基于移动代理的分布式入侵检测系统模型研究-网络信息中心.PPT

基于移动代理的分布式入侵检测系统模型研究 主要内容 课题的学术背景及其理论与实际意义 网络安全技术 入侵检测系统概述 移动代理技术 基于移动代理的分布式入侵检测系统体系结构 模型系统的实现 课题来源 本论文的项目背景黑龙江省自然科学基金项 目《基于多层前向神经网络的分布式入侵检测模型》，该项目以理工校园网为研究对象，全面研究校园网络的安全管理和相应的防范措施。本课题是该项目的一个分支。 网络安全 网络安全包括三个要素： 数据、关系、能力 国际标准化组织ISO在ISO7489-2标准中定义了网络安全的要点，主要包括： 机密性、完整性、可用性、认证、访问控制 PDR动态安全模型 PDR认为，一个良好的、完整的动态安全体系，不仅需要恰当地防护(protection)(比如操作系统访问控制、防火墙、加密等)，而且需要动态的检测机制(detection)(比如：入侵检测、漏洞扫描等)，在发现问题时及时进行响应(response)。整个体系要在统一的、一致的安全策略(policy)的指导下实施。PDR形成了一个完备的闭环自适应体系。策略是PDR模型的核心，在安全策略的控制和指导下，防护、检测与响应构成了一个完整、动态的循环。防护是保障系统安全的基础;检测是循环中的关键问题。响应则依据检测结果改进和完善防护技术，阻止入侵行为甚至实施反击。 入侵检测定义 顾名思义，是对入侵行为的发觉。它通过在计算机网络或计算机系统中的若干关键节点收集信息并对其进行分析，判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。 一个完善的入侵检测系统至少需要具备以下特点： 经济性 时效性 安全性 可扩展性 入侵检测系统的分类 根据检测的数据来源分： 基于主机的入侵检测系统(Host-based IDS) 基于网络的入侵检测系统(Network-based IDS) 混合型 基于主机与基于网络的混合系统 根据检测使用的分析方法分: 异常检测(Abnormal Detection) 误用检测(Misuse Detection) 根据体系结构分： 集中式入侵检测系统(Centralized IDS，CIDS) 分布式入侵检测系统(Distributed IDS, DIDS) 理想入侵检测系统的功能 1. 自动地收集和系统相关的信息? 2.?监视分析用户和系统的行为 3. 审计系统配置和漏洞? 4. 评估敏感系统和数据的完整性? 5. 识别攻击行为 6.?对异常行为进行统计? 7.?进行审计跟踪，识别违反安全法规的行为 8. 使用诱骗服务器（“蜜罐”）记录黑客行为 选题的理论及现实意义 近些年针对网络和主机系统的入侵和攻击不断增多，给网络与信息安全造成了很大威胁。入侵检测系统作为一种主动防御策略，在检测和防范入侵方面发挥了其他安全部件难以替代的重要作用。对入侵检测系统的研究已经成为网络与信息安全领域的一个研究热点。随着网络规模的不断扩大，入侵检测系统应用的场合也越来越大，分布式入侵检测系统就应运而生了。这种结构通过分散采集、分布处理和集中管理，满足了大规模高速网络的需求。而实现分布式入侵检测系统，一般要使用代理技术。代理和移动代理技术是近年来新提出的概念和技术，受到广泛关注和研究。 几种分布式入侵检测系统实例 AAFID(Autonomous Agent For Intrusion Detection) IDA（Intrusion Detection Agent System） MAIDS(Mobile Agent Intrusion Detection System) JAM(Java Agents for Meta-Learning) EMERALD(Event Monitoring Enabling Responses to Anomalous Live Disturbances) 分布式IDS系统的体系结构 现有的分布式入侵检测系统的局限性 入侵检测实时性较差； 中央数据分析器是唯一的错误分析处。如果一个入侵者以某种方式阻断它运行时，网络就得不到保护； 一主机处理所有信息意味着被监控的网络规模将受限制，大量的数据收集将导致网络通信过载； 不同入侵检测系统难以实现互操作。 移动代理应用于DIDS的优势 主机间动态迁移 改变了传统的将数据传给程序(计算)的方式，而是将程序(计算)传给数据。 智能性 平台无关性 分布的灵活性 低网络数据流量 多代理合作 移动代理技术 Mobile Agent是指能在同构