CN1469243A - 大规模分布式入侵检测系统的任务分派机制 - Google Patents
大规模分布式入侵检测系统的任务分派机制 Download PDFInfo
- Publication number
- CN1469243A CN1469243A CNA031374468A CN03137446A CN1469243A CN 1469243 A CN1469243 A CN 1469243A CN A031374468 A CNA031374468 A CN A031374468A CN 03137446 A CN03137446 A CN 03137446A CN 1469243 A CN1469243 A CN 1469243A
- Authority
- CN
- China
- Prior art keywords
- mobile agent
- agency
- coordination module
- static
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明为大规模分布式入侵检测系统的任务分派机制。在大规模高速网络中,入侵检测系统一般采用分层的分布式结构,通过分散采集、分布处理和集中管理满足大规模高速网络的需求。为了实现这种分层的模块化结构,一般要采用代理技术,由处于协调管理层的协调模块对移动代理进行分派与控制。处于下层的静态代理,出现异常情况不能解决即向协调模块发出请求,协调模块向该静态代理分派特定功能的移动代理,移动代理迁移到静态代理处与之交互并协助完成任务,随后向协调模块发出撤消的请求,协调模块收到请求后向移动代理发出撤消的指令,任务分派机制完成。该机制可以实现系统的负载平衡、实时响应以及特定的数据处理功能,增强了移动代理的可控性。
Description
技术领域
本发明属于网络安全领域,具体涉及一种基于移动代理技术的分布式大规模入侵检测系统之中协调模块对移动代理的实时控制机制。
背景技术
以Internet为代表的全球性信息化浪潮日益深化,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如党政部门信息系统、金融业务系统、企业商务系统等。开放的、自由的、国际化的Internet的发展给政府机构、企事业单位带来了革命性的改革和开放,使得他们能够利用Internet提高办事效率和市场反应能力,以便更具竞争力。
通过Internet,可以很方便地从异地取回重要数据,同时又要面对网络开放带来的数据安全的新挑战和新危险。如何保护企业的机密信息不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要问题之一。网络安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。
为了在一定程度上保障网络上信息的安全性,一系列安全技术比如防火墙、虚拟专用网、入侵检测系统、身份认证、数据加密、安全扫描等等成为研究的热点。目前,已经比较成熟的防火墙技术存在着弊端,比如后门、内部攻击、实时性以及对病毒的防范。入侵检测系统(IDS,Intrusion Detection System)作为一种主动防御策略,可以弥补防火墙的不足,为网络安全提供实时的入侵检测并采取相应的防护手段。
随着网络规模的不断扩大,网络攻击手段也在不断发展,例如分布式拒绝服务攻击造成了巨大的经济损失并且以目前的技术手段难以防范,这时候,基于主机以及小规模网络的入侵检测系统显示了其局限性,而将入侵检测系统应用于大规模高速网络成为入侵检测系统研究的新的立足点。为了能够应用于大规模高速网络并检测分布式攻击,入侵检测系统一般采用分层的分布式结构,通过分散采集、分布处理和集中管理,满足了大规模高速网络的需求。称这种应用于大规模高速网络的入侵检测系统为大规模分布式入侵检测系统。
代理和移动代理是近年来新提出的概念和技术,代理是一个软件实体,它能够连续自主地在特定的环境中工作,能够随着外界条件的变化灵活智能地进行反应。一个理想的代理应该有很好的继承性,并能够与系统中的其他代理进行通信,而且还可以在不断地移动中完成上述操作。静态代理(StationaryAgent)驻于某一固定的位置或某一固定的平台。移动代理(Mobile Agent)是一个代替人或其它程序执行某种任务的程序,它在复杂的网络系统中能自主地从一台主机移动到另一台主机,该程序能够选择何时、何地移动。在移动时,该程序可以根据要求挂起其运行,然后转移到网络的其它地方重新开始或继续其执行,最后返回结果和消息。
代理技术自身的很多优点使其可以应用于入侵检测系统,并极大提高了入侵检测系统的效率和可用性。国际上很多研究IDS的工作组,比如日本IPA(Information-technology Promotion Agency)的IDA(Intrusion DetectionAgent system)、美国IOWA州立大学的MAIDS(Mobile Agents IntrusionDetection System)、Purdue大学的AAFID(Autonomous Agents For IntrusionDetection)等都把代理技术作为研究入侵检测系统的新的切入点。本发明的目的
本发明的目的在于避免基于移动代理的大规模分布式入侵检测系统中各部件之间负载不均衡或者突发事件不能响应而提供一种移动代理的控制方法。
在大规模分布式入侵检测系统中,处于各个功能层的静态代理,会突然发生一些异常情况,比如有大量数据需要处理或出现大量入侵行为需要应对的情况,在这种情况下,使用已有的资源和处理能力无法完成数据处理任务,而如果数据不能及时得到处理,那势必会出现漏包、丢包的情况,从而降低入侵检测系统的效率。
使用本发明,就是根据需要由协调模块派出移动代理,到需要的地方去执行任务。这样一方面加强了那里的处理能力,使某一局部的处理能力和实际的需求相适应,使得某一局部负载不会过大;另一方面派出移动代理可以执行特殊的任务,也就是说,下层的处理模块(可以是静态的代理)只具备常规的处理能力,完成一般的处理任务,但它们具备一定的怀疑能力。而协调模块派出的移动代理是专门用于处理复杂情况的,比如检测未知攻击等。
发明内容
本发明细致分析了基于移动代理的大规模分布式入侵检测系统中管理协调模块对移动代理的控制,在此基础上,提出了一种代理的命名规则,为了达到对移动代理的控制,还设计了代理与协调模块之间的通信模型以及传输的消息格式。本发明具体分为四个部分,分别是代理的命名规则、代理之间的通信机制、代理之间通信的消息格式以及任务分派机制的具体描述。本发明的目的是通过如下措施来达到的。
首先,本发明是针对大规模分布式入侵检测系统的四层结构提出来的,这个四层结构由下层到上层按照数据流分别是数据采集层、数据分析层、数据融合层以及协调管理层,四层相应完成特定的功能,一个重要的模块——协调模块处于协调管理层,它的主要工作是对代理进行实时控制和管理,完成移动代理的克隆、迁移并回收的过程,合理地使用和分配移动代理,合理地给它们分派任务。
在本发明中,为了确保代理之间通信的顺利进行,代理这种软件实体的名字必须是全局唯一的,以把自己和其他代理区别开来。移动代理在网络间移动,需要改变自己的位置,以便于协调模块对其进行跟踪或通信,协调模块可以提供定位服务对代理进行正确定位。
协调模块提供名字服务和代理的定位服务,可以用作名字服务器。代理一旦创建,就在协调模块中注册自己的名字和当前位置。移动代理迁移时,要在协调模块中更新自己的位置信息,这时候协调模块作为定位服务器记录下移动代理的路径。名字服务很适合大规模的移动代理环境,在Internet上,它可以像DNS服务器一样,以树型层次提供代理定位服务。在已实现的移动代理系统中,代理的名字必须拥有一个全局唯一的名字或ID来唯一标识这个代理。
为了获得自己的唯一ID号,代理创建时需要向协调模块注册。这个注册功能由名字请求和应答消息来完成。代理创建后,向协调模块发送名字请求消息,这个消息包含了代理自己的有关信息,如本地名字、所在节点的IP、认证信息等。协调模块收到名字请求信息后,进行身份认证,通过后,记录该代理的有关信息,并根据ID的分配策略,为其分配唯一的ID值,并用自己的有关信息和此ID值对名字请求消息进行应答,发起请求的代理收到应答后,对协调模块进行身份认证,通过后,如果是静态代理就在协调模块的控制下运行,如果是移动代理就存储在移动代理库中,随时准备调出。整个注册过程可以用图1表示。
本发明中涉及到的通信主要是代理与协调模块之间的通信,具体包括静态代理与协调模块的通信、移动代理与协调模块的通信以及静态代理与移动代理的通信。
(1)静态代理与协调模块之间的通信
静态代理分布于入侵检测系统的各个功能层,协助相应的功能模块完成特定的功能,提供不同的服务,静态代理与协调模块之间的通信可以采取通常的C1ient/Server结构,为了减少开发的工作量,具体可以使用基于RPC(RemoteProcedure Call)的通信机制。通信模型如图2。
(2)移动代理与协调模块之间的通信
移动代理创建后存放于移动代理库中并处于休眠状态,在需要的时候由协调模块激活并迁移到需要的地方完成任务。移动代理在移动的过程中始终与协调模块保持联系,直到任务完成被终止。移动代理与协调模块之间的通信也是Client/Server结构,可参照静态代理与协调模块的通信。通信模型如图3。
(3)静态代理与移动代理之间的通信
静态代理与移动代理的通信主要发生在移动代理的接收过程以及移动代理协助静态代理完成任务的过程中。静态代理与移动代理进行交互的过程可以看作两个对等体之间通信,因此它们之间可以采用BEEP进行通信,静态代理在对移动代理的状态成功恢复之后,即在静态代理与移动代理之间建立一个BEEP会话,这个BEEP会话包括多个BEEP信道,以方便静态代理与移动代理之间传输不同内容的消息,静态代理与移动代理通过这个BEEP会话进行绑定并交互,完成任务。通信模型如图4。
本发明中,代理之间、代理与协调模块之间的通信要通过统一的消息格式来完成。每一条消息由两部分组成,消息头和消息体。整个消息是最大长度为216字节的一定结构的字符串,具体消息的内容随不同的消息而不同,根据实际情况,它应该动态包括静态代理需要的移动代理类型、警报的危险级别、协调模块对移动代理的指令、需要传输的移动代理的代码等等内容。整个消息的结构可以用图5表示。
在大规模分布式入侵检测系统的设计中应遵循“静态代理为主,移动代理为辅”的原则,即在能够使用静态代理的场合,尽量不要使用移动代理,以减少系统的复杂度。在大规模分布式入侵检测系统中,静态代理可以分布于采集层、分析层和融合层以及处于协调管理层的响应模块中,相应完成数据采集、数据分析、数据融合和实时响应等功能。
根据静态代理所完成的功能,系统管理员通过人机界面编写好对应功能的移动代理,并事先存放于一个移动代理库中,移动代理库可以位于数据库中,或者就是系统中的某一个文件夹。这些移动代理可以被协调模块随时调出使用。移动代理库由系统管理员通过人机界面负责维护,可以根据情况更新或升级移动代理。同时移动代理也具有一定的学习能力,可以自主地更新以应付突发情况。
本发明的主要部分可以具体描述如下:
●请求机制
任务分派由各个功能层的静态代理发起,这些代理或者完成数据采集、数据分析,或者专门从事响应工作。静态代理在工作过程中可能会出现下面一些情况,比如某个网络节点的数据量突然增大,这可能是由分布式拒绝服务攻击所引起的回馈攻击,这会导致该节点处数据拥塞,检测部件的负载严重超标,从而导致整个系统的处理功能下降。还有,由于防御总是滞后于入侵的,因此出现一些新的入侵方式的时候,数据库来不及更新,静态代理等检测部件不能根据入侵模式来有效检测出这些攻击,也会造成整个系统的效率下降。此外,由于网络环境的复杂性,还会出现很多不可知的复杂情况,都会直接或间接影响到入侵检测系统的可用性。
如果出现上述情况,静态代理感到负载过重或出现异常情况无法处理时,静态代理就向处于管理层的协调模块发出请求,请求按照上面定义好的消息格式与通信机制,消息体包括静态代理遇到的特殊情况、警报的级别、需要什么样的代理等内容。整个过程的流程图如图6所示。
●迁移机制
处于管理层的协调模块收到静态代理的请求消息并验证该消息的有效性之后,根据静态代理的要求,从移动代理库中选择合适的移动代理并进行迁移。具体的迁移过程可以描述为:
1)认证请求者;
协调模块提取消息头中的数字签名对请求者进行身份认证。
2)协调模块选择合适的移动代理;
协调模块收到静态代理的消息后并通过身份验证之后,对消息体进行解码,得出消息的内容,同时得到发出请求的静态代理信息比如网络节点、静态代理类别、需要的移动代理等等,随后在移动代理库中进行搜索,根据模式匹配的原则,找到所需的移动代理的ID,然后在该移动代理的初始位置复制一个完全一样的移动代理以备调用和实例化。
3)协调模块序列化该移动代理的类和状态的实例;
为了满足移动代理跨平台操作的需要,移动代理通常用解释性语言比如Java编写,这样也方便对该移动代理进行序列化。序列化是指将对象实例的状态存储到存储媒体的过程。在此过程中,先将对象的公共字段和私有字段以及类的名称(包括类所在的程序集)转换为字节流,然后再把字节流写入数据流。在随后对对象进行反序列化时,将创建出与原对象完全相同的副本。
协调模块对适合静态代理请求的移动代理进行复制以后,即对该副本的类和状态进行序列化,得到的是该移动代理的字节流形式。该字节流可以是基于XML格式的描述。
4)选择传输协议对序列化后的移动代理进行编码;
第二步得到的移动代理的字节流形式并不适合传输,因此还要采取特定的协议和编码规则对字节流进行编码,这样最后得到一个二进制码串,这样的编码适合传输。
5)传输移动代理。
对字节流进行二进制编码之后就要对这个代理进行传输了,在传输的时候根据平台或网络状况采用相应的协议,代理二进制代码存储在消息格式的消息体中。
整个代理发送机制的流程图如图7所示。
目标节点的静态代理收到协调模块的应答之后,首先验证消息里面的数字签名,以证明消息的有效性和安全性,然后进行相反的工作得到移动代理的状态并与移动代理进行交互完成任务:
1)认证移动代理的可用性;
消息通过验证之后,静态代理提取消息体中的内容,进一步提取关于移动代理的相关信息,验证移动代理的有效性,如果是自己请求的移动代理,则进行下面的工作,如果不是自己请求的移动代理,则向协调模块发出请求,请求撤消这个错误的移动代理并重新发送正确地移动代理。
2)用相同的协议对移动代理解码;
验证移动代理的有效性之后,静态代理从消息体中提取移动代理的二进制编码,然后静态代理采用相同的编码规则对二进制编码进行解码,得出关于移动代理的序列化后的字节流。这个字节流包括所需的移动代理的类和状态。
3)反序列化移动代理的类和状态;
和序列化的过程相反,反序列化就是从序列化后得到的字节流中得出原来移动代理程序实例的数据结构,当反序列化已序列化的类时,将重新创建该类,并还原所有数据成员的值。
4)恢复移动代理的状态;
反序列化得到了移动代理的实例的类和数据结构,然后,静态代理可以在自己的节点重新编译移动代理的类和数据结构,从而恢复移动代理的状态。
5)恢复移动代理的执行。
恢复移动代理的状态之后,就可以激活移动代理,让移动代理在静态代理处运行,从而静态代理与移动代理相互协作完成任务,解决静态代理处节点所发生的问题。
这样,该移动代理被迁移到发起请求的静态代理处并协助静态代理完成相应的工作。
整个代理接收机制的流程图如图8所示。
●回收机制
移动代理在本地执行任务,同时与协调模块保持着必要的联系,这样做也方便了移动代理把静态代理节点处所发生的异常情况报告协调模块,从而使协调模块提炼出有用信息形成规则。移动代理协助静态代理完成任务后,会按照预定的消息格式,向协调模块发出请求消息,消息体里面包含要求撤消的内容。协调模块收到请求消息并通过认证之后,会给该移动代理发送消息,消息体的内容包含终止该移动代理的进程的指令。移动代理收到协调模块的终止指令之后,会终止自己的进程。
回收机制的流程图如图9所示。
这样,一个移动代理在协调模块的控制下,完成了迁移以及回收的过程。
本发明的所有机制可以用图10来形象描述。发明与现有技术相比具有的优点和积极效果
本发明主要是针对基于移动代理的大规模分布式入侵检测系统而提出的一种机制。大规模分布式入侵的特征主要有以下几点:
1.涉及的范围广泛:通常被攻击者攻陷的主机遍布于不同子网中或不同地域,甚至是全球性的攻击。
2.攻击速度快:攻击者攻陷多主机后,攻击的规模成倍增长,攻击的规模扩展速度非常高。
3.数据流量大:被攻陷主机同时发出攻击行为时,网络中的数据量非常庞大,甚至阻塞整个网络。
分布式主要体现在对分布式攻击的检测以及数据的分布式采集。
由于大规模分布式入侵本身的特点,导致大规模分布式入侵检测的工作并不能由一个简单的系统完成,而需要整个网络中的安全部件相互协同工作来检测,不同区域内的入侵检测系统协同工作进行检测。
在入侵检测系统中使用代理可以完成数据采集、数据预处理、数据分析等功能,使用移动代理可以实时就地处理数据和突发事件,减少系统内部通信量,对入侵进行响应和追踪等。具体说来,入侵检测系统中使用移动代理有如下特征:
1.移动代理可以自主执行,动态适应
移动代理具备一定的自主性和智能性,它提供一种灵活多样的运行机制,使得自身可以比较“聪明”地适应所处的环境,对环境的变化做出反应,比如移动代理可以移动到负载过重的地方,协助处理数据以实现负载的平衡。同时移动代理也可以方便地被系统中负责管理移动代理的协调模块进行克隆、分派、挂起、回收。
2.使用移动代理可以减轻网络负载和减小网络延时,减少系统内部通信量
由于移动代理可以移动到事发地进行现场处理,因此使用移动代理可以有效减轻和平衡网络负载,有利于提高网络的使用效率,减小网络延时。需要在网络中传输的数据少了,系统内部的通信量也就减少了。
3.移动代理可以运行于多种平台之上,或说代理的运行是与平台无关的
由于移动代理可以从一种平台移动到另一种平台,移动后仍能正常运行,因此移动代理的运行是与平台无关的。移动代理的这种性能对于系统及时采取响应很有好处,因为入侵和对入侵的响应随处都可能存在和发生。
4.使用移动代理可以实时就地采取响应措施
这是移动代理最大的优点和潜力。由于入侵是不可事先预知的,而响应又需要及时作出,再加之移动代理可以跨平台运行,因此采用移动代理对于加强和完善大规模分布式入侵检测系统的响应机制很有帮助。使用移动代理可以从攻击的目标主机进行响应,从发动攻击的源主机进行响应,可以及时切断源主机和目标主机的连接。另外,使用移动代理还可以实现对入侵者的追踪。
5.移动代理的使用有利于大规模分布式入侵检测系统的分布式结构和模块
化设计的实现
由于移动代理具备的特点,使得可以把一个大规模分布式入侵检测系统根据功能进行模块化,比如有的代理或移动代理专门负责数据采集,有的只负责检测一种或少数的几种入侵等。这种模块化的设计使得我们可以比较容易地实现大规模分布式入侵检测系统的分布式结构,使得系统有比较好的扩展性。
在基于移动代理的大规模分布式入侵检测系统中,使用本发明有很多优点,具体来说,可以达到下面这些效果:
1.实现系统的负载平衡
在大规模分布式入侵检测系统中,由于入侵到达的不确定性,有时在某一位置会突然出现大量需要分析和处理的数据或事件,此时如果不及时采取措施,必然会出现漏包、丢包现象,大大降低检测准确率。
使用任务分派机制可以实现系统的负载平衡。由数据拥塞节点处的静态代理向协调模块提出请求,协调模块根据请求的内容决定派出何种类型的移动代理,然后在拥塞节点处克隆该移动代理,移动代理启动后执行相应的分析任务,从而实现系统负载的平衡。待任务完成后,移动代理向协调模块发出回收请求,协调模块将挂起或杀死该移动代理。
2.完成系统特定的数据处理功能
由于入侵特征的不可预知性,因此在某些情况下采用已有的静态代理无法处理一些未知事件,这时需要一个具有学习能力的移动代理去完成分析任务。仍然是由静态代理提出请求,同时存储可疑的数据,协调模块根据请求的内容分派移动代理完成事件的分析。分析的结果将作为新的特征写入特征库。
3.实现系统的实时就地响应
使用移动代理对入侵进行响应,是移动代理技术在大规模分布式入侵检测系统中的一个重要应用。使用静态代理可以进行一些基本的响应,但在有些情况下,使用移动代理能更加及时有效地作出响应。比如在出现一些突发情况时,需要协调模块迅速向“事发地”派出移动代理,当场进行响应。使用移动代理,可以对攻击者进行追踪,可以搜寻攻击者的踪迹,进行取证工作。
附图说明图1:代理向协调模块的注册过程图2:代理通信消息格式示意图图3:静态代理与协调模块通信模型图图4:移动代理与协调模块通信模型图图5:静态代理与移动代理通信模型图图6:代理请求机制流程图图7:代理发送机制流程图图8:代理接收机制流程图图9:代理回收机制流程图图10:任务分派机制图
具体实施方式
考虑大规模分布式入侵检测系统的一个节点子系统。本发明的一个具体实施方式可以表述如下。
(1)代理命名规则
根据代理要完成的功能和任务,把静态代理分为了四类,那就是数据采集类代理、分析类代理、融合类代理、响应类代理,相应的,根据移动代理协助静态代理完成的任务,可以把移动代理也分为采集类移动代理、分析类移动代理、融合类移动代理、响应类移动代理。根据代理的类别和功能,我们采用如下的命名规则。
静态代——S(stationary)
移动代理——M(mobile)
采集类代理——C(collection)
分析类代理——A(analysis)
融合类代理——F(fusion)
响应类代理——R(response)
这样,一个代理的名字可以表示为一个字符串,第一个比特位说明是静态代理还是移动代理,用“S”或“M”表示,第二位说明代理的功能,用“C”、“P”、“A”或“R”表示,后面的字节是代理的编号,这个编号的取值范围是1到最大的代理数目。
(2)代理ID编码规则
ID为16位的字符串,它的分配策略可以定义如下,协调模块先对请求注册的代理的名字前两位进行编码,编码规则如下:
S——0
M——1
C——00
A——01
F——10
R——11
这样得到的前三位是关于代理类别的编码,后面的13位是协调模块根据完成注册的时间分配的一个累积数,它由协调模块通过计时器产生,具有唯一性。这样,整个系统中可以容纳的代理数目是213=8192,在数目上适合分布式大规模的需求,而且这个13位可以根据实际需要扩展。
定义协调模块的ID编码为全0的16位比特串。
(3)通信的消息格式
在系统内部代理与协调模块、静态代理与移动代理通信的过程中,通信的消息格式是统一的,其中,各个字段的定义如下:
Length是整个消息的长度,定义为16位;
Type是消息类型,定义为4位,整个通信过程中有6种消息,分别是:
静态代理to协调模块:0000
协调模块to静态代理:0001
移动代理to协调模块:0010
协调模块to移动代理:0011
静态代理to移动代理:0100
移动代理to静代理态:0101
Instantiation是一个可选项,定义为4位,它说明同一个移动代理被实例化的次数,只有通信一方有移动代理对象的时候才会用到这个字段,这样避免了同一个移动代理代码的不同实例同时在系统中工作而发生混淆的情况。
Sender是消息的发送者的ID,根据前面的定义,这是一个16位的字段;
Receiver是消息的接收者的ID,根据前面的定义,这是一个16位的字段;
Reserved是保留位,用来保存一些额外的数据或选项比如时间戳、路由选项、安全信息、用于身份认证的数字签名等等,它是一个可变长的可选信息字段,在一定程度上增加了消息的灵活性、安全性和可扩展性;
Body是发送者和接收者通信的主要内容,为了确保通信的安全,消息体的内容通常是经过加密的。
Claims (5)
1.一种基于代理技术的、应用于大规模分布式入侵检测系统的任务分派机制,以静态代理为主,移动代理为辅,实现系统的负载平衡、实时响应以及移动代理的控制功能,静态代理分布于各个功能层,完成不同的任务,协调模块位于协调管理层,它专门负责移动代理的管理工作,移动代理由管理人员事先编写代码,存放于移动代理库中,由管理人员通过人机界面不断更新,
处于各个功能层的静态代理在工作过程中可能会突发一些异常情况无法处理或者该网络节点处负载过重,从而降低入侵检测系统的效率,这时候,静态代理会向协调模块发出请求消息,以得到协调模块的支援,
协调模块收到静态代理的请求之后,会从移动代理库中选择合适的移动代理进行传输,整个传输的过程可以描述如下:认证请求者、协调模块选择合适的移动代理、协调模块序列化该移动代理的类和状态的实例、选择传输协议对序列化后的移动代理进行编码、传输移动代理,静态代理收到协调模块的应答之后,采用相反的措施接收移动代理,过程如下:认证移动代理的可用性、用相同的协议对移动代理解码、反序列化移动代理的类和状态、恢复移动代理的状态、恢复移动代理的执行,然后,移动代理在静态代理处运行,协助静态代理解决所发现的问题,同时,与协调模块保持联系,把本地情况向协调模块作出响应,
完成任务后,移动代理向协调模块发出请求的消息,请求撤消,协调模块收到消息之后会给移动代理发送应答,终止该移动代理的进程,这就是整个任务分派机制。
2.如权利要求1所述的任务分派机制,定义的处于协调管理层的协调模块充当移动代理服务器的作用,它可以控制移动代理的运行,提供名字服务以及移动代理的实时定位和跟踪服务,可以通过人机界面进行人工管理,是整个发明的关键点。
3.如权利要求1所述的任务分派机制,按照所处的功能层以及要完成的任务,把静态代理以及移动代理分为四类:数据采集类、数据分析类、数据融合类、响应类。
4.如权利要求1所述的任务分派机制和权利要求3所述的代理分类方法,为了保证任务分派的具体实施,每个代理的命名以及标识必须具有唯一性,代理向协调模块注册以获得唯一的ID标识,ID为16位字符串,其分配策略是这样定义的,前三位,对代理类别进行编码,得到:
静态代理—S—0,
移动代理—M—1,
采集类代理—C—00,
分析类代理—A—01,
融合类代理—F—10,
响应类代理—R—11,
后面的13位是协调模块根据完成注册的时间分配的一个累积数,它由协调模块通过计时器产生,具有唯一性,定义协调模块的ID标识为全0的字符串。
5.如权利要求1所述的任务分派机制中,代理与协调模块之间的通信要按照统一的格式进行,对代理与协调模块之间的消息格式进行了详细的定义,整个消息的最大长度为216,由消息头和消息体构成,消息头由6个字段构成,分别Length(消息长度,16位)、Type(消息类型,4位)、Sender(发送者,16位)、Receiver(接收者,16位)、Instantiation(移动代理被实例化的次数,4位,可选)、Reserved(保留位,可选,变长),Body是消息体,存储传输的的内容,具体包括代理与协调模块之间的请求与应答,移动代理的二进制字节流编码、移动代理给协调模块的实时响应信息、协调模块对移动代理的控制命令信息等等。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031374468A CN100385392C (zh) | 2003-06-24 | 2003-06-24 | 大规模分布式入侵检测系统的任务分派方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB031374468A CN100385392C (zh) | 2003-06-24 | 2003-06-24 | 大规模分布式入侵检测系统的任务分派方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1469243A true CN1469243A (zh) | 2004-01-21 |
| CN100385392C CN100385392C (zh) | 2008-04-30 |
Family
ID=34154805
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB031374468A Expired - Fee Related CN100385392C (zh) | 2003-06-24 | 2003-06-24 | 大规模分布式入侵检测系统的任务分派方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100385392C (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100352204C (zh) * | 2004-07-16 | 2007-11-28 | 北京航空航天大学 | 一种基于有穷状态自动机的网络入侵预警方法 |
| CN100361081C (zh) * | 2005-01-18 | 2008-01-09 | 华为技术有限公司 | 处理多线程/多任务/多处理器的方法 |
| CN101346696A (zh) * | 2005-12-28 | 2009-01-14 | 国际商业机器公司 | 客户机服务器系统中的负荷分散 |
| CN102255934A (zh) * | 2010-05-20 | 2011-11-23 | 中兴通讯股份有限公司 | 云服务发布方法、云服务发布接口消息包及云服务中介 |
| CN104378364A (zh) * | 2014-10-30 | 2015-02-25 | 广东电子工业研究院有限公司 | 一种信息安全管理中心的协同分析方法 |
| CN106027550A (zh) * | 2016-06-29 | 2016-10-12 | 北京邮电大学 | 一种防御策略系统分析方法及装置 |
| CN109714312A (zh) * | 2018-11-19 | 2019-05-03 | 中国科学院信息工程研究所 | 一种基于外部威胁的采集策略生成方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2460492A1 (en) * | 2001-09-28 | 2003-04-10 | British Telecommunications Public Limited Company | Agent-based intrusion detection system |
-
2003
- 2003-06-24 CN CNB031374468A patent/CN100385392C/zh not_active Expired - Fee Related
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100352204C (zh) * | 2004-07-16 | 2007-11-28 | 北京航空航天大学 | 一种基于有穷状态自动机的网络入侵预警方法 |
| CN100361081C (zh) * | 2005-01-18 | 2008-01-09 | 华为技术有限公司 | 处理多线程/多任务/多处理器的方法 |
| CN101346696A (zh) * | 2005-12-28 | 2009-01-14 | 国际商业机器公司 | 客户机服务器系统中的负荷分散 |
| US8924467B2 (en) | 2005-12-28 | 2014-12-30 | International Business Machines Corporation | Load distribution in client server system |
| US9712640B2 (en) | 2005-12-28 | 2017-07-18 | International Business Machines Corporation | Load distribution in client server system |
| CN102255934A (zh) * | 2010-05-20 | 2011-11-23 | 中兴通讯股份有限公司 | 云服务发布方法、云服务发布接口消息包及云服务中介 |
| CN104378364A (zh) * | 2014-10-30 | 2015-02-25 | 广东电子工业研究院有限公司 | 一种信息安全管理中心的协同分析方法 |
| CN104378364B (zh) * | 2014-10-30 | 2018-02-27 | 广东电子工业研究院有限公司 | 一种信息安全管理中心的协同分析方法 |
| CN106027550A (zh) * | 2016-06-29 | 2016-10-12 | 北京邮电大学 | 一种防御策略系统分析方法及装置 |
| CN106027550B (zh) * | 2016-06-29 | 2019-04-12 | 北京邮电大学 | 一种防御策略系统分析方法及装置 |
| CN109714312A (zh) * | 2018-11-19 | 2019-05-03 | 中国科学院信息工程研究所 | 一种基于外部威胁的采集策略生成方法及系统 |
| CN109714312B (zh) * | 2018-11-19 | 2020-04-24 | 中国科学院信息工程研究所 | 一种基于外部威胁的采集策略生成方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100385392C (zh) | 2008-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101703446B1 (ko) | DoS 공격의 탐지가 가능한 네트워크 및 이의 제어 방법과, 상기 네트워크에 포함되는 게이트웨이 및 관리 서버 | |
| CN1160899C (zh) | 分布式网络动态安全保护系统 | |
| CN106559382B (zh) | 基于opc协议的安全网关防护系统访问控制方法 | |
| JP2020530638A (ja) | マルウェアホストネットフロー分析システム及び方法 | |
| EP2283670B1 (en) | Security message processing within constrained time | |
| CN1777156A (zh) | 用于下一代网络、可动态扩展、开放接口技术的网关 | |
| CN1929472A (zh) | 数据网络中管理数据传输的方法、系统、信号及介质 | |
| CN1547720A (zh) | 产生并传送商业事件的系统和方法 | |
| CN1835014A (zh) | 一种对在线业务进行风险监控的方法及系统 | |
| CN1863157A (zh) | 穿越nat实现网络通信的方法及装置 | |
| CN1856163A (zh) | 一种具有会话边界控制器的通信系统及其传输信令的方法 | |
| CN1968123A (zh) | 动态多方、多个媒体通信自动协调的方法与装置 | |
| CN1968117A (zh) | 一种即时通信中局域网用户加入群组通信的方法 | |
| CN1252555C (zh) | 基于分布式数据挖掘的协同入侵检测系统 | |
| CN1469243A (zh) | 大规模分布式入侵检测系统的任务分派机制 | |
| CN1960369A (zh) | 模拟生物神经网络保护互联网安全的方法及系统 | |
| CN1889427A (zh) | 一种安全的星形局域网计算机系统 | |
| CN1223159C (zh) | 一种支持地址转换应用网关的方法 | |
| CN1744565A (zh) | 一种解决vpn子网地址冲突的系统和方法 | |
| CN1507233A (zh) | 一种坚固网关系统及其检测攻击方法 | |
| CN100337222C (zh) | 一种防火墙系统及其访问限制方法 | |
| CN1314293C (zh) | 一种用于消息中心智能监控的系统和方法 | |
| CN101030882A (zh) | 一种访问客户网络管理平台的方法 | |
| CN1805579A (zh) | 利用移动台操作维护电信网设备的方法及其移动网管系统 | |
| CN100350383C (zh) | 一种策略驱动的移动中间件开发方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080430 Termination date: 20110624 |