基于代理的分布式入侵檢測系統(tǒng)研究與實現(xiàn).pdf

1、入侵檢測系統(tǒng)是一種能自動檢測計算機(jī)系統(tǒng)或網(wǎng)絡(luò)上入侵行為的系統(tǒng).根據(jù)檢測對象的不同,入侵檢測系統(tǒng)可分為網(wǎng)絡(luò)入侵檢測系統(tǒng)和主機(jī)入侵檢測系統(tǒng).其中,網(wǎng)絡(luò)入侵檢測系統(tǒng)是指通過捕獲并分析共享網(wǎng)絡(luò)段上的網(wǎng)絡(luò)分組來檢測入侵行為的系統(tǒng),目前在市場上占主導(dǎo)地位;而主機(jī)入侵檢測系統(tǒng)是指通過分析特定主機(jī)上的系統(tǒng)安全日志等數(shù)據(jù)源來檢測用戶異常入侵行為的系統(tǒng).從系統(tǒng)體系結(jié)構(gòu)來看,入侵檢測系統(tǒng)可分為集中式入侵檢測系統(tǒng)和分布式入侵檢測系統(tǒng).目前,占主導(dǎo)地位的是集中式

2、入侵檢測系統(tǒng).然而,隨著大規(guī)模高速網(wǎng)絡(luò)的出現(xiàn),集中式入侵檢測已經(jīng)很難做到實時檢測,并且會因檢測系統(tǒng)本身的部署而對網(wǎng)絡(luò)速度性能造成一定的影響.為了克服集中式入侵檢測系統(tǒng)的上述缺陷,該論文引入了一種基于代理的分布式入侵檢測系統(tǒng)模型(ADIDS).基于代理的分布式入侵檢測系統(tǒng),是近年來新出現(xiàn)的入侵檢測技術(shù).針對集中式入侵檢測系統(tǒng)的局限性,它將基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機(jī)的入侵檢測系統(tǒng)密切地聯(lián)系在一起,網(wǎng)絡(luò)檢測代理和主機(jī)檢測代理在本地完成局

3、部簡單的檢測分析功能,而將不能在該地分析判斷的網(wǎng)絡(luò)可疑事件上傳給全局檢測代理處理.總之,該論文設(shè)計的基于代理的分布式入侵檢測系統(tǒng)有以下主要特點:一是代理和分布式技術(shù)的引入,能夠做到檢測負(fù)載均衡和減少對被保護(hù)網(wǎng)絡(luò)性能的影響,能檢測到協(xié)同分布式攻擊,并提供集成化檢測、分析、報告和響應(yīng)功能,;二是將統(tǒng)計分析算法應(yīng)用于主機(jī)異常檢測代理,具有自適應(yīng)性能力,能夠適應(yīng)用戶行為的變化,檢測到網(wǎng)絡(luò)上新出現(xiàn)的攻擊行為;三是在分析BMH和BMHS算法的基礎(chǔ)上