基于移動(dòng)Agent的入侵管理系統(tǒng)IMS研究.pdf

1、該文在入侵管理系統(tǒng)的體系結(jié)構(gòu)、攻擊分類(lèi)、檢測(cè)技術(shù)、入侵告警的管理技術(shù)以及主動(dòng)響應(yīng)及互動(dòng)協(xié)議方面開(kāi)展了系統(tǒng)、深入和較全面的研究,主要包括:◆分布式入侵檢測(cè)系統(tǒng)的協(xié)調(diào)方式和智能管理技術(shù) 文中對(duì)DARPA提出的公共入侵檢測(cè)框架CIDF(Common Intrusion Detection Framework)在分布式方面進(jìn)行了改進(jìn)和擴(kuò)展,首次提出并增加了分布式入侵檢測(cè)系統(tǒng)的協(xié)調(diào)模塊和管理模塊的任務(wù)分派功能,并在此基礎(chǔ)上提出三個(gè)新視點(diǎn)VoA、V

2、oC、VoM,并從這三個(gè)視點(diǎn)出發(fā)對(duì)國(guó)內(nèi)外著名的DIDS進(jìn)行深入剖析和分類(lèi),對(duì)它們各自的特性及優(yōu)缺點(diǎn)進(jìn)行了比較,并提出一種"分布采集、動(dòng)態(tài)協(xié)調(diào)、智能管理"的體系結(jié)構(gòu)參考模型.◆基于靜態(tài)Agent和移動(dòng)Agent相結(jié)合的入侵管理系統(tǒng)及其體系結(jié)構(gòu) 通過(guò)分析分布式入侵的特點(diǎn),提出了分布式入侵管理系統(tǒng)的發(fā)展趨勢(shì)及應(yīng)具備的技術(shù)特征.◆基于Cause、Consequence和Correlation的"3C"攻擊分類(lèi)法 文中提出一種"以檢測(cè)為目的"的"

3、3C攻擊分類(lèi)法".并且為了解決目前分類(lèi)法中擴(kuò)展性比較差,對(duì)新出現(xiàn)的攻擊容納性不好的問(wèn)題,文中選擇RDF作為"3C"的網(wǎng)絡(luò)攻擊分類(lèi)結(jié)果的描述方法,這種根據(jù)RDF得到的XML描述符合IDMEF標(biāo)準(zhǔn),完全可以作為安全部件和代理之間消息交換的標(biāo)準(zhǔn)語(yǔ)言,這種格式的交換消息可直接應(yīng)用于分布式入侵管理系統(tǒng).◆改進(jìn)Apriori算法,實(shí)現(xiàn)基于用戶(hù)生物特征的異常檢測(cè) 在分析兩種基于擊鍵韻律的生物測(cè)定模型:Rick Joyce模型以及PR-RP間隔模型的基

4、礎(chǔ)上,提出采用數(shù)據(jù)挖掘的方法實(shí)現(xiàn)基于生物特征的異常檢測(cè)的思想.并對(duì)Rakesh Agrawal和Ramakrishnan Skrikant提出的經(jīng)典關(guān)聯(lián)規(guī)則挖掘算法進(jìn)行了深入分析.◆基于"過(guò)濾→關(guān)聯(lián)→聚類(lèi)→合并"的入侵管理機(jī)制和相關(guān)算法 該文在分析了產(chǎn)生大量無(wú)用告警的原因的基礎(chǔ)上,提出一種基于"過(guò)濾→關(guān)聯(lián)→聚類(lèi)→合并"告警融合處理機(jī)制的入侵管理技術(shù),根據(jù)告警事件的多維特征,提出一種基于知識(shí)庫(kù)的動(dòng)態(tài)過(guò)濾技術(shù),并提供了一種基于資產(chǎn)評(píng)估的最小

5、風(fēng)險(xiǎn)貝葉斯決策的動(dòng)態(tài)過(guò)濾技術(shù),然后對(duì)SRI International的Valdes提出的基于概率的告警相似度的方法進(jìn)行了改進(jìn),提出一種基于概率的告警聚類(lèi)算法以及基于謂詞邏輯的合并技術(shù).◆分層次細(xì)粒度的聯(lián)動(dòng)模型和改進(jìn)的IDXP協(xié)議 該文分析入侵響應(yīng)技術(shù)面臨的問(wèn)題及研究現(xiàn)狀,闡述了基于"多層次安全防護(hù)策略思想"和Steven Bellovin提出的分布式防火墻技術(shù),在此基礎(chǔ)上,提出一種基于Agent的分層次細(xì)粒度的聯(lián)動(dòng)模型;然后分析了安全