基于移动代理的分布式入侵检测系统模型研究.pptxVIP

基于移动代理的分布式入侵检测系统模型研究研究生:安晶指导老师：孙名松教授2006年3月18号

主要内容课题的学术背景及其理论与实际意义网络安全技术入侵检测系统概述移动代理技术基于移动代理的分布式入侵检测系统体系结构模型系统的实现

课题来源本论文的项目背景黑龙江省自然科学基金项目《基于多层前向神经网络的分布式入侵检测模型》，该项目以理工校园网为研究对象，全面研究校园网络的安全管理和相应的防范措施。本课题是该项目的一个分支。

网络安全网络安全包括三个要素：数据、关系、能力国际标准化组织ISO在ISO7489-2标准中定义了网络安全的要点，主要包括：机密性、完整性、可用性、认证、访问控制

PDR动态安全模型

PDR认为，一个良好的、完整的动态安全体系，不仅需要恰当地防护(protection)(比如操作系统访问控制、防火墙、加密等)，而且需要动态的检测机制(detection)(比如：入侵检测、漏洞扫描等)，在发现问题时及时进行响应(response)。整个体系要在统一的、一致的安全策略(policy)的指导下实施。PDR形成了一个完备的闭环自适应体系。策略是PDR模型的核心，在安全策略的控制和指导下，防护、检测与响应构成了一个完整、动态的循环。防护是保障系统安全的基础;检测是循环中的关键问题。响应则依据检测结果改进和完善防护技术，阻止入侵行为甚至实施反击。

入侵检测定义顾名思义，是对入侵行为的发觉。它通过在计算机网络或计算机系统中的若干关键节点收集信息并对其进行分析，判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,简称IDS)。一个完善的入侵检测系统至少需要具备以下特点：经济性时效性安全性可扩展性

入侵检测系统的分类基于主机的入侵检测系统(Host-basedIDS)基于网络的入侵检测系统(Network-basedIDS)混合型基于主机与基于网络的混合系统根据检测的数据来源分：异常检测(AbnormalDetection)误用检测(MisuseDetection)根据检测使用的分析方法分:集中式入侵检测系统(CentralizedIDS，CIDS)分布式入侵检测系统(DistributedIDS,DIDS)根据体系结构分：贰壹叁

理想入侵检测系统的功能自动地收集和系统相关的信息?01视分析用户和系统的行为02审计系统配置和漏洞?03评估敏感系统和数据的完整性?04识别攻击行为05异常行为进行统计?06行审计跟踪，识别违反安全法规的行为07使用诱骗服务器（“蜜罐”）记录黑客行为08

选题的理论及现实意义近些年针对网络和主机系统的入侵和攻击不断增多，给网络与信息安全造成了很大威胁。入侵检测系统作为一种主动防御策略，在检测和防范入侵方面发挥了其他安全部件难以替代的重要作用。对入侵检测系统的研究已经成为网络与信息安全领域的一个研究热点。随着网络规模的不断扩大，入侵检测系统应用的场合也越来越大，分布式入侵检测系统就应运而生了。这种结构通过分散采集、分布处理和集中管理，满足了大规模高速网络的需求。而实现分布式入侵检测系统，一般要使用代理技术。代理和移动代理技术是近年来新提出的概念和技术，受到广泛关注和研究。

几种分布式入侵检测系统实例JAM(JavaAgentsforMeta-Learning)AAFID(AutonomousAgentForIntrusionDetection)MAIDS(MobileAgentIntrusionDetectionSystem)IDA（IntrusionDetectionAgentSystem）EMERALD(EventMonitoringEnablingResponsestoAnomalousLiveDisturbances)

分布式IDS系统的体系结构数据采集构件添加标题1应急处理构件添加标题2入侵检测分析构件添加标题3通信传输构件添加标题4管理构件添加标题5安全知识库添加标题6

现有的分布式入侵检测系统的局限性入侵检测实时性较差；中央数据分析器是唯一的错误分析处。如果一个入侵者以某种方式阻断它运行时，网络就得不到保护；一主机处理所有信息意味着被监控的网络规模将受限制，大量的数据收集将导致网络通信过载；不同入侵检测系统难以实现互操作。

移动代理应用于DIDS的优势主机间动态迁移改变了传统的将数据传给程序(计算)的方式，而是将程序(计算)传给数据。智能性平台无关性分布的灵活性低网络数据流量多代理合作

移动代理技术MobileAgent是指能在同构或异构网络主机之间自主地进行迁移