基于移动代理和动态拓扑结构的入侵检测系统模型

admin管理员组

文章数量:1533909

2024年3月22日发(作者：)

维普资讯

计算机科学２００６Ｖｏ１．３３　Ｎｏ．９　

基于移动代理和动态拓扑结构的入侵检测系统模型　

邓一贵　，。　王康　涂光友　，。邱全杰　

（重庆大学计算机学院　重庆４０００４４）　（重庆大学网络技术与管理中心　重庆４０００４４）　

摘要分布式网络攻击的破坏性越来越大。网络在运行中拓扑结构又是在动态变化的。如何在拓扑结构变化的网　

络中去发现和阻止网络攻击，本文提出了一个基于移动代理技术的模型。模型由拓扑发现代理、拓扑计算代理、检测　

代理、追踪代理、阻击代理组成。拓扑发现代理和拓扑计算代理完成网络拓扑结构跟踪，检测代理、追踪代理、阻击代　

理完成对分布式网络攻击的探测、追踪、阻止。该模型具有适合大规模网络、占用网络带宽少、能自动跟踪网络拓扑变　

化、系统的入侵检测和响应与拓扑变化无关等特点。　

关键词入侵检测，入侵阻击，移动代理，动态拓扑　

Ｉｎｔｒｕｓｉｏｎ　Ｄｅｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ　Ｍｏｄｅｌ　Ｂａｓｅｄ　ｏｎ　Ｍｏｂｉｌｅ　Ａｇｅｎｔ　ａｎｄ　Ｄｙｎａｍｉｃ　Ｔｏｐｏｌｏｇｙ　

ＤＥＮＧ　Ｙｉ—Ｇｕｉ　’　ＷＡＮＧ　Ｋａｎｇ　ＴＵ　Ｇｕａｎｇ　Ｙｏｕ　＿。ＱＩＵ　Ｑｕａｎ－Ｊｉｅ　

（Ｎｅｔｗｏｒｋ（；ｅｎｔｅｒ，Ｃｈｏｎｇｑｉｎｇ　Ｕｎｉｖｅｒｓｉｔｙ，Ｃｈｏｎｇｑｉｎｇ　４０００４４）　（Ｃｏｌｌｅｇｅ　ｏｆ　Ｃｏｍｐｕｔｅｒ　Ｓｃｉｅｎｃｅ，Ｃｈｏｎｇｑｉｎｇ　Ｕｎｉｖｅｒｓｉｔｙ，Ｃｈｏｎｇｑｉｎｇ　４０００４４）　

１　引言　

随着Ｉｎｔｅｍｅｔ的迅速发展，越来越多的系统遭到入侵攻击　

检测代理、追踪代理、阻击代理组成。拓扑发现代理和拓扑计　

算代理完成网络拓扑结构跟踪，检测代理、追踪代理、阻击代　

理完成对入侵的探测、追踪、阻止。拓扑发现代理向全网只发　

的威胁。当今攻击者的知识日趋成熟，攻击手段的日趋复杂多　

样，传统的安全方法，已经无法满足网络安全需要，网络的安全　

防卫必须采用一种纵深的、多样的手段，随着Ｉｎｔｅｒｎｅｔ的发展，　

送链路状态变化事件，这样既适合大规模的网络又尽量减少　

了入侵检测系统占用网络带宽。考虑到绝大部分时间拓扑状　

态是相对稳定的事实，拓扑计算代理也只更新本地节点到其　

他节点发生了变化的最短路径表项，如此既跟踪拓扑状态的　

网络规模和技术的膨胀将导致各种数据量剧增，黑客采用联合　

攻击的方式增多，这种问题会更加突出。入侵检测系统已成为　

必不可少的重要手段。网络入侵检测现已成为目前众多网络　

安全手段中的核心技术，它能弥补其他安全技术的不足。　

移动Ａｇｅｎｔ技术是人工智能技术、分布式技术和网络技术　

的产物，它的优势逐渐在各个领域中的不断体现，人们对于　

Ｍｏｂｉｌｅ　ａｇｅｎｔ技术的优点与入侵检测技术的结合体现极大的兴　

变化又减少了对最短路径表写入的内容和次数，提高了拓扑　

计算代理的处理效率和最短路径表的相对稳定性。拓扑发现　

代理、入侵检测代理和追踪代理只向本地节点当前可到达的　

节点发送相关消息或事件，减少了系统对网络带宽的占用并　

使得系统的入侵检钡４和响应与拓扑变化无关。基于以上的设　

计思想，入侵检测系统模型设计如图１所示。　

趣，有相当的研究表明该技术能够对其检测的实时性、准确性　

有相当大的提高同时对于扩大网络的检测范围有很明显的作用。　

网络在运行中拓扑结构因设备运行状态的变化而在动态　

变化，如何在变化的拓扑结构中去发现和阻止网络攻击？本　

文采用移动Ａｇｅｎｔ技术来跟踪网络在运行中拓扑结构的动态　

变化以及网络入侵检测和入侵阻击。本文第２节提出了一个　

３入侵检测系统各代理算法设计及实验　

根据所提出的入侵检测系统体系结构及其设计思想，各　

代理的具体算法如下。　

阻击代理：　

ＢＥＧＩＮ　

基于移动代理技术的入侵检测系统的设计思想及其体系结　

构。第３节介绍了入侵检测系统各代理算法及实验。最后对　

所提出的入侵检测系统的特点进行了总结并提出了以后进一　

步研究内容。　

ＩＦ本节点是网络节点ＴＨＥＮ　

从断口列表中取出一个端口；　

ＲＥＰＥＡＴ　

ＩＦ端口连接的是主机节点ＴＨＥＮ　

ＩＦ端口未指派阻击代理ＴＨＥＮ　

指派阻击代理　

ＥＮＤＩＦ　

ＩＦ端口未收到阻击代理发回的阻击成功的消息ＴＨＥＮ　

２入侵检测系统模型的设计思想及体系结构　

入侵检测系统模型由拓扑发现代理、拓扑计算代理、入侵　

邓一贵博士研究生，主要研究方向：计算机网络信息安全；王康

ＲＥＰＥＡＴ　

封闭端口一定时间；　

开启端口；　

询问阻击代理阻击结果　

教授，硕士生导师，主要研究方向：ＩＮＴＥＲＮＥＴ网络技术，信息网络安全技　

硕士，主要研究方向：ＩＮＴＥＲＮＥＴ网络技术，计算机网络信息安全。　术；涂光友

・　

博士研究生，主要研究方向：计算机网络信息安全；邱全杰

７４　・　

维普资讯

时向＿＝艇关杀检向　）　【Ｌｊ闭死查上＿山【Ｌ　

ＵＮＴＩＩ　阻击代理阻击成功　

ＥＮＤＩＦ　

Ｂ　【　ｌＮ　

Ｅ１　ＳＥ　Ｅ／／端１５连接是网络节点ｊ　

上　人人与一　

从该端１５转发相关被入侵节点子集信息　

ＥＮＤＩＦ　

一本侵侵入级　

级节所进侵代　

移到下一端口　

代点利程有理　

ＵＮＴＩｌ　所有端１５都收到相关阻击代理阻击成功消息（）Ｒ超　

理发阻击成功消息或超时消息　

监视当前系统事件；　

ＩＦ有　常ＴＨＥＮ　

将异常信息与入侵特征Ｊ车中特征进行　配；　

ＩＦ匹配成功ＴＨＥＮ　

生成追踪代理；　

将被入侵节点及入侵信息通知追踪代理　

ＥＮＤＩＦ　

ＥＮＩ）ＩＦ　

是主机节点］　

：　

用的ＴＣＰ或ＵＤＰ端口；　

关的系统漏洞和当前系统所打的补丁情况　

发阻击成功消息　

追踪代理：　

ＢＥＧＩＮ　

监视当前网络事件；　

ＩＦ有其他节点的入侵检测代理的入侵通知ＴＨＥＮ　

生成追踪代理；　

将网络通知中的被入侵节点集合通知追踪代理　

Ｅ　ＤＩＦ　

ＩＦ检测到经本节点攻击其他节点　ｔＨＥＮ　

向被攻击节点的入侵检测代理发送通知　

ＥＮＤＩＦ　

ＥＮＤ　

ｗＨＩＩ　Ｅ被入侵节点集合不为空　

从集合中取一个被入侵节点；　

根据被入侵节点从当前最优路由表中找出去往该节点的下　

跳地址；　

ＩＦ下一跳地址为新｛“现的地址ＴＨＥＮ　

一

拓扑发现代理：　

ＢＥＧＩＮ　

新建一个子集合；　

将被入侵节点地址加入到该子集合　

ＥＩ　ＳＥ　

检测本地邻接节点连接状态是否变化：　

ＩＦ连接状态有变化ＴＨＥＮ　

向本地拓扑计算代理发送状态变化事件；　

向全网可达的拓扑计算代理发送连接状态变化事件　

ＥＮＩ）ＩＦ　

ＥＮＤ　

将被入侵节点地址加入到该子集合　

ＥＮＤＩＦ　

拓扑计算代理：　

ＢＥＧＩＮ　

从被入侵节点集合减去刚才取出的被入侵节点　

ＥＮＤ　ＷＨＩＩ　Ｅ　

ＲＥＰＥＡＴ　

ＩＦ有本地链路事件到来或者其他节点发来链路状态变化事件　

ＴＨＥＮ　

从下一跳地址集合中取ｍ一个地址；　

向该地址发送所对应的被入侵节点子集合信息；　

从下一跳地址集合中减去该地址　

ＵＮＴＩＩ　下一跳地址集合为牵　

ＥＮＤ　

调整本地的全网链路状态图；　

根据Ｄｉｊｋｓｔｒａ算法计算本地节点到其他节点的最短路径；　

ＩＦ到其他节点的最短路径发生变化ＴＨＥＮ　

更新最短路径表ｌ｛】相应的表项　

ＥＮＩ）ＩＦ　

ＥＮＤＩＦ　

ＥＮＤ　

入侵检测代理：　

本地阻击代理　

去往其他节点的　

————　

ｒ——　———　ｔ＼　相孤　

阻击代理　

●　

●　

●　

．．．．．．．．．．．．．．．．．．　．．．

／　覆箬／　到的入侵信息　＼　　＼　

其他相关节　

点的拓扑发　

现代理　

＝＝＝Ｌ＿＝　＝＝＝　＼　：ｉ　

圈ｌ入侵信息Ｉ　圈Ｉ侵检测代理Ｉ　…。圈Ｉ侵检测代理ｌ　———　

本地各链路　

状态　

＼　

息　

！！！．．．．．．　．．．．．．．一　

去往其他节点的　

阻击代理　

前一时刻金网拓　

扑信息　

其他节点上的　

拓扑发现代理　

图１入侵检测系统模型的体系结构　

基于移动代理和动态拓扑结构的入侵检测模型系统在　

总结移动Ａｇｅｎｔ技术对入侵检测和入侵阻击具有实时　

ＩＢＭ　Ａｇｌｅｔｓ平台上进行编程实验，并对模型的能否跨网段、　

适用的网络规模、占用网络带宽情况、自动跟踪网络拓扑变化　

性、准确性，对于扩大入侵检测的范围和网络拓扑跟踪以及灵　

活进行入侵阻击有很明显的作用。实验表明，本文所提出的　

入侵检测系统模型具有适合大规模网络、占用网络带宽少、能　

自动跟踪网络拓扑变化、系统的入侵检测和响应与拓扑变化　

无关等特点。　

本文的重点是研究入侵检测和入侵阻击的系统模型，未　

情况、系统的入侵检测和响应与拓扑变化是否相关等目标进　

行了测试，测试的结果较好地体现了模型的设计目的和思想。　

测试环境选用４台Ｗｉｎｄｏｗ２０００　ｐｒｏｆｅｓｓｉｏｎａｌ　ＰＣ机（ＰⅢ　

４５０，１２８Ｍ内存，２０Ｇ硬盘）和一台Ｉ　ｉｎｕｘ服务器（Ｐ４　１．３Ｇ，　

２５６Ｍ内存，４０Ｇ硬盘）；网络环境为具有４Ｏ多个子网的校园　

网。测试软件工具采用Ｓｎｏｔ，根据检测规则发送指明规则文　

件、源地址、目的地址以及数据包产生频率入侵数据包。Ｓｎｏｔ　

的使用简单，只需要指明规则文件、源地址、目的地址以及数　

涉及入侵检测代理和入侵阻击的具体内容。以后将进一步研　

究入侵检测和入侵阻击的相关技术及其在实际网络如何同移　

动Ａｇｅｎｔ技术相结合，并研究其有效性和可靠性。　

据包产生频率。例如：ｓｎｏｔ—ｒ　ｓｎｏｒｔ．ｒｕｌｅｓ—Ｓ　１９２．１６８．０．１一ｄ　

１９２．１６８．１．１／２４一ｌ　０．１在当前运行的主机上发送源地址为　

参考文献　

１　翁莉萍．基于轻量级Ａｇｅｎｔ的入侵检测模型．计算机工程，２００２，５　

２　ＩＢＭ　Ａｇｌｅｔ　Ｗｏｒｋｂｅｎｃｈ，ｈｔｔｐ：／／ｗＷｗ．ｔｒ１．ｉｂｍ．ＣＯ．ｊｐ／ａｇｌｅｔｓ　

１９２．１６８．０．１，目标网段为１９２．１６８．１．１／２４，数据包符合　

ｓｎｏｒｔ．ｒｕｌｅｓ格式的数据包，发送频率为每０．１秒发送一个包，　

即１０ｐｋ／ｓ。　

３蒋建春，马恒太，等．网络安全入侵检测：研究综述，软件学报，　

２０００，１１（１１）：１４６０～１４６６　

・　

７５　・　

本文标签： 入侵代理检测拓扑系统