基于代理的分布式入侵检测系统模型地研究.pdfVIP

基于代理的分布式入侵检测系统模型的研究 ResearchonDistributedIntrusionDetectionBasedon System Agent 王新生李彦辉张颖 (燕山大学信息科学与工程学院 秦皇岛066004) AhstractThisarticle concentratedanddistributedintrusiondetection anddisad— analyzes type system’sadvantages onthisfoundationthatakindof centralismframemodel，andcarriesondetailedelab— vantagesfirst，proposes partial orationtothismodelstructure，thenelaboratesthisframe featurewith security emphasis． Intrusiondetection Keywords system，Agent，Communication，Security 1 引言 于人工智能领域，它是模拟人类行为和关系，具有一 近几年，关于入侵检测技术的研究发展很快，出 定智能并能够自主运行和提供相应服务的程序。该 现了许多入侵检测系统。但是，随着网络高速化发 模型的主要思想是在每台机子上部署不同类型的代 展，分布式、多元化、多服务、多应用、多用户的环境 理来监控本机安全，这样每台机子上的各类代理可 下，更缺少一个有效的入侵检测体系，而且新的攻击 以相互通信以便更好地发现针对本机的入侵，同时， 方法的不断出现，尤其是一些互相协作的入侵行为 整个网络的各个主机间的各个代理也可以通过 的出现，给入侵检测领域研究带来了新的课题。早 TSA(通信服务代理)代理通信交流协作发现分布 期的集中式入侵检测系统不能有效适应这些新的问 式协作攻击。这种模型虽然避免了控制中心的瓶颈 题，完全分布式的系统又过于复杂难以管理，针对这 现象，但是出现了新的问题： 一现状，本人提出一个基于代理的分层入侵检测系 (1)多个代理在大规模网络环境下的通信协作 统框架。 问题。例如，某主机内一个代理需要多个代理的协 作才能判断入侵，它需要等待其它多个代理的响应 2入侵检测技术的分析 和数据的传输。这些都增加了判断入侵行为的时 从入侵检测系统各个模块运行的分布方式的不 延。 同可分为集中式和分布式人侵检测系统。 (2)多代理间通信协调的复杂性也会降低系统 2．1集中式入侵检测系统框架 的效率和可维护性。 过去的入侵检测系统多数都采用单一体系结 (3)无控制中心的系统中，对确定的入侵一般采 构，即所有的工作包括数据的采集、分析处理都由单 取广播的方式向全网报告，这不可避免地给网络带 一主机上的单一程序来完成，而一些分布式的入侵 来了大量的通信流，影响网络质量。对于易受攻击 检测系统只是在数据采集上实现了分布式，数据的 的网络可能产生更严重的后果。例如一次恶意的针 分析、入侵的发现还是由单个程序完成的，这样的结 对