蔚雪洁[1]2008年在《基于代理的分布式入侵检测系统的研究》文中研究说明日益复杂和分布的入侵使得传统的入侵系统无法满足用户的需求,迫切需要采用新的方法来提高入侵检测系统的效率。代理(Agent)技术的特性使Agent非常适用于引入入侵检测领域。代理技术给分布式检测系统带来诸多优点,它能够减轻网络负担、缩短网络等待时间、异步自治执行、动态自适应、异构环境运行、健壮性和容错能力。本论文分析了现行的基于代理入侵检测系统的缺点,在此基础上,针对性地提出了一种基于代理的分布式入侵检测系统模型ADIDS(Agent-based Distributed IntrusionDetection System)。该模型采用中心管理模块对各个代理统一管理,每个代理都有唯一的标识身份的ID,并为代理加入身份验证,完整性鉴定和加密机制,通过多Agent技术来实现检测自治化和多主机间检测信息的协调,且采用分层结构,将检测管理器的地址隐蔽起来,提高了入侵检测系统自身的安全性,解决了中心控制模块的瓶颈问题,有效检测了分布式的攻击行为。在检测部件的实现上,使用了协议分析和模式匹配相结合的方法,有效地缩小了目标的匹配范围,提高了检测速度;在决策过程中引入了关联分析模块和情报代理模块,不仅能够更好的发现多个攻击之间的内在联系,而且能减少误报,能够较好的应对分布式拒绝服务攻击。针对目前入侵检测系统成为被攻击目标的现状和代理技术给系统自身带来的安全问题,又提出了相应的安全策略和方法,解决了移动代理技术中的安全认证和中心模块被攻击的问题。最后对本系统进行了测试,针对测试结果分析了系统的可行性,实用性。给出了该系统还没实现的功能,并提出了今后的研究方向。
叶周武[2]2008年在《智能算法在入侵检测系统中的应用》文中研究表明随着计算机网络知识的普及,攻击数量越来越多,知识日趋成熟,攻击工具与手法日趋复杂多样,互联网上的安全已经越来越引起人们的注意。单纯的防火墙策略已经无法满足互联网用户的需求,入侵检测技术作为一种新型的检测方法,实时监视着网络中的不法行为,阻止入侵或试图控制系统及网络资源的恶意攻击,从而降低企业的遭受攻击的可能性,提高企业的信息安全程度。基于智能算法的入侵检测的出现为企业防止网络攻击提供了一条捷径,加快了入侵检测的速度,提高了企业自身的信息防范能力。本文在深入研究车间调度系统的基础上,提出了智能算法的入侵检测系统。该方案主要包括—基于遗传算法和基于智能体的检测方法。本文就这两种方法进行了研究。本文的内容如下:1.本文详细分析了入侵检测系统的研究现状,指出了入侵检测系统的发展前景。详细介绍了入侵检测系统的特点和含义,阐述了入侵检测系统的主要研究方法,分析了现有系统存在的主要问题。2.在深入研究了入侵检测系统的运作过程和运作方法的基础上,设计了MAIDS的模型和总体结构,详细分析了各功能组成模块的构成,设计了MAIDS系统中相关的智能体,实现了智能体之间的交互。3.对研究入侵检测系统的过程进行了详细分析,提出基于遗传算法的入侵检测系统。设计了遗传算法的编码、适应度函数、选择算子、变异算子、交叉算子、遗传参数以及算法的终止条件。详细设计了遗传算法的程序流程。通过使用仿真工具,对遗传算法进行了仿真实验,验证了该算法的有效性。
张余庆[3]2004年在《基于Agent的分布式入侵检测技术研究》文中研究指明随着互联网技术的迅速发展和广泛应用,入侵检测技术成为一个重要的研究领域。为了提高入侵检测系统在体系结构上的灵活性、提高入侵检测的速度和降低误警率和漏警率,本文将Agent技术应用于入侵检测,并对其进行了深入的分析和研究。文章首先分析了入侵检测系统的发展现状及趋势。在对入侵检测技术及Agent技术深入分析的基础上,提出了一种基于Agent的分布式入侵检测系统模型——ABDIDS。ABDIDS利用Agent的自治性、协作性、移动性等特点,有效地提高了入侵检测系统的可扩展性、检测速度以及检测的准确率。本文重点论述了构成ABDIDS基本构架的各个子系统在整个模型中结构、作用和相互关系以及基于Agent的分布式入侵检测系统模型的两个关键问题,即通信和协作,并提出一些实现模型。最后对ABDIDS进行了总结并对下一步的工作进行了展望。
雷雁[4]2005年在《基于多Agent的网络入侵检测系统的研究》文中进行了进一步梳理随着计算机网络的迅速发展,网络的安全问题日益突出。入侵检测技术是一种动态的安全防护手段,它能主动寻找入侵信号,给网络系统提供对外部攻击、内部攻击和误操作的安全保护。 目前常规的入侵检测系统大多数都采用单一体系结构,在系统结构和检测技术上都存在缺陷,据此本文主要对网络入侵检测模型和检测技术进行了研究和改进。 1.在网络入侵检测模型方面,在分析比较层次模型(AFFID和EMERALD)和协同模型(基于多Agent的入侵检测协同模型)的基础上,提出了一种基于多Agent的层次协同入侵检测模型,该模型采用Agent技术把一个网络入侵检测系统按功能进行了模块化,使之在数据采集、分析及入侵的发现上实现了分布式。 2.在网络入侵检测算法方面,本文对异常和误用检测算法进行了研究。在网络异常检测中,主要采用了BP的改进算法—共轭梯度法,实验证明:在标准BP算法及其改进算法中,共轭梯度法的检测性能最佳,其误报率最低为2.1432%、检测率最高为97.8261%。在网络误用检测中,本文提出了一种组合分类法作为误用检测算法。该算法不仅能对正常网络数据和DoS攻击、Probe攻击进行有效地检测,而且对难以检测的U2R攻击和R2L攻击也能进行比较有效地检测,并且对于新的攻击也具备一定的检测能力,其对已知攻击的误报率为1.5152%,检测率均高于95%,对新的攻击的误报率为3.3103%,检测率高于80%。 3.在Aglets平台上开发了网络入侵检测系统中的采集Agent和网络检测Agent。
张凡[5]2002年在《基于移动Agent的分布式网络管理与入侵检测系统的研究与实现》文中认为计算机网络的异构性、分布性和复杂性为网络管理,特别是网络安全管理提出了新的要求,传统的集中式的网管系统和网管技术难以满足大规模网络应用的需要。因此,需要研究新的、有效的网络管理模型和技术,开发高效实用的网络管理系统。 移动agent作为一种新的网络计算模型,与传统的客户机/服务器模型相比,具有动态适应性、异构性、健壮性和容错性,在分布式应用中可以降低网络流量、减少网络延迟、封装网络协议差异、支持移动设备。 本文旨在探索新的网管模型和技术,重点探索将移动agent技术应用于分布式网络管理和入侵检测系统的可行性和关键技术机理。本文所完成的工作对大型网络应用和网络管理系统(特别是入侵检测系统)的开发有一定借鉴意义。 本文的主要贡献在于: 1.提出了一个基于移动agent的网络管理和入侵检测模型。 2.以该模型为基础,设计并实现了一个将网管和入侵检测相结合的网络监控系统NetMIDS,分析讨论了系统功能设置及其移动agent组成与应用等问题。 3.针对系统应用的不同环境,探讨了SNMP网络设备与Agent网络设备相配合共同完成网络管理的方案,并给出了当主机检测点位于内部网(即主机没有单独IP地址)时的解决方法。 在实际应用中,NetMIDS和基于CORBA的入侵检测系统配合工作,完成主机检测点和网络检测点的安装、配置、升级、启动,并提供了利用移动agent进行各检测点的环境和信息查询、网络设备状态查询等手段。实践表明,该系统具有异构性、分布性、可移植性、扩展性、灵活性、系统健壮性、面向应用等多种优点,能够大幅度减轻网络管理员的负担和误操作的机率,提高了网络管理的效率。
史兴娜[6]2007年在《基于免疫机制的Multi-Agent入侵检测系统》文中认为随着计算机技术和通信技术的迅猛发展,计算机应用日趋广泛与深入。当越来越多的公司及个人成为Internet用户后,计算机网络安全作为一个无法回避的问题呈现在人们面前。与此同时,攻击者知识的日趋成熟及攻击工具与手段的日趋复杂,使得单纯的防火墙已经无法保护网络安全,必须采用一种更新的手段。在这样的背景下,入侵检测系统作为一种检测计算机和网络系统非法攻击,使之免受破坏的重要部件应运而生。首先,本论文详细介绍了入侵检测系统,其中包括入侵检测的发展历史、入侵检测系统的分类和相关技术等。并对本文所要做的主要研究工作和本论文的创新点进行了说明。本课题的研究得到山西省回国留学人员基金项目的资助(资助号:2004—18)。其次,分析了人工免疫系统和Multi-Agent系统。对于人工免疫系统,论文介绍了生物免疫系统的原理、功能和特点,并对基于生物免疫机理的人工免疫系统的算法做了详细论述,同时对生物免疫系统和入侵检测系统做了对比分析,对免疫机理应用于入侵检测系统的国内外研究现状做了详细介绍。对于Multi-Agent系统,论文介绍了Agent的定义、Agent的特性、Multi-Agent系统的概述以及基于免疫学的Multi-Agent系统,并对Multi-Agent系统和免疫系统进行了比较,同时介绍了基于Agent技术的入侵检测系统的技术优势及研究现状。在以上内容研究基础之上,本论文提出了Multi-Agent免疫检测算法,对其基本思想、工作过程和算法流程进行了详细的介绍,并从算子、收敛性和算法性能等方面对算法展开了分析。然后,提出了基于免疫机制的Multi-Agent入侵检测系统模型,并对系统模型进行了数学描述以及通过网络数据包捕获模块、网络协议分析模块、规则解析模块、入侵检测模块和界面显示模块这五个模块对模型的实现做出了详细地分析。最后,总结了论文的主要研究工作,并对该课题今后可能的发展方向进行了展望。
傅涛[7]2008年在《基于数据挖掘的分布式网络入侵协同检测系统研究及实现》文中研究指明随着网络入侵形式的不断变化与多样性,传统的网络安全技术与设备已不能充分抵御网络攻击。例如,目前推出的商用分布式入侵检测系统基本是采用基于已知入侵行为规则的匹配技术,检测引擎分布在需要监控的网络中或主机上,独立进行入侵检测,入侵检测系统中心管理控制平台仅负责平台配置、检测引擎管理和各检测引擎的检测结果显示,对各检测引擎的检测数据缺乏协同分析。同时网络入侵检测系统与防火墙、防病毒软件等之间也是单兵作战,对复杂的攻击行为难以做出正确的判断。异常入侵检测技术根据使用者的行为或资源使用情况判断是否存在入侵行为,通用性较强,缺陷是误检率太高。误用检测运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测攻击,检测准确度高,但系统依赖性太强,检测范围受已知知识的局限。将数据挖掘技术应用到入侵检测系统是目前入侵检测研究的重要方向,论文讨论了基于数据挖掘的入侵检测主体技术,指出了联合使用几种数据挖掘方法和将数据挖掘与传统的误用检测、异常检测协是一个重要的研究方向。论文提出了改进的FP-Growth的关联分析算法、基于分箱统计的FCM网络入侵检测技术和基于免疫学原理的混合入侵检测技术。改进的FP-Growth算法引入了聚合链的单链表结构,每个节点只保留指向父节点的指针,节省了树空间,有效解决了数据挖掘速度问题,提高了入侵检测系统的执行效率和规则库的准确度;基于分箱统计的FCM网络入侵检测技术不需要频繁更新聚类中心,同时耗时问题也得到较好的改善,将特征匹配与基于分箱的FCM算法相结合,能较好的发现新的攻击类型,便于检测知识库的更新;基于免疫学原理的混合入侵检测技术充分发挥了免疫系统在实现过程中表现出的识别、学习、记忆、多样性、自适应、容错及分布式检测等复杂的信息处理能力,具有良好的应用前景。论文分析了网络入侵检测技术在检测性能、系统的健壮性与自适应性等方面存在的主要问题,讨论了网络入侵检测技术的发展趋势。针对目前商用入侵检测系统协同分析几乎空缺、规则更新滞后、检测技术与入侵手段变化不适应的现状,提出了基于数据挖掘的分布式网络入侵协同检测系统(以下简称“协同检测系统”)模型。该模型从数据采集协同、数据分析协同和系统响应协同叁个方面实现了入侵检测系统的结构协作、功能协作、动作协作和处理协作,有效增强了入侵检测系统的检测能力。论文详细讨论了“协同检测系统”的检测引擎设计、通信模块设计和系统协同设计。检测引擎是系统的主体,涉及到网络数据包捕获、数据解析、入侵检测等功能。针对高速网络环境下信息量大、实时性要求高,使用Libpcap捕包易造成掉包与瘫痪的现状,提出了内存映射与半轮询(NAPI)捕包新技术,有效减少了系统内核向用户空间的内存拷贝,避免了重负载情况下的中断活锁,确保了高速网络环境下数据包采集的实时性与准确性。数据解协首先对链路层包头、IP层包头、传输层包头、应用层协议四部分进行解析,然后对数据作预处理。在此基础上,运用改进的FP-Growth算法对网络数据进行挖掘,检测子模块解释并评估数据挖掘模块提取的模式,结果送至反馈端口。通信模块实现了数据采集解析器与数据挖掘检测器之间、检测引擎和报警优化器之间、报警优化器与中心控制平台之间的有效通信,给出有关函数。系统协同设计是本系统的特色。本文从入侵检测系统内部数据采集协同、入侵检测系统与漏洞扫描系统协同、入侵检测系统与防病毒系统协同、检测引擎分析协同、不同安全系统分析协同、IDS与防病毒系统协同、IDS与交换机协同、IDS与防火墙协同等方面,科学地给出了数据采集协同、数据分析协同、系统响应协同的含义、原理、方法与实现过程。系统离线实验和仿真实验表明:综合运用本文提出的叁种算法可以有效地提高检测效率,降低误报率和漏报率。本文开发的“协同检测系统”可以稳定地工作在以太网络环境下,能够及时发现入侵行为,及时正确记录攻击的详细信息,具备了良好的网络入侵检测性能。
郑苗苗[8]2008年在《分布式聚类及其在入侵检测中的应用研究》文中指出聚类分析是数据挖掘领域的一项重要研究内容,它在金融、电信、保险业、市场营销、异常检测、网络安全、科学决策等方面具有十分重要的应用价值,因此受到研究人员的高度重视。已有的聚类算法大多只适用于集中式数据的聚类。由于网络带宽、站点存储量、信息安全及隐私保护等限制,把不同站点的数据全部集中到某一个中心站点进行全局聚类几乎是不可能的。所有站点数据集中在一起,数据量会非常庞大,聚类效率会显着降低。本文对分布式聚类方法作了一些较深入的研究,取得了如下成果:1.提出了高效的分布式k均值聚类方法DK-Means。该方法在站点间只传送少量聚簇信息,有效降低了分布式聚类过程中的数据通信量,并能达到与k均值算法等效的聚类质量。理论分析及实验结果表明,DK-Means是一种有效可行的分布式聚类算法,对于高维数据集同样有效。2.针对聚类数目难以确定的问题,提出了分布式聚类方法α-DK-Means,通过分割和合并聚簇将训练数据集划分成适当数目的聚簇而不必预设聚簇半径。实验结果表明,该方法是有效可行的。3.针对基于密度的分布式聚类算法DBDC通信量大、效率低的缺点,提出了一种基于密度的分布式聚类方法DBDC~*。有效降低了分布式聚类过程中的数据通信量,全局聚类时综合考虑了各站点数据的分布情况,能够对任意形状分布的数据进行聚类。实验结果表明,该方法是有效可行的,对于高维数据集同样有效。4.提出了一种适用于入侵检测的数据预处理方法,定义了类别型属性各取值之间的差异度,使得在对训练集进行无监督学习生成检测模型过程中,能够同时有效地处理数值型属性和类别型属性。理论分析表明,我们所定义的类别型属性值差异度既保留了类别型属性各取值之间的本质特征,同时也没有改变数据集的原始维数。实验结果表明,采用该数据预处理方法进行聚类所建立的入侵检测模型能更有效的检测攻击。5.提出了一种基于分布式聚类的异常入侵检测方法ID-DC。该方法建立在一种无中心的多Agent分布式体系结构之上,通过对训练集进行分布式聚类产生聚簇模型,采用基于双参考点的标识算法标记异常簇,不需要具有类别标签的训练集且可自动确定聚簇模型的个数。实验结果表明,通过该方法所建立的分布式入侵检测模型可有效检测攻击。6.在JAVA平台下设计并实现了基于Agent的分布式入侵检测系统原型,在该系统中实现了基于分布式聚类的入侵检测方法,利用分布式聚类方法建立入侵检测模型。实验测试结果表明,该方法能有效检测各种攻击并且具有对未知攻击的增量学习能力。
殷美玉[9]2008年在《基于移动Agent的入侵检测系统的研究》文中研究表明随着网络攻击的普遍及其技术的成熟化,网络安全技术蓬勃发展起来。入侵检测技术是目前安全领域中的一个研究热点,它是防火墙的合理补充,可提供对内、外部攻击和误操作的实时检测,并可与防火墙、系统漏洞检测等技术结合在一起,构成较完整的安全防御体系。虽然目前入侵检测系统的研究已经有了长足进步,但传统的入侵检测系统仍存在着一些缺陷,例如在分布性、灵活性、效率等方面还不尽如人意,因此人们开始探索新的技术,以求提高入侵检测系统的整体性能。在分布式计算领域,移动Agent作为一种分布计算模式已成为该领域的研究热点之一。与传统的分布计算模式相比,移动Agent在有效降低网络负载、克服网络延迟、协议封装、自动执行、支持异构平台以及自适应性、健壮性、容错性等方面都具有其独特的优势。移动Agent技术的发展为入侵检测技术的研究提供了一种新的方法,本文正是借鉴了移动Agent技术,在将Agent技术引入到入侵检测领域方面做出了探索,提出了基于移动Agent的分布式入侵检测系统--MAIDS。移动Agent独特的自主性和移动性可以提高入侵检测系统的健壮性和容错性,增强适应性和可扩展性。该系统选择IBM的Aglet为移动代理平台,力求将基于主机和基于网络的入侵检测技术结合在一起,以增强系统的检测能力。整个入侵检测系统由总管理器、管理器、规则/响应库、移动Agent服务设施及各种功能的移动Agents组成。这些移动Agents可以深入到需要的节点,密切监视来自网络内部与外部的入侵,并能相互协作,必要时追踪入侵源,并及时采取相应的防范措施。本系统在每一台目标主机中都安装有简易管理器,可自行响应入侵,只有当遇到难以判断的入侵或新出现的入侵时,才向中心管理机求助,提高了系统的实时性,并很好地避免了系统的单点失效问题,同时也减轻了网络负担。论文主要包括四个部分:第一部分介绍了入侵检测的相关知识;第二部分介绍了移动Agent的相关知识并分析了将移动Agent技术与入侵检测相结合的特点及优势;第叁部分提出了一种基于移动Agent的入侵检测系统模型。并对系统各部件的功能、系统的工作原理、系统的特色作了详细分析。第四部分对系统作了简单的设计与实现。首先介绍了本系统选择的开发平台IBM Aglet;然后对系统的部署、用户接口、规则/响应库、采集Agent、分析Agent等几个主要的移动Agent作了初步设计与实现;最后设计了本系统的通信及安全机制。在移动Agent技术尚未普及的今天,要完全实现仍然存在一定的难度,同时由于时间及客观实验环境的限制,系统有的模块还停留在理论研究阶段,有待进一步研究完善。
何勇[10]2010年在《Agent与基于优化RBF神经网络相结合的入侵检测系统研究》文中提出随着计算机网络和Internet应用的飞速发展,信息共享日益广泛化,并深入到人们工作和生活的各个领域。人们对信息共享的依赖正逐渐增强,而作为信息共享基础的信息安全技术就显得更加重要。入侵检测技术是保障信息安全的一个重要组成部分,是动态安全技术的核心技术之一。入侵检测本质上是一种电子数据处理过程,按照预先确定的策略对收集到的安全审计数据进行分析处理,根据分析结果做出系统是否被入侵的结论。本文首先概述了入侵检测技术,分析了传统入侵检测系统的不足。接着深入研究了神经网络在入侵检测系统中的应用。目前,应用最广泛的神经网络是BP网络。本文采用的是径向基函数(RBF)神经网络。与BP网络相比,RBF网络不需要进行反向误差传播的计算,而是完全前向的计算过程,具有训练时间短且不易收敛到局部最小的优点,其函数逼近能力、模式识别与分类能力都优于BP网络。并且RBF网络结构也简单、学习速度快,非常适合入侵检测对于检测效率和速度的高要求。但RBF参数的设置是基于参数空间局部信息的,不是参数空间的全局最优值。所以本文引用PSO算法对RBF网络进行了简单优化,可以弥补RBF神经网络参数的设置的不足。再接着介绍了智能体(Agent)技术及其在入侵检测技术中的应用模型。在此基础之上,本文进而设计出Agent和基于优化RBF神经网络技术相结合的入侵检测系统的基本模型。该系统能自动适应复杂多变的网络环境,能通过自我学习、自我进化来提高系统的入侵检测能力,能充分利用网络资源协同完成入侵检测任务。利用这个原型系统,本文对各模块的功能进行了比较详细的介绍,同时对系统设计图、实现技术进行了讨论。最后给出了核心模块(神经网络模块)的主要实现方法和过程,并用KDD CUP 99入侵数据集来模拟网络入侵攻击进行仿真实验。
参考文献:
[1]. 基于代理的分布式入侵检测系统的研究[D]. 蔚雪洁. 兰州理工大学. 2008
[2]. 智能算法在入侵检测系统中的应用[D]. 叶周武. 浙江工业大学. 2008
[3]. 基于Agent的分布式入侵检测技术研究[D]. 张余庆. 南京航空航天大学. 2004
[4]. 基于多Agent的网络入侵检测系统的研究[D]. 雷雁. 南京信息工程大学. 2005
[5]. 基于移动Agent的分布式网络管理与入侵检测系统的研究与实现[D]. 张凡. 西北大学. 2002
[6]. 基于免疫机制的Multi-Agent入侵检测系统[D]. 史兴娜. 太原理工大学. 2007
[7]. 基于数据挖掘的分布式网络入侵协同检测系统研究及实现[D]. 傅涛. 南京理工大学. 2008
[8]. 分布式聚类及其在入侵检测中的应用研究[D]. 郑苗苗. 南京师范大学. 2008
[9]. 基于移动Agent的入侵检测系统的研究[D]. 殷美玉. 中国海洋大学. 2008
[10]. Agent与基于优化RBF神经网络相结合的入侵检测系统研究[D]. 何勇. 西南交通大学. 2010
标签:互联网技术论文; 入侵检测系统论文; 聚类论文; 入侵检测技术论文; 数据挖掘算法论文; 数据挖掘技术论文; 分布式算法论文; 网络攻击论文; 协同软件论文; 网络模型论文; 分布式技术论文; 协同设计论文; 代理模式论文; 分布式部署论文; ids入侵检测论文;