基于Agent的分布式入侵检测系统模型的研究与设计
基于移动Agent的分布式入侵检测系统设计研究
模 型可 以分 为异 常入 侵 检 测 与 误 用 人侵 检 测 两类 。
异 常入侵 检测 记 录用 户在 系 统 上 的 活 动 , 且 根 据 并 这些记 录创 建 活 动 的 统 计 报 告 。如 果 报 告 表 明它 与正 常用 户 的使 用 有 明 显 的不 同 , 么检 测 系 统 就 那
20 0 7年 5月 1 日收 到 2
能并能够 自主运行 和提供服务 的程序。它是一个
独立 运 行 的实 体 ( 它们 由操 作 系统 , 不 是 由其 它 而 程序 调 度运 行 ) A et有 可 能需 要 别 的 A et , gn gn 的处 理结 果数 据来 进行 操 作 , 还 是 可 以认 为它 们 是 独 但 立 的。另外 , gn 可 能会 从 别 的 实体 接 受 高级 控 A et
⑥ 2 0 Si eh E gg 0 7 c.T c . nn .
基于移动 A et gn 的分布式人侵检测 系统设计研究
张 乐 ’ 苏 秀琴
( 中同科学 院西安光学精密机械研究所 西安 7 0 1 中国科 学院研 究生院 北京 10 3 ) , 1 19; , 0 0 9
维普资讯 Biblioteka 第 7卷第 l 9期
20 07年 l 0月
科
学
技
术
与
工
程
V0 _ No 1 l7 .9
Oc .2 0 t 07
171 1 1 ( 0 7) 9 5 5 — 6 6 —8 9 2 0 1- 100
S inc c o o y a d En i e rng ce e Te hn lg n g n e i
已知攻击 方 式进行 比对 的方 法 实 现 入 侵检 测 , 种 这
基于Agent的分布式入侵检测技术研究综述
摘
要 :智能化 和分 布式 是 目前入侵检 测的热点研究方 向 ,基TA et g n的分布式入侵检 测技术 以移动A et g n的优于
传统分布式技术 的特性更 是成为分布式入侵检测 领域 的研 究热点 。本文针对 以往入侵检 测系统的不足 ,剖析 了现 有 的分布式入侵检测系统 ,重点分析了各个典型的基- A et ] gn的分 布式 入侵 检测 系统 的优 、缺点 ,并结合 同内外 的 =
发 展 形 势展 望 了基 于 A et 分 布式 入 侵 检 测 系 统 的 发 展 方 向 。 g n的 关 键 词 :分 布式 入 侵 检 测 系 统 ;代 理 ;综 述 中 图分 类 号 :T 3 3 P 9
收 稿 日期 :20 —91 0 80 —0
文 献标 识 码 :A
文 章 编 号 :10 —3 52 0 )60 5 —5 0 82 9 (0 80 —0 40
产 品 , 有 成 功 的 也 有 失 败 的 。 从I S I DS DE  ̄ DI ,再 J 到G I 、A I 。 由于高级 入侵技 术呈 现 出分布 r Ds AFD等
性 和协 作 性 的特 点 ,要 求 分布 式 入 侵检 测 系 统要 具
有智 能性 、分布 性和协 同工 作 的特 点 。
也 越 来越 高 ,仅 仅依 赖 于 防 火墙 等 单 一 的 网络 设 备
并 不 能 完全 抵 御 网络 攻 击 ,为 弥补 网络 安全 设 备 的 不 足 入侵 检 测 技 术应 运 而 生 。各 种 构 架 的入 侵 检 测 系 统 ,较好 地 适 应 了 网络 技 术 发展 的需 要 。 同时 网 络 入侵 检 测技 术 与代 理 ( e t Agn )技术 、神 经 网络 、 数 据 挖 掘 、 数 据 融 合 、 生 物 免 疫 、进 化 计 算 技 术
基于Agent人工智能技术的分布式入侵检测系统设计
计算机测量与控制-2020.28(7)Computer Measurement&Control#29#测试与故障诊断文章编号!671-4598(2020)07-0029-05DOI:10.16526/ki.11—4762/tp.2020.07.007中图分类号:TP393.08文献标识码:A 基于Agent人工智能技术的分布式入侵检测系统设计李刚,孙耀文,于德新,付海,赵邵蕾(潜艇学院教研保障中心,山东青岛266199)摘要:针对当前动态加速技术(intel dynamic acceleration,IDA)系统中由于数据集中处理缺陷,影响系统入侵检测精准性的问题,提出了基于Agent人工智能技术的分布式入侵检测系统设计$在系统总体结构支持下,分析控制中心、网络主机、分区控制中心和Agent库$根据响应库中的响应规则采取对应的响应策略,利用通信模块及时判断入侵行为是否异常,使用S5720S —28P—SI—AC24口全千兆三层网管企业级网络核心交换机,进行数据交换$选择AD2032型号的报警响应器,能够监视外来入侵行为$通过V1.2绿色电脑信息检测器,对系统内存和驱动磁盘进行全方位评估$分析主体通信的实现方式、通信消息格式和通信协议,设计以Agent为基础的数据移动过程;借助Libpcap库函数,设计入侵检测流程$设置攻击环境与参数,由系统调试结果可知,该系统最高检测精准度可达到99%,为保证网络安全使用提供设备支持%关键词:Agent人工智能$分布式$入侵检测Design of Distributed Intrusion Detection System Based on AgentArtificial Intelligence TechnologyLi Gang,Sun Yaowen,Yu Dexin,Fu Hal,Zhao Shaolei(Teaching and Research Guarantee Center,Submarine Academy,Qingdao266199,China) Abstract:For the current dynamic acceleration technology(Intel Dynamic Acceleration,IDA)system,due to defects in central-izeddataprocessing&theaccuracyofsystemintrusiondetectionisa f ected.Thedesignofdistributedintrusiondetectionsystembased on Agent artificial inte l igence technology is proposed.With the support of the overa l structure of the system&the analysis control center&networkhost&partitioncontrolcenterandAgentlibraryareanalyzed.Accordingtotheresponserulesintheresponselibrary& the corresponding response strategy is adopted&and the communication module is used to timely determine whether the intrusion behavior is abnormal.The S5720S—28P—SI—AC24—port fu l Gigabit Layer3network management enterprise—level network core switchisusedfordataexchange.Select AD2032typealarm responderto beableto monitorthe behaviorofforeignintrusion.Through V1.2green computer information detector&comprehensive evaluation of system memory and drive disk.Analyze the implementation method&communication messageformatandcommunicationprotocolofthesubject&anddesignthedatamovementprocess basedonAgent.WiththehelpofLibpcaplibraryfunction&designtheintrusiondetectionprocess.Setthea t ackenvironmentandpa-rameters.According to the system debugging results,the highest detection accuracy of the system can reach99%,and equipment supportisprovidedtoensurethesafeuseofthenetwork.Keywords:Agent artificial intelligence$distributed$intrusion detectiono引言智能主体技术问世和发展为人工智能与网络技术融合的共生品,智能主体技术为一种新型的软件设计形式,拥有自主性、交互性以及移动性等特性,目前在人工智能、网络管理、网络安全和软件工程等领域得到了广泛的应用[1\智能主体技术为包含除入侵检测之外,还有以网络为基础的分布式计算等领域提岀了一个崭新的设计方案%所以,研究以智能主体技术为基础的分布式入侵检测的理论价值与实际应用具有重要作用%因为智能主体技术在入侵检测过程中具备使网络负载收稿日期:2020-03-26$修回日期:2020-04-21.作者简介:李刚(1982-),男,山东青岛人,硕士,工程师,主要从事网络系统架构、人工智能方向的研究%减弱,能够依靠异步方式自主运行,拥有天然的异构性以及应变能力很强等优势,众多机构与研究实验室都将其应用在入侵检测过程中%以往设计开发的IDA系统,IDA凭借移动Agent对入侵者信息进行追踪以及采集收取[3\借助Agent的移动性,IDA灵活性很强,但集中处理数据会增加管理者的负担,与此同时,检测与响应入侵的实时性亦会受到影响,而且Agent在许多主机间移动,这造成安全管理产生了一些难题,对于智能主体在网络入侵检测时低效、安全性弱等难题,凭借研究许多Agent技术在以主机为基础的入侵检测系统、以网络为基石的入侵检测系统的应用,设计岀以Agent人工智能技术为基础的分布式入侵检测系统%1系统总结架构设计系统的物理拓扑网络中,防火墙、路由器、交换机、・30计算机测量与控制第28卷主机与服务器等构件与网络主机、分区控制中心、Agent库以及控制中心共同构成了系统总体架构如图1所示%各个模块描述如下:针对控制中心协助问题&使用专业性较强的服务器控制中心&系统管理员能够凭借它完成全部规则集的更新任务⑷%分区控制中心管制某区段网络、子网络的网络主机处理是它负责的任务,收到控制中心任务后&命令管辖的主机执行网络主机的上报信息接收任务,并且将诊断信息监测中的非正常情况&以入侵特征模式输入数据库之中&再将分析结果向控制中心进行上报〔I%网络主机是可以为移动供给运行环境的移动代理平台&倘若网络主机优先处置疑似情况&然而自己却不能判断&那么就把有关数据向分区控制中心反馈&再进行更深层次的分析处理&来发现众多台主机入侵网络行为的有无+,% Agent库在入侵检测系统过程中具有重要地位&尤其在执行操作中&控制中心直接管控管理部分&使其可产生的新配置能够依据实际需求执行相应工作&能够将原有的执行重新配置&删除不再需要的也可以实现+,%2硬件结构Agent之间的通信借助消息传递的方式运行&系统中借助传递消息达成相互通信的目的%系统硬件结构如图2所示%在图2中&中心Agent控制中心服务器&管控作用目的是管理、协调、控制、受检主机上的移动代理&接收移动代理的情况报告、获取报警信息&同时将下级不能判别的事情处理,响应入侵事件[10]%与此同时,控制中心还可显示人机交互界面&报告运行状态给管理人员、拉响警报&接收上级指令&改变运行状态&供给全部系统的Agent库&派遣、收回各节点的Agent11%中心管理分析、处理&特征库作为后盾的条件下作用是将下层传送的数据执行综合Agent库控制中心响应模块综合分析模块管理模块管理模块检测模块管理模块检测模块图2系统硬件结构通信组件通信组件通信组件通信组件巡视Agen t巡视Agen t巡视A ge n t|巡视Age n t响应模块响应模块响应模块响应模块数据过滤数据采集数据过滤数据采集数据过滤数据采集数据过滤数据采集被检测主机A被检测主机A被检测主机A被检测主机A分析操作,响应库作为后盾的前提下对入侵行为反应&下层的移动Agent也由其管控%主机Agent运行监控中的主机上&通过采集系统、网络相关数据&可对其进行初步分析和过滤+2%去除海量冗余数据&减少系统工作量%不同系统间层次是通信模块中扮演保护层的角色&借助各个层次实现数据高效传输与协调%2.1主机Agent主机Agent有探测器、存储、取出取控制库、规则库、响应库与通信模块&其结构如图3所示%图3主机Agent结构主机Agent结构主要工作机理如下所示:通过探测器进行数据采集时&应采取控制管控原则&在该原则获取主机数据+3%将数据执行初步分析&把分析处理后的数据依照选取原则进行一一匹配&一旦匹配成功&则说明该行为第7期李刚,等:基于Agent人工智能技术的分布式入侵检测系统设计・31是入侵行为&具有一定危险性%依据响应规则采取对应策略&比如网络终端、预警等&将最终获取的数据传输给上级主机Agent之中血。
基于动态Agent的分布式入侵检测系统设计与实现
入 侵是 指有 关试 图 破坏பைடு நூலகம்资源 的完 整 性 、机 密 性及 可 用 性 的集 合 。可分 为尝 试性 闯 入 、伪 装 攻 击 、安 全 控制 系统 渗透 、泄露 、拒 绝服 务 、恶 意使 用等 多 种类 型 。 入 侵检 测 (n r s nDee t n Itui tci )是指 对计 算机 系统 和 o o 网络 资 源 的恶 意 使 用 行 为 进 行 识 别 并 做 出 相 应 处 理 的 过
图 2 入侵 检 测 系 统 的 C D I F模 型
[ 稿 日期 ] 2 0 收 0 6—0 —0 2 2 [ 者简介] 向明尚 (96 ) 作 1 6 一 ,男 ,1 8 9 6年 大 学 毕 业 ,工 程 师 ,现 主 要 从 事 计 算 机 网 络 技 术 方 面 的 研 究 工 作 。
行 参量 ,实 现 了安 全审计 数 据 的分布 式 存储 和分 布式计 算 ,因此在 检测 大 范 围的攻击 行 为 、提高检 测准 确性 和检测 效率 、协 调 响应 措施 等方 面 与传统 的单机 入侵 检测相 比具有 明显 的优 势L 。入 侵检测 研 究 的 2 j 重点 之 一是 在检 测 到 网络 原 始数 据后 ,建 立有 效性 、 自适应 性 和可 扩展性 的入侵 检 测模 型 。笔 者在研 究
算机 和 网络技 术的 快速 发展 ,分布 式计 算环 境 的广泛 应用 ,海 量存 储 和高 带宽 传输 技术 的普 及 ,传 统 的 基 于单 机 的集 中式 入侵检 测 系统 已不 能 满足 安全 需要 。这 就要 求入 侵检 测 系统必 须 分布在 网络 中的 多 ] 个主机 上 ,它们 之 间能 够实 现 高效 、安 全 的信息 共享 和协 作检 测 任务 ,共 同解决 网络安 全 问题 。分 布式 入 侵检 测 系统采 用 了非 集 中式 的系统 结 构 和处理 方式 ,综 合 了不 同位置 、不 同角度 、不 同层 次的 系统 运
基于移动Agent的分布式入侵检测系统研究
【 键词 】 网络 安全 入 侵 检 测 分布 式 移 动代 理 关
一
引 言
否 有 入 侵 或 异常 行 为 ,对 可 以 由单 个 移 动检 测代 理 决 策 的 入 侵 行
立 如 报 若 Itre 普 及 为 世 界 范 围 内 实 现 资 源 和 信 息 共 享 提 供 了 便 利 为 。 即 给 出 相 应 , 阻 断 网络 连 接 、 警 , 本 机 移 动 检 测 代 理 不 nen t的 需 则 条 件 . 同 时 也 为 网 络 信 息 安 全 提 出 了 新 的 挑 战 。 入 侵 检 测 系 统 因 能 判 断 , 要 其 他 主 机上 的移 动 检 测代 理 协 同工作 的 , 发 出请 求 , 但 通 能 同 时 检 测 来 自 网 络 外 部 和 内 部 的 恶 意 攻 击 和 破 坏 行 为 越 来 越 受 迁 移 或 者接 收 其 他 移 动 检测 代 理 传 递 的消 息 , 过 多 代 理 合作 进 行 以 到 人 们 的 重 视 。 但 随 着 网 络 技 术 日新 月 异 的 发 展 , 络 攻 击 技 术 也 入 侵 检 测 。最 后 将 可 疑 的 日志 信 息 和警 报 信 息 存 人 系 统 数据 库 , 网
个 薄 弱 环 节 , 果 入 侵 者 使 用 某 些 手 段 导 致 其 无 法 工 作 。 么 整 个 标 主机 或 路 由 的选 择 ) 安 全控 制 ( 护 自身 ) 与外 界 ( 如 那 、 保 、 MA 服 务环 境 系统 也将 失 效 : 3、 量 数 据 收 集 将 导 致 网 络 通 信 过 载 : 大
( IS) 在 的 问 题 : DD 存 1 入 侵检 测 实 时性 较 差 : 、
一种基于多Agent协同的分布式入侵检测系统模型
^
现 2 移 动代 理 及 其 特 点 . 1
检测 目标级 的功能 主要是 针对需 要安 全保 护 的
主 机 进 行 人 侵 检 测 .不 是 对 于 所 有 的 主 机 都 设 定 . 避
总
硬 件 和 操 作 系 统 的 平 台 细 节 屏 蔽 . 代 理 获 得 一 个 统 使
一
免不必要 的资源 占有和减少 投资
协 调 中 心 级 主要 负 责 对 本 机 所 在 网段 内 的 网 络
第
二
的 界 面 。在 这 个 基 础 上 . 理 可 以在 各 个 平 台之 间 代
九
七
★基 金 项 目 : 南 省 教 育 厅 2 0 湖 0 6年 度 科 研 项 目( .60 6 No0 c 1 )
量:
实现入侵检测功能 的一系列 的软件 、硬件 的组合 . 它
是 入 侵 检 测 的 具 体 实 现 入 侵 检 测 系 统 就 其 最 基 本 的
形式来 讲 . 以说是一 个分类 器 。 可 它是 根据 系统 的安 全策 略来 对收 集到 的事件/ 态信 息进 行分 类处 理 . 状
/
研究与开 发
进行监 听 . 检测 可能 的人 侵行 为 . 且 同本层 的其 并 并
基于移动Agent的分布式入侵检测系统
8 8
福
建
电
脑
20 第 1 0 8年 期
基 于移 动 A et gn 的分布 式入侵检 系统
陈 晓峰 .马亨冰 z
(. 州大学数 学与计算机 学院 福建 福州 3 0 0 2 福建省 经济信 息中心 福建 福 州 30 0 1福 50 2 . 5 0 3)
. 存 在 一 定 的局 限性 。 如入 侵检 测 实 时性 较差 、 在 单 点失 效 问 31管 理 中 心 比 存 题 、 扩 展 性 差 、 量 数 据 收 集 将 导 致 网 络 通 信 过 载 、 同入 侵 可 大 不 管 理 中 心 是 模 型 的 最 高 级 别 实 体 。 在此 结构 中 . 是 控 制 它 检 测 系 统 难 以实 现 互 操 作 等 。 和协 调 其 它组 成部 分 的 核 心 。 维 护 着 所 有 组 件 , 括 主机 监 视 它 包 gn 。 gn 平 跟 gn。 gn、 gn 为 了有 效 地解 决 以上 问题 .本 文 将 移 动代 理技 术 引入 入 侵 A e t移 动 A et 台 。 踪 A et响应 A et数 据 收 集 A et B ) M 。 检 测 系 统 .提 出 了一 个 的 基 于 移 动 代 理 技 术 的 分 布 式入 侵检 测 的 配 置 信 息 以 及 布 告 板 ( B 和 信 息 板 ( B) 当 以上 提 到 的任
系 统 模 型 结构 。
2 移 动代 理 技 术 .
何 一 部 分加 入 系统 时 .它 必 须 在 管 理 中心 的组 件 列 表 中登 记 。
【 要】 摘 :本文指 出 了 统入侵检 测系统的缺点和存在的 问题 ,分析 了移动 A et 术的特 点,提 出了一种基于移动 传 gn技
基于Agent的分布式入侵检测系统的设计与实现
作者简介 : 丁国良(98 , , 16 一)男 副教授 , 主要从事 汁算机网络安3月
文章 编号 : 0 — 3 3 2 0 ) 1 0 1 0 1 1 9 8 (0 6 0 — 0 3— 3 0
基 于 Agn 的分 布式 入 侵 检 测 系统 的 et 设 计 与 实现
丁国良, 王希武, 陈开颜, 王嘉桢
( 军械工程学院计算机工程系 , 河北 石家庄 000 ) 50 3
w r n i n n. o k e vr me t o
Ke wo d :nrso ee t n sse ;Ag n ;P oo o n lss o y r s I t in d tci y tm u o e t rtcla ayi ;C mmu iain p tc 1 nc t r o o o o
分布式入侵检测是当前入侵检测和网络安全领 域的热点之一。 目 , 前 虽然没有严格意义上的分 布 式入侵检测的商业化产 品, 国内外众多的研究机 但 构、 大学和公司都在致力于这方面的研究 , 许多研究 人员已经提 出并完 成 了许多 原 型 , S ont 如 nr e t …、 A FD 等。分布式入侵检测系统 的主要研究 内容 A I
De i n a d i p e e to iti u e t u i n d t ci n s se sg n m lm n fd srb t d i r so e e t y t m n o
ba e n a e s d o g nt
DI NG o-i g, ANG - U。 Gu l an W XiW CHEN K — an, ANG a z on ai v W Ji- h (C m ue nier g Dp r n, rn neE gnen oee S oaha gl bi 50 3, hn ) opt rE gne n eat tOd a c n ier C lg , h'zun t e 0 00 C ia i me i g l i e
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
件产
器
响 晦 元
ges pon c・ x ¥ Bo
EY nt Box t .
书 什 分 折 嚣
An vss. Ox al R i
啦什 被
D al Ba e a s Box
阳 l CI DF 批 粲
收稿 日期 : 0 5—1 —l 20 l 8
作者简介 : 满红芳。 , 女 山东师范大学讲师 ; 宿超 . 山东广播 电视 大学工程师 ; 清, , 南信息 工程学校 中学一级教师。 男. 马春 女 济
摘 要 : CD ( o o t s nD t t nFa e ok 通 用入 侵检测 框 架) 在 I F C mm nI r i ee i rm w r , nuo co 的基础 上 , 引入 A et 术 , gn 技 提
出一种 基 于 A et gn 的入 侵 检 测 系统 模 型 。该 模 型 通 过 静 态 智 能 A et 移 动 A n 技 术 , g n和 e g t 实现 了基 于 主 机 和 基
的措施。
检测 框架 ) 由美 国国防高级研究计划 署( A P 提 出的 是 D R A)
一
个开放的体系标准 J I F将入 侵检 测 系统分 为 4个 。CD
三、 目前 I S的局限性 D
基本组件 : 件产生 器 、 件分 析器 、 事 事 响应 单元 、 事件 数 据 库。其 中 , 事件产 生器、 事件 分析 器、 应单元 通常 以应 用 响 程序的形式出现 , 而事件数据 库则往 往采用 文 件或数 据流
进程 , 它们 之 间采用 统一 入 侵 检测 对 象 ( eea It s n G nrl nr i uo
在网络安全问题 日益 突出的今 天 , 何迅 速有效 地 发 如 现各类攻击行 为 , 对保证 系统 和网络资 源的 安全显 得十分 重要 。入侵检测就 是用 来发现网络或主机 日志文件 中已知求 分 析 的 数 据 流 称 为 事 件 ( D B vn) 它既可以是 网络 中的数据 包 , et , 也可 以是从 系统 日志 或其 它途径得 到的信 息 , 以上 C D I F模 型 中的 4个组 件代 表的都是逻辑实体 , 中 的任 何一个 组件 可能是某 台计算 其 机上 的一个进程甚 至线 程 , 也可能 是多 台计算机 上的多个
于网络相结合的分布式入 侵检测 , 改善 了入 侵检测 系统 的性 能。
关 键 词 : 侵 检 测 ; 态 智 能 A e t移 动 A et 入 静 gn ; g n
中图分 类号 :f 9 .8 Tr 3 0 3
文献标 识码 : A
文章 编号 :0 8— 3 0 20 )3 0 8— 2 10 34 (0 5 0 —0 3 0
的形式 。基本模型架构如 图 1 所示 。
目前基 于主机和基 于网络的 I S在进行数据收集和分 D
析时主要 采用单一 的技 术。从单 一的 主机上或通过审计追
踪或通过监视网络上的数 据包来 收集数 据 , 过使用 不 同 通 技术的单一模 块来分析 数据 , 虽然有 些 I S通 过分散 在各 D 主机上的模块来分布式地 收集数 据 , 是收集 到 的数据仍 但 然被集 中放在一个地方 , 以便用单一 的主机分析这些数据 , 这些技术存在很多局限 : ¨ ( ) 一 分布程度不够 : 现行 系统 大多数 都采用集 中式 体 系结构 ; 而一 些分布式 的也 只是在 数据采 集上 实现了分 布 式, 数据的分析 、 侵 的发现还 是 由单个 主 机完成 , S各 入 I D 组件 间的协作十分有 限。这使 系统对 分布式攻 击的检测力
监控 整个 网段的任务。 二、 IF简介 CD CD ( o o n ui e co rm w r , I F C mm nIt s nD t tnFa e o 通用入侵 r o ei k
事件分析 器负责分析从其 它组件收到 的 G D IO并将 产 生的分析结果传送 给其它组 件。 响应单元 用来存储 G D 以备系统需要 的时候使用 。 I O, 事件数据库 负责处理接收到的 GD 并据此采取相应 IO,
的或潜在 的攻击行 为。 根据 被监视对象的不同 , 入侵检测 系统 可分为两类 : 基 于主机的入侵检测系统和基 于网络的入侵检测 系统 。基 于 主机 的入 侵检测系统 往往 以系统 日志 、 应用 程序 日志等作
D t t nO j tG D ) e c o be , I O 格式 进行 数据 交换 。G D ei c I O是对 事 件进行编码的 标 准通用 格式 , I O数 据流 可 以是发 生 在 GD 系统 中的审计事件 , 也可以是对审计事件 的分析结果 。 事件 产生器 的任务是从 I S之外 的计算 环境中收集 事 D 件, 并将这些事件转换成 CD I F的 G D I O格式传送给其它 组
维普资讯
山 东电 大学报
20 0 6年 第 1期
基于Ae 的 布式入 gt 分 n 侵检测系 统模型的 研究与 设计
满红芳。宿超 马春 清 , ,
(、 1 山东师范大学 , 山东 济南 2 0 1 ; 、 5 0 4 2 山东广 播电视大学, 山东 济南 2 0 1 ; 5 0 4 3 济南信 忠工程 学校 , 、 山东 济南 2 0 0 ) 5 1 1
件。
为数据源 , 有时也通过其他手段 ( 如监 督系统 调用 ) 所 在 从 的主机 收集信 息进行 分析 , 一般 保护 的是入 侵检测 系统所 在的主机。基 于网络的入侵检测系统的数据源则 是网络上 传输 的数据包 。它往往将 监视 的网卡设成 混 杂模式 , 听 监 所有本网段内的数据包并进 行判 断分析 , 种系统 担负 着 这