基于多写作技巧的分布式入侵检测系统模型设计

点赞:4721 浏览:10794 近期更新时间:2023-12-18 作者:网友分享原创网站原创

摘 要:在目前计算机网络高速发展的环境下,针对广泛应用的基于静态防护措施的安全体系存在的不足,提出能在高速度、高流量、协同攻击、分布式攻击的分布式入侵检测系统模型MADIDS((DistributedIntrusionDetectionsystemBasedonMultiAgents)设计;够能集成分布式、智能化、整体化的技术优势,融入入侵检测和实时响应分布的分布式检测的技术,真正的实现一个有效的网络安全防御的深度安全系统.

关 键 词:入侵检测系统多写作技巧分布式入侵检测

中图分类号:TP3文献标识码:A文章编号:1672-3791(2013)02(c)-0034-02

21世纪以来,计算机网络迅猛发展,实现实时高速网络入侵检测已经成为当前计算机安全技术不得不面临的残酷事实.本文提出一个分布式环境下的多Agent模型的入侵检测模型,没有主次之分的各Agent之间,通过不同分工协同工作.各级独立Agent发挥不同独立性入侵检测单元功能,同时联合协作检测着网络的各个方面的安全情况和主机系统安全信息.多写作技巧系统是一个由多个写作技巧组成的比较松散的写作技巧联盟,各个写作技巧为了完成一个共同的目的相互协作、相互怎么写作.MAS结构的使用,更够使计算机智能分布更好地实现,也能使现有的各项IDS技术得到利用,可以将其它的安全工具封装为写作技巧以实现纵深防御体系.

1基于多写作技巧的分布式入侵检测系统模型结构设计

(图1)

(1)CSA(CommunicateServiceAgent):通信怎么写作写作技巧.(2)FA(FunctionAgent):功能写作技巧,它是完成各种任务写作技巧的一个统称.(3)SDA(StateDetectionAgent):状态检测写作技巧.(4)LAA(LocalAnalyzerAgent):本地分析写作技巧.(5)DAA(DomainAnalyzerAgent):域分析写作技巧.(6)VUI(VisualUserInterface):可视用户接口.

多写作技巧的分布式入侵检测系统由各个主机的写作技巧互相配合完成检测任务,同时每个主机又都能单独的进行入侵检测,各个主机间入侵消息的通信是靠CSA进行的,SDA负责检测本地Agent状态,DAA进行更大范围的入侵分析,LAA进行本地入侵检测分析,以及进行系统恢复.其中每个主机部分的Agent组成结构(图2).

基于多写作技巧的分布式入侵检测系统模型设计参考属性评定
有关论文范文主题研究: 关于网络安全的论文范文资料 大学生适用: 专科论文、本科论文
相关参考文献下载数量: 94 写作解决问题: 怎么写
毕业论文开题报告: 论文提纲、论文题目 职称论文适用: 期刊目录、初级职称
所属大学生专业类别: 怎么写 论文题目推荐度: 优质选题

1.1功能写作技巧(FA)是由预处理写作技巧(AD-P),认证授权写作技巧(AIA),学习写作技巧(LA),存取控制写作技巧(ACA)等写作技巧组成.它们的主要的职责有以下几点

(1)预处理写作技巧AD-P(Agent-DetectionforPreprocessing):AD-P负责对输入的通信数据进行预处理,实时监视网络通信数据,提取事件序列,然后对事件进行分类,备份到AD-P数据库并提交给下一级Agent进行处理.(2)认证授权写作技巧AIA(AgentforIdentificationandAuthentication):AIA是负责识别的信息源和认证的真实性,并把结果反馈到数据库中,发送邮件到入侵检测写作技巧IDA可疑行为,或试图攻击立即的迹象.(3)学习写作技巧LA(LearningAgent):LA是负责提取的攻击模式,以及明确用户的行为,如判断攻击是不是PortScanning、Overflow、Finger、Dos等行为.(4)存取控制写作技巧ACA(AccessControlAgent):ACA一方面是保护机密信息,并且不允许敏感信息未经授权的访问渠道流出,另一方面,按照严格的访问控制策略,为合法用户提供信息资源的访问.


1.2状态检测写作技巧SDA(StateDetectionAgent)

SDA是每台主机唯一的入侵检测Agent进行自身保护和身份验证的专门Agent,它定时检查协作主机的CSA和本机内IDA的状态,并负责向系统管理员报告.入侵检测系统的检查和维护的网络系统的安全性是必要的,以确保不间断运行;而且入侵检测系统能记录的攻击行为,在发动真正的攻击前必将想尽办法先破坏入侵检测系统;因此SDA的存在非常有必要.同时,由于CSA是入侵检测写作技巧与其它检测写作技巧交互的关键.一旦CSA遭受破坏,不同主机入侵检测写作技巧的协作就无法进行;因此,检查和保证CSA的正常运行状态是极其重要的.SDA能定时检查协作主机CSA的状态,一旦发现某台机器的CSA活动异常,就向其它机器的SDA查询该机器的状态,如果其它机器的SDA认为该CSA正常,就进行再次查询;如果检测出其它机器的SDA不正常报告,立即通知系统管理人员,请求系统管理人员检查问题所在.

此外,还要定期检查主机IDA的状态,发现某个IDA运行状态有问题SDA会及时地通知本机的CSA,暂停与IDA之间的通信和通知系统管理人员及时处理.

1.3本地分析写作技巧LAA(LocallAnalyzerAgent)

LAA是负责主机管理的写作技巧,存在每台配有FA的主机上也是唯一.LA的主要职责为是收集各个IDA报告系统异常活动的报告,并进行处理;执行异地写作技巧的CSA之间的协商,根据需要向上级DAA提交工作报告,根据上级DAA的指示控制各写作技巧的状态;组织本地间写作技巧的协作.

1.4入侵检测写作技巧IDA(IntrusionDetectionAgent)

每个IDA独立承担一定的检测任务,检测系统或网络的安全性.在模型中,每个IDA检测的操作模式和响应的数据,有自己的独立的消息来源,每个IDA是独立的测试组件,可以实现单独检测任务,同时各IDA之间又进行相互协作,对网络用户和系统的可疑行为或异常进行检测并把检测结果交给LAA进行判断.不同的IDA按照检测环境不同,可以采用不同的检测方法和技术.1.5可视用户接口VUI(VisualUserInterface)

VUI是向用户提供使用界面的,向用户提供配置界面和告警界面.UIA的实现可以使用不同的RAD工具都依赖于API调用DAA提供的控制功能.

1.6域分析写作技巧DAA(DomainanalyzerAgent)

DAA集中怎么写作于整个域上,它全面分析来自各个主机的报告,从而得出最终结论.DAA可以找到相关的多台主机、与网络相关的入侵活动,这种入侵是很难被单个主机上的LAA发现的.处理分析和收集各LAA报告的数据外,DAA还能通过控制LAA,使不同主机上的LAA可以相互作用,从而实现整个域内的管理.考虑到单点失效的问题上,MADIDS域的概念是非常灵活的.域是指一个DAA所能管理的所有主机,域的概念是嵌套的,是有层次的.一个DAA管理的域中成员可以是单个的LAA,也可以是另一个子域的管理者DAA.域的形成动态减少域之间的信息流的形成的原则,按照与网络安全条件下,形成一般是更交互式主机组件域,各个主机可以动态的申入或者离开某个域.这样当任一个LAA失效的时候,其上级DAA可以做出报告和寻找其它可以代替它的LAA.当另一个DAA失效的时候,其所属的主机将申入其它的域.域分析写作技巧的主要功能是接收管辖域内的各LAA或DAA送来的报告,并对接收的报告进行分析整理汇总,指示控制本域各主机的工作.

1.7消息写作技巧MA(MessageAgent)

广域网解决传输问题使用的agent是MA.因为普遍的跨地域组织,所以要加强对异地分组织进行统一的安全管理,可以通过MADIDS来跨广域网;虽然广域网有复杂的传输系统,会产生较大延时,需要专门的传输机制.被用来传输敏感信息的MADIDS传输,可以在广域网提供比本地传输更高安全强度的保护.

2写作技巧的协作机制

分布化、协作化发展后的入侵技术,要求入侵检测系统必然出现分布化、协作化发展.写作技巧之间的协作能力被MADIDS整体智能体现,作为分布式入侵检测系统中的关键.

按照内容写作技巧的协作可以划分为以下几点.

(1)检测结果关联协作——主要用于寻找分布和协作攻击检测结果,关联协作是指对不同检测点检测结果检测到可疑事件进一步挖掘.(2)检测结果确认协作——检测结果确认协作是指对从不同写作技巧对于同一事件的检测结果进行比较,所有写作技巧检测的结果都附有可信度,以确认攻击的真实程度.可信度是指对检测结果的确认程度,通过LAA或DAA对检测结果的比较可以确定该次检测的最终可信度,如果可信度很低,不需要将事件报道给上级写作技巧,反之亦然报告向上级写作技巧.(3)恢复协作——由恢复写作技巧对目标系统进行恢复;恢复协作是指写作技巧检测到成功的攻击行为,系统受到破坏后通知相关的恢复写作技巧.(4)响应协作——响应协作是指某写作技巧检测到攻击后,则请求其它写作技巧对该攻击做出响应,本身不能直接对该攻击做出合适的响应.(5)追踪协作——通过多个写作技巧共同协作沿攻击路径反向追踪寻找攻击者的来源.(6)取证协作——取证协作是当某检测写作技巧检测到违法攻击后,通知取证写作技巧对攻击者行为进行详细记录以作为证据.(7)状态协作——状态协作是指写作技巧之间相互进行状态校验以保证正常工作.协作的模型有汇总模型、控制模型、反馈模型、和级联模型等几种.(8)学习协作——学习协作是指学习写作技巧在学习到新的攻击特征后更新滥用检测写作技巧的攻击库,使其可以检测到新的攻击.

3基于多写作技巧的分布式入侵检测模型的优缺点

本系统模型的优点有以下几点.

(1)系统具有可扩展性;通过层次结构将写作技巧设计成为多层架构,有效减少向上层写作技巧汇报的数据和报告.(2)灵活性;现有的结构可以容纳各种不同的入侵检测技术,甚至是其它的安全技术,如防火墙都可以打包成为一个普通写作技巧.(3)协作性;每个功能写作技巧检测虽然只是主机安全或者网络安全的一个方面,甚至可能是简单的命令查询,但通过LAA和DAA的联合协作,就可以产生非常详细的检测结果.(4)数据来源不受限制;因为写作技巧可以捕获网络数据包或其他适当的资源,在需要时,通过探测系统审计数据,因此基于多写作技巧的IDS可以打破基于主机型和基于网络型之间存在的传统界限.(5)跨广域网;通过MA跨广域网的协同入侵检测.(6)自适应;写作技巧的功能通过能力库表示,写作技巧之间的协作通过协商确定,根据网络情况自适应整个系统的结构.(7)与平台和开发语言无关;因为写作技巧可以作为分离的进程在主机上运行,每个写作技巧都可以使用最适合其任务的语言,通讯协议和通讯格式可以简单地按照共同的.(8)将写作技巧设计成为相互独立的子集可以减少单点失效的问题,一个写作技巧失效不会影响整个IDS的工作,不必重启就可以重新配置IDS(或部分IDS).

本模型的缺点有以下几个方面.

(1)Agent自身安全;在大规模开放式网络应用中,Agent本身也是存在安全问题,引入安全检测写作技巧,相应的引来了敏感部件自身安全问题,恶意的入侵者会从写作技巧部件中获得关于系统和网络的信息,对整个系统安全威胁更严重,因此,必须对Agent设计相应的保护机制.(2)对网络的影响;由于IDA间的协作都是通过相互间的通信来实现的,在不同的主机之间的通信IDA如果过于频繁或过多的流量对网络流量造成的潜在影响,如果入侵者了解可疑广播报文的结构,可能会利用广播报文来进行拒绝怎么写作攻击.然而,由于在系统中,每个IDA的可疑度是加权和,所以进行广播的DA的可疑度增长速度更快可能会导致拒绝怎么写作,该IDA已经可以判断出这类异常,因此,使用广播包进行拒绝怎么写作攻击的事情在系统模型中是无法运行的.每个IDA是相互合作,IDA可疑的广播数据包被接收到一定数量后,怀疑的IDA的程度将超过一定的阈值,将一条警告消息,在这个时候,特别是很短的一段时间内类似广播报文,会更加警惕,以防止发生的拒绝怎么写作攻击.(3)对主机性能方面的影响;每个IDA只能检测网络或主机的某些方面的内容,它可能需要一台主机的IDA以涵盖所有检测点,这可能会导致潜在的影响主机系统的性能,因此,如果数量过多的IDA在一台主机,你需要能够IDA合并功能相似或过于简单,这方面的工作是我们今后工作的一个研究方向.