首頁
排行
完本
足跡

第三十二章 無線與衛星通信(三)(2 / 3)

通信網絡與信息技術2007(全4冊) 劉恒臣;夏明;宋開強主編

為了提高入侵檢測技術的效率和準確性,本文在成簇adhoc網絡中將入侵檢測的數據源的來源劃分為來自本簇內結點(包括本結點)和來自其他簇內結點兩類。根據數據源的不同來源選擇不同的處理方法。

3.2移動代理技術的引入

移動代理是一個代替人或其他程序執行某種任務的程序,它在複雜的網絡係統中能自主地從一台主機移動到另一台主機,該程序能夠選擇何時、何地移動。在移動時,該程序可以根據要求掛起其運行,然後轉移到網絡的其他地方重新開始或繼續其執行,最後返回結果和消息。

移動代理的移動性是它和一般代理的區別所在。移動代理的移動一般是在異質主機上持續移動。由於移動代理會在運行狀態下掛起、移動,然後繼續執行,因此移動的對象除了程序外,還必須有代理的當前運行狀態信息和相應的數據。移動代理自主性指移動代理能在沒有人或其他代理直接幹涉和指導的情況下持續運行,並能控製其內部狀態和動作。代理的移動一般是由代理自主決定進行的。

移動代理技術有著節約網絡帶寬、提供實時的遠程監控、支持離線計算、提供平台無關性和增強應用的強壯性等優點。可以說移動代理有著自適應的網絡監控和管理的優勢,是分布式數據處理的有效工具。

目前,大多數其他分布式對象技術雖然是分布的,但卻是靜態的。adhoc網絡具有帶寬低、延遲高、移動設備計算能力弱、難以一直維持網絡連接的缺點,移動代理技術是適合的突出方法。因此,本文將移動代理技術應用於對分布式跨簇的數據源處理。即針對數據源的來源是來自其他簇內結點的入侵檢測的數據收集和數據分析采用了移動代理技術。

3.3功能模塊

本文中每個主機上的移動代理入侵檢測係統由通信接口模塊、本地數據收集模塊、移動代理平台模塊、移動代理模塊、分析引擎模塊、響應模塊組成,本地數據收集模塊由數據鏈路層數據收集、網絡層數據收集、傳輸層數據收集和應用層數據收集組成。分析引擎模塊由數據鏈路層分析引擎、網絡層分析引擎、傳輸層分析引擎和應用層分析引擎,以及移動代理分析引擎組成。

MAMIDIDM的模塊結構通信接口模塊是adhoc網絡與移動代理入侵檢測係統可靠通信的通道。為了兼容其他的標準定義入侵檢測係統,該模塊采用通用標準定義,提供了協同工作的基礎。

本地數據收集模塊負責從本地主機的多個層(數據鏈路層、網絡層、傳輸層和應用層)收集審計數據流。這裏的審計數據流就是數據源。依賴於具體采用入侵檢測算法的不同此數據源可以包括該主機的係統行為、用戶行為和通信行為,甚至可以包括該主機所觀測到的本簇內其他主機的通信行為。來源於本地主機數據鏈路層、網絡層、傳輸層和應用層的數據源的建立體現了多層檢測技術,它是本地乃至本簇內主機入侵的有效檢測前提。

同時,本模型又提出了來自於其他簇內結點的數據源,即移動代理模塊負責收集和處理的審計數據流。這裏的審計數據流來源於其他簇內的簇首,即可以是其簇內主機的係統行為、用戶行為和通信行為,又可以是其簇內結點的狀態信息。移動代理模塊在移動代理平台模塊的支持下能夠決定是將計算結果返回給它們的母移動代理入侵檢測係統,還是為了進一步調查來實現自身向其他簇的遷移。移動代理模塊利用本身的內部行為可以移動到通信對等實體,具有降低網絡負載和網絡可用性依賴的作用。移動代理模塊必須安全且係統獨立,尤其要能夠抵擋來自惡意代理的攻擊。

移動代理平台模塊用於安全地傳輸移動代理模塊,它是移動代理模塊安全保證的基礎之一。本係統中的移動代理平台模塊目前僅考慮支持TCPbrIP協議。

為了有效地處理多餘的計算和通信等負載數據,移動代理模塊的實現采用組件技術,保證了可伸縮性和可擴展性的要求。

對應於相應的本地數據收集模塊(數據鏈路層數據收集、網絡層數據收集、傳輸層數據收集、應用層數據收集)和移動代理模塊,整個移動代理入侵監測係統中進行數據處理的分析引擎模塊除了具有針對移動代理模塊的移動代理分析引擎以外,還具有同本機應用層、傳輸層、網絡層和數據鏈路層對應的多層分析引擎(數據鏈路層分析引擎、網絡層分析引擎、傳輸層分析引擎和應用層傳輸引擎)。

上述多個分析引擎在全局分析引擎的統一協調下構成分析引擎模塊。分析引擎模塊依賴於各個組成中的入侵檢測算法能夠有效地完成入侵的檢測。這裏檢測的入侵不僅來自本機乃至本簇內的主機,更重要的是通過移動代理技術的引入可以檢測到來自於遠程簇內的入侵,從而實現真正意義上的大範圍多簇信息協同檢測。

分析引擎模塊通過內部協同作用得到的結果對響應模塊進行安全觸發。

不同的入侵檢測係統檢測到入侵時,可以產生不同的響應方式,包括產生報警信息通知給係統管理員,甚至是更複雜的故障恢複(可疑鏈路的斷鏈操作,動態地去除入侵主機等)。目前本係統的響應模塊保證產生報警信息和對可疑鏈路的斷鏈操作。

4.結論

考慮在adhoc網絡中入侵檢測係統的分布式和協同工作的需要,本文中每個主機上的移動代理入侵檢測係統有著區別於其他入侵檢測係統的特點。

基於信任的簇劃分機製的提出,改變了傳統的簡單意義上的無線傳輸範圍的劃分,克服了adhoc網絡沒有清晰物理邊界,信息易於泄漏的嚴重缺陷。

本文將移動代理技術應用於對分布式跨簇的數據源處理。每個代理像移動傳感器一樣漫遊於網絡,執行特定的任務。本係統有著良好的移動性,且該移動性大幅度減少了交換數據,顯著地提高了協同操作的效率。同時通過對基於組件移動代理的動態添加使整個係統有著強的靈活性和擴展性。

上一頁 書頁/目錄 下一頁