傅来银[1]2005年在《基于Agent的分布式协同入侵检测系统研究》文中研究表明随着计算机技术的发展,计算机网络得到广泛使用,一些机构和部门在得益于它们的同时,其保存的数据遭到了不同程度的破坏,数据的安全性和自身的利益受到了严重的威胁。针对这些入侵攻击,研究高效的网络安全防护和检测技术,开发实用的网络安全检测系统具有重大的研究、实践和商业意义。本文在研究许多成熟的入侵检测系统的基础上,提出了一些自己的见解。 本文首先在分析各类分布式入侵检测系统特点的基础上结合Agent技术的优势提出一种基于Agent的可入侵容忍的分布式入侵检测系统的系统模型。详细的介绍了这个系统的结构组成,各个组成Agent的结构和工作原理,并根据它对一个复杂入侵的检测过程阐述了它的工作流程和原理,总结了采用这种体系结构的优越性。 接下来本文讨论了采用这种体系结构的入侵检测系统所涉及的关键问题之一——Agent之间的协作和通信。首先总结了Agent之间存在的各类协作,并根据协作总结了通信内容,然后设计了一套可行的应用层的通信协议,另外通信协议的实现要建立在一个良好的通信模型的基础上,本文采用的就是基于传统RPC技术的通信模型。 最后本文重点讨论了本系统的另一个关键问题——入侵检测系统的自身的安全性。本文首先总结了本系统自身所存在的安全缺陷,针对这些弱点采用报文过滤、状态监控Agent的状态监控、安全通信等措施保证入侵检测系统自身的安全性,确保它具有一定的入侵容忍能力。
蔚雪洁[2]2008年在《基于代理的分布式入侵检测系统的研究》文中进行了进一步梳理日益复杂和分布的入侵使得传统的入侵系统无法满足用户的需求,迫切需要采用新的方法来提高入侵检测系统的效率。代理(Agent)技术的特性使Agent非常适用于引入入侵检测领域。代理技术给分布式检测系统带来诸多优点,它能够减轻网络负担、缩短网络等待时间、异步自治执行、动态自适应、异构环境运行、健壮性和容错能力。本论文分析了现行的基于代理入侵检测系统的缺点,在此基础上,针对性地提出了一种基于代理的分布式入侵检测系统模型ADIDS(Agent-based Distributed IntrusionDetection System)。该模型采用中心管理模块对各个代理统一管理,每个代理都有唯一的标识身份的ID,并为代理加入身份验证,完整性鉴定和加密机制,通过多Agent技术来实现检测自治化和多主机间检测信息的协调,且采用分层结构,将检测管理器的地址隐蔽起来,提高了入侵检测系统自身的安全性,解决了中心控制模块的瓶颈问题,有效检测了分布式的攻击行为。在检测部件的实现上,使用了协议分析和模式匹配相结合的方法,有效地缩小了目标的匹配范围,提高了检测速度;在决策过程中引入了关联分析模块和情报代理模块,不仅能够更好的发现多个攻击之间的内在联系,而且能减少误报,能够较好的应对分布式拒绝服务攻击。针对目前入侵检测系统成为被攻击目标的现状和代理技术给系统自身带来的安全问题,又提出了相应的安全策略和方法,解决了移动代理技术中的安全认证和中心模块被攻击的问题。最后对本系统进行了测试,针对测试结果分析了系统的可行性,实用性。给出了该系统还没实现的功能,并提出了今后的研究方向。
陈光[3]2007年在《基于Agent的分布式入侵检测系统的研究与设计》文中研究说明随着互联网的日益普及和发展,互联网络已经渗透到社会生活的各个角落,但网络给人们带来方便性的同时也带来了一系列的安全问题。传统的安全措施已经无法满足对安全高度敏感的部门的需要。入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术。在现实环境下,入侵检测系统成为了安全市场上新的热点,不仅愈来愈多的受到人们的关注,而且已经开始在各种不同的环境中发挥其关键作用。本文首先对网络中存在的各种安全问题进行了全面的分析,并对入侵检测技术做了全面介绍,接着介绍分布式入侵检测系统的定义、优点及模型,并对基于Agent的分布式入侵检测系统的进行了设计。
傅涛[4]2008年在《基于数据挖掘的分布式网络入侵协同检测系统研究及实现》文中认为随着网络入侵形式的不断变化与多样性,传统的网络安全技术与设备已不能充分抵御网络攻击。例如,目前推出的商用分布式入侵检测系统基本是采用基于已知入侵行为规则的匹配技术,检测引擎分布在需要监控的网络中或主机上,独立进行入侵检测,入侵检测系统中心管理控制平台仅负责平台配置、检测引擎管理和各检测引擎的检测结果显示,对各检测引擎的检测数据缺乏协同分析。同时网络入侵检测系统与防火墙、防病毒软件等之间也是单兵作战,对复杂的攻击行为难以做出正确的判断。异常入侵检测技术根据使用者的行为或资源使用情况判断是否存在入侵行为,通用性较强,缺陷是误检率太高。误用检测运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测攻击,检测准确度高,但系统依赖性太强,检测范围受已知知识的局限。将数据挖掘技术应用到入侵检测系统是目前入侵检测研究的重要方向,论文讨论了基于数据挖掘的入侵检测主体技术,指出了联合使用几种数据挖掘方法和将数据挖掘与传统的误用检测、异常检测协是一个重要的研究方向。论文提出了改进的FP-Growth的关联分析算法、基于分箱统计的FCM网络入侵检测技术和基于免疫学原理的混合入侵检测技术。改进的FP-Growth算法引入了聚合链的单链表结构,每个节点只保留指向父节点的指针,节省了树空间,有效解决了数据挖掘速度问题,提高了入侵检测系统的执行效率和规则库的准确度;基于分箱统计的FCM网络入侵检测技术不需要频繁更新聚类中心,同时耗时问题也得到较好的改善,将特征匹配与基于分箱的FCM算法相结合,能较好的发现新的攻击类型,便于检测知识库的更新;基于免疫学原理的混合入侵检测技术充分发挥了免疫系统在实现过程中表现出的识别、学习、记忆、多样性、自适应、容错及分布式检测等复杂的信息处理能力,具有良好的应用前景。论文分析了网络入侵检测技术在检测性能、系统的健壮性与自适应性等方面存在的主要问题,讨论了网络入侵检测技术的发展趋势。针对目前商用入侵检测系统协同分析几乎空缺、规则更新滞后、检测技术与入侵手段变化不适应的现状,提出了基于数据挖掘的分布式网络入侵协同检测系统(以下简称“协同检测系统”)模型。该模型从数据采集协同、数据分析协同和系统响应协同叁个方面实现了入侵检测系统的结构协作、功能协作、动作协作和处理协作,有效增强了入侵检测系统的检测能力。论文详细讨论了“协同检测系统”的检测引擎设计、通信模块设计和系统协同设计。检测引擎是系统的主体,涉及到网络数据包捕获、数据解析、入侵检测等功能。针对高速网络环境下信息量大、实时性要求高,使用Libpcap捕包易造成掉包与瘫痪的现状,提出了内存映射与半轮询(NAPI)捕包新技术,有效减少了系统内核向用户空间的内存拷贝,避免了重负载情况下的中断活锁,确保了高速网络环境下数据包采集的实时性与准确性。数据解协首先对链路层包头、IP层包头、传输层包头、应用层协议四部分进行解析,然后对数据作预处理。在此基础上,运用改进的FP-Growth算法对网络数据进行挖掘,检测子模块解释并评估数据挖掘模块提取的模式,结果送至反馈端口。通信模块实现了数据采集解析器与数据挖掘检测器之间、检测引擎和报警优化器之间、报警优化器与中心控制平台之间的有效通信,给出有关函数。系统协同设计是本系统的特色。本文从入侵检测系统内部数据采集协同、入侵检测系统与漏洞扫描系统协同、入侵检测系统与防病毒系统协同、检测引擎分析协同、不同安全系统分析协同、IDS与防病毒系统协同、IDS与交换机协同、IDS与防火墙协同等方面,科学地给出了数据采集协同、数据分析协同、系统响应协同的含义、原理、方法与实现过程。系统离线实验和仿真实验表明:综合运用本文提出的叁种算法可以有效地提高检测效率,降低误报率和漏报率。本文开发的“协同检测系统”可以稳定地工作在以太网络环境下,能够及时发现入侵行为,及时正确记录攻击的详细信息,具备了良好的网络入侵检测性能。
宋吉华[5]2012年在《基于移动Agent的分布式入侵检测系统研究》文中提出入侵检测系统(Intrusion Detection System, IDS)能够有效弥补传统安全防护技术的缺陷,已经成为网络安全的重要技术。然而传统的基于主机或网络的入侵检测系统存在单点失效、占用网络带宽、协作性差和不易扩展等局限性。移动代理技术具有动态迁移性、与平台无关性、低网络流量、分布灵活性和高扩展性等特点,将其应用到入侵检测系统中,可以弥补传统入侵检测系统的不足。本文在分析入侵检测技术和移动代理技术的基础上,提出了一种基于移动代理的分布式入侵检测系统(Distributed Intrusion Detection System Based on Mobile Agent, DIDSMA)体系模型。该模型采用叁层结构,分别为数据采集层、管理层和控制层。数据采集层负责数据的采集和初步分析;管理层负责数据的整体分析检测,同时管理下层的移动Agent;控制层则负责整个系统的管理和配置,并对入侵行为作综合分析。各Agent分别位于不同的主机上,它们既可以独立工作,相互之间又可以通信、协作,每台主机上可以有多个Agent。本文对系统的主要功能模块作了详细设计,借助抓包工具Winpcap实现了网络数据的采集,利用Windows自带的工具dumpel实现了主机数据的采集。系统采用概率统计算法和数据挖掘算法来对数据进行分析检测。同时对系统的通信模块进行了设计,包括同层移动Agent之间的通信和上下层各Agent之间的通信。最后在Windows环境下利用Aglet平台对系统进行了实现,并进行了测试,测试结果表明该检测系统能比较准确地检测出各种攻击,系统占用网络资源少、具有较好的可扩展性。
张鑫[6]2007年在《分布式防火墙的入侵检测系统基础架构的设计与实现》文中认为计算机网络的飞速发展给我们带来极大的便利,但是网络也有其缺陷,那就是网络安全方面的问题。网络中存在多种不安全因素,例如计算机病毒、木马程序、网络黑客等等。怎样解决网络安全问题也成为一个非常重要的课题。在目前保障网络安全的方法中,入侵检测是一种非常重要的方法。入侵检测技术是指通过监视网络上的各种数据包和主机上的各种审计数据来分析是否有黑客试图进入系统的技术。随着网络的发展,传统的集中式的入侵检测系统已经不能满足需要。因此需要提出一个分布式的入侵检测系统。考虑windows操作系统的普及性,我们在windows系统上实现了数据采集模块。为了提高系统的入侵检测分析的灵活性和普及性,将数据采集、存储、分析等功能融合到每一个可以在网络主机上独立运行的Agent当中。每个Agent都可以独立地在网络上进行数据采集和入侵分析,同时也可以同其他Agent通信和共享入侵分析数据和结果。
王瑶[7]2002年在《基于Agent的分布式入侵检测系统的研究及实现》文中指出论文对网络入侵检测技术进行了研究,旨在此基础上构造了一个基于Agent的分布式入侵检测系统(DIDSA,Distributed Intrusion Detection System based On Agent)。 论文首先分析了Internet安全性问题存在的原因、当前普遍采用的网络安全技术的优缺点,鉴于入侵检测技术对网络安全所起的重要作用,对入侵检测技术进行研究具有重要意义。 介绍了误用检测与异常检测各自的优缺点,各种体系结构的入侵检测系统的实现代价和安全性能和优缺点,设计并实现了一个基于Agent的分布式入侵检测系统DIDSA。此系统主要由各个运行在受监控机器上的彼此独立的Agent上,各个Agent主要由四个组件组成:探测器Detector、监视器Monitor、控制器Controller和传输器Communicator。 一个DIDSA系统可以分布在网络中任意数目的主机上。每个主机上有一定数量的Agent,Detector进行着最初的数据收集与数据处理,是最具灵活性的组成部分,每个Detector将发现报告给监视器。监视器是各Detector的总控实体,可负责主机级的和网络级的入侵检测,将从Detector接收的数据进行精简后向控制器报告。控制器是被保护网络上各主机探测器的控制实体,它们还可以相互连起来,形成网状结构,主要负责网络级的入侵检测。 通信是任何分布式系统都需要着重考虑的问题。DIDSA系统选定管道(pipe)来作为Agent内部通信方式,Socket来作为Agent间通信方式。 论文实现了DIDSA系统的部分具体功能,并对网卡的混杂模式,Linux内核提供的接口进行了介绍,又对探测器、监视器、控制器、传输器的功能实现进行了分述。 DIDSA系统框架运行在Unix/Linux操作系统的网络主机上,实现了网络从主机级到网络级的入侵检测。
张岩[8]2004年在《分布式入侵检测模型研究》文中研究指明计算机网络的迅速发展为全球范围内实现高效的资源共享和信息交换提供了方便,同时由于计算机网络的开放性和共享性,其安全性已成为人们日益关注的问题。在世界范围内,对计算机网络的攻击手段层出不穷,网络犯罪日趋严重,给各行各业带来了巨大的经济损失和其他方面损失。 入侵检测(Intrusion Detection)作为一种主动的信息安全保障措施,有效地弥补了传统安全防护技术的缺陷。通过构建动态的安全方案,可以最大限度地提高系统的安全保障能力,减少安全威胁对系统造成的危害。 随着计算机技术和网络技术的不断发展,分布式计算环境的广泛采用,海量存储和高带宽传输技术的普及,传统的基于单机的集中式入侵检测系统已不能满足安全需求。分布式入侵检测(Distributed Intrusion Detection,DID)逐渐成为入侵检测乃至整个网络安全领域的研究重点。本文针对面向大规模网络的分布式入侵检测的关键问题进行了研究: 本文首先分析了入侵检测的研究现状,对分布式入侵检测系统进行了深入的研究,探讨了其相对于传统IDS的优势及技术难点,并介绍了典型的代表系统。 在系统的结构模型方面,本文首先根据数据源和分析引擎的工作方式,将现有的入侵检测系统进行了树状分类,并根据入侵数据源将入侵分为外部入侵和内部入侵,在此基础上提出了一种新型的分布式入侵检测系统架构——基于Agent的分布式入侵检测模型(Agent-based Distributed Intrusion Detection Model),该模型具有良好的分布性、智能性和可维护性,不仅能够有效地解决系统扩展问题和单点失效问题,而且大大提高了检测效率和减少了响应时间。随后,本文引入了信息抽象级别(Information Abstraction Level)的概念,对检测过程中安全审计数据所经历的状态进行表述。 在系统的检测技术方面,本文采用了误用检测和异常检测(对异常检测采用双阈值的方法)相结合的方法,有效提高了检测效率和降低了漏报和误报。并用数据挖掘和数据融合技术对确定的异常入侵进行特征抽取形成新知识。 本文通过对系统的检测模型和检测算法的详细阐述,描述了我们所构建的分布式入侵检测系统的原理和技术,并对各种类型攻击进行了模拟检测。结果表明,系统可以准确地检测出以上多种类型的攻击行为,并及时地采取响应措施,阻断攻击者的网络连接。
杜巍[9]2017年在《分布式入侵检测系统关键技术的研究和实现》文中研究指明随着互联网上升到国家战略层面,网络及计算机技术得到了飞速发展,互联网已经全面触及到生活和工作的方方面面,信息安全面临着前所未有的威胁。因为基于互联网的应用和数据大都采用分布式部署在不同网络和地区,它们面临的入侵攻击更分布且更复杂。在这样的背景环境下,对入侵检测以及分布式入侵检测提出了更高的要求。本文主要对入侵检测和分布式入侵检测系统中的关键技术进行分析,并对无法适应目前入侵检测要求的方面进行了改进。最后基于本文的分析研究以及进行的改进工作,设计并实现了一个分布式入侵检测系统。分析研究工作的主要包括:(1)对分布式入侵检测系统以及其各类系统结构进行分析,为后面分布式入侵检测系统的结构设计方案提供了参考基础。(2)对分布式入侵检测中的两个关键内容进行了分析:基于BEEP的通信协议和信息交换格式IDMEF。针对BEEP协议的分析,为本文设计并实现分布式入侵检测系统中的BEEP通信组件提供技术支持。同时基于对IDMEF的分析,提出其不足之处,是本文对其进行了改进和创新工作的基础。(3)本文深入分析了误用入侵检测中常用的多模式匹配算法,并通过实验对比各种算法的性能,为将来提高入侵检测性能提供了理论和实验基础。在改进和创新方面:(1)基于对IDMEF的分析,本文对IDMEF提出了它的不足,并对此进行了改进,设计了新的IDMEF格式版本IDMEFNew。针对目前互联网应用中数据交互的新要求和发展趋势,提出并设计了JSON取代XML的方案。(2)同时为了应对大量数据的传输,并为将来与大数据平台Hadoop进行数据交换上的对接,让系统能借助大数据技术进行入侵检测分析。本文设计并实现了基于Avro的IDMEFNew编码组件。本文基于之前的分析和实验工作,设计并实现了一个分布式入侵检测系统。该系统入侵检测部分采用误用入侵检测的开源软件Snort实现。在系统结构方面借助基于Agent的分布式思想,将入侵检测部件独立,并增加了独立运行的节点管理器。该系统的通信交换协议采用了BEEP协议来实现,并在数据交换格式部分,采用了本文对IDMEF的改进并设计实现的Avro IDMEFNew编码组件。
刘思培[10]2005年在《基于移动代理的分布式入侵检测系统的设计与实现》文中研究表明本文首先分析了网络安全的发展现状及所面临的一系列的安全问题,指出了现在已有的入侵检测技术的局限性,阐述了入侵检测技术的发展历史和研究现状。深入研究了基于MA(移动代理Mobile Agent)的入侵检测技术,提出了一种面向分布式的基于移动Agent协作机制的混合型层次入侵检测系统模型。模型采用Jpcap包抓取网络数据包,提出了一种基于分类的模式匹配算法,基于移动Agent协作综合运用多种检测技术,完成安全入侵检测的功能。模型能够减轻网络的负荷,降低检测的漏报率、误报率,增强系统的可扩展性,对研究基于移动Agent技术的入侵检测系统具有一定的指导作用。同时,结合协议分析技术和模式匹配技术,提出了一种基于分类的模式匹配算法;结合移动代理和协作技术提出了一种移动代理协作机制;把软件保护思想和数据安全传输技术应用在移动代理的安全和入侵检测系统上的安全,保证了系统的安全性。在Windows环境下充分比较各种代理运行平台,选用IBM的Aglet作为实现的平台。利用JAVA实现了数据采集Agent和入侵检测Agent,实现了基于分类的模式匹配算法。
参考文献:
[1]. 基于Agent的分布式协同入侵检测系统研究[D]. 傅来银. 哈尔滨工程大学. 2005
[2]. 基于代理的分布式入侵检测系统的研究[D]. 蔚雪洁. 兰州理工大学. 2008
[3]. 基于Agent的分布式入侵检测系统的研究与设计[D]. 陈光. 吉林大学. 2007
[4]. 基于数据挖掘的分布式网络入侵协同检测系统研究及实现[D]. 傅涛. 南京理工大学. 2008
[5]. 基于移动Agent的分布式入侵检测系统研究[D]. 宋吉华. 中南大学. 2012
[6]. 分布式防火墙的入侵检测系统基础架构的设计与实现[D]. 张鑫. 吉林大学. 2007
[7]. 基于Agent的分布式入侵检测系统的研究及实现[D]. 王瑶. 昆明理工大学. 2002
[8]. 分布式入侵检测模型研究[D]. 张岩. 合肥工业大学. 2004
[9]. 分布式入侵检测系统关键技术的研究和实现[D]. 杜巍. 电子科技大学. 2017
[10]. 基于移动代理的分布式入侵检测系统的设计与实现[D]. 刘思培. 吉林大学. 2005
标签:互联网技术论文; 入侵检测系统论文; 入侵检测技术论文; 数据挖掘算法论文; 计算机网络论文; 数据挖掘技术论文; 协同软件论文; 分布式架构论文; 网络模型论文; 分布式算法论文; 网络攻击论文; 分布式处理论文; 分布式技术论文; 协同设计论文; 分布式部署论文; 代理模式论文; 通信论文; ids入侵检测论文;