基于移动Agent的协同式后入侵检测技术研究

论文摘要

信息技术的发展直接推动了安全工具的发展。从早期的杀毒软件到后来的防火墙再到现在的入侵检测系统,人们使用的信息安全工具越来越具有主动性和智能性。当前,入侵检测系统已经成为安全防卫体系中的一个重要环节。然而目前入侵检测的研究重点集中于选择合适的数据源和数据属性、发现新的检测算法或改进现有检测算法、改进入侵检测系统的构架和扩大检测范围等方法来提高检测精度、降低误报率和漏报率等环节上,从而导致系统管理员负担过重,难以有效处理海量警报的现象。过多的误报和无关警报“淹没了”真正的攻击警报,影响入侵响应的效率和成功率,因此人们需要从新的角度来设计和实现入侵检测系统。本论文选题以应对这些挑战为出发点,试图在理清当前入侵检测问题的基础上,以多重协同机制为中心开展协同式入侵检测系统、入侵警报关联和响应追踪等问题的研究。本文试图在以下方面做一些研究:（1）分析现有的协同入侵检测模型和与之相关的技术,全面系统地阐述现有警报关联和响应追踪技术的研究进展情况,讨论当前相关技术存在的问题,引出研究协同式后入侵检测模型的必要性。（2）在分析已有入侵检测模型基础上,结合移动Agent的特点和协同机制,提出了一个基于移动Agent的协同式入侵检测系统（CooperativeIntrusion Detection System based on Mobile Agents,Co-MAIDS）框架。该系统框架在体系结构上具有防止单点失效的功能,可以避免大量数据移动带来的网络负载压力,并且能在不影响其他模块的情况下对系统模块进行增减。彼此独立的移动Agent通过相互通信协作完成复杂任务,实现系统的智能化运行。多重协同机制保证系统模块之间交互过程中的有序性,加强系统各模块的整体合作性能。（3）从揭示警报信息背后隐藏的攻击策略角度出发,提出了一种基于移动Agent的警报混合关联处理方法。该方法以二维时间和空间为轴线,将当前警报与同一时间段内发生的警报、警报前后期所发生的警报进行关联。警报关联处理采用谓词公式来表示警报前提和后果。通过对谓词公式的分解,实现不同警报之间的前提和后果进行匹配的目的,进而将警报进行关联。（4）在警报混合关联的基础上,提出了一个基于移动Agent的追踪响应策略。该策略以警报关联信息为输入,对警报信息实施了警报验证、置信度学习等警报预处理过程,并在此基础上提取有效数据包信息,依据与包标记过程相反的机理对攻击数据包的攻击路径进行追踪,实现对攻击路径的重构。（5）在以上研究内容的基础上,提出了Co-MAIDS多重协同机制的集成策略。以通信协同、警报关联协同、警报关联与入侵响应协同和入侵响应协同为核心内容,该策略整合并集成Co-MAIDS的多重协同机制。四类协同为信息、警报和响应之间架起了沟通的桥梁,确保实现系统交互的有序性和整体性。

论文目录

摘要

Abstract

第1章绪论

1.1 论文研究背景

1.2 相关研究现状

1.2.1 协同入侵检测模型

1.2.2 移动Agent技术

1.2.3 后入侵检测技术

1.2.4 入侵追踪技术

1.3 论文目的与意义

1.4 论文研究内容

1.5 论文组织结构

第2章基于移动AGENT的协同式入侵检测系统框架

2.1 引言

2.1.1 现有入侵检测系统的不足

2.1.2 协同机制

2.1.3 移动Agent在入侵检测系统中的优势

2.2 Co-MAIDS框架结构

2.2.1 系统框架结构设计

2.2.2 各部分功能简介

2.2.3 系统框架结构优点

2.3 CO-MAIDS通信机制

2.3.1 主要数据结构形式化描述

2.3.2 消息格式设计总体框架

2.3.3 通信消息格式设计

2.3.4 通信方式选择

2.3.5 通信过程描述

2.3.6 类装载和传送的实现

2.3.7 Agent迁移的实现

2.3.8 系统安全机制

2.4 移动AGENT的类型及其关系

2.5 本章小结

第3章基于移动AGENT的警报混合关联处理方法

3.1 引言

3.2 警报横向关联方法

3.2.1 警报横向关联模型

3.2.2 警报信息预处理

3.2.3 警报横向关联算法

3.3 警报体纵向关联方法

3.3.1 警报体前提和后果的表示方法

3.3.2 纵向关联的计算方法

3.3.3 警报体纵向关联图形

3.4 实验及结果分析

3.4.1 实验方案

3.4.2 实验结果比较与分析

3.5 本章小结

第4章基于移动AGENT的追踪响应策略

4.1 引言

4.2 策略描述

4.3 基于扩展HUFFMAN编码的包标记算法

4.3.1 包标记方案的链路表设置

4.3.2 包标记方案的标记字段结构

4.3.3 包标记算法

4.4 警报预处理

4.4.1 基于最小偏差法的警报验证

4.4.2 置信度学习

4.5 追踪响应过程

4.6 仿真实验

4.6.1 标记字段转存

4.6.2 无关警报滤除

4.6.3 误警报滤除

4.6.4 攻击路径重构

4.7 本章小结

第5章 CO-MAIDS多重协同机制的集成策略

5.1 引言

5.2 多重协同机制的集成策略

5.2.1 多重协同机制

5.2.2 协同机制的多层集成策略

5.3 系统通信协同

5.3.1 单代理已知信息流

5.3.2 多代理已知信息流

5.3.3 单代理未知信息流

5.3.4 多代理未知信息流

5.4 警报关联协同

5.4.1 警报体关联图形与聚类阈值协同

5.4.2 警报体关联图形分解协同

5.5 警报关联与入侵响应协同

5.6 入侵响应协同

5.6.1 包标记与入侵追踪协同

5.6.2 警报预处理与追踪协同

5.6.3 警报验证与置信度学习协同

5.7 本章小结

结论

参考文献

攻读博士学位期间发表的论文和参加的项目

致谢

个人简历

基于移动Agent的协同式后入侵检测技术研究

论文摘要

论文目录

相关论文文献

猜你喜欢