王浩 武凌 司鳳山 魏蘇林

(安徽財(cái)經(jīng)大學(xué)管理科學(xué)與工程學(xué)院，安徽 蚌埠 233030)

隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，給人們生活帶來(lái)了許多方便，但網(wǎng)絡(luò)安全問(wèn)題日漸凸顯。面對(duì)攻擊分布化和復(fù)雜化的發(fā)展趨勢(shì)，一些傳統(tǒng)的安全技術(shù)通常采用被動(dòng)防御方式，已遠(yuǎn)遠(yuǎn)不能保障目前網(wǎng)絡(luò)的安全。

為了彌補(bǔ)傳統(tǒng)安全技術(shù)存在的缺陷，就必須研究一種全新的安全技術(shù)，這種安全技術(shù)將所有安全威脅都認(rèn)為是“入侵行為”。“入侵行為”可理解為:通過(guò)對(duì)系統(tǒng)漏洞掃描，從而獲取系統(tǒng)控制權(quán)，危害計(jì)算機(jī)系統(tǒng)的行為。通過(guò)這種新技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)的各關(guān)鍵節(jié)點(diǎn)進(jìn)行掃描分析，從中判斷網(wǎng)絡(luò)中是否有入侵行為發(fā)生，這就是“入侵檢測(cè)系統(tǒng)”。

傳統(tǒng)的入侵檢測(cè)設(shè)備是典型的監(jiān)聽(tīng)設(shè)備，它沒(méi)有協(xié)同的設(shè)備也沒(méi)有數(shù)據(jù)需要彼此共享，它只需監(jiān)聽(tīng)相應(yīng)端口，將收集到的報(bào)文根據(jù)預(yù)先設(shè)定的閾值與設(shè)備中的入侵檢測(cè)知識(shí)庫(kù)進(jìn)行比對(duì)，將匹配程度較高的報(bào)文即認(rèn)為是攻擊行為。此時(shí)，入侵檢測(cè)系統(tǒng)會(huì)報(bào)警并根據(jù)預(yù)先設(shè)置的防御手段進(jìn)行處理。所以傳統(tǒng)的入侵檢測(cè)系統(tǒng)是一直處于被動(dòng)的防御狀態(tài)，只對(duì)知識(shí)庫(kù)中存在的入侵特征有防御能力，而對(duì)新出現(xiàn)的入侵行為卻無(wú)能為力，漏報(bào)率和誤報(bào)率比較高，又因現(xiàn)在入侵者的攻擊多為快速和分布式的攻擊，這些都嚴(yán)重影響了網(wǎng)絡(luò)防護(hù)效果。那么入侵檢測(cè)系統(tǒng)中知識(shí)庫(kù)的及時(shí)更新、降低漏報(bào)率和誤報(bào)率、分布式的防御就成為需要迫切解決的問(wèn)題。

1 移動(dòng)代理技術(shù)

移動(dòng)代理(Mobile Agent，MA)是能夠自行決定在網(wǎng)絡(luò)的各個(gè)節(jié)點(diǎn)之間移動(dòng)，代表其他實(shí)體進(jìn)行工作的一種軟件實(shí)體。它可根據(jù)實(shí)際情況立即中止當(dāng)前的運(yùn)行，遷移到另一設(shè)備上繼續(xù)運(yùn)行，并將運(yùn)行結(jié)果返回給之前設(shè)備。相比較普通分布式計(jì)算，MA更能夠靠近數(shù)據(jù)源來(lái)執(zhí)行，從而節(jié)省網(wǎng)絡(luò)帶寬、負(fù)載平衡，更快地執(zhí)行任務(wù)，進(jìn)而提高分布式系統(tǒng)的效率。

1.1 移動(dòng)代理的特性［1］:

(1)自主性:一個(gè)Agent能在沒(méi)有與環(huán)境的相互作用下自主執(zhí)行任務(wù)，每個(gè)Agent都是可獨(dú)立運(yùn)行的程序。

(2)響應(yīng)性:Agent能對(duì)來(lái)自環(huán)境的影響或環(huán)境變化做出響應(yīng)，并根據(jù)情況在需要時(shí)主動(dòng)移動(dòng)到目標(biāo)位置。

(3)移動(dòng)性:Agent作為一個(gè)實(shí)體，具有移動(dòng)能力，它可以移動(dòng)到所在網(wǎng)絡(luò)中的任一主機(jī)執(zhí)行。

(4)智能性:Agent的智能由內(nèi)部知識(shí)庫(kù)、學(xué)習(xí)或自適應(yīng)能力及基于知識(shí)庫(kù)的內(nèi)部推理機(jī)制，自適應(yīng)復(fù)雜的環(huán)境。

(5)合作性:Agent之間可以彼此協(xié)同工作共同完成任務(wù)。

(6)社會(huì)性:Agent的社會(huì)性包括在社會(huì)活動(dòng)中對(duì)安全性、風(fēng)險(xiǎn)、信任、誠(chéng)實(shí)等因素考慮。

1.2 移動(dòng)代理技術(shù)應(yīng)用于入侵檢測(cè)系統(tǒng)的優(yōu)勢(shì)

在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，早期的入侵檢測(cè)系統(tǒng)很難應(yīng)付現(xiàn)在復(fù)雜的攻擊手段，尤其是應(yīng)對(duì)分布式入侵，防御系統(tǒng)很難免受攻擊。而移動(dòng)代理技術(shù)的特性恰恰可以彌補(bǔ)原有入侵檢測(cè)系統(tǒng)動(dòng)態(tài)遷移性差、自身安全性不足和占用過(guò)多網(wǎng)絡(luò)帶寬等問(wèn)題。移動(dòng)代理應(yīng)用到入侵檢測(cè)系統(tǒng)中的優(yōu)勢(shì)有以下五點(diǎn)［2］:

(1)降低網(wǎng)絡(luò)負(fù)載:移動(dòng)代理可以通過(guò)將任務(wù)移動(dòng)到遠(yuǎn)端執(zhí)行，暫時(shí)斷開(kāi)與源主機(jī)的網(wǎng)絡(luò)連接，從而降低網(wǎng)絡(luò)的流量，減輕網(wǎng)絡(luò)的負(fù)載。

(2)提高系統(tǒng)健壯性:當(dāng)某一主機(jī)斷開(kāi)連接或無(wú)法連接網(wǎng)絡(luò)時(shí)也可以自治的進(jìn)行檢測(cè)。

(3)自適應(yīng)能力:移動(dòng)代理通過(guò)感知環(huán)境的變化，根據(jù)當(dāng)前網(wǎng)絡(luò)狀態(tài)選擇最優(yōu)路由，做出諸如移動(dòng)、克隆、回收的反應(yīng)。

(4)可擴(kuò)展性和動(dòng)態(tài)配置:能夠依據(jù)需求，在網(wǎng)絡(luò)中動(dòng)態(tài)地加入或刪除移動(dòng)代理，每個(gè)移動(dòng)代理都是獨(dú)立運(yùn)行不會(huì)影響到整個(gè)系統(tǒng)。

2 基于移動(dòng)代理的分布式入侵檢測(cè)模型

本文研究的移動(dòng)代理系統(tǒng)由Mobile Agent(MA)和Mobile Agent服務(wù)設(shè)施(MAE)兩大部分組成。MA分為用戶Agent(User Agent，UA)和服務(wù)A-gent(Server Agent，SA)。MAE 通過(guò) Agent傳輸協(xié)議(Agent Transfer Protocol，ATP)實(shí)現(xiàn) Agent在主機(jī)之間轉(zhuǎn)移。代理通信語(yǔ)言(Agent Communication Language，ACL)可為MA提供相互通信和訪問(wèn)服務(wù)器的各項(xiàng)服務(wù)。

MA是一種能夠自主移動(dòng)的程序，除了具有A-gent的特性外，還具有移動(dòng)性。下面提出移動(dòng)代理系統(tǒng)結(jié)構(gòu)如圖1所示:

本文研究的分布式入侵檢測(cè)系統(tǒng)模型(圖2)，克服了以往分布式入侵檢測(cè)系統(tǒng)的缺陷。

移動(dòng)代理管理控制模塊(Core Control Agent，CCA)主要負(fù)責(zé)對(duì)系統(tǒng)運(yùn)行狀態(tài)的管理，是整個(gè)系統(tǒng)的監(jiān)視者和管理者。移動(dòng)代理的控制臺(tái)負(fù)責(zé)整個(gè)網(wǎng)絡(luò)中各個(gè)Agent實(shí)體的管理，包括Agent實(shí)體的產(chǎn)生、配置、分派、監(jiān)視和撤銷(xiāo)Agent，接收受檢主機(jī)上移動(dòng)代理傳送的信息等功能。移動(dòng)代理的控制臺(tái)還包括人機(jī)交互界面，它負(fù)責(zé)向網(wǎng)絡(luò)管理員提供系統(tǒng)的信息。同時(shí)，也是管理員與系統(tǒng)交互的平臺(tái)，接受來(lái)自管理員的命令。

圖1 Mobile Agent系統(tǒng)

圖2 分布式入侵檢測(cè)系統(tǒng)模型

移動(dòng)代理管理控制模塊主要包括:響應(yīng)子模塊、管理控制子模塊、調(diào)度子模塊、通信子模塊及用戶界面子模塊等。

系統(tǒng)主要功能包括數(shù)據(jù)收集Agent、探測(cè)Agent、入侵檢測(cè)Agent，響應(yīng)Agent、狀態(tài)監(jiān)控Agent等。

數(shù)據(jù)收集Agent是入侵檢測(cè)系統(tǒng)的基礎(chǔ)部件，它用來(lái)收集所有信息源的數(shù)據(jù)提供給系統(tǒng)用作分析;探測(cè)Agent負(fù)責(zé)網(wǎng)絡(luò)中各主機(jī)上運(yùn)行的Agent信息的收集并做出適當(dāng)?shù)奶幚?入侵檢測(cè)Agent是系統(tǒng)中負(fù)責(zé)對(duì)入侵行為的檢測(cè)模塊，包括基于主機(jī)的靜止入侵檢測(cè)和網(wǎng)絡(luò)的入侵檢測(cè)代理，當(dāng)入侵檢測(cè)Agent發(fā)現(xiàn)入侵行為與規(guī)則相匹配，則向探測(cè)代理報(bào)告;響應(yīng)Agent是用來(lái)接受控制Agent發(fā)出的任務(wù)。一旦確定了攻擊行為，控制中心即發(fā)出響應(yīng)A-gent用以拒絕操作、刪除病毒、修復(fù)文件或斷開(kāi)網(wǎng)絡(luò)等操作;監(jiān)控Agent具有控制和數(shù)據(jù)處理的能力，負(fù)責(zé)對(duì)受檢測(cè)主機(jī)上的Agent遠(yuǎn)程管理、調(diào)度和對(duì)各主機(jī)狀態(tài)的監(jiān)管，通常設(shè)置在多個(gè)主機(jī)上，每個(gè)監(jiān)控Agent都會(huì)通過(guò)網(wǎng)絡(luò)將的報(bào)告發(fā)送給控制臺(tái)。

3 關(guān)鍵技術(shù)

Aglets開(kāi)發(fā)平臺(tái)是由IBM日本公司在90年代末開(kāi)發(fā)的移動(dòng)Agent運(yùn)行平臺(tái)，平臺(tái)采用Java語(yǔ)言開(kāi)發(fā)。Java語(yǔ)言具有面向?qū)ο?、跨平臺(tái)等特性，使開(kāi)發(fā)出的Aglet具有先天的跨平臺(tái)特性，同時(shí)保證了該系統(tǒng)具有良好的健壯性。Aglet是目前商業(yè)領(lǐng)域中最為成功的移動(dòng)Agent開(kāi)發(fā)平臺(tái)［3－4］。Aglet的系統(tǒng)框架如圖3所示。

圖3 Aglet的系統(tǒng)框架圖

從圖中可以看出Aglet的執(zhí)行分為若干個(gè)階段，一般執(zhí)行過(guò)程可分為4個(gè)層次:Aglet應(yīng)用程序接口層;Aglet運(yùn)行層(Aglet runtime);ATCI(Agent Transport and Communication Interface)層以及網(wǎng)絡(luò)通信層。Aglet應(yīng)用程序接口是Aglet與所在網(wǎng)絡(luò)環(huán)境的標(biāo)準(zhǔn)接口，定義了MA的基本功能。如果一個(gè)Aglet想把自己移動(dòng)到其他地方時(shí)，向Aglet runtime發(fā)出請(qǐng)求;然后Aglet runtime層將Aglet的代碼與狀態(tài)信息轉(zhuǎn)換為字節(jié)數(shù)組;如果Aglet runtime層向ATCI層請(qǐng)求成功，系統(tǒng)將會(huì)將字節(jié)數(shù)組傳送至ATCI層，ATCI層包含 ATP(Agent Transfer Protocol)等接口，ATP用以封裝Aglet runtime層傳送來(lái)的字節(jié)流，并移動(dòng)到遠(yuǎn)端主機(jī)。遠(yuǎn)端主機(jī)使用ATP接口接收到字節(jié)流后，利用Aglet Runtime層將字節(jié)流反向讀出即得到Aglet信息，此次Aglet已移動(dòng)到遠(yuǎn)端主機(jī)上運(yùn)行。

4 結(jié)語(yǔ)

在本文研究的系統(tǒng)中，將基于主機(jī)的入侵檢測(cè)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)進(jìn)行有機(jī)結(jié)合，針對(duì)不同的檢測(cè)方法，可以生成不同的檢測(cè)代理，在同一個(gè)節(jié)點(diǎn)中可以運(yùn)行多個(gè)檢測(cè)代理，它們共同負(fù)責(zé)該節(jié)點(diǎn)的主機(jī)和網(wǎng)絡(luò)的安全，從而彌補(bǔ)了傳統(tǒng)單一基于主機(jī)或網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)固有缺陷，提高了入侵行為檢測(cè)的檢出率，降低了漏報(bào)率。

［1］Tan Xiang，Gu Yu-Qing;Bao，Chong-Ming.Method for Mobile Agent Data Protection［J］.Journal of Software，2005，16(3):477-484.

［2］Yu Feng，Wang Qian.Research and Implementation of Flexible Workflow BasedonMobileAgentPlatform:Aglet.Source:Dongnan Daxue Xuebao(Ziran Kexue Ban)［J］.Journal of Southeast University:Natural Science Edition，2003，33(2):172-176.

［3］Gupta P，McKeown N.Algorithms for Packet Classification［J］.IEEE Network，2001，15(2):24-32.

［4］PODLENA J R，HENDTLASS T.An Accelerated Genetic Algorithm［J］.Applied Intelligence，1998(8):103-111.