基于智能移动Agent的分布式实时入侵检测系统关键技术的研究和实现.pdfVIP

基于智能移动Agent的分布式实时入侵检 测系统关键技术的研究与实现卑 王汝传徐小龙王华 (南京邮电学院计算机科学与技术系，南京，210003) r捕要】八侵检测蕊预警系统是目前最主要的主动网络安全防护技术，然而现有的八 侵检测系统存在很多局限性，例如检测管理节点是单一的失效点、网络数据通信过载，需 要修改配置文件才能为八侵检测系统增加新功能，效率低下，可靠性低。传统的入侵检测 模式已不能适应网络发展的新需求．我们根据目前信息网络特点，将移动Agent和数据挖 掘等技术结合到入侵检测中，对基于移动Agent的八侵检测系统进行深入的研究，有效地 建立一个鲁棒性强、完全适合信息网需要的高效、高可靠性、灵活一J生更高、易于扩展的分 布式实时入侵检测及预警系统． Dctection 【关键词】八侵检测系统(hmusion 信息安全 System)移动Agent 1引言 现代信息网络在信息的获取和交换上突出优势显现其对信息革命的重要价值。 然而现在的网络和网上信息系统正面临着攻击、侵入、渗透、影响、控制和破坏等 种种安全威胁。对来自网上的破坏活动进行监控与审计，保障网络的安全性，才能 保证网络正常的信息获取和处理能力，以及信息传输的安全性与完整性。 入侵检测是目前最主要的主动网络安全防护技术，是一种用来发现外部攻击和 合法用户滥用特权的～种方式。它以探测与控制技术为本体，提供实时的入侵检测 并采取相应的防护手段，起着主动防御的作用，是动态安全技术中最核心的技术之 一。入侵检测系统根据用户的历史行为，基于用户的当前行为，完成对入侵的检测， 并留下证据，为数据恢复和事故处理提供依据。 Dctection 目前的入侵检测系统(IntrusionSystem，IDs)存在很多的局限性： 中央数据分析器是唯一的分析点，所以中央检测管理节点是单一的失效点；单一检 测管理节点处理所有的信息意味着被监控的网络规模将受到限制，数据的收集会导 致网络数据通信过载；需要修改配置文件才能为入侵检测系统增加功能：效率低下， 可靠性低。对于日益复杂的信息网信息安全保障体系而言，传统模式已不能适应新 ’本文得到国家自然科学基金(6017303)和江苏省自然科学基金(BK2001123)资助。 ．114． 需求，需要完全分布和自主的处理模式。在信息网安全上，需要完整的数据保密安 全服务业务；在节点的信息获取与处理上，需要自主的安全处理服务功能：在传输 链路上，需要提供可靠及有效的实时监控。 我们根据当今网络系统的特点，将移动Agent、数据挖掘等技术结合到入侵检 测中，提出一个鲁棒性(Robust)强、完全适合信息网需要的基于移动Agent的分 布式实时信息网入侵检测及预警系统。基于移动Agent的入侵检测系统可以有效解 决现有的许多入侵检测系统中存在的问题。通过的对这种入侵检测模式关键技术的 深入研究，我们可以为信息网建立高效、高可靠性、灵活性更高、易于扩展的分布 式实时入侵检测及预警系统。 2移动Agent 移动Agent技术是具有跨地址持续运行机制的Agent技术，是能提供和支持代 码可移动性的语言和结构。简言之，它是能够在异构网络环境下自由的从一台主机 迁移到另一台主机上并能够持续运行的程序实体。它具有如下三个特征：1)目标 驱动特征；2)能够转移到不同的地址执行；3)转移后其执行是持续的，即转移过 程中保持自身的状态。 相对于客户机／N务机模式，移动Agent技术使计算任务更动态均匀的分布。 它具有许多优点：减少网络带宽占用，降低时延，减少网络流量和良好的并行性。 智能Agent可以被看作一个具有一定智能行为的软件Agent。能够解决某些子 项目，并根据自己的触发机制或根据其他相关的Agent提出的请求将结果融合进一 个更大的项目解决过程。通过使学习Agent具有数据挖掘功能，它们可以相互协作 在各个目标系统中提取用户行为特征和安全模式规则。 3基于智能移动Agent的分布式实时入侵检测系统的设计 Agent移动性使得带有数据挖掘算法的不同类型的Agent可以在各个主机之间 移