论文部分内容阅读
本论文首先对入侵检测方面的相关工作进行了总结。在分析已有分布式入侵检测模型的基础上,提出了一个基于 Agent的分布式入侵检测系统模型框架。该模型提供了基于网络和基于主机入侵检测部件的接口,为不同 Agent之间的相互协作提供了条件。在分布式环境中,按照系统和网络的异常使用模式的不同特征和环境差异,可利用不同的 Agent进行检测,各 Agent相互协作,检测异常行为。本模型是一个开放的系统模型,具有很好的可扩充性,易于加入新的协作主机和入侵检测 Agent,也易于扩充新的入侵检测模式。本模型采用没有中心控制模块的并行 Agent检测模式,各 Agent之间的协作是通过它们之间的通讯来完成的,各Agent之间可以交流可疑信息和进行数据收集。Agent之间各自独立,相互协作,合作完成检测任务。另外模型采用一定的状态检查和验证策略,保证了 Agent的自身安全和通信安全。该模型与特定的系统应用环境无关,因此,提供了一个通用的入侵检测系统框架模型。 在本论文中,我们还给出了一些工作情况总结,其中主要有审计机制和面向入侵检测弱点数据库的建立,这两个方面都是建立入侵检测系统的基础,我们在这些方面已经进行了相当多的积累工作,这对实验和建立我们的入侵检测系统具有相当大的帮助。