互联网 qkzz.net
全刊杂志网:首页 > 女性 > 文章正文
刊社推荐

Agent技术在分布式入侵检测系统的应用研究


□ 马占飞 郑雪峰

  摘要:剖析了现有的分布式入侵检测系统及其在网络中的优势,将代理(agent)技术应用到分布式入侵检测系统中,并在此基础上提出了一种基于agent的分布式入侵检测系统(agent-based distributed intrusion detection system,ADIDS)的新模型。ADIDS采取无控制中心的多agent结构,充分利用agent本身的独立性与自主性,尽量降低各检测部件间的相关性,避免了单个中心分析器带来的单点失效问题。各个数据采集部件、检测部件都是独立的单元,不仅实现了数据收集的分布化,而且将入侵检测和实时响应分布化,提高了系统的健壮性,真正实现了分布式检测的思想。
  关键词:信息安全; 入侵检测; 代理; 代理技术; 分布式
  中图分类号:TP393.08文献标志码:A
  文章编号:1001-3695(2008)04-1127-03
  
  随着网络规模的不断扩大,入侵检测系统(intrusion detection system,IDS)的应用场合也越来越大,将入侵检测系统应用于大规模高速网络成为入侵检测系统研究的新立足点。为了能够在大规模高速网络中实现入侵检测与防范,入侵检测系统一般采用分层的分布式结构。该结构通过分散采集、分布处理和集中管理,满足了大规模高速网络的需求。采用分布式结构的入侵检测系统也有利于检测分布式攻击。这种应用于大规模高速网络的入侵检测系统被称为大规模分布式入侵检测系统[1]。
  实现大规模分布式入侵检测系统,一般要使用agent技术。该技术是近年来新提出的概念和技术,受到了广泛关注和研究。本文首先对分布式入侵检测系统及其在网络中的优势进行了剖析,并详述了agent技术在分布式入侵检测系统的应用,在此基础上提出了基于agent的分布式入侵检测系统模型。
  
  1分布式入侵检测系统概述
  
  传统的入侵检测系统,通常均属于自主运行的单机系统。无论基于网络数据源,还是基于主机数据源;无论采用误用检测技术,或是异常检测技术。在整个数据处理过程中,包括数据的收集、预处理、分析、检测,以及检测到入侵后采取的响应措施,均由单个监控设备或监控程序完成。然而,在面临大规模、分布式的应用环境时,这种传统的单机方式就遇到了极大的挑战。在这种条件下,要求各个入侵检测系统(监控设备或监控程序)之间能够实现高效的信息共享和协作检测。在大范围网络内部署有效的入侵检测系统已经成为一项新的研究课题,推动了分布式入侵检测系统(distributed intrusion detection system,DIDS)的发展。
  DIDS是一种分布于网络环境的入侵检测系统,用来监视与网络相连的主机及网络自身,其关键技术是检测信息的协同处理与入侵攻击的全局信息的提取。DIDS检测的数据来源于网络中的数据包和主机中的数据,它采用分布式检测、集中管理的方法,即在每个网段和重点主机上安装一个监测器,该监测器相当于基于网络和基于主机的入侵检测系统。监测器用来监测其所在网段和主机上的数据流,它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据,同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大,但对网络流量有一定的影响。 ......
很抱歉,暂无全文,若需要阅读全文或喜欢本刊物请联系《计算机应用研究》杂志社购买。
欢迎作者提供全文,请点击编辑
分享:
 

了解更多资讯,请关注“木兰百花园”
分享:
 
精彩图文


关键字
支持中国杂志产业发展,请购买、订阅纸质杂志,欢迎杂志社提供过刊、样刊及电子版。
关于我们 | 网站声明 | 刊社管理 | 网站地图 | 联系方式 | 中图分类法 | RSS 2.0订阅 | IP查询
全刊杂志赏析网 2017