基于管理Agent的協(xié)作式入侵檢測技術(shù)的研究.pdf

1、隨著計算機技術(shù)和Internet的飛速發(fā)展，計算機系統(tǒng)已經(jīng)由獨立的單機模式轉(zhuǎn)向開放、互聯(lián)的網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)安全和信息安全問題日益突出，網(wǎng)絡(luò)上各種攻擊事件不斷發(fā)生，相應(yīng)地，各種安全措施也越來越多。入侵檢測技術(shù)正受到人們越來越多地重視。傳統(tǒng)的誤用檢測存在效率低下、無法檢測出未知攻擊及變體攻擊的問題，而異常檢測又存在建模能力差、檢測率低等問題。 本文在對已有入侵檢測技術(shù)分析與研究的基礎(chǔ)上，主要完成了以下的工作： (1)引入管理A

2、gent的概念。提出了在管理Agent中采用基于優(yōu)先級選擇算法的協(xié)作管理方法。Agent既可以獨立完成某種特定的任務(wù)，也可以通過管理Agent地協(xié)調(diào)，多Agent間通過相互交換信息進(jìn)行數(shù)據(jù)收集，從而共同協(xié)作完成某種復(fù)雜的任務(wù)。 (2)提出了一種基于管理Agent的協(xié)作式入侵檢測模型(Coopertaion IntrusionDetection：Based on Manager Agent，CIDBMA)。該模型解決了傳統(tǒng)的集中式

3、入侵檢測模型只能從單一視角監(jiān)視被保護(hù)系統(tǒng)，對分布式攻擊無能為力的弊??；同時也兼顧到了分布式入侵檢測系統(tǒng)檢測組件大量占用系統(tǒng)資源且消息量過于龐大的問題。尤其是對模型中的協(xié)作策略進(jìn)行的詳細(xì)設(shè)計，使模型的健壯性大大增強。當(dāng)某個Agent失去工作能力(例如，無響應(yīng))后，也不會對整個模型有較大影響。Agent的恢復(fù)采用了一種選舉算法，在管理Agent的主導(dǎo)下可以及時、動態(tài)恢復(fù)Agent的運行。 (3)在Agent能力屬性中引入了信譽度的概

4、念。這是受到電子交易后的信用評價機制啟發(fā)而提出的。信譽度概念的引入，為更準(zhǔn)確描述Agent在協(xié)作中的表現(xiàn)提供了一個量化指標(biāo)。Agent的本地數(shù)據(jù)庫中存儲與其直接協(xié)作和間接協(xié)作的所有Agent的信譽度向量。 (4)改進(jìn)了數(shù)據(jù)分析集成學(xué)習(xí)模型。在基于多個神經(jīng)網(wǎng)絡(luò)的分類器決策融合后，增加新的神經(jīng)網(wǎng)絡(luò)模塊，修正了單個分類器內(nèi)部發(fā)生的分類錯誤。并在二級神經(jīng)網(wǎng)絡(luò)中改變了輸入向量維數(shù)，運用更全面的數(shù)據(jù)描述提高改變后模型的檢測率，同時降低誤警率