一种基于移动代理的分布式入侵检测系统(MADIDS)设计思想

  • 格式:pdf
  • 大小:268.61 KB
  • 文档页数:6
必要的反应 , 如切断网络连接 、 中止系统调用、 关闭进程等 , 同时向其上级 C n oS r r 出警报 , ot l e e ot l e e 发 r v C n oS r r r v 将此警报广播给其它 H s ot ,使整个网络 中所有主机都将该攻击源列入 “ 黑名单 ”,防止可能再次发生的攻击 ; 如果发现可疑事件 , 但不能确定是攻击 , 则将此事件报告给上级 C nrl e e, C n o Sre 协调其它 H s o t r r 由 ot l e r o Sv r v ot 进一步监视 ,以确定是否是针对多台主机或整个 网络的攻击. 22 系统 功 能设 计 .
维普资讯
西南民族大学学报 ・ 自然科学版
第 3 卷 3
数据库来进行数据管理和查询. 它支持广泛使用的 S L Q ,能够完成各种复杂的查询功能. 本系统中数据库的功 能 ,其一保存各个主机的网络 日志信息以及分析模块所记录的警报信息 ;其二可 以为用户和管理员提供一个更 加友好的界面 , 使其能够对发生的攻击行为一 目了然 ,更加方便管理.
摘 要 : 随着计算机和 网络技术的普及和应用 , 计算机安全 变 得越 来越 重要. 入侵检 测是 计算机 安全体 系结构 中的一个
重要 的组成部分 ,但 面对 日益更新 的网络环境和层 出不穷的攻击方法 ,传统构建入侵检测 系统的方法显得 缺乏一定 的 有效性 、适应性 和可扩展性.本文借鉴 了移动 A et gn 技术 ,在将 Agn 技 术引入入侵检测领域 方面做 出探 索,提 出了一 et
管理 、协调整个网络检测 ,平衡负载 、冗余备份的作用. ・ C n o Sre 与 H s之问可以通过交换攻击信息 、发送警报 ,可以预防、检测针对多台主机或整个 ot l e r r v o t
网络的攻击 ,管理员可 以通过 C n o Sre 更新规则集 ,产生新 的 A et ot l e r r v gn 派遣到其它 H s进行更新规则集 , ot 使得整个系统能够不断升级. ・ 工作于单机的 H s监视该主机的活动 , ot 检测可能发生的攻击. 如果发现是针对单机的攻击 , 则其进行

பைடு நூலகம்
起 ,增 强 系统 的检 测能力. 文献标识码: A
关键词 :移动 Agn; e t 入侵检 测:分布 式
中图分类号: P 9 T 33
1 MA I DDS系统设计思想
本文模型的设计思想是基于 A et gn 的混合型入侵检测系统 , 采用一个以移动代理为组织单元 的结构来实现 ,

A u .2o 7 g 0
一 ’…
文章编号 :1 3 83 0 7 404 . 0 - 4( o) - 4 6 02 2 0 9 0

种 基于移 动代理 的分布式入侵检测 系统( D DS MA I )
设计 思 想
施刚, 黄伟, 胡景德
( 东北大学成都 东软信息学院, 成都 6 14 ) 18 4
维普资讯
第 3 卷第 4期 3

o ma fS u h e tUn v s t f r a i a i e a u l o o tw s i er i o N t y on l i N t ts


西 南 民 族 大 学 学报

自然
学版
ua ce c Edt n rl in e io S i
—— —
… 一 一
数据流 迁移
MMA: 维护移 动代理 P MA: C A: C
图 2 系 统 功 能 结 构
巡行移动代理 核 心控 制代理
= = 消息 > MAE 移动代理运行环境 :
HMA: 主机移动代理
3 MA DS数据管理模块 DI
为了满足大量数据的存储 ,提高数据的查询和管理功能 ,系统设计中采 关系性数据库 My Q S L作为后台
维普资讯
第 4期
施刚等:一种基于移动代理的分布式入侵检测系统( DD ) MA Is设计思想
95 4
・ 控制服务器( ot l e e 并不一定要安装在网络内的服务器上 , C n o Sr r r v ) 可安装在网络 内的任一 台机器上 , 它不仅是代理运行平 台,还是整个 系统 的管理控制中心, ・ 在一个网络(A L N或网段) 内只有一个是主控制服务器(r a o t l e e . o t l e e主要负责 Pi r C n o Sr r C n o Sr r m y r v ) r v
兼顾主机入侵检测系统和网络入侵检测系统的优点 ,是一个比较完善和全面的入侵检测系统.
2 MA I D Ds系统体系结构
21 网络拓 扑结 构 .
该 MA I S系统 由两部分构成 :一是分布于网络中受检主机( o ) DD H s ,每台受检主机提供移动代理的运行平 t 台, 并负责管理部署到受检主机上的代理 ;二是部署于网络 中一台或多台主机上的控制服务器(o t l e e , C n o S r r r v )
其负责部署、协调 、管理、调度和控制受检主机端 ,以检测针对多台主机或整个网络的攻击 ,还可以通过派遣
移动代理更新 、升级 、调整 H s端. ot 网络拓扑结构如图 1 所示.
图 I 网络拓 扑结构
说明 :
收稿 日期 :2 0 .32 0 70 .9
作者简介 :施1(99 , 成 都东软信息学院助教  ̄ 17. 男, ] )
种基于移动 A et g n 的分布式入侵检 测 系 ̄( DI ) MA DS的设计 思想.该 系统 中将现在 比较 流行 的轻 量级入侵检 测 系统 S ot nr
与 I M 的 A lt 动 代 理 平 台相 结合 , 实现 检 测 任 务 的 分担 ,同 时 力 求将 基 于主 机 与 基 于网 络 的 入 侵 检 测 技 术 结 合 在 B ge 移