基于软件Agent的分布式入侵检测技术的研究

基于软件Agent的分布式入侵检测技术的研究

敖冰峰[1]2007年在《基于移动Agent的入侵检测系统改进研究》文中指出在现代社会互联网飞速发展的同时,入侵攻击、拒绝服务攻击、网络资源滥用等威胁也如影随形,使得计算机网络安全问题日益突出,成为信息化建设的一个核心问题。面对网络大规模化和入侵复杂化的发展趋势,传统的网络安全技术暴露出诸多缺陷。本文首先介绍了国内外IDS的发展历程和现状,分析了当前入侵检测所面临的主要问题和发展趋势。虽然移动Agent独特的自主性和移动性可以提高入侵检测系统的健壮性和容错性,增强适应性和可扩展性,使得移动Agent技术目前已经用于入侵检测系统,但是考虑目前入侵检测所面临的问题,有必要对基于移动Agent的入侵检测系统改进。其次,在对现有的基于移动Agent的入侵检测系统分析基础上,分析采用以IBM的Aglet移动代理平台为Agent运行环境;以2个模块(管理控制模块和监视控制模块)和4个代理(数据采集Agent、数据分析Agent、跟踪Agent和控制Agent)来构建此系统模型;同时采用层次性的双中心通信模型(以数据采集Agent和控制Agent为中心)和3层(数据采集层、数据分析层和控制管理层)通讯机制;以保证系统的安全性和减少数据传输量,力求将基于主机与基于网络的入侵检测技术结合在一起,增强系统的检测能力。最后设计和实现了基于移动Agent的入侵检测系统,通过系统测试验证其完整性、可扩展性、安全性,证明其有效。

方军[2]2008年在《入侵检测系统中移动Agent迁移策略研究》文中提出随着计算机和网络技术的飞速发展,计算机安全问题日益突出。入侵检测是计算机安全体系结构中的一个重要的组成部分。目前入侵检测系统的研究已经有了长足的进步,开发出了许多针对不同需要的产品,但面对日益更新的网络环境和层出不穷的攻击方法,传统构建入侵检测系统的方法显得缺乏一定的有效性、适应性和可扩展性。移动Agent技术是为解决复杂、动态、分布式智能应用而提出的一种全新的计算手段,涉及迁移策略、通信机制、安全体系等多方面技术,其中迁移策略是其基础核心技术。所谓迁移策略即是指移动Agent如何以最小的代价迁移到目的地并完成任务,它的优劣直接影响到移动Agent的性能乃至其任务的完成。在入侵检测系统应用方面,移动Agent具有提高入侵响应速度、减少网络负荷、动态适应、自治和异步执行、系统的可扩展性和可维护性好、能解决不同入侵检测系统互操作和不稳定的网络服务质量的问题等优势。本文对入侵检测技术和移动Agent技术进行了分析和研究,在此基础上,借鉴已有的一些研究成果,总结了一种基于移动Agent的分布式入侵检测系统模型,采用以移动Agent为组织单元的结构,兼顾基于主机入侵检测系统和基于网络入侵检测系统的优点;然后在分析现有迁移策略的基础上研究了一种改进的移动Agent迁移策略,该策略考虑了服务质量和服务价格等因素对迁移的影响来改进旅行图节点结构,并提出一种服务定位方法来确定未知迁移节点以及允许Agent回溯的方法来进一步确保Agent任务的完成。该迁移策略能根据当前网络的软硬件环境和其他负载信息,动态地为移动Agent规划出一条最佳迁移路径:该策略还能够避免网络断连、主机故障及服务失效引起的迁移失败,保证移动Agent迁移的顺利进行。

李芳[3]2006年在《基于多智能体的分布式入侵防御系统的设计》文中指出关于多智能体的分布式入侵防御系统是目前信息安全领域研究的一个热门话题。智能体所具有的自治性、连续执行性、个性化、语言语义表达丰富、学习和适应性等特点使其特别适用于具有多信息和多处理特征的实际应用。关于智能体的分布式入侵防御系统是多智能体系统MAS的重要应用之一。本文完成了“基于多智能体的分布式入侵防御系统”的设计,并以本系统为背景,对系统中所涉及的关键技术进行了研究。主要研究内容包括以下内容:1.一种基于XML语言的智能体语义通信研究智能体之间良好的通讯机制是基于多主体技术的分布式入侵防御系统IPS正常运行的前提保证。目前智能体之间的通信主要是基于KQML规范。KQML的内容语言可以有许多种,目前比较流行的是KIF。但是KIF表达语义能力不强。如果将其应用于基于智能体Agent的分布式入侵防御系统中智能体之间的通信,会导致智能体之间由于语义通信能力差而难以沟通和协作等问题。为了解决这一问题,本文设计并实现了一种基于XML语言的入侵防御Agent通信机制。通过将XML语言作为智能体KQML通信语言的内容语言来提高入侵防御系统中智能体Agent之间语义通信的能力。2.一种基于多智能体技术的分布式入侵防御系统自动协商是基于智能体的入侵防御系统研究的热点之一。当前绝大多数基于智能体的入侵防御系统仅支持静态运行,很少有系统实现自动协商部分。为了提高基于智能体入侵防御系统的效率,这里本文提出以基于XML通信机制、自动协商智能体Agent模型,基于主机的入侵防御系统和基于网络的入侵防御系统为基础,设计并实现了一种基于多智能体技术的分布式入侵防御系统。

蔚雪洁[4]2008年在《基于代理的分布式入侵检测系统的研究》文中研究说明日益复杂和分布的入侵使得传统的入侵系统无法满足用户的需求,迫切需要采用新的方法来提高入侵检测系统的效率。代理(Agent)技术的特性使Agent非常适用于引入入侵检测领域。代理技术给分布式检测系统带来诸多优点,它能够减轻网络负担、缩短网络等待时间、异步自治执行、动态自适应、异构环境运行、健壮性和容错能力。本论文分析了现行的基于代理入侵检测系统的缺点,在此基础上,针对性地提出了一种基于代理的分布式入侵检测系统模型ADIDS(Agent-based Distributed IntrusionDetection System)。该模型采用中心管理模块对各个代理统一管理,每个代理都有唯一的标识身份的ID,并为代理加入身份验证,完整性鉴定和加密机制,通过多Agent技术来实现检测自治化和多主机间检测信息的协调,且采用分层结构,将检测管理器的地址隐蔽起来,提高了入侵检测系统自身的安全性,解决了中心控制模块的瓶颈问题,有效检测了分布式的攻击行为。在检测部件的实现上,使用了协议分析和模式匹配相结合的方法,有效地缩小了目标的匹配范围,提高了检测速度;在决策过程中引入了关联分析模块和情报代理模块,不仅能够更好的发现多个攻击之间的内在联系,而且能减少误报,能够较好的应对分布式拒绝服务攻击。针对目前入侵检测系统成为被攻击目标的现状和代理技术给系统自身带来的安全问题,又提出了相应的安全策略和方法,解决了移动代理技术中的安全认证和中心模块被攻击的问题。最后对本系统进行了测试,针对测试结果分析了系统的可行性,实用性。给出了该系统还没实现的功能,并提出了今后的研究方向。

王晋[5]2005年在《一种基于移动代理的自适应的分布式入侵检测系统的架构与实施》文中认为随着网络技术的飞速发展,网络安全问题日益突出。网络入侵检测系统处理能力的缺乏引发了入侵事件的漏报或误报,提高入侵检测系统的检测速度和检测准确率是目前急需解决的关键问题。 本文针对提高入侵检测系统处理能力的提高进行了研究,尤其是入侵检测系统性能的优化方面取得了一定的成果 检测速度和检测的准确率是入侵检测两个重要的指标,单纯依靠分析算法的改进来提高二者并不完全奏效。针对这种情况,我们提出了基于移动代理的自适应的分布式入侵检测系统MAAIDS。MAAIDS是一个由移动代理作为优化组件、多个分析结点及探测结点组成的可自动进行优化的分布式网络入侵检测系统。MAAIDS的优化组件执行系统的性能评估,制定相应的优化策略,将分析组件的检测速度和检测准确率稳定在一个可接受的范围之内,尽可能地发挥整个系统的处理能力。 本文提出了MAAIDS的优化机制,整个优化机制包含优化决策判断机制、优化方案生成机制和优化方案评估机制叁部分。优化决策判断机制负责对待优化对象性能进行分析以判断是否需要优化;优化方案生成机制涵盖了优化方案的设计中的所有环节;优化方案评估机制则对优化方案的优化效果做出评价,对已生成的优化方案进行可行性分析,确认其优化效果是否达到了执行的标准。 优化方案包含数据包分发方案和检测算法转换方案两部分,本文根据入侵检测的特点提出了MAAIDS的数据包分发机制和检测算法转化机制。数据包分发机制负责将数据包分发至合理的数据分析组件,通过本文所提出的数据包分发规则得以执行。同时,数据分类机制将数据包按照特点进行分类并结合数据包分发规则推理出新的规则,使得数据包分发适应数据包的变化。检测算法转换机制则根据本文所设计的转换规则和转换器决定检测算法的实时替换。 优化方案设计完成后,需要在诸多备选方案中选出最优方案进行实施。本文结合入侵检测的实际情况,采用遗传理论对优化方案进行遴选。遗传理论对

武明[6]2004年在《Agent技术在入侵检测中的应用研究》文中研究表明随着网络应用的不断发展,网络安全问题也日益突出。越来越多的安全技术被应用到网络安全领域。入侵检测是网络安全体系中新兴的一门技术,它是一种主动的防御技术,也是当今计算机和网络安全所关注的焦点。本论文以总装备部预研课题(项目编号:51406070201DZ0212 ) 为研究基础,主要介绍了Agent技术在入侵检测系统的应用研究中遇到的诸多问题。首先分析了当前的信息安全问题和信息安全技术,介绍了入侵检测技术和Agent技术的概念与发展情况。在对入侵检测技术和Agent技术研究的基础上,提出了一种基于Agent的分布式入侵检测系统体系结构,并详细设计了该体系结构的工作原理和主要部件的功能。系统中大部分部件都使用Agent实现,各部件独立运行,相互协作,使系统能够适应复杂多变的网络环境,充分利用网络资源协同完成入侵检测任务。本文详细论述了基于Agent的通信平台设计,着重介绍了系统内各Agent间的通信机制,消息格式定义和通信安全机制的设计。该通信平台为系统各部件间提供了安全可靠的通信方式。此外,本文还提出了一种通用的入侵检测Agent模型,并依据该模型设计实现了用于网络入侵检测的网络入侵检测代理。这为今后完整系统的开发实现打下了良好的基础。

王霞[7]2005年在《基于移动代理的入侵检测系统在网络心理学中的应用》文中研究说明自1968 年,美国国防部“高等研究计划署(ARPA)”的研究小组研制了第一条网络,并用于4 个军事驻地的联络以来,互联网络以迅猛的速度在世界发展。网络技术也随着互联网的发展日新月异,逐渐成熟。随着网络的日益深入人心与目前互联网使用带来的大量现实问题,心理学亦开始将传统的研究领域向网上拓展,传统心理学的研究实验在互联网上获得新发展,如心理测量、心理实验、心理咨询的网络化趋势等,但这些实验目前还仅仅是简单借助于网络技术而非全面的网络化。与此同时将网络作为研究手段与将网络作为研究内容,这两者的结合正促进着一门新的学科——网络心理学在国内外的蓬勃发展。目前,网络心理学实验还停留在使用web 进行网上调查的阶段。由于没有很好地运用当今比较成熟的网络技术,网络心理学实验存在着的工作量大,效率底,研究对象少等问题。那么能不能利用现有网络技术来更好地帮助网络心理学实验,尤其是实验中的初始数据的收集和初步处理,从而进一步提高实验效率呢?本文在认真细致地研究了入侵检测技术和网络心理学实验的基础上,充分比较了入侵检测系统与网络心理学实验的各自的特点、联系和区别,提出将入侵检测技术引入网络心理学研究,利用入侵检测技术本身的特点和在数据采集、

彭志豪[8]2007年在《分布式入侵检测系统中移动Agent的应用》文中进行了进一步梳理随着计算机网络技术的应用与发展,网络流量与日剧增,各种黑客技术层出不穷,攻击事件时有发生,网络安全问题日益成为人们关注的焦点。入侵检测技术是网络安全领域中的一个研究热点。作为防火墙的合理补充,入侵检测系统可提供对内部攻击、外部攻击和误操作的实时检测,并可与防火墙、系统漏洞检测、病毒防护等技术结合在起,构成较完整的安全防御体系。作为传统的静态安全防护系统(如身份认证、加密技术等)的有效补充,入侵检测系统在信息安全领域发挥越来越重要的作用。 由于传统的入侵检测系统仍存在着一些缺陷,例如在分布性、灵活性、效率等方面还不尽如人意,因此人们开始寻求新的技术,以求提高入侵检测系统的整体性能。为了解决这些问题,我们尝试了在入侵检测系统中引入移动Agent技术,力图使其在实时性、可扩展性、灵活性以及系统的容错能力等方面有较大的改善。本文中,我们提出了基于移动Agent的分布式入侵检测系统(MADIDS)。该系统采用入侵检测系统Snort与IBM的Aglet移动代理平台相结合,使系统具有较好的性能和灵活性,同时力求将基于主机与基于网络的入侵检测技术结合在一起,增强系统的检测能力。 本文首先介绍了入侵检测系统的相关概念及工作原理,接着对移动Agent技术及其在入侵检测系统中的应用进行了深入的研究,并在此基础上提出了基于移动Agent的分布式的入侵检测系统(MADIDS)的体系结构,并分析了该体系结构特点。此外,本文还采用了面向对象思想和技术对MADIDS进行了详细的分析和设计;同时针对目前入侵检测系统成为被攻击目标的现状和Agent技术给系统带来新的安全问题,又提出了相应的安全策略和安全机制。

张朝龙[9]2008年在《基于移动agent和Snort的分布式入侵检测系统》文中提出随着网络的普及和网络用户的增加,网络已经成为人们日常生活不可缺少的一部分,然而网络入侵等行为严重影响了网络的正常使用,甚至给网络用户带来巨额的损失,网络安全的研究成为当前的热门课题。网络安全中普遍使用的技术是防火墙技术,它可以使用访问控制机制限制非授权的访问,但是防火墙技术对于合法用户的恶意访问等是无能为力的。而入侵检测系统可以较好的解决这些问题,入侵检测系统是主动的网络防御设备,可以对未知的攻击进行防御。因此网络中一般使用防火墙与入侵检测系统共同完成网络安全防御的任务。由于传统的入侵检测系统具有一些缺陷,如在效率、灵活性和可操作性上不如人意,因此一些先进的技术被应用于入侵检测系统中。本文在研究了移动agent技术的基础上,借鉴了传统的分布式入侵检测系统模型与Snort入侵检测系统,提出了一种基于移动agent和Snort的分布式入侵检测系统(Mobile Agent and Snort based Distributed Intrusion DetectionSystem,简称MASDIDS)。本系统数据的收集、分析、响应工作都在监控节点上完成,其中由监控节点上驻留的静止agent完成的日志和审计数据进行收集、分析和响应,由Snort完成网络数据的收集、分析、响应工作,同时系统的移动agent针对多处监控节点的分析结果作出深层次的分析,系统处理中心只需要做到统计入侵行为以及管理组件工作,大量的数据计算被分布在了监控节点上,其中因此就不存在系统处理中心流量过大的问题,可以增强系统的实时性。本文首先介绍了入侵检测系统和agent的相关概念和基本原理,接着对移动agent在分布式入侵检测系统中的应用进行了深入的研究,进而提出了基于移动agent和Snort的分布式入侵检测系统(MASDIDS)的功能体系结构,同时对Snort的匹配算法进行了改进,最后通过实验验证了系统的可实现性。

傅涛[10]2008年在《基于数据挖掘的分布式网络入侵协同检测系统研究及实现》文中进行了进一步梳理随着网络入侵形式的不断变化与多样性,传统的网络安全技术与设备已不能充分抵御网络攻击。例如,目前推出的商用分布式入侵检测系统基本是采用基于已知入侵行为规则的匹配技术,检测引擎分布在需要监控的网络中或主机上,独立进行入侵检测,入侵检测系统中心管理控制平台仅负责平台配置、检测引擎管理和各检测引擎的检测结果显示,对各检测引擎的检测数据缺乏协同分析。同时网络入侵检测系统与防火墙、防病毒软件等之间也是单兵作战,对复杂的攻击行为难以做出正确的判断。异常入侵检测技术根据使用者的行为或资源使用情况判断是否存在入侵行为,通用性较强,缺陷是误检率太高。误用检测运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测攻击,检测准确度高,但系统依赖性太强,检测范围受已知知识的局限。将数据挖掘技术应用到入侵检测系统是目前入侵检测研究的重要方向,论文讨论了基于数据挖掘的入侵检测主体技术,指出了联合使用几种数据挖掘方法和将数据挖掘与传统的误用检测、异常检测协是一个重要的研究方向。论文提出了改进的FP-Growth的关联分析算法、基于分箱统计的FCM网络入侵检测技术和基于免疫学原理的混合入侵检测技术。改进的FP-Growth算法引入了聚合链的单链表结构,每个节点只保留指向父节点的指针,节省了树空间,有效解决了数据挖掘速度问题,提高了入侵检测系统的执行效率和规则库的准确度;基于分箱统计的FCM网络入侵检测技术不需要频繁更新聚类中心,同时耗时问题也得到较好的改善,将特征匹配与基于分箱的FCM算法相结合,能较好的发现新的攻击类型,便于检测知识库的更新;基于免疫学原理的混合入侵检测技术充分发挥了免疫系统在实现过程中表现出的识别、学习、记忆、多样性、自适应、容错及分布式检测等复杂的信息处理能力,具有良好的应用前景。论文分析了网络入侵检测技术在检测性能、系统的健壮性与自适应性等方面存在的主要问题,讨论了网络入侵检测技术的发展趋势。针对目前商用入侵检测系统协同分析几乎空缺、规则更新滞后、检测技术与入侵手段变化不适应的现状,提出了基于数据挖掘的分布式网络入侵协同检测系统(以下简称“协同检测系统”)模型。该模型从数据采集协同、数据分析协同和系统响应协同叁个方面实现了入侵检测系统的结构协作、功能协作、动作协作和处理协作,有效增强了入侵检测系统的检测能力。论文详细讨论了“协同检测系统”的检测引擎设计、通信模块设计和系统协同设计。检测引擎是系统的主体,涉及到网络数据包捕获、数据解析、入侵检测等功能。针对高速网络环境下信息量大、实时性要求高,使用Libpcap捕包易造成掉包与瘫痪的现状,提出了内存映射与半轮询(NAPI)捕包新技术,有效减少了系统内核向用户空间的内存拷贝,避免了重负载情况下的中断活锁,确保了高速网络环境下数据包采集的实时性与准确性。数据解协首先对链路层包头、IP层包头、传输层包头、应用层协议四部分进行解析,然后对数据作预处理。在此基础上,运用改进的FP-Growth算法对网络数据进行挖掘,检测子模块解释并评估数据挖掘模块提取的模式,结果送至反馈端口。通信模块实现了数据采集解析器与数据挖掘检测器之间、检测引擎和报警优化器之间、报警优化器与中心控制平台之间的有效通信,给出有关函数。系统协同设计是本系统的特色。本文从入侵检测系统内部数据采集协同、入侵检测系统与漏洞扫描系统协同、入侵检测系统与防病毒系统协同、检测引擎分析协同、不同安全系统分析协同、IDS与防病毒系统协同、IDS与交换机协同、IDS与防火墙协同等方面,科学地给出了数据采集协同、数据分析协同、系统响应协同的含义、原理、方法与实现过程。系统离线实验和仿真实验表明:综合运用本文提出的叁种算法可以有效地提高检测效率,降低误报率和漏报率。本文开发的“协同检测系统”可以稳定地工作在以太网络环境下,能够及时发现入侵行为,及时正确记录攻击的详细信息,具备了良好的网络入侵检测性能。

参考文献:

[1]. 基于移动Agent的入侵检测系统改进研究[D]. 敖冰峰. 哈尔滨理工大学. 2007

[2]. 入侵检测系统中移动Agent迁移策略研究[D]. 方军. 合肥工业大学. 2008

[3]. 基于多智能体的分布式入侵防御系统的设计[D]. 李芳. 北京邮电大学. 2006

[4]. 基于代理的分布式入侵检测系统的研究[D]. 蔚雪洁. 兰州理工大学. 2008

[5]. 一种基于移动代理的自适应的分布式入侵检测系统的架构与实施[D]. 王晋. 中国科学院研究生院(软件研究所). 2005

[6]. Agent技术在入侵检测中的应用研究[D]. 武明. 电子科技大学. 2004

[7]. 基于移动代理的入侵检测系统在网络心理学中的应用[D]. 王霞. 四川大学. 2005

[8]. 分布式入侵检测系统中移动Agent的应用[D]. 彭志豪. 大连海事大学. 2007

[9]. 基于移动agent和Snort的分布式入侵检测系统[D]. 张朝龙. 南京信息工程大学. 2008

[10]. 基于数据挖掘的分布式网络入侵协同检测系统研究及实现[D]. 傅涛. 南京理工大学. 2008

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

基于软件Agent的分布式入侵检测技术的研究
下载Doc文档

猜你喜欢