基于角色協(xié)同的網(wǎng)絡(luò)入侵檢測(cè)模型研究.pdf

1、隨著互聯(lián)網(wǎng)應(yīng)用范圍的不斷擴(kuò)大和計(jì)算機(jī)應(yīng)用的逐年普及，人們的生活與互聯(lián)網(wǎng)產(chǎn)生日益緊密的聯(lián)系，計(jì)算機(jī)網(wǎng)絡(luò)在為人們帶來各種便利的同時(shí)，也存在很多的安全隱患。為了應(yīng)對(duì)這些安全問題具有主動(dòng)防御能力的入侵檢測(cè)系統(tǒng)受到了人們的日益重視。然而，近年來由于網(wǎng)絡(luò)帶寬得到了高速的增長(zhǎng)，需要采集和檢測(cè)的網(wǎng)絡(luò)數(shù)據(jù)量急劇增加，對(duì)入侵檢測(cè)系統(tǒng)處理數(shù)據(jù)包的能力與效率提出了挑戰(zhàn)。負(fù)載均衡技術(shù)通過將待處理的任務(wù)均衡地分配到多個(gè)處理器節(jié)點(diǎn)上，能有效緩解這個(gè)問題，這在資源一定

2、的情況下，負(fù)載均衡仍不失為一個(gè)好的選擇，它在未增加投入的情況下，既節(jié)省了成本，又能解決一定規(guī)模下的檢測(cè)問題。可以把如何對(duì)這些處理器節(jié)點(diǎn)均衡地分配任務(wù)看作是一個(gè)角色間協(xié)作的問題，為了解決這個(gè)問題，本文引入了E-CARGO模型，它是一種基于角色協(xié)同的模型，已經(jīng)被用來成功解決了很多有關(guān)群組協(xié)作的問題，受到了國(guó)內(nèi)外學(xué)者的關(guān)注。
　　本文首先結(jié)合高速網(wǎng)絡(luò)入侵檢測(cè)的具體特點(diǎn)，利用E-CARGO模型提出了一個(gè)多層次化的協(xié)同入侵檢測(cè)架構(gòu)，在此架構(gòu)

3、中的每個(gè)層次都可以進(jìn)行負(fù)載均衡。對(duì)該架構(gòu)中存在的角色進(jìn)行了研究，為了并行化處理，事件檢測(cè)角色又被分成TCP事件檢測(cè)，UPD事件檢測(cè)，ICMP事件檢測(cè)和應(yīng)用層事件檢測(cè)四種類型。利用E-CARGO模型對(duì)各個(gè)角色進(jìn)行了形式化定義，探討了入侵檢測(cè)中群組的形成方式和存在的類型。系統(tǒng)采用以群組為單位對(duì)Agent進(jìn)行管理，使Agent的分配更加地靈活。探討了Agent的分配和收回的策略。然后基于E-CARGO模型設(shè)計(jì)了一個(gè)負(fù)載均衡器，該負(fù)載均衡器采用

4、定時(shí)反饋機(jī)制，動(dòng)念地從各個(gè)處理器節(jié)點(diǎn)獲取負(fù)載信息，然后根據(jù)此信息對(duì)Agent的能力進(jìn)行評(píng)估，負(fù)載均衡算法依據(jù)評(píng)估的結(jié)果對(duì)任務(wù)進(jìn)行分發(fā)。其中Agent扮演某個(gè)角色的能力不但與自身的負(fù)載情況以及處理器節(jié)點(diǎn)的性能有關(guān)，而且還和將要執(zhí)行的任務(wù)量大小相關(guān)，因此本文在評(píng)估Agent扮演某一角色的能力時(shí)，綜合考慮了以上幾個(gè)因素。為了方便負(fù)載均衡算法的計(jì)算，本文引入了一個(gè)評(píng)估矩陣，用此矩陣數(shù)字化地表示Agent扮演角色的能力大小。最后進(jìn)行了仿真模擬實(shí)驗(yàn)