基于移動(dòng)Agent的入侵檢測(cè)系統(tǒng)研究.pdf

1、隨著互聯(lián)網(wǎng)的快速發(fā)展,越來(lái)越多的應(yīng)用通過(guò)網(wǎng)絡(luò)來(lái)實(shí)現(xiàn),同時(shí)網(wǎng)絡(luò)的安全也面臨著巨大的挑戰(zhàn).快速的網(wǎng)絡(luò)為攻擊者提供了方便,攻擊模式和方法越來(lái)越復(fù)雜,攻擊者的技術(shù)水平也在不斷提高,攻擊規(guī)模日益擴(kuò)大,越來(lái)越多的系統(tǒng)受到攻擊,如何保護(hù)系統(tǒng)與可信網(wǎng)絡(luò)不受入侵成為目前迫切需要解決的問題.入侵檢測(cè)作為一種主動(dòng)的安全防護(hù)手段,不僅能檢測(cè)來(lái)自外部的入侵行為,同時(shí)也能檢測(cè)內(nèi)部用戶的未授權(quán)活動(dòng),在保護(hù)計(jì)算機(jī)系統(tǒng)的安全中,發(fā)揮了重要的作用.傳統(tǒng)的入侵檢測(cè)系統(tǒng)針對(duì)入

2、侵攻擊僅僅能做到消極響應(yīng),比如斷開網(wǎng)絡(luò)連接等等,但攻擊者仍在不斷嘗試,對(duì)整個(gè)網(wǎng)絡(luò)的威脅依然存在.要解決這個(gè)問題,如何追蹤到攻擊者的所在位置并進(jìn)行準(zhǔn)確取證成為關(guān)鍵所在.同時(shí)對(duì)于分布式入侵檢測(cè)系統(tǒng)來(lái)說(shuō),在多個(gè)不同的主機(jī)配置入侵檢測(cè)系統(tǒng)并使這些系統(tǒng)都能緊密配合是比較繁重的任務(wù).如何增強(qiáng)系統(tǒng)伸縮性,實(shí)現(xiàn)各種不同平臺(tái)的主機(jī)動(dòng)態(tài)加入是入侵檢測(cè)技術(shù)研究的方向之一.移動(dòng)Agent所擁有的獨(dú)特性能:自治性與移動(dòng)能力,決定了它在入侵檢測(cè)領(lǐng)域必然占據(jù)著十分重

3、要的地位.該文設(shè)計(jì)了一種基于移動(dòng)Agent的入侵檢測(cè)系統(tǒng)解決方案,利用移動(dòng)Agent承載入侵檢測(cè)系統(tǒng)模型中部分組件的功能,使之成為靈活性非常強(qiáng)的系統(tǒng).主機(jī)監(jiān)測(cè)模塊采用移動(dòng)Agent來(lái)啟動(dòng),并特別增加一種移動(dòng)Agent負(fù)責(zé)入侵追蹤的任務(wù).另一方面,該方案不對(duì)龐大的日志信息和網(wǎng)絡(luò)連接記錄進(jìn)行完全性分析,而是定義可疑的入侵標(biāo)記,當(dāng)出現(xiàn)這種標(biāo)記時(shí)才進(jìn)行相應(yīng)的審計(jì)記錄收集.這種做法不但提高了整個(gè)系統(tǒng)效率,同時(shí)由于占用資源比較少,大量的個(gè)人主機(jī)都可