基于黑板的自治代理协同入侵检测系统模型
基于代理的入侵检测系统的设计与实现
计算机应用研究
! " " ’年
基于代理的入侵检测系统的设计与实现 !
赵生慧%! 陈桂林%! 杨寿保!
" # % 2 滁州师范专科学校 网络中心 & 安徽 滁州 ! # & " % !! ! 2 中国科技大学 计算机科学系 & 安徽 合肥 ! # " " ! ) 摘 " 要 ! 入侵检测技术是继防火墙 ’ 数据加密等传统安全 保 护措 施 后 新 一 代 的 安 全 保 障 技 术 & 它能对计算机和 设计了基于代理 网络资源的恶意使用行为进行识别和响应 ( 在 L0 0 1 代 理 服 务 技 术 和 入 侵 检 测 技 术 基 础 上& 将防火墙技术和入侵检测技术合 二为 一 & 克 服了 传 统 防 火 墙 技 术 和 入 侵 检 测 技 术 的入侵检测系统原型 1 ] [ ,& 孤立应用的局限性 & 提供了集成化的访问控制 ’ 检测和响应功能 ( 关键词 ! 代理 ! 入侵检测 ! J = A , ; 9 U 网络编程 " # 中图法分类号 !0 1 # & # 2 " (""" 文献标识码 !*""" 文章编号 !% " " % $ # ) & 3 ! " " ’ % ! $ " % " ! $ " #
)) % 算法 ( " 采用著名的 ] ; 5 8 $ Y ; ; 8 5 ]Y& C
图 %" 基于代理的入侵检测系统 1 ] [ , 模型
% & % L0 0 1 代理服务启动模块 代理服务器启动后 ! 接 收 客 户 机 请 求! 并将请求转发给远 程服务器 " % & 包捕获模块 ! 在J 常用 J = A T ; D 6环 境 下 ! = A , ; 9 U技 术 抓 取 数 据 包"一 般情况下 ! 代理服务器只需抓取 L0 但是本系统是 0 1 数据 包 ! 对包括网络层 的 数 据 包 的 检 测 ! 先 用 J, * , ? 7 8 ? F = A $ G 启动 J ! 再用 , 抓 取 网 络 层 数 据 包! , ; 9 U ; 9 U 5 ?定 义 一 个 原 始 套 接 字 ! 语法如下 #
基于动态IP黑名单的入侵防御系统模型
摘 要 : 过 分 析 网络 入 侵 防 御 系  ̄ (e r t s npee t nss m, P ) 处 理 超 大 网络 攻 击 流 量 时 存 在 的 不 足 和 性 能 通 nt ki r i rvni yt NIS在 wo n u o o e
瓶 颈 , 出并 建 立 一 种 基 于动 态 I 名 单 技 术 的 NIS模 型 , N P 提 P黑 P 使 IS维 护 一 个 存 储 攻 击 主 机 I 址 和 其 威 胁 度 信 息 的 哈 希 P地 表 , 过 威 胁 度 评 估 算 法 周 期 计 算 攻 击 源 J 威 胁 度 并 更 新 到 哈 希 表 内 , 过 滤模 块 将 根 据 J 名 单 和 过 滤 策 略 来 对 整 个 通 P的 预 P黑
1 0
2 1, o.2 No1 计 算 机 工 程 与 设 计 C m ueE gneig n D s n 01 V 1 , . 3 o pt nier d ei r na g
基于动态 I P黑名单的入侵 防御 系统模型
卢先 锋 , 杨 频 , 梁 刚
( 川大 学 计 算机 学院 ,四 川 成 都 60 6 ) 四 105
网络 数 据 包进 行 预 先 过 滤 。 实验 结 果 表 明 , 该模 型 在 处 理 超 大 网络 攻 击 流 量 时 比 传 统 NIS更 加 快 速 高效 , P 并且 能 更好 地 保
第3章 入侵检测系统模型
3.2 信息收集
• 3.2.2 信息源的获取 • 入侵检测利用的信息源一般来自以下四个方面: • 1. 系统和网络日志文件 黑客经常在系统日志文件中留下他们的踪迹,因此,充分利 用系统和网络日志文件信息是检测入侵的必要条件。日志中包 含发生在系统和网络上的不寻常和不期望活动的证据,这些证 据可以指出有人正在入侵或已成功入侵了系统。通过查看日志 文件,能够发现成功的入侵或入侵企图,并很快地启动相应的 应急响应程序。日志文件中记录了各种行为类型,每种类型又 包含不同的信息,例如记录“用户活动”类型的日志,就包含 登录、用户ID改变、用户对文件的访问、授权和认证信息等内 容。很显然地,对用户活动来讲,不正常的或不期望的行为就 是重复登录失败、登录到不期望的位置以及非授权的企图访问 重要文件等等。
3.1 入侵检测系统模型概述
• 图:
3.2 信息收集
入侵检测的第一步是信息收集,内容包括系统、网络、 数据及用户活动的状态和行为。而且,需要在计算机网络 系统中的若干不同关键点(不同网段和不同主机)收集信 息,这除了尽可能扩大检测范围的因素外,还有一个重要 的因素就是从一个源来的信息有可能看不出疑点,但从几 个源来的信息的不一致性却是可疑行为或入侵的最好标识。
3.1 入侵检测系统模型概述
美中不足的是, IDS 普遍存在误报问题,导致入侵检 测的实用性大打折扣,采用智能处理模块解决这个问题, 智能处理模块包括下面功能: • 1. 全面集成入侵检测技术,将多个代理传送到管理器的数 据整合起来,经过智能处理,将小比例的多个事件整合形 成一个放大的全面事件图。 • 2. 对于一个特定的漏洞和攻击方法, IDS 先分析系统是 否会因为这个缺陷而被入侵,然后再考虑与入侵检测的关 联(报警)。
3.2 信息收集
一种基于多Agent协同的分布式入侵检测系统模型
^
现 2 移 动代 理 及 其 特 点 . 1
检测 目标级 的功能 主要是 针对需 要安 全保 护 的
主 机 进 行 人 侵 检 测 .不 是 对 于 所 有 的 主 机 都 设 定 . 避
总
硬 件 和 操 作 系 统 的 平 台 细 节 屏 蔽 . 代 理 获 得 一 个 统 使
一
免不必要 的资源 占有和减少 投资
协 调 中 心 级 主要 负 责 对 本 机 所 在 网段 内 的 网 络
第
二
的 界 面 。在 这 个 基 础 上 . 理 可 以在 各 个 平 台之 间 代
九
七
★基 金 项 目 : 南 省 教 育 厅 2 0 湖 0 6年 度 科 研 项 目( .60 6 No0 c 1 )
量:
实现入侵检测功能 的一系列 的软件 、硬件 的组合 . 它
是 入 侵 检 测 的 具 体 实 现 入 侵 检 测 系 统 就 其 最 基 本 的
形式来 讲 . 以说是一 个分类 器 。 可 它是 根据 系统 的安 全策 略来 对收 集到 的事件/ 态信 息进 行分 类处 理 . 状
/
研究与开 发
进行监 听 . 检测 可能 的人 侵行 为 . 且 同本层 的其 并 并
一种基于免疫原理的网络入侵检测系统模型的开题报告
一种基于免疫原理的网络入侵检测系统模型的开题报告题目:基于免疫原理的网络入侵检测系统模型一、研究背景与意义随着网络技术的不断发展,互联网已经渗透到了人们的生产、学习、娱乐等各个方面,网络安全问题也日益引起人们的关注。
随着黑客攻击手段的多样化和复杂化,传统的网络入侵检测方法已经不能满足实际应用的需要。
因此,研究新的、更加有效的网络入侵检测系统模型变得越来越重要。
免疫系统作为人们天然的防御系统,具备强大的自我适应、自我认识、自我修复能力。
模拟免疫系统来应对网络入侵也成为了互联网领域研究的热门方向。
免疫原理在网络入侵检测领域中的应用,可以实现对攻击者的快速识别和响应、降低误报率、提高检测效率等优点。
因此,基于免疫原理的网络入侵检测系统模型的研究具有非常重要的实际意义。
二、研究现状目前,已经有很多学者和研究人员开始尝试利用免疫原理来解决网络入侵检测问题。
其中比较有代表性的研究成果包括免疫学习算法、基于免疫原理的特征选择和分类、人工免疫系统等等。
免疫学习算法是免疫计算中的一种方法,它通过构建免疫机制来解决分类问题。
采用免疫学习算法较好的解决了分类问题,但由于特征选取不够精确,导致其分类效果有限。
针对此问题,有很多学者尝试利用免疫原理来进行特征选择和分类,通过选择具有免疫功能的特征来提高检测精度。
人工免疫系统是一种基于免疫原理的计算模型,可以模拟人体免疫系统的功能和行为。
与传统的网络入侵检测方法不同,人工免疫系统对未知攻击具有较强的自适应和适应性,可以快速识别出新的攻击行为,达到更好的检测效果。
三、研究内容和方法本文主要研究基于免疫原理的网络入侵检测系统模型,以提高现有网络入侵检测系统的检测效率和精度。
本文将采用以下研究方法:1.综述相关研究成果,归纳总结免疫原理在网络入侵检测系统模型方面的应用现状、技术特点和不足之处;2.构建基于免疫原理的网络入侵检测系统模型,采用免疫特征选择和分类算法进行攻击类型分类与识别;3.选取KDDCup 1999数据集进行试验和验证,比较基于免疫原理的网络入侵检测系统模型和传统的入侵检测方法的检测效果;4.对比实验结果,对基于免疫原理的网络入侵检测系统模型进行优化。
一种基于自治Agent的分布式入侵检测系统
中图分类号: P9・ T3。 。
一
种 基 于 自治 Ag n e t的分二 式入侵 检 测 系统
王丽 辉 ,李 涛 ,杜 雨 ,郭 京 ,胡晓勤 ,卢 正添
( 四川大学计算机系 ,成都 610 5 0 6)
摘
要 :设计并实现 了一个基于 自治 A et的分布式入侵检 测系统 系统采 用层次化的管理控制 绱构 ,门 I I gn _r "* 包括 控器 、收发器和 i i
t ncie r sevr是丰机之 问通信 和联 系的接 1。每 个受监控 a 7 1 的主机上有一 个 t nc i r r sev ,它控制该主机上所有 A et a e g n,处 理 A et g n 的报警数据 ,并与 m ntr o i 交互 。 o
随着 网络使 用的增长 ,入侵技 术也在不断发展和演化 ,
统的结构。从 mo i  ̄到 A et形成 一种 自上而下 的层次式 nt ’ o gn 控制机 制。上层实体可 以对 F层实休进行 制 ,同层实体之
这表现在攻击手段 的多样化和复杂化 ,入侵规模 的扩大 以及
攻 击的分布化 ‘ 。现有 的 I S系统已越来越不能满足实际应 D
维普资讯
第 3 卷 第 1 期 2 8
V 13 o.2
・
计
算
机
工
程
20 0 6年 9月
S pe b r 2 0 e tm e 0 6n i e r n m u e gn e i g
安全技 术 ・
文章编号:1 0 32(0)-07一 I 文献标识码: 0 - 48068 1 ・3 0 2 1- 2一 A
间可以互发事 务消息 。
用的需要 ,这 表现在 以下几个方面 :() 1局限于 单个主机 或网 络架构 ,I S系统之 间缺乏协作 ;() D 2单一 的检 测手段和检测 数据 来源 ;() 大规模 及分布式攻击缺乏检测能力 ;() 3对 4可扩
基于多代理的协同分布式入侵检测系统模型
务副院长 、 电气学院辜承林常务副院长及脉 冲功率技术研究 中心 部分科研人员参加了会议 .
经 招标 组认 真审议 , 对我 校 标书 的 规范性 以及 技术 和能 力 上
的优势给予 了充分的肯定 , 因此 中国工程物理研究院决定将 l 个 5 能源模块 中 9个 模块 的研制 任 务 交予 我 校 , 目总经 费 达 到 69 项 3
Gu i W a g Ho  ̄we oM n n n i
A sr c:Th o p r t eo d rn oiy mo e fr akn fltfrlts p l h i sa ay e Ths b ta t e c o eai r eig p l d l o id o o—o o u py c an i n lzd v c i s p l h i s n t r o  ̄ d o u pir a d s v rlrti r. I r e o c od n t h u py u py c an i ewo k 0mp fa s p l n e ea eal s n o d rt o r iae t e s p l e e
Ma a e n c n e 9 6 3 ( j 11 7 8 ng me t i c ,l 8 , 2 9 : 7 ~11 5 Se
[ ] Myro .G me ter :aayi o fc . 3 e n R B a hoy nls fmn is s s l t
Ln o o d n:Hav r ie t es 9 O. radUnv mi Prs ,l9 y
万元 .
维普资讯
第3 0卷 第 2 期 20 0 2年 2月
华
中
科
技
大
学
基于代理的分布式防火墙与入侵检测协同防御系统设计与应用
等数据都备份在相应的服务器中 , 一旦服务器无法 工作 , 这些备用服务器将转换成服务器角色开始工 作, 通过增加备份服务器的设计, 增加该防御系统的 健壮性. 我们在主机防御单元中部署入侵检测代理 ( IDA ) 、 入侵响应代理 ( IRA ) 和代理防火墙 ( f irew all agen, t FWA) . IDA 通过实时审计所驻留主机的日志 发现入侵行为 . 在同一台主机上可以同时运行多个 IDA, 用于监测不同的活动, 如监控某协议的网络数 据传输和监控对主机上特定数据的访问 , 从而实现 了入侵检测的分布化 . 代理防火墙主要运行在受保 护的服务器、 主机和远程主机上, 因为它针对的是单 个主机设置防御策略 , 因此可以提供更细粒度的安 全保护, 满足不同主机的需求 . 2 . 2 主机防御单元设计 根据功能需求 , 从系统结构角度分析, 将主机防 45
王
摘
*
浩
( 安徽财经大学管理科学与工 程学院 , 安徽 蚌埠 233030)
要 : 分析了传统防火墙和现有分布式防火墙在网络应用中的局限性 . 将防火墙与入侵检测相结合,
提升了系统的防御能力. 引入 Agent技术 , 利用 A gent的特性对防御系统重新规范 、 设计, 改变以往各防御单 元的通信方式, 并且在防御系统中增加了中心服务器和域服务器的备份, 更好地提高了网络的稳定性 、 安全 性. 关键词 : 分布式防火墙 ; 入侵检测 ; 网络; 协同防御 中图分类号 : TP 393 . 08 文献标识码: A 虽然现有的分布式防火墙可以解决传统防火墙 存在的缺点, 但仍存在一些问题: 1)只是形式 上的分布 早期分布式防 火墙检 测分析都是由单一主机完成, 数据从采集到分析一 定会有延时, 往往分析出的结果并不是此时网络的 状态 , 所以作出的处理也不一定是最合理的 , 在网络 环境不好的情况下, 还有可能造成网络拥塞. 同时, 一旦这台主机被黑客攻破整个网络都将暴露在外 . 2)缺少恢复机制 一些关键结点如果崩溃, 不 能够立即恢复 , 无法保证防火墙自身的安全性和冗 余性 , 这将使得网络存在安全漏洞 . 3)不能够主 动防御 现有的分布式防 火墙往 往都是等到攻击出现以后再进行被动地防御. 采用 这类分布式防火墙将无法抵御大规模的、 复杂的网 络攻击. 本文所设计的防御系统, 采用协同机制将分布 式防火墙和分布式入侵检测系统 ( D istrib uted in tru sion detection syste m, DIDS ) 有机地 结合在一起 , 使 得防御系统从整体上、 动态地掌握攻击行为 , 以便采 用有效手段防御攻击.
基于边云协同的智能工控系统入侵检测技术
第37卷第11期 计算机应用与软件Vol 37No.112020年11月 ComputerApplicationsandSoftwareNov.2020基于边云协同的智能工控系统入侵检测技术陈 思1 吴秋新1 张铭坤1 安晓楠2 龚钢军2 刘 韧3 秦 宇41(北京信息科技大学 北京100192)2(华北电力大学北京市能源电力信息安全工程研究中心 北京102206)3(北京卓识网安技术股份有限公司 北京102206)4(中国科学院软件研究所 北京100190)收稿日期:2019-07-04。
国家自然科学基金面上项目(61872343);国家重点研发计划项目(2018YFB0904900,2018YFE0904903)。
陈思,硕士生,主研领域:边缘计算,深度学习。
吴秋新,教授。
张铭坤,硕士生。
安晓楠,硕士生。
龚钢军,副教授。
刘韧,博士。
秦宇,博士。
摘 要 工业控制系统(ICS)由原来的封闭隔离状态逐渐开放,导致工业控制设备出现故障或损坏。
根据ICS业务逻辑稳定性的特点,提出一种新颖的ICS入侵检测模型,以确保系统数据和业务逻辑安全可靠。
在边缘计算3.0的架构下构建边云协同的入侵检测模型;改进传统的卷积神经网络(CNN)算法,利用深度可分离卷积建立MobileNet模型实现入侵检测业务的仿真。
仿真结果表明,该模型的准确率提升到98%以上,训练时间是传统CNN模型的50%,更适合边缘端使用。
关键词 边缘计算 云计算 入侵检测 深度可分离卷积中图分类号 TP3 TN915.6 文献标志码 A DOI:10.3969/j.issn.1000 386x.2020.11.045INTRUSIONDETECTIONTECHNOLOGYOFINTELLIGENTINDUSTRIALCONTROLSYSTEMBASEDONEDGECLOUDCOLLABORATIONChenSi1 WuQiuxin1 ZhangMingkun1 AnXiaonan2 GongGangjun2 LiuRen3 QinYu41(BeijingInformationScienceandTechnologyUniversity,Beijing100192,China)2(BeijingPowerSystemInformationSecurityEngineeringTechnologyResearchCenterinEnergyIndustry,NorthChinaElectricPowerUniversity,Beijing102206,China)3(BeijingExcellentNetworkSecurityTechnologyCo.,Ltd.,Beijing102206,China)4(InstituteofSoftware,ChineseAcademyofSciences,Beijing100190,China)Abstract Industrialcontrolsystem(ICS)isgraduallyopenedupfromtheoriginalclosedandisolatedstate,whichleadstofailureordamageofindustrialcontrolequipment.AccordingtothestabilityofICSbusinesslogic,anovelICSintrusiondetectionmodelisproposedtoensurethesecurityandreliabilityofsystemdataandbusinesslogic.Theedgecloudcollaborativeintrusiondetectionmodelwasconstructedundertheframeworkofedgecomputing3.0;weimprovedtraditionalconvolutionalgorithmofneuralnetwork(CNN)usingdepthseparableconvolutionMobileNetmodeltoestablishforintrusiondetectionbusinesssimulation.Throughthesimulation,theprecisionrateofourmodelisincreasedtomorethan98%,trainingtimeis50%ofthetraditionalmodelofCNN,whichismoresuitablefortheedgeend.Keywords Edgecomputing Cloudcomputing Intrusiondetection Depthseparableconvolution0 引 言随着信息化与工业化的深度融合以及“互联网+”与智慧能源、能源互联网、综合能源服务等发展模式的改变[1],工业技术体系在开放性、互联互通性和智能化等方面的需求越来越强烈[2]。
基于线性表示的协同入侵检测模型
络数据进 行划分 .所以可 以将入侵检测划分 为模式识
别 范 畴 传 统 的 入 侵 检 测 模 型 经 常 在 网 络 中构 建 分 类
器. 对于 网络 中一些 不确定数 据[ 3 】 和非平衡数 据 . 传统
方 法 的检 测 率 效 果 较 差 为 此 . 本 文 提 出一 种 基 于线 性 表 示 的协 同 入侵 检 测 方 法 , 主要思想是 : 首先 。 利用 K 一 均 值 聚 类 算 法 把 训 练 集 中 的 样 本 聚 集 为 K 类 .记 下 K
线性 表示 ( 简称 L R ) 圈 方法, 是 用 所 有 的 训 练 样 本
表示测试 样本 。文献f 6 1 通过 实验和推理解释 了使稀疏
表 示方法闭 分 类 效 果 优 越 的 不是 Z 范 数 最 小 化 限制 , 而 是 所 有训 练样 本 共 同表 示 ( C o l l a b o r a t i v e R e p r e s e n t a t i o n . C R) 的结 果 。C R算 法 通 过 施 加 f ' 范数 最 小化 在 表示 系 数上. 从 而使 表 示 系数 达 到 一 个 微 弱 的稀 疏 效 果 。 即有 下式:
梅 松 青
( 广州医科大学信息管理与信息系统系 , 广州 5 1 0 1 8 2 )
摘 要 :针 对 现 有 入 侵 检 测 算 法误 报 率 较 高和 鲁 棒 性 较 差 的 问题 , 提 出一 种基 于 线性 表 示 的协 同入 侵检 测模型 , 按 照 网络 协 议 产 生 3类 基 于 K一均值 聚 类 算 法 的检 测 代 理 , 以协 同的 方 式 对 其相 应 网络 数 据 做 出 决策 。 实验 对 比结 果 表 明 , 该 协 同模 型 具有 较 高 的检 测率 和较 低 的 误
协作式入侵检测系统模型研究
协作式入侵检测系统模型研究(1、中南大学信息科学与工程学院,湖南长沙410075 2、湖南工学院现代教育技术中心,湖南衡阳 421002)摘要:通过对现有入侵检测技术的分析,提出一种基于协议分析的分布式入侵检测方法,采用分布收集信息,分布处理多方协作的方式,将基于主机的IDS和基于网络的IDS结合使用,构筑面向大型网络的IDS;然后通过全局安全网络协作,收集拨号用户的信息,检查个体计算机是否存在漏洞、病毒,如果发现有就阻止其接入网络,强制其用到可信的网络修复系统或更新最新的病毒库。
关键词:网络安全;入侵检测;协作1 入侵检测概述James Aderson在1980年使用了“威胁”概述术语,其定义与入侵含义相同。
将入侵企图或威胁定义未经授权蓄意尝试访问信息、窜改信息、使系统不可靠或不能使用。
Heady给出定外的入侵定义,入侵时指任何企图破坏资源的完整性、机密性及可用性的活动集合。
Smaha从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。
从技术上入侵检测系统可分为异常检测型和误用检测型两大类。
异常入侵检测是指能够根据异常行为和使用计算机资源情况检测出来的入侵。
异常检测试图用定量方式描述可接受的行为特征,以区别非正常的、潜在入侵性行为。
误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵。
与异常入侵检测相反,误用入侵检测能直接检测不利的或不可接受的行为,而异常入侵检测是检查同正常行为相违背的行为。
从系统结构上分,入侵检测系统大致可以分为基于主机型、基于网络型和基于主体型三种。
基于主机入侵检测系统为早期的入侵检测系统结构、其检测的目标主要是主机系统和系统本地用户。
检测原理是根据主机的审计数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机上。
这种类型系统依赖于审计数据或系统日志准确性和完整性以及安全事件的定义。
若入侵者设法逃避设计或进行合作入侵,则基于主机检测系统就暴露出其弱点,特别是在现在的网络环境下。
一种基于分布式移动代理的协同网络入侵检测模型
一种基于分布式移动代理的协同网络入侵检测模型陈建国;李四海【摘要】随着互联网技术及规模的不断发展和扩大,网络安全成为各个用户不可回避的问题.本文首先描述了网络入侵检测技术体系结构,然后将代理技术引入网络入侵检测,提出了一种基于分布式移动代理技术的网络入侵检测框架模型,最后以该框架为原型,通过将误用检测模式和异常检测模式协同应用,设计了一种基于分布式移动代理的协同网络入侵检测系统工作流程.【期刊名称】《兰州文理学院学报:自然科学版》【年(卷),期】2016(030)003【总页数】4页(P56-59)【关键词】分布式;移动代理;协同;网络入侵检测【作者】陈建国;李四海【作者单位】甘肃中医药大学信息工程学院,甘肃兰州730000【正文语种】中文【中图分类】TP393.08随着计算机和网络技术的不断普及和发展,网络安全成为人们关注的焦点.传统的基于网络防火墙、口令认证、数据加密等防护手段已不能满足维护系统安全的正常需要,特别是针对网络内部出现的攻击经常束手无策,而且防火墙采用静态的被动的策略,很难应付各类针对网络主机的动态攻击.入侵检测是网络安全领域研究的一门新技术,通过捕获并分析共享网段上的网络分组来检测系统中是否出现未经授权的滥用、修改以及使用计算机资源的行为,保护系统资源的完整性、可用性和机密性.它是在计算机网络系统受到攻击之前或存在攻击迹象时自动拦截并响应入侵根据监视的对象不同,入侵检测系统分为[1]基于主机入侵检测系统、基于网络入侵检测系统和基于应用入侵检测系统.基于网络入侵检测系统[2]指通过捕获并分析出现在共享网段[3]上的网络分组来检测入侵行为,目前随着网络技术的发展和网络规模的不断扩大,在市场上处于主导地位.按照功能划分,网络入侵检测系统包括四个基本组件[4],即事件产生器、事件分析器、响应单元、事件数据库.网络入侵检测系统框架如图1所示.在网络入侵检测系统中,将需要分析处理的数据称作事件(Event),它不仅指网络中的数据包,而且也包含系统审计记录、日志等信息.事件产生器(Event Generators)的功能是从整个计算环境中收集事件,在处理转换后按一定的格式提供给系统其它组件.事件分析器(Event Analyzers)分析产生的数据,根据分析结果确定攻击迹象或特征.它不仅是一个检测工具,也是一个事件相关器,通过观察各个事件之间的关系,将有联系的事件予以归类并放置在一起,以便做进一步的分析.事件数据库(Event Databases)用于存放各类临时文件和最终数据,这些数据不仅由事件产生器和事件分析器产生的临时事件即简单的文本文件,也包括一些复杂的数据库.响应单元(Response Units)则是针对事件分析结果做出反应措施,这些反应措施可以是简单的报警,也包括改变文件属性,甚至切断网络连接等.以上四个逻辑组件是网络入侵检测系统框架的核心,基于图1的网络入侵检测系统框架可以实现最基本的入侵检测功能.但是该框架缺少日志审计组件、系统管理组件等,其主要用以完成对入侵检测日志、操作日志的审计,对网络入侵检测系统的设备管理、权限管理、规则管理以及升级管理等.另外,事件产生器、事件分析器和响应单元通常以应用程序形式设计,事件数据库通常以数据流或文件形式设计. 按照检测模式将网络入侵检测系统分为异常检测模式和误用检测模式.在异常检测模式中,系统首先建立正常行为模型并定义正常行为判断的阈值,通过将建立的正常行为与系统检测到的行为比对,确定是否出现攻击迹象.其优点是可以检测到复杂的或未知的入侵行为;缺点是由于建立正常行为模型库,不能动态适应网络结构的变化,误报率较高,系统开销较大,另外,由于通过比对确定入侵行为,因此对于系统中产生的和正常行为相近或相似的事件,无法确定具体的入侵情况.在误用检测模式中,系统通过将已经确定的入侵行为及各类变种转换为一种特征模式库,即建立入侵模式库,然后通过判别在网络中检测到事件中的数据特征,与入侵模式库中出现的特征是否一致来断定入侵行为.其优点是能快速检测到某些特征的攻击,但无法检测到系统中出现的未知攻击行为,另外,必须不断更新入侵模式库,以应对新出现的各类攻击行为,从而提高检测准确率.以上两种网络入侵检测模式,由于使用的检测方法不同,各有利弊.因此基于某一种网络入侵检测模式建立的防御系统缺乏自适应性、灵活性,且易出现漏报情况.本文通过将移动代理技术[5]引入到入侵检测模型中,各代理服务器之间采用点对点的通信策略,建立一种基于分布式和移动Agent的网络入侵检测模型.在对已有网络入侵检测系统及入侵检测技术及发展趋势研究基础上,针对目前基于分布式入侵检测系统的不足,本文将移动代理技术引入到网络入侵检测系统中,设计了一种基于分布式移动代理的协同网络入侵检测系统.在该系统结构中,将入侵检测代理层次化,同时采用点对点连接及动态聚合技术建立各个代理之间的通信机制[5].通过代理技术的可移动性、自适应性,弥补了目前的网络入侵检测系统采用静态构件的缺陷.随着网络技术的不断发展和网络规模的不断扩大,该模型能实现全网络范围内的入侵检测,由于采用分布式架构,对网络及主机系统资源消耗低,而且具有可移植性.2.1 移动Agent入侵检测框架模型该模型以移动代理为组织单元,按照具体网络系统安全策略需求,根据移动Agent的自主迁移功能,具体配置在被监控的网络系统主机上,从而成为整体系统的一个模块.设计的移动代理框架模型如图2所示,其中分布在整个网络系统中的每一个移动代理系统均包含最基本的六个模块:Agent Server,核心信息检测Agent事件数据库,Agent Communicator,本地信息库.Agent调度子系统是整个代理框架的核心,其主要负责收集、统计、管理、查询各种Agent子系统,建立Agent联盟.每一个Agent子系统都是一个完整的入侵检测系统,因此Agent调度子系统也负责网络入侵检测系统的管理,具体包括用户权限管理、设备管理、规则管理以及升级管理等.对于图2中移动Agent子系统的各模块功能解释如下. Agent Server(代理服务器)是整个入侵检测系统运行的基础,主要控制Agent的建立、移动以及注销等基本服务.通过入侵检测代理模块对数据采集代理模块送来的数据进行分析,判断是否有入侵或异常行为,同时将经过预处理的可疑数据传送给检测Agent.检测Agent是整个系统的核心,其主要功能是当一个节点通过事件产生器收到可疑入侵信息后,如果无法确定数据的可疑性,则立即将这个信息发送给它的邻居Agent子系统,然后由这些邻居节点按照自己的事件数据库来判断这一节点发来的信息是否可靠.如果这些邻居节点中的大多数能够确认前一节点发送来的信息是值得信任的,则将其添加到自己的事件数据库并将其继续发送至其它邻居节点,否则,它们认为这个节点是不可信任的,同时停止向其邻居节点发送信息.核心信息包含了每一个Agent子系统的关键信息,比如关键数据文件、文件结构、校验和以及一些访问控制文件等信息.事件数据库用来存放当前Agent子系统中通过事件产生器和事件分析器产生的临时文件和最终数据,以备系统在需要时使用.临时文件不仅包含事件产生器在网络环境中通过监视网络数据流收集的入侵信息,也存储了来自邻居节点的通过检测代理过滤的邻居节点的数据信息.Agent Communicator主要实现Agent联盟中各个移动Agent子系统之间的相互通信以及代理迁移.通信是移动Agent系统的关键技术之一,为保证各个移动Agent系统之间通信的可靠性、高效性,避免通信失效问题,本文采用参考文献中的基于主动通信机制[5].主动通信机制把发送消息的任务分散到网络中的各个节点,要发送的消息不发生移动,通过接收者主动获取发给它的消息.2.2 移动Agent迁移通信过程在分布式入侵检测系统中使用代理的迁移性[6],在被监控系统中安置若干个执行监控功能的代理,这些代理主要负责在本地主机采集信息,分析入侵行为.代理迁移过程如图3所示.图3 Agent迁移过程对于网络系统中的两台主机,分别用结点A、结点B表示相邻的两台主机,主机A上的入侵检测系统检测到的一个事件,在其无法做出入侵行为判断时,通过本机上的代理服务器发送协助请求,本机代理服务器派出代理到邻居主机B上,主机B上共享代理服务器运行的环境,可以使得接收到的代理与本机上的入侵检测子系统进行交互,从而获取特定信息并进行处理.最后发出的代理带着结果数据返回源主机,提供相应的处理对策.任何两个节点之间的通信采用点对点的全双工通信,以保证通信的效率和可靠性.2.3 协同网络入侵检测系统工作流程根据本文前面提出的基于移动代理的入侵检测系统模型[7],通过将网络入侵检测系统两种检测模式即误用检测模式和异常检测模式协同应用,设计整个系统工作流程如图4所示.图4 工作流程图3 结语本文从传统入侵检测模式出发,通过对比基于主机入侵检测系统及基于网络入侵检测系统两种系统,重点阐述了网络入侵检测系统的功能、基本组件及不足.通过将代理技术引入到入侵检测系统中,提出了一种基于分布式移动代理的网络入侵检测框架模型,并分析了各个代理之间的迁移及通信机制,最后以该框架为原型,通过将误用检测模式和异常检测模式协同应用,设计了一种基于分布式移动代理的协同网络入侵检测系统工作流程.通过分析,设计的网络入侵检测系统能进一步提高检测效率,降低漏报率,由于引入代理技术,降低了整个网络系统和各个主机的资源占用率,增强了整个系统的可扩展性.下一步的工作是对该模型做进一步的优化,并以该模型为基础,在具体的入侵检测中予以实施.[1] 唐洪英,付国瑜.入侵检测的原理与方法[J].重庆工学院学报, 2002,16(2):71-73.[2] LUNT T F. A Survey of Intrusion Detection Techniques[J]. Computer & S ecurity,1993,12(4):405-418.[3] DENNING D E. An Intrusion Detection Model[J]. IEEE Transaction on Sof tware Engineering,1987,13(2):222-232.[4] 落红卫.网络入侵检测系统及性能指标[J].电信网技术,2005(11):24-26.[5] 杨博,刘大有,杨鲲,等.移动Agent系统的主动通信机制[J].吉林大学软件学报,2003,14(7):1338-1344.[6] 王汝传,邓玉龙.基于Internet的代理技术在电子商务中的应用[J].计算机应用,1998,18(12):8-10.[7] 徐长棣,刘方爱.基于P2P和移动代理的入侵检测系统研究[J].计算机技术与发展,2007,17(1):164-166.[责任编辑:邢玉娟]An Internet Intrusion Detection Framework Based on Mobile Agentand Distributed EnvironmentCHEN Jian-guo,LI Si-hai(School of Information Science & Engineering, Gansu University of TCM, La nzhou 730000, China)Abstract:With the development of the Internet technology and the networ k scale, it’s essential for netusers to focus on the network security. This pa per presents an internet intrusion detection framework based on mobile a gent and distributed environment, and designes an internet intrusion dete ction system work flow by cooperatively using misuse detection and anom aly detection.Key words:distributed environment;mobile agent;cooperative using;interne t intrusion detection framework收稿日期:2016-02-24作者简介:陈建国(1981-),男,甘肃镇原人,讲师,硕士,主要研究方向为网络安全,医学数据挖掘.E-mail:****************.文章编号:2095-6991(2016)03-0056-04中图分类号:TP393.08文献标志码:A检测Agent是整个系统的核心,其主要功能是当一个节点通过事件产生器收到可疑入侵信息后,如果无法确定数据的可疑性,则立即将这个信息发送给它的邻居Agent子系统,然后由这些邻居节点按照自己的事件数据库来判断这一节点发来的信息是否可靠.如果这些邻居节点中的大多数能够确认前一节点发送来的信息是值得信任的,则将其添加到自己的事件数据库并将其继续发送至其它邻居节点,否则,它们认为这个节点是不可信任的,同时停止向其邻居节点发送信息.核心信息包含了每一个Agent子系统的关键信息,比如关键数据文件、文件结构、校验和以及一些访问控制文件等信息.事件数据库用来存放当前Agent子系统中通过事件产生器和事件分析器产生的临时文件和最终数据,以备系统在需要时使用.临时文件不仅包含事件产生器在网络环境中通过监视网络数据流收集的入侵信息,也存储了来自邻居节点的通过检测代理过滤的邻居节点的数据信息.Agent Communicator主要实现Agent联盟中各个移动Agent子系统之间的相互通信以及代理迁移.通信是移动Agent系统的关键技术之一,为保证各个移动Agent系统之间通信的可靠性、高效性,避免通信失效问题,本文采用参考文献中的基于主动通信机制[5].主动通信机制把发送消息的任务分散到网络中的各个节点,要发送的消息不发生移动,通过接收者主动获取发给它的消息.2.2 移动Agent迁移通信过程在分布式入侵检测系统中使用代理的迁移性[6],在被监控系统中安置若干个执行监控功能的代理,这些代理主要负责在本地主机采集信息,分析入侵行为.代理迁移过程如图3所示.对于网络系统中的两台主机,分别用结点A、结点B表示相邻的两台主机,主机A上的入侵检测系统检测到的一个事件,在其无法做出入侵行为判断时,通过本机上的代理服务器发送协助请求,本机代理服务器派出代理到邻居主机B上,主机B上共享代理服务器运行的环境,可以使得接收到的代理与本机上的入侵检测子系统进行交互,从而获取特定信息并进行处理.最后发出的代理带着结果数据返回源主机,提供相应的处理对策.任何两个节点之间的通信采用点对点的全双工通信,以保证通信的效率和可靠性.2.3 协同网络入侵检测系统工作流程根据本文前面提出的基于移动代理的入侵检测系统模型[7],通过将网络入侵检测系统两种检测模式即误用检测模式和异常检测模式协同应用,设计整个系统工作流程如图4所示.本文从传统入侵检测模式出发,通过对比基于主机入侵检测系统及基于网络入侵检测系统两种系统,重点阐述了网络入侵检测系统的功能、基本组件及不足.通过将代理技术引入到入侵检测。
第3章 入侵检测系统模型PPT课件
3.2 信息收集
• 3. 程序执行中的不期望行为 网络系统上的程序执行一般包括操作系统、网络服务、
用户起动的程序和特定目的的应用,例如数据库服务器。 每个在系统上执行的程序由一到。每个进程执行在具有不 同权限的环境中,这种环境控制着进程可访问的系统资源、 程序和数据文件等。一个进程的执行行为由它运行时执行 的操作来表现,操作执行的方式不同,它利用的系统资源 也就不同。操作包括计算、文件传输、设备和其它进程, 以及与网络间其它进程的通讯。
13
3.2 信息收集
• 3.基于主机的数据收集和基于网络的数据收集 • 基于主机的数据收集是从所监控的主机上获取的数据;基
于网络的数据收集是通过被监视网络中的数据流获得数据。 • 总体而言,基于主机的数据收集要优于基于网络的数据收
集。
14
3.2 信息收集
4. 外部探测器和内部探测器
• (1) 外部探测器是负责监测主机中某个组件(硬件或软件)
7
3.1 入侵检测系统模型概述
• 3. 用户自定义规则:用户可以根据漏洞扫描系统评估自己 的系统,根据服务器操作系统类型,所提供的服务以及根 据漏洞扫描结果制定属于自己的规则文件。这对管理员提 出了更高的要求。
• 4. 采用先进的协议分析+ 模式匹配(滥用检测和异常检测 结合使用) + 异常统计的检测分析方法。
16
3.2 信息收集
• 2. 目录和文件中的不期望的改变 • 网络环境中的文件系统包含很多软件和数据文件,包含
重要信息的文件和私有数据文件经常是黑客修改或破坏的 目标。目录和文件中的不期望的改变(包括修改、创建和 删除),特别是那些正常情况下限制访问的,很可能就是 一种入侵产生的指示和信号。黑客经常替换、修改和破坏 他们获得访问权的系统上的文件,同时为了隐藏系统中他 们的表现及活动痕迹,都会尽力去替换系统程序或修改系 统日志文件。
基于黑板的自治代理协同入侵检测系统模型
基于黑板的自治代理协同入侵检测系统模型
陈继;李凯;周健
【期刊名称】《计算机与数字工程》
【年(卷),期】2004(032)003
【摘要】入侵检测系统是针对网络攻击的重要检测机制.迅速发展的网络技术、互联网流量的迅速增长以及攻击的复杂性使得现存的入侵检测系统难以提供可靠的服务.这就需要考虑优化性能,提供一种具备学习和自适应能力的入侵检测系统.文章提出了一种入侵检测模型,它基于自治agent和黑板结构,具有更好的自学习能力,这种检测系统能够自动适应网络环境和攻击类型的不断变化提高自身对新型的网络攻击的检测能力.
【总页数】4页(P59-62)
【作者】陈继;李凯;周健
【作者单位】合肥工业大学计算机信息学院,合肥,230009;合肥工业大学计算机信息学院,合肥,230009;合肥工业大学网络中心合肥,230009
【正文语种】中文
【中图分类】TP393
【相关文献】
1.基于自治代理的网络入侵检测系统的研究及其可扩展标签语言通信的实现 [J], 李涵
2.基于异常和误用检测协同的多代理分布式入侵检测系统模型 [J], 吕嘉祥;李益发
3.基于自治代理的分布式入侵检测系统模型的研究 [J], 王秀英;张万颖
4.一种基于演化自治代理的入侵检测系统模型 [J], 董红斌;汪小栋
5.基于多代理的协同分布式入侵检测系统模型 [J], 陈晓苏;林军;肖道举
因版权原因,仅展示原文概要,查看原文内容请购买。
一种基于自治域的协同入侵检测与防御机制
一种基于自治域的协同入侵检测与防御机制
韩宗芬;陶智飞;杨思睿;邹德清
【期刊名称】《华中科技大学学报:自然科学版》
【年(卷),期】2006(34)12
【摘要】针对日益严重的大规模网络攻击,提出一种基于自治域的协同入侵检测与防御机制,将受保护网络划分为具有层次结构的安全自治域,在自治域内采用对等结构(P2P)进行分布式检测和防御,同时通过安全策略描述协同关系、控制安全域内和域间的协同检测防御,将协同范围限制在与攻击相关的网络区域内,避免不必要的大范围协同通信,降低协同检测和防御带来的网络开销.模拟测试表明,该机制有效实现了协同通信延迟和通信负载的平衡.
【总页数】3页(P53-55)
【关键词】网络安全;安全自治域;协同检测;对等结构
【作者】韩宗芬;陶智飞;杨思睿;邹德清
【作者单位】华中科技大学集群与网格计算湖北省重点实验室
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.基于多自治代理的一种分布式入侵检测系统 [J], 王霞;李炳发;王萍
2.一种基于自治Agent的分布式入侵检测系统 [J], 王丽辉;李涛;杜雨;郭京;胡晓勤;卢正添
3.一种基于域的无线Ad HOC网络入侵检测系统 [J], 龚媛媛
4.基于黑板的自治代理协同入侵检测系统模型 [J], 陈继;李凯;周健
5.基于自治域协同的域间路由信誉模型 [J], 陈迪;邱菡;祝凯捷;王清贤;朱俊虎因版权原因,仅展示原文概要,查看原文内容请购买。
基于协同进化遗传算法的入侵检测技术研究的开题报告
基于协同进化遗传算法的入侵检测技术研究的开题报告一、研究背景和意义随着网络技术的不断发展,网络安全问题已成为一个十分重要的领域,入侵检测技术也逐渐成为网络安全领域的热点问题。
入侵检测技术是指通过分析网络中的数据流来检测到入侵行为,以及采取相应的措施来保证网络安全。
目前,许多入侵检测技术采用传统的数据挖掘算法,如支持向量机、决策树等,但受限于算法的优化和处理能力,这些算法存在一定的局限性。
基于协同进化遗传算法的入侵检测技术,是一种结合了协同进化算法和遗传算法的新型入侵检测技术。
其中,协同进化算法是通过不同个体间的交互和协作来提高算法的性能,遗传算法是一种优化算法,可有效解决复杂问题。
该技术可以有效提高入侵检测系统的准确性和效率,提高网络安全的水平。
二、研究内容和目标本文旨在研究基于协同进化遗传算法的入侵检测技术,探究其在网络安全领域中的应用。
主要研究内容包括:1.协同进化遗传算法的理论研究,包括算法的主要思想、基本流程和优化方法。
2.基于协同进化遗传算法的入侵检测技术研究,包括算法适用性、算法实现和改进等方面。
3.在实验环境中测试和评估入侵检测技术的效果,比较其与传统入侵检测技术的优缺点。
本研究的主要目标是开发一种有效的基于协同进化遗传算法的入侵检测技术,提高入侵检测系统的准确性和效率,从而保护网络安全。
三、研究方法本研究将采用实验研究方法,通过仿真实验来验证基于协同进化遗传算法的入侵检测技术的有效性。
具体研究步骤如下:1.根据协同进化遗传算法理论,开发相应的算法模型;2.根据入侵检测技术的实际需求,设计并实现相应的入侵检测系统;3.使用实际的网络数据流,测试和验证入侵检测系统的准确性和效率;4.对实验结果进行分析和比较,得出结论。
四、预期结果通过本研究,预期能够开发一种有效的基于协同进化遗传算法的入侵检测技术。
该技术可以提高入侵检测系统的准确性和效率,从而保护网络安全。
同时,还将进一步完善该算法的理论基础,为该领域的进一步研究提供参考。
基于分布自治代理的层次入侵检测系统设计
基于分布自治代理的层次入侵检测系统设计黄辰林;赵辉;胡华平【期刊名称】《计算机工程与应用》【年(卷),期】2001(037)006【摘要】Intrusion Detection(ID)is an important aspect in network security technology. As to enterprises′ Intranet,the approaches of layered filtration,distributed processing,hierachical management,security communication and autonomous agent are adopted to our architecture to put forward a Hierachical Intrusion Detection System Based on Distributed Autonomous Agents,and the architecture and the detailed design of the IDS are presented. The IDS has the desirable characteristics of real-time detection,real-time response,in-time recovery,robustness and scalahility and so on.%入侵检测是网络安全技术的一个重要方面。
文章针对企事业单位内部网络安全的特点,分别引入了分层次过滤、分布处理、分层管理、自治代理以及安全通讯的思想,提出了基于分布自治代理的层次入侵检测系统模型,并给出了该入侵检测系统的体系结构与详细设计。
该入侵检测系统具有实时检测、实时响应、及时恢复、健壮性好、可伸缩性好等优点。
【总页数】4页(P47-49,76)【作者】黄辰林;赵辉;胡华平【作者单位】国防科技大学计算机学院;国防科技大学计算机学院;国防科技大学计算机学院【正文语种】中文【中图分类】TP393.O8【相关文献】1.基于代理的分布式防火墙与入侵检测协同防御系统设计与应用 [J], 王浩2.基于多自治代理的一种分布式入侵检测系统 [J], 王霞;李炳发;王萍3.基于移动代理的多层次分布式入侵检测网络预警系统 [J], 张淑英;刘淑芬4.基于自治代理的分布式入侵检测系统模型的研究 [J], 王秀英;张万颖5.基于自治代理的分布式入侵检测系统框架设计 [J], 付湘琼;胡建华;王清心;周海河因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
当前在准确检测网络攻击方面一些研究采用了神经网络的一些方法,即将基于规则的检 测系统和神经网络结合来开发高性能入侵检测系统,采用非传统的基于人工智能技术来开发 一种高效入侵检测系统,比如使用基因算法、数据挖掘技术和模式识别技术。研究人员通常 使用不同类型的新技术来发展入侵检测系统.可是在已经得到应用的入侵检测模型中通常不 具备具有持久学习能力的功能部件,而具有学习能力的入侵检测系统是能够在网络环境中自 己调整自己并且利用增长的经验来提供高效的检测性能“1。
data. Keywords:Intrusion Detection:Blackboard Architecture:Autonomous Agents:
Artificial Neural Networks
1引言 随着网络应用程序的迅速发展,针对网络系统的攻击已经成为信息技术领域中日益增长
的问题。每年由于入侵者篡改数据导致商务企业遭受大量经济损失。因此,这就需要利用可 靠、健壮、灵活的入侵检测系统来有效保护重要数据和瓷料。最近关于网络安全工作一些新 的研究领域,主要集中在以下几个方面:人工智能、数据挖掘、统计技术以及用于分布式入 侵检测的agent结构,如自治agent、智能agent和移动agent。结合这些新技术的发展并 针对传统入侵检测系统的不足,本文提出了一种基于黑板三层结构和自治学习agent的分布 式入侵检测结车句模型,它具有学习和自适应能力,能够通过自学习特性来适应网络环境和攻
第六种代理是ANN分析代理(A6),(Artificial Nerve Network,ANN.人工神经网络)。 因为入侵检测系统的最终检测目的是利用某种程度的信任标准识别出受影响的网络数据。 A6可以实现这个目标。A6包含一组不同类型的ANN,它通过黑板上存放信息中包含的数据, 在其中寻找不同类型的攻击并且决定这些ANN中哪一种ANN适合于分析这种类型攻击的工 作。如果在这些数据集中没有攻击存在,那么A6将在产生的分析结果中打上标志。
- 它的优点在于它的模块性、动态控制性、并发性、高设计效率、鲁棒性以及能够处理多 重知识资源的能力”1。黑板结构可以作为开发本文提出入侵检测模型的一种基础结构。
3.2自治agent
除了一般自治agent所具备的特点,本文模型中集成在基于黑板结构中的自治agent,能 够在主机系统上完成某种安全检测功能。这-VLeagent是独立运行实体,各自性能不受其他agent 的影响:能够持续运行而且能够有效抵制入侵并且拥有最小的系统开销。这类自治agent是 可配置的,具备易适应性、可进行动态重新配置和灵活升级州。
行交互来完成它们各自行为动作。在这种系统中,没有控制或者管理agent,但是在每个agent 中内嵌了一种控制机制用来引导这些agent的行为。
4.2系统分析和工作流程
图1中第一种自治代理称为弼络数据读代理(A1)。它主要通J吐Tepdump(Linux环境下 网络数据采集分析工具)采集网络数据。Tcpdump用特定格式记录网络数据。Al以1000个数
3系统采用的主要技术 3.1黑板结构
黑板结构是人工智能领域中的一种常用手段,在多数具有灵活知识系统结构中用于建立 基于决策应用的一种结构。黑板结构可以通过对知识源的引用对设计活动进行控制,可以在
代理结构中作为协调手段。它主要包括: fn接口:对交互信息按消息协议进行封装后发送给其它代理,其它代理发来的消息经
在网络环境中,数据流的不定向对检测系统的灵活性有着明显影响,Balasubramaniyan 曾经使用基于规则的自治agent入侵检测系统与单纯基于规则的入侵检测系统对同一种入 侵行为进行检测,结果表明单纯基于规则的入侵检测系统在面对网络数据流时缺乏识别新型 攻击的灵活性,只有通过经常性的更新才能保证系统能够包括攻击者发起的一些新的攻击模 式‘2’”。
须数据。A1将需要分析的数据发送到黑板上后,A2一旦发现这些数据,它就进行分析工作。 A2中包含基于规则的分类分析器,它向黑板通告Al发送的这些数据是否是合法数据。如果 在这些数据发现了问题并具有攻击踪迹,那么A2会提示这是何种攻击。
第三种自治代理是输出代理(A3),它向安全审计器或者系统管理员提示早期警报信
learning,which may result in better performance than present systems.This feature enables the system t。adapt to changes in the network environment as it assimilates mol"e network
据包
罔络羲据境
初始分析代 理(A2)
攻击分_赉代 理(A5)
网络数据读代理(A1) 系统数据读代理(A4)
黑板结构
裂
。气;虿i暑。1。。。
ANN分析代 理(A6)Fra bibliotek学习代瑾
(A7)
图1 系统模型示意图
(网络活动信息)为一组来采集数据并且将这些数据粘贴在黑板上。 第二种自治代理叫做初始分析代理(A2),它的职责是不间断地观察黑板并且获得必
2.1网络入侵典型类型:
常见的入侵主要有以下几种类型: (1)拒绝服务攻击。这是~种严重的网络攻击形式,能够拒绝用户正常服务访问,破 坏组织的正常运行,最终使部分Internet连接和网络系统失效。而导致网络使用者大量的 经济损失。尽管拒绝服务攻击原理非常简单,即利用合理的服务请求来占用过多的服务资源 从而使合法用户无法得到服务,但在这种典型攻击下,攻击者最终会使带宽资源耗尽,导致 网络资源变得不可访问而影响正常用户的使用。 (2)猜测远程登录攻击。这种攻击主要采用猜测保护网络资源口令的方式并获得对资 源的控制权。 (3)扫描攻击。这种攻击是攻击者通过扫描被攻击系统的不同端口,找出某些易受攻 击漏洞,通过这些漏洞,攻击者可以发动其他形式的攻击。
关键词:入侵检测{黑板结构;自治代理;人工神经网络
Model of learning intrusion detection System based on
autonomous agent
CHEN Ji,LIKai,ZHOU Jian
(Computer Information School,Hefei University ofTechno[ogy,,Anhui,Hefci,230009)
过 解析得到有意义的内容。 (2)知识库和数据库:存放与代理活动相关的本地知识和数据。 (3、黑扳:是外界的消息内容和各功能单元工作过程的中间信息的存放区,使外界的消
息内容可被各功能单元使用。各功能单元之间可以交换数据,了解其它代理的工作状态。 (4)功能组:代理的功能实现模块,可以是一个子代理,也可以包含其它功能和代理。
息。
第四种自治代理是系统数据读代理(A4),A4将负责收集系统中被保护系统的特定信 息并发往黑板,检测和判断由入侵攻击行为引起的损害程度.这类收集的特定信息包括可用 网络带宽、CPU使用效率、每秒通过的网络数据包数、内存利用情况、网络连接数、连接尝 试次数、使用协议、源地址到目的端口率(指可访问端口的变化速率)和数据包长度等。
4系统基本结构
本模型使用黑板技术和自治agent,来有助予检测入侵行为。如图l所示,系统采用多层 格式结构。
4.1系统主要组成
该检测模型中包含三个主要部件:行为自治agent,黑板结构和控制机制。行为自治agent 包括八种自治agent并且通过彼此闻的相互合作来合作完成检测任务。它们通过黑板结构进
击类型变化、丰富自身知识库适应不断出现的新型攻击类型.
2典型入侵和检测方法现状
入侵检测过程可以被定义成一种问题集来识别未经过认证使用网络资源的非法个体和 保护认证用户安全访问网络资源.在网络中,入侵既可能来自网络外部,也可以来自网络内 部发生,这就提出了两种不同类型的网络入侵检测系统:基于主机的入侵检测系统(HIDS) 和基于网络的入侵检测系统(NIDS).HIDS可以被定义成一种能够检测到计算机系统中误用 的安全系统.NIDS系统能够识别误用操作或者来自圈络外部在没有经过认证情况下对网络 资源的未授权使用…。文章提出的模型将在NIDS系统基础上利用冀板和自治agent技术实 现入侵检测。
2.2目前入侵检测方法的不足
目前入侵检测的大部分方法是利用某种形式的基于规则的分析方法。基于规则的分析方 法依赖于管理员预先定义或系统生成或二者同时产生的规则集。专家系统是基于规则入侵检 测方法中最常用的一种方法。基于规则的系统通常不能检测到那些发生在过长时问段内的攻 击情节,缺乏审计规则记录自动更新的灵活性,因此攻击者发动攻击时攻击序列的微小变化 都可能导致系统漏检或者误报,降低系统检测性能。
第七种代理是学习代理(A7),该模型在被动态嵌入到检测规程中后,学习代理能够 自主了解和学习新出现的攻击形式,由于初始分析代理(A2)是由基于规则分析器系统控 制的,所以这种类型的分析系统拥有一套按照事实分类的规则集。A2审计由网络数据读代 理(AI)记录的网络数据并且报告这些数据是否包含攻击或者这些数据是否是合法数据。 如果A2发现了一种新的网络数据模式那么A2会发出入侵警告,然后系统继续保持监视这种 新模式,如果在后来的系统工作过程中发现引起警报的该模式中的数据是安全的,那么学习 代理将会更新A2的规则集表明这种新的网络数据模式是安全的。因此,如果在初始分析时 A2产生了错误入侵警报,或者在任何时候一种新的攻击类型被检测到但在规则集中没有支 持该类攻击的检测规则,那么学习代理(A7)会根据系统出现的新的情况生成新的规则来 自动更新系统中存在的规则集用于以后类似的入侵检测处理。