基于对手思维建模的分布式入侵检测模型(1)(3)
2015-08-27 01:01
导读:(9)DB。数据库是BA存储系统信息、检测模型、经预处理后的数据和中间数据的单元。数据库中的内容主要有下面三部分: ①网络的拓扑信息,包括当前
(9)DB。数据库是BA存储系统信息、检测模型、经预处理后的数据和中间数据的单元。数据库中的内容主要有下面三部分:
①网络的拓扑信息,包括当前BA所处网络的其他BA的地址、上层SA的地址、MA地址等描述网络拓扑结构的信息。
②知识库,主要包括入侵检测方法、单个对手意图识别算法、对手群体意图识别算法。其中检测方法数据库包括正常模式库和异常模式库(分别用于异常检测和误用检测方法)。这两种数据库可以根据数据来源分为不同类别子数据库。这样,异常数据可以根据其来源在相应的子数据库中得到迅速的匹配。
③经预处理的数据。所有经过预处理得到的标准化和格式化的数据都保存在数据库中,用来保存对手的入侵证据。
2.3SA的主要功能和结构
SA的主要作用是对所在逻辑网段内其他BA的状态进行监督管理、接收BA发送的可疑报告、同其他SA协商以及向上层MA提交入侵和可疑入侵情况。由于SA是从一个逻辑网段的所有BA中选举出来的,与BA的结构基本相同。不同的是,SA数据库中的网络拓扑结构除了包括本逻辑网段内的其他主机的地/址信息外,还保存其他网段的SA和部分BA(便于发现某个SA失效时可以通知其网段内的BA)的地址信息。
2.4MA的主要功能和结构
MA是处于整个网络与Internet接口处,是对整个网络进行监控和检测入侵的核心单元,常常处于与Internet接口的网络设备中,对全网的数据流量进行统计跟踪。MA可以通过大量的学习,统计正常和异常情况下网络中的数据流量、各个局域网段的流量以及正常和异常的访问信息等知识。通过MA在高层监控,一旦发现流向某个网段或者整个系统的流量发生剧烈变化,可以通过学习的结果判断是否出现入侵,并及时向可能发生的入侵网段的SA发出警告。
(转载自http://zw.nseac.coM科教作文网) MA的结构与BA、SA十分相似,但是它只需要对网络中的数据包进行分析,在数据采集单元中只接收通信单元和网络中的数据包的信息。其他部分类似,需要详细解释的是MA的数据库。MA的数据库中存放着下面三种数据: 共2页: 1 [2] 下一页 论文出处(作者):
基于密钥矩阵序列的视频乱序加密方法
动态特效实时建模方法的研究
