基于多Agent入侵檢測模型研究.pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)各行業(yè)的應(yīng)用的不斷深入，人們對于計(jì)算機(jī)網(wǎng)絡(luò)的依賴程度日益增強(qiáng)。由于網(wǎng)絡(luò)的開放性、網(wǎng)絡(luò)協(xié)議的固有弱點(diǎn)、網(wǎng)絡(luò)連接形式的多樣性、信息的共享和易于擴(kuò)散的特性，給計(jì)算機(jī)網(wǎng)絡(luò)帶來了越來越多的安全隱患。計(jì)算機(jī)網(wǎng)絡(luò)安全問題已經(jīng)成當(dāng)前網(wǎng)絡(luò)研究的一大熱點(diǎn)。 傳統(tǒng)上人們使用防火墻來隔離外部的網(wǎng)絡(luò)攻擊，但是防火墻技術(shù)由于不能抵御來自內(nèi)部的攻擊以及黑客針對防火墻的攻擊手段隨著技術(shù)的發(fā)展而不斷豐富等原因，不能很好的保護(hù)網(wǎng)絡(luò)的安全。其他的

2、安全機(jī)制如：身份認(rèn)證、加密和VPN等也不能很好的解決網(wǎng)絡(luò)安全問題。入侵檢測系統(tǒng)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干個(gè)關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到攻擊的跡象。 現(xiàn)在的入侵檢測系統(tǒng)主要有基于主機(jī)和基于網(wǎng)絡(luò)的結(jié)構(gòu)?；谥鳈C(jī)的入侵檢測主要是對網(wǎng)絡(luò)中的關(guān)鍵主機(jī)的數(shù)據(jù)源進(jìn)行分析，基于網(wǎng)絡(luò)入侵檢測主要是采集網(wǎng)絡(luò)數(shù)據(jù)包，分析出異常網(wǎng)絡(luò)活動(dòng)，進(jìn)而發(fā)現(xiàn)入侵行為，采用的分析方法主要有異常檢測和誤用檢測。 本文設(shè)

3、計(jì)的模型是基于多Agent的混合型入侵檢測系統(tǒng)MAIDS(Multi-AgentIntrusionDetectionSystem)，采用分布式的架構(gòu)，實(shí)現(xiàn)了中心Agent、分析Agent、主機(jī)檢測Agent和網(wǎng)絡(luò)檢測Agent的設(shè)計(jì)。實(shí)現(xiàn)了同時(shí)對主機(jī)檢測Agent和網(wǎng)絡(luò)檢測Agent的審計(jì)數(shù)據(jù)的分析，采用協(xié)議分析的方法分析網(wǎng)絡(luò)審計(jì)數(shù)據(jù)可以快速探測攻擊，根據(jù)用戶的要求詳細(xì)分析數(shù)據(jù)包。采用數(shù)據(jù)挖掘的關(guān)聯(lián)分析算法可以發(fā)現(xiàn)未知攻擊行為。把主機(jī)檢