基于自治Agent的分布式入侵檢測(cè)系統(tǒng).pdf

1、入侵活動(dòng)的日益猖獗使得人們對(duì)網(wǎng)絡(luò)安全問(wèn)題越來(lái)越重視。防火墻和入侵檢測(cè)系統(tǒng)等安全產(chǎn)品的引入在一定程度上保護(hù)了網(wǎng)絡(luò)的安全性。但是，網(wǎng)絡(luò)安全技術(shù)發(fā)展的同時(shí)，入侵技術(shù)也在不斷地發(fā)展和演化，這表現(xiàn)在攻擊手段的多樣化和復(fù)雜化，入侵規(guī)模的擴(kuò)大以及攻擊的分布化。這使得入侵檢測(cè)系統(tǒng)向分布式、智能化和全面防御的方向發(fā)展。 分布式入侵檢測(cè)體系結(jié)構(gòu)的出現(xiàn)突破了基于單一主機(jī)或網(wǎng)絡(luò)架構(gòu)的IDS系統(tǒng)在應(yīng)對(duì)復(fù)雜入侵行為時(shí)的局限性。然而，傳統(tǒng)的分布式入侵檢測(cè)系統(tǒng)

2、大多采用Sensor/Manager框架，sensor的監(jiān)控和數(shù)據(jù)分析都集中在中心控制臺(tái)上，不僅加大了控制臺(tái)的處理負(fù)擔(dān)，還會(huì)因?yàn)橹行目刂婆_(tái)的失效造成整個(gè)系統(tǒng)的癱瘓。 鑒于以上情況，本文設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于自治Agent<'[1]>的分布式入侵檢測(cè)系統(tǒng)。系統(tǒng)采用層次式的管理控制結(jié)構(gòu)，監(jiān)控器和收發(fā)器通過(guò)級(jí)聯(lián)方式相互協(xié)作并監(jiān)控不同自治域中的探測(cè)器。由于控制權(quán)分散到自治域和主機(jī)上，防止了單點(diǎn)故障。每個(gè)自治Agent可以根據(jù)不同的需求進(jìn)行

3、實(shí)現(xiàn)和擴(kuò)展，增加了系統(tǒng)的靈活性。采用基于Publish/Subscribe<'[2]>的通信模式，減少了實(shí)體間的通信開(kāi)銷，提高了通信效率和靈活性。系統(tǒng)通過(guò)與防火墻的聯(lián)動(dòng)模塊實(shí)現(xiàn)與其他安全組件的協(xié)作，從而達(dá)到全面防御的目的。 具體來(lái)說(shuō)，本文的主要工作有： ·設(shè)計(jì)一種基于自治Agent的分布式入侵檢測(cè)模型結(jié)構(gòu)。從體系結(jié)構(gòu)的角度對(duì)比分析目前主流分布式入侵檢測(cè)系統(tǒng)的優(yōu)缺點(diǎn)； ·設(shè)計(jì)自治Agent的IDS系統(tǒng)模塊結(jié)構(gòu)。闡述

4、各模塊的實(shí)現(xiàn)功能，將系統(tǒng)從上自下分為中心監(jiān)控代理、監(jiān)控器(Monitor)、收發(fā)器(transceiver)、探測(cè)器四大主要功能實(shí)體，利用層次式的管理控制結(jié)構(gòu)進(jìn)行相互協(xié)作；采用Publ；sh/Subscribe通信模式完成Agent間的通信協(xié)作。詳細(xì)分析了系統(tǒng)實(shí)體間的通信過(guò)程： ·設(shè)計(jì)并實(shí)現(xiàn)了系統(tǒng)的協(xié)同控制實(shí)體一監(jiān)控器和收發(fā)器，并通過(guò)監(jiān)控器上的分析響應(yīng)模塊，實(shí)現(xiàn)了與防火墻的聯(lián)動(dòng)，在不影響防火墻和入侵檢測(cè)系統(tǒng)的工作效率的情況下，完

5、成實(shí)時(shí)阻斷入侵行為的功能，從而提高了系統(tǒng)的整體防御能力和安全性能； .采用基于誤用檢測(cè)的探測(cè)器并優(yōu)化檢測(cè)引擎的實(shí)現(xiàn)算法。對(duì)比基于規(guī)則的開(kāi)源IDS項(xiàng)目Snort<'[3]>，使用二級(jí)索引結(jié)構(gòu)的規(guī)則庫(kù)并改進(jìn)了規(guī)則匹配算法，提高了檢測(cè)效率； ·定義用戶管理系統(tǒng)的功能，闡述了中心控制代理的實(shí)現(xiàn)方法； ·采用日志水印技術(shù)H<'[4]>實(shí)現(xiàn)一個(gè)安全日志審計(jì)系統(tǒng)，通過(guò)加入水印信息和 同時(shí)在本地和遠(yuǎn)程保存日志記錄的方法保證日志