论文部分内容阅读
摘要:根据目前对于移动Agent系统的面临的入侵安全问题,该文提出了一种在三层移动Agent的基础上嵌入监测模块构建了基于三层移动Agent,依托云服务提供的数据架构,对在其监测模块进行了工作流程分析。结果证明,它既可以保证移动Agent的检测过程的效率,又可以提高检测的精准性,具有良好的操作性。
关键词:移动Agent;監测模块;精准性;操作性
中图分类号:T9393 文献标识码:A 文章编号:1009-3044(2018)09-0037-02
1 概述
移动Agent是在人工智能的领域发展而来的一门新型技术,旨在模拟人的属性和方法,具有高精准度,高智能化的,能够自主运行和调用服务的应用接口。在1993年,General Magic公司推出的商业移动代理系统Telescript第一次提示了移动Agent的概念[1]。移动Agent是基于在移动环境的环境前提下,计算机或其他通信设备在没有与固定的物理设备连接的情况下能够相互传输数据,Agent具有一定的自适应性,能够对周围的环境作出反应,通过触发对应的策略,体现出目标出现的行为。如图1所示其中,Environmental表示Agent服务的运行的环境,它是整个系统实现的核心,Agent可以在其上无规则的移动,用以完成数据的交互任务。
在如今针对移动主机的攻击或者利用移动主机发起攻击的安全事件日益增多,攻击手段和技术的不多样化。所以,现在的移动网络安全的解决方案中,网络入侵检测成为了不可缺少的安全组件。而来源与分布式人工智能领域的移动Agent技术,已经融入网络追踪的各个维度,笔者根据移动Agent的基础上建立一个基于三层移动Agent的入侵检测模型。
2 目前入侵检测系统的研究现状
2.1 入侵检测系统系统简述
目前的入侵检测系统,绝大多数是基于Den-ning[2]的入侵检测模型。它的原理是将网络数据包、审计记录及其他可以监测到的任意行为,作为入侵检测系统中的异常操作的依据,通过与检测系统中已有的攻击模式样本进行比对。从检测方法上可以将入侵检测系统分为异常检测(anomaly detection)与误用入侵检测(miuse detection)两种类型。异常检测是通过匹配资源使用者的行为或资源使用状况的正常程度的偏差来判断是否产生了入侵,而不是凭借具体的行为是否执行来检测。误用检测是通过事前定义好的入侵模式,通过判断在实际安全审计数据中是否出现预定义的入侵模式来产生判断,从而完成检测功能。
而一般的入侵检测系统是基于数据源的分类是根据数据源或者是说审计事件发生器,可以分为基于主机(Host-based)和基于网络(Network-based)。基于主机的IDS 的检测目标是主机系统和系统本地用户,原理是根据主机审计数据和系统日志发现可疑事件[3],它的结构是C/S 模型。基于网络的IDS 嗅探来自网络层的信息,管控网络数据流量并进行分析,同时网络型入侵检测系统负担着保护整个网段的任务[4]。
为了增加传统的入侵检测系统的可维护性、可扩展性、容错率和检测效率,有一部分机构提出了以自治代理构架的分布式入侵检测系统的方法。采用自治代理的分布式入侵检测系统由下列模块组成:自治代理、数据过滤器、收发器、检测器和用户交互接口等,不同实体之间采用消息机制来协调工作。在分布式入侵检测系统中,数据分析的数目取决于被检测主机,解决了入侵检测系统扩充性差的难题,检测范围从局部提升到多个管理区域。
2.2 入侵检测系统的特点与局限
基于主机的入侵检测系统具有执行率高、占用资源成本小,能够快速准确的定位入侵者,并联合系统与应用程序的行为特征对入侵进一步的嗅探及时作出响应。但它在一定程度上依赖于系统的可靠性,对系统本身具备的安全功能了解与合理的设置。主机日志信息提供的信息是有限的,不能避免来自网络层的入侵行为;可移值性差;检测带来的资源开销大。
基于网络的入侵检测系统可以访问到通信链路的所有层次;检测效率高,内容全面;不会影响主机性能和网络性能,资源开销较小。缺点是只能检测所在的网段,检测数据过于庞大并且不能结合操作系统特征来对网络行为进行准确的判断[3];不能针对加密的网络数据进行扫描协议或内容,防范入侵欺骗的能力较差。
前面介绍的分布式入侵检测系统,大部分是利用分布式架构进行数据搜集,然后把数据提交给入侵检测处理中心,在处理中心处理。其局限体现在:入侵检测的时效性弹性化明显;容易出现处理中心检测的单点故障与中心瓶颈;分布式数据量较大容易引起网络的阻塞和突发的资源占用;分布式系统的一致性问题难以得到有效的处理,异构的入侵检测系统难以协同工作。
3 基于三层移动Agent的入侵检测模型的研究
3.1 层移动Agent模型
三层移动Agent模型的原理就是把Agent分为三层:客户Agent、应用Agent与服务器Agent,其结构如下图2所示。
客户机Agent层:1)提供良好的用户交互接口,方便用户获取信息;2)提供一个跟移动设备及其地理位置相关的数据id_place描述其用户的位置;3)为应用代理派生服务及相关接口的产生;4)提供数据二级缓存。
应用Agent层:是一个主动对象(D,M,SD,P),其中D是指一级本地数据,M是一组方法,SD是这些方法之间的一组结构依赖关系,P则是一组中断点和重定位点[5]。提供了如下功能:1)提供了自主查询与协同工作的能力;2)移动的能力及其提供信息一级缓存;3)具有非对称性。
服务器Agent层:1)提供工业化标准的数据查询服务接口;2)提供静态IP接入的功能。
3.2 基于三层移动Agent的入侵检测模型
关键词:移动Agent;監测模块;精准性;操作性
中图分类号:T9393 文献标识码:A 文章编号:1009-3044(2018)09-0037-02
1 概述
移动Agent是在人工智能的领域发展而来的一门新型技术,旨在模拟人的属性和方法,具有高精准度,高智能化的,能够自主运行和调用服务的应用接口。在1993年,General Magic公司推出的商业移动代理系统Telescript第一次提示了移动Agent的概念[1]。移动Agent是基于在移动环境的环境前提下,计算机或其他通信设备在没有与固定的物理设备连接的情况下能够相互传输数据,Agent具有一定的自适应性,能够对周围的环境作出反应,通过触发对应的策略,体现出目标出现的行为。如图1所示其中,Environmental表示Agent服务的运行的环境,它是整个系统实现的核心,Agent可以在其上无规则的移动,用以完成数据的交互任务。
在如今针对移动主机的攻击或者利用移动主机发起攻击的安全事件日益增多,攻击手段和技术的不多样化。所以,现在的移动网络安全的解决方案中,网络入侵检测成为了不可缺少的安全组件。而来源与分布式人工智能领域的移动Agent技术,已经融入网络追踪的各个维度,笔者根据移动Agent的基础上建立一个基于三层移动Agent的入侵检测模型。
2 目前入侵检测系统的研究现状
2.1 入侵检测系统系统简述
目前的入侵检测系统,绝大多数是基于Den-ning[2]的入侵检测模型。它的原理是将网络数据包、审计记录及其他可以监测到的任意行为,作为入侵检测系统中的异常操作的依据,通过与检测系统中已有的攻击模式样本进行比对。从检测方法上可以将入侵检测系统分为异常检测(anomaly detection)与误用入侵检测(miuse detection)两种类型。异常检测是通过匹配资源使用者的行为或资源使用状况的正常程度的偏差来判断是否产生了入侵,而不是凭借具体的行为是否执行来检测。误用检测是通过事前定义好的入侵模式,通过判断在实际安全审计数据中是否出现预定义的入侵模式来产生判断,从而完成检测功能。
而一般的入侵检测系统是基于数据源的分类是根据数据源或者是说审计事件发生器,可以分为基于主机(Host-based)和基于网络(Network-based)。基于主机的IDS 的检测目标是主机系统和系统本地用户,原理是根据主机审计数据和系统日志发现可疑事件[3],它的结构是C/S 模型。基于网络的IDS 嗅探来自网络层的信息,管控网络数据流量并进行分析,同时网络型入侵检测系统负担着保护整个网段的任务[4]。
为了增加传统的入侵检测系统的可维护性、可扩展性、容错率和检测效率,有一部分机构提出了以自治代理构架的分布式入侵检测系统的方法。采用自治代理的分布式入侵检测系统由下列模块组成:自治代理、数据过滤器、收发器、检测器和用户交互接口等,不同实体之间采用消息机制来协调工作。在分布式入侵检测系统中,数据分析的数目取决于被检测主机,解决了入侵检测系统扩充性差的难题,检测范围从局部提升到多个管理区域。
2.2 入侵检测系统的特点与局限
基于主机的入侵检测系统具有执行率高、占用资源成本小,能够快速准确的定位入侵者,并联合系统与应用程序的行为特征对入侵进一步的嗅探及时作出响应。但它在一定程度上依赖于系统的可靠性,对系统本身具备的安全功能了解与合理的设置。主机日志信息提供的信息是有限的,不能避免来自网络层的入侵行为;可移值性差;检测带来的资源开销大。
基于网络的入侵检测系统可以访问到通信链路的所有层次;检测效率高,内容全面;不会影响主机性能和网络性能,资源开销较小。缺点是只能检测所在的网段,检测数据过于庞大并且不能结合操作系统特征来对网络行为进行准确的判断[3];不能针对加密的网络数据进行扫描协议或内容,防范入侵欺骗的能力较差。
前面介绍的分布式入侵检测系统,大部分是利用分布式架构进行数据搜集,然后把数据提交给入侵检测处理中心,在处理中心处理。其局限体现在:入侵检测的时效性弹性化明显;容易出现处理中心检测的单点故障与中心瓶颈;分布式数据量较大容易引起网络的阻塞和突发的资源占用;分布式系统的一致性问题难以得到有效的处理,异构的入侵检测系统难以协同工作。
3 基于三层移动Agent的入侵检测模型的研究
3.1 层移动Agent模型
三层移动Agent模型的原理就是把Agent分为三层:客户Agent、应用Agent与服务器Agent,其结构如下图2所示。
客户机Agent层:1)提供良好的用户交互接口,方便用户获取信息;2)提供一个跟移动设备及其地理位置相关的数据id_place描述其用户的位置;3)为应用代理派生服务及相关接口的产生;4)提供数据二级缓存。
应用Agent层:是一个主动对象(D,M,SD,P),其中D是指一级本地数据,M是一组方法,SD是这些方法之间的一组结构依赖关系,P则是一组中断点和重定位点[5]。提供了如下功能:1)提供了自主查询与协同工作的能力;2)移动的能力及其提供信息一级缓存;3)具有非对称性。
服务器Agent层:1)提供工业化标准的数据查询服务接口;2)提供静态IP接入的功能。
3.2 基于三层移动Agent的入侵检测模型