基于代理的分布式入侵檢測系統(tǒng)的研究.pdf

1、日益復(fù)雜和分布的入侵使得傳統(tǒng)的入侵系統(tǒng)無法滿足用戶的需求，迫切需要采用新的方法來提高入侵檢測系統(tǒng)的效率。代理(Agent)技術(shù)的特性使Agent非常適用于引入入侵檢測領(lǐng)域。 代理技術(shù)給分布式檢測系統(tǒng)帶來諸多優(yōu)點(diǎn)，它能夠減輕網(wǎng)絡(luò)負(fù)擔(dān)、縮短網(wǎng)絡(luò)等待時(shí)間、異步自治執(zhí)行、動(dòng)態(tài)自適應(yīng)、異構(gòu)環(huán)境運(yùn)行、健壯性和容錯(cuò)能力。 本論文分析了現(xiàn)行的基于代理入侵檢測系統(tǒng)的缺點(diǎn)，在此基礎(chǔ)上，針對性地提出了一種基于代理的分布式入侵檢測系統(tǒng)模型ADI

2、DS(Agent-based Distributed Intrusion Detection System)。該模型采用中心管理模塊對各個(gè)代理統(tǒng)一管理，每個(gè)代理都有唯一的標(biāo)識身份的ID)，并為代理加入身份驗(yàn)證，完整性鑒定和加密機(jī)制，通過多Agent技術(shù)來實(shí)現(xiàn)檢測自治化和多主機(jī)間檢測信息的協(xié)調(diào)，且采用分層結(jié)構(gòu)，將檢測管理器的地址隱蔽起來，提高了入侵檢測系統(tǒng)自身的安全性，解決了中心控制模塊的瓶頸問題，有效檢測了分布式的攻擊行為。 在

3、檢測部件的實(shí)現(xiàn)上，使用了協(xié)議分析和模式匹配相結(jié)合的方法，有效地縮小了目標(biāo)的匹配范圍，提高了檢測速度；在決策過程中引入了關(guān)聯(lián)分析模塊和情報(bào)代理模塊，不僅能夠更好的發(fā)現(xiàn)多個(gè)攻擊之間的內(nèi)在聯(lián)系，而且能減少誤報(bào)，能夠較好的應(yīng)對分布式拒絕服務(wù)攻擊。 針對目前入侵檢測系統(tǒng)成為被攻擊目標(biāo)的現(xiàn)狀和代理技術(shù)給系統(tǒng)自身帶來的安全問題，又提出了相應(yīng)的安全策略和方法，解決了移動(dòng)代理技術(shù)中的安全認(rèn)證和中心模塊被攻擊的問題。 最后對本系統(tǒng)進(jìn)行了測試