基于代理的分布式入侵檢測系統(tǒng)的研究.pdf

1、日益復雜和分布的入侵使得傳統(tǒng)的入侵系統(tǒng)無法滿足用戶的需求，迫切需要采用新的方法來提高入侵檢測系統(tǒng)的效率。代理(Agent)技術(shù)的特性使Agent非常適用于引入入侵檢測領(lǐng)域。 代理技術(shù)給分布式檢測系統(tǒng)帶來諸多優(yōu)點，它能夠減輕網(wǎng)絡負擔、縮短網(wǎng)絡等待時間、異步自治執(zhí)行、動態(tài)自適應、異構(gòu)環(huán)境運行、健壯性和容錯能力。 本論文分析了現(xiàn)行的基于代理入侵檢測系統(tǒng)的缺點，在此基礎上，針對性地提出了一種基于代理的分布式入侵檢測系統(tǒng)模型ADI

2、DS(Agent-based Distributed Intrusion Detection System)。該模型采用中心管理模塊對各個代理統(tǒng)一管理，每個代理都有唯一的標識身份的ID)，并為代理加入身份驗證，完整性鑒定和加密機制，通過多Agent技術(shù)來實現(xiàn)檢測自治化和多主機間檢測信息的協(xié)調(diào)，且采用分層結(jié)構(gòu)，將檢測管理器的地址隱蔽起來，提高了入侵檢測系統(tǒng)自身的安全性，解決了中心控制模塊的瓶頸問題，有效檢測了分布式的攻擊行為。 在

3、檢測部件的實現(xiàn)上，使用了協(xié)議分析和模式匹配相結(jié)合的方法，有效地縮小了目標的匹配范圍，提高了檢測速度；在決策過程中引入了關(guān)聯(lián)分析模塊和情報代理模塊，不僅能夠更好的發(fā)現(xiàn)多個攻擊之間的內(nèi)在聯(lián)系，而且能減少誤報，能夠較好的應對分布式拒絕服務攻擊。 針對目前入侵檢測系統(tǒng)成為被攻擊目標的現(xiàn)狀和代理技術(shù)給系統(tǒng)自身帶來的安全問題，又提出了相應的安全策略和方法，解決了移動代理技術(shù)中的安全認證和中心模塊被攻擊的問題。 最后對本系統(tǒng)進行了測試