基于代理的入侵檢測系統(tǒng)研究與實現.pdf

1、近年來,互聯網在國際上得到了長足的發(fā)展,但網絡本身的安全性問題也日顯突出,網絡安全的一個主要威脅就是通過網絡對信息系統(tǒng)的入侵.與此同時,無論從規(guī)模與方法上,入侵手段和技術都有了較大發(fā)展與演化.因此,對入侵攻擊的檢測與防范、保障計算機系統(tǒng)、網絡系統(tǒng)及整個信息基礎設施的安全已經成為刻不容緩的重要課題.對入侵檢測系統(tǒng)進行研究,具有重大理論和實踐意義.首先,該文對入侵檢測方面的相關內容進行了介紹.分析了國內外IDS的發(fā)展歷程和現狀,指出了現在所

2、面臨的主要問題和發(fā)展趨勢.提出了使用移動代理技術可以解決目前所面臨的問題.因此構建基于代理的入侵檢測系統(tǒng).其次,在對現有模型分析的基礎上,構建了此系統(tǒng)模型.本系統(tǒng)模型是一個開放的系統(tǒng)模型,具有良好的可擴充性,易于加入新的協作主機和入侵檢測代理,各代理之間的協作是通過它們之間的通信來完成的.在此系統(tǒng)中,每個代理都由三部分組成:跟蹤管理器、信息管理器和通信管理器.跟蹤管理器是一獨立運行實體,監(jiān)控主機某一方面并負責向相應的信息管理器報告異常行

3、為或者可疑行為.信息管理器負責控制及數據處理功能.通信管理器是用密文方式建立在TCP連接上的傳輸.各代理間相互協作,合作完成檢測任務.此系統(tǒng)可以分布在網絡中任意數目的主機上.每個主機上有一定數量的代理,跟蹤管理器進行著最初的數據收集與數據處理,是最具靈活性的組成部分,每個跟蹤管理器將發(fā)現報告給信息管理器.信息管理器是各跟蹤管理器的總控實體,可負責網絡級的入侵檢測.再次,該文討論了系統(tǒng)所能實現的功能,并以跟蹤管理器為例,討論了其目前可檢測