基于脚本配置代理协作的入侵检测模型的研究

论文摘要

高速网络的出现、攻击者技术水平的不断提高,攻击规模日益扩大,攻击方法日益复杂化、多元化、分布化,传统的入侵检测系统已经远远不能满足要求,此课题就是在这样一种背景下提出的。本文通过对现有入侵检测系统特别是基于移动代理的IDS原理及系统结构进行研究分析,并在此基础上提出一个新的系统模型——C-MAHIDS。良好的系统构架是影响入侵检测系统整体性能的关键部分,本文对传统的IDS,特别是基于移动代理的IDS作了详细的系统结构分析与研究,分析各类系统的优缺点,由此对C-MAHIDS系统结构进行了设计和规划。该系统吸取以往各类IDS——AAFID、IDA、JAM、MAIDS的优点,并尽力消除它们的缺陷。C-MAHIDS选用移动代理技术来完成入侵检测的数据收集与分析功能,因此它和IDA、MA-IDS一样具有网络负载轻、系统性能高等显著优点。其次该系统采用分散式的系统结构,各个结点的地位和作用都是等同的,这样可以消除层次型或树型系统结构所具有的检测实时性差、容错性不好、单点失效等问题。可以增强了系统的稳定性、容错性及抗攻击能力。另外该系统采用一种新的数据关联分析技术,即采用分布式关联脚本来定义代理之间的协作,它可以有效解决代理协作问题,而且使得系统具有极强的可配置性,因此系统具有很强的适应性、可扩展性。该系统具有的另一个特点是可以重用现有的入侵检测系统,这样可以避免不必要的重复开发活动。随后本文对该系统的性能作了理论上的分析,理论结果是该系统比传统的层次型或树型的结构的IDS具有更强的容错性和伸缩性,入侵检测能力与其他IDS相当。最后,本文对本文所设计的入侵检测模型进行了初步实现,以验证系统设计的可行性。

论文目录

摘要

Abstract

第一章引言

1.1 论文的背景

1.2 课题的研究意义

1.3 论文的主要工作和贡献

1.4 论文的组织

第二章入侵检测技术

2.1 入侵检测概念

2.2 传统入侵检测技术

2.2.1 滥用检测

2.2.2 异常检测

2.3 新型检测方法

2.4 入侵检测系统的分类

2.4.1 根据检测方法分类

2.4.2 根据数据来源分类

2.4.3 根据体系结构分类

2.5 通用入侵检测系统模型（CIDF）

2.6 现有入侵检测系统的不足

2.7 入侵检测系统的发展趋势

第三章基于移动代理的入侵检测技术

3.1 移动代理技术简介

3.1.1 移动代理概念

3.1.2 移动代理系统结构

3.1.3 典型的移动代理系统

3.2 移动代理应用于入侵检测的好处

3.3 已有的基于移动代理的入侵检测系统

3.4 已有的基于 MA的入侵检测系统模型之比较

3.4.1 AAFID的系统模型

3.4.2 IDA的系统模型

3.4.3 JAM的系统模型

3.4.4 MAIDS的系统模型

3.4.5 总结比较结果

第四章 C-MAHIDS系统模型的设计

4.1 C-MAHIDS系统模型

4.1.1 C-MAHIDS总体设计目标

4.1.2 C-MAHIDS系统简介

4.2 C-MAHIDS系统结构

4.2.1 C-MAHIDS系统物理结构图

4.2.2 系统各个模块的功能及基本构造

4.3 C-MAHIDS系统的入侵检测机理

4.3.1 分布式模式规范

4.3.2 攻击规范语言——ASL

4.3.3 模式图

4.3.4 基于移动代理模式检测原理

4.4 C-MAHIDS系统中代理的协作

4.4.1 分布式关联脚本（DCS）

4.4.2 基于DCS的代理协作

4.4.3 使用DCS协作进行入侵检测的步骤

4.4.3 使用DCS协作进行入侵检测的案例分析

第五章 C-MAHIDS系统模型的初步实现

5.1 C-MAHIDS系统开发平台的构建

5.2 移动代理平台的选择

5.2.1 选择过程

5.2.2 Aglet平台简介

5.3 C-MAHIDS系统中的关键类与接口

第六章 C-MAHIDS系统模型的评估

6.1 理论结论

6.1.1 容错性

6.1.2 伸缩性

6.2 试验结论

第七章结论

7.1 总结

7.2 未来的工作

参考文献

致谢

基于脚本配置代理协作的入侵检测模型的研究

论文摘要

论文目录

相关论文文献

猜你喜欢