基于Mobile Agent分布式入侵檢測系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、入侵檢測作為一種積極主動(dòng)的安全防護(hù)技術(shù)，能對內(nèi)部攻擊、外部攻擊和誤操作等進(jìn)行實(shí)時(shí)檢測，使網(wǎng)絡(luò)和主機(jī)系統(tǒng)在受到危害之前采取響應(yīng)入侵和攔截，能為網(wǎng)絡(luò)提供一個(gè)立體縱深、多層次防御的系統(tǒng)。 入侵檢測具有監(jiān)視分析用戶和系統(tǒng)、審計(jì)系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對異常行為進(jìn)行統(tǒng)計(jì)和審計(jì)、自動(dòng)地收集和系統(tǒng)相關(guān)的補(bǔ)丁、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評估自己的系統(tǒng)，成為繼防火墻之后

2、的又一道安全防線。 然而，隨著網(wǎng)絡(luò)攻擊手段向分布式方向發(fā)展(如分布式DOS攻擊)，且采用了各種數(shù)據(jù)處理技術(shù)，其破壞性和隱蔽性也越來越強(qiáng)。相應(yīng)地，要求入侵檢測系統(tǒng)也向分布式結(jié)構(gòu)發(fā)展，需采用分布式收集信息、分布式處理、多方協(xié)作等方式。 移動(dòng)代理技術(shù)作為一種源于智能代理的分布式計(jì)算技術(shù)，與傳統(tǒng)的分布式技術(shù)相比，具有明顯的優(yōu)勢：能大大減輕網(wǎng)絡(luò)負(fù)載、能以異步方式自主運(yùn)行、能動(dòng)態(tài)配置適應(yīng)網(wǎng)絡(luò)變化等。移動(dòng)代理獨(dú)特的對象傳遞思想和卓越的

3、特性，給分布式系統(tǒng)帶來了巨大的革新。隨著入侵檢測技術(shù)的發(fā)展和廣泛應(yīng)用，移動(dòng)代理技術(shù)也被引入到分布式入侵檢測系統(tǒng)中。 本文提出了一種應(yīng)用移動(dòng)代理的分布式入侵檢測系統(tǒng)模型，該模型是以移動(dòng)代理為組織單元，綜合了分布式思想和基于移動(dòng)代理的思想，利用代理的智能、移動(dòng)、協(xié)作和自適應(yīng)等特性，組織了無控制中心的協(xié)作式移動(dòng)代理結(jié)構(gòu)；該模型可以按照具體的網(wǎng)絡(luò)系統(tǒng)的安全策略配置在任何需要被監(jiān)控的主機(jī)系統(tǒng)上，只要被監(jiān)控的主機(jī)系統(tǒng)上安裝有移動(dòng)代理的執(zhí)行環(huán)

4、境，該主機(jī)就可以成為基于移動(dòng)代理的分布式入侵檢測系統(tǒng)(Mobile Agents based on Distributed Intrusion Detection System,簡稱MADIDS)的一部分。通過該模型的具體實(shí)現(xiàn)，對目前一些分布式入侵檢測系統(tǒng)所存在的虛報(bào)率高、單點(diǎn)失效、網(wǎng)絡(luò)通信負(fù)載過重等問題進(jìn)行了改進(jìn)；同時(shí)，通過對移動(dòng)代理和移動(dòng)代理運(yùn)行環(huán)境的安全性研究，并采取相應(yīng)的安全策略，提高了入侵檢測系統(tǒng)的效率和其本身的健壯性。最后給