（计算机应用技术专业论文）基于移动代理的反拒绝服务入侵检测系统模型研究.pdf

华 中 科 技 大 学 硕 士 学 位 论 文 摘要 网络在生活和商业中的应用越来越频繁和重要，但也招致了越来越严重的网 络入侵。( 分布式) 拒绝服务攻击主要用于恶意消耗目标网络或主机的系统资源， 由于其操作简单、效果显著但防御困难，已经日趋流行。该攻击常常导致网上交 易瘫痪，致使企业蒙受巨大损失，所以建立有效的预防性防御机制是目 前企业的 首要目标。 现行的防御网络入侵的系统一般采用以防火墙为主，入侵检测系统为辅。这 种防御系统，在阻止网络入侵方面起到了重要作用，但是，现行的防火墙和入侵 检测系统还有很大的缺陷，对拒绝服务攻击的防范能力严重不足。通过对现在流 行的拒绝服务攻击模式的分析， 试图找出弥补现有入俊检测系统这些不足的方法。 在寻找有效的防御拒绝服务的入侵检测机制的过程中，发现层次型分布式结 构容易被攻击者发现单一失效点，以及受害主机难以发现攻击来源。为了解决这 个问题及弥补目 前的入侵检测系统的不足，引入了一个基于移动代理的整合式入 侵检测系统m a c i d s 模型。 通过对网络流量控制( 过滤数量巨大的恶意数据包) 、跟踪攻击来源、隐藏入 侵检测代理元件等技术的学习研究和总结，以及对网络流量控制、数据包过滤、 跟踪攻击来源，及监控网络流量和主机日志文件的技术的整合，给出了荃于移动 代理的入侵检测系统ma c i d s 模型。该模型以各网域 “ 互相合作”的方式来构建 分布式入侵检测系统，并且利用移动代理容错的优点来隐藏检测代理元件、恢复 重要主机功能，经由这种结构来抵抗分布式拒绝服务攻击. 通过逻辑推理的方式加以理论分析，证明了本模型对分布式拒绝服务攻击具 有较好的抵抗能力，另外，从编写的移动代理程序也对该方法的可行性起了验证 的作用。 关健词:入侵检测系统，拒绝服务攻击，分布式，移动代理 ， 华 中 科 技 大 学 硕 士 学 位 论 文 ab s t r a c t t h e a p p l i c a t i o n o f i n t e rn e t i n p e r s o n s l i v e s a n d b u s i n e s s h a s b e e n b e c o m i n g m o r e a n d m o r e fr e q u e n t a n d i m p o rt a n t , w h i l e i t i n c u r s n o n l i c e t n e t w o r k i n t ru s i o n . t h e p u r p o s e o f ( d i s tr ib u t e d ) d e n i a l - o f - s e r v ic e a t t a c k i s t o u s e u p r e s o u r c e s o f s o m e n e t w o r k o r c o m p u t e r w i t h i l l - d i s p o s e d p u r p o s e , a n d t h e a t t a c k m e t h o d b e p r o n e t o u s e , i m p a c t e v i d e n t l y a n d b e i n v i n c i b l e , s o i t b e c o m e s m o r e a n d m o r e p o p u l a r . t h i s a t t a c k m e a s u r e u s u a l l y b r i n g s n e t w o r k i n t o p a r a l y s i s , m a k e s e n t e r p r i s e s s u f f e r fr o m f a t e f u l l o s s . s o e s t a b l i s h i n g e ff e c t u a l r e c o v e r y m e c h a n i s m s h o u l d b e t h e f i r s t a i m o f e n t e r p r i s e s n o w a c t i v e r e c o v e r y s y s t e m a g a i n s t n e t w o r k i n t ru s i o n o ft e n a d o p t s f i r e w a l l a n d i n t ru s i o n d e t e c t i o n s y s t e m . t h i s r e c o v e r y s y s t e m g a i n p r o m i n e n t e f f e c t s , b u t i t h a s m o m e n t o u s l i m i t a t i o n , i . e . i t h a s d i f f i c u l t i e s i n d e f e n d i n g d e n i a l - o f - s e r v i c e a t t a c k . b y a n a l y z i n g c u r r e n t p o p u l a r d e n i a l - o f - s e r v i ce a t t a c k m o d e , w e t r y t o f i n d m e t h o d s t h a t c a n m a k e u p t h e d e f i c i e n c y o f c u r r e n t a c t i v e i n t rus i o n d e t e c t i o n s y s t e m i n t h e p r o c e s s f or d i n g e ff e c t i v e i n t r u s i o n d e t e c t i o n m e c h a n i s m a g a i n s t d e n i a l - o f - s e r v i c e a t t a c k , w e h a v e f o u n d t h a t h i e r a r c h y d i s t r i b u t e d s t r u c t u r e h a s s i n g l e p o i n t s o f f a i l u r e , a n d t h e v i c t i m c o m p u t e r i s i n d i s c o v e r a b l e t o d i s c o v e r t h e a t t a c k s o u r c e s . f o r r e s o l v i n g t h i s p r o b l e m a n d r e m e d y c u r r e n t i d s , w e p u t f o r w a r d a n m o b i l e a g e n t - b a s e d c o o p e r a t i v e i n t ru s i o n d e t e c t i o n s y s t e m m o d e l - - - ma c i d s m o d e l b y s t u d y i n g , s u m m a r i z i n g t h e k n o w l e d g e o f c o n t r o l l i n g n e t w o r k fl a w ( f i l t e r i n g a l a r g e n u m b e r o f v i c i o u s p a c k e t s ) , t r a c i n g t h e a t t a c k s o u r c e a n d h i d i n g i n t ru s i o n d e t e c t i o n a g e n t c o m p o n e n t a n d s o o n , a n d c o l l i g a t i n g t h e s e t h e o r i e s a n d t e c h n o l o g i e s , w e c o n c l u d e a n m o b i l e a g e n t - b a s e d c o o p e r a t i v e i n t rus i o n d e t e c t i o n s y s t e m mo d e l - - - mac i ds mo d e l . t h i s mo d e l c o n s t ruc t s a d i s t r i b u t e d i n t rus i o n d e t e c t i o n s y s t e m b y c o o p e r a t i o n i n l o t s o f n e t w o r k d o m a i n , h i d e s i n t ru s i o n d e t e c t i o n a g e n t c o m p o n e n t a n d r e c o v e r s c r i t i c a l c o m p u t e r h o s t b y f a u l t - t o l e r a n t p r o p e rt y o f m o b i l e a g e n t , a n d r e s i s t s d i s t r i b u t e d d e n i a l - o f - s e r v i c e a t t a c k b y t h e o r i e s a n a l y z in g , w e h a v e p r o v e d t h i s m o d e l h a s d e fi n i t e a b i l i t y a g a i n s t 华 中 科 技 大 学 硕 士 学 位 论 文 d i s t ri b u t e d d e n i a l - o f - s e r v i c e . i n a d d i t i o n , w e d e v e l o p m o b i l e a g e n t p r o g r a m s t h a t p r o v e t h e m o d e l i s f e a s i b l e . k e y w o r d s . i n t r u s i o n d e t e c t i o n s y s t e m, d e n i a l - o f - s e r v i c e a t t a c k , d i s t r i b u t i o n , m o b i l e a g e n t 一一 一 一一门 一一一冲 一. 一一一 . 一一 ! t 堆 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下 进行的研究工作及取得 的研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他 个人或集体已经发表或撰写过的研究成果。 对本文的研究做出贡献的个人和集体， 均已在文中以明确方式标明。 本人完全意识到本声明的法律结果由 本人承担。 学 位 论 文 作 者 签 名 : 周 电 军 日 期 : -1 0 0 今 年争 ” ” 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即:学校 有权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅 和借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数 据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密口 ， 本论文属于 不保密s t . ( 请在以上方框内打 在 年解密后适用本授权书。 “j， ) 学位论文作者签名:周 畔指导教师签名: 和ra 日 期 :1 w 年 华 月 日 期 :p q年 厂 月 名日 华中 科 技 大 学 硕 士 学 位 论 文 1绪论 1 . 1课题背景 随着全球化浪潮和企业电子商务的蓬勃发展，网络技术在企业和个人生活中 的广泛应用，产业供应链对i n t e rn e t 互联网的依赖越来越深，i n t e r n e t 互联网在社 会中扮演了不可缺少的角色。但是，随之而来的网络入侵、网络攻击事件也是层 出 不穷， 严重影响了 计算机系 统的 安全性。 在2 0 0 3 年的c s i i f b i c o m p u t e r c ri m e a n d s e c u ri t y s u r v e y o 调查中 显示， 在回复调查的 企业中， 有2 5 % 的 企 业网 站 在过 去的一年中曾遭受非法入侵。由于各式的电脑犯罪，这些企业在去年一年中的损 失超过了两亿美元。 传统的计算机系统安全，多依赖于防火墙的包过滤、认证功能，以及防病毒 软件来保护。但在现今日趋复杂的黑客攻击之下，被动防御的防火墙模式已经不 能 满足 要求了。d o r o t h y e . d e n n i n g所提出的入侵检测系统( i n t r u s i o n d e t e c t i o n s y s t e m , i d s ) 的异常状况监测， 可以弥补防火墙的不足8 。结合主动式的编码加 密技术，及入侵检测系统随时监视网络状况、主机的日志，以检测出可疑、具有 危害性的网络行为或内部权限误用等情形，对系统管理员尽早提出替告，才能避 免或减少企业和个人重要信息的损失。 当 今流行的入侵检测系统是基于网 络的分布式 系统。 h e b e r l e i n 把d e n n i n g 的 模型 拓展为带有网 络安全监 视( n e t w o r k s e c u ri t y m o n i t o r , n s m ) 框架，以 及基于 以太网的流量分析(3 ) ，这又被进一步发展为结合了基于主机的 i d s和网络流量监 视的 分 布 式入 侵检测系 统( d i s t ri b u t e d i n t r u s i o n d e t e c t i o n s y s t e m , d i d s ) 14 1 。 当 今 的商 用i d s , 例如r e a l s e c u r e . c o m p u t e r m i s u s e d e t e c t i o n s y s t e m ( c m d s ) , c i s c o s n e t r a n g e r ， 都具有分布式的结构， 他们使用了基于规则的检测或统计异常的检测， 或兼而有之。 目前的分布式入侵检测系统由多数的“ 事件收集器， ，报告给少数的 “ 事件分 析器” ， 并且统合在一个集中分析管制系统中，这种分散检测、集中分析的层次型 结构，已无法应付日渐增加的具有系统性、隐秘性及互助合作性等特性的分布式 拒绝服务攻击，而拒绝服务攻击由于其操作简单、行之有效，在网络攻击中日趋 华中 科 技大 学 硕 士 学 位 论 文 留 二 二 二 二 二 二 留 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 二 留 二 二 二 二 二 二 二 令二 二 二二 二 二 二 二 二 二二 二 二二二 二二二 二二 二巴 二 二 二 二 二 二 二 二二巴 巴 二 二 二 二 二 二 二 二二 留二二 二二二 二二二二二二二二二二二二二二 流行，所占的比重也日渐增加。 然而分布式入侵检测系统( d i d s ) 已到达可扩充性的限制( 在网络中事件的产 生愈来愈多，无法用单一分析及控管组件来完成) ，例如:u c d a v i s s g r i d s , s p i - n e t , c i s c o s n e t r a n g e r , a x e n t s i n t r u d e r a l e r t , r e a l s e c u r e , n e t w o r k a s s o c i a t e s i n c o r p o r a t e d s a c t i v e s e c u r i t y , p u r d u e s a a f i d等结构， 这些层次型分 布式结构提 供组织许多安全上的效益，但是具有单一失效点( s i n g l e p o i n t s o f f a i l u r e ) 的弱点， 如果攻击者控制其中一个入侵检测主机，则网络上入侵检测系统将瓦解，那么攻 击者可以在组织内无所顾忌地找出弱点而不被发现(s ) 。要克服单一失效点的缺点， 必须更改分布式系统的组件结构。 代理 a g e n t ) 是一种在分布式系 统或协作系统中能持续自 主 地发 挥作用的计 算机实体。移动代理( mo b i l e a g e n t , m a ) 是一种自 治的程序，它能够自 主地在异 构的网络上按照一定的规程移动， 寻找合适的计算机资源才 信息资源或软件资源， ， 利用与这些资源同处一台主机或网络的优势，处理或使用这些资源， 代表用户完 成特定的任务(8 7 。将移动代理应用于分布式入侵检测系统，可以较为有效地防御 拒绝服务攻击” 。 本文的目的就在于分析拒绝服务攻击的特征，给出一个基于移动代理的分布 式i d s 模型，以期能防范( 分布式) 拒绝服务攻击。 1 . 2相关技术与国内外概况 1 . 2 . 1入侵检测系统 入侵检测系统，即时或定时的监听网络状况或主机服务，以检测出系统资源 使用的异常状况、 异常的网络包或流量、 使用者权限滥用或系统漏洞遭受攻击等， 尽早回报给管理人员处理，正可以弥补防火墙的不足之处。 而这两者的配合之下， 防火墙由入侵检测系统协助，检测出可能的攻击行为，动态的调整防火墙安全设 定，切断攻击端的连接s ) ， 可进一步强化开放式网络结构下的信息安全。 1 . 2 . 1 . 1防火墙的缺点 防火墙一般采用双层的结构，如图 1 . 1所示。第一层防火墙基于效率考虑， 通常都以 f i l t e r - b a s e d为主，直接对数据包、t c p连接进行过滤:内部的 i n t r a n e t 一， 一一一冲 一一 一一一一 2 华中科技大学硕士学位论文 流行，所占的比重也日渐增加。 然而分布式入侵检测系统( d i d s ) 己到达可扩充性豹限制( 在弼络中事件的产 生愈来愈多，无法用单一分析及控管组件来完成) ，例如：u cd a v i s ，sg r i d s 、 s p i n e t 、c i s c o sn e t r a n g e r 、a x e n t si n t r u d e ra l e r t 、r e a l s e c u r e 、n e t w o r ka s s o c i a t e s i n c o r p o r a t e d s a c t i v es e c u r i t y 、p u r d u e s a a f i d 等结构，这些层次型分布式结构提 供缀织许多安全上的效益，但是葵有单一失效点( s i n g l ep o i n t so ff a i l u r e ) 的弱点， 如果攻击者控制其中一个入侵检测圭机，则网络上入侵检测系统将瓦解，那么攻 击者可班在组织肉无所颞憨氇筏出弱点雨不被发糯。要克服单一失效点的缺赢， 必须更改分布式系统的组件结构。 代理( a g e n t ) 魑一种在分布式系统或协作系统中能持续自主地发掸作用的计 算枧实体。移动代瑗( m o b i l e a g e n t ，m a ) 是一穆彝治的程序，它能够叁差地在爨 构的网络上按照一定的规程移动，寻找合适的计冀机资源? 信息资源或软件资源， 剥髑与这些资源同处一台塞极或瞬络盼仗势，处理或使豫这些资源，代表鼹户突 成特定的任务蛳。将移动代理应用于分布式入侵梭测系统，可以较为有效地防御 拒绝服务攻走”1 。 本文的目的就在于分析拒绝服务攻击的特征，给出一个基于移动代理的分布 式i d s 模羹，鞋期辘陵蔻( 分毒式) 踅缝溅务袭毒。 1 2 相关技术与国内外概况 1 2 1 入侵检测系统 久侵稔浏系绕，帮辩躐定辩豹蕴錾潮络状况戴主瓠服务，叛捡测窭系统资源 使用的异常状况、异常的网络包域流量、使用者权限滥用或系统漏洞遭爨攻击等， 尽零西掇缭管瑾久员楚瑾，芷可绫豁於赘火墙懿不是之疑。瑟这两者静既台之下， 防火墙由入侵检测系统协助，检测出可能的攻击行为，幼态的调整防火墙安全设 定，臻颧玻毒壤静连接“，霹遴一步强健开放式瓣络结秘下酌僖悫安全。 1 2 1 。i 防火墙的缺点 防火墒一般采用双层的结构，如图1 1 所示。第一层舫火墙基于效率考虑， 遴豢都以f i l t e r - b a s e d 为主，壹接对数据龟、t c p 连接进行过滤；内部躯i n t r a n e t 华中科技大学硕士学位论文 则靠着第二层p r o x y - b a s e d 防火墙做更高阶的内容过滤及代理，以避免内部网络黎 蓬凌嚣敦羽络上，纛接遭受攻责。 传统上的信息安全措施，多针对外来入侵者，双层防火墙结构就是针对此设鼹 露成。夷好豹防久墙设定策略( p o l i c y ) 。- 戳阻止大串的攻击，但对于刻意绕过防火 墙的连接，如程序员留下的后门( b a c k d o o r ) 遭到滚用等，就无法发挥防护功能。 霉卷在【l 】调查串，有不少入侵是囱内部合法豹使糟着，瓣意启动一般正常豹执行 程序，如p i n go f d e a t h 攻洳；或是直接秘甩已知的漏洞，提升使用者权限等。藤 诖缀织蒙受霪大擐失静，多半是鼗装对缀缓不满籁工的入侵、瓣窃。璐火墙困无 法对内部网络有更多的保护，因此格外需鼷能够填补此空位的枫制，共同来强化 整个弼络倍悫安全静环境。 国l 。1 双层缝援防火壕 1 2 1 2 入侵检测系统发服简史 入侵检测系统逶年来逐渐受劐霍视，僵它并不是一个新发畿的研究领域。在 它的发展过程中，肖几个黧要的里程碑。 i 。1 9 7 0 年代：美国酶卫部门的d o d w a r e 撒告，提出系统安全的鬟簧性，随 后歼始有厂商以s e c u r i t yk e r n e l 结构来构鼹系统9 1 。 2 1 9 8 0 年：a n d e r s o n 蓠先提波应该荦j 用系统的审计纪录( a u d i t t r a i l s ) ，梭溺 具威胁性的行为“”。当时，所有的研究重点都只麓重于搬绝未经授权端欲存取机 密浚耩麓逢接。 3 华中科技大学硕士学位论文 3 1 9 8 7 年：d e n n i n g 首先提出建立猩主机端( h o s t b a s e d ) 的入侵检测系统的 獗念与缝形8 。“。 4 1 9 8 8 年：i n t e m e t 蠕虫( w o r m ) 瘫痪数以千计的网络主机多日。随臌大量的 i d s 系统被搓崮，l u n t 改良d e n n i n g 懿i d e s “”，s m a b a 橡建h a y s t a c k 入授捡溅聚 统“，s e b r i n g 发展出m i d a s 入侵检测系统。 5 。1 9 9 0 年：h e b e r l e i n 捷窭不饭辩予囊狐上羹芟懿瘸络流量兔簸溅嚣称豹n s m 之全新概念，现在被通称为网络入侵检测( n e t w o r ki n t r u s i o nd e t e c t o r , n i d ) ，取代 鞋臻豹整鬟圭瓠端豹奉诗缀象，来捡爨入侵行为。 至此，入侵检测系统便开始依其保护的目标，分别区分为主机形式( h o s t - b a s e d ) 与礴络形式( n e t w o r k - b a s e d ) 两种络构。 1 。2 1 。3 基于主枧翱基于麟络的入侵检测系统 根据监测的资料的来源与方式，入侵梭测系统通常被分为两凝： l 。基予燕梳蠡冬入侵检测系统 如图1 2 所示，基于主机( h o s t - b a s e d ) 的入侵检测系统( 1 d s ) 主要安装于主枧 上“”。监测信怠的来源是系统的审计纪录、一般系统纪蒙及该主机迸出资料，经 过检测弓 擎整理资料后，分橱是否有遭受攻击的嫌疑，实时发出罄报( a l e r t ) 。部 分基于主机的入侵梭测系统也提供资料完燕性的梭查，确保资料来遭篡改。基于 主机的入侵检测系统能确实监测到系统目前状态，确认入侵是蛰成功，降低错误 警报发生率，此外不需要特定的硬件就能斑用予嚣保护的主机上。不过，它会太 大增加该系统的负载。7 而此形式的检测蓉统除了器要个别安装，造成攻击特镊 ( s i g n a t u r e ) 烫新困难夕 ，也因为目标明显，高明的入侵者可以轻易缝发现、避开， 甚至成为第一个被攻击的爨标。 2 基于网络的入侵检测系统 魏蚕1 3 艨示，基手鼹络n e t w o r k - b a s e d ) 懿入侵捡测系统( i d s ) 主婺安装在是 干( b a c k b o n e ) 上“，被监测的数据来源是流经的网络包。监听、分析可疑的数据 毽瑟，鼹警疆入员发出警擞。乡鬟静基予翔络豹入侵捡溅系统，只要安装褥宜， 就能监测、保护到熬个网域。基于网络的入侵检测系统，由于独立于各主机之外， 瑟淤霹鞋奁斑瘸多耪操俸系统蓼凌下，也蠢魏爵淡在“s t e a l t h ” 窈孵) 模式下， 4 华中科技大学硕士学位论文 对网络监听而不易被入侵者发现。为了能尽量涵盖所有网域，安装的位置要尽量 放到主要网段上，才不会有漏网之鱼。但相对的主干上的数据包流量相当大，效 率通常是此形式入侵检测系统要面对的问题。许多商用的基于网络的入侵检测系 统都是安装在特殊的硬件上，安装成本较高，但在效率、可靠性上较好。此外， 也可利用分布式技术的a a f i d ( a u t o n o m o u sa g e n t sf o ri n t r u s i o nd e t e c t i o 妙结 构，由多个a g e m s 分别监视，增加检测系统的可扩充性( s c a l a b i l i t y ) 和容错能力 ( f a u l tt o l e r a n c e ) 。 s y s t e ml o g s a u d i t t r s i ls a p p l i c a t i o ns e r v i _ c e sl o g s 图1 2 基于主机的入侵检测系统 图1 3 基于网络的入侵检测系统 两者在检测入侵活动方面，都需要一个有良好描述的攻击特征以供检测引擎 5 华中科技大学硕士学位论文 对比，定义清楚的资料结构对效率的提升，会有相当的好处。至于此两者孰优孰 劣，因为两种入侵检测系统监测、保护重点不完全相同，都各有其长处。如s y n f l o o d i n g 攻击报警要靠基于网络的入侵检测系统，而本地主机的网页资料遭到删 除、更换，则要靠基于主机的入侵检测系统。所以应根据要保护的主机、网络资 源，混用这两种入侵检测系统，才能全方位地强化网络环境遭受攻击的防御能力。 1 2 1 4 入侵检测技术 入侵检测技术在进行入侵事件分析前，有一个重要的假设。1 ：入侵活动之所 以能被检测出，是根据入侵者的操作行为必异于一般正常使用者，而能由其异常 模式( a b n o r m a lp a t t e r n s ) 与一般者区别出来。一般的检测技术基于此假说，主要区 分为两种分析方式： 1 异常检测( a n o m a l yd e t e c t i o n ) 在基于入侵者行为必异于常人的假设下，先建立一份正常活动模式( n o r m a l a c t i v i t yp r o f i l e ) “7 1 供后续的分析引擎对比，在经过统计模式分析后，只要出现过 度的统计变异系数偏离( d e v i a t i o n ) 现象1 ，便发出是入侵警报。采用此检测技术， 可以看出临界值( t h r e s h o l d ) 的选取与正常活动模式的建立，是成败的关键。 2 误用检测( m i s u s ed e t e c t i o n ) 在基于入侵者行为中必能找出异常特征的假设，可以由系统的审计纪录或网 络数据包中发现符合的攻击特征，检测出其入侵行为。因此，该检测技术对已知 的攻击模式及系统漏洞等，容易定义出攻击特征的入侵，相当有效。 上述两种检测方式，也各有优缺点。异常检测需要额外的统计分析，会增加 系统的负荷，而且漏报率较高；但误用检测虽然效率较好，但对于未知形态的入 侵检测能力比不上前者。 1 2 2 移动代理 代理( a g e n t ) 是一种在分布式系统或协作系统中能持续自主地发挥作用的计 算机实体，也常被称为智能体，是从人工智能( a i ) 的技术中发展出来的1 。移动 代理( m o b i l e a g e n t ) 是一个能在异构网络中自主地从一台主机迁移到另一台主机， 并可与其他a g e n t 或资源交互的自治程序“。 华中科技大学硕士学位论文 传统的r p c ( r e m o t ep r o c e s sc a l l ) 客户与服务器间的交互需要连续的通信支 持，覆移秘a g e n t 讶绫迁移翻藤务器上，尚之遴褥高速静本遣通信，这辩通信不占 用网络资源。移动a g e n t 迁移的内容既包括其代码也包括其运行状态，遮行状态可 分建援行捩态帮数据款态：藐行狻态圭婺箨移动a g e n t 当前运幸亍时狡态，如程序计 数器、运行栈内容等：数据状态主要指与移动a g e n t 运行有关的数据堆的内容。 1 2 2 1 移动代璜( m o b i l ea g e n t ) 盼特征 从系统的角度，m o b i l ea g e n t 是一个软馋瓣象，生存手一令执行臻壤并援寮 以下的基本特征： i 叁囊毪( a u t o n o m y ) ：一个a g e n t 筑在没蠢与玮境鼢稳互棒焉或来耋坪境豹 命令的情况下自主执行任务”l 。这是a g e n t 区别于普通软件程序的基本属性。 2 。晌瘫性( r e a c t i v i t y ) ：a g e n t 毖矮黠寒鑫环辘葙信怒豹影确钕密逶当熬璃疫 【l 的 a 3 。圭鞠经覆舞霉标( p r o a c t i v i t y g o a l - o r i e n t e d ) ：a g e n t 不仅j l 雩环境交纯骰窭反 应，而且在特定情况下采取主动行动，这需要a g e n t 有严格定义的目标啪1 。 4 。稚璞学习巍逶痰黢力( l e a r n i n g a d a p t a t i o n ) ：a g e n t 豹餐缝由三个主要聱释 来究成，即内部知识库、学习或自适应能力以及撼于知识库内容的推理能力“”。 5 霹移动缝( m o b i l i t y ) ：一个a g e n t 焱计算梳瓣络中滠游静缝力“”。 6 通信合作协调( c o m m u n i c a t i o n c o o p e r a t i o n c o o r d i n a t i o n ) ：这是在a g a n t 群锩孛应共存戆较会演糗轻”。 7 连续性( c o n t i n u i t y ) ：移动a g e n t 必须保持在不同的地址空间中遗续运行， 帮镰骜运露戆连续毪，毯繇是在移魂裂爱一苇煮上运行时蠹冬获态瑟须燕上一节点 挂起的那一时刻的状态。 1 2 2 2 移动代蘧( m o b ii ea g e n t ) 豹系统结梅 移动a g e n t 系绕由移动a g e n t 秘移动a g e n t 溅务器组成。移动a g e n t 服务器基予 a g e n t 传输协议( a g e n tt r a n s f e rp r o t o c 0 1 ) 实现a g e n t 在主机间的转移，并为其分配 执褥环境鄹服务接口。“。a g e n t 在服务器中执行，通过a g e n t 通傣语言a c l ( a g e n t c o m m u n i c a t i o nl a n g u a g e ) 相互通信并访问服务器提供的服务。 熟图 。4 瑟示，移动a g e n t 侮系结棱鞋定义为娃下穗互关联夔模块：安全代 华中科技大学硕士学位论文 理、环境交氨模块、任务求解模块、知识库、内部状态集、约束条件和路由策略。 髂系结梅黪爱羚爱隽安全霞瑾，毫执撂a g e n t 豹安全策硌，疆童终羿对a g e n t 豹非 法访问。a g e n t 通过环境交瓦模块感知外部环境并作用于夕 部环境。环境交互模块 实璇a c l 潺义，爨涯矮爱耀惑a c l 魏a g e n t 窝澈务器闻豹正确遴信帮秘诵，瑟通 信内容的语义与a c l 无关。a g e n t 的任务求解模块包括a g e n t 的运行模块及a g e n t 经务矮关豹摈理方法寒筑潮。絮谈痒是a g e n t 辑戆知豹 鼗器黎鑫巍摸鳌，并傺存在 移动过程中获得的知识和任务求解结构。内部状态集是a g e n t 执行过程中的当前状 态，宅影确a g e n t 豹任务求解过毽，溺对a g e n t 黪任务求解又捧溺予内帮状态。约 束条件是a g e n t 创建者为保证a g e n t 的行为和性能而作出的约束，如返回时间、站 点终整跨瓣及柽务宠残程度等，一般哭蠢铋建者拥骞对约紊条 警懿穆毅粳疆。路 由策略决定a g e n t 的移动路径，路国策略可能是静态的服务设施列表( 适用于简单、 稠旗懿 壬务求艇避程 ，蠛卷是基予疑爨豹囊态爨由激满爨复杂翔菲确定性任务的 求解。 字 帮巧境( 默务器或冀德a g e n t ) 图1 4 移凌a g e n t 黪维褐模凝 服务器为移动a g e n t 提供基本服务( 包括创建、传输、执行等) ，移动a g e n t 的 移动和任务求解裁力很大程度上决定于服务器所提供静服务。一般来讲，服务器 应甑括以下基本服务。 1 生命周期服务：实现a g e n t 的创娥、移动、持久化存储和执行环境分配。 2 事 睾服务：包括a g e n t 传输协议秘a g e n t 透信块议，实现a g e n t 阁的事俘健 8 华中科技大学硕士学位论文 递。 3 目录服务：提供定位a g e n t 的信息，形成路由选择。 4 安全服务：提供安全的a g e n t 执行环境。 5 应用服务：是任务相关的服务，在生命周期服务的基础上提供面向特定任 务的服务接口。 1 2 2 3 移动代理( g o b i i ea g e n t ) 系统的特点 移动a g e n t 系统为分布式系统的设计、实现和维护都带来了新的活力，该系统 有如下特点： 1 减轻网络负载：分布式系统通常依赖于通信协议。这些协议在完成给定任 务的过程中涉及多次交互行为，这将导致网络交通拥挤，传输大量未经处理的资 料到用户端也是极大的负担。移动a g e n t 可以将一个会话过程打包，然后将其派遣 到目的主机上进行本地交互。当进行远程主机的大量数据处理时，这些数据本地 处理完成，能较大地减轻网络上的原始数据的流量。 2 克服网络隐患：对那些重要的实时系统而言，如使用大规模工厂网络对进 行加工制造的机器人进行控制的实时系统，系统需要对环境的变化作出实时的反 应，但这种网络控制有很多隐患，对实时系统而言是无法接受的。移动a g e n t 技术 是一个很好的解决方法，因为a g e n t 可以从中央控制器传送到各局部点激活，并在 当地直接执行控制器的指令。 3 封装协议：当数据在分布式系统中进行交换时，每一台主机都有自己的网 络协议，该协议将对传出数据进行编码，对传入数据进行解释。但是，协议经常 为满足新的效率和安全需求需要改进，而实现该协议的代码升级工作要么几乎不 可能，要么相当困难，而移动a g e n t 能够直接流动至远程主机，建立一个基于私有 规程的数据传输通道。 4 移动a g e n t 的应变能力：移动a g e n t 具备感知其运行环境，并对环境变化 作出反应的能力，比如按一定规则来维持解决某个特定问题的最优配置。 5 具有自然异构性：网络计算平台往往是异构的，由于移动a g e n t 通常独立 于计算机和传输层，而仅仅依赖于其运行环境，所以移动a g e n t 提供了系统无缝集 成的最优条件。 6 移动a g e n t 异步自主运行：通常，移动设备上的计算皆依赖于昂贵而脆弱 华中科技大学硕士学位论文 的网络连接，它要求在移动设备和固定网络之间建立持续的连接，这种要求从经 济秽技寒静建袭来讲帮不箍实嚣。僵是，冒鏊将这耱任务鼗入弱移动a g e n t 中去， 然尉将它通过网络派遣出去。此后，移动a g e n t 就独立于缴成它的进程，弗可异步 鑫童逢搡幸誊了。移溺设备粼可在藕磊豹辩淘里霉迄接并黧浚a g e n t 。 7 健壮性和容错性：移动a g e n t 具有对非预期状态和事件成交能力，这使我 粕羹容关秘建毽毅鞠容错拣驽载分毒式系统。当关闭莱一台主躐对，爨有正在该 主机上运行的a g e n t 会得到警告，井有足够的时间转移到另一主机上继续运行“。 正由予移动a g e n t 技术具有上述特点，它在嘏子商务、分布式信息查询、并彳亍 处理、移动计算、个人助理、信息分布等应用领域有很好的发展游景。 1 3 课题生要研究工作 裹速广泛连接豹霹终给大家豢来了方便，巍为分蠢焱拒绝鼹务攻蠢( d d o s ) 创造了极为有利的条件。依据美国c s i f b i2 0 0 3 年的调蠢报告“1 ，可看出拒绝服 务蔽击逐攀灌瓣，缀筑内部未经授权与滋矮投溅掰占浆魄铡器鬻不下。现实懿瓣 络防御层中的主机常遭到来自四瑚八方的分布式拒绝服务攻击，易被各个击破， 难蠢这些羔橇“联仓”起来，方筑逯速鸯效率遮获彀耨傣悫，糍互蘩懿舔凌串， 彼此分享信息，迅速发现敞人，并能实时地抵制非法入侵行为。 本研究希望麸管理的角度来探索攻舞的原萄，劳深入分耩了现行检测与防御 技术的优点和不足，整合目前发现敝人( 被动入侵检测) 到有效反击( 主动响应攻诲) 两方面的研究，建立互髓仑作分布式的入侵检铡模式来遮成以下哥标： 1 。压毒1 分布式拒绝服务攻击，有效抑制入侵行为的持续扩数。 2 灵活地互桐移动代理组件来强化入侵检测，并迅速判断入侵范围。 3 建立共享知识库，分享已知与未知蛇入馒特征，强化信息共享的能力。 4 解决单一失效点问题。 本磅突主要是琴唾月移魏投理( m o b i l ea g e n t ) 戆技术擒建一个整合黢入侵捡测 及防御的结构m a c i d s ，以期对分布式掇绝服务攻击起别防御作用，冀作用范围 惫摇鞋下鼹秘： 1 被动式入侵检测( d e t e c t i o n ) 由箍控系统( m o n i t o r i n g ) 、簧傍系统( b a c k u pm o b i l ea g e n t ) 及重要兰辊( c r i t i c a l 1 0 华 中 科 技 大 学 硕 士 学 位 论 文 的网络连接，它要求在移动设备和固定网络之间建立持续的连接，这种要求从经 济和技术的角度来讲都不易实现。 但是，可以将这种任务嵌入到移动a g e n t 中去， 然后将它通过网 络派遣出去。 此后， 移动a g e n t 就独立于生成它的进程， 并可异步 自 主 地操作了。 移动设备则可在稍后的时间里再连接并回收a g e n t s 7 . 健壮性和容错性:移动 a g e n t 具有对非预期状态和事件应变能力，这使我 们更容易创建健壮和容错性好的分布式系统。当关闭某一台主机时，所有正在该 主机上 运行的a g e n t 会得到 苦告， 并 有足够的 时间 转移 到另一 主 机上继续运行2 11 正由 于移动a g e n t 技术具有上述特点， 它在电 子商务、 分布式信息查 询、 并行 处理、移动计算、个人助理、信息分布等应用领域有很好的发展前景。 1 . 3课题主要研究工作 高速广泛连接的网络给大家带来了方便，也为分布式拒绝服务攻击( d d o 助 创造了 极为有利的 条件。 依据美国c s i / f b i 2 0 0 3 年的调查报告o 3 ， 可看出 拒绝服 务攻击逐年增加，组织内部未经授权与滥用权限所占的比例居高不下。现实的网 络防御层中的主机常遭到来自四面八方的分布式拒绝服务攻击，易被各个击破， 唯有这些主机 “ 联合”起来，才能迅速有效率地获取新信息，在互助的环境中， 彼此分享信息，迅速发现敌人，并能实时地抵制非法入侵行为。 本研究希望从管理的角度来探索攻击的原因，并深入分析了现行检测与防御 技术的优点和不足， 整合目前发现敌人( 被动入侵检测) 到有效反击( 主动响应攻击) 两方面的研究，建立互助合作分布式的入侵检测模式来达成以下目 标: 1压 制 分 布 式 拒 绝 服 务 攻 击， 有 效 抑 制 入 侵 行