免费基于Aglet的入侵检测系统的实现

其它主机的登录失败信息被认为是一种正常情况。
系统的设计与实现
移动代理Aglet系统介绍和配置
Aglet系统架构
Aglets的系统架构主要分为四个阶段，如图4-1所示。首先当一个正在执行的Aglet程序想要将自己外送到远端时，会对Aglets Runtime层发出请求，然后Aglets Runtime层把Aglet的状态消息与运行代码转变成序列化(serialized )的字节阵列(byte array)；接着若是外送的请求成功时，系统会将Aglet程序的执行动作结束，然后将字节阵列传送至ATCI(Agent Transport and Communication Interface)层处理，此层提供使用ATP(Agent Transfer Protocol)的介面，其中ATP为一个简单的应用层协定(application-level protocol) ，如图4-2所示，使用时不必顾虑Aglet物件是否被派送到不同的 agent系统就可以传送Aglet物件；之后，系统会将字节阵列附上相关的系统信息，像是系统名称以及Aglet物件的id等，并以bit stream 透过网路传至远端工作站。

图4-1 Aglet的系统架构下图

图4-2 ATP的示意图
Aglet功能模型
Aglet系统首先提供了一个环境方便用户来管理Aglet的基本行为：如创建Aglet、克隆Aglet、分派Aglet到远端机器、召回远端的Aglet、暂停、唤醒Aglet以及清除Aglet等，如图4-3所示。

图4-3 Aglet的物件模型
Aglet与Aglet之间的通信，可用消息传递的方式来传递消息对象。此外，基于安全上的考虑，Aglet并非让外界直接存取其消息，而是透过一个代理(proxy)提供相应的接口与外界沟通，如图4-4所示。这样做还有一个好处，即Aglet的所在位置会透明化，也就是Aglet想要与远端的Aglet沟通时，只在本地主机的上下文环境中产生对远端Aglet的代理，并与此代理沟通即可，不必直接处理网络连接与通信的问题。

图4-4 Aglet基本功能介面
Aglet安装与配置
安装jdk-1_5_0_06-windows-i586-p.exe到G:\Java\jdk\，完成安装后，在环境变量里给出java\bin的路径。
在网上下载aglets-2.0.2.jar，并解压到G:\aglets\，可以看见以下文件META-INF、BIN、CNF、INSTALL.html、LIB、LICENSE.html、PUBLIC。
设置Aglet环境变量：(在MS-DOS)
cd到G:\aglets\bin
set ant_home=G:\aglets
set java_home=G:\Java\jdk
在bin下输入ant，并确定，等上一会儿，系统会在bin下生成.keystore，java.policy。打开.java.policy，将G:\aglets/lib改为G:\\aglets/lib，保存退出。
先将.keystore，java.policy拷贝到F:\WINNT下，在将.keystore拷贝到F:\Documents and Settings\Administrator下。
在bin下输入agletsd，并确认，过一会儿可以看到登陆界面, 如图4-5所示，输入用户名：aglet_key，密码：aglets后，即可登陆Tahiti界面，如图4-6所示，Tahiti是可视化Aglet管理界面，让使用者方便地监视和控制Aglet的执行，单击Tahiti界面中的create，弹出Create Aglet窗口，点击下面列表中的示例，如examples. hello.He1loAglet，再点击左下角的create，会弹出对话框，这样就产生了一个Aglet。

图4-5 Aglet登录界面

图4-6 Tahiti运行界面
Snort介绍与配置
Snort的简介
Snort是一个开放源代码的网络入侵监测系统，其主要功能是实时记录和分析IP网络中的数据流。通过对协议的分析、数据包内容的搜索和匹配，它能被用于监测许多攻击和扫描，如缓冲区溢出、端口隐蔽扫描、CGI攻击、SMB探测、操作系统识别探测等等。Snort是基于特征检测的IDS，使用规则的定义来检查网络中的有问题的数据包。一个规则被触发后会产生一条告警信息。
Snort系统组成
Snort主要由以下四个基本模块组成：数据包嗅探器、预处理器、检测引擎和报警输出模块。这些模块使用插件模式和Snort结合，扩展起来非常方便，既保障了插件程序和Snort的核心代码的紧密相关性，又保障了核心代码的良好扩展性。例如有预处理和检测插件，报警输出插件等。预处理和检测插件使Snort的检测引擎能够更有效地检测数据包的内容，报警输出插件可以用多种方法输出报警信息。
Snort的安装
安装Winpcap(windows packet capture)
Winpcap是Windows平台下一个免费、公共的网络访问系统，它为win32应用程序提供访问网络底层的能力。Winpcap不能阻塞、过滤或控制其他应用程序数据报的发收，它仅仅只是监听共享网络上传送的数据报。它提供了以下的各项功能，这些功能均有助于以太网数据流监视软件功能的实现：
捕获原始数据报，包括在共享网络上各主机发送/接收的以及相互之间交换的数据报；
在数据报发往应用程序之前，按照自定义的规则将某些特殊的数据报过滤掉；
在网络上发送原始的数据报；
收集网络通信过程中的统计信息。
安装MS-SQL
安装MS-SQL企业版，安装过程中将数据库访问的用户"sa"的密码配置好，比如："sa"。安装完成后，在企业管理器里，建立一个名为"Snort"的数据库。
Win2K环境下安装Snort
Snort的配置
在使用Snort之前，需要根据网络环境和安全策略对Snort进行配置。主要包括：
设置网络变量
配置记录方式
配置所使用的规则集
在此并不需要自己编写配置文件，只需要对Snort．conf文件进行修改即可。这个文件包含了大量的默认设置，而且有很好的注释，用户可以方便地对Snort进行配置。
首先，对主要的配置项目介绍如下：
HOME_NET变量：该变量指入侵检测保护的网络是哪个网段。要对该变量进行设置，找到var HOME_NET any，并把any换成需要检测的网段地址就可以了,比如：222.18.122.134/25。
配置记录方式：找到output database，针对不同的数据库，有相应的选项，比如：output database: log, mssql, dbname=snort user=sa password=sa，填好将检测日志

首页上一页 1 2 3 4 5 6 7 下一页尾页 4/8/8

免费基于Aglet的入侵检测系统的实现(四)