电子科技大学计算机入侵检测技术3精要.ppt

计算机入侵检测技术 —基于移动Agent的入侵检测系统研究 第三章 基于移动Agent的入侵检测系统 一、引言 最初的入侵检测技术是基于主机和网络两种，即HIDS和NIDS，然而它们具有很大的局限性，例如在高速网络和加密通道等网络环境就会捉襟见肘。 在此基础上出现了分布式的IDS，将HIDS和NIDS技术集为一身，让它们发挥各自的长处。但仍然存在一些不足：容易在单一节点上受到控制。例如当中央处理单元崩溃时，整个IDS都会瘫痪；由于中央处理单元的能力有限，当网络规模增大而需要扩展IDS的时候，系统不易扩展；此外，传感器回送数据还会加重网络的负荷。 第三章 基于移动Agent的入侵检测系统 一、引言 此后又出现了分布式分级IDS，整个结构为树状。这种等级式结构提高了系统的扩展性，随着层次的增多，每一层完成的功能相对减少，数据经过不断缩减，到了根结点的数据都已经过了预处理，但这种结构缺乏扩展性和灵活性。 还有一种完全分布式的peer to peer的IDS，是由Agent和Security Officer（SO）组成，每台被监控的设备上都装有Agent和SO，SO可以分析本机Agent上的数据，也可以和其它设备上的SO协商处理分布式攻击，但这种系统过于分布，没有一个最终仲裁部件进行决策，而且目前还没有成熟的原型系统。 由于各种体系结构都存在这样或那