基于移動Agent的協(xié)同式后入侵檢測技術(shù)研究.pdf

1、信息技術(shù)的發(fā)展直接推動了安全工具的發(fā)展。從早期的殺毒軟件到后來的防火墻再到現(xiàn)在的入侵檢測系統(tǒng)，人們使用的信息安全工具越來越具有主動性和智能性。當前，入侵檢測系統(tǒng)已經(jīng)成為安全防衛(wèi)體系中的一個重要環(huán)節(jié)。然而目前入侵檢測的研究重點集中于選擇合適的數(shù)據(jù)源和數(shù)據(jù)屬性、發(fā)現(xiàn)新的檢測算法或改進現(xiàn)有檢測算法、改進入侵檢測系統(tǒng)的構(gòu)架和擴大檢測范圍等方法來提高檢測精度、降低誤報率和漏報率等環(huán)節(jié)上，從而導致系統(tǒng)管理員負擔過重，難以有效處理海量警報的現(xiàn)象。過多

2、的誤報和無關(guān)警報“淹沒了”真正的攻擊警報，影響入侵響應(yīng)的效率和成功率，因此人們需要從新的角度來設(shè)計和實現(xiàn)入侵檢測系統(tǒng)。 本論文選題以應(yīng)對這些挑戰(zhàn)為出發(fā)點，試圖在理清當前入侵檢測問題的基礎(chǔ)上，以多重協(xié)同機制為中心開展協(xié)同式入侵檢測系統(tǒng)、入侵警報關(guān)聯(lián)和響應(yīng)追蹤等問題的研究。本文試圖在以下方面做一些研究： (1)分析現(xiàn)有的協(xié)同入侵檢測模型和與之相關(guān)的技術(shù)，全面系統(tǒng)地闡述現(xiàn)有警報關(guān)聯(lián)和響應(yīng)追蹤技術(shù)的研究進展情況，討論當前相關(guān)技術(shù)

3、存在的問題，引出研究協(xié)同式后入侵檢測模型的必要性。 (2)在分析已有入侵檢測模型基礎(chǔ)上，結(jié)合移動Agent的特點和協(xié)同機制，提出了一個基于移動Agent的協(xié)同式入侵檢測系統(tǒng)(CooperativeIntrusion Detection System based on Mobile Agents，Co-MAIDS)框架。該系統(tǒng)框架在體系結(jié)構(gòu)上具有防止單點失效的功能，可以避免大量數(shù)據(jù)移動帶來的網(wǎng)絡(luò)負載壓力，并且能在不影響其他模塊的情

4、況下對系統(tǒng)模塊進行增減。彼此獨立的移動Agent通過相互通信協(xié)作完成復雜任務(wù)，實現(xiàn)系統(tǒng)的智能化運行。多重協(xié)同機制保證系統(tǒng)模塊之間交互過程中的有序性，加強系統(tǒng)各模塊的整體合作性能。 (3)從揭示警報信息背后隱藏的攻擊策略角度出發(fā)，提出了一種基于移動Agent的警報混合關(guān)聯(lián)處理方法。該方法以二維時間和空間為軸線，將當前警報與同一時間段內(nèi)發(fā)生的警報、警報前后期所發(fā)生的警報進行關(guān)聯(lián)。警報關(guān)聯(lián)處理采用謂詞公式來表示警報前提和后果。通過對謂

5、詞公式的分解，實現(xiàn)不同警報之間的前提和后果進行匹配的目的，進而將警報進行關(guān)聯(lián)。 (4)在警報混合關(guān)聯(lián)的基礎(chǔ)上，提出了一個基于移動Agent的追蹤響應(yīng)策略。該策略以警報關(guān)聯(lián)信息為輸入，對警報信息實施了警報驗證、置信度學習等警報預(yù)處理過程，并在此基礎(chǔ)上提取有效數(shù)據(jù)包信息，依據(jù)與包標記過程相反的機理對攻擊數(shù)據(jù)包的攻擊路徑進行追蹤，實現(xiàn)對攻擊路徑的重構(gòu)。 (5)在以上研究內(nèi)容的基礎(chǔ)上，提出了Co—MAIDS多重協(xié)同機制的集成策略