启明星辰公司的天闻网络入侵检测系统、北 方计算中心的n i d sd e t e c t o r 和北京中科网威n e t p o w e r 等，总体发展非常迅速， 不断缩小与国外先进水平的差距。 可以看出，和任何科学技术一样，检测技术同样经历了一个由浅至深的过程， 基于专家系统的方法、模式匹配法和统计方法是最经典的几种方法【i l 】，近年来利 用人工智能领域的知识，出现了基于代理i t 2 , j 3 j 、神经网络结合模糊理论的检测技 术l “j ；利用医学领域的知识，出现了基于自然免疫系统的检测技术【1 5 】；利用数 学领域的知识，有了基于隐马尔可夫模型( h i d d e nm a r k o vm o d e i ) i 雏j 检测模型【l q 还有许多其他方法，如数据挖掘法、分类和聚类方法、遗传算法等。 1 3 论文研究内容 本文汲取现有入侵检测系统成熟的技术和优点，结合移动计算技术，针对一 些入侵检测系统存在的弱势，以增进入侵检测系统的低网络负载，低网络延迟， 智能性，平台无关性，可调整性，易扩展性为原则，寄望于能通过努力为代理技 术在入侵检测中的应用做出一些有益尝试，主要对以下内容进行了研究和探讨： ( 1 ) 对现有典型的入侵检测系统进行了深入调研，分析了它们的优点和弱势， 在查阅和消化大量资料的基础上，得出了自己的心得体会，明确了入侵检测系统 结合代理技术的可行性和重要意义。 ( 2 ) 对代理、移动代理概念和代理相关技术进行了研究，对它们的实现技术i 通讯模式和它们所支持的计算模式进行了较深入的探讨；学习了移动代理系统的 典型平台i b ma g l e t s 的使用和措建方法，得出了把代理技术与入侵检测系统相 结合的思路和技术路线。 浙江师范大学硕士学位论文 ( 3 ) 对入侵检测理论与技术进行了学习，特别是结合应用广泛的s n o r t 入侵检 测引擎进行了深入研究，分析了其中常用的规则协议并有针对性地应用到本模型 之中。 ( 4 ) 结合实际需要学习理解了基于面向对象语言j a v d 的a g i e t s 编程开发的相 关知识和使用方法，重点掌握了它的对象模型和事件的生命周期过程。 ( 5 ) 基于代理的入侵检测系统模型的设计和原型实现。将前面的讨论研究付 诸实践，探讨了设计中的关键技术，结合成熟的s n o r t 入侵检测引擎，利用m m a g l e t s 平台，使用j a v a 语言初步搭建了一个基于代理的入侵检测系统。 1 4 论文主要贡献和创新点 本文的主要贡献和创新点是在前面1 3 节内容的学习研究和探讨的基础上做 的，主要有： ( 1 ) 提出和设计了一种基于代理的入侵检测系统模型的体系结构。该模型整 体上有用户界面层、主控代理层和移动代理层三个层次，但层次之间并没有绝对 的依从关系，由于代理自主性的特点，它们是一种松散的协作关系。模型中充分 利用了代理技术的优势和入侵检测技术的成熟做法，由用户界面代理、主控代理、 本地检测代理、数据采集代理、主力代理和助手代理等代理和入侵规则、代理路 线、攻击等级和日志警报等数据文件组成，用户界面层完成和系统安全管理员的 交互，主控代理层有限制地执行控制协调，各个移动代理或独立地或一定情况下 相互协作地实现入侵检测的功能，系统中各代理是相对独立而又彼此协作的实 体，具有较好的可维护性和可扩充性。 ( 2 ) 构造了系统模型中多个代理之间有效协作的通讯机制。该机制把通信的 消息对象分成五类共十六种，实际使用中又根据不同的配置参数和应用目的进一 步分化衍生出更多的子类，各代理能够代表着参加交互的各方，较便利地完成彼 此之间的消息传递，从而使得整个模型具有不同于传统意义上的入侵检测系统只 能单点执行的特性，通过移动代理的移动性能，主力代理可以在一个网段巡回执 行入侵检测，并可在必要时复制自身产生助手代理以增强系统的检测响应功能， 也可以实现子网自主检测和网问协作检测，还能针对不同的攻击等级，提供不同 的报警响应，具有智能性高、协作性好、资源消耗低等特点，提高了系统的灵活 性和有效性。 1 5 论文结构 本文共分5 章，内容组织如下： 第l 章为绪论，说明了本文的研究背景和国t 内# l - 入侵检测系统的介绍与弱势 分析，得出了发展基于代理的入侵检测系统的实践意义和理论价值。 4 第一章绪论 第2 章为代理和移动代理的概念、技术与开发平台以及入侵检测理论和技术 的介绍，这些是进一步工作的起点与知识基础； 第3 章给出了一个基于代理的入侵检测系统的模型，详细描述了系统的总体 设计、工作机理以及各部件的功能与通讯机制、系统的安全策略等。 第4 章对基于代理的入侵检测系统模型进行了深入的分析和研究，对其中的 几个关键技术进行了细致的阐述，在前几章的基础上，利用j a v a 语言设计实现 了基于i b ma g l e t s 开发平台的入侵检测系统的原型，并给出了部分具体源码和 系统的各运行示例等。 第5 章总结全文并展望了未来的工作，提出了下一步研究需要努力的几个方 面。 5 第2 章代理和入侵检测技术概述 2 1 代理理论与技术简介 2 1 1 代理与移动代理 广义上代理( a g e n t ) 是指具有智能的任何实体，包括人类、智能硬件、智能软 件等【1 7 】，该思想的诞生源自j o h n m c c a r t h y 在2 0 世纪5 0 年代提出的“t h e a d v i c e t a k e r ”系统，该系统被设想为具有目标性，系统内实体间用人类的术语交流， 它们从用户利益来考虑从事各种任务。目前代理已经被应用到很多领域中，许多 学者提出了各自对代理的定义，但是对代理到底是什么并没有取得一致的意见， 每个领域都从自身的角度来定义代理。 f i p a ( f o u n d a t i o nf o ri n t e l l i g e n tp h y s i c a la g e n t ，一个致力于代理技术标准化 的组织) 给出了一个定义：代理是驻留在环境中的实体，它可以解释从环境中获 得的反映环境中所发生事件的数据，并执行对环境产生影响的行为。在这个定义 中，代理被看成是一种在环境中“生存”的实体，它既可以是硬件( 如机器人) ， 也可以是软件，它是具有自治性、反应性( 对环境进行感知和动作) 和面向目标 特性的实体。而在有关代理特性的研究中，最经典和广为接受的是w o o l d r i d g e 等人有关“弱定义”和“强定义”的讨论i l “，文献【1 8 】在分析一些经典的研究报 告和应用系统中，在对代理的描述或定义的基础上指出，一个代理的最基本的特 性应该包括：自治性、反应性、面向目标性和针对环境性。 ( 1 ) 自治性：一个代理能在没有与环境的相互作用或来自环境的命令的情况 下自主执行命令。这是代理最重要的特性之一，是代理区别于普通软件程序的基 本属性，任何其他程序单元无法访问其操作，它具有更好的封装性，因而也具有 更高的安全性。 ( 2 ) 反应性：代理可以感知环境并及时地作出反应。其行为通过触发规则和 执行定义好的计划来更新代理的事实库，并发消息给环境中的其他代理。 ( 3 ) 面向目标性( 主动性) ：代理不仅可以对环境的变化作出反应，而且在特 定情况下采取主动行动，面向特定的目标行动。 ( 4 ) 针对环境性：代理都是针对特定环境的，在某个环境中存在的代理换了 一个环境之后就有可能不再是代理了。因为它有可能无法对变换了的环境进行感 知和反应，各类代理往往只满足于它们所存在的环境。 每个代理首先要具有以上这4 点最基本的特性，然后再根据其应用情况拥有 其他特性，如移动性、自适应性、通信能力( 包括协商、合作等) 、持续性等。 一些研究人员还从代理精神状态出发，对代理的特性进行了更为深入的研究【1 9 1 。 代理的属性如图2 1 所示。 6 第二章代理和入侵检测技术概述 图2 - i 代理的特性 f i g u r e2 - 1t h ec h a r a c t e r i s t i co f a g e n t 代理可以是静态的，也可以是移动的。静态代理驻留于某一固定的位置或 某一固定的平台，而移动代理则可以从某一个位置移动到另一个位置，或从一种 平台移动到另一种平台，移动之后仍能执行该代理具备的功能。移动代理是一种 特殊的代理，一般情况下它需要运行在特定的虚拟机环境中。移动代理的概念是 2 0 世纪9 0 年代初由g e n e r a lm a g i c 公司在推出商业系统t e l e s e f i p t 时提出的。在 异构的网络中移动代理可以自主的从一台主机迁移到另一台主机，且可与其它的 移动代理和本地资源交互，是代理技术与分布式计算技术相结合的产物。传统的 客户端和服务器之间通信时需要连续的连接，而移动代理可以移动到服务器上与 服务器直接在本地进行交互，这样就不用占用网络资源。移动代理与单纯的移动 代码不同，它迁移的内容包括它的代码和运行状态。移动代理是一种网络计算， 它能够自行选择运行地点和时机，根据具体情况中断自身的执行，移动到另一设 备上恢复运行，并及时将有关结果返回 2 0 j 。 移动代理的价值在于计算能力的传递，它迁移到待处理数据所在的端点执行 特定的任务，网络上不会有大量数据的传输，只需返回操作结果或执行状态，所 以能平衡负载，提高完成任务的时效。尤其在待处理的数据量比较大且网络带宽 不足的情况下移动代理可以有效地减少网络拥塞的情况，从而提高管理系统的质 量。移动代理还可提供实时的远程交互、支持离线计算、提供定制化服务、易于 分发服务、提供平台无关性和提供更自然的电子商务模式等功能1 2 “。由于移动代 理在本研究中占有重要地位，在后面章节还将会作更多的讨论。 本文赞同从以下两个角度来看代理与移动代理：一是从最终用户角度，把代 理看作是一种程序，它们代表用户，是用户实现其意图的软件助手：一是从系统 角度，把它们看作是一个软件对象，生存于一个执行环境中并拥有自己的特性。 而从研究代理与移动代理来说，应是更多研究如何支持和应用它们，而不是它们 怎么样才算智能；关注更多的应是如何利用它们的概念来更好地解决实际应用中 的问题而不是过多探讨怎么样才算是一个真正的代理田】。 7 浙江师范大学硕士学位论文 2 1 2 移动代理系统的互操作性 许多公司都分别推出自己的移动代理系统，设计结构与采用技术上的差异使 得相互较难协调工作。为解决互操作问题，o m g ( o b j e e t m a n a g e m e n t c r o u p ) 组织 提出了m a s i f ( m o b i l ea g e n ts y s t e mi n t e r o p e r a b i l i t yf a e i l i t y ) 规范，并介绍了一种 移动代理系统间互操作的插件m a s i fa d d o n 。有了m a s i f 的支持，各个结点 上的代理即使是异种的也可以将自己的部分任务交给其它结点的代理完成。已有 实验证明m a s l fa d d o n 插件的有效性，即解决了移动代理系统之间互操作的问 题，这对于移动代理系统的进一步应用有极大的推动作用。m a s i f 规范的框架 主要的一个接口是m a f f i n d e r 接口，它提供注册、注销、查询移动代理系统的 服务。m a f f i n d e r 插件的作用如图2 2 所利圳。 幽2 - 2m a s i fa d d o n 插件示意图 f i g u r e2 - 2m a s l f a d d o np l u g - i nd i a g r a m 其工作流程如下：( 1 ) m a f f i n d e r 接口注册移动代理系统相关的信息；( 2 ) 移 动代理系统接口利用相关方法接收请求端代理的请求；( 3 ) 得到代理的类型，并 进行认证：( 4 ) 认证成功，代理系统接口得到m a f f i n d e r 接1 2 1 的引用；( 5 ) m a f f i n d e r 接口利用注册库中的相关信息，得到请求端想要的目的地信息：( 6 ) 请求端的移动代理迁移到目的地，完成工作，然后返回。 与此相关的还有f i p a ( f o u n d a t i o nf o ri n t e l l i g e n tp h y s i c a la g e n t ) ，它是另一个 标准化组织，目的是促进代理技术的发展，制定代理的软件标准，最大限度的使 基于代理的各种应用得以有机的结合。f i p a 规范从不同方面规定或建议了代理在 体系结构、通信、移动、知识表达、管理和安全等方面的内容，对于代理技术起 了很大的推动，其中代理管理、a c l 、代理安全管理和代理移动管理与移动代理 技术关系较紧密。 8 第二章代理和入侵检测技术概述 2 1 3 移动代理系统的体系结构 尽管目前不同的移动代理系统的体系结构各不相同，但几乎所有的移动代理 系统都包括两大基本部分【2 3 】：移动代理和移动代理服务器( m o b i l ea g e n ts e r v e r ) 。 移动代理在主机间迁移，是由移动代理服务器通过代理传输协议( a g e n tt r a n s f e r p r o t o c o l ，a t p ) 实现的，移动代理到达一台主机后移动代理服务器为其分配执行 环境和服务接口。移动代理在移动代理服务器端执行并通过代理通信语言( a g e n t c o m m u n i c a t i o nl a n g u a g e ，a c l ) 互相通信并访问服务器提供的各项服务。 移动代理的体系结构如图2 3 所示，移动代理通过移动代理服务器实现其 在网络上的移动和相应动作，移动代理服务器提供移动代理的执行环境和控制机 制，它根据用户的要求产生相应的移动代理，通过移动代理传输协议a t p 发送到 远程主机上执行相应的任务。移动代理服务器中的控制机制负责移动代理的行 为，如代理的复制、挂起、中止、移动等，通过安全机制限制移动代理对本地资 源的访问，起到保护远程主机或移动代理的作用。当代理需要迁移时由迁移机制 负责代理的移动 图2 - 3 移动代理系统的体系结构 f i g u r e2 - 3t h ea r c h i t e c t u r eo f m o b i l ea g e n ts y s t e m a c l 是基于语言一行为的理论，定义了移动代理和执行环境之间协商过程 的语法和语义。目前常用的a c l 有k q m l ( k n o w l e d g eq u e r ya n dm a n i p u l a t i o n l a n g u a g e ) 和f i p a ( f o u n d a t i o no f i n t e l l i g a n tp h y s i c a la g e n t ) ，格式大体相近。a t p 定义了移动代理传输的语法和语义，具体实现了移动代理在执行环境之间的移动 机制。i b m 提出的a t p 框架结构定义了一组原语性的接口和基础消息集，可以看 成是一个代理传输协议的最小实现，其操作在本文第4 章另有介绍。 2 i 4 移动代理系统的安全性 现有的基于j a v a 的移动代理系统基本上都采用了j a v a 的沙箱安全模型作 为其安全机制的实现基础，但是j a v a 安全模型本身就存在一些缺点，而移动代 理系统对安全性有着特殊的要求，重视移动代理系统的安全性研究有着重要的意 9 浙江师范大学硕士学位论文 义。移动代理系统的安全性一般从以下几个方面考虑：