基于Mobile Agent分布式入侵檢測系統(tǒng)的研究與實現.pdf

1、入侵檢測作為一種積極主動的安全防護技術，能對內部攻擊、外部攻擊和誤操作等進行實時檢測，使網絡和主機系統(tǒng)在受到危害之前采取響應入侵和攔截，能為網絡提供一個立體縱深、多層次防御的系統(tǒng)。 入侵檢測具有監(jiān)視分析用戶和系統(tǒng)、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數據的完整性、識別攻擊行為、對異常行為進行統(tǒng)計和審計、自動地收集和系統(tǒng)相關的補丁、使用誘騙服務器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)，成為繼防火墻之后

2、的又一道安全防線。 然而，隨著網絡攻擊手段向分布式方向發(fā)展(如分布式DOS攻擊)，且采用了各種數據處理技術，其破壞性和隱蔽性也越來越強。相應地，要求入侵檢測系統(tǒng)也向分布式結構發(fā)展，需采用分布式收集信息、分布式處理、多方協(xié)作等方式。 移動代理技術作為一種源于智能代理的分布式計算技術，與傳統(tǒng)的分布式技術相比，具有明顯的優(yōu)勢：能大大減輕網絡負載、能以異步方式自主運行、能動態(tài)配置適應網絡變化等。移動代理獨特的對象傳遞思想和卓越的

3、特性，給分布式系統(tǒng)帶來了巨大的革新。隨著入侵檢測技術的發(fā)展和廣泛應用，移動代理技術也被引入到分布式入侵檢測系統(tǒng)中。 本文提出了一種應用移動代理的分布式入侵檢測系統(tǒng)模型，該模型是以移動代理為組織單元，綜合了分布式思想和基于移動代理的思想，利用代理的智能、移動、協(xié)作和自適應等特性，組織了無控制中心的協(xié)作式移動代理結構；該模型可以按照具體的網絡系統(tǒng)的安全策略配置在任何需要被監(jiān)控的主機系統(tǒng)上，只要被監(jiān)控的主機系統(tǒng)上安裝有移動代理的執(zhí)行環(huán)

4、境，該主機就可以成為基于移動代理的分布式入侵檢測系統(tǒng)(Mobile Agents based on Distributed Intrusion Detection System,簡稱MADIDS)的一部分。通過該模型的具體實現，對目前一些分布式入侵檢測系統(tǒng)所存在的虛報率高、單點失效、網絡通信負載過重等問題進行了改進；同時，通過對移動代理和移動代理運行環(huán)境的安全性研究，并采取相應的安全策略，提高了入侵檢測系統(tǒng)的效率和其本身的健壯性。最后給