资料介绍
从分析信息安全的现状入手,设计了一个基于多Agent的快速入侵响应系统CI2D&R。结合该系统的网络部署设计,介绍了该系统两个主要组成部分安全间谍和安全警卫的主要功能,并提出了该系统的分层体系结构,分析了系统的主要组成部件及其相应功能,论述了该系统的数据流和接口设计及解决Agent可靠运行的方法。
关 键 词 入侵检测与响应; 多代理系统; 快速响应; 信息安全
快速反应及灾难恢复技术是网络主动防御技术的重要内容。作为信息安全有效保护手段之一的快速响应及灾难防御系统应具有入侵模式识别、攻击建模、安全评估以及攻击取证功能,才能对入侵行为进行有效反击[1~3]。有效的入侵响应系统应该提供近似的攻击源定位技术[4],并采取积极的预防性响应措施,从而可在一定程度上减少攻击带来的资源损失。此外,对信息安全来说,系统还必须具备足够的“灵性”,以应对复杂网络环境中的各种入侵行为。根据上述思想,本文采用多Agent技术,设计了一个协作式入侵检测及响应系统-基于成本的智能入侵回溯及响应系统(Cost-based Intelligent Intrusion Detection and Response System, CI2D&R)[5]。
CI2D&R系统网络部署设计
一个有效的入侵响应系统应能处理分布式网络环境中的攻击行为。从网络部署来看,CI2D&R系统属于分布式结构。CI2D&R系统分为相互协作的安全警卫(Guard)和安全侦探(Spy)两个部分。其中安全警卫运行在受保护用户主机(Guarded Hosts, GH)上;而安全侦探则分布在受保护网络(Guarded Networks, GN)中,其具体位置可以是网络的关键节点(Key Node, KN),也可以是网络边界控制节点(Border Node, BN)。
1.1 受保护网络
受保护网络GN由计算机和各种网络连接设备组成,它们可以是逻辑上的独立单位,也可以是物理上的独立单位。在GN的关键节点或者其网络边界的控制点上,安全侦探Spy监控该GN内的数据流,并与特定的安全警卫协作,旨在完成特定的操作,例如切断连接、对指定攻击者发动必要的反击等。受保护网络和与之对应的安全侦探形成了一个逻辑上的安全域(Security Domain)。从整体来看,一个公司、企业或者国家可视为一个广义上的安全域,因此将范围较小的安全域称为安全子域(Security Sub-Domain),以表示与广义上的安全域的区别。一个安全域包含一个或者多个安全子域,安全子域内可以运行一个或者多个安全侦探。安全域或者安全子域内的计算机等网络资源和系统资源,均受安全侦探的监控和保护。
1.2 安全侦探
安全侦探Spy是分布在安全域中的软件代理,其主要功能是监控网络流量和执行命令。对于网络流量监控,安全侦探对流经该安全域(或安全子域)的数据进行概率采样,并对采样的数据包打上安全标签。当发生网络入侵时,受保护主机可采集这些带有安全标签的数据包,并用数据挖掘的方法识别出攻击源或者攻击源区域即所谓的攻击源回溯。此外,安全侦探也可以和受保护主机上的安全警卫协同工作,执行安全警卫发布的命令或指令,从而对该安全域实施主动保护。
对于关键的安全域,安全侦探也可以具有入侵模式识别、自动保护、入侵事件分类、入侵破坏力分析和灾难性防御能力,从而可以实时地发现入侵,并主动地对入侵进行响应。具备这种能力的安全侦探,称之为智能安全侦探。如果安全域中分布有众多的智能安全侦探,则整个安全域可具备足够的“灵性”,从而可对入侵进行主动响应,并提高网络的安全韧性。
1.3 安全警卫
安全警卫是运行在受保护主机上的代理程序,其主要功能是入侵模式识别、入侵事件分类、入侵破坏力分析、攻击源回溯、自动保护与响应和灾难性防御。
当入侵发生时,安全警卫的入侵模式识别部件被触发,从而实时地检测出受保护主机上出现的各种系统异常或网络入侵事件。安全警卫如具备入侵识别功能,可实时地对受保护主机实施保护,从而提升主机和安全域的安全程度。在整个系统中,入侵模式识别部件是系统的数据采集部件之一,具有特殊的作用和地位。
- 基于入侵检测系统的UDP反射攻击响应方案 4次下载
- 一种基于Agent技术的入侵检测系统模型 10次下载
- 一种改进的Ad Hoc网络入侵检测agent设计 13次下载
- Multi-Agent在工控系统中的应用研究 16次下载
- 一个基于移动Agent的分布式入侵检测系统模型 23次下载
- 基于水印追踪技术的入侵检测系统的研究 7次下载
- 一种针对MANET入侵检测Agent分布的分簇方法 13次下载
- 基于Agent的分布式入侵检测系统的研究与实现 5次下载
- 基于多Agent的维修任务调度系统的研究 12次下载
- 基于有色 Petri Net 的多Agent入侵检测系统实现 13次下载
- 移动agent技术在网络学习系统安全中的应用研究 12次下载
- 基于移动Agent 的新型分布式入侵检测系统 8次下载
- 基于Multi-Agent 的网络入侵取证模型的设计 17次下载
- 免疫原理在多Agent入侵检测系统中的应用 22次下载
- netfilter技术分析及在入侵响应中的应用 23次下载
- 一文看懂Vue3响应式系统原理 341次阅读
- 如何在射频应用中实现超快速电源暂态响应 418次阅读
- 面向大电流、快速瞬态响应噪声敏感型应用的多相解决方案 327次阅读
- 面向大电流、快速瞬态响应噪声敏感型应用的多相解决方案 453次阅读
- 一文详解冲激响应与阶跃响应 1.7w次阅读
- 采用LTC8的VRM5.3720设计实现了小尺寸和快速瞬态响应 390次阅读
- 袖珍型白噪声发生器,用于快速测试电路信号响应 1045次阅读
- 一文了解window电脑控制面板的快速启动 8.3w次阅读
- 基于多Agent的传感器管理系统 2123次阅读
- 基于SNORT规则集的高速网络入侵检测系统 4513次阅读
- 解析Linux如何判断自己的服务器是否被入侵的检测方法 5744次阅读
- 频率响应是什么意思_频率响应特性 2.7w次阅读
- 技术帖:入侵报警系统七大误报解决方案 3190次阅读
- 一种提高系统响应速度的SoC系统架构 1056次阅读
- 光纤扰动入侵检测系统的设计与实现 1251次阅读
下载排行
本周
- 1基于51单片机TEA5767收音机数码管显示设计
- 0.69 MB | 12次下载 | 10 积分
- 2奋斗STM32开发板V5原理图.pdf
- 0.15 MB | 4次下载 | 免费
- 3SN55HVD251.SN65HVD251工业CAN总线收发器数据表
- 1.14MB | 3次下载 | 免费
- 4旋转编码器控制电机速度
- 5.06 MB | 1次下载 | 1 积分
- 5TOSHIBA东芝TB6600HG步进电机驱动IC中文产品规格书
- 0.90 MB | 1次下载 | 免费
- 6AIM-D100-ES系列直流绝缘监测仪安装使用说明书
- 1.22 MB | 1次下载 | 免费
- 7具有±15kV ESD保护功能的3V至5.5V多通道RS-232线路驱动器和接收器数据表
- 1.57MB | 次下载 | 免费
- 8TSM36A采用SOT-23封装的浪涌保护器件数据表
- 1.39MB | 次下载 | 免费
本月
- 1干货图解直流电机实现正反转的几种方式
- 207.75KB | 271次下载 | 10 积分
- 2对讲机原理、使用及纵图集
- 未知 | 82次下载 | 10 积分
- 3马可尼IFR 2945A综合测试仪使用手册
- 未知 | 24次下载 | 8 积分
- 4LabVIEW曲线设计的源代码免费下载
- 0.05 MB | 23次下载 | 1 积分
- 5基于STM32微处理器为核心的水质监测系统
- 6.46 MB | 23次下载 | 免费
- 62.4GHz IEEE 802.15.4 和 ZigBee应用的CC253X 片上系统解决方案
- 9.00 MB | 20次下载 | 1 积分
- 7基于51单片机TEA5767收音机数码管显示设计
- 0.69 MB | 12次下载 | 10 积分
- 8常见的电路拓扑结构
- 0.32 MB | 7次下载 | 免费
总榜
- 1matlab软件下载入口
- 未知 | 935106次下载 | 10 积分
- 2开源硬件-PMP21529.1-4 开关降压/升压双向直流/直流转换器 PCB layout 设计
- 1.48MB | 420061次下载 | 10 积分
- 3Altium DXP2002下载入口
- 未知 | 233074次下载 | 10 积分
- 4电路仿真软件multisim 10.0免费下载
- 340992 | 191349次下载 | 10 积分
- 5十天学会AVR单片机与C语言视频教程 下载
- 158M | 183327次下载 | 10 积分
- 6labview8.5下载
- 未知 | 81572次下载 | 10 积分
- 7Keil工具MDK-Arm免费下载
- 0.02 MB | 73800次下载 | 10 积分
- 8LabVIEW 8.6下载
- 未知 | 65983次下载 | 10 积分
评论
查看更多