多Agent分布式入侵检测系统中通信机制和数据分析方法研究

摘要

该文主要就多Agent分布式入侵检测系统中通信机制和数据分析方法进行研究,并在此基础上设计实现了一个具备分布式入侵检测系统基本功能的原型系统.该文首先就Agent通信模型展开研究,然后结合分布式入侵检测系统的实际需要给出一个可用于Agent之间通信的简单协议.论文的其余部分主要完成了两项工作,首先实现了一个用于捕获局域网中数据包的网络嗅探器,然后在ID3算法的基础上设计实现了一个能够对多类模式进行判决分类的决策树,并利用网络嗅探器所捕获到的数据对决策树进行训练,最后对训练好的决策树进行了测试.实验结果表明,该文所设计的通信模型具有较强的健壮性,使用该文定义的协议能够实现Agent之间的基本通信,利用该文所设计的决策树能够对正常数据包和带有两类攻击特征(Land Attack和TCP NULL SCAN Attack)的数据包做出很好的分类.

目录

提要

英文文摘

引言

第一章Agent通信模型研究

1.1传统的client/server（客户机/服务器）通信模型

1.2 peer to peer通信模型

1.3本文采用的通信模型

第二章Agent通信协议及语言研究

2.1 KQML简介

2.2 CISL简介

2.3入侵检测报警协议简介

2.4本文设计的Agent通信协议

2.4.1传输数据完整性校验

2.4.2数据包的发送与接收

2.4.3与建立Agent组相关的数据包

2.4.4用于协同分析的数据包

2.4.5用于离开Agent组的数据包

2.5 Agent及Manager的状态变迁

第三章数据获取及预处理

3.1数据获取的对象

3.2网络嗅探器设计与实现

3.2.1网络嗅探器工作原理

3.2.2网络嗅探器的功能

3.2.3网络嗅探器的启动与关闭

3.3数据包预处理

第四章数据分析方法研究

4.1基于数据挖掘的数据分析方法

4.2基于神经网络的数据分析方法

4.3基于决策树的数据分析方法

4.3.1决策树简介

4.3.2决策树构造算法设计与实现

4.3.3属性的选择

4.3.4多类模式分类算法设计

4.3.5决策树的存储

4.3.6决策树的恢复

4.3.7规则的提取

第五章原型系统设计与实现

结语与展望

参考文献

致谢