返回
基于层次化多代理的分布式入侵检测系统

基于层次化多代理的分布式入侵检测系统

ID:29423836

大小:144.00 KB

页数:8页

时间:2018-12-19

基于层次化多代理的分布式入侵检测系统_第1页
基于层次化多代理的分布式入侵检测系统_第2页
基于层次化多代理的分布式入侵检测系统_第3页
基于层次化多代理的分布式入侵检测系统_第4页
基于层次化多代理的分布式入侵检测系统_第5页
资源描述:

《基于层次化多代理的分布式入侵检测系统》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、.基于层次化多代理的分布式入侵检测系统杨仕喜河海大学,江苏南京(210098)E-mail:yangshixi@hhu.edu.cn摘要:随着入侵检测技术的发展,IDS越来越呈现出分布性、智能性的特征。传统的基于多Agent的分布式入侵检测系统,往往采取一种分布式数据采集和层次化数据分析的方法。这虽然使系统的逻辑结构简单严谨,却很大程度上限制了系统的分布性、智能性与实时响应能力。本文提对传统的层次化结构的分布式入侵检测系统进行改进。为提高系统的健壮性,提出一种三层协同工作的系统结构,并且在各层次内部通过多Agent的协作来完成本层工作;对传统的分布式

2、入侵检测系统进行了有效的改进。关键词:多Agent系统;分布式入侵检测;通信;协作1.引言随着对入侵检测系统(IntrusionDetectionSystem,简称IDS)研究的深入,如今的IDS逐渐呈现出智能性、分布性的特点。在最近10年中,入侵检测系统正走向这样一种结构:它们由一组分布式的监测器构成,在这个结构中每个监测器都负责本地的检测并为全局检测提供信息,如:DIDS[1],AAFID[1](图1所示),EMERALD[1]和COIDS[1](图2所示)等等。可以发现,它们实际上都是采取一种分布式数据采集和层次化的数据分析的方式来对网域进行监

3、控。采用这种方式来构造分布式入侵检测系统,具有结构简单、系统的逻辑结构严谨的优点。页.但也有明显的不足,主要表现在三个方面:(1)集中的分析构件承受的负载较高,使每个分析构建的负载达到动态的平衡比较困难;(2)集中的分析构件可能会成为系统的瓶颈与单一的失败点[2];(3)多级层次化的分析降低了系统的实时性[2]。本文主要论述对传统的层次化结构的分布式入侵检测系统进行改进。为提高系统的健壮性,提出一种三层协同工作的系统结构,并且在各层次内部通过多Agent的协作来完成本层工页.作;为提高系统实时性,检测精度与负载平衡,将原有一个分析构件分析功能划分成多

4、个有针对性的分析构件,使他们动态分布在整个网络。本文第2节简介系统逻辑结构及各层次的代理类型及功能;第3节给出基于层次协作技术的若干方法;第4节给出了系统实现的关键技术与部分。最后总结我们的研究工作,并且讨论未来研究开展的思路。2.系统介绍设所监控的网域由一系列的局域网构成,则系统的逻辑上由3个层次的Agent构成,自底向上分别是:数据采集层,数据分析层,决策控制层;如图3所示:该结构一改以前多个数据采集代理向同一个代理发送所有数据,以及数据采集代理单一的弊端,将数据采集代理与数据分析处理代理的功能更加的细化,形成数据采集层,数据分析处理层;加强各层

5、次间代理的互动,减少了由集中式带来的各种不足;下面简单介绍三个层次的代理类型:数据采集层:数据采集层有主机数据采集代理(HostDateCollectAgent,HDCA)与网络数据采集代理(NetDateCollectAgent,NDCA)[3]两种;主机采集代理主要采集主机系统的系统日志和审计记录,并将其转化成标准格式数据提交数据分析处理层;采集主机时时运行的性能数据;在有请求的情况下,协同其他代理监视主机的异常操作。网络数据采集代理主要采集原始网络数据包作为数据源,进行简单协议分析,转化成标准格式数据提交到数据分析处理层;主机数据采集代理在注册

6、时,每台主机都拥有一个主机数据采集代理(HDCA)和一个网络数据采集代理(NDCA);数据分析处理层:根据网络协议分析原理[4]将数据分析处理代理(DataAnalysisAgent,页.DAA)进行分类(如图4所示),数据分析处理层包含Telnet_DAA、FTP_DAA、HTTP_DAA、SMTP_DAA、DNS_DAA、SNMP_DAA、ICMP_DAA和Other_DAA八种代理,加上主机数据分析处理代理(HostDAA,HDAA),共九种代理;主机数据分析处理处理所属辖域内所有主机数据采集提交的采集数据;Telnet_DAA,FTP_DAA

7、,HTTP_DAA,SMTP_DAA,DNS_DAA,SNMP_DAA,ICMP_DAA处理各自所属网络数据采集代理提交上的对应的网络数据;Other_DAA处理不是上述协议类型的网络数据。数据分析处理代理根据需要分布在整个网络系统的的计算机中,各个代理协同工作;控制决策层:1)中央控制部件:系统的核心部件,常驻IDS服务器中,控制和协调其他各代理的中心,管理着系统中所有的代理及部件的运行。2)响应代理:根据数据处理层提交的数据分析结果,做出相应响应,如跟踪,切断网络通讯等。3)优化代理:根据系统长期稳定运行的情况,先给出相对优化的模型;运行时,可根

8、据实时的情况进行调整优化;系统工作步骤:Step1:系统初始化,IDS系统服务器初始化所有代理及模块,其中C

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。