（计算机系统结构专业论文）基于移动代理的入侵检测安全体系结构的设计与分析.pdf

华中科技大学硕士学位论文 摘要 ， fi d s 是保护网络安全的重要工具，因此也就成为很多入侵者攻击的首 选目标。i d s 必须能够抵御对它自身的攻击，特别是拒绝服务 ( d e n i a l o f - s e r v i c e ) 攻击。健壮性是i d s 系统的一个重要指标。当前流行 的商用i d s 大都采用等级式结构，该结构的关键节点( 非叶节点) 容易受 到攻击，而且一旦被攻垮，对整个体系而言是致命的。，如何提高等级式结 、 构的关键节点的健壮性是一个富有挑战性的工作。y 基于移动代理的企业级入侵检测体系结构( e m a i d a ，e n t e r p r i s e m o b i l ea g e n ti n t r u s i o nd e t e c t i o na r c h i t e c t u r e ) 能提高等级式入侵检 测系统的安全性。e m a i d a 分析了等级式入侵检测系统，将入侵检测部分划 分为管理器( 非叶节点) 、主机主体、l a n 主体三种入侵检测组件。用移动 代理封装等级式入侵检测系统的管理器；用企业网络一般的拓扑结构将管 理器隐藏在企业通信子网中：对管理器与主体通信过程提出了一种建立在 u d p 基础上的消息传递协议( m d p ) 来隐蔽管理器的位置，提升管理器的安 全性：同时将保证消息在链路上传输的完整性、安全性；再利用恢复管理 器的方法来保证管理器遭受攻击后i d s 系统能尽快恢复正常工作的能力。 每次安全地产生会话密钥使得m d p 协议的安全性得到保障。 针对e m a i d a 自身的安全隐患，提出了将h r 网络安全系统与e m a i d a 联动，有效地进行了互相保护。 分析了e m a i d a 的安全性、健壮性、灵活性和扩展性。e m a i d a 能够明 显地提高等级式入侵检测系统的安全水平。 关键词：移动心，入霞捡齑鑫系，消息蓓香谤议，鲁喜藿 一 i 华中科技大学硕士学位论文 a bs t r a c t i d si st h ei m p o r t a n tt o o lt o p r o t e c tn e t w o r ks e c u r i t y ，s o i ti sa l s ot h e p r e f e r a b l et a r g e to ft h ec r a c k e r s i d sm u s td e f e n da g a i n s tt h ea t t a c ko ni t s e l f , e s p e c i a l l yd o s ( d e n i a l o f - s e r v i c e ) a t t a c k r o b u s t n e s s i so n eo ft h em o s t i m p o r t a n tg u i d e l i n e s o fi d s m o s to fc u r r e n tc o m m e r c i a li d s a d o p t t h e h i e r a r c h i c a la r c h i t e c t u r e t h i sa r c h i t e c t u r e s k e yn o d e s ( n o n l e a fn o d e s ) a r e e a s i l ya t t a c k e d ，t h ei n v a l i d a t i o no fk e yn o d e sm a yb r i n gd i s a s t e rt ot h ew h o l e i d s i ti sa c h a l l e n g e h o wt o i m p r o v e t h er o b u s t n e s so f k e y n o d e so f h i e r a r c h i c a li d s t h ee n t e r p r i s em o b i l ea g e n ti n t r u s i o nd e t e c t i o na r c h i t e c t u r e ( e m a i d a ) c a n i m p r o v e t h e s e c u r i t y o fh i e r a r c h i c a li d s e m a i d a a n a l y s t s t h e h i e r a r c h i c a li d s ，i td i v i d e st h ei n t r u s i o nd e t e c t i o np a r ti n t ot h r e ec o m p o n e n t s ： m a n a g e r ( n o n l e a fn o d e ) ，h o s ta g e n t ，l a na g e n t w r a p sm a n a g e r sw i t hm o b i l e a g e n t s ；h i d e st h em a n g e r si ns w i t c h i n gs u b n e tb yu s i n gt o p o l o g yo f e n t e r p r i s e ； u s e s m e s s a g ed e l i v e r yp r o t o c o l ( m d p ) t oh a n d l ei n t r a c o m m u n i c a t i o n b e t w e e nm a n a g e ra n da g e n tt oc o n c e a lt h ep o s i t i o no f m a n a g e r ，i m p r o v i n gt h e s e c u r i t yo fm a n a g e r a tt h es a m et i m e ，e m a i d ae n s u r e st h ei n t e g r i t y 、s e c r e c y o fm e s s a g ed e l i v e r e di nn e t w o r k e m a i d aa l s or e s u m em a n a g e ri n c a s ei ti s u n d e rf a t a la t t a c k ， t h es e c u r e p r o d u c t i o no fs e s s i o nk e ye n s u r e st h es e c u r i t yo fm e s s a g e d e l i v e r yp r o t o c 0 1 t oc o u n t e r w o r kt h eh i d d e nt r o u b l ei n s e c u r i t yo fe m a i d a ，w er e f e rt h e h - rn e t w o r ks e c u r i t ys y s t e mt oi n t e r l i n k e m a i d a ，t h r o u g hw h i c ht h e yc a n p r o t e c te a c ho t h e re f f e c t i v e l y w ea l s o a n a l y s t t h e s e c u r i t y 、r o b u s t n e s s 、a g i l i t y a n d s e a l a b i l i t y o f n 华中科技大学硕士学位论文 e m a i d a e m a i d ac a ni m p r o v e t h e s e c u r i t y l e v e lo fh i e r a r c h i c a l i d s m a r k e d l y k e yw o r d s ：m o b i l ea g e n t ，i n t r u s i o nd e t e c t i o na r c h i t e c t u r e ，m e s s a g ed e l i v e r y p r o t o c o l ( m d p ) ，r o b u s t n e s s i i i 1 概论 i n t e r n e t 网络所使用的t c p i p 协议族自身的开放性极大地方便了各 种计算机的网络互联，并直接推动了网络技术的迅猛发展。但是，由于在 早期网络协议设计上对安全问题的忽视，以及i n t e r n e t 在使用和管理上的 无政府状态，逐渐使i n t e r n e t 自身的安全受到威胁0 - 2 1 。黑客泛滥，病毒 蔓延，不良信息污染，信息间谍潜入，机要信息流失，网络的脆弱性以及 网络安全产品缺少自控权等，所有的这些都成为限制网络的瓶颈，严重的 阻碍了计算机网络的健康发展j 。 1 1 入侵检测系统的必要性和发展历史 安全专家虽然提出了很多的安全机制以增强信息安全，在很大程度上 提高了信息系统的安全，但在实践当中建立完全安全的系统根本是不可 能的。m i l l e r 给出一份有关现今流行的操作系统和应用程序研究报告，指 出这个问题【4 】。首先，软件中不可能没有缺陷：其次，要将所有已安装的 带安全缺陷的系统转换成安全系统需要相当长的时间；第三，加密技术 方法本身存在的一定问题；第四，安全系统易受内部用户滥用特权的攻 击；第五，安全访问控制等级和用户的使用效率成反比；第六，访问控 制和保护模型本身存在一定的问题。第七，在软件工程中存在软件测试 不充分，软件生命周期缩短，大型软件复杂性等难解问题。 入侵检测系统( i d s ，i n t r u s i o nd e t e c t i o ns y s t e m ) 是用来识别针对信 息系统( 包括计算机系统和网络系统) 的非法攻击的系统，包括检测外 界非法入侵者的恶意攻击或者试探，以及内部合法用户的超越使用权限 的非法行动【引。 对入侵检测系统研究发展史中的第一个重要工作是j pa n d e r s o n 在 1 9 8 0 做出的 6 1 。a n d e r s o n 指出，为了确定计算机系统安全的一些威胁，可 华中科技大学硕士学位论文 以通过分析系统中的审计日志来做到。 d o r o t h yd e n n i n g 博士在1 9 8 7 提出的入侵检测模型成为这个领域发展 中的里程碑1 7 1 。其基本思想是为用户建立和维护一系列描述用户正常使用 系统的行为特征轮廓。入侵检测系统利用这些特征轮廓来监控当前用户活 动。当一个用户的当前活动与其特征轮廓的差别超出某些预定义的边界条 件，即各项特征轮廓的门限值时，这个当前活动行为就被认为是异常的。 现今使用着的i d s 大多基于这个模型。 1 2 入侵检测系统 一般的i d s 具有监视分析用户和系统的行为、审计系统配置和漏洞、 评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自 动地收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使 用诱骗服务器记录黑客行为等功能，使系统管理员可以较有效地监视、审 计、评估自己的系统。 1 2 1 入侵检测系统的标准化问题 图1 1c i d f 组成关系图 s s t a n i f o r d c h e n 等人提出了通用入侵检测框架1 8 1 ( 英文缩写c i d f c o m m o ni n t r u s i o nd e t e c t i o nf r a m e ) 。 ( 见图1 1 ) c i d f 定义了检测体系结 一一 2 华中科技大学硕士学位论文 构、入侵描述语言规范和应用程序接口规则a c i d f 定义了i d s 的组成和构件间的相互关系。c i d f 包括事件盒 ( e - b o x ) ，分析盒( a b o x ) ，存储盒( d b o x ) ，和对抗措施盒( c - b o x ) 四部分。 每一部分是i d s 或更大系统中的一个软件包。e b o x 采集原始事件，提供 给其它部件。事件可繁可简，但不必是攻击的证据。a b o x 根据e b o x 提 供的事件及原有的分析结果，提取有关信息，实现入侵检测。c b o x 根据 a b o x 分析的结果，在发现入侵后采取某些对抗措施。d b o x 存储e - b o x 和a b o x 的输出，以供将来使用或管理员阅读。 1 2 2 入侵检测系统的分类 根据c i d f 框架中事件生成器的数据来源可以来自主机也可以来自网 络可将i d s 分成主机i d s 和网络i d s ；根据分析引擎对事件的分析的策略 可以分为基于滥用检测模型( m i s u s ed e t e c t i o nm o d e l ) i d s 和异常检测模 型( a n o m a l yd e t e c t i o nm o d e l ) i d s ；根据对抗措施可以分为主动i d s 和被 动i d s 两大策略。 1 2 3 入侵检测系统的理想特征 我们认为理想的i d s 的应具有以下几个特征f 9 】： 1 准确性：入侵检测系统应能准确地检测入侵，由于目前的入侵检测 系统的分析策略仍然需要不断改善，实际上应该要求对于攻击事件的误报 与漏报能够控制在一定范围内。 二适应性：入侵检测系统必须能够适用于多种不同的环境，比如高速 大容量计算机网络环境，并且在系统环境发生改变，比如增加环境中的计 算机系统数量，改变计算机系统类型时，入侵检测系统应当依然能够不作 改变正肯工作。适应性也包括入侵检测系统本身对其宿主平台的适应性， 即：跨平台工怍的能力，适应其宿主平台软、硬件配置的各种不同情况。 1 华中科技大学硕士学位论文 3 实时性：入侵检测系统应能实时检测出入侵，以便及时采取对抗措 施，将入侵造成的危害减少到最少。 4 扩展性：入侵检测系统能方便的扩展到更大规模的环境中。 健壮性和可用性：首先不能向其宿主计算机系统以及其所属的计算机环境 中引入新的安全问题及安全隐患。其次入侵检测系统应具有防护遭受入侵+ 的能力。 上述特征直接影响到i d s 的实用性，其中健壮性是i d s 的一个基本的 问题。如何设计和实现一个具备上述特征的i d s 是研究的核心。 1 3 基于移动代理的入侵检测系统研究现状 代理是显示着某种自治程度的软件实体。智能代理( i n t e l l i g e n ta g e n t ) 是指人工智能领域中的能够代表使用者的利益进行复杂的决定的软件实 体【1 0 1 。移动代理( m o b i l ea g e n t ) 是一种特殊的代理。移动代理是近年来 人工智能、分布式系统的研究热点之一，它能够自动完成用户任务的程序， 可以不固定于开始运行的系统，能够自主地从网络中的一个节点移动到另 一个节点并继续运行，必要时可以进行自我复制以及生成子移动代理1 。 每一个节点上的m o b i l ea g e n t 都可以直接同服务资源进行交互，待任务完 成后再将结果集传送回源节点。一般情况下，它需要运行在特定的虚拟机 环境中，这个虚拟机环境一般叫做移动代理基础设施( a g e n t i n f r a s t r u c t u r e ) ，又称为移动代理执行环境( a g e n te x e c u t i o ne n v i r o n m e n t ) ， 本文中我们将采用后一种叫法。m o b i l ea g e n t 执行环境为每个m o b i l e a g e n t 建立运行环境、提供服务接口，并利用m o b i l ea g e n t 传输协议( a t p ) 【” 实现m o b i l ea g e n t 在网络节点间移动。m o b i l ea g e n t 在执行环境中执行， 并访问执行环境提供的服务。移动代理与普通程序的最大不同就是它可以 在运行期间在虚拟机之间迁移而无需中止程序的执行。通过在各个操作系 统中运行移动代理的虚拟机，可以将硬件和操作系统的平台细节屏蔽，使 代理获得一个统一的界面。在这个基础上，代理可以在各个平台之间e j 由 一_ 4 华中科技大学硕士学位论文 移动。由于移动代理执行环境对移动代理的支持是多样的，不同的系统有 着不同的服务支持1 3 】。鉴于j a v a 语言跨平台的特性，许多移动代理系统 就建立在j a 、，a 之上，如a g l e t l l 4 , 15 1 。执行环境提供给移动代理的通信服 务基本上可以分为消息传递1 1 6 】和代理传输两种。 正是由于移动代理有这些特点，网络安全方面的专家开始提出并探索 将移动代理应用到网络安全方面f l7 1 。将移动代理应用到网络入侵检测和反 应中有如下优点：消除网络的延时( 移动代理可以移动到目的地址进行工 作) 、降低网络负载、异步执行和自治、系统有一定的自适应性、代理可 以在异质网络中运行；也有一些缺点：移动代理的安全问题、性能、代理 的代码不能太大、难以优先获得知识、实现困难。 将移动代理应用到入侵检测方面目前有两大类应用，一种应用是利用 移动代理来封装c i d f 框架的分析盒( a 盒) 以及对抗措旌盒( c 盒) ，而 将入侵检测系统采集的数据进行分布式存放、处理。从而减小了入侵检测 系统对网络资源的占用，一定程度上提高了入侵检测系统的实时性。如黄 雷、王闽提出的一种基于移动代理的入侵检测系统【1 8 1 ，。另一种是使月i 移 动代理对入侵检测系统的薄弱环节进行封装，利用移动代理的可移动的特 性来隐蔽入侵检测系统的“软肋” 1 9 , 2 0 1 ，以达到提高入侵检测系统的侄8 壮 性的目的。必须指出的是移动代理技术本身对入侵检测系统的准确性是起 不到任回提高作用的。 1 3 i 基于移动代理的抗攻击等级式入侵检测系统 p e t e rm e l l 和m a r km c l a r n o n 提出当前流行的等级式入侵检测系统的 弱点所在t 非叶节点容易受到攻击，而且一旦被攻垮，整个系统的功能就 会受到重大影响a 因此他们提出要将非叶节点装载入移动代t 里1 2 0 l 。具体措 旖有下：1 移动代理的位置随机。2 消除中央目录服务。3 逃避恶意攻击 者。4 恢复被杀死的代理。5 重建被破坏的通信。 。 华中科技大学硕士学位论文 使用移动代理的“兄弟对”的方法来消除移动代理的中央目录服务有 很多问题需要解决，同一个移动代理是否能加入不同的“兄弟对”，如果 一个移动代理加入多个“兄弟对”，那么该移动代理在移动之前，就得向 它的兄弟们一个一个地询问，然后再移动，移动成功后再告知所有的兄 弟这些事件如何处理以及处理的效率问题，作者都没有给出一个清楚的 交代。 1 3 2 一种基于移动代理的入侵检测系统 国内也有许多这方面的探索工作。有人提出使用移动代理弥补传统的 入侵检测系统分布于独立的一个网段中、彼此协调性差的缺点，使在不同 网段中的多个系统能够联合起来，协同工作，及时发现安全问题的一个系 统i ts 。图1 2 描述了该系统的系统结构。 图1 2 一种基于移动代理的入侵检测系统的系统结构 1 4 基于移动代理的企业级入侵检测体系概述 基于移动代理的企业级入侵检测体系( e m a i d a ) 是一个适用于企业级 网络中等级式入屋检测系统的安全体系。当前企业级入侵检测系统大都采 旦等级式结构，这种结构有一定的优点，也存在一些不足，最大的弱点就 二二 华中科技大学硕士学位论文 在于非叶结点容易被攻击。针对当前大多数等级式入侵检测系统的不足， 在综合分析国内外入侵检测安全体系的现状和趋势的基础上，我们提出了 基于移动代理的企业级入侵检测体系。该体系的入侵检测部分由管理器和 主体组成。主体负责从网络上进行入侵检测数据采集和原始处理：管理器 则收集主体的信息并一层一层地就网络范围进行入侵检测。 e m a i d a 采用移动代理封装等级式入侵检测系统的管理器( 非叶结 点) ，利用企业网络的拓扑结构隐藏管理器等重要部件；并在管理器和主体 的通信中采用组播技术、u d p 基础上建立“连接”等方法来隐蔽管理器的 位置，使恶意破坏者在企业的普通子网中无法嗅探到入侵检测系统的管理 器。 通过上述伪装，管理器暴露给外界的只是一个组播地址，为了降低恶 意破坏者进行d o s 攻击取的成功的可能性，e m a i d a 采用了c i s c o 组播 安全方案【2 l 】，有效地保护了管理器。同时注意数据传输过程中的安全， 采用加密等技术进行保护。 为了防止管理器等重要部件不幸被恶意破坏者蓄意破坏，e m a i d a 采 取了各种措施进行保护并可以迅速恢复这些重要部件。 e m a i d a 很大程度上改进了企业级等级式入侵系统的安全性。具有很 好的安全性和鲁棒性；并具有相当的灵活性和一定的扩展性。我们将在第 三章中详细介绍e m a i d a 的体系结构。 7 华中科技大学硕士学位论文 2e m a i d a 的原理 2 1 分布式入侵检测体系的分析 网络系统结构的复杂化和大型化带来了许多新的入侵检测问题口“。 1 系统的弱点或漏洞分散在网络中各个主机上，这些弱点有可能被入 侵者一起用来攻击网络，而依靠单独的主机或者网络i d s 很难发现入侵行 为。 2 入侵行为不再是单一的行为，而是表现出相互协作的特点。例如分 布式拒绝服务攻击( d d o s ) 。 3 入侵检测所依靠的数据来源分散化，搜集原始的检测数据变得困难。 如交换型网络使得监听网络数据包受到限制。 4 网络传输速度加快，流量大，集中处理原始的数据方式往往造成检 测瓶颈，从而导致漏检。 基于这样的情况，分布式入侵检测系统应运而生。 2 1 1 分布式入侵检测系统体系结构 分布式i d s 系统通常由数据采集构件、通信传输构件、入侵检测分析 构件、应急处理构件和管理构件组成【2 2 l ( 参见图2 1 ) 。构件按网络配置情 况和检测需要可以安装在单独的一台主机上或者分散在网络中不同位置， 甚至一些构件的组合能够单独地检测针对本地的入侵，并提供入侵检测的 局部结果信息到入侵检测管理中心。各个构件的功能如下。 1 数据采集构件收集检测使用的数据，可驻留在网络中的主机上或 者安装在网络中的监测点，一般情况下需要通信传输构件的协作，将收集 的信息传送给入馒检测分析构件处理。 一 8 华中科技大学硕士学位论文 2 通信传输构件传递检测的结果、有待处理的数据、控制命令。 3 入侵检测分析构件根据收集到的数据，采用检测算法，对数据进 行基于特征的分析和基于统计的分析，产生检测结果、报警和应急信号。 4 应急处理构件按入侵检测的结果和主机、网络的实际情况，做出决 策判断，对入侵行为响应。 5 管理构件管理其它构件的配置，产生入侵总体报告，提供用户和 其它构件的管理接口，一般需要友好的界面，供用户查询、配置入侵检测 系统情况等。 图2 1 分布式入侵检测系统结构示意图 2 1 2 当前分布式入侵检测体系分析 下面是比较有代表性的几个分布式入侵检测系统。 2 1 2 1 等级式分布式入侵检测系统 这是当前流行的分布式入侵检测系统，尤其是商用入侵检测系统的典型体 系，如图2 2 所示。在这里，我们将非直接探测入侵检测的逻辑部件统称 管理器，采用等级式结构的好处是显而易见的，首先该体系的扩展性好： 其次，有利于层次性有效率地收集直接或者间接的数据，另外对于中心策 略的制定和执行都是非常有效的( 补充说明的是，该体系结构中，一般中 一q 华中科技大学硕士学位论文 般中心策略的制定和执行以及i d s 的反馈信息都是由根管理器所在的主机 上相应的部件完成的) 。因此有许多系统，如c i s e o 的n e t r a n g e r 、i n t e r n e t s e c u r i t ys y s t e m sr e a l s e c u r e 等都采用了这种体系。 图2 2 等级式分布式入侵检测系统结构图 非叶节点( 管理器) + 数据流 一- 命令流 叶子节点( 探测器) 然而，该体系面临的一个很大的问题就是，老练的c r a c k e r ( 恶意破 坏者) 经过一段时间的网络信息收集，容易定位和攻击该系统的管理器( 非 叶节点) ，尤其需要指出的是这种体系对拒绝服务攻击的抵抗力很弱，尤 其是根管理器，一旦被攻垮，整个系统就相当于在入侵检测和功能和防御 力上大大降级，而且。最重要的是恶意破坏者可以如法炮制层一层地将 整个i d s 系统消灭。 许多方案被提出来保护根管理器，其中比较有代表性的方案有“双机 热备式” ( 对w e b 服务器，防火墙的处理方案可以转借到对等级式入侵 检测系统的根管理器的备份上来) 1 2 3 1 ，在根管理器旁边安装一台从管理器， 随时监视根管理器的状态，一旦发现异常，从管理器就接管根管理器，并 将在分析根管理器的故障原因基础上做出新的反应，同时恢复根管理器。 需要补充说明的是：一般在设计上主管理器和从管理器的操作系统不同， 所以如果是针对操作系统的漏洞发出的攻击，那么恶意破坏者就不大可能 对新的管理器再旋故伎。 需要补充的有：该体系的数据流和命令流是有一定的方向性的，数据 j 尘遣型鳖望翌至壅! 薹奎圭墨鱼! 垄圭! 垒全! 斐堕至芏盛鱼工堑茎 l o 、10广，j 华中科技大学硕士学位论文 ：= = = ；= ；= = = # = = ；= ；= = ；= = = j 出的命令) 基本上是由上往下。这种方向性对于我们隐藏非叶子节点是有 定帮助的。如果由下往上的数据采用某种方式隐藏接收者的地址，而非 叶子节点又很少从上往下发命令或者采取某些措施使得非叶子节点的命 令发送能隐蔽发送方的地址，就可以隐藏非叶子节点。 2 ，1 2 2 基于a g e n t 的入侵检测系统模型 现有分布式检测系统大多是利用分布式构件进行数据采集，收集到的 数据最后被传送到一个处理中心，最后集中统一处理。而在无控制中心的 多a g e n t 结构中 2 4 1 。每个检测部件都是独立的检测单元，尽量降低了各个 检测部件之间的相关性，不仅实现了数据收集的分布化，而且将入侵检测 系统和实时响应分布化，在一种理想状况下实现了分布式检测的思想。图 2 3 是该体系的结构图。 图2 3 基于a g e n t 的入侵检测系磊模型 该模型是以自治a g e n t 为组织单元，其中有三类自治a g e n t ：入侵检 测a g e n t ( i n t r u s i o nd e t e c t i o na g e n t ，简称i d a ) 、通信服务a g e n t ( t r a n s m i t s e r v i c e a g e n t ，简称t s a ) 币i i 心跳检查a g e n t ( h e a r td e t e c ta g e n t ，简称 h d a ) a i d a 分布在网络系统各个位置，每个i d a 独立地检测系统或网络安全 的一个方面，有独立的数据获取方式、运行模式或可选规则库，各i d a 之 间进行相互协作，对系统和网络用户的异常或可疑行为进行检测。不同的 华中科技大学硕士学位论文 i i i d a 按照检测的环境不同，可采用不同的检测方法和技术。 t s a 是专门用于通信的a g e n t ，在每台主机上都是唯一的，它负责同 其它主机的t s a 协作，传递检测消息，但它本身不具有检测能力和控制能 力。 h d a 是a g e n t 进行自身保护和验证的专门的a g e n t ，它在每台主机上 都是唯一的。它定时检查相邻主机的t s a 和本主机内的i d a 的状态，并 向系统管理员报告异常。另外，由它提供用户接口，用户可以通过它来察 看主机中i d a 的状态，也可以通过它动态配置某些i d a 。 显然，采用这种体系，系统本身的安全性是很高的，因为它没有单一 故障点。但是，伴随着分布式的一个重要问题就是竞争决定权的问题，解 决这个问题就必然加重通信部分的负担。而且，协作本身就是很难克服的 难点，在目前的技术条件下，想真正实现全信息交互而没有中心节点代价 是相当高的。因此，即使在小型的网络中实现，这种系统的资源开销也是 非常大的。 2 1 2 3 抗拒绝服务攻击的入侵检测体系 p e t e rm e l l ，d o n a l dm a r k s ，m a r km c l a r n o n 提出了一种抗拒绝服务攻击 ( 提供那种对降低服务性能的拒绝服务攻击，而不能对f l o o d i n gd o s 攻击有 防御能力) 的入侵检测系统 2 5 1 。拒绝服务攻击是目前对分布式入侵检测系 统最有效的攻击。这种体系使用移动代理“隐藏”入侵检测器件，使得恶 意入侵者无法探测到这些器件的存在。采用的策略是入侵检测器件封装在 移动代理中，一旦发现某些攻击，这些器件就重新部署在系统中，而且， 通过减少器件之间的通信来降低暴露自己的风险。同时该系统还需要利用 网络的拓扑结构来保护自己。所有的各个主机上的i d s 部件需要相互通信， 都通过每个子网的一个i d s 网关，只要将通信内容加密、伪装，只凭网络 探测软件，恶意破坏者就很难发现该入侵检测系统的存在。图2 4 是该系 统的主机分布图。 华中科技大学硕士学位论文 图2 4 三种类型的主机和它们在域中的位置( 抗d o s 攻击i d s 系统) 该体系的提出者也指出了通信网关的引入就是一个新的单一故障点， 虽然隐蔽了入侵检测系统的关键部件，但是一旦通信网关被攻跨，入侵检 测系统仍然无法正常工作。 通过以上对几个典型分布式入侵检测系统的分析，我们可以看到：分 布式入侵检测系统是当前入侵检测系统的方向，而分布式入侵检测系统还 需要进一步解决的问题有：提高自身的效率，降低系统开销；降低管理的 复杂度；提高自身的健壮性。鉴于目前的状况我们提出了一个基于移动代 理的企业级分布式入侵检测系统，主要目的是为了提高入侵检测系统的安 全性。 2 2 移动代理及其执行环境 2 2 1 移动代理 移动代理就是程序，通常用脚本语言编写，而且能从客户端计算机发 送到服务器上去执行。它们能动态地在异质的系统和网络中运行。在迁移 中，代理的进程状态得到了保存和传递，以便于它在目的环境中继续执行 代码。 华中科技大学硕士学位论文 通常，每一个移动代理都具有状态、接口、标示符几个要素【2 引。状态 是移动代理在迁徙中必须保留的信息，以提供在新的代理执行环境上继续 运行的必要信息；通过接口，移动代理可以和其它的代理或者代理系统进 行交互；移动代理的标示符是它在该系统中的身份证，移动代理通过标示 符与其它代理进行区分。 移动代理的行为包括代理的移动、任务执行和通信，由代理运行环境 提供支持。代理的移动性使得它们能够在相关资源实体所在位置本地执行 任务，这种概念通常称为远程程序运行，而传统的客户，服务器方案中位于 不同计算机的静态组件通过远程过程调用( r p c ) 进行远程通信，因此这 两者有所不同。 2 2 2 移动代理执行环境 在硬件和操作系统之上、应用程序环境以下有一个代理执行环境 ( a e e ：a g e n te x e c u t i o ne n v i r o n m e n t ) ，代理执行环境绑定了用户接口、操 作系统功能调用和消息传递基础结构。代理的类( 通常是经过用户继承一 个通用的代理基类，自己编写特殊的应用) 的实例被作为个代理执行环 境中的进程( 或者线程) 而启动。代理执行环境将有权访问许多不同的代 理程序。移动代理可以在机器语言一级被执行，也可以在虚拟机器语言一 级被执行( 为了解决跨平台问题，一般移动代理不在机器码级别上执行) 。 当正在执行的代理进程在代理执行环境中被挂起或者新的子代理被创建 的时候，这个被挂起的进程或者被新建就绪的进程就会收集进程状态、堆 栈信息和其它的所有的外部参数，将它们封装入一个消息( m e s s a g e ) f 这 里只是描述了一种移动代理系统的实现方式，实际情况中可以根据不同的 需求进行不同的实现。在本文的2 2 3 就提出了一个完全不同的设计方案) 。 如果该进程需要移动，该消息可以被明确地发给、也可以提交给信息子系 统( 或者传输子系统) 再传送到目的服务器。服务器的代理执行环境将解 析这个消息，然后把它重建成一个可执行的进程或者线程。 华中科技大学硕士学位论文 一：= = = = = = = = = = = = = = = = = = = = = 口= = = = ；= = = = = = 一 2 2 3 移动代理系统的一种通信模型 移动代理的通信问题是移动代理系统一个很重要的方面，由于当前各 种不同需要，移动代理系统的实现也各种各样。因为代理的移动性，移动 代理系统的通信变得更加复杂。但是，大量的研究工作也在进行，些专 家提出了分布式事件消息系统【2 7 1 ( d e m s ，d i s t r i b u t e de v e n tm e s s a g e s y s t e m ) 和分布式消息传递改进算法【1 6 l 等解决方法。图2 5 是一种移动代 理系统的通信模型。 图2 5 一种移动代理系统的通信模型 在移动代理系统中有四种通信( 联系) 需要考虑： l ，移动代理一移动代理：这是最普通的通信应用，一种解决方案是： 移动代理发出的消息都由执行环境调用消息子系统处理，再通过通信基础 进行发送，接收方收到后通过消息子系统整理，将消息分发给目的移动代 理的消息队列并通知移动代理收到消息( 这里描述的也只是一种实现方式， 关于这四种通讯模式的具体实现方法有很多，基本上是根据具体的需要来 实现，读者可以参见相关文献) 。 2 。移动代理一执行环境：移动代理必须与移动代理平台联系以获得必 要的资源或者传送信息给主机上的普通应用程序，一般通过服务接口( a p i ) 来实现。 3 执行环境一移动代理：某些主机上的应用程序需要和移动代理获得 联系，都需要移动代理执行环境支持来实现。 1 5 华中科技大学硕士学位论文 4 执行环境一执行环境：执行环境之间的通信主要是为了实现移动代 理的传输或者来定位移动代理的移动的轨迹。 对于移动代理之间的通信可以采用消息传递的方法解决；而代理传输 问题一般由执行环境支持并在执行环境之间开发一套代理传输协议( a t p ， a g e n t t r a n s p o r tp r o t o c 0 1 ) 来实现。消息传递和代理传输可以在不同的基础 上实现，移动代理执行环境可以通过调用它的消息子系统和传输子系统满 足这两种需求。 2 2 4 移动代理系统的安全问题 移动代理和移动代理执行环境的关系并不是就应该相互信任的，这种 情况尤其出现在一个开放的移动代理系统中。移动代理系统的安全分为移 动代理的安全和移动代理执行环境的安全两大部份。 2 2 4 1 移动代理执行环境的安全 移动代理执行环境的安全所关注的问题是：如何防范恶意移动代理对 移动代理执行环境( 主机) 的破坏以及如何有效地接受移动代理的执行请 求并进行合理的资源分配 2 6 1 。 对于前者，可以由移动代理执行环境的解释器 2 6 】进行运行时检查来避 免许多代码执行中的安全问题：如缓冲区溢出、非法内存访问 对于后者，可以在移动代理要求执行之前进行认证。一般的严格的步 骤是：对待到来的移动代理需要进行来源鉴别；如果合法的话就要根据自 己的资源分配策略以及移动代理提出的请求分配给移动代理相应的资源。 对于移动代理的来源鉴别可以采用将移动代理与它的作者、发送者、上次 运行的执行环境信息等绑定鉴别【2 6 t 2 8 1 。签名的可信度可以由权威机构通过 一种布告栏排行榜的方式“广而告之”。经过认证以后主机( 移动代理执 行环境) 就可以根据自己的资源策略和移动代理的需求进行实际的资源分 1 6 华中科技大学硕士学位论文 配，从而达到了安全性。 这里还需要指出的一点是，对移动代理使用数字签名是为了解决系统 管理员如何信任移动代理而让其在自己管理的主机上运行的问题。数字签 名是为了将移动代理“外派”而提出的解决方案。对于一个自封闭的移动 代理系统未必要采用这种方法。 2 2 4 2 移动代理的安全 移动代理的安全要面对的问题是如何有效地防止恶意执行环境或者 恶意主机篡改甚至终止移动代理。因为当一个移动代理到达移动代理执行 环境后，它就完全在该执行环境( 该主机) 上运行，受到该执行环境( 该 主机) 的完全控制。 虽然有研究声称能够在加密执行代码的基础上对移动代理的安全提 供一定的保障29 1 ，也有学者在这移动代理安全体系进行了研究【3 们，但目 前大多数看法是：如果没有硬件的支持，无法保证移动代理本身不被篡改 或者破坏【2 6 2 8 】。当然，如果有可能的话，采用冗余的移动代理进行平行判 决，比较大多数移动代理产生的结果来发现异常的移动代理，经过长时间 比较而得出移动代理被入侵的结论或者某些代理执行环境( 主机) 被入侵 ，也是种方法。 2 3 组播 组播( m u l t i c a s t ) 的出现解决了一个主机向特定的多个接收者发送消 息的方法。1 9 8 9 年，i e t f 通过r f c i i l 2 ，定义了i n t e r n e t 上的组播方式。 下面我们将从几个方面介绍组播。 i p 组播 i p 组播【3 1 1 是指一个i p 报文向一个“主机组，的传送，包含零 个或多个主机的主机组由一个单独的i p 地址标识。主机组地址也称为c c 组 华中科技大学硕士学位论文 = ：= = = = ；= = = = = ；= ；= = = = # 播地址”，或者d 类地址。除了目的地址部分，组播报文与普通报文没有 区别，网络尽力传送组播报文但是并不保证定送达。i p 组播报文在互联 网上的转发由支持组播的路由器来处理。主机发出的i p 组播报文在本子 网内被所有主机组成员接收，同时与该子网直接相连的组播路由器会把组 播报文转发到所有包含该主机组成员的网络上。组播报文传递的范围由报 文的生存期值( t t l ，t i m e t o l i v e ) 决定，如果t t l 值等于或者小于设置的 路由器端口t t l 门限值( t t lt h r e s h o l d ) ，路由器将不再转发该报文。 组播地址i p 组播地址，或称为主机组地址，由d 类i p 地址标记。 d 类i p 地址的最高四位为“1 1 1 0 ”，起范围从2 2 4 0 0 0 到2 3 9 2 5 5 2 5 5 2 5 5 。 如前所述，部分d 类地址被保留，用作永久组的地址，这段地址从 2 2 4 0 ，0 0 2 2 4 0 0 2 5 5 。 i n t e r n e t 组管理协议( i g m p )i g m p 协议由主机成员关系协议发展 而来，目前有两个版本：i g m p v l ( r f c l l l 2 ) ，i g m p v 2 ( r f c 2 3 2 6 ) 。主 机使用i g m p 消息通告本地的组播路由器它想接收组播流量的主机组地 址。如果主机支持i g m p v 2 ，它还可以通告组播路由器它退出某主机组。 组播路由器通过i g m p 协议为其每个端口都维护一张主机组成员表，并定 期的探询表中的主机组的成员，以确定该主枫组是否存活。i g m p 消息被 置于i p 报文中传送。i g m p v 2 向前兼容i o m p v l 协议，i g m p v 2 的设备可 以接收处理i o m p v l 的消息报文。i g m p v 2 中允许路由器对指定的主机组 地址做”成员询问”，非该组的主机不必响应。如果某主机想退出，它可以 主动向路由器发送”退出主机组”消息，而不必像i g m p v l 中那样只能被动 退出。 图2 6 描述了组播协议的结构。 3 2 l 8 华中科技大学硕士学位论文 组播协议 ，一协议无关组播一- 稀疏模式( p i m - b m ) l l协议无关组播密集模式( p i m - d m ) l i距离矢量组播路由协议( d v m r p ) l l开放式组播路径最短优先( m o s p f ) l l 一有核树组播路由协议( c b t ) 广一多协议边界网关协议( m b g p ) i i多点传送源发现协议( m s d p ) l s s m 广_ i n t e r a c t 组管理协议( 三层) i g m p l i n t e r a c t 组管理协议( 二层) i o m p s n o o p i n g 6 组播协议的结构 2 3 1 利用组播在移动代理问通信 前面已经分析，由于代理的移动，传统的通信方法要做改动才能更好 地适应移动代理间通信。能否向移动代理执行环境发出组播消息，由移动 代理执行环境根据移动代理是否运行于其之上再决定是否传递? 这样就 可以减少目录服务之类的定位信息，消减系统中的单一故障点。但是这样 的移动代理系统规模不能太大，否则，一般基于u d p 实现的组播信息就 很难确保能到达目的地。基于组播的移动代理通信，是移动代理管理构架 的一个有