基于Agent用戶建模的分布式入侵檢測系統(tǒng).pdf

1、基于Agent用戶建模的分布式入侵檢測系統(tǒng)基于Agent用戶建模的分布式入侵檢測系統(tǒng)摘要隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和Internet在全球的推廣，網(wǎng)絡(luò)在給人類社會(huì)帶來便利的同時(shí)，網(wǎng)絡(luò)安全問題也困擾著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用，信息安全問題也成為社會(huì)關(guān)注的熱點(diǎn)。在信息技術(shù)發(fā)展過程中，信息安全系統(tǒng)也經(jīng)歷了幾個(gè)重要階段，起初是通信保密，到后來發(fā)展為信息安全，而將來則會(huì)是信息保障。下一代互聯(lián)網(wǎng)的研究己經(jīng)提上議程，新一代網(wǎng)絡(luò)中的安全問題也是今后研究的熱點(diǎn)，而網(wǎng)

2、絡(luò)行為學(xué)的研究也將會(huì)為網(wǎng)絡(luò)安全技術(shù)提供理論基礎(chǔ)。基于Agent的分布式入侵檢測系統(tǒng)是當(dāng)今IDS(IntrusionDetectionSystem)研究領(lǐng)域的主流，國內(nèi)外的學(xué)者提出了很多種系統(tǒng)模型，很多公司也推出了基于Agent的入侵檢測產(chǎn)品。但這些用于入侵檢測的Agent都是由廠商事先開發(fā)好的，當(dāng)用戶環(huán)境和實(shí)際需求發(fā)生變化時(shí)，這些Agent不能適應(yīng)這些變化，因此本文提出了一種新的系統(tǒng)模型—基于Agent用戶建模的分布式入侵檢測系統(tǒng)。其基

3、本思想是:Agent中的各功能模塊用組件技術(shù)開發(fā)，用戶在圖形窗口的引導(dǎo)下，根據(jù)自己的需要組建一個(gè)Agent，當(dāng)環(huán)境改變或需求變化時(shí)可以重新構(gòu)造一個(gè)新的Agent。這樣基于Agent的入侵檢測系統(tǒng)就具有較大的靈活性和可擴(kuò)充性。本文提出了評(píng)價(jià)入侵檢測系統(tǒng)的幾條指標(biāo)，介紹了評(píng)估一個(gè)實(shí)際的入侵檢測系統(tǒng)的方法和步驟。關(guān)鍵字:入侵檢測，Agent用戶建模，模式匹配基于Agent用戶建模的分布式入侵檢測系統(tǒng)己!性全JIA在計(jì)算機(jī)安全的發(fā)展中，系統(tǒng)安全

4、模型在逐步的實(shí)踐中發(fā)生變化。由一開始的靜態(tài)的系統(tǒng)安全模型逐漸過渡到動(dòng)態(tài)的安全模型，如P2DR模型。P2DR表示PolicyProtectionDetection和Response，即在一定的策略指導(dǎo)下，進(jìn)行保護(hù)、檢測和響應(yīng)。檢測已經(jīng)是系統(tǒng)安全模型中非常重要的一部分?；贏gent的分布式網(wǎng)絡(luò)安全檢測系統(tǒng)是一種有效的信息安全檢測手段。在一個(gè)主機(jī)上執(zhí)行某種安全監(jiān)控功能的軟件實(shí)體Agent，它們自動(dòng)運(yùn)行，即它們僅山操作系統(tǒng)而不是其它進(jìn)程控制:

5、在一個(gè)主機(jī)上可有多個(gè)Agent基于Agent的方法連續(xù)運(yùn)作并且除了跟與它相似結(jié)構(gòu)的Agent交流和協(xié)作外，還從經(jīng)歷中學(xué)習(xí)，即Agent具有獨(dú)立性、自適應(yīng)能力和學(xué)習(xí)能力。它們?cè)诟鱾€(gè)網(wǎng)絡(luò)節(jié)點(diǎn)之間收集信息，及時(shí)對(duì)外來攻擊和網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)故障、資源浪費(fèi)、效率低下、信息失密等由于管理制度導(dǎo)致網(wǎng)絡(luò)的性能、安全和服務(wù)質(zhì)量失控問題進(jìn)行動(dòng)態(tài)跟蹤。每一個(gè)Agent可提供完成代理、接收器、監(jiān)控器和用戶間的通信等工作并且在一個(gè)框架中包括大量本地監(jiān)控器，這個(gè)框架

6、向一個(gè)全局檢測器數(shù)組提供支持分布的本地結(jié)果，而全局檢測器數(shù)組根據(jù)匯總情況綜合分析確認(rèn)報(bào)警和警告。目前，Agent技術(shù)己成為研究大型網(wǎng)絡(luò)分布式信息安全檢測系統(tǒng)的一個(gè)熱門方向。在國際上己經(jīng)出現(xiàn)了許多成功的基于Agent的分布式并行檢測系統(tǒng)框架類型，如:由Purdue大學(xué)設(shè)計(jì)開發(fā)的AAFID系統(tǒng)(AutonomousAgentforIntrusionDetection)、山SRIInternational公司開發(fā)的EMERALD原型系統(tǒng)(Ev

7、entMonitorEnablingResponsestoAnomalousLiveDisturbances)和由日本IPA設(shè)計(jì)的IntrusionDetectionAgentSystem等?；贏gent的分布式信息安全檢測系統(tǒng)有很好的應(yīng)用前景，是將網(wǎng)絡(luò)行為學(xué)理論應(yīng)用于網(wǎng)絡(luò)的故障、性能和安全監(jiān)控和服務(wù)質(zhì)量控制的理想載體，但目前還只是處在概念模型設(shè)計(jì)上，有些系統(tǒng)還很不完善在實(shí)際應(yīng)用中還存在很多問題和難點(diǎn)，也是目前信息安全檢測技術(shù)研究的方

8、向。近幾年，我國信息安全專家緊跟國際前沿，在這方面的研究開始起步。經(jīng)過跟蹤、資料收集和介紹階段，己有一些信息安全方面的專家也提出了具有自己特色的概念模型?？v觀國內(nèi)外已經(jīng)提出的這些模型概念，不難看出，這些Agent都是由開發(fā)商預(yù)先設(shè)計(jì)好的軟件實(shí)體，只能在系統(tǒng)功能允許的范圍之內(nèi)進(jìn)行適當(dāng)調(diào)整。即利用系統(tǒng)的自適應(yīng)能力和再學(xué)習(xí)功能來完成，不能由用戶隨意改變Agent的功能，缺少不同用戶間可以自由對(duì)系統(tǒng)采用不同的訪問、處理模式的控制機(jī)制而要求軟件設(shè)