（计算机系统结构专业论文）基于移动agent的协议分析系统的研究与实现.pdf

摘要 现有的协议分析器大多采用单一点结构，在网络中的一台主机上搜集并分析数据，不可避免地出 现监控范围过小的问题，本文在深入理解移动a g e n t 工作机制的基础上，利用a g e n t 的移动性和自主 性实现了分布式协议分析系统，解决了上述问题。 移动a g e n t 技术是分布式计算技术和人工智能技术相结合的产物，它完全不同于传统分布式应用 的客户朋& 务器模式，为在低带宽、易产生网络拥塞的低质量网络环境下开发网络应用程序提供了新的 途径。文中介绍了移动a g e n t 的基本概念和特点，m a s 的体系结构，在此基础上对比分析几种分布式 计算技术和相关技术，包括各种技术的特点和优缺点，使得对移动a g e n t 技术的理解更为清楚。 a g l e t 是目前最常用的移动a g e n t 平台，它提供了一个简单而全面的移动a g e n t 编程模型，为a g e n t 间提供了动态和有效的通信机制和一套详细且易用的安全机制。本文介绍了a g l e t 的系统框架、生命 周期、通信模型和安全性、互操作性，并概述了a g l e t 的设计样式。 本论文研究的是一个协议分析系统，于是文中介绍了协议分析器的概念。此外，在协议分析的过 程中需要清楚地了解各种协议，于是文中列出了几种主要协议的数据单元格式。 在对相关理论进行研究和分析的基础上，在i b m 的a g l e t 平台上开发了m y v i e w 系统，设计并实 现了监测模块、协议分析模块、主管理模块、安全模块、配置模块等五个模块。系统利用移动a g e n t 能获取一个或多个远端主机节点上的数据包，扩大了监控的范围。论文还对系统进行了分析和测试， 并与u l t r a n e t w o r ks n i f f e r 进行了比较。最后论文对未来的工作做了总结和相关的展望。 关键词：移动a g e n t ，协议分析，分布式，a g l e t 平台，监测 a b s t r a c t m o s te x i s t i n gn e t w o r kp r o t o c o la n a l y s i ss o f t w a r e sa r eb u i l ti no n eh o s tt oc o l l e c ta n da n a l y s i sd a t a i t w i l lc a u s e st h et h es m a l lr a n g eo fm o n i t o r i n g o nt h eb a s i so ft h er e s e a r c ho nt h em e c h a n i s mo ft h em o b i l e a g e n t ，t h et h e s i sp r o p o s e sad i s t r i b u t e dp r o t o c o la n a l y s i ss y s t e mu t i l i z i n gm o b i l ea g e n tt e c h n o l o g y m o b i l ea g e n tt e c h n o l o g yi st h eo u t c o m eo ft h ec o m b i n a t i o no fd i s t r i b u t e dc o m p u t i n ga n da r t i f i c i a l i n t e l l i g e n c e w h i c hi sq u i t ed i f f e r e n tf r o mt r a d i t i o n a lc l i e n t s e r v e rm o d e l i tp r o v i d e san e ww a yt od e v e l o p n e t w o r ka p p l i c a t i o ni nt h ei n f e r i o rn e t w o r kw h i c hh a sn a r r o wb a n d w i d t ha n dh i g h - f r e q u e n c yc o n g e s t i o n t h e t h e s i sf i s ti n t r o d u c e st h eb a s i cc o n c e p t ，t h es p e c i a l i t yo ft h em o b i l ea g e n ta n dt h ea r c h i t e c t u r eo ft h em o b i l e a g e n ts y s t e m ( m a s ) i t h e nt h et h e s i sc o n t r a s t ss o m eo t h e rd i s t r i b u t e dt e c h n o l o g i e st oc o m p r e h e n dt h em o b i l e a g e n tt e c h n o l o g ym o r ec l e a r l y a g l e ti st h em o s tc o m m o np l a t f o r mo ft h em o b i l ea g e n tn o w i tp r o v i d e sas i m p l ea n do v e r a l lp r o g r a m m o d e lo ft h em o b i l ea g e n t i ta l s op r o v i d e sad y n a m i ca n de r i e c t i v ec o m m u n i c a t i o nm e c h a n i s ma n dad e t a i l e d a n de a s ys e c u r i t ym e c h a n i s m t h ep a p e ri n t r o d u c e st h es y s t e mf r a m e ，t h el i f e c y c l e ，t h ec o m m u n i c a t i o n m o d e l ，t h es e c u r i t ya n dt h ei n t e r o p e r a b i l i t yo ft h ea g l e t t h ep a p e ra l s os u m m a r i z e st h ed e s i g nm o d eo ft h e a g l e t t h ep a p e rr e s e a r c h e sap r o t o c o la n a l y s i ss y s t e m ，s oi ti n t r o d u c e st h ec o n c e p to ft h ep r o t o c o la n a l y s i s s y s t e m f u t h e r m o r e ，w en e e dk n o wk i n d so fp r o t o c o l sd i s t i n c t l yi nt h ea n a l y s i sp r o c e s s ，s ot h ep a p e r l i s t ss o m e f o r mo fc o m m o np r o t o c o l s o nt h eb a s i so ft h er e s e a r c ho nc o r r e l a t i v et h e o r i e s ，w ed e v e l o pt h es y s t e mo nt h ea g l e tp l a t f o r m w e d e s i g na n di m p l e m e n tf i v e m o d u l e sc a l l e dm o n i t o r i n gm o d u l e ，p r o t o c o la n a l y s i sm o d u l e ，m a n a g e m e n t m o d u l e ，s e c u r i t ym o d u l ea n dc o n f i g u r a t i o nm o d u l e t h es y s t e mc a ng e td a t ap a c k e t sf r o mo n e o rm o r eh o s t s u s i n gt h em o b i l ea g e n tt oe x p a n dt h er a n g eo fm o n i t o r w ea l s oa n a l y s ea n dt e s tt h i ss y s t e ma n dc o m p a r ei t w i t ht h eu l t r an e t w o r ks n i f f e r a tl a s t ，t h ep a p e rs u m m a r i z e sa l lw o r k sd o n ea n dm a k e sar e l a t e dp r o s p e c t k e yw o r d s ：m o b i l ea g e n t ，p r o t o c o la n a l y s i s ，d i s t r i b u t e ds y s t e m ，a g l e tp l a t f o r m ，m o n i t o r i n g i i 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得东南大学或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了 谢意。 研究生签名：一弩至煞一日 期：逝型c6 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的复 印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和 纸质论文的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权东南大学研究生院办 理。 研究生签名：孥整 导师签名： 锄d 奴 日 第一章绪论 l1 研究背景 第一章绪论 协议分析器是一种监控并检测安全及性能故障的基本方法。利用协议分析器，管理员可监控并分 析网络活动，从而主动检测并定位故障1 6 j 。 早期的协议分析器只能捕获来自单个分段的传输流，而且协议分析器必须直接连接到该分段上。 现有的交换网络包含许多分段( 每个交换端口都是一个分段) ，而且每个分段上的工作站数目非常有限。 在这类网络中，分析器在单个连接点上捕获的传输流非常少。分析器可利用如下三种方法解决单分段 限制问题：支持多路并发捕获来自不同网络接口卡的传输流、专用的远程传输流捕获代理和捕获来自 第= - - 3 y 远程代理的传输流。 在专用远程传输流捕获代理中，在特定分段上构建侦听的远程代理，然后将分组数据返还给分析 器。如果整个网络分布了多个代理，那么管理人员就能显著地扩大视野。我们可以利用移动a g e n t 这 一新型分布式计算代理技术实现这一目的。 移动a g e n t ( m a - m o b i l ea g e n t ) 是代码、数据和执行环境的封装，它可以在执行过程中在计算机 网络中自治、有目的地迁移，并且能影响外部事件，在迁移过程中能保持其状态的一致性，其实质是 分布式计算技术和人工智能技术相结合的产物。传统的分布式计算基于客户服务器架构，适用的应用 场合是有限的，移动a g e n t 技术则改变了这种传统架构，以它的新特性为目前的网络应用提供了一个 全新的解决思路和解决方案”1 。 1 ，2 研究目标 现有的协议分析器大多采用单一点结构，在网络中的一台主机上搜集并分析数据，这样就不可避 免地形成了监控范围过小的问题。现有的协议分析器为单机版，仅分析本机可以捕获的信息( 如局域 网中仅能捕获和分析本网段的信息) ，被监控的主机数和网络规模受到限制。 本论文旨在剖析移动a g e n t 技术的概念、原理及体系结构。在深入理解其工作机制的基础上，利 用a g e n t 的移动性和自主性实现分布式协议分析器系统，能够捕获流经任意一个节点的信息流，从而 可为管理员提供分析信息的便利，以更好的解决如上所述的问题。 1 3 研究内容和意义 透彻研究移动a g e n t 技术的基本原理，具有的基本组成模块及其功能，研究其为何与其它分布式 计算模式相比，更具有优势； 研究协议分析器的基本原理，网络分层协议。研究基于a g e n t 的协议分析器为何与单点或集中式 协议分析器相比较，更具有优势； 进一步深入分析移动a g e n t 平台的内部模块与实现机制，构造基于移动a g e n t 的分布式协议分析 系统模型； 学习i b m 公司的a g l e t 系统开发环境，以支撑a g e n t 在网络中的迁移和运行，利用a g l e t 系统开 放源代码，对箕架构和实现技术做深刻分析，提炼出a g l e t 的编程框架，着重于通信机制的研究。 向移动a g e n t 分配任务，使其自动迁移到目标主机中，收集管理者关心的协议数据，并当任务完 成后将结果返回主管理者，可实现在本地收集、处理数据和执行相应操作。从而达到扩大监控范 围和增强系统的灵活性等作用； 东南大学硕士学位论文 1 4 论文内容和章节安排 第一章绪论，介绍论文研究背景。简单分析现有协议分析器在应用上的不足之处，提出采用移 动a g e n t 技术支持协议分析的方案，说明论文的研究目标和意义。 第二章移动a g e n t 技术，首先简单介绍移动a g e n t 的基本概念和特点、移动a g e n t 系统的体系 结构和关键技术，接着，重点对比分析了几种分布式计算技术，包括各种技术的特点和优缺点，介绍 移动a g e n t 的应用领域。 第三章移动a g e n t 平台a g l e t ，介绍了a g l e t 的起源、系统框架、生命周期、安全性和互操作性。 然后列举了a g l e tw o r k b e n c h 的软件包并比较了几种a g l e t 的设计样式，选择出适合本系统的样式。 最后，介绍了除a g l e t 以外的其它几种移动a g e n t 平台。 第四章协议分析器，介绍了协议分析器的概念，比较了t c p i p 和o s i 两种网络体系结构，分析 了a r p 、i p 、i c i v f l l 、t c p 、l r d p 、h 1 v r p 、f t p 、t e l n e t 等协议的数据单元格式。 第五章基于移动a g e n t 系统的设计与实现，首先介绍了系统总体设计，指出系统设计的背景和 采用移动a g e n t 技术的优势，提出系统的总体框架，细化模块，并简单阐述它们的功能，接着说明了 系统实现的软硬件环境；最后介绍了系统详细设计与实现，并对系统各模块进行详细说明，对系统进 行了分析与测试。 第六章对论文进行总结性论述，提出以后的工作建议。 2 第二章移动a g e n t 技术 2 1 移动a g e n t 简介 2 1 1 移动a g e n t 的概念 第二章移动a g e n t 技术 a g e n t 的研究起源于人工智能领域，用于驻留在固定的计算机上。接收环境数据输入，模拟人类 行为和关系，进行一定的智能推理，产生合适的输出。人工智能对a g e n t 的经典定义是：a g e n t 是一 个能代表其它实体来执行动作的实体，它通过传感器感知环境，通过效应器作用于环境，映射到计算 机领域，就是能代表人或一段程序执行特定任务的系统”1 。随着i n t e r n e t 应用的逐步深入，特别是 信息搜索、分布式计算以及电子商务的蓬勃发展，人们越来越希望在整个i n t e r n e t 范围内获得最佳的 服务，渴望将整个网络虚拟成为一个整体，使a g e n t 能够在整个网络中自由移动，不再局限于单个固 定的计算机，移动a g e n t 的概念随即孕育而生。 2 0 世纪9 0 年代初由g e n e r a lm a g i c 公司在推出商业系统t e l e s c r i p t 时提出了移动a g e n t 的概念 【9 】。简单地说，移动a g e n t 是一个能在异构网络中自主地从一台主机迁移到另一台主机，并可与其他 a g e n t 或资源交互，代表用户完成特定任务的独立的计算机程序。 2 1 2 移动a g e n t 的特点 与a g e n t 相比，移动a g e n t 更加强调的是移动性，可以在异构的软，硬件网络环境中自由移动 移动a g e n t 模型如图2 1 所示。 m am i g r a t e ( 3 ) ， m 、r m i g r a t e ( 1 ) 、 m am i g r a t e ( 2 ) 图2 一l 移动a g e n t 模型 移动a g e n t 具有极大的灵活性和适应性，与现在流行的软件实体( 如对象、构件) 相比，a g e n t 的粒度( 即实体大小) 更大，智能化程度更高，更加适合于开放、动态的网络环境。我们将移动a g e n t 的特性总结如下： 移动性。移动a g e n t 通过移动到网络中另一台主机节点上工作，只是把最终结果数据传回， 使得a g e n t 直接面对所需的主机资源，较少依赖网络传输，节省了通信带宽，避免了数据传 输延迟，减少了网络延迟，并可连续移动以完成任务。 并行求解性。为了完成某个任务，用户可以创建多个a g e n t ，同时在一个或若干个主机节点 上运行，这样可以降低单个主机的负载。 东南大学硕士学位论文 自治适应性。移动a g e n t 的移动是可以根据自身需要进行选择的。移动a g e n t 带有状态，可 以根据需要自主决定在什么时刻迁移到什么主机上完成任务。移动a g e n t 可以根据任务目标、 网络通信状况等规划下一步操作，从而很好地适应环境。 异步可执行计算性。移动a g e n t 不需要统一的调度和长时问的稳定网络连接，用户创建的 a g e n t 可以在不同主机节点上异步执行，各a g e n t 之间可以相互通信协同工作，此时不需要 维持网络连接，任务完成以后把结果传回给用户。 安全性：a g e n t 无论是在本地主机节点还是移动到其它主机节点上，其运行都是受限的，保 障主机节点以及a g e n t 本身的数据完整性。 2 1 3 移动a g e n t 系统的体系结构 综合起来，从抽象意义上来说，一个移动a g e n t 系统( 姒s ) 一般包括两个部分 移动a g e n t ( m a ) 移动a g e n t 宿主环境( m a e ) 其体系结构如图2 - 2 所示： - - 相互通信一- 迁移 ，。 ， 一，7 ，、 f 鹳疗寻 g i a e ( a 1 ) i ； m a e ( a 2 ) h o s t “ i 、 、 、 图2 - 2m a s 体系结构图 其中姒是用户任务的完成体，依赖于宿主环境，只能在m a e 所提供的运行环境中执行任务，可以 通过a g e n t 传输协议( a t p ) 从一个姒e 移动到另一个姒e ，姒之间可以利用a g e n t 通信语言a c l 相互 通信或访问 i a e 提供的服务。 通常，一个姒包括四个组成部分： 代码 状态 属性 数据 代码部分实现了该姒的基本功能，定义了m a 应该完成的任务。代码可以用任何程序设计语言实 现，目前常被采用的有两类：解释性语言( 如t c l 、p e r l 等) 和j a v a 语言。a 的一个基本特性是移 动性，要求能在网络中自主移动。1 。而j a v a 作为跨平台的网络应用的程序设计语言，非常适合作为 姒的代码实现语言。 状态部分支持姒工作的延续性，姒在挂起自己并迁移到其它主机之前还要保存自身的状态信息， 以便在目的主机的宿主环境中恢复运行状态，继续执行。与之相关的还有系统运行状态，即姒代码运 行指针。 4 第二章移动a g e n t 技术 属性部分则对应该姒的相关信息( 如a g e n ti d ，a g e n t 的迁移路线，a g e n t 的创建时间，创建者， 用户安全权限等) 。通过这些属性，描述了m a 的个性特点。 数据部分指姒在某节点成功完成任务，采集到的一些有用数据信息。 在m a s 中，每个m a 都是一个任务完成体，即为完成用户指定任务的一段计算机程序，在遍历 一系列主机后，将携带采集到的数据返回源主机。在此过程中，根据在迁移前后主机上采集数据间相 关程度不同，我们将采集到的数据分为以下三种类型： 不相关数据：指m a 所采集的数据之间不相关，即在每个节点主机上采集的数据是相互独立的， 与m a 以后完成的任务无关。 p 相关数据：这类数据是指m a 在某个节点主机上采集的数据与整个任务的完成有一定的联系， 即主机d i 上采集的数据，到主机d i + 1 上需要使用的概率为p 。因此，m a 迁移必须携带p 的 数据。 全相关数据：是指m a 在下一节点主机上执行任务时必须用到以前采集的所有数据，否则m a 不 能完成其任务。 根据上述对采集数据的分类，m a 数据携带方式也可相应地做如下分类； 零数据携带：在这种方式下，m a 仅携带代码、状态、属性进行迁移，而在该节点主机上采集的 数据将直接发送回源主机。这在很大程度上减少了m a 的负载并提高了m a 传递效率。 p 数据携带：这种方式要求l - - p 数据直接发送回源主机，p 数据随m a 迁移。故m a 进行迁 移携带的内容包括：代码、状态、属性、部分数据。 全数据携带：这类似传统的m a 迁移方式，即在迁移时，携带m a 的所有内容，包括代码、状态、 属性和所有数据。这种m a 携带方式极大地增加了m a 的负载，增加了时延，浪费了带宽。 如前所述，姒s 中可将迁移的内容分为四部分：代码、状态、属性、数据，分g u 以s e g - c o d e ，s e g s t a t e ， s e g a t t r i b u t e ，s e g d a t a 来表示。一般情况下，s e g c o d e ，s e g s t a t e ，s e g a t t r i b u t e 保持不变，s e g d a t a 随运行而不断变化，我们用d a t a i 表示在d i 节点上采集的数据大小。 网络负载是网络迁移量与迁移距离的乘积之和。在正常情况下，迁移距离等于时延的倍数，即 m d ( i ，j ) = o * t d ( i ，j ) ，其中。为某一个参数，m d ( i ，j ) 表示主机i 到主机j 的迁移距离，t d ( i ，j ) 表示 主机i 到主机j 的时延。则m a 在一系列主机d = ( d o ，d n ) 上迁移的网络负载为： n 。4 4 w 巩，见，气) 2 若是- ( p 一，p ，置。) 。劓- 1 , 0 ，其中晶( 日一p ，墨一表示在两点n i 和d i l 间传 输姒带来的网络迁移量“。 下面就数据携带机制中的三种情况分别进行讨论： 1 当p = o ，即零数据携带，其网络负载为： 地“孑c 岛一且) 。置且三肘a 。1 1 ) + 品士吗。删l o ， 2 当p = u ( 0 移动a g e n t 一旦到达目的节点，a g l e t 将验证s e c i n t i t i a l 对象的合法性，并检查它是否过期。 i t i n = ( s e c i n t i t i a l ) s e c m e t h o d g e t s i g n e d o b j e c t ( i t i n e r a r y , s e c m e t h o d g e t p u b l i c k e y ( s e l l ) ) ； i f ( i t i n h a s e x p i r e d o ) t h r o wn e wr u n t i m e e x c e p t i o n ( “i t i n e r a r ye x p i e r e d ! ，； 对数据的加密和解密 在监测节点上收集的信息可以用对称的会话密钥进行加密，并用公钥加密会话密钥。 s e c r e t k e yk e y = s e c m e t h o d g e n e r a t e s e s s i o n k e y o ； p u b l i c k e yp u b k = s e c m e t h o d g e t p u b l i c k e y ( “s e u ) ； s e a l e d o b j e e ts e a l e d k e y = s e c m e t h o d s e a t s e e r e t k e y ( k e y , p u b k ) ； s e a l e d i n f o = s e e m e t h o d s e a l o b j e c t ( r e a d a l e r t v e c l n f o ，k e y ) ； 当信息传回主管理点时，信息被解密。首先用私钥解密会话密钥，然后再用会话密钥解密信 息。 p d v a t e k e y p r v k = s e c m e t h o d g e ! t p f i v a t e k e y ( “s e u , “c s t l r t o c h a r - u r a y o ) ； s e c r e t k e yk e y = s e o m e t h o d u n s e a l s e e r e t k e y ( s e a l e d k e y , p r v k ) ； r e a d a l e r t v e c l n f o = s e c m e t h o d u n s e a l o b j e e t ( s e n l e d l n f o ，k e y ) ； 通过点击查看a g e n t 列表，可以看到a g e n t 的简单状态信息，如监测a g e n t 通过认证情况，如图 5 2 6 所示。 第五章基于移动a g e n t 的协议分析系统的设计与实现 5 3 5 配置模块 图5 - 2 6 监测a g e n t 认证情况 当监测程序因某种原因崩溃时，如5 3 1 所说，交互a g e n t 或其它类型的a g e n t 会无法连接到监测 点并抛出异常，主管理模块就会认为该移动a g e n t 的迁移目标已经退出本系统，并在节点列表中删除 该节点，但是这是监测点非自身主动申请的结果。在这种情况下，当主管理点收到异常后，会派出监 测程序销毁a g e n t 来杀死崩溃的监测a g e n t ，并重新派遣监测a g e n t 到监测点进行监测，当然主管理 点的监测节点列表中将重新加入此节点名称。流程如图5 2 7 。 监测点监测程序崩溃 主管理点收到异常 i派遣销毁a g e m 杀死监测a g e m 士 l 主管理点重新派遣监测a g e n t 至监测点 0 监测点重新加入监测节点列表 图5 - 2 7 监测程序重启流程 当监测模块的程序需要升级时，主管理点不需要重新收回监测a g e n t 升级后再发送出去，我们通 过监测程序升级a g e n t 巡游到各监测点更新监测a g e n t 的程序。 移动a g e n t 的巡游路线是可事先确定的，在这当中存在着一个制定巡游计划的问题，目前已有很 多研究巡游路线的算法，根据巡游节点的各种资源参数选择巡游顺序。在本论文中，我们采用简单的 f i f 0 原则进行巡游，即根据监测节点加入的先后顺序巡游。 我们使用i t i n e r a r y 类存储巡游路线，类结构如图5 2 8 所示： 4 1 东南大学硕士学位论文 i t i n e r a r y h o s t s h ：h o s t f i s t i - i o s t 0 ：h o s l n e x t h o s t o ：h o s t h a s m o r e h o s t 0 ：b o o l e a n 图5 - 2 8i t i n e r a r y 类结构 如图5 - 2 9 所示，驻留在1 7 2 1 6 2 5 3 的监测a g e n t 已经崩溃，主管理点正派遣一个销毁a g e n t 进行 销毁，而此时巡回a g e n t 正巡回至1 7 2 1 8 1 3 1 8 9 。 5 4 系统分析与测试 图5 - 2 9 销毁a g e n t 与巡回a g e n t 状态 本系统利用移动a g e n t 的自主性和移动性实现了分布式的协议分析系统一一 修v i e w 。在系统中， 管理员可以捕获任意节点( 一处或多处) 的协议，以方便日常维护。 管理员启动两个m y v i e w 分别向节点1 7 2 1 6 1 7 6 1 9 和1 7 2 1 8 1 3 1 8 9 派遣了监测a g e n t 并驻留，如 图5 3 0 所示，在主管理点可同时显示两个监测节点的协议捕获和分析情况，图左上为1 7 2 1 6 1 7 6 1 9 节点的监测界面，图右下为1 7 2 1 8 1 3 1 8 9 的监测界面。 第五章基于移动a g e n t 的协议分析系统的设计与实现 刁io 图5 - 3 0 主管理点对两个远端节点的的协议分析情况 将本m y v i e w 系统与风禾公司的u l t r an e t w o r ks n i f f e r 同时运行进行比较。如图5 3 1 、图5 - 3 2 所 图5 - 3 1m y v i e w 的协议分析情况 东南大学硕士学位论文 图5 - 3 2u l t r an e t w o r ks n i f f e r 的协议分析情况 从上面两幅图可以看到，m y v i e w 基本达到了协议分析的要求，在m y v i e w 和u l t r a n e t w o r ks n i f f e r 上捕获到的同一u d p 包的分析数据相同。u l t r an e t w o r ks n i f f e r 的左部对应m y v i e w 的左下部，右上 部对应m y v i e w 的上部，右下部对应m y v i e w 的右下部。 在数据包捕获的过程中，m y v i e w 和u l t r a n e t w o r k s n i f f e r 获取的包数目基本相等，m y v i e w 的丢 包率约为0 0 3 。但是作为一个原型系统，m y v i e w 分析的协议种类远不如u l t r an e t w o r ks n i f f e r ，仅 能分析i p 、a r p 、t c p 、h t t p 、t e l n e t 、f t p 、u d p 等常见协议类型，分析过程中大概有1 0 一3 的包显示为u n k n o w np r o t o c o l 。 m y v i e w 系统相对于u l t r a n e t w o r ks n i f f e r 最大的优点在于可利用移动a g e n t 获取远端主机结点上 的数据包，扩大了监控的范围，而u l t r a n e t w o r k s n i f f e r 只能监控流经本机的数据包。 在m y v i e w 系统中，由于监测a g e n t 携带协议分析代码至监测节点并驻留，因此整个协议捕获与 分析的任务在监测节点处处理，主管理点仅获取交互a g e n t 所携带回来的分析好的协议数据并显示。 经测试，这种方法约减少主管理点c p u2 的负载。 另一方面，主管理点不需要获取整个数据包，而只是获取分析后的结果，从而节约了带宽。在传 统的客户朋务器模型中。程序通过网络调用远程服务器提供的操作，对返回的中间数据做进一步的处 理之后，获得最终的结果。当中间数据相对较大，且中间数据在任务结束后不再有用时，必将浪费大 量的网络带宽。当然，如果服务器提供了极其丰富的功能，也可以减少中间数据的传输。但这样的服 务器就成为复杂的、特定的过程集合，而不是简单的、通用的操作原语，这背离了现代软件工程规范 的理念。由于移动a g e n t 的任务是在对应节点上完成的，而只将最终结果带回，这必将节约大量的网 络带宽，在使用移动计算平台而网络又是低带宽、高延迟、高费用的场合这种优势更加明显。例如， 在以太网中，一个疋数据包最大为1 5 0 0 字节，如果把整个包都传回主管理点，那么所耗费的带宽是 惊人的，在本系统中，移动a g e n t 所带回的数据仅是所需要显示的2 6 - - 6 0 个字节，节约带宽约6 5 n 。 第六章论文总结与展望 6 1 论文总结 第六章论文总结与展望 本文首先说明了论文应达到的研究目标，简单分析了现有分布式计算技术，从早期的远程终端方 式到后来广泛使用的c l i e n t s e r v e r 结构体系，其应用范围对于一些新兴应用来说都具有局限性，于是 提出采用移动a g e n t 技术的方案。 移动a g e n t 技术可以说是分布式计算技术发展的结果，移动a g e n t 技术集智能a g e n t 、分布式计 算、通信技术于一体，提供了一个功能强大而开放的分布计算模式。由于移动a g e n t 具有将计算移动 到数据端的特点，可以极大减少网络上原始数据流量，此外，移动a g e n t 有利于实现负载平衡，克服 网络延迟以及动态适应环境等特点，使之很适合应用于电子商务、分布式信息检索、并行处理、网络 管理等诸多领域。文中介绍了移动a g e n t 的基本概念和特点，m a s 的体系结构，在此基础上对比分析 几种分布式计算技术和相关技术，包括各种技术的特点和优缺点，使得对移动a g e n t 技术的理解更为 清楚。 a g l e t 是目前最常用的移动a g e n t 平台，它提供了一个简单而全面的移动a g e n t 编程模型，为a g e n t 间提供了动态和有效的通信机制和一套详细且易用的安全机制。本文介绍了a g l e t 的系统框架、生命 周期、通信模型和安全性、互操作性，并概述了a g l e t 的设计样式，根据本系统的特点选用了主从样 式，从而为系统的建立打下了基础。 本论文研究的是一个协议分析系统，于是文中介绍了协议分析器的基本概念。此外，在协议分析 的过程中需要清楚地了解各种协议，于是文中列出了几种主要协议的数据单元格式。 由于现有的协议分析器大多采用单一点结构，在网络中的一台主机上搜集并分析数据，不可避免 地出现监控范围过小的问题，本文在深入理解移动a g e n t 工作机制的基础上，利用a g e n t 的移动性和 自主性实现了分布式协议分析器系统，解决了上述问题。 最后，论文介绍了基于移动a g e n t 的协议分析系统的设计思路和实现框架，整个系统由主管理模 块、监测模块、协议分析模块、安全模块、配置模块等五个模块组成，基本实现了预定的功能目标。 6 2 未来的工作 论文实现了基于移动a g e n t 的协议分析系统，作为一个原型系统，实现时做了一定的简化，还存 在着一些不足，今后主要从以下几个方面做进一步的研究和改进： 巡游策略的制定：在复杂的异构网络中，移动a g e n t 巡游策略的不同严重影响着系统的性能，本 系统是在一个实验环境下建立，于是采用了简单的f i f o 策略，如果要运用于实际，则应该制定 一个与路由和节点资源相关的巡游策略和算法。 层次化的移动a g e n t 结构：对应于网络的复杂性，可以在各个网关或路由处设置中介a g e n t ，主 管理点管理各中介a g e n t ，再由中介a g e n t 管理各监测点，形成层次化结构，使系统更易于扩展。 移动a g e n t 的智能化：移动a g e n t 是在人工智能的基础上发展起来的，具有自主学习能力，在过 滤规则方面，可以根据管理者的习惯和监测点的特点记忆规则，在迁移方面，目前系统的移动 a g e m 多是用户手动控制的，而对于一个真正智能的移动a g e n t 系统来说，a g e n t 不仅要知道如何 迁移，更应该知道什么时候迁移。 协议分析功能的扩展：协议分析是入侵检测系统的基础，我们可以把本系统扩展为入侵检测系统， 更进一步，可以扩展为功能全面的网管系统。 移动a g e n t 平台的改进：目前系统采用m m 的a g l e t s 作为移动a g e n t 平台。a g l e q s 是一个开发的 东南大学硕士学位论文 源码，我们可以在此基础上对移动a g e n t 平台进行一些修改，使之在安全和迁移策略上有所改进 并更方便的向高层服务提供a p i 。 致谢 值即将毕业之际，回首整个大学生活的点点滴滴，身边许多人默默地关心