基于多Agent 的分布式入侵检测系统设计与实现[J].docxVIP

基于多 !#$% 的分布式入侵检测系统设计与实现陈蔚庄毅（南京航空航天大学计算机科学与工程系，南京 !?）GB4-C：H+*0$E3(I!?$1.4摘要先分析了现有的入侵检测系统及其弱点，在此基础上，提出了一个采用多 @=0() 的体系结构。它应用 @=0() 的概念和方法来构造入侵检测的各个部件，通过多 @=0() 技术来实现检测自治化和多主机间检测信息的协调，并以此达成分布式入侵的协作检测。还指明了实现原型系统的关键技术和方法。最后对系统做出简要评价。关键词入侵检测系统（’/2）代理分布式J@/G文章编号 !BK88B（!#）!%B8%B8文献标识码 @中图分类号 L:8%8#’($ )$* +,-.#,#$%)%(/$ /0 (’%1(23%#* +$%13’(/$ #%#4%(/$56’%#, 7)’#* /$ 83.%(9!#$%:;#$ #(=;3)$ (（/0M)$ .N O.4M+)0* 21-0(10 (E G(=-(00*-(=，P(Q-(= R(-S0*,-)3 .N@0*.(+)-1, (E @,)*.(+)-1,，P(Q-(= !?）!2’%1)4%： /-,)*-D+)0E -()*+,-.( E0)01)-.( ,3,)04, （/’/2）TS0 4(3 ES()=0, -( )T0.*3$U.V0S0*，)T0*0 *0 ,.40-4M0E-40(), VT0( )T03 *0 -4MC040()0E$’( )T-, MM0*，V0 M*.M.,0 (.S0C *1T-)01)+*0 MMC-0E V-)T 4+C)- B=0())01T(.C.=3$LT0 *1T-)01)+*0 04MC.3, )T0 1.(10M) .N =0() ). )T0 D+-CE-(= .N ,3,)04 1.4M.(0(),$W-)T 4+C)- B=0())01T(.C.=3，V0 1( 0NN01)-S0C3 1T-0S0 +).(.43 .N E0)01)-.(, (E 1..*E-()0 M*.10,,-(= .N -(N.*4)-.( N*.4 01T4.(-).*0E T.,)，(E )T0( 1.4MC0)0 1.CCD.*)-S0 E-,1.S0*3 .N E-,)*-D+)0E -()*+,-S0 1)-.(,$W0 M.-() .+) ,.40 03)01T(.C.=-0, N.* )T0 -4MC040() .N .+* E04. ,3,)04 (E =-S0 ,.40 0SC+)-.( N*.4 )0,),$?#6@/1*’：’()*+,-.( /0)01)-.( 23,)04（’/2），@=0()，E-,)*-D+)0E，J@/G引言别攻击行为关联起来，这样就很难查出类似 ;(.1-(= ))1在信息安全越来越重要的今天，入侵检测系统（’()*+,-.(/0)01)-.( 23,)04，以下简称’/2）在信息系统安全中的地位日益重要。但是，当前的’/2 大都有如下的局限性56#7：（）分布程度不够：现行系统大多数都采用集中式体系结构；而一些分布式的’/2 只是在数据采集上实现了分布式，数据的分析、入侵的发现还是由单个主机完成，’/2 各组件间的协作十分有限。这使系统对分布式攻击的检测力不从心。（!）体系层次性太强：目前大部分系统都采用严格的树状层次体系结构5!6#7。这样的结构容易造成节点间通信量太大导致网络拥塞。同时，由于控制功能的过分集中，系统层次依赖性太强，有可能在遭受攻击后失去层次关联造成整个系统失效，降低了系统的健壮性。（8）缺乏恢复机制：系统灾难恢复机制，如冗余，移动性，动态恢复等，很少在现行系统中采用。这使系统变得脆弱而不可靠。（#）系统可塑性不高：系统在依环境动态进行配置或增加新的功能时，往往必须手工编辑配置文件，然后重启以使其生效；无需某些功能时，又难以将其卸载。这样就降低了系统的效率和实时性。（9）不易查出渐进式攻击：许多’/2 无法将同一个入侵者（通常是同一’: 源地址）在相对较长间期里，对不同主机的分的渐进式攻击。’/2 必须能注意并收集到与入侵者历史相关的信息，然后动态地采取检测策略。为了解决这些问题，笔者参考了一些现有的’/2 模型5，9，?7，提出一个采用多 @=0() 技术的分布式’/2 体系结构。文章将其简称为 A/B’/2 （A+C)-B=0() /-,)*-D+)0E ’()*+,-.( /0)01)-.(23,)04）。软件 @=0() 是指能在特定的环境下无须人工干预和监督而自主完成某项任务的计算实体5F7，在这一过程中，它还可能与其他 @=0() 进行必要的交互。采用分布式的多 @=0() 技术，配合以适当的体系结构，能较好地解决常规’/2