一种基于代理技术的、应用于大规模分布式入侵检测系统的任务分派机制,以静态代理为主,移动代理为辅,实现系统的负载平衡、实时响应以及移动代理的控制功能,静态代理分布于各个功能层,完成不同的任务,协调模块位于协调管理层,它专门负责移动代理的管理工作,移动代理由管理人员事先编写代码,存放于移动代理库中,由管理人员通过人机界面不断更新, 处于各个功能层的静态代理在工作过程中可能会突发一些异常情况无法处理或者该网络节点处负载过重,从而降低入侵检测系统的效率,这时候,静态代理会向协调模块发出请求消息,以得到协调模块的支援, 协调模块收到静态代理的请求之后,会从移动代理库中选择合适的移动代理进行传输,整个传输的过程可以描述如下:认证请求者、协调模块选择合适的移动代理、协调模块序列化该移动代理的类和状态的实例、选择传输协议对序列化后的移动代理进行编码、传输移动代理,静态代理收到协调模块的应答之后,采用相反的措施接收移动代理,过程如下:认证移动代理的可用性、用相同的协议对移动代理解码、反序列化移动代理的类和状态、恢复移动代理的状态、恢复移动代理的执行,然后,移动代理在静态代理处运行,协助静态代理解决所发现的问题,同时,与协调模块保持联系,把本地情况向协调模块作出响应, 完成任务后,移动代理向协调模块发出请求的消息,请求撤消,协调模块收到消息之后会给移动代理发送应答,终止该移动代理的进程,这就是整个任务分派机制。(*该技术在2023年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术属于网络安全领域,具体涉及一种基于移动代理技术的分布式大规模入侵检测系统之中协调模块对移动代理的实时控制机制。通过Internet,可以很方便地从异地取回重要数据,同时又要面对网络开放带来的数据安全的新挑战和新危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要问题之一。网络安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。为了在一定程度上保障网络上信息的安全性,一系列安全技术比如防火墙、虚拟专用网、入侵检测系统、身份认证、数据加密、安全扫描等等成为研究的热点。目前,已经比较成熟的防火墙技术存在着弊端,比如后门、内部攻击、实时性以及对病毒的防范。入侵检测系统(IDS,Intrusion Detection System)作为一种主动防御策略,可以弥补防火墙的不足,为网络安全提供实时的入侵检测并采取相应的防护手段。随着网络规模的不断扩大,网络攻击手段也在不断发展,例如分布式拒绝服务攻击造成了巨大的经济损失并且以目前的技术手段难以防范,这时候,基于主机以及小规模网络的入侵检测系统显示了其局限性,而将入侵检测系统应用于大规模高速网络成为入侵检测系统研究的新的立足点。为了能够应用于大规模高速网络并检测分布式攻击,入侵检测系统一般采用分层的分布式结构,通过分散采集、分布处理和集中管理,满足了大规模高速网络的需求。称这种应用于大规模高速网络的入侵检测系统为大规模分布式入侵检测系统。代理和移动代理是近年来新提出的概念和技术,代理是一个软件实体,它能够连续自主地在特定的环境中工作,能够随着外界条件的变化灵活智能地进行反应。一个理想的代理应该有很好的继承性,并能够与系统中的其他代理进行通信,而且还可以在不断地移动中完成上述操作。静态代理(StationaryAgent)驻于某一固定的位置或某一固定的平台。移动代理(Mobile Agent)是一个代替人或其它程序执行某种任务的程序,它在复杂的网络系统中能自主地从一台主机移动到另一台主机,该程序能够选择何时、何地移动。在移动时,该程序可以根据要求挂起其运行,然后转移到网络的其它地方重新开始或继续其执行,最后返回结果和消息。代理技术自身的很多优点使其可以应用于入侵检测系统,并极大提高了入侵检测系统的效率和可用性。国际上很多研究IDS的工作组,比如日本IPA(Information-technology Promotion Agency)的IDA(Intrusion DetectionAgent system)、美国IOWA州立大学的MAIDS(Mobile Agents IntrusionDetection System)、Purdue大学的AAFID(Autonomous Agents For IntrusionDetection)等都把代理技术作为研究入侵检测系统的新的切入点。本专利技术的目的本专利技术的目的在于避免基于移动代理的大规模分布式入侵检测系统中各部件之间负载不均衡或者突发事件不能响应而提供一种移动代理的控制方法。在大规模分布式入侵检测系统中,处于各个功能层的静态代理,会突然发生一些异常情况,比如有大量数据需要处理或出现大量入侵行为需要应对的情况,在这种情况下,使用已有的资源和处理能力无法完成数据处理任务,而如果数据不能及时得到处理,那势必会出现漏包、丢包的情况,从而降低入侵检测系统的效率。使用本专利技术,就是根据需要由协调模块派出移动代理,到需要的地方去执行任务。这样一方面加强了那里的处理能力,使某一局部的处理能力和实际的需求相适应,使得某一局部负载不会过大;另一方面派出移动代理可以执行特殊的任务,也就是说,下层的处理模块(可以是静态的代理)只具备常规的处理能力,完成一般的处理任务,但它们具备一定的怀疑能力。而协调模块派出的移动代理是专门用于处理复杂情况的,比如检测未知攻击等。首先,本专利技术是针对大规模分布式入侵检测系统的四层结构提出来的,这个四层结构由下层到上层按照数据流分别是数据采集层、数据分析层、数据融合层以及协调管理层,四层相应完成特定的功能,一个重要的模块——协调模块处于协调管理层,它的主要工作是对代理进行实时控制和管理,完成移动代理的克隆、迁移并回收的过程,合理地使用和分配移动代理,合理地给它们分派任务。在本专利技术中,为了确保代理之间通信的顺利进行,代理这种软件实体的名字必须是全局唯一的,以把自己和其他代理区别开来。移动代理在网络间移动,需要改变自己的位置,以便于协调模块对其进行跟踪或通信,协调模块可以提供定位服务对代理进行正确定位。协调模块提供名字服务和代理的定位服务,可以用作名字服务器。代理一旦创建,就在协调模块中注册自己的名字和当前位置。移动代理迁移时,要在协调模块中更新自己的位置信息,这时候协调模块作为定位服务器记录下移动代理的路径。名字服务很适合大规模的移动代理环境,在Internet上,它可以像DNS服务器一样,以树型层次提供代理定位服务。在已实现的移动代理系统中,代理的名字必须拥有一个全局唯一的名字或ID来唯一标识这个代理。为了获得自己的唯一ID号,代理创建时需要向协调模块注册。这个注册功能由名字请求和应答消息来完成。代理创建后,向协调模块发送名字请求消息,这个消息包含了代理自己的有关信息,如本地名字、所在节点的IP、认证信息等。协调模块收到名字请求信息后,进行身份认证,通过后,记录该代理的有关信息,并根据ID的分配策略,为其分配唯一的ID值,并用自己的有关信息和此ID值对名字请求消息进行应答,发起请求的代理收到应答后,对协调模块进行身份认证,通过后,如果是静态代理就在协调模块的控制下运行,如果是移动代理就存储在移动代理库中,随时准备调出。整个注册过程可以用附图说明图1表示。本专利技术中涉及到的通信主要是代理与协调模块之间的通信,具体包括静态代理与协调模块的通信、移动代理与协调模块的通信以及静态代理与移动代理的通信。(1)静态代理与协调模块之间的通信静态代理分布于入侵检测系统的各个功能层,协助相应的功能模块完成特定的功能,提供不同的服务,静态代理与协调模块之间的通信可以采取通常的C1ient/Server结构,为了减少开发的工作量,具体可以使用基于RPC(RemoteProcedure Call)的通信机制。通信模型如图2。(2)移动代理与协调模块之间的通信移动代理创建后存放于移动代理库中并处于休眠状态,在需要的时候由协调模块激活并迁移到需要的地方完成任务。移动代理在移动的过程中始终与协调模块保持联系,直到任务完成被终止。移动代理与协调模块之间的通信也是Client/Server结构,可参照静态代理与协调模块的通信。通信模型如图3。(3)静态代理与移动代理之间的通信静态代理与移动代理的通信主要发生在移动代理的接收过程以及移动代理协助静态代理完成任务的过程中。静态代理与移动代理进行交互的过程可以看作两个对等体之间通信,因此它们之间可以采用BEEP进行通信,静态代理在对移动代理的状态成功恢复之后,即在静态代理与移动代理之间建立一个BEEP会话,这个BEEP会话包括多个BEEP信道,以方便静态本文档来自技高网...
【技术保护点】
【技术特征摘要】
【专利技术属性】
技术研发人员:褚永刚,江为强,魏战松,杨义先,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。