基于Aglet的入侵检测系统的实现
摘 要
入侵检测系统在如今的网络安全领域已经成为一个关键性的组件,但传统的入侵检测系统存在的一定的不足,如误报率和漏报率比较高,检测速度慢,占用资源多等。为了适应网络安全的发展需求,针对现有的入侵检测系统,结合移动代理技术,提出了基于移动Agent的分布式入侵检测模型。
本文首先分析了当今网络安全的现状和存在的问题,指出了传统的入侵检测系统的局限性,并阐述了入侵检测技术的发展历史和研究现状。然后讲叙了分布式入侵检测模型的构成,在该模型各个分布节点上使用Snort抓取网络数据包,并记录可疑攻击数据,通过移动代理技术对可疑数据融合后进行综合分析,完成对分布式入侵的检测功能。该模型在windows环境下实现,采用日本IBM公司的Aglet移动代理环境,结合Snort入侵检测系统,利用JAVA语言编程,实现从可疑数据中,分析出攻击行为,并自动添加相应规则,增强对网络的保护能力。
关键字:分布式;移动代理;入侵检测;Snort;Aglet
3.2.1 系统设计目标
对于该系统功能有如下的要求:
1. 首先,网络性能要求。在不明显增加网络负载的情况下,能对网络进行入侵检测。
2. 其次,记录怀疑不确定行为。攻击的方法在不断的更新,它们的攻击特征也不断变化。所以在不改动系统的情况下,建立某种检测机制,在该分布式系统中,不但对已知的攻击能检测,对不能确定的行为能进行记录。
3. 其三,自动完善要求。对怀疑的行为能进行分析和确定是否为攻击行为,若是攻击,能自动添加规则,使系统对该攻击具有免役能力。
3.2.2 系统模型设计
将移动代理和入侵检测结合起来,让入侵检测系统成为更灵活、更健壮、更自制的检测工具,本文提出基于移动代理的分布式入侵检测模型,是根据移动代理可以自主迁移的特性,该模型系统可以安装具体的网络系统的安全策略配置在任何需要检测的系统中,只要安装了移动代理环境和入侵检测数据收集器,就可以成基于移动代理的分布式入侵检测系统的一部分。
上一篇:php网站的安全性研究与实现
下一篇:php网站小型门户网自助建站系统