基于多Agent入侵檢測模型研究.pdf

1、隨著計算機網(wǎng)絡在社會各行業(yè)的應用的不斷深入，人們對于計算機網(wǎng)絡的依賴程度日益增強。由于網(wǎng)絡的開放性、網(wǎng)絡協(xié)議的固有弱點、網(wǎng)絡連接形式的多樣性、信息的共享和易于擴散的特性，給計算機網(wǎng)絡帶來了越來越多的安全隱患。計算機網(wǎng)絡安全問題已經(jīng)成當前網(wǎng)絡研究的一大熱點。 傳統(tǒng)上人們使用防火墻來隔離外部的網(wǎng)絡攻擊，但是防火墻技術由于不能抵御來自內(nèi)部的攻擊以及黑客針對防火墻的攻擊手段隨著技術的發(fā)展而不斷豐富等原因，不能很好的保護網(wǎng)絡的安全。其他的

2、安全機制如：身份認證、加密和VPN等也不能很好的解決網(wǎng)絡安全問題。入侵檢測系統(tǒng)從計算機網(wǎng)絡系統(tǒng)中的若干個關鍵點收集信息，并分析這些信息，檢查網(wǎng)絡中是否有違反安全策略的行為和遭到攻擊的跡象。 現(xiàn)在的入侵檢測系統(tǒng)主要有基于主機和基于網(wǎng)絡的結構。基于主機的入侵檢測主要是對網(wǎng)絡中的關鍵主機的數(shù)據(jù)源進行分析，基于網(wǎng)絡入侵檢測主要是采集網(wǎng)絡數(shù)據(jù)包，分析出異常網(wǎng)絡活動，進而發(fā)現(xiàn)入侵行為，采用的分析方法主要有異常檢測和誤用檢測。 本文設

3、計的模型是基于多Agent的混合型入侵檢測系統(tǒng)MAIDS(Multi-AgentIntrusionDetectionSystem)，采用分布式的架構，實現(xiàn)了中心Agent、分析Agent、主機檢測Agent和網(wǎng)絡檢測Agent的設計。實現(xiàn)了同時對主機檢測Agent和網(wǎng)絡檢測Agent的審計數(shù)據(jù)的分析，采用協(xié)議分析的方法分析網(wǎng)絡審計數(shù)據(jù)可以快速探測攻擊，根據(jù)用戶的要求詳細分析數(shù)據(jù)包。采用數(shù)據(jù)挖掘的關聯(lián)分析算法可以發(fā)現(xiàn)未知攻擊行為。把主機檢