返回
基于agent网络入侵检测系统架构

基于agent网络入侵检测系统架构

ID:32719243

大小:56.79 KB

页数:6页

时间:2019-02-15

基于agent网络入侵检测系统架构_第1页
基于agent网络入侵检测系统架构_第2页
基于agent网络入侵检测系统架构_第3页
基于agent网络入侵检测系统架构_第4页
基于agent网络入侵检测系统架构_第5页
资源描述:

《基于agent网络入侵检测系统架构》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、基于Agent网络入侵检测系统架构【摘要】本文将智能体(Agent)技术应用到入侵检测系统中,并在此基础上提出了一种基于多智能体(Multi-Agent)的网络入侵检测系统(NetdetectionsystembasedMulti-Agent,NDSMA)的新模型。系统采取Multi-Agent结构,充分利用Agent本身的独立性与自主性,尽量降低各检测部件间的相关性,避免了单个中心分析器带来的单点失效问题。各【关键词】信息安全;入侵检测;代理;代理技术1.采用Multi-Agent的网络入侵检测系

2、统的优势本文针Agent的特点,提出了一种基于多Agent的网络入侵检测系统,该系统根据Agent的特点,把现有的入侵检测系统的各个功能划分到了与之相对应的Agent中,该方案充分利用各个Agent之间相互协作却又相互独立的特性,可以实时地检测基于网络入侵行为。基于Multi-Agent的入侵检测模型可以实时地检测基于网络和基于主机的入侵行为,它能够按照系统和网络的异常使用模式的不同特征和环境差异,利用不同的Agent进行检测,各Agent相互协作,检测出异常行为。2•模型的体系结构NDSMA模型是

3、自治Agent为组织单元和服务器管理单元组成的。其中有数据收集Agent数据预处理Agent主控Agent监测Agent通信Agent检测Agent(巡回检测Agent和主机检测Agent)□2.1数据收集Agent驻留在目标主机的数据采集Agent,负责采集流经主机网络适配器端口的网络数据包并传送给数据预处理Agent处理。它是高带宽网路中防止数据包丢失的关键。作为系统的底层组件,它们之间没有合作行为,只负责处理自己所在受控主机的数据包。。2.2数据预处理Agent数据采集Agent捕获的网络数据

4、信息量非常大,如果不加任何处理的直接交给检测Agent处理势必增加检测Agent的工作量,导致处理“瓶颈”。因此我们需要根据特定规则对原始数据预处理后,再以特征码的方式将数据传送到检测Agent,这样处理有利于检测Agent检测有效的部分,从而提高检测效率。此外,将数据采集Agent和数据预处理Agent分离有利于从不同的数据源重复、同步的采集数据,提高系统的整体性能,数据预处理Agent对收集到的数据包进行数据包解密和数据表逐层分解,然后把已经被逐层分解的数据包依据相应的规则生成可以被检测Agen

5、t可以识别的特征码。其中包括IP层数据处理、TCP层数据处理和应用层数据处理。对于IP层处理,首先解决的问题是,把分片的IP数据报重新拼装起来,然后从中提取出IP源、目的地址,MAC源、目的地址、传输数据所使用的协议和TCP数据域;对于TCP层处理的数据是:从IP层提取出数据域,把该数据再进行分解,提取IP源、目的地址,源、目的端口、序号、连接状态和应用层报文,经过处理的数据就可以被数据预处理用来生成可以被检测Agent识别的特征码。2.3主控Agent它本入侵检测系统中最高层控制单元,其主要功能是

6、对系统中各节点上Agent进行管理是用户与系统交互的接口,为用户提供一个管理入侵检测系统的界面。用户通过控制中心可以管理各Agent的活动情况以及对各Agent进行控制,主控Agent还负责管理Agent保存系统的配置和各Agent的重要特征信息,负责在入侵检测系统受到破坏时恢复各Agento负责各Agent的派生和初始化以及巡回Agent的移动路线。2.4通信Agent通信控制Agent负责对各Agent之间的通信进行加密,管理消息的传递、系统各主机的身份认证•并提供接口使各级Agent可以进行通

7、信。采用加密技术对从各Agent接收到的信息进行加密,并且采用数字签名方案来对系统中各主机进行身份认证。从而保证了该人侵检测系统本身的安全性,使系统遭受攻击的可能性降到最低。2.5监侧Agent监测Agent是较高层的独立实体,它们之间可以相互通信,这个Agent通常是用来检测其他的Agent是否正常运转。监测Agent具有状态监控功能的特殊Agento它对各个Agent,判断它们是否受到攻击。如果是主控Agent巡回数据Agent综合检测Agent受到攻击只要向服务器和系统管理员进行报告。如果检测

8、Agent数据收集Agent数据预处理Agent受到攻击时不仅要向系统管理系统管理员进行报告,还应该通知Agent所在主机的用户,让用户知道自己受到了外来的攻击。监测Agent还负责监测整个网络,如果监测发现在其监控的网段内的某一时段数据包的活动不正常监测Agent就把它监测到的信息发送给主控Agent由主控Agent进行相应的处理。2.6检测Agent检测Agent是对数据预处理Agent生成的特征码进行规则分析和特征检测,如果特征码没有和任何规则相匹配和符合入侵特

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。