基于角色協(xié)同的網(wǎng)絡(luò)入侵檢測模型研究.pdf

1、隨著互聯(lián)網(wǎng)應(yīng)用范圍的不斷擴大和計算機應(yīng)用的逐年普及，人們的生活與互聯(lián)網(wǎng)產(chǎn)生日益緊密的聯(lián)系，計算機網(wǎng)絡(luò)在為人們帶來各種便利的同時，也存在很多的安全隱患。為了應(yīng)對這些安全問題具有主動防御能力的入侵檢測系統(tǒng)受到了人們的日益重視。然而，近年來由于網(wǎng)絡(luò)帶寬得到了高速的增長，需要采集和檢測的網(wǎng)絡(luò)數(shù)據(jù)量急劇增加，對入侵檢測系統(tǒng)處理數(shù)據(jù)包的能力與效率提出了挑戰(zhàn)。負載均衡技術(shù)通過將待處理的任務(wù)均衡地分配到多個處理器節(jié)點上，能有效緩解這個問題，這在資源一定

2、的情況下，負載均衡仍不失為一個好的選擇，它在未增加投入的情況下，既節(jié)省了成本，又能解決一定規(guī)模下的檢測問題?？梢园讶绾螌@些處理器節(jié)點均衡地分配任務(wù)看作是一個角色間協(xié)作的問題，為了解決這個問題，本文引入了E-CARGO模型，它是一種基于角色協(xié)同的模型，已經(jīng)被用來成功解決了很多有關(guān)群組協(xié)作的問題，受到了國內(nèi)外學者的關(guān)注。
　　本文首先結(jié)合高速網(wǎng)絡(luò)入侵檢測的具體特點，利用E-CARGO模型提出了一個多層次化的協(xié)同入侵檢測架構(gòu)，在此架構(gòu)

3、中的每個層次都可以進行負載均衡。對該架構(gòu)中存在的角色進行了研究，為了并行化處理，事件檢測角色又被分成TCP事件檢測，UPD事件檢測，ICMP事件檢測和應(yīng)用層事件檢測四種類型。利用E-CARGO模型對各個角色進行了形式化定義，探討了入侵檢測中群組的形成方式和存在的類型。系統(tǒng)采用以群組為單位對Agent進行管理，使Agent的分配更加地靈活。探討了Agent的分配和收回的策略。然后基于E-CARGO模型設(shè)計了一個負載均衡器，該負載均衡器采用

4、定時反饋機制，動念地從各個處理器節(jié)點獲取負載信息，然后根據(jù)此信息對Agent的能力進行評估，負載均衡算法依據(jù)評估的結(jié)果對任務(wù)進行分發(fā)。其中Agent扮演某個角色的能力不但與自身的負載情況以及處理器節(jié)點的性能有關(guān)，而且還和將要執(zhí)行的任務(wù)量大小相關(guān)，因此本文在評估Agent扮演某一角色的能力時，綜合考慮了以上幾個因素。為了方便負載均衡算法的計算，本文引入了一個評估矩陣，用此矩陣數(shù)字化地表示Agent扮演角色的能力大小。最后進行了仿真模擬實驗