返回
基于agent的入侵检测系统模型研究

基于agent的入侵检测系统模型研究

ID:25077990

大小:54.50 KB

页数:5页

时间:2018-11-18

基于agent的入侵检测系统模型研究_第1页
基于agent的入侵检测系统模型研究_第2页
基于agent的入侵检测系统模型研究_第3页
基于agent的入侵检测系统模型研究_第4页
基于agent的入侵检测系统模型研究_第5页
资源描述:

《基于agent的入侵检测系统模型研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、基于Agent的入侵检测系统模型研究基于Agent的入侵检测系统是采用Agent技术来保护信息系统安全的系统模式,已成为近年来安全领域的研究热点问题。本文在介绍入侵检测系统的基础上,对基于Agent的入侵检测系统模型进行了分析。关键词:入侵检测系统;Agent;基于Agent的入侵检测系统模型1.前言  随着计算机X络与因特X技术的飞速发展,信息共享日益广泛化,已深入到人们日常工作和生活的各个领域。由于人们对信息共享的依赖逐渐增强,作为信息共享基础的信息安全技术就显得尤为重要。入侵检测系统(IDS)是信息安全保障模型的一个重要组成部

2、分,同时也是动态安全技术的核心技术之一。2.入侵检测系统  入侵检测系统(IntrusionDetectionSystem,IDS)是试图实现检测入侵行为的计算机系统。它对系统进行实时监控,获取系统的审计数据或X络数据包,并对所获得的数据进行分析、判断,一旦发现异常或入侵情况,发出报警并采取相应的保护措施。3.入侵检测系统的局限性  目前的IDS存在着一定的局限性,尽管开发者一直针对这些局限性,改进和改良现有的技术。但是有些局限性是其固有的,是由IDS的体系结构造成的。其中最主要的局限性如下所示:  (1)存在单点失效问题  如果I

3、DS自身因受到攻击或其它原因而不能正常工作时,则整个X络将失去保护。  (2)灵活性较差  目前的IDS是与操作系统紧密相关的。且当进行升级或重新配置时需要进行重新启动。  (3)有限的响应能力  传统的入侵检测系统主要关注于检测攻击。尽管检测十分有效,但是系统管理员常常无法立即分析入侵检测系统的报告并采取相应的行动,从而使攻击者在系统管理员采取行动前有机可乘。  (4)缺乏有效性  虽然一些分布式IDS在数据收集上实现了分布式,而数据的分析、入侵的检测还是由单个程序来完成的。当要求处理的事件非常多时,就无法对事件进行实时分析,从而

4、导致IDS因来不及处理过量数据或丢失X络数据包而失效。4.Agent  Agent是在某一环境中持续运行的、具有自治性的软件实体。Agent可分为静态智能Agent和移动Agent两种。  (1)静态智能Agent  静态智能Agent是能为用户执行特定任务、具有一定程度的智能以允许自主执行部分任务并以一种合适的方式与环境相互作用的软件程序。其主要特性包括:自治性、协同性、响应性和预动性。  (2)移动Agent  移动Agent指一个能够在X络节点间自主迁移的软件实体。它保留了静态智能Agent的一些特性,但是它主要强调其移动性。

5、  正是由于Agent有如此多的特性,因此,将Agent应用到IDS中是实现入侵检测的一种新的方式。5.基于Agent的入侵检测系统模型  基于Agent的入侵检测系统模型如图5-1所示。图中检测规则是以自治Agent为组织单元,共有3类自治Agent,即入侵检测Agent(IntrusionDetectAgent,IDA)、通信服务Agent(TransmitServiceAgent,TSA)和心跳检查Agent(HeartDetectAgent,HAD)。    图5-1基于Agent的入侵检测系统模型5.1IDA的处理流程  

6、IDA的处理流程,一般都经过以下几个步骤:(1)获取检测数据源。(2)进行安全检测、模式匹配或异常越界判断,确定可疑度。  (3)根据检测结果,按规则库的定义进行响应。  (4)与其他IDA通信,对可疑级别达到一定程度的事件进行可疑广播。(5)如果需要将数据传送给其他IDA,就通过TSA将数据传送给它们。  (6)产生检测报告。5.2基于Agent的入侵检测系统模型的特点基于Agent的入侵检测系统模型具有以下几个特点:(1)若有一个IDA出现问题或者受到破坏,则只有该IDA所检测的部分无效,HDA会很快检测到它的状态,并进行相应的

7、处理,使危害限制在最小的范围内。  (2)系统的可扩充性好,无论是增加检测主机还是在主机中增加IDA都简单方便。  (3)可以减少数据量,由于一些IDA是检测基于X络跨主机的信息,需要相关主机上的Agent为它收集信息,这些Agent可以进行预检查,采取一些措施减少数据量,这对于减少X络流量和进行有效的检测是有意义的。(4)灵活性,由于IDA的独立性,它可以独立地启动和停止,也可以进行动态配置,而不影响其他IDA的正常运行。要收集新数据或检测新的入侵,只需对原IDA进行重新配置或增加一个新IDA就可以了。(5)不同IDA可以选用不同

8、的检测数据源,由于Agent是独立实现的,因此,它的数据就可以是多种多样的,这样IDS就可以既包括基于主机的IDA,也可以包括基于X络的IDA,超越了传统入侵检测模型的界限。(6)由于不同的IDA是独立的,它们可以分别开发,而且可以使

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。