基于多智能體網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的架構(gòu)及匹配算法研究.pdf

1、入侵檢測(cè)是系統(tǒng)安全防御體系中繼防火墻之后又一項(xiàng)重要的安全技術(shù)，可以在系統(tǒng)入侵的全過程對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)檢測(cè)與監(jiān)控。入侵檢測(cè)系統(tǒng)能在入侵危害發(fā)生前，檢測(cè)到入侵攻擊，并利用預(yù)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊；在入侵攻擊過程中，能及時(shí)報(bào)警，并將入侵攻擊造成的損失減至最小。在入侵攻擊發(fā)生后，可以收集相關(guān)信息，作為入侵特征，加入知識(shí)庫內(nèi)，以避免系統(tǒng)再次受到入侵。但傳統(tǒng)的入侵檢測(cè)系統(tǒng)存在嗅探器與控制臺(tái)的通信繁重、控制臺(tái)失效而導(dǎo)致整個(gè)系統(tǒng)的癱瘓和發(fā)現(xiàn)入侵時(shí)響應(yīng)滯

2、后等諸多難以解決的問題。 本文將智能體(Agent)技術(shù)應(yīng)用到入侵檢測(cè)系統(tǒng)中，并在此基礎(chǔ)上提出了模式匹配和規(guī)則相結(jié)合的思想，主要完成以下內(nèi)容： (1)搭建了基于多智能體(Multi-Agent)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(Net Intrusion Detection System Based Multi-Agent，NIDSMA)的新架構(gòu)。系統(tǒng)采取Multi-Agent結(jié)構(gòu)，充分利用Agent本身的獨(dú)立性與自主性，盡量降低各檢

3、測(cè)部件間的相關(guān)性，避免了單個(gè)中心分析器帶來的單點(diǎn)失效問題。各個(gè)數(shù)據(jù)采集部件、檢測(cè)部件都是獨(dú)立的單元，不僅實(shí)現(xiàn)了數(shù)據(jù)收集的分散化，而且將入侵檢測(cè)和實(shí)時(shí)響應(yīng)分散化，提高了系統(tǒng)的健壯性。 (2)構(gòu)建一種簡(jiǎn)單靈活、高效的規(guī)則描述語言，使NIDSMA的檢測(cè)引擎能根據(jù)規(guī)則所描述的入侵特征迅速識(shí)別攻擊事件，并做出相應(yīng)的動(dòng)作。 (3)提出了一種改進(jìn)的多模匹配算法(NPMS)，并通過實(shí)驗(yàn)證明該檢測(cè)算法在檢測(cè)時(shí)間和效率上都比經(jīng)典多模匹配算法