移动Agent和遗传算法在分布式IDS中的应用研究[权威资料].docVIP

移动Agent和遗传算法在分布式IDS中的应用研究 　　【 摘 要 】 无线通信在无线空间传播信道特殊的辐射、开放性会导致网络运营和通信的安全性受到极大的威胁。近年来，将遗传算法和移动代理应用于 IDS 中的研究越来越多。传统的基于知识的IDS由于需要领域专家人工进行规则和模式的建立，并随着时间和空间的变化会导致专家规则库局限性突显，检测的有效性和正确性不高，因而需要对IDS的性能进行优化。文中首先介绍了移动互联网网络结构和安全问题，然后提出通用的IDS模型结构及分类，设计出一种基于移动Agent和遗传算法的入侵检测系统。该系统具有灵活性强、可扩展性好及适应性强和误检率低等特点，满足移动IPv6环境的使用。实验结果表明提出的设计模型在算法性能和检测效率上具有优势，适合于移动互联网。 　　【 关键词 】 移动互联网；入侵检测系统；移动代理；遗传算法 　　【 】 TP393.8 　　1 引言 　　随着信息网络技术的快速发展，人们不再满足于使用固定终端或单个移动终端连接到互联网络上，而是希望移动子网能以一种相对稳定和可靠的形式，从互联网上动态地获取信息，这就促进无线移动互联网络的发展。然而，由于无线通信在无线空间传播信道特殊的辐射、开放性会导致假冒攻击、网络欺骗、信息窃取等不安全行为，使网络通信的安全性受到极大的威胁。为防止无线通信中信息被接收者之外的另一些人轻易地截获，或入侵者进行欺骗接入等，需要采取一系列的安全措施。 　　入侵检测系统（The Intrusion Detection System，IDS）是一种积极主动的安全防护技术，可应对网络信息传输中诸如篡改，删除以及盗取等行为的网络安全设备。目前，IDS发展迅速，根据入侵检测方法可以把IDS分为异常入侵检测系统和误用入侵检测系统。但传统的基于知识的IDS需要领域专家人工进行规则和模式的建立，而复杂网络随着时间和空间的变化会导致专家规则库受限，降低了IDS的有效性和正确性。 　　本文针对移动互联网络的安全问题设计一种IDS检测方案，该方案在网络层描述系统构成、实现的通信原理、部署及入侵检测过程，并通过搭建实验平台对方案的性能和执行效率进行了分析。 　　2 移动互联网网络结构及安全问题 　　一般人们可以认为移动互联网是采用手机、个人数字助理、便携式计算机、专用移动互联网设备等作为终端，以移动通信网络或无线局域网作为接入手段，通过无线应用协议（WAP）访问互联网并使用互联网业务。由于移动互联网中核心是无线网络技术，无线网络通过无线电波在空中开放式传输数据，在数据发射机覆盖区域内的几乎所有的移动用户都能接触到这些数据，因此很容易受到恶意攻击。 　　随着3G和移动互联网的发展，所有在互联网上出现的安全问题都可能在移动互联网上重现。另一方而，由于移动互联网本身的特点、独特发展方式与传播能力使得很多新的安全问题不断出现， MCAfee《2008年移动安全研究报告》显示，80%以上的用户对移动终端安全问题担心。当前移动互联网存在的安全问题主要有四个方面。 　　1）信息中断：利用非法手段对网络的可用性进行攻击，破坏移动互联网系统中的软、硬件资源，使网络不能正常工作。 　　2）篡改：对网络的完整性进行攻击，篡改移动网络的核心网元和业务数据库中内容，修改消息次序进行延时或重放。 　　3）窃听：通过对无线网络传输链路上的搭线和电磁泄漏等对网络的机密性进行攻击，造成泄密，或对业务流量进行分析，获取有用信息。有很多不法份子窃听等技术手段可以精确提取这些信息，造成一些隐私信息泄露并进行违法犯罪活动。 　　4）伪造：对网络的真实性进行攻击，将伪造、虚假的信息注入网络中、假冒合法用户接入移动网络、重放截获的合法信息实现不法目的、向移动网络中移植蠕虫、木马、逻辑炸弹等恶意程序来破坏移动网络的正常工作，否认网络中消息的接收或发送等。 　　3 入侵检测系统的模型及分类 　　IDS是一种主动保护自己免受攻击的一种网络安全技术，它是防火墙技术的一种补充，是检测计算机网络和系统以发现违反安全策略事件的过程。任何一个完整的IDS都必须支持信息控制和信息捕获两大功能。 　　作为入侵检测的系统至少应该包括三个功能模块：提供事件记录流的信息源、发现入侵迹象的分析引擎和基于分析引擎的响应部件。如图1所示描述了一个入侵检测系统的通用模型，由事件产生器、活动记录器和规则集三个部件组成。事件产生器是IDS模型中产生活动信息，审计跟踪网络数据包；活动记录器监视中当前网络的状态；规则集是一个普通的核查事件和状态的检查引擎，它使用模型、规则、模式和统计结果来判断入侵行为。此外，反馈也是IDS模型的一个重要组成部分。规