基于管理Agent的協(xié)作式入侵檢測(cè)技術(shù)的研究.pdf

1、隨著計(jì)算機(jī)技術(shù)和Internet的飛速發(fā)展，計(jì)算機(jī)系統(tǒng)已經(jīng)由獨(dú)立的單機(jī)模式轉(zhuǎn)向開放、互聯(lián)的網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)安全和信息安全問題日益突出，網(wǎng)絡(luò)上各種攻擊事件不斷發(fā)生，相應(yīng)地，各種安全措施也越來(lái)越多。入侵檢測(cè)技術(shù)正受到人們?cè)絹?lái)越多地重視。傳統(tǒng)的誤用檢測(cè)存在效率低下、無(wú)法檢測(cè)出未知攻擊及變體攻擊的問題，而異常檢測(cè)又存在建模能力差、檢測(cè)率低等問題。 本文在對(duì)已有入侵檢測(cè)技術(shù)分析與研究的基礎(chǔ)上，主要完成了以下的工作： (1)引入管理A

2、gent的概念。提出了在管理Agent中采用基于優(yōu)先級(jí)選擇算法的協(xié)作管理方法。Agent既可以獨(dú)立完成某種特定的任務(wù)，也可以通過(guò)管理Agent地協(xié)調(diào)，多Agent間通過(guò)相互交換信息進(jìn)行數(shù)據(jù)收集，從而共同協(xié)作完成某種復(fù)雜的任務(wù)。 (2)提出了一種基于管理Agent的協(xié)作式入侵檢測(cè)模型(Coopertaion IntrusionDetection：Based on Manager Agent，CIDBMA)。該模型解決了傳統(tǒng)的集中式

3、入侵檢測(cè)模型只能從單一視角監(jiān)視被保護(hù)系統(tǒng)，對(duì)分布式攻擊無(wú)能為力的弊??；同時(shí)也兼顧到了分布式入侵檢測(cè)系統(tǒng)檢測(cè)組件大量占用系統(tǒng)資源且消息量過(guò)于龐大的問題。尤其是對(duì)模型中的協(xié)作策略進(jìn)行的詳細(xì)設(shè)計(jì)，使模型的健壯性大大增強(qiáng)。當(dāng)某個(gè)Agent失去工作能力(例如，無(wú)響應(yīng))后，也不會(huì)對(duì)整個(gè)模型有較大影響。Agent的恢復(fù)采用了一種選舉算法，在管理Agent的主導(dǎo)下可以及時(shí)、動(dòng)態(tài)恢復(fù)Agent的運(yùn)行。 (3)在Agent能力屬性中引入了信譽(yù)度的概

4、念。這是受到電子交易后的信用評(píng)價(jià)機(jī)制啟發(fā)而提出的。信譽(yù)度概念的引入，為更準(zhǔn)確描述Agent在協(xié)作中的表現(xiàn)提供了一個(gè)量化指標(biāo)。Agent的本地?cái)?shù)據(jù)庫(kù)中存儲(chǔ)與其直接協(xié)作和間接協(xié)作的所有Agent的信譽(yù)度向量。 (4)改進(jìn)了數(shù)據(jù)分析集成學(xué)習(xí)模型。在基于多個(gè)神經(jīng)網(wǎng)絡(luò)的分類器決策融合后，增加新的神經(jīng)網(wǎng)絡(luò)模塊，修正了單個(gè)分類器內(nèi)部發(fā)生的分類錯(cuò)誤。并在二級(jí)神經(jīng)網(wǎng)絡(luò)中改變了輸入向量維數(shù)，運(yùn)用更全面的數(shù)據(jù)描述提高改變后模型的檢測(cè)率，同時(shí)降低誤警率