（计算机应用技术专业论文）分布式入侵检测系统中的移动代理技术应用研究.pdf

上海大学硕士学位论文 ! ! ! ! ! ! ! ! ! ! ! 坐! ! 塑! ! ! ! ! ! ! ! g ! ! 一! ! ! ：! ! ! ! 堡 摘要 移动代理技术是目前计算机科学领域中的- 1 7 新兴技术，近年来逐渐成为了 学术界的研究热点。移动代理独特的对象传递思想和卓越的特性给一分布式系统带 来了巨大的革新，随着入侵检测技术的发展和广泛应用，移动代理技术也被引入 到分布式入侵检测系统中。 本文在分析和比较了目前已有的几种基于移动代理技术的分布式入侵检测 系统的基础上，提出了一种瓤的分布式入侵检测系统模型，该模型利用移动代理 技术解决目前分布式入侵检测系统模型结构单一、缺乏动态性的问题，具有动态、 灵活、自适应的系统结构，并采用移动代理技术简化了系统的维护工作。论文还 对分布式入侵检测的协同工作问题及可扩展性问题进行了研究，提出了相应的解 决方法，从而加强了分布式入侵检测系统的协同性和对新型攻击检测的扩展能 力。 论文还论述了一个基于上述分布式入侵检测系统模型的原型以及用于原型 测试的s y n f l o o d 攻击检测插件的设计和实现。测试结果表明，该系统原型实现 了系统模型的动态体系结构、协同性、扩展性三个重要特性。 本论文提出的基于移动代理技术分布式入侵检测系统模型及相关的研究工 作在分布式入侵检测系统中应用移动代理技术方面解决了一个新问题。 关键词：移动代理，入侵检测，分布式系统 上海大学硕士学位论文 ! ! ! ! ! 坐! ! ! ! 型! 里塑! ! ! ! ! ! ! g ! ! ! 竺! ! ：! ! 型： a b s t r a c t b e i n gav e r yn e wt e c h n o l o g yi nc o m p u t e rs c i e n c e ，m o b i l ea g e n ti s ap o pr e s e a r c h s u b j e c ti na c a d e m i at h e s ey e a r s i t su n i q u e n e s si no b j e c tt r a n s f e ra n do t h e re x c e l l e n t p r o p e r t i e sb r o u g h t ar e v o l u t i o nt ot h ed i s t r i b u t e d s y s t e mt e c h n o l o g y w i t h t h e d e v e l o p m e n ta n da p p l i c a t i o no f i n t r u s i o nd e t e c t i o ns y s t e m s ，m o b i l ea g e n tt e c h n o l o g y h a sa l s ob e e na p p l i e dt od i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m s h a v i n g m a d eac o m p a r i s o no fs e v e r a l e x i s t i n g m o b i l e a g e n t b a s e dd i s t r i b u t e d i n t r u s i o nd e t e c t i o ns y s t e m s ，t h i sp a p e rp r e s e n t san e wf r a m eo fd i s t r i b u t e di n t r u s i o n d e t e c t i o ns y s t e m b e i n gd y n a m i c ，f e x i b l ea n da d a p t i v ei ns y s t e ms t m c t u r e ，t h i sf r a m e c a ns o l v es o m ep r o b l e m si n e x i s t i n g m o b i l e a g e n t b a s e dd i s t r i b u t e di n t r u s i o n d e t e c t i o ns y s t e m s ，s u c ha ss i n g l e n e s sa n di n v a r i a n c ei as t r u c t u r e t h i sf l a m e c a na i s o m a k es y s t e mm a i n t e n a n c em o r ec o n v e n i e n t i na d d i t i o n ，t h i sp a p e rp r o p o s e s a s o l u t i o n 幻i m p r o v et h ec o o p e r a t i v i t ya n de x t e n s i b i l i t y o ft h ed i s t r i b u t e di n t r u s i o n d e t e c t i o ns y s t e m s t h ed e v e l o p m e n to fap r o t o t y p es y s t e m 埘lt h ea b o v ef r a m ea n das y n f l o o da t t a c k d e t e c t i o np l u g i na r ed i s c u s s e di nm o r ed e t a i l e di nt h i sp a p e rt h et e s t i n go ft h i s p r o t o t y p eu s i n g t h i sp l u g - i ns h o w st h ef l a m eh a sg o o d p r o p e r t i e si nd y n a m i cs t r u c t u r e ， c o o p e r a t i v i t ya n de x t e n s i b i l i t y t h i sp a p e rp r o v i d e san e wm e t h o do f d e a l i n gw i t h i s s u e sa b o u t a p p l i c a t i o no f m o b i l e a g e n t i nd i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m s k e y w o r d s ：m o b i l e a g e n t ，i n t r u s i o nd e t e c t i o n ，d i s t r i b u t e ds y s t e m 原创性声明 本人声明：所呈交的论文是本人在导师指导下进行的研究工作。 除了文中特另r j g i 以标注和致谢的地方外，论文中不包含其他人已发表 或撰写过的研究成果。参与同一工作的其他同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示了谢意。 签名： 盔毖冶日期巡i ：垡 本论文使用授权说明 本人完全了解上海大学有关保留、使用学位论文的规定，即：学校有权保留 论文及送交论文复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容。 ( 保密的论文在解密后应遵守此规定) 日期：兰! 生兰。i ；星 上海大学硕士学位论文 堡! ! ! ! ! g ! ! ! ! ! ! ! ! ! ! ! 坐! ! ! ! ! ! g ! ! ! 望! ! ：! ! 坐： 1 1 课题的目的与意义 第一章序言 由于互联网的飞速发展，计算机网络已经成为国家的经济基础和命脉。计算 机网络在经济和生活的各个领域正在迅速普及，整个社会对网络的依赖程度越来 越高。众多的企业、组织、政府部门与机构都在组建和发展自己的网络，并连接 到i n t e m e t 上，以充分共享、利用网络的信息和资源。然而伴随着网络的发展， 也产生了各种各样的问题，其中安全问题尤为突出。 面对大量的安全问题，入侵检测【l 】作为一种关键的网络安全技术得到了广泛 的应用和研究。入侵检测系统是对防火墙的必要补充，作为重要的网络安全工具， 可以对系统或网络资源进行实时检测，及时发现闯入系统或网络的入侵者，也可 以预防合法用户对资源的误操作。随着网络规模的迅速扩大，体系单一的入侵检 测系统已经不能满足大规模网络的入侵检测需求。因此基于代理技术【2 】和移动代 理技术的分布式入侵检测p 】技术被人们提出，并且臼益广泛的应用到实际检测 中。 移动代理1 4 】是一种自治的程序，它能够在自己的控制下从一台机器迁移到同 构或异构的网络机器上，并可与其它的代理程序或资源进行交互。移动代理能够 在任意的终端上自治的执行，把自己传输到另一台机器上，在新的机器上继续执 行。 目前也有许多关于代理技术在入侵检测中的研究的相关文献。 普杜大学最早提出了a a f i d 【5 1 ( a u t o n o m o u sa g e n t sf o ri n t r u s i o nd e t e c t i o n ) 的 框架，并于1 9 9 9 年推出了一个a a f i d 的原型用于实践和研究。a a f i d 跨越了 基于主机和基于网络的入侵检测之间的界限，将基于主机和基于网络的入侵检测 技术结合，a a f i d 采用的是分布式入侵检测体系结构和自治代理机制，系统的 组件之间能够协同工作。虽然a a f i d 已经停止开发，但仍具有很高的学习和研 究价值。 新加坡国立大学的w a n gy a n 提出了一种二叉树形式的入侵检测结构【6 】，并且 就移动代理在派遣过程中的安全性问题进行了研究，并且提出了一套算法来改进 移动代理的安全性。 国内一些文献中提出，基于网络的入侵检测系统在大规模的网络中，中心监 控主机易于成为瓶颈，导致系统性能的下降。利用分布协作式代理技术【7 可以解 决这个问题，入侵检测系统中没有中心主机，检测是通过代理之间的协作来完成 的，适合于大型网络的入侵检测任务。 上海大学硕士学位论文 坠! ! ! ! 堡! 苎璺! ! ! ! 三坠! 堡! ! ! ! 竺韭! ! 望! 立! ! ! 堕 以上介绍的一些文献和技术各有其优点，对本课题的研究有借鉴之处。现有 的分布式入侵检测系统模型【8 】也应用并实现了一些移动代理技术，但是这些入侵 检测系统模型仍存在以下这些缺陷： 系统体系结构不够灵活，系统采用静态方式搭建，当遇到某些攻击时导 致系统部分失效，系统体系结构不能及时应对意外的攻击事件做出晌应 和调整。 系统的配置和维护需要系统管理员进行手工操作，需要耗费大量的人力 资源，而且易于产生人为的失误。 可扩展性差。由于黑客手段的多样化入侵检测系统会面临大量的新的攻 击事件，部分入侵检测系统不能跟随黑客攻击技术的发展丽更新换代导 致系统失效。 针对入侵检测系统以上缺点，本课题的研究围绕移动代理技术在入侵检测系 统中的应用展开，本课题的目的在于研究一种新的基于移动代理技术的分布式入 侵检测系统模型，该模型主要具有以下三个特性： 系统采用动态的方式建立和运行，系统的结构可以在运行中根据网络情 况的不同而做出调整，利用移动代理的移动特性提高系统的灵活性和适 应性，并且引入访问代理的概念，用访问代理完成入侵检测的维护工作， 提高系统的可维护性。 通过多种方式加强分布式入侵检测系统组件之间的协同工作能力。 引入插件机制，提高系统的可扩展性，程序员能够通过编写新的攻击检 测插件使系统具有应对复杂多变的攻击的能力。 根据该系统模型，本课题将实现一个基于移动代理的分布式入侵检测系统原 型，该原型主要采用a g i e t 9 j 平台开发，具有较高的可维护性和灵活性，组件间 达到良好的协同效果。由于该原型采用插件机制，因而也具有较强的扩展能力。 这一技术可以从一定程度上解决目前入侵检测系统中的一些问题。 1 2 本文结构与进行的工作 以下就本文的内容和本课题所作的些工作进行一下简单介绍： 第二章主要介绍本课题研究涉及的两种关键技术：入侵检测技术和移动代理 技术，并且介绍这些技术的现状和发展趋势。 第三章中首先提出本课题研究的基于移动代理技术的分布式入侵检测系统 的基本框架，其中包括系统的逻辑模型、物理结构、动态运行模式以及各重要组 件的功能定义和概要设计。然后，第三章讨论了移动代理技术应用于入侵检测系 统中的系统协同能力和系统扩展能力等问题。 上海大学硕士学位论文 坠! ! ! ! ! ! ! ! 垫! ! ! ! ! ! 坐! ! ! ! ! ! 韭! ! 望! ! 二! ! ! ! ! z 第四章主要围绕基于移动代理的分布式入侵检测系统原型的设计和实现展 开，讨论了开发平台的选择，论述了系统各组件的详细设计和实现，详细讨论了 原型系统实现中的细节问题和技术难点。 第五章提出了原型系统的测试目标和手段，并在实现的系统原型的基础上通 过编写插件对s y n f l o o d 攻击进行检测，验证了原型系统的几个重要特性。 第六章对本文和课题研究工作进行总结，并提出未来需要做的一些工作。 上海大学硕士学位论文 坠! ! ! 坐! ! 垫! ! ! ! ! ! 坐! ! ! ! ! ! 丛! ! 望! 垫! ：! 坠 第二章技术基础 入侵检测技术和移动代理技术是本课题涉及的两个关键技术，本章就这两个 关键技术的发展、现状及该领域已有成果做出介绍和分析。 2 1 入侵检测技术 入侵检测是通过对系统数据的分析，发现非授权的网络访问和攻击行为，检 测各种企图对系统安全造成破坏的不正当行为，然后采取报警、切断入侵线路等 对抗措施阻止入侵。为此目的设计的系统被称为入侵检测系统( i n t r u s i o n d e t e c t i o n s y s t e m ) 。 2 1 1 入侵检测的发展与分类 入侵检测的研究最早可追溯到j a m e s a d e r s o n 在1 9 8 0 年的工作，他首先提出 了入侵检测的概念，将入侵尝试或威胁定义为：潜在的有预谋未经授权访问操作 信息，导致系统不可靠或无法使用的企图。1 9 8 7 年，d e d e n n i n g 首次给出了一 个实时入侵检测的抽象模型0 0 1 命名为i d e s ( 入侵检测专家系统) ，并将入侵检测 作为一种新的安全防御措施提出。1 9 8 8 年，m o r r i s 的蠕虫事件导致了许多入侵 检测系统的开发研究。1 9 8 8 年，l u n t 等人迸一步改进了d e n n i n g 提出的入侵检 测模型，该系统用于检测单一主机的入侵尝试，提出了与系统平台无关的实时检 测思想。1 9 9 0 年出现了一个新的概念：基于网络的入侵检测_ n s m 。n s m 与 此前的i d s 系统最大的不同在于它并不检测主机系统的审计记录，它通过在局域 网上主动地监视网络信息流来追踪可疑行为。1 9 9 1 年，n a d i r 与d i d s 提出了 搜集和合并处理来自多个主机的审计信息以协同检测一系列主机的安全状况， 1 9 9 4 年，普杜大学的m a r kc r o s b i e 和g e n es p a n f f o r d 提出使用自治代理来提高 i d s 的可伟缩性、可维护性、效率和容错性。1 9 9 5 年以后出现_ 许多不同的新的 i d s 研究方法，包括将神经网络、遗传算法、免疫系统、数据挖掘等技术应用到 i d s 系统中来建立智能i d s 。近年来，适用于大规模复杂网络鸽分布式入侵检测 技术成为了另一研究热点。 目前入侵检测主要有两种分类方法i ：根据数据源分类和根据分柝方法分 类。 入侵检测系统根据其数据来源可以分为两类：基于主机的入侵检测系统和基 于网络的入侵检测系统。 上海大学硕士学位论文 丛! ! ! 坠g ! ! ! ! ! ! ! ! ! ! ! 塑! ! ! ! ! ! g ! ! ! 竺! ! ! ! ! ! 堕 基于主机的入侵检测系统将检测模块驻留在被保护系统上，通过提取被保护 系统的运行数据进行入侵分析来实现入侵检测的功能。基于主机的入侵检测系统 具有检测效率高、分析代价小、分析速度快等特点，能够迅速并准确地定位入侵 者，并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。基于主 机的入侵检测系统存在的问题是：首先它在一定程度上依赖于系统的可靠性，它 要求系统本身应该具备基本的安全功能并具有合理的设置，然后才能提取入侵信 息。即使主机进行了正确的设置，对操作系统熟悉的攻击者仍然有可能在入侵行 为完成后及时地将系统日志抹去，从而不被发觉；并且主机的日志能够提供的信 息有限，有的入侵手段和途径不会在日志中有所反映，日志系统对有的入侵行为 不能做出正确的响应。例如利用网络协议栈的漏洞进行攻击；通过p i n g 命令发 送大数据包，造成系统协议栈溢出而死机，或是利用a r p 欺骗来伪装成其他主 机进行通信，这些手段都不会被高层日志记录下来。在数据提取的实时性、充分 性、可靠性方面基于主机日志的入侵检测系统不如基于网络的入侵检测系统。 基于网络的入侵检测系统通过网络嫉视来实现数据提取。在i n t e m e t 中，局 域网普遍采用i e e e 8 0 2 3 协议。正常情况下网络上的网卡表现为只关心与本机有 关的数据包，但是将网卡的接收模式进行适当的设置后就可以改变网卡的过滤策 略，使网卡能够接收经过本网段的所有数据包，无论这些数据包的目的地址是否 是该主机。网卡的这种接收模式被称为混杂模式。目前绝大多数网卡都提供这种 设置，因此，在需要的时候，对网卡进行合理的设置就能获得经过本网段的所有 通信信息，从实现网络监视的功能。在其他网络环境下，虽然可能不采用广播的 方式传送报文，但目前很多路由设备或交换机都提供报文监视功能。 网络监视具有良好的特性：理论上，网络监视可获得所有的网络信息数据， 只要时间允许，可在庞大的数据堆中提取和分析需要的数据；可对一个子网进行 检测，一个监视模块可监视同一网段的多台主机网络行为；可从底层分析开始， 对基于协议攻击的入侵手段有较强的分析能力。网络监视的主要问题是数据量过 于庞大并且它难于结合操作系统特征来对网络行为进行准确的判断。 入侵检测系统根据其分析方法可以分为两类：误用检测和异常检测。 误用检测型i d s 分析系统的活动，发现那些与被预先定义好了的攻击特征相 匹配的事件或事件集。由于与攻击相对应的模式叫特征，误用检测往往被叫做基 于特征的检测。在目前的商业产品中误用检测最通常的形式是将每一个攻击事件 的模式定为一个独立的特征，当然这种专家特征库存在的主要问题是攻击特征库 的维护和攻击特征匹配搜索问题。当然，还有误用检测使用更为复杂的方法( 如 基于状态的分析技术，它能通过使用单个特征来发现一组攻击；如状态转换技术， 它能通过状态的转换检测快速准确地发现攻击) 。 误用检测型i d s 的优点：能够十分有效地检测到攻击，而不易产生误警信息： 上海大学硕士学位论文 ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! 坐! ! ! ! ! ! g ! ! ! 旦! 生! ! 坐： 能够迅速可靠的诊断特定攻击工具和攻击技术，这能够帮助管理人员优先考虑对 策；误用检测i d s 易于被普通的网络管理人员使用而非网络安全专家使用。同时 也存在如下的不足：只能检测出那些已知的攻击，因此，需要不断地更新它们使 用的攻击特征库检测新的攻击；对变形的攻击的检测似乎无能为力，虽然基于状 态的误用检测器可以克服这一局限，但目前可能因为研究的不够成熟，而在商业 产品中没有被使用。 异常检测型i d s 识别主机或网络中异常的或不寻常行为。它们假设攻击与正 常的( 合法的) 活动有大的差异来识别攻击。异常检测首先收集一段时期正常操作 活动的历史数据，再建立代表用户、主机或网络连接的正常行为轮廓，然后收集 事件数据并使用一些不同的方法来决定所检测到事件活动是否偏离了正常行为 模式。 基于异常检测的i d s 具有如下的优点，在没有详细的特定知识条件下，可以 检测出攻击发生的症状；产生的信息可以作为误用检测器的特征输入信息。基于 异常检测的i d s 存在如下的不足：由于不可预测的用户行为和网络，可能产生大 量的误警信息；需要有关系统时间记录扩展的“训练集”，以便特征化正常的用 户模式。 2 1 2 通用入侵检测框架 目前大部分的入侵检测系统大部分都是独立研究与开发的，不同系统之间缺 乏互操作性和互用性。一个入侵检测系统的模块无法与另一个入侵检测系统的模 块进行数据共享，在同一台主机上有两个不同的入侵检测系统无法共存，为了验 证或改进某个部分的功能就必须重新构建整个入侵检测系统而无法重用现有的 系统和构件，这对入侵检测系统的发展造成了极大的障碍。面对这样的情况，入 侵检测系统和它的构件之间共享这种类型攻击信息是十分重要。共享让系统之间 可能即将来临的攻击发出警报。为了实现这样的目标，i d s 系统定义好共享信息 的接口。为此，s s t a n i f o r d c h e n 等人就提出通用的入侵检测框架【l 2 j ( c o m m o n i n t r u s i o nd e t e c t i o nf r a m e w o r k ) 。这种类型攻击入侵检测系统的标准c i d f ， 就是为了解决不同入侵检测系统的互操作性和共存问题而提出的入侵检测的框 架。c i d f 主要有3 个目的：i d s 构件共享，一个i d s 系统的构件可以被另外一 个i d s 构件使用：数据共享，通过提供标准的数据格式，使得i d s 中的各类数 据可以在不同的系统之间传递并共享：完善互用性标准以及建立一套开发接口和 支持工具，以提供独立开发部分构件的能力。 一个i d s 构件模块可以和若干本地i d s 系统或其他i d s 的构件模块结合 实现i d s 功能，一个系统中可安装不同的i d s 系统，而不会产生冲突。对于开 6 上拇大学硕士学位论文 ! ! ! ! ! ! ! g ! ! ! ! ! ! ! ! ! 型! ! ! ! ! ! ! g ! ! ! 旦! ! ! ! ! 坐： 发者来说，只需要使用开发接口和支持工具来实现他所设计的那一部分构件模 块以验证其设计，而不用为了验证自己的某些想法去设计整套i d s 系统。 c i d f 主要是通过定义数据格式和数据交换接口来实现其目标，在实现这些 目标时并没有对i d s 系统的体系结构进行任何约束，也没有限制他们的实现所采 用的编程语言和依赖的操作系统。 首先，它根据i d s 系统的普遍需求以及现有的i d s 系统的结构，将i d s 系统 的构成划分为5 类构件：事件构件，分析构件、数据库构件，响应构件和目录服 务构件中( 1 ) 事件构件：进行信息收集的构件，应该具备一定的数据过滤功能， 之所以称为事件构件是因为该构件的输出就是事件；( 2 ) 分析构件：分析事件数 据，以及其他各构件的数据信息，根据数据分析确定应该采取的行动：( 3 ) 数据 库构件：对系统各个阶段的数据进行管理，在i d s 系统中，数据量很大，数据的 动态性也很强，同时因为考虑到系统的处理层次需要将数据用多种形式缓存，所 以必须有一个数据库构件来缓存数据，( 4 ) 响应构件：对于分析构件，响应构件 根据响应策略采取不同的行动。这4 类构件的关系如图2 1 所示。请注意，这里 的划分是功能划分，而不是模块划分，在实际实现中事件构件可以是多个构件， 而分析构件可能包括事件分析构件和指令分析构件，这种划分是具有通用性的。 响应单元 r e s p o n s eu n i t 事件分析器j输出：j 存储事件 事件产生器 e v e n tg e n e r a t o r 事件数据库 e v e n td a t a b a s e 图2 - 1c i d f 模型 c i d f 定义构件的主要目的是为了制定构件之间交换数据的格式，这种格式 被称为通用入侵检测对象( g i d o g e n e r a l i z e di n t r u s i o nd e t e c t i o no b j e c t ) ，c i d o 对 象将所有需要交换的数据类型统一起来，无论是审计记录，还是响应指令，都必 须包装在g i d o 中进行传递和交换，g i d o 中设置s i d 项来标识对象中传递的信 息类型，这样在不同i d s 构件之间就可以采用标准的g i d o 格式交换数据。g i d o 具有非常好的扩展性，只要增加一项新的s i d 定义，就可以产生一项新的g i d o 的数据类型。 7 上海大学硕士学位论文 ! 皇! ! ! ! ! g ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! 型! 尘! ! ! 塑 2 1 3 入侵检测技术现状及发展趋势 自从1 9 8 7 年d e n n i n g 提出了实时入侵检测的抽象模型i d e s 以来，国外很多 学者在这个领域作了大量的研究工作，出现了大量入侵检测的研究系统与商业产 品，其中以基于网络的入侵检测系统为主，这些系统在保障信息网络安全方面发 挥着重要的作用。 与国外入侵检测产品市场的蓬勃发展相比较，国内入侵检测技术仅仅停留在 研究和实验样品( 缺乏升级和服务) 阶段，或者是防火墙集中成较为初级的入侵 检测模块。为了提高信息系统的防护能力，我国应尽快填补这方面的空白。 下面介绍几种有代表性的入侵检测系统： i s s 公司的r e a l s e c u r e 。r e a l s e c u r e 是应用最广的商用入侵检测系统，它将基 于网络和基于主机的入侵检测技术结合起来，是集成化i d s 的典范，并具有友好 的用户管理接口。目前r e a l s e c u r e 准备结合基于主机的检测能力还有趋势分析和 关联数据库来加强检测能力。 n f r 公司的n e t w o r k f l i g h tr e c o r d e r 。n f r 具有一个强大的过滤器编程语言， 称为n c o d e ，被设计用作数据包的分析。过滤器用这种语言编写，并被编译成 字节码，由执行引擎来解释。通过使用n c o d e 语言，用户可以把误报警降低到 一个可接受的程度，这是其他许多系统无法做到的。 c i s c o 公司的n e t r a n g e r 。n e t r a n g e r 最大的特点是它将入侵检测技术集成到 c i s c o 路由器或交换机中，赢得了实时处理速度，而且它的检测器的能力非常强 大，它是当前性能最好的i d s 之一。缺点是依赖o p e n v i e w 平台，这在一定程度 上影响了它的灵活性，且价格昂贵。 a x e n t 公司的n e t p r o w l e r 。n e t p r o w l e r 是一种动态的网络入侵检测解决方案， 对网络上的信息包进行迅速的检测，并据此来确定、记录和终止未经认证的入侵 信息包。n e t p r o w l e r 采用先进的“状态化的动态特征检测”( s d s i ) 专利技术检测 网络交通状态，确定潜在的破坏行为。 另外，本文还要推荐一个目前能够得到的较好的公开源代码的网络入侵检测 系统s n o n 。尽管s n o r t 在实现上没有高深的检测策略，但是它给我们提供了 一个非常优秀的公开源代码的入侵检测系统范例。我们可以通过对其源代码的分 析搞清入侵检测系统的工作原理和工作流程，并在此基础上添加自己的想法和设 计。本课题中也利用了s n o r t ，在s n o r t 的基础上添加了一些特定的功能作为信息 收集引擎。 目前入侵检测技术有以下几个发展趋势【1 3 】： ( 1 ) 智能化入侵检测。入侵检测系统的核心问题是系统的分析能力。应该使入 侵检测系统分析更智能化。未来的入侵检测系统应该能够进行基于事件语义而不 上簿大学硕士学位论文 ! ! ! ! ! ! ! g ! ! ! ! ! ! ! ! ! ! 坐! ! ! ! 坚睦! ! 望! ! ：! ! 些z 是基于事件语法的检测。这种方法弥补了当前在安全政策和检测政策之检测差 距。例如，给定一个语义检测引擎，你将告诉入侵检测系统去“检测所有的违反 访问控制的访问”，那么入侵检测系统就会去做而不管被检测的系统使用的是什 么平台、什么协议或什么数据类型。这种类型的操作将是对当前的检测状态的一 个极大的改进，在当前的检测中，检测目标需要复杂的、特定的与操作系统相关 的检测特征。 ( 2 ) 分布式入侵检测。随着网络攻击手段向分布式方向发展( 如目前出现的分 布式拒绝服务攻击d d o s ) ，且采用了各种数据处理技术，其破坏性和隐蔽性也 越来越强。相应的，入侵检测系统也在向分布式结构发展，采用分布收集信息、 分布处理、多方写作的方式，将基于主机的i d s 和基于网络的i d s 结合使用， 构筑面向大型网络的i d s 。 ( 3 ) 协作式入侵检测系统。分布式入侵检测系统中的一个关键技术是协作式入 侵检测技术。协作包括：同一系统中不同入侵检测部件之间的协作，尤其是主机 型和网络型入侵检测部件之间的协作，以及异构平台部件的协作；不同安全工具 之间的协作；不同厂家的安全产品之间的协作；不同组织之间预警能力和信息的 协作。 ( 4 ) 高速网络环境下的入侵检测。截获网络的每一个数据包，并分析、匹配其 中是否具有某种攻击的特征需要花费时间和系统资源。当前的网络入侵检测系统 大多能在1 0 m 的网络环境下正常运行，在1 0 0 m 的环境下已经是不堪重负了。 然而网络宽带还在不断地增大，1 0 0 0 m 以太网，光纤技术的大量应用使得网络 入侵检测系统更加难以承受了。因此，在高速网络环境中进行入侵检测是当前迫 切需要解决的问题。 ( 5 ) 基于硬件的入侵检测。可能发生的另一个趋势就是硬件版本的入侵检测系 统和安全网络工具箱集成在一起。这种设备将定位于家庭市场和小企业市场，以 使客户能够处理与持续地连接到i n t e r a c t 上相关的问题。集成的安全和网络工具 箱可能会包括网络接口硬件( 保护集线器和路由) 、防火墙、连接加密器、w e b 服务器和其他用来加强更快更安全连接的功能。 2 2 移动代理技术 移动a g e n t 是- - 1 7 新兴技术，面世的时间较短，而且涉及到相当多的学术领 域，所以迄今为止尚没有一个关于移动a g e n t 的完整且恰当的定义。一般认为， 移动a g e n t 是一种独立的计算机程序，它可以将自己的过程代码、数据和控制状 态打包，自主地在异构计算机网络环境中，按照一定的规则移动，寻找合适的计 算资源、信息资源或软件资源，利用与这些资源同处一台主机或网络的优势处理 9 上海大学硕士学位论文 ! ! ! ! ! 坐! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! 旦! ! ：! ! 坐! 或使用这些资源，代表用户完成特定的任务，并可根据需要生成子a g e n t ，子 a g e n t 具有同父a g e n t 相同的性质，a g e n t 之间彼此独立工作或相互合作完成任 务求解【1 4 1 。 2 2 1 移动代理的特点 移动a g e n t 是一种特殊的a g e n t ，它除了具有a g e n t 的基本属性以外，移动 性是其最重要的特点，它能够以一种自治的方式从一个主机平台通过网络移动到 另外一个主机平上运行，并根据需要克隆或生成子a g e n t ，子a g e n t 具有同父 a g e n t 相同的性质。移动a g e n t 的主要特点有： ( 1 ) 移动性：移动a g e n t 可以在异构网络和分布式计算机环境中自主、自动地 迁移，携带并传递信息或寻找适当的信息资源，进行就地的信息处理，代表用户 完成信息传递、数据和知识发现、信息变换等多种任务，而移动a g e n t 自身的内 部状态保持不变。 ( 2 ) 自治性：这是a g e n t 的基本特性，即a g e n t 可以控制它自身的行为，这种 行为一般是目标引导的、主动的和自引导的。a g e n t 能够在没有人和其它a g e n t 的直接干预下运行，其行为应该是主动、自发的，根据目标、环境等要求，a g e n t 应能对自己的短期行为做出规划，应该有自己的目标和意图。 ( 3 ) 跨平台性：分布式计算平台之间，往往从硬件到软件都是异质的，由于 移动a g e n t 一般独立于特定的主机和传输层协议，而仅仅依赖于它们的执行环 境，因而移动a g e n t 可以支持异构计算机软件、硬件环境，能进行无缝的系统集 成，能进行异步通讯和计算。 ( 4 ) 分布和协作性：移动a g e n t 提供了一个独特的分布式计算体系结构，为了 完成某项任务，用户可以创建多个移动a g e n t ，将它们同时在相同或不同的节点 上运行，可将单一节点的负荷分散到网络的多个节点上，使小系统具有处理大规 模、复杂问题的能力，a g e n t 之间良好、有效地工作，可以大大地提高多a g e n t 系统的性能，共同完成任务目标。 ( 5 ) 降低网络通讯费用：传送大量的原始信息不但费时还容易造成网络阻塞， 如果将移动a g e n t 移动到信息存储的地方，进行局部搜索和选择后，将选中的信 息通过网络传送给用户，会大大减少远程计算机网络的连接费用。即将计算移往 数据，而非将数据移往计算，减少网络的数据通信量。 总之，移动a g e n t 独特的对象传递思想和卓越的特性给分布式系统带来了巨 大的革新，也对传统软件工程思想带来了巨大的冲击。 i o 上海大学硕士学位论文 坠! ! ! ! 堕! ! ! ! ! ! ! ! ! 坐! ! ! ! ! ! g ! ! ! 型! ! 坚型壁 2 2 2 a g i e t 概述 a g l e t 是由i b m 日本公司用纯j a v a 开发的移动a g e n t 技术，并提供了实用的 平台a g l e tw o r k b e n c h ，让人们开发或执行移动a g e n t 系统。到目前为止，a g l e t 是最为成功和全面的系统。这主要表现在：它提供一个简单而全面的移动a g e n t 编程模型；它为a g e n t 问提供了动态和有效的通信机制；它还提供了一套详细而 且易用的安全机制。a g l e t 这个字是由a g e n t 与a p p l e t 两个字所合成的，简单地说 就是具有a g e n t 行为的j a v aa p p l e t 对象；但可随时暂停正在执行的工作，而后整 个a g l e t 可被分派到另一个机器上，重新启动执行任务0 因为a g l e t 是线程，所 以不会消耗太多的系统资源。以下将介绍a g l e t 的系统框架、a g l e t 对象模型、 a g l e tw o r k b e n c h 与软件包( p a c k a g e ) 、a g l e t 设计样式与应用开发以及a g l e t 安 全性。 由于a g l e t 优异的设计和简单易用的特点为研究开发提供了方便，因此本课 题的研究中采用a g l e t 作为代理开发平台。以下就a g l e t 平台做一下简要的介绍。 2 2 2 1a g l e t 系统框架 a g l e t 的系统框架如图2 2 所示。由图中可以看出a g ：e t 的执行分为若干段。 首先当一个正在执行的a g l e t 想要将自己送到远端时，会对a g l e tr u n t i m e 层发 出请求；接着a g l e tr u n t i m e 层把a g l e t 状态信息与代码转成序列化( s e r i a l i z e d ) 的 字节数组；这时如果请求成功时，系统会将字节数组传送至a t c i ( a g e n tt r a n s p o r t a n dc o m m u m c a a o ni n t e r f a c e ) 层处理，此层提供可使用的a t p ( a g e n tt r a n s f e r p r o t o c 0 1 ) 等接口，在此a t p 为个简单的应用层协议，如图2 - 3 所示。之后，系 统会将字节数组附上相关的系统信息，如系统名称以及a g l e t 的i d 等，并以比特 流方式通过网络传至远端机器。远端机器利用a t c i 层提供的a t p 接口接收到传 来的字节数组及系统信息，然后a g l e t r u n t i m e 层对字节数组反序列化，得到a g l e t 的状态信息与代码，此时a g l e t 便可在远端机器上执行。 上海大学硕士学位论文 ! ! ! ! ! ! ! g ! ! ! ! ! ! ! ! ! 型! ! ! ! ! ! ! 韭! ! 旦! 坐! ! 坐! 图2 - 2 a g l e t 系统框架 d i s p a t c h 派遣。 m e s s a g e 消息 a t p f e t c h 提取 a t p 协协 议议 1 r e s p o n s e 响应 1 r e t r a c t 召回 2 2 2 2a g l e t 对苏模型 图2 3 a t p 协议 a g l e t 系统首先提供一个容器( c o n t e x t ) 来管理a g l e t 的基本行为：如创建 ( c r e a t e ) a g l e t 、复制( c l o n e ) a g l e t 、分派( d i s p a t c h ) a g l e t 到远端机器、召回( r e t r a c t ) 远端的a g l e t 、暂停( d e a c t i v e ) a g l e t 、唤醒( a c t i v e ) a g l e t 以及清除( d i s p o s e ) a g l e t 等。 a g l e t 与a g l e t 之间的通信，可用消息传递的方式来传递消息对象。此外，基 于安全上的考虑，a g l e t 并非让外界直接存取信息，而是透过一个代理( p r o x y ) 提供相应的接口与外界沟通，如图2 4 所示。这样做还有一个好处，即a g l e t 的 上海大学硕士学位论文 ! ! ! ! ! 坐! ! ! ! ! ! ! ! ! 型! ! ! ! ! ! ! 鲍! ! 坐! ：! 堕生 所在位置会透明化，也就是a g l e t 想要与远端的a g l e t 沟通时，只要在本地主机 的容器中产生对应远端a g l e t 的代理，并与此代理沟遁即可，不必直接处理网络 连接与通信的问题。 圈2 - 4 a g l e t 的通信 2 2 。2 。3a g l e t w o r k b e n c h 及a g l e t 软件包 a g l e tw o r k b e n c h 是一可视化环境，它被用来建立使用移动a g e n t 的网络应用。 目前提供的工具包包括以下几个方面。 移动a g e n t a g l e t 框架：提供a g l e t 的基本系统框架。 a t p ：提供a g e n t 传输协议。 t a z z a ：可视化地开发应用所需的个性化移动a g e n t 。 y d b c ：用于访问d b 2 数据库。 j o d a x ：用于访问单位的数据。 t a h i t i ：可视化a g e n t 的管理界面，让使用者方便的监控和控制a g l e t 的 执行。 f i j i ：通过w e b 上的f i j ia p p l e t s 在客户w e b 浏览器上执行a g l e t c o n t e x t ， 以使实现产生、分派、召回a g l e t 的功能。 以下列出a g l e t 的一些软件包。 c o m i b m a g l e t ：这个软件包定义a g l e t 接口a g l e t c o n t e x t 、a g l e t p r o x y 、 m e s s a g e m a n a g e r 以及类a g l e t 、a g l e t l d 、a g l e t l n f o 、a g l e t t u b 、f u t u r e r e p l y 、 m e s s a g e 和r e p l y s e t ，提供管理a g l e t 容器、代理以及信息的发送和接收 的常见函数。 c o m i b m a g l e t e v e n t ：包括c l o n e 、m o b i l i t y 、p e r s i s t e n c y 三种l i s t e n e r 接 口，其中c l o n e 用于复制a g l e t ；m o b i l i t y 用于分派或召回a g l e t ；p e r s i s t e n c y 用于暂停或唤醒a g l e t 。此软件包实现了对象模型中的生命周期。 c o r n i b m a g l e t s y s t e m ：主要提供控制c o n t e x t 的接1 2 1c o n t e x t l i s t e n e r 以 及管理a g l e t 运行层的一些函数。 c o m i b m a g l e t s u t i l ：包含一些公用的类，如a g l e t a u d i o c l i p 和 a g l e t l m a g e d a t a 。 i m a g e c o m p o n e n t 和u t i l s ：此软件包提供有效管理音频、图像的函数。 上海大学硕士学位论文t ! !