基于移動(dòng)代理的分布式入侵檢測(cè)關(guān)鍵技術(shù)研究.pdf

1、入侵檢測(cè)作為一種動(dòng)態(tài)的網(wǎng)絡(luò)安全技術(shù)近年來(lái)引起了人們的足夠重視，并成為網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)。隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)規(guī)模和用戶數(shù)的不斷增長(zhǎng)，攻擊工具和手法的日趨復(fù)雜多樣，改進(jìn)入侵檢測(cè)技術(shù)、維護(hù)網(wǎng)絡(luò)安全已刻不容緩。 移動(dòng)代理技術(shù)作為一種新興的分布式技術(shù)，具有移動(dòng)性、自治性和智能性等特點(diǎn)，為基于網(wǎng)絡(luò)的應(yīng)用如入侵檢測(cè)提供了一種全新而且可行的方案。研究基于移動(dòng)代理的入侵檢測(cè)技術(shù)具有重要的理論價(jià)值和應(yīng)用價(jià)值。 本文對(duì)當(dāng)前基

2、于移動(dòng)代理的分布式入侵檢測(cè)技術(shù)中存在的問(wèn)題進(jìn)行了深入的分析與研究，把研究重點(diǎn)放在若干關(guān)鍵問(wèn)題上，包括多代理協(xié)作的分布式入侵檢測(cè)系統(tǒng)模型設(shè)計(jì)及入侵檢測(cè)分析引擎關(guān)鍵技術(shù)研究等。 本文的主要貢獻(xiàn)和創(chuàng)新點(diǎn)包括： (1)針對(duì)傳統(tǒng)的集中式和層次化入侵檢測(cè)系統(tǒng)在容錯(cuò)性、可擴(kuò)展性等方面存在的問(wèn)題，本文提出一個(gè)基于多代理協(xié)作的分布式入侵檢測(cè)系統(tǒng)模型MACDIDS。該系統(tǒng)模型將整個(gè)網(wǎng)絡(luò)劃分成呈層次化結(jié)構(gòu)的若干個(gè)域，域的入侵檢測(cè)工作分配到域中

3、各臺(tái)主機(jī)上進(jìn)行；將系統(tǒng)管理和分布式入侵檢測(cè)任務(wù)交給域管理agent(DMA)來(lái)處理。同時(shí)在系統(tǒng)原型設(shè)計(jì)上引入了代理備份的安全機(jī)制，對(duì)于關(guān)鍵代理采用代理備份的安全機(jī)制進(jìn)行備份，以此來(lái)抵御其可能遭受的攻擊，這些措施的實(shí)施使得MACDIDS具有良好的可擴(kuò)展性和魯棒性，較好地解決了層次化入侵檢測(cè)系統(tǒng)所存在的單一點(diǎn)失效和處理能力瓶頸問(wèn)題。 (2)研究了數(shù)據(jù)挖掘在入侵檢測(cè)領(lǐng)域中的應(yīng)用，提出了基于擴(kuò)張矩陣?yán)碚摵瓦z傳算法的規(guī)則挖掘算法，將其用于

4、網(wǎng)絡(luò)連接檢測(cè)，并利用業(yè)界公認(rèn)的MITLincolnLab的KDD99數(shù)據(jù)集對(duì)其進(jìn)行評(píng)估。實(shí)驗(yàn)結(jié)果表明，該算法具有較高檢出率和較低誤報(bào)率，比較適合于對(duì)入侵攻擊比較敏感同時(shí)也允許少量誤報(bào)的場(chǎng)合。 (3)針對(duì)誤用入侵檢測(cè)無(wú)法檢測(cè)未知攻擊的弱點(diǎn)，本文嘗試在人體免疫學(xué)研究的基礎(chǔ)上，借鑒其基因選擇、負(fù)選擇和克隆選擇等工作機(jī)制，結(jié)合J.Kim和S.Forrest等人的相關(guān)理論研究，提出一種基于免疫策略的未知攻擊探測(cè)模型，它可以擺脫已知脆弱性的

5、限制，能夠檢測(cè)出以前未曾出現(xiàn)過(guò)的新的攻擊方法，可作為上述基于擴(kuò)張矩陣?yán)碚摰囊?guī)則挖掘算法的有益的補(bǔ)充。 (4)針對(duì)目前移動(dòng)代理系統(tǒng)普遍存在的安全問(wèn)題，提出了一種可行、實(shí)用的安全解決方案。在局部安全方面：利用Aglet和Java自身的安全機(jī)制來(lái)解決移動(dòng)代理的權(quán)限問(wèn)題：就移動(dòng)代理在網(wǎng)間遷移的安全問(wèn)題提出一種基于混合加密的移動(dòng)代理安全傳輸模型HESTM。在整體安全方面，通過(guò)改變移動(dòng)代理的任務(wù)執(zhí)行模式和改進(jìn)密鑰管理機(jī)制等措施，使之具有較強(qiáng)