基于移动代理的入侵检测系统研究

【摘要】：随着Internet的迅速发展,越来越多的系统遭到入侵攻击的威胁,当今攻击者的知识日趋成熟,攻击的手段日趋复杂多样,传统的安全方法已经无法满足网络安全需要,网络规模和速度的提升导致各种数据量剧增,信息网络安全问题越来越突出。 入侵检测系统已成为信息网络安全领域必不可少的重要技术措施,并已成为信息网络安全的核心技术,它弥补了其它安全技术的不足。入侵检测技术与系统的研究这几年取得了相关进展,但远远不能跟上网络的快速发展。网络速度和规模的提升导致入侵检测需要处理的数据以数量级增长,现有入侵检测性能无法满足相应要求,传统的入侵检测系统会因来不及检测而漏报入侵事件,必须研究检测分析速度更快的算法和系统结构。 基于上述研究背景,为了有效地提高检测分析速度和系统整体性能,论文开展了基于移动代理的入侵检测系统的研究。论文主要工作如下: ①在分析入侵检测系统及移动代理技术的特点和优点的基础上,针对现有的入侵检测系统存在单点失效问题,利用移动代理的异步执行、移动计算的特点提出了一个基于移动代理技术的入侵检测系统模型,并给出了主要代理的具体描述。实验结果表明该模型具有:模块化程度高、可配置性强、可扩展性好、系统软件结构对网络拓扑状态具有自适应性。该模型较好地解决了入侵检测系统的单点失效和自身安全性问题,具有理论意义与实践应用价值。 ②FPN(Fuzzy Petri Nets)是将Petri网与模糊理论相结合的推理方法,使用FPN对入侵进行检测,可以解决误用入侵检测系统中现有知识表示方法不能并行推理、传统的基于Petri网可达图搜索求解导致模型描述复杂、推理缺少智能等问题。本论文的系统采用了FPN作为分布式检测引擎并根据推理存在前后顺序的特点进而提出了一种基于阈值的改进算法。 ③考虑到入侵检测系统经常要进行字符串模式匹配,字符串模式匹配的效率好坏直接影响到入侵检测系统的性能,论文提出了基于字符使用频率及分治思想的改进字符串模式匹配算法,该算法可以使扫描被匹配目标串时跳过的字符在统计结果上比目前广泛使用的Boyer-Moore算法跳过的字符更多,同时该算法可以采用并行编程来提高检测的速度,进一步减少了总体匹配次数,进一步提高了入侵检测系统字符串匹配的速度。 ④针对现有扫描检测算法对隐蔽扫描、慢扫描无法识别的不足,提出了基于协议状态有限机的检测算法,该算法能更准确地检测出普通扫描,同时对隐蔽扫描、慢扫描等现有技术难以检测的扫描也有很好的检测效果。实验结果表明:该算法能明显提高系统扫描检测性能,降低误报率和报警次数。 ⑤移动代理为完成任务通常需要迁移到多台主机,网络状态又在动态变化,为提高动态变化的网络里移动代理迁移的效率,本论文提出了一个基于加权迁移基图的网络状态自适应的移动代理迁移算法,并对算法进行了分析与测试。测试结果表明:该算法具有自动适应网络状态变化、迁移开销小等特点。 ⑥为增强所提出的移动代理入侵检测系统的健壮性,论文针对网络中某条链路失效问题提出了基于网络负载拓扑图的自适应重构算法、相关定义定理、基于生成树的割边判断法、以及基于割边与网络负载拓扑图的预重构算法。这些算法使得移动代理入侵检测系统在割边故障时可以在相应连通子图内启用子协调中心节点及备份节点,实现本连通子图内的入侵检测协调工作的不间断运行,从而提高移动代理入侵检测系统的健壮性。