電子科技大學(xué)計(jì)算機(jī)入侵檢測(cè)技術(shù)3

1、計(jì)算機(jī)入侵檢測(cè)(jin c)技術(shù)基于移動(dòng)(ydng)Agent的入侵檢測(cè)系統(tǒng)研究共四十二頁(yè)第三章 基于移動(dòng)(ydng)Agent的入侵檢測(cè)系統(tǒng)一、引言最初的入侵檢測(cè)技術(shù)是基于主機(jī)和網(wǎng)絡(luò)兩種，即HIDS和NIDS，然而它們具有很大的局限性，例如在高速網(wǎng)絡(luò)和加密通道等網(wǎng)絡(luò)環(huán)境就會(huì)捉襟見肘。在此基礎(chǔ)上出現(xiàn)了分布式的IDS，將HIDS和NIDS技術(shù)集為一身，讓它們發(fā)揮各自的長(zhǎng)處。但仍然存在一些不足：容易在單一節(jié)點(diǎn)上受到控制。例如當(dāng)中央處理單元崩潰時(shí)，整個(gè)IDS都會(huì)癱瘓；由于中央處理單元的能力有限，當(dāng)網(wǎng)絡(luò)規(guī)模增大而需要(xyo)擴(kuò)展IDS的時(shí)候，系統(tǒng)不易擴(kuò)展；此外，傳感器回送數(shù)據(jù)還會(huì)加重網(wǎng)絡(luò)的負(fù)荷。共四

2、十二頁(yè)第三章 基于(jy)移動(dòng)Agent的入侵檢測(cè)系統(tǒng)一、引言此后又出現(xiàn)了分布式分級(jí)IDS，整個(gè)結(jié)構(gòu)為樹狀。這種等級(jí)式結(jié)構(gòu)提高了系統(tǒng)的擴(kuò)展性，隨著層次的增多，每一層完成的功能相對(duì)減少，數(shù)據(jù)經(jīng)過不斷縮減，到了根結(jié)點(diǎn)的數(shù)據(jù)都已經(jīng)過了預(yù)處理，但這種結(jié)構(gòu)缺乏(quf)擴(kuò)展性和靈活性。還有一種完全分布式的peer to peer的IDS，是由Agent和Security Officer（SO）組成，每臺(tái)被監(jiān)控的設(shè)備上都裝有Agent和SO，SO可以分析本機(jī)Agent上的數(shù)據(jù)，也可以和其它設(shè)備上的SO協(xié)商處理分布式攻擊，但這種系統(tǒng)過于分布，沒有一個(gè)最終仲裁部件進(jìn)行決策，而且目前還沒有成熟的原型系統(tǒng)。 由于

3、各種體系結(jié)構(gòu)都存在這樣或那樣的不足，移動(dòng)Agent的引入成為了一種必然趨勢(shì)。共四十二頁(yè)一、引言(ynyn)1、傳統(tǒng)IDS體系結(jié)構(gòu)的不足：(1) 、網(wǎng)絡(luò)負(fù)荷較重。由于葉節(jié)點(diǎn)的Agent僅具有數(shù)據(jù)采集功能，所以必須回傳大量的數(shù)據(jù)給匯聚節(jié)點(diǎn)，造成網(wǎng)絡(luò)負(fù)荷加重；(2) 、響應(yīng)延遲增加。由于采用了等級(jí)式的結(jié)構(gòu)，響應(yīng)命令(mng lng)必須經(jīng)過對(duì)原始信息層層分析和篩選之后才能發(fā)布。由于信息量較大，就增加了響應(yīng)的延遲時(shí)間，在這個(gè)時(shí)間內(nèi)入侵者可能已經(jīng)完成了一次完整的攻擊；(3) 、Agent的自我保護(hù)性。由于采用了靜態(tài)Agent技術(shù)，其自我保護(hù)能力較差，容易受到入侵者的攻擊，且受損后的恢復(fù)能力不夠理想，表現(xiàn)

4、為不夠及時(shí)、靈活；(4) 、無(wú)法在大范圍內(nèi)統(tǒng)一配置和維護(hù)。共四十二頁(yè)一、引言(ynyn)2、移動(dòng)Agent技術(shù)可從以下幾個(gè)方面對(duì)傳統(tǒng)IDS進(jìn)行完善：(1)、改善了容易受控于單個(gè)節(jié)點(diǎn)的缺陷。由于移動(dòng)Agent的隨機(jī)遷移(qiny)和自動(dòng)藏匿功能，使得攻擊者很難確定Agent的位置；(2) 、加快響應(yīng)速度。由于移動(dòng)Agent的移動(dòng)計(jì)算能力，大量的數(shù)據(jù)分析在葉節(jié)點(diǎn)就可以完成，無(wú)需回送給中央處理部件；(3) 、減少網(wǎng)絡(luò)負(fù)荷。移動(dòng)Agent盡可能將計(jì)算移至數(shù)據(jù)所在地，而非將數(shù)據(jù)移至計(jì)算所在地，這樣就減少了網(wǎng)絡(luò)的負(fù)荷；共四十二頁(yè)一、引言(ynyn)(4) 、自治和異步執(zhí)行。移動(dòng)Agent可以存在且獨(dú)立于創(chuàng)

5、建平臺(tái)，滿足了上述需要；(5) 、動(dòng)態(tài)適應(yīng)。移動(dòng)Agent系統(tǒng)具有對(duì)環(huán)境的感知能力并能及時(shí)響應(yīng)變化，這對(duì)于入侵檢測(cè)(jin c)非常重要；(6) 、使得系統(tǒng)更易擴(kuò)展。無(wú)需在新近接入節(jié)點(diǎn)的設(shè)備上安裝信息匯聚模塊，只需由命令控制節(jié)點(diǎn)將移動(dòng)Agent發(fā)送到被檢測(cè)設(shè)備上即可。共四十二頁(yè)二、移動(dòng)Agent相關(guān)(xinggun)技術(shù)1、定義定義3.1 Agent是駐留于環(huán)境(hunjng)中的實(shí)體，它可以解釋從環(huán)境(hunjng)中獲得的、反映環(huán)境(hunjng)中所發(fā)生事件的數(shù)據(jù)，并執(zhí)行對(duì)環(huán)境(hunjng)產(chǎn)生影響的行為。 定義3.2 軟件Agent是能為用戶執(zhí)行特定的任務(wù)、具有一定程度的智能，允許自

6、主執(zhí)行部分任務(wù)，并以一種合適的方式與環(huán)境相互作用的軟件程序。共四十二頁(yè)二、移動(dòng)(ydng)Agent相關(guān)技術(shù)2、基于移動(dòng)Agent的分布計(jì)算模式 （1）從應(yīng)用的角度看，真正實(shí)現(xiàn)了“網(wǎng)絡(luò)就是計(jì)算機(jī)”的思想。不僅應(yīng)用所需的資源分布在網(wǎng)絡(luò)中，整個(gè)應(yīng)用邏輯都可以在網(wǎng)絡(luò)上實(shí)現(xiàn)；（2）從系統(tǒng)的角度看，分布式資源的更充分(chngfn)共享成為可能，但管理也更為復(fù)雜；（3）從服務(wù)的提供和使用角度看，服務(wù)是客戶可定制的，其使用不再限于既定方式；（4）從通信協(xié)作的角度看，通信的主體是自主的Agent，可以實(shí)現(xiàn)對(duì)等（peer to peer）的通信模式； 共四十二頁(yè)二、移動(dòng)Agent相關(guān)(xinggun)技術(shù)3、

7、移動(dòng)Agent的優(yōu)點(diǎn) （1）減輕網(wǎng)絡(luò)負(fù)載：移動(dòng)Agent技術(shù)能較大程度的減少網(wǎng)絡(luò)上的數(shù)據(jù)流量。 （2）克服網(wǎng)絡(luò)隱患：對(duì)那些重要的實(shí)時(shí)系統(tǒng)而言，需要對(duì)環(huán)境變化做出實(shí)時(shí)反應(yīng)，目前的網(wǎng)絡(luò)控制對(duì)那些要求較高的實(shí)時(shí)系統(tǒng)而言是無(wú)法接受的。 （3）封裝協(xié)議：移動(dòng)Agent能夠直接移動(dòng)到遠(yuǎn)程主機(jī)，建立起一個(gè)基于私有標(biāo)準(zhǔn)的數(shù)據(jù)傳輸通道。（4）移動(dòng)Agent異步自主運(yùn)行：任務(wù)(rn wu)可以嵌入到移動(dòng)Agent中，然后將它通過網(wǎng)絡(luò)派遣出去。 共四十二頁(yè)三、MADIDS的體系結(jié)構(gòu)1、整體(zhngt)結(jié)構(gòu) MADIDS使用分層體系結(jié)構(gòu)，將部署在整個(gè)WAN上的入侵檢測(cè)系統(tǒng)劃分為若干域。每個(gè)域由域服務(wù)器管理，所有域服

8、務(wù)器由主服務(wù)器管理。 MADIDS由一個(gè)主服務(wù)器MS（Main Server）和若干域（Domain）組成。其中，MS負(fù)責(zé)協(xié)調(diào)和管理整個(gè)MADIDS的運(yùn)行；域內(nèi)通過高速LAN連接，域間是低速WAN連接；每個(gè)域由一臺(tái)域服務(wù)器DS（Domain Server）和若干主機(jī)（Host）組成。MADIDS中每臺(tái)服務(wù)器和主機(jī)都運(yùn)行Agent支持環(huán)境，整個(gè)MADIDS構(gòu)成一個(gè)大的移動(dòng) Agent運(yùn)行系統(tǒng)。共四十二頁(yè)三、MADIDS的體系結(jié)構(gòu)其體系結(jié)構(gòu)如圖3.1所示：圖3.1 MADIDS的體系結(jié)構(gòu) 共四十二頁(yè)三、MADIDS的體系結(jié)構(gòu)2、MADIDS中各入侵(rqn)檢測(cè)模塊的部署情況如下：(1)、基于主機(jī)

9、的事件產(chǎn)生器HEG（Host based Event generators）：事件產(chǎn)生器分為基于主機(jī)的事件產(chǎn)生器HEG和基于網(wǎng)絡(luò)的事件產(chǎn)生器NEG（Network based Event generators）兩種。(2) 、基于網(wǎng)絡(luò)的事件產(chǎn)生器NEG（Network based Event generators）：NEG并不需要在每臺(tái)主機(jī)部署，在一個(gè)域的所有主機(jī)中僅部署于兩臺(tái)上，可對(duì)域內(nèi)所有流經(jīng)網(wǎng)上的原始數(shù)據(jù)進(jìn)行監(jiān)聽。共四十二頁(yè)三、MADIDS的體系結(jié)構(gòu)(3) 、擴(kuò)展的事件分析器EEA（Extend Event analyzers）：EEA在每個(gè)域中，不配置于每臺(tái)主機(jī)（Host），而是存在于

10、域服務(wù)器（Domain Server）中，具有更復(fù)雜和完善的分析功能，例如可將專家系統(tǒng)、數(shù)據(jù)挖掘系統(tǒng)等集成于其中。(4) 、控制臺(tái)CS（Console）：控制臺(tái)CS通過接受事件分析器的分析結(jié)果，來判定是否(sh fu)存在入侵行為并做出相應(yīng)對(duì)策，每個(gè)域中僅部署一個(gè)控制臺(tái)，并存在于域服務(wù)器（Domain Server）上。(5) 、響應(yīng)單元RU（Response Units）：響應(yīng)單元RU，存在于系統(tǒng)內(nèi)各指定位置，并根據(jù)指令對(duì)入侵行為進(jìn)行相應(yīng)的響應(yīng)和處理。共四十二頁(yè)三、MADIDS的體系結(jié)構(gòu)(6) 、事件數(shù)據(jù)庫(kù)ED（Event Databases）：事件數(shù)據(jù)庫(kù)分3個(gè)層次存在于主服務(wù)器、域服務(wù)器（

11、Domain Server）和所有主機(jī)上（Host），分別為存放于主服務(wù)器的EDMS（Event Databases saved in Main Server），存放于域服務(wù)器的EDDS（Event Databases saved in Domain server）和存放于主機(jī)的EDH（Event Databases saved in Host）。(7) 、系統(tǒng)管理平臺(tái)SGM（System General Manager）：SGM存在于主服務(wù)器（Main Server）上，負(fù)責(zé)MADIDS系統(tǒng)的整體管理、維護(hù)、升級(jí)等工作，它不直接參與入侵檢測(cè)的具體(jt)事務(wù)。共四十二頁(yè)三、MADIDS的體系

12、結(jié)構(gòu)其模塊(m kui)分布如圖3.2所示：圖3.2 MADIDS中各入侵檢測(cè)(jin c)模塊的部署情況 共四十二頁(yè)三、MADIDS的體系結(jié)構(gòu)3、MADIDS分層體系結(jié)構(gòu)的優(yōu)點(diǎn) （1）HA負(fù)責(zé)各節(jié)點(diǎn)的工作，DA負(fù)責(zé)本域的管理工作，MA負(fù)責(zé)管理所有DA。這種體系結(jié)構(gòu)避免了將MADIDS中所有的管理工作集中在少數(shù)服務(wù)器上，而導(dǎo)致服務(wù)器成為系統(tǒng)工作和擴(kuò)展的瓶頸；（2）該結(jié)構(gòu)保證了各層次計(jì)算和數(shù)據(jù)能低代價(jià)、高效率的更新，從而保證了整個(gè)系統(tǒng)具有較好的完整性和一致性；（3）在MADIDS中域內(nèi)通過(tnggu)LAN連接，通信性能較好，因此MADIDS在域內(nèi)的工作可以設(shè)計(jì)為針對(duì)LAN協(xié)議來獲得較高的性能

13、。在域間通信時(shí)，可以使用針對(duì)WAN環(huán)境設(shè)計(jì)的通信協(xié)議和安全協(xié)議，以獲得較好的性能和安全性；共四十二頁(yè)第三章 基于移動(dòng)Agent的入侵(rqn)檢測(cè)系統(tǒng)四、MADIDS的維護(hù)更新機(jī)制 在MADIDS中，系統(tǒng)更新的主要內(nèi)容是含有檢測(cè)(jin c)規(guī)則的事件數(shù)據(jù)庫(kù)ED，又分為存放于主服務(wù)器的EDMS，存放于域服務(wù)器的EDDS和存放于主機(jī)的EDH。為此系統(tǒng)設(shè)計(jì)了兩個(gè)用于維護(hù)系統(tǒng)一致性的流程：系統(tǒng)整體規(guī)則生成流程和系統(tǒng)整體規(guī)則更新流程。共四十二頁(yè)四、MADIDS的維護(hù)(wih)更新機(jī)制1、整體規(guī)則生成流程存放于主服務(wù)器的頂層事件數(shù)據(jù)庫(kù)EDMS是系統(tǒng)更新的最終基礎(chǔ)，其余各域和各主機(jī)的事件數(shù)據(jù)庫(kù)都應(yīng)與其保持

14、一致。MADIDS中有一個(gè)唯一的MUS（Main Updating Server），每個(gè)域有一個(gè)DUS（Domain Updating Server），它們(t men)相互協(xié)作完成MADIDS全局的更新工作，進(jìn)而由DUS對(duì)Host上的EDH進(jìn)行更新。 共四十二頁(yè)1、整體(zhngt)規(guī)則生成流程布局(bj)如下圖3.3所示：圖3.3 MADIDS整體規(guī)則生成示意圖共四十二頁(yè)1、整體規(guī)則生成(shn chn)流程系統(tǒng)通過“分層核對(duì)”方式來完成規(guī)則的生成(shn chn)，其流程如圖3.4所示。圖3.4 MADIDS的分層核對(duì)機(jī)制 共四十二頁(yè)1、整體規(guī)則(guz)生成流程該機(jī)制具有如下優(yōu)點(diǎn)：(1

15、)、移動(dòng)Agent具有異步自主運(yùn)行能力，即使網(wǎng)絡(luò)出現(xiàn)延遲甚至故障，都能保證運(yùn)行正常，特別適合于WAN環(huán)境；(2) 、減少了IDS管理新特征標(biāo)記的工作量，并有效降低了復(fù)制特征標(biāo)記所需的通信量，特別是WAN上的通信量；(3) 、Main Server不需對(duì)每個(gè)主機(jī)都維護(hù)新入侵特征標(biāo)記，這樣就大大降低了系統(tǒng)的整體(zhngt)開銷。共四十二頁(yè)四、MADIDS的維護(hù)(wih)更新機(jī)制2、整體規(guī)則更新流程更新系統(tǒng)規(guī)則的基礎(chǔ)是EDMS，考慮到WAN具有帶寬(di kun)低、時(shí)延高的特點(diǎn)，在每次EDMS更新后，采取了MUS即時(shí)全網(wǎng)公告和各節(jié)點(diǎn)異步訪問相結(jié)合的機(jī)制，共有8個(gè)步驟，如圖3.5所示。圖3.5 M

16、ADIDS的分層更新機(jī)制共四十二頁(yè)2、整體規(guī)則更新(gngxn)流程該機(jī)制具有如下優(yōu)點(diǎn)：(1) 大幅度降低了系統(tǒng)更新(gngxn)的工作量。由于采用最新時(shí)間標(biāo)記和增量傳輸相結(jié)合的機(jī)制，既保證了系統(tǒng)更新(gngxn)的整體性、一致性和及時(shí)性，又降低了系統(tǒng)更新(gngxn)的工作量；(2) 大幅度降低了WAN上的通信量。通過引入域來劃分層次，在系統(tǒng)整體更新時(shí)，一個(gè)域內(nèi)的多個(gè)Host不需多次從MUS上比較和讀取數(shù)據(jù)。由于LAN內(nèi)通信的高帶寬、低時(shí)延，一個(gè)域只需在WAN上進(jìn)行一次通信，即可確保域內(nèi)所有主機(jī)都能及時(shí)、高效的得到更新；(3) 有效地解決了WAN上系統(tǒng)整體更新時(shí)存在的異步問題；(4) 有效地

17、解決了LAN內(nèi)系統(tǒng)整體更新時(shí)存在的異步問題，與以上分析類似。共四十二頁(yè)第三章 基于移動(dòng)Agent的入侵檢測(cè)(jin c)系統(tǒng)五、MADIDS的自我修復(fù)和抗毀性網(wǎng)絡(luò)安全技術(shù)發(fā)展到今天，IDS在網(wǎng)絡(luò)環(huán)境中的使用越來越普遍，當(dāng)hacker在攻擊一個(gè)裝有IDS的系統(tǒng)時(shí)，首先考慮到的是如何對(duì)付IDS，其修復(fù)能力和抗毀能力顯得非常重要。MADIDS基于移動(dòng)Agent的體系結(jié)構(gòu)，保證了其具有良好的自我修復(fù)和抗毀能力。由于移動(dòng)Agent的隨機(jī)游走和自動(dòng)藏匿以及躲避(dub)功能，使得攻擊者很難確定Agent的位置，如果局部的節(jié)點(diǎn)受到攻擊而失效，移動(dòng)Agent將能盡快將其恢復(fù)。 共四十二頁(yè)五、MADIDS的自我

18、(zw)修復(fù)和抗毀性1、系統(tǒng)的完整性和有效性：對(duì)MADIDS進(jìn)行的攻擊，主要分為對(duì)各功能模塊（事件產(chǎn)生器、分析器、決策器、數(shù)據(jù)庫(kù)等）的攻擊和直接對(duì)Agent進(jìn)行攻擊兩類，首先分析對(duì)各模塊的攻擊。(1)檢測(cè)(jin c)范圍 首先，該項(xiàng)功能涉及到各節(jié)點(diǎn)上的功能模塊和相關(guān)數(shù)據(jù)庫(kù)，在此基礎(chǔ)上進(jìn)行修復(fù)和抗毀工作。 其次，檢測(cè)針對(duì)完整性和有效性兩個(gè)方面進(jìn)行。完整性是指各功能模塊或數(shù)據(jù)庫(kù)的正確和完好，而有效性是指功能模塊在性能上的正確和有效。共四十二頁(yè)1、系統(tǒng)(xtng)的完整性和有效性：(2)完整性檢測(cè) 為進(jìn)行完整性檢測(cè)，系統(tǒng)對(duì)各節(jié)點(diǎn)上的所有功能部件和數(shù)據(jù)庫(kù)，按統(tǒng)一規(guī)則進(jìn)行了編碼，稱為完整性特征值IE（

19、Integrality Eigenvalue），共六個(gè)數(shù)據(jù)項(xiàng)： 系統(tǒng)將按一定規(guī)則，將Agent移動(dòng)到對(duì)應(yīng)節(jié)點(diǎn)上。Agent會(huì)對(duì)相關(guān)部件或數(shù)據(jù)庫(kù)進(jìn)行檢查，并通過對(duì)比(dub)IE的方式，來檢測(cè)各部件（或數(shù)據(jù)庫(kù)）的完整性。編號(hào)123456內(nèi)容域編號(hào)主機(jī)編號(hào)功能模塊（或數(shù)據(jù)庫(kù)）名稱域內(nèi)同類部件（或數(shù)據(jù)庫(kù)）編號(hào)部件（或數(shù)據(jù)庫(kù)）的大小值保留并用于系統(tǒng)擴(kuò)展共四十二頁(yè)1、系統(tǒng)(xtng)的完整性和有效性：(3)有效性檢測(cè) 為驗(yàn)證各功能模塊的有效性，可定義對(duì)應(yīng)于各模塊的標(biāo)準(zhǔn)測(cè)試過程，當(dāng)移動(dòng)Agent進(jìn)行有效性測(cè)試時(shí)，只需調(diào)用該部件(bjin)所含的測(cè)試子模塊，并根據(jù)其運(yùn)行結(jié)果來判定對(duì)應(yīng)功能模塊是否失效。共四十

20、二頁(yè)五、MADIDS的自我(zw)修復(fù)和抗毀性2、Host層次上的自我修復(fù)和抗毀(1)每個(gè)主機(jī)隨機(jī)生成HPA，隨機(jī)性可以防止入侵者發(fā)現(xiàn)各節(jié)點(diǎn)生成代理的規(guī)律，從而提高整體的安全性。(2)代理在生成后，首先判斷所在域內(nèi)其它Host的運(yùn)行狀態(tài)，然后根據(jù)在線Host的數(shù)量進(jìn)行自我復(fù)制； (3)復(fù)制后的HPA移動(dòng)到域內(nèi)除本地(bnd)主機(jī)外的其它所有Host上，按照系統(tǒng)預(yù)設(shè)的規(guī)則進(jìn)行檢測(cè)；(4)所要檢測(cè)的內(nèi)容，包括HEG、BEA、EDH和個(gè)別主機(jī)上的NEG，檢測(cè)針對(duì)完整性、有效性進(jìn)行；共四十二頁(yè)2、Host層次上的自我(zw)修復(fù)和抗毀(5)如果HPA1所在的Host2一切正常，HPA1將返回Host1

21、和Domain Server，與HPA和DPA交換信息，并結(jié)束運(yùn)行。在系統(tǒng)正常時(shí)，所有HPA均按以上方式運(yùn)行； (6)如果HPA1所在的Host2上的某個(gè)部件出現(xiàn)問題，例如 HEG1失效，HPA1將記錄相關(guān)情況，并移動(dòng)到Domain Server上與DPA1交換信息，待確認(rèn)信息交換成功后，HPA1將返回Host1和Domain Server，并結(jié)束執(zhí)行； (7) DPA1收到相應(yīng)信息后，將移動(dòng)到Host2上，并負(fù)責(zé)(fz)完成從Domain Server上向Host2重裝HEG1的任務(wù)，在確認(rèn)重裝成功后，DPA1將返回Domain Server，并結(jié)束執(zhí)行。 共四十二頁(yè)2、Host層次(cng

22、c)上的自我修復(fù)和抗毀其工作(gngzu)流程圖3.6如下：圖3.6 Host層次上的自我修復(fù)共四十二頁(yè)2、Host層次(cngc)上的自我修復(fù)和抗毀由以可見，系統(tǒng)在Host層次上的安全性、完整性、有效性，主要依靠存在著的Host自身生成HPA來維持。若干HPA隨機(jī)生成，并在域內(nèi)復(fù)制、移動(dòng)(ydng)，檢測(cè)、通信、判斷和執(zhí)行系統(tǒng)修復(fù)工作。這一機(jī)制具有以下優(yōu)點(diǎn)：(1)通信量?。?2)完整性較好； (3)檢測(cè)和處理的及時(shí)性較好。共四十二頁(yè)五、MADIDS的自我(zw)修復(fù)和抗毀性3、Domain Server層次上的自我修復(fù)和抗毀由于不同域之間以及一個(gè)域與主服務(wù)器MS之間通常為WAN，理想情況下，

23、最好是設(shè)計(jì)(shj)成檢測(cè)與修復(fù)都在域內(nèi)進(jìn)行，而不像在Host層次上那樣設(shè)計(jì)成各域之間互相檢測(cè)，并利用MS來修復(fù)。共四十二頁(yè)3、Domain Server層次上的自我(zw)修復(fù)和抗毀可行性分析：(1)分析域內(nèi)修復(fù)機(jī)制的可能性，對(duì)DS層次(cngc)進(jìn)行自我修復(fù)的移動(dòng)Agent，不能從DS自身生成，也就是說移動(dòng)Agent必須由域內(nèi)的其它Host產(chǎn)生。(2)從系統(tǒng)的整體狀況來看，依靠Host來持續(xù)生成檢測(cè)DS狀態(tài)的移動(dòng)Agent，并完成重裝和修復(fù)任務(wù)也不太可行。共四十二頁(yè)3、Domain Server層次上的自我(zw)修復(fù)和抗毀綜上所述，在MADIDS系統(tǒng)的體系結(jié)構(gòu)下，對(duì)Domain Serv

24、er層次的檢測(cè)和修復(fù)工作不能在域內(nèi)完成，而只能在域間進(jìn)行。其原理與工作機(jī)制的框架，基本類似于前面所分析(fnx)的Host層次上的自我修復(fù)和抗毀。共四十二頁(yè)五、MADIDS的自我(zw)修復(fù)和抗毀性4、Main Server層次上的自我修復(fù)和抗毀。(1)最小服務(wù)法則（The least is The Best）；(2)雙機(jī)備份等方式來配置同樣(tngyng)兩臺(tái)Main Server，并利用熱備份的有關(guān)技術(shù)保持同步。共四十二頁(yè)第三章 基于移動(dòng)Agent的入侵(rqn)檢測(cè)系統(tǒng)六、MADIDS的安全性 系統(tǒng)安全性主要(zhyo)體現(xiàn)在以下三個(gè)方面：（1）移動(dòng)Agent之間的通信安全。（2）保護(hù)執(zhí)

25、行環(huán)境免受潛在的惡意Agent損害，以保護(hù) 主機(jī)。a、沙箱（sandbox）；b、認(rèn)證、授權(quán)；c、檢驗(yàn)傳輸代碼（Proof-carrying code）。（3）保護(hù)移動(dòng)Agent不受潛在的惡意服務(wù)器和運(yùn)行環(huán)境的攻擊。a 、基于檢測(cè)的安全性；b 、主動(dòng)的保護(hù)策略。共四十二頁(yè)第三章 基于移動(dòng)Agent的入侵(rqn)檢測(cè)系統(tǒng)七、實(shí)驗(yàn)環(huán)境、結(jié)果與性能分析1、實(shí)驗(yàn)準(zhǔn)備 實(shí)驗(yàn)環(huán)境為電子科技大學(xué)校園網(wǎng)內(nèi)選取的三處位置。其中(qzhng)，主服務(wù)器MS放置于子網(wǎng)202.115.14.1/24內(nèi)；第一個(gè)域的各個(gè)節(jié)點(diǎn)包括DS1、Host1、Host 2、Host 3放置于子網(wǎng)202.112.10.1/24內(nèi)；第二個(gè)域的各個(gè)節(jié)點(diǎn)包括DS2、Host4、Host 5、Host 6放置于子網(wǎng)202.115.1.1/24內(nèi)。如下圖3.7所示。 共四十二頁(yè)七、實(shí)驗(yàn)(shyn)環(huán)境、結(jié)果與性能分析圖3.7 MADIDS實(shí)驗(yàn)(shyn)環(huán)境示意圖 共四十二頁(yè)七、實(shí)驗(yàn)環(huán)境(hunjng