● 摘要
本文以北京航空航天大学的“校园一卡通”系统为基础,设计并实现了一种基于Agent的分布式入侵检测系统。“校园一卡通”系统的专网平台是整个一卡通系统的核心,现有的安全防护措施并不能彻底填补专网的安全漏洞。要解决这一问题,实用的方法之一就是建立入侵检测系统。同时随着入侵技术的发展,入侵方法已经变得多样化和复杂化,攻击范围也从针对特定主机的攻击上升为针对内部网络的攻击,所以引入分布式入侵检测对提高系统的安全性有着重要的意义。本系统的功能需求分为以下六个方面:特征描述、监测、预警、日志、安全性能和扩展性能。检测需求基于以下两类:基于单一事件的入侵检测和协作入侵检测。本文设计了一种基于移动Agent的分布式入侵检测模型。该模型使用分布式组件来进行入侵数据的收集及分析,是对传统的集中式入侵检测系统的一大改进;使用移动Agent作为自治的检测单元,在各受控主机之间自主迁移,分析日志数据,进而发现入侵并作出应急响应。此外,利用移动Agent的迁移性实现了对分布式、协同式攻击的检测,为解决目前的分布式攻击问题提供了一种有效的防范措施。本系统以基于主机和基于网络两类数据源为入侵检测数据源,以误用入侵检测和半异常入侵检测相结合的检测技术,设计了无检测中心主机的分布式体系结构和逻辑结构。本系统由入侵检测移动代理、入侵检测移动代理的服务设施、中央管理监视器和中央管理监视器备份四个部件组成。在系统实现中,本文定义了基于XML格式的入侵特征描述,使用Java语言在Voyager ORB平台上实现了分布式入侵检测系统的主体框架,利用JMS技术实现了代理之间的通讯,利用JNI技术实现了本地主机应用程序的访问。在这些工作的基础上完成了分布式入侵检测系统。本系统已经在北航“校园一卡通”系统中试用,测试的结果良好:可以检测出基于主机的7类入侵、基于网络的10余类单一事件入侵和一些协作入侵(如CodeRedX等);系统客户端负载不会影响客户端用户正常使用,处于正常负载范围内;移动代理的实时性基本满足系统的要求。本系统取得了预期的效果。
相关内容
相关标签