基于Agent用戶建模的分布式入侵檢測系統(tǒng).pdf

1、基于Agent用戶建模的分布式入侵檢測系統(tǒng)基于Agent用戶建模的分布式入侵檢測系統(tǒng)摘要隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和Internet在全球的推廣，網(wǎng)絡(luò)在給人類社會帶來便利的同時，網(wǎng)絡(luò)安全問題也困擾著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用，信息安全問題也成為社會關(guān)注的熱點。在信息技術(shù)發(fā)展過程中，信息安全系統(tǒng)也經(jīng)歷了幾個重要階段，起初是通信保密，到后來發(fā)展為信息安全，而將來則會是信息保障。下一代互聯(lián)網(wǎng)的研究己經(jīng)提上議程，新一代網(wǎng)絡(luò)中的安全問題也是今后研究的熱點，而網(wǎng)

2、絡(luò)行為學的研究也將會為網(wǎng)絡(luò)安全技術(shù)提供理論基礎(chǔ)。基于Agent的分布式入侵檢測系統(tǒng)是當今IDS(IntrusionDetectionSystem)研究領(lǐng)域的主流，國內(nèi)外的學者提出了很多種系統(tǒng)模型，很多公司也推出了基于Agent的入侵檢測產(chǎn)品。但這些用于入侵檢測的Agent都是由廠商事先開發(fā)好的，當用戶環(huán)境和實際需求發(fā)生變化時，這些Agent不能適應(yīng)這些變化，因此本文提出了一種新的系統(tǒng)模型—基于Agent用戶建模的分布式入侵檢測系統(tǒng)。其基

3、本思想是:Agent中的各功能模塊用組件技術(shù)開發(fā)，用戶在圖形窗口的引導下，根據(jù)自己的需要組建一個Agent，當環(huán)境改變或需求變化時可以重新構(gòu)造一個新的Agent。這樣基于Agent的入侵檢測系統(tǒng)就具有較大的靈活性和可擴充性。本文提出了評價入侵檢測系統(tǒng)的幾條指標，介紹了評估一個實際的入侵檢測系統(tǒng)的方法和步驟。關(guān)鍵字:入侵檢測，Agent用戶建模，模式匹配基于Agent用戶建模的分布式入侵檢測系統(tǒng)己!性全JIA在計算機安全的發(fā)展中，系統(tǒng)安全

4、模型在逐步的實踐中發(fā)生變化。由一開始的靜態(tài)的系統(tǒng)安全模型逐漸過渡到動態(tài)的安全模型，如P2DR模型。P2DR表示PolicyProtectionDetection和Response，即在一定的策略指導下，進行保護、檢測和響應(yīng)。檢測已經(jīng)是系統(tǒng)安全模型中非常重要的一部分?；贏gent的分布式網(wǎng)絡(luò)安全檢測系統(tǒng)是一種有效的信息安全檢測手段。在一個主機上執(zhí)行某種安全監(jiān)控功能的軟件實體Agent，它們自動運行，即它們僅山操作系統(tǒng)而不是其它進程控制:

5、在一個主機上可有多個Agent基于Agent的方法連續(xù)運作并且除了跟與它相似結(jié)構(gòu)的Agent交流和協(xié)作外，還從經(jīng)歷中學習，即Agent具有獨立性、自適應(yīng)能力和學習能力。它們在各個網(wǎng)絡(luò)節(jié)點之間收集信息，及時對外來攻擊和網(wǎng)絡(luò)內(nèi)部的網(wǎng)絡(luò)故障、資源浪費、效率低下、信息失密等由于管理制度導致網(wǎng)絡(luò)的性能、安全和服務(wù)質(zhì)量失控問題進行動態(tài)跟蹤。每一個Agent可提供完成代理、接收器、監(jiān)控器和用戶間的通信等工作并且在一個框架中包括大量本地監(jiān)控器，這個框架

6、向一個全局檢測器數(shù)組提供支持分布的本地結(jié)果，而全局檢測器數(shù)組根據(jù)匯總情況綜合分析確認報警和警告。目前，Agent技術(shù)己成為研究大型網(wǎng)絡(luò)分布式信息安全檢測系統(tǒng)的一個熱門方向。在國際上己經(jīng)出現(xiàn)了許多成功的基于Agent的分布式并行檢測系統(tǒng)框架類型，如:由Purdue大學設(shè)計開發(fā)的AAFID系統(tǒng)(AutonomousAgentforIntrusionDetection)、山SRIInternational公司開發(fā)的EMERALD原型系統(tǒng)(Ev

7、entMonitorEnablingResponsestoAnomalousLiveDisturbances)和由日本IPA設(shè)計的IntrusionDetectionAgentSystem等。基于Agent的分布式信息安全檢測系統(tǒng)有很好的應(yīng)用前景，是將網(wǎng)絡(luò)行為學理論應(yīng)用于網(wǎng)絡(luò)的故障、性能和安全監(jiān)控和服務(wù)質(zhì)量控制的理想載體，但目前還只是處在概念模型設(shè)計上，有些系統(tǒng)還很不完善在實際應(yīng)用中還存在很多問題和難點，也是目前信息安全檢測技術(shù)研究的方

8、向。近幾年，我國信息安全專家緊跟國際前沿，在這方面的研究開始起步。經(jīng)過跟蹤、資料收集和介紹階段，己有一些信息安全方面的專家也提出了具有自己特色的概念模型?？v觀國內(nèi)外已經(jīng)提出的這些模型概念，不難看出，這些Agent都是由開發(fā)商預(yù)先設(shè)計好的軟件實體，只能在系統(tǒng)功能允許的范圍之內(nèi)進行適當調(diào)整。即利用系統(tǒng)的自適應(yīng)能力和再學習功能來完成，不能由用戶隨意改變Agent的功能，缺少不同用戶間可以自由對系統(tǒng)采用不同的訪問、處理模式的控制機制而要求軟件設(shè)