基于MA的分布式入侵检测方法研究

摘要： 本文在总结先前存在的入侵的检测和防御方法的同时，阐述了以移动为基础的的入侵检测。相对于传统的方法，这种检测方法很大程度上提高了检测系统进行自我恢复和抵抗毁坏的能力。

键词： 移动；分布式的入侵检测系统；安全

中图分类号：TP393 文献标识码：A 文章编号：1006-4311（2013）16-0199-02

0 引言

因特网在人们的生活学习工作中日益普及，扮演着越来越重要的角色。而与此同时，它带来的网络安全问题也不容忽视。传统的常用网络入侵防范设备是防火墙。但是，随着入侵技术的提高，防火墙已经不能完全保障网络安全。这时入侵检测系统进入人们的视野，成为一种重要的网络安全保护的补充措施，发展迅速。

1 基于移动技术的分布式的网络入侵检测系统概述

传统网络入侵防御检测系统一般在单主机系统中收集分析数据。而这种数据收集分析方法对抗分布式入侵攻击，对服务攻击的防范和检测的能力不强。而分布式的网络入侵防御检测方法能有效避免上述不足，已经日益成为信息安全等领域普遍关注的焦点。但是，这种分布式结构虽然相对传统的检测系统有极大的进步，但仍有局限性：①网络入侵检测的实时性比较差；②有时会单点失效：集中分析器实为系统的薄弱环节，若入侵者利用这个弱点使集中分析器无法工作，将使IDS系统整体瘫痪；③系统的可扩展性相对较差：集中分析器处理能力的大小直接限制了被检测的网络规模的大小；④网络通信载量有限，当大量信息同时传输时，会出现问题。

针对这些状况，以移动为基础的分布式网络入侵检测应运而生。

移动具有不同于其他方式的优异特性，因而很快在一些新兴领域受到关注。移动实质是一种在执行中自治地、有目的地将数据在网络上的不同主机上传播的数据、代码以及语境执行软件包。它通过各节点资源之间的局部交互达成目的，与此同时还可以根据具体情况自主选择进行移动时间地点。因此，这种软件包被人们称作移动智能体。这种新型方式相对传统的静态，特点在于在整个系统运行期间它可以实现虚拟机之间的自主迁移而不需要执行中断程序。

移动作为一种新型技术，在跨平台、分布式、大规模应用中充分体现出其独特优势，同时具备智能化和分布式的协调统一处理的特点。将该技术运用在入侵检测过程中，可以有效地提高安全性，对传统的网络入侵防范检测系统缺乏良好的协调性的缺点进行弥补。建立新型的移动模型从而达到多个检测点同时并行检测的目标，及时有效地处理动态变化，协同工作，发挥其有效防范网络入侵，维护网络安全的作用。

2 移动技术种类

DIDS这一系统有许多种类，一般我们会按照他们在系统中所承担的不同职责，划分为静态和移动，接下来我们会详细对这两种类型进行分析。

2.1 静态 配置：主机上用户每次请求进行连接时，设置在主机上的配置就立刻开始执行。配置的主要功能是为用户提供接口和执行本主机移动配置和配套的一些配置；管理：这种一般驻留于系统中的安全管理器，任务主要是根据需要，分别将巡逻、配置、防御以及派遣动态地以移动形式准确及时地发送到系统服务器、系统工作站、用户PC机、网关以及主机上，以便于对系统的整个网络入侵及时进行检测、警示和防范。

2.2 移动 防御：这是一种起防御功能的系统。真正发生其他恶意对移动发动入侵的时候，管理就会负责将适合的防御作为防御手段传到已经被入侵的系统主机上，取消用户非法连接并且阻挡非法的用户帐号，来防御网络入侵；派遣：一种鉴别功能的，能够鉴别哪种入侵类型的智能性。它们是被管理分别分派到被检测到有可疑行为的主机上，然后运用比对、协商等方法共同确定是否真的有可疑行为入侵，将检测到的最终结果发送到管理；巡逻：这种主要负责在规定网络范围内对系统的全部主机进行巡逻，及时准确地对用户的行为进行测查。若发现有可疑行为，它会及时准确地向管理传递求助信息。

3 基于移动的分布式入侵检测的安全性分析

本文所述的这种检测防范方式虽然很大程度上促进了网络入侵检测防御方法的进步，弥补了先前那些网络入侵检测防御系统的很多漏洞。但是，不得不承认，应用灵活性和程序自由迁移以及移动技术的引入会给网络系统造成安全问题。这种安全问题主要有两种：

3.1 移动的服务器发生安全问题。移动的服务器有时会受到其他恶意攻击进而受到损坏。

3.2 移动存在的安全问题。移动在执行过程中可能会遭到来自恶意攻击。恶意可以利用自己的服务器擅自修改、截取移动传输数据或代码，从而窃取移动传输的敏感信息。

4 解决方法

首先，移动的服务器发生的安全问题源于移动的服务器允许系统内所有主机上的各种移动在它的机器上运行，这样就为某些恶意对移动的服务器进行恶意攻击提供了机会。此类攻击主要有损坏移动的服务器内部信息、盗取移动传输过程中的重要信息、其他干扰性的攻击等。对于这种恶意攻击我们可以通过对公钥的基础设施进行严格的准入控制和严格把握特权管理的基础设施，来对使用系统资源的权限进行控制和防范。其次，针对移动中存在的安全问题，我们的解决方式是：移动只能在移动的服务器运行，因此恶意移动自身的服务器要对普通的移动进行攻击就相对比较容易，这就为恶意提取普通移动信息，拒绝正规移动的访问和移动的使用资源，修改移动的代码提供了方便。所以这种问题相对上面的问题更难解决。对移动进行3层保护的方案是现在针对这种问题比较通用的解决方式。这3层保护分别指对移动同时进行代码的加密和混淆、控制生存期。加密代码对有效阻止恶意主机修改、窥探移动的代码，提高系统安全性和保密性有很大作用。混淆代码增加了恶意攻击者进行攻击的难度，即使恶意攻击能够成功，也需要花费很长时间，可能超过了移动生存期限，这样恶意攻击也就没有了任何意义。对移动自身进行加密不失为有效地安全保护机制，但这会降低移动的效率，需要我们合理权衡效率和安全。

5 结束语

21世纪是信息时代。因特网的飞速膨胀，网络技术日新月异。这为网络发展提供契机的同时，也给网络入侵防御带来难题。新型检测系统有效弥补了现有的集中固定式的入侵防御检测系统在网络内部入侵检测方面存在的缺陷。并且这种系统有网络负担轻、灵活、高效、易构、容错等优点。我们也不可否认，这种系统的自身安全性仍有缺陷，需要更深一步的研究。

参考文献：

[1]段海心，吴建平.一种分布式协同入侵检测系统的设计与实现[J].软件学报，2011（21）.

[2]王秀琴，华蓓，熊焰.基于移动的网络管理系统的研究与设计[J].计算机工程，2012（11）.

[3]马恒太，蒋建春，陈伟锋.基于Agent的分布式入侵检测系统模型[J].软件学报，2011（10）.

[4]刘双印，徐龙琴，徐兵，李振坤.基于Mobile Agent分布式入侵检测系统研究[A].电脑开发与应用，2012（12）.

[5]张光荣，陆松年.基于移动的分布式入侵检测系统的研究[A].计算机工程与设计，2012（12）.