论文部分内容阅读
入侵检测系统(IntrusionDetectionSystem,IDS)是计算机安全领域重要的技术之一,它和防火墙一起对主机和网络构建了全方位的防护。随着计算机软硬件的提高和安全技术研究的不断深入,入侵检测系统在体系结构、检测算法上也有了很大的进步,各种新技术层出不穷,但是入侵检测系统中一直存在的漏报与误报的矛盾依然存在,即使是成熟的商业产品中也没有完全解决这个问题。
本文致力于设计一个基于移动Agent的主机入侵检测系统的原型,并在此基础上对主机的入侵检测算法进行细化和实现。相对于传统的集中式IDS来说,基于移动Agent的IDS具有组件独立性、协作性好,系统的可扩展性较强,便于监控多种数据源等优点。
入侵检测算法大体上可分为基于特征的入侵检测算法和基于异常的入侵检测算法,它们各有其优缺点。本文中主机入侵检测部分同时采用了这两种检测算法,即具有较低门限值的基于异常的入侵检测算法和严格的基于特征的入侵检测算法。试图使二者结合起来在系统级、进程级和用户级三个层面上对受保护主机提供更严密的保护。在运行过程中,从多个检测点来确定入侵,降低了系统的误报率。
用几种常用的入侵手段对实验原型系统进行了功能测试,系统能够检测出入侵行为并产生报警,但在用户行为监控方面也会出现漏报情况。由测试结果可以认为系统基本上达到了设计要求,也明确了后续的工作任务。