基于Agent的分布式入侵检测系统模型的研究与设计
基于移动Agent的分布式入侵检测系统设计研究
模 型可 以分 为异 常入 侵 检 测 与 误 用 人侵 检 测 两类 。
异 常入侵 检测 记 录用 户在 系 统 上 的 活 动 , 且 根 据 并 这些记 录创 建 活 动 的 统 计 报 告 。如 果 报 告 表 明它 与正 常用 户 的使 用 有 明 显 的不 同 , 么检 测 系 统 就 那
20 0 7年 5月 1 日收 到 2
能并能够 自主运行 和提供服务 的程序。它是一个
独立 运 行 的实 体 ( 它们 由操 作 系统 , 不 是 由其 它 而 程序 调 度运 行 ) A et有 可 能需 要 别 的 A et , gn gn 的处 理结 果数 据来 进行 操 作 , 还 是 可 以认 为它 们 是 独 但 立 的。另外 , gn 可 能会 从 别 的 实体 接 受 高级 控 A et
⑥ 2 0 Si eh E gg 0 7 c.T c . nn .
基于移动 A et gn 的分布式人侵检测 系统设计研究
张 乐 ’ 苏 秀琴
( 中同科学 院西安光学精密机械研究所 西安 7 0 1 中国科 学院研 究生院 北京 10 3 ) , 1 19; , 0 0 9
维普资讯 Biblioteka 第 7卷第 l 9期
20 07年 l 0月
科
学
技
术
与
工
程
V0 _ No 1 l7 .9
Oc .2 0 t 07
171 1 1 ( 0 7) 9 5 5 — 6 6 —8 9 2 0 1- 100
S inc c o o y a d En i e rng ce e Te hn lg n g n e i
已知攻击 方 式进行 比对 的方 法 实 现 入 侵检 测 , 种 这
基于Agent的分布式入侵检测技术研究综述
摘
要 :智能化 和分 布式 是 目前入侵检 测的热点研究方 向 ,基TA et g n的分布式入侵检 测技术 以移动A et g n的优于
传统分布式技术 的特性更 是成为分布式入侵检测 领域 的研 究热点 。本文针对 以往入侵检 测系统的不足 ,剖析 了现 有 的分布式入侵检测系统 ,重点分析了各个典型的基- A et ] gn的分 布式 入侵 检测 系统 的优 、缺点 ,并结合 同内外 的 =
发 展 形 势展 望 了基 于 A et 分 布式 入 侵 检 测 系 统 的 发 展 方 向 。 g n的 关 键 词 :分 布式 入 侵 检 测 系 统 ;代 理 ;综 述 中 图分 类 号 :T 3 3 P 9
收 稿 日期 :20 —91 0 80 —0
文 献标 识 码 :A
文 章 编 号 :10 —3 52 0 )60 5 —5 0 82 9 (0 80 —0 40
产 品 , 有 成 功 的 也 有 失 败 的 。 从I S I DS DE  ̄ DI ,再 J 到G I 、A I 。 由于高级 入侵技 术呈 现 出分布 r Ds AFD等
性 和协 作 性 的特 点 ,要 求 分布 式 入 侵检 测 系 统要 具
有智 能性 、分布 性和协 同工 作 的特 点 。
也 越 来越 高 ,仅 仅依 赖 于 防 火墙 等 单 一 的 网络 设 备
并 不 能 完全 抵 御 网络 攻 击 ,为 弥补 网络 安全 设 备 的 不 足 入侵 检 测 技 术应 运 而 生 。各 种 构 架 的入 侵 检 测 系 统 ,较好 地 适 应 了 网络 技 术 发展 的需 要 。 同时 网 络 入侵 检 测技 术 与代 理 ( e t Agn )技术 、神 经 网络 、 数 据 挖 掘 、 数 据 融 合 、 生 物 免 疫 、进 化 计 算 技 术
基于Agent人工智能技术的分布式入侵检测系统设计
计算机测量与控制-2020.28(7)Computer Measurement&Control#29#测试与故障诊断文章编号!671-4598(2020)07-0029-05DOI:10.16526/ki.11—4762/tp.2020.07.007中图分类号:TP393.08文献标识码:A 基于Agent人工智能技术的分布式入侵检测系统设计李刚,孙耀文,于德新,付海,赵邵蕾(潜艇学院教研保障中心,山东青岛266199)摘要:针对当前动态加速技术(intel dynamic acceleration,IDA)系统中由于数据集中处理缺陷,影响系统入侵检测精准性的问题,提出了基于Agent人工智能技术的分布式入侵检测系统设计$在系统总体结构支持下,分析控制中心、网络主机、分区控制中心和Agent库$根据响应库中的响应规则采取对应的响应策略,利用通信模块及时判断入侵行为是否异常,使用S5720S —28P—SI—AC24口全千兆三层网管企业级网络核心交换机,进行数据交换$选择AD2032型号的报警响应器,能够监视外来入侵行为$通过V1.2绿色电脑信息检测器,对系统内存和驱动磁盘进行全方位评估$分析主体通信的实现方式、通信消息格式和通信协议,设计以Agent为基础的数据移动过程;借助Libpcap库函数,设计入侵检测流程$设置攻击环境与参数,由系统调试结果可知,该系统最高检测精准度可达到99%,为保证网络安全使用提供设备支持%关键词:Agent人工智能$分布式$入侵检测Design of Distributed Intrusion Detection System Based on AgentArtificial Intelligence TechnologyLi Gang,Sun Yaowen,Yu Dexin,Fu Hal,Zhao Shaolei(Teaching and Research Guarantee Center,Submarine Academy,Qingdao266199,China) Abstract:For the current dynamic acceleration technology(Intel Dynamic Acceleration,IDA)system,due to defects in central-izeddataprocessing&theaccuracyofsystemintrusiondetectionisa f ected.Thedesignofdistributedintrusiondetectionsystembased on Agent artificial inte l igence technology is proposed.With the support of the overa l structure of the system&the analysis control center&networkhost&partitioncontrolcenterandAgentlibraryareanalyzed.Accordingtotheresponserulesintheresponselibrary& the corresponding response strategy is adopted&and the communication module is used to timely determine whether the intrusion behavior is abnormal.The S5720S—28P—SI—AC24—port fu l Gigabit Layer3network management enterprise—level network core switchisusedfordataexchange.Select AD2032typealarm responderto beableto monitorthe behaviorofforeignintrusion.Through V1.2green computer information detector&comprehensive evaluation of system memory and drive disk.Analyze the implementation method&communication messageformatandcommunicationprotocolofthesubject&anddesignthedatamovementprocess basedonAgent.WiththehelpofLibpcaplibraryfunction&designtheintrusiondetectionprocess.Setthea t ackenvironmentandpa-rameters.According to the system debugging results,the highest detection accuracy of the system can reach99%,and equipment supportisprovidedtoensurethesafeuseofthenetwork.Keywords:Agent artificial intelligence$distributed$intrusion detectiono引言智能主体技术问世和发展为人工智能与网络技术融合的共生品,智能主体技术为一种新型的软件设计形式,拥有自主性、交互性以及移动性等特性,目前在人工智能、网络管理、网络安全和软件工程等领域得到了广泛的应用[1\智能主体技术为包含除入侵检测之外,还有以网络为基础的分布式计算等领域提岀了一个崭新的设计方案%所以,研究以智能主体技术为基础的分布式入侵检测的理论价值与实际应用具有重要作用%因为智能主体技术在入侵检测过程中具备使网络负载收稿日期:2020-03-26$修回日期:2020-04-21.作者简介:李刚(1982-),男,山东青岛人,硕士,工程师,主要从事网络系统架构、人工智能方向的研究%减弱,能够依靠异步方式自主运行,拥有天然的异构性以及应变能力很强等优势,众多机构与研究实验室都将其应用在入侵检测过程中%以往设计开发的IDA系统,IDA凭借移动Agent对入侵者信息进行追踪以及采集收取[3\借助Agent的移动性,IDA灵活性很强,但集中处理数据会增加管理者的负担,与此同时,检测与响应入侵的实时性亦会受到影响,而且Agent在许多主机间移动,这造成安全管理产生了一些难题,对于智能主体在网络入侵检测时低效、安全性弱等难题,凭借研究许多Agent技术在以主机为基础的入侵检测系统、以网络为基石的入侵检测系统的应用,设计岀以Agent人工智能技术为基础的分布式入侵检测系统%1系统总结架构设计系统的物理拓扑网络中,防火墙、路由器、交换机、・30计算机测量与控制第28卷主机与服务器等构件与网络主机、分区控制中心、Agent库以及控制中心共同构成了系统总体架构如图1所示%各个模块描述如下:针对控制中心协助问题&使用专业性较强的服务器控制中心&系统管理员能够凭借它完成全部规则集的更新任务⑷%分区控制中心管制某区段网络、子网络的网络主机处理是它负责的任务,收到控制中心任务后&命令管辖的主机执行网络主机的上报信息接收任务,并且将诊断信息监测中的非正常情况&以入侵特征模式输入数据库之中&再将分析结果向控制中心进行上报〔I%网络主机是可以为移动供给运行环境的移动代理平台&倘若网络主机优先处置疑似情况&然而自己却不能判断&那么就把有关数据向分区控制中心反馈&再进行更深层次的分析处理&来发现众多台主机入侵网络行为的有无+,% Agent库在入侵检测系统过程中具有重要地位&尤其在执行操作中&控制中心直接管控管理部分&使其可产生的新配置能够依据实际需求执行相应工作&能够将原有的执行重新配置&删除不再需要的也可以实现+,%2硬件结构Agent之间的通信借助消息传递的方式运行&系统中借助传递消息达成相互通信的目的%系统硬件结构如图2所示%在图2中&中心Agent控制中心服务器&管控作用目的是管理、协调、控制、受检主机上的移动代理&接收移动代理的情况报告、获取报警信息&同时将下级不能判别的事情处理,响应入侵事件[10]%与此同时,控制中心还可显示人机交互界面&报告运行状态给管理人员、拉响警报&接收上级指令&改变运行状态&供给全部系统的Agent库&派遣、收回各节点的Agent11%中心管理分析、处理&特征库作为后盾的条件下作用是将下层传送的数据执行综合Agent库控制中心响应模块综合分析模块管理模块管理模块检测模块管理模块检测模块图2系统硬件结构通信组件通信组件通信组件通信组件巡视Agen t巡视Agen t巡视A ge n t|巡视Age n t响应模块响应模块响应模块响应模块数据过滤数据采集数据过滤数据采集数据过滤数据采集数据过滤数据采集被检测主机A被检测主机A被检测主机A被检测主机A分析操作,响应库作为后盾的前提下对入侵行为反应&下层的移动Agent也由其管控%主机Agent运行监控中的主机上&通过采集系统、网络相关数据&可对其进行初步分析和过滤+2%去除海量冗余数据&减少系统工作量%不同系统间层次是通信模块中扮演保护层的角色&借助各个层次实现数据高效传输与协调%2.1主机Agent主机Agent有探测器、存储、取出取控制库、规则库、响应库与通信模块&其结构如图3所示%图3主机Agent结构主机Agent结构主要工作机理如下所示:通过探测器进行数据采集时&应采取控制管控原则&在该原则获取主机数据+3%将数据执行初步分析&把分析处理后的数据依照选取原则进行一一匹配&一旦匹配成功&则说明该行为第7期李刚,等:基于Agent人工智能技术的分布式入侵检测系统设计・31是入侵行为&具有一定危险性%依据响应规则采取对应策略&比如网络终端、预警等&将最终获取的数据传输给上级主机Agent之中血。
基于动态Agent的分布式入侵检测系统设计与实现
入 侵是 指有 关试 图 破坏பைடு நூலகம்资源 的完 整 性 、机 密 性及 可 用 性 的集 合 。可分 为尝 试性 闯 入 、伪 装 攻 击 、安 全 控制 系统 渗透 、泄露 、拒 绝服 务 、恶 意使 用等 多 种类 型 。 入 侵检 测 (n r s nDee t n Itui tci )是指 对计 算机 系统 和 o o 网络 资 源 的恶 意 使 用 行 为 进 行 识 别 并 做 出 相 应 处 理 的 过
图 2 入侵 检 测 系 统 的 C D I F模 型
[ 稿 日期 ] 2 0 收 0 6—0 —0 2 2 [ 者简介] 向明尚 (96 ) 作 1 6 一 ,男 ,1 8 9 6年 大 学 毕 业 ,工 程 师 ,现 主 要 从 事 计 算 机 网 络 技 术 方 面 的 研 究 工 作 。
行 参量 ,实 现 了安 全审计 数 据 的分布 式 存储 和分 布式计 算 ,因此在 检测 大 范 围的攻击 行 为 、提高检 测准 确性 和检测 效率 、协 调 响应 措施 等方 面 与传统 的单机 入侵 检测相 比具有 明显 的优 势L 。入 侵检测 研 究 的 2 j 重点 之 一是 在检 测 到 网络 原 始数 据后 ,建 立有 效性 、 自适应 性 和可 扩展性 的入侵 检 测模 型 。笔 者在研 究
算机 和 网络技 术的 快速 发展 ,分布 式计 算环 境 的广泛 应用 ,海 量存 储 和高 带宽 传输 技术 的普 及 ,传 统 的 基 于单 机 的集 中式 入侵检 测 系统 已不 能 满足 安全 需要 。这 就要 求入 侵检 测 系统必 须 分布在 网络 中的 多 ] 个主机 上 ,它们 之 间能 够实 现 高效 、安 全 的信息 共享 和协 作检 测 任务 ,共 同解决 网络安 全 问题 。分 布式 入 侵检 测 系统采 用 了非 集 中式 的系统 结 构 和处理 方式 ,综 合 了不 同位置 、不 同角度 、不 同层 次的 系统 运
基于移动Agent的分布式入侵检测系统研究
【 键词 】 网络 安全 入 侵 检 测 分布 式 移 动代 理 关
一
引 言
否 有 入 侵 或 异常 行 为 ,对 可 以 由单 个 移 动检 测代 理 决 策 的 入 侵 行
立 如 报 若 Itre 普 及 为 世 界 范 围 内 实 现 资 源 和 信 息 共 享 提 供 了 便 利 为 。 即 给 出 相 应 , 阻 断 网络 连 接 、 警 , 本 机 移 动 检 测 代 理 不 nen t的 需 则 条 件 . 同 时 也 为 网 络 信 息 安 全 提 出 了 新 的 挑 战 。 入 侵 检 测 系 统 因 能 判 断 , 要 其 他 主 机上 的移 动 检 测代 理 协 同工作 的 , 发 出请 求 , 但 通 能 同 时 检 测 来 自 网 络 外 部 和 内 部 的 恶 意 攻 击 和 破 坏 行 为 越 来 越 受 迁 移 或 者接 收 其 他 移 动 检测 代 理 传 递 的消 息 , 过 多 代 理 合作 进 行 以 到 人 们 的 重 视 。 但 随 着 网 络 技 术 日新 月 异 的 发 展 , 络 攻 击 技 术 也 入 侵 检 测 。最 后 将 可 疑 的 日志 信 息 和警 报 信 息 存 人 系 统 数据 库 , 网
个 薄 弱 环 节 , 果 入 侵 者 使 用 某 些 手 段 导 致 其 无 法 工 作 。 么 整 个 标 主机 或 路 由 的选 择 ) 安 全控 制 ( 护 自身 ) 与外 界 ( 如 那 、 保 、 MA 服 务环 境 系统 也将 失 效 : 3、 量 数 据 收 集 将 导 致 网 络 通 信 过 载 : 大
( IS) 在 的 问 题 : DD 存 1 入 侵检 测 实 时性 较 差 : 、
一种基于多Agent协同的分布式入侵检测系统模型
^
现 2 移 动代 理 及 其 特 点 . 1
检测 目标级 的功能 主要是 针对需 要安 全保 护 的
主 机 进 行 人 侵 检 测 .不 是 对 于 所 有 的 主 机 都 设 定 . 避
总
硬 件 和 操 作 系 统 的 平 台 细 节 屏 蔽 . 代 理 获 得 一 个 统 使
一
免不必要 的资源 占有和减少 投资
协 调 中 心 级 主要 负 责 对 本 机 所 在 网段 内 的 网 络
第
二
的 界 面 。在 这 个 基 础 上 . 理 可 以在 各 个 平 台之 间 代
九
七
★基 金 项 目 : 南 省 教 育 厅 2 0 湖 0 6年 度 科 研 项 目( .60 6 No0 c 1 )
量:
实现入侵检测功能 的一系列 的软件 、硬件 的组合 . 它
是 入 侵 检 测 的 具 体 实 现 入 侵 检 测 系 统 就 其 最 基 本 的
形式来 讲 . 以说是一 个分类 器 。 可 它是 根据 系统 的安 全策 略来 对收 集到 的事件/ 态信 息进 行分 类处 理 . 状
/
研究与开 发
进行监 听 . 检测 可能 的人 侵行 为 . 且 同本层 的其 并 并
基于移动Agent的分布式入侵检测系统
8 8
福
建
电
脑
20 第 1 0 8年 期
基 于移 动 A et gn 的分布 式入侵检 系统
陈 晓峰 .马亨冰 z
(. 州大学数 学与计算机 学院 福建 福州 3 0 0 2 福建省 经济信 息中心 福建 福 州 30 0 1福 50 2 . 5 0 3)
. 存 在 一 定 的局 限性 。 如入 侵检 测 实 时性 较差 、 在 单 点失 效 问 31管 理 中 心 比 存 题 、 扩 展 性 差 、 量 数 据 收 集 将 导 致 网 络 通 信 过 载 、 同入 侵 可 大 不 管 理 中 心 是 模 型 的 最 高 级 别 实 体 。 在此 结构 中 . 是 控 制 它 检 测 系 统 难 以实 现 互 操 作 等 。 和协 调 其 它组 成部 分 的 核 心 。 维 护 着 所 有 组 件 , 括 主机 监 视 它 包 gn 。 gn 平 跟 gn。 gn、 gn 为 了有 效 地解 决 以上 问题 .本 文 将 移 动代 理技 术 引入 入 侵 A e t移 动 A et 台 。 踪 A et响应 A et数 据 收 集 A et B ) M 。 检 测 系 统 .提 出 了一 个 的 基 于 移 动 代 理 技 术 的 分 布 式入 侵检 测 的 配 置 信 息 以 及 布 告 板 ( B 和 信 息 板 ( B) 当 以上 提 到 的任
系 统 模 型 结构 。
2 移 动代 理 技 术 .
何 一 部 分加 入 系统 时 .它 必 须 在 管 理 中心 的组 件 列 表 中登 记 。
【 要】 摘 :本文指 出 了 统入侵检 测系统的缺点和存在的 问题 ,分析 了移动 A et 术的特 点,提 出了一种基于移动 传 gn技
基于Agent的分布式入侵检测系统的设计与实现
作者简介 : 丁国良(98 , , 16 一)男 副教授 , 主要从事 汁算机网络安3月
文章 编号 : 0 — 3 3 2 0 ) 1 0 1 0 1 1 9 8 (0 6 0 — 0 3— 3 0
基 于 Agn 的分 布式 入 侵 检 测 系统 的 et 设 计 与 实现
丁国良, 王希武, 陈开颜, 王嘉桢
( 军械工程学院计算机工程系 , 河北 石家庄 000 ) 50 3
w r n i n n. o k e vr me t o
Ke wo d :nrso ee t n sse ;Ag n ;P oo o n lss o y r s I t in d tci y tm u o e t rtcla ayi ;C mmu iain p tc 1 nc t r o o o o
分布式入侵检测是当前入侵检测和网络安全领 域的热点之一。 目 , 前 虽然没有严格意义上的分 布 式入侵检测的商业化产 品, 国内外众多的研究机 但 构、 大学和公司都在致力于这方面的研究 , 许多研究 人员已经提 出并完 成 了许多 原 型 , S ont 如 nr e t …、 A FD 等。分布式入侵检测系统 的主要研究 内容 A I
De i n a d i p e e to iti u e t u i n d t ci n s se sg n m lm n fd srb t d i r so e e t y t m n o
ba e n a e s d o g nt
DI NG o-i g, ANG - U。 Gu l an W XiW CHEN K — an, ANG a z on ai v W Ji- h (C m ue nier g Dp r n, rn neE gnen oee S oaha gl bi 50 3, hn ) opt rE gne n eat tOd a c n ier C lg , h'zun t e 0 00 C ia i me i g l i e
基于自治Agent的分布式入侵检测系统
摘
要 :在套共入侵 检 测框 架 的基础 上 , 出了一种 基 于 自治 A e 的分 布 式入 侵 检 测 提 gm
系 统 模 型 , 介 绍 了一 个 实现 实例 同 时 对 基 于 资 源 监 视 的 入 侵 检 测 、 阱和 诱 导 、 频 通 并 陷 跳 讯 等 关 键 技 木 作 了深 入 的 探 讨
系统的主要 区别 在于分 析 部件 , 不 是 数据 收 集 部 而
收 稿 日期 : 0 10 2 2 0 .71 *基 金 项 目 :国 家 自然科 学 基 金 资 助项 目(0 0 0 9 6031)
件 . 个系 统 的分析 部件是位 于单 台主机上 , 之 为 整 称 集 中 式 系 统 分 析 部 件 分 布 于 不 同 的 主 机 上 , 之 为 称 分 布 式 系 统 . 中式 系 统 和 分 布 式 系 统 各 有 优 缺 点 , 集
它体现 了人侵 检测 系统 所 必 须具 有 的 体系 结构 : 即 数据获 取 、 据管 理 、 据 分 析和 行 为 响应 , 数 数 因此 它
具 有通 用性 .
在 CI DF中 , 构件之 间需要 进行 信息交互 , 了 为
使构件 能够正 确 地理 解 其 他 组件 发 送 过来 的 消 息 , 交 换 的 数 据 采 用 统 一 的 编 码 方 式 , 件 的 描 述 必 须 事 使 用 一 致 的 方 法 . I 引 人 了 通 用 人 侵 描 述 语 言 C DF
2 1 系 统 结构 .
目前 的人 侵检 测系统 按 照体系结 构来分通 常 可 以分 为两 种 : 集中 式入 侵 检 测 系统 和 分 布式 入 侵 检
测 系 统 _ . 中式 人 侵 检 测 系 统 和 分 布 式 入 侵 检 测 2集 J
一种改进的基于Agent的分布式入侵检测系统
12 . Agn 技术 et
2. 1
.
图 1 A I S 络设 计 DD 网
网关 A et g n
网关 A e t 在 局 域 网 的 入 口处 , 来 截 获 、 gn 设 用 过
Ag n 技 术具 有 一 定 程 度 的智 能 , et 能够 自主地 完 成其 任 务 , 能 够 以一 定方 式 与 它 的环 境 ( 类用 户 、 并 人
滤并 进行 初 步分 析 网络 中的原 始 数据 包 , 中寻找 可 从 能 的入 侵 信 息 或其 他 敏 感 信 息 。其 工 作 首 先 把 网关 A et g n 收集 到 的原始数 据 统一 到 同一 个框 架 下 的同一
维普资讯
第2 O卷
第 1期
电 脑 开 发 与 应 用
文 覃 编 号 :0 35 5 ( 07 0 —0 90 10 -8 基 于 A e t的 分 布 式 入 侵 检 测 系 统 gn
韩景 灵 孙 敏
An I pr v d Dit i u e n r s o t c i n S s e a e o e t m o e s r b t d I t u i n De e to y t m b s n Ag n
【 键词 】入 侵检 测 ,分布 式 系统 ,代 理 关
中 图分 类 号 :T 3 3 0 P 9. 8 文献 标 识 码 :A
AB TRACT Th sp p rp o o e n i r v d d s rb t d i t u i n d t c i n s s e b s d o e t wh c o i e h n ma y S i a e r p s s a mp o e it i u e r so e e t y t m a e n Ag n , ih c mb n st e a o l n o a d miu e I n o a s se . n a a y i g t e i l me t t n o e t p te n ma c s a it n l ss a d i t g a i n l ss n s s DS i t y t m I n l zn h mp e n a i f Ag n , a t r t h, t t i a ay i n n e r l y a a y i o sc t t c n l g r s d Th x e i n e u t p o e h t t e d t c i n r t f t e s s e i mp o e n n n wn a t c a e e h oo y a eu e . e e p r me t r s l r v s t a h e e t a e o h y t m s i r v d a d u k o ta k c n b o
基于移动Agent的分布式入侵检测系统研究
u e s o tg f r w l ,p o i e r a —t n r s n d tc o n d p e e a tm ̄ l rn t r p t h ra e o e a l r vd e l i h i f me itu i e e t n a d a o tr l v a1 f ewo k o i n ' o 5 s ft .T i a e i u s st e lc l ain o I S b s d o o t d n t o k, a a z st et c n lg f aey h sp p r s s e ai t f D a n h s e r d c h o z o e n a w n l e h oo o y h e y D D d mo i g n ,d s n n i lme tt n c s ft i t h o o ,a d g v st e p i r s l I S a b l a e t e i sa mp e n a o a e o s e n lg n i e rma y r u t n e g i h c y h e f e p r n. o x e me t i Ke r s mo i g n ;a t e me h n s ;d s i u e D y wo d : bl A e t c i c a i e v m it b td I S;N t o k i t so e e t n s n r r e r r in d tc o o w n u i e
分析 ,从 中发现 网络 中是 否有 违反 安全 策略 的行 为 和被攻 击 的迹象 。 入 侵检 测 系统根 据用 户 的历史 行 为 ,基 于用户
限制 。单一的主机处理所有数据无法适应 网络规模
的迅速扩 张 和 网络速 度 的大 幅 提 高 。 ( ) 中心 处 2 理 主机具 有单 点失效 性 ,导致 整个 系统在 受到攻 击
基于多Agent的网络入侵检测模型的应用与研究
入侵 检 测 系 统 是 保 护 网 络 系 统 安 全 的 重 要 技 术 手
段 [1 。根据入侵行为的数据来 源 , 12 1] 一般可 将入侵检 测模 型
分 为 H D 、 I S RD 【 IS ND 和 I S 3 。H D ( ot ae D ) 基 于 J IS H s—bs IS 是 d
() 1 自治性 : 据当前 网络环境 的动态变化 , 根 独立地 发现
异常现象 , 自己的行 为和 内部状态 有一 定 的控制 权 , 对 并利
用任务所需 的资源 和服 务 , 自解决问题 ; 独 () 2 通信互操作性 : 能够通过 某种通 信语 言与其他 A et g n 进行信息 交互 ;
( ) 应能力 : 以感知所处 的环境 , 3反 可 并通过 自己的行 为 改变环境 ; () 习和 自适应能力 : gn 可 以根据过 去 的经 验积 累 4学 A et 知识 , 并且修改其行为 以适应新的环境 。
2 2 多 A et 统 . gn 系
称基于行为 的检 测( eai r a d , bgv u —bs ) 它观 察到 的不是 已知 o e
Vo . O No. 12 3
S p .0 7 e t2 0
基 于 多 A et 网络入 侵 检 测模 型 的应 用 与研 究 gn 的
张 家超
( 连云 港 职业技 术学 院 , 江苏 连 云港 220 ) 206
摘 要: 通过分析研 究现有的入侵检测 系统 , 出一种基 于多 A et 网络入侵检测模型 , 出了该 模型 系统的体 系结构 提 gn 的 给
的入侵行为 , 而是 网络的异 常现 象 , 过检 测系统 的行 为或 通 使 用情 况的变 化来完成 。误 用 检测 ( i s e co ) 又称 m s e dt tn , u d ei 基于特征的 检测 (imue ae ) 它基 于 已知的 系统 缺 陷 s  ̄t —bsd , g r 和入侵模式 , 事先定 义某些 特征 的行 为是非 法 的, 然后 将观
基于Agent与XML的分布式入侵检测系统模型
务 ,并 根 据 其 自身 状 态 和 环 境 信 息 调 整 和 控 制 自身 行 为 ;()协 作 性 。单 个 Ag n 知 识 和能 力 可能 有 限 ,但 2 et
Ag n 之 间可 以通 过某种 通信 语言 进行协 作 ,共 同完 成某 et
现 入 侵 ,则 将分 析结果 存入 入侵事 件数 据库 , 自动生 成 并 XML文档传 送给监控器 进行显示 ,同时通过 网络与其他域 中的协作 Ag n 进行通信和 协作 ,向其 他域 中的系统告警 , et
.
基于协作 A e t g n 的分布 式入侵检测系统模型
智 能 Ag n 技 术具 有两 大特性 :( )自治性 。A e t et 1 g n
目前 的 入 侵 检 测 系统 I DS大 多采 用 树 型 结 构 ,检 测
泛地 收 集各种 数据 ,可 能是 系统 日志 或网络 数据 包 ,监控 Ag n 获取 原始数 据 后 ,对 数据 进行提 取或 选取 ,简 单的 et 预处理 后将 数据 转换 成统 一格 式 ,上传给 分 析组件 作 进一
维普资讯
学 技 f用 术 术. 术 实 技
基于 A e t X g n 与 ML的j
军航 空维修技术 学院 黄 炜 信息科 学与工程学院 张 伟
摘 要 现有 的入侵检测 系统存在单点失效和扩展性等问题
,
A et 自治性 、 协 同性 、 可 通 信 性 、 可 移 动 gn 的
以发现 更高 层次 的入侵 行 为 , 触发 各个域 中的响 应器 响 并 应入 侵行为 。协 作 Ag nt e 也可 以对 收到的 XML文档进 行 解析 ,结合本域 中的检测 Ag n 的检 测结果进 行分 析 ,以 et 发现 更 复杂 的攻击 。它维 持 有一 个注册 表 ,表中 记录 了 当 前主机 中各分析 Ag n e t的相关信息 。还 负责更新行 为、特 征数据库 中的信息 ,接受控制 A e t g n 的相关命 令。 ( )控制 Ag n 控制 Ag nt 行 于服 务 器上 , 负责 4 et e 运
基于移动agent的分布式网络管理和入侵检测系统分析和实现
基于移动Agent的分布式网络管理与入侵检测系统的研究与实现摘要,、/,一√、计算机网络的异构性、分布性和复杂性为网络管理,特别是网络安全管理提出了新的要求,传统的集中式的网管系统和网管技术难以满足大规模网络应用的需要。
因此,需要研究新的、有效的网络管理模型和技术,开发高效实用的网络管理系统。
移动agent作为一种新的网络计算模型,与传统的客户机/且匣务器模型相比。
具有动态适应性、异构性、健壮性和容错性,在分布式应用中可以降低网络流量、一/7减少网络延迟、封装网络协议差异、支持移动设备。
f本文旨在探索新的网管模型和技术,重点探索将移动agent技术应用于分布式网络管理和入侵检测系统的可行性和关键技术机理。
本文所完成的工作对大型网络应用和网络管理系统(特别是入侵检测系统)的开发有一定借鉴意义。
本文的主要贡献在于:1.提出了一个基于移动agent的网络管理和入侵检测模型。
2.以该模型为基础,设计并实现了一个将网管和入侵检测相结合的网络监控系统NetMIDS,分析讨论了系统功能设置及其移动agent组成与应用等问题。
3.针对系统应用的不同环境,探讨了SNMP网络设备与Agent网络设备相配合共同完成网络管理的方案,并给出了当主机检测点位于内部网(即主机没有单独IP地址)时的解决方法。
在实际应用中,NetMIBS和基于CORBA的入侵检测系统配合工作,完成主机检测点和网络检测点的安装、配置、升级、启动,并提供了利用移动agent进行各检测点的环境和信息查询、网络设备状态查询等手段。
实践表明,该系统具有异构性、分布性、可移植性、扩展性、灵活性、系统健壮性、面向应用等多种优点,能够大幅度减轻网络管理员的负担和误操作的机率,提高了网络管理的效率。
关键词简单网络管理协议,主机检测点,网络检测点,移动agent,Agent—SNMP网关西北大学计算机系硕士研究生论文~一至王整塾生塑坌塑壅塑垫篁里兰垒堡垫型至鉴堕塑塞兰壅翌ResearchandImplementationofaMobileAgentbasedNetworkManagementandIntrusionDetectionSystemAbstraetLarge—scalecomputernetworks,suchasIntemet,andtheirapplications,haveproposednewrequirementsofnetworkmanagement(NM),especiallythesecuritymanagement.TraditionalcentralizedNMsystemsCan,however,hardlymeetsuchrequirements.Therefore,it’SnecessaryforUStoinvestigateandfindoutnew,effectiveNMmodelandtechnologyforthedevelopmentofpracticalNMsystems.MobileAgent(MA),compared谢t}ItraditionalC/Smodel,isanovelnetworkcomputingparadigm,whichhassomeattractivefeatures,suchasdynamicadaptability,heterogeneity,mbusticityandfaulttolerance.ItCaneffectivelyreducethenetwork锄canddelay,cartbeindependentofdifferentnetworkprotocols,andcanalsosupportmobiledevices.ThepurposeofthisthesisiStoexploreanewNMmodeland也erelevantdevelopmenttechnology.TheemphasisisputontheresearchofthefeasibilityinapplyingMAtothedistributedNMandID(IntrusionDetection)systems.111eworkofthispaperissignificanttolarge·scalenetworkapplication,andthedevelopmentofNMsystems.especiallyI/3systems.Maincontributionsofthethesisare:First.WeproposeaMA-basedmodelofm订andID.Frameworkofthemodel.whatkindsofMAsandhowmanyofthemshouldbeintroduced.arediscussed.Second,basedonthismodel,wedesignedandimplementedadistributedNMandIDsystem,calledasNetMiDS.Problemsinthesystemdevelopment.suchasMAfimctionalib',structure,andMA’Scomposition,aredeeplyanalyzed.Third.problemsarediscussedindetallinushagthesysteminsomespeeialenvironment.suchas.inthesituationthatSNMPdevicesandMAdeviceshavetoWOrktogether.orwhenahostlocatei13.anintranetandhasnoIPaddress.Inpractice,NetMIDS,working耐t}laCORBA-basedIDsystem,carlbeusedtoandstartCP(CheckPoint).Itcanalsoqueryenvironmentinstall,configure,updateinformationandnetworkdevicestattlsofeachCPbyusingMA.RealperformanceshowsthatNetMIDShasstrengths,suchasheterogeneity,distribution,scalability,flexibility,extensibility,robusticityandapplication—oriented.Itcartbebeneficialtonetworkmanagersandreducemisoperationandenhance也eefficiencyofNM.Agent,AgentISnmpKeywords:SNMP,HostCheckPoint,NetCheckPoint,MobileGatewayy互297.53独创性声明本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成果。
基于Agent人工智能技术的分布式入侵检测系统设计
计 算 机 测 量 与 控 制 !"#"#!"$!%"! !"#$%&'( )'*+%('#',& - !",&(".!
! #!"* #
"""""""""""""""""""""""""""""""""""""""""""""""""""""
文章编号&)%& '(*$"#"##% ##"* #(!!+,-&#!&)(").!/012!&&3'%)"45!"#"#!#%!##%!!中图分类号678*8!#$ 文献标识码9
!6A;/G20C;0Q`ANA;L/G:>;L;04AAFA04AL&J>UR;L20A9/;QARS&^20CQ;<!"))&**&FG20;" ;:+&(*0&(V<L4GA/>LLA04QS0;R2/;//AOAL;42<04A/G0<O<CS !-04AO+S0;R2/9//AOAL;42<0&-+9"NSN4AR&Q>A4<QAEA/4N20/A04L;OX 2WAQQ;4;5L</ANN20C&4GA;//>L;/S<ENSN4AR204L>N2<0QA4A/42<02N;EEA/4AQ!6GAQAN2C0<EQ2N4L2U>4AQ204L>N2<0QA4A/42<0NSN4ARU;NAQ <09CA04;L42E2/2;O204AOO2CA0/A4A/G0<O<CS2N5L<5<NAQ
移动Agent技术在分布式入侵检测系统中的应用研究摘要移动Agent有很多优点适合于分布式入侵检测系统。
本文提出一种基于移动Agent的分布式入侵检测系统方法,讨论了系统结构及其Agent机制;详细讨论了移动Agent技术在分布式入侵检测系统中的应用特点和存在的问题;最后给出了未来的入侵检测系统的发展趋势。
关键词分布式入侵检测;移动Agent;网络安全1 入侵检测系统综述1.1 入侵检测系统随着信息技术的发展,计算机成为社会活动中的必不可少的工具,大量重要的信息存储在系统中,同时,连入网络中的计算机数量也在成倍增加,这些都使得信息安全问题日益严重。
入侵检测已经成为网络安全的一个重要的研究领域。
入侵(Intrusion)是指系统的未经授权用户试图或已经窃取了系统的访问权限,以及系统的被授权用户超越或滥用了系统所授予的访问权限,而威胁或危害了网络系统资源的完整性、机密性或有效性的行为集合[1]。
其中,完整性是指防止网络系统资源被非法删改或破坏;机密性是指防止网络系统内部信息的非法泄露;有效性是指网络资源可以被授权用户随时正常访问和程序资源能够按期望的方式正常地运行。
入侵检测就是检测入侵活动,并采取对抗措施。
入侵检测主要有两种:滥用检测和异常检测。
滥用检测(Misuse Detection)是假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配的方法发现。
滥用检测的关键是如何表达入侵的模式,把真正的入侵和正常行为区分开来。
滥用检测的优点是可以有针对性地建立高效的入侵检测系统,其主要缺陷是不能检测未知的入侵,也不能检测已知入侵的变种,因此可能发生漏报。
异常检测(Anomaly Detection) [2]是假定所有入侵行为都是与正常行为不同的。
异常检测需要建立目标系统及其用户的正常活动模型,然后基于这个模型对系统和用户的实际活动进行审计,以判定用户的行为是否对系统构成威胁。
基于多Agent的入侵检测系统的研究与设计的开题报告
基于多Agent的入侵检测系统的研究与设计的开题报告摘要:传统的入侵检测系统主要基于单一的检测机制,无法全面覆盖安全威胁。
同时,这些系统也面临着规则集合不完善且易被攻击者绕过的问题。
因此,本文主要针对这些问题,提出了一种基于多Agent的入侵检测系统。
通过多个Agent协同工作,该系统可以覆盖更多的安全威胁并提高检测准确率。
每个Agent负责监控指定的网络流量,通过学习分析来检测并识别入侵行为。
此外,本系统还使用了深度强化学习算法,通过Agent的交互学习来提高整体系统的性能。
在实验中,我们将使用CICIDS2017实验数据集来评估该系统的性能,并与目前流行的入侵检测系统进行比较。
关键词:入侵检测,多Agent,深度强化学习,网络安全1. 研究背景与意义随着网络技术的不断发展,越来越多的人们使用网络进行交流和信息传输。
网络的普及带来了便利和效率,但也给网络安全带来了富有挑战性的威胁。
网络攻击已经成为了当今网络中一个重要的问题,不仅造成了严重的经济损失,还对网络用户的隐私、财产及人身安全等方面造成了不可预料的危害。
入侵检测系统是网络安全领域中的一个重要组成部分。
传统的入侵检测系统主要基于单一的检测机制,通过预定义的规则或者特征来检测和识别异常流量。
然而,针对入侵攻击的策略不断变化,传统的入侵检测系统也面临着规则集合不完善且易被攻击者绕过的问题。
因此,开发高效且准确的入侵检测系统已经变得非常重要。
多Agent技术在解决多个智能体之间的协作问题上有着显著的优势,并且已经被广泛应用于机器人控制、自动化生产等领域。
基于此,本文提出了一种基于多Agent的入侵检测系统,通过协同工作来提高整个系统的性能。
深度强化学习作为一种决策过程,可以帮助智能体在复杂的环境中学习并找到最优策略。
在本文的入侵检测系统中,我们将使用深度强化学习算法来增强每个Agent的学习能力,并通过交互来提高整个系统的性能。
2. 研究内容与方法本文主要研究基于多Agent的入侵检测系统的设计与实现,具体研究内容包括:(1)基于多Agent的入侵检测系统框架设计:设计采用多个Agent 协同工作的入侵检测系统框架,包括数据采集、数据预处理、特征提取、入侵检测与分类等步骤。
基于移动Agent的入侵检测系统的研究和实现的开题报告
基于移动Agent的入侵检测系统的研究和实现的开
题报告
1.研究背景
随着网络技术的发展和应用,网络安全问题也日益严重。
入侵检测系统作为网络安全的重要组成部分,其作用日益凸显。
但传统的入侵检测系统面临着很多挑战,如系统性能低下、难以处理流量过大等问题。
近年来,基于移动Agent的入侵检测系统开始受到研究者的关注,并取得了一定的成果。
2.研究内容
本研究旨在设计和实现一种基于移动Agent的入侵检测系统。
具体研究内容包括:
(1)对移动Agent的原理和技术进行研究。
(2)对入侵检测系统的工作原理和实现方式进行研究。
(3)设计基于移动Agent的入侵检测系统的系统结构和模块功能。
(4)实现基于移动Agent的入侵检测系统,并对其进行性能测试以验证其实用性。
3.研究意义
本研究将探索一种基于移动Agent的入侵检测系统的实现方案,利用移动Agent的优势,提高系统性能和扩展性能力,为网络安全提供更好的保障。
此外,本研究对于移动Agent等技术的研究和应用也具有一定的推动作用。
4.研究方法
本研究将运用文献资料法、实验法和试验方法等多种研究方法,对问题进行分析和解决。
5.预期成果
本研究预计可以提出一种基于移动Agent的入侵检测系统的实现方案,并进行系统实现和性能测试,验证系统效果和可行性。
同时,本研究还将对移动Agent等技术的应用和发展做出一定的贡献。
基于Agent的分布式入侵检测系统关键技术研究的开题报告
基于Agent的分布式入侵检测系统关键技术研究的开题报告1.研究背景与意义随着互联网技术的飞速发展,网络安全问题越来越引起人们的关注,入侵检测系统是网络安全防御体系中的重要组成部分,它主要用于发现和防御网络攻击行为,保障网络系统的安全运行。
传统的入侵检测系统通常采用集中式的架构,存在单点故障、资源浪费等问题。
近年来,分布式入侵检测系统成为研究热点,通过利用多个节点组成的分布式架构,实现对网络攻击的实时监控和预防。
Agent作为分布式计算中的一种重要技术手段,可以使分布式入侵检测系统更加高效、灵活、可扩展。
Agent可以被视为在不同节点的“情报员”,负责接收和处理网络流量数据,并在本地进行入侵检测,以减少数据传输的流量和延迟,降低整个系统的负载。
Agent还可以自主地协同合作,实现分布式计算和分布式决策,提供更好的安全保障。
因此,基于Agent的分布式入侵检测系统成为当前入侵检测技术研究的热点之一。
本论文将重点围绕该领域展开研究,旨在探究基于Agent 的分布式入侵检测系统的关键技术,并建立实用的系统,为提高网络安全保障水平贡献新的思路和方法。
2.研究内容和目标本文主要研究以下内容:(1)Agent技术在分布式入侵检测系统中的应用。
通过分析入侵检测系统的特点,探究如何利用Agent技术构建分布式入侵检测系统,从而提高系统的效率和可扩展性。
(2)分布式数据处理方法。
针对分布式架构中数据处理的问题,研究并设计可行的分布式数据处理方法,利用多个节点的计算资源实现数据的快速处理和决策。
(3)入侵检测算法研究。
研究常见的入侵检测算法,并考虑如何在分布式架构中进行改进和优化,提高检测的准确性和效率。
(4)系统实现与实验。
基于以上内容,实现基于Agent的分布式入侵检测系统,利用真实数据进行实验分析,验证系统的可行性和有效性。
本文研究的主要目标是,建立一个基于Agent技术的分布式入侵检测系统原型,实现在分布式架构下的高效、快速、准确的入侵检测,并在真实环境中进行验证和评估,为实际网络安全防御提供技术支持和帮助。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
件产
器
响 晦 元
ges pon c・ x ¥ Bo
EY nt Box t .
书 什 分 折 嚣
An vss. Ox al R i
啦什 被
D al Ba e a s Box
阳 l CI DF 批 粲
收稿 日期 : 0 5—1 —l 20 l 8
作者简介 : 满红芳。 , 女 山东师范大学讲师 ; 宿超 . 山东广播 电视 大学工程师 ; 清, , 南信息 工程学校 中学一级教师。 男. 马春 女 济
摘 要 : CD ( o o t s nD t t nFa e ok 通 用入 侵检测 框 架) 在 I F C mm nI r i ee i rm w r , nuo co 的基础 上 , 引入 A et 术 , gn 技 提
出一种 基 于 A et gn 的入 侵 检 测 系统 模 型 。该 模 型 通 过 静 态 智 能 A et 移 动 A n 技 术 , g n和 e g t 实现 了基 于 主 机 和 基
的措施。
检测 框架 ) 由美 国国防高级研究计划 署( A P 提 出的 是 D R A)
一
个开放的体系标准 J I F将入 侵检 测 系统分 为 4个 。CD
三、 目前 I S的局限性 D
基本组件 : 件产生 器 、 件分 析器 、 事 事 响应 单元 、 事件 数 据 库。其 中 , 事件产 生器、 事件 分析 器、 应单元 通常 以应 用 响 程序的形式出现 , 而事件数据 库则往 往采用 文 件或数 据流
进程 , 它们 之 间采用 统一 入 侵 检测 对 象 ( eea It s n G nrl nr i uo
在网络安全问题 日益 突出的今 天 , 何迅 速有效 地 发 如 现各类攻击行 为 , 对保证 系统 和网络资 源的 安全显 得十分 重要 。入侵检测就 是用 来发现网络或主机 日志文件 中已知求 分 析 的 数 据 流 称 为 事 件 ( D B vn) 它既可以是 网络 中的数据 包 , et , 也可 以是从 系统 日志 或其 它途径得 到的信 息 , 以上 C D I F模 型 中的 4个组 件代 表的都是逻辑实体 , 中 的任 何一个 组件 可能是某 台计算 其 机上 的一个进程甚 至线 程 , 也可能 是多 台计算机 上的多个
于网络相结合的分布式入 侵检测 , 改善 了入 侵检测 系统 的性 能。
关 键 词 : 侵 检 测 ; 态 智 能 A e t移 动 A et 入 静 gn ; g n
中图分 类号 :f 9 .8 Tr 3 0 3
文献标 识码 : A
文章 编号 :0 8— 3 0 20 )3 0 8— 2 10 34 (0 5 0 —0 3 0
的形式 。基本模型架构如 图 1 所示 。
目前基 于主机和基 于网络的 I S在进行数据收集和分 D
析时主要 采用单一 的技 术。从单 一的 主机上或通过审计追
踪或通过监视网络上的数 据包来 收集数 据 , 过使用 不 同 通 技术的单一模 块来分析 数据 , 虽然有 些 I S通 过分散 在各 D 主机上的模块来分布式地 收集数 据 , 是收集 到 的数据仍 但 然被集 中放在一个地方 , 以便用单一 的主机分析这些数据 , 这些技术存在很多局限 : ¨ ( ) 一 分布程度不够 : 现行 系统 大多数 都采用集 中式 体 系结构 ; 而一 些分布式 的也 只是在 数据采 集上 实现了分 布 式, 数据的分析 、 侵 的发现还 是 由单个 主 机完成 , S各 入 I D 组件 间的协作十分有 限。这使 系统对 分布式攻 击的检测力
监控 整个 网段的任务。 二、 IF简介 CD CD ( o o n ui e co rm w r , I F C mm nIt s nD t tnFa e o 通用入侵 r o ei k
事件分析 器负责分析从其 它组件收到 的 G D IO并将 产 生的分析结果传送 给其它组 件。 响应单元 用来存储 G D 以备系统需要 的时候使用 。 I O, 事件数据库 负责处理接收到的 GD 并据此采取相应 IO,
的或潜在 的攻击行 为。 根据 被监视对象的不同 , 入侵检测 系统 可分为两类 : 基 于主机的入侵检测系统和基 于网络的入侵检测 系统 。基 于 主机 的入 侵检测系统 往往 以系统 日志 、 应用 程序 日志等作
D t t nO j tG D ) e c o be , I O 格式 进行 数据 交换 。G D ei c I O是对 事 件进行编码的 标 准通用 格式 , I O数 据流 可 以是发 生 在 GD 系统 中的审计事件 , 也可以是对审计事件 的分析结果 。 事件 产生器 的任务是从 I S之外 的计算 环境中收集 事 D 件, 并将这些事件转换成 CD I F的 G D I O格式传送给其它 组
维普资讯
山 东电 大学报
20 0 6年 第 1期
基于Ae 的 布式入 gt 分 n 侵检测系 统模型的 研究与 设计
满红芳。宿超 马春 清 , ,
(、 1 山东师范大学 , 山东 济南 2 0 1 ; 、 5 0 4 2 山东广 播电视大学, 山东 济南 2 0 1 ; 5 0 4 3 济南信 忠工程 学校 , 、 山东 济南 2 0 0 ) 5 1 1
件。
为数据源 , 有时也通过其他手段 ( 如监 督系统 调用 ) 所 在 从 的主机 收集信 息进行 分析 , 一般 保护 的是入 侵检测 系统所 在的主机。基 于网络的入侵检测系统的数据源则 是网络上 传输 的数据包 。它往往将 监视 的网卡设成 混 杂模式 , 听 监 所有本网段内的数据包并进 行判 断分析 , 种系统 担负 着 这