论文部分内容阅读
随着互联网的快速发展,越来越多的应用通过网络来实现,同时网络的安全也面临着巨大的挑战。快速的网络为攻击者提供了方便,攻击模式和方法越来越复杂,攻击者的技术水平也在不断提高,攻击规模日益扩大,越来越多的系统受到攻击,如何保护系统与可信网络不受入侵成为目前迫切需要解决的问题。入侵检测作为一种主动的安全防护手段,不仅能检测来自外部的入侵行为,同时也能检测内部用户的未授权活动,在保护计算机系统的安全中,发挥了重要的作用。 传统的入侵检测系统针对入侵攻击仅仅能做到消极响应,比如断开网络连接等等,但攻击者仍在不断尝试,对整个网络的威胁依然存在。要解决这个问题,如何追踪到攻击者的所在位置并进行准确取证成为关键所在。同时对于分布式入侵检测系统来说,在多个不同的主机配置入侵检测系统并使这些系统都能紧密配合是比较繁重的任务。如何增强系统伸缩性,实现各种不同平台的主机动态加入是入侵检测技术研究的方向之一。移动Agent所拥有的独特性能:自治性与移动能力,决定了它在入侵检测领域必然占据着十分重要的地位。 本文设计了一种基于移动Agent的入侵检测系统解决方案,利用移动Agent承载入侵检测系统模型中部分组件的功能,使之成为灵活性非常强的系统。主机监测模块采用移动Agent来启动,并特别增加一种移动Agent负责入侵追踪的任务。另一方面,本方案不对庞大的日志信息和网络连接记录进行完全性分析,而是定义可疑的入侵标记,当出现这种标记时才进行相应的审计记录收集。这种做法不但提高了整个系统效率,同时由于占用资源比较少,大量的个人主机都可以加入到系统中来,使得入侵者无处可逃。整个方案的设计使得系统具有很强的伸缩性,要求主机只需要安装移动Agent运行环境并给予适当的系统访问权限。 本系统的原型实现采用Java作为开发语言,IBM Aglet作为移动Agent运行环境。由于Aglet是采用纯Java开发的,因此本入侵检测系统可以很方便地移植到各种系统平台。