基于AGENT的AD.ppt

三、技术路线 Linux操作系统做为平台。 C语言及C++作为开发工具。 在具体的模块中涉及到其他理论和算法。 1、入侵检测部分 与控制理论结合： 由于市面上的入侵检测工具大多都是基于误用的，且判决都是基于是否为入侵的两态结果，并不适用于我们的基于异常的分布协作式系统，因此我们拟结合控制理论中的模糊论思想，设计基于模糊规则的本地检测系统，使本地检测由入侵、非入侵的两态结果变为了确定入侵、确定非入侵、不确定三态结果。为后面的协作请求提供决策依据。 2、数据的存储 Mysql做为数据库： 对于专家库和规则库的实现，我们将采用Mysql做为数据库进行数据存储。 XML格式进行存储调用： 而对于日志及判断结果等采用可扩展标识语言XML（eXtensible Markup Language）格式进行存储调用。XML与Mysql数据库不同。数据库提供了更强有力的数据存储和分析能力，例如：数据索引、排序、查找、相关一致性等，而XML仅仅是展示数据。 3、数据算法 KMP算法： 在模式匹配过程中，我们用Knuth、Morris 和 Pratt 所发明的 KMP算法。因为Ad Hoc网络的通讯流量少而且我们的本地检测都是轻量级的，所以选择了对小字符集较正文具有速度优势的KMP算法。 信任值的计算： 而在协作检测过程中，我们结合感性信任理论设计了基于信任度的协作机制。信任值的计算采用：信任度T=S/S+βF+C 。β为信任度衰减调节因子，调节判断失败使信任度降低的速率。C影响着成功判断使某节点到完全信任另的速度。由于C的存在，可避免分母为0。 在研究的过程中所涉及到的工具及理论如下： 系统平台：Fedora(2.6.23.1-42.fc8) 开发语言：C语言、C++ 数据库：Mysql 相关算法：KMP算法、信任计算 相关理论：模糊理论、信任度理论 四、可行性分析 1、理论依据：我们的方案在综合Y.zhang和W.lee的分布式协作入侵检测方案以及Kachirski和Guka的基于移动Agent入侵检测方案的基础上，结合Ad Hoc网络机动灵活，小范围应用的特点而提出的，具有理论依据。 2、可用参考：在有线网络领域，国内外对代理检测方案和分布式合作检测方案都有大量的研究，这为我们研究Ad Hoc的入侵检测提供了大量有用参考。 3、专业基础：本人是控制专业，可以把控制思想很好的融入到检测及协作机制中，戴尚飞同学为通讯专业，具有很好的通讯理论基础。我们学习C语言及C++多年，都具有一定的程序设计基础。 4、有效借鉴：基于信任度的决策在P2P网络（peer to peer，对等联网）中应用很广，而P2P网络与Ad Hoc网络在结构上相近。将信任机制引入协作机制中可以很好的提高协作判决的准确性。 5、性能提升：该方案对入侵进行本地检测，邻居节点协作检测，移动代理检测的三级检测方法，增加了检测的成功率，可进一步提高系统的安全性。 五、创新点 1、对Ad Hoc网络构建基于移动代理的分布协作式入侵检测系统，提出了以固定节点做为代理管理节点的理念。 2、根据Ad Hoc网络特点，引入模糊理论设计本地检测系统，以适应分布协作系统的结构需要。 3、基于感性信任理论，设计一套协作机制，以提高协作检测的准确度。 六、难点及存在问题 1、检测规则：在检测过程中，如何根据实际情况设计出一套简单而适用的模糊检测规则是有待解决和研究的问题。 2、模式匹配：数据采集模块发来数据后，如何进行有效的分类并与专家库、规则库进行高效的匹配，是难点所在，需要好好研究。 3、数据融合：在协作检测中，采取何种算法能够将判断与信任度很好的融合起来，以做出准确的判决也是需要解决和研究的问题。 七、进度安排及预期目标 1、进度安排 2008年11月—2009年1月：继续大量阅读文献。并研究本地检测模块和本地响应模块的实现问题。 2009年2月—4月：实现本地检测和本地响应模块的相关功能，并研究协作检测机制的构建。 2009年5月—8月：实现协作检测模块，全局响应模块的构建。 2009年9月—10月：与戴尚飞一起进行系统的整合调试。实现分布协作式入侵检测系统的功能。 2009年11月－2010年1月：总结学习与实验所得，撰写毕业论文，准备毕业答辩。 2、预期目标 （1）完成各阶段工作，实现分布协作式入侵检测系统的功能。 （2）完成相关小论文的发布（1-2篇） （3）完成大论文的撰写工作。  基于AGENT的AD HOC入侵检测系统及其协作机制的研究姓名：薛严冬指导老师：韩秀玲专业：控制理论与控制工程 开题报告结构 一、研究背景及意义