一種基于代理的分布式入侵檢測系統(tǒng)模型的研究.pdf

1、信息安全已逐漸發(fā)展成為信息系統(tǒng)的關(guān)鍵問題，入侵檢測作為一種主動(dòng)的信息安全保障措施，有效地彌補(bǔ)了訪問控制、防火墻和身份認(rèn)證等傳統(tǒng)安全防護(hù)技術(shù)的缺陷。隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，分布式入侵檢測逐漸成為入侵檢測乃至整個(gè)網(wǎng)絡(luò)安全領(lǐng)域的研究重點(diǎn)。 作為分布式入侵檢測系統(tǒng)的關(guān)鍵問題，檢測組件間的信息交互必須滿足準(zhǔn)確性、擴(kuò)展性、移植性以及豐富的表達(dá)能力等特性。代理是具有一定智能并能夠自主運(yùn)行和提供相應(yīng)服務(wù)的程序，在入侵檢測領(lǐng)域具有獨(dú)立

2、性好、靈活性強(qiáng)、可擴(kuò)充性好、錯(cuò)誤擴(kuò)散小、數(shù)據(jù)來源不受限制等諸多優(yōu)點(diǎn)，能夠交互彼此之間的信息以便更好的發(fā)現(xiàn)入侵。 本文深入地分析了一些國內(nèi)外的基于代理的入侵檢測系統(tǒng)模型，對它們的優(yōu)缺點(diǎn)進(jìn)行了分析。在此基礎(chǔ)上，提出了一種新的基于代理的分布式入侵檢測系統(tǒng)模型，該系統(tǒng)應(yīng)用代理技術(shù)解決組件之間信息交互的問題。同時(shí)，由于基于主機(jī)和網(wǎng)絡(luò)的入侵檢測各有其優(yōu)缺點(diǎn)，所提出的系統(tǒng)模型利用了主機(jī)文件系統(tǒng)、日志系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的信息來判斷入侵行為，從而較好