基于分布式数据挖掘技术的网络入侵检测系统研究.pdfVIP

第50卷第s1期 武汉太学学报(理学版) Vo!．50No．sl 2004年lo月 J．WuhanUniv．(Nat，Sci．Ed．) Oct．2004，087～090 文章编号：1671—8836(20041S1·0087-04 基于分布式数据挖掘技术的 网络人侵检测系统的研究 庄 毅，田 明，顾晶晶，谢 东 (南京航空航天大学信息科学与技术学院，南京210016) 摘要：简要分析了现有的网络人侵检测技术存在的一些问题．在此基础上，提出了一种基于分布式数据挖掘 技术的网络人侵检测系统模型，讨论了模型中各个功能部件的结构和关键技术．采用多Agent技术设计了一个基 于该模型的网络人侵检测原型系统．对实现不同功能的多类Agent进行丁设计．论文还介绍了原型系统的实现技 术．通过一个模拟分布式攻击仿真实验，检验了该模型的合理性和原型系统的性能．实验结果表明，该模型可在一 定程度上提高人侵检测系统对分布式攻击的检测能力． 关键诵：分布式数据挖掘}^侵检测·Agent，多Agent网络安全 393 中田分类号；TP 文献标识码：A 0引言 测工作组(1DWG)提出的入侵检测消息交换格式 (IDMEF)口1致力于建立通用的网络安全检测信息 网络攻击技术和攻击工具近年来有了很大发 交换平台，在不同人侵检测系统之间可实现互操作． 展，如红色代码和尼姆达之类工具能够自我传播，传 但这两个标准和协议没有涉及到分布式协同检测这 播时生成海量的扫描传输流，产生拒绝攻击．有些分 一新技术． 布式攻击工具可使攻击者控制分布在网络上的多个 论文提出了一种基于分布式数据挖掘技术的网 已部署攻击工具，使得人们要将正常的网络传输流 络人侵检测系统模型，并对关键的实现技术进行了 与攻击特性区别开变得越来越困难． 研究．采用多Agent技术设计了基于该模型的原型 目前对分布式人侵检测技术的研究主要集中在 系统．论文最后介绍了一个模拟分布式攻击的仿真 分布式入侵检测系统的体系结构、算法、协同机制等 实验． 方面．已建立了一些实验系统．较早出现的系统大都 是对基于主机的入侵检测系统的一种扩展和改造， 1 基于元学习的网络入侵检测模型 采用分布式收集事件、集中分析的方法，应用范围一 般限于某个小规模的局域网．大规模网络人侵检测 1．1元学习 系统，如AAFID[”等，采用事件收集分布式、事件分 析半分布式的方法，适用于一些采用分级管理的企 据挖掘技术，主要解决从大型分散的数据集中抽取 业内部网，但在层次型结构的根节点上仍存在负荷 出一个全局的“分类器”问题H]．元学习是指在全局 过重、单点失效等问题，因此适用范围有限，其检测 范围内对经过局部机器学习所获知识的再次学习． 效率和漏报率也不够理想． 元学习的目标是对各个独立的分散数据集并行应用 分布式入侵检测系统的研究涉及到通用事件描 相应的学习程序，产生基本分类器，再用基本分类器 detection 述语言、1DS(intrusionsystem)之间的安