本文提出了基于代理的域内分层、域间对等的分布式入侵检测系统模型,该模型中协作代理是关键部件。本文重点阐述了原型系统中协作代理的模块设计和安全通信机制。
本文作者借鉴智能代理(agent)技术,并结合XML 和安全通信技术,提出了基于代理的分布式入侵检测系统(Agent-based Distributed Intrusion Detection System)模型[1-4],并实现了一个实验性的原型系统ADIDS。ADIDS 可以描述为一个6 元组:
=(,,,,,
)
其中,是数据采集器,一个域(域是一个独立的网络部分)中可以有多个,分布在网络各处;是入侵检测代理,一个域中可以有多个,分布在网络各处,它们检测到本域内的异常行为时,会将报警信息发送给本域内的入侵事件数据库; 是协作代理,每个域中只有一个,它有两个功能:①负责对本域内的入侵事件数据库中的数据进行汇总和分析,触发本域内的响应器响应入侵事件;②与其他域内的协作代理进行协作,互通报警信息;是监控器,每个域中只有一个,监控器负责对代理进行监控;是入侵检测事件库,每个域
中只有一个;是响应器,每个域中也只有一个。该系统总体结构用UML 描述如图1 所示。
ADIDS 每个域内是两层结构的分层结构[6],由监控器负责对域内的代理进行集中控制;每个域的协作代理之间是对等模式(peer to peer)。这种域间对等,域内分层的两层模式避免了分布式入侵检测系统分层过多带来的负面影响,简化了系统设计和实现的复杂性,便于代理的管理和配置,并增强了系统检测的实时性。
在 ADIDS 中,协作代理[5]是关键部件,它关系到域内可疑事件数据挖掘和域间报警信息的互通。本文重点阐述ADIDS 的协作代理的模块设计与协作代理之间的安全通信机制。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉