基于MA的分布式入侵檢測系統(tǒng)設(shè)計(jì)的研究

徐凱華　王樂

摘要：在分析入侵檢測模型的基礎(chǔ)上，結(jié)合模型體系的結(jié)構(gòu)、工作流程及針對目前入侵檢測系統(tǒng)成為被攻擊目標(biāo)的現(xiàn)狀和代理技術(shù)給系統(tǒng)帶來的安全問題，提出了基于MA的分布式入侵檢測系統(tǒng)開發(fā)工具及平臺，詳細(xì)描述了Aglet開發(fā)環(huán)境及實(shí)現(xiàn)技術(shù)，并結(jié)合現(xiàn)實(shí)情況提出了改進(jìn)方法。

關(guān)鍵詞：分布式入侵檢測；Aglet開發(fā)環(huán)境；Agent實(shí)現(xiàn)技術(shù)

中圖分類號： TP391.9 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）13-0024-02

Abstract： According to the characteristics of DIDS model based on MA distributed intrusion detection system development tool and platform is proposed in this paper， a detailed description of the Aglet development environment and implementation technology， combined with the reality of improving method is put forward.

Key words： distributed intrusion detection； Aglet development environment； Agent Technology

基于MA的分布式入侵檢測系統(tǒng)應(yīng)用十分廣泛，能有效地檢測出外來的攻擊和破壞，通過對系統(tǒng)用戶需求的分析，確定了本系統(tǒng)的開發(fā)工具及所使用的移動代理平臺：

系統(tǒng)采用基于Web頁面的入侵檢測系統(tǒng)，Web服務(wù)器為Apache2.0；后臺數(shù)據(jù)庫使用SQL 2008；開發(fā)語言用C++，JSP腳本語言；移動代理平臺：IBM Aglet 2.0。

在整個系統(tǒng)中，移動代理的設(shè)計(jì)是關(guān)鍵。選擇合適的移動代理平臺就顯得尤為重要，并將直接影響到系統(tǒng)功能的實(shí)現(xiàn)。在這里，我們選用Aglets軟件開發(fā)工具箱（ASDK，Aglets Software Delevopment Kit）進(jìn)行原型設(shè)計(jì)、概念證明與評價。

Aglets的設(shè)計(jì)主要是為移動代理系統(tǒng)的標(biāo)準(zhǔn)化提供參考。與操作系統(tǒng)中進(jìn)程類似，Aglet是有生命周期的，且每個Aglet在其生命期內(nèi)都有一個的唯一標(biāo)志符。標(biāo)志符中包含了Alget獨(dú)一無二的類名。Alget的擁有者（AgletOwner）定義了Aglet的安全優(yōu)先權(quán)（Security Preference），并時刻關(guān)注和檢查Aglet的安全性， 這個優(yōu)先權(quán)主要是限制Aglet的權(quán)利以確保安全，如防止巡游Aglet非法通信，規(guī)定最大允許的CPU消耗量等。

在Aglets系統(tǒng)中，為了降低管理的成本，引入域（Domain）的概念。域是由多個長期存在的上下文對象組成的。系統(tǒng)中的DBMS 采用的是關(guān)系型的SQL Server，它是一個效率高，功能完善，安全性能優(yōu)且同時API豐富的一種數(shù)據(jù)庫開發(fā)環(huán)境。

Aglet提供了一個簡單而全面的移動代理編程模型，在安全策略保障的情況下，為移動Aglet提供靈活的互通信機(jī)制。 在開發(fā)語言上選擇Java和C++。Java開發(fā)工具包（Java Development Kit，簡稱JDK）是升陽公司開發(fā)的基于Java語言的開發(fā)環(huán)境，對于數(shù)據(jù)模塊的分析要產(chǎn)成若干代理，要與移動代理平臺保持頻繁通信，而本系統(tǒng)中，用純Java語言編寫移動代理平臺。開發(fā)環(huán)境是微軟的Visual C++6.0，編程語言是C++。

1 Aglet開發(fā)環(huán)境

Aglet在一臺主機(jī)上以線程的形式產(chǎn)生一臺工作站，之后整個Aglet物件被分派到另一臺工作站上，在分派的過程中，Aglet暫停自己正在運(yùn)行的程序；當(dāng)整個Aglet全部派遣到另一臺工作站后，新的Aglet將會重新啟動繼續(xù)執(zhí)行剛才暫停的任務(wù)[1]。Aglets執(zhí)行過程有序進(jìn)行，只需要消耗很小的系統(tǒng)資源，有效地保護(hù)了Aglets執(zhí)行后續(xù)任務(wù)的可用資源。Agent系統(tǒng)框架如圖1所示.

Agent系統(tǒng)、agentid、內(nèi)容長度等字節(jié)數(shù)組AgletAglet Runtime層安全、緩存、持久管理器等ATCI層（ATP、CORBA、RMI）Aglet Runtime層安全、緩存、持久管理器等ATCI層（ATP、CORBA、RMI）AgletTCP/IPTCPIP。從Agent系統(tǒng)框架圖看出，Agent的執(zhí)行分為發(fā)送、請求、處理、接受幾個過程，最終便可在遠(yuǎn)端主機(jī)上執(zhí)行。

2 Agent實(shí)現(xiàn)技術(shù)

Agent實(shí)現(xiàn)的關(guān)鍵是最佳路由的選擇，最佳路由一般考慮傳輸路徑、規(guī)劃路由上的網(wǎng)絡(luò)吞吐量、遠(yuǎn)程主機(jī)負(fù)載及主機(jī)上是否能快速查到存在信息的概率。MA的主要任務(wù)是在規(guī)劃的最佳移動路徑上完成任務(wù)，時間越短，執(zhí)行效率越好。通過Agent的協(xié)同工作，移動Agent系統(tǒng)發(fā)現(xiàn)本地主機(jī)和網(wǎng)絡(luò)的入侵行為[2]。

2.1 Agent的設(shè)計(jì)模式

在系統(tǒng)的整個設(shè)計(jì)中，采用了主從設(shè)計(jì)模式。根據(jù)檢測的實(shí)際需要，主Agent查找距離自己最近的從Agent，把任務(wù)委派下去；待從Agen收到任務(wù)后，成為新的主Agent；再次查找距離自己最近的從Agent，以此類推。直到任務(wù)遷移到指定的目的地，通信完成，返回結(jié)果。

下面以收發(fā)器Agent產(chǎn)生功能Agent為例來說明上述過程。Create程序片斷如下：

//功能Agent的生成

public void CreateAgent（ ） {

try{

setText（“begin Agent…”）；

waitMessage（2*2000）；

init object[ ]；

object[ ] =new Object[ ]{transceiverProxy，pmlsi}；

AgletProxy proxy=getAgletContext[ ].CreateAglet（null，” Agent”，init）；

}

catch（Exception ex）

{

ex.PrintStackTrace（ ）；

}

}

}

當(dāng)產(chǎn)生功能Agent后，Agent會自動呼叫方法OnCreation（ ），在OnCreation（ ）中，接收收發(fā)器Agent傳過來的參數(shù)值，指定給相對應(yīng)的變量，而后呼叫方法run（ ），run（ ）執(zhí)行，完成所交付的任務(wù)。

Agent.java中相關(guān)被產(chǎn)生的程序片斷如下：

public void onCreation（Object o） {

try{

transceiverProxy=（AgletProxy）（（Object[]）init）[0]；

mlsi=（AgletProxy）（（Object[]）init）[1]；

Proxy=getProxy（ ）；

}

catch（Exception ex） {

}

} //end of onCreation（ ）

public void run（ ） {

//doTask（ ） 執(zhí)行任務(wù)；

readalertVecInfo=readAlertInfo.size（ ）；

if（Vecsize > 0）

SendMessage（ReadalertVecInfo）；

}

2.2 Agent的通信過程

在移動Agent系統(tǒng)中，Agent的通信是整個系統(tǒng)設(shè)計(jì)的核心，關(guān)系到系統(tǒng)設(shè)計(jì)的成敗。Agent的通信猶如最佳路由的選擇，不是單個Agent能完成的；各個Agent之間相互通信進(jìn)行信息交換[3]，協(xié)同工作。

在Aglet中，Value和Kind是每個消息對象MO（Message Object）的初始值。為了說明Agent的通信過程，現(xiàn)以收發(fā)器Agent和功能Agent的溝通協(xié)調(diào)為例來來說明。當(dāng)功能Agent發(fā)現(xiàn)入侵信息，即系統(tǒng)存在入侵行為后，功能Agent使用方法SendMessage（ ）將入侵消息傳給收發(fā)器Agent功能，此處的Kind和Value分別是ReportInformation和 AlertinfoVec（Vector類型）。在收發(fā)器Agent收到消息后，又會如何處理收到的消息呢？這時收發(fā)器Agent會使用方法HandleMessage（ ）去處理剛剛收到的消息，同時給功能Agent傳輸一個boolean值，以便告知處理消息的結(jié)果是否成功。我們知道， Agent間的通信是通過一個代理（Proxy）來分步驟實(shí)現(xiàn)的，所以當(dāng)收發(fā)器Agent向控制臺Agent匯報信息時，必須要使用控制臺Agent的代理，即收發(fā)器Agent與此代理聯(lián)系。

2.3 Agent的移動

IBM提出的指定執(zhí)行環(huán)境和服務(wù)接口，可以被看作是一個最小實(shí)現(xiàn)代理傳輸協(xié)議，基于移動智能體傳輸協(xié)議ATP（Agent Transfer Protocol）框架定義了一組原語的接口和基本信息設(shè)置，實(shí)現(xiàn)智能體在整個異構(gòu)網(wǎng)絡(luò)環(huán)境中的傳輸，并為其分配執(zhí)行環(huán)境和服務(wù)接口，可以看作是一個Agent傳輸協(xié)議的最小實(shí)現(xiàn)， ATP框架結(jié)構(gòu)定義了一組原語性的接口和基礎(chǔ)消息集，其基本操作如圖2所示。

在實(shí)現(xiàn)本系統(tǒng)的過程中，對Agent的遷移采用了巡行（itinerary）模式。這種模式能最大限度地維護(hù)著所有可能到達(dá)的目的地的列表，并將新發(fā)現(xiàn)的路由加入這一個列表，使得列表的規(guī)模不斷壯大；負(fù)責(zé)路由策略的制訂和最佳路由的選擇，并按時到達(dá)指定目的地；當(dāng)在檢測過程中有異常情況（如目的地不存在）發(fā)生時，也能及時處理。

3 小結(jié)

基于移動代理（MA）的分布式入侵檢測系統(tǒng)（DIDS），可以降低網(wǎng)絡(luò)負(fù)載，在不影響有效傳輸數(shù)據(jù)使用的情況下，對整個網(wǎng)絡(luò)中是否有入侵行為的發(fā)生、入侵后對內(nèi)部系統(tǒng)的破壞程度進(jìn)行檢測。能夠防御針對IDS自身的入侵行為，有較好的安全性；下一步在以下兩方面對系統(tǒng)進(jìn)一步完善，使之成為分布式入侵檢測的中間件，充分發(fā)揮Agent在DIDS中的靈活作用。

（1）智能化入侵檢測。在入侵檢測上也可以采用智能化的方法進(jìn)行快速、準(zhǔn)確的入侵。常用的有基于免疫原理的方法檢測、基于神經(jīng)網(wǎng)絡(luò)的智能化檢測及基于遺傳各種算法的等方法。這些方法的共同點(diǎn)就是入侵特征的提取與判斷。

（2）網(wǎng)絡(luò)安全技術(shù)相結(jié)合。入侵檢測過程結(jié)合PKIX，防火墻技術(shù)，安全電子交易（SET）等技術(shù)，提供完整的網(wǎng)絡(luò)安全。例如，基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)相結(jié)合，將基于網(wǎng)頁的檢測技術(shù)很好地結(jié)合在一起的主機(jī)都相輔相成，提供集成的攻擊簽名，檢測，報告和事件關(guān)聯(lián)等功能。提供完整的網(wǎng)絡(luò)安全保障，將入侵行為拒絕在門外。

參考文獻(xiàn)：

[1] 李劍峰，王乘.在分布式入侵檢測系統(tǒng)中應(yīng)用MobileAgent[J].計(jì)算機(jī)工程與應(yīng)用，2004，40（7）：161-164.

[2] 馬恒太，蔣建春，陳偉鋒，等.基于Agent的分布式入侵檢測系統(tǒng)模型[J].軟件學(xué)報，2012，11（10）：1312-1319.