基于分布协作式代理的网络入侵检测技术的研究与实现

作者:张勇;张德运;李胜磊 刊名:计算机学报 上传者:李蕴华

【摘要】近年来 ,网络攻击变得越来越普遍 ,也越来越难于防范 .传统的技术如防火墙难于满足目前网络安全的需要 ,一项新的网络安全技术——网络入侵检测技术被提出 ,它能很好地解决其它技术的不足 .但是目前的入侵检测技术在入侵检测的准确性和可靠性上还存在问题 .为此 ,文中提出了一套新的基于分布协作式代理的网络入侵检测技术 .这项技术通过代理的协同工作来阻止本地主机和整个网络的入侵行为 ,并且能够发现入侵者的入侵线路 ,这样就为彻底根除入侵提供了手段 .该项技术通过实践的测试 ,表现出了良好的性能 ,并能有效地阻止多种入侵行为

全文阅读

1引言随着网络技术和网络规模的不断发展,针对网络和计算机系统的攻击变得越来越普遍,攻击手法也越来越复杂.这些攻击有的是针对计算机系统和软件的漏洞,有的是针对网络系统本身的安全缺陷.但是这些攻击都或多或少的对网络和主机造成了破坏.所以网络安全技术显得越来越重要了.目前网络安全系统主要采用的是以防火墙为主的被动管理.但防火墙本身容易受到攻击,且对于内部网络出现的安全问题经常束手无策.根据统计大于35%的网络攻击是针对具有防火墙的系统,且很多是从内部进行的.所以这种被动的安全机制不能够满足目前的网络安全需要了.本文所讨论的安全技术是网络入侵检测技术.它是一种相对比较主动的技术,通过检测系统和网络内部的数据和活动,发现可能的入侵者并进行报警或主动切断入侵通道.这种技术不仅能够防止外部的入侵还能够检测内部的非法使用者,具有比较实际的意义和应用价值.2目前的入侵检测技术分析入侵检测技术可以根据检测对象的不同分为主机检测和网络检测两种[1,2].主机检测主要是分析和审计单个主机的网络数据,寻找可能的入侵行为.而网络检测有点类似于防火墙,通常布置在单独的机器上,对网络的流量数据进行分析.可以看出,简单的使用单纯一种方式是不能够保障整个系统的安全的,尤其是来自网络和系统内部的入侵.所以出现了一种基于代理的入侵检测技术,它在网络的主机上安装上检测代理,然后对主机的信息进行分析,将找到的非法信息提交到一个中心监控主机,由其对来自各个代理的信息进行分析,从而发现可能的入侵现象,并进行处理.这种技术既能保证主机的安全也能保证这个网络的安全,且能够有效地防止内部入侵现象.但是这种技术有一个严重的缺点就是当监控的主机代理较多时,中心监控主机就成了信息处理的瓶颈,从而导致性能的下降.所以这种技术不太适合于一个规模较大的网络系统.为了解决这个问题,在这里提出一种分布协作式的基于代理的入侵检测系统.这种技术也是基于代理的,但是它并不存在检测中心,而是通过相关代理之间的协作来完成最终的入侵检测,从而避免了检测中心的瓶颈现象,因此适合大型网络的入侵检测任务.3分布协作入侵检测技术的设计和实现这项技术首先要求在所监控网络的每个重要主机上安置监控代理系统,这个监控代理有三个重要职责:执行本机的安全入侵检测、代理间的协同检测和入侵处理.这个代理的模式如图1所示.3.1本地主机的入侵检测本地主机的入侵检测目前已有很多的技术,主要有人工智能[3]、专家系统[4]、模式匹配[5]、系统分类等技术.但是这些技术都存在着一定的缺点,例如,(专家系统)它需要大量的初始训练和维护,当用户的安全策略发生一定的变化时,难于进行更新,从而导致错报或漏报现象的发生;例如,(系统分类)它需要的数据量大,仅仅检测数据包的头信息,无法对于包内容进行分析.例如,(模式匹配)完全依赖完整的模式,如果模式不完整,则系统会出现漏洞,且存在当系统的行为改变时,模式需要重新生成的缺点.所以这些方案都能够被入侵者绕过或导致管理者的维护困难.鉴于前面所述的各种技术都存在一定缺点,本系统在这里采用的是一种内部的子代理之间的遗传分析方法.即在每个本地代理中存在着多个具有不同检测对象的子代理(Ai),每个代理负责监视系统资源的一部分(Ri).如文件系统、网络系统、用户系统等.通过各个子代理之间协调配合完成入侵检测过程.具体的实施是(1)首先各个子代理对网络数据包进行分析(包括包头、到达时间、包的大小等).(2)然后提出一个问题(Pi(Ri)),交给一个解释树(多分支结构)(Ti=(ti0,(ti1,ti2),(ti3,ti4,ti5),…)

参考文献

引证文献

问答

我要提问