基于分布式系统的入侵检测系统.pptVIP

主 要 内 容 防火墙策略的优缺点 明显的优势 在内外网之间提供安全的网络保护屏障，降低内网受攻击的风险。 缺陷 入侵者可以寻找防火墙背后可能敞开的后门； 完全不能阻止内部袭击； 无法提供实时的入侵检测能力； 对邮件病毒束手无策。 入侵检测(Intrusion Detection) 入侵检测系统的分类 根据检测的数据来源分基于主机的入侵检测系统（Host-based IDS） 基于网络的入侵检测系统（Network-based IDS） 根据检测使用的分析方法分异常入侵检测型（Abnormal Detection） 误用入侵检测型（Misuse Detection） 根据IDS的体系结构分集中式入侵检测系统（Centralized Intrusion Detection System，简称CIDS） 分布式入侵检测系统（Distributed Intrusion Detection System，简称DIDS） 理想入侵检测系统的功能 本课题的研究意义 基于现有的成熟的入侵检测技术，结合移动Agent技术应用于入侵检测系统的优势，设计一种基于移动代理的分布式入侵检测系统模型；并在基于Java的移动代理平台IBM Aglets上，按照本文设计的模型构建实验监测系统，完成对一些典型的入侵攻击的检测。因此，本课题的研究在理论和实践上都具有深刻的意义。 移动代理（Mobile Agent）技术 移动代理系统的体系结构 移动代理应用于DIDS的特点 主机间动态迁移改变了传统的将数据传送给程序（计算）的方式，而是将程序（计算）传送给数据。 智能性 平台无关性 分布的灵活性 低网络数据流量 协作性 基于MA的DIDS体系结构图 基于Aglet的DIDS系统的功能模块 数据采集模块负责采集被监控的主机系统上的网络连接数据，并进行过滤和格式化处理，保存在系统日志文件中。 入侵检测及响应模块 对各个主机系统上的日志文件进行分析，结合不同的检测手段，和已知攻击行为的特征进行比较，从中发现异常行为，产生实时警报。 数据管理模块 保存和维护所有采集到的数据，处理用户提交的数据库查询和更新请求。 实时监控模块 对各个受控主机进行实时监控，并对出现的问题实时报警。该模块设计的主要问题是如何在保证报警的实时性的同时，尽可能减少对系统资源的占用。 离线查询模块主要通过Web方式，提供对各种历史数据和警报的查询和分析。由于该模块的存取数据来源于数据库，所以可以利用各种复杂的算法对系统数据进行分析。 MCA的工作流程 MDA可使用的检测技术 基于统计的检测技术 根据用户行为和用户历史行为的比较来判断是否为入侵的。 基于人工智能检测方法 通常采用神经网络、遗传算法和模糊推理等技术。 基于专家系统的入侵检测 采用模式库的方法对入侵行为进行匹配。 通信协议ATP ATP Transmission Protocol 有效性和可靠性 代理之间的通信不能明显地增加系统的负担，降低网络的传输性能。 安全性 各部件之间的通信协议必须提供某种加密机制来保证IDS之间数据传输的安全性，以防止网络窃听 。 系统功能模块图 IBM Aglets的运行支撑环境 系统开发环境 操作系统：Microsoft Windows2000 开发语言：Java 后台数据库：Microsoft SQL Server2000 数据包截获支持函数包：WinPcap、Jpcap 采集网络数据的实现细节 截获包的具体时间|源IP-目标IP|源 端口：目的端口[type:code]|协议| 采集网络数据包的流程图 IBM Aglets介绍 Aglets的虚拟机Tahiti Aglets的生命周期 移动代理CirculateAglet的入侵分析流程图 总 结——系统的优点 实现模块化、可配置性 具有高度的可扩展性 能够应对分布式、协同式攻击 自身安全性较高 总 结——存在的问题 依赖于移动代理平台 可能受到硬件环境限制 缺少大规模实用性验证 欢迎提出宝贵意见！Renxh@tyut.edu.cn * * 基于移动代理的分布式入侵检测系统 太原理工大学网络信息中心 任新华 Renxh@tyut.edu.cn 背景综述 本课题的研究意义 移动代理技术 基于移动代理的分布式入侵检测模型 基于移动代理平台IBM Aglets的本模型的实现 定义：通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection Syste