基于多Agent的入侵檢測系統(tǒng)規(guī)則庫的構(gòu)建.pdf

1、目前，網(wǎng)絡和各種信息技術(shù)被廣泛應用，但同時也存在嚴重的風險和威脅，安全問題備受關(guān)注。入侵檢測系統(tǒng)是網(wǎng)絡安全領域的重要分支和研究熱點，是保護網(wǎng)絡系統(tǒng)安全的關(guān)鍵技術(shù)和重要手段。隨著入侵技術(shù)變得更加綜合化、復雜化，入侵規(guī)模不斷擴大，網(wǎng)絡安全設備的處理速度尚不能滿足需求，如何降低入侵檢測系統(tǒng)的誤報率和漏報率，增強互動性和智能化的程度等方面始終是有待進一步研究的課題?；诰W(wǎng)絡的入侵檢測系統(tǒng)(NIDS)是目前入侵檢測系統(tǒng)研究的熱點。 隨著人

2、工智能以及Agent技術(shù)的發(fā)展，利用具有一定自主推理、自主決策能力的Agent以及由其組成的多Agent系統(tǒng)已經(jīng)成為網(wǎng)絡應用系統(tǒng)中的熱門jr具。多Agent系統(tǒng)是一種分布式人工智能方法，以智能Agent技術(shù)為基礎，將多Agent技術(shù)應用到入侵檢測系統(tǒng)中的研究已經(jīng)取得了一定的成果，它能使邏輯上和物理上分散的檢測系統(tǒng)并行、協(xié)調(diào)地求解問題，有利于實現(xiàn)分布式的處理，可以平衡多處理器的負載，具有動態(tài)可擴展性和智能化等優(yōu)點，顯著提高了檢測系統(tǒng)的性能

3、?；贏gent的分布式入侵檢測系統(tǒng)的研究設計是目前智能化入侵檢測技術(shù)研究的重要方向之一。 規(guī)則庫描述入侵攻擊事件的特征和相應的響應規(guī)則，控制入侵檢測引擎，是入侵檢測系統(tǒng)能否有效檢測入侵的關(guān)鍵。檢測規(guī)則的表示模式的選擇直接影響著規(guī)則獲取能力和規(guī)則運用效率，是入侵檢測系統(tǒng)中最基本的問題之一。因此，對入侵檢測系統(tǒng)規(guī)則的表示模式、規(guī)則庫的構(gòu)建的研究和改進具有重要的價值。 本文在詳細分析目前國內(nèi)外基于多Agent的入侵檢測系統(tǒng)研

4、究現(xiàn)狀的基礎上，面向NIDS對規(guī)則庫的構(gòu)建進行了研究和探討。主要研究工作涉及以下幾個方面： 1、運用知識工程和面向?qū)ο蟮姆椒?，提出了基于面向?qū)ο蟮墓糁R表達模型，并采用Java語言實現(xiàn)了攻擊知識的表達。研究中把網(wǎng)絡攻擊事件看作一個對象知識，把一些具有相似性質(zhì)的攻擊知識定義為一個攻擊類知識，定義了攻擊知識對象的抽象結(jié)構(gòu)、方法集、規(guī)則集。 2、定義了一種基于知識工程方法的規(guī)則描述語言對檢測規(guī)則進行結(jié)構(gòu)化描述，對規(guī)則頭、規(guī)則

5、協(xié)議、規(guī)則選項和數(shù)據(jù)結(jié)構(gòu)進行了詳細設計，定義的規(guī)則描述語言簡單、靈活、高效。 3、在分析NIDS模型的功能特點和協(xié)議數(shù)據(jù)包的基本特征基礎上，規(guī)劃了針對不同類型數(shù)據(jù)包的特征提取和檢測規(guī)則表示，在基本特征提取基礎上，提取生成復雜特征，能夠有效地對入侵行為進行全面檢測。 4、對基于多Agent的入侵檢測系統(tǒng)中各種Agent的功能及其相互之間的聯(lián)系進行了分配，對與規(guī)則相關(guān)的Agent進行了詳細設計。 5、利用表的形式實現(xiàn)

6、簡單攻擊事件和關(guān)聯(lián)攻擊事件的定義與推理規(guī)則；使用腳本存儲方案設計了基于數(shù)據(jù)模式的單行為攻擊事件描述和基于統(tǒng)計與關(guān)聯(lián)的行為關(guān)聯(lián)事件描述語法。 6、以面向?qū)ο蟮闹R表達模型為基礎，融入層次規(guī)則庫設計思想，探討了NIDS規(guī)則庫的實現(xiàn)方式和自動更新方法，給出了可行的規(guī)則庫實現(xiàn)方案。 論文提出的攻擊知識表達模型能夠正確有效的描述組合、分布式攻擊等復雜的攻擊知識，所設計的規(guī)則庫模型和實現(xiàn)方案體現(xiàn)了良好的知識管理機制，具有檢測效率高、