基于自治Agent的分布式入侵檢測系統(tǒng).pdf

1、入侵活動的日益猖獗使得人們對網(wǎng)絡安全問題越來越重視。防火墻和入侵檢測系統(tǒng)等安全產(chǎn)品的引入在一定程度上保護了網(wǎng)絡的安全性。但是，網(wǎng)絡安全技術發(fā)展的同時，入侵技術也在不斷地發(fā)展和演化，這表現(xiàn)在攻擊手段的多樣化和復雜化，入侵規(guī)模的擴大以及攻擊的分布化。這使得入侵檢測系統(tǒng)向分布式、智能化和全面防御的方向發(fā)展。 分布式入侵檢測體系結構的出現(xiàn)突破了基于單一主機或網(wǎng)絡架構的IDS系統(tǒng)在應對復雜入侵行為時的局限性。然而，傳統(tǒng)的分布式入侵檢測系統(tǒng)

2、大多采用Sensor/Manager框架，sensor的監(jiān)控和數(shù)據(jù)分析都集中在中心控制臺上，不僅加大了控制臺的處理負擔，還會因為中心控制臺的失效造成整個系統(tǒng)的癱瘓。 鑒于以上情況，本文設計并實現(xiàn)了一個基于自治Agent<'[1]>的分布式入侵檢測系統(tǒng)。系統(tǒng)采用層次式的管理控制結構，監(jiān)控器和收發(fā)器通過級聯(lián)方式相互協(xié)作并監(jiān)控不同自治域中的探測器。由于控制權分散到自治域和主機上，防止了單點故障。每個自治Agent可以根據(jù)不同的需求進行

3、實現(xiàn)和擴展，增加了系統(tǒng)的靈活性。采用基于Publish/Subscribe<'[2]>的通信模式，減少了實體間的通信開銷，提高了通信效率和靈活性。系統(tǒng)通過與防火墻的聯(lián)動模塊實現(xiàn)與其他安全組件的協(xié)作，從而達到全面防御的目的。 具體來說，本文的主要工作有： ·設計一種基于自治Agent的分布式入侵檢測模型結構。從體系結構的角度對比分析目前主流分布式入侵檢測系統(tǒng)的優(yōu)缺點； ·設計自治Agent的IDS系統(tǒng)模塊結構。闡述

4、各模塊的實現(xiàn)功能，將系統(tǒng)從上自下分為中心監(jiān)控代理、監(jiān)控器(Monitor)、收發(fā)器(transceiver)、探測器四大主要功能實體，利用層次式的管理控制結構進行相互協(xié)作；采用Publ；sh/Subscribe通信模式完成Agent間的通信協(xié)作。詳細分析了系統(tǒng)實體間的通信過程： ·設計并實現(xiàn)了系統(tǒng)的協(xié)同控制實體一監(jiān)控器和收發(fā)器，并通過監(jiān)控器上的分析響應模塊，實現(xiàn)了與防火墻的聯(lián)動，在不影響防火墻和入侵檢測系統(tǒng)的工作效率的情況下，完

5、成實時阻斷入侵行為的功能，從而提高了系統(tǒng)的整體防御能力和安全性能； .采用基于誤用檢測的探測器并優(yōu)化檢測引擎的實現(xiàn)算法。對比基于規(guī)則的開源IDS項目Snort<'[3]>，使用二級索引結構的規(guī)則庫并改進了規(guī)則匹配算法，提高了檢測效率； ·定義用戶管理系統(tǒng)的功能，闡述了中心控制代理的實現(xiàn)方法； ·采用日志水印技術H<'[4]>實現(xiàn)一個安全日志審計系統(tǒng)，通過加入水印信息和 同時在本地和遠程保存日志記錄的方法保證日志