基于Mobile Agent分布式入侵檢測系統(tǒng)的研究與實現(xiàn).pdf

1、入侵檢測作為一種積極主動的安全防護技術(shù)，能對內(nèi)部攻擊、外部攻擊和誤操作等進行實時檢測，使網(wǎng)絡(luò)和主機系統(tǒng)在受到危害之前采取響應(yīng)入侵和攔截，能為網(wǎng)絡(luò)提供一個立體縱深、多層次防御的系統(tǒng)。 入侵檢測具有監(jiān)視分析用戶和系統(tǒng)、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為、對異常行為進行統(tǒng)計和審計、自動地收集和系統(tǒng)相關(guān)的補丁、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)，成為繼防火墻之后

2、的又一道安全防線。 然而，隨著網(wǎng)絡(luò)攻擊手段向分布式方向發(fā)展(如分布式DOS攻擊)，且采用了各種數(shù)據(jù)處理技術(shù)，其破壞性和隱蔽性也越來越強。相應(yīng)地，要求入侵檢測系統(tǒng)也向分布式結(jié)構(gòu)發(fā)展，需采用分布式收集信息、分布式處理、多方協(xié)作等方式。 移動代理技術(shù)作為一種源于智能代理的分布式計算技術(shù)，與傳統(tǒng)的分布式技術(shù)相比，具有明顯的優(yōu)勢：能大大減輕網(wǎng)絡(luò)負載、能以異步方式自主運行、能動態(tài)配置適應(yīng)網(wǎng)絡(luò)變化等。移動代理獨特的對象傳遞思想和卓越的

3、特性，給分布式系統(tǒng)帶來了巨大的革新。隨著入侵檢測技術(shù)的發(fā)展和廣泛應(yīng)用，移動代理技術(shù)也被引入到分布式入侵檢測系統(tǒng)中。 本文提出了一種應(yīng)用移動代理的分布式入侵檢測系統(tǒng)模型，該模型是以移動代理為組織單元，綜合了分布式思想和基于移動代理的思想，利用代理的智能、移動、協(xié)作和自適應(yīng)等特性，組織了無控制中心的協(xié)作式移動代理結(jié)構(gòu)；該模型可以按照具體的網(wǎng)絡(luò)系統(tǒng)的安全策略配置在任何需要被監(jiān)控的主機系統(tǒng)上，只要被監(jiān)控的主機系統(tǒng)上安裝有移動代理的執(zhí)行環(huán)

4、境，該主機就可以成為基于移動代理的分布式入侵檢測系統(tǒng)(Mobile Agents based on Distributed Intrusion Detection System,簡稱MADIDS)的一部分。通過該模型的具體實現(xiàn)，對目前一些分布式入侵檢測系統(tǒng)所存在的虛報率高、單點失效、網(wǎng)絡(luò)通信負載過重等問題進行了改進；同時，通過對移動代理和移動代理運行環(huán)境的安全性研究，并采取相應(yīng)的安全策略，提高了入侵檢測系統(tǒng)的效率和其本身的健壯性。最后給