基于代理的入侵檢測系統(tǒng)研究與實現(xiàn).pdf

1、近年來,互聯(lián)網(wǎng)在國際上得到了長足的發(fā)展,但網(wǎng)絡(luò)本身的安全性問題也日顯突出,網(wǎng)絡(luò)安全的一個主要威脅就是通過網(wǎng)絡(luò)對信息系統(tǒng)的入侵.與此同時,無論從規(guī)模與方法上,入侵手段和技術(shù)都有了較大發(fā)展與演化.因此,對入侵攻擊的檢測與防范、保障計算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題.對入侵檢測系統(tǒng)進(jìn)行研究,具有重大理論和實踐意義.首先,該文對入侵檢測方面的相關(guān)內(nèi)容進(jìn)行了介紹.分析了國內(nèi)外IDS的發(fā)展歷程和現(xiàn)狀,指出了現(xiàn)在所

2、面臨的主要問題和發(fā)展趨勢.提出了使用移動代理技術(shù)可以解決目前所面臨的問題.因此構(gòu)建基于代理的入侵檢測系統(tǒng).其次,在對現(xiàn)有模型分析的基礎(chǔ)上,構(gòu)建了此系統(tǒng)模型.本系統(tǒng)模型是一個開放的系統(tǒng)模型,具有良好的可擴(kuò)充性,易于加入新的協(xié)作主機(jī)和入侵檢測代理,各代理之間的協(xié)作是通過它們之間的通信來完成的.在此系統(tǒng)中,每個代理都由三部分組成:跟蹤管理器、信息管理器和通信管理器.跟蹤管理器是一獨立運行實體,監(jiān)控主機(jī)某一方面并負(fù)責(zé)向相應(yīng)的信息管理器報告異常行

3、為或者可疑行為.信息管理器負(fù)責(zé)控制及數(shù)據(jù)處理功能.通信管理器是用密文方式建立在TCP連接上的傳輸.各代理間相互協(xié)作,合作完成檢測任務(wù).此系統(tǒng)可以分布在網(wǎng)絡(luò)中任意數(shù)目的主機(jī)上.每個主機(jī)上有一定數(shù)量的代理,跟蹤管理器進(jìn)行著最初的數(shù)據(jù)收集與數(shù)據(jù)處理,是最具靈活性的組成部分,每個跟蹤管理器將發(fā)現(xiàn)報告給信息管理器.信息管理器是各跟蹤管理器的總控實體,可負(fù)責(zé)網(wǎng)絡(luò)級的入侵檢測.再次,該文討論了系統(tǒng)所能實現(xiàn)的功能,并以跟蹤管理器為例,討論了其目前可檢測