一种基于代理的分布式入侵检测系统模型的研究

摘要

信息安全已逐渐发展成为信息系统的关键问题，入侵检测作为一种主动的信息安全保障措施，有效地弥补了访问控制、防火墙和身份认证等传统安全防护技术的缺陷。随着计算机技术和网络技术的不断发展，分布式入侵检测逐渐成为入侵检测乃至整个网络安全领域的研究重点。 作为分布式入侵检测系统的关键问题，检测组件间的信息交互必须满足准确性、扩展性、移植性以及丰富的表达能力等特性。代理是具有一定智能并能够自主运行和提供相应服务的程序，在入侵检测领域具有独立性好、灵活性强、可扩充性好、错误扩散小、数据来源不受限制等诸多优点，能够交互彼此之间的信息以便更好的发现入侵。 本文深入地分析了一些国内外的基于代理的入侵检测系统模型，对它们的优缺点进行了分析。在此基础上，提出了一种新的基于代理的分布式入侵检测系统模型，该系统应用代理技术解决组件之间信息交互的问题。同时，由于基于主机和网络的入侵检测各有其优缺点，所提出的系统模型利用了主机文件系统、日志系统和网络系统的信息来判断入侵行为，从而较好的发现入侵。 为了降低误警率，对一些底层由扫描触发的重复报警进行了降冗余处理。此外，针对目前流行的拒绝服务攻击，设计了一个拒绝服务攻击发现代理用以发现这类攻击。最后，针对完成的入侵检测试验原型系统，本文进行了一系列的实验，重点测试了系统对缓冲区溢出攻击和拒绝服务攻击的检测能力。 本文所提出的入侵检测模型中仍然存在着一些问题和不足，本文的最后给出了今后的研究方向和内容。

目录

文摘

英文文摘

声明

第1章绪论

1.1课题的研究意义及背景

1.2基于代理的入侵检测系统研究现状

1.3基于代理的入侵检测系统存在的问题

1.3.1代理系统的安全性问题

1.3.2性能瓶颈问题

1.3.3代理间通信的问题

1.4本文研究的主要内容及论文结构

第2章代理技术

2.1代理和移动代理技术

2.1.1代理的优点

2.1.2移动代理系统的体系结构

2.1.3移动代理的关键技术

2.1.4移动代理的问题和不足

2.1.5在入侵检测领域的优势

2.2 Aglets平台的介绍

2.2.1 Agelts平台的管理

2.2.2通信机制

2.3本章小结

第3章一种基于代理的入侵检测系统模型

3.1模型的整体结构

3.2全局管理层(GML)

3.2.1 GMA代理

3.2.2 GAAA代理

3.2.3 GRA代理

3.3局部管理层(LML)

3.3.1 LMA代理

3.3.2 LRA代理

3.3.3 NPCAA代理

3.3.4 KHA代理

3.3.5 DAA代理

3.3.6 DoSDA代理

3.4代理系统的安全监控机制

3.4.1安全检测代理(SCA)

3.4.2局部网络内代理的安全策略

3.5本章小结

第4章系统模型的设计

4.1系统通信格式设计

4.1.1通信格式的扩充

4.1.2通信格式的详细设计

4.2库的设计与维护

4.2.1 Agent资料总库的设计

4.2.2入侵资料总库的设计

4.2.3本地Agent资料库的设计

4.2.4本地响应策略库的设计

4.3系统的整体流程和图形界面的设计

4.4各类代理的设计

4.4.1 GMA代理

4.4.2 GAAA代理

4.4.3 LMA代理

4.4.4 DoSDA代理

4.4.5 DAA代理

4.4.6 NPCAA代理

4.4.7 KHA代理

4.5本章小结

第5章实验及结果分析

5.1实验的设计

5.1.1 NetScan攻击

5.1.2 sendmail攻击实验

5.1.3 Named攻击实验

5.1.4 IMAP攻击实验

5.1.5 Ftp-write攻击实验

5.1.6 Phf攻击实验

5.1.7 Xlock攻击和Xsnoop攻击实验

5.1.8 Dictionary攻击和Guest攻击实验

5.1.9 DoS攻击

5.2检测结果及分析

5.3本章小结

结论

参考文献

攻读硕士学位期间承担的科研任务与主要成果

致谢

作者简介