基于代理的分布式入侵檢測(cè)系統(tǒng)研究與實(shí)現(xiàn).pdf

1、入侵檢測(cè)系統(tǒng)是一種能自動(dòng)檢測(cè)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)上入侵行為的系統(tǒng).根據(jù)檢測(cè)對(duì)象的不同,入侵檢測(cè)系統(tǒng)可分為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和主機(jī)入侵檢測(cè)系統(tǒng).其中,網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是指通過(guò)捕獲并分析共享網(wǎng)絡(luò)段上的網(wǎng)絡(luò)分組來(lái)檢測(cè)入侵行為的系統(tǒng),目前在市場(chǎng)上占主導(dǎo)地位;而主機(jī)入侵檢測(cè)系統(tǒng)是指通過(guò)分析特定主機(jī)上的系統(tǒng)安全日志等數(shù)據(jù)源來(lái)檢測(cè)用戶異常入侵行為的系統(tǒng).從系統(tǒng)體系結(jié)構(gòu)來(lái)看,入侵檢測(cè)系統(tǒng)可分為集中式入侵檢測(cè)系統(tǒng)和分布式入侵檢測(cè)系統(tǒng).目前,占主導(dǎo)地位的是集中式

2、入侵檢測(cè)系統(tǒng).然而,隨著大規(guī)模高速網(wǎng)絡(luò)的出現(xiàn),集中式入侵檢測(cè)已經(jīng)很難做到實(shí)時(shí)檢測(cè),并且會(huì)因檢測(cè)系統(tǒng)本身的部署而對(duì)網(wǎng)絡(luò)速度性能造成一定的影響.為了克服集中式入侵檢測(cè)系統(tǒng)的上述缺陷,該論文引入了一種基于代理的分布式入侵檢測(cè)系統(tǒng)模型(ADIDS).基于代理的分布式入侵檢測(cè)系統(tǒng),是近年來(lái)新出現(xiàn)的入侵檢測(cè)技術(shù).針對(duì)集中式入侵檢測(cè)系統(tǒng)的局限性,它將基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)密切地聯(lián)系在一起,網(wǎng)絡(luò)檢測(cè)代理和主機(jī)檢測(cè)代理在本地完成局

3、部簡(jiǎn)單的檢測(cè)分析功能,而將不能在該地分析判斷的網(wǎng)絡(luò)可疑事件上傳給全局檢測(cè)代理處理.總之,該論文設(shè)計(jì)的基于代理的分布式入侵檢測(cè)系統(tǒng)有以下主要特點(diǎn):一是代理和分布式技術(shù)的引入,能夠做到檢測(cè)負(fù)載均衡和減少對(duì)被保護(hù)網(wǎng)絡(luò)性能的影響,能檢測(cè)到協(xié)同分布式攻擊,并提供集成化檢測(cè)、分析、報(bào)告和響應(yīng)功能,;二是將統(tǒng)計(jì)分析算法應(yīng)用于主機(jī)異常檢測(cè)代理,具有自適應(yīng)性能力,能夠適應(yīng)用戶行為的變化,檢測(cè)到網(wǎng)絡(luò)上新出現(xiàn)的攻擊行為;三是在分析BMH和BMHS算法的基礎(chǔ)上