计算机应用 | 古代文学 | 市场营销 | 生命科学 | 交通物流 | 财务管理 | 历史学 | 毕业 | 哲学 | 政治 | 财税 | 经济 | 金融 | 审计 | 法学 | 护理学 | 国际经济与贸易
计算机软件 | 新闻传播 | 电子商务 | 土木工程 | 临床医学 | 旅游管理 | 建筑学 | 文学 | 化学 | 数学 | 物理 | 地理 | 理工 | 生命 | 文化 | 企业管理 | 电子信息工程
计算机网络 | 语言文学 | 信息安全 | 工程力学 | 工商管理 | 经济管理 | 计算机 | 机电 | 材料 | 医学 | 药学 | 会计 | 硕士 | 法律 | MBA
现当代文学 | 英美文学 | 通讯工程 | 网络工程 | 行政管理 | 公共管理 | 自动化 | 艺术 | 音乐 | 舞蹈 | 美术 | 本科 | 教育 | 英语 |

基于对手思维建模的分布式入侵检测模型(1)(2)

2015-08-27 01:01
导读:(2)对手群体意图的识别 单个对手的思维建模只能检测出简单的个体入侵意图,对于大规模的分布式网络入侵就无能为力了。为了解决这个问题,笔者在模

  (2)对手群体意图的识别
  单个对手的思维建模只能检测出简单的个体入侵意图,对于大规模的分布式网络入侵就无能为力了。为了解决这个问题,笔者在模型中提出通过检测Agent之间的协作方式,分析群体对手的意图以找出其入侵计划。这些工作主要是通过BA(Basic Agent)内部TA之间的合作以及BA之间的协作完成的。
  
  1.2IRAIDS模型描述
  IRAIDS模型由TA、BA、SA(Supervise Agent)和MA(Ma-﹏age Agent)组成,如图1所示。在一个网络中BA、SA、MA通过相互协作监督组成了一个严密安全的入侵检测系统。 其中TA是BA内根据检测到的对手主机的访问情况对对手思维建模的Agent,主要用来识别单个对手的入侵及其意图。BA是执行某些检测任务的Agent,它可以分布在主机或网络上,将多个可疑对手归结为一个对手群,对对手群体入侵目的进行意图识别。SA是某一逻辑网段的监督Agent,它监督网段内的BA的运行状态并对网段内的流量和访问等信息进行统计。MA是整个系统的管理者,处于整个网络与Internet接口处(通常是网关),对整个系统的流量、网段内的SA的状态进行监督管理。
  2模型结构分析
  
  2.1TA的结构
  由于网络中需要检测的对方主机的数量可能会很多,实现对手Agent要求所占资源必须足够小,在模型上就需要足够精简。本文对对手建立一个简洁的轻型Agent模型,如图2所示。对手思维模型由三层组成,分别是:  (1)交互层。当某个BA判断网络中某台主机的行为超过了可能入侵的阈值时,就根据下面的模型对对手建立一个轻型Agent,以后获取的这个对手的行为就交由该Agent处理,由TA对对手的操作进行匹配、识别其入侵意图。交互层主要与产生它的BA进行交流,由BA将它所“关心”的对手情况传送给它,处理后由交互层反馈给BA。

(科教作文网 zw.nseac.com整理)


  (2)处理层。利用所归属的BA检测数据库对交互层传来的信息进行入侵规则匹配与意图识别,在单个对手的层次上检测可能的入侵。
  (3)存储层用来存放处理层的中间过程和结果。
  
  2.2BA的主要功能和结构
  BA是运用对手群意图识别技术,通过相互协商方式进行入侵检测的Agent。每个BA负责一定的检测任务,检测入侵的某个方面。BA由下面几个部分组成:DB(数据库)、通信单元、加/解密单元、数据采集单元、数据预处理单元、分析引擎、状态分析引擎、入侵处理单元、用户接口和对对手思维建模的Agent(TA),如图3所示。
  下面按照分类详细介绍各部分的功能:
  (1)通信单元。提供BA与逻辑网段内其他BA以及上层SA进行加密通信的能力,也是BA的数据来源之一。
  (2)加/解密单元。为了保障Agent之间通信的安全化而设立的一个对消息进行加密和解密的单元,是维护系统安全运行的重要单元之一。
  (3)数据采集单元。系统数据的另一来源,从系统日志、审计文件以及网络数据包中获取检测需要的数据。
  (4)数据预处理单元。对从采集单元获得的数据进行过滤、抽象化和标准化操作,便于分析引擎对数据进行分析。
  (5)分析引擎。BA的核心单元,利用内部TA反馈的可疑入侵信息,对可疑入侵群体进行意图识别,同时与逻辑网段内其他BA协作检测并向上层SA报告。
  
本文原文
  (6)状态分析引擎。它是系统进行自我状态进行监督以及对上层SA观察的单元,一旦发现SA存在问题将及时发动一次选举,保证系统运行的完整性。
  (7)入侵处理单元。发现入侵时的处理模块,通常的做法是向用户报警并根据其危害性采取限制登录范围、锁定用户账号甚至切断网络连接等措施。 (科教论文网 lw.NsEac.com编辑整理)
  (8)用户接口。它是用户与BA交互的单元,用户可以向BA中添加新的检测模型、规则等信息,也可以对可疑入侵进行判断分析并给出结论。
上一篇:电子商务对企业现金管理的影响(1) 下一篇:没有了