检索范围-南昌大学图书馆.doc

检索范围：中国学术期刊、万方数据库 检索策略：1. 入侵检测 2. 网络临控 3. 数据仓库 4. 数字签名 时间限制：2005年1月~7月 检索结果： 基于入侵检测的分布式防火墙系统 关键词：防火墙；分布式；自适应；入侵检测 本文提出了一种基于入侵检测的分布式、自适应防火墙系统,其结构组成如图所示。 主防火墙被设置在网络边界，整个系统通过主防火墙与Internet相连，利用主防火墙，可以对来自外部的大多数攻击进行防范。该系统中每一个防火墙模块都不是单一的防火墙，而是与其他的安全模块构成的统一模块。 分布式防火墙各模块的功能：(1)主防火墙重要功能在于可以过滤掉大量无用的数据,减少传递给内部网络的无意义信息流。(2)主机防火墙的功能主要为：对通过主防火墙的数据包进行再过滤，减少可能发生的攻击；防止来自内部的攻击。(3)分布式入侵检测模块的主要功能是及时地发现入侵并采取措施，同时将重要的信息通知中央决策及控制器。(4)中央决策及控制器处理来自各模块的信息，并对整个网络的安全策略进行管理。 系统采用集中管理的分布式安全监测工作模式，中央决策及控制器完成整个系统中各功能模块的管理与配置。各功能模块对其特定的数据源进行监控，并对收集的数据进行分析，对可能的入侵行为进行识别和响应。主防火墙安装在开放的外部网络与被保护的内部网络之间，对流经的数据进行过滤。 另外，系统提供了良好的可扩展性。将本文提出的模型作为最底层的分处理中心，用它来实现一个域的安全监控。同时要把监控的更大规模的网络分成多个域，每个域由一个分处理中心来进行管理，分处理中心受上一级处理中心的管理。这样就形成了多级分域的体系结构,随着网络规模的扩大,可通过适当增加级数及各级分处理中心的个数来防止由于数据量过大而造成分处理中心过载，从而保证了整个系统能在更大规模的网络环境下正常地工作。 摘自《计算机工程》 2005年03期 多代理技术在分布式入侵检测系统中的应用研究 关键词：多代理技术；入侵检测；多代理入侵检测系统 本文提出了在分布式入侵检测系统中使用多代理的一个模型。在系统中引入了加密、认证等代理,使系统的安全性进一步提高，同时提高了检测的准确性。 为了检测网络入侵，本文提出了包括一个多代理入侵检测系统(MDIS)和一个多代理入侵学习系统(MIDLS)的多代理系统体系, MDIS承担检测网络入侵的任务，通过对网络通信数据、操作系统的审计记录，以及系统的审计日志和应用程序的审计数据进行在线分析，多代理入侵检测系统检测入侵的发生。MIDLS用于多级已解释的数据学习，并且使用与MIDS相同的数据结构表示数据。MIDLS系统主要是进行一些离线数据的分析，以进行训练、学习，把一些新的攻击形式放到入侵数据库中。 多代理入侵检测系统作决策是基于多级数据输入，如网络流量数据、操作系统审计数据。为了与系统的其他安全技术相结合，本系统设计了基于主机部分的多代理入侵检测模块，它包括如下一些基本组件：1）预处理代理(AD-P)，负责对输入的通信数据进行预处理。2）认证授权代理（AIA），负责对信息源的鉴别和真实性的认证。3）事件检测代理(AD-E)，负责对攻击模式的的提取，判断用户行为。4）存取控制代理(ACA)，一方面对机密信息进行保护，不允许敏感信息通过非授权的访问渠道进行流出；另一方面按照严格的访问控制策略为合法的用户提供对信息资源的访问。5）加密处理代理(EA)，负责网络节点之间通信渠道的安全。6）控制破坏代理(DCA)，负责评估入侵对系统造成的破坏和信息恢复。7）学习代理(LA)，负责适应网络配置和新的攻击类型。8）入侵检测代理(IDA)，通过对接收的各种信息作出基于规则的判断。 检测攻击分为三个阶段数据处理过程：①AD-P通过对输入的网络数据进行预处理，把输入流转换成一些特别事件的事件流。②通过AIA，ACA，AD-E，EA，DCA，LA之间的协作，提取预定义的攻击事件模式，检测是否有可疑行为。③通过各IDA之间协作检测入侵。 各个代理间使用KQML进行通信。KQML是一种通信语言和协议，它使自治和异步Agent能共享知识以进行问题的解答。在互联网环境下，KQML是代理间一种有效的通信语言，它可以提供一些手段使代理间以安全的方式进行通，保护数据的完整性和真实性。 摘自《计算机应用研究》 2005年03期 基于最小二乘支持向量机的Linux主机入侵检测系统 关键词：支持向量机；入侵检测；特征抽取；异常检测 论文试图在新的网络软硬件环境、各种新的攻击工具与方法下，探讨建立一个基于 LS-SVM的实际入侵检测系统的可行性，从而为建立可行、准确、简单的实际IDS系统提供参考。为达到这一目的，论文首先设计并建立一个基本的网络入侵与检测的实验环境，选择一台Li