基于移动代理入侵检测系统模型框架设计.docVIP

基于移动代理入侵检测系统模型框架设计 　　[摘 要] 本文针对现代出现的应用于现代局域网的入侵检测系统的出现的一些问题,对分布式入侵检测和移动代理技术分别进行了分析和总结,提出了一种适合于现代局域网的基于移动代理的入侵检测系统的模型框架。 　　[关键词] 入侵检测 Snort 移动代理 　　 　　随着计算机和网络技术的发展,网络已经得到广泛的应用,各种局域网也迅速出现并发展起来,在各领域扮演越来越重要的角色。与此同时,局域网的安全问题也就变得日益突出。针对此网络的入侵事件频频发生。因此,如何保证局域网的安全问题,也就成了一个极为重要的问题。入侵检测技术作为网络安全系统的重要组成部分,是安全审计中的核心技术之一,研究入侵检测具有十分重要的理论意义和现实价值。但是当前已有局域网的入侵检测系统普遍存在着网络流量大、实时性差、容易形成系统瓶颈、系统灵活性和扩展性差等问题。 　　本文针对现代出现的应用于现代局域网的入侵检测系统的出现的一些问题,对分布式入侵检测和移动代理技术分别进行了分析和总结,提出了一种适合于现代局域网的基于移动代理的入侵检测系统的模型框架。主要工作包括: 　　1、针对现代局域网中的一些入侵检测系统结构的容易产生系统瓶颈,网络传输流量大,不容易安装使用等问题,提出了一种入侵检测系统框架,系统主要由控制系统、主机系统、移动代理三个部分组成,控制系统负责各主机系统的管理与注册,解决了网络流量问题,很好的实现了入侵检测功能。 　　2、针对当前大部分入侵检测系统的网络流量和功能分配紊乱问题,提出由控制系统负责移动代理的派发,通过移动代理来协助主机系统进行入侵检测分析,而此控制系统只处理少量的由主机系统不能处理的信息,解决网络传输量问题和能实现分布式协同等的入侵类型,较好的应对现代流行的攻击。 　　 　　3、针对以往系统检测响应实时性差,系统瓶颈,灵活性等问题,提出采用了主机系统本身具有信息分析检测响应功能,主机系统是整个系统模型的基础架构,负责信息的接受、同时具有一定的分析和响应功能,将主机系统不能处理的可疑信息反馈到控制系统,根据这些信息控制系统可以对移动代理进行派发来实现检测响应,解决了系统的扩展性问题和分布式攻击检测问题。 　　基于上述分析,本系统模型框架实现了分布式的入侵检测与响应,提高了系统检测效率与检测响应的实时性,同时解决网络流量传输比较大,容易产生系统瓶颈等问题,系统灵活性和扩展性都比较好,并且系统易于安装使用。 　　提出一个基于移动代理的分布式入侵检测系统,该系统采用一个以移动代理为组织单元的结构来实现,是一个比较完善和全面的入侵检测系统,能较好的解决入侵检测问题,实施系统功能。本文中设计和实现的入侵检测系统从整体上来说是一个基于网络的入侵检测系统,使用的入侵检测技术是模式匹配。即针对每一种入侵行为,都提炼出它的特征值并按照一定的规范写成检测规则,进而形成一个规则数据库。然后将从网络捕获的数据包与规则库里的规则逐一匹配,若匹配成功,则认为发生了入侵行为 　　我们根据入侵检测技术与移动代理技术的特点,其在现代入侵检测中起到的重大作用,同时结合现代众多局域网的结构特点,提出了一种基于代理的入侵检测系统结构模式,该结构能实时的实现局域网的入侵检测,并且利用了移动代理的特性,结构合理,配置简单,适合于解决局域网网络安全问题,本系统是一个非常完善的,并且具有实际价值的检测系统。本章对现代局域网网络特点进行了分析,着重分析了应用广泛的局域网的安全特点。 　　本文所设计的入侵检测系统采用分布式的体系结构,系统由一个位于局域网中的一台控制系统、分布在局域网中的各个主机上的主机系统,以及各种移动代理组成,整个检测系统总体结构如图1所示。 　　第一部分是主机系统通过Snort抓包来负责入侵信息的获取,并进行一定的响应,第二部分是管理系统,负责管理各个主机系统和移动代理,以及派遣分发移动代理。第三部分是移动代理,是可以在网络进行移动的软件代理。其中控制系统可在一台性能高的主机上运行。由于Aglet是目前最为全面与成功的移动代理平台,具有可视化的Tahiti,界面友好,所以采用Aglet作为移动代理平台,控制中心和局域网中各台主机都安装此移动代理平台。 　　本系统以一般的局域网为应用环境,局域网中的每一台主机都安装所设计的主机系统,各主机上的主机系统负责收集各种信息,使用原始的网络数据包作为数据源,根据网络流量,网络数据包和协议采用误用入侵检测方法在本地进行检测分析,能检测到的入侵则进行一定的响应,如切断网络连接,产生报警等操作,遇到可疑的不能做出决定的信息,则向管理中心产生援助请求,当管理中心收到援助请求时,它将会派遣一个跟踪代理巡回网络到该主机系统所在的主机上去收集入侵信息,跟踪代理返回后, 管理