基于自治Agent的分布式入侵检测系统

摘要

入侵活动的日益猖獗使得人们对网络安全问题越来越重视。防火墙和入侵检测系统等安全产品的引入在一定程度上保护了网络的安全性。但是，网络安全技术发展的同时，入侵技术也在不断地发展和演化，这表现在攻击手段的多样化和复杂化，入侵规模的扩大以及攻击的分布化。这使得入侵检测系统向分布式、智能化和全面防御的方向发展。 分布式入侵检测体系结构的出现突破了基于单一主机或网络架构的IDS系统在应对复杂入侵行为时的局限性。然而，传统的分布式入侵检测系统大多采用Sensor/Manager框架，sensor的监控和数据分析都集中在中心控制台上，不仅加大了控制台的处理负担，还会因为中心控制台的失效造成整个系统的瘫痪。 鉴于以上情况，本文设计并实现了一个基于自治Agent<'[1]>的分布式入侵检测系统。系统采用层次式的管理控制结构，监控器和收发器通过级联方式相互协作并监控不同自治域中的探测器。由于控制权分散到自治域和主机上，防止了单点故障。每个自治Agent可以根据不同的需求进行实现和扩展，增加了系统的灵活性。采用基于Publish/Subscribe<'[2]>的通信模式，减少了实体间的通信开销，提高了通信效率和灵活性。系统通过与防火墙的联动模块实现与其他安全组件的协作，从而达到全面防御的目的。 具体来说，本文的主要工作有： ·设计一种基于自治Agent的分布式入侵检测模型结构。从体系结构的角度对比分析目前主流分布式入侵检测系统的优缺点； ·设计自治Agent的IDS系统模块结构。阐述各模块的实现功能，将系统从上自下分为中心监控代理、监控器(Monitor)、收发器(transceiver)、探测器四大主要功能实体，利用层次式的管理控制结构进行相互协作；采用Publ；sh/Subscribe通信模式完成Agent间的通信协作。详细分析了系统实体间的通信过程： ·设计并实现了系统的协同控制实体一监控器和收发器，并通过监控器上的分析响应模块，实现了与防火墙的联动，在不影响防火墙和入侵检测系统的工作效率的情况下，完成实时阻断入侵行为的功能，从而提高了系统的整体防御能力和安全性能； .采用基于误用检测的探测器并优化检测引擎的实现算法。对比基于规则的开源IDS项目Snort<'[3]>，使用二级索引结构的规则库并改进了规则匹配算法，提高了检测效率； ·定义用户管理系统的功能，阐述了中心控制代理的实现方法； ·采用日志水印技术H<'[4]>实现一个安全日志审计系统，通过加入水印信息和 同时在本地和远程保存日志记录的方法保证日志的原始性和完整性。

目录

文摘

英文文摘

1绪论

2入侵检测技术

3系统总体设计

4协同Agent的实现

5探测器的实现

6中心控制代理的实现

7安全日志审计系统的实现

8结束语

参考文献

附录

独创性声明

致谢